Author |
Message |
|
Post subject: Säkerhetsfrågor
Posted: Sep 27, 2003 - 13:38
|
|
Member
Joined: Aug 16, 2003
Posts: 117
Location: Malmö
|
|
Välkomna att diskutera säkerhetsrelaterade frågor med mig eller varandra i detta forum. Allting från installation av paketfilter till avancerade routerfrågor är välkomna. |
|
|
|
|
|
|
Post subject: MiamiDX
Posted: Sep 27, 2003 - 14:22
|
|
Order of the Pegasos
Joined: Aug 16, 2003
Posts: 2538
Location: Göteborg
|
|
Hur ser du på detta med Amiga-program och säkerhet, t.ex MiamiDX eller AmiTCP ? Har du några synpunkter kring detta ? |
_________________ Mvh Gunne
|
|
|
|
|
|
Post subject:
Posted: Sep 27, 2003 - 16:01
|
|
Order of the Butterfly
Joined: Sep 08, 2003
Posts: 1370
Location: EU
|
|
AmiTCP4.3 har ju inte direkt någon säkerhet från början iaf...
Nu vet jag inte hur det är med AmiTCP för MorphOS, ifall det är mer eller mindre bara en direkt convertering av senare versioner eller ifall man har lagt till eget material, hade ju vart kul med en firewall av nått slag. |
|
|
|
|
|
|
Post subject:
Posted: Sep 27, 2003 - 18:17
|
|
Member
Joined: Aug 16, 2003
Posts: 117
Location: Malmö
|
|
MiamiDX och AmiTCP är huvudsakligen IP stackar och det utgör grunden för modern datakommunikation. Dessa skall (helst) inte blandas ihop med de problem man ser på Windows och andra OS där det ständigt dyker upp problem i form av intrång, attacker, DDOS och SYN packets.
En IP stack är således endast ett sätt för vår dator att kommunicera med omvärlden. Ett protokoll mao.
MiamiDX, i registrerad version, har en snarlik kopia av Linux gamla IPFWADM vilken är en ren paketfiltrerare och kan sättas upp som en mycket enkel brandvägg.
På min site http://www.firewall1.nu hittar ni information kring hur just paketfiltrerare för Linux sätts upp. Kolla under rubriken "Other Solutions".
Dock skall man vara medveten om att en paketfiltrerare bara släpper in, respektive stoppar portar beroende på hur vi har konfigurerat regelverket. Det stoppar alltså inte hackers som exempelvis använder port TCP 80 (http).
En paketfiltrerare släpper igenom de portar vi har definierat och har vi då definierat att port TCP 80 skall släppas igenom till vår webserver så gör den det oavsett vilken payload som finns i paketet.
Vill man gå ett steg längre måste man använda sig av paketinspektion, sk. Stateful Packet Inspection, vilket finns i de mer avancerade brandväggsdistarna. Vill man komma undan hyfsat billigt här kan man installera en sk. Bastion Host med hjälp av Astaro, vilken jag också nämner som ett alternativ på min site.
Astaro finner ni på http://www.astaro.com och är en helt fristående brandvägg baserad på Linux som hanterar SPI.
Tänk också på en viktig sak. Nämligen att i största möjliga mån undvika sk. Personal Firewalls, ex. Symantec eller Black Ice. Dessa sk. brandväggar är helt värdelösa, speciellt om man installerar dem hos en icke-datorkunnig person. |
|
|
|
|
|
|
Post subject: Paketinspektion
Posted: Sep 27, 2003 - 20:00
|
|
Order of the Pegasos
Joined: Aug 16, 2003
Posts: 2538
Location: Göteborg
|
|
Det är väl ungefär som jag uppfattat det fungerar också, så kanske inte har missuppfattat så mycket ändå.
Det här med paketinspektion har jag dock aldrig försökt mig på. Kanske något att kika på.
De flesta portar här skall vara stängda. Kör dock en ftp-server som är rätt käck ha ibland. Endast users med lösen accepteras, i annatfall skall access 'bli refused', och det verkar fungera. Kör den på en A3000 maskin med AmiFTPd. Det fungerar rätt bra, enda nackdelen jag hittat med programmet är att jag inte lyckats få det till att skapa kataloger, även om man tillåter det för usern. Programmet verkar också 'stoppa' otillåtna kommandon.
En länk här också Sygate låter kolla vilka portar man har öppna resp stängda.
Lägger in din site i länklistan sedan, och lite annat också. |
_________________ Mvh Gunne
|
|
|
|
|
|
Post subject:
Posted: Sep 27, 2003 - 21:24
|
|
Member
Joined: Aug 27, 2003
Posts: 97
Location: Stockholm
|
|
Scriptkiddies och skitungar kan ju alltid göra skada. Men har man en vanlig hårdvarurouter eller en fresco så klarar man sig ganska hyfsat.
Jag har en d-link router som stänger till ganska bra. Sen kan man ju skaffa en Sonicwall för 70000:- om man vill.
En portscanner som jag haft nytta av finns på Aminet. Ganska ny tror jag.
En portscanner som jag haft nytta av hittas på aminet, funkar dessutom bra i Morphos . ftp://de.aminet.net/pub/aminet/comm/net/GoPortscan.lha |
_________________ --------
Mvh /Benke
Pegasos G3@600
Radeon 64Mb
128Mb SDR
Samsung 16X DVD
|
|
|
|
|
|
Post subject:
Posted: Sep 27, 2003 - 22:12
|
|
Member
Joined: Aug 16, 2003
Posts: 117
Location: Malmö
|
|
Quote: | Jag har en d-link router som stänger till ganska bra. Sen kan man ju skaffa en Sonicwall för 70000:- om man vill. |
Stänger till ja, men den inspekterar fortfarande inte paket vilket gör att du utsätter dig för malicious code i legitima paket när som helst.
En Sonicwall för 70.000:- Jovisst...men du kan köra den produkt jag jobbar med, Checkpoint Firewall-1/VPN-1 Enterprise Unlimited, som med hårdvara (SUN 220R Enterprise) för 1.200.000:-. Det spelar faktiskt ingen roll vad du köper så länge det finns grundläggande funktionalitet.
Billigt eller dyrt...spelar ingen roll. En brandvägg blir ALDRIG säkrare än den personen som konfigurerar och underhåller den.... |
|
|
|
|
|
|
Post subject:
Posted: Sep 27, 2003 - 22:15
|
|
Member
Joined: Aug 16, 2003
Posts: 117
Location: Malmö
|
|
Jag kan rekomendera en fullvuxen och mycket kompetent penetrationsprogramvara som bygger på NMAP, men är tungt förstärkt med de allra senaste knepen och exploitarna.
Det är en Client Server programvara för att kontrollera styrkan hos all form av aktiv kommutrustning. Jag brukar själv köra den mot kunder på schemalagd basis för att kontrollera deras brandväggar och skalskydd.
http://www.nessus.org |
|
|
|
|
|
|
Post subject:
Posted: Sep 28, 2003 - 01:54
|
|
Member
Joined: Aug 27, 2003
Posts: 97
Location: Stockholm
|
|
Man köper det man tror sig behöva. Men sen visar det sig att företag över hela världen förlorar data och tid för miljarder trots att de sitter med skitdyra grejer. Det jag har fyller mina behov. Jag har ett nätverk med 5 datorer och jag har klarat mig bra vare sig det gäller intrång eller maskar o trojaner. Om det är tur eller vad vet jag inte men jag har kompisar som fått sina hårddiskar raderade just för att de kopplat upp sig direkt mot ISP'n utan något imellan. |
_________________ --------
Mvh /Benke
Pegasos G3@600
Radeon 64Mb
128Mb SDR
Samsung 16X DVD
|
|
|
|
|
|
Post subject:
Posted: Sep 28, 2003 - 15:26
|
|
Member
Joined: Aug 16, 2003
Posts: 117
Location: Malmö
|
|
Precis vad jag hävdar....störst och dyrast är inte alltid bäst. Det måste finnas den funktionalitet man söker och man måste veta vad man gör. |
|
|
|
|
|
|
Post subject:
Posted: Aug 05, 2005 - 03:23
|
|
Newbie
Joined: Oct 12, 2004
Posts: 19
Location: Sweden
|
|
Det viktigaste för en systemadministratör, vare sig han har hand om en park superdatorer åt hemliga försvarsprojekt eller bara en vanlig hemma PC, är att hålla sig uppdaterad om sin egen programvara, eller varför inte skriva ett förbannat batchjobb som snuskar hem de senaste bristerna i systemen som finns i hans arbete.
Hur länge kan det ta? 5 minuter att söka bugtrack på sina services versioner plus OS så slipper han en massa "ojdå, det visste jag inte. Vad skickliga de har blivigt - he he, tur att vi har systemkopia (infekterad sedan förra halvåret med trojan)". Har ni exempelvis själva här på sidan undersökt om det finns några brister i denna versionen av forumsystemet? När sist? Spara er själva många timmars paranoia till nästa tjackrace och kolla upp vad ni kör för services utåt och se att de är säkra.
Påtal om brandväggar, vill ni ha prestanda och ändå säkerhet så det står härligare till: Klustra och led erat bredband till en liten dedikerad switch där klusternoderna med redundanta nätverkskort externt hanterar tafiken, och delar på samma address genom alla kort. Programmera in samma brandväggstabell på alla noder och se till att allt rymms i minnet. Hämta gärna brandväggstabellerna inifrån en säker maskin i erat intranät så att klustret kan starta alla diskar read-only förutom på swappartitionen som förhoppningsvis slipper användas. Sedan förbjuds all trafik till den interna hosten i tabellerna så tidigt som möjligt efter att de har laddats.
Med klusterbrandvägg kan spam och ads effektivt förhindras utan att fördröja trafiken. Prestandan vid hög last skjuter i taket och uppetiden ökar väsentligt. Oskrivbar och utan egna binärer som kan exekveras under körning (med undantag), blir systemet i praktiken ohackbart. Är detta att ta i med? Nej. Det räcker gott med gamla dammiga PC-datorer och ett par ihopskramlade NIC:s för själva systemet. Hårdiskar kan systemen t.om vara utan. 3 PII233 (2xcluster, 1x boot-nood) med 128Mbyte vardera, 10mbit-kort externt, och 100 internt, Sen kommer ni kunna parallelporrsurfa som aldrig förr och verkligen utnyttja bandbredden! Och vet ni vad det bästa är? Det är förbannat kul att bygga.
http://bibernet.ath.cx - Mitt egna supersmidiga HTTP/SQL-kluster. Delar upp arbetet ned till den nivån att en fil som skall sändas skickas hälften var från vardera nod
|
|
|
|
|
|
|
Post subject:
Posted: Aug 05, 2005 - 05:38
|
|
Order of the Pegasos
Joined: Jan 22, 2004
Posts: 2517
Location: Göteborg
|
|
|
|
|
|
Post subject:
Posted: Aug 05, 2005 - 06:02
|
|
Newbie
Joined: Oct 12, 2004
Posts: 19
Location: Sweden
|
|
Menar du den gula smileyn under mitt nick eller min obotliga miljöskada jag fått från mitt liv i ett rack? *klustra klustra klustra!*
Igår klustrade jag faktiskt träbitar till att bli en skohylla. Använde zinkpläterade dyckert som interface mellan arbetsnoderna.
Klustra hela natten, klustra hela dán. Klustra hela natten, vektorisera halva stan - jag ska klustra hela natten lång, tills alla maskiner är igång - AoAoaoaoao. |
|
|
|
|
|
|
Post subject:
Posted: Aug 05, 2005 - 10:33
|
|
Order of the Pegasos
Joined: Jan 22, 2004
Posts: 2517
Location: Göteborg
|
|
|
|
|
|
Post subject:
Posted: Aug 05, 2005 - 11:48
|
|
Newbie
Joined: Oct 12, 2004
Posts: 19
Location: Sweden
|
|
http://www.digitalvax.com/~murdoc/hack/ Den ja
en det orkar jag faktiskt inte med längre nu, är för gammal och grå för sådant däringa.
Jag har gjort mitt för th3 d4rks1de, men mitt ogenerat påflugna sätt lär jag aldrig slippa.
Mammas fel säger vi. ;P Fast vi "nördar" brukar väl vara lite udda?
Det värsta med nördforum är att alla ska veta bäst, och i stället för att läsa det som står och hitta intressanta saker i det alla skriver, så ska de som är "bäst" jaga varandra efter fel istället och tävla om att svara bäst på newbee frågor. Typiskt nörd-omoget. Viktigare att vara bäst för andras åskådan än att vara bäst för sina egna behov.
I realiteten innebär det att är man bäst får man svara på alla dumma frågor, alltid hjälpa folk till höger och vänster, och måste kunna allt - för missas en fråga så är man istället för bäst, urkass-showoff. Och svennejantelagen, "man ska inte tro man är något." märks tydligt på forum. Även om alla inte är superbra på detta forum känner säkert så gott som ALLA igen sig, för i någras ögon är de säkert "datorexperter" som på någotvis blivigt 24/7 support ;D .men ändå finns alltid någon runt samma nissar som hellre vill vara expert och bagateliserar den andras kunskaper. "Äh, kan väl alla". Och alla självutnämnda superexperter, suck.
I amigavärlden brukar det av erfarenhet, kanske p.g av den högre åldern, finnas betydligt fler mogna personer med lång erfarenhet i datorer av flera sorter och har tappat det där tupperiet - vara häftig och värst. Kanske för de aldrig hade moped? Vad jag vill säga är, lägga energi på att hävda sig. ONline eller IRL, gör ingen bättre. Känslorna gör oss bara irrationella och korkade. Vi kan det vi kan, det räcker. Låtsas vi vara mer än vi är så vågar vi tillslut inte fråga om råd och hjälp rädda att se kassa ut. Jag minns BBS-tiden när "forum" verkligen handlade om att dela fakta och inte tjafsa. Det var viktigare att få riktiga svar för sina egna projekt än att vara duktigast. Men se nu, vad fan är det här för inlägg jag skriver t.ex? Människors osäkerhet? O/T rejält. Anledningen till mitt lååånga inlägg om väldigt lite är andra irritationsmoment *host lunarforum* med en massa småtuppar som bara ska vara bäst. Nä, usch för sånt. Här är ett mycket seriösare forum med mig som undantaget som bekräftar regeln bland medlemmarna. ;D
Bara så jag nämner NÅGOT om säkerhet: Det största hotet sitter innanför brandväggen. Fråga er vad som är viktigast. Paranoida klusterfirewalls som imponerar självaste pentagon mot hacker som antagligen inte ens har sett ditt IP, eller att ha kvar all data: Minnen, texter, foton, musik. Innan brandväggar och allt, se till att ni har något att skydda. Löpande backups, raid1, CD, band. Fixa NU ni som inte har, det är inte kul annars när krashen slutligen kommer - för det gör den oundvikligen. |
|
|
|
|
|
|