Firestarter - kolla suspekt utgående trafik

[Okänd]

Man lägger ofta möda på att skydda sig mot obehörig inkommande trafik och glömmer kanske bort att utgående trafik från maskinen kan vara väl så intressant och viktig. Efter nedtankningar av program från mer eller mindre seriösa förråd - har jag fått in någon ohyra som ligger och skickar ut uppgifter från min maskin utan att jag känner till det?!

Man kan använda Firestartar för att kolla upp läget.

Börja med Edit/Preferences - Interface/Policy. Bocka i "Apply policy changes immediately"

1. Välj flik Policy
2. Editing - välj Outbound traffic policy
3. Klicka i "Restrictive by default, whitelist traffic"

Nu är ALL utgående trafik blockerad och vi ska öppna upp under kontrollerade former.

Vad vill kunna göra från Desktopen? Jo, till en början vill vi kunna surfa (port 80, 443), köra SSH (22) och FTP (20-21). Vi måste även öppna för DNS (53).

4. "Högerklicka" i undre fältet i Policyfliken. Välj Add rule.

5. Välj de services vi vill tillåta. I vårt exempel skapar vi fem regler för - HTTP, HTTPS, SSH, FTP och DNS. Bocka oxå i Firewall host istället för Anyone om Desktopen är "standalone".

6. Nu ska det funka att t.ex. surfa ut.

Kör vi några andra program kommer de att fastna i brandväggen på vägen ut. Om man har Firestarter programmet igång syns det genom att den blå ikonen blir röd.

7. Välj fliken Events och se efter vilken port den vill ut till. Gå tillbaka till 4. och 5. för att skapa en ny regel för detta program - skriv in i Port.  Så här fortsätter man program för program. På så sätt har vi koll på trafiken för de program vi använder.

Fortsättningvis kommer vi - i Events - att få andra träffar i Firestarters utgående trafik. Nu börjar det intressanta. Vad är det som vill ut? Är det något vi vet är ok eller är det suspekt? I det senare fallet börjar ett detektivarbete att försöka finna orsaken. Då kan man ta hjälp genom  att kolla vilken port och till vilken maskin den vill (destination). Hittar vi inte orsaken låter vi det fastna - så länge vi inte märker någon negativ påverkan i maskinens normala funktion.

Själv hade jag något "okänt" som ville prata med omvärlden. Det visade sig vara TOR, som jag inte använder speciellt mycket och som jag hade glömt att jag överhuvudtagit installerat. Det blev avinstallation och därefter lugnt i brandväggen.

[Okänd]

Jättebra, northface !!
Klistra tråden 

[Okänd]

Apropå:
http://www.idg.se/2.1085/1.94706

[zero gravity]

Borde finnas med i FAQ. Alltid en bra grej att köra restrictive by default. För det första lär man sig en hel del om trafiken ut från datorn och vad olika program använder. Och så känner man sig lite säkrare.

[TobbeT]

Kanoners northface, jag har följt den till punkt och pricka.

//Tobbe

[Emil.s]

Med iptables, blir det så här då?

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

För tex http...

[Okänd]

Kollar man den brandvägg som genereras av Firestarter i exemplet blir iptables mer komplicerade för http än det du skriver. Jag kan alldeles för lite om ipchains och iptables och håller mej därför tillsvidare till det grafiska gränssnittet som Firestarter utgör.

[Okänd]

Lite bilder på brandväggen inkl start howto.

http://www.ubuntugeek.com/firestarter-f ... ml#more-12

Kom själv inte på hur man fick till en vettig autostart men det förklaras här.