Discussion:
xp sp2: onko ZoneAlarm enää tarpeen?
(too old to reply)
Janne Juntunen
2004-10-09 18:02:57 UTC
Permalink
On Sat, 09 Oct 2004 11:49:16 +0300, Niko Rosvall
Tietoturvaa opiskelleena voin sanoa että sp2:en palomuuri ei vuoda.(on
testattu).
LeakTest tarkoittaa nimenomaisesti ulospäin vuotamisen testaamista.
Se että sillä ei voi estää sovelluksien pääsyä nettiin...mitä
sitten?
Ratkaiseva osa turvallisuutta. Esim. käyttäjillä on tapana asentaa
koneisiinsa ohjelmistoja ilman että edes tajuavat asentavansa niitä.
Monta kertaa on käyty potkimassa jengiä päähän ja kysymässä, että mitä
v*tttu lataat paskaa koneelle. Kohta sulta lähtee netti alta.
Mielestäni tuollaiset zonealarmin ja jonkun f-securen palomuurit
jotka kyselevät vähän väliä jotain idioottimaisia kysymyksiä,ovat
lähinnä naurettavia.
Ei niitä kysymyksiä tarvitse kysellä, jos on asetukset kunnossa.
Lisäksi voidaan laittaa optio, jolloin mitään liikennettä ei sallita,
ellei sitä ole hyväksytty adminin toimesta. Toisaalta kannattaa myös
estää uusien sovellusten asennus.
Palomuurin tarkoitus on estää yhteydet netistä
koneelle ei koneelta nettiin.
Tai estää asiaton liikenne yleisesti. Silloin myös ulospäin menevää
liikennettä pitää valvoa / estää.
Toki käyttäjän tarvitsee tietää mitä koneella tulee olla ja mitä ei.
esim. adaware on myös virusscannerin lisäksi hyödyllinen työkalu.
Kannattaisi lähteä siitä liikenteeseen, että mitään ei ostettua
sovellusta ei asenneta koneeseen. Sehän on myös lisenssi poliititnen
kysymys.
Kuitenkin jos tietoturva puoli on tuntematon alue ja
konettansa/järjestelmäänsä ei tunne varmasti kunnolla, suosittelen
käyttämään jotakin zonealarmia tai vastaava.
Ohitit kokonaan sen pointin, että ulospäin menevää liikennettä pitää
myös valvoa. Vai onko se mielestäsi turvallista, että johonkin
koneeseen on asennettu esim ohjlemisto joka sallii VPN liikenteen
tunneloimisen verkkoon ja sovellus avaa itse aktiivisesti näitä
yhteyksiä ulospäin.

Mielestäni aikalailla suurehko riski. Lisäksi tuo on kätevästi
dropattavissa, ellei valvontaa ole.

Käyn huoltokäynnillä asiakasyrityksessä. Samalla kun asennan muita
ohjelmistoja palvelimiin, asennan pienen lisäsovelluksen. Ellei
palomuurit ole ajantasalla, minulla on palvelimeen admin tason pääsy,
sekä koko yrityksen verkko käytettävissä domain adminina ja palvelimen
IP-osoitteesta. Eikö sinusta kuulosta huolestuttavalta skenariolta?

Edelleenkin suurin osa tietoturvamurroista tehdään yrityksen sisältä.

Myös yrityksen sisäverkon osalta olen tehnyt mielenkiintoisia
havaintoja. Moniin paikkoihin joihin ei varmasti olisi tarkoitus
päästä, pääsee ihan hyvin. Tähän kun lisätään mahdollisuus olla edes
hetkittäin sisään logatun koneen ääressä, on tilanne todella paha.

Nimenomaisesti https liikenne on ongelmallita. Koska voin ajaa tuossa
protissa serveriä omalla koneella ja https:n datasta kun ei oteta
selvää voidaan sen läpi tunneloida käytännössä mitä tahansa.

Pirullisena asiana voidaan mainita esim Windows Updaten uuden version
toiminta servicenä ja sen tyyli käyttää https:ää. Näin ollen ellei
ylläpito ole tosi tarkkana, saa service puoli mahdollisuuden käyttää
https:ää vapaasti. Pitäisi jaksaa myös servicepuolen ja porttien
käytön lisäksi määritellä IP:t joihin se saa yhteksiä ottaa.
Niko Rosvall
2004-10-09 19:30:38 UTC
Permalink
Post by Janne Juntunen
On Sat, 09 Oct 2004 11:49:16 +0300, Niko Rosvall
Tietoturvaa opiskelleena voin sanoa että sp2:en palomuuri ei vuoda.(on
testattu).
LeakTest tarkoittaa nimenomaisesti ulospäin vuotamisen testaamista.
Se että sillä ei voi estää sovelluksien pääsyä nettiin...mitä
sitten?
Ratkaiseva osa turvallisuutta. Esim. käyttäjillä on tapana asentaa
koneisiinsa ohjelmistoja ilman että edes tajuavat asentavansa niitä.
Monta kertaa on käyty potkimassa jengiä päähän ja kysymässä, että mitä
v*tttu lataat paskaa koneelle. Kohta sulta lähtee netti alta.
Mielestäni tuollaiset zonealarmin ja jonkun f-securen palomuurit
jotka kyselevät vähän väliä jotain idioottimaisia kysymyksiä,ovat
lähinnä naurettavia.
Ei niitä kysymyksiä tarvitse kysellä, jos on asetukset kunnossa.
Lisäksi voidaan laittaa optio, jolloin mitään liikennettä ei sallita,
ellei sitä ole hyväksytty adminin toimesta. Toisaalta kannattaa myös
estää uusien sovellusten asennus.
Palomuurin tarkoitus on estää yhteydet netistä
koneelle ei koneelta nettiin.
Tai estää asiaton liikenne yleisesti. Silloin myös ulospäin menevää
liikennettä pitää valvoa / estää.
Toki käyttäjän tarvitsee tietää mitä koneella tulee olla ja mitä ei.
esim. adaware on myös virusscannerin lisäksi hyödyllinen työkalu.
Kannattaisi lähteä siitä liikenteeseen, että mitään ei ostettua
sovellusta ei asenneta koneeseen. Sehän on myös lisenssi poliititnen
kysymys.
Kuitenkin jos tietoturva puoli on tuntematon alue ja
konettansa/järjestelmäänsä ei tunne varmasti kunnolla, suosittelen
käyttämään jotakin zonealarmia tai vastaava.
Ohitit kokonaan sen pointin, että ulospäin menevää liikennettä pitää
myös valvoa. Vai onko se mielestäsi turvallista, että johonkin
koneeseen on asennettu esim ohjlemisto joka sallii VPN liikenteen
tunneloimisen verkkoon ja sovellus avaa itse aktiivisesti näitä
yhteyksiä ulospäin.
Mielestäni aikalailla suurehko riski. Lisäksi tuo on kätevästi
dropattavissa, ellei valvontaa ole.
Käyn huoltokäynnillä asiakasyrityksessä. Samalla kun asennan muita
ohjelmistoja palvelimiin, asennan pienen lisäsovelluksen. Ellei
palomuurit ole ajantasalla, minulla on palvelimeen admin tason pääsy,
sekä koko yrityksen verkko käytettävissä domain adminina ja palvelimen
IP-osoitteesta. Eikö sinusta kuulosta huolestuttavalta skenariolta?
Edelleenkin suurin osa tietoturvamurroista tehdään yrityksen sisältä.
Myös yrityksen sisäverkon osalta olen tehnyt mielenkiintoisia
havaintoja. Moniin paikkoihin joihin ei varmasti olisi tarkoitus
päästä, pääsee ihan hyvin. Tähän kun lisätään mahdollisuus olla edes
hetkittäin sisään logatun koneen ääressä, on tilanne todella paha.
Nimenomaisesti https liikenne on ongelmallita. Koska voin ajaa tuossa
protissa serveriä omalla koneella ja https:n datasta kun ei oteta
selvää voidaan sen läpi tunneloida käytännössä mitä tahansa.
Pirullisena asiana voidaan mainita esim Windows Updaten uuden version
toiminta servicenä ja sen tyyli käyttää https:ää. Näin ollen ellei
ylläpito ole tosi tarkkana, saa service puoli mahdollisuuden käyttää
https:ää vapaasti. Pitäisi jaksaa myös servicepuolen ja porttien
käytön lisäksi määritellä IP:t joihin se saa yhteksiä ottaa.
Jos nyt aivan totta puhutaan niin yksikään palomuuri oli se sitten rauta
tai softa phjainen ei ole 100% varma. Ei sellaista olekkaan jota ei
voisi murtaa tai kiertää.Ihmisten tekemiä ohjelmia ne vain ovat.

Haluaisimpa nähdä yrityksen joka käyttää verkossaan palomuurina
zonealarmia tai jotain f-securea.Kyllähän niitä varmasti on mutta ei
kovin suurissa yrityksissä.(toivottavasti) Nämä f-securet ja
zonealarmit(varsinkin zonelabsin tuoteet) ovat melkoisia leluja kun
puhutaan palomuureista.Sp2:en mukana tuleva muuri on askel oikeaan
suuntaan,mutta ei sitä tietenkään voi yrityksen käytöön ainoaksi
muuriksi suositella,ei missään nimessä.

Yksi tärkeimmistä asioista tietoturvan kannalta on se että ei asenna
mitään ilmaisia,epämääräisiä softia joita mainostetaan tyyliin "free, no
adware,no nags". Itse käytän suurimmaksi osaksi open source softia,
jotka yleensä vielä käännän itse. Toki kaupallisia softia voi käyttää
melko huoletta,mutta ei niitäkään kannata sinisten silmin aina katsella.

Ratkaiseva osa turvallisuutta ei ole se että palomuuri suodattaa
koneelta ulos lähtevää liikennettä, vaan keskeinen osa on se että
käyttäjät eivät heiluisi ympäri nettiä admineina ja latailisi/asentaisi
jokaiselta sivulta tarjoutuvaa "netin super nopeuttajaa" tai vastaavia
freeware softia. Freeware softia ei juurikaan kannata asentaa, jos
lähdekoodia ei ole saatavana.

Mikä on pahin tietoturva aukko,mikä aiheuttaa tietoturva ongelmia ja
virusten ja matojen leviämistä? Vastaus: Välinpitämättömät admin
käyttäjät, jotka asentelevat sitä sun tätä ja vähän vielä tota ja tota.

Kuinkahan moni lukioista on tällä hetkellä Admin tilillä kirjautuneena?
En minä ainakaan.

Tuossa kun joku puhui että yritysten verkoissa on pääsy paikkoihin mihin
ei pitäisi jne...Tuollaisia asioita ei saa jättää palomuurien varaan,
tietoturva asiantuntijat ovat sitä varten että tuollaisia aukkoja ei
edes pääse syntymään.Valittettavasti liian monet yritykset ovat
välinpitämättömiä tietoturvansa suhteen.

Niko
Markku Nevalainen
2004-10-09 23:20:36 UTC
Permalink
Post by Niko Rosvall
Palomuurin tarkoitus on estää yhteydet netistä koneelle ei koneelta > >>nettiin.
Jos nyt aivan totta puhutaan niin yksikään palomuuri oli se sitten rauta
tai softa pohjainen ei ole 100% varma.
Miksiköhän vaihdoit puheenaiheen täysin yleiselle tasolle, puhumaan 100%
turvallisuuden vaikeudesta? Sillä omaankin silmääni pisti jo aikaisemmin
tuo raflaava väitteesi, että koneesta ulospäin blokkaavilla, Zonealarm
-tyyppisistä ohjelmista ei olisi mitään hyötyä.

Itse pidän päivän selvänä turvallisuusjuttuna että käyttäjälle on oltava
mahdollista estää koneeltaan nettiin tapahtuvat tarpeettomat
yhteydenotot. Ja käyttäjä (tai isoissa taloissa joku atk-turvahenkilö
tms) hallinnoi että mitkä ohjelmat firman koneilta nettiin päästetään.
Post by Niko Rosvall
Haluaisimpa nähdä yrityksen joka käyttää verkossaan palomuurina
zonealarmia tai jotain f-securea.
Aika erikoinen toive, jonka toiveen toteuttaminen ei ole millään lailla
vaikeata. Monet ISP-kauppiaat myyvät ADSL-verkkoyhteyksiensä ohessa
vakiona noita F-Securen, Nortonin, Zonealarmin ym. palomuuri- ja
virussofteja. Joten kyllä niitä palomuuriosioitakin löytyy käytössä
arviolta ainakin muutamassa kymmenessä tuhannessa suomalaisyrityksessä.
Post by Niko Rosvall
Sp2:en mukana tuleva muuri on askel oikeaan suuntaan,mutta ei sitä
tietenkään voi yrityksen käytöön ainoaksi muuriksi suositella,ei
missään nimessä.
No ei tosiaan, jos XP:n ServicePack 2:n palomuurisofta ei osaa suodattaa
ulospäin menevää liikennettä, sillä eihän sille jää silloin mitään
roolia!!

Normaali, edullinen ja toimiva kombinaatio on, että firman sisäverkon
koneet ovat NAT-suojauksella toimivan palomuuripurkin takana. Ja ulos
menevää liikennettä valvoo Zonealarm tai joku vastaava softa. Tällöin
XP:n SP2:lle ei siis jäisi yhtään mitään hommaa.
Post by Niko Rosvall
Toki kaupallisia softia voi käyttää melko huoletta,mutta ei niitäkään
kannata sinisten silmin aina katsella.
Hoh hoijaa, sitä ihmettelen että mikä niistä 'kaupallisista' ohjelmista
noin hienoja ja turvallisia tekee? Ostan verkosta, tai vaikka tilaan
CD:llä jonkin 50..150 euroa maksavan softan, ja lataan sen koneelleni.
Niin *mitä* edellytyksiä tai perusteluja minulla on tällöin uskotella
itselleni, että kyseinen 'kaupallinen' tuote on turvallinen, ei sisällä
troijalaisia. Eikä CD:n tekijä ole vahingossa toimittanut omalta
koneeltaan virusta mukana tms?
Post by Niko Rosvall
Ratkaiseva osa turvallisuutta ei ole se että palomuuri suodattaa
koneelta ulos lähtevää liikennettä, vaan keskeinen osa on se että
käyttäjät eivät heiluisi ympäri nettiä admineina ja latailisi/asentaisi
No tuo on vähän tuollaista paasaamista, joka on kutenkin aika kaukana
arkielämästä. Koneeseensa joutuu tämän tästä päästämään joko verkosta
tai CD-levyiltä milloin minkäkin softatoimittajan päivityksiä tulemaan,
Microsoftin Windows-päivityksiä myöten.
Post by Niko Rosvall
Freeware softia ei juurikaan kannata asentaa, jos lähdekoodia ei
ole saatavana.
Mikäs se rahallinen summa nyt taas olikaan, jonka jälkeen nuo pelottavat
freeware softat muuttuvat 'kaupallisiksi', ja sikäli 'paljon
turvallisemmiksi' ohjelmistoiksi?
Post by Niko Rosvall
Kuinkahan moni lukioista on tällä hetkellä Admin tilillä kirjautuneena?
Kyllä, täysillä oikeuksilla ollaan sisällä melkein aina. Ettei tarvitse
tämän tästä pomppia moodista toiseen.
Post by Niko Rosvall
Tuossa kun joku puhui että yritysten verkoissa on pääsy paikkoihin mihin
ei pitäisi jne...
Millaisiin paikkoihin tuossa nyt oikein viittaat, joihinkin
www-sivustoihinko vai mihin?? Mainitsepa joku tällainen paikka nimeltä,
niin käyn tutustumassa.
Post by Niko Rosvall
Tuollaisia asioita ei saa jättää palomuurien varaan,
tietoturva asiantuntijat ovat sitä varten että tuollaisia aukkoja ei
edes pääse syntymään.
Vai puhutko tässä nyt yrityksen sisäverkon asetuksista, ja
käyttöoikeuden rajauksista siellä, vai mistä tässä on kyse? Sen paremmin
harware kuin software -palomuurejahan harvoin edes käytetään sisäverkon
rajauksien ja segmentointien tekemiseen.
Post by Niko Rosvall
Valittettavasti liian monet yritykset ovat välinpitämättömiä
tietoturvansa suhteen.
Mutta jotakin apuja ilmeisesti tulisi jo siitä, kun poistelee Zonealarm
softat käytöstä, tarpeettomina? Ja lataa tilalle XP:n ja SP2:n, ja alkaa
käyttää vain ohjelmistoja joissa on hintalappu päällä?
No, tuo loppuyhteenveto oli ehkä tarpeettomankin yksioikoinen.

Mutta en kyllä oikeastikaan ymmärrä tuota turvafilosofiaasi, että miten
sellaisia _käytännössä_ toteutellaan maan noin 150.000 kpl
pienyrityksessä vaikkapa.
Firman PC-koneiden sielunelämän jatkuva hoiva ja ylläpito, ja yrityksen
sovellusohjelmien tuotteleminen turvallisista source-koodeista
kääntelemällä voi olla arkipäivää n. 1%:lle maan yrityksistä.

MNe
Ari Laitinen
2004-10-10 08:05:17 UTC
Permalink
Post by Markku Nevalainen
Miksiköhän vaihdoit puheenaiheen täysin yleiselle tasolle, puhumaan 100%
turvallisuuden vaikeudesta? Sillä omaankin silmääni pisti jo aikaisemmin
tuo raflaava väitteesi, että koneesta ulospäin blokkaavilla, Zonealarm
-tyyppisistä ohjelmista ei olisi mitään hyötyä.
Millä tavalla SP2:n palomuuri ei sitten rajoita ulospäin liikennöiviä
ohjelmia? Josko keskustelu olisi pääosin jo sivuraiteella otsikkoon nähden.
Niko Rosvall
2004-10-10 09:02:04 UTC
Permalink
Post by Markku Nevalainen
Post by Niko Rosvall
Palomuurin tarkoitus on estää yhteydet netistä koneelle ei koneelta > >>nettiin.
Jos nyt aivan totta puhutaan niin yksikään palomuuri oli se sitten rauta
tai softa pohjainen ei ole 100% varma.
Miksiköhän vaihdoit puheenaiheen täysin yleiselle tasolle, puhumaan 100%
turvallisuuden vaikeudesta? Sillä omaankin silmääni pisti jo aikaisemmin
tuo raflaava väitteesi, että koneesta ulospäin blokkaavilla, Zonealarm
-tyyppisistä ohjelmista ei olisi mitään hyötyä.
Itse pidän päivän selvänä turvallisuusjuttuna että käyttäjälle on oltava
mahdollista estää koneeltaan nettiin tapahtuvat tarpeettomat
yhteydenotot. Ja käyttäjä (tai isoissa taloissa joku atk-turvahenkilö
tms) hallinnoi että mitkä ohjelmat firman koneilta nettiin päästetään.
Tottakai hallinnoi,en vain tajua että mihin siinä jotain zonealarmia
tarvitaan.
Post by Markku Nevalainen
Post by Niko Rosvall
Haluaisimpa nähdä yrityksen joka käyttää verkossaan palomuurina
zonealarmia tai jotain f-securea.
Aika erikoinen toive, jonka toiveen toteuttaminen ei ole millään lailla
vaikeata. Monet ISP-kauppiaat myyvät ADSL-verkkoyhteyksiensä ohessa
vakiona noita F-Securen, Nortonin, Zonealarmin ym. palomuuri- ja
virussofteja. Joten kyllä niitä palomuuriosioitakin löytyy käytössä
arviolta ainakin muutamassa kymmenessä tuhannessa suomalaisyrityksessä.
Post by Niko Rosvall
Sp2:en mukana tuleva muuri on askel oikeaan suuntaan,mutta ei sitä
tietenkään voi yrityksen käytöön ainoaksi muuriksi suositella,ei
missään nimessä.
No ei tosiaan, jos XP:n ServicePack 2:n palomuurisofta ei osaa suodattaa
ulospäin menevää liikennettä, sillä eihän sille jää silloin mitään
roolia!!
hmmm...
Post by Markku Nevalainen
Normaali, edullinen ja toimiva kombinaatio on, että firman sisäverkon
koneet ovat NAT-suojauksella toimivan palomuuripurkin takana. Ja ulos
menevää liikennettä valvoo Zonealarm tai joku vastaava softa. Tällöin
XP:n SP2:lle ei siis jäisi yhtään mitään hommaa.
Post by Niko Rosvall
Toki kaupallisia softia voi käyttää melko huoletta,mutta ei niitäkään
kannata sinisten silmin aina katsella.
Hoh hoijaa, sitä ihmettelen että mikä niistä 'kaupallisista' ohjelmista
noin hienoja ja turvallisia tekee? Ostan verkosta, tai vaikka tilaan
CD:llä jonkin 50..150 euroa maksavan softan, ja lataan sen koneelleni.
Niin *mitä* edellytyksiä tai perusteluja minulla on tällöin uskotella
itselleni, että kyseinen 'kaupallinen' tuote on turvallinen, ei sisällä
troijalaisia. Eikä CD:n tekijä ole vahingossa toimittanut omalta
koneeltaan virusta mukana tms?
Post by Niko Rosvall
Ratkaiseva osa turvallisuutta ei ole se että palomuuri suodattaa
koneelta ulos lähtevää liikennettä, vaan keskeinen osa on se että
käyttäjät eivät heiluisi ympäri nettiä admineina ja latailisi/asentaisi
No tuo on vähän tuollaista paasaamista, joka on kutenkin aika kaukana
arkielämästä. Koneeseensa joutuu tämän tästä päästämään joko verkosta
tai CD-levyiltä milloin minkäkin softatoimittajan päivityksiä tulemaan,
Microsoftin Windows-päivityksiä myöten.
Miten niin?Itselleni ainakin täyttä arkea.
Post by Markku Nevalainen
Post by Niko Rosvall
Freeware softia ei juurikaan kannata asentaa, jos lähdekoodia ei
ole saatavana.
Mikäs se rahallinen summa nyt taas olikaan, jonka jälkeen nuo pelottavat
freeware softat muuttuvat 'kaupallisiksi', ja sikäli 'paljon
turvallisemmiksi' ohjelmistoiksi?
Tottakai niitä on olemassa luotettaviakin freeware softia. Kumpaan
luotat enemmän: microsoftin ohjelmistoon vai vastaavaan jonka saat
ilmaiseksi netistä? (riippuen tietysti,kuten sanoin en tuomitse kaikkia
freeware softia.)
Post by Markku Nevalainen
Post by Niko Rosvall
Kuinkahan moni lukioista on tällä hetkellä Admin tilillä kirjautuneena?
Kyllä, täysillä oikeuksilla ollaan sisällä melkein aina. Ettei tarvitse
tämän tästä pomppia moodista toiseen.
Öö?ei todellakaan tarvitse. Mikset käyttäisi "suorita nimellä" -
kohtaa?Siis kun olet rajatulla tilillä kirjautuneena ja tarvitsee
asentaa jokin ohjelma,niin suoritat toisena käyttäjänä(admina) sen
asennuksen.Siis jos on tarvis kaikkia ohjelmia ei tarvitse asentaa admin
oikeuksilla.
Post by Markku Nevalainen
Post by Niko Rosvall
Tuossa kun joku puhui että yritysten verkoissa on pääsy paikkoihin mihin
ei pitäisi jne...
Millaisiin paikkoihin tuossa nyt oikein viittaat, joihinkin
www-sivustoihinko vai mihin?? Mainitsepa joku tällainen paikka nimeltä,
niin käyn tutustumassa.
Sisäverkko.
Post by Markku Nevalainen
Post by Niko Rosvall
Tuollaisia asioita ei saa jättää palomuurien varaan,
tietoturva asiantuntijat ovat sitä varten että tuollaisia aukkoja ei
edes pääse syntymään.
Vai puhutko tässä nyt yrityksen sisäverkon asetuksista, ja
käyttöoikeuden rajauksista siellä, vai mistä tässä on kyse? Sen paremmin
harware kuin software -palomuurejahan harvoin edes käytetään sisäverkon
rajauksien ja segmentointien tekemiseen.
Tuossa joku vain otti asian puheeksi.Siksi kommentoin.
Post by Markku Nevalainen
Post by Niko Rosvall
Valittettavasti liian monet yritykset ovat välinpitämättömiä
tietoturvansa suhteen.
Mutta jotakin apuja ilmeisesti tulisi jo siitä, kun poistelee Zonealarm
softat käytöstä, tarpeettomina? Ja lataa tilalle XP:n ja SP2:n, ja alkaa
käyttää vain ohjelmistoja joissa on hintalappu päällä?
No, tuo loppuyhteenveto oli ehkä tarpeettomankin yksioikoinen.
No sanotaan nyt näin:Henk.koht se on minulle aivan sama mitä kukin
käyttää. Tärkeämpää on se että järjestelmässä ei ole aukkoja.Se on
sitten eriasia onko niitä vai ei.
Post by Markku Nevalainen
Mutta en kyllä oikeastikaan ymmärrä tuota turvafilosofiaasi, että miten
sellaisia _käytännössä_ toteutellaan maan noin 150.000 kpl
pienyrityksessä vaikkapa.
Firman PC-koneiden sielunelämän jatkuva hoiva ja ylläpito, ja yrityksen
sovellusohjelmien tuotteleminen turvallisista source-koodeista
kääntelemällä voi olla arkipäivää n. 1%:lle maan yrityksistä.
MNe
Tuossa olet kyllä oikeassa. Käyttäytyminen josta puhuin todellakin
vaatisi kaikkiin yrityksiin tietoturvaasiantuntijan joka nämä hoitaisi.
Toisaalta kunnollisen järjestelmän pystyynlaittaminen vaatii aikaa ja
osaamista vain kerran sitten se pyörii omillaan. No,tuo oli karkeasti
ajateltu, mutta ei yrityksessä tarvita välttämättä vakituista asiantuntijaa.

Niko

puolestani voidaan lopettaa tämä topicci tähän.Menee
mielipidekeskusteluksi ja aivan offtopic. :)
Markku Nevalainen
2004-10-10 09:41:22 UTC
Permalink
Post by Niko Rosvall
Tottakai hallinnoi,en vain tajua että mihin siinä jotain zonealarmia
tarvitaan.
Joten mitä teknistä menetelmää siis ehdotat tilalle helpoksi välineeksi,
kun haluat kitkeä tällaiset PC:llä pyörivät palomuuriohjelmat pois?
Post by Niko Rosvall
Post by Markku Nevalainen
No ei tosiaan, jos XP:n ServicePack 2:n palomuurisofta ei osaa suodattaa
ulospäin menevää liikennettä, sillä eihän sille jää silloin mitään
roolia!!
hmmm...
Eipä kovin syvällinen kommentti. Joku mainitsi että SP2 osaisi tuon
ulospäin suuntautuvan liikenteen blokkauksen aivan hyvin, joten tähän
hommaan SP2:ta siis voisi ajatella käyttää. Mutta ulospäin menevien
yhteydenottojen blokkaaminen kun oli toisaalta mielestäsi tarpeetonta...
Post by Niko Rosvall
Tottakai niitä on olemassa luotettaviakin freeware softia. Kumpaan
luotat enemmän: microsoftin ohjelmistoon vai vastaavaan jonka saat
ilmaiseksi netistä?
Alkuperäinen väitteesi oli kuitenkin tällainen: "Toki kaupallisia softia
voi käyttää melko huoletta,mutta ei niitäkään kannata sinisten silmin
aina katsella."

Ja tarkentava kysymykseni kuului että mikä niistä kaupallisista
ohjelmista noin turvallisia tekee, ja mistä ohjelman hintaluokasta
ylöspäin?
Post by Niko Rosvall
Öö?ei todellakaan tarvitse. Mikset käyttäisi "suorita nimellä" -
kohtaa?Siis kun olet rajatulla tilillä kirjautuneena ja tarvitsee
asentaa jokin ohjelma,niin suoritat toisena käyttäjänä(admina) sen
asennuksen.Siis jos on tarvis kaikkia ohjelmia ei tarvitse asentaa admin
oikeuksilla.
Miksi vaivautua moiseen? Jos joku pahantahtoinen henkilö on päässyt
koneelleni vaikka Userina, niin hän saa siltikin jo niin pahaa jälkeä
aikaiseksi, että tuollaisesta pikkukikkailusta ei ole enää mitään
hyötyä.
Post by Niko Rosvall
Toisaalta kunnollisen järjestelmän pystyynlaittaminen vaatii aikaa ja
osaamista vain kerran sitten se pyörii omillaan.
Eikä pyöri. Kyllä tuollaiset järjestelmät vaativat säännöllisin
väliajoin jotakin huoltoa, päivitystä ja tarkennuksia. Tai sitten koko
yrityksen tietojärjestelmä täytyy olla joku täysin Zombieksi jäädytetty
kiinteä kalikka. Jonka ohjelmiin ja laitteisiin ja yhteyksiin ei ikinä
tehdä mitään muutoksia, päivityksiä tms.
Post by Niko Rosvall
puolestani voidaan lopettaa tämä topicci tähän.Menee
mielipidekeskusteluksi ja aivan offtopic. :)
Kiinnostuin vain alkuperäisistä väittämistäsi, mm. ulospäin menevän
liikenteen blokkauksen tarpeettomuudesta. Ja kertomastasi kaupallisten
ohjelmien turvallisuudesta ym.

Missä vaiheessa keskustelu nyt on mennnyt sfnet.atk.turvallisuus
-ryhmän, tai edes otsikon Zonealarmin aiheesta off-topic?

MNe
Niko Rosvall
2004-10-10 12:18:04 UTC
Permalink
Post by Markku Nevalainen
Post by Niko Rosvall
Tottakai hallinnoi,en vain tajua että mihin siinä jotain zonealarmia
tarvitaan.
Joten mitä teknistä menetelmää siis ehdotat tilalle helpoksi välineeksi,
kun haluat kitkeä tällaiset PC:llä pyörivät palomuuriohjelmat pois?
Post by Niko Rosvall
Post by Markku Nevalainen
No ei tosiaan, jos XP:n ServicePack 2:n palomuurisofta ei osaa suodattaa
ulospäin menevää liikennettä, sillä eihän sille jää silloin mitään
roolia!!
hmmm...
Eipä kovin syvällinen kommentti. Joku mainitsi että SP2 osaisi tuon
ulospäin suuntautuvan liikenteen blokkauksen aivan hyvin, joten tähän
hommaan SP2:ta siis voisi ajatella käyttää. Mutta ulospäin menevien
yhteydenottojen blokkaaminen kun oli toisaalta mielestäsi tarpeetonta...
Se ei varsinaisesti osaa estää koneelta ulospäin lähteviä pyyntöjä,mutta
se osaa kysyä että sallitaanko tähän ohjelmaan ulkopäin tuleva
pyyntö.Näin juuri esim.troijalaiset toimivat.Kun troijalainen tulee
koneellesi se yrittää ottaa yhteyttä kirjoittajaansa. Sitten kirjoittaja
ottaa yhteyden täähn troijalaiseen ja siinä vaiheessa XP kysyy että
sallitko tämän ohjelman vastaanottaa yhteyksiä sieltä ja sieltä.

Eli xp:n palomuuri sallii kaikki ulosmenevät yhteydet paitsi silloin jos
kyseiseen ohjelmaan yritetään ottaa yhteyttä ulkomaailmasta.
Post by Markku Nevalainen
Post by Niko Rosvall
Tottakai niitä on olemassa luotettaviakin freeware softia. Kumpaan
luotat enemmän: microsoftin ohjelmistoon vai vastaavaan jonka saat
ilmaiseksi netistä?
Alkuperäinen väitteesi oli kuitenkin tällainen: "Toki kaupallisia softia
voi käyttää melko huoletta,mutta ei niitäkään kannata sinisten silmin
aina katsella."
Ja tarkentava kysymykseni kuului että mikä niistä kaupallisista
ohjelmista noin turvallisia tekee, ja mistä ohjelman hintaluokasta
ylöspäin?
Tunnetujen firmojen,esim. mikkisoft.Luuletko että se esim. lisäisi
troijalaisia ohjelmiinsa?Mikään kaupallinenkaan softa ei ole täysin
luotettava mutta suuremmalla todennäköisyydellä kuin ilmaisohjelmat.
Freeware softilla tarkoitin karkeasti epämääräisiä netin nopeuttajia
sekä kaiken maailman "cooleja" softia,screensavereita, ilmaispelejä jne.
Post by Markku Nevalainen
Post by Niko Rosvall
Öö?ei todellakaan tarvitse. Mikset käyttäisi "suorita nimellä" -
kohtaa?Siis kun olet rajatulla tilillä kirjautuneena ja tarvitsee
asentaa jokin ohjelma,niin suoritat toisena käyttäjänä(admina) sen
asennuksen.Siis jos on tarvis kaikkia ohjelmia ei tarvitse asentaa admin
oikeuksilla.
Miksi vaivautua moiseen? Jos joku pahantahtoinen henkilö on päässyt
koneelleni vaikka Userina, niin hän saa siltikin jo niin pahaa jälkeä
aikaiseksi, että tuollaisesta pikkukikkailusta ei ole enää mitään
hyötyä.
Heh,kukaan ei tule koneellesi userina... *nauraa* ... tästä nyt on turha
puhua kun en näytä hakkeroinnin/kräkkäämisen toimintaa tuntea.

Ainoastaan koneellesi saatetaan tulla userina niin että jätä koneesi
lukitsematta kun lähdet jonnekin ja joku murtautuu kotiisi.Siinä ei
palomuurit auta. :)Tässäkin tapauksessa erittäin epätodennäköisestä että
murtautuja yrittäisi skannatta user tilisi salasanaa.Tod.näk. tälläinen
henkilö selvittäisi tiliesi security id:t ja sen perusteella valitsi
skannattavaksi admin tilin salasanan. Ja jos nyt luodaan skenaario siitä
että joku tulisi koneellesi userina netin kautta niin tämä henkilö ei
pysty tekemään mitään. Vaikka hän yrittäisi käyttää "suorita nimellä"
-toimintoa ja huonon salasanan takia ehtisi murtaa sen realistisessä
ajassa niin korkeitaan voisi asentaa koneellesi jotain paskaa.Suorita
nimellä toiminolla et voi valjastaa konetta esim botiksi, et pysty
poistamaan ohjelmia,et tuhoamaan mitään. Suorita nimellä-toiminto on
sitä varten että voit asentaa esim. virustorjunnan ilman admin
kirjautumista. Suorita nimellä toiminnolla et voi edes eheyttää kiintolevyä.
Post by Markku Nevalainen
Post by Niko Rosvall
Toisaalta kunnollisen järjestelmän pystyynlaittaminen vaatii aikaa ja
osaamista vain kerran sitten se pyörii omillaan.
Eikä pyöri. Kyllä tuollaiset järjestelmät vaativat säännöllisin
väliajoin jotakin huoltoa, päivitystä ja tarkennuksia. Tai sitten koko
yrityksen tietojärjestelmä täytyy olla joku täysin Zombieksi jäädytetty
kiinteä kalikka. Jonka ohjelmiin ja laitteisiin ja yhteyksiin ei ikinä
tehdä mitään muutoksia, päivityksiä tms.
Muistaakseni mainitsin että yritys ei tarvitse vakituista
tietoturva-asiantuntijaa. Systeemi tulisi suunnitella siten että tämä
tietoturvahemmo tulisi tarkistamaan järjestelmän tietyin
väliajoin.Keikkaluonteisesti. Voin ainakin sanoa että näin toimitaan
muutamissa tuntemissani yrityksissä.
Post by Markku Nevalainen
Post by Niko Rosvall
puolestani voidaan lopettaa tämä topicci tähän.Menee
mielipidekeskusteluksi ja aivan offtopic. :)
Kiinnostuin vain alkuperäisistä väittämistäsi, mm. ulospäin menevän
liikenteen blokkauksen tarpeettomuudesta. Ja kertomastasi kaupallisten
ohjelmien turvallisuudesta ym.
Missä vaiheessa keskustelu nyt on mennnyt sfnet.atk.turvallisuus
-ryhmän, tai edes otsikon Zonealarmin aiheesta off-topic?
MNe
Enpä tiedä...

Niko
Markku Nevalainen
2004-10-10 15:14:00 UTC
Permalink
Kun troijalainen tulee koneellesi se yrittää ottaa yhteyttä
kirjoittajaansa. Sitten kirjoittaja ottaa yhteyden täähn troijalaiseen
ja siinä vaiheessa XP kysyy että sallitko tämän ohjelman vastaanottaa
yhteyksiä sieltä ja sieltä.
Käytössäni ei ole XP:tä, että voisin tarkentaa toimiiko ko. palomuuri
juuri tuolla tavalla.

Ainakaan en nyt täysin sisäistä tuon logiikan hienoutta. Jos
troijalainen ohjelma on siis jo saanut yhteyden ulkomaailmaan, niin
silloin se voi jo toimia vaikka millaisena spämmiserverinä. Ja myös
siirtää dataa molempiin suuntiin. Ei siinä enää mitään lisälupia
tarvitse kysellä.

Luvan saaneena tällainen troijalainen voi ottaa ajastetusti vaikka
kerran vuorokaudessa yhteyksiä luojansa koneelle, ja suorittaa pyydetyt
spämmäyksen palvelutehtävät.

Tuolla kuvatulla tavalla toimivana SP:n softapalomuuri vaikuttaa aivan
pösilöltä idealta, jos se ei blokkaa ulospäin otettavia yhteyksiä saman
tien.

Huomaa hyvin että se on MS:n tekemä, MS ei tietenkään halua estää omia
ohjelmiaan ottamasta yhteyksiä koneesta ulospäin ihan milloin huvittaa.
Niin ohjelmien rekisteröintitarkistukset ym. on helpompaa hoidella.

Samalla tosin pidetään reittiä avoinna muillekin takaoven
tarvitsijoille.

MNe
PW
2004-10-10 15:18:23 UTC
Permalink
Post by Markku Nevalainen
Tuolla kuvatulla tavalla toimivana SP:n softapalomuuri vaikuttaa aivan
pösilöltä idealta, jos se ei blokkaa ulospäin otettavia yhteyksiä saman
tien.
MS on kertonut jossain vaiheessa, että SP2:ssa päähuomio kiinnitetään
turvallisuuteen. On myös sanottu, että SP2:n palomuuri on parempi, kuin
edeltäjänsä.
Siksi kuvittelin, että olisivat laittaneet palomuuriin myös ulospäin
menevän liikenteen valvonnan. Olin näköjään tuossa väärässä.

Onneksi TW:ssä on palomuuri, niin ei tarvitse SP2:n palomuuria käyttää
(onhan tuossa virsskannerissakin palomuuri - käyttämättömänä).
--
P.W.
Ari Laitinen
2004-10-10 17:08:28 UTC
Permalink
Post by PW
Siksi kuvittelin, että olisivat laittaneet palomuuriin myös ulospäin
menevän liikenteen valvonnan. Olin näköjään tuossa väärässä.
Täytyy tosiaan todeta, että he ovat vain "parantaneet" valvontaa, jolla
estetään yhteyksien avaaminen koneeseen ulkoapäin. Erilaisista
kirjoituksista saa niin erilaisen kuvan asiasta.
Niko Rosvall
2004-10-10 17:18:33 UTC
Permalink
Post by Markku Nevalainen
Kun troijalainen tulee koneellesi se yrittää ottaa yhteyttä
kirjoittajaansa. Sitten kirjoittaja ottaa yhteyden täähn troijalaiseen
ja siinä vaiheessa XP kysyy että sallitko tämän ohjelman vastaanottaa
yhteyksiä sieltä ja sieltä.
Käytössäni ei ole XP:tä, että voisin tarkentaa toimiiko ko. palomuuri
juuri tuolla tavalla.
Ainakaan en nyt täysin sisäistä tuon logiikan hienoutta. Jos
troijalainen ohjelma on siis jo saanut yhteyden ulkomaailmaan, niin
silloin se voi jo toimia vaikka millaisena spämmiserverinä. Ja myös
siirtää dataa molempiin suuntiin. Ei siinä enää mitään lisälupia
tarvitse kysellä.
Luvan saaneena tällainen troijalainen voi ottaa ajastetusti vaikka
kerran vuorokaudessa yhteyksiä luojansa koneelle, ja suorittaa pyydetyt
spämmäyksen palvelutehtävät.
Tuolla kuvatulla tavalla toimivana SP:n softapalomuuri vaikuttaa aivan
pösilöltä idealta, jos se ei blokkaa ulospäin otettavia yhteyksiä saman
tien.
Huomaa hyvin että se on MS:n tekemä, MS ei tietenkään halua estää omia
ohjelmiaan ottamasta yhteyksiä koneesta ulospäin ihan milloin huvittaa.
Niin ohjelmien rekisteröintitarkistukset ym. on helpompaa hoidella.
Samalla tosin pidetään reittiä avoinna muillekin takaoven
tarvitsijoille.
MNe
Kaikki oikeat palomuurit toimivat näin. Tai eivät itseasiassa ihan noin
kuin selitin, mutta kuitenkin. Huomaa tässä että oma ilmaisu taito on
hieman huono, on nimittäin todella vaikeata tuoda esille asiaa niinkuin
on tarkoitus.
Markku Nevalainen
2004-10-10 17:49:38 UTC
Permalink
Post by Niko Rosvall
Post by Markku Nevalainen
Kun troijalainen tulee koneellesi se yrittää ottaa yhteyttä
kirjoittajaansa. Sitten kirjoittaja ottaa yhteyden täähn troijalaiseen
ja siinä vaiheessa XP kysyy että sallitko tämän ohjelman vastaanottaa
yhteyksiä sieltä ja sieltä.
Tuolla kuvatulla tavalla toimivana SP:n softapalomuuri vaikuttaa aivan
pösilöltä idealta, jos se ei blokkaa ulospäin otettavia yhteyksiä saman
tien.
Kaikki oikeat palomuurit toimivat näin. Tai eivät itseasiassa ihan noin
kuin selitin, mutta kuitenkin.
Niin, siis ulkoa tulevat yhteydenotot joko a) torjutaan, tai b) ohjataan
ne johonkin tiettyyn sisäverkon osoitteeseen käsiteltäväksi jollakin
hallitulla tavalla. Tällainen ulkoa tulevan a)-yhteydenoton
torjuminenhan on se kaikkein alkellisin toiminto jonka risaisinkin
palomuuripurkki tai palomuurisofta osaa vakiona tehdä.

Koska en omista toimintakunnossa olevaa XP-konetta, niin en oikein
hiffaa että mitä hienoa SP2 on juuri tuohon kohtaan tuonut.
Käsittääkseni jopa vanha XP:n palomuuri osasi ainakin jollakin tasolla
saman alkeellisen torjunnan. Tosin esim. MS-Blaster kulki muistaakseni
normaalia marssivauhtia läpi XP:n palomuurista.
Post by Niko Rosvall
Huomaa tässä että oma ilmaisu taito on hieman huono, on nimittäin todella
vaikeata tuoda esille asiaa niinkuin on tarkoitus.
Nou hätä, en ole vetelemässä ketään hirteen tämän asian johdosta:)
On se mukava kuulla, vaikka pikaisemminkin sanavalinnoin selitettynä,
että mitä muutoksia XP:hen on tullut. Jos vaikkapa oikeasti jotakin
parannusta olisi tullut juuri XP:n palomuuripuolelle.

MNe
Ari Laitinen
2004-10-10 18:06:04 UTC
Permalink
Post by Markku Nevalainen
Koska en omista toimintakunnossa olevaa XP-konetta, niin en oikein
hiffaa että mitä hienoa SP2 on juuri tuohon kohtaan tuonut.
Käsittääkseni jopa vanha XP:n palomuuri osasi ainakin jollakin tasolla
saman alkeellisen torjunnan. Tosin esim. MS-Blaster kulki muistaakseni
normaalia marssivauhtia läpi XP:n palomuurista.
Ei kulje Blasteri XP:n palomuurista läpi. Parannusta on tullut lähinnä
siinä, että tässä voi säätää tarkemmin ja ohjelma antaa varoituksen jos se
ennalta arvaamattomasti jotain alkaa rajoittamaan. Se ei siis hälytä
tunkeilijoista vaan mahdollisesti epäilyttävistä tapahtumista, jotka voivat
tarjota tunkeilijalle reitin sisään. Säätöjen suhteen sillä voi rajoittaa
mistä yhteyksiä otetaan vastaan.
Niko Rosvall
2004-10-10 19:50:41 UTC
Permalink
Post by Ari Laitinen
Post by Markku Nevalainen
Koska en omista toimintakunnossa olevaa XP-konetta, niin en oikein
hiffaa että mitä hienoa SP2 on juuri tuohon kohtaan tuonut.
Käsittääkseni jopa vanha XP:n palomuuri osasi ainakin jollakin tasolla
saman alkeellisen torjunnan. Tosin esim. MS-Blaster kulki muistaakseni
normaalia marssivauhtia läpi XP:n palomuurista.
Ei kulje Blasteri XP:n palomuurista läpi. Parannusta on tullut lähinnä
siinä, että tässä voi säätää tarkemmin ja ohjelma antaa varoituksen jos se
ennalta arvaamattomasti jotain alkaa rajoittamaan. Se ei siis hälytä
tunkeilijoista vaan mahdollisesti epäilyttävistä tapahtumista, jotka voivat
tarjota tunkeilijalle reitin sisään. Säätöjen suhteen sillä voi rajoittaa
mistä yhteyksiä otetaan vastaan.
Joo ei mene blasteri läpi jos on xp:N muuri päällä oli se sitten se
vanhempi tai tämä sp2 versio. Senkin leviäminen johtui suurimmaksi
osaksi siitä että ihmiset eivät huolehdi/osaa huolehtia tai ymmärrä
tietoturvan merkitystä kotikoneissa.
Janne Juntunen
2004-10-11 13:45:12 UTC
Permalink
On Sun, 10 Oct 2004 19:49:38 +0200, Markku Nevalainen
Post by Markku Nevalainen
Niin, siis ulkoa tulevat yhteydenotot joko a) torjutaan, tai b) ohjataan
ne johonkin tiettyyn sisäverkon osoitteeseen käsiteltäväksi jollakin
hallitulla tavalla. Tällainen ulkoa tulevan a)-yhteydenoton
torjuminenhan on se kaikkein alkellisin toiminto jonka risaisinkin
palomuuripurkki tai palomuurisofta osaa vakiona tehdä.
VÄÄRIN VÄÄRIN! Mä en ole ikinä tajunnut kenen pösilön idea on tuo B
ratkaisu. Ne huom, ohjataan omaan DMZ alueeseen, joka ei ole missään
tekemissä trusted networking kanssa. Jos on, on joku tehnyt jotain
todella tyhmää.
Aki Peltola
2004-10-10 19:37:09 UTC
Permalink
Post by Markku Nevalainen
Tuolla kuvatulla tavalla toimivana SP:n softapalomuuri vaikuttaa aivan
pösilöltä idealta, jos se ei blokkaa ulospäin otettavia yhteyksiä saman
tien.
Enpä usko, että edes MS:llä olisivat _niin_ typeriä, että
olisivat vain "unohtaneet" tai olleet liian laiskoja laittaakseen
ulosmenoliikenteen blokkaukset SP2-palomuuriin.

Silloinhan se olisi peräti kunnollinen palomuuri ja mikä syy
käyttäjillä enää olisi muita kolmansien osapuolien palomuureja
asennella? Paitsi ehkä nämä kärkkäimmät "M$ sUkz"-fanit,
jotka jonkun ihmeperiaatteensa vuoksi välttelevät käyttämästä
MS-softaa _Windowsissaan_ :-)

Joko MS:llä a) katsovat, että tällainen "täysfunktionaalinen"
palomuuri olisi liian vaikea normaalikäyttäjälle tai b) ajattelivat,
että tulisi suuri haloo jos alkaisivat tunkea palomuurimarkkinoille
vieden leipää muilta softapalomuurien valmistajilta.

Mitäs XP:stä vakiona sitten enää puuttuisikaan, virustorjunta?
Suhteellisen toimiva popup-blokkerikin kun löytyy.
riku
2004-10-11 11:44:50 UTC
Permalink
On Sun, 10 Oct 2004 17:14:00 +0200, Markku Nevalainen
Post by Markku Nevalainen
Huomaa hyvin että se on MS:n tekemä, MS ei tietenkään halua estää omia
ohjelmiaan ottamasta yhteyksiä koneesta ulospäin ihan milloin huvittaa.
Niin ohjelmien rekisteröintitarkistukset ym. on helpompaa hoidella.
Erittäin hyvä pointti. Jostain syystä MS Media Playerikin haluaa aina
ehdoin tahdoin ottaa yhteyttä nettiin, kun ajan sen.
Ari Laitinen
2004-10-10 17:05:50 UTC
Permalink
Post by Niko Rosvall
Se ei varsinaisesti osaa estää koneelta ulospäin lähteviä pyyntöjä,mutta
se osaa kysyä että sallitaanko tähän ohjelmaan ulkopäin tuleva pyyntö.Näin
juuri esim.troijalaiset toimivat.Kun troijalainen tulee
Niin Windowsin SP2 palomuuri vaatii varmistuksen ennenkuin antaa ohjelman
avata verkkoliikennettä kuuntelevaa sokettia. Näin se siis estää
tarvittaessa palvelintyyppisen ohjelman näkymisen verkkoon eli ohjelman,
joka sallisi jonkin tahon ottaa koneelle yhteys jotain tuntematonta
tarkoitusta varten milloin tahansa.

Sen sijaan, jos ohjelma haluaa avata yhteyden johonkin tiettyyn paikkaan
niin sitä se ei pienen kokeiluni mukaan estä.

Toisaalta hyvä kysymys on, mitä tällainen estäminen lopulta auttaisi, jos
sen kumminkin voisi kiertää? MS on näemmä ottanut sellaisen varman linjan,
että palomuurilla ei saa konetta rikottua. Yleisin ongelma näiden
lelupalomuurien kanssa on se, että käyttäjä menee estämään haluamaansa
verkkoliikennettä ymmärtämättömyyksissään ja sallii sitten ei toivotun
liikenteen jälleen kerran ymmärtämättömyyksissään.
Niko Rosvall
2004-10-10 17:28:47 UTC
Permalink
Post by Ari Laitinen
Post by Niko Rosvall
Se ei varsinaisesti osaa estää koneelta ulospäin lähteviä pyyntöjä,mutta
se osaa kysyä että sallitaanko tähän ohjelmaan ulkopäin tuleva pyyntö.Näin
juuri esim.troijalaiset toimivat.Kun troijalainen tulee
Niin Windowsin SP2 palomuuri vaatii varmistuksen ennenkuin antaa ohjelman
avata verkkoliikennettä kuuntelevaa sokettia. Näin se siis estää
tarvittaessa palvelintyyppisen ohjelman näkymisen verkkoon eli ohjelman,
joka sallisi jonkin tahon ottaa koneelle yhteys jotain tuntematonta
tarkoitusta varten milloin tahansa.
Sen sijaan, jos ohjelma haluaa avata yhteyden johonkin tiettyyn paikkaan
niin sitä se ei pienen kokeiluni mukaan estä.
ei estä,mutta jos tähän kyseiseen ohjelmaan yritetään ottaa yhteys
ulkoapäin niin silloin palomuuri kysyy sallitko sen.
Post by Ari Laitinen
Toisaalta hyvä kysymys on, mitä tällainen estäminen lopulta auttaisi, jos
sen kumminkin voisi kiertää? MS on näemmä ottanut sellaisen varman linjan,
että palomuurilla ei saa konetta rikottua. Yleisin ongelma näiden
lelupalomuurien kanssa on se, että käyttäjä menee estämään haluamaansa
verkkoliikennettä ymmärtämättömyyksissään ja sallii sitten ei toivotun
liikenteen jälleen kerran ymmärtämättömyyksissään.
Siinäpä se. Suurin osa madoista ja troijalaisista osaa kiertää yleisien
palomuurien (symantec,f-secure,norman...) suojaukset ja ohittavat
palomuurin valvovat silmät. Ulkoa sisälle on vaikea tehdä troijlaista
joka kiertäisi palomuurin, mutta se että se pääsee sisältä ulospäin, on
ikävä kyllä yleisestä näistä kyselevistä palomuureista huolimatta.

Niko
Markku Nevalainen
2004-10-10 18:04:27 UTC
Permalink
Post by Niko Rosvall
ei estä,mutta jos tähän kyseiseen ohjelmaan yritetään ottaa yhteys
ulkoapäin niin silloin palomuuri kysyy sallitko sen.
Kräkkerithän ovat jo vuosikausia pommittaneet 24 h/vrk summamutikassa
kaikkia maailman netissä olevia koneita. Kolkuttelevat koneen eri
ohjelmien tunnetusti käytämiä portteja, josko siellä PC:ssä olisi jokin
ohjelma käynnissä ja joka vastaa tämän portin kautta tehtyyn
yhteyspyyntöön.

Alkeellisenkin palomuuripurkin tai palomuurisoftan tehtävänä on estää
näiden ulkoa tulevien kutsujen pääsy PC-koneelle asti, jolloin PC:ssä
olevat softat eivät voi niihin vastailla, ja availla pyydettyjä
yhteyksiä.

Joten mitä eroa XP:n uusi SP2 siis tuo tähän yleiseen palomuurien
perustoiminnallisuuteen?
Post by Niko Rosvall
Suurin osa madoista ja troijalaisista osaa kiertää yleisien
palomuurien (symantec,f-secure,norman...) suojaukset ja ohittavat
palomuurin valvovat silmät.
Useimmat madot eivät kumma kyllä edelleenkään osaa yleisesti ohittaa
noita ohjelmia. Yksinkertainen toimiva tapa on käyttää 'turvalliseksi'
määriteltyä IE:tä välittävänä gatewayna, jolloin palomuurisoftat eivät
huomaa mitään tapahtuvan. Mutta toistaiseksi matojen ei ole raportoitu
juurikaan käyttävän tuota reittiä.

MNe
Niko Rosvall
2004-10-10 19:46:34 UTC
Permalink
Post by Markku Nevalainen
Post by Niko Rosvall
ei estä,mutta jos tähän kyseiseen ohjelmaan yritetään ottaa yhteys
ulkoapäin niin silloin palomuuri kysyy sallitko sen.
Kräkkerithän ovat jo vuosikausia pommittaneet 24 h/vrk summamutikassa
kaikkia maailman netissä olevia koneita. Kolkuttelevat koneen eri
ohjelmien tunnetusti käytämiä portteja, josko siellä PC:ssä olisi jokin
ohjelma käynnissä ja joka vastaa tämän portin kautta tehtyyn
yhteyspyyntöön.
Onneksi nykyään palomuurit oikein säädettynä osaavat piilottaa koneen
kuten sp2:kin muuri.Eli kräkkeri lähtee tutkimaan onko jossain tietyssä
ip:ssä konetta niin sp2:n ja monien muiden palomuurit osaavat piilottaa
kaikki 653xx porttia niin että kräkkeri ei saa tietoa irti eli konetta
ei periaatteessa ole olemassa.Suurin osa murroista tapahtuukin jonkin
paikkaamattoman aukon takia tai sitten sen takia että yksinkertaisesti
ei käytetä palomuuria ja jos käytetään niin asetukset ovat mitä sattuu.

Yksi omituisimmista vastaantulleista tilanteista on se kun f-securen
palomuuri oletuksena vastasi ping-kutsuun.Tai ei palomuuri,mutta salli
koneen vastata siihen.(en ole varma oliko f-secure).ICMP echo reguesthan
on yksi helpoimpia tapoja selvittää onko jossain ip:ssä konetta.
Post by Markku Nevalainen
Alkeellisenkin palomuuripurkin tai palomuurisoftan tehtävänä on estää
näiden ulkoa tulevien kutsujen pääsy PC-koneelle asti, jolloin PC:ssä
olevat softat eivät voi niihin vastailla, ja availla pyydettyjä
yhteyksiä.
Joten mitä eroa XP:n uusi SP2 siis tuo tähän yleiseen palomuurien
perustoiminnallisuuteen?
Ei varsinaiseti mitän mutta hoitaa hommansa huomattavasti paremmin kuin
monet muut.
Post by Markku Nevalainen
Post by Niko Rosvall
Suurin osa madoista ja troijalaisista osaa kiertää yleisien
palomuurien (symantec,f-secure,norman...) suojaukset ja ohittavat
palomuurin valvovat silmät.
Useimmat madot eivät kumma kyllä edelleenkään osaa yleisesti ohittaa
noita ohjelmia. Yksinkertainen toimiva tapa on käyttää 'turvalliseksi'
määriteltyä IE:tä välittävänä gatewayna, jolloin palomuurisoftat eivät
huomaa mitään tapahtuvan. Mutta toistaiseksi matojen ei ole raportoitu
juurikaan käyttävän tuota reittiä.
Yksi tapa on käyttää windowsien plug'n'play palvelua hyväkseen.(en
muista kyseisen portin nimeä joka tuohon liittyy) Monet tunnetutkin
palomuuriohjelmat eivät torju tätä,kumma kyllä.Yllätyin iloisesti
testeissäni kun huomasin että sp2:en oma muuri ei ainoastaan sulje,vaan
myöskin piilottaa tämän palvelun ja sen käyttämän portin,niinkuin se
tekee kaikille porteille.
Post by Markku Nevalainen
MNe
JR
2004-10-10 20:05:01 UTC
Permalink
Post by Niko Rosvall
Yksi omituisimmista vastaantulleista tilanteista on se kun f-securen
palomuuri oletuksena vastasi ping-kutsuun.Tai ei palomuuri,mutta salli
koneen vastata siihen.(en ole varma oliko f-secure)
Siis oliko koneessa F-Secure vai ei vai vastasiko se vai ei, jäi hämäräksi?
Jouko Holopainen
2004-10-11 02:29:05 UTC
Permalink
Post by Niko Rosvall
Onneksi nykyään palomuurit oikein säädettynä osaavat piilottaa koneen
kuten sp2:kin muuri.
Minun tietääkseni sp2:n palomuuri ei osaa piilottaa konetta.
Vai oliko se niin, että perusasetuksilla se ei piilota?

<http://www.flexbeta.net/main/articles.php?action=show&id=76>
--
@jhol

En usko että Dirac oli onnellinen. Kukapa haluaisi olla äärettömän
onnellinen äärettömän lyhyen aikaa. Ja vieläpä vain yhden edestä.
Pertti Kosunen
2004-10-11 10:27:02 UTC
Permalink
Post by Jouko Holopainen
Minun tietääkseni sp2:n palomuuri ei osaa piilottaa konetta.
Eihän softamuurilla saa samaa konetta jossa muuria ajetaan piiloon,
vaikka jotkin testit stealthia näyttääkin.
Niko Rosvall
2004-10-11 13:11:41 UTC
Permalink
Post by Jouko Holopainen
Post by Niko Rosvall
Onneksi nykyään palomuurit oikein säädettynä osaavat piilottaa koneen
kuten sp2:kin muuri.
Minun tietääkseni sp2:n palomuuri ei osaa piilottaa konetta.
Vai oliko se niin, että perusasetuksilla se ei piilota?
<http://www.flexbeta.net/main/articles.php?action=show&id=76>
Kyllä piilottaa koneen. Ihan perusasetuksista en tiedä, mutta
kuitenkin.(en koskaan tyydy perus asetuksiin,yleensä)

Niko
Ari H
2004-10-12 11:35:00 UTC
Permalink
Post by Niko Rosvall
Kyllä piilottaa koneen. Ihan perusasetuksista en tiedä, mutta
kuitenkin.(en koskaan tyydy perus asetuksiin,yleensä)
Koneen piilottaminen ihan "oikeasti" on todella vaikea, koska koneen
gatewayn pitää kuitenkin tietää että se kone on olemassa (muutenhan
koko netti ei toimi). Reititin taas avuliaasti kertoo ICMP-viestillä
jos se saa välitettäväkseen paketin jota se ei voi toimittaa perille
(ja hyvä näin, se on oleellinen osa IP-verkkojen toimintaa), eli esim
siinä tapauksessa että kone on pois päältä.
--
mailia voi yrittää lähettää jos saa parsittua osoitteen
nyyssi_ah
yahoo co uk
Ari Saastamoinen
2004-10-12 19:21:53 UTC
Permalink
Post by Niko Rosvall
Kyllä piilottaa koneen. Ihan perusasetuksista en tiedä, mutta
kuitenkin.(en koskaan tyydy perus asetuksiin,yleensä)
Eikä piilota (Eikä tietääkseni mikään muukaan ns. softapalomuuri)
Kerro mulle muutama IP, joista jossain on kone stealth-modessa ja
jossain ei ole konetta lainkaan, niin mä kerron sulle, että missä
IP:ssä oli mikäkin.
--
Arzka oh3mqu+***@vip.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Pertti Kosunen
2004-10-13 09:51:03 UTC
Permalink
Post by Ari Saastamoinen
Kerro mulle muutama IP, joista jossain on kone stealth-modessa ja
jossain ei ole konetta lainkaan, niin mä kerron sulle, että missä
IP:ssä oli mikäkin.
10.0.0.10, 172.16.0.4, 192.168.0.17

No kerro näistä. :)
Ari Saastamoinen
2004-10-13 12:42:48 UTC
Permalink
Post by Pertti Kosunen
10.0.0.10, 172.16.0.4, 192.168.0.17
No kerro näistä. :)
Kaikissa mainitsemissasi IP-numeroissa näyttäisi joku kone vastaavan. :)


[***@vernon oh3mqu]$ ping -c 1 10.0.0.10
PING 10.0.0.10 (10.0.0.10) from 10.0.0.10 : 56(84) bytes of data.
64 bytes from 10.0.0.10: icmp_seq=0 ttl=255 time=112 usec

--- 10.0.0.10 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max/mdev = 0.112/0.112/0.112/0.000 ms
[***@vernon oh3mqu]$ ping -c 1 172.16.0.4
PING 172.16.0.4 (172.16.0.4) from 172.16.0.4 : 56(84) bytes of data.
64 bytes from 172.16.0.4: icmp_seq=0 ttl=255 time=126 usec

--- 172.16.0.4 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max/mdev = 0.126/0.126/0.126/0.000 ms
[***@vernon oh3mqu]$ ping -c 1 192.168.0.17
PING 192.168.0.17 (192.168.0.17) from 192.168.0.17 : 56(84) bytes of data.
64 bytes from 192.168.0.17: icmp_seq=0 ttl=255 time=123 usec

--- 192.168.0.17 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
--
Arzka oh3mqu+***@vip.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Ari Saastamoinen
2004-10-12 19:08:16 UTC
Permalink
Post by Niko Rosvall
Onneksi nykyään palomuurit oikein säädettynä osaavat piilottaa koneen
kuten sp2:kin muuri.Eli kräkkeri lähtee tutkimaan onko jossain
tietyssä ip:ssä konetta niin sp2:n ja monien muiden palomuurit osaavat
piilottaa kaikki 653xx porttia niin että kräkkeri ei saa tietoa irti
eli konetta ei periaatteessa ole olemassa.Suurin osa murroista
Tuo ei taida onnistua koneessa itsessään olevalla kapineella muuten
kuin spooffamalla nettiin muka reitittimen lähettämiä paketteja, ja
tietääkseni ainuttakaan wintoosan firewallisoftaa ei saa tekemään
noin. Ja jos saisikin, niin se reititin sitten saattaisi suodattaa
tuollaiset spooffatut paketit pois.
--
Arzka oh3mqu+***@vip.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Henri Vettenranta
2004-10-10 19:46:36 UTC
Permalink
Post by Niko Rosvall
Suorita
nimellä toiminolla et voi valjastaa konetta esim botiksi, et pysty
poistamaan ohjelmia,et tuhoamaan mitään.
Öhöm, miten olis:

runas /user:Järjestelmänvalvoja format c:

tai:

runas /user:Järjestelmänvalvoja cmd.exe /c del "c:\Program Files\*"
--
"Aparaattia haittaa rapa."
--Alivaltiosihteeri
riku
2004-10-11 11:43:13 UTC
Permalink
On Sun, 10 Oct 2004 15:18:04 +0300, Niko Rosvall
Post by Niko Rosvall
Se ei varsinaisesti osaa estää koneelta ulospäin lähteviä pyyntöjä,mutta
se osaa kysyä että sallitaanko tähän ohjelmaan ulkopäin tuleva
pyyntö.Näin juuri esim.troijalaiset toimivat.Kun troijalainen tulee
koneellesi se yrittää ottaa yhteyttä kirjoittajaansa. Sitten kirjoittaja
ottaa yhteyden täähn troijalaiseen ja siinä vaiheessa XP kysyy että
sallitko tämän ohjelman vastaanottaa yhteyksiä sieltä ja sieltä.
Ei kysy, koska yllämainitussa tapauksessa yhteydenotto tapahtuu
koneeltasi tuon troijalaisen toimesta, ei sen ulkopuolella majailevan
pahantekijän toimesta. SP2-palomuurin mielestä tuossa tilanteessa
kaikki on ok, koska yhteydenotto tapahtui alunperin sinun koneeltasi.
Post by Niko Rosvall
Tunnetujen firmojen,esim. mikkisoft.Luuletko että se esim. lisäisi
troijalaisia ohjelmiinsa?Mikään kaupallinenkaan softa ei ole täysin
Veikkaan siihenkin olevan jokin syy etteivät monet isot yritykset,
varsinkaan Microsoftin kilpailijat, ota Windowsin päivityksiä heti
työpaikan koneisiin, vaan ne auditoidaan tarkasti ja läpikotaisin
ennenkuin hyväksytään asennettavaksi.

Ainahan voi jälkikäteen selittää että kyseessä oli silkka vahinko että
se-ja-se ohjelma livautti tärkeitä tietoja ulkomaailmalle (ja MS:lle)
kilpailijoiden koneilta.

Parempi katsoa kuin katua.
Post by Niko Rosvall
luotettava mutta suuremmalla todennäköisyydellä kuin ilmaisohjelmat.
Freeware softilla tarkoitin karkeasti epämääräisiä netin nopeuttajia
sekä kaiken maailman "cooleja" softia,screensavereita, ilmaispelejä jne.
Hyvä maine ansaitaan muiden käyttäjien toimesta, ja varsinkin jos
kyseessä on open source softa. Ei minua pelota asentaa kotikoneelleni
esim. Antivir, Sygate Personal Firewall tai Emulen kaltaisia ohjelmia,
vaikka (kotikäyttöön) ilmaisia ovatkin. Tiedän niiden hyvän maineen,
se riittää minulle.
Post by Niko Rosvall
Muistaakseni mainitsin että yritys ei tarvitse vakituista
tietoturva-asiantuntijaa. Systeemi tulisi suunnitella siten että tämä
tietoturvahemmo tulisi tarkistamaan järjestelmän tietyin
väliajoin.Keikkaluonteisesti. Voin ainakin sanoa että näin toimitaan
muutamissa tuntemissani yrityksissä.
Tähän pyritään yleensä rajoituksin, esim. koneen käyttäjällä ei ole
admin-oikeuksia (ei voi asentaa uutta softaa itse, ei voi muutella
vapaasti systeemin asetuksia jne.), asentamalla virustutkia ja
palomuurisoftia joita käyttäjä ei pysty disabloimaan tai muuttamaan
niiden asetuksia, jne.
Janne Juntunen
2004-10-11 13:43:14 UTC
Permalink
On Sun, 10 Oct 2004 15:18:04 +0300, Niko Rosvall
Post by Niko Rosvall
Se ei varsinaisesti osaa estää koneelta ulospäin lähteviä pyyntöjä,mutta
se osaa kysyä että sallitaanko tähän ohjelmaan ulkopäin tuleva
pyyntö.Näin juuri esim.troijalaiset toimivat.Kun troijalainen tulee
koneellesi se yrittää ottaa yhteyttä kirjoittajaansa. Sitten kirjoittaja
ottaa yhteyden täähn troijalaiseen ja siinä vaiheessa XP kysyy että
sallitko tämän ohjelman vastaanottaa yhteyksiä sieltä ja sieltä.
Ei auta, tunnelointi voidaan yhtä hyvin avata kumpaan tahansa
suuntaan. Eli ulkoa päin ei ole enää tarvetta ottaa yhteyttä
sisäänpäin.

Toimiihan VPNäkin hienosti vaikka palomuuri estäisi sisäänpäin tulevan
liikenteen. Sessio pitää vain initoida ulospäin.
Ville Hietarinta
2004-10-10 09:23:06 UTC
Permalink
On Sun, 10 Oct 2004 01:20:36 +0200, Markku Nevalainen
Post by Markku Nevalainen
Itse pidän päivän selvänä turvallisuusjuttuna että käyttäjälle on oltava
mahdollista estää koneeltaan nettiin tapahtuvat tarpeettomat
yhteydenotot. Ja käyttäjä (tai isoissa taloissa joku atk-turvahenkilö
tms) hallinnoi että mitkä ohjelmat firman koneilta nettiin päästetään.
Puhut hallinnoidusta verkosta ja alempana pohdit kuinka adminina olo on
tarpeellista käyttäjille.

Nämä kaksi sulkevat toisiaan pois, sillä kun koneelle tulee haittaohjelma
joka sen palomuurin sulkee niin se oli siinä.

Toisekseen, s.a.turvallisuus-ryhmässä on jo aiemminkin esitetty miten ZA:n
suojaamasta koneesta haittaohjelma saa dataa lähtemään ulos helposti ellei
asetukset ole epämiellyttävän kireällä.
Post by Markku Nevalainen
Aika erikoinen toive, jonka toiveen toteuttaminen ei ole millään lailla
vaikeata. Monet ISP-kauppiaat myyvät ADSL-verkkoyhteyksiensä ohessa
vakiona noita F-Securen, Nortonin, Zonealarmin ym. palomuuri- ja
virussofteja. Joten kyllä niitä palomuuriosioitakin löytyy käytössä
arviolta ainakin muutamassa kymmenessä tuhannessa suomalaisyrityksessä.
10000 - onko tämä RaHi-Stetson -arviosi?
Post by Markku Nevalainen
No ei tosiaan, jos XP:n ServicePack 2:n palomuurisofta ei osaa suodattaa
ulospäin menevää liikennettä, sillä eihän sille jää silloin mitään
roolia!
Toimivan palomuurin takana ei jääkään. SP2 onkin minusta kätevä kotien
XP-koneisiin joissa ei epäillä viruksia vaikka adsl-yhteys taantuu modeemin
tasolle, tai niihin yrityksiin joissa ei ole ylläpitoa ja koneet roikkuvat
netissä suojaamattomina.
Post by Markku Nevalainen
Normaali, edullinen ja toimiva kombinaatio on, että firman sisäverkon
koneet ovat NAT-suojauksella toimivan palomuuripurkin takana. Ja ulos
menevää liikennettä valvoo Zonealarm tai joku vastaava softa. Tällöin
XP:n SP2:lle ei siis jäisi yhtään mitään hommaa.
Post by Niko Rosvall
Ratkaiseva osa turvallisuutta ei ole se että palomuuri suodattaa
koneelta ulos lähtevää liikennettä, vaan keskeinen osa on se että
käyttäjät eivät heiluisi ympäri nettiä admineina ja latailisi/asentaisi
No tuo on vähän tuollaista paasaamista, joka on kutenkin aika kaukana
arkielämästä. Koneeseensa joutuu tämän tästä päästämään joko verkosta
tai CD-levyiltä milloin minkäkin softatoimittajan päivityksiä tulemaan,
Microsoftin Windows-päivityksiä myöten.
Ah, puhut siis kotikäyttäjistä. Itse muuten käytän XP:täni user-oikilla
vaikka silloin tällöin softia asentelenkin. Se on ihan asenteesta kiinni.

Ylläpitämissäni eri yritysten koneissa ei adminina/roottina hilluta.
Mielestäni tämä on paljon oleellisempaa kuin softamuurin käyttö.

Windowsien kanssa tämä on muutenkin aika pakollista. Win-päivitykset saa
asentumaan ilman admin-oikkia ja arkielämää on se, että uusia softia ei
todellakaan asenneta tämän tästä vaan yleensä käytetään niitä muutamia
työkaluja jotka koneisiin on asennettu. (email, www, intrasoftat jne.)

Internet-yhteys on palomuurin takana, mutta henk.koht. palomuureja ei ole
ollut tarvetta asentaa.
Post by Markku Nevalainen
Post by Niko Rosvall
Kuinkahan moni lukioista on tällä hetkellä Admin tilillä kirjautuneena?
Kyllä, täysillä oikeuksilla ollaan sisällä melkein aina. Ettei tarvitse
tämän tästä pomppia moodista toiseen.
Itse opin oikeille tavoille (=user-oikeuksien käyttöön) Linuxia käyttäen.
Post by Markku Nevalainen
Post by Niko Rosvall
Valittettavasti liian monet yritykset ovat välinpitämättömiä
tietoturvansa suhteen.
Firman PC-koneiden sielunelämän jatkuva hoiva ja ylläpito, ja yrityksen
sovellusohjelmien tuotteleminen turvallisista source-koodeista
kääntelemällä voi olla arkipäivää n. 1%:lle maan yrityksistä.
Sorsista varmaan kääntää vielä pienempi osuus yrityksistä. Ainakin
windows-puolella.

_Jatkuva_ ylläpito ei olekaan tarpeen jos asioita hoidetaan oikein.
--
Mr. Ville Hietarinta, ***@sci.fi, GSM 040-5639178
"Those who can't do, teach. And those who can't teach, teach gym."
Markku Nevalainen
2004-10-10 10:04:08 UTC
Permalink
Post by Ville Hietarinta
Puhut hallinnoidusta verkosta ja alempana pohdit kuinka adminina olo on
tarpeellista käyttäjille.
Puhuin kylläkin vain itsestäni, kun kysyjä kysyi "Kuinkahan moni
lukioista
on tällä hetkellä Admin tilillä kirjautuneena?"
Post by Ville Hietarinta
Toisekseen, s.a.turvallisuus-ryhmässä on jo aiemminkin esitetty miten ZA:n
suojaamasta koneesta haittaohjelma saa dataa lähtemään ulos helposti ellei
asetukset ole epämiellyttävän kireällä.
Niin, ja vaikka laittaa miten kireällä tahansa, niin IE:tä gatewayna
käyttämällä tavaraa saadaan jatkuvasti kuljetettua koneesta niin paljon
kuin tarvitsee.
Post by Ville Hietarinta
10000 - onko tämä RaHi-Stetson -arviosi?
Kyllä, karkea arvio perustuu siihen paljonko yrityksillä on
ADSL-yhteyksiä. Ja toisaalta siihen että miten helppoa ISP:n on mydä
siihen päälle jokin "tietoturvapakatti", kun ostaja itse ei ole alan
asiantuntija.
Post by Ville Hietarinta
Ah, puhut siis kotikäyttäjistä. Itse muuten käytän XP:täni user-oikilla
vaikka silloin tällöin softia asentelenkin. Se on ihan asenteesta kiinni.
Mutta jos nyt ihan kotikäyttäjistä puhutaan, niin XP Home:ssa ei edes
tainnut olla ole massakaan kuin yksi ainoa level olemassa. Ja siinä
samassa moodissa tehdään aivan kaikki hommat.
Post by Ville Hietarinta
Ylläpitämissäni eri yritysten koneissa ei adminina/roottina hilluta.
Aivan hyvä periaate yrityskäytössä, totta kai laittaisin itsekin
oikeudet minimiin sellaisilta joka niitä ei tarvitse. Mutta *tämä* asia
ei enää liity millään tavalla tuohon alkuperäiseen kysymykseen, eli
vaikka Zonealarmin tarpeellisuuteen.
Post by Ville Hietarinta
Mielestäni tämä on paljon oleellisempaa kuin softamuurin käyttö.
Riippuu täysin tilanteesta. Jos koneella on jo pahantahtoinen ohjelma
sisällä, niin halpa Zonealarm voi olla monta kertaa käyttökelpoisempi
torjumaan tuon pöpön tuhoja, kuin tiukalle asetetut verkon
user-rightsit.
Post by Ville Hietarinta
Sorsista varmaan kääntää vielä pienempi osuus yrityksistä. Ainakin
windows-puolella.
Juu, ei ole mitään järkeä luennoida tuollaisista sorsista-kääntämisen
turvallisuudesta Windows -puolen käyttäjäkunnalle. Se yksinkertaisesti
ei ole arkipäivää melkein missään siellä.
Post by Ville Hietarinta
_Jatkuva_ ylläpito ei olekaan tarpeen jos asioita hoidetaan oikein.
Mikäli kaikki pysyy jäädytettynä,
-PC-koneet eivät pauku rikki ja vaadi vaihtoa,
-verkon purkkeja ei salama särje,
-uusia käyttäjiä ei tule tai lähde talosta,
-ohjelmin ei tehdä mitään muutoksia tai päivityksiä,
-uusia virustyyppejä ei ilmoiteta löydetyiksi
-ym.
niin silloinhan järjestelmä on tosiaan aika stabiili. Eikä silloin siis
juurikaan tarvitse viikko- tai kuukausitasoista ylläpitoa.

MNe
Ville Hietarinta
2004-10-10 12:39:42 UTC
Permalink
On Sun, 10 Oct 2004 12:04:08 +0200, Markku Nevalainen
Post by Markku Nevalainen
Post by Ville Hietarinta
Ah, puhut siis kotikäyttäjistä. Itse muuten käytän XP:täni user-oikilla
vaikka silloin tällöin softia asentelenkin. Se on ihan asenteesta kiinni.
Mutta jos nyt ihan kotikäyttäjistä puhutaan, niin XP Home:ssa ei edes
tainnut olla ole massakaan kuin yksi ainoa level olemassa. Ja siinä
samassa moodissa tehdään aivan kaikki hommat.
XP Homessa on admin- ja user-tasot. Käyttäjiä luodessa sitä kysytään.

Homen oletuskäyttäjä on admin.
Post by Markku Nevalainen
Aivan hyvä periaate yrityskäytössä, totta kai laittaisin itsekin
oikeudet minimiin sellaisilta joka niitä ei tarvitse. Mutta *tämä* asia
ei enää liity millään tavalla tuohon alkuperäiseen kysymykseen, eli
vaikka Zonealarmin tarpeellisuuteen.
Näkemäni virustapaukset asentavat tai vaihtavat tiedostoja mm.
system32-kansioon ja tekevät rekisteriin systeeminlaajuisia muutoksia.

Se ei onnistu tavallisilla käyttäjäoikeuksilla.
Post by Markku Nevalainen
Riippuu täysin tilanteesta. Jos koneella on jo pahantahtoinen ohjelma
sisällä, niin halpa Zonealarm voi olla monta kertaa käyttökelpoisempi
torjumaan tuon pöpön tuhoja, kuin tiukalle asetetut verkon
user-rightsit.
Jos koneella on pöpö admin-oikeuksin niin mikä estää sitä vaikka kokonaan
poistamasta ZA:ta koneelta. ZA:ssa on estoja tällaiseen, mutta tässäkin
ryhmässä on ollut käytännön esimerkkejä siitä miten niitä ohitetaan.
Post by Markku Nevalainen
Post by Ville Hietarinta
_Jatkuva_ ylläpito ei olekaan tarpeen jos asioita hoidetaan oikein.
Mikäli kaikki pysyy jäädytettynä,
-PC-koneet eivät pauku rikki ja vaadi vaihtoa,
-verkon purkkeja ei salama särje,
Laitteet hajoavat, kyllä. Niiden korjaus tarvitsee tottakai huoltoa,
jota se käyttäjä ei yleensä itse saa / osaa tehdä.

En näe mitään yhteyttä palomuurikeskusteluun tahi käyttäjäoikeuksiin.
Post by Markku Nevalainen
-uusia käyttäjiä ei tule tai lähde talosta,
Tehdään uusi käyttäjätunnus ja/tai poistetaan vanha. Joten?

Tällaisia tehtäviä varten on yleensä joku joka sen osaa tehdä ilman että
erikseen tarvitsee huoltomiestä paikalle hälyttää.
Post by Markku Nevalainen
-ohjelmin ei tehdä mitään muutoksia tai päivityksiä,
Toki tarvitsee. Sitä varten mennään sillä admin-tunnuksella sisään. Sitä ei
tiedä kuin ne joiden se pitääkin tietää.

Jos IE:n päivittää ja se .exe vaihtuu niin ZA rupeaa taas kyselemään että
saako sillä mennä nettiin. Hankalaa sekin.
Post by Markku Nevalainen
-uusia virustyyppejä ei ilmoiteta löydetyiksi
Häh?

Useimmat tietämäni virustorjunnat päivittyvät automaagisesti.

Useimmat tietämäni virusohjelmat tukevat myös keskitetty hallintaa, joilla
kokonaan uuden version voi työntää työasemaan vaikka siellä olisi käyttäjä
sisällä tavallisilla user-oikeuksillaan sillä hetkellä.
Post by Markku Nevalainen
niin silloinhan järjestelmä on tosiaan aika stabiili. Eikä silloin siis
juurikaan tarvitse viikko- tai kuukausitasoista ylläpitoa.
Huoltoon voi kuulua myös ihan logien ja laitteiden tarkistus jne.
--
Mr. Ville Hietarinta, ***@sci.fi, GSM 040-5639178
"Those who can't do, teach. And those who can't teach, teach gym."
J0hn
2004-10-10 14:54:54 UTC
Permalink
--snips--
Post by Ville Hietarinta
Näkemäni virustapaukset asentavat tai vaihtavat tiedostoja mm.
system32-kansioon ja tekevät rekisteriin systeeminlaajuisia muutoksia.
Se ei onnistu tavallisilla käyttäjäoikeuksilla.
Jaa, vai että ei tavallinen käyttäjä pysty ajastamaan tapahtumia? Koitappas
esim

at 18:00 notepad.exe
kuuden jälkeen avaa task manager ja ihmettele miten notepad on käynnissä
system oikeuksin

J0hn
Ville Hietarinta
2004-10-10 16:33:48 UTC
Permalink
Post by J0hn
--snips--
Post by Ville Hietarinta
Näkemäni virustapaukset asentavat tai vaihtavat tiedostoja mm.
system32-kansioon ja tekevät rekisteriin systeeminlaajuisia muutoksia.
Se ei onnistu tavallisilla käyttäjäoikeuksilla.
Jaa, vai että ei tavallinen käyttäjä pysty ajastamaan tapahtumia? Koitappas
esim
at 18:00 notepad.exe
No kun Herra Anonyymi pyytää niin mikäs siinä:

c:\>at 18:00 notepad.exe
Access is denied.

Jahas. No kokeillaas pelkkä at jos vaikka komennossa oli jotain omituista:

c:\>at
Access is denied.
Post by J0hn
kuuden jälkeen avaa task manager ja ihmettele miten notepad on käynnissä
system oikeuksin
Juu, admin-oikeuksilla näin käy. Userilla toimii se tavallinen Tehvävien
Ajastus jolla voi ajaa userin oikeuksilla mitä userinakin pystyy ajamaan.

Et ilmeisesti vain tiedä mistä puhut.
--
Mr. Ville Hietarinta, ***@sci.fi, GSM 040-5639178
"Those who can't do, teach. And those who can't teach, teach gym."
Harri.H
2004-10-10 09:37:53 UTC
Permalink
"Markku Nevalainen" kirjoitti
Post by Markku Nevalainen
No ei tosiaan, jos XP:n ServicePack 2:n palomuurisofta ei osaa suodattaa
ulospäin menevää liikennettä, sillä eihän sille jää silloin mitään
roolia!!
Kyllä mulla ainakin XPn SP2 palomuuri on kysellyt lupia ulospäin
liikennöintiä haluville ohjelmille. Ja tuoltahan ne näyttää löytyvän
Exceptions -välilehdeltä. Siellä pystyy suoraan hallinnoimaan ohjelmat ja
portit.

Terv
Harri.H
Timo Pietilä
2004-10-10 10:42:29 UTC
Permalink
Post by Harri.H
"Markku Nevalainen" kirjoitti
Post by Markku Nevalainen
No ei tosiaan, jos XP:n ServicePack 2:n palomuurisofta ei osaa suodattaa
ulospäin menevää liikennettä, sillä eihän sille jää silloin mitään
roolia!!
Kyllä mulla ainakin XPn SP2 palomuuri on kysellyt lupia ulospäin
liikennöintiä haluville ohjelmille. Ja tuoltahan ne näyttää löytyvän
Exceptions -välilehdeltä. Siellä pystyy suoraan hallinnoimaan ohjelmat
ja portit.
Se kysyy sallitaanko sisäänpäin yhteys tälle ohjelmalle. Mitä ohjelmia
sinulta sieltä löytyy?

Timo Pietilä
Harri.H
2004-10-10 19:20:26 UTC
Permalink
Post by Timo Pietilä
Post by Harri.H
"Markku Nevalainen" kirjoitti
Post by Markku Nevalainen
No ei tosiaan, jos XP:n ServicePack 2:n palomuurisofta ei osaa suodattaa
ulospäin menevää liikennettä, sillä eihän sille jää silloin mitään
roolia!!
Kyllä mulla ainakin XPn SP2 palomuuri on kysellyt lupia ulospäin
liikennöintiä haluville ohjelmille. Ja tuoltahan ne näyttää löytyvän
Exceptions -välilehdeltä. Siellä pystyy suoraan hallinnoimaan ohjelmat ja
portit.
Se kysyy sallitaanko sisäänpäin yhteys tälle ohjelmalle. Mitä ohjelmia
sinulta sieltä löytyy?
Joo.. olet oikeassa.

Mulla on tossa listassa esimerkiksi seuraavaa:
File and Printter sharing
Fix-It Utilies 5
TorrentStorm
Java
Internet Explorer
ym.

File and Printter sharing ei ole päällä. Jos esim TorentStormista ottaa
ruksin pois
niin ei pysty enää lähettään eikä vastaanottaan.

Terv
Harri.H
Timo Pietilä
2004-10-10 21:29:16 UTC
Permalink
Post by Harri.H
Post by Timo Pietilä
Se kysyy sallitaanko sisäänpäin yhteys tälle ohjelmalle. Mitä ohjelmia
sinulta sieltä löytyy?
Joo.. olet oikeassa.
Internet Explorer
IE? Miksi ihmeessä siellä IE on? Ottaako joku ulkopuolelta yhteyttä
sinun IE:n?

Timo Pietilä
Jouko Holopainen
2004-10-11 02:25:29 UTC
Permalink
Post by Timo Pietilä
IE? Miksi ihmeessä siellä IE on? Ottaako joku ulkopuolelta yhteyttä
sinun IE:n?
Ilmeisesti ei, ja ilmeisesti asia halutaan varmistaa?
--
@jhol

En usko että Dirac oli onnellinen. Kukapa haluaisi olla äärettömän
onnellinen äärettömän lyhyen aikaa. Ja vieläpä vain yhden edestä.
Timo Pietilä
2004-10-11 06:22:53 UTC
Permalink
Post by Jouko Holopainen
Post by Timo Pietilä
IE? Miksi ihmeessä siellä IE on? Ottaako joku ulkopuolelta yhteyttä
sinun IE:n?
Ilmeisesti ei, ja ilmeisesti asia halutaan varmistaa?
Sp2:n palomuurissa ei voi erikseen blokata ohjelmia, ainoastaan sallia.

Timo Pietilä
Harri.H
2004-10-11 14:56:11 UTC
Permalink
"Timo Pietilä" kirjoitti
IE? Miksi ihmeessä siellä IE on? Ottaako joku ulkopuolelta yhteyttä sinun
IE:n?
Jaa.. ei oo muuta hajuu kuin et se oli seillä heti SP2 asennuksen jälkeen.
Täytyypä ottaa pois.

Terv
Harri.H
Jarmo P
2004-10-10 12:00:21 UTC
Permalink
Post by Harri.H
Kyllä mulla ainakin XPn SP2 palomuuri on kysellyt lupia ulospäin
liikennöintiä haluville ohjelmille. Ja tuoltahan ne näyttää löytyvän
Exceptions -välilehdeltä. Siellä pystyy suoraan hallinnoimaan ohjelmat
ja portit.
Terv
Harri.H
Et nyt ymmärrä palomuurien toimintaperiaatetta.
Kun käynnistät/automaattisesti käynnistyy jokin ohjelma ottamaan
yhteyttä internettiin, esim selain, niin siinä on kysymys ulospäin
tapahtuvasta yhteydenotosta. Sen sallimisesta. Se mitä tämä sitten
koneellesi lataakin ei ole enää minkään varsinaisen palomuurin kontrollissa.

Se mitä taas se sinun XP SP2 "palomuurisi" kontrolloi ainoastaan on,
että sallitaanko sinun koneellesi joihinkin "poikkeus"sovelluksiin ottaa
yhteyttä, kuten palvelimet, P2P softat, pikaviestimet ym. Taaskin se
mitä tämän jälkeen tapahtuu ei ole enää minkään varsinaisen palomuurin
hallinnassa.

Kyse on aina ensin tapahtuvasta internet yhteydenotosta.
Harri.H
2004-10-10 18:55:36 UTC
Permalink
"Jarmo P" kirjoitti
Post by Jarmo P
Post by Harri.H
Kyllä mulla ainakin XPn SP2 palomuuri on kysellyt lupia ulospäin
liikennöintiä haluville ohjelmille. Ja tuoltahan ne näyttää löytyvän
Exceptions -välilehdeltä. Siellä pystyy suoraan hallinnoimaan ohjelmat ja
portit.
Terv
Harri.H
Et nyt ymmärrä palomuurien toimintaperiaatetta.
Kun käynnistät/automaattisesti käynnistyy jokin ohjelma ottamaan yhteyttä
internettiin, esim selain, niin siinä on kysymys ulospäin tapahtuvasta
yhteydenotosta. Sen sallimisesta. Se mitä tämä sitten koneellesi lataakin
ei ole enää minkään varsinaisen palomuurin kontrollissa.
Olenko niin väittänyt? Tietenkin jos antaa luvan niin luulis tietävän mitä
tekee.
Sehän se vasta kummallista olisi jos en pääsisi imuroimaan mitää ohjelmalla
vaikka olen antanut sille luvan.
Post by Jarmo P
Se mitä taas se sinun XP SP2 "palomuurisi" kontrolloi ainoastaan on, että
sallitaanko sinun koneellesi joihinkin "poikkeus"sovelluksiin ottaa
yhteyttä, kuten palvelimet, P2P softat, pikaviestimet ym. Taaskin se mitä
tämän jälkeen tapahtuu ei ole enää minkään varsinaisen palomuurin
hallinnassa.
Kyse on aina ensin tapahtuvasta internet yhteydenotosta.
Kyllä kyllä.. olet aivan oikesassa. Näin sen pitääkin tapahtua.

Terv
Harri.H
riku
2004-10-11 11:30:34 UTC
Permalink
On Sat, 09 Oct 2004 22:30:38 +0300, Niko Rosvall
Post by Niko Rosvall
Haluaisimpa nähdä yrityksen joka käyttää verkossaan palomuurina
zonealarmia tai jotain f-securea.Kyllähän niitä varmasti on mutta ei
kovin suurissa yrityksissä.(toivottavasti) Nämä f-securet ja
Öhöm. Tuota noin. Unohdat sellaisen tosiasian että jopa näissä Isoissa
Yrityksissä käytetään paljon kannettavia tietokoneita, joilla
liitytään verkkoon muualtakin kuin vain talon sisältä. Joskus pitää
saada yhteys työpaikan verkkoon (VPN:llä) vaikka kodin yleisestä
nettiliittymästä, tai asiakkaan luota, tai milloin mistäkin. Kyllä
näihin koneisiin on otaksuttavasti asennettu joku f-securen tai
zonealarmin kaltainen palomuurisofta, joka tarjoaa edes jotain turvaa
edellämainituissa tilanteissa, etteivät ulkopuoliset häkkeröi heti
työläppäriin kiinni jossa voi olla tärkeitäkin työtiedostoja.
Post by Niko Rosvall
zonealarmit(varsinkin zonelabsin tuoteet) ovat melkoisia leluja kun
puhutaan palomuureista.Sp2:en mukana tuleva muuri on askel oikeaan
Voisitko selittää miten nämä "muut" ovat muka huonompia palomuureja
kuin SP2:n oma?
Post by Niko Rosvall
Ratkaiseva osa turvallisuutta ei ole se että palomuuri suodattaa
koneelta ulos lähtevää liikennettä, vaan keskeinen osa on se että
käyttäjät eivät heiluisi ympäri nettiä admineina ja latailisi/asentaisi
jokaiselta sivulta tarjoutuvaa "netin super nopeuttajaa" tai vastaavia
freeware softia. Freeware softia ei juurikaan kannata asentaa, jos
lähdekoodia ei ole saatavana.
Ja jos sinä olisit vastuussa Ison Yrityksen tietoturvasta, jättäisit
sen kokonaan käyttäjien oman harkintakyvyn sekä heidän ohjeistamisensa
harteille?
Jukka Mustasilta
2004-10-11 12:01:46 UTC
Permalink
Post by riku
Öhöm. Tuota noin. Unohdat sellaisen tosiasian että jopa näissä Isoissa
Yrityksissä käytetään paljon kannettavia tietokoneita, joilla
liitytään verkkoon muualtakin kuin vain talon sisältä. Joskus pitää
saada yhteys työpaikan verkkoon (VPN:llä) vaikka kodin yleisestä
nettiliittymästä, tai asiakkaan luota, tai milloin mistäkin. Kyllä
näihin koneisiin on otaksuttavasti asennettu joku f-securen tai
zonealarmin kaltainen palomuurisofta, joka tarjoaa edes jotain turvaa
edellämainituissa tilanteissa, etteivät ulkopuoliset häkkeröi heti
työläppäriin kiinni jossa voi olla tärkeitäkin työtiedostoja.
Ja uusin trendi on laittaa palomuuri myös tavallisiin pöytä-PC-koneisiin ja
asetukset siihen asentoon, että vain ylläpitäjien verkosta pääsee niitä
etähallitsemaan: jos jokin työasemista saa verkkoviruksen, palomuuri(kin)
estää sen tarttumisen toisiin työasemiin koska työasemat eivät pääse
toisiinsa käsiksi (yleensä tähän ei ole tarvetta)

t:Jukka
Niko Rosvall
2004-10-11 13:14:00 UTC
Permalink
Post by riku
On Sat, 09 Oct 2004 22:30:38 +0300, Niko Rosvall
Post by Niko Rosvall
Haluaisimpa nähdä yrityksen joka käyttää verkossaan palomuurina
zonealarmia tai jotain f-securea.Kyllähän niitä varmasti on mutta ei
kovin suurissa yrityksissä.(toivottavasti) Nämä f-securet ja
Öhöm. Tuota noin. Unohdat sellaisen tosiasian että jopa näissä Isoissa
Yrityksissä käytetään paljon kannettavia tietokoneita, joilla
liitytään verkkoon muualtakin kuin vain talon sisältä. Joskus pitää
saada yhteys työpaikan verkkoon (VPN:llä) vaikka kodin yleisestä
nettiliittymästä, tai asiakkaan luota, tai milloin mistäkin. Kyllä
näihin koneisiin on otaksuttavasti asennettu joku f-securen tai
zonealarmin kaltainen palomuurisofta, joka tarjoaa edes jotain turvaa
edellämainituissa tilanteissa, etteivät ulkopuoliset häkkeröi heti
työläppäriin kiinni jossa voi olla tärkeitäkin työtiedostoja.
Post by Niko Rosvall
zonealarmit(varsinkin zonelabsin tuoteet) ovat melkoisia leluja kun
puhutaan palomuureista.Sp2:en mukana tuleva muuri on askel oikeaan
Voisitko selittää miten nämä "muut" ovat muka huonompia palomuureja
kuin SP2:n oma?
Kun suurin osa niistä vuotaa, ja se on fakta.
Post by riku
Post by Niko Rosvall
Ratkaiseva osa turvallisuutta ei ole se että palomuuri suodattaa
koneelta ulos lähtevää liikennettä, vaan keskeinen osa on se että
käyttäjät eivät heiluisi ympäri nettiä admineina ja latailisi/asentaisi
jokaiselta sivulta tarjoutuvaa "netin super nopeuttajaa" tai vastaavia
freeware softia. Freeware softia ei juurikaan kannata asentaa, jos
lähdekoodia ei ole saatavana.
Ja jos sinä olisit vastuussa Ison Yrityksen tietoturvasta, jättäisit
sen kokonaan käyttäjien oman harkintakyvyn sekä heidän ohjeistamisensa
harteille?
Et nyt ole seurannut keskustelua, nimenomaan en jättäisi.

Niko
Ari Laitinen
2004-10-11 14:38:09 UTC
Permalink
Post by riku
Ja jos sinä olisit vastuussa Ison Yrityksen tietoturvasta, jättäisit
sen kokonaan käyttäjien oman harkintakyvyn sekä heidän ohjeistamisensa
harteille?
Mitä isompi yritys sitä vähemmän kontrollia työntekijöille voi antaa, mutta
toisaalta, kuten esimerkkien valossa on nähty, ei isossa yrityksessä
välttämättä voida sielläkään kontrolloida kunnolla. Joissain suurissakin
yrityksissä tietoturva on täysin tuoteohjattua eli hankitaan jokin tuote,
joka lupaa pitää koneet puhtaana ja sitten ihmetellään kun tuote ei toiminut
luvatulla tavalla. Tietoturva on erittäin pitkälle vietyä kaupankäyntiä
erilaisilla tietoturvatuotteilla ei niinkään turvallisilla konsepteilla.
Ari Saastamoinen
2004-10-12 09:33:07 UTC
Permalink
Post by Niko Rosvall
kovin suurissa yrityksissä.(toivottavasti) Nämä f-securet ja
zonealarmit(varsinkin zonelabsin tuoteet) ovat melkoisia leluja kun
puhutaan palomuureista.Sp2:en mukana tuleva muuri on askel oikeaan
suuntaan,mutta ei sitä tietenkään voi yrityksen käytöön ainoaksi
Millä tavalla toi SP2:sen muuri on vähemmän lelu kuin nuo zonealarmit
ja f-securet? Nuo kaikki ovat ohjelmallisia ratkaisuita ja niissä on
siitä aiheutuvat ongelmat.
--
Arzka oh3mqu+***@vip.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje
Niko Rosvall
2004-10-12 12:29:40 UTC
Permalink
Post by Ari Saastamoinen
Post by Niko Rosvall
kovin suurissa yrityksissä.(toivottavasti) Nämä f-securet ja
zonealarmit(varsinkin zonelabsin tuoteet) ovat melkoisia leluja kun
puhutaan palomuureista.Sp2:en mukana tuleva muuri on askel oikeaan
suuntaan,mutta ei sitä tietenkään voi yrityksen käytöön ainoaksi
Millä tavalla toi SP2:sen muuri on vähemmän lelu kuin nuo zonealarmit
ja f-securet? Nuo kaikki ovat ohjelmallisia ratkaisuita ja niissä on
siitä aiheutuvat ongelmat.
Sillä tavalla että se ei vuoda, kuten esim. zonelabsin tuotteet.
Kuitenkin kuten sanoit ohjelmallset palomuurit ovat kaikki hieman
lelumaisia.

Niko
Timo Pietilä
2004-10-12 12:33:45 UTC
Permalink
Post by Niko Rosvall
Post by Ari Saastamoinen
Millä tavalla toi SP2:sen muuri on vähemmän lelu kuin nuo zonealarmit
ja f-securet? Nuo kaikki ovat ohjelmallisia ratkaisuita ja niissä on
siitä aiheutuvat ongelmat.
Sillä tavalla että se ei vuoda, kuten esim. zonelabsin tuotteet.
Tarkoitit varmaankin sanoa ettei siitä ole vielä löydetty reikää...

Timo Pietilä
Niko Rosvall
2004-10-12 14:56:17 UTC
Permalink
Post by Timo Pietilä
Post by Niko Rosvall
Post by Ari Saastamoinen
Millä tavalla toi SP2:sen muuri on vähemmän lelu kuin nuo zonealarmit
ja f-securet? Nuo kaikki ovat ohjelmallisia ratkaisuita ja niissä on
siitä aiheutuvat ongelmat.
Sillä tavalla että se ei vuoda, kuten esim. zonelabsin tuotteet.
Tarkoitit varmaankin sanoa ettei siitä ole vielä löydetty reikää...
Timo Pietilä
Reikiä on kaikissa. Palomuuria jossa ei olisi reikää, on mahdotonta
tehdä. Microsoft sentään yrittää paikata niitä, mutta kun zonelabs ei
tee edes sitä.

Niko
Viljo Mustonen
2004-10-12 16:12:44 UTC
Permalink
Post by Niko Rosvall
Reikiä on kaikissa. Palomuuria jossa ei olisi reikää, on mahdotonta
tehdä. Microsoft sentään yrittää paikata niitä, mutta kun zonelabs ei
tee edes sitä.
Kyllä Zonelabs mielestäni on tehnyt uudenversion
havaitun/korjatun reiän jälkeen. Kyllä se W2k:n
pitänyt puhtaana.
Tosin W2k:n käyttö on rajoittunut pääosin pävitysten
hakemiseen. :=)
--
Viljo
Donkey Hot
2004-10-18 21:49:09 UTC
Permalink
Post by Janne Juntunen
On Sat, 09 Oct 2004 11:49:16 +0300, Niko Rosvall
Tietoturvaa opiskelleena voin sanoa että sp2:en palomuuri ei vuoda.(on
testattu).
LeakTest tarkoittaa nimenomaisesti ulospäin vuotamisen testaamista.
Se että sillä ei voi estää sovelluksien pääsyä nettiin...mitä
sitten?
Ratkaiseva osa turvallisuutta. Esim. käyttäjillä on tapana asentaa
koneisiinsa ohjelmistoja ilman että edes tajuavat asentavansa niitä.
Monta kertaa on käyty potkimassa jengiä päähän ja kysymässä, että mitä
v*tttu lataat paskaa koneelle. Kohta sulta lähtee netti alta.
Mielestäni tuollaiset zonealarmin ja jonkun f-securen palomuurit
jotka kyselevät vähän väliä jotain idioottimaisia kysymyksiä,ovat
lähinnä naurettavia.
Ei niitä kysymyksiä tarvitse kysellä, jos on asetukset kunnossa.
Lisäksi voidaan laittaa optio, jolloin mitään liikennettä ei sallita,
ellei sitä ole hyväksytty adminin toimesta. Toisaalta kannattaa myös
estää uusien sovellusten asennus.
Palomuurin tarkoitus on estää yhteydet netistä
koneelle ei koneelta nettiin.
Tai estää asiaton liikenne yleisesti. Silloin myös ulospäin menevää
liikennettä pitää valvoa / estää.
Toki käyttäjän tarvitsee tietää mitä koneella tulee olla ja mitä ei.
esim. adaware on myös virusscannerin lisäksi hyödyllinen työkalu.
Kannattaisi lähteä siitä liikenteeseen, että mitään ei ostettua
sovellusta ei asenneta koneeseen. Sehän on myös lisenssi poliititnen
kysymys.
Kuitenkin jos tietoturva puoli on tuntematon alue ja
konettansa/järjestelmäänsä ei tunne varmasti kunnolla, suosittelen
käyttämään jotakin zonealarmia tai vastaava.
Ohitit kokonaan sen pointin, että ulospäin menevää liikennettä pitää
myös valvoa. Vai onko se mielestäsi turvallista, että johonkin
koneeseen on asennettu esim ohjlemisto joka sallii VPN liikenteen
tunneloimisen verkkoon ja sovellus avaa itse aktiivisesti näitä
yhteyksiä ulospäin.
Tässä ketjussa on väännetty kättä softapalomuurien ominaisuuksista taas
kerran.

Minusta SP2:n jälkeen on enää turhaa käyttää muuta softapalomuuria, ellei
välttämättä niin halua tehdä.

Syy on yksinkertaisesti siinä että SP2:n oma palomuuri on kevyt
resurssivaatimuksiltaan, ja riittävän hyvä tarkoitukseensa.

Oma kokemus perustuu lähinnä F-Securen ja Symantecin softien
korvaamisella aiemmin kevyemmillä softilla koneen tahmatessa, ja nyt olen
huomannut SP2:n palomuurin olevan paras ja helpoin ratkaisu.

Omassa koneessani ei ole muistivammaa, mutta ei myöskään softapalomuuria,
mutta näyttää siltä että paljon on myyty XP:llä varustettuja koneita
esim. 256 megan muistilla. Tämmöisessä koneessa joku Norton Internet
Security on selvä overkill. Koneella pitää pystyä tekemään muutakin kuin
ajamaan palomuuria.
--
A princess should not be afraid -- not with a brave knight to protect
her.
-- McCoy, "Shore Leave", stardate 3025.3
Donkey Hot
2004-10-18 21:52:15 UTC
Permalink
Tässä ketjussa on väännetty kättä softapalomuurien ominaisuuksista taas
kerran.

Minusta SP2:n jälkeen on enää turhaa käyttää muuta softapalomuuria, ellei
välttämättä niin halua tehdä.

Syy on yksinkertaisesti siinä että SP2:n oma palomuuri on kevyt
resurssivaatimuksiltaan, ja riittävän hyvä tarkoitukseensa.

Oma kokemus perustuu lähinnä F-Securen ja Symantecin softien
korvaamisella aiemmin kevyemmillä softilla koneen tahmatessa, ja nyt olen
huomannut SP2:n palomuurin olevan paras ja helpoin ratkaisu.

Omassa koneessani ei ole muistivammaa, mutta ei my”skään softapalomuuria,
mutta näyttää siltä että paljon on myyty XP:llä varustettuja koneita
esim. 256 megan muistilla. Tämm”isessä koneessa joku Norton Internet
Security on selvä overkill. Koneella pitää pystyä tekemään muutakin kuin
ajamaan palomuuria.
Repe Ruutikallo
2004-10-19 06:16:38 UTC
Permalink
Kasteessa nimen "Donkey Hot" saanut arvostettu henkilö, jonka osoite on
Post by Donkey Hot
paljon on myyty XP:llä varustettuja koneita
esim. 256 megan muistilla. Tämm‰isessä koneessa joku Norton Internet
Security on selvä overkill. Koneella pitää pystyä tekemään muutakin kuin
ajamaan palomuuria.
Niin, virustentorjuntakin pitää saada päälle. Ja hyvä olis ainakin Ad-aware
ja Spybot. Ja...

Sitten Celerooni onkin tehnyt suurimman osan siitä mihin se pystyy ja monen
kohdalla ilmeisesti täyttänyt kotitietokoneen pääkäyttötarkoituksen.
Käyttäjä voi lähteä vaikka terveelliselle kävelylenkille tai katsoa hyvän
leffan.
--
Tiesitkö?
Ennen nousemistaan autourheilun huipulle Kimi opiskeli vuoden ajan klassista
laulua Vantaan konservatoriossa.
Ari Laitinen
2004-10-19 07:48:19 UTC
Permalink
Post by Repe Ruutikallo
Niin, virustentorjuntakin pitää saada päälle. Ja hyvä olis ainakin Ad-aware
ja Spybot. Ja...
Sitten Celerooni onkin tehnyt suurimman osan siitä mihin se pystyy ja monen
kohdalla ilmeisesti täyttänyt kotitietokoneen pääkäyttötarkoituksen.
Käyttäjä voi lähteä vaikka terveelliselle kävelylenkille tai katsoa hyvän
leffan.
Onhan näitä tullus vastaan kun on 32 megaa muistia ja F-secure internet
security tai NIS asennettuna. Käyttäjä valittaa että koneessa on vikaa kun
se on niin hidas. Käynnistys kestää y li 5 minuuttia ja silleen. Onneksi tuo
on helppo korjata ottamalla ohjelma pois. Mutta silloin käyttäjä yleensä
kuitenkin valitsee mielummin hitaan koneen kuin hidastavan ohjelman pois
ottamisen.
VH
2004-10-19 14:13:44 UTC
Permalink
Post by Donkey Hot
Minusta SP2:n jälkeen on enää turhaa käyttää muuta softapalomuuria,
ellei välttämättä niin halua tehdä.
Syy on yksinkertaisesti siinä että SP2:n oma palomuuri on kevyt
resurssivaatimuksiltaan, ja riittävän hyvä tarkoitukseensa.
Lisäksi jos ZoneAlarm pyytää jollekkin troijalaiselle oikeutta ulos,
niin silloin troijalainen on jo monesti tehnyt tuhojaan kovalevyllä.
Troijalaiset pysäytetään silloin kun ne on ladattu koneelle,
ei palomuuriohjelman ulospäin menevän liikenteen tarkkailussa.

XP SP2:n IE ja OE ohjelmien uudet turvaominaisuudet pysäyttävät
osan troijalaisista ja loput hoitaa hyvä virustorjuntaohjelma,
jonka reaaliaikainen torjunta on pidettävä toiminnassa.

VAROITUS!!! Troijalainen start.exe tiedostossa.
www.crackz.ws/flzzg/w/cr-wr320.zip
Kun zip tiedostoa puretaan niin Kaspersky Anti-Virus varoittaa:
"Access to the object ...\start.exe is blocked. Object is infected
with a virus TrojanDownloader.Win32.Smal... You are advised to
delete this object. [X]Delete(recommended) [ ]Skip"
Post by Donkey Hot
mutta näyttää siltä että paljon on myyty XP:llä varustettuja koneita
esim. 256 megan muistilla. Tämmöisessä koneessa joku Norton Internet
Security on selvä overkill. Koneella pitää pystyä tekemään muutakin
kuin ajamaan palomuuria.
Töissä on XP SP1, P4 1.5 GHz ja ainoastaan 256 Mt muistia.
Virustorjuntaohjelma on F-Secure. Kone on uskomattoman hidas.

Sain muuten ylläpidolta automaattisen varoitusviestin kun eksyin
em. crakki sivustolle ja F-Secure tunnisti troijalaisen.
Jari Karjalainen
2004-10-19 16:04:29 UTC
Permalink
Post by VH
Sain muuten ylläpidolta automaattisen varoitusviestin kun eksyin
em. crakki sivustolle ja F-Secure tunnisti troijalaisen.
Eh, ilmankos se F-Secure on niin hidas, kun se kerran ominpäin
latailee sivulta löydetit zipit ja purkaa ja tarkistaakin ne ;-)
Esim. kevyempi Avast! herjasi vasta kun olin purkamassa itse
lataamaani zipiä.
--
JK
Mail from *(hotmail.com|yahoo.com|aol.com|earthlink.net) will be deleted
Jussi.Paju+ (Jussi Paju)
2004-10-19 18:25:24 UTC
Permalink
Post by Jari Karjalainen
Post by VH
Sain muuten ylläpidolta automaattisen varoitusviestin kun eksyin
em. crakki sivustolle ja F-Secure tunnisti troijalaisen.
Eh, ilmankos se F-Secure on niin hidas, kun se kerran ominpäin
latailee sivulta löydetit zipit ja purkaa ja tarkistaakin ne ;-)
Ei se sentään ihan noin itsestään tee, veikkaisin että tuossa
tapauksessa kyse on ollut joko JS-troijalaisesta tai sitten se zippi oli
tosiaan ladattu omalle koneelle.
Post by Jari Karjalainen
Esim. kevyempi Avast! herjasi vasta kun olin purkamassa itse
lataamaani zipiä.
Niin F-Securekin, tietyllä tavalla konfiguroituna.
--
Jussi

:: Te audire no possum. Musa sapientum fixa est in aure.
:: I can't hear you. I have a banana in my ear.
Donkey Hot
2004-10-19 18:36:50 UTC
Permalink
Post by Jussi.Paju+ (Jussi Paju)
Post by Jari Karjalainen
Eh, ilmankos se F-Secure on niin hidas, kun se kerran ominpäin
latailee sivulta löydetit zipit ja purkaa ja tarkistaakin ne ;-)
Ei se sentään ihan noin itsestään tee, veikkaisin että tuossa
tapauksessa kyse on ollut joko JS-troijalaisesta tai sitten se zippi oli
tosiaan ladattu omalle koneelle.
ClamAV tekee kyllä tuotakin jos niin on asetettu, mutta tuskin tosiaan F-
Secure viitsii työasema-asennuksessa moista.
--
No skis take rocks like rental skis!
VH
2004-10-19 20:15:47 UTC
Permalink
Post by Donkey Hot
Post by Jussi.Paju+ (Jussi Paju)
Ei se sentään ihan noin itsestään tee, veikkaisin että tuossa
tapauksessa kyse on ollut joko JS-troijalaisesta tai sitten se
zippi oli tosiaan ladattu omalle koneelle.
ClamAV tekee kyllä tuotakin jos niin on asetettu, mutta tuskin
tosiaan F-Secure viitsii työasema-asennuksessa moista.
En enään muista troijalaisen nimeä, mutta F-Securen havaitsema
saastunut tiedosto oli IE:n "Temporary Internet Files" kansiossa.

Pitääpä tästä lähin hoitaa duunikoneella vain työasiat, koska
useammasta virusvaroituksesta loppuu netin käyttöoikeus.
Kiellettyjen listalla on pornosivut, Hotmail, Yahoo, ym.
Jouko Holopainen
2004-10-20 03:56:16 UTC
Permalink
Post by VH
Pitääpä tästä lähin hoitaa duunikoneella vain työasiat, koska
useammasta virusvaroituksesta loppuu netin käyttöoikeus.
Teillä on fiksu periaate.
Post by VH
Kiellettyjen listalla on pornosivut, Hotmail, Yahoo, ym.
Mutta toteutus sukkaa ja pahasti.
--
@jhol

En usko että Dirac oli onnellinen. Kukapa haluaisi olla äärettömän
onnellinen äärettömän lyhyen aikaa. Ja vieläpä vain yhden edestä.
VH
2004-10-20 14:09:12 UTC
Permalink
Post by Jouko Holopainen
Post by VH
Pitääpä tästä lähin hoitaa duunikoneella vain työasiat, koska
useammasta virusvaroituksesta loppuu netin käyttöoikeus.
Teillä on fiksu periaate.
Ja tuo netin käyttöoikeus loppuu luultavasti vain silloin,
kun useita viruksia on tullut sivuilta joihin ei duunikoneella
olisi asiaa.
Post by Jouko Holopainen
Post by VH
Kiellettyjen listalla on pornosivut, Hotmail, Yahoo, ym.
Mutta toteutus sukkaa ja pahasti.
Toteutuksesta en tiedä koska kaikkia ei kerrota.

- F-Securen havaitsemasta viruksesta tulee myös ylläpidolta viesti
- postia saa myös jos vierailee pornosivuilla
- Hotmail, Yahoo, ym. käytön yrityksistä => netti 1 vrk kiinni
- ohjelmien asentaminen ilman lupaa => lopputili

Ja poliisi tarkistaa kaikkien uusien työntekijöiden tiedot,
jotta yhteiskunnalle tärkeä energiahuolto toimii.
Jori Mantysalo
2004-10-21 07:03:15 UTC
Permalink
Post by VH
Toteutuksesta en tiedä koska kaikkia ei kerrota.
- postia saa myös jos vierailee pornosivuilla
- ohjelmien asentaminen ilman lupaa => lopputili
Ja poliisi tarkistaa kaikkien uusien työntekijöiden tiedot,
jotta yhteiskunnalle tärkeä energiahuolto toimii.
Pelottaa. Yhteiskunnan perusinfra on kiinni koneista, jotka ovat
normaaleja nettikoneita. Lisäksi työntekijät saavat kuvan, jonka mukaan
pornosivut ovat vaarallisia, mikä tietysti kääntyy muotoon "mutta
enhän minä arveluttavilla sivuilla käy, joten ei ole riskiä".

Ja ohjelmia voi asentaa, sitä siis ei ole teknisesti estetty.
--
- "Siis minkä eron tekee se että paimenlanka on maaseudulla ja kännikala
kusee siihen, kuin se että sama lanka on porttikongissa?"
- "Onko sinusta outoa nähdä lehmä porttikongissa?"
-- sfnet.keskustelu.laki
VH
2004-10-21 13:38:47 UTC
Permalink
Post by Jori Mantysalo
Pelottaa. Yhteiskunnan perusinfra on kiinni koneista, jotka ovat
normaaleja nettikoneita.
Ei nettikoneilta voi muuttaa tai seurata tuotannon prosesseja,
kyllä ne on omissa verkoissaan.
Jouko Holopainen
2004-10-21 14:34:01 UTC
Permalink
Post by VH
- F-Securen havaitsemasta viruksesta tulee myös ylläpidolta viesti
Hyvä.
Post by VH
- postia saa myös jos vierailee pornosivuilla
Huono. Ainakin itse olen joutunut100% vahingossa väärälle sivulle.
Yritin "firma.com" mutta olikin näämmä olemassa samanniminen
pornofirma, täysin työhön liittyvän asian etsimisessä.
Post by VH
- Hotmail, Yahoo, ym. käytön yrityksistä => netti 1 vrk kiinni
Tällä haluttaneen (yrittää) estää kotipostin selaaminen työaikana.
Muuta järkevää en tajua.
Post by VH
- ohjelmien asentaminen ilman lupaa => lopputili
Hyvä.
--
@jhol

En usko että Dirac oli onnellinen. Kukapa haluaisi olla äärettömän
onnellinen äärettömän lyhyen aikaa. Ja vieläpä vain yhden edestä.
VH
2004-10-21 15:53:56 UTC
Permalink
Post by Jouko Holopainen
Post by VH
- Hotmail, Yahoo, ym. käytön yrityksistä => netti 1 vrk kiinni
Tällä haluttaneen (yrittää) estää kotipostin selaaminen työaikana.
Muuta järkevää en tajua.
Sivujen käyttö kuormitti liikaa F-Securen virustorjuntaa.
Koska sivuja kiellosta huolimatta käytettiin, niin käyttö
estettiin kokonaan.
riku
2004-10-19 21:44:36 UTC
Permalink
Post by VH
Post by Donkey Hot
Minusta SP2:n jälkeen on enää turhaa käyttää muuta softapalomuuria,
ellei välttämättä niin halua tehdä.
Syy on yksinkertaisesti siinä että SP2:n oma palomuuri on kevyt
resurssivaatimuksiltaan, ja riittävän hyvä tarkoitukseensa.
Lisäksi jos ZoneAlarm pyytää jollekkin troijalaiselle oikeutta ulos,
niin silloin troijalainen on jo monesti tehnyt tuhojaan kovalevyllä.
Ei troijalaisen tehtävänä useinkaan ole aiheuttaa "tuhoja
kovalevyllä", vaan esim. avata yhteys häkkerille koneeseesi jotta hän
pääsee räpeltämään sillä, tai lähettää jotain dataa ulos koneestasi.
Palomuuri auttaa monesti estämään nämä yhteydenotot tehokkaasti, jos
troijalainen on jotenkin päässyt kuitenkin koneellesi eikä
virusskannerin tietokanta vielä tunnista sitä.
Post by VH
Troijalaiset pysäytetään silloin kun ne on ladattu koneelle,
ei palomuuriohjelman ulospäin menevän liikenteen tarkkailussa.
Sen palomuurin ulospäin menevän liikenteen tarkkailu kuitenkin auttaa
havaitsemaan vihulaisen jo ennenkuin virusskanneri tietää siitä.
Nimim. kokemusta on, nimenomaan palomuurisoftan avulla havaitsin yhden
troijalaisen kaverin koneella, kun se yritti väenväkisin ottaa
yhteyttä johonkin tiettyyn ip-osoitteeseen.
Post by VH
XP SP2:n IE ja OE ohjelmien uudet turvaominaisuudet pysäyttävät
osan troijalaisista ja loput hoitaa hyvä virustorjuntaohjelma,
jonka reaaliaikainen torjunta on pidettävä toiminnassa.
Joskus uuden troijalaisen sisällyttäminen virusskannerin
tietokantoihin voi viedä viikonkin. Eivät ne sinne ilmesty sillä
sekunnilla kun kyseinen troijalainen on tehty. Onpa nähty jopa
tapauksia joissa jokin tunnettu virusskanneri ei ole havainnut jotain
jo varsin iäkästä virusta jonka toinen vastaava skanneri on havainnut
(ja kyseessä oli oikea virus, ei ns. väärä hälytys).
Ari Laitinen
2004-10-19 23:12:22 UTC
Permalink
Post by riku
Ei troijalaisen tehtävänä useinkaan ole aiheuttaa "tuhoja
kovalevyllä", vaan esim. avata yhteys häkkerille koneeseesi jotta hän
pääsee räpeltämään sillä, tai lähettää jotain dataa ulos koneestasi.
Palomuuri auttaa monesti estämään nämä yhteydenotot tehokkaasti, jos
troijalainen on jotenkin päässyt kuitenkin koneellesi eikä
virusskannerin tietokanta vielä tunnista sitä.
Aika naivi ajattelutapa olettaa etukäteen mitä troijanhevonen tekee
koneessa.

Ennustan, että jonain päivänä tulee sellainen troijan hevonen että sitä ei
juuri kiinnosta liikennöidä verkkoon vaan aiheuttaa pikeminkin vakavaa
tiedostojen tuhoutumista. Monella kotikoneella tämä ei toki ole uhka
ollenkaan koska ei ole mitään tärkeää muistissa.

Mietin juuri päivällä että kaikenlaiset internet terroristit aiheuttavat
maassamme tuhoja vuositasolla ehkä jopa satojen miljoonien eurojen edestä.
On verrattu Soneran ilmakauppoja Saksasta sotakorvauksiin ja kyllähän näistä
nettiterroristeista saadaan muutamassa vuodessa ihan yhtä mehevä potti
erilaisia korjaus ja torjuntakuluja aikaan. En ole silti huomannut
valtiovallan konkreettisesti tajunneen, että maamme on tältä osin akuutissa
sotatilassa. Vihollinen tuhoaa maamme infrastruktuuria ja sitä joudutaan
jälleenrakentamaan päivittäin tuhansissa kohteissa ja muissa vielä suurempia
kustannuksia aiheuttaa epätoivoinen torjuntataistelu.
Aki Peltola
2004-10-19 23:39:09 UTC
Permalink
Post by Ari Laitinen
Ennustan, että jonain päivänä tulee sellainen troijan hevonen että sitä ei
juuri kiinnosta liikennöidä verkkoon vaan aiheuttaa pikeminkin vakavaa
tiedostojen tuhoutumista.
Eihän se tuollainen enää mikään "troijan hevonen" silloin ole.
Troijalaisethan nimenomaan valuu huomaamatta koneelle
ja alkaa aukomaan yhteyksiä ulospäin.
Jouko Holopainen
2004-10-20 04:01:51 UTC
Permalink
Post by Aki Peltola
Troijalaisethan nimenomaan valuu huomaamatta koneelle
ja alkaa aukomaan yhteyksiä ulospäin.
Onpas mielenkiintoinen määritelmä ... mutta väärä.
--
@jhol

En usko että Dirac oli onnellinen. Kukapa haluaisi olla äärettömän
onnellinen äärettömän lyhyen aikaa. Ja vieläpä vain yhden edestä.
Aki Peltola
2004-10-20 15:55:53 UTC
Permalink
Post by Jouko Holopainen
Post by Aki Peltola
Troijalaisethan nimenomaan valuu huomaamatta koneelle
ja alkaa aukomaan yhteyksiä ulospäin.
Onpas mielenkiintoinen määritelmä ... mutta väärä.
Ja houkka kumartelee säteilevän viisautenne edessä.
riku
2004-10-21 11:22:18 UTC
Permalink
On Wed, 20 Oct 2004 07:01:51 +0300, Jouko Holopainen
Post by Jouko Holopainen
Post by Aki Peltola
Troijalaisethan nimenomaan valuu huomaamatta koneelle
ja alkaa aukomaan yhteyksiä ulospäin.
Onpas mielenkiintoinen määritelmä ... mutta väärä.
Sinun määritelmäsi oli vieläkin surkeampi, varsinkin kun sitä ei
ollut.
Jouko Holopainen
2004-10-21 14:36:08 UTC
Permalink
Post by riku
On Wed, 20 Oct 2004 07:01:51 +0300, Jouko Holopainen
Post by Jouko Holopainen
Post by Aki Peltola
Troijalaisethan nimenomaan valuu huomaamatta koneelle
ja alkaa aukomaan yhteyksiä ulospäin.
Onpas mielenkiintoinen määritelmä ... mutta väärä.
Sinun määritelmäsi oli vieläkin surkeampi, varsinkin kun sitä ei
ollut.
Olen eri mieltä. Minusta väärä määritelmä on huonompi kuin ei mitään
määritelmää, etenkin jos määritelmä menee näin pahasti metsään.
--
@jhol

En usko että Dirac oli onnellinen. Kukapa haluaisi olla äärettömän
onnellinen äärettömän lyhyen aikaa. Ja vieläpä vain yhden edestä.
Ari Laitinen
2004-10-20 08:36:09 UTC
Permalink
Post by Aki Peltola
Post by Ari Laitinen
Ennustan, että jonain päivänä tulee sellainen troijan hevonen että sitä ei
juuri kiinnosta liikennöidä verkkoon vaan aiheuttaa pikeminkin vakavaa
tiedostojen tuhoutumista.
Eihän se tuollainen enää mikään "troijan hevonen" silloin ole.
Troijalaisethan nimenomaan valuu huomaamatta koneelle
ja alkaa aukomaan yhteyksiä ulospäin.
Troijan hevonen ei avannut yhtään mitään ovia vaan sen sisältö. Hevosen
tehtävä oli vain saada se hyötykuorma sisltä sisältä Troijan muurien
sisäpuolelle.
Timo Pietilä
2004-10-20 09:12:02 UTC
Permalink
Post by Aki Peltola
Post by Ari Laitinen
Ennustan, että jonain päivänä tulee sellainen troijan hevonen että sitä ei
juuri kiinnosta liikennöidä verkkoon vaan aiheuttaa pikeminkin vakavaa
tiedostojen tuhoutumista.
Eihän se tuollainen enää mikään "troijan hevonen" silloin ole.
Troijalaisethan nimenomaan valuu huomaamatta koneelle
ja alkaa aukomaan yhteyksiä ulospäin.
Ei vaan ne tulevat koneelle ihan näkyvästi. Mutta valehtelevat olevansa
jotain muuta (siitä nimi trojan hevonen).

Esim. jokinultramahtavaohjelma.exe -> sisältönä mitä nyt hevosen tekijä
halusi sinne laittaa, esim. keyloggerin. p2p ohjelmat saattavat olla
pullollaan tällaisia.

Tuo minkä kuvasit on "backdoor" -ohjelma. Joka siis toki voi olla
trojalaisen sisällä.

Timo Pietilä
riku
2004-10-21 11:20:24 UTC
Permalink
On Wed, 20 Oct 2004 02:12:22 +0300, "Ari Laitinen"
Post by Ari Laitinen
Aika naivi ajattelutapa olettaa etukäteen mitä troijanhevonen tekee
koneessa.
Ennustan, että jonain päivänä tulee sellainen troijan hevonen että sitä ei
juuri kiinnosta liikennöidä verkkoon vaan aiheuttaa pikeminkin vakavaa
tiedostojen tuhoutumista.
Silloin kyseessä lienee paremminkin esim. virus eikä troijalainen.

Oliko kannanottosi jotenkin osoittavinaan ettei palomuurisoftasta,
joka osaa tarkkailla myös ulos menevää liikennettä, ole mitään
käytännön hyötyä tietoturvan kannalta?
Ari Laitinen
2004-10-21 16:50:30 UTC
Permalink
Post by riku
On Wed, 20 Oct 2004 02:12:22 +0300, "Ari Laitinen"
Post by Ari Laitinen
Aika naivi ajattelutapa olettaa etukäteen mitä troijanhevonen tekee
koneessa.
Ennustan, että jonain päivänä tulee sellainen troijan hevonen että sitä ei
juuri kiinnosta liikennöidä verkkoon vaan aiheuttaa pikeminkin vakavaa
tiedostojen tuhoutumista.
Silloin kyseessä lienee paremminkin esim. virus eikä troijalainen.
No ei todellakaan ole virus vaan sen nimi on haittaohjelma ja tarkemmin
sanottuna looginen pommi.
Post by riku
Oliko kannanottosi jotenkin osoittavinaan ettei palomuurisoftasta,
joka osaa tarkkailla myös ulos menevää liikennettä, ole mitään
käytännön hyötyä tietoturvan kannalta?
Sanoin että ajattelutapa on naivi jos rajataan etukäteen mitä troijan
hevosen hyötykuorma tekee.

Sama kuin puolustaisi maata vain idästä tulevaa uhkaa vastaan. Kyllä siellä
länsirajallakin tarvitaan valvontaa.
Markku Uttula
2004-10-23 01:39:03 UTC
Permalink
Post by riku
On Wed, 20 Oct 2004 02:12:22 +0300, "Ari Laitinen"
Post by Ari Laitinen
Aika naivi ajattelutapa olettaa etukäteen mitä troijanhevonen tekee
koneessa.
Budweiser-mainosta lainatakseni; "true, true".
Post by riku
Post by Ari Laitinen
Ennustan, että jonain päivänä tulee sellainen troijan hevonen että
sitä ei juuri kiinnosta liikennöidä verkkoon vaan aiheuttaa
pikeminkin vakavaa tiedostojen tuhoutumista.
Silloin kyseessä lienee paremminkin esim. virus eikä troijalainen.
Viruksen ja troijalaisen ero on häilyvä (useat virukset kun ovat
troijalaisia, vaikkakaan kaikki troijalaiset eivät ole viruksia) ja
juurikin tämän vuoksi rajanveto on ennemminkin veteen piirretty viiva
eikä mitään muuta.
--
Markku Uttula
Timo Pietilä
2004-10-25 12:45:17 UTC
Permalink
Post by Markku Uttula
Post by riku
Silloin kyseessä lienee paremminkin esim. virus eikä troijalainen.
Viruksen ja troijalaisen ero on häilyvä (useat virukset kun ovat
troijalaisia, vaikkakaan kaikki troijalaiset eivät ole viruksia) ja
juurikin tämän vuoksi rajanveto on ennemminkin veteen piirretty viiva
eikä mitään muuta.
Jos lääketieteellisiä vastineita haetaan nimityksiksi, niin
nyky"virukset" ovat enemmänkin loisia, matoja, kuin viruksia. Ne
loisivat isäntäkoneessa kunnes pistävät isäntäkoneen "aivastamaan" ts.
aktivoivat s-postiyhteyden tms. siirtotien toiseen koneeseen. Siirtotien
toimimisen varmistamiseksi tämä loinen saattaa piilottaa itsensä
"troijan hevoseen" tai käyttää raakaa vastaajakoneen
immuniteettisuojassa olevaa reikää (tietoturvareikä, esim. heikko
salasana levyjaossa).

Nykykoneessa "solujen" eli tiedostojen määrä on niin valtaisa, että
loinen kykenee piiloutumaan sinne sekaan vaivattomasti. Prosesseista sen
vielä huomaa (jos huomaa).

Virus infektoi tiedostoja, loinen infektoi koneen, mutta jättää
tiedostot rauhaan (ainakin kunnes se aktivoi tuhokoodin).

Timo Pietilä
Pertti Kosunen
2004-10-25 13:02:16 UTC
Permalink
Post by Timo Pietilä
Jos lääketieteellisiä vastineita haetaan nimityksiksi, niin
nyky"virukset" ovat enemmänkin loisia, matoja, kuin viruksia. Ne
loisivat isäntäkoneessa kunnes pistävät isäntäkoneen "aivastamaan" ts.
aktivoivat s-postiyhteyden tms. siirtotien toiseen koneeseen. Siirtotien
toimimisen varmistamiseksi tämä loinen saattaa piilottaa itsensä
"troijan hevoseen" tai käyttää raakaa vastaajakoneen
immuniteettisuojassa olevaa reikää (tietoturvareikä, esim. heikko
salasana levyjaossa).
Tuo määritelmä sopii paremmin (influenssa)virukseen. Vaikka joskus
aivastaessa voi "matojakin" lentää.

Jouko Holopainen
2004-10-20 04:00:42 UTC
Permalink
Post by riku
Ei troijalaisen tehtävänä useinkaan ole aiheuttaa "tuhoja
kovalevyllä", vaan esim. avata yhteys häkkerille koneeseesi jotta hän
pääsee räpeltämään sillä, tai lähettää jotain dataa ulos koneestasi.
IMNHO tuo == "tuhoja kovalevyllä".

Lisäksi moni tekee viruksen/troijalaisen poistamisen saatanan vaikeaksi
(mikä oli se yksi joka boottas koneen 3 sekunnissa ja jota ei saanut
pois safe-modessa¹?) joka, tietenkin, == "tuhoja kovalevyllä".

¹ minun on mahdotonta ymmärtää miten Microsoft on tämän ryssinyt.

Aika moni saastuttaa ties mitä systeemi jne tiedostoja, joka, IMNHO
== "tuhoja kovalevyllä".
Post by riku
Joskus uuden troijalaisen sisällyttäminen virusskannerin
tietokantoihin voi viedä viikonkin. Eivät ne sinne ilmesty sillä
sekunnilla kun kyseinen troijalainen on tehty.
Kuinka totta.
--
@jhol

En usko että Dirac oli onnellinen. Kukapa haluaisi olla äärettömän
onnellinen äärettömän lyhyen aikaa. Ja vieläpä vain yhden edestä.
Timo Pietilä
2004-10-20 07:47:09 UTC
Permalink
Post by riku
Post by VH
Troijalaiset pysäytetään silloin kun ne on ladattu koneelle,
ei palomuuriohjelman ulospäin menevän liikenteen tarkkailussa.
Sen palomuurin ulospäin menevän liikenteen tarkkailu kuitenkin auttaa
havaitsemaan vihulaisen jo ennenkuin virusskanneri tietää siitä.
Ja jos kyseessä on adware-palikka niin sehän voi olla ihan
tarkoituksella koneessa (esim. jokin tuote jonka käyttöoikeus tulee
mainosten saattelemana) jolloin virustorjunnan ei kuulukkaan älähtää
moisesta, mutta käyttäjällä voi hyvinkin olla hinku blokata tällainen
vakoilusofta. Ja sitten jos jossain vaiheessa havaitaan, että tämä
adware sisältää hiukan muutakin kuin pelkän käyttäjän hyväksymän
vakoilupalikan niin virustorjunta on jo myöhässä.

Palomuuri on ennakoivaa, virustorjunta enemmänkin tuhojen rajoitusta jos
kyseessä on ihan uusi palikka.

Toki pelkällä sisääntulevan liikenteen blokkaamisella estetään kaikki
verkkomadot, mutta se ei estä käyttäjää asentamasta s-postimatoja.

Timo Pietilä
VH
2004-10-20 14:22:34 UTC
Permalink
Post by riku
Joskus uuden troijalaisen sisällyttäminen virusskannerin
tietokantoihin voi viedä viikonkin. Eivät ne sinne ilmesty sillä
sekunnilla kun kyseinen troijalainen on tehty.
Sen takia olenkin mainostanut Kaspersky Anti-Virus ohjelmaa,
joka on tehokäyttäjien suosiossa ja jonka haittaohjelmien
(malware, adware, ym) tunnistaminem pitäisi olla tehokasta
ja päivitysnopeus hyvä.

Tosin Kasperskyn tehokkain suoja on laitettava asetuksissa päälle:
"Configure Updater" => "extended databases"

Kasperskyn lisäksi myös McAfee ja F-Secure ovat menestyneet
hyvin (virus/haittaohjelmat) testeissä.
Timo Pietilä
2004-10-21 09:32:26 UTC
Permalink
Post by VH
Sen takia olenkin mainostanut Kaspersky Anti-Virus ohjelmaa,
joka on tehokäyttäjien suosiossa ja jonka haittaohjelmien
(malware, adware, ym) tunnistaminem pitäisi olla tehokasta
ja päivitysnopeus hyvä.
Kasperskyn lisäksi myös McAfee ja F-Secure ovat menestyneet
hyvin (virus/haittaohjelmat) testeissä.
Ja Symantec niissä mitkä olen nähnyt. F-Securella ongelmat ovat
enemmänkin yhteensopivuuden ja sensellaisten puolella, viruksia se
tunnistaa hyvin.

Timo Pietilä
Hanna
2004-10-22 12:43:16 UTC
Permalink
Post by VH
Sen takia olenkin mainostanut Kaspersky Anti-Virus ohjelmaa,
joka on tehokäyttäjien suosiossa ja jonka haittaohjelmien
(malware, adware, ym) tunnistaminem pitäisi olla tehokasta
ja päivitysnopeus hyvä.
Kasperskyn lisäksi myös McAfee ja F-Secure ovat menestyneet
hyvin (virus/haittaohjelmat) testeissä.
Ja Symantec niissä mitkä olen nähnyt. F-Securella ongelmat ovat enemmänkin
yhteensopivuuden ja sensellaisten puolella, viruksia se tunnistaa hyvin.
Timo Pietilä
Itse olen kyllä sitä mieltä,ettei vara venettä kaada siksi mulla onkin XP:n
SP2 ja Norton Internet Security ja päivitän muutekin ohjelmistoani sitä
mukaa,kun päivityksiä tulee.Lisäksi otan suht usein varmuuskopiot mulle
tärkeistä tiedostoista.Poltan vain ne uudelleen kirjoittaville DVD-levyille
ja yleensä entisten varmuuskopioiden päälle,niin voin olla varma,että
vahingot jää mahdollisimman pieniksi.

Mun mielestä jokaisen pitää tuntea vastuuta myös muista verkon käyttäjistä
ja suojata koneensa,niin ettei oma kone toimi jonain
virus-/troijalais-/spämmi -jakopalvelimena ja samaa mieltä tuntuu olevan noi
ohjelmistovalmistajat.Ottaen huomioon ,että XP:n SP2 saa ladattua,vaikka
koneen XP olisikin laiton kopio.

Hanna
Markku Uttula
2004-10-23 01:47:57 UTC
Permalink
Post by Hanna
Lisäksi otan suht
usein varmuuskopiot mulle tärkeistä tiedostoista.Poltan vain ne
uudelleen kirjoittaville DVD-levyille ja yleensä entisten
varmuuskopioiden päälle,niin voin olla varma,että vahingot jää
mahdollisimman pieniksi.
Koska nyt ollaan (siis minä ainakin:) s.a.turvallisuus -ryhmässä,
ihmettelen, mitä sanot siinä vaiheessa kun koneellesi puoli vuotta
aiemmin tarttunut haittaohjelma aktivoituu ja estää pääsyn niille
virtuaalitiedostoille, joita se on luonut sitä mukaa kun olet joitakin
tiedostoja yrittänyt käsitellä.

Juujuu... Tiedän... aika vainoharhaistahan tämä on, mutta kaikkea
tulee mieleen kun itselle jotakin tällaisia juttuja tapahtuu.
Hypoteettinen juttuni nimittäin ei ole tuulesta temmattu...
--
Markku Uttula
Markku Uttula
2004-10-23 01:44:10 UTC
Permalink
Post by VH
Kasperskyn lisäksi myös McAfee ja F-Secure ovat menestyneet
hyvin (virus/haittaohjelmat) testeissä.
Tässä kohtaa on kommentoitava seuraavaa;

Itselläni meni hetken aikaa ihmetellessä, miksi Nortonin Antivirus
varoitteli erästä itse tekemääni ohjelmaa ajettaessa, että kyseessä
mahdollisesti saattaisi olla virus. Selitys kuitenkin oli sangen
selkeä - ohjelma kun postitti itsensä muille käyttäjille.
Päivityssysteemiä suunnitellessani moinen "virusmaisuus" ei ollut edes
tullut mieleeni, mutta asiakaspalautteiden perusteella muutin ohjelmaa
siten, että se meni "huomaamatta" kyseisistä tarkistuksista läpi.

Sivuhuomautuksena; uskoisin monien virustehtailijoiden tehneen saman
tempun - homman toteutus kun ei ollut alkuunkaan vaikeaa.
--
Markku Uttula
Timo Pietilä
2004-10-25 12:47:33 UTC
Permalink
Post by Markku Uttula
Post by VH
Kasperskyn lisäksi myös McAfee ja F-Secure ovat menestyneet
hyvin (virus/haittaohjelmat) testeissä.
Tässä kohtaa on kommentoitava seuraavaa;
Itselläni meni hetken aikaa ihmetellessä, miksi Nortonin Antivirus
varoitteli erästä itse tekemääni ohjelmaa ajettaessa, että kyseessä
mahdollisesti saattaisi olla virus. Selitys kuitenkin oli sangen selkeä
- ohjelma kun postitti itsensä muille käyttäjille. Päivityssysteemiä
suunnitellessani moinen "virusmaisuus" ei ollut edes tullut mieleeni,
mutta asiakaspalautteiden perusteella muutin ohjelmaa siten, että se
meni "huomaamatta" kyseisistä tarkistuksista läpi.
Sivuhuomautuksena; uskoisin monien virustehtailijoiden tehneen saman
tempun - homman toteutus kun ei ollut alkuunkaan vaikeaa.
Jolloin "mato" menee heuristisesta läpi, mutta tökkää sormenjälkeen jos
sellainen tehdään. Tuo toki toimii mille tahansa virustorjunnalle, pitää
vain tietää millä virustorjunnan saa uskomaan ohjelman olevan laillinen.

Timo Pietilä
Continue reading on narkive:
Loading...