Freesco, NND, CDN, EOS

Testowalem swoj serwer przez strone http://www.pcflank.com/
Wyniki:


Drugi test wykazał, ze:

I zalecaja ukryc wszystkie porty. - A tu w niektorych postach czytalem, ze nie warto zamykac wszystkich portow. Dlaczego? Dlaczego jedni zalecaja, a drudzy nie?

Trzeci test wykazal:


Chciałbym usłyszeć wywazona opinie uzytkownikow fresco.

O Polpirynie pisano w PCWK:

[Jednak:]

Dlaczego Polopiryna moze pozwolic sobie na zamkniecie wszystkich portow, a Fresco nie?
Krzysztof

_________________
Krzysztof P.

Jest firewall dla paranoikow.

Czy mozesz rzeczowo uzasadnic? Dla ludzi, ktorzy znaja sie dobrze na fresco moze to jest argument. Oni zreszta nie potrzebuja argumentow. Argumentow potrzebuja ci, ktorzy szukaja odpowiedzi.

_________________
Krzysztof P.

Jest Firewall for paranoid people, można go znaleźć na stronach freescosoftu. Zamyka on zdaje się praktycznie wszystko, co można zamknąć. Jednak wg mnie nie jest to potrzebne. Standardowy firewall Freesco, maskarada, wyłączony telnet, ssh, + zabezpieczenia standardowe pakietów (np. exim wymaga autoryzacji, używa ssl w połączeniu z innymi serwerami; apache - ważniejsze katalogi zabezpieczone hasłem; proftpd - użytkownik ma dostęp tylko do swojego katalogu) + instalacja portsentry wraz z logcheckiem. To są zabezpieczenia, które zwykle są wystarczjące. Alarmy różnych witryn przeznaczone są głównie dla komputerów z Windowsem. Najlepszym przykładem są tu próby niektórych skanerów i wirusów wejścia przez port www - jedynym efektem jest error_log z wpisami, bo to nie windoza, tylko Linux.

Jeżeli chodzi o antywirusa to jest dla freesco. Ale chroni tylko przed wirusami napisanymi dla linuxa co jest oczywistą sprawą. Paczka nazywa się antivir i trzeba poprosić twórce paczki o klucz, wszystko jest na stronie freescosoftu, a klucz przysyłany jest w załączniku @. Aktualizuje się codziennie więc nie ma obaw że się "zestarzeje".

_________________
Pozdrowienia
Bolo

Sprostowanie:
Antivir by H+BEDV chroni przed wszystkimi wirusami, w połączeniu z avmailgate chroni także pocztę użytkowników. Paczka dla Freesco umożliwia używanie tych funkcji pod warunkiem zarejestrowania się na stronie producenta (do prywatnych zastosowań bezpłatne) - program staje się aktywny po otrzymaniu mailem klucza i skopiowaniu go do katalogu z aplikacją. Sam antywirus jest "command line" i umożliwia skanowanie np. katalogów domowych ręcznie lub za pomocą crona.
Z praktyki zauważyłem, że raczej nie naprawia zainfekowanych plików, zatem warto uruchamiać go z opcją -del.

Kiedyś wrzuciłem trojany dla windowsa na freesco i nic nie wykrył. A to były jakieś stare dawno rozpoznawane przez każdy antywirus.

_________________
Pozdrowienia
Bolo

Podejrzewam, ze aby zainstalowac tego antywirusa to nie wystarczy fresco na dyskietce, tylko trzeba miec dysk twardy.
Czy gdzieś jest jakis opis instalacji (link)? (Na stronach freescosoftu nie znalazlem.

_________________
Krzysztof P.

Szczegóły w postach na http://forums.freesco.org a po polsku jedynie moje opisy na http:/miniwebportal.and.pl.
Freesco oczywiście musi być na hdd, tak jak w większości pakietów...

U mnie portsentry zabanował ten PCFlank zaraz po rozpoczęciu testu więc wyników nie miałem okazji obejrzeć

pozdro
rr

_________________
RaaDaaR
http://www.freesco.internetdsl.pl

A tak BTW to warto przeczytać sobie linuxadm w pedeefie, jest na arx http://www.freesco.arx.pl/strona/downlo ... nuxadm.pdf
.Opisane jest tam ipfwadm i cała "filozofia" ogniomurkowa. Wiadomo że nie ma komputerów nie do złamania/włamania ale parają się tym fachowcy których średnio interesują zasoby prywatnych sieci lokalnych na SDI. Co najwyżej jakiś półgłówek będzie próbował jakiś exploitów które i tak nie zadziałają. BTWcwai Mam drukowalną wersję linuxadm.pdf jak ktoś chce.

pozdro zaś

_________________
RaaDaaR
http://www.freesco.internetdsl.pl

>O Polpirynie pisano w PCWK:
>Cytat:
>Brak jakichkolwiek otwartych portów i usług, nawet >filtrowanych przez ipchains, a do jądra zaaplikowano łatkę >silenzio. Nasz adres nie odpowiada na pingi, skanowania >nmap-em i inne działania, sprawiając wrażenie >niedziałającego systemu "host is down". Chroni to naszą >prywatność - nikt nie jest w stanie stwierdzić, czy jesteśmy >"online" i w jakim systemie pracujemy.

Mogl bys powiedziec jak sie ochronic przed pingowaniem oraz rozpoznawaniem jaki jest os ?
moze jakis link - co kolwiek

Na ile rozumiem, aby byc niedostepnym na pingi trzeba pozamykac porty. Ale nie wiem, czy wszystkie, czy wystarczy tylko niektore. Niech sie wypowiedza znawcy.

_________________
Krzysztof P.

Obawiam się, że zamykanie portów nie wiele tu pomoże. Za pingi odpowiadaja komunikaty ICMP.
Ja mam tak:

Komunikaty 0,3,4,11,12 są cacy reszta be i tych nie wpuszczamy

Są goście którzy radzą też:

ipfwadm -I -i deny -P icmp -W (tu interfejs inetowy) -D (tu adres rozgłoszenowy naszej sieci)

Podobno to się nazywa "Smurf", ale czy przy NAT to ma sens ?
Prędzej przy DSL (od tepsy)

Można też zamknąć całe TPC i UDP na pakiety z ustawionym bitem SYN i wyzerowanym ACK, czyli próby ustanowienia połączenia ze strony INET'u.

Ale hmm...
pozdro
rr

_________________
RaaDaaR
http://www.freesco.internetdsl.pl

Ale to wycina cały protokół icmp a nie wszystko należy blokować

_________________
Pozdrowienia
Bolo

W moim przykładzie chodziło o adres rozgłoszeniowy sieci, a nie o adresy poszczególnych hostów.

pozdr.

rr

_________________
RaaDaaR
http://www.freesco.internetdsl.pl