26. november 2008 - 22:31Der er
20 kommentarer og 1 løsning
Sikkerhed i Smoothwall Express 3.0
Hej jeg har en smoothwall express 3.0 fuldt med opdateret IDS og ellers ingen firewall på min win XP professional SP3 maskine som er fuldt opdateret. Min ISP er stofa og jeg logger af og på for at komme på internettet. Jeg har konstateret at jeg mangler to dokumenter som max er 14 dage gamle og jeg er ret sikker på at jeg ikke har slettet dem. Jeg bor alene og ingen andre har haft adgang til min pc. I går så mit modem underligt ud med lamperne foran og min internet forbindelse var røget en tur. Ved nærmere efterforskning skyldes den manglende forbindelse at Clam-AV, IDS, pop3-proxy og DHCP serverne i min smoothwall var nede. Det har jeg aldrig været ude for før så lige pludselig er jeg fuld af paranoia. Desuden er jeg ret sikker på at jeg var logget af stofanet mens dette stod på.
Mit spørgsmål er så: Kan det overhovet lade sig gøre at nogen skaffer sig adgang til en der er logget af stofanet og sidder bag en smoothwall?
PS: Jeg har dobbeltchecket at jeg ingen virus, trojanere eller rootkits har installeret - ej heller spyware. Min smoothwall består af en nyere cpu et nyere bundkort og 512mb ram og to realtek netkort.
Det enkle svar er ja. En firewall er aldrig bedre end sin opsætning, og har du konfigureret den lidt løst eller direkte lavet fejl i dit reglsæt (og det kommer man let til ved et øjebliks uopmærksomhed.
Du siger at der intet rootkit er på din maskine, Hvordan ved du det? Hvis det er et ordentligt rootkit kan det ikke opdages og eneste mulighed er at reinstallerer fra sikre medier og fuld patching igen.
Nu til dit system. Jeg vil tvivle på at du er hacket og at en hacker har slettet to ligegyldige filer fra din PC. Hvis ikke du er en ganske særlig person, der er ganske særlig attracktiv for hackere og cyberkriminelle at gå efter og hvis dine forsundne dokumenter ikke er ganske særlige, meget fortrolige og værdifulde dokumenter som f.eks. kan sælges til kineserne eller russerne så er jeg ret sikker på at du selv har slettet dem eller at de er forsvundet ved en fejl.
Hvis du gerne vil være meget sikker så bør du gøre følgende:
- Kontroller din Smoothwall kritisk, både for patches og især reglsættet. Portscan gerne fra ydersiden og sårbarhedsscan hvis der er synlige porte - opdater ALT på din maskine - tag en personlig firewall i brug - Søg i google på "hosts file malware protection" og tag en sådan hosts fil i brug - Snif noget trafik når du ikke selv er på maskinen for at se om noget sender ud fra den
Sluk for maskinen og gå en tur i det gode vejr og nyd livet
Jeg har dobbeltchecket at jeg ikke har lavet fejl i opsætningen på min smoothwall og ej heller aktiveret remote access. Med hensyn til at checke for rootkit så har jeg kun brugt et par engangsscannere bl.a rootkitbuster fra Trend micro. Hvordan kan jeg ellers checke for rootkits? Jeg er også ret sikker på at jeg er ligegyldig og uinteressant set fra en hackers vinkel men sammenfaldne omstændigheder gjorde at jeg lige måtte sikre mig at det er noget jeg bilder mig ind. Med hensyn til server-crash på min smootwall så er den ramblok jeg har i maskinen vist ikke ret god og det er så den hovedmistænkte årsag. Mener du seriøst at man kan hackes selv når man er logget af stofanet???
Med hensyn til "hosts file malware protection" så bruger jeg firefox3 som har det indbygget. Mener du at det er nødvendigt at foretage yderligere på den front?
Du kan hackes hvis der på en eller anden måde er forbindelse til din maskine. Hvis du har trådløst netkort kan det bruges selvom du ikke har trådløst net eller f.eks. bluetooth
Mht hosts file så bruger jeg selv firefox og en redigeret hosts file. Det er min erfaring at det også fjerner en masse reklame der ellers tager tid
Jeg har ikke noget trådløst net. Ej heller bluetooth. Jeg har dog hentet en monster stor host fil som jeg har erstattet med den oprindelige. Men du mener altså at selvom jeg er logget af og ikke kan komme på stofa's net så kan udefra kommende godt komme den anden vej, eller hvad?
Vi taler her rent teoretisk og det er, efter min bedste overbevisning, ikke relevant for dig, men det er bestemt muligt at tilgå et trådløst netkort, bluetooth og IR porten på en pc hvis man er tæt nok på og disse protokoller er konfigureret så det er muligt.
Det er ikke noget man ser ret tit, jeg har dog set det demonstreret på en bluetooth smart phone, hvor et program blev installeret på telefonen der gav hackeren mulighed for at lytte med på samtaler samt se hvor personen befandt sig via den indbyggede GPS. Der har også lige været en sag fra Sverige hvor en exmand overvåge sin exkone via hendes mobiltelefon. Samme principper er mulige for almindelige computere
Ja men som sagt har jeg kun et fysisk ikke trådløst net kørende - det andet er slået fra i bios. Jeg har dog også firewire slået til men bruger det ikke.
Jeg oprettede en tråd med lidt det samme spørgsmål på smoothwall's forum. Jeg føler lidt at jeg er en dum en der ikke skal stille tvivl om sikkerheden i deres "beloved" smoothie og at samtlige der kommer forbi ikke forspilder chancen for at svine mig til. Der er sagar en der mente at jeg spildte deres tid...
Men det var ikke helt spild at tage forbi der da jeg faldt over et mod som hedder "url-filter" Det har jeg nu installeret samtidig med at jeg har sat sikkerheden på det grønne netkort til "Blocked with exceptions" og lavet undtagelser for de 6 porte som jeg nu har brug for. Desuden har jeg i advanced settings sat flueben i følgende: Block ICMP ping, Enable SYN cookies, Block and ignore IGMP packets og Block and ignore multicast traffic og jeg har valgt at droppe pakkerne...
Det lyder som udgangspunkt ganske fornuftigt. Jeg holder selv mest af at konfigurere mine firewall regler manuelt, uden grafiske bruger flader så jeg selv har 100% kontrol med og styr på hvordan reglerne fungerer. Smoothwall bygger jo oven på netfilter der kan konfigureres meget præcist hvis du ved hvordan
Hvordan gør du så det overordnet? Har du lavet en dedikeret linux maskine der kører firewall scripts eller har du lavet scripts oven på en linux eller noget helt tredie?
Jeg har minimumsinstalleret en debian på en maskine med 5 netkort, en hurtig disk, dual core processor og 4G ram.
På den har jeg skrevet et shell script der konfigurerer firewallen som jeg selv vil have den. på denne link kan du læse en opgave som jeg har skrevet der bl.a handler om hvordan du konfigurere en netfilter firewall i hånden. Hvis du vil have ordentligt udbytte at opgaven bør du læse det meste, kapitlerne hænger sammen. der er også et kapitel om hvordan man tester firewalls
Tak for kaffe hvor stort et netværk er din debian til da?
Jeg har lige smålæst lidt i 20 min. af opgaven selvom der nok er en del jeg umidelbart ikke lige fatter så lagde jeg mærke til at du havde valgt BitGuard som software firewall og process-styrer på pc'erne. Jeg brugte selv BitGuard i ca. 2½ år indtil de ikke fandt det rentabelt at yde support på den mere. Mit daværende nye grafikkort et Ati X800 XT PE's driver og styre-software kunne ikke rigtig forenes med BitGuard så en af dem måtte ryge og det blev ikke grafikkortet til 3500 kr. Kort efter holdt de helt op med at sælge dem til private i hvert fald (i hvert fald den version jeg havde). Jeg forstår simpelt hen ikke at der ikke er nogen der har kopieret den ide med en procesorienteret firewall på driverniveau... BitGuard ville da have opdaget et eventuelt rootkit, ikke? Jeg mener hvis den holdt øje med kernen i windows og meldt ud hvis den blev ændret...
Hele BitGuard konceptet var rigtig smart, og havde gjort det rigtig svært at opnå adgang der kunne give mulighed for at installerer et rootkit. Forhindre der kunne BitGuard dog ikke og der er der ikke rigtig noget der kan.
Min Debian box sidder foran godt 17.000 brugere, men setuppet er sådan at den ikke tager det alle brugere hele tiden og ikke tager det hele. Det er en relativt kompliceret infrastruktur med mange enheder der håndterer hver deres lille del
nu har jeg fulgt med i jeres samtale herinde, og så din opgave hos giac, og er ret nysgerrig omkring hvor man kan tage sådan et kursus og hvad prisen ville være??
Kig på www.sans.org her udbydes disse kurser rund om i verden (yderst sjældent i DK). Kurser kan tages enten som tilstedeværelse på en konference eller som selfstudi/onDemand.
Prisen på kurserne ligger Typisk omkring 3.600 € hvortil du skal ligge udgifter til hotel, mad og rejse. Selfstudy for samme kursus koster 3.200 € for kurset med tillæg på 500 € for certificerings forsøg og 400 € for OnDemand Adgang.
Nogle kurser er sådan at det er en fordel at være på konference, andre kurser tages bedst som Selvstudy. Du bør altid gå efter certificering da det giver størst indlæringsdybde
Du skal også være opmærksom på at der kan vindes noget ved at tage dem i rigtig rækkefølge og den følger ikke kursernes numre
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
