Если это ваш первый визит, рекомендуем почитать справку по форуму. Для размещения своих сообщений необходимо зарегистрироваться. Для просмотра сообщений выберите раздел. |
Встроенный брандмауэр и пакетный фильтр 2k\XP |
Обсуждение всего, что связано с интернет, а также сетевого оборудования и сетевых технологий от офисных сетей до домашних. |
|
|
Опции темы |
29.10.2003, 18:16 | #1 |
Форумец
Сообщений: 5,001
Регистрация: 08.04.2003
Возраст: 40
Не в сети |
Встроенный брандмауэр и пакетный фильтр 2k\XP
Кто что думает об этих средствах поставляемых MS в составе своих операционных систем .
Достаточно ли защита обеспечиваемая ими для рабочей станции , а для сервера ? |
09.11.2003, 02:11 | #8 | |
Форумец
Сообщений: 22
Регистрация: 15.10.2003
Не в сети |
Цитата:
С XP - несколько сложнее, там умолчания другие, но из домашнего компа (HOME Ed.) - легко и просто, к сожалению. ССылок не даю, дабы не размножать юных ломателей, пусть ищут сами. От простых отморозков по жизни встроенный файрволл защищает вполне нормально, от чуть продвинутых - никак. А SAM+ syskey, мне кажется - это не панацея по умолчанию, а могучий инструмент, которым надо пользоваться, тогда он будет полезен. Как им пользоваться - это большой вопрос и сложный, азы - ненаследуемые и обоснованные разрешения на все и вся и следить за этим! Муторное это дело... А если бы все встроенное нормально работало, то быстренько прогорели бы все производители сторонних файрволов. А они процветают, как правило. Может, Гейтс от того и богат? |
|
09.11.2003, 07:21 | #9 |
Форумец
Сообщений: 5,001
Регистрация: 08.04.2003
Возраст: 40
Не в сети |
Aliance
А если бы все встроенное нормально работало, то быстренько прогорели бы все производители сторонних файрволов. Пожалуйста конкретные примеры что именно Вас не устраивает в этом продукте ? , азы - ненаследуемые и обоснованные разрешения на все и вся и следить за этим! Ну о приимуществах и недостаках применения аклов , можно спорить . |
09.11.2003, 10:41 | #11 |
Форумец
Сообщений: 5,001
Регистрация: 08.04.2003
Возраст: 40
Не в сети |
Bambarbia
Те системы(выше NT4+SP4 ) использующие syskey в плане защиты регистрационных данных пользователя неуязвимы ? Если так то ты ошибаешся . Злоумышленнику для того чтобы добраться до информации содержащейся в SAM даже не надо иметь привелегий админа на атакуемом хосте(хотя как сам понимаешь согласно идеологии безопасности 2k даже админ не должен иметь такого доступа ) , простой пользователь сгодится (естесвенно это с настройками по умолчанию ). |
08.12.2003, 02:59 | #13 |
Форумец
Сообщений: 5,001
Регистрация: 08.04.2003
Возраст: 40
Не в сети |
Вот то что доктор прописал .
PktFilter: a Win32 service to configure the IPv4 filtering driver of Windows 2000/XP/Server 2003. http://www.hsc.fr/ressources/outils/pktfilter/ http://sourceforge.net/projects/pktfilter/ |
24.12.2003, 10:36 | #14 |
VDT
Сообщений: 229
Регистрация: 02.11.2003
Возраст: 39
Не в сети |
брандмауэр должен быт ь железный а не софтовый,
но для домашнего юзера достаточно будет MS. Хотя он даже DCOM не ловит. |
30.12.2003, 13:52 | #15 |
Форумец
Сообщений: 23
Регистрация: 29.12.2003
Не в сети |
насчет железного брандмауэра все абсолютно точно, но это дорого. А насчет софтовых, то брандмауэр от M$ довольно примитивен, чаще всего файрволы других производителей более продвинутые. А необходимость большей или меньшей защиты зачастую определяется типом подключения. На выделенке никакие дополнительные меры безопасности лишними не будут.
Конкретный минус у MSовского брандмауэра - невозможность разрешать/запрещать выход в Инет для каждой программы |
31.12.2003, 11:30 | #18 | |
Форумец
Сообщений: 23
Регистрация: 29.12.2003
Не в сети |
Цитата:
|
|
31.12.2003, 12:37 | #19 |
Форумец
Сообщений: 20
Регистрация: 15.12.2003
Возраст: 46
Не в сети |
для Santec
Замечательно. Буду признателен если Вы поясните как на примере Outpost, установленного на шлюзе в интернет обычной корпоративной сети запретить использование локальными машинами в качестве браузера IE и разрешить, скажем, Оперу? "Железный брандмауэр", "софтовый файрвол" и "выделенка" о которых вы говорили -- это все же атрибуты сети, а не домашнего пользователя. Как и основная задача файрволов -- защита сети. |
31.12.2003, 13:41 | #20 |
Форумец
Сообщений: 23
Регистрация: 29.12.2003
Не в сети |
ma[DD]og Если пользователь выходит в Инет изнутри сети, то отсечь к примеру ту же оперу невозможно, а если она установлена на компе с этим самым файрволом, то он может запретить ее, но пропускать IE.
А насчет того, что "софтовый файрвол" и "выделенка" неприменимы для домашнего пользователя - не есть верно. Посмотри лругие темы в этом разделе форума, там развернулись огромные дискуссии именно среди домашних пользователей на выделенке. |
03.01.2004, 14:55 | #22 |
Форумец
Сообщений: 23
Регистрация: 29.12.2003
Не в сети |
zic Хм-м-м-м, Имеется в виду модель OSI? Наскоько я понимаю разрешение/блокировка TCP, UDP, ICMP пакетов это фильтрация на транспортном уровне, а в случае IP-пакетов это сетевой уровень. Брандмауэр от MS только этим и занимается, что фильтрует пакеты TCP, UDP, ICMP. А перечисленные мной выше файрволы кроме этого занимаются сетевым уровнем и уровнем приложений.
ИМХО MS-файрвол имеет смысл использовать при условии, что другие вещи недоступны или в упор отказываются устанавливаться на систему, которую нужно защитить |
03.01.2004, 19:01 | #24 |
Форумец
Сообщений: 23
Регистрация: 29.12.2003
Не в сети |
попробовал. В журнале Аутпоста появились записи:
1) Атака Rst 2) Сканирование портов Santec добавил [date]1073151356[/date]: Хотя более детальная проверка показала, что не все виды stealth сканирования Аутпост засек |
05.01.2004, 09:36 | #25 |
Форумец
Сообщений: 20
Регистрация: 15.12.2003
Возраст: 46
Не в сети |
zic
Что есть stealth сканирование? Это слово из 7 букв. santec Что OutPost понимает под "Атака Rst" и "Сканирование портов"? Тридцать SYN запросов? Пятьдесят? За какой интервал времени? Или считаются ASK запросы? А если их к примеру будет всего навсего десять, тогда что???? В общем, программа должна работать, а думать должен человек. |
05.01.2004, 17:25 | #27 |
Форумец
Сообщений: 5,001
Регистрация: 08.04.2003
Возраст: 40
Не в сети |
ma[DD]og
http://www.insecure.org/nmap/nmap_doc.html#fin Santec Outpost 2? Зато ядро у него кривое . zic добавил [date]1073316653[/date]: Кстати, мы не ушли в офтопик? да нет пока |
05.01.2004, 18:18 | #28 |
Форумец
Сообщений: 23
Регистрация: 29.12.2003
Не в сети |
zic И возможность добавить диапазон IP-адресов отличный от маски 255.255.255.0 во второй версии убрали. Добавить то конечно можно, но поизвращаться для этого нужно...
Во многих случаях я рекомендую устанавливать первую версию. В общем-то идеального файрвола быть не может. В любом случае приходится выбирать из 2х (3х,4х...) зол меньшее |