justitie wil meekijken c.q. inbreken in pc

[Tom]

tom@tom-KC863AA-B14-a6320-be:~$ sudo lsof -i -n -P
[sudo] password for tom:
COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
dhclient  953   root    6u  IPv4   8313      0t0  UDP *:68
dnsmasq  1331 nobody    4w  IPv4  10368      0t0  UDP 127.0.0.1:53
dnsmasq  1331 nobody    5u  IPv4  10369      0t0  TCP 127.0.0.1:53 (LISTEN)
tom@tom-KC863AA-B14-a6320-be:~$

Dan staat alles dicht
Dnsmasq luistert alleen op lokale poorten en is dus niet bereikbaar vanaf het netwerk.
Dhclient heb je nodig om via DHCP je netwerkinstellingen te regelen.

Geeft een fijn gevoel !.
Bedankt voor het antwoord.

[Tom]

Wat doet UFW als je hem aan zet? Volgens mij niet zo veel totdat je regels er aan toevoegd?

Klopt. Zonder regels doet hij niets.

Situatie 2: hebt u een computer (laptop?), die gebruik maakt van een draadloos netwerk dat tegelijkertijd ook door anderen wordt gebruikt? Dan raad ik u aan om de firewall aan te zetten. Want anders zouden die gelijktijdige medegebruikers via de gedeelde verbinding toch in uw computer kunnen komen.
Aanzetten van de firewall kan via de terminal. U doet dit als volgt:
Klik op het grijze Ubuntulogo (Dash home), bovenin de uitklapbare zijbalk. Gebruik de zoekterm Terminal
Klik op Terminalvenster
tik in (kopieer en plak):
sudo ufw enable
Bovenstaande is het enige wat ik gedaan heb (laptop draadloos)  ...dus onnuttig voor mij ?.

[Bloom]

sudo ufw enable
Bovenstaande is het enige wat ik gedaan heb (laptop draadloos)  ...dus onnuttig voor mij ?.

Ja, want met het aanzetten van de firewall heeft hij dus nog altijd geen regels en laat hij gewoon alles door.
Klik op deze links voor meer uitleg over ufw en een ufw-tutorial.
In de situatie die je beschrijft (met anderen gedeeld draadloos netwerk) kan een firewall nuttig zijn om je af te schermen van nieuwsgierige oogjes, maar ook hier scoort Linux zelf al goed vermits er standaard geen exploiteerbare netwerkdiensten worden geïnstalleerd.

(edit: tikfout hersteld)

[Tom]

@Bloom, bedankt zal die links eens grondig door kauwen.

[testcees]

@Bloom, bedankt zal die links eens grondig door kauwen.

kan je dan helpen een Nederlandse vertaling te verbeteren en/of aan te vullen op http://wiki.ubuntu-nl.org/community/UbuntuFirewall

[Tom]

@testcees zal mijn best doen !.

[Gandyman]

@Wanda
SeySayux heeft in een postje gezegt hoe je in 1 klap de firewall opzet en dichtgooit.
Misschien handiger mocht je geen zin hebben om al die tekst door te spitten...

[Soul-Sing]

@vistaus
lokaal staan er een paar open, localhostdingen. Das lokaal verkeer. geen punt.
maar er zijn inderdaad ook listening services naar buiten. je weet ook dat het CLOSE_WAIT stempel prima is in de output.
ESTABLISHED is dus een verbinding naar buiten. is dat erg, nee? is het mogelijk dat een exploit hier wat mee kan. ja.

[Soul-Sing]

gebruik gewoon ufw voor het dichttimmeren van je compu:

Code: [Selecteer]

sudo ufw enable

Code: [Selecteer]

sudo ufw default deny incoming && sudo ufw default deny outgoing
Nu is “internetten” onmogelijk. Dat komt enkel doordat alle uitgaand verkeer is geblokkeerd.
Outgoing verkeer beperken kan nuttig zijn. Het is mogelijk met ufw en makkelijk.


Welke (uitgaande) poorten heb je dan nodig om redelijk te kunnen “internetten” binnen een desktop sistuatie?
Daar begint het puzzelen:

Code: [Selecteer]

sudo ufw allow out 53,123,137,138/udp

Code: [Selecteer]

sudo ufw allow out 25,43,53,80,110,139,143,443,465,843,993,995,1863,5222,7000,7070/tcp

Code: [Selecteer]

sudo ufw disable && sudo ufw enable
Voor dynamische ip's: 67,68/udp toevoegen aan udp lijst!

    53->DNS toegang
    67,68->DHCP
    80,443->Toegang tot het internet, gewoon en https
    443 -> MSN (ssl)

    1023-> Skype
    1863 -> MSN messenger) Pidgin
    5050 -> Yahoo

    5190 -> AIM/ICQ

    5222 -> XMPP (including Google Talk), jabber
    6667 -> IRC (Freenode)
    7000 en 7070 IRC via SSL( Freenode)
    8001 IRC via Ubuntu

Optioneel poort 43 voor de whois server, Poort 11371 (tcp/udp) voor de keyserver van Ubuntu.
Succes met ufw, en misschien met het toevoegen van een extra beveiligingslaag aan je desktop.

[markba]

Wat doet UFW als je hem aan zet? Volgens mij niet zo veel totdat je regels er aan toevoegd?

Klopt. Zonder regels doet hij niets.

Situatie 2: hebt u een computer (laptop?), die gebruik maakt van een draadloos netwerk dat tegelijkertijd ook door anderen wordt gebruikt? Dan raad ik u aan om de firewall aan te zetten. Want anders zouden die gelijktijdige medegebruikers via de gedeelde verbinding toch in uw computer kunnen komen.
Aanzetten van de firewall kan via de terminal. U doet dit als volgt:
Klik op het grijze Ubuntulogo (Dash home), bovenin de uitklapbare zijbalk. Gebruik de zoekterm Terminal
Klik op Terminalvenster
tik in (kopieer en plak):
sudo ufw enable
Bovenstaande is het enige wat ik gedaan heb (laptop draadloos)  ...dus onnuttig voor mij ?.

Ja, niet nuttig idd. Het heeft me altijd al verbaasd dat het er stond, maar nooit aandacht aan geschonken: https://sites.google.com/site/computertip/veiligheid#TOC-Beveilig-uw-draadloze-netwerk. Misschien wel handig als dat naar aanleiding van deze draad herzien wordt, leoqaunt geeft een goede samenvatting. Nogal technisch, maar simpel is het gewoon niet.

Een alternatief is Gufw: https://help.ubuntu.com/community/Gufw, een schil rond ufw waarmee je relatief makkelijk de ufw-regels kunt aanmaken.

[Progger]

Dit commando geeft op mijn 10.04.1 het volgende:

Code: [Selecteer]

djf@djf-laptop:~$ sudo lsof -i -n -P
[sudo] password for djf:
COMMAND    PID  USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
avahi-dae  780 avahi   13u  IPv4   4133      0t0  UDP *:5353
avahi-dae  780 avahi   14u  IPv4   4134      0t0  UDP *:56784
master    1036  root   12u  IPv4   4735      0t0  TCP *:25 (LISTEN)
cupsd     1066  root    5u  IPv6  13448      0t0  TCP [::1]:631 (LISTEN)
cupsd     1066  root    6u  IPv4  13449      0t0  TCP 127.0.0.1:631 (LISTEN)
dhclient  1289  root    5u  IPv4   6838      0t0  UDP *:68
gvfsd-htt 1672   djf   13u  IPv4  17990      0t0  TCP 192.168.0.240:52838->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-htt 1672   djf   16u  IPv4  18165      0t0  TCP 192.168.0.240:52841->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-htt 1672   djf   17u  IPv4  18286      0t0  TCP 192.168.0.240:52844->91.189.89.31:80 (CLOSE_WAIT)
gvfsd-htt 1672   djf   18u  IPv4  18384      0t0  TCP 192.168.0.240:52846->91.189.89.31:80 (CLOSE_WAIT)
djf@djf-laptop:~$
Ik heb sinds enige tijd een nieuwe modem/rooter van Telenet, wat betekend dit voor mij betreffende bereikbaarheid via het net? 

Eeen scan via de link: https://www.grc.com/x/ne.dll?bh0bkyd2 geeft als rapport het volgende:

GRC Port Authority Report created on UTC: 2012-10-21 at 12:08:26

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
                            119, 135, 139, 143, 389, 443, 445,
                            1002, 1024-1030, 1720, 5000

    0 Ports Open
    0 Ports Closed
   26 Ports Stealth
---------------------
   26 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.
Dus ga ik ervan uit dat mijn os ook potdicht zit.

[Vistaus]

@vistaus
lokaal staan er een paar open, localhostdingen. Das lokaal verkeer. geen punt.
maar er zijn inderdaad ook listening services naar buiten. je weet ook dat het CLOSE_WAIT stempel prima is in de output.
ESTABLISHED is dus een verbinding naar buiten. is dat erg, nee? is het mogelijk dat een exploit hier wat mee kan. ja.

Daar kan een exploit helemaal niks mee want de eerste ESTABLISHED is van Ubuntu One en dat gaat allemaal over een beveligde verbinding. De andere ESTABLISHED waren van tabbladen in Opera dus dat lijkt me normaal of zie ik dat verkeerd?

[asphyxia]

Voor de volledigheid (of juist toenemende verwarring  ) drie manieren van ubuntuforums (gufw, ufw en iptables scriptje): http://ubuntuforums.org/showthread.php?t=1876124.
Ik kan niet zo 1-2-3 beoordelen of dit beter, overzichtelijker of handiger (of juist niet) is dan de voorbeelden van leoquant of SeySayux. Dat vereist wat induiken in de materie, lijkt me zo.

[Joris Donders]

Voor de volledigheid (of juist toenemende verwarring  ) drie manieren van ubuntuforums (gufw, ufw en iptables scriptje): http://ubuntuforums.org/showthread.php?t=1876124.
Ik kan niet zo 1-2-3 beoordelen of dit beter, overzichtelijker of handiger (of juist niet) is dan de voorbeelden van leoquant of SeySayux. Dat vereist wat induiken in de materie, lijkt me zo.

Heb die regels toegepast voor ufw, met als gevolg dat Ktorrent totaal niet meer werkt  dus niet zomaar toepassen die toestanden !
Ga even puzzelen voor een oplossing. (Heb alleen ufw regels toegepast volgens die opgegeven methode)

Edit: via het pakket Gufw kan je al die gemaakte regels eenvoudig (gelukkig) verwijderen, dus de 'schade' is redelijk beperkt.
Evenwel ga ik toch zoeken naar de juiste regels voor Ktorrent (en ik denk ook Transmission daar een probleem van zal ondervinden) . Stay tuned.

[Soul-Sing]

torrent rules moeten worden toegevoegd, en zijn per torrent op te zoeken of via gufw makkelijk toe te voegen, want gufw neemt de regels van ufw over. gufw heeft meerdere applicaties, ook torrent progs, die je een port range kan geven. So whats the deal?
kijken naar je je ufw regels?:

Code: [Selecteer]

sudo ufw status numberedtoevoegen van meerdere pooorten:

Code: [Selecteer]

sudo insert <regelnumbered> allow out <poortnr.>het is belangrijk de regelopbouw van ufw te handhaven.

[asphyxia]

Regels voor KTorrent vindt je hier: http://www.mepis.org/docs/en/index.php?title=KTorrent (bij Settings).

[SeySayux]

Het is niet zo dat Linux onmogelijk te hacken is. Alles wat je nodig hebt is een programma met een exploit er in, en je bent binnen.

Natuurlijk is het in de praktijk anders: als iemand "gehackt" wordt is dat meestal a) een trojan b) een slecht/geen wachtwoord c) vergeten deling uit te zetten op Windows. Een website "hacken" is bijna altijd door SQL injectie. Echte exploits worden niet vaak gebruikt: als je je systeem up-to-date houdt is daar immers geen kans voor.

Uitgaand verkeer zou ik persoonlijk niet afsluiten: dat is verkeer dat van jouw computer vertrekt, dus heb je daar toch al meer controle over. Je moet al een trojan hebben voordat je je druk moet maken over uitgaand verkeer.

Als je een NAT router hebt, stopt die meestal alle poorten dicht tenzij je port forwarding gebruikt, dat is dus een extra laag aan beveiliging.

Die 'modems' die je ISP levert zijn een combinatie van router en modem. Je kan echten het router-gedeelte ervan uit zetten (bridge mode) en je eigen router er achter zetten voor extra beveiliging (en om je ISP uit je instellingen te houden).

ShieldsUp is inderdaad een goede website om je beveiliging te testen, ik gebruik het om te zien of mijn port forwards kloppen... Blijkbaar staan poorten 22, 80, 443, 6667 hier wagenwijd open...

- SeySayux

[Vistaus]

"Het is niet zo dat Linux onmogelijk te hacken is."

Bespaar je de moeite, sommigen hier willen dat gewoon niet geloven ondanks uitleg van jou, mij en een paar anderen...

[Soul-Sing]

Wat het belangrijkste is dat je weet hoe je beveiliging is opgezet, wat je precies doet en waarom. Security is een systeem. maak een log van je acties. Wanneer je dat doet blijf je "in controll".
op een unix en linux systeem, blijft de firewall imho het allerbelangrijkste aandachtspunt. Weet dat GRC enkel je hardwarematige firewall stresst, zet die eens uit, en doe dat een Shields-up stress.
Je computer "gedrag" ,listening" services (waarvan sommige inderdaad lokaal), kun je (nogmaals) analyseren via:

Code: [Selecteer]

sudo lsof -i -n -P

[SeySayux]

Lokaal listening services hebben draaien is niet zo'n groot probleem. Je moet gewoon zien dat deze niet van buitenaf te bereiken zijn. Hier is inderdaad een goed idee om zowel lokaal een firewall te hebben draaien (iptables, of ufw, wat een frontend is voor iptables) als een NAT router die ook een barièrre vormt (technisch gezien is een NAT router geen firewall, maar het houdt ook de inkomende pakketten standaard tegen).

Wat je ook doet, ga niet zomaar lokale services uitzetten of inkomende en uitgaande toegang voor iedereen en alles blokkeren. Dan kan je namelijk wel eens je systeem om zeep helpen. Bepaalde vormen van inter-procescommunicatie (IPC) maken gebruik van TCP/IP sockets over de loopback interface. Hier denk ik aan dingen zoals X11, DBus, CUPS, SMTP, LDAP, ... Enfin, vrij belangrijke dingen dus. Laat dus zeker alle inkomende en uitgaande verkeer over loopback aan staan.

Mijn firewallregels zijn zo ongeveer het minimum aan wat je moet doen om je systeem dicht te timmeren, maar niet alles te verknoeien. Alles wordt geblokkeerd, behalve ICMP-requests/replies (die worden gebruikt om foutboodschappen zoals "kon niet verbinden met host" door te sturen en om te pingen), tweerichtingscommunicatie voor clientprogramma's (inkomend verkeer voor clients blokkeren is niet echt een goed idee, als je nog op internet wilt), antwoorden op DNS queries (als je nog domeinnamen wilt gebruiken -- http://173.194.41.67 iemand?) en alle verkeer op de loopback interface (om je systeem niet te bricken zoals hierboven beschreven staat).

Ik heb hier in dit topic ook ergens een ufw-regel gelezen, ik denk dat deze hetzelfde doet als wat ik zeg, maar let zeker op als je gewoon alles gaat dichtgooien.

[Joris Donders]

Heeft iemand een ervaring met Firestarter ? Er wordt dat aanbevolen (simpel, logisch, etc) maar het vereist de verwijdering van ufw en eventueel Gufw; of is dat progje alleen maar de zaak nog complexer maken.

Persoonlijk heb ik echt geen kaas gegeten van het configureren van ufw  ik begrijp die logica helemaal niet (lees: geen kennis van die dingen ) .

Dus eigenlijk je firewall aanzetten zonder specifieke regels is dus evengoed als hem niet aanzetten ? Ik hoop dat ik het juist begrepen heb

[Vistaus]

Wat het belangrijkste is dat je weet hoe je beveiliging is opgezet, wat je precies doet en waarom. Security is een systeem. maak een log van je acties. Wanneer je dat doet blijf je "in controll".
op een unix en linux systeem, blijft de firewall imho het allerbelangrijkste aandachtspunt. Weet dat GRC enkel je hardwarematige firewall stresst, zet die eens uit, en doe dat een Shields-up stress.
Je computer "gedrag" ,listening" services (waarvan sommige inderdaad lokaal), kun je (nogmaals) analyseren via:

Code: [Selecteer]

sudo lsof -i -n -P

En nogmaals: dat is een leuke uitleg maar we praten hier over een *gewoon* Linux-systeem. Of denk je nu echt dat een beginner met Linux meteen zo'n enorme beveiliging gaat opzetten?

[Gandyman]

En nogmaals: dat is een leuke uitleg maar we praten hier over een *gewoon* Linux-systeem. Of denk je nu echt dat een beginner met Linux meteen zo'n enorme beveiliging gaat opzetten?

De gemiddelde gebruiker is anders met windows niet anders gewend dan op zijn minst een paar AV proggies, dagelijks een malware proggie draaien, een anti worm proggie....

Pfff doet me denken aan die goede ouwe tijd dat ik uren druk was on dat windows aan de gang te houden....

Gelukkig is dat verleden tijd 

[Pjotr]

Dus eigenlijk je firewall aanzetten zonder specifieke regels is dus evengoed als hem niet aanzetten ? Ik hoop dat ik het juist begrepen heb

Neen. "sudo ufw enable" gooit de boel potdicht en op stealth. Kun je proefondervindelijk vaststellen op Shields Up: https://www.grc.com/x/ne.dll?bh0bkyd2

[Soul-Sing]

Neen. "sudo ufw enable" gooit de boel  potdicht en op stealth. Kun je proefondervindelijk vaststellen op Shields Up: https://www.grc.com/x/ne.dll?bh0bkyd2

nee, dat ufw enable zet niks op stealth. grc stresst nogmaals je modem/router. [knip]