Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Jaký firewall?

Potřebovalbych nějaký firewal. Mám Kerio, ale štvou mě ty nikdy nekončící hlášky s červeným pruhem - nebo jdo vypnout? Může být i placený. Neškodilo by kdyby byl v češtině, moje angličtina není zrovna bůchví jaká. Nevíte něco náhodou co připravuje Eset v NOD32? Prý tam má být integrován i firewal. Díky.

Předmět Autor Datum
nej je hw firewall
angel333 04.07.2006 12:03
angel333
Teda ne firewal, ale firewall, jsem lama:-D
Karo 04.07.2006 12:14
Karo
Podivej se na WIPF - wipfw.sourceforge.net Po nastaveni bude fungovat podle tvych predstav a nebude…
Jan Fiala 04.07.2006 12:14
Jan Fiala
Ale po default instalaci bez hluboké znalosti problematiky asi moc bezpečný nebude, že?
yorg 04.07.2006 21:23
yorg
to nebude, i když jsem viděl klikací instalátor pro wipft který defaultně nastavuje nejčastěji potře…
Vladimir 04.07.2006 21:26
Vladimir
Souhlasím, já ho taky používám od vydání SP2 a ve spolupráci s Windows Defender jsem nezaznamenal žá…
yorg 04.07.2006 22:07
yorg
Pouzivat firewall z XP neni zrovna nejlepsi napad, i kdyby za neco stal. Kdyby se totiz nekdy v budo…
Ynd0r 04.07.2006 22:19
Ynd0r
Pokud nebudu používat admin účet (a budu aktualizovat Windows - což mne z velké části ochrání před e…
Vladimir 04.07.2006 22:55
Vladimir
To je hezke, ze na xp nepouzivas admin ucet, ale ja napriklad neznam nikoho, kdo by doma na xp nepou…
Ynd0r 04.07.2006 23:14
Ynd0r
V com konkretne je problem u XP s obmedzenym uctom? Ja ho pouzivam uz nejaku dobu a zatial som nezaz…
Andrej 05.07.2006 01:15
Andrej
Virtualni pamet mam vypnutou taky, v tom problem nevidim. Ale problemy s omezenym uctem mam naprikla…
Ynd0r 05.07.2006 06:22
Ynd0r
S neadministrátorskými účty jsou pravda problémy, ale když už používat administrátorský účet (třeba…
Vladimir 09.07.2006 01:13
Vladimir
tohle by se mělo do kamene tesat! :-) a co se týká účtů s omezenými právy - to je fakt takový probl…
touchwood 09.07.2006 09:26
touchwood
Typickej příklad je moje skorožena - na chvíli jsem ji pustil na svoje PC a najednou firewall vyhodi…
Prasak 09.07.2006 20:57
Prasak
No ja vlastne prakticky se vsim, cos tady ted napsal, souhlasim. Jenom nevim, jestli jsme se spravne…
Ynd0r 09.07.2006 21:08
Ynd0r
Stavový firewall JE ten jediný správný (TM) :-D ale teď vážně :-) začnu od nastavení Franty od ved…
Vladimir 09.07.2006 22:11
Vladimir
No proste... nemas pravdu :)) Ale místo aby někdo vyvíjel pořádné paketové filtry na úorvni device…
Ynd0r 10.07.2006 13:41
Ynd0r
No necháme to koňovi ten má větší hlavu :-) snad jen: Zní to všechno hezky, ale výsledek je stejně…
Vladimir 10.07.2006 22:41
Vladimir
zkusil jsi nekdy jetico a nebo look n stop? v pameti maji kolem 4-7mb a to se ti zda jako zrout pame…
Radek 12.07.2006 22:33
Radek
Ano, teď jsi mne skutečně přesvědčil. Víš, ono ne každý se honí za nějakými "opravdovými testy" pot…
Vladimir 13.07.2006 12:49
Vladimir
reagujes trosku na neco jiny. jetico ani look n stop nemusim zadnym vypinanim ruznych veci nutit k t…
Radek 13.07.2006 16:05
Radek
Uzival jsem si tejden dovolene, takze reaguju trochu se zpozdenim... S tim konem mas recht. :)) Tak…
Ynd0r 18.07.2006 00:21
Ynd0r
Co je špatného na Keriu? Integrovaný XPéčový neumí blokovat odchozí komunikaci. Mám v Keriu default…
L-Core 05.07.2006 16:45
L-Core
Mas 2 moznosti instalace - kdy je vse povoleno a ty si zakazujes nebo je vse zakazano a ty si povolu…
Jan Fiala 05.07.2006 15:09
Jan Fiala
Ty pouzivas wipfw? Rad bych se zeptal: dejme tomu, ze mam vse zakazano a povoluju jen to, co chci. T…
Ynd0r 05.07.2006 15:22
Ynd0r
Osobně používám Sygate - jednoduchej, free, bez otravných hlášek.
Prasak 04.07.2006 17:27
Prasak
U Sygate byl ovšem už ukončen vývoj.
krtenek 04.07.2006 18:49
krtenek
Taky používám Sygate, ve verzi Pro. Oproti Keriu nesrovnatelné, neotravuje a ve výchozím nastavení s…
Dale Cooper 04.07.2006 23:10
Dale Cooper
Nemáš náhodou zaškrtnuté: Útoky - Povolit blokování chování aplikací? Mě teda skoro rok žádná taková…
krtenek 04.07.2006 18:52
krtenek
Cestina na nej je.
Milhaus 04.07.2006 21:36
Milhaus
Osobně doporučuji jednoznačně Sygate personal firewall. Je zdarma a umí vše. Řekl bych, že si tam na…
Tramín 04.07.2006 23:47
Tramín
***** nortonovský. Taky používám Sygate, a i když už se nevyvíjí, bez problému už léta. A hlavně, ja…
nortonvopruz 05.07.2006 15:01
nortonvopruz
Jo jo mám za ním ještě Tiny firewall a hlídají se navzájem. Ovšem na Sygate nedám dopustit osobně my…
Tramín 05.07.2006 18:34
Tramín
jo, taky mi výraz "norton" připadá zbytečně silný. ti kripli od symantecu dělají nejdražší, nejpomal…
lední brtník 18.07.2006 16:23
lední brtník
Já používám už snad 5 let Zone Alarm a už si do něj ani nedávám češtinu. Napsal jsem si na papírek a…
Kráťa 05.07.2006 00:04
Kráťa
Ještě před 14 dny jsi mi tvrdil,že nevíš co je YES-NO :-D
docomo 05.07.2006 00:09
docomo
Se učím ne? Jsem si ten papírek dával v noci pod polštář, aby mi to vlezlo do hlavy.
Kráťa 05.07.2006 00:20
Kráťa
tests.php (dole "VIEW RESULTS") reward_stats.htm Jetico firewall --- free a cca 5MB v RAM www.jet…
kuk 05.07.2006 00:21
kuk
Jetico se taky už více, než rok, nevyvíjí....
Kurt 09.07.2006 09:03
Kurt
Mně se osvědčil nejvíce Kaspersky anti hacker,jednoduchý a CZ do něho taky je.Má vynikající referenc…
Tixi 06.07.2006 09:04
Tixi
Osobně používám Tiny personal firewall-mohu jen doporučit...:-[
Ozzy62 08.07.2006 17:08
Ozzy62
viz. předchozí a pokud by jste do něj někdo měl češtinu-prosím o info-děkuji. :-[
Ozzy62 10.07.2006 18:15
Ozzy62
Tady jsem narazil na clanek - nastavovani IPTable, takze to plati i pro WIPFW stavime-firewall-1
Jan Fiala 12.07.2006 21:40
Jan Fiala
čus klucí přišel jsem na to jak obejít administrátora ve windows xp... Je to jednoduchý stačí jen pu…
maniaczk 03.09.2006 18:43
maniaczk
Týýýýý jooooooooooo a už jsi to zkoušel i jinde, než na svém pc? Potřeboval bych, kdybys byl tak hod…
Kráťa 03.09.2006 18:56
Kráťa
No pokud není admin účet chráněn heslem, tak je zbytečný nabíhat nouzovej režim, ale rovnou na přihl…
Prasak 03.09.2006 21:56
Prasak
ne když to pustíš přez ,,nouzák'' tak je z tebe automaticky admin... i když je tam heslo si myslím t…
maniaczk 05.09.2006 22:40
maniaczk
když to pustíš přez ,,nouzák'' tak je z tebe automaticky admin Neni to tak. Pokud je tam heslo tak…
rh 05.09.2006 22:44
rh
čus, to je supr. čus.
Ynd0r 04.09.2006 14:35
Ynd0r
Jaké máte zkušenosti se Sunbelt Keriem? (verze 4.3.xxx) Ptám se s ohledem na http://pc.poradna.net/… poslední
L-Core 11.09.2006 21:53
L-Core

to nebude, i když jsem viděl klikací instalátor pro wipft který defaultně nastavuje nejčastěji potřebná pravidla (blokování nebezpečných portů). Ale pro uživatele "bez znalosti problematiky" je tu firewall ve Windows XP SP-2, jednoduchý, stavový. Doporučil bych ho kdykoliv před jakýmkoliv firewallem typu Kerio.

Souhlasím, já ho taky používám od vydání SP2 a ve spolupráci s Windows Defender jsem nezaznamenal žádný problém. Různé spyware čističe vždy najdou jen tracker od seznamu. A to syn hraje přes internet hry.
Jen teď mám po nedávné změně tarifu něčím zablokovaný port 20/21 a provider tvrdí, že on nic on muzikant. Proto potřebuju otestovat jinou variantu.

Pouzivat firewall z XP neni zrovna nejlepsi napad, i kdyby za neco stal. Kdyby se totiz nekdy v budoucnosti stalo, ze chytis jakoukoli breberku, tak prvni, co udela, bude, ze vypne (nebo si prenastavi) windowsi firewall - protoze zna jeho API. Proto je cokoli lepsi nez firewall z XP.
btw - navic neumi nijak blokovat/filtrovat odchozi traffic.

Pokud nebudu používat admin účet (a budu aktualizovat Windows - což mne z velké části ochrání před elevation privileges attacks), tak mi nic firewall nevypne. ACLs na službe ICF nedovolují zastavovat ji neadministrátorům.

Nicméně použitelnost firewallu ve Windows se bude zhoršovat, ve Windows Vista se udělá krok směrem k firewallům pracujícím s aplikacemi, i když na druhou stranu mmožností konfigurace bude víc.

Nejlepší by bylo, kdyby existoval nějaký hezký klikací instalátor k WIPFW, který BFUčkům zkontroluje služby na počítači a jejich stav a nastaví automaticky/ po potvrzení patřičná pravidla. Už jsem o tom uvažoval, že bych takový napsal. Tedy například detekuji zapnutý Plug and Play a přidám pravidlo deny TCP 5000 UDP 1900. Problém je, že možností konfgigurací je X, např. X interfaces, X sítí, dialup... nebyla by to legrace a já na to čas nemám.

To je hezke, ze na xp nepouzivas admin ucet, ale ja napriklad neznam nikoho, kdo by doma na xp nepouzival admin ucet (aspon dobrovolne). Nekdo - i ja - to sice zkousel, ale xp nejsou bez admin. prav pro nemasochistu pouzitelne. Tohle snad vyresi vista... Ale jestli tazatel jede u sebe bez admin. prav, tak beru namitku zpet.

P.S.

Nejlepší by bylo, kdyby existoval nějaký hezký klikací instalátor k WIPFW, který BFUčkům zkontroluje služby na počítači a jejich stav a nastaví automaticky/ po potvrzení patřičná pravidla.

Ze sluzeb by nic moc nezjistil, musel by detekovat aplikace (EyeBeam? SJPhone? uTorrent? Azreus? StrongDC? atd... u kazdeho zjistit, na kterem portu/portech posloucha, a ten mu pripadne povolit - a jenom jemu, jinemu programu ne... v nekterych pripadech i omezit povolene vzdalene ip adresy...)
Kdybys jenom nastavil WIPFW podle sluzeb, to by bylo k nicemu: vetsina programu by nefungovala, a ty povolene porty by byly uplne zbytecne pruchozi pro vsechny.
Ale tohle umi napriklad Outpost - z online databaze si nasosne pravidla pro pouzivane windows aplikace, ktere na pocitaci najde.

Jinak viz http://pc.poradna.net/question/view/44090-outpost-f irewall-pravidla#re-44750

Virtualni pamet mam vypnutou taky, v tom problem nevidim. Ale problemy s omezenym uctem mam napriklad uz pri jakemkoli pokusu o pripojeni pres LPT (napriklad na zarizeni s LPTDOSem) nebo pri jakemkoli pokusu o debugovani pres LPT port.
V neadministratorskem uctu bych mohl teoreticky pobyvat leda tak pro browsovani po internetu a pousteni muziky, ale to stejne oboji delam pres vzdalenou plochu.
Nicmene zkousel jsem par BFU nastavit jejich ucet (domaci, ne pracovni - tam se to da vynutit) bez administratorskych prav (protoze si taky myslim, ze by to tak melo byt)... Jenomze pak jim padesatkrat za den neco nefunguje a ja nemam nervy kazdemu padesatkrat za den vysvetlovat jak to obejit nebo jak se kvuli tomu prihlasit jako administrator.
No ale dobra - zkusim dnes znovu sebrat sve pritelkyni na nasem domacim pc administratorska prava a uvidim, jak dlouho to vydrzi.

S neadministrátorskými účty jsou pravda problémy, ale když už používat administrátorský účet (třeba kvůli debuggerům - i když konkrétně práva ladění programů se dají nastavit v GP), tak alespoň dodržovat základní pravidla bezpečnosti a aplikace, kde by se snadno mohl spustit nebezpečný kód pod ním nepouštět - tj. například browser.

Ze služeb se dá zjistit, zda je to XP Pro či Home, zda je přítomno SMB, zda náhodou není puštěn třeba i IIS apod.. Samozřejmě že se z nich nedá zjistit vše.

Kdybys jenom nastavil WIPFW podle sluzeb, to by bylo k nicemu: vetsina programu by nefungovala

Pokud např. zakážu TCP 0-1024, neměl by s tím žádný slušný program mít problémy a 90% všech běžných bezpečnostních problémů je vyřešeno. Oproti tomu, s Keriem nastává vždy situace, kdy se uživatel ptá: mám povolit spojení na ten SVCHOST.EXE, nebo ten SYSTEM ? A Franta odvedle mu poradí: no jasně, jinak by nic nefungovalo, a rovnou se klikne na vytvořit pravidlo, se zelenými šipkami. A hned tu máme firewall, který vlastně to základní vůbec nedělá. Viděl jsem dost takových nastavených "firewallů", které vlastně nedělaly nic. (Ale hlavně že dovedly poznat zda se ven připojuje IE nebo Firefox :-))

a ty povolene porty by byly uplne zbytecne pruchozi pro vsechny

pravda, ale jsou to aplikace na mém systému, tudíž vím že jsou a co dělají. Pokud to nevím, tak použiji TCPVIEW či tak něco, firewall tu není od toho aby mi říkal co se kam připojuje, to je práce diagnostických programů (typu "netstat".) Firewall nastupuje, když už vím co se kam připojuje nebo by mohlo a chci s tím něco dělat.

Co se týče úplných BFU, kteří kliknou na cokoliv kdykoliv, tak těm nepomůže ani svěcená voda, pokud mají administrátora. Viděl jsem dost PC s Keriem, kde byl každý malware.exe a spyware.exe pěkně specificky jeden po druhém povolen v pravidlech...

tohle by se mělo do kamene tesat! :-)

a co se týká účtů s omezenými právy - to je fakt takový problém si na úlohy které to vyžadují, spustit např. TC nebo jedno okno exploreru pod zvýšenými právy a z něj vše potřebné pak spouštět?

Typickej příklad je moje skorožena - na chvíli jsem ji pustil na svoje PC a najednou firewall vyhodil povolovací okno pro nějakou aplikaci. Než jsem stačil zareagovat, klepnula na YES (a v hlavě se jí honila slova typu "co ten počítač zase sakra chce!")

No ja vlastne prakticky se vsim, cos tady ted napsal, souhlasim. Jenom nevim, jestli jsme se spravne pochopili s tim "Kdybys jenom nastavil WIPFW podle sluzeb, to by bylo k nicemu: vetsina programu by nefungovala" - to bylo mysleno tak, ze kdyby se ten tvuj autokonfigurator wipfw ridil jenom podle detekovanych sluzeb, tak by tezko zjistil, ktere prichozi porty ma jednotlivym programum povolit. Takze veskere programy jako VoIP, P2P a podobne by nefungovaly.

Jinak s rizikem spatneho (a dokonce nebezpecneho) nastaveni na radu Franty od vedle mas samozrejme pravdu - a urcite to tak i v praxi casto probiha.

To ale nic nemeni na tom, ze funkcionalita osobnich firewallu (vcetne konfigurovatelneho "vyskakovani") je presne to, co chci - a proto jsem rad, ze se tenhle typ programu dela. Netstat s upozornovanim vyskakovat neumi... a hledat kvuli tomu nejake interaktivni "programy typu netstat" by bylo hloupe, protoze i kdyby mi na lokale bezel oddelene paketovy filtr a takovyhle program, tak dohromady zdaleka nezvladnou to, co "osobni firewall", kde jsou obe funkce provazane (a jejich uzitecnost se nescita, ale nasobi - a to vlastne doslova).

Jeste abychom si rozumeli - ja tady nehlasam nejaky hesla jako "osobni firewall na kazdy pocitac".
Jenom rikam, ze je blbost odsuzovat osobni firewally logikou "osobni firewall je pro lamery, jedina spravna vec je jednoduchej stavovej firewall". Jednak - "jedna se o komplement, nikoliv substitut" (viz http://pc.poradna.net/question/view/34511-asus-wl50 0g-firewall-nastaveni#re-35334 ), za druhe - ja ten "osobni firewall" proste pouzivam, a myslim si, ze mi obcas fakt k necemu je. Nebo myslis, ze jsem trotl, kterej nevi, co je pro nej dobry? :-)

Stavový firewall JE ten jediný správný (TM) :-D

ale teď vážně :-)

začnu od nastavení Franty od vedle. Nemyslím že je to problém jen Franty. Myslím že se správným nastavením pravidel pro NT služby podle jmen aplikace má problém každý. Byl jsem vyzván kolegy - známými abych jim prohlédl a nakonfiguroval pravidla firewallu (Kerio & Co.), a popravdě tekly mi z toho nervy, dívat se na na jméno binárky, spouštěcí přepínače, do dokumentace v RK a zase zpátky do jmen binárek, apřitom ještě zápasit s tím GUI. Brrr! Už nikdy :-D
Tak třeba jen na mé silně osekané stanici doma. Nebeží mi pod LS/NS skoro nic a jaký je to guláš.

[gulasek2cu.png]

A to je to jen takový malilinkatý gulášek oproti tomu co běží jinde. Myslím že na tohle se aplikační firewall prostě nehodí a dělá v tom více škody než užitku. Moc tomu nevěřím že víc jak 10% uživatelů personálních firewallů to má správně a to jsem optimista.

osobni firewall je pro lamery

No právě že opravdový lamer je s osobním firewallem, který se ho ptá na nějaký SVCHOST.EXE dočista ztracen.

Netstat s upozornovanim vyskakovat neumi...

No ještě aby :-D Popravdě není mi zcela jasné, na co vlastně chceš být pořád upozorňován. Pokud se ti někde samy množí binárky a samy se spouštějí a připojují k netu, tak je něco špatně :-p Asi jsem divnej, ale mě nepřijde že by se funkčnosti ve pers. firewallu nejak násobily. Když chci vědět co se zrovna teď děje, kouknu do process exploreru a jsem v obraze. Když vědět nic nechci, tak mi to zase nikdo nenutí pod nos...

Přirozeně že někdo rád holky a někdo zas vdolky, nikomu nic nevnucuju a nemyslím si že nevíš co rád používáš a ¨proč to tak je. Ale místo aby někdo vyvíjel pořádné paketové filtry na úorvni device driveru typu wipfw, tak se právě díky popularitě apliakčních firewallů vyvíjí úplně něco jiného. (A ano, firewall jako service, i to je částečně následek nutnosti interakce s uživatelem ve Windows prostředí je špatně, prostě je :-))

No proste... nemas pravdu :))

Ale místo aby někdo vyvíjel pořádné paketové filtry na úorvni device driveru typu wipfw, tak se právě díky popularitě apliakčních firewallů vyvíjí úplně něco jiného. (A ano, firewall jako service, i to je částečně následek nutnosti interakce s uživatelem ve Windows prostředí je špatně, prostě je )

Proc si myslis, ze osobni firewally nepouzivaji paketovy filtr na urovni device driveru? Podivej se treba na blbej Zone Alarm... Nebo Outpost... Nebo McAffee Personal Firewall... Nevim, je vlastne nejakej osobni firewall, kterej by paketovy filtr na urovni device driveru nepouzival?
Paketovej filtr na urovni device driveru prece jeste neznamena, ze musi bejt omezenej, neinteraktivni a konfigurovanej vyhradne textovym souborem.

S tim nasobenim funkcnosti jsem to myslel tak, ze kdyz budes chtit, muzes si nastavit pro kazdou aplikaci vlastni plnohodnotnej paketovej filtr... a pro zbytek nechat filtr defaultni.
Muzes to brat taky tak, ze mas jeden paketovej filtr (podotykam, ze naprosto stejnej a rovnocennej, jako je wipfw), kterej ma ovsem proti wipfw navic k dispozici informaci o zdroji/cili kazdeho paketu (ve smyslu binarky). To je proste informace navic, kterou muzes (a nemusis) pri filtrovani vyuzit.
Shrnuto: kdyz to orezes na kost, osobni firewall je vlastne stavovy firewall typu wipfw + funkce navic, ktere muze plno lidi, kteri to vidi jinak nez ty, vyuzit. Kdyz je vyuzit nechces, nemusis - zbyde ti firewall typu wipfw.

Jeste jedna poznamka: podle tebe jsou mozna "featury navic" jako je moznost nechat se upozornit na prichozi nebo odchozi komunikaci konkretnich aplikaci zbytecne. Ja ti to neberu. Ale nemusis me podezrivat, ze se mi nekde "svevolne mnozi binarky".
Mam asi jiny zpusob mysleni. Jsem programator (ktery delal mj. i device drivery) a vim, ze i kdyz je vsechno nastaveno a promysleno tak, ze proste vsechno musi fungovat, vzdycky muze byt nekde chyba. Proto je fajn mit - minimalne pri ladeni - osetrene vyjimky. Proto je potreba monitorovat memory leaky. A nechat se upozornit na memory leak je uplne totez, jako nechat se upozornit na neocekavany pokus o komunikaci. Spolehat se na to, ze jsem pc pred rokem jednou provzdy nakonfiguroval tak, ze ani bajt neprojde bez meho vedomi, a pritom to nemusim kontrolovat, je podle me nesmyslna bohorovnost. Zvlast v pripade pc, na kterem se neco deje.

P.S. A jeste jedna poznamka, nebo spis otazka (uz jsem se na to ptal o kousek niz)... Jak se v pripade wipfw nastavi takove ty zakladni obrany proti utokum - napriklad aby automaticky na 24 hodin odriznul ip adresu, ze ktere mi nekdo skenoval porty? (Je mi jasny, ze to asi nejak pujde, ale po prolitnuti dokumentace k wipfw jsem to nenasel...)

No necháme to koňovi ten má větší hlavu :-)

snad jen: Zní to všechno hezky, ale výsledek je stejně ten, že jsou personální firewally obrovské paměť žeroucí molochy kde nastavit základní bezpečnostní úkony - blokovat všechny porty klasických nevypnutelných Windows služeb je porod. Všechno ostatní je z hlediska bezpečnosti podstatně méně důležíté.

A to nemluvím o tom že jsou firmy produkující tyhle firewally kde si myslí že by firewall měl blokovat i javaskripty, co k tomu dodat.

Co se týče filtru jako driver, jo pravděpodobně existuje ale nadto musí běžet rozežraná service která zajišťuje právě ty věci navíc.

Běžným uživatelům doporučuji XP Firewall, protože jsem neviděl jediného, kdo by dovedl správně odpovědět na otázky pers. firewallu.

Ale jinak tvůj názor respektuji a myslím, že kdyby dělaly firmy jako Kerio ty firewally trcohu míň barevné a měly přehlednější systém pravidel (nemluvě o defaultních pravidlech jaká tam strkají) tak na určitá použítí by to byla snad i užitečná věc :-)

Co se týče zmíněného blokování na 24 hod. - to dělají ty personální firewally samy? (Ptám se, opravdu to nevím :-) No nevím, podle jakého klíče by to rozpoznávaly, leda by se zeptaly, většinou skenuje bot jeden -dva porty, ty konkrétní které potřebuje, málokdy přijde živý mamrd s nmapem který by generoval hodně požadavků podle čehož by se dal poznat automaticky. Jinak s WIPFW se dá naskriptovat téměř všechno, i když všechno z IPFW v něm není. Nejsem žádný IPFW guru, takže v tomto ti neporadím :-(

zkusil jsi nekdy jetico a nebo look n stop? v pameti maji kolem 4-7mb a to se ti zda jako zrout pameti? podivej se nekdy na vysledky nejakych opravdovych testu a zjistis, co jsou tyto dva fw zac. samozrejme nemyslim testy v casopisech atd. nebo si stahni leak testy a poznas a uvidis v akci opravdu minimalni zatez v pameti a i outopst se da stahnout pod 20mb a to take neni moc, oprtoti uvedenym dvema, je to ovsem dost. jak fw blokuji utocnika? fakt si nekdy zkus nainstalovat firewall a ne nejakou napodobeninu a uvidis, jak to funguje.

Ano, teď jsi mne skutečně přesvědčil.

Víš, ono ne každý se honí za nějakými "opravdovými testy" potažmo obskurními funkcemi. Už vůbec nechápu, proč bych měl u paketového filtru "stahovat" spotřebu paměti, ať už na X nebo Y MB.

paketový filtr skoro žádnou paměť zabírat nemusí, pár set kB, a podle zátěže pak užírá výkon procesoru.

Někde výše jsem psal, co by mělo být posláním firewallu. Toto mi "personální firewall" buď poskytne v nešikovné formě nebo ve formě "ano, můžeš používat tuto schopnost ale navíc musíš mít povinně XYZ."

Považuji tuhle diskuzi za vyčerpanou.

reagujes trosku na neco jiny. jetico ani look n stop nemusim zadnym vypinanim ruznych veci nutit k tomu aby zabiral pouze4-7mb v pameti, ti to proste maji v plnem nastaveni, to je tvuj omyl, ze reagujes na neco, co jsi nezkusil.to o stahnuti ruznych ficurek jsem psal k outpostu, tam to mozne je prave kdyz nechces jen paketovy filtr, tak si zvolis ruzne kraviny jako blokovani JS, activex atd. , ale o tom nebyl muj prispevek. pokud ty povazujes leak testy za neduveryhodne je to tvuj problem, ale ver, ze vyrobci tomu vyznam prikladaji a ne maly, jak svedci , respektive bude svedcit napriklad outpost verze4. jak ty muzes hodnotit jake ma byt poslani fw? poslani fw je takove, jakm ho udelaji sw firmy a kazda ho dela jinak. pokud se ti takove fw nelibi, naprogramuj lepsi a treba ho zacnou pouzivat lide vic, nez ty obskurni, ktere projdou leak testy.

Uzival jsem si tejden dovolene, takze reaguju trochu se zpozdenim...
S tim konem mas recht. :))
Tak jenom tri drobnosti:

Co se týče zmíněného blokování na 24 hod. - to dělají ty personální firewally samy?

Nejsem na to teda zadnej specialista... ale muzes nastavit napriklad detekci nejbeznejsich utoku, jako Teardrop, Nestea, Iceping, Moyari13, Winnuke, Nuke, fragmentovane ICMP (Jol12, Targa13..), fragmentovane IGMP (IGMPSYN apod.), kratke fragmenty, predstirani IP adresy, prekryvajici se fragmenty, Opentear, Snork, Rst, 1234, Fawx, Fawx2, Kox, Tidcmp, Rfposion, Rfparalyse, RPC DCOM utok a spoustu dalsich.
Muzes nechat detekovat a zneskodnovat distribuovane DOS utoky.
Na LAN muzes aktivovat ARP filtrovani, blokovat IP spoofing, zapnout ochranu pred sniffery, ochranu vlastni IP adresy pred zneuzitim.
Muzes si nakonfigurovat detekci jednoducheho skenovani TCP a UDP portu i "stealth" skenovani (Syn, Fin, Xmas, Null, Udp).
Nastaveni jednotlivych detekci muzes jemne vyladit: pro nejjednodussi pripad prosteho skenovani portu nastavis jenom co presne a za jakych okolnosti ma byt za skenovani povazovano, kolik takovych udalosti v jakem intervalu ma spustit protiakci, na jak dlouho ma byt utocnik blokovan..
Pro detekci a reakci na ruzne distribuovane DOS utoky existuje pochopitelne parametru mnohem vic.
BFU dostane obvykle pri instalaci jen nabidku, jestli chce zapnout obranu proti beznym utokum (s defaultnim nastavenim detekce a protiakci) - a o vic se nestara. (Tim nechci polemizovat o tom, jestli je dobre nebo spatne detekovat tyhle veci na kazde stanici, ale proste to tam je a je moznost to pouzit - a ja jenom odpovidam na otazku.)

s WIPFW se dá naskriptovat téměř všechno

To mi prave neni jasny, jak bych mohl takovy veci s wipfw naskriptovat... jak jsem koukal na jeho dokumentaci, tak podle me vetsina z toho ve wipfw ani nejde.

personální firewally jsou obrovské paměť žeroucí molochy... ...nadto musí běžet rozežraná service která zajišťuje právě ty věci navíc.

Mas pravdu, ze v extremnich situacich si napriklad ten Outpost vezme i pres 30MB. Ale vetsinu casu zabira mnohem min a na vykonu rozhodne zadny zpomaleni nepoznas. Tomu se IMHO nerika moloch. Ale ok, je to vec nazoru.

Ty pouzivas wipfw?
Rad bych se zeptal: dejme tomu, ze mam vse zakazano a povoluju jen to, co chci. Takze povolim prichozi komunikaci na nejaky port, dejme tomu pro utorrent.

1) Jak mi wipfw zaruci, ze se mi na ten port nepovesi nejaky virus? a kdyz se povesi, zjistim to nejak? (krome toho, ze bych kazdy den cetl sahodlouhe logy)

2) Jak se na wipfw nastavi takove ty zakladni obrany proti utokum - napriklad aby na 24 hodin odriznul ip adresu, ze ktere mi nekdo skenoval porty?

Diky

Osobně doporučuji jednoznačně Sygate personal firewall. Je zdarma a umí vše. Řekl bych, že si tam najde své jak profík tak amatér. Má inuitivní ovládání a logické postupy. Zabírá snad nejméně systém paměti tudíž neovlivňuje rychlost. Jediný problém je, že ho koupil neschopný gigant jménem "Norton (Norton antivirus atd.)" a přivodil mu pád. Ovšem poslední verze jede jak hodinky a zatím není potřeba vůbez nic aktualizovat a delší dobu nebude. Moje volba je jednoznačně Sygate.

***** nortonovský. Taky používám Sygate, a i když už se nevyvíjí, bez problému už léta. A hlavně, jak už tu někdo psal, neni potřeba ho jakkoliv nastavovat, stačí spustit aplikace, který budou přistupovat na Net a povolit je, toť vše, a pak je odsouhlasit po aktualizaci.

*****, proč to ti kriplové nortonový nedali jako open-source. *****.

[mod]Není třeba hned používat silné výrazy (Fuente)[/mod]

Jo jo mám za ním ještě Tiny firewall a hlídají se navzájem. Ovšem na Sygate nedám dopustit osobně myslím, že to je nejlepší firewall a co jsem čet tak z něho měli bobky i microsofťáci jelikož jim blokuje pakety pro ověřování verze :) oproti tomu bejvalej Kerio a Tiny a ostatní slavné produkty na prcku to pustí ven ani o tom nemáš potuchu. Mají to přikázané od microsoftu jináž nedostanou zdrojáky a ověření instalace. Sygate je prostě ještě pirátsky dobrý firewall.

Já používám už snad 5 let Zone Alarm a už si do něj ani nedávám češtinu. Napsal jsem si na papírek a přilepil na monitor, co znamená to "yes" a "no" a když jsem se to naučil zpaměti, tak už jsem nepotřeboval ani ten papírek.
Kdysi jsem na to známému sepisoval i návod a už to nechal na webu. Je to na
za.html

Mně se osvědčil nejvíce Kaspersky anti hacker,jednoduchý a CZ do něho taky je.Má vynikající reference a bere si 9MB paměti.Kerio (20MB)mne brzdil PC i když mám 1GBpaměti a taky někdy nenajel po startu PC.
Jetico po mně chtěl při najetí opery 8kliknutí než ji povolil,hrůza.
Kaspersky Anti Hacker+NOD32+Spyware terminator = svižnej komp a zatím bez breberek.;-)

čus klucí přišel jsem na to jak obejít administrátora ve windows xp... Je to jednoduchý stačí jen pustit počítač přez nouzový režim a potom se přihlásíte na administrátora automaticky :-D pak stačí jen založit novej účet do windowsů a nastavit se jako administrátor ;-) Pokud budete potřebovat ještě něco obejít pište na email čus maniaczk@seznam.cz

Zpět do poradny Odpovědět na původní otázku Nahoru