Gå til innhold
🎄🎅❄️God Jul og Godt Nyttår fra alle oss i Diskusjon.no ×

Sjekke sikkerhet mot eget datanettverk


Anbefalte innlegg

Ref Dagbladets "Null CTRL" serie har jeg tenkt "Jøss, verden er full av idioter".

 

Men så begynte jeg å lure litt på meg selv. Kanskje jeg er idiot. Jeg vet faktisk ikke. Jeg har prøvd å beskytte meg så godt jeg kan, men hva vet jeg egentlig?

 

Som en som er over middels interessert i data og teknologi har jeg hauger av dingser som er koblet til mitt eget nettverk, og for deler av dette (bl.a. hjemmeautomasjon og kameraer) hadde det vært særdeles ubehagelig hvis andre fikk tilgang. Noe av det er jo også koblet opp mot internett, da selvfølgelig med brukernavn/passord.

 

Jeg vil altså vite hvor sikkert mitt eget system er.

 

Hvordan kan man teste sitt eget nettverk mot slikt?

Finnes det en programvare eller sjekkliste man kan følge for å iallfall ha sjekket for de mest vanlige feilene?

Lenke til kommentar
Videoannonse
Annonse

For å svare på det trådstarter spurte om: kjør portscanning fra utsiden av eget nettverk. Det er slik "the bad guys" finner tjenester de kan teste - enten ved å selv gjøre det, eller bruke tjenester som Shodan som har gjort det for dem og gjort informasjonen søkbar. Nmap kan avsløre mye, og så kan du videre sjekke om ting er sikret. For alle tjenester som er tilgjengelig gjennom Internett, er det også ekstremt viktig at programvaren er oppdatert. Det hjelper ikke nødvendigvis å kreve passord, om systemet har en kjent svakhet som enkelt kan utnyttes.

 

Merk at det kan være forskjell på det som er tilgjengelig for andre på samme subnet og AS enn fra øvrige deler av Internett. Dette avhenger av din ISP.

Lenke til kommentar

For å svare på det trådstarter spurte om: kjør portscanning fra utsiden av eget nettverk. Det er slik "the bad guys" finner tjenester de kan teste - enten ved å selv gjøre det, eller bruke tjenester som Shodan som har gjort det for dem og gjort informasjonen søkbar. Nmap kan avsløre mye, og så kan du videre sjekke om ting er sikret. For alle tjenester som er tilgjengelig gjennom Internett, er det også ekstremt viktig at programvaren er oppdatert. Det hjelper ikke nødvendigvis å kreve passord, om systemet har en kjent svakhet som enkelt kan utnyttes.

 

Merk at det kan være forskjell på det som er tilgjengelig for andre på samme subnet og AS enn fra øvrige deler av Internett. Dette avhenger av din ISP.

 

Aha! Utmerket informasjon. Klart svakheter kan utnyttes, men den enkleste tabben å gjøre er jo å glemme en eller annen innstilling som "apply user restrictions" og tilsvarende jeg har på enkelte kameraer. Poenget mitt er å unngå slike "generalbrølere" som dagbladet rapporterer om, så skal jeg selv prøve å holde programvare oppdatert.

 

Men en fin sjekk på hva som er "åpent og tilgjengelig", Nmap og port scanning har jeg selvfølgelig hørt om, men risikerer jeg at ISPen min blir grinete hvis jeg kjører en scan?

Lenke til kommentar

Men en fin sjekk på hva som er "åpent og tilgjengelig", Nmap og port scanning har jeg selvfølgelig hørt om, men risikerer jeg at ISPen min blir grinete hvis jeg kjører en scan?

Ja. Hvis du scanner fra et annet AS (annen ISP) så kan det være at du blir kontaktet av den ISP-en du scanner fra, muligens etter en henvendelse fra ISP-en som eier den adressen du scanner. Selv om det ikke er ulovlig etter norsk lov, kan det være mot retningslinjene til den ISP-en du bruker til å scanne. Men i realiteten skal det vanligvis litt mer til enn å scanne én adresse før noen andre enn den som blir scannet (altså deg) reagerer. Kjører du grundig scanning mot en av DNB sine servere kan det være at DNB følger litt ekstra med på deg.

 

Får du spørsmål om hva du driver med, så er det jo bare å si at du scanner ditt eget nettverk. Eller ta en spansk en og si at antivirusprogrammet ditt nettopp fant et virus, så det kan muligens ha vært grunnen...

Lenke til kommentar

Selv har jeg brukt nmap en del mot servere, privatlinjer og bedrifter. Det skal nevnes at dette var med godartet hensikt og at det har vært innenfor mitt mandat i de enkelte tilfeller, men sjeldent eksplisitt klarert på forhånd. I de aller fleste tilfeller har dette vært fra adresser som jeg er RIPE/WHOIS registrert på og/eller står som mottaker av hostmaster@ og abuse@.

 

Jeg har ikke mottatt noen forespørsler om dette.

 

Selv har jeg heller ikke sendt noen slike eposter, men det flagger IP adressen din hos oss og i noen tilfeller blokkerer jeg IP-adresser som dukker opp gjentatte ganger, men da gjerne enten ved høy frekvens, det forekommer over et større nettsegment eller dersom det forekommer annen ondartet trafikk i tillegg.

 

Skanner du én enkelt IP-adresse (din egen) hos din ISP vil jeg tro at det skal gå helt bra. Vil du være litt mer høflig kan du bruke -T polite, dette tar da ca. 15 minutter.

 

Det er et godt utgangspunkt for å se hva som er tilgjengelig fra utsiden, men vær var på lokale brannmurer som kan være oppsatt til å filtrere fra innsiden. Deretter bør du identifisere de ulike tjenestene som du eksponerer mot verden og bekrefte at:

 

1) Dette er noe du må/ønsker å eksponere

2) Tjenestene er tilstrekkelig sikret og oppdatert (ikke standard passord, passordløse kontoer etc)

Endret av process
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...