Firestarter begrijpen

[Basic]

Hoi forumvrienden,

Ik heb net Firestarter geïnstalleerd, en wil dit prog beter begrijpen, heb nog een aantal vragen:

1. Op tabblad Status worden bij Gebeurenissen bij mij alleen in de kolom Serieus een melding gedaan. De rest wordt niet vermeld hoewel ik op tabblad Gebeurtenissen kan zien dat er toch meer zijn. Moet ik nog iets instellen, of heeft dit te maken met de aard van de Gebeurtenissen of is dit een bug?

2. In het tabblad Gebeurtenissen kun je Lijst opslaan kiezen. Het prog maakt een .txt bestandje aan. Bij mij staat de view zo, dat ik alles op volgorde van tijd zie. De opgeslagen lijst toont ze in een andere volgorde. Heeft dit een reden? Zo nee, kan ik het wijzigen zodat standaard bij Lijst opslaan mijn voorkeur view wordt opgeslagen?

3. In het tabblad Gebeurtenissen staat bij Direction: onbekend. Dit geldt veelal ook voor de kolom: Service. Beetje vaag. Waarom is dat? Is hier iets aan te doen?

4. Wat zijn de diensten VNC en SSH? Wat doen ze?

5. Als je in tabblad Gebeurtenissen met rechtermuisknop klikt op een ip adres kun je de domeinnaam opvragen. Bij heel veel adressen lukt dit niet. Waarom? Ook: krijgt degene van wie het domein is, een melding als je dit doet of is dit compleet safe?

6. In de 2 uur dat ik de Gebeurtenissen heb gevolgd heb ik ± 60/70 voorbij zien komen. Ik neem aan dat dit ook gewoon internetverkeer is? Ik heb in de tussentijd de helpsite van Firestarten bezocht.

7. Hoe bepaal je wat een aanval is, en kan je vervolgens met die info nog iets doen?

De volgende geblokkeerde verbinding werd als Serieus (rood) bestempeld door Firestarter:

Time:Mar 25 21:49:42 Direction: Onbekend In:eth0 Out: Port:22 Source:158.144.42.144 Destination:[mijn ip adres] Length:60 TOS:0x00 Protocol:TCP Service:SSH

[EDIT]
Net nog eentje:
Time:Mar 25 23:12:17 Direction: Onbekend In:eth0 Out: Port:21 Source:205.129.191.11 Destination:[mijn ip adres] Length:60 TOS:0x00 Protocol:TCP Service:FTP
[/EDIT]

Daarnaast waren verbindingen op 'afwijkende' poorten:

Time:Mar 25 20:48:42 Direction: Onbekend In:eth0 Out: Port:5900 Source:dvw104.neoplus.adsl.tpnet.pl Destination:[mijn ip adres] Length:48 TOS:0x00 Protocol:TCP Service:VNC

Time:Mar 25 21:36:47 Direction: Onbekend In:eth0 Out: Port:5901 Source:233.4.broadband6.iol.cz Destination:[mijn ip adres] Length:64 TOS:0x00 Protocol:TCP Service:Onbekend

Verder vond ik de volgende vreemd gezien het internet adres (.br is toch Brazilië?):

Time:Mar 25 21:25:01 Direction: Onbekend In:eth0 Out: Port:1026 Source:201008028180.user.veloxzone.com.br Destination:[mijn ip adres] Length:512 TOS:0x00 Protocol:UDP Service:Onbekend

Maar heel veel domeinen geven geen naam prijs, en zeggen mij dus verder niks...

8. Het Firestarter icoontje in de Paneel balk zegt "hit from [vreemd ip adres] detected". Wat wil dit precies zeggen?

Alvast bedankt voor de hulp!
Groeten, Basic

[Pjotr]

Gewoon Firestarter op stealth zetten (alles dichtpleuren), en daarna vergeten. Het ding doet automatisch z'n werk en houdt alles tegen. Ideaal!

[Basic]

Hoi Pjotr,

Ik neem aan dat je met 'op stealth zetten (alles dichtpleuren)'  bedoelt de veiligste instellingen kiezen?

Toch zou ik graag Firestarter een beetje beter leren kennen.

[Pjotr]

Hoi Pjotr,

Ik neem aan dat je met 'op stealth zetten (alles dichtpleuren)'  bedoelt de veiligste instellingen kiezen?

Juist. Dus standaardinstelling plus ICMP filtering zonder uitzonderingen.

Neem hier de proef op de som, bij Shields Up:
https://www.grc.com/x/ne.dll?bh0bkyd2

Doe daar alle proeven en als je slaagt (alles op stealth), dan is het goed.
En voor de rest is mijn motto: goed = goed!   :-)

Groet, Pjotr.

[Basic]

Oke, ik heb
Firestarter standaard ingesteld (ADSL)
firewall opstarten: alle drie staan aangevinkt (was dit al zo?)
extra aangevinkt ICMP-filtering activeren (geen uitzonderingen aangevinkt)

Volgens grc heb ik bij de volgende proeven full stealth mode:
File sharing
Common ports
All service ports

Ik neem aan dat dat voldoende is?

(Messenger spam gaf niks, Browser headers gaven niet veel info, User specified en Lookup specific port information heb ik niet gedaan)

[Pjotr]

Prima!

Verder hoef je aan veiligheid geen enkele aandacht meer te besteden, mits je je houdt aan de volgende regels:
- installeer alleen vanuit vertrouwde pakketbronnen
- gebruik geen duistere scripts (zoals Automatix en zo)
- wees voorzichtig met het installeren van .deb bestanden (de ubuntuvariant van .exe installeerders)
- installeer door Ubuntu voorgestelde updates direct.

Genoeg over veiligheid; tijd voor lekker computeren!

[Basic]

Okee, blij dat iig alles in orde is, en ik 'veilig' internet.

Maarre, ben toch wel benieuwd naar de antwoorden op mijn eerste vragen...
Sorry, maar wil er toch wel graag iets meer van weten...

[Soul-Sing]

@basic installeer "tcpdump" :

apt-get install tcpdump

run tcpdump als root en je zult al het verkeer voorbij zien zoeven...

tcpdump -n -i eth0 > tcpdump.txt
gzip tcpdump.txt

Internet activiteit is er vaak, denk bijvoorbeeld aan :

- software updates
- NTP, Network Time Protocol ( als je dat aan hebt staan, altijd handig btw om je klok op de seconde nauwkeurig te laten lopen met een atoom of GPS klok op het Internet )
- als je je machine rechtstreeks op aan het Internet hebt hangen, zul je flink wat verkeer langs zien komen

verder kun je wireshark inschakelen om "verkeer" te analyseren.

bron: the animal

[Azalin]

En als je nog steeds wat meer over Firestarter wil weten:
http://www.fs-security.com/
http://www.fs-security.com/docs/
of open een terminal en type in: man firestarter

dat laatste levert bar weinig op maargoed, het kan maar gezegd zijn. Met "man" kun je overigens wat meer te weten komen over een commando of programma, mits het dus een MANual heeft dat geregistreerd is aan het systeem (in de juiste map staat dus tis geen Windows )

[Dave]

van shields up:

Attempting connection to your computer. . .
Shields UP! is now attempting to contact the Hidden Internet Server within your PC. It is likely that no one has told you that your own personal computer may now be functioning as an Internet Server with neither your knowledge nor your permission. And that it may be serving up all or many of your personal files for reading, writing, modification and even deletion by anyone, anywhere, on the Internet!

standaard staat niet alles dicht blijkbaar.

[Basic]

Allemaal bedankt voor jullie antwoorden!

[Basic]

@Dave:
Bij Filesharing proef:

het gaat om wat er bij punt 2 en 3 staat. Bij punt 1 zegt ie alleen dat ie verbinding maakt, en wat de risico's zijn mocht je computer onvoldoende beschermd zijn. Punt 2 en 3 geven aan hoe het werkelijk met de veiligheid gesteld is.

Als het goed is zegt dat zoiets als dit:

Your Internet port 139 does not appear to exist!

Unable to connect with NetBIOS to your computer.

[Pjotr]

van shields up:

Attempting connection to your computer. . .
Shields UP! is now attempting to contact the Hidden Internet Server within your PC. It is likely that no one has told you that your own personal computer may now be functioning as an Internet Server with neither your knowledge nor your permission. And that it may be serving up all or many of your personal files for reading, writing, modification and even deletion by anyone, anywhere, on the Internet!

standaard staat niet alles dicht blijkbaar.

Wel dicht. Attempting to contact, zijn de sleutelwoorden! Lukt Shields Up namelijk alleen bij Windows.

Ik gebruik Shields Up al vele jaren bij het beveiligen van PC's, aanvankelijk uitsluitend bij Windows.

[Dave]

2 en 3 staan stealth inderdaad.

valt alweer mee dan.