Sida 2 av 4
Postat: 25 oktober 2005, 19:35:08
av rickeboy
sebastiannielsen>> Min konfundering handlade om varför du ville blockera "dålig" utgående trafik... visst vill man det men det kändes inte som om man borde behöva det eftersom "dålig" trafik måste komma utanifrån redan från början (man har ju dock blockat inkommande "dålig" trafik) förutsatt att man litar på sitt egna nätverk that is.
Jag kör själv en separat burk som brandvägg m m (OS: Linux Slackware)... bra talat det med proxyservern dock...
//rickeboy
Postat: 26 oktober 2005, 00:19:02
av danei
Jag tror att det är svårt att prata på samma nivå som säkerhets experten.
Jag har iafa inte hörtalas om "mejllklienter tallar" förut.
Postat: 26 oktober 2005, 00:22:43
av 007sweden
"trojan-protokoll"? hittar ingen specifiering på det på google iaf :/
hehehe jag väntar bara på att han får anställning på ett företag som websäkerhetsexpert
nätet blir så säkert med så mycket spärrar att det nästan är säkrare att inte ha varken nät eller websäkerhetsexpert
Postat: 26 oktober 2005, 04:48:08
av sprawl
Det är inte helt ovanligt att man spärrar utgående trafik. På jobbet så har vi som grundregel att all trafik ut är spärrad och sedan går man genom div. proxy-servrar för att ta sig ut (HTTP, FTP, SOCKS) osv. Detta för att man vill förhindra att om någon maskin på insidan blir smittad av någon mask eller så att den inte sprider sig vidare till DMZ, andra workstation segment eller ut på internet.
Dock så förstår jag det inte ur just "phone-home" synpunkt. Hade jag skrivit en trojan så hade den allt fått prata HTTP och hade då förmodligen snirklat sig ut med hjälp av proxyn.
/a
Postat: 26 oktober 2005, 11:25:30
av sebastiannielsen
007sweden:
Med trojan-protokoll så menar jag de 100-tals olika udda protokoll som just trojaner och virus använder när de snackar med sina skapares servrar.
danei: Jag har fixat stavfelet nu. "mejlklienter talar" ska det vara.
sprawl: VNC-trojaner och liknande är gjorda för att ha en konstant förbindelse. HTTP, POP3 samt SMTP är gjorda för att koppla ner efter den gjort ärendet. Det innebär att om en tex VNC-trojan ska kunna fungera så måste den vara gjord så den "lägger på" och sedan kopplar upp igen.
Och det kommer bli ganska kraftig lagg för den som försöker styra min dator i så fall eftersom crackarens server måste vänta på en ny HTTP-uppkoppling från trojanen innan den kan fortsätta.
Så proxyservern kommer ju ana att det är något lurt om något försöker göra 2 HTTP-request i en och samma anslutning. Stämmer inte med HTTP-standarden.
Postat: 26 oktober 2005, 11:28:18
av Schnegelwerfer
Antar att du med "Trojan-protokoll" egentligen menar de portar som kända trojaner använder?
Det är stor skillnad!
Postat: 26 oktober 2005, 11:33:18
av axelsonic
En brandvägg är (i min värld) vanligtvis en dedikerad burk som är stängd för allt. Dvs en vägg, där man petar små hål där man vill ha dem, webb, ftp, ssh, mail osv... Både från in och utsida.
Inte svårare än så.
Postat: 26 oktober 2005, 11:36:33
av sebastiannielsen
Schnegelwerfer: nope. med protokoll så menar jag det "språk" som klient/server pratar när en förbindelse väl har upprättats.
Det finns trojaner som kör ett helt udda protokoll över 80 (HTTP).
HTTP börjar ju med "GET / HTTP/1.1(ny rad)"
Men en trojan kanske börjar sin kommunikation med "GetMissions(ny rad)"
som sedan servern svarar med något kommando som betyder att den ska göra något illvilligt.
Postat: 26 oktober 2005, 12:33:07
av netrunner
Jo, han vill vara berädd på att ta fighten med ett virus/hacker även på insidan av FW:en. Det kan vara klokt. Kanske får man besök av någon som har en smittad laptop eller ett virus som inte tas av antiviruset.
Då kan jag tippsa om flera saker:
1. Labrea (skenmål med larm och "slå tillbaka").
2. SUS-server.
3. En scanner för datorer i "promicius mode".
4. SMS medelande till dom tre...
Postat: 26 oktober 2005, 12:46:35
av sprawl
sebastian:
Du måste inte koppla upp och ner för varje förfråga över HTTP, dom flesta klienter och servrar stödjer något som kallas Keep-Alive som innebär att att du kan skicka flera förfrågan och få flera svar i samma uppkoppling. Sen så har dom flesta HTTP proxies även stöd för HTTPS vilket innebär att du då egentligen har en "öppen" pipa rakt ut på nätet och kan skicka vad du vill vart du vill.
Sen som sagt, hade jag skrivit en trojan som ska ha "phone-hom" så hade jag använt mig av HTTP eller eventuellt HTTPS om jag behöver återkoppling ifrån "servern".
/Andreas
Postat: 26 oktober 2005, 13:00:11
av dancar
Hmm kan vi inte försöka föra denna diskussion om vad en firewall vill/kan/ska göra i en annan tråd. Jag befarar att det kommer bli pajkastning här inne annars och det är inte det mitt lilla bygge handlar om.
Postat: 26 oktober 2005, 13:07:22
av Fagge
Jag tycker också att det har spårat ur, så nån moderator ta & rensa väck alla icke relevanta inlägg!.
Postat: 26 oktober 2005, 14:07:10
av sprawl
Jag tycker inte att man ska ta bort information då den kan vara intressant. Flytta den är helt ok.
Sen så tycker jag att attityden på forumet börjar bli lite väl kontrollerande. Låsa trådar, detta är MIN tråd får bara prata om sånt som jag vill här.
Jag tycker tjusningen med forum är att diskussionerna kan vandra lite
Men visst, ibland vill man ta bort!
/Andreas
Postat: 2 november 2005, 00:37:01
av dancar
Så nu börjar det röra på sig igen.. Jag har fått lite frästa grejor från Fagge och varit nere hos plåtslagaren och klippt plåt. Synnerligen nöjd med Fagges fräsjobb. Jag ska försöka gå upp lite bilder imorgon så ni kan se hur det ser ut.
/Daniel
Postat: 2 november 2005, 22:21:24
av dancar
Då var det dax för lite på/av-knappsbygge, tyvärr äger jag bara en mobilkamera att fota med så bilderna blir som de blir.
Fronten med lite grejor som skall bli knapp.
Knappen, en aluminiumcylinder som limmas på en tangentbordsknapp. Tangentbordsknappen limmas på en tillböjd aluminiumbit och limmas på baksidan av fronten.
Baksidan efter montage.
Framsidan efter montage. Nu återstår det att montera display och av/på lysdiod sen är fronten klar.