[keeper2]

Igen, 2 gépem van, ellenben, nem rooteren keresztül, hanem a modemet hurcolom át egyiktõl a másikig. Mellesleg, egy hónapja amikor bezártam azt a portot, a tesztek is jelezték, hogy zárva van, és a ping tesztek sem adtak eredményt, aztán most meg, bár a beállítás ugyanúgy van, megnyíltak. Egyébként, felraktam mellé a kaspersky tûzfal próbaidõs változatát, és azóta szépen zárva is van az a port a tesztek szerint. Meg mellesleg, egész sûrûn írja is a logja, hogy megfogta a hellkern és a lovesan támadásokat. De mondok egy nagy poént: mostanság az adóügyek miatt néha felnéztem az apeh weblapjára. Mit látok épp ebben a percben bekerülni a kerio logjába? Portscan a www.apeh.hu címrõl..... Azért majd írok egy levelet, hogy elég, hogy a pénzemet elveszi az apeh, az adataimat nem kéne.....
Mondjuk, így azért biztonságosabb, mert van amit a kaspersky fog meg, van amit a kerio, úgy tûnik, kiegészítik egymást.

Gurgula: ICMP: internet control message protocol. Magyarul, internet vezérlõüzenet protokoll. Ezek sokban hasonlitanak az udp csomagokra, ugyanúgy kis méretû, nem egymáshoz kapcsolódó csomagokból áll (magyarán, nem úgy, mint a tcp, hogy egy kommunikáció több csomagból áll...). Van egy rakat vezérlõüzenet, amiket elõre definiáltak, és ezek kommunikációját vezérli. Pl. ping küldése, fogadása, a gép nem elérhetõ, dns feloldás kérés.... Ha meg akarod nézni, mik vannak, menj a kerióban a hálózatbiztonság, majd ott a csomagszûrõ. A szûrõszabályok fülön a hozzáadás, a protokoll "ablak" mellett a hozzáadás, majd a megnyiló ablakban a névnél kiválasztva az icmp-t, és végül a kiválasztás gombra, és ott megnézheted az összes icmp kódot...

[PetruZ]

A 4.x sorozattal folyamatos problémáim voltak nekem is, de úgy tûnik, sikerült egy jó módszert és stabil verziót találnom:
-Elõször is: a 4.x verziót (de a régebbieket sem) nem szabad egymásra update-elni. A régibõl kell egy konfig export, leszedni, restart, majd az újat fel, konfig import és restart. Persze mindezeket csak kihúzott hálókábel mellett.
-Másodszor: a 4.0.16-os verzió - szerintem - teljesen megbízhatóan mûködik, nem zabálja a gépet (délután/este mondok pontosabb infót, most cégnél vagyok). A GUI 10-15 órás folyamatos futás után is gyorsan felépül, nem fagy be. Netes gondjaim sincsenek (bár a konfigom 90%-a a 2.1.4 óta ugyanaz , akkor egyszer jól belõttem, azóta se nagyon kell hozzányúlni, pedig a vas többször is változott alatta). A késõbbieket még nem próbáltam ki (mindig lemaradok 4-5 verziót), de a kerio fórumokon hasonló gondokkal küszködnek többen is, mint itt.

Még valami: aki 2.1.4-et használ, az azért frissítsen 2.1.5-re, mert van benne egy csúnya lyuk, aminek a kihasználásával a tûzfalat megkerülve ráléphetnek a gépre (ld. secunia.org). A 4.x sorozatnak jelenleg egy ismert, nem javított, alacsony veszélyességû bugja van a system security részben, de tudtommal még nincs olyan féreg v. vírus, ami kihasználná ezt.

A továbbiakban szívesen segítek - persze csak ha tudok - majd beállítási problémákban, de csak itt, a topikon. PÜ-re / mail-re nem fogok válaszolni.

keeper2:
A másik Keriós topikban adtam egy tippet és javaslatot a 135-ös portra.

[PetruZ]

Idézet: PetruZ - Dátum: 2005. jún. 7., kedd - 14:29

Másodszor: a 4.0.16-os verzió - szerintem - teljesen megbízhatóan mûködik, nem zabálja a gépet (délután/este mondok pontosabb infót, most cégnél vagyok).

Mondom is: a három task-ja a memóriából kb. 23 megát eszik (512 mega RAM-ból), erõforrás nulla, a gép bekapcsolása óta eltelt kb. 23 percbõl kb. 40 másodpercet "evett meg". Rezidensen fut még mellette az AVG, plusz az emule is megy, de semmi több fontosabb.

[keeper2]

Olvastam a másik topicot, köszi. Egyébként, én ha frissítek keriót, uninstall után még a registrybõl is kiszedem a nyomait (már amit lehet). Mostanra mindenesetre, már csak úgy bízom meg a tûzfalban, hogy mellette van a kasperskyé is. Teljesen jól kiegészítik egymást. A keriót már rég ismerem, így elég jól ismerem a konfigurálását, a kaspersky meg betömi ennek a furcsa mûködése óta keletkezett lyukakat, illetve, van, amit ez, van amit az fog meg. A legviccesebb talán, hogy egyszer megfogott a kerió egy portscant a www.apeh.hu címrõl. Biztos nem elég nekik már "csak" a pénzem.  Mindenesetre, a régi gépemen tesztelgettem a kerió változatait, mert ott bizony eléggé 100% körül jár a proci használat, így jobb egy keveset evõ tûzfal (433 celeron, 256 mega ram), összességében kb ugyanannyi procit evett mind, ellenben a 4.1.0 utániaknál a kerió szolgálata volt, ami a procit zabálta leginkább, míg, ha ez elötti verziót raktam fel, akkor ugyanez a szolgálat alig valamennyit fogyaszt, ellenben az egyik system szolálat használja a többi proci idõt fel.
Azért az gyanús nekem, hogy azután tûnt fel ez a fura hibája a keriónak, amikor a 4.1.3-at raktam a gépre (a szabályok ugyanazok, én magam kézzel gépeltem be, vagy a tanító módban taníttattam meg a fallal). Elötte 4.1.2 volt, és az a tesztek alapján is bezárta a 135-öt. Viszont, azóta már próbálkoztam olyannal is, hogy visszamentem egészen 4.0.8-ig is, de mindegyik verziónál jelentkezett ez az említett gond. Szerintem valamit a 4.1.3 beépített a rendszerbe, amit nem képes eltávolítani, és ez zavarja össze. Bár, ez nem biztos, mivel csak úgy nagyjából stimmelt az idõ, lehet, hogy semmi köze ennek a verziónak a dologhoz. A legbiztosabb az lenne, hogy újratelepíteni a windowst, és úgy megnézni, hogy 4.1.2-nél is ezt csinálja-e, és ha újabbat rakom fel, akkor vajon.... Csak ehhez lusta vagyok. Fõleg, hogy õsszel akarok áttérni athlon 64re, addig kihúzom a kisegítõ tûzfallal.

[mikk2000]

Sziasztok!

BAD-TRAFFIC same src/dst mint bad/unknown támadás osztály blokkolásra kerül (denided).

Nade ez nem olyan nagy baj, hiszen csak annyi történik, hogy én, vagy valamilyen program a gépre külsõ címmel hivatkozik. A kérdésem hogy el lehetne ezt engedni valahogy a kerióban?

A kaspersky anti-hackerrel egyébként nincsenek túl jó tapasztalataim, ha összezavarodik, akkor vége, de addig csendes. Fölöttébb kellemetlen az alapértelmezett blokkolási szituja, hogy ha valami gáz van, lezára egy percre a gépet. Persze ezt ki lehet kapcsolni, de akkor meg mit ér?

[keeper2]

Na, én is észrevettem, hogy a kaspersky 1 percre hajlamos lezárni a gépet. Mint rájöttem, ez akkor történt, amikor dc-ben egy keresésre nagyon sok eredmény jött. Persze, 1 pillanatra engedélyezni a kapcsolatokat, majd újra visszaállítani az alapértelemezett szintet az megoldja. Viszont, próbálkoztam elég sokféleképp megoldani. Elösször udp floodnak gondoltam (õ ddos támadásnak hívta. a dos a szolgáltatás-megtagadás, de mi az elsõ d???), A lényeg: ha kikpacsoltam az intrusion detectiont, akkor nem jelentkezett a probléma, de úgy minden támadási mód engedélyezve van, tehát rossz. Kipróbáltam azt is, hogy a listában az összes támadási mód szûrésének engedélyezését kikapcsoltam, így viszont továbbra is blokkolta ezt. Tehát, ebbõl arra következtetek, hogy nincs minden támadási mód konfigurálásához joga a rendszergazdának. Ez viszont nagyon gáz, mivel tudom jól, hogy nem floodolás volt az, amikor a sok eredmény megjött, és nem is okozott semmi gondot, de a kasperskyvel ez megoldhatatlan. De ezzel még együtt tudtam volna élni. A kaput az tette be nálam, hogy rá kellett jönni, hogy olyan 4-5 órányi használat után a dc hibás mûveletet észlel, és bezáródik. Sokat próbálkoztam, és rájöttem, hogy ez nem is a dc hibája, hanem a kasperskyé. Enélkül jól mendegél a programom.

A kérdésedre pontos választ nem tudok adni, de azthiszem, egy elkerülõ megoldást tudok javasolni, ami talán mûködik. A Kerio Personal Firewall 4\Config\IDSrules könyvtárban nézd meg a bad-traffic.rlk fájlt. Találsz benne egy
alert ip any any -> any any (msg:"BAD-TRAFFIC same SRC/DST"; sameip; reference:cve,CVE-1999-0016; reference:url,www.cert.org/advisories/CA-1997-28.html; classtype:bad-unknown; sid:527; rev:4;)
nevû részt. Én ugyan még nem próbálkoztam ennek editálásával, de feltételezem, valamelyik paramétere az osztályt azonosítja, vagy ha úgy gondolod, akkor kitörölve az egészet szerintem eltûnik ez a bejegyzés a tûzfalból. Mondom, én nem próbáltam, hogy hat-e, de szerintem egy próbát megér. Ja, és szerintem elötte azért csinálj mentést a fájlról, illetve, a tûzfal ne fusson, amikor ezt csinálod. Bár, nem tudom, jó dolog-e ezt kiszedni, könnyen meglehet, hogy ezzel a netkapcsolatodat blokkolod, vagy valami egyéb kelemetlenséget érsz el, mivel ha egy normálisan megírt program önmagával akar a hálózaton kapcsolatba kerülni, akkor az adatcsomagokat a localhost-ra küldi ki. Netán lehet, hogy ezt valami hacker program teszi. Csak példaként, én ip blokkolóban blokkolom az IANA által ki nem osztott ip címeket, mivel, ha az iana nem osztotta ki, akkor legálisan azok nem is létezhetnek még. Mégis van, hogy ilyen címrõl kapok adatcsomagot....

[mikk2000]

Idézet: keeper2 - Dátum: 2005. jún. 30., csütörtök - 6:49

Na, én is észrevettem, hogy a kaspersky 1 percre hajlamos lezárni a gépet (...)

Hali!

Kikapcsolni egyszerû az antihackerben az 1 perces lezárást, 0 mp-et kell beírni, így az értékes kapcsolatok nem szakadnak meg.

Köszönöm, megtaláltam a fájlban a bejegyzést, egyébként nem hiszem hogy veszélyes lenne, egyébként nem lenne ott hogy "unknown"... töprengek egy sort még mi legyen ha már elbizonytalanítottál De egyes programok mûködése során indokolatlanul jön ez az üzenet sok felhasználó esetén. Nem is a localhostot reklamálja emlékeim szerint hanem a routert.

Felpiszkálta a kíváncsiságom az a ki nem osztott ip-k blokkolása, megosztanád hogy ezt miképp csinálod?

Köszi!

[olinka]

Idézet: keeper2 - Dátum: 2005. jún. 30., csütörtök - 8:49

(õ ddos támadásnak hívta. a dos a szolgáltatás-megtagadás, de mi az elsõ d???)

ddos = Distributed Denial of Service vagyis elosztott DoS támadás. Ilyen akkor van, ha több címrõl érkezik sok csomag. Pl a már említett DC keresést is lehet így értelmezni.

[keeper2]

Aham. Mostmár az elsõ d-t is tudom. Tényleg így is van, mert egy halom címrõl érkezik udp csomag egyszerre olyankor. A gáz, hogy nem értem, miért nincs az intrusion detectionban erre külön kikapcsolási lehetõség. Pl. az udp floodot is próbáltam, meg mint említettem, az összes lehetõséget egyesével kikapcsoltam, és akkor is blokkolt. Ha viszont globálisan kapcsoltam ki az intrusion detectiont, akkor oké volt. Vajon hol lehet a többit állítani? Egyébként, azt nem tudjátok, miért van, hogy ha a fõlapon az a silent-es kapcsoló be van pipálva, akkor pl. dc indítás után észreveszi a kommunikációt, engedélyezem, de csak kifelé engedélyezi, befelés csak akkor, ha megnyitok számára egy portot. Ha viszont nincs bepipálva, akkor ugyanúgy engedélyezem a kommunikációt, de akkor már ki-be mehet.
Egyébként, a fõ gondom nem is ezzel a ddos-al volt, hanem azzal, hogy pár óra után egyszerûen a dc bezárja magát hibaüzenettel. Próbáltam mindent. A dc konfigurációs fájljait kitörölve újra beállítani, másféle dc-t, stb, de semmi sem használt. Sõt. Két külön gépen is ezt csinálta, ahol más az oprendszer, az egyik nagy teljesítményû gép.... Ha viszont nem megy a kaspersky, csak a kerio, akkor minden oké. És ezt teljesen váratlanul csinálja. Van, hogy 5 perc, van hogy 5 óra... Épp ezért nem tudom használni.

mikk: ip blokkolásra alapvetõen két program használható: peer guardian és protowall.
http://methlabs.org/
http://www.bluetack.co.uk/index.php
Mindkettõ kernel szinten mûködik, így 3 milliárd cím letiltása nem okoz neki még 1 % cpu terhelést sem egy 433-as celeronon sem. Alapvetõen azt javasolják, hogy a kettõt együtt ne használjuk, de nekem jópár hónapja mennek együtt, és semmi gondjuk egymással. A protowall egy külön programot használ arra, hogy a blokklistát letöltse és elkészítse (ebben te magad tudod kiválogatni, milyen típusú címeket tiltasz. Pl. iskolák, különösen veszélyes címek, keresõk (pl google), microsoft, iana által ki nem osztott címek, ismert hacker címek, trójai és portscannerek címei, mindenféle kémprogramot és reklámokat betelepítõ oldalak címei, jogvédõ szervezetek, kormányügynökségek.... Emellett te megadhatsz címeket, amiket tiltani akarsz, vagy amiket mindenképp engedélyezni (pl. én tiltom a microsoftot, de az msn és win update szerverek címeit engedélyeztem.)) Ez a letöltõ program külön mûködik a protowalltól. Elsõsorban a protowall számára van kitalálva, de ugyanúgy el tudja készíteni peer guardianban, illetve az ismertebb tûzfalakban használható blokkolólistaként. Mellesleg, nem ajánlom tûzfalban használni ilyen mennyiségû blokkolt címet, mert míg ezen programoknak nem kell 1% cpu sem, addik a legjobb tûzfalak is 100%-ot lezabálnak egy 3.2+-os athlonból is. A peer guardianban alapból be van építve a címek letöltése, viszont másik, sokkal kissebb forrása van csak. Persze, beillesztheted az elöbb említett letöltõvel letöltött címeket is. Én együtt használom mindkettõt, és a protowall letöltõjével letöltött listát beillesztem mindkettõbe, mert sajna azért látom, hogy néha mintha egyes spécibb csomagok ki-kikerülnék az egyiket-másikat. A címek gyûjtése úgy mûködik, hogy a világon több tízezer ember keresgéli ezeket, nameg, fórumokon is írogatják felhasználók, akik rosszat tapasztaltak egy címrõl, megvizsgálják, vajon mit csinálnak azon a címen, és ha olyannak találják, akkor berakják a listába. Ebbõl adódik persze a rendszer gyengéje is, mivel 100% biztonság nincs, hogy dinamikus ipre nem mûködik, emellett, ha egy szervezet megváltoztatja a fix ipjét, az is egy idõbe kerül, amíg azt korrigálják (pl. a vivenditõl mindent átvett az invitel, a címekkel együtt, és ugyanazokat a címeket használja, de épp ezért lusták is voltak kijavítani, és a listában még mindig vivendiként vannak benne)

[mikk2000]

Idézet: keeper2 - Dátum: 2005. júl. 1., péntek - 8:04

mikk: ip blokkolásra alapvetõen két program használható(...)

Szia!

Kösz a részletes választ Google az én barátom.

Szerkesztette: mikk2000 2005. 07. 01. 11:02 -kor

[keeper2]

Idézet: mikk2000 - Dátum: 2005. júl. 1., péntek - 9:52

Szia!

Kösz a részletes választ Google az én barátom.

Hát, te tudod, bár én félek tõle, mint a tûztõl. A protowallnak egy nagyon bõ és részletes fóruma van, aminek egyik topicja a googlerõl szól. Van egy társaság, aki a google gyanús húzásait kutatja és gyûjti. Ott pontokba van gyûjtve, hogy miért is lehet veszélyes a google. Pl. a cookie-k azért kellenek, hogy el tudd tárolni a saját beállításaidat. De mégis, sikerült ezt nekik megoldani letiltott cookie-val. Akkor mire is jó? 37 éven keresztül? Mondjuk arra, hogy egyetlen fájlban tudják tárolni, hogy ki mikor mit keresett. Kikapcsolt cookie mellett rengeteg bejegyzés készül a kereséseidrõl, és azokat jó kis meló összepárosítani, hogy pontosan melyikek voltak a te kereséseid a különbözõ idõpontokban. Amellett, pl a fejlesztõk között van valamilyen usa védelmi hivatal (nsa???) egyik fontos embere is. Tehát, ha keresel valamit, arról az usa is fog tudni. És ahol már 12 éves kislányokat is beperelnek zene letöltésért.... Ráaádsul, az õ törvényeiket akarják a világgal elfogadtatni...

[joe39]

Idézet: keeper2 - Dátum: 2005. júl. 2., szombat - 9:24

Hát, te tudod, bár én félek tõle, mint a tûztõl. A protowallnak egy nagyon bõ és részletes fóruma van, aminek egyik topicja a googlerõl szól. Van egy társaság, aki a google gyanús húzásait kutatja és gyûjti. Ott pontokba van gyûjtve, hogy miért is lehet veszélyes a google. Pl. a cookie-k azért kellenek, hogy el tudd tárolni a saját beállításaidat. De mégis, sikerült ezt nekik megoldani letiltott cookie-val. Akkor mire is jó? 37 éven keresztül? Mondjuk arra, hogy egyetlen fájlban tudják tárolni, hogy ki mikor mit keresett. Kikapcsolt cookie mellett rengeteg bejegyzés készül a kereséseidrõl, és azokat jó kis meló összepárosítani, hogy pontosan melyikek voltak a te kereséseid a különbözõ idõpontokban. Amellett, pl a fejlesztõk között van valamilyen usa védelmi hivatal (nsa???) egyik fontos embere is. Tehát, ha keresel valamit, arról az usa is fog tudni. És ahol már 12 éves kislányokat is beperelnek zene letöltésért.... Ráaádsul, az õ törvényeiket akarják a világgal elfogadtatni...

És még mindig a neten vagy?

[keeper2]

Idézet: joe39 - Dátum: 2005. júl. 2., szombat - 8:06

És még mindig a neten vagy?

Nem, már nem rakom a gépre a netet. Már csak úgy netezek, hogy az utp kábel végén az érintkezõkre elemmel adom a jeleket, így írom ezt a hozzászólást is     

[olinka]

Idézet: keeper2 - Dátum: 2005. júl. 3., vasárnap - 10:38

Nem, már nem rakom a gépre a netet. Már csak úgy netezek, hogy az utp kábel végén az érintkezõkre elemmel adom a jeleket, így írom ezt a hozzászólást is     

Nekem is Kaspersky + Kerio párosítás van, be van kapcsolva az IDS modul, és mégis megy a DC.

[keeper2]

Idézet: olinka - Dátum: 2005. júl. 3., vasárnap - 9:57

Nekem is Kaspersky + Kerio párosítás van, be van kapcsolva az IDS modul, és mégis megy a DC.

Én is megoldottam, hogy menjen a dc, csak egyrészt ha nagyon sok válasz érkezik egyszerre egy keresésemre, a tûzfal leblokkolja a netet, másrészt, mint észrevettem, néhány óra múlva a dc hibát okoz, és bezáródik, míg, ha a kaspersky nincs fent akkor ez nem történik meg.

[olinka]

Idézet: keeper2 - Dátum: 2005. júl. 4., hétfõ - 9:50

Én is megoldottam, hogy menjen a dc, csak egyrészt ha nagyon sok válasz érkezik egyszerre egy keresésemre, a tûzfal leblokkolja a netet, másrészt, mint észrevettem, néhány óra múlva a dc hibát okoz, és bezáródik, míg, ha a kaspersky nincs fent akkor ez nem történik meg.

Nekem is lefagy a DC kb 1 nap alatt. Ameddig valamelyik régebbi verziót használtam, minden ok volt. Lehet, hogy tényleg a Kaspersky a ludas.

[keeper2]

Szerintem gyanúsan a kaspersky tehet róla, mivel többször is megpróbáltam. Amikor futott, akkor hibázott a dc, amikor nem, akkor nem, aztán amikor megint futott, megint hibázott, majd aztán újra nem, szóval, több mint gyanús

[GrayBack]

Tegnapi nap kijott a legujabb Kerio tuzfal (v4.2.0):
Kerio Personal Firewall 4

"July 21, 2005
New Kerio Personal Firewall 4.2 adds Host-based Intrusion Prevention System (HIPS) that protects applications from being hijacked, destabilized or compromised by viruses or worms."

Szerkesztette: GrayBack 2005. 07. 22. 10:34 -kor

[olinka]

Idézet: GrayBack - Dátum: 2005. júl. 22., péntek - 11:33

Tegnapi nap kijott a legujabb Kerio tuzfal (v4.2.0):
Kerio Personal Firewall 4

"July 21, 2005
New Kerio Personal Firewall 4.2 adds Host-based Intrusion Prevention System (HIPS) that protects applications from being hijacked, destabilized or compromised by viruses or worms."

Most néztem, hogy a Kerio Presonal Firewallnak van egy FREE változata is, amibõl csak tartalomszûrés, popup block, meg még 1-2 dolog hiányzik, amik ráadásul benne vannak a legtöbb böngészõben. A csomagszûrõ és a programok net korlátozása viszont benne van. Ez így elég jó kombináció otthoni felhasználásra.

[olinka]

Szerkesztette: olinka 2005. 07. 22. 23:25 -kor