Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Maanantai, 3.5.2004

Sasser-verkkomato saastuttaa Windows2000- ja XP-järjestelmiä

Virustorjuntayhtiö F-Secure varoittaa Windows-käyttäjiä vappupäivänä löydetystä Sasser-verkkomadosta, joka on arvioiden mukaan levinnyt jo satoihin tuhansiin koneisiin. Madosta on liikkeellä kaksi erilaista versiota, jotka molemmat leviävät LSASS-nimisen haavoittuvuuden kautta. Microsoft julkisti haavoittuvuuteen korjauksen 18 päivää ennen Sasserin ilmestymistä, mutta madon nopeasta leviämistahdista päätellen internetissä on edelleen paljon päivittämättömiä Windows2000- ja XP-järjestelmiä.

Yritysten järjestelmien pitäisi olla suojassa Sasserilta ja sen versioilta, koska niiden palomuurit erottavat sisäisen verkon julkisesta. Siksi olemme eniten huolissamme maanantai-aamusta, kun kannettavien tietokoneiden käyttäjät palaavat työpaikoilleen. Mato voi tällöin olla jo koneessa ja päästä siten palomuurin ohitse , F-Securen tutkimusjohtaja Mikko Hyppönen kommentoi.

Microsoft on julkistanut verkkopalvelussaan Sasser-matoviruksesta kertovan tietopaketin, joka sisältää myös työkalun virustartunnan tarkastamiseen ja mahdollisen viruksen poistamiseen.

Lue juttu oma, 3.5.2004 00:04. Lähde: F-Secure, Microsoft

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 60 uutta / 60 )
pistettä.
Näytä vain kommentit joilla on vähintään
Pisterajan alittavia kommentteja piilossa.
Pisterajan alittavia kommentteja piilossa.
Re: Väärin
Anonyymi kommentoija, 3.5.2004 02:39:14		 Pisteet: 0
"...internetissä..." Mitenkäs ne erisnimet taas kirjoitettiinkaan?
Kielitoimisto *suosittaa* Internetiä kirjoitettavaksi isolla kirjaimella, mutta näin IT-aiheisessa uutispalvelussa suositukset pitää ottaa vain suosituksina, ihan niin kuin ne ovat RFC-dokumenteissakin.
Sillä, mitä Kielitoimisto sanoo sanasta "Internet" erityisesti, ei ole paljonkaan merkitystä.

Suomen kielen oikeinkirjoituksen mukaan erisnimet aloitetaan isolla kirjaimella.
"Internet" taas on eräälle tietoverkolle annettu erisnimi, joten tässä asiassa ei ole tilaa millekään tulkinnoille.

Lisäksi FUNET kertoo mm. seuraavaa: "Ennen Internetin kaupallistumista isolla kirjoitettu Internet tarkoitti tiedeyhteisön maailmanlaajuista internet-tekniikalla tehtyä verkkoa. Pienellä kirjoitetettu internet-tarkoitti taas mitä tahansa samalla tekniikalla tehtyä verkkoa oli sillä yhteys isoon Internettiin tai ei."
( http://www.nic.funet.fi/index/FUNET/history/intern... )
Mistä lähtien FUNET on päättänyt kirjoitetaanko erisnimet isolla vai pienellä? Täysin asiaanliittymätön sitaatti.

Suomen kielessä ei ole ollenkaan sanaa "internet" pienellä kirjoitettuna yleisnimenä. Kun suomenkielisessä tekstissä esiintyy sana "Internet", se tarkoittaa vain yhtä nimenomaista verkkoa, kirjoitusasusta riippumatta. Suomenkielisessä tekstissä pienellä kirjoitettu "internet" on vain väärin kirjoitettu erisnimi "Internet". Tarkoitettaessa tietoverkkoja yleensä käytetään esim. sanaa "tietoverkko" tai kun on tarpeen eritellä käytettäviä tekniikoita voidaan puhua esim. "IP-verkoista" tai "TCP/IP-verkoista" tapauksesta riippuen.

Siihen, mitä merkityksiä sanalla "internet" on englannin kielessä tai muissa kielissä, en tässä puutu, koska siitä ei voida päätellä mitään sanan käytöstä suomen kielessä.

Jatkossa nämä kieliaiheiset keskustelut mielellään Kielikellon keskustelupalstoille, koska Sektorin uutiskommentit ovat niille totaalisen väärä paikka.
Paras tapa välttyä kielioppivirheisiin kohdistuvilta huomautuksilta on kirjoittaa oikein. Kun kaikki noudattavat samoja oikeinkirjoitussääntöjä, ei huomio kiinnity sivuseikkoihin vaan voidaan keskittyä käsiteltävään asiaan. Tätäkään kommenttia ei olisi kirjoitettu, jos olisitte korjannut virheenne vähin äänin heti, kun siitä ystävällisesti teille huomautettiin.
Sampo nurin
Anonyymi kommentoija, 3.5.2004 12:01:40		 Pisteet: 0
Re: Sampo nurin
Anonyymi kommentoija, 3.5.2004 13:45:22		 Pisteet: 0
http://www.helsinginsanomat.fi/tuoreet/artikkeli/1...
Olisikohan auttanut jos olisi kaikki portit olleet oletuksena blokissa ja avattu vain tarvitut...
Uskomatonta miten huonosti pankeissa on hoidettu nämä hommat.
Re: Sampo nurin
Anonyymi kommentoija, 3.5.2004 14:19:02		 Pisteet: 0
Olisikohan auttanut jos olisi kaikki portit olleet oletuksena blokissa ja avattu vain tarvitut...
Jokaisessa koneessa?

Uskomatonta miten huonosti pankeissa on hoidettu nämä hommat.
Aivan. Linuxia käyttämällä ei moista ongelmaa olisi ollut.
Re: Sampo nurin
Anonyymi kommentoija, 3.5.2004 14:21:52		 Pisteet: 0
Olisikohan auttanut jos olisi kaikki portit olleet oletuksena blokissa ja avattu vain tarvitut...
Jokaisessa koneessa?
Miksi jokaisessa koneessa?
Kuvittelisin, että tuon kokoisessa firmassa on sentään joitakin kohtia joista mennään talosta ulos joissa oleviin palomuureihin olisi voitu tehdä tuo blokkaus.
Onko koko sektori nykyään täynnä kotiverkko guruja?

Aivan. Linuxia käyttämällä ei moista ongelmaa olisi ollut.
No niinkin...
AdminGZ Re: Sampo nurin
AdminGZ, 3.5.2004 14:41:33		 Pisteet: 0
Miksi jokaisessa koneessa?
Koska työntekijät rahtaa viikonloppuna kotona käytössä olleet läppärinsä töihin.
Antti Peltola
IRC: Grounded0 @ IRCnet
WWW: http://www.anttipeltola.net/
Re: Sampo nurin
Anonyymi kommentoija, 3.5.2004 14:42:52		 Pisteet: 0
Miksi jokaisessa koneessa?
Koska työntekijät rahtaa viikonloppuna kotona käytössä olleet läppärinsä töihin.
No sitten on jo melkein oikein, että saavat tuon.
Jos tuo on sallittua pankissa niin taidanpa nostaa rahani äkkiä pois.
Re: Sampo nurin
Anonyymi kommentoija, 3.5.2004 16:16:07		 Pisteet: 0
Jos tuo on sallittua pankissa niin taidanpa nostaa rahani äkkiä pois.
Mitä merkitystä sillä on, jos konttoreiden normaalit pöytäkoneet saastuvat viruksella? Miten rahat ovat silloin huonommin turvassa?
Jos pelkkä läppärin tuominen pankin verkkoon aiheuttaisi häiriöitä rahaliikenteeseen, niin silloin minäkin olisin huolissani. Ei tuollaisilla "ei saa tuoda konetta verkkoon" ole juurikaan mitään merkitystä, jos jokainen sihteeri sen pystyy kuitenkin tekemään.
Re: Sampo nurin
Anonyymi kommentoija, 3.5.2004 16:24:20		 Pisteet: 0
Mitä merkitystä sillä on, jos konttoreiden normaalit pöytäkoneet saastuvat viruksella? Miten rahat ovat silloin huonommin turvassa?
Niillä normaaleilla pöytäkoneilla sitä rahaa siirrellään tililtä toiselle joten mitippä sitä.

Jos pelkkä läppärin tuominen pankin verkkoon aiheuttaisi häiriöitä rahaliikenteeseen, niin silloin minäkin olisin huolissani.
No eikös tässä tämän uutisen kommenteissa juuri tuotu sill, että joku tuonut läppärin pankin verkkoon ja niin edes päin?

Ei tuollaisilla "ei saa tuoda konetta verkkoon" ole juurikaan mitään merkitystä, jos jokainen sihteeri sen pystyy kuitenkin tekemään.
Otappahan vähän selvää asioista.
Meillä ei ainakaan duunissa onnistu oman läppärin tökkääminen firman verkkoon tuosta noin vain.
Re: Sampo nurin
Anonyymi kommentoija, 4.5.2004 14:37:21		 Pisteet: 0
Tavallaan huolestuttaa jo sekin, että pankeissa käytetään Windowsia. Luulisi kyseessä olevan pelkästään räätälöityjä sovelluksia, joita voisi pyörittää tarpeen tullen vaikka terminaalisovelluksena joltain thin clientiltä.

Windows on aivan liian raskas ylläpidon kannalta (oma työni on sitä), enkä sitä haluaisi ellei sillä pyörisi kaikki asiakkaiden tarvitsemat ohjelmat (Photari, InDesign yms).
sacha Re: Sampo nurin
sacha, 3.5.2004 16:14:41		 Pisteet: 0
Miksi jokaisessa koneessa?
Koska työntekijät rahtaa viikonloppuna kotona käytössä olleet läppärinsä töihin.
Ei ainakaan Nordeassa paljön läppäreitä enää liikutella, ehkä tekevät Sammossakin nyt saman päätöksen. En nyt muista tarkkaan miten niiden käyttöä on rajoitettu, mutta en muista keksineeni enää mitään järkevää syytä käyttää läppäriä pöytäkoneen sijasta, kun tästä kuulin.
Re: Sampo nurin
Anonyymi kommentoija, 5.5.2004 10:59:20		 Pisteet: 0
Aivan. Linuxia käyttämällä ei moista ongelmaa olisi ollut.
Jos olisivat pitäneet OS2:sensa, niin ongelmaa ei olisi...
weicco Re: Sampo nurin
weicco, 3.5.2004 20:58:45		 Pisteet: 0
Aivan. Linuxia käyttämällä ei moista ongelmaa olisi ollut.
Tai jos olisi vain käyttänyt sitä Windows Updatea...
Join me! Together we can rule the galaxy as father and son.
Re: Sampo nurin
Anonyymi kommentoija, 4.5.2004 14:32:32		 Pisteet: 0
Jeesh, paitsi se ei ole niin yksinkertaista kun kyseesä on satoja koneita ja jokainen päivitys pitää testata ettei se riko sovelluksia tai Windowsia itseään. Itselläni on kokemuksia molemmista.

Tämä ei tietenkään ole mikään syy suurelle talolle kuten Sampo. Pitäsi olla testiverkko ja SUS/SMS:llä päivitykset sisään.
Saltsa Re: Sampo nurin
Saltsa, 4.5.2004 14:42:22		 Pisteet: 0
Jeesh, paitsi se ei ole niin yksinkertaista kun kyseesä on satoja koneita ja jokainen päivitys pitää testata ettei se riko sovelluksia tai Windowsia itseään. Itselläni on kokemuksia molemmista. Tämä ei tietenkään ole mikään syy suurelle talolle kuten Sampo. Pitäsi olla testiverkko ja SUS/SMS:llä päivitykset sisään.
Noh itsellä ei ainakaan kertaakaan ole windowsupdate hajottanut windowssia tai aiheuttanut mitään ongelmia, ainakaan tietoturvapäivitysten ansiosta.

Se porttien sulkeminen joka koneelta olisi myös auttanut, vaikka nakkaa winxp:n palomuurin päälle niin olisi ollut turvassa.
Re: Sampo nurin
Anonyymi kommentoija, 4.5.2004 15:07:45		 Pisteet: +1
Noh itsellä ei ainakaan kertaakaan ole windowsupdate hajottanut windowssia tai aiheuttanut mitään ongelmia, ainakaan tietoturvapäivitysten ansiosta.
Pointti on siinä että ne _saattavat_ aiheuttaa ongelmia, eikä suurilla 24/7/365-operaatioilla kuten pankeille ole varaa sellaisiin. Ongelmat syntyvät useimmin räätälöidyillä softilla, joita ei ole tehty viimeisimpien speksien mukaan monikäyttäjäympäristöön. Työpaikallani NT4 alkoi siniruutuilla satunnaisesti puolisentoista vuotta sitten, syynä viallinen patch. Hiljattain toinen rikkoi sähköposticlientin (FirstClass).

Se porttien sulkeminen joka koneelta olisi myös auttanut, vaikka nakkaa winxp:n palomuurin päälle niin olisi ollut turvassa.
Ongelma on, että juuri suurissa ympäristöissä kuten pankit täytyy portteja pitää auki, jotta Microsoftin suuren ympäristön ylläpitokilkkeet toimisivat kunnolla. Näitä ei yksittäiset käyttäjät kaipaa, mutta ovat juuri ne syy miksi Windowsia on siedettävä käyttää tuhansien koneiden ja käyttäjien järjestelmissä: AD, SUS, SMS yms yms.
Re: Sampo nurin
Anonyymi kommentoija, 4.5.2004 22:06:07		 Pisteet: 0
Pointti on siinä että ne _saattavat_ aiheuttaa ongelmia, eikä suurilla 24/7/365-operaatioilla kuten pankeille ole varaa sellaisiin.
[joke]
Missäs noin hyvää palvelua saa? Meillä on pankit auki vaan silloin, kun itse on töissä. Kun eikös noissa windowsia käytetä vain tiskikoneissa :-)
[/joke]
weicco Re: Sampo nurin
weicco, 4.5.2004 19:04:20		 Pisteet: 0
Pointti on siinä että ne _saattavat_ aiheuttaa ongelmia, eikä suurilla 24/7/365-operaatioilla kuten pankeille ole varaa sellaisiin.
Nyt en tajua. MS ilmoittaa reiästä, joka tulee aiheuttamaan ongelmia. Sitten on Win update, joka pelkästään saattaa aiheuttaa ongelmia. Eikö loogisesti ajateltuna ole turvallisempaa käyttää updatea?
Join me! Together we can rule the galaxy as father and son.
Re: Sampo nurin
Anonyymi kommentoija, 3.5.2004 14:40:53		 Pisteet: +1
http://www.helsinginsanomat.fi/tuoreet/artikkeli/1...
Olisikohan auttanut jos olisi kaikki portit olleet oletuksena blokissa ja avattu vain tarvitut...
Uskomatonta miten huonosti pankeissa on hoidettu nämä hommat.
Tai sitten joku johtaja kantoisen läppärillä sisään. Tämä on huomattavasti todennäköisempi kuin että se olisi verkosta levinnyt.

Sinäällään mua ihmetyttää, miksi pankin koneella yleensä voi surffata internettiä edes proxyn läpi. Verkko vain mahdollisimman erilliseksi.
feenix Re: Sampo nurin
feenix, 4.5.2004 09:42:45		 Pisteet: +1
Eli olikohan se hyökännyt vai ei kun uutisessakin lukee "Konttorien suljettuna pitäminen oli varotoimi liittyen internetissä levinneeseen Sasser-matoon"

Eli ei sanota Sampon sitä saaneen, mutta tuskinpa vaan konttoreita suljetaan vain varotoimena. Helpompihan se on sanoa sille läppäriä kantavalle pomolle että jospa et tuliskaan nyt sisään vielä. Mutta helppoushan ei ole mikään syy tehdä asioita niin...
daimoni tietääkö kukaan?
daimoni, 3.5.2004 09:55:38		 Pisteet: 0
Microsoft suosittelee pitämään palomuurin päällä. Iso kysymys miksi? Kysyn että miksi Windows yleensäkään käynnistää minkäännäköisiä ulospäin kuuntelevia RPC-palveluita?! Tyhmää kuin mikä.
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 10:19:08		 Pisteet: +1
Microsoft suosittelee pitämään palomuurin päällä. Iso kysymys miksi? Kysyn että miksi Windows yleensäkään käynnistää minkäännäköisiä ulospäin kuuntelevia RPC-palveluita?! Tyhmää kuin mikä.
Olen samaa mieltä. Tämä ongelma on niissä järjestelmissä jossa on tarkoitus että on "helppo" tehdä etähallintaa.

Eräs henkilö kertoi minulle suoran vastauksen siihen että mitä porttiscannailijat esimerkiksi etsivät. Kyseessä on esimerkiksi Remote Administrator. Hän ehdotti laittamaan palomuurista portin 4899 kiinni. Hän ei osannut sanoa TCP vai UDP joten laitoin molemmat, kuten kannattaakin tehdä. TCP ja UDP toimivat usein pareina. Totta on että usein tulee tunkeutumisyrityksiä juuri TCP:n kautta mutta jos koneessasi on jo Takaovi Troijalainen, niin luultavasti siihen yrittää ottaa joku henkilö tai toinen troijalainen yhteyttä juuri UDP:n kautta.

Ei ole ainoastaan nykyisen Windows-maailman ongelma nämä auki olevat palvelut. Menneisyydessä Robert Tappan Morris onnistui tekemään maailman ensimmäisen verkkomadon, joka käytti useita BSD:n haavoittuvuuksia hyväkseen. Ongelma on pikemminkin siinä että järjestelmä on liian yleisessä käytössä ja siihen tahdotaan tehokkuuden nimissä turvattomia ratkaisuja.
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 10:27:25		 Pisteet: 0
Eräs henkilö kertoi minulle suoran vastauksen siihen että mitä porttiscannailijat esimerkiksi etsivät. Kyseessä on esimerkiksi Remote Administrator. Hän ehdotti laittamaan palomuurista portin 4899 kiinni.
Normaalikäytäntöhän on, että pistetään _kaikki_ kiinni ja avataan vain ne joita tarvitaan.
Eikä todellakaan niin, että kaikki auki ja suljetaan sitten jonkin mato tjsp.epidemian sattuessa.
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 10:54:31		 Pisteet: 0
Normaalikäytäntöhän on, että pistetään _kaikki_ kiinni ja avataan vain ne joita tarvitaan.
Näin ne hommat etenee. (Not!)
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 11:01:16		 Pisteet: 0
Normaalikäytäntöhän on, että pistetään _kaikki_ kiinni ja avataan vain ne joita tarvitaan.
Näin ne hommat etenee. (Not!)
Ai eikö? Mikä tuossa sitten on mahdollisesti väärin?
IMHO tuo on ainoa oikea tapa hoitaa asia.
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 11:38:33		 Pisteet: 0
Mikä tuossa sitten on mahdollisesti väärin?
Tuolla meiningillä meillä on ikuisesti käytössä liikennettä vain portissa 80. Se taasen heikentää mahdollisuuksia luoda mitään tietoverkkoja hyödyntäviä palveluita kuvapuheluiden tms. tyyliin.

Ei se tietysti sitä kokonaan estä, mutta kyllä hidastaa kehitystä, kun kaikilla ei ole mahdollisuutta säätää niitä asetuksia.

Kiitokset tästäkin Redmondiin.
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 11:54:57		 Pisteet: 0
Tuolla meiningillä meillä on ikuisesti käytössä liikennettä vain portissa 80.
Onko? Luitko kohdan " ja avataan vain ne joita tarvitaan.".

Se taasen heikentää mahdollisuuksia luoda mitään tietoverkkoja hyödyntäviä palveluita kuvapuheluiden tms. tyyliin.
Heikentääkö? luitko kohdan " ja avataan vain ne joita tarvitaan.".

e tietysti sitä kokonaan estä, mutta kyllä hidastaa kehitystä, > kun kaikilla ei ole mahdollisuutta säätää niitä asetuksia.
Kiitokset tästäkin Redmondiin.
Kerio PFW:n, kun asentaa niin saa siihen winkkariinsakkin tuon mahdollisuuden.

Olet siinä oikeassa, että tuota käytäntöä tuskin kaikki "K-Kauppasta mikronsa ostaneet tulevat käyttämään" mutta vähääkään tietoturvasta kiinnostuneen pitäisi noin tehdä.
Itselläni on tuo käytäntö ollut käytössä jo pitkään eikä ole tarvinnut näiden matojen tkaia tehdä yhtään mitään, kun palomuurin on ollut jo suojaamassa ennenkuin kyseistä matoa on edes tehty.
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 12:51:18		 Pisteet: +1
Mikä tuossa sitten on mahdollisesti väärin?
Tuolla meiningillä meillä on ikuisesti käytössä liikennettä vain portissa 80. Se taasen heikentää mahdollisuuksia luoda mitään tietoverkkoja hyödyntäviä palveluita kuvapuheluiden tms. tyyliin.
Ennenvanhaan oli tosiaan niin, että palomuurissa oli yksiselitteisesti portti joko kiinni tai auki. Kuitenkin, jo vuosia sitten, on keksitty tilatietoinen palomuuri joka osaa pitää esim. ihan kaikki portit kiinni ulkoapäin aloitetuilta yhteyksiltä, mutta palomuurin sisältäpäin pystytään ottamaan yhteyttä joko minne vaan tai ennaltamääriteltyihin palveluihin. Myös järkevissä personal firewall -softissa on ns. stateful inspection -toiminnot ihan yleisesti saatavilla joten kaikki tarpeellinen saadaan toimimaan helposti.
Re: tietääkö kukaan?
Anonyymi kommentoija, 4.5.2004 15:19:51		 Pisteet: 0
Mikä tuossa sitten on mahdollisesti väärin?
Tuolla meiningillä meillä on ikuisesti käytössä liikennettä vain portissa 80. Se taasen heikentää mahdollisuuksia luoda mitään tietoverkkoja hyödyntäviä palveluita kuvapuheluiden tms. tyyliin.
Aivan !

Vähän niinkuin täällä Länsi Suomessa eräs pahamaineinen MONOPOLI-ISP :
KAIKKI PORTIT KIINNI ASIAKKAILTA PAITSI 80

asiakas = ftp ei toimi
isp = emme tue piratismia, ADSL:ssä ei ole tarkoitus käyttää FTP:tä piraattitarkoituksiin

asiakas = haluisin pelata quakea
isp = ADSL liittymän tarkoitus on WWW selaus, ei pelaaminen

JAAH näin täälläpäin. politiikalla käytät vain WWW tai sitten et käytä 69 E/KK hintaista ADSL:ääme
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 11:08:42		 Pisteet: +1
Normaalikäytäntöhän on, että pistetään _kaikki_ kiinni ja avataan vain ne joita tarvitaan.
Näin ne hommat etenee. (Not!)
Se riippuu järjestelmästä. Esimerkiksi jos sinulla on WWW-serveri, niin todellakin kaikki muut paitsi ne portit joita käytetään, laitetaan kiinni. Ainakin Linuxilla tämä on yleensä mahdollista. Tosin UDP-porttien kanssa voi tulla ongelmia.

Ja jos sinulla on Linux käytössäsi ja käytät vain yksittäisiä palveluita jotka käyttävät tiettyjä määrättyjä portteja, niin tämä on mahdollista. Mutta se ei välttämättä ole edes tarpeen. Kysehän on siitä onko siellä jotakin kuuntelemassa vai ei. Jos mitään ei ole koneellasi kuuntelemassa niin oikeastaan vain palvelunestohyökkäyksestä voi olla haittaa.

Windows-järjestelmissä taas on se kun käyttää noita selaimia ja muita. Yleensä ottaen Sygate Personal Firewall Pro riittänee, mutta monia muitakin palomuureja on olemassa. Se on vähän makuasia haluaako sulkea manuaalisesti portteja jos käyttää hyvää Windows-palomuuria.

Nimittäin yleensä ottaen hyvä (Windows) palomuuri kyllä blokkaa sen liikenteen mitä ei toivota. Vanha Symantec Firewall (Norton Internet Security) esimerkiksi toitotti että "Nyt tuli troijalaishyökkäys" jota pelästyin aikoinani, vaikka kyse oli ilmeisesti vain troijalaisen yhteydenotosta, jota ei kannata käyttäjälle mainostaa (ettei pelästy). Ilmeisesti senkin ilmoituksen saa pois päältä, jolloin se ei kerro käyttäjälle kaikkea.
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 14:43:45		 Pisteet: 0
Normaalikäytäntöhän on, että pistetään _kaikki_ kiinni ja avataan vain ne joita tarvitaan.
Näin ne hommat etenee. (Not!)
Se riippuu järjestelmästä. Esimerkiksi jos sinulla on WWW-serveri, niin todellakin kaikki muut paitsi ne portit joita käytetään, laitetaan kiinni. Ainakin Linuxilla tämä on yleensä mahdollista. Tosin UDP-porttien kanssa voi tulla ongelmia.
Pöh. Webservo ei tarvitse udp:tä yhtään mihinkään, kun asiat tehdään oikein. Voi tulpata koko protokollan umpeen, niin sisään kuin ulospäinkin menevän. ICMP:stä osa pitää päästää läpi, ja tcp:stä vain 80. SSH:n voi sitten avata jollekin yksittäiselle koneelle.
Re: tietääkö kukaan?
Anonyymi kommentoija, 4.5.2004 14:54:05		 Pisteet: 0
Pöh. Webservo ei tarvitse udp:tä yhtään mihinkään, kun asiat tehdään oikein. Voi tulpata koko protokollan umpeen, niin sisään kuin ulospäinkin menevän. ICMP:stä osa pitää päästää läpi, ja tcp:stä vain 80. SSH:n voi sitten avata jollekin yksittäiselle koneelle.
Niin, paitsi jos tarvitsee DNS:ää. Tietenkin päivitykset voi tuupata serverille toiselta koneelta ja lokit analysoida muualla. Itse kuitenkin pyöritän mm. Webalizeria WWW-serverillä ja on kiva nähdä miltä domaineilta sivuilla käydään.
feenix Re: tietääkö kukaan?
feenix, 4.5.2004 09:37:53		 Pisteet: 0
Pöh. Webservo ei tarvitse udp:tä yhtään mihinkään, kun asiat tehdään oikein. Voi tulpata koko protokollan umpeen, niin sisään kuin ulospäinkin menevän. ICMP:stä osa pitää päästää läpi, ja tcp:stä vain 80. SSH:n voi sitten avata jollekin yksittäiselle koneelle.
Juuei. Nimipalvonta on turhaa, streaming-protokollan palvelu on turhaa ja niin edespäin. Koko UDP on ihan turha!

Ehkä sinulle webaskelmoottori on vain "annetaan tosta nyt hötömölöö portista 80", mutta oikeassa elämässä siellä tehdään vähän muutakin monesti.
daimoni Re: tietääkö kukaan?
daimoni, 3.5.2004 18:19:46		 Pisteet: 0
Kysehän on siitä onko siellä jotakin kuuntelemassa vai ei. Jos mitään ei ole koneellasi kuuntelemassa niin oikeastaan vain palvelunestohyökkäyksestä voi olla haittaa.
Se on aivan sama kuunteleeko siellä mikään vai ei - palvelunestohan perustuu vain ja ainoastaan siihen että tungetaan piuhaan dataa enemmän kuin siihen mahtuu eikä siinä auta kuunteleeko mikään palvelu vai ei, bitit menevät putkeen ja se on siinä.
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 21:24:14		 Pisteet: 0
Kysehän on siitä onko siellä jotakin kuuntelemassa vai ei. Jos mitään ei ole koneellasi kuuntelemassa niin oikeastaan vain palvelunestohyökkäyksestä voi olla haittaa.
Se on aivan sama kuunteleeko siellä mikään vai ei - palvelunestohan perustuu vain ja ainoastaan siihen että tungetaan piuhaan dataa enemmän kuin siihen mahtuu eikä siinä auta kuunteleeko mikään palvelu vai ei, bitit menevät putkeen ja se on siinä.
Ei välttämättä. Joissain tapaukissa palvelunestohyökkäys voidaan tehdä nimenomaan esim. prosessoritehoa vastaan pyytämällä paljon prosessointia vaativia sivuja jne.
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 12:45:24		 Pisteet: 0
Normaalikäytäntöhän on, että pistetään _kaikki_ kiinni ja avataan vain ne joita tarvitaan.
Näin ne hommat etenee. (Not!)
Herra (tai rouva/neiti) on hyvä ja kertoo paremman tavan. Palomuuria pystytettäessä perusasioita on kartoittaa, mitä koneen tarjoamia palveluita on tarpeen jakaa ulkomaailmaan, sallia ne ja estää _kaikki_ muut. Eli juurikin oikein on sulkea oletuksena kaikki portit ja avata tarpeelliset sellaisille lähdeosoitteille jotka sitä tarvitsevat. Kerro ihmeessä jos olet keksinyt paremman käytännön.
jst Re: tietääkö kukaan?
jst, 3.5.2004 12:54:03		 Pisteet: 0
Normaalikäytäntöhän on, että pistetään _kaikki_ kiinni ja avataan vain ne joita tarvitaan.
Näin ne hommat etenee. (Not!)
Herra (tai rouva/neiti) on hyvä ja kertoo paremman tavan. Palomuuria pystytettäessä perusasioita on kartoittaa, mitä koneen tarjoamia palveluita on tarpeen jakaa ulkomaailmaan, sallia ne ja estää _kaikki_ muut. Eli juurikin oikein on sulkea oletuksena kaikki portit ja avata tarpeelliset sellaisille lähdeosoitteille jotka sitä tarvitsevat. Kerro ihmeessä jos olet keksinyt paremman käytännön.
Sarkasmihan on vaikea laji. Luulen että kirjoittaja tässä tarkoitti, että tämä on kaikkea muuta kuin normaalikäytäntö, vaikka näin toki pitäisi olla.
THE GOAT CAN BE CANCELLED
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 12:40:17		 Pisteet: 0

Normaalikäytäntöhän on, että pistetään _kaikki_ kiinni ja avataan vain ne joita tarvitaan. Eikä todellakaan niin, että kaikki auki ja suljetaan sitten jonkin mato tjsp.epidemian sattuessa.
Sille joka näitä plussia jakaa: Eikö tälle kuuluisi maksimiplussat?

Tämänhän pitäisi olla vakiokäytäntö eikä niinkuin windowsissa että kaikki on oletuksena auki.
TCP 445 kiinni
Anonyymi kommentoija, 3.5.2004 10:29:57		 Pisteet: 0
Kannattaa pistää palomuurista TCP portti 445 kiinni.
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 11:09:43		 Pisteet: +1
Ei ole ainoastaan nykyisen Windows-maailman ongelma nämä auki olevat palvelut. Menneisyydessä Robert Tappan Morris onnistui tekemään maailman ensimmäisen verkkomadon, joka käytti useita BSD:n haavoittuvuuksia hyväkseen.
Aivan. 80-luvun lopulla silloinen Internetsku miltei romahti madon takia ja vasta tuolloin havahduttiin oikein urakalla panostamaan unixien turvallisuuteen. Windows on tällä hetkellä suunnilleen samassa tilanteessa. Matkapuhelimet ovat vasta matkalla (mahdolliseen) tuhoon.

Eli ehkä ei kannata huolehtia sen enempää, vaan tämä onkin ihan luonnollinen vaihe jokaisen verkkojärjestelmän kehityksessä ja Windowskin pääsee eroon epidemioista parissa vuodessa :)
Re: tietääkö kukaan?
Anonyymi kommentoija, 4.5.2004 01:15:39		 Pisteet: 0
Eli ehkä ei kannata huolehtia sen enempää, vaan tämä onkin ihan luonnollinen vaihe jokaisen verkkojärjestelmän kehityksessä ja Windowskin pääsee eroon epidemioista parissa vuodessa :)
Olen huolissani, sillä Microsoftin ratkaisu on rajoittaa käyttäjän toimia omalla koneellaan Palladiumin ja yms. systeemien avulla.
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 15:06:04		 Pisteet: 0
Hän ehdotti laittamaan palomuurista portin 4899 kiinni.
Eikö sentään 3899?!
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 15:06:35		 Pisteet: 0
Hän ehdotti laittamaan palomuurista portin 4899 kiinni.
Eikö sentään 3899?!
No ei - itse itseäni kommentoiden - vaan tietenkin 3389
Re: tietääkö kukaan?
Anonyymi kommentoija, 3.5.2004 15:44:11		 Pisteet: 0
Hän ehdotti laittamaan palomuurista portin 4899 kiinni.
Eikö sentään 3899?!
No ei - itse itseäni kommentoiden - vaan tietenkin 3389
Remote Administrator != Remote Desktop. Remote Desktop käyttää porttia 3389/TCP.
Re: tietääkö kukaan?
Anonyymi kommentoija, 4.5.2004 02:23:27		 Pisteet: 0
Hän ehdotti laittamaan palomuurista portin 4899 kiinni.
Eikö sentään 3899?!
No ei - itse itseäni kommentoiden - vaan tietenkin 3389
Remote Administrator != Remote Desktop. Remote Desktop käyttää porttia 3389/TCP.
Vielä tarkemmin voisin kitistä tuosta että RDP protokollan uusin versio (XP/2003 Server) käyttää porttia 3389 TCP sekä UDP, jos mahdollista. (UDP:n mukana kulkee esim. äänet)... Kun tarkoiksi ruvetaan ni käydään nyt sitten tarkkaan läpi =D
Re: tietääkö kukaan?
Anonyymi kommentoija, 4.5.2004 19:17:58		 Pisteet: 0
Remote Administrator != Remote Desktop. Remote Desktop käyttää porttia 3389/TCP.
Eikö olisi sitten kuitenkin hyvä estää konekohtaisesti pääsy tuohonkin porttiin. Eli sallia vain turvallinen kone. Yritän muodostaa pointtia, että verkon suunnittelulla on huomattavasti merkitystä itse koneidenkin ja niillä toimivien palveluiden tietoturvaan. Verkkoa kun voidaan rajoittaa reitittimillä ja kykimillä aikas paljonkin silti varsinaisen toiminnan kärsimättä.
Re: tietääkö kukaan?
Anonyymi kommentoija, 4.5.2004 14:56:43		 Pisteet: 0
Microsoft suosittelee pitämään palomuurin päällä. Iso kysymys miksi? Kysyn että miksi Windows yleensäkään käynnistää minkäännäköisiä ulospäin kuuntelevia RPC-palveluita?! Tyhmää kuin mikä.
Active Directory
Bream Re: tietääkö kukaan?
Bream, 3.5.2004 12:29:22		 Pisteet: 0
Microsoft suosittelee pitämään palomuurin päällä. Iso kysymys miksi? Kysyn että miksi Windows yleensäkään käynnistää minkäännäköisiä ulospäin kuuntelevia RPC-palveluita?! Tyhmää kuin mikä.
COM:issa käytetään liikennoinnissä RPC:tä ja käsittääkseni se (tai oikeammin DCOM) on syynä miksi RPC palvelu on päällä.
feenix Re: tietääkö kukaan?
feenix, 4.5.2004 09:41:30		 Pisteet: 0
Microsoft suosittelee pitämään palomuurin päällä. Iso kysymys miksi? Kysyn että miksi Windows yleensäkään käynnistää minkäännäköisiä ulospäin kuuntelevia RPC-palveluita?! Tyhmää kuin mikä.
Miksi jumikseissa pitää ajaa portmapperia ja pitää sillä RPC:tä auki? Tyhmää kuin mikä. Miksi jumikseissa pitää ajaa NFS-serveriä levyjakoihin? Tyhmää kuin mikä. Miksi jumiks-servereissä pitää ajaa NIS(+):siä jakamaan tunnuksia? Tyhmää kuin mikä.

Kyllähän näiden nyt pitäisi mennä ilman portteja ja softia ihan telepatialla koneiden välillä!

Ja seuraavaksi tulee se "no mutta miksi vakiona?!?", ehkä siksi että niitä vakiona saatetaan jopa käyttää? Ehkä siksi, että kaikki eivät halua miettiä softaa asentaessaan että "mitähän asetuksia mun nyt taas pitää viilata että tääkin toimii"? Ehkä siksi että jotkut haluavat tehdä jotain hyödyllistäkin sillä koneella eikä vain leikkiä softien ja porttien kanssa?

Samalla voi itkeä kun Linux-distroissa on yleensä ssh vakiona päällä. Miksi, onhan ssh:ssa ollut monta reikää? Myös serveriin tungetaan Apache ja pahimmillana SSL, miksi kun näissä on reikiä? ad nauseam