/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Spørgsmål til Kerio Firewall
Fra : Anders Boholdt-Peter~


Dato : 22-02-07 19:18

Hej,

I forbindelse med, at jeg har forsøgt at installere en opdatering til Kerio
Firewall (der produceres af firmaet
http://www.sunbelt-software.com), har jeg kikket lidt nærmere på de
forskellige indstillingsmuligheder i programmet.

Jeg kan finde følgende indstilling som jeg er i tvivl om hvad bruges til, da
mit engelske ikke er så godt:

---
Enable Network Intrusion Prevention System (NIPS)

NIPS scans network traffic and blocks recognized attacks based on a database
of known attack signatures.

Network connections carrying detected attacks are closed and dangerous data
is not allowed
to reach the application. NIPS can generate a small number of false
positives.
---

Er der nogle derude der ved hvad ovenstående betyder, og om det i øvrigt
påvirker min sikkerhed at deaktivere funktionen?

Jeg sidder bag en router med NAT-funktionalitet.

På forhånd mange tak for eventuelle svar.

--

/ Anders
http://www.boholdt-petersen.dk



 
 
B. Nice (22-02-2007)
Kommentar
Fra : B. Nice


Dato : 22-02-07 20:49

On Thu, 22 Feb 2007 19:17:33 +0100, "Anders Boholdt-Petersen"
<post-REMOVETHIS-@boholdt-petersen.dk> wrote:

>Hej,
>
>I forbindelse med, at jeg har forsøgt at installere en opdatering til Kerio
>Firewall (der produceres af firmaet
>http://www.sunbelt-software.com), har jeg kikket lidt nærmere på de
>forskellige indstillingsmuligheder i programmet.

Må man være fri at spørge hvad du bruger det til?

>Jeg kan finde følgende indstilling som jeg er i tvivl om hvad bruges til, da
>mit engelske ikke er så godt:

Det er altid problematisk at begive sig af med sikkerhedssoftware man
ikke forstår.

>---
>Enable Network Intrusion Prevention System (NIPS)
>
>NIPS scans network traffic and blocks recognized attacks based on a database
>of known attack signatures.
>
>Network connections carrying detected attacks are closed and dangerous data
>is not allowed
>to reach the application. NIPS can generate a small number of false
>positives.
>---
>
>Er der nogle derude der ved hvad ovenstående betyder, og om det i øvrigt
>påvirker min sikkerhed at deaktivere funktionen?

Det lyder som det sædvanlige salgsgas gående ud på at man skulle kunne
genkende bestemte mønstre i de pakker man modtager og derudaf udlede
bestemte typer af "angreb". Jeg har svært ved at se hvem der skulle
have noget ud af det. En firewall (som sunbelt-software hårdnakket
påstår at Kerio er) skal beskytte folk og ellers tie stille.

Hvad værre er, der står at formodede angreb fører til lukning af
forbindelsen (typisk v.h.a. blokering af IP-adresse). Det er skidt.
Man har f.eks. set fakede angreb med DNS-serveres IP-adresser som
afsender og når de rammer en sådan "smart" funktion så BUM - ingen
internetforbindelse....

Men da du ovenikøbet er bag en router som forhindrer
forbindelses-forsøg udefra kan jeg ikke se den tjener noget formål.

>
>Jeg sidder bag en router med NAT-funktionalitet.
>
>På forhånd mange tak for eventuelle svar.

Velbekomme. Og tag dig ikke af min direkte facon. Det er ikke
personligt. Jeg har bare en indgroet antipati mod såkaldt "personlige
firewalls".

Anders Boholdt-Peter~ (23-02-2007)
Kommentar
Fra : Anders Boholdt-Peter~


Dato : 23-02-07 07:22

"B. Nice" <b__nice@hotmail.com> skrev i en meddelelse
news:h0srt2t4ic1g64r8j02k3gc1qrqeq41aru@4ax.com...
> Det lyder som det sædvanlige salgsgas gående ud på at man skulle kunne
> genkende bestemte mønstre i de pakker man modtager og derudaf udlede
> bestemte typer af "angreb". Jeg har svært ved at se hvem der skulle
> have noget ud af det. En firewall (som sunbelt-software hårdnakket
> påstår at Kerio er) skal beskytte folk og ellers tie stille.

OK, vil det sige, at jeg roligt kan deaktivere denne funktion?

Det underlige er, at efter jeg installerede deres nyeste version, påstår
firewallen, at WINLOGON.EXE er en trojansk hest (hvilket den ikke gjorde i
den gamle version), og det gør den netop med det der NIPS eller hvad det nu
hedder!

Supporten bad mig om at scanne min computer med mit antivirus-program
(hvilket jeg så har gjort - ingen vira eller trojanske heste)!

Foreløbig har jeg nedgraderet til deres forrige version, da meddelelsen hele
tiden dukkede op på skærmen!

--

/ Anders
http://www.boholdt-petersen.dk



B. Nice (23-02-2007)
Kommentar
Fra : B. Nice


Dato : 23-02-07 15:55

On Fri, 23 Feb 2007 07:21:54 +0100, "Anders Boholdt-Petersen"
<post-REMOVETHIS-@boholdt-petersen.dk> wrote:

>"B. Nice" <b__nice@hotmail.com> skrev i en meddelelse
>news:h0srt2t4ic1g64r8j02k3gc1qrqeq41aru@4ax.com...
>> Det lyder som det sædvanlige salgsgas gående ud på at man skulle kunne
>> genkende bestemte mønstre i de pakker man modtager og derudaf udlede
>> bestemte typer af "angreb". Jeg har svært ved at se hvem der skulle
>> have noget ud af det. En firewall (som sunbelt-software hårdnakket
>> påstår at Kerio er) skal beskytte folk og ellers tie stille.
>
>OK, vil det sige, at jeg roligt kan deaktivere denne funktion?

Du skal slet ikke bruge noget du ikke forstår.

>Det underlige er, at efter jeg installerede deres nyeste version, påstår
>firewallen, at WINLOGON.EXE er en trojansk hest (hvilket den ikke gjorde i
>den gamle version), og det gør den netop med det der NIPS eller hvad det nu
>hedder!

Ja, og som der også stod så har NIPS nogle "false positives" - d.v.s.
at den fejlagtigt påstår ting der ikke er rigtige.

Du er bag en router. Så slå det fra, lær lidt om netværk og om
sikkerhed og forbered dig på at skille dig af med dit Kerio-blændværk.

>Supporten bad mig om at scanne min computer med mit antivirus-program
>(hvilket jeg så har gjort - ingen vira eller trojanske heste)!
>
>Foreløbig har jeg nedgraderet til deres forrige version, da meddelelsen hele
>tiden dukkede op på skærmen!

Nedgrader til version 0.

Peder Vendelbo Mikke~ (25-02-2007)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 25-02-07 22:52

Anders Boholdt-Petersen skrev:

> Det underlige er, at efter jeg installerede deres nyeste version,
> påstår firewallen, at WINLOGON.EXE er en trojansk hest (hvilket
> den ikke gjorde i den gamle version), og det gør den netop med det
> der NIPS eller hvad det nu hedder!

Den hidser sig nok bare op over noget netbios-trafik, muligvis tilgår
din maskine en anden maskine på hjemmenetværket eller omvendt. Men,
afhængig af hvilken trafik din opsætning af routeren slipper igennem
kan det da godt være noget skidt som får Kerio Firewall til at stikke
fingeren i vejret.

> Supporten bad mig om at scanne min computer med mit
> antivirus-program (hvilket jeg så har gjort - ingen vira eller
> trojanske heste)!

Prøv at uploade winlogon.exe til Virustotal:

http://www.virustotal.com/en/indexf.html

Virustotal scanner så filen med en række forskellige anti-virus pro-
dukter, det kan tage op til 5-10 minutter hvis der er travlt på ser-
veren.

Hvis ikke Virtustotal kan finde en virus i filen kan du nok godt til-
lade dig at gå ud fra at den ikke er inficeret og eventuelt spørge
supporteren om vedkommende har andre ideer. Send eventuelt linket til
supporteren hvis ikke de tror på dig.

Her kan du se resultatet da jeg lige uploadede winlogon.exe fra min
maskine (fuldt opdateret Windows XP Pro):

http://www.virustotal.com/vt/en/resultadof?4ea99f8ee680e22ed3ded5915f8d7d0f

Virustotal scanner med disse produkter:

Aladdin (eSafe)
ALWIL (Avast! Antivirus)
Authentium (Command Antivirus)
Avira (AntiVir)
Bit9 (FileAdvisor)
Cat Computer Services (Quick Heal)
ClamAV (ClamAV)
CA Inc. (Vet)
Doctor Web, Ltd. (DrWeb)
Eset Software (NOD32)
ewido networks (ewido anti-malware)
Fortinet (Fortinet)
FRISK Software (F-Prot)
F-Secure (F-Secure)
Grisoft (AVG)
Hacksoft (The Hacker)
Ikarus Software (Ikarus)
Kaspersky Lab (AVP)
McAfee (VirusScan)
Microsoft (Malware Protection)
Norman (Norman Antivirus)
Panda Software (Panda Platinum)
Prevx (Prevx1)
Softwin (BitDefender)
Sophos (SAV)
Sunbelt Software (Antivirus)
Symantec (Norton Antivirus)
UNA Corp (UNA)
VirusBlokAda (VBA32)
VirusBuster (VirusBuster)


Christian E. Lysel (23-02-2007)
Kommentar
Fra : Christian E. Lysel


Dato : 23-02-07 17:32

On Fri, 2007-02-23 at 07:21 +0100, Anders Boholdt-Petersen wrote:
> Supporten bad mig om at scanne min computer med mit antivirus-program
> (hvilket jeg så har gjort - ingen vira eller trojanske heste)!

Bad de ikke om en kopi af winlogon.exe?



Christian E. Lysel (26-02-2007)
Kommentar
Fra : Christian E. Lysel


Dato : 26-02-07 00:16

On Sun, 2007-02-25 at 22:52 +0100, Peder Vendelbo Mikkelsen wrote:
> Prøv at uploade winlogon.exe til Virustotal:

Endnu bedre, han kan tage en checksum og spørge om der er andre her
der har den samme checksum.


Peder Vendelbo Mikke~ (26-02-2007)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 26-02-07 00:22

Christian E. Lysel skrev:

> Peder Vendelbo Mikkelsen wrote:
>> Prøv at uploade winlogon.exe til Virustotal:

> Endnu bedre, han kan tage en checksum og spørge om der er andre her
> der har den samme checksum.

Han kan eventuelt sammenligne checksummen med den jeg uploadede, det
kræser selvfølgelig at han kører samme version og er fuldt patchet:

"Her kan du se resultatet da jeg lige uploadede winlogon.exe fra min
maskine (fuldt opdateret Windows XP Pro):

http://www.virustotal.com/vt/en/resultadof?4ea99f8ee680e22ed3ded5915f8d7d0f"


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408917
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste