作者 主題: 請問一些有關安全上的疑問  (閱讀 8887 次)

0 會員 與 1 訪客 正在閱讀本文。

wood

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
請問一些有關安全上的疑問
« 於: 2009-07-16 00:30 »
我把我遇到的一些問題說出來好了,實在很悶,腦子一堆疑問,實在不知哪裏出問題,希望有一線生機 :'(
不是學電腦的相關科系,都自已東看西看,有些不知精確的講法,請見諒

我現在的電腦用法是
以Xubuntu來說,灌好電腦後
刪除ntpdate和su
建一個管理者帳號
然後建一個平常用的帳號
有需要用root時例如安裝軟體時就從普通使用者登出切換到管理者帳號用sudo來操作
管理帳號只做更新和更改iptables,不逛網頁,和去網路的其它地方
把所有服務都關掉
root的密碼不解開鎖,連我自己也不知密碼

進入security,編輯limit.conf,然後設成這台電腦一次只能一個帳號能登入

設定hosts.deny ALL:ALL
設定hosts.allow ALL:127.0.0.1

設定sysctl.conf
把一些icmp之類的都disable掉

然後設定iptables,以下是我的iptables-restore檔規則(我知道滿拙劣的,自己東看西看拼湊出來的,抱歉,我也覺得貼的很不好意思)
我有讀過小洲老師寫的iptables簡介,知道對外預設政策不用設DROP
可是我一直無法理解為何對外不用設限,再加上有一次我去games.yahoo.com玩game
它的網頁好像被人駭了,結果電腦自己向外的主機的19XXX埠送syn訊號,整個網頁當掉
後來過了半天再去一次就正常
所以一直對對外預設政策不用設DROP這點有疑惑

*filter
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
:FORWARD DROP [0:0]

-A INPUT -i lo -j ACCEPT
#-A INPUT -p udp -m state --state NEW -j DROP
#-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p tcp --syn -m state --state NEW -j DROP
-A INPUT -p icmp -j DROP
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m addrtype --dst-type MULTICAST -j DROP
-A INPUT -m addrtype --dst-type BROADCAST -j DROP

-A INPUT -s 224.0.0.0/4 -j DROP
-A INPUT -d 224.0.0.0/4 -j DROP

-A INPUT -s 10.0.0.0/8 -j DROP
-A INPUT -d 10.0.0.0/8 -j DROP
-A INPUT -s 172.16.0.0/12 -j DROP
-A INPUT -d 172.16.0.0/12 -j DROP
-A INPUT -s 192.168.0.0/16 -j DROP
-A INPUT -d 192.168.0.0/16 -j DROP


-A INPUT -m conntrack --ctstate ESTABLISHED  -s 168.95.1.1 -p udp --sport 53 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED  -s 168.95.192.1 -p udp --sport 53 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED  -s 168.95.1.1 -p tcp --sport 53 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED  -s 168.95.192.1 -p tcp --sport 53 -j ACCEPT

-A INPUT -m conntrack --ctstate ESTABLISHED  -p tcp --sport 80 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED  -p tcp --sport 443 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED  -p tcp --sport 21 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED  -p tcp --sport 23 -j ACCEPT
-A INPUT -j DROP

-A FORWARD -p ALL -j DROP
-A FORWARD -p tcp --syn -m state --state NEW -j DROP
-A FORWARD -p ALL -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP


-A OUTPUT -o lo -j ACCEPT
#-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -p icmp -j DROP
-A OUTPUT -m conntrack --ctstate INVALID -j DROP
-A OUTPUT -m addrtype --dst-type MULTICAST -j DROP
-A OUTPUT -m addrtype --dst-type BROADCAST -j DROP
-A OUTPUT -s 224.0.0.0/4 -j DROP
-A OUTPUT -d 224.0.0.0/4 -j DROP
-A OUTPUT -d 10.0.0.0/8 -j DROP
-A OUTPUT -s 10.0.0.0/8 -j DROP
-A OUTPUT -d 172.16.0.0/12 -j DROP
-A OUTPUT -s 172.16.0.0/12 -j DROP
-A OUTPUT -d 192.168.0.0/16 -j DROP
-A OUTPUT -s 192.168.0.0/16 -j DROP
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -d 168.95.1.1 -p udp --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -d 168.95.192.1 -p udp --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -d 168.95.1.1 -p tcp --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -d 168.95.192.1 -p tcp --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -p tcp --dport 443 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -p tcp --dport 21 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED -p tcp --dport 23 -j ACCEPT
-A OUTPUT -j DROP


COMMIT

然後設完iptables後就上網更新
這時我用iptraf看,非常奇怪,每次重灌都一樣
一上網還沒啟動更新管理員,就有來自不同的IP的電腦,向我的電腦送syn和udp連線
有時還多達4000多個IP
我明明是重灌了呀,這些電腦怎麼會知道我的位置,實在搞不懂

更新完之後才切去普通使用者帳號

接著普通的使用者帳號
我在firefox 的about:config中
設定以下兩行

network.http.sendSecureXSiteReferrer;false
network.http.sendRefererHeader;0

然後才上網
然後前一陣子都用代理伺服器上網
可是很奇怪,仍然會從不是proxy伺服器的ip位置送syn之類奇奇怪怪的連線到我的電腦來
所以我就放棄了用代理伺服器上網

之前還有用IP分享器做防火牆和DMZ
然後就被入侵了,ip分享器被入侵者抓走,入侵者好像變成我的DHCP伺服
我想可能這個IP分享器有點舊了所以有漏洞

但是我奇怪的地方是雖然有設一台DMZ的電腦可是這些奇奇怪怪對我連線的電腦好像無視DMZ的存在

然後我如果上網抓檔案,很奇怪連線的速率都會跑來跑去
例如這一秒是200K下一秒就變198K又變170K然後又跑回來200K,就都跑來跑去
實在很怪異,有時又很正常

我是用pppoe方式上網

所以我的疑問是
1-為什麼連外不用設限?
2-為什麼我重灌後,這些奇怪的連線仍然知道我電腦在哪。
3-為什麼代理伺服器會沒作用?
4-DMZ為何沒用?
5-為什麼連線速率會跑來跑去?

還有我要拜訪的網站有時會被換成很怪的網頁,一看就知不正常不是我要去的網頁,可以用不知所云,和莫名奇妙來形容

我也不逛奇怪和大陸的網站,平常最大的興趣也只是抓遊戲的DEMO用WINE跑跑看
會動到用root才能安裝的檔案也幾乎都不安裝

所以我到底要怎麼防護自己的電腦?到底是怎麼入侵的,真的滿困惑的



發問方式有沒注意到的地方,請原諒






« 上次編輯: 2009-07-16 01:36 由 wood »

wood

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
回覆: 請問一些有關安全上的疑問
« 回覆 #1 於: 2009-07-16 00:45 »
貼在一起好了

我不知要怎麼描述我的問題,所以標題可能不夠精確,抱歉
我是用xubuntu9.04
幾個小時前用netstat看了一下結果出現類似這樣的情況
udp        0      0 0.0.0.0:38168           0.0.0.0:*                           7229/scim-bridge

這是重開機後我剛又看了一下
tcp        0      0 218.160.181.48:54016    68.180.217.18:5050      ESTABLISHED 19239/pidgin   
tcp        0      0 218.160.181.48:44380    74.125.127.83:443        ESTABLISHED 9916/firefox   
tcp        0      0 218.160.181.48:38531    74.125.53.102:80          ESTABLISHED 9916/firefox   
tcp        0      0 218.160.181.48:48077    74.125.53.17:443          ESTABLISHED 9916/firefox   
udp        0     0 0.0.0.0:38168                 0.0.0.0:*                                            7229/scim-bridge
udp        0     0 127.0.0.1:41082             127.0.0.1:41082            ESTABLISHED 12487/IEXPLORE.EXE

請問上面那個scim-bridge是不是有問題?之前都沒發生過
請問我該如何自已分析這種狀況?要從那個地方下手分析
一直傻傻的用,腦子實在有很多疑問

如果我的發問方式有沒注意到的地方,請大家見諒

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
回覆: 請問一些有關安全上的疑問
« 回覆 #2 於: 2009-07-16 10:48 »
看完,我只能說,換一台好一點的分享器,密碼複雜一點,然後不要把web ui開放可以從外部連,資料備份好,系統重裝吧

wood

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
回覆: 請問一些有關安全上的疑問
« 回覆 #3 於: 2009-07-16 17:28 »
看完,我只能說,換一台好一點的分享器,密碼複雜一點,然後不要把web ui開放可以從外部連,資料備份好,系統重裝吧

謝謝你,看來用ip分享器也不是個笨主意
至少給了我一個方向
謝謝

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
回覆: 請問一些有關安全上的疑問
« 回覆 #4 於: 2009-07-16 17:42 »
我個人認為,就算只有一台電腦,自己家裡也是要買個分享器或是ap來當gateway,避免自己的機器直接連上網路,可以檔掉一些bot的攻擊,尤其是windows的機器,直接用pppoe或是其他方式跑public ip,那更是高風險

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: 請問一些有關安全上的疑問
« 回覆 #5 於: 2009-07-16 18:28 »
我個人認為,就算只有一台電腦,自己家裡也是要買個分享器或是ap來當gateway,避免自己的機器直接連上網路,可以檔掉一些bot的攻擊,尤其是windows的機器,直接用pppoe或是其他方式跑public ip,那更是高風險


同意, 以前也是自己用一台老舊的PC架NAT
但是放一台在那邊只為了NAT, 總覺得很浪費電
後來就改成用VM來架NAT, 但是架這台VM NAT的host
也是要一直都開著啊, 一關機其他pc就沒得上網了
所以最後決定還是買個分享器來用吧
24hr/7, 耗電量又不會很多(10幾瓦吧)
又有一堆內建功能, 還是web介面管理  ;D

wood

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
回覆: 請問一些有關安全上的疑問
« 回覆 #6 於: 2009-07-18 15:24 »
不好意思,請問一下,ip分享器可以這樣接嗎?

           |                或者            |
       IP分享器                        IP分享器
           |                            |        |
       IP分享器                      主機     另一台分享器(想說拿來做DMZ(^^"?))
           |
         主機

另外請問如果要再稍微再往上進階一點防護設備名稱是叫什麼?
看廠商IP分享器和他們生產的網路設備的介紹看的頭昏眼花

滿好奇為什麼有些設備會有兩個WAN埠




damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
回覆: 請問一些有關安全上的疑問
« 回覆 #7 於: 2009-07-18 21:34 »
稍微好一點的分享器會有dmz的功能,看你有多少預算要買,只怕你買不起而已

wood

  • 可愛的小學生
  • *
  • 文章數: 7
    • 檢視個人資料
回覆: 請問一些有關安全上的疑問
« 回覆 #8 於: 2009-07-18 22:05 »
稍微好一點的分享器會有dmz的功能,看你有多少預算要買,只怕你買不起而已

我想我確實是異想天開,而且也一知半解
至少也讓我知道有的分享器有這功能
還是謝謝你

chienwen

  • 懷疑的國中生
  • **
  • 文章數: 37
    • 檢視個人資料
    • 線上字典
回覆: 請問一些有關安全上的疑問
« 回覆 #9 於: 2009-11-15 23:03 »
不好意思,請問一下,ip分享器可以這樣接嗎?

           |                或者            |
       IP分享器                        IP分享器
           |                            |        |
       IP分享器                      主機     另一台分享器(想說拿來做DMZ(^^"?))
           |
         主機
可以,我曾經做過。
第一個方法:
把第一個 IP分享器設為 192.168.1.1,第二個 IP 分享器設為 192.168.1.2。
第二個方法:
買不同牌子的 IP分享器:有些牌子是用 192.168.0 有些是用 192.168.1,這樣你就有兩個 class C
(印像中,好像 D 牌的是用 192.168.0 ,Z 牌的是用 192.168.1 )

這兩種方法,我都用過,不過我後來不用這些方法;我覺得改用一台 IP分享器,然後主機改用兩張網卡,這樣可以做得更好。
:D