Linux tietoturvaa parantavana reitittimenä, miten ?
Samalla tuollainen tietoturvareititin voisi toimia haittaohjelmien paljastajana, siis käytettäisiin periaatteessa samaa tai vastaavaa teknologiaa kuin mitä kyberturvallisuuskeskus tekee, mutta käyttäjäystävällisenä versiona.
Eli onko olemassa joko erillistä linuxjakelua, joka on juuri tuohon tarkoitukseen räätälöity, tai jos ei jakelua, niin esim. asennettava .deb -paketti debianiin ja muihin devian -pohjaisiin jakeluihin (kuten Ubuntu, Mint jne.)
Idea siis seuraava:
Linux -kone laitetaan toimimaan tietoturvallisena reitittimenä.
Tuossa Linux -koneessa pitäisi ilmeisesti olla 2 verkkokorttia, eli toisella kone saa yhteyden internetiin (joko modeemin tai toisen reitittimen kautta) ja toisella Linux -kone tarjoaa suodatetun nettiyhteyden lähiverkkokytkimelle, johon voi mallista riippuen kytkeä langallisesti 5 tai 8 konetta (Pro malleissa jopa 24), mutta langattomia yhteyksiä noissa ei yleensä ole, jos sellaista tarvitaan, niin toinen Wi-Fi -reititin perään, tai sitten Linux -koneessa pitäisi olla myös Wi-Fi -kortti, jonka avulla tuo sama kone voisi jakaa yhteyttä myös langattomasti.
Mutta se tietoturvan parannus (ilman sitähän laite olisi vain kallis ja sähköä tuhlaava vaihtoehto kaupasta ostettaville reititinlaitteille):
Idea siis tämä:
Kun liität Windows -koneen tuon linux -koneen tarjoamaan lähiverkkoon, niin JOS siinä Windows -koneessa sattuu olemaan jokin haittaohjelma, niin se Linux -kone tekee 2 asiaa:
1. Estää haittaohjelman mahdollisesti aiheuttaman haittaliikenteen julkiseen internetiin
JA
2. Pitää lokia, ja kun haittaliikennettä lähiverkosta päin havaitaan, kerää talteen:
* Haittaohjelman sisältävän koneen paikallisen IP -osoitteen (jotta tiedetää, että täsmälleen mikä kone mahdollisista monista koneista on se, jossa on haittaohjelma)
* Aikaleima (pävämäärä ja kellonaika)
* Tieto siitä, mihin IP -osoitteeseen ja porttinumeroon haittaliikenne suuntautuu sekä tähän liittyvä domain -nimi, jos sellainen liittyy asiaan. Toki joissain tapauksissa haittaohjelma pyrkii suoraan tiettyyn numeeriseen IP -osoitteeseen, jolloin asiaan ei siinä tapauksessa liity domain -nimeä. Mutta jos kone ensin tekee dns -kyselyn vaikkapa haittapalvelin.fi - ja sitten alkaa pommittaa siihen IP -osoitteeseen, joka vastaa tuota domain -nimeä, niin silloin kirjoitetaan lokitiedostoon sekä domain -nimi että myös numeerinen IP -osoite.
Hienoa olisi , jos Linux -koneesa olisi jopa GUI -ohjelma, joka näyttää reaaliajassa, tuleeko haittaliikennettä, ja jos tulee, niin mitkä lähiverkon IP -osoitteet ovat niitä, joista haittaliikennettä tulee.
Tällaisella ratakisulla saavutetaan kerralla molemmat hyödyt:
1. estetään haittaliikenteen pääsy julkiseen internetiin
ja
2. Saadaan täsmällinen tieto siitä, mistä koneesta haittaliikennettä tulee, jotta haittaohjelman poistotoimenpiteet osataan kohdistaa oikeaan koneeseen.
Kyberturvallisuuskeskuksen touhuista kun puuttuu tuo reaaliaikainen seuranta, eli jos saa raportin, että "25.8.2023 kello 21-23:30 on havaittu haittaliikennettä", niin jos ei muista, mikä kone on ollut tuolloin kotireitittimen kautta nettiin kytketttynä, niin ilmoitus on sikäli hyödytön, ettei silloin tiedetä, mistä koneesta haittaliikenne on peräisin.
Silloin käytännön seuraus on se, että operaattorin työntekijä soittaa asiakkaalle uhkauspuhelun, jossa uhataan nettiyhteyden sulkemisella haittaliikenteen takia, eikä asiakkaalla ole mitään tietoa siitä, mistä koneesta haittaliikennettä tulee, jolloin ei ole edellytyksiä kohdistaa siivoustoimenpiteitä oikeaan tietokoneeseen !
Eikö Suomessa ole digiasiamiestä, johon voisi vedota, ja näin estää nettiliittymän sulkemisen asiattomilla ja puutteellisilla perusteilla ?
Asiakkaalla pitäisi aina olla oikeus saada haltuunsa koko raportti kaikkine yksityiskohtaisine tietoineen näissä tapauksissa!
Nettiyhteyden sulkeminen on järeä toimenpide, eikä sellaista pitäisi tehdä muussa tapauksessa kuin silloin, jos asiakas itse osoittaa täydellistä välinpitämättömyyttä asiassa.
Mutta operaattorit mieluummin pyrkivät myymään F-Securen turvaohjelmia (ja saavat tietty myyntivoittoa jokaisesta myydystä ohjelmakappaleesta).
Noista virustorjuntaohjelmista vielä:
Ne antavat aivan käsittämättömän määrän virheellisiä positiivisia hälytyksiä, eli väittävät haittaohjelmaksi aivan normaalia ohjelmaa, joka ei todellisuudessa ole haittaohjelma.
Tuollaiset torjuntaohjelmat, jotka antavat noita vääriä positiivisia hälytyksiä, eivät ole minkään arvoisia, ja olisi parempi, ettei kukaan maksaisi moisista ohjelmista mitään!
Ei pidä tukea taloudellisesti vääryyteen perustuvia ansaintamalleja!
Koska kyberturvallisuuskeskus ja/tai operaattorit ovat joko osaamattomia toteuttamaan sellaisen reaaliaikaisen seurannan, jossa asiakas saisi reaaliaikaista informaatiota siitä, milloin tulee haittaliikennettä ja milloin ei tule (jolloin voisi jokaisen epäillyn koneen liittää verkkoon/irrottaa verkosta, ja seurata, mikä kone aiheuttaa haittaa).
Linux tietoturvaa parantavana reitittimenä ?
21
274
Vastaukset
- Anonyymi
Vielä...
olisi hienoa, jos olisi vielä sellainen linux -jakelu tai paketti, että keskitetyn pilvipalvelimessa olevan haittaohjelma- ja haittaliikennetietokannan avulla se oppisi koko ajan tunnistamaan uusia haittaohjelmia sitä mukaan, kun uusia haitakkeita ilmaantuu.
Tällainen olisi todella hyödyllinen, eli sen avulla saataisiin oikeasti haittaohjelmat kuriin !- Anonyymi
🍒🍑🍒🍑🍒🍑🍒🍑🍒
🍒 Nymfomaani -> https://l24.im/ecC7ux#kissagirl21
🔞❤️💋❤️💋❤️🔞💋❤️💋❤️💋🔞
- Anonyymi
Voisi pitää mahdottomana havaita haittaohjelma suoraan. Epäsuorasti sen kyllä voi tehdä: Jos konfiguraatiosi ei sisällä esim. lähtevän meilin palvelinta sellainen liikenne on yllättävää ja luultavasti jonkin spämmi-ohjelmiston aikaansaamaa.
Oletuksena kannattaakin pitää käyttämättömät portit kiinni jolloin ohjelmalla/spämmibotilla ei ole mahdollisuutta toimia. Liikenteen tunnistaminen on kuitenkin nykyään melko lailla mahdotonta: Liikenne on lähes aina salattua jolloin pakettien sisällöstä ei pysty sanomaan oikeastaan mitään.
Omalle koneelle voi halutessaan asennella kuitenkin esim. estolistoja, joita netissä on jaossa arveluttavista osoitteista jolloin näihin ei enää saa yhteyttä.
Perus sääntö on edelleenkin sama: Älä asenna mitään ylimääräistä koneellesi! Ja jos saat jonkin houkuttelevan tarjouksen ohjelmasta: Älä klikkaa linkkiä vaan mene omatoimisesti käyttöjärjestelmän ohjelmien asennus-sivustolle etsimään em. ohjelma. Jos sitä ei löydy se on varmastikin haitake! - Anonyymi
Voit konfiguroida NAT:n päälle router-koneelle ja sallia ip-forwardingin. IP-Tables konfigurointi löytyy varmaan kaikista linux-ytimistä - tai nykyään 22.04:ssä taitaa olla nf_tables, jolloin saat esim. yhteyksien muodostamissuunnan rajattua sekä suljettua turhat portit. Tätä varten tarvitset kaksi verkkokorttia eli sisäverkolle ja ulkoverkolle omansa.
https://www.cherryservers.com/blog/how-to-manage-linux-system-routing-rules-with-iptables
Pelkkään routtaukseen tarkoitettujakin jakeluja on ollut, mutta käytännössä ne on karsittuja kerneleitä ja distroja minimi-softamäärällä, jolloin homma on saatu toimimaan vähäisellä muistilla ja melko pienitehoisissa koneissa. Yleensä hankalampia kuin perusjakelut käyttää, koska esim. näytölle ei aina ole ollut tukea vaan laitteeseen kytkeydytään ssh:lla/web selaimella.- Anonyymi
Siis tarkoitus tietenkin olisi tehdä jotain sellaista, jota kaupasta ostettava reititinlaite ei vakiona osaa tehdä !
Toki jokainen kaupasta ostettava reititinlaite osaa toimia reitittimenä.
Mutta: Se kaupasta ostettava reititinlaite EI osaa tarkkailla nettiliikennettä, ja jos omasta lähiverkosta pyrkii nettiin jotain sellaista liikennettä, jota haittaohjelmat tyypillisesti generoivat, niin reitittimen tulisi tehdä 2 asiaa:
1) Estää ko. haittaliikenteen pääsy yleiseen internetiin
JA
2) kirjoittaa yksityiskohdat estetystä liikenteestä lokitiedostoon.
Ja siis olisi hyvä olla GUI -työväline, jolla sitä lokitiedostoa olisi helppoa selailla.
Kyse tässä EI ole siitä, että miten uudessa koneessa estetään haittaohjelman tulo koneelle.
Vaan siitä, että jos YHDESSÄ kotikoneessa (joita siis on useita) on haittaohjelma, mutta ei ole aavistustakaan siitä, MISSÄ koneessa tuo haittaohjelma on, niin tuollainen fiksu reititin voisi paljastaa sen, missä koneessa on haittaohjelma, yksinkertaisesti tunnistamalla haittaohjelman generoima verkkoliikenne, aivan samalla tavalla kuin kyberturvallisuuskeskuskin sen tekee.
Ainoana erona tuon kyberturvallisuuskeskuksen touhuihin on se, että oma systeemi tietenkin kertoo reaaliaikaisesti, milloin jokin kotiverkon kone yrittää lähettää haittaliikennettä ja milloin ei.
Tällöin olisi helppoa tunnistaa, että mistä koneesta se haittaliikenne tulee.
Sitä kun kyberturvallisuuskeskus ei sinulle kerro.
kyberturvallisuuskeskus ainoastaan havaitsee, että haittaliikennettä on havaittu, sillä seurauksella, että operaattori uhkailee nettiyhteyuden sulkemisella kokonaan.
Mutta kyberturvallisuuskeskuksen surkea tietojärjestelmä ei salli sitä, että reaaliaikaisesti voisit itse nähdä, milloin kotiverkostasi tulee haittaliikennettä ja milloin ei.
Tuon kun näkisi, voisi kone kerrallaan kytkeä koneen verkkoon ja irti verkosta, ja kun löytyy se kone, jonka liittäminen verkkoon aloittaa haittaliikenteen ja sen irrottaminen verkosta lopettaa haittaliikenteen, tällöin syyllinen on löydetty, eli jos kyseinen kone on windows -kone, toimitaan näin:
1. Ota talteen Windowsin asennnusavain. Saatat tarvita sitä Windowsin uudelleenasennuksessa.
2. Formatoi C: -asema
3. Uudempien Windowsien osalta edellisen lisäksi: Formatoi nimetön asema, jolla ei ole levyasemakirjaintunnusta. Uudemmat Windowsit asentavat osan Windowsin käynnistämisessä tarvittavista tiedostoista tuolle nimettömälle asemalle, toisin kuin vanhemmat versiot, joissa kaikki Windowsin käynnistämisessä tarvittavat tiedostot ovat C: -asemalla.
Toki, jos haluat korvata Windowsin linuxilla, silloin noita toimenpiteitä ei ole pakko tehdä, mutta kannattaa huomata, että jos ei ota tuota Windowsin asennnusavainta talteen, niin silloin paluu Windowsiin ei välttämättä ole myöhemminkään mahdollista.
- Anonyymi
Ooon katsonut tiedosto kerrallaan ei linuxissa oo mitään "tietoturvaa". Myös eenglanniksi oon ettinny "information security" ja voin Vakuttaa missään linuxsin sisältämissä tiedostoissa ei ole olemassa mitään "tietoturvaa".
Jos puliset vastaan niin kerro se Tiedosto jossa muka on jotain hemmetin "tietoturvaa"?- Anonyymi
Et sinä ymmärrä linuxin tiedostoista mitään, vaan olet pelkkä windowshihu joka jauhaa paskaa linuxista päivästä toiseen.
- Anonyymi
Anonyymi kirjoitti:
Et sinä ymmärrä linuxin tiedostoista mitään, vaan olet pelkkä windowshihu joka jauhaa paskaa linuxista päivästä toiseen.
Älä viihti Mä tiedän. Sano se vitun "tiedosto" jossa muka on "tietoturvaa" Lähre koodihan on meidän kaikkien saatavilla?
- Anonyymi
Anonyymi kirjoitti:
Älä viihti Mä tiedän. Sano se vitun "tiedosto" jossa muka on "tietoturvaa" Lähre koodihan on meidän kaikkien saatavilla?
Iltasin oon lukenut hex editorilla levy kirjanpitookin ei oo tietoturvaa sinnekkään piilotettu. Ei Mihinkään filesysteemiin. Mä tiedän nää asiat.
- Anonyymi
Anonyymi kirjoitti:
Iltasin oon lukenut hex editorilla levy kirjanpitookin ei oo tietoturvaa sinnekkään piilotettu. Ei Mihinkään filesysteemiin. Mä tiedän nää asiat.
Sä et tiedä mistään mitään!
- Anonyymi
Linux-tietoturvaan jos haluaa perehtyä kannattaa tutustua SELinux:iin. Se voi olla jo päällä, koska monet eri distrot sitä tukevat - tarkistaa asian voi komennolla:
# getenforce
Voi tosin olla, että homma on liian hankala - onneksi oletusasetuksillakin pääsee jo jonkin verran parempaan tietoturvaan.- Anonyymi
#ifdef CONFIG_SELINUX
security_context_t sid;
#endif
#ifdef CONFIG_SELINUX
if (is_selinux_enabled()) {
getfilecon(fullname,&sid);
}
#endif
Busyboxissa paljon tuota selinux jutskaa. en mä kyllä tajuu miten se mitään tietoturvaa lisäis. Jossain yritys koneissa tietysti hyvä että käyttäjien toimia voidaan rajoittaa. Kotikoneissa se tavis käyttäjä useimmiten myös ylläpitäjä. - Anonyymi
Vapusen valheita!
- Anonyymi
Eräs tapa toteuttaa estolistoja reitittimelle on reagoida hyökkäyksiin aktiivisesti luomalla ne saman tein:
https://www.cyberciti.biz/faq/linux-detect-port-scan-attacks/
-Opettaa asentamaan psad-ohjelman- Anonyymi
Kyllä se oma kone pitää opettaa hyökkäämään kovemmin. Siinä on hyökkääjällä kusi sukassa kun "uhri" pistää kampoihin.
- Anonyymi
Anonyymi kirjoitti:
Kyllä se oma kone pitää opettaa hyökkäämään kovemmin. Siinä on hyökkääjällä kusi sukassa kun "uhri" pistää kampoihin.
Tässä myös tuo mahdollisuus... Että jos kunnollisia enempi niin ne tarjoaa koneensa laskentatehot hyökkäyksen kohteeksi joutuneelle... Siinä ikäänkuin Yhdessä tapetahan hyökkääjä.
- Anonyymi
Anonyymi kirjoitti:
Tässä myös tuo mahdollisuus... Että jos kunnollisia enempi niin ne tarjoaa koneensa laskentatehot hyökkäyksen kohteeksi joutuneelle... Siinä ikäänkuin Yhdessä tapetahan hyökkääjä.
Milläpä meinasit hyökkääjän selvittää, kun lähettävä IP-osoite on väärennetty? Näin on tyypillisesti hyökkäyksissä ja osoitteena saattaa näkyä jonkin puhelinyhtiön serveri: Jos tätä vastaan hyökkäät menee oma osoitteesi kiinni alta aikayksikön. Ainoa mitä voit tehdä on raportoida operaattorille spämmätyt paketit jolloin tämä voi kehitellä seurantalistoja paketeille - yleensä vaatii usean jopa kymmenen operaattorin yhteistyötä selvittää mistä paketti oikeasti tulee. Mutta jos hyökkäys jatkuu päiviä saattaa se jopa onnistua. AbuseDB:hen voi myöskin hankkia tunnukset jos kiinnostaa ilmoitella väärinkäytöksistä - nykyään se vaan ei taida olla ihan suoraviivaista enää - ainakaan raportointioikeuksien osalta. Yleensä sieltä näkyy kuitenkin kun omalle koneelle kilahtaa ylimääräinen paketti, että homma on jatkunut jo jonkin aikaa.
Eli paras tapa reagoida on estää konetta vastaamasta mitenkään - hyökkääjä ei saa selville onko osoitteessa konetta ensinkään! - Anonyymi
Anonyymi kirjoitti:
Milläpä meinasit hyökkääjän selvittää, kun lähettävä IP-osoite on väärennetty? Näin on tyypillisesti hyökkäyksissä ja osoitteena saattaa näkyä jonkin puhelinyhtiön serveri: Jos tätä vastaan hyökkäät menee oma osoitteesi kiinni alta aikayksikön. Ainoa mitä voit tehdä on raportoida operaattorille spämmätyt paketit jolloin tämä voi kehitellä seurantalistoja paketeille - yleensä vaatii usean jopa kymmenen operaattorin yhteistyötä selvittää mistä paketti oikeasti tulee. Mutta jos hyökkäys jatkuu päiviä saattaa se jopa onnistua. AbuseDB:hen voi myöskin hankkia tunnukset jos kiinnostaa ilmoitella väärinkäytöksistä - nykyään se vaan ei taida olla ihan suoraviivaista enää - ainakaan raportointioikeuksien osalta. Yleensä sieltä näkyy kuitenkin kun omalle koneelle kilahtaa ylimääräinen paketti, että homma on jatkunut jo jonkin aikaa.
Eli paras tapa reagoida on estää konetta vastaamasta mitenkään - hyökkääjä ei saa selville onko osoitteessa konetta ensinkään!Jaa mää oon sellanen "musta aukko" ei noita Mua vastaan auta hyökätä,,,ei oo mitään mitä vastaan hyökätä.
Nykyään voidaan Linuxeissa käyttää ja käytetäänkin virtuaalireitittimiä, jolloin koneeseen voi konfiguroida tarvittavat liikenteenohjaussäännöt sekä liikenteen tarkkailun ja rajoitukset. Kone ei tarvitse kahta verkkokorttia vaan yhdellä laitteella voidaan reitittää vaikka kymmenille koneille tulevaa ja niiltä lähtevää liikennettä. Nämä koneet voivat toki olla joko kokonaan tai osaksi koneen oman käyttöjärjestelmän sisällä pyöriviä virtuaalikoneita omilla, eristetyillä käyttöjärjestelminään.
Laitevalmistajat vihaavat tätä, että osaajat tekevät turvallisia koneita, reitittimiä ja palomuureja tyhjästä, suoraan yhden koneen sisään ohjelmallisesti.- Anonyymi
OPNsense on yksi tällainen jakelu ja eriitäin hyvä!
- Anonyymi
Linuxilla varustettuja reitittimiä on pian joka taloudessa, mutta osataanko niiden turvaominaisuuksia käsitellä on se a ja o.
Ensinnäkin, kuka osaa kirjautua reitittimen asetuksiin ja modifioida ne turvallisemmaksi?
Aika harva? Akat ei ollenkaan ;-)
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Naiset miltä kiihottuminen teissä tuntuu
Kun miehellä tulee seisokki ja ja sellainen kihmelöinti sinne niin mitä naisessa köy? :)1148825- 392633
- 1282371
- 221999
Miksi kohtelit minua kuin tyhmää koiraa?
Rakastin sinua mutta kohtelit huonosti. Tuntuu ala-arvoiselta. Miksi kuvittelin että joku kohtelisi minua reilusti. Hais141746- 111540
Kyllä poisto toimii
Esitin illan suussa kysymyksen, joka koska palstalla riehuvaa häirikköä ja tiedustelin, eikö sitä saa julistettua pannaa151497"Joka miekkaan tarttuu, se siihen hukkuu"..
"Joka miekkaan tarttuu, se siihen hukkuu".. Näin puhui jo aikoinaan Jeesus, kun yksi hänen opetuslapsistaan löi miekalla91427- 141296
Kristityt "pyhät"
Painukaa helvettiin, mä tulen sinne kans. Luetaan sitten raamattua niin Saatanallisesti. Ehkä Piru osaa opetta?!.61219