En almindelig firewall stopper som udgangspunkt al udefra kommende trafik og tillader al trafik indefra. Det betyder, at du kan hente mails og gå på internettet og så videre og det er jo meget praktisk. Når du henter informationer fra nettet tæller det stadig som “indefra” fordi forbindelsen er sat i gang indefra.
Så hvis du klikker på noget i en mail eller på en hjemmeside, som du ikke skulle have klikket på, så har du “indefra” bedt om at få, det der gemmer sig bag klikket. Hvis du er heldig, så tager dit antivirus program sig af at forhindre, at der sker noget alvorligt ved det. Men har du først fået noget skidt ind på en af dine computere (en PC, en smartphone, en elmåler eller hvad du nu ellers har med indbygget computer), så er der relativ fri bane til at dette fremmedlegeme kan kommunikere med andre computere på hele internettet.
Det er dette, som udnyttes af it-kriminelle, når de får lagt en keylogger (program, der videresender, alt hvad du indtaster) eller en botnet klient (program, der får din PC til at være en ressource i et kæmpe netværk, så de kriminelle kan sælge computerkraft uden selv at eje computerne). Og sikkert også i mange andre sammenhænge.
Så ved du hvem dine computere kommunikerer med?
I større netværk har man forhåbentligt styr på det, men det kan være et stort arbejde, så især mindre installationer har ingen anelse. Det har vi prøvet at gøre noget ved: Du skal bruge:
- En firewall med syslog funktionalitet
- InfoShares SysLog Examiner
Vi har valgt at benytte syslog, fordi det giver mulighed for at få et overblik over al trafik – også fra WiFi opkoblede telefoner og ham, der sidder udenfor hækken og bruger dit trådløse net. Billige firewalls og de firewall/routere, der leveres fra telefonselskaberne har ikke mulighed for at sende en syslog, så vi er også på vej med en billig firewall, der kan sende syslog (vi har lavet den, men mangler bruger- og installationsvejledning – og ord tager tid).
Når du kan få en syslog installerer du vores Syslog Examiner på en Windows PC og så får du hjælp til at vurdere trafikken: Der kan være tale om en omfattende trafikmængde, men programmet hjælper dig med stille og roligt at få et overblik over, hvad du sender: Når du har taget stilling til en bestemt modtager, som får data fra dit net, så forsvinder den ud af syne og du kan samtidigt sørge for at disse informationer ikke bliver indsamlet fremover (dog ikke i demoversionen af programmet). Hvis der er noget du umiddelbart kan godkende eller noget du må undersøge nærmere, så skriver du det ind i systemets todo liste og kigger på det senere. Altså med mindre, det ser så alvorligt ud, at du smider alt og straks går i gang med at finde misdæderen.
Her ser du et udsnit af oversigten for vores netværk. Maskinen IS06 sender en masse DNS forespørgsler til forskellige maskiner og ved hjælp af knapperne nederst i højre side kan du hurtigt se, hvem der ejer de pågældende ip adresser. På skærmbilledet har jeg med et enkelt klik spurgt whois om hvad de ved om IP adressen 69.29.95.154.
Når jeg klikker på Action knappen og skriver et eller andet om denne kommunikation forsvinder alle linjer med denne kombination fra oversigten, og stille og roligt barberer man sig ned til at der ikke længere er noget, som man ikke har taget stilling til.
Bliver man så mere sikker af det? Programmet hjælper dig med at afsløre nogle former for illegal aktivitet, fx keyloggere og botnet, og på den måde kan det måske også hjælpe dig til en roligere nattesøvn, men i sig selv giver det ingen direkte beskyttelse. Men indirekte kan du være med til at gøre tilværelsen mere besværlig for de it-kriminelle og dermed giver du os alle større sikkerhed.
PS: Programmet mangler p.t. licensbeskyttelse og den slags pjat, så indtil videre må du blot sende en mail til admin @ infoshare . dk, hvis du vil have besked, når det er klar til download.