Nulltoleranse for maskiner uten antivirus på lan

[G2Petter]

Det er derfor vi er minst to som anbefaler Avast, som er 100% gratis.

[Gnuen]

Må faktisk si at eg er sjokkert over hva folk kan få seg til og si i denne posten.

Det er faktisk ditt ansvar som bruker og ha oppdatert Windows og ha eit antivirus program som fungerer og er oppdatert, les reglene fra din isp ”les Telenor” der står det kalt og tydelig at dei stenger ditt internett abonomang om du har virus og sprer dette videre.

Nå skal eg gi eit eksempel på korfor det ikke kan være opp til brukerne om dei vil ha antivirus.

 

Vi hadde eit lan her eg bor for ca 14 dager siden ca 10 minutter etter av vi hadde fått kobla folk opp i nettet starta problemene, det kom så sinsykt mye trafikk fra pc-er som hadde virus at ingen kom seg på nett eller kunne spille o.s.v.

Når det går ut over andre folk som har betalt for og være på lanet kan det ikke være opp til kver bruker om dei gidder og oppdatere windowsen sin og ha antivirus dette må du faktisk ha på dagens pc-er.

Om du tar en ny pc og kobler den rett på nett uten og laste ned oppdateringer fra Microsoft og ha eit antivirus program tar det under 10 minutt til du har sasser eller blaster viruset…

 

Dette er noe eg er mye borti på jobben min vil faktisk si at 90 % av pc-ene eg har inne til reparasjon er det virus og spy/adaware som er problemet.

 

 

 

Gnuen

Endret 9. november 2004 av Gnuen

[Zeph]

Folk som lager problemer med virus er j**** irriterande

[Ekorre]

altså må si det er ganske dumt hvis dere skal ha det slik at folk MÅ ha på antivirus hele tiden. ha det hvertfall slik at det er nok at man kjører det en gang og så skrur det av. det er faktisk slik at det lagger ned en del fps spill med antivirus. og når du spiller på ett høyt nivå så merkes dette veldig godt. er det derimot ett lan der det ikke er noe compo så kan jeg jo være enig, men da burde dere opplyse om dette på forhånd

[G2Petter]

Om jeg hadde hatt NOE SOM HELST med LANet å gjøre, hadde jeg kommet til å kaste deg ut av nettverket på stedet hvis vi kunne spore virustrafikk tilbake til deg, og du oppførte deg sånn hvis du ble konfrontert med det.

[Ekorre]

Hvis det var til meg er det tydeligvis bra jeg ikke skal på lan med deg. virker ikke som noen i det hele tatt burde det

[GulliveR]

Virus fritt LAN? joda, er kommer

[JobJolly]

Hadde nektet tilgang til LAN'et hvis noen ikke hadde anti-virus (og oppdatert). Ferdig med det. Ikke noe å diskutere. Jeg hadde gitt beng i hva slags oppdateringer og ad-aware programmer de hadde på pc'n. "No Antivirus = No LAN"

 

Mvh

Jolly

[G2Petter]

Ja, den var rettet til deg. Jeg var på et LAN en gang, (var heldigvis ikke crew den gangen,) hvor INGENTING fungerte fordi noen hadde virus. De maskinene med virus genererte så mye trafikk at de maskinene med antivirus heller ikke fikk kontakt med noen ting. Etterhver begynte switchene å gå varme etc. Da crewet konfronterte de som hadde virus med det, og ba dem fikse det, fikk de ofte til svar at "jeg tar det senere, nå spiller jeg CS."

 

Jeg ville nemlig ikke gjort noe sånt for å være slem, og om det var kun deg det gikk utover, så kunne du hatt så mye virus du bare ville, så kunne du sittet der med en PC som lagger verre enn noe annet. Men det er ikke bare deg det går utover!

 

Edit:

Ja, den var til Seserr

Endret 9. november 2004 av G2Petter

[Mato]

Da crewet konfronterte de som hadde virus med det, og ba dem fikse det, fikk de ofte til svar at "jeg tar det senere, nå spiller jeg CS."

fram med saksa *klipp*

 

 

Nå spiller du ikke cs mere , fiks det Jævla viruset

[fiskfisk]

Det å ikke la folk koblet seg på et nettverk fordi de ikke kjører tilstrekkelig AntiVirus er i og for seg en god idé. MEN. Det er ærlig talt ikke vanskelig å overleve uten AntiVirus-programvare, selv i dagens nettilstand. Jeg har fortsatt ikke noe antivirus-program på maskinen, og sist jeg hadde virus (ja, jeg kjører online-scan nå og da, sånn for å være sikker) var i '96 og de gode gamle DOS-dagene.

 

Litt vett i hodet gjør at man unngår sånn flott, og det å forsøke seg på noe sånt overfor de som faktisk VET hva de driver på med, er arrogant og tøvete. Gjør som noen andre har foreslått, sørg for at programvare og patcher er tilgjenglige for alle som vil ha, og kjør gjerne den første dagen med full sperring av porter ut mot internett, utover port 22, 80 og 6667 (TCP), og tillat UDP-trafikk. Det siste leddet ut mot Internett bør uansett være en dugelig boks, enten en switch med full management på TCP-laget, eller en dedikert firewall-maskin (f.eks. en Linux/BSD/etc-maskin).

 

Om bordswitchene deres også støtter management (som strengt tatt ikke er nødvendig på de fleste partyer), så er det også greit å lage et lite script som automagisk lukker ned porter som forsøker å distribuere ormer og anna møk. Da forsvinner de fleste i løpet av et par sekunder, og problemet løser seg selv i og med at personen må ta kontakt med noen for å komme seg tilbake på nett

[G2Petter]

Dette var heldigvis switcher med så høyt OSI-layer-nivå at man kunne sperre dem ute, og til slutt satte de opp et eget virus-subnet uten tilgang til Internett og de andre maskinene, så vidt jeg husker.

 

Merkelig nok var det bare de med virus som klagde på at nettverket gikk sakte.

 

For tre helger siden var jeg med på å arrangere GlobeLAN #7, og der var det noen som hadde gjort noe så genialt at selv om man fikk IP, så fikk man ikke tilgang til nettverket før man hadde registrert seg i den lokale databasen. I det innloggingsvinduet kunne man også laste ned SP2 og litt andre greier som lå på en lokal server. Om man fikk virus, så ble man igjen nektet nettverk automatisk til noen i crew hadde sett på en komplett virus-scan som viste at alt var slettet. Da kunne de merke deg som virusfri fra en server, og du var tilbake på nettverket. En genial løsning.!

[G2Petter]

Det å ikke la folk koblet seg på et nettverk fordi de ikke kjører tilstrekkelig AntiVirus er i og for seg en god idé. MEN. Det er ærlig talt ikke vanskelig å overleve uten AntiVirus-programvare, selv i dagens nettilstand. Jeg har fortsatt ikke noe antivirus-program på maskinen, og sist jeg hadde virus (ja, jeg kjører online-scan nå og da, sånn for å være sikker) var i '96 og de gode gamle DOS-dagene.

Problemet er at når man arrangerer et LAN som trekker mye folk (300 deltakere) så er det ikke lett å vite hvem som har peiling og er forsiktige, og hvem som ikke er det. Som du ser av innlegget mitt over her, er det flest av de siste, og hvis crewet skulle bedt alle som ikke hadde AV om å holde et foredrag om hvor mye de kunne om data for å bevise at de ikke hadde virus, ville ike LANet kommet i gang før helgen var over.

 

Jeg skjønner hva du mener, men hvis du er så glup at du ikke har virus, da er du nok glup nok til å installere et AV-program, noe som ikke tar deg mer enn 10 minutter uansett.

[fiskfisk]

Problemet er at når man arrangerer et LAN som trekker mye folk (300 deltakere) så er det ikke lett å vite hvem som har peiling og er forsiktige, og hvem som ikke er det. Som du ser av innlegget mitt over her, er det flest av de siste, og hvis crewet skulle bedt alle som ikke hadde AV om å holde et foredrag om hvor mye de kunne om data for å bevise at de ikke hadde virus, ville ike LANet kommet i gang før helgen var over.

 

Jeg skjønner hva du mener, men hvis du er så glup at du ikke har virus, da er du nok glup nok til å installere et AV-program, noe som ikke tar deg mer enn 10 minutter uansett.

Poenget mitt var at dette er et problem du fint kan løse uten å lage en regel som en gruppe mennesker ikke kommer til å like. Hva skal du gjøre med folk som kjører andre operativsystem? Kreve at de også installerer antivirus? AntiVirus-programvare er et moment som mange ikke vil ha på maskinen sin, enkelt og greit fordi det er unødvendig hvis viser litt hensyn, og det kun gjør ting treigere og mer ustabilt for denne gruppen. Jeg har ikke tall på hvor mange idiotiske ting jeg har opplevd pga Norman etc på skolemaskiner, og hvis man skal tvinge folk på en såpass dårlig løsning, vitner det om dårlig planlegging.

 

Og ja, jeg har arrangert LAN i den størrelsesordnen siden 1999, og vi har aldri hatt et behov for å kreve noe sånt. Nå har vi også hatt fete nok nettlinjer til å spise unna alt vi har hatt av last, men den lasten har vært fra helt andre ting enn virus

[G2Petter]

Den gangen det var så ekstreme regler var som sagt da blaster (?) herjet som verst. De hadde to rom, med Gb eller 2XGb backbone mellom rommene, og 100Mb switcher som tålte mye trafikk på alle bordene, så utstyret skulle være i orden, men det gikk rett ned allikevel. Når du DA løper rundt klokka 0400, og får beskjed av en SOM DU VET HAR VIRUS at han skal spille CS, da har du ikke mye toleranse.

 

Når det gjelder folk som kjører andre OS: Selvfølgelig trenger ikke de AV om de ikke kan bli infisert, men hvor mange CS-spillere kjører noe annet enn windows XP?

 

Du snakker om å vise litt hensyn og å være forsiktig i forhold til virus, men når det er så mye virus, er det alt for lett å bli infisert. Dessuten er det mye lettere at hver bruker tar 10 minutter av den dyrebare tiden sin enn at hele nettverket går ned, og blir nede i 12 timer eller hva det nå var. Når du har opplevd det før, gjør man gjerne sitt beste for å hindre at det skjer igjen.

[Lufen]

helt enig at det burde være krav om antivirus på lan

fordi det er ikke alltid man vet hva alle de andre maskinene der har av virus og det er derfor veldig enkelt å få virus på sin maskin uten at en vet de, uansett hvor flink er til å passe på selv

[laaknor]

GlobeLAN 5 som G2petter referer til hvor det var så my virus gjorde vi som vi alltid gjorde for å finne virus. Vi satte i gang en "tcpdump -i eth0 arp" på linuxbrannmuren for å se all ARPinga på nettverket. Det er ganske tydelig med virus som sprer seg via nettverket at de er der, fordi det da kommer opp:

 

ARP Who-has xx.xx.xx.1 tell xxxxxxxxxxxxxx

ARP Who-has xx.xx.xx.2 tell xxxxxxxxxxxxxx

ARP Who-has xx.xx.xx.3 tell xxxxxxxxxxxxxx

ARP Who-has xx.xx.xx.4 tell xxxxxxxxxxxxxx

ARP Who-has xx.xx.xx.5 tell xxxxxxxxxxxxxx

ARP Who-has xx.xx.xx.6 tell xxxxxxxxxxxxxx

ARP Who-has xx.xx.xx.7 tell xxxxxxxxxxxxxx

ARP Who-has xx.xx.xx.8 tell xxxxxxxxxxxxxx

ARP Who-has xx.xx.xx.9 tell xxxxxxxxxxxxxx

 

Det vi gjorde feil på GlobeLAN 5, var at vi fant ut hvilket maskinnavn/brukernavn brukeren hadde v.h.a. Samba-informasjonen brukeren ga ut, og så ropte vi på høytalerne om eieren av den maskina kunne komme til infodesken. Som oftest hadde de nicket sitt som navnet på maskina, men endel ganger hadde de det heller ikke, og da sleit vi ofte. Vi måtte spore brukerne via switchene (selvfølgelig med management), noe som var mye jobb. Når brukerne så endelig greide å få karret seg ned til infodesken og vi informerte dem om saken, så sa dem at dem skulle fikse det. Flere timer gikk, og vi ba dem om å komme igjen, og da sa dem det at "CS fungerer, så jeg fikser det når jeg er ferdig med å spille".

 

I ettertid har vi funnet ut at det ikke nytter. Derfor gikk vi på GL6 over til å sette opp brannmuren med to oppsett for DHCP, et med tilgang til internett og lissom det "offisielle" nettverket, og et annet som var "virusnettverket", uten tilgang til noen ting, bare proxyserveren og windowsupdate. Når vi flyttet dem ut dit, så kom dem til techcrewet med "CS fungerer ikke", og vi fikk fikset det. Ble ikke noe særlig virusproblemer da.

 

Til GlobeLAN7 påtok den nye netadminen (var meg tidligere) å programmere inn grensesnittet til firewallen som tillot brukeren å "verifisere" seg med brukernavn/passord som den brukte til å registrere seg på plassen sin. Dermed fikk vi med en gang vite hvor i bygget PCene befant seg, noe som var innmari deilig. Slik dette fungerte var at vi delte ut uoffisielle IP-adresser til alle som kom, og omdirigerte alle fra de adressene til websiden på firewallen, hvor, når de logget seg på, MAC-adressen ble registrert. Disken med dette systemet på kræsjet like etter at vi var ferdige, så jeg har ikke fått sett nøyaktig på hvordan det fungerer, men jeg tror at det var et perlscript som lagde configfila til DHCPd på nytt vært 5. minutt eller noe sånt.

 

 

Min anbefaling om dere ikke har mye kunnskap innen programmering, er å sette dere inn i tcpdump/annet snifferprogram og ha kontroll over DHCP-serveren, og "flytte" brukerne over i et annet nettverk. Har selv sitti å vurdert litt å la DHCP-serveren gi ut IP-adresser i nettverket 127.0.0.0/8.... (noen som har testet dette med dhcpd, si i fra)

 

Mvh

Lars Åge Kamfjord

Admin, GlobeLAN Dataparty

Sekretær, ungdomsorganisasjonen GlobeORG

[Løve]

Hmm... mekk et virus som utnytter alle Windows sikkerhetshull og som laster ned Window updates til maskina. Når personen har et virus er det jo pga. et sikkerhetshull som kan brukes til mye annet.

[retry]

Vil ikke si det er problemet met at folk blir infisert med virus som er hovedproblemet... Virus(særlig ormer) bruker mye av netttrafikken, og vil dermed gjøre at nettet vil bli utrolig mye treigere.

[Hr. Jenssen]

Virusprog er oppskrytt... det er faktisk norton som lager 90% av disse virusene som flyter, og så blåses alt opp i media, slik at vi skal kjøpe den elendige softwaren dems.

Slik er bare latterligt å si...

 

Det kunne vært sant, men det er det "desverre" ikke...

 

Om du sier "Det er faktisk Norton som lager mesteparten av virusene" så bli det de samme som "Norton lager nesten alle virusene" eller "jeg VET at Norton lager nesten alle virusene".

 

Altså, om du er så sikker, kom fram med noe bevis da!!!

 

Ingen bevis? Neivel... hadde ikke trodd noe annet heller...