Link Forum
Security PCΤο
internet είναι ενας εικονικός κόσμος πραγματικά θαυμαστός και ικανός να
δώσει πληθώρα στοιχείων και δεδομένων σε εκείνου που βρίσκονται σε
αναζήτηση τους.
Το μέσον για την πρόσβαση σε αυτόν τον κόσμο, κατά το
συντριπτικά μεγαλύτερο ποσοστό ,είναι ο υπολογιστής , φορητός ή
σταθερός. Ακριβώς τώρα επειδή αυτό το μέσο αποτελεί τον σύνδεσμο μας ,
μεταξύ αυτών των δύο κόσμων , είναι λογικό να θεωρείται μέγιστης
σημασίας η ασφάλεια του αλλά και ο έλεγχος της πρόσβασης σε αυτόν από
εικονικούς ή ακόμα και πραγματικούς χρήστες.
Αν και το θέμα ασφάλειας
υπολογιστή έχει θεωρηθεί σαν κάτι πάρα πολύ σημαντικό , εντούτοις η
ανάλυση ενός πλήρους πλάνου ασφαλείας, είναι από σπάνια εώς δυσεύρετη.
Σε
αντίθεση με όσα πιστεύει ο μέσος όρος χρηστών , το να μένεις ενήμερος
και να έχεις εγκατεστημένο ένα τείχος προστασίας (Firewall) και από ένα
πρόγραμμα για κακόβουλα λογισμικά και διαφημίσεις (antivirus-spyware),
ναι μεν είναι σημαντικό αλλά δεν είναι το 100% , ενός πλήρες πλάνου
ασφαλείας.
Το θέμα ασφάλεια είναι κάτι που σχετίζεται άμεσα με τον
ανθρώπινο παράγοντα και είναι αναμενόμενο, το πλάνο να είναι τόσο ισχυρό
όσες είναι και οι γνώσεις κάποιου χρήστη. Για αυτόν ακριβώς τον λόγο
λοιπόν , ας δοκιμάσουμε να δώσουμε ένα γενικό πλάνο να ακολουθήσει
κάποιος , μερικά βασικά βήματα προστασίας του υπολογιστή του. Να
σημειωθεί εδώ ότι κάθε τερματικό , έχει ανάγκη από ειδικές ρυθμίσεις
στην ασφάλεια του και για αυτό καλό θα είναι από ένα σημείο και μετά, να
έχετε την βοήθεια ειδικού, για την απόλυτη προσαρμογή της ασφάλειας ,
στις δικές σας ανάγκες.
ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑΑκούγεται
περίεργο;… Δεν θα έπρεπε! Κάθε υπολογιστής , πέρα από την εικονική του
παρουσία στο web, δεν παύει να είναι ενας χώρος που αποθηκεύονται
δεδομένα και στοιχεία, όπου πραγματικά αποτελούν τεράστιο θησαυρό , στον
αιώνα της πληροφορίας. Σαν τέτοιος χώρος λοιπόν , ειδικά όταν μιλάμε
για τερματικά επιχείρησης/επαγγελματικά , που μπορεί να έχουν συμβόλαια
μερικών εκατομμυρίων ευρώ, μέχρι και δεκάδες χιλιάδες επαγγελματικές
επαφές, μπορεί να καταλάβει κάποιος τι μπορεί να γίνει αν αυτό κλαπεί ή
κάποιος έχει πρόσβαση με φυσικό τρόπο σε αυτό.
Ακόμα και σε ένα
εταιρικό περιβάλλον , πρωτεύων ρόλο σε αυτό το κομμάτι ασφάλειας παίζει
πάντα ο χρήστης. Στην πορεία μου σαν τεχνικός στο χώρο , έχω δεί
κωδικούς σε sticky (χαρτάκια κίτρινα) πάνω στην οθόνη , μέχρι και
ανύπαρκτο κωδικό για χρήστη/τοπικό διαχειριστή. Φυσικά δεν χρειάζεται να
σχολιάσω πόσο εύκολο , είναι κάποιος να έχει πρόσβαση εκεί , και να
κάνει αυτό που θέλει.
Κάθε τερματικό λοιπόν και τα δεδομένα , μέσα σε
αυτόν , σε αντίθεση με όσα πιστεύει ο μέσος όρος τελικών χρηστών , δεν
είναι ευθύνη του Διαχειριστή Δικτύου. Είναι ευθύνη ΚΑΘΑΡΑ ΔΙΚΗ ΤΟΥΣ!
Προστατεύστε το τερματικό σας φυσικάΚάθε
υπολογιστής , στην διαδικασία boot (ενεργοποίηση) πριν ακόμα μπεί στο
σύστημα λειτουργικού, περνάει από την διαδικασία ελέγχου hardware. Η
διαδικασία αυτή , περιέχεται μέσα στο BIOS (Βασικό firmware) από όπου
και μπορεί το σύστημα και αναγνωρίζει περιφερειακό και μη εξοπλισμό του
συστήματος. Η πρώτη δικλείδα ασφαλείας, βρίσκεται ακριβώς εκεί.
Στην
επιλογή advanced αφού μπείτε στο BIOS με del ή F12 (ανάλογα με το
chipset του motherboard) θα βρείτε την επιλογή “Power on password” και
“Setup Password”. Εξορισμού αυτές οι επιλογές, είναι μηδενισμένες και
δεν περιέχουν κάποιο κωδικό. Ακολουθώντας τις οδηγίες εκεί, ρυθμίστε και
στα δύο κωδικό , κατά προτίμηση διαφορετικό.
Η επιλογή «power on»
είναι εκείνη που θα ζητεί κωδικό εισόδου στο σύστημα σας, πριν καν αυτό
μπεί σε διαδικασία ενεργοποίησης του. Μάλιστα σε κάποια BIOS, υπάρχει
και περιορισμός προσπαθειών , οπότε στις 3 ή 4 , αναγκάζεται ο εισβολέας
να κάνει και πάλι επανεκκίνηση , που αν μη τι άλλο είναι αρκούντως
εκνευριστικό για τον εισβολέα.
Αντίστοιχα η επιλογή “setup”,
κλειδώνει το BIOS, για όποια άλλη ρύθμιση, έτσι ώστε ακόμα και να μπεί ο
εισβολέας στο λειτουργικό , να μην μπορεί να αλλάξει κάτι στο BIOS που
μπορεί να του δυσκολεύει την δουλειά του (π.χ. απενεργοποιημένο USB ή
CDROM).
Σαφώς τώρα και αυτή η επιλογή μπορεί να μηδενιστεί και πάλι
σε εργοστασιακή κατάσταση (null password) , αλλά θα χρειαστεί αφαίρεση
της μπαταρίας, ή ένωση των κατάλληλων jumpers στην κεντρική πλακέτα ,
κάτι που δεν είναι και ότι πιο εύκολο για έναν εισβολέα, ειδικά σε
εταιρικό περιβάλλον. Ειδικά δε, σε φορητό , η πραγματοποίηση αυτής της
διαδικασίας, θεωρείται μεγάλου βαθμού δυσκολίας, λόγω της πυκνής
αρχιτεκτονικής του εξοπλισμού , επάνω του.
Προστατεύστε το μηχάνημα σας από κλοπήΕιδικά
το τελευταίο διάστημα , έχει σημειωθεί πολύ μεγάλη αύξηση , στον αριθμό
των κλοπών σε φορητούς υπολογιστές. Τον ίδιο σχεδόν κίνδυνο φέρουν
βέβαια και όλοι οι υπολογιστές, ειδικά αν οι εισβολείς ή κλέφτες,
γνωρίζουν για τον θησαυρό πληροφοριών που περιέχουν.
Στο εμπόριο ,
ειδικά για φορητούς υπάρχει τύπος λουκέτου που μπορεί να προστατέψει το
φορητό σας σε ένα άγνωστο περιβάλλον , όπου μπορεί να κλειδωθεί μαζί με
την τσάντα του ή ακόμα καλύτερα στο γραφείο σας με σταθερό σημείο.
Παράδειγμα μπορείτε να δείτε σε πολλά καταστήματα πληροφορικής που τα
φορητά , είναι προστατευμένα από παρόμοια κλειδαριά. Ταυτόχρονα μπορείτε
να συνεννοηθείτε με όλες τις ασφαλιστικές που τελευταία προσφέρουν
πακέτα ασφάλισης από κλοπή ή ακόμα και πτώση, για το φορητό σας.
Για
το σταθερό τερματικό τα πράγματα είναι πιο απλά, μιας και αρκεί μια
οποιαδήποτε κλειδαριά , και μια αλυσίδα περασμένη σε σταθερό σημείο ,
από όπου και δεν θα μπορεί να μετακινηθεί. Η κλειδαριά μπορεί να
περαστεί στην αλυσίδα που θα δέσει σε σταθερό σημείο , και στην συνέχεια
σε κάποια τρύπα στο πίσω μέρος του κουτιού. Αν δεν υπάρχει μπορείτε να
αφαιρέστε κάποια καλύπτρα στο σημείο της κεντρικής πλακέτας που υπάρχουν
οι PCI υποδοχές για κάρτες.
Το επόμενο βήμα είναι η διασφάλιση
των δεδομένων σας. Υποθέτω ότι αρκετοί από εσάς παίρνουν πλέον κάποιο
backup ή image του δίσκου τους. Πολύ καλά κάνετε… που το φυλάσσετε
όμως;.. Μήπως στον ίδιο χώρο με το τερματικό σας;
Το 1999 , όταν οι
δίδυμοι πύργοι δέχτηκαν την επίθεση των τρομοκρατών , σε κάποια γραφεία ,
υπήρχε νομική φίρμα που είχε κάνει ακριβώς το ίδιο πράγμα. Πήρε ναι μεν
αντίγραφο ασφαλείας, αλλά τα φύλασσε στον ίδιο ακριβώς χώρο.
Αποτέλεσμα; Το κλείσιμο της φίρμας μιας και δεν υπήρχαν πλέον αντίγραφα.
Μπορεί
κάποιος τώρα να πεί ότι τα δεδομένα ενός χρήστη δεν είναι και τόσο
σημαντικά , για μια τέτοια κίνηση. Θα συμφωνήσω μόνο εν μέρει, μιας και
κάποια δεδομένα – emails κτλ, είναι αρκετά σημαντικά και καλό θα είναι
να υπάρχουν εις διπλούν και φυσικά όχι στο ίδιο partition και δίσκο ,
αλλά σε κάποιο cdrom ή έστω usb flash stick, για την αποφυγή απώλειας
τους, αν ο δίσκος χτυπήσει, κρασάρει,καταστραφεί. Η ενημέρωση αυτών των
δεδομένων θα πρέπει να γίνεται σε τακτά διαστήματα (1 φορά την εβδομάδα
τουλάχιστον!) αλλά αυτό είναι κάτι που μπορεί να κανονίσει κάποιος
ανάλογα με τις ανάγκες και απαιτήσεις του.
Προστατεύστε το λειτουργικό σαςΚανόνας
απόλυτος και απαράβατος. Το κάθε λειτουργικό σύστημα είναι τόσο
ασφαλές, όσο μεγάλος είναι και ο βαθμός γνώσης του διαχειριστή του.
Κάθε
σύστημα μπορεί να προστατεύεται από κωδικό εισόδου και λογαριασμό
χρήστη. Δυστυχώς τις περισσότερες φορές, είτε ο χρήστης δεν έχει κωδικό
και μάλιστα φέρει και δικαιώματα τοπικού διαχειριστή , είτε ο κωδικός
είναι αναρτημένος σε κάποιο sticky. Ακόμα χειρότερα , αρκετές φορές ο
διαχειριστής εξορισμού του συστήματος μπορεί και να μην έχει καθόλου
κωδικό και από safe mode, ο εισβολέας να αποκτήσει πλήρη πρόσβαση ΣΕ ΟΛΑ
τα αρχεία και ρυθμίσεις του υπολογιστή. Μεγάλη προσοχή λοιπόν κατά την
διάρκεια της εγκατάστασης να δίνεται κωδικό εισόδου, για όλους τους
χρήστες και να μην τους αφήνετε κενούς. Ακόμα τώρα και αν δεν έχουν
κωδικό εισόδου, ανάλογα το σύστημα μπορείτε να τους δώσετε , αργότερα
και να διασφαλίσετε ότι η φυσική είσοδος , στον υπολογιστή, θα γίνεται
αποκλειστικά και μόνο από εξουσιοδοτημένα άτομα.
Αλλάξτε την
διαδικασία εκκίνησης του υπολογιστή. Ένας από τους τρόπους παράκαμψης
του κωδικού εισόδου είναι να γίνεται χρήση κάποιου flash stick ή cdrom
με live λειτουργικό ή άλο βοήθημα και να χειρίζονται από εκεί τα αρχεία.
Απενεργοποιήστε τα, από την διαδικασία εκκίνησης, (boot sequence) με το
να τα αφαιρέσετε από την ανάλογη λίστα εκκίνησης. Έτσι ακόμα και έτσι,
και με κλειδωμένο το BIOS, η φυσική πρόσβαση γίνεται αρκούντως δύσκολη ,
για κάποιον εισβολέα. Αν προσθέσουμε μάλιστα και την καινούρια έλευση
των βιομετρικών πληκτρολογίων και κάποιων συσκευών ανίχνευσης ίριδας, τα
λειτουργικά θωρακίζονται ακόμα περισσότερο και με μοναδικό τρόπο.
Οι
ρυθμίσεις για κωδικούς, εμφάνιση cached accounts και λοιπά στοιχεία,
διαφέρουν από σύστημα σε σύστημα σαν φίλτρα ενεργοποίησης ,για αυτό καλό
είναι να έχετε βοήθεια ειδικού ή να ανατρέξετε στο εγχειρίδιο χρήσης
τους.
ΑΣΦΑΛΕΙΑ ΛΟΓΙΣΜΙΚΟΥΣχεδόν
όλοι γνωρίζουν πλέον ότι για να νιώσεις κάποια ασφάλεια στο web,
χρειάζεσαι να έχεις κάποιο λογισμικό προστασίας από ιούς, δούρειους
ίππους, σκουλήκια και άλλα ωραία προγράμματα που μόνο ζημιά μπορούν να
προκαλέσουν στον υπολογιστή. Επιλέγουν όλοι λοιπόν κάποιο που προτιμούν
και τους κάνει ως χρήση και αφού το εγκαταστήσουν , τότε θεωρούν ότι
είναι ασφαλής. Είναι όμως τελικά έτσι;… Δεν νομίζω.
Κάθε
λογισμικό προστασίας από ιούς έχει μερικές απαιτήσεις και ιδανικές
ρυθμίσεις για κάθε χρήστη και ανάγκη του. Σε αυτό το σημείο , μάλλον
λοιπόν θα τοποθετήσω κάποια βασικά στοιχεία και από εκεί και πέρα καλό
είναι να προχωρήσει ο καθένας από εσάς στις δικές του ανάγκες και
διαμορφώσεις. Κρατήστε όμως στο μυαλό σας, ότι η αύξηση βαθμού ασφαλείας
σχεδόν πάντα συνεπάγεται και αύξηση στο βαθμό δυσχρηστίας.
-
Ενημέρωση. Κάθε λογισμικό προστασία, δεν μπορεί να κάνει τίποτα , αν δεν
είναι σωστά ενημερωμένο για ανίχνευση ιών και προγραμμάτων. Τα
κακόβουλα προγράμματα , ανανεώνονται στο web , 2-3 φορές κάθε
εβδομάδα!!! Κάποιο λογισμικό προστασίας λοιπόν που δεν μένει ενημερωμένο
όσο πιο πολύ γίνεται , τότε πραγματικά δεν μπορεί να διαφυλάξει το
τερματικό που είναι εγκατεστημένο.
- Αρχεία προστασίας. Κάθε
λογισμικό ασφαλείας, μπορεί και ανιχνεύει ιούς μέχρι κάποιο επίπεδο και
να ενεργεί ανάλογα. Σε κάποιες περιπτώσεις λοιπόν αρχεία που βρίσκονται
σε δεύτερο ή τρίτο , υπο-επίπεδο συμπύκνωσης (compressed) απλά δεν
ανιχνεύονται και περνούν μέσα στο σύστημα. Στα περισσότερα τέτοια
λογισμικά, υπάρχουν ειδικές ρυθμίσεις που ενεργοποιούν τέτοιες
ανιχνεύσεις μέχρι και το 6 ή 7ο υπο-επίπεδο!!
- Βαθμίδα προστασίας .
Σε όλα τα λογισμικά προστασίας μπορεί να ρυθμιστεί έτσι το φίλτρο
ανίχνευσης που να ανιχνεύει ακόμα και virus-like συμπεριφορές, μέσω της
διαδικασίας bloodhound. Όσο πιο μεγάλη η βαθμίδα τόσο μεγαλύτερη και η
προστασία σε κάθε επίπεδο. Φυσικά εδώ θέλει και μεγάλη προσοχή, καθώς σε
μέγιστες βαθμίδες, δεν αφήνει καν αρχεία συστήματος (π.χ. autoexec.bat)
να λειτουργήσουν.
- Delete or Quarantine. Ιδού το ερώτημα. Προσωπική
μου άποψη και εμπειρία , είναι πως ότι μολυνθεί με ιό, σήμερα, δεν
είναι εύκολο να διορθωθεί. Προτιμώ λοιπόν να κάνω χρήση του Quarantine,
αποκλειστικά και μόνο , όταν μου είναι άγνωστος ο ιός, οπότε τον
αποστέλλω πίσω στην κατασκευάστρια εταιρία του λειτουργικού , για να
βοηθήσω πολύ περισσότερο το έργο τους.
- Το πρόγραμμα προστασίας,
έχει τις επιλογές real-time scan και email scan, που όντως αποτελούν
τροχοπέδη στην απόδοση ενός συστήματος. Το πρώτο το θεωρώ όμως αναγκαίο
κακό , καθώς ειδικά αν το τερματικό είναι σε επιχειρησιακό δίκτυο ή σε
συνεχή σύνδεση με το web, είναι απαραίτητο το φιλτράρισμα των κινούμενων
δεδομένων. Αν όμως το τερματικό κάποιες φορές δουλεύει αποκομμένο από
τον υπόλοιπο κόσμο , τότε δεν είναι αναγκαίο να λειτουργεί. Το ίδιο
ισχύει και για το φίλτρο των email. Η υπηρεσία αυτή είναι χρήσιμη μόνο
όταν κάνετε χρήση κάποιου email client (Outlook) και όχι όταν κάνετε
χρήση web mail (π.χ. gmail.com, hotmail.com, κτλ.)
Firewalls – Τείχη ΠροστασίαςΘα
μου επιτρέψετε να επεκταθώ λίγο παραπάνω εδώ, καθώς οι μύθοι γύρω από
τα firewall , είναι πάρα πολλοί και πραγματικά πρέπει να ξεκαθαριστούν
κάποια πράγματα.
Μύθος 1ος λοιπόν,Με
την εγκατάσταση του firewall, ο χρήστης είναι ασφαλής. Αυτό είναι πέρα
για πέρα αναληθές. To Firewall, είναι ένα πρόγραμμα προστασίας, που
βασίζεται στο φιλτράρισμα υπηρεσιών , θυρών επικοινωνίας του συστήματος
αλλά κυρίως το φιλτράρισμα του TCP-IP. Είναι ένα πρόγραμμα προστασίας ,
από τον έξω κόσμο, αλλά μόνο σαν κεντρική πόρτα. Για να λειτουργήσει
σωστά, πρέπει το σύστημα ταυτόχρονα να έχει σωστά ρυθμισμένες
ενημερώσεις, αναβαθμίσεις και άλλα θέματα ασφαλείας. Αλλιώς είναι σαν
μια σιδηρόφραχτη πόρτα με κάγκελα και κλειδαριές, αλλά γύρω από αυτήν το
οικόπεδο έχει περίφραξη ενός σύρματος τρύπιου και ύψους 20 πόντων.
Μύθος 2οςΕξορισμού
οι περισσότερες ρυθμίσεις κάποιου firewall, είναι αρκετές. Αμέσως μετά
την εγκατάσταση του firewall, κάθε προσπάθεια επικοινωνίας από όποιο
πρόγραμμα ή υπηρεσία, προκαλεί την αντίδραση του όπου στην συνέχεια,
ενημερώνει τον χρήστη για το τι ενέργεια προτείνει (deny, allow, always
allow, always Deny). Οι εξορισμού ρυθμίσεις , είναι πάντα στο ask και
deny all. Σε αυτό το σημείο λοιπόν πρέπει να επέμβει ο χρήστης και να
προχωρήσει σε ειδικές ρυθμίσεις που θα αναλύσουμε παρακάτω.
Μύθος 3οςΤο
firewall μου χρειάζεται μόνο όταν κάνω σύνδεση στο web και όχι όταν
είμαι μέσα σε τοπικό δίκτυο. Το λάθος εδώ στηρίζεται στο ότι , τα
τερματικά δικτύου επικοινωνούν μεταξύ τους και ποτέ δεν μπορείς να είσαι
σίγουρος αν κάποιο τερματικό είναι μολυσμένο ή είναι σε κατάσταση
zombie. Αν οι συνδέσεις του τοπικού δικτύου είναι αφιλτράριστες, τότε
πολύ εύκολα τα δεδομένα σας ή ακόμα και η ακεραιότητα του συστήματος
μπορούν να υπερκεραστούν από το άλλο μολυσμένο μηχάνημα. Το δύσκολο εδώ
είναι να μπορείς να χειριστείς τις θύρες επικοινωνίας και τις υπηρεσίες
του δικτύου ,μέσα από το TCP-IP, για να μην υπάρχουν προβλήματα
σύνδεσης.
Μύθος 4ος.Τα
firewalls δεν ενημερώνονται ποτέ. Και όμως πρέπει να ενημερώνονται κάθε
μήνα τουλάχιστον , καθώς κάνουν χρήσεις κάποιες φορές ειδικών μηχανών
φιλτραρίσματος που αναπροσαρμόζονται , ανάλογα τις τεχνικές διασποράς
που φέρουν κάποια worms ή DoS attacks.
Φίλτρο προγραμμάτων
Εδώ
θα μιλήσω αποκλειστικά για windows , μιας και όσοι έχουν την ικανότητα
να ρυθμίσουν χειροκίνητα τείχη προστασίας σε *ΝΙΧ περιβάλλον , είναι
σχεδόν σίγουρο ότι οι οδηγίες μου, θα τους είναι άχρηστες, λόγω της
γνώσης τους με το αντικείμενο. Παρόλα αυτά αν θέλει κάποιος βοήθεια εδώ
είμαστε και μπορείτε να ρωτήσετε από κάτω.
Στο σύνηθες περιβάλλον
ενός τελικού χρήστης κάποια προγράμματα είτε θα έχουν ανάγκη την
πρόσβαση στο web ή σε δικτυακές υπηρεσίες. Στην πρώτη «ενόχληση» λοιπόν
από το firewall με σχετικό πρόγραμμα, έχουμε κάποιο εικονίδιο
ενημέρωσης-ερώτησης προς τον χρήστη για την ενέργεια που πρέπει να κάνει
το firewall. To συχνότατο λάθος εδώ είναι το always allow. Σε καμία
περίπτωση λοιπόν δεν αφήνουμε τέτοιο κανόνα. Ο λόγος είναι πολύ απλός.
Κάθε πρόγραμμα μπορεί να γίνει hijacked και να παίξει τον ρόλο της
κερκόπορτας , με τέτοια επιτυχία, που να νομίζετε ότι το τερματικό είναι
ασφαλές, ενώ αυτό να μοιάζει με Ελβετικό τυρί. Παράδειγμα το rootkit
της Sony που μέσω του προγράμματος της Sony File Information, έδινε
στοιχεία για το τερματικό και τον χρήστη στο web μέσα από πρόγραμμα που
δεδομένου του trademark και προέλευση έμοιαζε «ακίνδυνο». Εντούτοις μόνο
αυτό δεν ήταν. Στην θέση του τώρα βάλτε όποιο εσείς νομίζετε και
σκεφτείτε πολύ καλά τι θα κάνετε την επόμενη φορά που θα σας ρωτήσει το
firewall, για την δημιουργία κανόνα «always allow».
Κανένα πρόγραμμα
δεν θα πρέπει να θεωρείται ασφαλές για την δημιουργία κανόνα , always
allow. Κατανοώ ότι μπορεί να ακούγεται κουραστικό να εμφανίζεται
ενημερωτικό κάθε φορά μήνυμα για την προσπάθεια προγράμματος να
δικτυωθεί. Εξαίρεση στον κανόνα «always allow» αποτελούν προσπάθειες
σύνδεσης στην IP 127.0.0.1 και localhost μιας και θεωρητικά πάντα (εκτός
και αν είναι κάποιο sub7 trojan) απευθύνονται στον εαυτό τους, στο ίδιο
τερματικό και όχι στο δίκτυο.
Προστασία ρυθμίσεωνΚάθε
firewall, περιέχει ειδικό κωδικό διαχειριστή που μπορεί να κλειδώσει
τις όποιες ρυθμίσεις έχετε δημιουργήσει, για να μην μπορεί να τις
αλλάξει κάποιος χρήστης με φυσική πρόσβαση στον λογαριασμό σας, ή ακόμη
χειρότερα αν έχει δεχτεί επίθεση από εξωτερικό εισβολέα και έχει
αποκτήσει πρόσβαση στο αρχείο , κυρίως , hosts και control panel του
firewall. Με αυτόν τον τρόπο μπορεί το firewall, να είναι συνέχεια
ενεργό, αν δεν δοθεί σωστός κωδικός απενεργοποίησης.
Ρυθμίσεις δικτύουΣτο
ζουμί της υπόθεσης. Καταρχάς, όποιος δεν έχει κατοχή του TCP-IP όπως
και των σχετιζόμενων με υπηρεσίες θυρών επικοινωνίας, καλό είναι να
ξεκινήσει να ασχοληθεί, αν θέλει πραγματικά να είναι κυρίαρχος στο
firewall του και να μην αρκείται σε προρυθμισμένες λύσεις.
Τοπικό τερματικό.-
Κάθε τοπικό τερματικό φέρει μοναδική IP 127.0.0.1 ή άλλη , ανάλογης
τάξης και subnet που σχετίζεται με το τοπικό δίκτυο του (10.10.0/24 ή
192.168.0/24 ή 192.168.1/24 κοκ)
Εδώ λοιπόν θα χρειαστεί ειδικός
κανόνας που να θεωρεί ότι η μοναδική αυτή IP είναι σχετιζόμενη με το
ίδιο μηχάνημα που βρίσκεται το firewall , για να αποφευχθούν περιπτώσεις
spoofing ή arp attack που θα προσπαθήσουν να μιμηθούν πλαστά την
διεύθυνση αυτή , για να αποκτήσουν πρόσβαση χωρίς φιλτράρισμα. Η ρύθμιση
αυτή υπάρχει σε πολύ καλά firewall αλλά στα περισσότερα , είναι
εξορισμού ορισμένη , καθώς αναγνωρίζει την διεύθυνση από την κάρτα
δικτύου που προστατεύει.
- Τα τοπικά δίκτυα συνήθως φέρουν
προστατευμένες IP από τον έξω κόσμο , πίσω από κάποιον router ή proxy.
Σε κάθε περίπτωση , η μοναδική ΙΡ που θα θεωρηθεί «έμπιστη» θα είναι
εκείνη του Proxy ή κάποιου Server (dns,dhcp,etc.) για να μην
μπλοκαριστεί το Kernel Subsystem από την εσωτερική δικτύωση με τα
υπόλοιπα μηχανήματα. Στον κανόνα εδώ ναι μεν θα γίνει trusted to
συγκεκριμένο εύρος IP αλλά παρόλα αυτά θα ρυθμιστεί να αφήνει ελεύθερες
μόνο τις πόρτες δικτύου , που σχετίζονται με τις ανάλογες υπηρεσίες
(π.χ. port 53 = DNS). Οι υπόλοιπες θα παραμείνουν σε status “ask”, για
την καλύτερη προστασία του μηχανήματος σας. Έτσι αν ξαφνικά δεχτείτε
αίτημα σύνδεση στην θύρα 56090 π.χ., κάτι πονηρό μάλλον τρέχει και θα
μπορείτε να το διακόψετε πριν συμβεί κάτι άσχημο, ακόμα και αν η ΙΡ
θεωρείτε έμπιστη.
- Οι κυρίαρχες υπηρεσίες για email, σχετίζονται με
τις θύρες επικοινωνίας 25,110, και πολύ πιο σπάνια οι 144-443 που δίνουν
SMTP-POP3-IMAP προσβάσεις αντίστοιχα. Ιδανικό είναι να υπάρχει κάποιος
Exchange Server ή ανάλογος server όπως ο Gmail που θέλει SSL σύνδεση ,
όπου μπορεί να δημιουργηθεί ειδικός κανόνας always allow πρόσβαση μόνο
για αυτές τις IP και θύρες επικοινωνίας , μπλοκάροντας κάθε άλλη
προσπάθεια εκμετάλλευσης αυτών των θυρών από άλλα τερματικά.
- Οι
θύρες επικοινωνίας , πάντα σύμφωνα με την IANA , που σχετίζονται άμεσα
με υπηρεσίες όλων των λειτουργικών και υπηρεσιών δικτύου, αριθμούνται
από 1-1024. Από εκεί και πέρα οι θύρες θεωρούνται μη δεσμευμένες και
ελεύθερες προς χρήση από όποιο πρόγραμμα ή υπηρεσία κυκλοφορεί. Η γενική
αρίθμηση σταματά στις 64000+ αν θυμάμαι καλά. Σχετικές πληροφορίες
μπορείτε να βρείτε πάντως για περισσότερες πληροφορίες στο link:
http://www.iana.orgΣε
αρκετά firewall, υπάρχει ειδική επιλογή για stealth mode, όπου απλά το
firewall, κάνει hide την τοπική ΙΡ , σταματώντας τις απαντήσεις σε ping
προσπάθειες ή ανάλογα ICMP αιτήματα από απομακρυσμένα τερματικά. Σήμερα
όπου οι ADSL Routers, έχουν αναλάβει την διαδικασία ΝΑΤ για το τοπικό
δίκτυο , η ανάλογη ρύθμιση είναι στο “echo off” και “ICMP off”. Προσοχή
μόνο , καθώς τέτοια ρύθμιση δημιουργεί αρκετά προβλήματα με Ρ2Ρ δίκτυα ,
μιας και ο tracker σας δεν είναι εμφανής στο δίκτυο αυτό.
Σε πιο
προχωρημένες καταστάσεις, υπάρχουν επιλογές που αφορούν fragments όπου
μπορεί να δημιουργηθεί κανόνας , για να μπλοκαριστούν τυχόν προσπάθειες
DoS, Buffer overflow – overrun. Σε αυτή την περίπτωση μπορεί κάποιος
ειδικός (Προσοχή μόνο ειδικός!) να ρυθμίσει το μέγεθος των UDP-TCP
fragments που θα γίνονται αποδεκτά και από ποιο σημείο και μετά θα
γίνονται dropped. Αν τώρα το firewall, έχει δεχτεί στο παρελθόν DoS
επιθέσεις, μπορεί κάποιος να ρυθμίσει τον χρονισμό αποδοχής (π.χ.
Fragment ανά millisecond) σκεπτόμενος και υπολογίζοντας το time response
που έχει το δίκτυο. Μπορεί να βρεθεί ο Μ.Ο. με εντολή TTL , από όπου
και μπορεί κάποιος να δώσει ένα +10% στο firewall time response και να
απορρίπτει πακέτα δεδομένων που θα έρχονται πιο νωρίς από αυτό το
χρονικό όριο, μειώνοντας έτσι το περιθώριο για πραγματοποίηση των
προαναφερόμενων επιθεσέων. Σημαντικό επίσης θεωρώ το βοήθημα
reject/block attackers IP που μπορεί να ρυθμιστεί για κάθε firewall ,
δίνοντας σχετικό χρονικό διάστημα.
Ένα από τα πιο σημαντικά
βήματα είναι να γίνει ενεργοποίηση του Log module , από όπου και θα
γίνεται καταγραφή των κινήσεων του firewall, για καλύτερη αναφορά στο
μέλλον , αν παρουσιαστεί πρόβλημα ή απορία με κάποιο θέμα σχετικά με το
firewall. Από εκεί θα μπορείτε να βρείτε ευκολότερα λύσεις και αναφορές
στο web, όπου μπορεί και κάποιοι άλλοι να είχαν παρόμοια προβλήματα ή
απορίες.
Κάθε firewall γενικά, μπορεί να δώσει αρκετό βαθμό
ασφαλείας στον χρήστη του , αρκεί να ρυθμιστεί με τέτοιο τρόπο , έτσι
ώστε να δίνει ναι μεν ισχυρό βαθμό ασφαλείας, αλλά πάντα σύμφωνα με τις
ανάγκες του. Αλλιώς μπορεί να βρεθείτε στην δυσάρεστη θέση του να μην
λειτουργεί κάτι σωστά δικτυακά ή ακόμα χειρότερα να μην έχετε καθόλου
σύνδεση με τον έξω κόσμο. Τελευταία υπενθυμίζω και πάλι πως το firewall
είναι μόνο ένα μέρος του συστήματος ασφαλείας που θα ακολουθήσετε και
σίγουρα δεν αποτελεί δικτυακή πανάκεια προστασίας.
Spyware RemoverΤελευταία
έχει μπεί για τα καλά στην ηλεκτρονική κοινότητα η προστασία από
malware και spyware σαν αναγκαία υπηρεσία, λόγω των πολλαπλών στοιχείων
σε διάφορα sites στο web που μπορεί να μηδενίσουν την ακεραιότητα του
υπολογιστή μας. Εδώ οι ρυθμίσεις είναι πάντα εξαρτώμενες από το
πρόγραμμα που κάνουμε χρήση. Βάσει αυτού μπορούμε και ενεργοποιούμε
φίλτρα ή υπηρεσίες σχετικές με αυτή την προστασία. Και εδώ βέβαια
βασικότατο ρόλο παίζουν οι συχνές ενημερώσεις και αναβαθμίσεις του
προγράμματος σας, για να έχει 100% απόδοση.
ΕνημερώσειςΕδώ
μόνο ένας μύθος υπάρχει.. Και κυρίως στα λειτουργικά της Microsoft,
χωρίς όμως αυτό να απαλύνει την ενοχή των κοινοτήτων του Linux-Open
Source.
Οι ενημερώσεις αν και στον συντριπτικά μεγάλο βαθμό τους,
είναι ωφέλιμες και αναγκαίες, εντούτοις καλό είναι να ελέγχουμε πρώτα
τι κατεβάζουμε και εγκαθιστούμε στο σύστημα μας. Δεν είναι λίγες οι
φορές που κάποια ενημέρωση ή αναβάθμιση προκάλεσε προβλήματα στο σύστημα
ή ακόμα και την κατάρρευση του , σε σχέση με την χρήση άλλων οδηγών ή
κάποιο PCI/IRQ Conflict, που δεν είχαν δεί οι developers των ενημερώσεων
από την αρχή. Παράδειγμα το ΧΡ SP2 και το πρόβλημα με τις USB θύρες που
είχε εμφανιστεί και σχετιζόταν με την εμφάνιση χαμηλής ταχύτητας
μετάδοσης των δεδομένων.
ΓΕΝΙΚΑ – ΣΥΜΠΕΡΑΣΜΑΦυσικά
το θέμα ασφάλεια λογισμικού-τερματικού ,είναι εμφανές μόνο σαν η κορυφή
του παγόβουνου εδώ. Ο τομέας των υπολογιστών και όσων σχετίζονται με
αυτούς, είναι ζωντανοί και συνεχώς ανανεώσιμοι. Είναι αναπόφευκτο λοιπόν
, η ασφάλεια να συγκαταλέγεται σε αυτόν τον κανόνα.
Θα έλεγα μάλλον
ότι ο καλύτερος τρόπος για να διατηρείται τον υπολογιστή σας ασφαλή ,
είναι να διατηρηθεί μια λογική σκέψη και φυσικά , μια συνεχή ενημέρωση
με τα δρώμενα στον κόσμο της πληροφορικής. Αν δεν μπορεί να γίνει αυτό,
τότε καλό θα είναι , τουλάχιστον αυτά τα λογισμικά προστασίας που έχετε ,
να είναι πάντα ενημερωμένα και καλά ρυθμισμένα. Φυσικά υποτίθεται ότι
θα πρέπει ο χρήστης να γνωρίζει μέσα-έξω το λειτουργικό του σύστημα και
να έχει πάντα δύο πράγματα στο μυαλό του.
1) Τίποτα δεν είναι ασφαλές 100%. Ειδικά στον τομέα των υπολογιστών , αυτό αποτελεί απαράβατο κανόνα.
2)
Όσο πιο ασφαλές , τόσο πιο δύσχρηστο θα γίνεται σε επίπεδο
καθημερινότητας. Από την στιγμή που οι υπολογιστές δεν έχουν φτάσει στο
επίπεδο Α.Ι. (Artificial Intelligence) τότε είναι αναπόφευκτο να δει
κανείς ότι κάθε επιπλέον δικλείδα ασφαλείας, σε καθημερινό επίπεδο,
αυξάνει και την δυσκολία χρήσης.
παραθετω 1 αρχειο pdf με πληροφοριες σχετικα για την Διασύνδεση και ασφάλεια υπολογιστών.
Για το pdf πατηστε εδω
Ελληνικο Φορουμ Μοντελισμου