Dekuji za zajimavou informaci a doplneni mych SW znalosti. Vyborna a hlavne uzivatelsky privetiva free nadstavba pro BlackIce.....
Fakt tvrdite ze v bance se utocnik dostal prez nekolik firewallu? co tam proboha pouzivaj a jak to maj nastaveny? ja zatim neslysel ze by se nekdo dostal prez dobre nastavenej ZoneAlarm, natos pak prez profickej firewall za hodne milionu jaky se pouzivaj v bankach. nejsem si jistej ze vite o cem mluvite, ale mohl by jste pridat nejaky zajimavy link, pokud chcete dodat svym slovum vahu
co si pametam z bugtraku a spol tak minimalne DVE diery v zone alarmu boli.
No, vite pokud nemate nadilene prostredky, tak se k vam na Win 95,98,ME stejne nikdo nedostane. Protoze nema kam.Zone Alarm je docela narocnej program.Existuje treba AtGuard 3.22(koupil ho Symantec a je z nej Norton personal FW.) a rekl bych ze zvladne totez lepe, prehledneji a hlavne zadarmo.
Souhlasim s vyse uvedenym nazorem, ze utilitka s mapickama je celkem k nicemu. Na druhe strane utocnik pravdepodobne nebude pripojen dial-upem, ale temer vzdy necim lepsim. Neni totiz vetsi sranda, nez kdyz mu pri utoceni spadne modem. Nesouhlasim s nazorem, ze programy tretich stran jsou horsi nez implementace v systemu. Skoro bych rekl opak. Pozor, bavime se o Woknech. V unixu je to jine, tam jsou nastroje prece jenom o dost profesionalnejsi. V nejnovejsim tusim PC Worldu je popsan model utoku z prostredi Unixu a vypada to prece jenom lepe. Nicmene i ten lze napadnout.Dale jenom utok DDoS vedeny na dial-up? To je celkem smesne, je to jako kdyz spadne modem. Tedy kdyz se nestane nic jineho.Navic jsem mluvil s jednim hackerem a utok je temer vzdy veden ne z jednoho ale hned z nekolika za sebou zavazbenych pocitacu obeti, takze trace utility jsou k nicemu. Tedy ty public. Hezky firewally jsou bud to Kerio, ale doporucuji jeste nasadit mezi modem a svuj pocitac nejaky firewall tvoreny dedikovanych pocitacem (staci plecka - nejakej mensi Duron), dat tam pouze system (nejlepe W2K) zavrit porty, nainstalovat treba Nortona Personal Firewall a dal do site na chraneny pocitac treba prave to Kerio. Osolit to nekolika antiviraky i na postu pro pripad pasovani Trojanu postou a je to. Ale neni ta zase takova sranda, jako kdyz vam nekdo formatuje disk.
Ten clanek v PC Worldu jsem cetl a je napsan pouze jako zajimave cteni pro laickou verejnost. Clovek trochu znaly se nad nim jen usmeje. A kdyby aspon pouzili misto oznaceni hacker spravny termin cracker
Clovek potrebuje k detailni analyze utoku predevsim obrovske penzum znalosti. Nejaka utilitka s mapickama a spoustou cisilek, ktera muze zaujmout laika, je ve skutecnosti k necemu dobra pouze v odbornych rukou. Takze, az se budete chtit nejak s (opakovanym) utocnikem vyporadat (tim apriori nemyslim vybrakovat mu jeho system), zavolejte si na to cloveka, ktery vi o co go. A taky si nachystejte par kacek, protoze takovy se nenajde na kazdym rohu. Jinak se Vam muze stat, ze z obeti se stanete utocnikem (tim mam namysli zejmena nepodlozene obvinovani jinych uzivatelu internetu na zaklade "mapicek").
Proboha, nikdo přeci nemluvil o nějakém vypořádávání se s útočníkem nebo o nějakém obviňování na základě "mapiček". Program slouží přeci hlavně pro domácí uživatele, pro jejich osobní potřebu či zvědavost. Profesionál přeci nebude používat ZoneAlarm a k případnému obviňování jeho logy, to dá rozum.
No tak, nemusite se tak certit. Jen jsem chtel pro laicke ctenare doplnit neco co v clanku nebylo. Zvlastni je, ze Vase predchozi slova nezaznela primo v recenzi. Proc asi?
Však se nečertím.
Domníval jsem se, že jsou tyto věci čtenářům jasné. Alespoň těm, kteří vůbec tuší, co to je firewall a používají ho. Ti, kdo neví o co jde, pravděpodobně článek ani nečetli, takže by bylo zbytečné cokoliv vysvětlovat, to není tématem článku.
Nejsem odbornik, nicmene jsem uz nekolikrat zaslechl zajimavy nazor, ze jakykoliv FW, ktery je aplikace a ne casti systemu (jako v linuxu) nemam v zasade proti "opravdovemu" utoku sanci, protoze se obvykle najde nejaka sance, jak bud shutdownovat cely system nebo shut FW aplikaci. Mel jsem ZA nejaky caas, pripojen v LANu a "utoku" jsem mel denne zaznamenanych mozna 30 i vic...ale co z toho byl utok? tezko rict, myslim, ze vetsina takovych zaznamu jsou bud jen ping nebo broadcast traffic alert, eventuelne nekdo zkousi jestli nemate na pocitaci nejaky share z kteryho by mohl neco vysosnout ...co si o tom myslite?
1. nemyslím si, že je tak jednoduché udělat shutdown nějakého FW. Třeba ten známý "dočekalův" test, kdy DD nainstaloval windows + free zonealarm a nikomu se nepodařilo jej nabořit (a že se snažili).
2. to co popisujete jsou typické útoky. Ty pingy a podobně často slouží pro testování co je za stroje na určitých adresách, třeba právě proto, aby si od vás něco sosli, nebo aby vám tam dali nějakého červa atp. Samozřejmě většina z toho jsou úplně nedůležité pingy. Výhoda třeba právě ZA je, že prostě všechno blokne a pro všechny se z venku jevíte jako neexistující IP adresa a museli by se na vás přímo zaměřit (a jestli nejste banka nebo jiný důležitá instituce, tak se na vás 99,99 útočníků vyprdne)
ad 2.) ak som banka ci ina podobna institucia a moja ochrana pozostava zo zone alarmu na win staniciam tak si zasluzim zavriet a dostat pokutu ze sa stoho dozivotne nevylizem.
mimochodem by stálo za to udělat článek o zabezpečení bank. Vím jak to probíhá v jedné nejmenované české bance. Mají tam za sebou 15 firewallů (úzce specializovaných) s tím, že když se někomu podaří prolomit první, tak se automaticky spouští dohledávání odkuď je útočník, Připomíná to scénu z amerických filmů, kdy někdo telefonuje přes x míst a pak se objevuje trace kam až ho sledují. Zatím nejvíc co vím se dostal jeden maník na sedmý firewall a to už se adminům dost potila prdel, protože při osmém firewallu by dostali padáka. Nicméně oni už ho dosledovali do ukrajiny a on to pak urychleně odsekl.
to je trocha blba realizacia bezpecnosti. hlavne ked podla toho co vravis su FW zretazene.
kdyby nebyly za sebou, tak by to nemělo smysl, pak by stačilo nabourat jen jeden. Samozřejmě je tam jistá paralelicita, nějaké ty falešené cesty, demilitarizované zóny atp. to je na trochu širší diskusi (a ne na živě.cz). Jinak samozřejmě se ještě všechny kontrolují navzájem, takže je teoreticky nemožné nepozorované vniknutí zvenku. Zjedonušeně řečeno je tam potřeba dát několik snažších mezikroků, které jsou sice stupidní, zato nezpomalují tolik trafic, jejich napadení ale vyžaduje nějaký čas, který lze využít a připravit se na obranu protiútokem. Proto myslím, že by se hodilo tady ukázat v nějakých článcích bezpečnost bank. Nevím, jestli by s tím souhlasila nějaká banka přímo, protože by se mohli obávat prozrazení případných děr a slabin systému, určitě by se ale dali kontaktovat ti, kteří podobné systémy vyrábí a instalují. Je jasné, že živě je oddechový server, takže by to muselo být napsáno populární formou, ale to by myslím nevadilo.
ono zalezi ako je to konkretne realizovane ale ten pocet my pride prehnany. iked ako FW bohli byt zapocitane aj logovacie/snifovacie/navnadove servery.
Taky se mi to zda prehnane, vcetne popisu "vyhledavani" Z jakeho zdroje pochazeji tyto informace?PS: Muzete mit klidne 30 firewallu, ale lidi jsou lidi
spolehlivého
lidi tam jsou taky, bez firewallů by tam byli asi naprd.
jinak samozřejmě mezi firewally počítám i ta ostatní udělátka blokující, omezující a sledující narušitele (tuším je to i obecně vnímáno jako obecný pojem)
ale to niesu firewaly ;) firewal je len pocitac ktori filtruje pakety na zaklade nejakych pravidiel, robi VPN alebo pracuje ako proxy/transparent-proxy ostetne uz firewaly niesu.
já to beru v širším významu slova "protipožární zeď", tj. vše co brání "požáru". Nevím jiné slovo, které by se vhodně hodilo pro celou skupinu. Mimochodem to co vy popisujete je "packet filter", "VPN switch", případně "proxy" a tak dále. Vzhledem k tomu, že každý prvek u takto složitých obran je bez těch ostatních de-facto na nic (vždy se stará jen o jednu část a ostatní možné útoky vynechává). tudíž pro mě je "protipožární zeď" homogenní systém - souhrn všech bezpečnostních opatření. Prosím opravte mě, jestli se mýlím, a jestli existuje nějaký jiný souhrnný název.
Ano da se to hazet do jednoho pytle, ale radsi se pouzivaji oznaceni podle toho co ktery hw dela.Ale pokud tvrdite ze do toho pocitate i hw sledujici atp. tak tomu zase neodpovida zretezeni vami uvadenych 15 fw.A sledovat nekoho na internetu? Navic pomoci skriptu a ne cloveka? Nenechte se vysmat, zvlast pokud jde o trochu zrucne crackery.Navic jak jsem jiz predtim rekl, cesta primarne nevede pres fw ale pres lidi za pomoci socialniho inzenyrstvi.
jak jsem už psal o tom zřetězení - jsou tam samozřejmě i nějaké paralelní procesy, ale to je mimo znalosti průměrného čtenáře živě
Co se týče sledování pomocí skriptu - těch útoků je tam nárazově i mnoho najednou (mnoho crackerů využívá paralelního útoku z několika (mnoha) strojů) a ruční sledování každého zvlášť by bylo silně nefunkční - samozřejmě to není ponecháno čistě pseudointeligenci strojů, sedí za tím někdo (vždy více než jeden) kdo může dělat i další neautomatické kroky.
S těmi lidmi jsme si nerozuměli, myslel jsem, že je dotaz je ohledně přítomnosti adminů na pracovišti.
Samozřejmě nejjednodušší systém jak se nabourat do systému je sbalit sekretářku nebo prošacovat odpadkový koš (tj. vámi zmiňované sociální inženýrství). I proti tomu samozřejmě existují ochrany, zaprvé logování veškerého přístupu a akcí jednotlivých lidí, zadruhé striktní pravidla toho co kdo může a nemůže, za třetí pseudointeligentní monitorování podezřelých akcí (případně jejich blokace), systém řízení atd. Ve správně funkčním systému prostě není možné, aby kdokoliv (včetně administrátora) mohl stáhnout databázi všech klientů (tak jak se tomu stalo u české spořitelny), aniž by se to kdokoliv dozvěděl, resp. aniž by to nejdřív muselo být x krát odsouhlaseno.
Samozřejmě žádná ochrana není stoprocentní, rozhodně nikde se nedá spolehnout na stroje, protože stroje pouze dělají, co jim kdosi řekl aby dělali - nic víc, nic míň. V tom je jejich výhoda (nikdo je nemůže "sbalit") ale i nevýhoda, protože se sami nedokážou přispůsobit (některé stroje mají pseudointeligenci, ale i ta je pouze strojová, tj. dobrý cracker ví, co si bude "firewall" myslet, že si myslí on). proto je nutné vše kombinovat a hlavně monitorovat a zakazovat.
Prvotní myšlenkou je, že vše je zakázáno a pouze když splníte všechny kroky, tak se vám něco na určitou dobu (1 session nebo 1 úkon) povolí (tj. přesně naopak než u běžných systémů), a i to se kompletně zanese do sledování a jakákoliv akce je spětně dohledatelná.
Zajímavostí s porovnáním s ostatními systémy je funkce administrátora - v běžných systémech (vč. linux či windows nt/2000/xp ) je to vlastně neomezený bůh, který může všechno, všude se dostane, maximálně to dokážete v některých systémech dohledat (logy ale zase admin může mazat či dokonce upravovat). V bankovním prostředí (například) by neměl mít přítup k aplikacím, které jsou běžné pro obchodníky a bankéře, tj. nemůže založit účet, převést peníze, kouknout se na kontakty atd. A to včetně administrátora, který se stará o běh těchto aplikací.
Je to hodně složité, určitě by to stálo za ten článek.
nesleduje sa skriptamy len sa loguje cele spravanie a v pripade podozrenia sa logi trasuju a skumaju. je to dobre popisane v knihe Firewally od chlapikov z AT&Tco sa tyka moznosti a odsuhlasovania tak v IT svete je Admin/Root bohom a bohovia mozu vsetko.co sa tyka zabezpecenia v bankovom sektore nechcel by som mat tvoje predsudky vzdy je to len otazka toho ako su rozdelene prava a neexistuje system ktori by nemal Bohou. napriklad taky postgreesql pocuva len uzivatela postgres ale tym sa root lahko stane ....
proto také nevím o použití postgreesql v bankách
systém, kde root může (bez možnosti kontroly někým jiným) udělat cokoliv by vám nikdo nezcertifikoval pro bankovní použití. U nebankovních aplikací se to řeší tak, že heslo pro root je zamčené a přístup k němu je pouze pro nějakého šéfa, resp. několik šéfů (optimálně tak, aby jej nemohl užít jeden bez vědomí dalších). a otevírá se to pouze při velmi důležitých úkonech, které se bez toho neobejdou - takovéto servery ale bývají bezůdržbové, takže to určitě nebudete potřebovat častěji než jednou ročně. Heslo je třeba třicetiznakové s pomíchaným case plus čísla plus symboly, aby si to nikdo nezapamatoval a případně se dá po každém použití změnit a vygenerovat nové. S tím, že papír s heslem nikdy nemůže mít v ruce jedna osoba, minimálně další dvě ji musí hlídat, stejně tak když je root přihlášen.
P.S.: kniha firewally tuším byla psaná v době, kdy nikdo netušil o programových útocích z mnoha strojů najednou. Ftip je v tom, že se mnoho strojů snaží vyřadit mnoho portů a služeb najednou či využít jejich děr k průniku. Postupují často pseudosynchronně, každý dělá něco jiného a případně okamžitě vuyžívají chyb na které přišel jeden stroj. čistě logování je na prd, mezi tisícovkami takovýchto (třeba i neužitečných) útoků se vám pak může pohybovat "štika" na kterou nemáte šanci dostatečně rychle zareagovat. Ale ono je to de facto to co popisujete - "loguje cele spravanie a v pripade podozrenia sa logi trasuju " - právě to "podezření" na nějakou divnou nebo neběžnou aktivitu většinou rozděluje ten stroj.
ono i ten postgresql sa moze pouzit v banke rozdiel je v tom ze si si nevsimol ze vychadzam z toho ze root konto viem ziskat. no potom co som pocul ze niektore banky mali a mozo este maju veci riesene na win platforme nebol by som si isti tvojimy tvrdeniamy. Ale mas pravdu je potrebne nieco co podobne ako vravis. Ja to mam riesene HW klucom a PAM modulom. (pokial nieje pripojeny HW modul) tak sa neda prihlasit ako root ;) a heslo moze byt i jednoznakove ;) dalsi velmi bezpecny a na manipulaciu lahsi sposob je pouzitie tokenou (zariadeni ktore generuju jednorazove hesla) existuje viac verzii niektore vedia pracovat i na principe vyzva-odpoved. takzi staci aby sa bohom mohol stat len drzitel tokenu/hwkluca a ten bude v trezore ;) tieto riesenia narozdiel od XYznakoveho hesla maju vyhodu v taskej replykacii ;)bezudrzbove serveri neexistuju ale spravne zautomatizovany sa tak da nazvat. (ja jeden taky mam a uz rok som nan nesiahol) P.S. systematicky utok strojmy sa da realizovat len na zistenie chybi ci otvorenie systemu zbytok musi odmakat clovek (unix systemy vobec nebyvaju uniformne na rozdiel od windowsu) a to je vec ktora sa trasuje tie kroky cloveka v systeme to ako sa dostal do sistemu sa da dohladat i na nete ked konecne zacnes pozerat ci nahodou nemas deravy SW. Ta kniha je starsieho data ale updatnuta a navyse pisana univerzalne lebo principy sa nemenia len sa menia nastroje. A este nieco ono naburavat sa do sistemu nieje tak lahke ako si vela ludi mysli (hlavne do seriozne spravovanich) nato nejake Scriptkinds nestaci.
Zaujimava debata. Podla nej vidno, ze rozumiete o com pisete. Dajte mi tip na vhodny firewall pre Linux (mandrake). Diky.
co myslis slovom dobry? pokial nepovies co od toho cakas/vyzadujes nemozes pocitat zo zmysluplnou odpovedou
odsledujem ti kazdy bitik prejdeni po sieti bez toho aby si co len zistil ze ta sledujem ;)Jedine co potrebujem je pristup k miestu kadial tecie vsetka komunikacia a to ako admin si dovolit mozem ;)
při zabezpečené síti odsleduješ tak akorát prd, protože veškerá komunikace je šifrovaná (tunely - vpn + šifrování na prezentační ala https), takže packet sniffer ti je na nic
mam dojem ze si myslel pri sifrovanej komunikacii ;)V tom mas i nemas pravdu. podla toho co som si precital o ssl protokole a co viem o sifrovani vobec tak je nejaka moznost odsifrovat komunikaciu (ale to ti nesmie utiect ani bitik) a musis to odpocuvat od uplneho zaciatku (kedy si vymenia uvodne sifrovacie kluce) a treba vediet ake nahodne cislo vygeneroval server (kedze je tvoj da sa to upravou zdrojakou zistit) potom tiez sa da spravit clovek uprostred (pomna to ide sifrovane zamnou uz nie) navyse VPN su sifrovane len na "nebezpecnom uzemi". Jednoducho pokial som admina a mam pristup k serverom VZDI je moznost spiclovat co sa na serveri deje (teda pokial nemas windows tam nik poriadne netusi co sa deje)
ono slovo ktore to presne vystihuje nieje ale nazov z ktorym som sa stretol bol "system zabezpecenia siete pred prienikom a zneuzitim" takyto nazov otom viac hovori ako 10 firewalov ;) ja ho pouzivam lebo sa mi zda ako najvelavravnejsi.firewall je dvoch typou aplykacny (proxy) a filtrovaci (packet filter) VPN svitch je vlastne taka nadstavba na filtrovaci firewall. To ze kazdy prvok je sam o sebe defakto nanic je hlupost na niektore aplykacie staci len proxy (najcastejsie riesenie pre male siete) packet filtre (ochrana iternetovych/intranetovych serverou pred dieramy v "zabudnutich" sluzbach). Vedsina zabezpeceni je riesena dvomi firewallmy (packet filter+ maskarada) na vstup do demilitarizovanej zony a na proxi. A proxi na spristupnenie internetu uzivatelom. plus nejaky logovaci stroj. takato konfiguracia vystaci 80% pouzitia.P.S. trocha do toho fusujem takze sa nehnevaj ze ta taham za slovicka.
ehmm Mam dotaz, co to je broadcast traffic ??
...naleznete souhrn útoků od dané IP adresy (tedy nejen tento konkrétní útok, ale všechny historické pokusy od toho útočníka)...To je sice pěkné, ale je potřeba si uvědomit, že útočník s největší pravděpodobností bude připojen dialupem, takže bude mít pokaždé jinou IP adresu (tím pádem je statistika jaksi na nic). Dále s velkou pravděpodobností nevystopujete útočníka, ale jeho předchozí oběť, kterou zneužil na další útoky, nebo bude mít zfalšovanou IP adresu a tím pádem víte zase kulový....Jiná tlačítka vám umožní pokusit se napojit na útočníka prostřednictvím FTP nebo HTTP...Tak se k němu napojíte. No a? Chcete to tam všechno zničit? Uvědomte si, že to může být jen předchozí obět, takže to teď dostane i od vás. Pokud to ale čirou náhodou bude pravý útočník, opravdu chcete dráždit hada bosou nohou? Nevím, ale pokud vás útočník zatím jen oťukávál, co asi provede, když ho takhle rozdráždíte? možná se přes zonealarm nedostene, možná když bude chtít, tak snáze než si myslíte, možná podnikne nějaký DoS útok, atd. Někdy je prostě lepší dělat mrtýho brouka. Legitimní řešení je upozornit útočníkova providera.Nenechte se mýlit pocitem falešného bezpečí. Neříkám, že zonealarm je k nicemu, jsou to užitečné prográmky, ale nejsou všemocné. Je dobré brát vše s mírou. Hlavně odplatu. Nehrajte si na americké hrdiny vedené pomstou.
Oooo, bojim bojim, taky hacker sa mi pak hackne do PC a zmaze cely disk. Moc se divas na filmy o hackovani
No to je snad jasné, že to pro dialup připojení nemá cenu, ne ? O tom snad nemá cenu diskutovat. A že se může jednat o zneužitou IP adresu je také pochopitelné, ale takový už je internet. To by se pak nemuselo používat ani logování na serveru, protože by se mohlo rovnou předpokládat, že "útočník" (ať už pod tím termínem myslíme cokoliv nebo kohokoliv) má stejně falešnou IP.
A co se týče toho napojení, tak o žádném ničení či pomstě snad nepadlo ani slovo, ne ? Prostě když někoho zajímá, jestli na daném počítači běží například webový či FTP server, tak se na něj může podívat, nic víc. Navíc vás nikdo nenutí to dělat, je to jen volba uživatele, zda chce takto někoho "dráždit", i když i o tom, jestli tím někoho vydráždíme nebo ne by bylo na další debatu.
Osobne pouzivam sygate personal firewall, v normal verzi je taky free, kdyz na me nekdo utoci, samo to odchytne IP a port, dal uz si ho muzu trasovat a oscanovat rucne.
Osobne pouzivam ipfw vo FreeBSD
co poviete na Tiny personal firewall? ten je tiez pre osobnu verziu free a ma ovela viac moznosti a je velmi slusny, co sa tyka hodnotenia, ....okrem toho existuju programy, ktore zase skodaze free niesu a to je : Neotrace, alebo Visual route, nieco obdobne ako tu popisujete:) lenze lepsie - platene :(
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.