Встроенный брандмауэр и пакетный фильтр 2k\XP

[ma[DD]og]

Читаю я в задумчивости посты и охватывает меня чувство удрученности. Рассуждения какие кнопки в какой программе появились, что убрали, как круче стали называться атаки. И "проведение атаки" это скачать программу и с благоговенной дрожью нажать кнопку с тем самым непонятным названием. И это конец, если файрвол не поймет что это атака (то что надо настраивать соответствующие правила -- немыслемо. Проще свалить на недоделанный файрвол). Думать своей головой -- некогда. Понять что "за названиями" скрывается ОБЫЧНОЕ И НЕ СЛОЖНОЕ функционирование стека протокола ТСР-IP -- слышали краем уха.
.... Смотрю я задумчиво в окно как идет снег. В поисковике набираю "протокол TCP" и вот ответ
http://athena.vvsu.ru/net/book/tcp.html

[Santec]

ma[DD]og Хорошая книженция, только от ее прочтения, в Аутпосте не добавится возможность фильтрации пакетов с нестандартно установленными битами, что и используется при проведении сканирований описанных выше. Так что это все-таки недостаток файрвола, а не кривые руки. Если есть идеи по тому какой файрвол взять и как его настроить чтоб этих недостатков не было, то я с удовольствием на этот файрвол свой сменю. Для того тут и обсуждаем

[zic]

Santec
http://www.f-secure.com/

zic добавил [date]1073382779[/date]:
ma[DD]og
Сроду фронтом к nmap не пользовался .

И это конец, если файрвол не поймет что это атака (то что надо настраивать соответствующие правила -- немыслемо. Проще свалить на недоделанный файрвол).
О этом и речь идет , не все "изделия " предоставляют достаточный интерфейс для управления полетом , по крайней мере в секторе персональных брандмауэров.(про продукты класса CheckPoint мы сейчас не говорим использовать их для защиты отдельного компьютера черезмерно расточительно )

ДА и различия между ними весьма значительные некоторые используют системный драйвер фильтра TCP\IP что несколько ограничивает возможности , другие подгружают свой модуль к ядру что черевато последствиями .

zic добавил [date]1073383004[/date]:
ЗЫЖ как бы ты под winows руками raw пакеты создавал ?

[СерёжаЗадунайцев]

Прочитал...И Santec в принципе слышал мою точку зрения.А нужен ли так контроль над всеми программами, например на контроллере домена, который используется как шлюз в инет и независимо от установленного ПО на клиентах будет пропускать через NAT все запросы от клинтов. Его защита должна состоять в том, чтобы не было возможности подключения из вне с целью "уронить" "стереть" "получить". Контроль над программами на контроллере домена, думаю тоже не актуален. ПОэтому я остановился на встроенной пакетной фильтрации в "Маршрутизации и удаленном доступе". Единственные его минус это невозможность отлавливать действия программ и запрещать некоторым хождения в инет. Так что на клиентских машинах хорошо бы с этой целью ставить OUTPOST но это уже какая то сложная схема.
И для дома (кстати выделенщиков домашних уже ОЧЕНЬ много и у каждого встает вопрос, а защищен ли я раз комп постоянно в инете) только фаирвол с контроллем приложений. Я бы опять же остановился бы на Outpost.

[zic]

SergDik
например на контроллере домена, который используется как шлюз в инет и независимо
безграмотно использовать контроллер домена как шлюз в Интернет , в любом случае .
хотя некоторые "умельцы" и MS sql туда пихают .

Так что на клиентских машинах хорошо бы с этой целью ставить OUTPOST но это уже какая то сложная схема.

Лучше использовать средства поддерживающие централизованное управление .

[Santec]

zic F-Secure Distributed Firewall я на их сайте не нашел, хотя документация по нему лежит. Но скачал оттуда F-Secure Internet Security 2004 (обратите внимание на цифру. какая оперативность!!!). Видимо просто изменили название программы. Эта штуковина включает в себя еще и антивирус. В общем впечатление от программы неплохое, но на моей машине она не прижилась - жутко затормозила всю систему, причем антивирусный модуль я не включал. Скорее всего у меня просто на компе система всякими тестами убитая, надо будет переустановить как-нибудь на досуге и тогда еще попробовать.

Santec добавил [date]1073578064[/date]:
Предлагаю каждому высказаться кто каким файрволом пользуется, какими пользовался чем определился выбор.
У меня последовательность была примерно такая:
atguard322 - когда то было неплохо, но прекратилось развитие
kerio-personal firewall-4.0.7 - чисто ставил посмотреть
Symantec_Norton_Internet_Security_2003_6.0 - очень уж тяжелая штука
zonealarm - не столько пользовался сам, сколько ставил другим - несложный интерфейс и бесплатность
TinyPF5 - уже не помню - недолго прожила у меня
OUTPOST - 1я и 2я версии долго у меня жили мои высказывания про них выше
Sygate Personal Firewall - сменил этим файрволом Аутпост, посколько тот конфликтовал с убитой системой

[zic]

Santec
Distributed Firewall предназначен для централизованного управления , следовательно не для домашнего пользователя , следовательно скачать с оффсайта врятли получится .
F-Secure Internet Security 2004 продукт несколько другого класса .

[Santec]

Наткнулся на статью журнала PCWeek: http://www.pcweek.ru/?ID=65817
Они предлагают одновременную установку ZoneAlarm и TinyPersonalFirewall. Кто-нибудь занимался подобными вещами? Я знаю, что одновременная установка ZoneAlarm и Outpost приводит к полной неработоспособности Win2000. Только перезагружаться в SafeMode и удалять один из файрволов.

[zic]

Santec
идиотизм какой-то .
Может на шлюз тогда ставить ISA + CheckPoint fw
?

[Santec]

zic Согласен. Это дело для маньяков. Но возможно такой вариант вполне работоспособен. Если обе программы испоьзуют разные способы фильтрации, от от такой связки будет польза. Вопрос целесообразности такой заморочи - это уже вопрос того насколько хочется чувствовать себя безопасно и насколько человек готов к увеличению сложности настройки.

[zic]

Santec
Это маразм .
Если безопасность настолько важна то сущетвуют продукты несколько иного уровня чем ZoneAlarm и TinyPersonalFirewall
Качественно иного .

[Santec]

zic Иной уровень дорого стоит. А из соображений: "хочется всего и на халяву" и возникают такие извраты как ZoneAlarm+TPF.

[Bambarbia]

изврат - вообще пользоваться персональным файрволом
ничем не пользуюсь (дома) и при этом совершенно спокоен

[zic]

Santec
"хочется всего и на халяву"
мне кажется от такого бреда ты скорее потеряешь в безопасности.

Bambarbia
А вот я мнительный
rpc наружу выставлять не хочу
г оно есть г чем его не латай

[Bambarbia]

zic

вылазь в мир из-под чего-нибудь без rpc

[zic]

Bambarbia
iptables

[Santec]

Bambarbia Могу привести несколько десятков примеров, когда работа без файрвола примерно через месяц приводила к увеличению размера глаз при виде счета от провайдера. Конечно большую роль играет понимание что в Инете делать можно, а чего нельзя, но даже тетушки, которые пользовались на компе одним Word оказывались взломанными или зараженными вирусами. Есть и другие примеры - одному "товарищу" я лично несколько раз вычищал комп от вирусов и устанавливал файрвол, потом мне это надоело и этим стала заниматься компьютерная контора находящаяся поблизости, но результат один и тот-же: раз в месяц через него прет спам. Ну любит человек полазить по порносайтам и не задумывается над вопросами операционки об установке программ с этих порносайтов.

[zic]

XP Firewall Logger 2.01a

Author: Robert McBride
Date: 2003-03-03
License: Freeware
Size: 157 Kb
http://www.majorgeeks.com/download.php?det=3307

Интересная вещица .

Santec
Зависит от человека и от ОСи на правильно настроенной системе linux freeBSD 2k и XP в принципе можно себе это позволить /

[Santec]

zic А в F-Secure Distributed Firewall есть возможность задать несколько доверенных зон? А то я нашел только Trusted Interface, а там только возможность выбрать сетевуху, которая будет доверенной и IP с этой сетевухи он берет какой ему вздумается, а у меня несколько IPшников на одной сетевой карте.

[zic]

Santec
Конечно , просто создай разрешающее правило для нужных подсетей и сервисов.