Printable View
Budu mít nějaký wi-fi router pro domácí použití s HW firewallem, na kolik se to dá využít, popř. odpojit SW firewall? Používám Kerio Personal Home a samozřejmě interní wokenní. Moc se v tom neorientuji, děkuji odborníkům předem za cenné rady. Nějak nekapíruju hlavní podstatu mezi HW a SW, výhody a nevýhody.
Použít se to určitě dá, ale rozhodně ne natolik abych mohl odpojit SW FW. Pomůže ti to jen vyřešit různý útoky zvenčí. SW naopak kontroluje co a jak se smí konektit z kompu ven.
Jinak mrkni na stejnou diskusi třeba sem
pokud mas dobry HW FW , pak SW nepotrebujes.
Místo HW firewallu mám linux a je nastaven tak, že jsou povolené jen ty nejnutnější porty ZEVNITŘ VEN a z venku není povoleno nic (krom vzdálené správy a SMTP serveru). Taktéž je nastaven, že "čmuchač" portů je pak na 10 minut odstaven a pokud se během té doby odstavení od něj projeví nějaká aktivita, tak se odpočítává těch 10 minut odznovu.Citace:
Původně odeslal Aliencz
Na PC pak už není žádni firewall, jen antivir a antispam.
A nektere HW FW ten linux v sobe i maji ;)Citace:
Původně odeslal Paolo
Kdysi jsem pouzival Kerio. Ale pote co jsem si koupil Router s FW tak jsem za trictvrte roku nemel ani jeden neopravnenej utok z venci. Pote slo Kerio do kose. Pouzivam 2 roky HW FW a pohoda. Musis si ho ovsem dobre nastavit coz se mi asi povedlo:-)
Rad se necham poucit, jak kterymkoliv HW FW nastavim aby:
- na inet mohla jenom Mozilla a pouze http/https/ftp
- getright pouze http na inet
- wget a MSIE pouze http/https ale jen na lokalni server
- thunderbird pouze pop3/smtp na inet
- vsechno ostatni se bude tvarit, ze inet neexistuje
;-)
Pokud mas pozadavky primo na aplikacni pristup, tak na HW firewall zapomen :-)
Přesně to jsem se tady snažil vysvětlit ;)Citace:
Původně odeslal IntEx
Hmm a je to k necemu dobry ? Pokud nejsem idiot a nenainstaluju si trojana/... sam, tak nepotrebuju odchozi komunikaci temer vubec omezovat. A pokud tam toho trojana uz mit budes, tak si na 90% umi poradit s povolenim komunikace na vsech rozsirenejsich aplikacnich FW.Citace:
Původně odeslal Aigor
=> aplikacni FW je jen zpomalovadlo absolutne vseho, kuprikladu ono slavne Kerio je nepouzitelne pokud chce nekdo pouzivat neco jinyho nez modem. Pri 1MB/s to vytizi libovolnej CPU na 100%.
Ad Jezevec:
je to dobry - dokud jsem nepouzival FW netusil jsem co vsechno se me se... na net. Mam sice wifi na pausal, ale uz z principu me to dost vadi. Takhle si nastavim pravidla a nemusim resit co vsechno putuje bez meho vedomi z kompu ven.
Konkretne treba pro prohlizece je to super, napr. deravej IE na net preventivne nepoustim, ale pro ladeni stranek z meho web serveru ho pouzivam, etc.
A s tim Keriem to taky neni tak cerny, pro inet mam vyhrazenou extra instalaci a nemam pocit, ze by bylo cokoliv viditelne pomalejsi nez v pracovni (bez netu, FW, a Antiviru).
"kuprikladu ono slavne Kerio je nepouzitelne pokud chce nekdo pouzivat neco jinyho nez modem. Pri 1MB/s to vytizi libovolnej CPU na 100%."
Nesouhlasím. Můj server a router je Celeron 366MHz na win2k (256MB SDRAM), připojeny jsou 4 PC, na serveru jedou navíc služby pro online hru a CPU má vytížení s Keriem 5-15%, připojení NETBOX 5/1 MBit. Nechápu, kde jsi přišel na takové vytížení.
No osobne jsem uz hodnekrat zazil usera s Keriem, co si platil 4Mbps lajnu do netu, ale diky keriu z toho mel sotva mego. Po vypnuti to najednou ozilo jak ma.
Taky zastavam nazor, ze kdyz je HW FW (co bejva ruzne v modemech a routerech - obvykle staci bejt za NATem), jsou aktualizovany Widle a user neni debil a neklika na vsechno, co mu vyskoci na placku, tak je to v pohode.
To ze to kazdou chvili nesviti cervene, ze je nejaka nekala komunikace, neznamena, ze to nefunguje.
Pokud ma clovek verejnou adresu primo na kompu, je nutny nejakej mit, ale obvykle staci spravne nastavenej wokeni FW, aktualni Widle a vypnuty sdileni a sit M$.
Nevidim zadnej duvod, proc blokovat/filtrovat odchozi provoz, snad vim co delam a co tam mam. Obvykle kdyz mi neco vleze do kompu, tak jsem to tam pustil sam nebo to prislo postou nebo dirou we Widlich - od toho je WindowsUpdate. Jak psal Jezevec, ven se to uz povoli samo :-)
Mam upln stejny nazor. Mam router s povolenym FW + NAT a sw fw ve widlich a problem nikdy nebyl a neni.Citace:
Původně odeslal HAVTOM
Jednu dobu jsem mel ZoneAlarm, ale byly s tim spise potize, nez ze by to melo nejaky realny efekt.
Jo kazdej mame jinou predstavu, svoje duvody jsem napsal. Ja naopak nevidim zadnej duvod proc ma lezt na net WinAmp, Word, Excel, DVDShrink, MediaPlayer, DVDPlayer, FMAagent, apod.Citace:
Původně odeslal HAVTOM
A pokud je uzivatel debil, nepomuze mu ani deset FW (zkusenosti z prace). Stejne tak bych mohl argumentovat ze pokud si nekdo umi spravne nastavit FW, tak ho to rozhodne nezpomaluje :)
PS: Za poslednich 15 let jsem nemel ani jednoho trojana nebo cerva, vira jen jednou - kdyz jsem si ho vedome donesl na prozkoumani (to sem se jeste bavil ASM), Antivirak pouzivam teprve rok a FW od letosniho ledna, casy se meni a inet je cim dal rafinovanejsi.
Ehm, vis jakej je rozdil mezi 1Mb a 1MB ? a to zatizeni je overeny pri pouziti asi 5ti ruznych ftp serveru na widlich. Pod tuxem na stejnym stroji neni nejaky ftp na CPU poznat vubec.Citace:
Původně odeslal leo
A ty SW co si zminil, staci se jit podivat do konfigurace, a tam zakazat kontrolu aktualizaci. Nemluve o tom, ze kdyz si chces pustit radio/TV z netu, tak to stejne musis povolit.
Jo tak to sem taky prehlid - pri takovym provozu to overeny nemam, takze se nebudu hadat ;-) Ale pozakazovat app nestaci. Mimo to se dneska kazdej program cpe na net jeste pred odklepnutim posledniho instalacniho dialogu. Muj provoz na netu je minimalni, ale kdyz sem porovnaval statistiky dat, tak po nasazeni FW mam o 30% mensi objem odchozich a o 60% prichozich dat (tam dela hodne filtrovani reklam pres FW).
Je to ostatne jedno, rozdily mezi FW jsme tu probrali, takze dal se v tom patlat nebudu, at si kazdej (ne)pouziva co chce, ted zpatky do prace :-)
"Ehm, vis jakej je rozdil mezi 1Mb a 1MB ?"
Ehm, víš, že mezi 5MBit a 8Mbit (1MB) zase až tak velký rozdíl není, aby se to tak výrazně projevilo ve Firewallu? Na asi 5 různých PC se chová Kerio tak, že nepoznám rozdíl s ním nebo bez něj. Ale souhlasím s tebou, že provoz na těch strojích tak vysoký není. Avšak tazatel hovořil o domácím PC, ne o serveru, pro Aliencz je obyčejný Kerio personal firewall v pohodě. Netřeba se jej bát.
Programy ktere nechci aby na net lezly patricne nastavim a je to. Cele roky jsem nemel s verejnou IP na 100Mbit lince aktivniho antivira a FW pouzil jen sem tam na testovani a vira jsem si dotahl jednou (moji blbosti). Naopak jsem se setkal s lidma, kteri, ac s FW, meli windle pekne roz..bane. Ted jsem uz za NATem a neresim to vubec.Citace:
Původně odeslal Aigor
K tomu zpomaleni ... Norton i Kerio tu 100Mbit linku trochu omezily, nebylo to tak drasticke jako aktivni antivir kontrolujici sitovou komunikaci ... to je podle me nepouzitelne.
Zajímavý názor, mě by jen tak naokraj, zajímalo, jak víš, že jsi neměl 14 let trojana, červa či virus, když antivir, nebo firewall, jediný to program, který tě informuje, že jsi "napaden" používáš teprve rok. To mi nějak není jasné. Nebo snad informace o napadení virem poskytuje i nějaká originál windows aplikace? (třeba Outlook?) ...Citace:
Původně odeslal Aigor
Likvidovat viry, chranit sit a cistit PC od balastu je prace ktera me uz cca 7 let zivi (80 stanic, 9 serveru). Troufam si rict, ze poznam, kdyz se PC chova "nenormalne".Citace:
Původně odeslal Aliencz
PS: Krom toho jsem donedavna nemel doma internet :p >:}
Ja pouzivasm tuto konfiguraci:
Linuxovy FW s NATEM - omezeni dovnitr i forward z localu VEN - nebot obyc uzivateli podnikove site, NEMUZES verit NIC.
veskery provoz na 25 je smerovan na router (antivir, antispam) a veskery provoz 80 je pres proxy - na proxy je parentne navazana antivir proxy = 0 viru pres HTTP - proste nejdou stahnout ... proxy ma dalsi vyhodu pri omezovani provozu a porno stranek ....
tohle vse se rovna:
1. deblni wokna jsou v bezpeci
2. nemusim pouzivat debilni windows aplikace typu: kerio, norton, atd ....
3. 0 kc
4. 0 prace (pouze security update)
Zatizeni 1.7 CeleronD 1G RAM se 130 PC v siti = 10-15 procent ....
Jenze Admin NENI od toho aby likvidovalviry, ale odtoho aby se tam nedastaly ...Citace:
Původně odeslal Aigor
Od toho taky neni ani antivir, ten te nechrani pred viry, ten je pouze maze, pokud je pozna.
Nejdulezitejsi ze vseho je poradny Firewall.
antivir kontrolujici sitovou komunikaci je dnes prakticky NUTNOST a funguje to naprosto suprove, ovsem na normalnim OS, ne na "balastu" ala MS.Citace:
Původně odeslal PetrT
OK, díky za info, ještě mi ale řekni, jak ty viry identifikuješ bez detekčního SW, když máš pocit, že se PC chová divně a jak to děláš, když se PC divně nechová a přesto je zavirováno, protože si myslím, že celá řada virů chod PC neovlivňuje .... jak tedy poznáš, že jsi zavirován bez detekčního SW i když se PC chová normálně ... tak tomu prostě nerozumím no.Citace:
Původně odeslal Aigor
Napriklad tak, ze po nekolika letech ti to neda a nejaky antivir si nainstalis a zjistis, ze stroj je cisty. Taky zadny antivir nepouzivam, neni treba, akorat to vse zpomaluje.
Domnívám se, (možná ale chybně) že pokud je serfař na netu aktivní a v podstatě brouzdá všude možně, nelze se náhodné nákaze ubránit a detekce je nevyhnutná. Ano, mohu být připojený na net a navštěvovat své tři oblíbené weby a nic víc, to si potom možná vystačím nejen bez antiviru, ale i bez firewallu ...... nebo to tak není? Poučte mě, protože v tom jasno nemám. Ochrana proti nákazám bez detekčních a ochranných prostředků je jistě zajímavé téma.
Hmm, a pres co by ses chtel "nahodne" nakazit ? Pominu pouzivani IE, coz je dira do systemu vzdy. Ostatni prohlizece jsou zaplatovany dostatecne na to, aby se pres ne pri beznem browseni nekdo dostal. Vse ostatni pozaduje minimalne jeste dalsi krok - ulozit/spustit nejaky soubor.
Pokud je nekdo vice paranoidni, tak zakaze pouzivani javascriptu, trebas defaultne zakazat vse + pro zname weby povolit(pripdne jen vybrane akce).
Krom preteceni zasobniku me nenapada zadny zpusob jak prohlizec zvenku napadnout.
Firewall skutecne neni treba, ovsem problem widli je v tom, ze oteviraji do sveta spoustu zajimavych portu. Kde nic neni, ani cert nebere => proto jsou w9x daleko bezpecnejsi nez w2k/xp, staci u nich odmaznout M$ sdileni a neni nic, kam by se zvenku mohl nekdo pripojit.
To u XP je to jina, zkus si zakazat RPC a zjistis, ze widle chcipnou vpodstate dokonale, prestane fungovat skoro vsechno. Tomu se podle M$ rika zlepseni bezpecnosti.
Podivej se na to trebas nasledovne. Nejaka nova dira v prohlizeci = nevi o ni ani pripadny anticosi. Nez se o ni dozvi, je kazdy rozumny prohlizec zaplatovany.
Tož díky za hodnotné info, něco si z toho přeberu. Mohou přispět i další svými postřehy z praxe.