F-Secure ja kotiverkko

[Guest arttula]

Tuli tarve väsätä kotiverkkoa, ja aloin (jälleen kerran) ihmettelemään F-Securen asetuksia. Kun luodaan uutta sääntöä F-Securen palomuurille, täytyy ottaa kantaa erilaisiin "sääntöihin", jotka ilmeisesti koskevat sallittua ja kiellettyä verkkoliikennettä ja sen suuntia. Tuolla F-Securen wizardissa on mainittu pitkä lista erilaisia protokollia. Mutta miksi ihmeessä siellä on suuri joukko protokollia, joiden nimenä on joku troijalainen tai virus ?? Eihän kenenkään intresseissä pitäisi olla sallia edes vahingossa troijalaisten pääsyä koneelle tai verkkoon ? Mitä järkeä on edes mainita niitä tuolla !!??

 

Ja mitä protokollia minun pitäisi sieltä valita, että saisin siirrettyä tiedostoja koneelta toiselle ?

[Guest arttula]

Noh ?? Eikös kukaan muu ole tuota ihmetellyt ? Yleensä täällä saa vastauksen muutamassa minuutissa...

[Esa Lehtismäki 0]

Troijalaissääntöjen tarkoitus on niiden blokkaaminen ja vieläpä niin, että saadaan ilmoitus, mikä takaporttisofta siellä yrittää. Ei niitä tietenkään koskaan sallita.

 

Tiedostojen siirtelyyn koneiden välillä tarvitset ainakin Windows file sharing -säännön, luultavasti myös Windows network browsing. Jos ei ota onnistuakseen, pistä estosääntöön päälle lokiin tallennus ja katso epäonnistuneen yrityksen jälkeen lokista, mitä on estetty.

[Guest arttula]

Troijalaissääntöjen tarkoitus on niiden blokkaaminen ja vieläpä niin, että saadaan ilmoitus, mikä takaporttisofta siellä yrittää. Ei niitä tietenkään koskaan sallita.

 

Hmmm... Tuolla F-Securen asetuksissa pystyy kuitenkin salliman liikenteen molempiin suuntiin. Miksiköhän ?

[Esa Lehtismäki 0]

Hmmm... Tuolla F-Securen asetuksissa pystyy kuitenkin salliman liikenteen molempiin suuntiin. Miksiköhän ?

 

Pystyy siellä tekemään vaikka mitä tyhmyyksiä. Mutta pitää ymmärtää mitä tekee ja olla hölmöilemättä. Sääntöhän voi olla joko salliva tai estävä ja kumpaankin käyttöön tarkoitetut ovat samassa listassa.

 

F-Securessa on, ainakin bisnesversiossa, ylläpitäjän määrittelemä peruspaletti, johon on merkattu, mihin kohtaan käyttäjän lisäämät säännöt tulevat. Takaporttisääntöjen idea on, että ne laitetaan estoksi ennen käyttäjän sääntöjä. Näin käyttäjä ei voi millään lisäämällään säännöllä sallia tunnettujen takaporttiohjelmien pääsyä koneelleen. Sääntölistaahan suoritetaan ylhäältä alas niin kauan, että tulee vastaan ensimmäinen, johon paketti sopii. Tämä sääntö sitten suoritetaan ja loput jätetään tarkastamatta. Kun listassa on viimeisenä kaiken kieltävä sääntö (deny rest), se tarkoittaa, että kaikki mitä ei erikseen sallita, kielletään. Palomuuri tehdään käytännössä aina näin.

[Guest arttula]

Joo, mutta edelleenkään en ymmärrä, mikä logiikka on ylipäätään luoda edes mahdollisuus, että troijalaisen tulo koneelle voidaan erikseen sallia. Kuitenkin 99,9% käyttäjäkunnasta on tällaisia kaltaisiani tumpeloita, jotka eivät ymmärrä puoliakaan, mitä ovat tekemässä. Jos yhteyttä toiselle kotikoneelle ei heti synny, tulee kiusaus laittaa salliva rasti jokaiseen kohtaan.

[Esa Lehtismäki 0]

No itse asiassa tuossahan justiin on tarkoitus estää tekemästä sellaisia tyhmyyksiä, mitä ei ainakaan halua tehdä. Eli noiden takaporttitroijalaisten kautta murtautuminen estetään, vaikka käyttäjä olisi niin tumpelo, että sallii kaiken liikenteen. Koska sen troijalaisen kieltävä sääntö on ennen käyttäjän lisäämiä sääntöjä.

 

En ole tuota kuluttajaversiota nähnyt, enkä tiedä, onko siinä samalla lailla takaporttiestot alussa ja deny all lopussa valmiina, mutta vaikka ei olisi, niin samalla lailla voi itse tehdä kunnoillisen sääntölistan laittamalla ensiksi kieltosäännöt takaporteille ja vasta niiden perään sallivia sääntöjä. Kyllä siinä siis on ihan järkeä. Jos joku tekee sallivia sääntöjä takaporteille, niin hänen ei ensinkään pitäisi olla määrittelemässä palomuurisääntöjä, ja tuskin hänen määrittelemällään palomuurilla mitään virkaa olisi muutenkaan.

[Guest Mckeke83]

Jos haluat helpolla päästä lähiverkon suhteen, niin laita IP-alueeksi/IP-aliverkoksi oma lähiverkkosi osoiteavaruus, ja valitse "all IP traffic" ja salli se molempiin suuntiin klikkaamalla sitä ruksin viereen ilmestyvää kysymysmerkkiä. Tämän kun teet jokaiselle koneelle, niin ei pitäisi tulla palomuurista johtuvia ongelmia lähiverkossa.

[Esa Lehtismäki 0]

Tuossa tietty sitten riskit vähän kasvavat, etenkin kun käytössä on WLAN. Jos joku pääsee kiinni WLAN.iin, hänellä on saman tien rajoittamaton pääsy kaikkiin kotiverkon koneisiin. Ja jos verkkomadon saastuttama läppäri kytketään kotiverkkoon, se pääsee yrittämään muiden koneiden tartuttamista. Kun se on kumminkin pieni vaiva avata kotiverkkoonkin vain tarvittavat portit, niin enpä minä ainakaan ole tuntenut houkutusta tuollaiseen oikaisemiseen.

[Guest arttula]

Tuossa tietty sitten riskit vähän kasvavat, etenkin kun käytössä on WLAN. Jos joku pääsee kiinni WLAN.iin, hänellä on saman tien rajoittamaton pääsy kaikkiin kotiverkon koneisiin. Ja jos verkkomadon saastuttama läppäri kytketään kotiverkkoon, se pääsee yrittämään muiden koneiden tartuttamista. Kun se on kumminkin pieni vaiva avata kotiverkkoonkin vain tarvittavat portit, niin enpä minä ainakaan ole tuntenut houkutusta tuollaiseen oikaisemiseen.

 

Niinpä... Mutta mitkä ovat ne "vain tarvittavat portit" ? Tuolla kun on erilaisia vaihtoehtoja kymmeniä, joista suurin osa on täysin hepreaa. Olisi kovin mukavaa F-Securelta, jos se laittaisi sinne kohdan "Avaa tarvittavat portit kotiverkon peruskäyttöä varten".

[Esa Lehtismäki 0]

Kai huomasit vastaukseni tuolla ylempänä?

[Heikki Pullinen 134]

Olen pari kertaa soittanut F-secureen ja saanut hyvää palvelua, myös kirjallisena.

Eivätkä lopeta ennenkuin olet tyytyväinen.

 

Heikki

[Heikki Pullinen 134]

Pieni mainos meille vanhemmille.

TM 5/2009, on  juttu kuinka F-secure palvelee ilmaiseksi.

www.f-secure.com löytyy ohjelma Health Check joka käy läpi koneesi ja kertoo mitkä ohjelmat eivät saa enää tukea ja

kertoo mihin on tarjolla uusia päivityksiä. Vieressä linkki josta voit samantien suorittaa päivitykset. Alla on vielä linkki jolla saat ohjelman suoraan IE:n suosikkeihin.  Varmaan saa myös tulikettuun.

 

Heikki

[Arne Wallen 72]

Olet Heikki oikeassa, tuo ja vävypoika joka muutoin on tyhmä mutta hallitsee tietokoneen, siinä on menestyksen avain.Eli soitan vävypojalle joka hoitaa homman, tiedä sitten miten.

Ei siis tyhmä mutta tumpelo arkiaskareissa.

[Guest rsuomi]

Olet Heikki oikeassa, tuo ja vävypoika joka muutoin on tyhmä mutta hallitsee tietokoneen, siinä on menestyksen avain.Eli soitan vävypojalle joka hoitaa homman, tiedä sitten miten.

Ei siis tyhmä mutta tumpelo arkiaskareissa.

 

Terve!

 

Toivottavasti vävypojalla ei ole paljon tietokoneen kanssa "tumpeloita" sukulaisia Voi meinaan muuten pitää melkosta kiirettä, kun laittaa suvun koneita kuntoon 

Sinä tietysti autat vävypoikaa arkiaskareissa !!!

 

terv. risto

 

ps. Nytkin yhden tumpelon sukulaisen PC korjauksen allla