Lunds universitet -
Datasäkerhet
 
MENY


Verktyg

Informationssökning

Mailabuse & spam

Svindlare & Nigeriabrev

Mailinglistor & FAQ

Länkar

Organisationer

Regler, policy & lagar

Unix

Novell NetWare

Windows (server)

Windows (arbetsplats)

Macintosh

Trådlösa nät

Virus & Hoaxvirus

Hacking

Programmering

Kryptering

Kopiering & Copyright

Epostservrar på LUNET

Säkerhetsvarningar

Blockerade datorer

Varför blockerad?

Stängda portar, LUNET

Anmäl säkerhetsproblem  

Till startsidan

4/4 2006
Problem
i Explorer
Varför har nätaccessen stoppats?
Det finns ett antal olika orsaker till varför nätaccess stängts av men det gäller oftast: Här kan du kontrollera vilka datorer som blockerats på LUNET och orsaken till varför de blockerats. Om du bor i AFBs hus kan du kontrollera om ditt uttag i switchen är stängt.


Rutiner kring avstägningar.

Ofta undrar personer som blivit avstängda från nätet varför de inte varnats innan datorn stängdes av från nätet. Studenter undrar också varför de inte får veta orsaken utan måste ringa till Studentsupport för att få uppgifter.

Det är flera orsaker till detta:

  • Gäller det universitetsägda datorer meddelas den lokalt nätansvarige. Kan vi inte få tag i personen stängs datorn av i utgående router genom ett filter. Kan inte problemet isoleras till en eller ett mindre antal datorer kan hela det lokala nätverket blockeras.
  • Gäller det datorer inkopplade via nationshusens nätverk meddelas nationens IT-grupp som skall hantera incidenten. Om vi inte kan nå dem stängs datorn av i utgående router genom ett filter. Kan inte problemet isoleras till en eller ett mindre antal datorer kan hela det lokala nätverket blockeras.
  • Gäller det datorer inkopplade via AF Bostäders nätverk stoppas nätaccessen genom att uttaget i switchen stängs eller genom blockering i utgående router.
  • Om det rör sig om virus, maskar eller liknande som attackerar andra datorer på nätet stängs nätuttaget direkt för att skydda andra.
  • De register som finns över studenternas nätinkopplingar har oftast inte korrekt mailadress och telefonnummer vilket gör att vi inte kan nå dem.
  • Studenter är ofta inte hemma under kontorstid.
  • Med tanke på det antal datorer som finns på LUNET (> 25.000) och de resurser som universitetet har tillsatt (~ 45h per vecka) finns helt enkelt ingen möjlighet att lägga ner tid på att leta efter telefonnummer och epostadresser eftersom vi av erfarenhet vet att det tar mer tid än vi kan spendera. Dessutom är inte dessa resurser primärt menade att användas till datasäkerhetsarbete på studentnäten utan för universitetets behov.


Maskar som Nimda, Code Red och Sasser.

Detta är exempel på Internet-maskar som infekterar datorer genom att utnyttja säkerhetshål i operativsystem och i programvara som kör på datorn.

En smittad dator försöker smitta andra datorer genom att aktivt leta efter datorer med samma säkerhetshål och infektera dem och därför är vi tvingade att stoppa nätaccessen direkt när infekterade datorer identifieras.

Man sanerar datorer med hjälp av ett antivirusprogram med en uppdaterad signaturfil och enligt de instruktioner som finns på antivirus-tillverkarnas hemsidor. Eftersom datorn inte har nätaccess måste man använda CD, USB-minne eller diskett för att hämta filer, programvara och säkerhetsfixar.

Meddela datasäkerhetsansvariga när datorn är sanerad så att den kan kopplas in på nätet igen.

Virus

Datorn har drabbats av något av de många virus som finns i omlopp. Olika virus sprider sig olika fort och vilket som har störst spridning varierar över tiden. "SoBig", "Sircam", "Yaha", "Klez", "Ganda" är exempel på virus som har haft stor spridning. Dagens virus är ofta av typen "massmailer", det vill säga de innehåller en funktion för att skicka sig själv vidare till alla epostadresser som viruset finner i datorn och för att hindra detta måste datorn kopplas bort från nätet.

Man sanerar datorn med hjälp av ett antivirusprogram med en uppdaterad signaturfil. Säkerhetsmässigt gäller samma saker för virus som för Internet-maskar.


Spam via trojaner eller öppna proxy

Detta är ett problem som kommit på grund av att spammare använder trojaner och öppna proxyservrar för att studsa sin spam och på så sätt skicka den vidare till mailservrar. Än så länge gäller detta endast Windows baserade datorer, vi har inte sett trojaner av detta slaget på Mac, Linux eller Unix-datorer ännu.

Proxy betyder "ställförträdande" och en proxytjänst är en datortjänst som agerar istället för den ordinarie. Det kan vara en webbproxy som man normalt använder på nätverk bakom en brandvägg och där Internetuppkopplingen är långsam. Då riktas all trafik till webbproxyn och vilken först letar i sin egen cache för att se om webbsidan finns lagrad innan den hämtar den från Internet. Det gör att

  • webbtrafiken mot Internet minskar
  • webbtrafik endast går igenom brandväggen via webbproxyn.
    Alla proxytjänster kan konfigureras så att de begränsar vem som får koppla upp sig mot dem och på så sätt förhindra att de missbrukas.

    Det kan finnas i många olika programvaror som kan agera proxy och detta är ett problem (inom LUNET behövs normalt inte några proxytjänster). Bland annat kan följande portar innehålla program med proxytjänster:
    PortnummerTyp av tjänst
    23 WinGate
    80, 8000,
    8080, 8081    		 MS Proxy eller annan webbproxy
    1080SOCKS
    3128Squid webbproxy

    Mer info på URL=

  • http://news.zdnet.co.uk/story/0,,t269-s2122679,00.html
  • http://kline.dal.net/proxy/
  • http://kline.dal.net/proxy/wingate.htm
  • http://spamlinks.net/proxy.htm
  • http://www.practicallynetworked.com/sharing/secureproxy.htm

    Hur säkrar man upp de vanligaste proxytjänsterna:

  • Wingate
  • WinProxy
  • Microsoft Proxy Server
  • JSproxyma
  • Comsocks

    Sedan finns också en otrevlig trojansk häst som användare kan få in i sin dator och vars enda funktion är att skicka vidare spam på samma sätt som en proxytjänst. Man drabbas av den genom att ladda hem program via FTP, P2P, webb-länk, IRC, epost eller liknande och efter att programmet startas läggs en server upp på en slumpvis vald port. Dessa servrar kan sedan agera tillsammans i ett så kallat Bot-net som används för av spammare.

    Mer info på URL=

  • http://archives.neohapsis.com/archives/incidents/2002-09/0193.html

    Det går att ta reda på vilka portar som är öppna på en Windowsdatorn genom att i ett DOS-fönster skriva kommandot "netstat -an". För att ta reda på vilket program som öppnat en viss port använder man programmet "ActivePorts" som finns på URL= http://www.ntutility.com/freeware/ (450 kB).


    Copyright

    Avstängning på grund av spridning av copyrightskyddat material är orsakat av att film, musik eller programvara har hittats på en dator ansluten till LUNET och materialet är tillgänglig för alla att ladda ner. Antingen har en copyrightjägare som arbetar på uppdrag av den som har upphovsrätten till materialet hittat en eller flera filer och meddelat oss eller har vi själva hittat copyrightskyddat material. Att sprida material utan copyrightägarens tillåtelse är ett lagbrott och Lunds universitet kan inte se mellan fingrarna med detta.


    Användning av Peer-2-Peer program

    Datasäkerhetsgruppen beslutade under våren 2003 att fildelningsprogram av typen peer-2-peer inte längre var tillåtna att användas på LUNET. Orsaken till detta var att universitetet fick ta emot många klagomål från de företag som äger upphovsrätten till den musik och de filmer och program som olagligen spreds. Dessutom var det kapacitetsproblem i delar av nätverket som genererades av studentnätet men som även störde universitetets anställdas användning. All trafik som går in och ut ur LUNET kontrolleras och om den identifieras som peer-2-peer trafik blockeras IPnummret i nätet. Blockeringen varar till sedan 1 - 1.5 dygn beroende på hur systemet är inställt.


    Missbruk av bandbredd

    "Missbruk av bandbredd" är när en enstakta användare har utnyttjat långt över sin del av den gemensamma resurs som nätet är. Det finns ingen fast norm för exakt hur mycket "för mycket" är utan det beror på hur belastningen ser ut vid varje enskilt tillfälle. Ofta är det ett fåtal personer som står för mycket stor del av trafiklasten, 80/20-regeln gäller. Vi har vid ett tillfälle sett att en enskild person stod för 20% av den totala lasten på ett nät med 700 användare.


    Stulet IPnummer

    Med "stulet IPnummer" menas att personer använder IPnummer som inte delats ut till dem. Det är absolut förbjudet att göra detta eftersom universitetets nätleverantör SUNET kräver att vi vet vem som har respektive IPnummer vid varje tillfälle. Dessutom riskerar man att krocka med någon som får detta IPnummer utdelat till sig och då störa den datorns nätuppkoppling. Det tar tid och resurser att leta upp dem som stjäl IPnummer och vi ser allvarligt på detta.




    • [ LDC ]        [ Lunds universitet ]        [ LTH ]
    ©Magnus Persson, LDC Senast uppdaterad: The CMD option is not enabled for #EXEC calls
        Kontakta Webmaster