Firestarter - kolla suspekt utgående trafik
Postat: 04 mar 2007, 13:24
Man lägger ofta möda på att skydda sig mot obehörig inkommande trafik och glömmer kanske bort att utgående trafik från maskinen kan vara väl så intressant och viktig. Efter nedtankningar av program från mer eller mindre seriösa förråd - har jag fått in någon ohyra som ligger och skickar ut uppgifter från min maskin utan att jag känner till det?!
Man kan använda Firestartar för att kolla upp läget.
Börja med Edit/Preferences - Interface/Policy. Bocka i "Apply policy changes immediately"
1. Välj flik Policy
2. Editing - välj Outbound traffic policy
3. Klicka i "Restrictive by default, whitelist traffic"
Nu är ALL utgående trafik blockerad och vi ska öppna upp under kontrollerade former.
Vad vill kunna göra från Desktopen? Jo, till en början vill vi kunna surfa (port 80, 443), köra SSH (22) och FTP (20-21). Vi måste även öppna för DNS (53).
4. "Högerklicka" i undre fältet i Policyfliken. Välj Add rule.
5. Välj de services vi vill tillåta. I vårt exempel skapar vi fem regler för - HTTP, HTTPS, SSH, FTP och DNS. Bocka oxå i Firewall host istället för Anyone om Desktopen är "standalone".
6. Nu ska det funka att t.ex. surfa ut.
Kör vi några andra program kommer de att fastna i brandväggen på vägen ut. Om man har Firestarter programmet igång syns det genom att den blå ikonen blir röd.
7. Välj fliken Events och se efter vilken port den vill ut till. Gå tillbaka till 4. och 5. för att skapa en ny regel för detta program - skriv in i Port. Så här fortsätter man program för program. På så sätt har vi koll på trafiken för de program vi använder.
Fortsättningvis kommer vi - i Events - att få andra träffar i Firestarters utgående trafik. Nu börjar det intressanta. Vad är det som vill ut? Är det något vi vet är ok eller är det suspekt? I det senare fallet börjar ett detektivarbete att försöka finna orsaken. Då kan man ta hjälp genom att kolla vilken port och till vilken maskin den vill (destination). Hittar vi inte orsaken låter vi det fastna - så länge vi inte märker någon negativ påverkan i maskinens normala funktion.
Själv hade jag något "okänt" som ville prata med omvärlden. Det visade sig vara TOR, som jag inte använder speciellt mycket och som jag hade glömt att jag överhuvudtagit installerat. Det blev avinstallation och därefter lugnt i brandväggen.
Man kan använda Firestartar för att kolla upp läget.
Börja med Edit/Preferences - Interface/Policy. Bocka i "Apply policy changes immediately"
1. Välj flik Policy
2. Editing - välj Outbound traffic policy
3. Klicka i "Restrictive by default, whitelist traffic"
Nu är ALL utgående trafik blockerad och vi ska öppna upp under kontrollerade former.
Vad vill kunna göra från Desktopen? Jo, till en början vill vi kunna surfa (port 80, 443), köra SSH (22) och FTP (20-21). Vi måste även öppna för DNS (53).
4. "Högerklicka" i undre fältet i Policyfliken. Välj Add rule.
5. Välj de services vi vill tillåta. I vårt exempel skapar vi fem regler för - HTTP, HTTPS, SSH, FTP och DNS. Bocka oxå i Firewall host istället för Anyone om Desktopen är "standalone".
6. Nu ska det funka att t.ex. surfa ut.
Kör vi några andra program kommer de att fastna i brandväggen på vägen ut. Om man har Firestarter programmet igång syns det genom att den blå ikonen blir röd.
7. Välj fliken Events och se efter vilken port den vill ut till. Gå tillbaka till 4. och 5. för att skapa en ny regel för detta program - skriv in i Port. Så här fortsätter man program för program. På så sätt har vi koll på trafiken för de program vi använder.
Fortsättningvis kommer vi - i Events - att få andra träffar i Firestarters utgående trafik. Nu börjar det intressanta. Vad är det som vill ut? Är det något vi vet är ok eller är det suspekt? I det senare fallet börjar ett detektivarbete att försöka finna orsaken. Då kan man ta hjälp genom att kolla vilken port och till vilken maskin den vill (destination). Hittar vi inte orsaken låter vi det fastna - så länge vi inte märker någon negativ påverkan i maskinens normala funktion.
Själv hade jag något "okänt" som ville prata med omvärlden. Det visade sig vara TOR, som jag inte använder speciellt mycket och som jag hade glömt att jag överhuvudtagit installerat. Det blev avinstallation och därefter lugnt i brandväggen.
