www.pegasos.org

Säkerhet - Säkerhetsfrågor

Johan - Sep 27, 2003 - 13:38
Post subject: Säkerhetsfrågor
Välkomna att diskutera säkerhetsrelaterade frågor med mig eller varandra i detta forum. Allting från installation av paketfilter till avancerade routerfrågor är välkomna.
gunne - Sep 27, 2003 - 14:22
Post subject: MiamiDX
Hur ser du på detta med Amiga-program och säkerhet, t.ex MiamiDX eller AmiTCP ? Har du några synpunkter kring detta ?
Trizt - Sep 27, 2003 - 16:01
Post subject:
AmiTCP4.3 har ju inte direkt någon säkerhet från början iaf...
Nu vet jag inte hur det är med AmiTCP för MorphOS, ifall det är mer eller mindre bara en direkt convertering av senare versioner eller ifall man har lagt till eget material, hade ju vart kul med en firewall av nått slag.
Johan - Sep 27, 2003 - 18:17
Post subject:
MiamiDX och AmiTCP är huvudsakligen IP stackar och det utgör grunden för modern datakommunikation. Dessa skall (helst) inte blandas ihop med de problem man ser på Windows och andra OS där det ständigt dyker upp problem i form av intrång, attacker, DDOS och SYN packets.

En IP stack är således endast ett sätt för vår dator att kommunicera med omvärlden. Ett protokoll mao.

MiamiDX, i registrerad version, har en snarlik kopia av Linux gamla IPFWADM vilken är en ren paketfiltrerare och kan sättas upp som en mycket enkel brandvägg.

På min site http://www.firewall1.nu hittar ni information kring hur just paketfiltrerare för Linux sätts upp. Kolla under rubriken "Other Solutions".

Dock skall man vara medveten om att en paketfiltrerare bara släpper in, respektive stoppar portar beroende på hur vi har konfigurerat regelverket. Det stoppar alltså inte hackers som exempelvis använder port TCP 80 (http).

En paketfiltrerare släpper igenom de portar vi har definierat och har vi då definierat att port TCP 80 skall släppas igenom till vår webserver så gör den det oavsett vilken payload som finns i paketet.

Vill man gå ett steg längre måste man använda sig av paketinspektion, sk. Stateful Packet Inspection, vilket finns i de mer avancerade brandväggsdistarna. Vill man komma undan hyfsat billigt här kan man installera en sk. Bastion Host med hjälp av Astaro, vilken jag också nämner som ett alternativ på min site.

Astaro finner ni på http://www.astaro.com och är en helt fristående brandvägg baserad på Linux som hanterar SPI.

Tänk också på en viktig sak. Nämligen att i största möjliga mån undvika sk. Personal Firewalls, ex. Symantec eller Black Ice. Dessa sk. brandväggar är helt värdelösa, speciellt om man installerar dem hos en icke-datorkunnig person.
gunne - Sep 27, 2003 - 20:00
Post subject: Paketinspektion
Det är väl ungefär som jag uppfattat det fungerar också, så kanske inte har missuppfattat så mycket ändå.

Det här med paketinspektion har jag dock aldrig försökt mig på. Kanske något att kika på.

De flesta portar här skall vara stängda. Kör dock en ftp-server som är rätt käck ha ibland. Endast users med lösen accepteras, i annatfall skall access 'bli refused', och det verkar fungera. Kör den på en A3000 maskin med AmiFTPd. Det fungerar rätt bra, enda nackdelen jag hittat med programmet är att jag inte lyckats få det till att skapa kataloger, även om man tillåter det för usern. Programmet verkar också 'stoppa' otillåtna kommandon.

En länk här också Sygate låter kolla vilka portar man har öppna resp stängda.

Lägger in din site i länklistan sedan, och lite annat också.
Benke - Sep 27, 2003 - 21:24
Post subject:
Scriptkiddies och skitungar kan ju alltid göra skada. Men har man en vanlig hårdvarurouter eller en fresco så klarar man sig ganska hyfsat.

Jag har en d-link router som stänger till ganska bra. Sen kan man ju skaffa en Sonicwall för 70000:- om man vill.

En portscanner som jag haft nytta av finns på Aminet. Ganska ny tror jag.

En portscanner som jag haft nytta av hittas på aminet, funkar dessutom bra i Morphos . ftp://de.aminet.net/pub/aminet/comm/net/GoPortscan.lha
Johan - Sep 27, 2003 - 22:12
Post subject:
Quote:
Jag har en d-link router som stänger till ganska bra. Sen kan man ju skaffa en Sonicwall för 70000:- om man vill.


Stänger till ja, men den inspekterar fortfarande inte paket vilket gör att du utsätter dig för malicious code i legitima paket när som helst.

En Sonicwall för 70.000:- Jovisst...men du kan köra den produkt jag jobbar med, Checkpoint Firewall-1/VPN-1 Enterprise Unlimited, som med hårdvara (SUN 220R Enterprise) för 1.200.000:-. Det spelar faktiskt ingen roll vad du köper så länge det finns grundläggande funktionalitet.

Billigt eller dyrt...spelar ingen roll. En brandvägg blir ALDRIG säkrare än den personen som konfigurerar och underhåller den....
Johan - Sep 27, 2003 - 22:15
Post subject:
Jag kan rekomendera en fullvuxen och mycket kompetent penetrationsprogramvara som bygger på NMAP, men är tungt förstärkt med de allra senaste knepen och exploitarna.

Det är en Client Server programvara för att kontrollera styrkan hos all form av aktiv kommutrustning. Jag brukar själv köra den mot kunder på schemalagd basis för att kontrollera deras brandväggar och skalskydd.

http://www.nessus.org
Benke - Sep 28, 2003 - 01:54
Post subject:
Man köper det man tror sig behöva. Men sen visar det sig att företag över hela världen förlorar data och tid för miljarder trots att de sitter med skitdyra grejer. Det jag har fyller mina behov. Jag har ett nätverk med 5 datorer och jag har klarat mig bra vare sig det gäller intrång eller maskar o trojaner. Om det är tur eller vad vet jag inte men jag har kompisar som fått sina hårddiskar raderade just för att de kopplat upp sig direkt mot ISP'n utan något imellan. Smile
Johan - Sep 28, 2003 - 15:26
Post subject:
Precis vad jag hävdar....störst och dyrast är inte alltid bäst. Det måste finnas den funktionalitet man söker och man måste veta vad man gör.
elftor - Aug 05, 2005 - 03:23
Post subject:
Det viktigaste för en systemadministratör, vare sig han har hand om en park superdatorer åt hemliga försvarsprojekt eller bara en vanlig hemma PC, är att hålla sig uppdaterad om sin egen programvara, eller varför inte skriva ett förbannat batchjobb som snuskar hem de senaste bristerna i systemen som finns i hans arbete.
Hur länge kan det ta? 5 minuter att söka bugtrack på sina services versioner plus OS så slipper han en massa "ojdå, det visste jag inte. Vad skickliga de har blivigt - he he, tur att vi har systemkopia (infekterad sedan förra halvåret med trojan)". Har ni exempelvis själva här på sidan undersökt om det finns några brister i denna versionen av forumsystemet? När sist? Spara er själva många timmars paranoia till nästa tjackrace och kolla upp vad ni kör för services utåt och se att de är säkra.

Påtal om brandväggar, vill ni ha prestanda och ändå säkerhet så det står härligare till: Klustra och led erat bredband till en liten dedikerad switch där klusternoderna med redundanta nätverkskort externt hanterar tafiken, och delar på samma address genom alla kort. Programmera in samma brandväggstabell på alla noder och se till att allt rymms i minnet. Hämta gärna brandväggstabellerna inifrån en säker maskin i erat intranät så att klustret kan starta alla diskar read-only förutom på swappartitionen som förhoppningsvis slipper användas. Sedan förbjuds all trafik till den interna hosten i tabellerna så tidigt som möjligt efter att de har laddats.
Med klusterbrandvägg kan spam och ads effektivt förhindras utan att fördröja trafiken. Prestandan vid hög last skjuter i taket och uppetiden ökar väsentligt. Oskrivbar och utan egna binärer som kan exekveras under körning (med undantag), blir systemet i praktiken ohackbart. Är detta att ta i med? Nej. Det räcker gott med gamla dammiga PC-datorer och ett par ihopskramlade NIC:s för själva systemet. Hårdiskar kan systemen t.om vara utan. 3 PII233 (2xcluster, 1x boot-nood) med 128Mbyte vardera, 10mbit-kort externt, och 100 internt, Sen kommer ni kunna parallelporrsurfa som aldrig förr och verkligen utnyttja bandbredden! Och vet ni vad det bästa är? Det är förbannat kul att bygga.

http://bibernet.ath.cx - Mitt egna supersmidiga HTTP/SQL-kluster. Delar upp arbetet ned till den nivån att en fil som skall sändas skickas hälften var från vardera nod Wink
Image
ironfist - Aug 05, 2005 - 05:38
Post subject:
Hehe nice.. Välkommen <b>Elftor</b>! Du är dig lik.
elftor - Aug 05, 2005 - 06:02
Post subject:
Menar du den gula smileyn under mitt nick eller min obotliga miljöskada jag fått från mitt liv i ett rack? *klustra klustra klustra!*
Igår klustrade jag faktiskt träbitar till att bli en skohylla. Använde zinkpläterade dyckert som interface mellan arbetsnoderna.

Klustra hela natten, klustra hela dán. Klustra hela natten, vektorisera halva stan - jag ska klustra hela natten lång, tills alla maskiner är igång - AoAoaoaoao.
ironfist - Aug 05, 2005 - 10:33
Post subject:
<b>Elftor</b>: Snarare din miljöskada..

<b>Ein Zwei Drei - Hacking Macht Frei!</b>

Smile
elftor - Aug 05, 2005 - 11:48
Post subject:
http://www.digitalvax.com/~murdoc/hack/ Den ja Wink
en det orkar jag faktiskt inte med längre nu, är för gammal och grå för sådant däringa.
Jag har gjort mitt för th3 d4rks1de, men mitt ogenerat påflugna sätt lär jag aldrig slippa.
Mammas fel säger vi. ;P Fast vi "nördar" brukar väl vara lite udda?
Det värsta med nördforum är att alla ska veta bäst, och i stället för att läsa det som står och hitta intressanta saker i det alla skriver, så ska de som är "bäst" jaga varandra efter fel istället och tävla om att svara bäst på newbee frågor. Typiskt nörd-omoget. Viktigare att vara bäst för andras åskådan än att vara bäst för sina egna behov.
I realiteten innebär det att är man bäst får man svara på alla dumma frågor, alltid hjälpa folk till höger och vänster, och måste kunna allt - för missas en fråga så är man istället för bäst, urkass-showoff. Och svennejantelagen, "man ska inte tro man är något." märks tydligt på forum. Även om alla inte är superbra på detta forum känner säkert så gott som ALLA igen sig, för i någras ögon är de säkert "datorexperter" som på någotvis blivigt 24/7 support ;D .men ändå finns alltid någon runt samma nissar som hellre vill vara expert och bagateliserar den andras kunskaper. "Äh, kan väl alla". Och alla självutnämnda superexperter, suck.
I amigavärlden brukar det av erfarenhet, kanske p.g av den högre åldern, finnas betydligt fler mogna personer med lång erfarenhet i datorer av flera sorter och har tappat det där tupperiet - vara häftig och värst. Kanske för de aldrig hade moped? Wink Vad jag vill säga är, lägga energi på att hävda sig. ONline eller IRL, gör ingen bättre. Känslorna gör oss bara irrationella och korkade. Vi kan det vi kan, det räcker. Låtsas vi vara mer än vi är så vågar vi tillslut inte fråga om råd och hjälp rädda att se kassa ut. Jag minns BBS-tiden när "forum" verkligen handlade om att dela fakta och inte tjafsa. Det var viktigare att få riktiga svar för sina egna projekt än att vara duktigast. Men se nu, vad fan är det här för inlägg jag skriver t.ex? Razz Människors osäkerhet? O/T rejält. Anledningen till mitt lååånga inlägg om väldigt lite är andra irritationsmoment *host lunarforum* med en massa småtuppar som bara ska vara bäst. Nä, usch för sånt. Här är ett mycket seriösare forum med mig som undantaget som bekräftar regeln bland medlemmarna. ;D
Bara så jag nämner NÅGOT om säkerhet: Det största hotet sitter innanför brandväggen. Fråga er vad som är viktigast. Paranoida klusterfirewalls som imponerar självaste pentagon mot hacker som antagligen inte ens har sett ditt IP, eller att ha kvar all data: Minnen, texter, foton, musik. Innan brandväggar och allt, se till att ni har något att skydda. Löpande backups, raid1, CD, band. Fixa NU ni som inte har, det är inte kul annars när krashen slutligen kommer - för det gör den oundvikligen.
kozz - Aug 05, 2005 - 17:32
Post subject:
Japp, det är helt klart viktigt att hända med och uppgradera till nya versioner. Men det e faktiskt ganska bra här på pegasos.org skulle jag påstå. Jag prenumerar på bloggar till de viktigaste modulerna. Så vad jag vet iaf så körs de nyaste stabila nu. Enda jag känner till som e lite gammal e Galleryt, ska fixa det... nån gång Smile

Känns dumt att installera Release Candidates så väntar med tills det finns stabila. Va iof nyss nåt stort säkerthetshål i phpBB så fick patcha det.

Men det ska nog gå bra, folk kan iaf inte exekvera egna binärer om de skulle försöka, det e ju en Pegg.
elftor - Aug 05, 2005 - 20:50
Post subject:
"Men det ska nog gå bra, folk kan iaf inte exekvera egna binärer om de skulle försöka, det e ju en Pegg."

--- Att människan skulle kunna flyga är absurt. Wink Säg aaaaldrig sånt.
dholm - Aug 05, 2005 - 20:55
Post subject:
Människan kan inte flyga, däremot kan flygplan flyga och människor kan sitta inne i dem. Shocked
kozz - Aug 05, 2005 - 20:57
Post subject:
Japp, sen kör många script också istället för binärer, men det är klart en fördel. Å andra sidan kanske folk som kör PPC är kunnigare... o.O
Trizt - Aug 05, 2005 - 20:58
Post subject:
Flygplan kan inte flyga, de är oftast bara så dumma att de inte fattar att de inte kan flyga, så de flyger... Wink
lisardman - Aug 05, 2005 - 21:23
Post subject:
precis som humlorna..
dholm - Aug 05, 2005 - 21:34
Post subject:
Blommor och bin Shocked

Det är sånt Deniil lär sig om ikväll.
ironfist - Aug 05, 2005 - 22:00
Post subject:
<i>Deniil - Has been on <u>one</u> date</i>
elftor - Aug 06, 2005 - 10:04
Post subject:
dholm: Jetpacks låter människor flyga utan att de färdas i farkosten,men visst är tanken fortfarande lite absurd. Bättre att låta en dator flyga människor. Wink
Trizt - Aug 06, 2005 - 10:09
Post subject:
Microsoft Jetpack - kul bnär den får blåskärm när man e typ 100 meter upp i luften...
lisardman - Aug 06, 2005 - 10:26
Post subject:
japp Microsoft JetPack 2006
Subway - Aug 06, 2005 - 10:37
Post subject:
Image
dholm - Aug 06, 2005 - 10:41
Post subject:
Schnyggt Very Happy
kozz - Aug 06, 2005 - 14:12
Post subject:
En sån vill jag ha.
ironfist - Aug 06, 2005 - 16:06
Post subject:
Jango Fett..
lisardman - Aug 06, 2005 - 16:08
Post subject:
inte bobba då?
Subway - Aug 06, 2005 - 18:13
Post subject:
lisardman wrote:
inte bobba då?


Nope, Jango med blå outfit.
ironfist - Aug 06, 2005 - 19:14
Post subject:
Boba är hans son.
lisardman - Aug 06, 2005 - 19:58
Post subject:
vad ni kan.. Razz
dholm - Aug 06, 2005 - 23:05
Post subject:
De är skadade Wink
BlackEagle - Aug 07, 2005 - 00:11
Post subject:
Ja, folk blir skadade av att sniffa jetpackbränsle... det är ju det jag alltid sagt...
All times are GMT + 1 Hour
Powered by PNphpBB2 © 2003-2004 The PNphpBB Group
Credits