Brandvägg

[Dumleman]

aliquis: ok men man kan inte fejka eller nått så brandväggen uppfattar det om att det är mirc när det egentligen inte är det?

[aliquis]

Citat:

Ursprungligen postat av Dumleman

aliquis: ok men man kan inte fejka eller nått så brandväggen uppfattar det om att det är mirc när det egentligen inte är det?

Tror jag inte, inte förutsatt att det inte är en applikation som verkligen utnyttjar mirc för att komma ut, kanske lite mer realistiskt med explorer eller något sådant som många/alla ändå har. Typ ber explorer gå till någon sida för att du har tillåtit explorer att gå dit men inte nisseshopplockprogramTM!

[hultman]

Citat:

Ursprungligen postat av aliquis

20 och 21 används av ftp och 80 för http. Och ja, om det är en avancerad hårdvarubrandvägg typ någon från Cisco eller så kan den väl bry sig om innehållet i paketen och exempelvis inte släppa igenom säg directconnecttrafik även om den släpper igenom annat, men mjukvarubrandväggarna som körs i datorn behöver ju inte direkt bry sig.

Jag tänkte fel. Menade 80, 81 och 83. Vanligaste portarna att injicera genom.

[Baan]

Citat:

Ursprungligen postat av Dumleman

aliquis: ok men man kan inte fejka eller nått så brandväggen uppfattar det om att det är mirc när det egentligen inte är det?

Har funderat på det, tyvärr har jag kunnat det här lite bättre, men det var ett tag sen jag läste kursen Kikade lite i boken nu men det är ganska sent för att repetera kunskaperna seriöst. Två grejer jag kommer att tänka på som gör att du inte bör vara orolig at mIRC äter din dator.

1. Transportlagret, iaf i fallet med TCP förväntar sig viss skevensnummer. Som hacker måste du alltså på något sätt gissa sekvensnummret som väntas, det blir nog ganska svårt. Kanske går, vet ej, men skitgrejer med random sekvensnummer slängs nog bara bort i det fallet.

2. Applikationen i sig väntar sig data som ser ut på ett visst sätt. Skickar du över datat för ett virus så kommer nog programmet bara slänga skitet som skitdata, inte försöka göra något med det.

[hultman]

Citat:

Ursprungligen postat av Dumleman

aliquis: ok men man kan inte fejka eller nått så brandväggen uppfattar det om att det är mirc när det egentligen inte är det?

Jodå. Men det krävs en hel del kunskaper för att lura en bra brandvägg. Sen förstår jag inte varför man skulle vara intresserad av en irc-port när man kan gå genom internetportar.

[Baan]

Citat:

Ursprungligen postat av hultman

Jodå. Men det krävs en hel del kunskaper för att lura en bra brandvägg. Sen förstår jag inte varför man skulle vara intresserad av en irc-port när man kan gå genom internetportar.

Du har inte lust att ge lite detaljer hur du skulle göra i det här fallet? Förutsätt dator fri från skit och att du vet ip och port. Blir intressant att höra..

[aliquis]

Citat:

Ursprungligen postat av hultman

Jag tänkte fel. Menade 80, 81 och 83. Vanligaste portarna att injicera genom.

Exakt vad du menar överhuvudtaget och varför 81 och 83 skulle vara intressanta för någon vet jag inte.

Citat:

Ursprungligen postat av Baan

Har funderat på det, tyvärr har jag kunnat det här lite bättre, men det var ett tag sen jag läste kursen Kikade lite i boken nu men det är ganska sent för att repetera kunskaperna seriöst. Två grejer jag kommer att tänka på som gör att du inte bör vara orolig at mIRC äter din dator.

1. Transportlagret, iaf i fallet med TCP förväntar sig viss skevensnummer. Som hacker måste du alltså på något sätt gissa sekvensnummret som väntas, det blir nog ganska svårt. Kanske går, vet ej, men skitgrejer med random sekvensnummer slängs nog bara bort i det fallet.

2. Applikationen i sig väntar sig data som ser ut på ett visst sätt. Skickar du över datat för ett virus så kommer nog programmet bara slänga skitet som skitdata, inte försöka göra något med det.

Trodde han menade att något utnyttjar reglerna för mirc för att komma ut (eller in), i vilket fall som helst så ger väl nmap någon nuffra för hur bra datorn/operativsystemet är på att ändra sekvensnumrerna till något som är svårt att gissa? Men det går väl antagligen, men sannolikt att någon orkar? Är väl först intressant om man sitter emellan datorn som kör irc och ircservern så man har något att reagera på också. Enda man kan göra är väl att skicka ircsyntax som får klienten att tro att den har joinat någon kanal, att någon skickar msgs osv.

Citat:

Ursprungligen postat av hultman

Jodå. Men det krävs en hel del kunskaper för att lura en bra brandvägg. Sen förstår jag inte varför man skulle vara intresserad av en irc-port när man kan gå genom internetportar.

Vad skulle skillnaden på "irc-portar" och "internetportar" vara då? Jag tror inte du har så mycket koll på vad du skriver =P

Citat:

Ursprungligen postat av Baan

Du har inte lust att ge lite detaljer hur du skulle göra i det här fallet? Förutsätt dator fri från skit och att du vet ip och port. Blir intressant att höra..

Mobbas du?

[LarsK]

De gratis brandväggarna som räknades upp här har inte stateful packet inspection. De öppnar bara portar som applikationer på din dator använder. Så en hacker kan ta sig in i datorn via en öppen mIRC port i detta fallet med data som inte är mIRC.

[Baan]

Citat:

Ursprungligen postat av aliquis

Mobbas du?

Gäller passa på

[Dumleman]

Citat:

Ursprungligen postat av LarsK

De gratis brandväggarna som räknades upp här har inte stateful packet inspection. De öppnar bara portar som applikationer på din dator använder. Så en hacker kan ta sig in i datorn via en öppen mIRC port i detta fallet med data som inte är mIRC.

Så att köra en brandvägg utan "stateful packet inspection" är som att köra utan brandvägg om utomstående kan ta reda på vilka portar man har öppna!?

[aliquis]

Citat:

Ursprungligen postat av Dumleman

Så att köra en brandvägg utan "stateful packet inspection" är som att köra utan brandvägg om utomstående kan ta reda på vilka portar man har öppna!?

Jag antog att stateful packet inspection är vad man kallar det när en dator har öppnat upp en anslutning emot en server av något slag och själva anslutningen är upprätthållen, att då hålls den öppen för vidare kommunikation. (Jämför: pass in on any to any port www flags S/SA keep state i OpenBSDs pf.), eller något, men jag vet inte.

Jag trodde att de brandväggar som typ zone alarm, tiny personal firewall m.fl. som frågar om du vill låta en viss applikation göra dittan o dattan eller inte faktiskt höll koll på så att det var DEN applikationen som gjorde det, men så är det inte alltså? De meddelar bara vilken applikation som vill öppna porten och när det väl är gjort så är det fri tillgång?

Ta reda på vilka portar som är öppna kan man väl alltid göra, iaf de som svarar på upprättande av en ny anslutning genom att portscanna, och ja, beroende på hur brandväggen arbetar så betyder ju oftast en "öppen port" i en brandvägg att den just inte är skyddad/blockerad alls och då blir ju effekten på just den porten precis densamma som om du inte körde någon brandvägg alls. Vitsen med brandväggen är väl att stänga portar som datorn/programvara på den råkar öppna fast du egentligen inte vill det, i sin mest grundläggande funktion, men mer avancerade brandväggar kan ju släppa igenom vissa typer av paket eller tom gå in o kolla vilken data som skickas i paketen och försöka lista ut om det är ok trafik eller inte.

[LarsK]

Citat:

Ursprungligen postat av aliquis

Jag trodde att de brandväggar som typ zone alarm, tiny personal firewall m.fl. som frågar om du vill låta en viss applikation göra dittan o dattan eller inte faktiskt höll koll på så att det var DEN applikationen som gjorde det, men så är det inte alltså? De meddelar bara vilken applikation som vill öppna porten och när det väl är gjort så är det fri tillgång?

Ja, på de gratis och de flesta man kan köpa för hemmabruk. VisNetic har en som är stateful, men hur bra den är vet jag inte. Den lär inte gå så djupt in i paketet och analysera i allafall. Det krävs mycket CPU kraft för att gå genom alla paket som kommer in.

Citat:

Ursprungligen postat av aliquis

Vitsen med brandväggen är väl att stänga portar som datorn/programvara på den råkar öppna fast du egentligen inte vill det, i sin mest grundläggande funktion, men mer avancerade brandväggar kan ju släppa igenom vissa typer av paket eller tom gå in o kolla vilken data som skickas i paketen och försöka lista ut om det är ok trafik eller inte.

Helt rätt. Företag, statliga myndigheter osv kör stateful inspection på sina firewall. På företaget där jag jobbar kostade firewallen och tillhörande utrustning runt 10 miljoner sek. Att få samma skydd på en gratis eller billig mjukvarofirewall är naivt att tro.

[LarsK]

Citat:

Ursprungligen postat av Dumleman

Så att köra en brandvägg utan "stateful packet inspection" är som att köra utan brandvägg om utomstående kan ta reda på vilka portar man har öppna!?

Genom att stänga av program och services som ligger öppna mot internet och lite "hardening" får du ett tillräckligt bra skydd som en applikation firewall, ja. Men, en firewall innehåller mer än bara firewall, de brukar ha spyware, malware och ibland AV inbyggt. Det behöver du (om du vill) kompensera för. Dock har jag inte gjort det under mina 5 år med ADSL, och har aldrig haft några problem. Kör online virus scan ibland, hittar ingen. Kör adaware ibland, hittar inget förutom lite cookies.

En så liten sak som att på nätverkskortet mot internet ta bort allt utom TCP/IP och stänga av NetBIOS så har du gjort din dator mycket säkrare.

Det finns massvis med guider på nätet om hur man kan "hardening" XP. Jag rekommenderar att du/ni läser dem.

[aliquis]

Citat:

Ursprungligen postat av LarsK

Ja, på de gratis och de flesta man kan köpa för hemmabruk. VisNetic har en som är stateful, men hur bra den är vet jag inte. Den lär inte gå så djupt in i paketet och analysera i allafall. Det krävs mycket CPU kraft för att gå genom alla paket som kommer in.


Helt rätt. Företag, statliga myndigheter osv kör stateful inspection på sina firewall. På företaget där jag jobbar kostade firewallen och tillhörande utrustning runt 10 miljoner sek. Att få samma skydd på en gratis eller billig mjukvarofirewall är naivt att tro.

Jag skulle vilja hävda på det senare att det beror helt på hur villig man är att lägga tid och energi på att konfigurera den. Går säkert att bygga något gratis som gör jobbet ruskigt bra om man är kunnig och har ork, flera av de kommersiella bygger säkert på fri programvara till att börja med.
Har för mig att "en person" hade tillgång till alla versioner av programvaran till ciscos prylar, även om de bara hade licens för en... så det finns ju alternativa sätt att få mycket funktionallitet men till ett lägre pris ;D

Tror tom någon tjomme på irc köpte någon sak för över 10kkr eller så bara för att han ville prova typ, värt ;D

m0n0wall kör jag i förrådet, pf-sense är en mer uppdaterad variant av den.

[LarsK]

Citat:

Ursprungligen postat av aliquis

Jag skulle vilja hävda på det senare att det beror helt på hur villig man är att lägga tid och energi på att konfigurera den. Går säkert att bygga något gratis som gör jobbet ruskigt bra om man är kunnig och har ork, flera av de kommersiella bygger säkert på fri programvara till att börja med.
Har för mig att "en person" hade tillgång till alla versioner av programvaran till ciscos prylar, även om de bara hade licens för en... så det finns ju alternativa sätt att få mycket funktionallitet men till ett lägre pris ;D

Tror tom någon tjomme på irc köpte någon sak för över 10kkr eller så bara för att han ville prova typ, värt ;D

m0n0wall kör jag i förrådet, pf-sense är en mer uppdaterad variant av den.

Det finns många open source firewall på nätet som är bra. Men, om något skulle hända så har du ingen support, inga uppdateringar för nya hot osv. För en hemmasnickrare är det säkert bra, men inte för ett stort företag.
SoX har också satt krav på vilken utrustning man måste ha i sitt nätverk för att man ska uppfylla kraven. Jag är tveksam till något open source utan support är godkänt.

Sourcefire är byggt på Snort. Dock är det samma person som skrev Snort som startade Sourcefire, men det är ett exempel på just vad du skriver. Många andra använder Snort motorn i sina produkter som de säljer.

Man kan inte ladda ner allt till Cisco med ett konto, men mycket kan man. Sen måste hårdvaran också stödja den utökade funktionaliteten de andra IOS har.
Visste du förresten att Cisco IOS är Unix?