FONForum

Dakle, posto je bila tema o sigurnosti browser-a i mail klijenata mogli bi malo vise da razmenimo znanja i iskustva sa zastitama nasih racunara. Ja sam pre neki dan instalirala ZoneAlarm sa namerom da, izmedju ostalog, i naucim nesto o tome kako to sve funkcionise. Namerno sam ostavila namesteno da me obavestava o svim blokadama i tako tome i isla sam na more info i gledala sta tamo pise kad god bi navodno sprecio neki kontakt. Medjutim i dalje mi stvari nisu najjasnije. Npr, kako da se razlikuje pokusaj upada na racunar od normalnih razmena paketa? Recimo, sve vreme mi daje poruku:
The firewall has blocked Internet access to your computer (HTTP) from 172.185.184.28 (TCP port 4995) [TCP Flags: S].
Pri tome menja mi se boja prozora sa narandzasto na crveno kod ove IP adrese.
Ja shvatam i sta je IP adresa i TCP port... medjutim ono sto ne shvatam je kako ja da znam zasto mi bas sa iste IP adrese stalno blokira ulaz? I sta znace Flags? Objasnjenje i nije neko.. Dakle.. ko god ima nesto vise da kaze nek izvoli... Ne znam bas ni kako tacno da formulisem pitanje..

I jos da napomenem, ovo je tema Firewalls a ne samo moj postavljeni primer...

Ajde da se edukujemo

Pa ajde...

To sto si ostavila podeseno da te obavestava o svakom "upadu", promeni sa high na medium, zato sto ce pri tvom sadasnjem podesavanju svake sekunde da te smara sa nepotrebnim obavestenjima. Kada smanjis na medium, onda ti prikazuje samo visoko rizicne, tj. hakerske, ili bolje ponekad reci lamerske napade. Da se odmah razumemo, kada kazem da smanjis na medium, mislim da samo smanjis obavestenja koja ti daje, a nikako samu zastitu, jer kod postavljanja zastite ti preporucujem da budes paranoicna, i cekiras i ono sto je high podesavanje ostavilo nepodeseno. Jer, najcesci komentar koji sam cuo od ljudi jeste "pa zasto bi meni neko upadao na racunar, nemam ja tu nista bitno". To je upravo ono sto lameri zele, jer veruj mi, postoji mali milion razloga zasto bi neko hteo da ti upadne na racunar. Od puke zabave derista zeljnih ciste zabave, pa do koriscenja tvog kompjutera kao most za napad na druge sisteme...

Kod zonealarma, najjednostavniji nacin da razlikujes hakerski napad od obicnog serverskog pingovanja, jeste sto su hakerski napadi oznaceni crvenim upozorenjem, kao ona koja si opisala. Na istoj tabli imas strelice za kretanje kroz upozorenja, ukoliko ih je bilo vise...

Ako neko konstantno salje pakete iz odredjenog sistema ili mreze, to moze da znaci da taj neko pokusava da upozna mrezu te lokacije, i posle toga obicno sledi pravi napad.

Te oznake koje zid prikazuje su vrste skeniranja koje napadac izvodi, posto postoji veliki broj razlicitih vrsta skeniranja, preko TCP spoja, TCP SYN, FIN, ACK itd., UDP,sve to zavisi od vrste paketa koji ti se salju, i kojim protokolom, i necu sad o tome da te smaram, a i nije potrebno ici toliko u detalje.

Ono o adresama i napadima sa iste, svaki "okrug" ima svoju po kojoj se moze znati odakle je ko. Mnogi racunari koji imaju stalnu vezu sa internetom imaju svoju stalnu IP adresu, nepromenljivu, pa se moze znati ko stoji iza koje, ali obicni smrtnici imaju takozvanu dinamicku adresu, tj. prva slobodna koja ti se dodeljuje kad se kacis na net. Po tim adresama mozes da identifikujes ko je ko, jer provajderi imaju po nekoliko adresa koje dodeljuju onome ko se prikaci na net u odredjenom trenutku, i o tome se vodi evidencija. Sve to ne bi moglo da funkcionise bez portova, kroz koje se odvija saobracaj. Hakeri pinguju, odnosno salju pakete na odredjene portove, da provere da nemas trojanca koji osluskuje te portove i koji ce da odgovori na "prozivke". Tako da na primer, u zone alarmu, imas tamo u onom malom donjem delu izlistane podatke o napadacu, tj. IP adresu, kom portu je upucen paket, i da li je neki program odgovorio na njega. Ukoliko nema imena programa, sve je OK, mada i tada treba blokirati paket, jer nikad se ne zna... zone alarm, je uostalom i sam trebao to da blokira.

Jel' dosta za veceras?

_________________
..."lepo od tebe shto mi dopushtash da budem srecna sa drugim"...
Jelena

Pa dosta.. Mislim, volela bih da se jos ljudi raspisu, ali kao sto vidis svi pricaju ovde o nekoj zastiti a konkretno kada treba nesto reci svi cute... sem tebe. Elem, da ti odgovorim. Kao prvo, podeseno mi je upozoravanje na medium, kao drugo adresa koju sam gore stavila je imala pa barem 50-tak pokusaja upada i sad je crvena.. a, evo jutros Zone Alarm mi miruje da li to znaci da je neko stvarno juce pokusavao da mi upadne na racunar? Sto se tice IP adresa, znam kako se dodeljuju, ali meni ne vredi mnogo jer ne mogu da saznam koji je racunar u pitanju. Ja sam samo obican smrtnik. Mislim, kaze tamo da valjda Zone Alarm Pro moze da ti kaze gde se nalazi taj racunar, ali ja tu verziju nemam.
U svakom slucaju thx rainy

Ne znam mnogo o ZoneAlarm-u ... cinio mi se dosta, da kazem "americki", u tom smislu sto postoje gotovi sabloni (nivoi - low,medium,high) za postavljanje zastite sto mi u startu nije dopadljivo. Svojevremeno sam koristio @Guard (AtGuard) i sve +eve dajem ovom firewall-u.

Nisi postavila konkretno pitanje ... sta znam o firewall-u kao sistemu zastite? To je sistem koji osluskuje komunikaciju tvog racunara u vise-racunarskom okruzenju (citaj: mrezi). Pri svakom pokusaju da se primi/posalje paket (unapred odredjena kolicina podataka) firewall treba da reaguje - da li po automatizmu (jer si unapred definisao da je sa tim "korisnikom" (IP adresom/rangom): zabranjena komunikacija, dozvoljena), da li uz tvoju naknadnu dozvolu.
Postoje tri nacina za implementaciju firewall-a: softverski, hardverski i kombinovani.
Takodje, vazno je napomenuti, sto mnogi ljudi ne znaju, da Proxy serveri takodje igraju vaznu ulogu u zastiti klijenata (osim sto kesiraju sadrzaje).

_________________
Zoran Marokanac: "Postojao je samo jedan Ljuba Zemunac. Svi drugi su obični krompiri."

Bugi:

@guard je i vise nego odlican firewall, i tu nemam sta vise da dodam, osim ako nekom treba pomoc oko podesavanja i sl. Medjutim, zonealarm ni malo ne zaostaje za njim, poprilicno je dobro napravljen, i moram odmah da ti kazem da ne postoje samo gotovi sabloni u njemu. To medim, high, low je napravljeno za pocetnike koji nisu bas iskusni i ne mogu da se snadju kako da podese zastitu, pa su zato napravljeni ti gotovi nivoi, u okviru kojih je "po defaultu" vec podeseno sta treba, medjutim svaki deo moze da se pogleda i podesi kako kome odgovara, do najsitnijih detalja. Zbog toga sam u prosloj poruci napisao da Jale, ako hoce zatvori i ono sto je high nivo ostavio dopusteno.

Jale, to sto imas skeniranja iz odredjenog dela mreze, ne mora obavezno da znaci da se neko namerio bas na tvoj racunar, odnosno da budem jasniji, ne znaci da se tada dogadja pravi napad. Da bi usledio pravi napad, haker mora da prodje kroz nekoliko faza, kao sto je snimanje sistema, skeniranje, otkrivanje zivih sistema, prepoznavanja operativnog sistema, itd... i u te svrhe mu sluze pingovanja racunara. Tek kasnije, ako se nekome ucinis kao zanimljiva zrtva, ako uspe da preciznije upozna tvoj operativni sistem i sl. stvari, moze se odluciti za konkretan napad. Niko se, bar niko ozbiljan ne zalece tek tako. Ali kao sto rekoh, maksimalna opreznost nimalo ne skodi... racunari se u prvoj fazi i pinguju, odnosno salju im se paketi da se vidi da li ce neki racunar odgovoriti na njih. Firewall je uglavnom dovoljan da sve to spreci, tako da mozes da budes mirna, ukoliko ga naravno dobro podesis... Da ne zaboravim, hteo sam da ti kazem ono o bojama i prepoznavanjima, paznju treba da obratis na crvenu, jer se to smatra visoko-rizicnim napadom, zatim narandzasta, ali ona koja oznacava da je u pitanju novi program, i pogotovo ona koja oznacava da je u pitanju program cije su komponente izmenjene u odnosu na prosli put. To moze da ukazuje na prisustvo trojanca, medjutim, ako si nadogradjivala program u medjuvremenu, onda je sve u redu i logicno je da se program promenio. Zelena su ok, programi koji su vec bili na netu, ljubicasta kada program zeli da nastupi kao server, itd. nije ni bitno... (btw, ne znam koju verziju imas) inace, onaj lik sto te konstantno smara preko tvog provajdera, sve to bi mogla regularno da sredis, zapamti podatke napadaca, vreme kad je napao i posalji to svom provajderu, a on bi trebao da mu udari sankcije, posto, ukoliko je ok firma, trebalo bi da pamti koje je adrese kome i kad dodelila.

_________________
..."lepo od tebe shto mi dopushtash da budem srecna sa drugim"...
Jelena

Hm.. cekaj a DNS je xxxx.ipt.aol.com.... Sta su one zastavice (Flag S i sl.)?

Da, moja je greska, kada sam pisao zadnju poruku oslonio sam se na secanje, tj. nisam procitao sta si pisala ranije, a iz nekog cudnog razloga mi se cinilo da si napisala da te skenira neko sa tvog provajdera. Dakle, nisam mislio na onu adresu koju si napisala.
No, ako mi dopustas da se ispravim, ja bih poceo...
Lik koji ti se "nabacivao" ide preko America Online, ona uostalom pokriva adrese od 172.128... do nekih 172.191... Posto je u nekim momentima bilo strasno mnogo "upada", ocigledno je da se radi o automatizovanim alatkama za skeniranje, pretpostavljam da je nekad na svakih par sekundi isao po jedan. To sto ti se desava nije nista neobicno, desava se to mnogima po belom svetu, i ne bi mogla da verujes koliko ima takvih prijava. To su te prve faze o kojima sam pricao, ne treba da "panicis", to se prosto baca udica, pa ko se upeca... tvoj "cuveni" flags S sam pominjao, ali sam ocigledno zaboravio da napisem da je to za to. Radi se jednostavno o vrsti paketa koja ti je poslata i koju je tvoj zid blokirao, pa te samo obavestava. Jasno je da ce napadac da salje razlicite pakete za razlicite sisteme i namene, u zavisnosti od toga sta zeli da otkrije kod ciljnog sistema, itd... Pisao sam koje sve vrste paketa postoje, (nisam sve) pa necu da ponavljam, a takodje ne bih da detaljno objasnjavam kada i zasto se salje koji paket. Mislim da sam zadovoljio tvoju radoznalost...

_________________
..."lepo od tebe shto mi dopushtash da budem srecna sa drugim"...
Jelena

Pa, prilicno... thx!