• FAQ: Ερωτήσεις και απαντήσεις για firewalls (για αρχαρίους)

    από
    cosmos
    Δημοσιεύθηκε στις 20-02-04 11:47
    48 Σχόλια Σχόλια
    Το παρόν αποτελεί μία προσπάθεια για λίγη πληροφόρηση σε θέματα firewalls. Θα μπορούσε ίσως να τιτλοφορείται "Αλήθειες για ψέμματα σχετικά με την ασφάλεια" κτλ. Βασικός αποδέκτης του κειμένου είναι ο χρήστης με κάποιες γνώσεις για ασφάλεια, μια που για σοβαρή ασφάλεια σε επιχειρησιακό επίπεδο μάλλον χαροπαλεύω μεταξύ n00b και κάπως ελαφρά ενήμερου παίκτη. Καλό διάβασμα!


    1. Βοήθεια, πώς μπλοκάρω τα ping;
    2. To "ping" χρησιμοποιεί το πρωτόκολλο ICMP. Δείτε το 2.
    3. Βοήθεια, πώς μπλοκάρω τα ICMP.
      Δείτε το 4.
    4. Τι σημαίνει γίνομαι "stealth";
      "Φοράτε" μαύρες λαμαρίνες και με φόρα πηδάτε από το 8ο πάτωμα. Τέσπα, αν ζητάτε σοβαρότερη απάντηση, ας κάνω μία προσπάθεια.

      Με μία χαλαρή "μετάφραση", σημαίνει ότι όταν σας στέλνει κάποιος υπολογιστής πακέτα πρωτοκόλλου ICMP, δεν τα απαντάτε. Έτσι, ο απομακρυσμένος υπολογιστής δεν παίρνει κάποιο σημάδι ότι ο δικός σας είναι ενεργός.

      Το ότι δεν τα απαντάτε, μπορεί να σημαίνει ότι o firewall σας δεν τα αφήνει να τα δει καν το λειτουργικό σύστημα του υπολογιστή (όπως στην περίπτωση των προσωπικών firewalls). Ή ενδεχομένως να τα αφήνει, αλλά όταν το λειτουργικό σας σύστημα στέλνει απαντήσεις στο απομακρυσμένο σύστημα που έστειλε το αρχικό πακέτο, ο firewall μπλοκάρει αυτά τα εξερχόμενα πακέτα.
    5. Βοήθεια, σκανάρισα το σύστημά μου και δεν είμαι "στελθ"!
      Τo ICMP έχει κατακρεουργηθεί από τους πάντες και τα πάντα. Η αναζήτηση του "να γίνω stealth" έχει γίνει ιερότερη και από του Αγίου Δισκοπότηρου. Εμπεριέχεται βέβαια κάποια αλήθεια, αλλά εν γένει το ICMP είναι το κομμάτι του TCP/IP με το οποίο αναφέρονται προβλήματα. Είναι δλδ κρίσιμο κομμάτι του πρωτοκόλλου. Δεν είναι αμαρτία να μην είστε stealth!
    6. Τότε γιατί τόση παράνοια; Από που μας προέκυψε αυτό το "stealth";
      Από τις εταιρίες που δημιούργησαν μία αγορά παρανοϊκών πελατών, και απο ευαγγελιστές του δόγματος "Cyber-αδερφοί, κινδυνεύουμε!"
    7. To "stealth" είναι κακό πράγμα δλδ;
      IMHO ναι! Μπλοκάρεται χρήσιμη πληροφορία, η οποία δε βοηθάει την επικοινωνία άλλων συστημάτων προς το δικό μας ότι υπάρχει πρόβλημα. Ή του δικού μας συστήματος προς άλλα, για τον ίδιο λόγο.

      Πέρα από αυτό όμως τρώει και bandwidth. Σκεφτείτε το εξής: κάποιος νομίζει ότι έχετε web server. Στέλνει λοιπόν ένα πακέτο πρωτοκόλλου TCP για να ξεκινήσει τη "συνομιλία" με το web server σας. Αν δεν έχετε web server, τότε τα ακόλουθα θα συμβούν ανάλογα με το αν είστε stealth ή όχι:
      • Αν δεν έχετε firewall, τότε θα απαντήσετε με ICMP Destination Unreachable. Αυτό το πακέτο θα το λάβει αυτός που επιθυμούσε την επικοινωνία με το web server σας και δε θα ξαναεπικοινωνήσει μαζί σας (εκτός και αν είναι και αυτός "stealth", οπότε δε θα πάρει το ICMP ποτέ ).
      • Αν έχετε firewall, τότε δε θα απαντήσετε καθόλου. Άρα γλυτώνετε bandwidth; Όχι ακριβώς, γιατί εφόσον ο "αποστολέας" δεν πήρε απάντηση από εσάς, θα σας ξαναστείλει πακέτο TCP για να αποκαταστήσει την επικοινωνία. Ξανά και ξανά, ώσπου τελικά να αποφασίσει (μέσω μηχανισμών timeout) ότι δεν έχει νόημα να προσπαθεί να σας μιλήσει... Με απλά λόγια, το ότι δεν απαντάτε καταλήγει σε κατανάλωση δικού σας bandwidth!

      Μία άλλη περίπτωση είναι πάλι όταν συνδέεστε σε κανάλια IRC και είστε στελθαρισμένοι. Μπορεί να έχετε παρατηρήσει ότι ξεκινάτε να συνδεθείτε και υπάρχει μία καθυστέρηση δευτερολέπτων. Η καθυστέρηση μπορεί να οφείλεται στο εξής. Όταν συνδέεστε σε έναν IRC server, αυτός προσπαθεί να συνδεθεί στο δικό σας TCP port 113. Γιατί στο 113; 113 είναι το well-known port για την υπηρεσία AUTHentication. Δεν κάνει δλδ τίποτα κακό ο IRC server, απλά κοιτάζει για να πιστοποιήσει την ταυτότητά σας. Όλα σχεδόν τα IRC clients θα έχετε δει ότι "ανοίγουν" το port 113 για αυτό το σκοπό.

      Και το πρόβλημα που είναι τότε, γιατί αυτή η καθυστέρηση; Εμ βρε παιδιά, είπαμε, αφού είστε stealth! Όπως και στο παράδειγμα της προηγούμενης παραγράφου, πριν σας βάλει μέσα ο IRC server, τσεκάρει ποιοί είστε. Τσεκάρει=στέλνει πακέτο TCP στο οποίο δεν πρόκεται να πάρει απάντηση, αν δεν αφήνετε εισερχόμενη κίνηση προς το τοπικό port 113. Ύστερα από λίγο, ο IRC server, ξαναστέλνει TCP πακέτο. Μία από τα ίδια. Η διαδικασία επαναλαμβάνεται, ώσπου εγκαταλείπει τις προσπάθειες (TCP timeout) και λέει "ok, ας τον αφήσω τον τύπο να συνδεθεί, γιατί με το AUTH δεν μπόρεσα να συνδεθώ και να βγάλω άκρη".

      Αν αντ'αυτού είχατε firewall, αλλά όχι σε stealth λειτουργία, τότε θα στέλνατε ένα ICMP destination (port για την ακρίβεια) unreachable και θα τελείωνε η ιστορία. Αντ'αυτού η αναμονή για σύνδεση είναι το τίμημα της αναμονής.

      Λύσεις για το συγκεκριμένο (διαλέξτε μία):
      • Ανοίξτε κανονικά το port 113 τοπικά
      • Ρυθμίστε το firewall ώστε να κάνει reject την εισερχόμενη κίνηση TCP για το τοπικό port 113 και όχι drop. Στην πρώτη περίπτωση, εισερχόμενα πακέτα TCP θα απαντηθούν με εξερχόμενα πακέτα TCP Reset (TCP RST). Το αποτέλεσμα θα είναι το ίδιο.

      Τι θα δείτε αν κάνετε κάτι από τα παραπάνω; Ότι μπαίνετε στον IRC server ακαριαία.
    8. Δηλαδή δεν πρέπει να μπλοκάρω τα πακέτα ICMP;
      Εδώ τα πράγματα περιπλέκονται... Και ναι και όχι.
    9. Μας τα μπερδεύεις... Να μπλοκάρω ή να μην μπλοκάρω;
      Κατ'αρχήν σε ένα "στεγανό" δίκτυο επιχείρησης δεν πρέπει να αφήνετε να περνάν τα ICMP (αλλά αυτό το ξέρατε ήδη).

      Σε ένα δίκτυο public, φροντίζετε απλώς να έχετε κάποιο μέγιστο ρυθμό πακέτων ICMP, ώστε να μην πνιγεί το δίκτυο σε μία επίθεση ICMP (ICMP flood). Επίσης ενδεχομένως μπλοκάρετε τα ICMP που αφορούν διαφορετική δρομολόγηση (ICMP Redirect), αυτά είναι "δυνάμει επικίνδυνα", αν έχετε σε κάποιο μέρος του δημοσίου δικτύου και ένα προστατευμένο.

      Τέσπα για το δικό σας υπολογιστή ή για το lan-άκι σας ισχύει ότι και στην αμέσως προηγούμενη παράγραφο. Που με απλά λόγια σημαίνει ότι αφήνετε και να βγαίνουν και να μπαίνουν όλα τα ICMP!
    10. Αυτο-σκαναρίστηκα και είχα ανοικτές πόρτες
      Ηρεμία, εδώ όντως μπορεί να έχετε κάποιο προβληματάκι. Ας πούμε ότι βρήκατε ότι το port 55555 είναι ανοικτό. Το Google είναι φίλος σας. Δώστε μία αναζήτηση εκεί με λέξεις κλειδιά "port 55555". Θα βρείτε κάποια πληροφορία σχετική. Ίσως να ανακαλύψετε ότι είναι υπηρεσία που ... την έχετε βάλει να τρέχει εσείς
    11. Συνδεόμενος σε κάποιο web server, βλέπω μετά τα κατεβάσματα πολλά εισερχόμενα πακέτα TCP στο log του δικού μου firewall τα οποία "φυσικά" μπλοκάρονται, τα οποία προέρχονται από τη διεύθυνση του web server και του port του web server. Μου επιτίθεται;
      Κατά πάσα πιθανότητα όχι. Εκείνο που βλέπετε είναι απομεινάρια των δικών σας κατεβασμάτων από το site. Εξηγούμαι: πάτε να συνδεθείτε σε ένα web server (τυπικά στο remote port 80). Στέλνετε ένα πακέτο TCP, o firewall το βλέπει (εννοείται ότι έχετε επιτρέψει την κίνηση αυτού του τύπου). Επειδή ο firewall καταλαβαίνει ότι "περιμένετε" ένα πακέτο TCP από το server, θα αφήσει πακέτα από το web server να εισέλθουν. Αν όλα πάνε καλά, ξεκινάτε να κατεβάζετε τη σελίδα που σας ενδιαφέρει. Σε όλη τη διάρκεια του κατεβάσματος πακέτα TCP πάνε και έρχονται και ο firewall τα βλέπει όλα ως νόμιμα (και είναι).

      Κάποια στιγμή το κατέβασμα τελειώνει. Είτε ο web server είτε εσείς θα στείλετε ένα ειδικό πακέτο TCP που υποδηλώνει ότι το κανάλι TCP πάει για κλείσιμο. O firewall το βλέπει αυτό και αντιλαμβάνεται ότι πλέον δεν πρέπει να αφήσει άλλα εισερχόμενα πακέτα να έρθουν. Όπερ και εγένετο. Έλα όμως που όπως δουλεύει το πρωτόκολλο TCP/IP πρέπει και τα δύο μέρη να πουν ότι "έκλεισα το δικό μου σκέλος της επικοινωνίας". Επίσης, λόγω καθυστερήσεων στο Internet, μπορείτε να παρακολουθήσετε την ίδια συμπεριφορά. Το ρεσουμέ είναι ότι ο μεν firewall σας θεωρεί το θέμα λήξαν, δλδ ότι δεν υπάρχει πλέον επικοινωνία με το site, αλλά έρχονται πακέτα TCP από το web site (νομιμότατα πακέτα, τα οποία μπορεί να λένε "η κλήση έχει τερματιστεί και από εδώ") τα οποία το firewall πλέον τα θεωρεί άγνωστα/εχθρικά. No big deal τέσπα.
    12. Συνδεόμενος σε κάποιο web server, βλέπω μετά τα κατεβάσματα πολλά εισερχόμενα πακέτα TCP στο log του δικού μου firewall τα οποία "φυσικά" μπλοκάρονται, τα οποία προέρχονται από ένα σύστημα με διεύθυνση την ίδια, ανεξάρτητα από το web site που βλέπω. Μου επιτίθεται αυτό το σύστημα;
      Μήπως η πόρτα που αντιστοιχεί σε αυτό το σύστημα είναι 3128, 8080, 8000, 8888 (και σπανιότερα και 80); Αν ναι, κατά πάσα πιθανότητα έχετε proxy server ρυθμισμένο και είστε στην προηγούμενη περίπτωση, με τη διαφορά ότι η επικοινωνία που έχετε όταν κατεβάζετε μία σελίδα από κάποιο web site είναι μόνο με τον proxy server σας! Δεν υπάρχει πρόβλημα δλδ.
    13. Στο log του firewall βλέπω άπειρα πακέτα με διεύθυνση προορισμού 224.0.0.Χ. Τι δουλειά έχουν με μένα;
      Είναι πακέτα multicast. Δηλαδή πακέτα που εκπέμπονται και πάνε σε πολλούς αποδέκτες ταυτόχρονα. Ειδική περίπτωση broadcast εκπομπής αν θέλετε. Για παράδειγμα, οι συνδρομητές της Forthnet ίσως να έχουν προσέξει πακέτα με διεύθυνση προορισμού 224.0.0.2 (αν θυμάμαι καλά), τα οποία "εκπέμπονται" με συχνότητα 1 πακέτο κάθε 2 λεπτά. Τα πακέτα αυτά περιέχουν τη πληροφορία της χρηματιστηριακής υπηρεσίας SMART της Forthnet. (IMHO, εξυπνότατος τρόπος για μετάδοση μονόδρομης πληροφορίας σε πολλούς, με ελάχιστη κατανάλωση bandwidth).
    14. Τι μπορώ να κάνω για να μην είμαι "ανοιχτός";
      Ακολουθήστε τις οδηγίες στον οδηγό ασφάλειας για νέους χρήστες καταρχήν. Παίρνετε οπωσδήποτε αντίγραφα εφεδρείας των αρχείων σας ή, ακόμα καλύτερα, αν έχετε πολλούς/μεγάλους δίσκους αγοράστε το Symantec Ghost ή κάποιο ανάλογο πρόγραμμα και παίρνετε αντίγραφο όλου του συστήματος.
    15. Έχω ένα router με ΝΑΤ και κάποιες εφαρμογές οι οποίες απαιτούν συνδέσεις εισερχόμενες προς τον υπολογιστή μου, στην τοπική θύρα ΧΧΧ, τι πρέπει να κάνω;
      Πρέπει, όπως λένε, να κάνετε "port mapping" (αναφέρεται και ως "port forwarding"). Απλά δηλώνετε στις ρυθμίσεις του ΝΑΤ ότι θέλετε ό,τι έρχεται στη θύρα ΧΧΧ του router, να "προωθείται" (να μεταφέρεται δλδ) στη θύρα XXX ενός υπολογιστή μέσα στο δίκτυό σας.
    16. Έχω ένα router με firewall μόνο και κάποιες εφαρμογές οι οποίες απαιτούν συνδέσεις εισερχόμενες προς τον υπολογιστή μου, στην τοπική θύρα ΧΧΧ, τι πρέπει να κάνω;
      Εδώ θα πρέπει όπως λένε να "επιτρέψετε" ορισμένες εισερχόμενες κλήσεις. Δηλαδή να πάτε στις ρυθμίσεις firewall του router σας και να πείτε ότι θέλετε να επιτρέπεται ("allow") η κίνηση προς τη τοπική θύρα ΧΧΧ.
    17. Ο δικός μου router έχει και firewall και ΝΑΤ, τι γίνεται σε παρόμοια περίπτωση;
      Και τα δύο παραπάνω! Δλδ και το NAT πρέπει να ρυθμίσετε, αλλά και το firewall.
    18. Αν η εφαρμογή χρειάζεται προσπέλαση στις τοπικές θύρες ΧΧΧ και ΥΥΥ τι γίνεται;
      Θα κάνετε ότι χρειάζεται πρώτα για τη μία θύρα και μετά για τη δεύτερη. Το ίδιο αν υπάρχει και τρίτη και τέταρτη κτλ.
    19. Αν η εφαρμογή χρειάζεται προσπέλαση στις τοπικές θύρες από ΧΧΧ έως ΥΥΥ τι γίνεται; Θα τις βάλω μία-μία;
      Σε πολλούς firewalls-routers μπορείτε να δώσετε περιοχή τιμών, οπότε θα κάνετε μία φορά μόνο τη δουλειά.
    20. Ο router μου έχει firewall ρυθμισμένο να επιτρέπει εξερχόμενες συνδέσεις, αλλά να μπλοκάρει τις εισερχόμενες. Όταν πάω να κάνω FTP από κάποιο server, συνδέομαι αλλά δεν μπορώ να κατεβάσω τίποτα. Τι φταίει;
      Καλωσήρθατε στον κόσμο των ΝΑΤ/firewall-εχθρικών εφαρμογών Το πρόβλημα με το FTP, αλλά και με πολλά άλλα πρωτόκολλα (Η.323, SIP, DirectPlay) είναι ότι χρησιμοποιούν εκτός από μία εξερχόμενη σύνδεση (την οποία ο firewall με την ρύθμιση της ερώτησης θα επιτρέψει) και μία εισερχόμενη για την καθεαυτού μεταφορά αρχείων ή για τη μεταφορά φωνής (H.323, SIP) κτλ.
    21. Ε, και λοιπόν; Δεν μπορώ να ανοίξω απλά την απαιτούμενη θύρα και ώστε να επιτραπεί αυτή η εισερχόμενη κίνηση;
      Δυστυχώς όχι, γιατί η τοπική θύρα μεταβάλλεται κάθε φορά! Τη μία μπορεί να είναι η 2000, την άλλη η 45000 κτλ. Στο FTP λ.χ. η εισερχόμενη σύνδεση θα χρησιμοποιεί κάποιο τυχαίο port > 1024 κάθε φορά.
    22. Ευτυχώς δεν έχω firewall, μόνο NAT. Οπότε δε θα έχω αυτό το πρόβλημα, σωστά;
      Λάθος. Το πρόβλημα υφίσταται και στο firewall και στο NAT. Υπάρχουν όμως λύσεις.
    23. Τι λύσεις;
      Καταρχήν υπάρχουν έξυπνα firewalls/NAT τα οποία έχουν protocol inspectors, ένα για κάθε "δύσκολο" πρωτόκολλο που υποστηρίζουν. Έτσι, αν ένας router έχει FTP protocol inspector, τότε παρακολουθεί την εξερχόμενη κίνηση FTP και αν δει ότι πρόκειται να σκάσει μύτη εισερχόμενη κίνηση, αυτόματα ρυθμίζει το firewall/ΝΑΤ ώστε να την επιτρέψει. Μόνο όμως για τη διάρκεια της συνεδρίας FTP και μόνο για συγκεκριμένη θύρα.
    24. Καλό ακούγεται! Υπάρχουν και άλλοι protocol inspectors εκτός από FTP;
      Βέβαια, υπάρχουν για IRC DCC, H.323, SIP κτλ
    25. Καλά όλα αυτά, αλλά έχω μία εφαρμογή με ένα τέτοιο δύσκολο πρωτόκολλο ΧΧΧ, στο οποίο ανοίγονται δυναμικά θύρες που αλλάζουν κάθε φορά. Πως δοκιμάζω αν ο δικός μου router έχει στο firewall/NAT protocol inspector για το πρωτόκολλο ΧΧΧ που με ενδιαφέρει;
      Μέσω "δοκιμής και σφάλματος"! Δοκιμάστε την εφαρμογή σας και αν δουλέψει, κατά πάσα πιθανότητα ο router σας έχει XXX protocol inspector.
    26. Δοκίμασα και δε δουλεύει δυστυχώς. Ατύχησα;
      Όχι ακόμα, υπάρχουν 1-2 πράγματα που μπορείτε να κάνετε.

      Το απλούστερο όλων είναι να δείτε μήπως η εφαρμογή σας αν και χρησιμοποιεί δυναμικές θύρες, μπορεί να ρυθμιστεί εσωτερικά να χρησιμοποιεί μία συγκεκριμένη περιοχή τιμών. Λ.χ. από 9000 έως 9010. Aν είναι έτσι κάνετε τη ρύθμιση αυτή στην εφαρμογή και μετά συνεχίζετε όπως παραπάνω, σαν η εφαρμογή δλδ να χρησιμοποιούσε συγκεκριμένες σταθερές θύρες. Παράδειγμα είναι το γνωστό mIRC, στο οποίο οι μεταφορές αρχείων (DCC) μπορούν να ρυθμιστούν να χρησιμοποιούν ports από συγκεκριμένη περιοχή τιμών.

      Ή ενδεχομένως η εφαρμογή να μπορεί να ρυθμιστεί ώστε να χρησιμοποιεί μόνο εξερχόμενες κλήσεις.
      Χαρακτηριστικό παράδειγμα είναι το FTP, όπου ζητώντας να συνδεθούμε με λειτουργία passive οι συνδέσεις μας θα είναι μόνο εξερχόμενες.
    27. Δυστυχώς η εφαρμογή μου δεν έχει τέτοια δυνατότητα...
      Υπάρχουν μερικές ακόμα τεχνολογίες που μπορεί να βοηθήσουν. Αν για παράδειγμα η εφαρμογή και το λειτουργικό σύστημα του υπολογιστή μας χρησιμοποιούν την τεχνολογία UPnP και αυτή, επιπρόσθετα υποστηρίζεται από τον router μας, τότε ενεργοποιώντας την στον router, πρακτικά η ίδια η εφαρμογή θα του δίνει οδηγίες για το τι θα ανοίξει στο firewall και ποια θύρα κάθε φορά θα πρέπει να κάνει port mapping.
    28. Έχω διαβάσει όμως ότι το UPnP αποτελεί τρύπα ασφαλείας, ισχύει αυτό;
      Ισχύει, με την έννοια ότι αν ένα κακόβουλο πρόγραμμα καταφέρει να βρεθεί να εκτελείται μέσα στο δικό σας υπολογιστή, τότε μπορεί να "τηλεχειριστεί" το router σας, για να επιτρέχει εισερχόμενη κίνηση, η οποία φυσιολογικά δε θα περνούσε.

      Αν και μόνο αν το εσωτερικό σας δίκτυο είναι ασφαλές, τότε το UPnP αποτελεί πλεονέκτημα: θύρες ανοίγονται και κλείνονται δυναμικά. Δεν παραμένουν μόνιμα δλδ κάποιες θύρες ανοικτές! Επιπρόσθετα, είναι πολλές πλέον οι εφαρμογές που εκμεταλλεύονται το UPnP (ΜSN/XP Messenger, παιχνίδια που χρησιμοποιούν DirectPlay, P2P προγράμματα όπως eMule/Azureus/μTorrent, προγράμματα και ATA για Voip κτλ).
    29. Ούτε UPnP υπάρχει... Κάτι άλλο;
      Η λύση που μένει είναι για το μεν ΝΑΤ να προωθήσετε όλα τα ports από 1024-65535, για το δε firewall να ανοίξετε την εισερχόμενη κίνηση για αυτά τα ports.

      Υπάρχουν σε ορισμένους firewalls και τα "Triggers" πάντως. "Trigger" σημαίνει σκανδάλη. Ρυθμίζετε ένα trigger λέγοντας ότι "όποτε δεις εξερχόμενη κίνηση που μπορεί να υποδηλώνει ότι ξεκινάω δουλειά με ένα δύσκολο πρωτόκολλο, άνοιξε όλες τις θύρες 1024-65535". Κάπως καλύτερη κατάσταση δλδ.
    30. Γιατί από τότε που ενεργοποίησα το firewall το σερφάρισμα έγινε αργό;
      Ρίξτε μια ματιά στα αρχεία καταγραφής (logs) του firewall. Μήπως βλέπετε κάτι που να το χαρακτηρίζει attack απο το δικό σας εσωτερικό ip σε χ.χ.χ.χ:80;
      Αν ναί τότε έχει να κάνει με το πόσες ταυτόχρονες συνδέσεις ανοίγει ο browser σας, και το firewall το βλέπει σαν απόπειρα "DDoS attack" (μίας μορφής επίθεσης δλδ). Για να το αποφύγετε πρέπει να ρυθμίσετε το firewall σας ώστε να είναι πιο "ανεκτικό" ως προς το πόσες συνδέσεις θεωρεί ότι αποτελούν επίθεση.
    31. Τα έχω διαβάσει όλα αυτά, αλλά ακόμα δεν ξέρω τι να κάνω με το ΧΥΖ firewall για την ΑΒC δουλειά;
      Εχμ, ψάξατε; Τί;;;; ΔΕΝ ψάξατε; Οι ειδικοί σας περιμένουν στην ομάδα συζητήσεων για firewalls. 99% θα βρείτε εκεί αυτό που ψάχνετε!
    32. Μπορώ με μια ματιά να αυτή τη στιγμή πόσο έντονη είναι η εχθρική δραστηριότητα στο δίκτυο;
      Και βέβαια. Υπάρχουν "δείκτες επισφαλούς δραστηριότητας" στο δίκτυο. Αυτή η δραστηριότητα κατά 99,99% οφείλεται σε μολυσμένα συστήματα, τα οποία προσπαθούν να μολύνουν και άλλα. Μερικοί τέτοιοι δείκτες από αξιόπιστες πηγές, δίνονται παρακάτω, όπου φυσικά απεικονίζεται το τωρινό/τρέχων επίπεδο:

    EDIT: Ευχαριστίες προς όλους για τα σχόλιά τους στο FAQ
    Αυτό το άρθρο δημοσιεύθηκε πρώτα στο forum με θέμα: FAQ: Ερωτήσεις και απαντήσεις για firewalls (για αρχαρίους) Δημοσιεύθηκε από cosmos Δείτε την αρχική δημοσίευση
    Tags: faq, firewall
    Σχόλια 48 Σχόλια
    1. Το avatar του μέλους PReD
      PReD - 02-03-04, 14:35
      Πολυ καλό cosmos...

      Βάλτο και αυτό στην υπογραφή σου να είναι εύκαιρο!

      nice job
    1. Το avatar του μέλους Lord_Flasheart
      Lord_Flasheart - 02-03-04, 14:55
      πολύ καλό.... 8) 8) 8)
    1. Το avatar του μέλους cosmos
      cosmos - 02-03-04, 15:00
      PReD, έπιασα το limit στην υπογραφή μου

      @All: thx!
    1. Το avatar του μέλους dantouan
      dantouan - 02-03-04, 16:27
      Αρκετα κατατοπιστικο...Μηπως θα μπορουσες να μας πεις και τις ρυθμισεις για καποιο συγκεκριμενο firewall p.x. zone alarm η κατι παρομοιο (αληθεια πιο χρησιμοπιεις εσυ? )
    1. Το avatar του μέλους cosmos
      cosmos - 02-03-04, 16:32
      dantouan, δες το πρώτο link στην υπογραφή μου.
    1. Το avatar του μέλους cosmos
      cosmos - 07-05-04, 08:48
      ^^^ To αρχικό post ενημερώθηκε.
    1. Το avatar του μέλους sdikr
      sdikr - 07-05-04, 13:13
      Τι σημαίνει γίνομαι "stealth";
      "Φοράτε" μαύρες λαμαρίνες και με φόρα πηδάτε από το 8ο πάτωμα. Τέσπα, αν ζητάτε σοβαρότερη απάντηση, ας κάνω μία προσπάθεια.
      ΚΑΛΟ!!!!

      Επίσης, προχοχή με τα firewall ΄πού έχουν ddos, syn protection , υπάρχει περίπτωσή να σας κόβουν στο σερφάρισμα (αν έχετε πειράξει τις ανάλογες ρυθμίσεις στον ΙΕ).

      upnp
      Αν μπορείτε χωρίς αυτό βγάλτε το!, συνήθως τα πιο πολλά προγράμματα αναφέρουν τις πόρτές που χρειάζονται, (msn,icq,irc,p2p), δύσκολες εφαρμογές είναι netmeeting, sip telephony (το οποίο άν ο provider voip σου παρέχει sip proxy ξεπερνά τα προβλήματα).
    1. Το avatar του μέλους WAntilles
      WAntilles - 07-05-04, 13:27
      upnp
      Αν μπορείτε χωρίς αυτό βγάλτε το!
      Σωστό. Πέραν του ότι είναι security vulnerability & hazard, να μάθετε χωρίς αυτό.

      Μόνο τα XP το έχουν.

      2000, 2003, Linux και άλλα δεν το έχουν.

      Τι σημαίνει γίνομαι "stealth";
      "Φοράτε" μαύρες λαμαρίνες και με φόρα πηδάτε από το 8ο πάτωμα. Τέσπα, αν ζητάτε σοβαρότερη απάντηση, ας κάνω μία προσπάθεια.
      Stealth γίνεσαι και άμα είσαι Jedi, πόσο μάλλον Master.

      Έλα στον Θείο Yoda για training Cosmos να σε κάνει stealth στο πι και φι. 8)
    1. Το avatar του μέλους cosmos
      cosmos - 07-05-04, 13:53
      Eυχαριστώ για τα σχόλια κύριοι! Έχω αλλάξει κάποια πράγματα για το UPnP, αλλά για το DoS θέλει λίγο να το σκεφτώ για το πως θα "κολλήσει" καλά (προτάσεις σε μορφή ερωταποκρίσεων ευπρόσδεκτες).

      WAntilles, lol ευχαριστώ, αλλά δεν είμαι καν firewall-ομένος, χώρια που ακούω "stealth" και ανατριχιάζω. Προτιμώ να "φαίνομαι"
    1. Το avatar του μέλους Ducklord
      Ducklord - 07-05-04, 14:23
      Άει σιχτήρ... Ήρθα να δω τι έγραψε ο Κόσμος για φάηργουωλς και μου το κάνατε Τζένταη Φόρσες! Σε λίγο θα μου γράψετε και για αντιβάηρους και Μέταλ Γκήαρ Σόλιντ!

      Φιλικά
      Παπιάρχων ο τρισμέγιστος: τώρα και με μπλε και πράσινους στόκους!
    1. Το avatar του μέλους sdikr
      sdikr - 07-05-04, 14:38
      προτάσεις σε μορφή ερωταποκρίσεων ευπρόσδεκτες
      Εχώ το "ταδε h/w fw" και απο τότε που το έβαλα το σερφάρισμα είναι αργό ,
      ρίξτε μια ματιά στα logs του fw, βλέπετε κάτι που να το χαρακτηρίζει attack απο το δικό σας εσωτερικό ip σε χ.χ.χ.χ:80;
      Αν ναί τότε έχει να κάνει με το πόσες ταυτόχρονες συνδέσεις ανοίγει ο browser, και το fw το βλέπει σαν απόπειρα ddos attack,
    1. Το avatar του μέλους kadronarxis
      kadronarxis - 07-05-04, 16:07
      sdikr,
      επειδή την έχεις ψάξει τη δουλειά με το 652R,
      θα σε παρακαλέσω να ρίξεις κανένα print screen με τις ρυθμίσεις, εκτός φυσικά από τα ευκολονόητα.Δηλαδή μετά το Wizard setup,κλείνεις το DHCP αν έχεις ένα πισί, και κατόπιν πέτα καμιά φώτο, όπως εκείνη με το DoS, και το config του firewall.
      Άντε γερά.

      ΥΓ: έχω ενεργοποιήσει το upnp.
    1. Το avatar του μέλους sdikr
      sdikr - 07-05-04, 17:19
      kadronarxis,
      όχι δεν την έχω ψάξει πολυ με το 652, απλά το πρόβλημα που έιχες και εσύ είχα και εγώ και απο τα Logs την ψιλιάστικα.

      αν θέλείς Photo σε νεό thread (για να μην χαλάσουμε αυτό εδω)
    1. Το avatar του μέλους Spyrosss
      Spyrosss - 05-08-04, 16:51
      To "stealth" είναι κακό πράγμα δλδ;
      Eγώ προτιμώ stealthed για τους εξής λόγους:

      1.To stealthed δίνει την ίδια απάντηση που δίνει και ένας υπολογιστής που είναι κλειστός,δηλαδή τίποτα. Έτσι οι επίδοξοι hackers-script kiddies που σκανάρουν ip ranges θα προσπεράσουν το δικό μου ip σαν να μην υπάρχει τίποτα στην συγκεκριμένη διεύθηνση. Aυτό κάνει τον υπολογιστή μου μη ελκυστικό για απόπειρες hacking καθώς το tool θα βρεί κάποιον άλλο με closed ή open και ο hacker θα ασχοληθεί με αυτόν.

      2.Το closed και το stealthed κάνουν το ίδιο πράγμα,κλείνουν τα πόρτς. Όμως το closed δείχνει οτι οι πόρτες είναι κλειστές αυτό όμως δεν σημαίνει οτι αύριο-μεθαύριο δεν θα είναι ανοιχτές Επίσης το να δείξεις οτι υπάρχεις,αφήνει πολλά περιθώρια έρευνας απο τον hacker,αφού είμαστε συνδεδεμένοι 24 ώρες,και oλο και κάποιο ftp ή κάτι παρόμοιο θα τρέχουμε.

      3.Το stealthed μειώνει την ταχύτητα εξάπλωσης worms-ιών καθώς ο υπολογιστής που κάνει επίθεση δεν παίρνει απάντηση οτι τα ports είναι κλειστά και έτσι καθυστερεί και δεν προχωράει στον επόμενο υπολογιστή.

      4.Υπάρχουν αρκετές ευπάθειες ICMP,όπως ICMP Flood και ICMP Redirect.

      5. Το port 113 το ανοίγεις μόνο σε συγκεκριμένα IP που θές. Για παράδειγμα εγώ που χρησιμοποιώ τον chaos.irc.gr έχω ανοίξει το 113 στο 80.76.62.42 και σε κάποιους άλλους IRC server και συνδέομαι ταχύτατα.

      6.Σενάριο:Anti p2p οργανισμός βλέπει το ip μου και κάνει tracert. To peer guardian τους έχει μπλοκάρει αλλα δυστηχώς μπλοκάρει μόνο TCP πακέτα.
      Με το stealthed δεν υπάρχω γιαυτούς,το pc μου είναι κλειστό, και προχωράνε σε κάνα πιο εύκολο θύμα.
      Με το closed απαντάω στο probe και μου έρχετε το mail με τα παράπονα απο τον ISP.

      7.Υπάρχει η δυνατότητα να είσαι closed σε trusted network και stealthed στο internet.
    1. Το avatar του μέλους sdikr
      sdikr - 05-08-04, 19:01
      3.Το stealthed μειώνει την ταχύτητα εξάπλωσης worms-ιών καθώς ο υπολογιστής που κάνει επίθεση δεν παίρνει απάντηση οτι τα ports είναι κλειστά και έτσι καθυστερεί και δεν προχωράει στον επόμενο υπολογιστή.
      Και έτσι σου στέλνει συνεχώς πακέτα τα οποία σου τρώνε κάτι απο το download
      Επίσης μπορεί να κάνει καθηστέρηση στο σερφάρισμα γιατί ο remote server στέλνει κάποια πακέτα να δεί αν είσαι εκεί, αν είσαι stealh θα προσπαθεί και θα προσπαθεί με αποτέλεσμα να περιμένεις, αν είναι closed ξέρει ότι είσαι εκεί

      Αν γίνεις στόχος των διαφόρων περιέργων (και δεν μιλάω για τα script kiddies) το μόνο που σε σώζει είναι να βγάλεις τον υπολογιστή απο την μπρίζα!
    1. Το avatar του μέλους Spyrosss
      Spyrosss - 05-08-04, 20:01
      To bandwidth στο τρώνε έτσι και αλλιώς αφού είτε stealthed είτε closed αυτοί που βαράνε κάθε μέρα σε ports πχ 135,137,139,445,2χχχ κλπ είναι εκατοντάδες.
      Επίσης το να στέλνεις tcp reset μήνυμα (closed) τρώει και απο upload και κύκλους cpu ενώ το απλό drop (stealthed) δεν τρώει.
      Πάντως δεν έχω παρατηρήσει κάποια δραματική βελτίωση στο κατέβασμα με closed.
    1. Το avatar του μέλους cosmos
      cosmos - 06-08-04, 09:32
      Πριν ξεκινήσω, πρόσεξε ότι είμαι ενάντια στο stealthing και όχι στη μη χρήση ΝΑΤ. Ή, όταν δεν υπάρχει ΝΑΤ, στη χρήση software firewall.

      Παράθεση Αρχικό μήνυμα από Spyrosss Εμφάνιση μηνυμάτων
      To "stealth" είναι κακό πράγμα δλδ;
      Eγώ προτιμώ stealthed για τους εξής λόγους:

      1.To stealthed δίνει την ίδια απάντηση που δίνει και ένας υπολογιστής που είναι κλειστός,δηλαδή τίποτα. Έτσι οι επίδοξοι hackers-script kiddies που σκανάρουν ip ranges θα προσπεράσουν το δικό μου ip σαν να μην υπάρχει τίποτα στην συγκεκριμένη διεύθηνση. Aυτό κάνει τον υπολογιστή μου μη ελκυστικό για απόπειρες hacking καθώς το tool θα βρεί κάποιον άλλο με closed ή open και ο hacker θα ασχοληθεί με αυτόν.
      Κι έτσι τα απόρρητά σου είναι ασφαλή Ενδιαφέρων στόχος είσαι είτε αν έχεις dns name www.xxx-online-bank.xxx είτε αν μπορούν μέσω κάποιου port στο οποίο τρέχει daemon με vulnerabilities να σε ζομπιάσουν.

      Με πολύ απλά λόγια, με τα λίγα που ξέρω: δεν έχω δει κανένα σοβαρό textbook για security που να μιλά για "stealth". Μπορεί να μιλάει για κόψιμο πραγματικά επικίνδυνης πληροφορίας (λ.χ. redirected) σε εταιρικά δίκτυα. Υπάρχουν σοβαρότερα σημεία ασφαλείας IMHO.

      Πάμε και ανάποδα αν θες. Ας πούμε ότι είσαι άξιος στόχος λ.χ. Ετοιμάζεις ένα checklist με πράγματα που πρέπει να έχει το σύστημα που θα προφυλάξεις. Χωρίς βλάβη της γενικότητας, ας πούμε ότι έχεις ένα τέτοιο. Τι θα περιέχει η λίστα εργασιών hardening που θα κάνεις; Σε ποιο σημείο θα βάλεις το stealthing, ως προτεραιότητα;

      2.Το closed και το stealthed κάνουν το ίδιο πράγμα,κλείνουν τα πόρτς.
      Εχμ, όχι. To closed είναι closed. Δεν έχεις κάποιο process με listener στην συγκεκριμένη πόρτα δλδ.
      Όμως το closed δείχνει οτι οι πόρτες είναι κλειστές αυτό όμως δεν σημαίνει οτι αύριο-μεθαύριο δεν θα είναι ανοιχτές Επίσης το να δείξεις οτι υπάρχεις,αφήνει πολλά περιθώρια έρευνας απο τον hacker,αφού είμαστε συνδεδεμένοι 24 ώρες,και oλο και κάποιο ftp ή κάτι παρόμοιο θα τρέχουμε.
      Μιλάς για υπολογιστή που είναι πίσω από NAT ή για υπολογιστή που παίρνει την ip; Επίσης στο ftp που αναφέρεις, μιλάς για δικό σου server ή για client;

      3.Το stealthed μειώνει την ταχύτητα εξάπλωσης worms-ιών καθώς ο υπολογιστής που κάνει επίθεση δεν παίρνει απάντηση οτι τα ports είναι κλειστά και έτσι καθυστερεί και δεν προχωράει στον επόμενο υπολογιστή.
      Και πώς το κάνει αυτό; Μπορείς να δώσεις ένα παράδειγμα συγκεκριμένης εφαρμογής, με την οποία θα είχες πρόβλημα αν δεν είχες stealth;

      4.Υπάρχουν αρκετές ευπάθειες ICMP,όπως ICMP Flood και ICMP Redirect.
      Δεν είναι ευπάθειες, για να είμαστε λίγο ακριβολόγοι. Το redirect είναι feature πρακτικά, το οποίο έχει την καλή του χρήση. Η κακή του καλύπτεται στο FAQ, ο έλεγχός της όμως είναι θέμα που θα απασχολήσει ένα εταιρικό δίκτυο κυρίως.

      To ΙCMP flood, όπως είπα, δεν είναι ευπάθεια. Είναι ένα DoS/DDoS, το οποίο, πάλι σε οποιοδήποτε τοπικό δίκτυο που πρέπει να έχει υψηλό uptime, κοντρολάρεται από τον router πριν από το δίκτυο σου. Γιατί αν δεν κοντρολάρεται (πρόσεξε, δε μιλάω για dropping/stealthing, αλλά για rate limiting) θα σου ρουφήξει το BW στην κατεύθυνση προς εσένα. Ναι, ξέρω, ότι αν δεν είσαι stealth θα σου ρουφήξει και προς την άλλη με τις απαντήσεις. ΑΝ αξίζεις τόσο, ώστε ως οικιακός χρήστης κάποιος να μπει στον κόπο να σου ρίξει DoS, με τις αλλαγές ip που κάνεις.

      5. Το port 113 το ανοίγεις μόνο σε συγκεκριμένα IP που θές. Για παράδειγμα εγώ που χρησιμοποιώ τον chaos.irc.gr έχω ανοίξει το 113 στο 80.76.62.42 και σε κάποιους άλλους IRC server και συνδέομαι ταχύτατα.
      Συμφωνούμε απόλυτα εδώ Το "παράδειγμα" ήταν βασικά αντιπαράδειγμα. Αν και πρόσεξε ότι δε μιλάω για άνοιγμα, αλλά για απάντηση TCP RST, αντί για καμμία απάντηση.

      6.Σενάριο:Anti p2p οργανισμός βλέπει το ip μου και κάνει tracert. To peer guardian τους έχει μπλοκάρει αλλα δυστηχώς μπλοκάρει μόνο TCP πακέτα.
      Με το stealthed δεν υπάρχω γιαυτούς,το pc μου είναι κλειστό, και προχωράνε σε κάνα πιο εύκολο θύμα.
      Με το closed απαντάω στο probe και μου έρχετε το mail με τα παράπονα απο τον ISP.
      Όπα: ο οργανισμός που αναφέρεις, έχει και αυτός ένα "ειδικό" emule, οk; To δικό σου emule έχει ανοικτά TCP και UDP ports και στο firewall, εκ των πραγμάτων, είσαι ανοικτός και στα 2.

      Τώρα ο X οργανισμός, με χρήση του δικού του emule search βλέπει ότι έχεις το Χ αρχείο. Πάει να συνδεθεί λοιπόν. Με ΤCP μπλοκάρεται λες, αλλά όχι με UDP, σωστά; Πως θα μπορέσεις να ελέγξεις τo ποιος "βλέπει" το UDP και ποιος όχι;

      7.Υπάρχει η δυνατότητα να είσαι closed σε trusted network και stealthed στο internet.
      Όντως.

      spyross, το βασικό είναι ότι υπάρχουν σοβαρότερα πράγματα από το stealth ΙΜΗΟ. Πραγματικά έχει καταντήσει το πράγμα να ρωτάς "έχεις ασφαλές δίκτυο;" και να σου απαντάνε "έχω firewall ρε!" To firewall είναι μέσο, εργαλείο για την υλοποίηση μίας πολιτικής ασφαλείας, η οποία περιλαμβάνει ορθά μοντέλλα σχεδιασμού δικτύου και hardening των συστημάτων που περιέχονται.

      Κάνε τις εξής ερωτήσεις σε κάποιον που έχει firewall και μάζευε αποτελέσματα:
      - Έχεις ενημερωμένο αντι-ιικό;
      - Έχεις ενημερωμένο λειτουργικό;
      - Διαγράφεις κατευθείαν μηνύματα e-mail αγνώστου πατρός;
      - Ξέρεις να ρυθμίσεις το firewall;
      - Έχεις backup;
      - Έχεις κρυπτογραφημένα κάποια άκρως εμπιστευτικά αρχεία;
      - Έχεις αναλυτικό logging όσων γίνονται στο σύστημα/firewall/router;
      - Είσαι ασφαλής;

      Απλά μην κάνεις τις ερωτήσεις αυτές στο comp.security.firewalls
    1. Το avatar του μέλους r3b
      r3b - 06-08-04, 10:08
      [censored]
    1. Το avatar του μέλους cosmos
      cosmos - 06-08-04, 10:16
      r3b, τα παράπονα για τη διάδοση του όρου, στον κυρ Gibson και στα σαΐνια που έβγαλαν το Zone Alarm pls! Mανία που έχουν με τους πιασαδιάρικους τίτλους...

      Σε περισσότερο σοβαρό τόνο τώρα, μεγαλύτερο πρόβλημα για μένα είναι η καταχρηστική χρήση του "stealth" ως λειτουργίας, παρά ως όρου
    1. Το avatar του μέλους r3b
      r3b - 06-08-04, 10:26
      [censored]
    Σελ. 1 από 3 123 ΤελευταίαΤελευταία