Síðastliðnir dagar hafa verið windows notendum harðir. Flestir ættu að vita að þar er ég að tala um lovesan vírusinn alræmda.
Sumir vilja kenna Microsoft um þeirra vandræði, sumir vilja kenna höfundi vírussins um, en hið rétta er að þeir sem lentu í vandamálum geta aðeins sakast við sjálfa sig.
Með því að keyra vírusvörn og eldvegg, uppfæra reglulega og passa sig á netinu er hægt að halda tölvunni hreinni en allt sem hreint er.
Verst er að fæstir notendur hafa kunnáttu til þess arna. Því ákvað ég að kynna ykkur fyrir einhverjum tegundum eldveggja og þeirra stillingum.

Það sem flestir spyrja um þegar þeir eru kynntir fyrir eldveggjunum er,


“Hvað gerir eldveggurinn við tölvuna mína?”
Eldveggurinn gerir svosem ekkert svakalega mikið VIÐ tölvuna. Hann keyrir í bakrunni windows, oftast sem service eða daemon af einhverju tagi. Hann fylgist með tengingum á tölvuna í gegnum netkort(in) og þeim gagnapökkum sem á hana koma.

Þegar tölvan fær gagnapakka af netinu, skoðar eldveggurinn hann og ákveður útfrá ákveðnu reglusetti hvað skal gera við hann. Reglusettið er búið til af notendunum sjálfum, allt eftir því sem þeir vilja gera á netinu.
Ef þú vilt geta vafrað/browsað á netinu, býrðu til reglu til að leyfa þeim pökkum sem tengjast browsi að koma inn á tölvuna.
Það sem eldveggir skoða flestir er: Hvaðan kemur pakkinn? Hvert á hann að fara? Hvaða forrit ætlar að taka við honum? Á hvaða porti vill hann koma inn um?


“Port? Hvað er það?”
Núna langar mig að nota skilgreininguna hans JReykdals á þessu fyrirbæri, þar sem hún er einkar vel orðuð.
Við ímyndum tölvuna okkar sem hús. Húsið hefur 65.536 hurðir (ports) og internettengingin er vegur að þessu húsi. Forrit sem keyra á tölvunni okkar “hlusta” eftir gestum á númeramerktum dyrum. Við keyrum til dæmis http þjóna á dyrum númer 80. Þegar svo gestur kemur þangað til að athuga hvort vefþjóninn sé að keyra eitthvað athyglisvert, er honum heilsað af vefþjóninum. Það fer svo eftir stillingum á vefþjóninum sjálfum hvernig það ferli þróast.
Ef enginn er að hlusta á einhverjum dyrum nær það ekkert lengra og gesturinn kemst ekki inn þar sem einhver þarf að hleypa honum inn.
Venjuleg windows tölva keyrir slatta af forritum sem leynast í bakrunninum og hvert forrit hlustar við þeirra dyr.
RPC service (sem reyndist gallað, og vírusinn komst inn í gegnum), hlustar á dyrum númer 135.
Windows shares fer fram á portum 135-137.
Venjuleg tölva hleypir hvaða gestum sem er að sínum dyrum, og fer það allt eftir forritunum sem á henni hlusta, hvort einhverjir komist inn eður ei.

Þetta er það sem við viljum koma í veg fyrir!

Við viljum ekki fá hvaða fólk sem er af netinu til að skoða okkar shares.
Ýmsir leiðindagaurar af netinu eiga það til að nýta sér galla í forritum og þannig láta tölvuna gera eitthvað sem við viljum ekkert með hafa.

Þetta er það sem eldveggurinn mun hjálpa okkur með.
Hann sér um að múra upp í þær dyr sem við viljum loka fyrir, til að koma í veg fyrir að óviðkomandi aðilar séu að skoða þær. Hann athugar hvaða fólk þetta er sem er að skoða okkar dyr, og getur borið það saman við gestalista. Góðir eldveggir athuga líka hvaða forrit það eru sem reyna að tengjast netinu. Þannig getum við náð mun öflugri stjórn á tölvunni og nýtt tenginguna til hins ýtrasta.


“Þarf ég eldvegg?”
Það er allt undir þér komið hvort þú viljir hleypa hverjum sem er á þín forrit sem keyra á tölvunni. Ef þú treystir öllum forritunum til að vera fullkomin, veist hvaða forrit það eru sem eru að keyra í bakrunninum og ert ekki að gera neitt mikilvægt á tölvunni, þá getur þú ákveðið að fá þér ekki eldvegg.
Það er nú bara þannig að þessi bakrunnsforrit bila, eins og lovesan dæmið svo rækilega sannar.



“Er hætta á árás á mig?”
Ef þú aðeins vissir…
Hérna er smá dæmi um vírusaárásir á mig síðustu 5 min.

Aug 14 20:06:43 iplog[514]: TCP: loc-srv connection attempt from 212.29.179.237:1468
Aug 14 20:06:21 iplog[514]: TCP: loc-srv connection attempt from freenet-in4-p7.isholf.is (212.30.221.136):3309
Aug 14 20:03:16 iplog[514]: TCP: loc-srv connection attempt from ls-b-4.skima.is (212.30.207.4):4465
Aug 14 20:03:14 iplog[514]: TCP: loc-srv connection attempt from ls-b-4.skima.is (212.30.207.4):4465
Aug 14 20:03:10 iplog[514]: TCP: loc-srv connection attempt from dhcp-53-111.cable.amis.net (212.18.53.111):2796
Aug 14 20:03:07 iplog[514]: TCP: loc-srv connection attempt from dhcp-53-111.cable.amis.net (212.18.53.111):2796
Aug 14 20:02:47 iplog[514]: TCP: loc-srv connection attempt from in7-p21.du.simnet.is (212.30.196.21):3338
Aug 14 20:02:44 iplog[514]: TCP: loc-srv connection attempt from in7-p21.du.simnet.is (212.30.196.21):3338
Aug 14 20:02:02 iplog[514]: TCP: loc-srv connection attempt from in11-p138.du.simnet.is (212.30.197.138):2579

(loc-srv tengingar eru tengingar á port 135 sem er RPC service)

Myndi telja fólk heppið ef það nær að tengjast netinu með ópatchaða vél án þess að smitast.

Þetta ástand er auðvitað undantekningartilfelli og þetta er ekki nándar svo slæmt á venjulegum degi. En það er nú einusinni þannig að það eru til forrit á tölvum úti í heimi sem leita sjálfvirkt að sérstökum þjónustum sem kunna að leynast á hinum ýmsu tölvum.
Þannig eru sumir sem leita bara að tölvum sem eru með eitthvað forrit keyrandi á porti 21 (sem hýsir vanalega ftp server).
Og auðvitað eru þeir sem leita að opnum portum sem hýsa forrit sem eru gölluð að einhverju leiti. Frábært dæmi um það er þessi texta biti hér að ofan sem sýnir nokkrar vírussmitaðar tölvur leitandi að RPC service.
Þegar tölvur eru svoleiðis að leita að aðgangi er frekar talað um “probes” eða “könnun” í stað “árása”. Probes eru á mjög svo gráu svæði og ætla ég ekki að fara nánar út í það hér.



Við byrjum auðvitað á fyrsta stigi, með þeim eldvegg sem er bestur fyrir byrjendurna.

Sá eldveggur kallast Zone Alarm og fæst frítt frá zonelabs á <a href="http://www.zonelabs.com">http://www.zonelabs.com</a>
Þessi eldveggur er nóg fyrir flesta notendur þar sem lang fæstir verða fyrir einhverjum alvarlegum advanced árásum. Það sem við viljum gera með þessum eldvegg er að loka á windows bakrunnsforritin og stjórna því sem tengist netinu.

Í mínum dæmum nota ég Zone Alarm Basic sem ég fékk á <a href="http://static.hugi.is/essentials/security/firewalls/zaSetup_37_143.exe">http://static.hugi.is/essentials/security/firewalls/zaSetup_37_143.exe</a> .

Þú nærð í þessa skrá, setur þar sem þú vilt og keyrir hana.
Þá poppar upp þetta venjulega install forrit. Þú installar honum þar sem þú vilt og ákveður hvort þú viljir fá einhverja emaila frá zonelabs.

Það fyrsta sem þú gætir rekist á er fyrsti uppsetningar skjárinn.


<IMG SRC="http://revenant.bunker.is/izelord/eld1-1.jpg“>

Hérna viljum við stilla hann þannig að hann láti mig vita ef eitthvað er að gerast sem hann ekki veit hvað skal gera við. Þetta er alltaf best að gera þegar byrjað er með eldvegg, þá getur maður stillt allt þetta mest basic um leið þar sem eldveggurinn er alltaf að spyrja mann. Þá vitum við hvað hann er að loka á, og getum stillt hann eftir því. Seinna þegar við erum orðin sátt við eldvegginn, getum við sett hann á silent til að fá frið og ró.




<IMG SRC=”http://revenant.bunker.is/izelord/eld1-2.jpg“>

Hérna er eldveggurinn að biðja okkur um að velja einn af þremur valkostum.

1. “Yes” , Ef þetta er valið, þá stillir hann sig nokkurnveginn default. Hleypir browser á netið, leyfir email forritum að sækja email og þar eftir götunum. Þetta er best fyrir algera byrjendur.

2. “No”, Þarna lokar eldveggurinn á forritin þín, en kemur með glugga þegar þau reyna að tengjast netinu, og biður þig um velja hvort þau eigi að fá aðgang eður ei. Sá möguleiki sem við veljum, þar sem hann er meira secure en sá fyrsti, en ekki jafn flókinn og sá þriðji.

3. “Advanced”, Þarna færðu svo upp möguleika á að stilla allt eftir þínu höfði. Þú kemst í þessar sömu stillingar með því að velja hina tvo möguleikana hvort eð er.
Þetta er aðeins ef þú villt setja eldvegginn strax upp á custom hátt, án hjálpar eldveggsins.


Næsti gluggi biður þig um að velja hvort þú viljir fá tutorial eður ei. Ég valdi Skip :-)
Kannski þægilegt fyrir suma til að fá yfirlit yfir forritið, og til að vita hvað hvaða takkar gera.



<IMG SRC=”http://revenant.bunker.is/izelord/eld1-3.jpg“>


Þetta er það sem flestir eiga von á að sjá.
Þarna er valmyndin bakvið 2 popupglugga sem þið eigið eftir að sjá nokkrum sinnum meðan þið gangið gegnum stillingarnar.
Þið sjáið að gluggarnir tveir ekki eru eins í útliti, annar er með rauðan topp, meðan hinn er blár.
Þeir gluggar sem eru með bláan topp innihalda upplýsingar um forrit innan tölvunnar þinnar sem reyna að leita á netið.
Þeir gluggar sem eru með rauðan topp innihalda upplýsingar um aðrar tölvur sem reyna að tengjast þinni á einhvern hátt sem og forrit sem leita á netið í fyrsta sinn.

Vanalega eru þessir rauðu mikilvægari.

Það fyrsta sem við þurfum að gera er að skoða þessa glugga og taka ákvörðun varðandi þá.

Við sjáum á rauða glugganum að tölva með ip töluna 192.168.0.2 er að reyna að tengjast minni tölvu. Núna vita kannski flestir að iptölur sem byrja á 192.168. eru vanalega á LANi. Þ.e.a.s. þessi tölva er tengd staðarnetinu.
Við treystum flest staðarnetinu okkar og skeitum því ekki um þessa meldingu.
Við sjáum þá að á glugganum eru litlar örvar eins og á geislaspilurum og þvíumlíkt.
Þetta er til að fletta skilaboðunum.

Þá er það blái glugginn sem sýnir þessa mynd.

<IMG SRC=”http://revenant.bunker.is/izelord/eld1-4.jpg">

Þarna er eitthvað sem kallast services.exe að reyna að tengjast iptölunni 194.105.224.1 :DNS.
Við þurfum engar áhyggjur að hafa af þessu. Þarna er services aðeins að reyna að tengjast DNS þjóni (sem hefur það hlutverk að breyta ip tölum í hostnames, eins og 194.105.226.1 í simnet.is ).
Við ætlum því að leyfa þessa tengingu og hökum um leið við “Remember this answer the next time I use this program”.

Þeir gluggar sem næstir koma upp hjá fólki eru oftast mismunandi og fara eftir því hvaða forrit eru að keyra á tölvunni.
Þau forrit sem komu næst upp hjá mér, hvaða forrit það eru og hvað ég gerði:

msnmsgr.exe – MSN Messenger – yes|remember
WinBar.exe – Statusbar fyrir windows – yes|remember

Núna eru engir gluggar lengur opnir og ég get farið að skoða forritið nánar.

<IMG SRC="http://revenant.bunker.is/izelord/eld1-5.jpg“>

Þetta er aðalglugginn og sjáum við hér ýmsa talnafræði.
Hversu margar tengingar við tölvuna hafa verið varðar.
Hversu margar af þeim skynjar Zone Alarm sem hugsanlega hættulegar.

Hversu mörgum sinnum hefur verið lokað á utanaðkomandi tengingar.
Hversu mörg geta tengst netinu.
Hvort Email protection sé í gangi og hversu mörg viðhengi það hefur í sóttkví.

Þetta er mest allt common sense og auðvelt að skilja.
Ofar á yfirlitssíðunni sjáum við við svo nokkra “tabs” sem hægt er að ýta á til að sjá undirsíður.

Þar getum við svo séð upplýsingar um eldvegginn og allra basic stillingar.
Í stillingunum viljum við auðvitað að ZoneAlarm starti með tölvunni (“Load ZoneAlarm at startup”), og við fullvissum okkur um að þar sé hak í.
Þetta neðsta tengist svo eldveggnum afskaplega lítið, en á aðeins við um tengingar við ZoneLabs (uppfærslur og annað).


Við athugum því næst valmöguleikana lengst vinstra megin í forritinu. Þar gefur að sjá möguleikana ,
Firewall: Hérna stjórnum við aðgangi að tölvunni.
Program control: Hérna stjórnum við aðgangi frá tölvunni.
Alerts and logs: Hér stillum við hvernig ZA á að láta okkur vita ef eitthvað nýtt gerist, og hvort það eigi að setja allt það sem gerist í þar til gerðar textaskrár (gott sem sönnunargagn fyrir árásum).
Email Protection: Email vörn.

Við færum okkur yfir í “firewall”.

Hann lítur svona út:

<IMG SRC=”http://revenant.bunker.is/izelord/eld1-6.jpg">

Internet zone og Trusted zone.
Við getum valið þessi zones í zones tab’num sem er efst hægra megin og sem ég mun fara nánar út í hér á eftir.
Svona getum við haft mismunandi stillingar eftir því hvaða aðilar eru að reyna að tengjast á okkur. Við munum setja internet zone í medium vegna ýmissa ástæðna. Þetta er nóg fyrir flestar tölvur og gerir það að verkum að auðveldara er að eiga við netið.
Ykkur er auðvitað velkomið að setja þessar stillingar í high ef ykkur líður betur við það.
Medium lokar á windows services út á netið sem er akkúrat aðaltilgangurinn með eldveggnum.
Trusted zone inniheldur stillingar fyrir þá aðila sem við setjum í trusted zone. Við munum til dæmis setja staðarnetið í trusted zone til að auðvelda filesharing, net aðgang gegnum gateway og þvíumlíkt.

Þarna er einnig Advanced hnappur sem er útskýrður á þessa vegu:
“Block Trusted Zone Servers”: Kemur í veg fyrir að server forrit geti tengst á Trusted Zone. Þið hakið við þetta eftir því hvað þið skilgreinið sem trusted zone seinna meir.

“Block Internet Zone Servers”: Kemur í veg fyrir að server forrit geti tengst á internet zone. Þessi stilling ætti að henta flestum notendum sem ekki eru að keyra nein forrit sem deila skrám með öðrum aðilum.

“Allow uncommon protocols at high security”: Þessi stilling leyfir protocols öðrum en tcp og udp að keyra á high security, annars fengju þeir aðeins að keyra á medium security. Þetta hökum við ekki í.

“Allow DNS/DHCP in internet zone on High setting”: Þetta hökum við ekki í, við munum í stað þess leyfa services.exe og öðrum forritum að tengjast DNS serverum.

“Allow DNS/DHCP in trusted zone on High setting”: Ef þið eruð að keyra DHCP server á staðarnetinu og eruð með það í trusted zone, þá skuluð þið endilega haka við þetta, því þetta leyfir ykkur að setja trusted zone settings á high án þess að glata tengingu við DHCP serverinn.

“Disable keyboard and Mouse protection”: Hakið við þetta til að losna við einhverja lyklaborðs og músarvörn (sem ég játa að hafa ekki hugmynd um hvað er).



Næst förum við í zones til að stilla þessi svæði.

<IMG SRC="http://revenant.bunker.is/izelord/eld1-7.jpg“>

Þarna byrjaði ég á því að ýta á add hnappinn til að bæta við svæði, og valdi þar næst IP-range og valdi ip range sem nær yfir tölvukerfið. Flestir ættu þarna að setja inn internet gateway tölvuna sína sem trusted zone.
Ágæt ráð eru líka að setja vinsæla leikjaþjóna eins og skjálftaserverana í trusted zones til að auðvelda leikjaspilun.
Þannig er hægt að taka eldveginn af fyrir trusted svæðin á “main” tab’num á firewall valkostinum, en gerið það aðeins ef þið eruð alveg viss um að þið getið treyst þeim aðilum sem merkir eru í trusted zone. Þetta auðveldar ykkur um mikinn ef tölvan ykkar t.d. er að keyra internet gateway.




Þá er það Program Control valkosturinn.

<IMG SRC=”http://revenant.bunker.is/izelord/eld1-8.jpg“>

Þarna getum við svo stillt hvort öll forrit eigi að fá óhindraðan aðgang að netinu eða hvort eldveggurinn eigi að spyrja okkur.
Einnig er hægt þarna að setja automatic internet lock á (við förum nánar út í það seinna).
Þarna sjáum við einnig einn aukatab sem kallast programs þar sem hægt er að stilla hvaða forrit hafa hvaða aðgang.

<IMG SRC=”http://revenant.bunker.is/izelord/eld1-9.jpg">

Þarna er svo hægt að sjá nokkur þau forrit sem við leyfðum aðgang í byrjun uppsetningar.
Þetta ætti allt að vera frekar skiljanlegt.
Þú stillir hér hvað hvert forrit á að geta gert, hvort það eigi að geta tekið við tengingum af netinu eða hvort það geti bara tekið við pökkum af því.
Það er svo mismunandi settings eftir því hvort það er á trusted zone eður ei.

“En hvað er þetta internet lock?”
Þetta internet lock lýsir sér þannig að þú getur læst tölvunni. Þá getur ekkert forrit, sem þú ekki hefur gefið leyfi, tengst netinu. Á myndinni að ofan má sjá að ég hef gefið pcAnywhere leyfi til að tengjast hvenær sem það vill, jafnvel þegar internet lock er í gangi.
Internet stop er svo allt annað, þar sem klippt er á allar tengingar.


Valkosturinn Alert and Logs gefur þér svo möguleikana á að vista logga(textaskrár með upplýsingum um allt það sem eldveggnum finnst athugavert).
Þarna getur þú svo valið silent protection on and off.


Þetta E-mail Protection veit ég svo ekkert um, ætli það athugi ekki bara alltaf attachments sem koma með emailum og athugi hvort þau innihaldi einhvern kóða sem gæti verið hættulegur tölvunni þinni. Ef fólk á eitthvað vit í kollinum þá ætti það að vita það að opna ekki attachments sem það veit ekki hvað gera.

Allar þær stillingar sem fólk velur eru í raun bundnar einstaklingum, ég get þannig ekki sagt ykkur hvernig eldveggurinn ykkar á að vera stilltur, nema ég viti hvaða forrit þið eruð að keyra og þar fram eftir götunum.

Helstu gallar ZoneAlarm eru stillingarnar, þær eru nefnilega engar fyrir þá notendur sem eru lengra komnir og þurfa að geta stillt eldvegginn eitthvað sérstaklega.
Þetta er þó einnig kostur, sem snýr þá einungis að byrjendum sem eru að fikra sig af stað í eldveggjamálum.

Þetta litla tutorial varð einhvernveginn miklu lengra en ég ætlaði mér. Vona ég að fólki finnist auðveldara að byrja eftir að hafa lesið þetta.

Svo, ef áhugi er fyrir hendi, er ég til í að henda upp leiðbeiningum og ábendingum fyrir aðra öflugri eldveggi og fylgiforrit. Endilega að láta ykkar álit í ljós.

Þakkir fær revenant fyrir að hjálpa til með hýsingu myndanna og svo fragman fyrir að gefa mér aðgang að þessum kubb.

izelord.



Uppfærsla 07.09 04:19:
Uppgötvaður hefur verið veikleiki í Zone Alarm.
Hann lýsir sér þannig að hægt er að fá hann til að éta upp örgjörva og minni, auk þess að missa tengingu við netið eftir einhvern tíma.
Þetta með því einu að senda malicious pakka á tölvuna, frá hvaða neti sem er.
Mælt er með því að notendur losi sig við eldvegginn og noti þá einhvern annan á meðan veikleikinn verður lagfærður.
Firewall tutorial fyrir annan eldvegg verður því hafið, kemur út á næstum dögum, stay tuned.
Það besta sem guð hefur skapað er nýr dagur.