Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailemVyřešeno Čím jiným než aplikačním fw zakázat aplikaci přístup na internet

Dotaz je tak trochu pod vlivem Vladimírovy averze vůči aplikačním firewallům. Připouštím, že oprávněné - ale takovéto posouzení není obsahem tohodle threadu.

Existuje lokální aplikace, které uživatel nechce dovolit přístup na net (třeba na server výrobce). Aplikace funguje plnohodnotně lokálně, např. přehrávač médií, grafický editor, nějaká systémová utilita, hra. V jejím nastavení ale není možnost kontakt s internetem zakázat. Je-li aplikační firewall zlo, jak teda přístup takovéto aplikace někam ven zarazit? BFU nezná porty, kterých je využíváno; ba ani neví, co to porty jsou.

Důvody k takovému okleštení aplikace neposuzujte - je to věcí uživatele.

Řešení č. 1, vytahovat při provozu takovéto aplikace internet ze zásuvky (hardwarově či softwarově) je nepohodlné.
Řešení č. 2, používat nějaký aplikační firewall s nastavením nulové ochrany, pouze se zákazem příslušných aplikací ven na internet - tady by se to mohlo škaredě liskat s paralelně spuštěným neaplikačním (t.j. správným) firewallem.
Řešení č. 3, existuje? Nějaká utilitka, která by to dokázala?

Dotaz je míněn opravdu jen vzhledem k potřebě blokovat odchozí spojení, nijak nepolemizuje s Vladimírem. (...rád bych někdy dosáhl jeho znalostí a zkušeností v této oblasti, což ovšem nehrozí...) Jen bych chtěl v případě použití neaplikačního fw dořešit onu potřebu ;-)

Díky za tipy.

doplnění: měla by to být nějaká jednodušší záležitost, aby ji zvládal i poučený začátečník. Tedy asi ne nějaké změny opravdu hluboko v registrech či nastaveních fw (jak mi jednou Vladimír ukazoval v případě fw z Windows Vista).

Předmět Autor Datum
Takove veci se daji resit i bez firewallu. Zjistis si server, na ktery se aplikace pripojuje a v sou…
Jan Fiala 10.02.2007 17:09
Jan Fiala
To mě taky napadlo, ale zjistit si tu IP adresu laik nezvládne. Navíc může nastat problém, když se c…
L-Core 10.02.2007 17:19
L-Core
a jak poznas konkretni server podle IP respektive, ze server na IP xxx.. patri nekomu duveryhodnymu?…
Radek 10.02.2007 17:33
Radek
a jak poznas konkretni server podle IP respektive, ze server na IP xxx.. patri nekomu duveryhodnymu?…
kmochna 11.02.2007 15:23
kmochna
dik, to jsem vubec nevedel, znal jsem jen Ripe poslední
Radek 11.02.2007 17:03
Radek
než na 0.0.0.0, tak raději na 127.0.0.1 prosím.
touchwood 10.02.2007 21:02
touchwood
aplikační firewall je pro tvé potřeby ideální řešení. nemusíš řešit co je hypoteticky právné z hled…
lední brtník 10.02.2007 19:55
lední brtník
Mně se samozřejmě aplikační firewall líbí, ale chtěl bych zjistit, co místo něj, kdybych se v sítích…
L-Core 10.02.2007 20:16
L-Core
obávám se, že pro lidi neznalé je aplikační firewall jediné schůdné řešení. Vladimír je jednoduše ře…
touchwood 10.02.2007 21:06
touchwood
Myslíš tedy, že nějaká NEfirewallovská (pravděpodobně na pozadí běžící) utilitka, která by uměla zab…
L-Core 10.02.2007 21:21
L-Core
Lekce z češtiny: 1. pád virus (nikoliv vir), 2. pád viru, 3. pád virem... Díky za pochopení.
Češtinář 11.02.2007 00:40
Češtinář
1. pád virus = živý bacil 1. pád vir = terminus technicus pro malware :)
lední brtník 11.02.2007 01:37
lední brtník
Ja neviem, či je to presne to čo chceš, ale na nete sa dá nájsť kadečo... Napr: programcontrol
pme 10.02.2007 21:47
pme
Ano, toto je dobrá cesta. Safe Eyes bohužel obsahuje mnoho sub-utilit v (docela drahém, 50$ ročně)…
L-Core 10.02.2007 22:50
L-Core
Tak, díky pme jsem se dostal na správnou cestu při hledání řešení. Našel jsem např. postarší aplikac…
L-Core 10.02.2007 23:14
L-Core
Hu, vidím že moje propaganda má účinky :-P Z hlediska "mé filozofie" ;-) je ideální řešení od JaFiho…
Vladimir 10.02.2007 23:59
Vladimir
Pečlivě všechno sleduju a jsem rád, že ses tu objevil :-) JaFiho řešení se mi nezdá user friendly a…
L-Core 11.02.2007 10:39
L-Core
Taky jsem se tu s Vladimirem dohadoval o smyslu aplikacnich firewallu... Sice si porad myslim, ze v…
Ynd0r 11.02.2007 13:39
Ynd0r
aplikace vskutku jsou http://winpooch.free.fr/page/home.php?lang=en&page= home doufam ze to vleze…
kmochna 11.02.2007 16:31
kmochna

To mě taky napadlo, ale zjistit si tu IP adresu laik nezvládne. Navíc může nastat problém, když se chce na ten server dostat ne z té aplikace, ale třeba z www prohlížeče. To by se ueditoval.

IP adresu, kam se nechce dostat, zjistí až po prvním připojení. Pokud nechce aplikaci ani jednou (čili ani poprvé) povolit přístup na server, stejně by musel IMHO nějaký aplikační FW použít a sledovat v něm příslušné IP adresy, kam se chce aplikace připojit.

a jak poznas konkretni server podle IP respektive, ze server na IP xxx.. patri nekomu duveryhodnymu? ja znam jen ripe.net a tam toho moc nezjistim, vetsinou je vse sit IANA a nebo jak to tam je, zpameti to nevim a konkretne nezjistis skoro nikdy nic.

mno protoze ta ip adresa nespada pod ripe musis se zeptat jineho spravce trebas tady
LACNICcountries.html

pouziti programu super scan od foundstonaku a ipnetinfo od nir sofera vic nez doporuceno

aplikační firewall je pro tvé potřeby ideální řešení.

nemusíš řešit co je hypoteticky právné z hlediska microsoftu (je to volný odchod tvých dat pryč:). od xp sp2 má jejich jediný správný firewall většina lidí - jak je možné že se od nich bez kontroly šířil "icq vir" stration / warezov - a není pro mě argument že viry má řešit jen antivir.
například díky spywaru v ie odcházející data či hesla postižených zákazníků kb/čs nejsou vir - a kdo jiný než firewall by měl tuto komunikaci povolit/zakázat?
v práci mi startuje firemní instalace xp asi 3-5minut a zabírá 230mb ram, věřím že s aplikačním firewallem prakticky není možné start takové obludnosti uřídit bez chyb v nastavení, navíc proč platit za něco co už je v jakési verzi v ceně, dá se pohodlně centrálně nastavovat, a protože to nic neumí na uživatele nevyskakují žádné zbytečné dotazy?

čili: pro každé použití se hodí něco jiného.

Mně se samozřejmě aplikační firewall líbí, ale chtěl bych zjistit, co místo něj, kdybych se v sítích poučil natolik, že bych Vladimírovu filosofii přijal za svou - a přes jeho tvrzení, že to není potřeba, bych si chtěl aplikace (někam se snažící připojovat) ohlídat.

Raději znova opakuju, že nesleduju nějaké flameózní antivladímovské cíle, ale seriózně hledám jednoduché (i pro IT elévy dostatečně přístupné) řešení.

obávám se, že pro lidi neznalé je aplikační firewall jediné schůdné řešení. Vladimír je jednoduše řečeno extrémní případ (dokonce bych řekl, že i "protiváha" jedinců s 3 simultánně nainstalovanými firewally a antiviry ;-)) a fungovat podle něj může jen pár lidí, kteří splňují i jiné požadavky (např. práce v User kontu, korektně nastavený IE, atp.)

Myslíš tedy, že nějaká NEfirewallovská (pravděpodobně na pozadí běžící) utilitka, která by uměla zabezpečit: "...Hro XYZ, ty prostě na internet nesmíš!" nebude existovat?

Mohla by fungovat ta moje možnost 2 z prvního příspěvku: že by kromě řádně nastaveného/spuštěného paketového firewallu běžel např. ZoneAlarm, jehož vlastní firewall by byl vypnut a fungovala v něm pouze sekce zakazující/povolující aplikacím "příchozí a odchozí volání"?

Tak, díky pme jsem se dostal na správnou cestu při hledání řešení. Našel jsem např. postarší aplikaci iprotectyou.html (freeware), která mj. umí zakázat/povolit libovolným aplikacím přístup na internet.

Ne, že bych si ji hnedka instaloval (jsem spokojenej s Keriem z předSunbeltovské éry), ale jsem rád, že něco, co splňuje požadavek z nadpisu threadu existuje - a navíc zadarmo.

Taky jsem se tu s Vladimirem dohadoval o smyslu aplikacnich firewallu... Sice si porad myslim, ze v plno pripadech smysl maji (je potreba vybrat nejaky, co nebrzdi normalni provoz), ale vzdycky se rad necham poucit - a kdyz je moznost a cas, vyzkousim i jine pristupy.
Takze nas novy domaci pc-prirustek je za asusem wl-500g premium, bez aplikacniho firewallu a antiviru, leze se do nej jenom jako restricted user. Nonstop na nem bezi nekolik vmware virtualnich pocitacu - a prakticky vsechno se dela na nich. Jeden je vyhrazeny na zkouseni ruznyho smeti - potom se vzdycky obnovi ze snapshotu. Na virtualni pc se obvykle chodi pres terminalovy sluzby, i fyzicke pc funguje jako terminalovy server. Zbytecny veci jsou povypinany, vsecko je rychly a stabilni, zda se, ze i bezpecmy.. a hlavne pohodlny.
Pardon za OT.

aplikace vskutku jsou

http://winpooch.free.fr/page/home.php?lang=en&page= home

doufam ze to vleze do skatulky jednoducha a zacatecnik

winpooch je omezovadlo cehokoliv na cokoliv - jednoduchymi pravidly lze "usmernovat" aplikace (net,soubor,registry),pridat program pridat akci net zalozku (port nebo ip)vlepit tam hodnotu a ulozit by mel zvladnout i pouceny laik - pokud by potreboval info jake ip (kam aplikace leze) tak tcp view + info o procesech (process explorer)
otestovat muzete ihned - zkuste ze spravce uloh ukoncit proces winpooch

vse free

Zpět do poradny Odpovědět na původní otázku Nahoru