Firewall - Что это такое?

[torch777]

Iomhar Dealgach: А это собственно и не для нее=)

Это писалось для других, читайте выше и внимательнее=_)

[Iomhar Dealgach]

Iomhar Dealgach: А это собственно и не для нее=)

Это писалось для других, читайте выше и внимательнее=_)

Да?

Несколько раз перечитал пост № 92 - первое выделенное слово - Saule - здесь есть еще одна?

[torch777]

Это писалось для Ava.

Я имел в виду в целом, а не конкретно

[barsukRed]

ЗЫ: barsukRed - тебе туда как-раз было-бы интересно!

Опоздали c советом. Я уже давно знаю anti-malware.ru

Я имел в виду в целом, а не конкретно

Нравится мне Ваша фраза. :)

[Saule]

ЗЫ: Я бы не рискнул информировать об этом Saule...

По-моему было понятно, что информировали в данном случае не меня. И потом - я на самом деле не стерва :)

И если кого-то и поправляю местами, то это лишь для того, чтобы не вводить в заблуждение тех, кто в последствии будет это читать (излишняя агрессивность просыпается только в тех случаях, когда интуитивно понятно, что без неё придется повторять не 2 раза, а 22 - времени своего жалко).

Saule: Я знаю, но чтобы как то отличить продукты(втроенный -внешний) я привык их обзывать так.

Позвольте я всё же снова немного поправлю :)

Встроенный-внешний - не совсем верно подобранные слова. Лучше в этом случае говорить: встроенный и альтернативный (на мой взгляд, понятнее и суть не теряется). И что касается остального, то речь идет не совсем о доверии, а скорее о выполняемых функциях. Во встроенном в Winows XP файрволле этих функций не так уж и много (лишь базовые), но в некоторых случаях этого уже будет более, чем достаточно. Так как толку от навороченного брандмауэра, если пользователь не умеет им пользоваться - не будет никакого.

[torch777]

Saule: Буду теперь называть всё своими именами=) Но как то понятнее(встроенный-внешний), логическое обоснование, что внешний человеку будет понятнее, в том смысле, что ПО было поставлено из вне. Альтернатива это все ж выбор одного из двух единственно возможных решений=)

Даже вернее и проще- встроенный-не встроенный=)

[Saule]

Альтернатива это все ж выбор одного из двух единственно возможных решений=)

Верно. Ведь при установке файрволла стороннего производителя, встроенный в ОС - нужно обязательно выключать. Т.е. двух решений быть там не может :)

[Зайцев Олег]

2 Saule: дабы я не работал испорченным телефоном, вы можете задать эти вопросы Паулу (p2u) или Олегу Зайцеву, который, правда, о брандмауэрах не упоминал, но антивируса и HIPS не использует точно. :) Себя в пример, увы, привести не могу: никак не откажусь от Internet Explorer.. :)

Мое мнение таково - для начинающего и неопытного пользователя встроенный Firewall Windows может быть не хуже (или даже лучше !), чем альтернативный навороченный продукт. Причина проста - без должных знаний пользователь не сможет грамотно настроить FW. Полное отстутвие FW - нехорошо, так как первый же сетевой червяк может пролезть на ПК через уязвимость.

У меня лично FW нет, равно как и антивируса. Но мой пример в данном случае не показатель и я ни в коем случае не рекламирую такой подход ... фокус в том, что:

1. Я вирусолог по профессии, поэтому надобность антивируса для меня весьма сомнительна. AV сканеры у меня конечно есть... а вот мониторов и HIPS нет, не было и не будет. Причина проста - я могу без проблем отслеживать любую активность на моем ПК (хотя за 8 лет активной работы в Инет я ни одного разу не подцеплял ничего зловредного), для этого у меня есть специализированный инструментарий. А вот для пользователя имхо естественно нужны автоматические средства обнаружения и блокировки зловредов.

2.2 У меня нет Firewall. Но мой выход в Инет идет через сеть конторы и защищен мощнейшими аппаратными системами, причем защита многоконтурная, там не то что мышь - блоха не проскочит. Поэтому Firewall для меня абсолютно не актуален. Плюс трафик всех ПК пишется "черным ящиком" с точностью для запроса и ежедневно тщательно анализируется. И большая часть трафика в частности идет через прокси, там фильтры и прочая защита. У меня до сих пор витает идея дать через нашу контору сторонним юзерам услугу "защищенный Интернет" - но это лицензии, биллинг и прочая организационная дребедень. Почему такое не делают провайдеры Инет - загадка.

2.3 Я придерживаюсь мысли о том, что "у человека нельзя спереть 100$ при одном условии - если у него их нет". Т.е. конкретно у меня есть несколько ПК, и один из них я могу отрядить для работы в Инет. На этом ПК совершенно ничего нет (операционка + браузер), есть система отката на базовую копию и потому заражение этого ПК совершенно безопасно - трояну нечего оттуда стащить и откат убъет его после первой же перезагрузке. Если нет возможности выделить ПК для работы в Инет, то несложно применить виртуалку, тем более что тот-же VirtualPC MS раздают бесплатно. Последний вариант я реализовал у одного знакомого, который часто "ловил блох" - так вот в результате больше у него проблем нет, в Инет он работает с виртуалки, которая настроена в режим отката изменений.

Поэтому лично мое мнение таково - для защиты ПК Firewall однозначно нужен, но плюс к этому необходимо:

1. Урезать службы до минимума, убрав все лишнее. Это не панацея, но снизит вероятность проникновения зловреда. Аналогично следует убрать все лишнее из автозапуска и не увлекаться установкой разного сетевого софта, в том числе BHO для браузера и прочей дребедени ...

2. Не работать под учетной записью админа - чем меньше прав, тем меньше урон от зловреда. даже работая под учетной записью юзера можно снизить права браузера до нуля утилитой DropMyRights. Настроить права доступа к папкам и реестру. Это заблокирует их модификацию зловредом и существенно снизит ущерб от него. Создать политики безопасности, запрещающие запуск файлов из врменных папок или Temporary Internet Files. Настроить браузер, заблокировав все лишнее

3. Отключить в настройках сети все протоколы и клиенты, кроме TCP/IP. Они не нужны для работы в Инет, но являются "дыркой" для

злоумышленника и зловредов

4. Соблюдать элементарные правила безопасности - задать на учетные записи достаточно длинные и сложные пароли, не запускать присланные по почте вложения, не тыкать куда попало на сслылках в Инет, не инсталлировать сомнительное ПО, не хранить пароли в FTP клиентах и программах, не обеспечивающих их надежное хранение

В принципе если соблюдать перечисленные правила, то даже при отсутствии FW и антивируса зловред не нанесет ощутимого урона. А если добавить антивирусный монитор и штатный FW, то этого вполне хватит для комфортной работы. Кроме того, поставленный в данной теме вопрос "Нужен ли Firewall" можно рассмотреть немного шире - "нужен ли программный Firewall". Фокус в том, что в последнее время навороченные xDSL модемы содержат на борту NAT транслятор, простенький Firewall, маршрутизатор, DHCP и много всего прочего, и стоят они при этом порядка 50$ - в этом случае программный Firewall на компьютере как-бы и не очень актуален (особенно на ПК пользователя, который не представляет, каким приложениям следует разрешить работу в инет и как вообще следует настраивать FW).

[torch777]

Зайцев Олег: У меня стоит xDSL модем, но все равно пока я не поставил фаерволл и не закрыл нужные мне порты, гадость лезла, так что это не актуально=)

Что касается HIPS, вещь нужная и разобраться в ней может любой, если ему не лень поискать нужную литературу=)

Вы, конечно, уникальный человек-Вирусолог=) Не у всех такие отличные знания в этой области и урезать, порой, некоторые службы Вин, тоже надо иметь хотя бы понятие, а что и как они делаю....Замкнутый круг=)

Средства аппаратной защиты, для меня более знакомая от фирмы cisco, довольно дорогостоящие=)

Так что как не крути, надо быть таким же как и вы, чтобы быть уверенным в своей безопасности без АВ и ФВ=)

[Зайцев Олег]

Зайцев Олег: У меня стоит xDSL модем, но все равно пока я не поставил фаерволл и не закрыл нужные мне порты, гадость лезла, так что это не актуально=)

Что касается HIPS, вещь нужная и разобраться в ней может любой, если ему не лень поискать нужную литературу=)

Вы, конечно, уникальный человек-Вирусолог=) Не у всех такие отличные знания в этой области и урезать, порой, некоторые службы Вин, тоже надо иметь хотя бы понятие, а что и как они делаю....Замкнутый круг=)

Средства аппаратной защиты, для меня более знакомая от фирмы cisco, довольно дорогостоящие=)

Так что как не крути, надо быть таким же как и вы, чтобы быть уверенным в своей безопасности без АВ и ФВ=)

просто xDSL модема недостаточно - нужен модем с бортовым NAT/Firewall/Router, что-то типа DLINK DSL-500T и аналогов - их сейчас много и цены доступные, порядка 40-60$. У них обычно есть WEB интерфейс, позволяющий настройть все его функции. Если активировать NAT, то это уже полдела... Циска намного дороже, порядка 450-500$ - и грамотно настроить ее сложнее.

Насчет урезания сервисов - в AVZ версии 4.26 появится анализатор, рекомендующий, какие службы следует отключить. Анализатор этот с обратной связью - можно будет сделать логи и обратиться к опытному хелперу за советом, а хелпер в свою очередь сделает скрипт оптимизации.

[torch777]

Зайцев Олег: Это уже проще будет обычному юзеру=)

[engineer garin]

Зайцев Олег: У меня стоит xDSL модем, но все равно пока я не поставил фаерволл и не закрыл нужные мне порты, гадость лезла, так что это не актуально=)

Что касается HIPS, вещь нужная и разобраться в ней может любой, если ему не лень поискать нужную литературу=)

Вы, конечно, уникальный человек-Вирусолог=) Не у всех такие отличные знания в этой области и урезать, порой, некоторые службы Вин, тоже надо иметь хотя бы понятие, а что и как они делаю....Замкнутый круг=)

Средства аппаратной защиты, для меня более знакомая от фирмы cisco, довольно дорогостоящие=)

Так что как не крути, надо быть таким же как и вы, чтобы быть уверенным в своей безопасности без АВ и ФВ=)

Олег забыл сказать , что с некоторого времени работает в Лаборатории Касперского , так сказать под крылом Евгения.

[Ava]

И что касается остального, то речь идет не совсем о доверии, а скорее о выполняемых функциях. Во встроенном в Winows XP файрволле этих функций не так уж и много (лишь базовые), но в некоторых случаях этого уже будет более, чем достаточно. Так как толку от навороченного брандмауэра, если пользователь не умеет им пользоваться - не будет никакого.

Спасибо, Saule! Мне вот тоже также казалось. Поэтому и решил к вам обратиться. И еще я действительно хотел бы узнать именно об основном: Что-Как-Почему-Для чего? У вас так хорошо получается объяснять! :)

[Sp0Raw]

просто xDSL модема недостаточно - нужен модем с бортовым NAT/Firewall/Router, что-то типа DLINK DSL-500T и аналогов - их сейчас много и цены доступные, порядка 40-60$. У них обычно есть WEB интерфейс, позволяющий настройть все его функции. Если активировать NAT, то это уже полдела... Циска намного дороже, порядка 450-500$ - и грамотно настроить ее сложнее.

Насчет урезания сервисов - в AVZ версии 4.26 появится анализатор, рекомендующий, какие службы следует отключить. Анализатор этот с обратной связью - можно будет сделать логи и обратиться к опытному хелперу за советом, а хелпер в свою очередь сделает скрипт оптимизации.

Олег. Все, что Вы там написали выше - это все прекрасно и замечательно. Только есть одно небольшое НО.

Во-первых, все эти аппаратные FW, IDS и прочие "прокси с анализаторами трафика" никак не спасают от insiders attacks, а проецируя это на простого пользователя - практически ни от чего, что имеет природу back-connect или односторонней (исходящей) отправки данных. На аппаратном уровне за десятком других компьютеров (да и пусть рядом) нельзя определить какой же именно процесс, а уж тем более тред, производил отсылку тех или иных данных. При этом для тех же IDS этот трафик может выглядить в виде вполне легитимного общения с web-серверами (GET-запросы и ответы на них) - такие протоколы реализовывались для руткитов. Анализируйте хоть руками такой трафик - ничего не увидите особо подозрительного при беглом осмотре. Это не бросается в глаза.

Во-вторых, по поводу "супер защищенных DSL-модемов/роутеров" -- аааа! Это совет во вред. Я бы НАСТОЯТЕЛЬНО не рекомендовал людям использовать продукцию D-Link с интегрированным в них nix-kernel, управляемые web-интерфейсом и т.д. Некоторое время назад под бОльшую часть из этих модемов разрабатывался worm (предыдущий этап: разработка worm'а под некоторые уязвимые модели CISCO). Ну и воровство трафика через них - тоже очень частое явление. Не верите? Прошу на http://www.security.nnov.ru. Наверху в разделе search отмечаете поиск по сайту и вводите "DSL". Это, правда, только верхушка айсберга (то, что public).

В-третьих, рассказ о "суперзащищенной KAL" (оно же ЛК) - тоже где-то что-то когда-то. Потому что я знаю лично человека, который в 2001 (или начале 2002 года?) "сидел" в их локальной сети.

В-четвертых, говорить о том, что Windows Firewall неопытного пользователя спасет... Да упаси... Хорош совет. Лучше КРАЙНЕ ПЛОХО настроенный "хороший" (относительно того, что есть на рынке) FW вроде ZoneAlarm, Jetico, Outpost (эх... все хуже и хуже), чем НЕВЕРОЯТНО ХОРОШО настроенный (а что там настраивать?) WF. Это просто несравнимые вещи. Я уж не говорю про контроль межпроцессного взаимодействия и контроль процессов, связанных с сетью... Но хотя бы какой-то контроль исходящих соединений. И простые трояны, которые инжектятся в IE/Explorer/SVCHOST хотя бы сразу же отпадут. Так что пусть там будет практически все доверенным и разрешенным, но это все равно лучше WF.

[Valery]

Всё таки наверно нужно определиться что:

1. Есть крутые хакеры, которые ломают крутые сайты, типа Майкрософта, Гугла, Пентагона, NASA, правительственные, коммерческие, и так далее, и тому подобное. Обычный домашний комп на самом деле от них не защитишь, но они и ломать его не будут никогда, им это не интересно.

2. Есть компьютерные хулиганы, перечитавшие "Хакера". Им просто по приколу стырить у вас какой-то документ, или аськин лог, или пароли на мыло, на интернет, и так далее. Или еще какую-нибудь гадость совершить. У них знаний навряд ли хватит проникнуть в Windows с последними обновлениями, и файерволлом, даже со стандартными настройками, потому что они пользуются давно известными уязвимостями. (А если хватит знаний, то этот хакер перейдет в категорию 1, и тут же забьёт на этот дырявый комп).

Вот от таких защищаться можно, и нужно.

Я лично пользовался файерволлом (Agnitum Outpost) для:

- Удаления рекламы.

- Запрета соединения с некоторыми сайтами, ну там всякие счетчики.

- Запрета доступа в инет разным программам, которым на мой взгляд это не нужно.

- Запрета доступа из инета ко мне.

- Фильтрации почты.

- Как анти шпионской программой.

Вот пожалуй и всё.

В данный момент, у меня на Висте работает встроенный, как только выйдет Outpost для Висты, поставлю без сомнений.

[torch777]

Sp0Raw: Какие личности здесь стали появляться, что ж приветствую!

Офигенно в точку! Такого точного и исчерпывающего ответа этот форум еще не видел. Про cisco по подробнее,вроде со своими задачами справляется у меня на работе=) Но после ваших слов стало интересно=)

[Iomhar Dealgach]

Sp0Raw: Какие личности здесь стали появляться, что ж приветствую!

Офигенно в точку! Такого точного и исчерпывающего ответа этот форум еще не видел. Про cisco по подробнее,вроде со своими задачами справляется у меня на работе=) Но после ваших слов стало интересно=)

Г-на Олега Зайцева я пригласил :) - Чтобы уж всем стало понятно нужен ли фаер!

[Iomhar Dealgach]

Задействовать WinFix , или же использовать спецутилиты.

Спасибо, правда не использовал это - поставил Comodo PF - все работает, настраивается легко - РЕКОМЕНДУЮ!

[Saule]

Про cisco по подробнее,вроде со своими задачами справляется у меня на работе=) Но после ваших слов стало интересно=)

На том же сайте, ссылку на который давал Андрей (http://www.security.nnov.ru/), делаем поиск по 'cisco', либо:

http://securityvulns.ru/source/CISCO.html

Спасибо, Saule! Мне вот тоже также казалось. Поэтому и решил к вам обратиться. И еще я действительно хотел бы узнать именно об основном: Что-Как-Почему-Для чего? У вас так хорошо получается объяснять! :)

Хорошо, я сделаю это, как только будет побольше свободного времени. И потом вынесу этот пост отдельно в тему "Важно знать".

[Мажор]

Был бы здесь священник - он бы сказал: "Истину глаголешь, сын мой!"

После прочитанного убедился в нужности файрвола

выложите ссылку плиз на лучший по вашему из них

[NickGolovko]

Это вопрос глубоко индивидуальный.

Если нужно бесплатно и попроще - можно ZoneAlarm Free.

Если нужно не бесплатно и посложнее - Outpost.

Если хотите пакетную защиту - BitDefender или Kaspersky Internet Security.

Еще можно COMODO или Jetico, к примеру.

Самый целесообразный путь - попробовать разные решения и остановиться на том, что понравилось более всего.

[ser208]

После прочитанного убедился в нужности файрвола

выложите ссылку плиз на лучший по вашему из них

Использую Sygate Firewall. Если не отпугивает отсутствие русского (равно как и других языков), то попробуй.

[Saule]

После прочитанного убедился в нужности файрвола

выложите ссылку плиз на лучший по вашему из них

Jetico Personal Firewall (поддержка русского языка есть).

[SERGSM]

Мажор

Не могли бы вы поделиться впечатлениями по настройке данной стенки?

[Bombaster]

А я вот поставил Agnitum Outpost Firewall 1.0 и в Обучающем режиме не могу в инет входить. Наверное фаерволы это жутко умная весчь. Запустил программу icq, он меня спросил: Пустить? Я ему: - "не вопрос". А Мурзиллу и IE7 не пускает. Где их открыть не пойму. Посидел 3 минуты в Асе, полазил где там чё, и.. Пришлось сносить... ;) ;)