Jaký firewall? AVG či ten z W7?

Pokial nevyžaduješ nejake hyper-super hw firewall bezpečnost,tak integrovany vo win7 bohate stači....

Dovolím si tvrdit, že nestačí, přesně jak říká kolega níže, pustí vše. Na druhou stranu je potřeba znát PC a síťovou komunikaci alespoň v režimu pokročilého uživatele aby bylo možné nějaký sofistikovanější firewall správně nastavit a správně rozhodnout co povolit a co ne.

Nepustí vše. Jen je potřeba jej nastavit, pokud člověk chce, aby fungoval jinak než funguje. Ale to platí snad pro všechny firewally. Např. iptables v debianu ve výchozím nastavení tuším má vše povoleno. Windows (např. 8) má ve výchozím nastavení všechnu příchozí komunikaci, která neodpovída pravidlům, blokovánu a všechnu odchozí komunikaci, která neodpovídá pravidlům, povolenu. Ta odchozí komunikace se dá triviálně též nastavit tak aby byla blokována komunikace, která neodpovídá pravidlům, a pak si jakýkoliv program svévolně po nainstalování nic z internetu stahovat nebude.

Obávám se, že (asi) všechny firewally jsou na prd. Není přece možné (v základním nastavení - tj. nijak speciálně nenastavované), aby si nějaký program či hra - jako první po instalaci do PC - šel bez ptaní někam na net pro "cokoliv" a stáhnul to do PC (opět bez dotazu). A firewall ve Windows 7 tohle běžně umožňuje. Předpokládám, že "obyč." uživatel nemá ani páru o tom, jak něco takového nastavovat... Takže firewall jako by tam vůbec nebyl. Tolik k firewallům.

Si asi nepochopil co to je firewall. Spojenia smerom von nemaju s firewallom nic spolocne. (ale keby si velmi chcel mozes si obmedzit aj to)

Já tedy nevím, možná jsem jen špatně pochopil tvůj příspěvek, ale firewall slouží k řízení a zabezpečování síťového provozu jako takového a definování pravidel ...tedy směrem ven i dovnitř.

Ale na urovni portov a ne ze sleduje ktora aplikacia kam ide (to napr. externy FW ani sledovat nema jak). Port 80 smerom von je otvoreny preto si aplikace moze ist von. Smerom dnu nie je otvoreny ptz tvoj PC neni server.
Ludia si dnes zamienaju firewal s nejakymi dementnymi vyskakovatkami ktore potom stejne netusia co robia, keby sa ta to 18x po starte opytalo "svchost chce ist na IP x.y.z.z. povolit ano/ne?" tak co by si zmackol? A odkial by si vedel ze zrovna ten piaty je vir a vsetky ostatne ne?

Tak jinak, nainstaluji nějaký program, spustím, vyjede hláška firewallu " odchozí spojení, program xy se pokouší připojit na internet IP xxx.xxx.x.x. port xx" chcete povolit nebo zakázat - zapamatovat volbu? To samé při příchozím spojení. Pokud vezmu jako základ čistou instalaci kde tedy vše povolím, tak na ostatní programy které budu instalovat později si mohu dát pozor ...zjednodušeně řečeno. Samozřejmě se může objevit hláška u které nevím o co jde. V tom případě jí zakážu a budu sledovat, jestli to něčemu vadí nebo ne.
Abych byl pochopen, bavíme se v řeči pokročilého uživatele, ne IT profesionála.

To je prave to co BFU chce a nechape ze a) virom takto nezabranis sa pripajat von ptz zneuziju nieco uz povolnen (naco ti to potom je?) a b) jediny vyznam je potom masochisticke uklikavanie donemoty. Navyse BFU neni nikdy schopny posudit ci to je alebo neni potrebne a ani co to vlastne je. On to niekedy neni schopny ani profik (pred 10 rokmi som mal par dni nejaky taky dementny aplikacny nezmysel a po 5dnoch to islo prec). To neni firewall ale nezmysel.

Tak a jsme zase u toho. Poučení tedy zní, žádný firewall?

Firewall ma zabranit tomu aby sa dostal do PC zvonku nevyziadany specialny paket na otvoreny port a tym sa nakazilo PC, alebo inym sposobom zvonku sa cokolvek dostalo do PC (bez vyziadania z vnutra PC). A to aj robi.
Ked uz mas nainstaleny vir a bezi, tak uz ti firewall nepomoze, on neni od toho aby ti detekoval a odinstalovaval uz nainstalovane viry.

on neni od toho aby ti detekoval a odinstalovaval uz nainstalovane viry.

To jsem také nikde netvrdil! Jen nesouhlasím s tvým tvrzením že má bránit pouze připojení dovnitř a ne ven.

jenže znovu: "normálně" napsaný vimalware použije pro své spojení ven např. Firefox, IE nebo službu BITS, které bude mít BFU dávno povolené. Jaký je tedy účel takového führerwallu?

Správně nakonfigurované PC si vystačí kombinací rozumně nastavený stavový firewall na routeru + práce bez admin práv + aktuální antivir (to je už jen taková záchranná brzda, která bude 99.9% času jen nečinně brzdit PC.)

Samozřejmě, sličný jinoch "nakupující" zásadně na uloz.to, používající admin účet i k psaní dopisu babičce, je předem odsouzen se kompromitovat i přes superhyper antivšechno (samozřejmě "nakoupeno" tamtéž).

To máš jistě pravdu, souhlasím, ale jak to vylučuje to, co jsem napsal? Abych to upřesnil, odmítáte tedy připustit, že by měl firewall, mimo jiné, blokovat komunikaci směrem ven? O tom se bavíme. Silně mi to připomíná odpovědí tibetských mnichů kteří komunikují v hádankách ..ne chlapy, vše v dobrém.

Blokování (i zcela bezpečných) aplikací ven je ze strany firewallu "funkce navíc". Viz můj koment níže.

Uživatel například nestojí o kontrolu ID3 tagů u *mp3 (a o to, aby se o tom, že nějakou mp3 má někde někdo dozvěděl), tak prostě komunikaci přehrávače zakáže a basta fidli.

ked zakazes komunikaciu WMP (a nikto iny snad nekontroluje ID3 tagy len WMP) tak ti trebars nebude fungovat ani overenie licencie ked si pozicas z legalnej online pozicovne film s DRM, apod. A stav sa so mnou o pivo ze ked to teraz zakazes a o 3roky ti nepojde DRM s WMP, tak ani za boha si nespomenies ze si pred 3rokmi kdesi vo FW neco vypol :) Preto vo WMP okamzite po instalacii vypnut vsetky kontroly a hotovo. Ano ked si paranoid tak si to mozes zakazat uplne komunikaciu, ale je to koledovanie si o problemy.

Jasně, to byl jen příklad. Navíc má myslím WMP to připojování někam ven už nastavitelné (nevím, nepoužívám - na úplně vše mi stačí prastarý Foobar2000 a VLC).

My nechapeme co chces. Smerem ven to samozrejme blokuje tiez, ale uz v defaulte musis mat nieco uz povolene, a tak to je aj defaultne nastavene. Nema zmysel tam davat masochisticke dalsie obmedzenia ptz ta to uz pred nicim neochrani. Jak ta ohrozuje program ktory otvori komunikaciu smerem ven? A ked ti ten ohrozujuci program bezi, preco si si ho vobec instaloval, ked ta ohrozuje?

Asi ma na mysli programy ako Origin, ktore automaticky po instalacii bonzuju HW+SW do EA.

Jo, Origin, to je krásný příklad. Tam ale firewall asi k ničemu nebude, když Origin musí mít přístup na internet. Metody, jak mu zabránit ve šmírování, ale existují (2. strana).

Mozno autentifikacia prebieha voci inemu serveru ako bonzovanie hw/sw (neviem, az tak som sa na to nepozeral)

No, ono jde i o něco jiného než obrana před viry a jejich šíření. Prostě úmysl uživatele nepustit nějakou aplikaci na internet. Důvody mohou být různé, od ochrany soukromí, nechuti někam něco "hlásit" (co není pro běh aplikace potřeba), blokování adware až po blokování komunikace u uwarezených programů či her.

takže chceš zahlásit systémové NE. podívej l-core. vysvětlím ti to takto: systém nixový jsou pejsci, poslušní, zbalitelní do tašky. win je kočička- bude tě řídit dokud nepochopíš jak řídit jí. píšu jak mi huba upadne....

takže chceš zahlásit systémové NE

Kéž bych ti přesně rozuměl Rozdíl mezi poslušným psem a svébytnou kočičkou samozřejmě chápu.

Uživatel stáhne z uložto cracknutou hru, která se normálně při startu automaticky připojí na server výrobce a hledá aktualizace (a třeba i kontroluje licenci). To samozřejmě nechce, tak soubor hra.exe blokne ve FW a hraje bez toho, aby se hra kamkoliv připojila a nahlásila, že na IP a.b.c.d. je zloděj.

Je to z hlediska logiky FW možná nesystémové, ale jednoduše účinné. Jo, mohl by třeba zkusit vytáhnout z RJ45 kabel, ale co když hra.exe odešle někam data později, po připojení k internetu? Pak je pro warezáka už jen jedna možnost, ta nejhorší: tu hru za stovku si koupit.

Tohle je takový markantní příklad, ale dovedu si představit i řadu legálních situací, kdy uživatel chce aplikaci odchozí komunikaci zakázat.