Brandväggslogg-fråga

[Don Tomas]

H.

Håller på att mixtra med min nya brandvägg Kerio Personal Firewall (utan att ha läst manualen).

Jag får sån't här i loggen

1,[12/Mar/2003 18:18:19] Rule 'TCP ack packet attack': Blocked: In TCP, idg.se [212.105.123.119:80]->localhost:2028, Owner: no owner
1,[12/Mar/2003 18:18:22] Rule 'TCP ack packet attack': Blocked: In TCP, idg.se [212.105.123.119:80]->localhost:2028, Owner: no owner

Vad betyder det ?

 

/TN

- http://www.rfc-editor.org/rfc/rfc1149.txt

 

[Quicksilver]

Jag får massvis av såna från mina mailservrar, tror det beror på att man har "log suspicious packets" ikryssat i inställningarna.

Jag försökte skapa en regel som skulle låta bli att logga "attacker" från mailservrarna, men utan att lyckas...

Inte kul med loggar som består av 99% ointressant information :/

 

-=Quicksilver=-

 

[ZanY]

För att svara på TN först:

Det är precis som quicksilver säger. Du får de för att du kryssat i rutan "log suspicious packets".

Dock förändrar det bara loggningen av paketen. De kommer fortfarande att stoppas.

 

Det förklarar (kanske) också Quicksilvers problem:

Kerio (och säkert många andra brandväggar) har några regler som inte syns. Det här är en av dem. Dessa regler ligger högst upp i regelverket och därför kan du inte skapa egna regler som tar hand om det.

/Obs. Jag har inte testat just detta, det är baserat på lite antaganden/ :-).

 

Såå undrar någon - Varför får min dator en massa TCP ack's, och varför tror Kerio att det är en attack. Gag skrev ju att kryssrutan om loggning inte förändrar själva beteendet.

 

Joo... Det är helt enkelt så att det program som du använde för att initiera anslutningen till en server slutar lyssna på porten innan sista paketet från servern kommit fram.

T.ex. dödar man ju alltid alla popup-fönster som kommer när man surfar. Men servern som reklamen kommer ifrån hann aldrig skicka färdigt sidan.

Eftersom du dödat fönstret stängs porten på din dator, Kerio fattar detta och släpper inte in paketen från servern.

 

I Tiny och andra brandväggar släpps alltid ACK-paketen igenom, oavsett om något program lyssnar på porten. Själva filtreringen gjordes bara på SYN-paket vilket gjorde datorer bakom brandväggen "sårbara" för t.ex. ACK-scanningar osv.

 

Så... tack (obs ordvisten =) Kerio för att du skyddar bättre än de flesta andra brandväggar. Fy på Kerio för att det finns regler som inte syns.

 

Någon som har mer information om hur regelverken i våra kära "personliga brandväggar" egentligen ser ut? Själv är jag lite nyfiken... och kanske paranoid.

 

/Mn

 

[Don Tomas]

T.ex. dödar man ju alltid alla popup-fönster som kommer när man surfar. Men servern som reklamen kommer ifrån hann aldrig skicka färdigt sidan.

Aha, det förklar varför det kom från idg.se

 

/TN

--

 

[ZanY]

Eftersom du dödat fönstret stängs porten på din dator

 

Åhh, tack för poängen!

Eftersom inlägget uppskattades så tänkte jag även rätta mig själv lite.

Det jag skrev oven är inte helt sant.

 

När man dödar t.ex. Internet Explorer så slutar programmet lyssna på porten. Men Windows behåller porten öppen en tid. Så i det avseendet är Kerio smartare än Windows, eftersom det snabbare fattar att porten inet behövs längre. Nu gör det inte så mycket att Windows håller porten öppen, eftersom data som skickas på dessa portar (om man avaktiverar Kerio vill säga) försvinner ner i Windows motsvarighet till /dev/null.

 

Man får en intressant effekt om man förutom sin PF även har t.ex. en bredbandsdelare. Den förstår naturligtvis inte att porten inte används, fören OSet talar om det för den. Det betyder att du kommer få dessa ACK-paket genom routern/brandväggen.

Så... om man inte har koll på hur IP fungerar kan man lätt bli lite rädd för att den billiga D-Linken man köpte inte var så säker.

(missta nu inte mig för en expert, är bara en glad amatör =)

 

/Mn