18. september 2003 - 15:04Der er
21 kommentarer og 2 løsninger
Sygate med Bulletproof ftp
Jeg er på mystisk vis blevet "paranoid" hvad sikkerhed angår her på det sidste - derfor har jeg anskaffet mig Sygate Personal Firewall. Ydermere kører jeg med Norton Antivirus 2002 + peerguardian 1.99. Når jeg kører Sygates fw test, siger den at min "eneste" usikkerhed der er ved i mit system er port 21 (ftpen), hvor deres test formåede at sender en del trojans igennem -er der en måde hvorpå jeg kan forbedre den sikkerhed?
Det skal lige siges at ftp'en IKKE er offentlig tilgængelig, og det kræver derfor username og password for at komme ind på den.
Det betyr vel bare at du har en ftp server kjørende som er offentlig tilgjengelig via brukernavn og passord, og det er vel formodentlig også slik som du ønsker at det skal være. Det er helt vanlig at diverse testscanninger utenfra melder de server funsjoner som den finner som "trojan" av den enkle grunn at mange trojanere setter opp server funksjoner. I dette tilfeller så vet du vel at det ikke dreir seg om en trojan men der i mot din egen ftp server ?? Mener at det i utgangspunktet ikke finnes noen grunn til bekymring.
Hmm .. men dette er jo et klientprogram ... http://www.bpftp.com/index.php Egentlig litt pussig at du ser dette på en utvendig portscan...
Nå husker jeg .. Har bare testet Sygate professional, men den virker slik at den som default åpner både for server og klientfunksjon. Hvis personal utgaven har denne muligheten så gå inn i konfigureringsoppsettet og spesifiser at ftp bare skal kjøre som klient og ikke som server. Da vil du sansynligvis kunne scanne uten å få det aktuelle varslet.
(Skrev det første svaret ut i fra en "tro" om at bulletproof var en ftp server.)
Skulle måske lige tilføje at der ér tale om en ftp server, og at den førnævnte portscan blev stoppet af peerguardian - yderemere er useraccounts samt password krypteret. Men det bekymrer mig stadigvæk at sygates test fortæller mig at den formåede at smidde et par trojans ind via den port. Jeg antager selvf at de trojans er noget Norton Antivirus 2002 vil fange og smide i karantæne... Men er der ellers noget jeg kan gøre for at beskytte min server yderligere?
Hvorfor ændre du ikke bare porten for din ftp-server? Min kører på >600 og du kan jo lægge den på et firecifres portnummer, de fleste portscannere stopper på 999
ftp kjører jo ikke en port men en kombinasjon av flere porter. Noen av dem pleier vel normalt å være konfigurerbare noen ikke. http://slacksite.com/other/ftp.html Hvis man kjører serverfunksjoner for eksempel ftp server, så pleier en scan utenfra normalt å detektere det som en "trojan". Det er vel sånn sett ingen ting å bry seg om.
Ved protokoller som ftp så benytter man/firewalls et prinsipp som heter connection tracking. Det vil si at det bare tilsynelatende er en enkelt port som er åpen (hvis man scanner utenfra.) Når forbindelsen så kommer i gang så vil firewall åpne dynamisk for de porter som behøves for den videre trafikk.
All tcp trafikk ut fra en workstation vil jo kjøre ut i fra dette prinsippet ved at personal firewall hele tiden åpner dynamisk for returtrafikken i forhold til requester som kommer internt fra workstation selv. For ftp så vil jo bare dette trafikkmønstret være litt mere komplekst/sammensatt/komplisert enten det dreier seg om en server eller en klient.
De aller fleste ftp servere har jo et par faste porter i forbindelse med denne trafikken. Dette er vel port 20/21 hvorav en brukes til å initiere / starte opp trafikken.
Er det slik at Bulletproof ftp server har muligheten til å sette den inngående porten som initierer trafikken til noe annet enn 20/21 ??? (I så fall meget interessant !)
Bulletproof bruger port 20 / 21 jo, men hvis jeg nu vælget at benytte en anden port, er der så ikke "fare" for at jeg kommer til at bruge en port som (måske, who knows) en anden application bruger? Er der så nogle porte som IKKE bruge til noget specielt?
De aller fleste ftp servere vi vel i praksis ikke ha muligheten til å velge noe annet enn port 20/21 ??
Når det gjelder kolisjon med annen portbruk så finnes jo denne mulighten i forhold til andre serverfunksjoner (som man kjører på egen server.) Det vil jo derfor normalt uansett ikke bli noen kolisjon mellom bruk av porter.
DMZ står for noe slikt som "demilitarisert sone". Det er et uttrykk som brukes i firewallsammenheng om den nettvekssonen der serverene kjører. Utrrykket refererer til at zonen har en delvis beskyttelse, man tillater trafikk inn til og fra serverne i motsetning til LAN sonen der man i prinsipp har stengt for all trafikk inn.
Noen hardwareforewalls har 3 porter, Inngang, DMZ og LAN
Man kan sette opp Linux med DMZ utgang hvis man ønsker det.
Ok, men jeg har jo Sygates Personal Firewall - det er vel en DMZ eller? Men hvordan skal jeg så sætte det op? Jeg synes jeg har set på de fleste opsætning, men sygates test formår alligevel at sende et par (faktisk en del) trojans igennem...
Sygate har ikke direkte nogen DMZ. DMZ er noget mand kan lave ved at forsyne manskinen med 3 net kort og en opsætning der tillader foreksempel FTP trafik til DMZ "området" (det ene netkort som indeholder de servere man ikke vil tillade på det indre sikrede område). Her kunne være tale om ftp, news eller en mail server.
Det man sikrer på denne måde er at trafik af mail ikke går direkte ind bag firewall'en men via DMZ, som er tiltænkt trafik man ikke helt "stoler" på. De fleste eksempler jeg har set på en sådan konfiguration er dog lavet på Linux maskiner, hvor maskinen eneste opgave er at være firewall.
Dette kan være svært hvis man kun har en maskine som de fleste private har. (man skal nok være lidt nørdet hvis amn har flere maskiner).
Sygate kan godt sættes op med DMZ men det kræver 3 netkort i PC'en og er kun relevant ved mulighed for flere maskiner.
Jeg egentlig ikke den får plantet nogle trojanske heste, men den konstaterer bare at du har porte, som svarer på trafik! Disse porte er jo de porte som du er nødt til at åbne for FTP.
Bemærk at jeg gætter lidt da jeg ikke har set din scan og hvilke porte som skulle være såbare!!!!!!
Din firewall skulle også blive rød på grund af Sygate's online scan, da denne af firewall'en bliver bertragtet som en portscan. Jeg kan fortælle at min "gløder" når jeg selv tester den også med andre scanninger fra nettet.!
Den sidste kommentar var for at berolige lidt, men som, dig er jeg nok lidt paranoid ;)
Jeg ville også fortrække jeg var helt sikker hvilket er umuligt med en FTP server eller en anden server type. Der findes jo hele tiden sikkerheds huller i de forskellige servere (også Linux).
hehe - det er såmænd også Sygates online scan jeg bruger, og den eneste "svaghed" det er, er port 21 (gæt en gang hvad der kører der) ;) Hvilke andre online scanners har du så brugt?
DMZ skal jeg så ikke have lige pt (insufficient fundings) - takker for hjælpen, og her er så lidt til jer alle ;)
Jeg har også prøvet et par andre, problemet er desværre at de i forbindelse med deres scanning bliver blokkeret så jeg ikke for resultatet. (sygate blokkerer aktivt i 600 sekunder når den detekterer portscan) Ovenstående fungerer men er længe om at scanne!
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
