PARANOIA - Test bezpečnosti

[PadiseK]

Ahoj lidi, udělal sem si test bezpečnosti PARANOIA a mám 4 vykričníky...prosím o radu, jestli by se s tím něco nedalo dělat ( nejspíš asi ve firewallu nebo rooteru [nebo jestli zakázat nějaký určitý porty])

Screen : http://tinypic.com/view.php?pic=20icku8&s=3

[earl]

Zdravim,

Zalezi na tom,jestli za routerem mate jedno nebo vic pc.

Port 80/http - ten samozrejme nechat otevreny,jinak se nebude konat zadny surf

U portu 53/UDP,22/TCP a 161/UDP je treba zjistit,k jake komunikaci patri,popr. ktere aplikace je pouzivaji.

Co mate za router?A pouzivate tovarni nastaveni?Kolik mate pc za routerem?

[PadiseK]

Za rooterem se vyskytuje Můj pc a bráchův notebook (po wi-fi ).

Nevím, jak nastavit porty ve firewallu, nebo v rooteru.

Mám rooter ZCOMAX WA-2204A-TX.

Tovární nastavení ? prosím o vysvětlení...

Pravděpodobně asi nepoužívá žádná aplikace dané porty, co jste vypsal..

[Vao02]

Pravděpodobně asi nepoužívá žádná aplikace dané porty, co jste vypsal..

Dobry den, budete se divit ale pouziva... jen namatkou port 53 pouziva vas pocitac pro dulezitou komunikaci, ktera je nutna pro spravne fungovani internetu!! ( na tom portu bezi komunikaci s DNS serverem/ry ). Je to jeden z nejcastejsich omylu lidi, co trochu poroniknou do fw, ze si mysli ze otevreny port je maler. Neni pokud je na tom pc dobry fw. Ten totiz hlida, aby pres tento port sla jen ta komunikace, ktera ma. Opravdu dobre fw poznaji i to, kdyz se "legalnim" portem snazi protlacit aplikace, ktera je nejak zneuzita nejaky smejdem!! Do bytu take musite chodit pres otevrene dvere a vodit si navstevy otevrenymi dvermi, pac zavrenymi to jaksi dobre nejde. A vy take stojite u tech dveri a vidite a kontrolujete si, koho si poustite domu Cili ja jako bezny uzivatel se o porty vubec nestaram. protoze nevim co to vubec je. Daleko dulezitejsi z pohledu normalniho uzivatele, je nastaveni fw pro jednotlive aplikace. A pochopeni principu fw jako takoveho. Urcit si co budu poustet ven a dovnitr meho pc. O vic by jsem se jako norm. pc neznaly uzivatel nemel vubec starat, nebot napacham vic skody nez uzitku. I tak po instalaci fw budu mit dost starosti az se zacne ptat

dale jen tip k tem testum... doufam, ze mate verejnou IP, protoze pokud ne, tak to neni test vaseho kompu, ale poskytovatele

[PadiseK]

dale jen tip k tem testum... doufam, ze mate verejnou IP, protoze pokud ne, tak to neni test vaseho kompu, ale poskytovatele

To si myslím, že nemám veřejnou, jen způsob prosím, na ověření ?

A ještě otázka mimo téma, na začátku systému se mi spouští aplikace "ctfmon.exe", je nutné, aby se spouštěl ?

[Vao02]

http://www.viry.cz/forum/viewtopic.php?f=41&t=20980

a treba http://support.microsoft.com/kb/282599/cs

[PadiseK]

jojo, tak ten ctfmon.exe tam radči nechám...

[Vao02]

no... mozna ne... zalezi jestli pouzivate office

Lze program Ctfmon.exe odebrat?
Při odebrání programu Ctfmon.exe může dojít k problematickému chování aplikací sady Office XP, proto se jeho odebrání nedoporučuje....

ja treba pouzivam OpenOffice.org... cili teoreticky bych ho mohl odstranit...ale jeste jsem to nezkousel, takze nevim

[skervarz]

jestli se nepletu, tak ctfmon.exe ma co delat s prepinanim klavesnice (alespon kdyz jsem to killnul, tak to zacalo blbnout)

U toho otevreneho portu 80 si nejsem jist, z venku by urcite nemel byt otevreny (leda ze byste provozoval vlastni stranky). Port 80 je sice http protokol, ale na nej se pripojujete vy na server a ne server k Vam.

Obecne jedinne otevrene porty z venku mensi nez 1023 bych videl takto (jeste je nutne rozlisovat TCP nebo UDP protokol):

20 v pripade pouziti aktivniho ftp
porty vetsi nez 1023 otevrene, pres je jede skoro vsechno

Nezminuju porty:
137, 138, 139, 445 aspol. pro netbios (myslim, ze na tom funguje windowsi sdileni, ktere mam zasadne vyple)
135 pro DCOM (tady jsem tomu zatim plne neporozumnel)

Pro prideleni privatni IP by mel byt jeste otevren port
68 pro DHCP a tady bych jeste povolil pouze adresy dhcp serveru i kdyz s dhcp jsem to jeste moc nepochopil, protoze je tam vec jeste ohledne broadcastu a navic to mam doma zmotany jeste pravidly pro komunikaci ven.


Porty otevrene ven (pokud nekdo hlida i to co mu aplikace posilaji)
80 http
53 dns port
443 https
21 ftp
+ urcite dalsi, ktere jsem zapomnel, zde to neni takove bezpecnostni omezeni.

Jeste pro to aby bylo jasno, laicky jak takova komunikace vypada:

Smer komunikace dovnitr/ven je urcen tim kdo spojeni ZAPOCAL!

Kdyz se firefoxem spojim s nejakou strankou tak JA se napojuji pomoci tpc na port 80 SERVERU z nejakeho meho nahodneho portu (treba 5001).
Tzn. Je to komunikace ven z portu 5001 na port 80. - to je duvod proc ja nepotrebuju mit otevreno z venku port 80 (protoze nejsem web server).

Tak si to zatim predstavuju ... mozna uplne blbe .

[Vao02]

....ja jako bezny uzivatel se o porty vubec nestaram. protoze nevim co to vubec je. Daleko dulezitejsi z pohledu normalniho uzivatele, je nastaveni fw pro jednotlive aplikace. A pochopeni principu fw jako takoveho. Urcit si co budu poustet ven a dovnitr meho pc....

Zakladni zasada pro uzivatele, ktery nerozumi pc a ma pc na praci, zabavu, komunikaci a ktery je natolik gramotny, ze ma firewall... a ten se pta... je: neco se me zepta... ja vubec nevim co to je... dam jednorazovy blok... a pokud vse jede jak ma muzu dat priste blok trvaly. Pokud si zapnu treba Firefox a fw ze me zepta a ja dam blok a nasledne nemuzu na internet, tak asi ten firefox bych mel povolit a priste dam povoli... a hle muzu na net, tudiz priste trvale povolit. Timto lamerskym pravidlem se da vyresit prakticky vse a je uplne jedno jestli protokol takovy nebo makovy a komunikace ven/dovnitr.! A porty... co na nich pro takoveho uzivatele zalezi, ten nevi co to port je. A je mu uplne jedno jestli kdyz se diva na seznam.cz ci do banky, tak jestli se pripojuje z 15232 na 80 nebo 443. Pokud ten uzivatel je o trochu zdatnejsi, tak vi, ze ma veskerou komunikaci smerem do sveho pocitace blokovat! Naprosto idealni, pro normalniho pc neznaleho uzivatele. je napr. NIS09, kde je plne automaticky fw, ktery si sam urcuje a nepta se. Ne ze by to bylo z hlediska bezpecnosti optimalni, ale lepsi takovyto automat, nez zadny fw, ci spatne nastaveny fw!! Takze kdo umi muze si treba i v NISu nastavovat pravidla a vytvorit si neprustrelneho strazce sveho pc vcetne komunikace na jednotlivych portech! Ale neco za neco, ze ... bud se musim vzdelat v oblasti firewallu a potom umet a nebo si musim zaplatit napr. za jiz zminovany NIS s excelentnim fw. Tak uz to ale na svete chodi a nejen v oblasti pocitac-internet. Sejne tak, jako norm. lamer user absolutne netusi jestli pouziva verejnou nebo neverejno IP... on totiz ani nevi co to je IP. A ke stastnemu a dokonce i bezpecnemu uzivani pc to ani vedet nepotrebuje ( pokud dodrzuje http://www.viry.cz/forum/viewtopic.php?f=15&t=2912 a zaklady "slusneho a rozumneho chovani na pc" ). A pokud si dela testy fw a nevi jakou ma IP, tak to take ledacos napovida ... a vubec potom nejde o porty. Ono totiz nastavit si fw na urovni portu, uncomon protocols, host intrusion prevention ... a ja nevim ceho vseho jeste... uz chce opravdu neco umet a znat A pokud se nekdo cilene bude snazit na ten konkretni pocitac dostat, potom je to stejne jeste uplne o necem jinem a norm. uzivatel je vlastne stejne drive ci pozdeji bez sance. Ale to uz je o necem jinem.

[Pip]

Já mám taky jeden problém z testů na www.pcflank.com ....a to že všechny útoky a porty jsou chráněny ALE napsalo mi to něco se zabezpečením prohlížeče... Používám nejnovější verzi Mozily Forefox... poraďte co stím Díkec

[branda]

Já mám taky jeden problém z testů na http://www.pcflank.com ....a to že všechny útoky a porty jsou chráněny ALE napsalo mi to něco se zabezpečením prohlížeče... Používám nejnovější verzi Mozily Forefox... poraďte co stím Díkec

Vadí jim nastavení ukládání cookies. Vyřešte takto: http://support.mozilla.com/cs/kb/Pr%C3%A1ce+s+cookies nebo nechte být