Lite mer säkerhet tack

[lord]

Hejsan.

Har tagit en titt på min dators säkerhet med hjälp av ShieldsUp, och det finns vissa säkerhetsgrejer jag vill fixa. Men en sak i taget. Hur får jag datorn att blockera ping, så att den inte svarar om någon annan dator försöker pinga den (läste att det går att konfigurera de flesta brandväggar till att göra detta, men vet inte här man gör i UFW, brandväggen i Hardy Heron)?

Bästa hälsningar,
lord.

[Mekaniserad Apelsin]

Hejsan.

Har tagit en titt på min dators säkerhet med hjälp av ShieldsUp, och det finns vissa säkerhetsgrejer jag vill fixa. Men en sak i taget. Hur får jag datorn att blockera ping, så att den inte svarar om någon annan dator försöker pinga den?

Bästa hälsningar,
lord.

Blockera icmp, nr 8.

Men, varför?

[lord]

Är bara paranoid.

Men hur gör man det där i ufw?

[Mekaniserad Apelsin]

Är bara paranoid.

Men hur gör man det där i ufw?

Nej, du är inte paranoid, du är bara irrationel.

I filen /etc/ufw/before.rules definieras vilka iptables-regler som ufw använder innan användaren petar in sina, där finns en rad om att acceptera icmp-requests, vidare så är net/ipv4/icmp_echo_ignore_broadcasts satt till 1 i /etc/ufw/sysctl.rules, vilket betyder att ping till broadcasts redan slängs (om du "bara" vore paranoid så skulle du vara lycklig med det), medan net/ipv4/icmp_echo_reply_all är satt till 0.

"programmet"/"frontenden"/"terminalkommandot" ufw verkar inte ha något sätt att sortera ut icmp, helt i linje med att vara just okomplicerad, utan ha vettiga grundinställningar istället, kolla igenom reglerna i /etc/ufw så ser du att de är nogrannt övervägda, även om jag nog hade velat ha några regler om "julgranar" oxå.

[lord]

Hmmmmm, så du menar att säkerheten i Ubuntu är tillräckligt bra för att jag ska känna mig säker?

För på ShieldsUp misslyckades jag med ett test delvis för att datorn svarade på att bli upp pingad. Som den lekman jag är tänkte jag att det kanske skulle vara bra att åtgärda det. Eller?

[Mackedonien]

Tycker inte du ska oroa dig över att bli pingad. Har tillåtit ping i 10år och inte påverkat mig alls. Visar ju bara att maskinen funkar. Förutom om någon då kör telnet/etc över icmp. Men det är inte vanligt.
Föredrar att ha ping igång så jag kan se om mina datorer är uppe utifrån.

[Ulsak]

pinget går att stänga av, men jag har ärligt talat bara Firestarter uppe för trösta min oresonliga paranoja som förvärvats av otaliga problem med virii och trojaner på diverse windowsburkar ( mest hos andra)..surfa lugnt..

[Mekaniserad Apelsin]

Finns det något annat på din dator som är igång (dvs du använder datorn på något sätt för att komminicera med internet, surfar, mailar, vad som helst) så märks det att din dator är igång, ping används för att kolla om en dator är igång. Att stänga av ping är ingen säkerhetsåtgärd på en skrivbordsdator, det är att göra något bara för att det går och det känns bra, men det sänker inte osäkerheten på något vis över huvud taget.

Om du är en ond arbetsgivare och har en brandvägg och inte vill att dina arbetare ska använda internet och dina arbetstagare är tillräckligt kunniga för att gå förbi den, så kan det vara intressant att stänga av ping, dnsuppslag till andra servrar än din egna osv osv osv på boxen mellan dina arbetstagares datorer och resten av internet. .

[Tarika]

Angående Shields Up och paranoia så fick jag perfekt True Stealth först efter att ha installerat Guarddog, för att konfigurera brandväggen, den tillåter nu bara dns, http, https, msn och icq.

jag har prövat firestarter också men förstog inte hur jag ändra inställningarna där.

[Mekaniserad Apelsin]

[...] den tillåter nu bara dns, http, https, msn och icq.

Men varför stänga för pingförfrågningar om din dator ändå svarar på minst 5 olika portar från vem som helst?

[Bowmore]

Men varför stänga för pingförfrågningar om din dator ändå svarar på minst 5 olika portar från vem som helst?

Orsaken är väl att "inkräktarna" ofta först pingar innan de skannar av portarna.
Själv kör jag givetvis med ping avslagen

[Lars]

Datorn är inte helt gömd bara för att man stänger av ping. När man försöker ansluta till en stängd port skickar datorn normalt ett RST-paket (reset) för att berätta att ingen lyssnar på den porten. När angriparen får RST som svar vet han ju att datorn existerar och då fortsätter han att scanna efter öppna portar.

[Bowmore]

Datorn är inte helt gömd bara för att man stänger av ping. När man försöker ansluta till en stängd port skickar datorn normalt ett RST-paket (reset) för att berätta att ingen lyssnar på den porten. När angriparen får RST som svar vet han ju att datorn existerar och då fortsätter han att scanna efter öppna portar.

Och om man nu inte har några stängda portar?

[Mekaniserad Apelsin]

Och om man nu inte har några stängda portar?

Klart du har det. Om porten inte är stängd så är ju något program igång och använder porten på något vis.

Men varför stänga för pingförfrågningar om din dator ändå svarar på minst 5 olika portar från vem som helst?

Orsaken är väl att "inkräktarna" ofta först pingar innan de skannar av portarna.
Själv kör jag givetvis med ping avslagen

Och? Jag vet att din dator är igång. Du surfar ju, varenda dator som är igång som du surfar in på vet att din dator är igång, samt en hel del små användare runtomkring (jag t.ex.). Jag behöver inte pinga dig för att veta det.

[lord]

Angående Shields Up och paranoia så fick jag perfekt True Stealth först efter att ha installerat Guarddog, för att konfigurera brandväggen, den tillåter nu bara dns, http, https, msn och icq.

Så, Guarddog fungerar bra. Fungerar det så bra att det är värt att installera?

Orsaken är väl att "inkräktarna" ofta först pingar innan de skannar av portarna.
Själv kör jag givetvis med ping avslagen

Märker man av det om pingen är avstängd? Skulle det vara skadligt för Pidgin, Firefox eller något annan internet baserat program?

För jag fjärrkollar aldrig datorn och har aldrig något behov av det (har den aldrig på när jag inte är hemma eller har den bredvid mig och så) eller något liknande.

[Emil.s]

Datorn är inte helt gömd bara för att man stänger av ping. När man försöker ansluta till en stängd port skickar datorn normalt ett RST-paket (reset) för att berätta att ingen lyssnar på den porten. När angriparen får RST som svar vet han ju att datorn existerar och då fortsätter han att scanna efter öppna portar.

Och om man nu inte har några stängda portar?

Då bör ju porten vara öppen, vilket bör betyda att en tjänst svarar.

Men hur som hellst så är blockering av ping det sämsta skyddet som finns. Datorn måste ju skicka paket utåt, och för att någon dator ska kunna svara så måste ju paketet innehålla en svarsadress.

[Bowmore]

Datorn är inte helt gömd bara för att man stänger av ping. När man försöker ansluta till en stängd port skickar datorn normalt ett RST-paket (reset) för att berätta att ingen lyssnar på den porten. När angriparen får RST som svar vet han ju att datorn existerar och då fortsätter han att scanna efter öppna portar.

Och om man nu inte har några stängda portar?

Då bör ju porten vara öppen, vilket bör betyda att en tjänst svarar.

Men hur som hellst så är blockering av ping det sämsta skyddet som finns. Datorn måste ju skicka paket utåt, och för att någon dator ska kunna svara så måste ju paketet innehålla en svarsadress.

Nu förstår jag ingenting. Om portarna är öppna men ingen tjänst innanför använder nån av dessa så är ju portarna stealth-ade vilket jag förstått inte ger nån kvittens tillbaks, alltså det finns ingen hemma på den IP-adressen. Är det inte så så håller jag med om att ping inte ger nåt extra skydd, bara att testa t.ex port 80. Har man ingen webserver så skickas RST i retur, hmm. Dock svårt att tro på det.

[Lars]

Ja, att portarna är stealthade betyder väl att ingen RST skickas, men det är en brandväggsfunktion. En vanlig normal TCP-stack skickar alltid RST som ett felmeddelande om inte porten är öppen (det där är säkert specat i någon RFC någonstans).

Ta ubuntu-se.org som exempel, vi kör Ubuntu 6.06 utan brandvägg, någon FTP-server är inte installerad:

Kod: Markera allt

$ ftp ubuntu-se.org
ftp: connect: Connection refused

Ett annat exempel är Telia:

Kod: Markera allt

$ ftp www.telia.se
ftp: connect: Connection timed out

Så Telia kör någon brandvägg som hindrar RST, istället får man vänta väldigt lång tid innan man får time out. Ubuntu-se har ingen brandvägg och svarar direkt. Båda svarar på ping, det är bra eftersom det är ett smidigt sätt att testa förbindelsen.

[Bowmore]

Jo, visst är ping ett smidigt sätt att testa förbindelsen. Men hur ofta gör en privat användare det externt, möjligen när han/hon har problem och isp vill pinga förbindelsen. Behöver jag så slår jag på den temporärt i routern.

[Daniel Nylander]

ICMP är bra internt för att se om IP-stacken lever, det är inte samma som att maskinen eller tjänsterna lever.
Föredrar att testa tjänsten jag vill nå och inte bara pinga.

FTP på <a class="postlink" href="http://www.telia.se">http://www.telia.se</a> är nog brandväggad, därav inga RST utan bara paketdrop