Автор Тема: Безопасность в ALT Linux и вопросы про вирусы и антивирусы. Взлом и атаки.  (Прочитано 107480 раз)

Оффлайн sleek77

  • Начинающий
  • *
  • Сообщений: 5
      Безопасность из коробки


Как настроен файервол в ALT Linux Desktop 4.0 по умолчанию?
Есть ли необходимость его настраивать для обычного домашнего компа?
« Последнее редактирование: 21.08.2011 22:38:49 от МИНЗДРАВ »

Оффлайн Const

  • Глобальный модератор
  • *****
  • Сообщений: 2 653
  • Даже у плохого модератора есть свои плюсы…
Re: Безопасность из коробки
« Ответ #1 : 23.09.2008 11:02:01 »
По умолчанию файрвол не настроен никак.
Однако (по умолчанию же) открытых наружу портов оставляется самый минимум (конкретно сколько зависит от того, какие демоны установлены).
Ну и наконец, так как домашняя машина почти наверняка не имеет внешнего IP, необходимость настройки файрвола прямопропорциональна параноидальности пользователя.

Оффлайн Storke

  • Завсегдатай
  • *
  • Сообщений: 932
  • ОМСКАЯ ГРУППА ПОЛЬЗОВАТЕЛЕЙ LINUX
    • Центр российского образования
Re: Безопасность из коробки
« Ответ #2 : 23.09.2008 16:58:57 »
К сожалению, для школы "по умолчанию" небезопасно. У меня регулярно появляется надпись о том, что кто-то хочет "сконнектиться" (обычно школьные компьютеры из нашего и соседнего региона, узнаю по IP-адресу). А если просмотришь, и ученик ответь "да"?
Под Виндой сначала было так же, но потом, видимо, на уровне провайдеров школьного Инета постававили блокировку, а вот под Линуксом этого нет.
Из этого возникает вопрос: как исправить эту ситуацию?
Тише едешь - дальше будешь.

Оффлайн Const

  • Глобальный модератор
  • *****
  • Сообщений: 2 653
  • Даже у плохого модератора есть свои плюсы…
Re: Безопасность из коробки
« Ответ #3 : 23.09.2008 17:36:56 »
К сожалению, для школы "по умолчанию" небезопасно. У меня регулярно появляется надпись о том, что кто-то хочет "сконнектиться" (обычно школьные компьютеры из нашего и соседнего региона, узнаю по IP-адресу). А если просмотришь, и ученик ответь "да"?
Под Виндой сначала было так же, но потом, видимо, на уровне провайдеров школьного Инета постававили блокировку, а вот под Линуксом этого нет.
Из этого возникает вопрос: как исправить эту ситуацию?

Где появляется надпись? какая? почему пользователю она сообщается?
В первую очередь хотелось бы знать, что пишется, ибо я ни с чем таким не сталкивался.

Оффлайн Storke

  • Завсегдатай
  • *
  • Сообщений: 932
  • ОМСКАЯ ГРУППА ПОЛЬЗОВАТЕЛЕЙ LINUX
    • Центр российского образования
Re: Безопасность из коробки
« Ответ #4 : 23.09.2008 20:07:08 »
К сожалению, сейчас уже не в школе.
Но суть расскажу, а более детально и на фактах при следующей атаке с фиксацией и скриншотами, если получится.
Итак, по порядку.
Как известно, школы подключаются в Интернет через шлюз (допустим, 10.55.1.20). У каждого компа в сети соответствующий IP-адрес, начиная от 10.55.1.21 до 10.55.1.46, т. е. маска подсети 255.255.255.224 (27 IP-адресов на школу). Обычно 2 DNS-сервера: 10.0.1.1 и 10.0.1.2 (Москва).
Наш регион (Омская область - 55) обслуживается через Новосибирск (Сибирьтелеком , если не ошибаюсь, код региона - 54). Так вот атаки идут на школьные компьютеры с 54 и 55 регионов, т. е. на региональном уровне, причем напрямую с других школьных компьютеров.
Во время работы (в данном случае в Юниоре) иногда появляется окно с сообщением, что пользователь с таким-то IP-адресом (например, 10.54.1.138) желает получить удаленный доступ к этому компьютеру. И два варианта ответа: "разрешить соединение" или "отклонить" (точную формулировку не могу вспомнить). И еще что-то про то, разрешить ли управление мышью и клавиатурой (галочка ставится/снимается). Я так понимаю, что в случае разрешения соединения, компьютер попадает в распоряжение удаленного пользователя.
Вот такие-то "пироги". Странно да?
Тише едешь - дальше будешь.

Оффлайн klark973

  • Завсегдатай
  • *
  • Сообщений: 662
  • Неспящий саппорт
Re: Безопасность из коробки
« Ответ #5 : 23.09.2008 20:43:05 »
У каждого компа в сети соответствующий IP-адрес, начиная от 10.55.1.21 до 10.55.1.46, т. е. маска подсети 255.255.255.224 (27 IP-адресов на школу).

...

Вот такие-то "пироги". Странно да?
Странно вот что (подсветил). Возможно это частично объясняет причину попытки "нелегальных коннектов". ;) Подчёркиваю: возможно, но не обязательно!

Какое предельное число для маски 224? 31! Т.е. вместе со шлюзом адреса могут лежать в диапазоне 1...30 (последняя цифра IP-адреса). 31, наверное, это broadcast сети. Т.е. изначально "кривые" настройки провайдер дал, интегратор, или вы где-то чего-то напутали...

Каким образом устроен Internet-вход? Вы пишете, что через шлюз, но вы знаете, где он стоит, кто и как его администрирует?
« Последнее редактирование: 23.09.2008 20:45:29 от klark973 »
To moan or to solve -- that is the question!

Оффлайн Const

  • Глобальный модератор
  • *****
  • Сообщений: 2 653
  • Даже у плохого модератора есть свои плюсы…
Re: Безопасность из коробки
« Ответ #6 : 23.09.2008 21:10:56 »
Какое предельное число для маски 224? 31! Т.е. вместе со шлюзом адреса могут лежать в диапазоне 1...30 (последняя цифра IP-адреса). 31, наверное, это broadcast сети. Т.е.
Леонид, я вас прошу, не разочаровывайте :)
При вашей огромной квалификации читать такую ересь как-то даже неприятно :))) маска /5 говорит лишь о том, что мы имеем 30 (а не 27) адресов + бродкаст начиная от адреса сети

То есть сетка имеет адрес 10.55.1.20 и далее имеем адреса до 50. 51 — широковещательный
(кажется, не наврал в цифрах :)

Теперь к Владимиру вопросы.
10.х.х.х это так называемые «внутренние» адреса.
Кто так провайдит? или это нормально и в школах по стране именно так адреса раздаются?
Следующий вопрос: доступ пытаются получит к шлюзу, или к машинам внутри сети?

И если можно (может сказать о чём либо интересном) в момент попытки получить такой доступ запросить трассировку соединения (например, traceroute 10.54.1.138) и выдать полученные строки сюда.

Оффлайн klark973

  • Завсегдатай
  • *
  • Сообщений: 662
  • Неспящий саппорт
Re: Безопасность из коробки
« Ответ #7 : 23.09.2008 21:54:41 »
Какое предельное число для маски 224? 31! Т.е. вместе со шлюзом адреса могут лежать в диапазоне 1...30 (последняя цифра IP-адреса). 31, наверное, это broadcast сети.

маска /5 говорит лишь о том, что мы имеем 30 (а не 27) адресов + бродкаст начиная от адреса сети

То есть сетка имеет адрес 10.55.1.20 и далее имеем адреса до 50. 51 — широковещательный
(кажется, не наврал в цифрах :)
Const, Вы правы - я не прав! Вы совершенно точно заметили, начиная от адреса сети. Однако именно он и не указан в исходном сообщении. А поскольку много сетей настраивать приходилось, комбинация бросилась в глаза и посчитал на калькуляторе, отталкиваясь от адреса сети 0, хотя всего с такой маской может 8 сетей. Но... По науке не вписывается всё-равно при такой маске! Смотрите сами:

Сеть Bcast   Min   Max
0      31       1      30
32    63      33     62
64    95      65     94
96    127    97     126
128  159    129    158
160  191    161    190
192  223    193    222
224  255    225    254
To moan or to solve -- that is the question!

Оффлайн klark973

  • Завсегдатай
  • *
  • Сообщений: 662
  • Неспящий саппорт
Re: Безопасность из коробки
« Ответ #8 : 23.09.2008 22:03:18 »
10.55.1.20 - такого адреса сети не может быть при маске /5. 20=10100 (2). А на конце должно быть 5 нолей. И Storke написал, что это адрес шлюза. Вообще-то шлюзу можно любой адрес в сети назначить. Конкретно данный вписывается только в первую под-сеть - с адресом 0. Поэтому я и посчитал от 1...31 для 0-й под-сети.

UPD: зря мы это на веру приняли! :-)))
в Интернет через шлюз (допустим, 10.55.1.20).
Стоило сделать скидку на это! ;)
« Последнее редактирование: 23.09.2008 23:05:29 от klark973 »
To moan or to solve -- that is the question!

Оффлайн Const

  • Глобальный модератор
  • *****
  • Сообщений: 2 653
  • Даже у плохого модератора есть свои плюсы…
Re: Безопасность из коробки
« Ответ #9 : 24.09.2008 04:46:57 »
20 как адрес сети вполне возможно.
Если впереди идут, например, 2 сети /252 и /240 в произвольном порядке.
Предлагаю этот вопрос замять до момента узревания вывода ifconfig :)

Оффлайн Storke

  • Завсегдатай
  • *
  • Сообщений: 932
  • ОМСКАЯ ГРУППА ПОЛЬЗОВАТЕЛЕЙ LINUX
    • Центр российского образования
Re: Безопасность из коробки
« Ответ #10 : 24.09.2008 05:39:42 »
Я не написал реальный адрес шлюза, только условный.
Реальный, например, 10.55.0.225
Адрес для конкретного школьного шлюза сообщают наши связисты.
Я знаю, что 10.х.х.х внутренняя адресация. Но в том-то и дело, что показывается попытка "наезда" из этой самой внутренней сети другой школы.
В Винде поначалу была такая же байда, у меня стоял лицензионный Касперский и я сразу это видел. Через какое-то время атаки прекратились. Мне сказали связисты, что закрыли какую-то там "дыру", типа фильтра поставили. Но при Линуксе процесс повторяется. Из чего делаю вывод, что закрыли проблему только для Винды. И вообще, как можно получить доступ к компьютеру в Линуксе в режиме пользователя? Я имею в виду, что произойдет, если нажать на подтверждение соединения?
Подробности будут позже, так как сегодня у меня совещание в районе и я не попаду на компьютеры, чтобы проверить еще раз.
Тише едешь - дальше будешь.

Оффлайн SuperVisor

  • Завсегдатай
  • *
  • Сообщений: 778
  • разочарован в KDE
Re: Безопасность из коробки
« Ответ #11 : 24.09.2008 06:07:15 »
Ребята, это не нормально, но это действительность. Не знаю как в других регионах, а у нас в Красноярском крае, те же СТК предлагают именно такой способ подключения.
Именно это стало причиной кошмарного распространения всякой вирусни в школах, где компьютерами занимаются либо учителя информатики/математики, либо вообще секретарь!!!
Да, для СТК это просто было очень быстрым способом подключить всех и отчитаться. А они только плачутся что всё плохо.
Не удержусь, процитирую пост с file.krasnet.ru. (это внутренний ресурс СТК)

Цитировать
Ну раз вы человек в курсе, то наверное должны знать каким боком вся эта программа вышла для СТК. При средних затратах за подключение 1 ОУ к сети интернет 140 тыс. руб. нам государство компенсировало разово 10 тыс. руб. и 1000 руб в месяц с НДС. Весь этот проект был сделан за счет операторов холдинга Связьинвест в приказном порядке. Причем при прямо скажем халатном отношении персонала школ к оборудованию установленному в школах, наши реальные ежемесячные затраты на его ремонт практически были равны поступающей оплате. А наши затраты за спутниковый каналы на 1 ОУ вообще составляют 1,7 тыс. руб. без НДС. Честно говоря у СТК (да и у других операторов в России) спадет большая головная боль, если часть школ вынуждены будут отказаться от интернета, а там где стоят спутники цены будут предложены реальные, чтобы покрыть все наши издержки. Так что думаю реально 30% или даже больше ОУ останутся без интернета, если конечно краевой бюджет не захочет платить за школы реальные деньги.

Отвлекся....
Вот только странно как-то...По идее dsl модем должен быть в режиме роутера и в "обратную" сторону никого не пускать, если, конечно firewall на самом маршрутизаторе не отключен.
Уважаемый Stroke, проверьте настройки модема.

Доступ к локальной сети школы я предоставляю для других школ района, просто сделав перенаправление портов на модеме.
Т.е. для внутреннего ftp сервера (там лежат школьные фотографии, видеозаписи концертов и мероприятий, учебная литература и фильмы, чтобы не искать по интернету), раньше сайт внутри сети работал, о потом за ненадобностью снес. Все машины в локалькной сети школы ходят в интернет ТОЛЬКО через прокси (squid, работающий на office server 4) и не имеют адресов из сети 10.х.х.х, у них обычные 192.168.х.х. Опять же трафик экономится и скорость больше за счет использования кэша на прокси, ведь логично, что на уроке, если дают задания, то весь класс пойдет на один и тот же сайт. например банальное "завести почтовый ящик на мэйл.ру"
« Последнее редактирование: 25.09.2008 14:49:36 от Skull »

Оффлайн klark973

  • Завсегдатай
  • *
  • Сообщений: 662
  • Неспящий саппорт
Re: Безопасность из коробки
« Ответ #12 : 24.09.2008 11:48:18 »
Предлагаю найти-таки этих барабашек - плиз, вывод в студию!
ifconfig eth0 | grep inet
netstat -Ainet -lp
netstat -Ainet6 -lp

Получается, что не настроен локальный фаервол в линуксе. А провайдер не фильтрует межсетевой трафик (вобще-то лучше это самим делать). При правильно настройке сети такие запросы нужно роутить в чёрную дыру (на FreeBSD предпочитаю этот способ через ядро/sysctl). Межсетевой трафик невозможно в принципе "настроить только для windows". ;) Только до определённой степени условности...

Storke, я повторюсь, потому как не понял из Вашего сообщения: каким образом устроен Internet-вход? Вы пишете, что через шлюз, но вы знаете, где он стоит, кто и как его администрирует? Это ADSL модем в здании школы? От него идёт кабель к хабу? Кто и как администрирует этот модем? Какая в точности марка/производитель? Какой режим: мост/маршрутизатор?
To moan or to solve -- that is the question!

Оффлайн Storke

  • Завсегдатай
  • *
  • Сообщений: 932
  • ОМСКАЯ ГРУППА ПОЛЬЗОВАТЕЛЕЙ LINUX
    • Центр российского образования
Re: Безопасность из коробки
« Ответ #13 : 24.09.2008 16:46:58 »
Написал много, но, видимо, сессия закончилась, поэтому ответ не прошел.
Пишу кратко.
Никто не администрирует школьные модемы, так как ни в одной из школ нет ставки сисадмина.
Модемы все находятся в классе, за исключением Etherneta (коробка на столбе на улице, в школу - только сам кабель входит). Забыл сказать, что роутеры стоят почти во всех школах. Отдельные D-Link 624+ с точкой доступа или ADSL (модем+роутер+точка доступа в одном "флаконе", модель пока не скажу, но тоже D-Link). Затем от роутера/модема кабель идет в хаб и дальше в сетку. В некоторых школах (в целях безопасности ;D) только на учительском Интернет.
Сегодня и вчера была прокурорская проверка в 3 центральных школах. Молодой человек проверял ХХХ-сайты и а-ля "экстремизм", "изготовление бомбы" и пр.  2 проверку прошли (сегодня). А вчера "влетела" гимназия - нашел там картинки интересные. Выписал предписание директору с устранением в месячный срок с намеком на установку СКФ из "Первой ПОмощи". Но кто ее будет устанавливать, если многие учителя информатики ОС установить-то не могут. В общем, директора созрели до Линукса, я так понял. Но вот беда - а кто же будет его ставить? И все многозначительно посмотрели на меня. Но ведь я тоже еще "чайник" в этом деле и время у меня не ризиновое. Допустим, десктоп-то я установлю (и устанавливаю). Вот сегодня сразу же по горячим следам Юниора из новой поставки установил в гимназии.
Поэтому огромная просьба к тем, кто уже установил и настроил Office Server 4.0 + squid для раздачи Интернета и контроля трафика: помогите с методикой настройки, так сказать, для самого что ни на есть "чайника", так как самому изобретать велосипеды нет времени. Понимаю, что у линоксоидов так не принято, но это нужно не только мне. Опыта администрирования нет, но настроить по подсказке смогу. Сам дситрибутив есть, установить не проблема, получить доступ по web-интерфейсу тоже, что такое ssh и как через него достучаться до сервера тоже вроде могу. В общем, что называется, с 0 и до победы 8)
Тише едешь - дальше будешь.

Оффлайн speccyfan

  • Завсегдатай
  • *
  • Сообщений: 522
  • CCNA
    • speccyfan (Примеры различных конфигураций сетевых сервисов)
Re: Безопасность из коробки
« Ответ #14 : 24.09.2008 16:59:06 »
2Store, Ваш пост следует видимо вынести в отдельную тему, если это кто-нибудь сделает, то могу выложить свои конфиги. У меня настроена связка squid+sarg, плохие сайты выкашиваются путем прописывания регулярными выражениями в простом текстовом файле.
т.е можно написать слово, которое, если встречается в url, то этот url блокируется. Пользователи добавляются через htpasswd, т.е. аутентификация через ncsa_auth. Так же сделана привязка по IP и MAC где это возможно. Может это не ALT-way, но меня такая схема устраивает. Отчеты регулярно генерируются при момощи SARG, которые можно посмотреть браузером. Так же собирается статистика по интерфейсам при поможи MRTG.
With best regards, Yury Konovalov aka 2:453/53