Virusfritt datatreff

[hemo]

Hei folkens!

Med referanse til denne, ønskjer eg forslag på kva ein kan gjera i eit nettverk, for å redusera (eller stoppa) virus og ormar.

 

Hugs at datatreff ofte har særs høg trafikk, og at løysingar for vanleg kontorbruk ikkje vil fungera godt på datatreff...

[jorgis]

Ikke slippe folk uten AV innstallert inn? Kreve at absolutt alle som kommer inn kjører en CD med AV og scan etter diverse uhumskheter, og når de kan bevise at de er "ren", får de lov til å plugge i TP-kabelen.

[SmoPe]

hva man kan gjøre kommer helt an på hvor stort nettverket er.

Hvis det ikke er for stort så kan man kreve en scan før man får fri tilgang på nettet, men det tar tid og er usikker på hvordan man kan sette det opp i ett så stort miljø som TG.

[SmoPe]

jorgenindahouse sitt forslag er ikke så dårlig. Man kunne kanskje levert ut en cd med AV for og kjøre cden så må man skrive inn ett s/n som står på cden. Når man har fått kjørt en full scan uten å finne noe så ville det blitt generert en unik kode utifra serienummeret. Ved å oppgi s/n og koden så får man tilgang til nettet. Ville kanskje fjernet en god del problemer. En annen ting man kunne gjort er å ha en server som pusher de viktigste oppdateringen slik at pcene ikke er så sårbare for det som kommer fra internett.

[hemo]

Nei, eg trur ikkje vi skal administrara dette i hel... Med eit par hundre deltakarar, blir dette fort til lange køar og mykje arbeid.

 

Problemet med virus og ormar vert ikkje eleminert ved å søka etter virus med eit antivirusprogram. Passordbeskytta administratorkonto, samt oppdateringar som du finn på Windows Update kan ofte gje betre tryggleik enn eit antivirusprogram åleine. Andre vel ein brannmur på datamaskina si, og held såleis ute virus og ormar (som kjem gjennom nettverket).

 

Det eg søker her, er nettverksting (jamfør forumet eg postar i) som kan setjast i verk.

 

Kva kan ein gjer i nettverket, for å verna datatreffet mot virus og ormar?

[Torbjørn]

*) la det være opp til hver enkelt å sette opp firewall for seg selv

*) hold et øye med gateway'en på mistenkelig trafikk, f.eks smtp trafikk, etherape og ethereal er fint for det.

*) managed switch lar deg begrense tilgang til hver enkelt klient

*) hvis det bare er windowsmaskiner kan du bruke en vanlig switch, og istedet gi ut 32 bits nettmaske og filtrere gjennom dhcpservern

[panzerwolf]

Om du har switcher med mulighet for overvåkning, kan du ved mistanke om virus som herjer nettet sjekke og luke ut maskiner som er infiserte (de har typisk da mye trafikk på porter som viruset bruker).

 

Ellers er det vel nesten umulig. Et annet forslag er at alle betaler inn et depositum. Om virus forkommer vil de som ikke ha oppdatert AV miste dette. Merk betingelsen bør ikke være "får du virus mister du dette"; selv om man har AV kan man gjerne få virus for det. Men du vil i allefall ha en mulighet til å begrense omfanget av en evt. spredning.

[Domino]

Dette er et meget vanskelig område, og det finnes nok ingen gode løsninger.

Den foreslåtte løsningen med utlevering av CD ved adkomst har flere problemer.

1: Det tar lang tid og mye administrasjon

2: Praktisk talt umulig å håndheve. Kan ikke tenke meg noen praktisk fungerende løsning for å garantere at virussjekk er kjørt uten å gjøre dette manuellt

3: De fleste eller iallefall mange har allerede antivirus installert på sin PC. Installerer man enda ett antivirus program risikerer man at maskinen ikke vil boote lengre (to av-programmer på en maskin er en meget dårlig ide). Man kan heller ikke kreve at folk avinstallerer AV programmene de allerede bruker - disse er ofte kjøpt og betalt.

 

Det er også praktisk talt umulig å påse at AV-programmene forblir oppdatert under party. De forskjellige leverandørene har gjerne admin-verktøy som kan scanne nettverket og avsløre eventuelle u-oppdaterte pc'er. Dette avhenger dog av at alle bruker samme AV-program, og man trenger trolig admin-rettigheter for å kunne gjøre noe med u-oppdaterte PC'er om man ikke vil gå rundt og lete etter eieren av hver enkelt u-oppdatert PC.

 

Det er likevel flere ting man kan gjøre for å begrense spredning og bivirkninger av virus på et party. Mye avhenger dog av hvilket utstyr man har tilgjengelig.

 

1: Porter som brukes mest av virus kan stenges i firewall.

2: Har man gode switcher kan man også stenge slik traffikk på bord-switchene.

3: Sperr for all smtp-traffikk mot andre servere enn en enkelt intern smtp-gateway.

4: Tilby AV-programvare for de som ikke allerede har det.

5: Understrek at oppdatert AV-programvare er påkrevd, og at manglende AV-programvare kan være grunn til utkastelse om maskinen begynner å spre virus.

6: Sett opp en honey-pot på en server og overvåk denne. Om en maskin på nettverket forsøker å infisere disse filene kan dere enkelt finne ut hvilken maskin det er.

7: Be alle deltagere følge med og si ifra om de opplever et virus-problem.

8: Last ned alle relevante MS-patcher og tilby disse på et lokalt share. Oppfordre til installasjon av disse.

9: Oppfordre alle brukere til å skrive-beskytte sine delte ressurser og sette gode passord på brukerne sine.

 

De to største truslene for partys er nok for tiden Blaster/Sasser lignende ormer og share-spreaders.

For å finne ut hvilke maskiner som sprer førstnevnte type ormer må man trolig bare overvåke nettet. De fleste som er på et party har trolig Internett hjemme også, og burde derfor allerede ha patchet hullene disse ormene bruker.

Share-spreaders er det absolutt største problemet. Dette er ormer og virus som sprer seg blant annet ved å kopiere seg til delte ressurser på nettverket. Dette kan være delte mapper uten passord, eller også delte mapper med svakt passord som viruset kan gjette seg frem til.

En god guide for å stoppe share-spreaders finner dere her:

http://www.norman.com/Virus/15038/en

 

- domino..

Virus Analyst

[morbo]

For å hindre virustrafikk å komme inn på nettet fra internett bør man sette opp en proxy-server som all internett-trafikk /må/ gå gjennom. Videre kan man sette opp en IDS med regler som trigger på kjente exploits/ormer og evt. installere tillegg som rapporterer/sperrer IP-adressene det kommer fra. Snort er fin til dette.

Siden en proxy-server skal sjekke all internett-trafikk vil dette medføre litt dårligere

hastighet på internettlinjen, lite populært blant gamere.

 

Problemet er at de fleste ormer som sasser og blaster utnytter feil i NetBios. Desverre kjører de fleste Windows og hvis man sperrer portene for netbios på PC-ene ville også Windows fildelingen blitt sperret. Lite populært blant "LAN"-fjortiser.

 

For å scanne et Windows-nettverk for upatchede maskiner, bør man kjører MBSA; dette kan lastes ned fra Microsoft her: http://www.microsoft.com/technet/security/...s/mbsahome.mspx

 

Første regel når det gjelder virus og ormer er å regelmessig kjøre Windows Update, gjerne slå på automatisk installering av patcher, og å bruke huet, altså ikke åpne ukjent epostvedlegg, ikke surfe på lugubre sider hvis man bruker IE og slikt osv.

 

Cheers

Rolf

Endret 26. mai 2004 av morbo

[aschj]

[...] ikke surfe på lugubre sider hvis man bruker IE og slikt osv.

 

Cheers

Rolf

Evt. slå av active scripting. Dette er noe som generelt er anbefalt av alle, inkl. Microsoft selv.

 

Sider som tegnes av javascript (noe jeg personlig synes er noe stort tull), må legges til i 'trusted sites' for å fungere.

Endret 26. mai 2004 av aschj

[balleklorin]

Vel anbefalt og anbefalt av active scripting, det er iallfall ikke anbefalt av alle. Uten active scripting som javascript kommer du ikke langt på mange internettsider i dag. Jeg mener nå ActiveX er mye verre en active scripting uansett. De fleste bra viruskillerne klarer dessuten å detektere ondsinnede javascript, og har du oppdatert nettleser så hjelper det også bra.

 

Det sikreste må være å segmentere nettverket i små deler med firewalls slik at virus ikke kan spre seg til andre segmenter om et segment er smittet, dvs flest mulig VLAN. Da blir det jo vanskelig å dele filer og hoste spill i mellom ulike vlan da... men om en satser mye på å ha sentralt administrerte spill servere så burde det gå bra.

 

*edit typos*

Endret 26. mai 2004 av balleklorin

[gamerman]

Man kan sette opp en FTP server der AV ligger så kan alle som skal på TG en gang sjekke der også sende mail til de som holder tg , men nå er jo tg over

[Domino]

Man kan sette opp en FTP server der AV ligger så kan alle som skal på TG en gang sjekke der også sende mail til de som holder tg , men nå er jo tg over

Hører Per ynker seg helt herfra.. No can do

[Shimano]

Det opplagte er jo selvfølgelig å insistere på at alle kjører med antivirus og oppdatert OS (men hvis man stiller krav til oppdatert (les: origininalt) OS blir det vel ramaskrik på de fleste lan vil jeg anta... )

 

Hva med en applikasjon på en logon-server som sjekker OS-versjonen før brukeren blir sluppet inn i nettverket - eller er ikke det mulig?

[Torbjørn]

det er ikke mulig. ethernet er i prinsipp vidåpne for deltagelse, det er opp til hver node å sikre seg som hør bør.

[hemo]

Veldig gode svar frå Domino og Morbo!

Takk!

 

Og for å presisera: Poenget med denne tråden, er å få fram gode ting som kan gjerast i nettverket på datatreff.

 

Virus og ormer som kveler switcher er eit så stort problem at det går ut over alle. Så kva kan tech crew gjer i nettverket, for å hindra eller bremsa problemet.

 

Kva TCP- og UDP-portar bør stengast?

Dette med SMTP er også logisk og lurt!

[jorgis]

Steng ihvertfall port 135 (UDP). Blokker for tullinger med NET SEND-kløe.

[Torbjørn]

alt dette forutsetter at man har managed switch'es

[hemo]

Blir kanskje konklusjonen her at TG05 ikkje kjem til å fungera, pga. virus?

[Domino]

Blir kanskje konklusjonen her at TG05 ikkje kjem til å fungera, pga. virus?

Tjah.. Når man først begynte å sperre for virus-trafikk på switchene gikk det ganske bra på TG i år, og fortsatt er det mye man kan gjøre.

Jeg tror ikke virus skal bli noe større problem på TG så lenge man husker på å ta de nødvendige forhåndsreglene.