PDA

Просмотр полной версии : Обсуждение статьи "Как работает сеть и что такое межсетевой экран (firewall)"



spitamen
09.07.2005, 09:19
мда... без него сегодня никак нельзя обойтись....
Но сегодня уже огненная стена тоже рушется из за того что все хакеры и взломщики изучили принцип работы этих стен и нападают уже с помощи пожарных машин чтоб сначала потушить эту стену а потом уже перелесть :)

Пора уже переходить с огненнего на ледовую стену ( ICEWALL) :)
А что я подсказал кое кому можно даже так сказать бросил пищу для размешление ;)

orvman
24.09.2005, 19:09
Точно, все Все покупаем Пожарные машины..............
переходим на ICE....

P.S. Комментировать не буду...

Algris
25.09.2005, 14:15
В принципе да, но при наличии роутера и, соответственно НАТ, нужда в файерволле минимальна...

SDA
25.09.2005, 14:30
В принципе да, но при наличии роутера и, соответственно НАТ, нужда в файерволле минимальна...

Во внешнем выходе да, но внутри локалки(выделенная сеть) недоделанных "кулхацкеров" и сетевых вирусов хоть отбавляй.

Algris
25.09.2005, 16:04
Во внешнем выходе да, но внутри локалки(выделенная сеть) недоделанных "кулхацкеров" и сетевых вирусов хоть отбавляй.
Конечно, только не выходе, а входе из И-нета. В этой ситуации, мне понравилось определение "недоделанные "кулхацкеры"" :-), файер нужен для блокирования доступа в сеть зараженных приложений. Но в случае одного или двух домашних пользователей, подключённых к сети через DSL модем настроенный как Router, файер только бесполезно ест ресурсы, а для спокойствия вполне достаточно качественного антивиря.

Geser
25.09.2005, 16:07
Конечно, только не выходе, а входе из И-нета. В этой ситуации, мне понравилось определение "недоделанные "кулхацкеры"" :-), файер нужен для блокирования доступа в сеть зараженных приложений. Но в случае одного или двух домашних пользователей, подключённых к сети через DSL модем настроенный как Router, файер только бесполезно ест ресурсы, а для спокойствия вполне достаточно качественного антивиря.
А что, раутеры теперь осуществляют контроль апликаций?

RiC
25.09.2005, 16:21
А что, раутеры теперь осуществляют контроль апликаций?
ISA умеет, но очень примитивно - "давать" или "не давать" целиком приложению. Больше "удовольствий" чем результата :(

Algris
25.09.2005, 16:46
А причём здесь
А что, раутеры теперь осуществляют контроль апликаций?
Если пользователь подключён к и-нету через роутер, то из и-нета за НАТом его не видать, т.е. одна из функций файера по защите от атак из и-нета остаётся невостребованной.
Если у пользователя установлен качественный антивирь, то беспокоиться о появлении "зверей" ему нечего, а вместе с этим отпадает нужда и в контроле компонентов со стороны файера.

SDA
25.09.2005, 17:06
Антивирус может и не отловить какой нибудь свежайший троян (не успел попасть в базы, эвристик не определил), остается только контроль компонентов на стенке. Можно пользоваться и Adifom, но это на любителя.

Geser
25.09.2005, 17:07
Если у пользователя установлен качественный антивирь, то беспокоиться о появлении "зверей" ему нечего, а вместе с этим отпадает нужда и в контроле компонентов со стороны файера.
Даже теоретически самый качественнтй антивирус далёк от 100% защиты. Так что какой-бы антивирус не был - это не исключает появления "зверей" (особенно если человек лазит по всяким порно и крякосайтам). А потому нужен контроль приложений.
Другое дело что средний пользователь не умеет им пользоваться.

Algris
25.09.2005, 17:23
Geser, SDA, согласен с вами в том, что 100% защиты не существует и, в случае "усреднённого" пользователя, избыточная защтита предпочтительна.
Но что мешает проверить скачанный файл антивирем или он-лайновым DrWeb?
Ну а в случае
Антивирус может и не отловить какой нибудь свежайший троян (не успел попасть в базы, эвристик не определил)"усреднённого" пользователя и файер не спасёт, ибо
Другое дело что средний пользователь не умеет им пользоваться

orvman
26.09.2005, 04:00
Algris
В принципе да, но при наличии роутера и, соответственно НАТ, нужда в файерволле минимальна... Да, смысл в твоих словах есть, согласен - согласно модели оси - и соответственно есть вывод - конечные пользователи - вот, где это нужно, впрочем, в основном для этого и сделаны фаеры... - тема обширная...

Конечно, только не выходе, а входе из И-нета. В этой ситуации, мне понравилось определение "недоделанные "кулхацкеры"" :-),
А мне больше понравилось следующее:
файер нужен для блокирования доступа в сеть зараженных приложений. Много, что можно сказать, прикольно просто. Комментировать не буду...
файер только бесполезно ест ресурсы, а для спокойствия вполне достаточно качественного антивиря. ???? . Анитивирь? Ну, если может смотреть пакеты NAT на шлюзе.... Долго объяснять.... И правильно то, что сказал Geser:
А что, раутеры теперь осуществляют контроль апликаций? Вот!!!! Правильные слова. Читаем модель оси - все уровни, хотя бы в общих чертах...

RiC
ISA умеет, но очень примитивно - "давать" или "не давать" целиком приложению. В смысле? А порты настроить на конкретный IP (in - out) и т.д.? Или ты про что? Хотя, согласен в другом - продукт Микра.... - поэтому и выводы делаем....

Algris

Если пользователь подключён к и-нету через роутер, то из и-нета за НАТом его не видать, т.е. одна из функций файера по защите от атак из и-нета остаётся невостребованной.
Согласен. Но сначала нужно определиться - железо или софт... и т.д. и т.п.....

Если у пользователя установлен качественный антивирь, то беспокоиться о появлении "зверей" ему нечего, а вместе с этим отпадает нужда и в контроле компонентов со стороны файера. Согласен. Есть смысл в твоих словах. Но, как сказали SDA и Geser:
Антивирус может и не отловить какой нибудь свежайший троян (не успел попасть в базы, эвристик не определил), остается только контроль компонентов на стенке. Можно пользоваться и Adifom, но это на любителя.
Даже теоретически самый качественнтй антивирус далёк от 100% защиты. Так что какой-бы антивирус не был - это не исключает появления "зверей" (особенно если человек лазит по всяким порно и крякосайтам). А потому нужен контроль приложений. Вот...

RiC
26.09.2005, 11:14
ISA умеет, но очень примитивно - "давать" или "не давать" целиком приложению.
RiC В смысле? А порты настроить на конкретный IP (in - out) и т.д.? Или ты про что?
Я про контроль приложений на раутере - когда ISA стоит как раутер, она умеет "iexplore.exe" на клиенте пускать в Инет а "eexplore.exe" на том-же клиенте спускать в канализацию. Но контроль основывается только на имени файла приложения которое лезет в Инет, поэтому сразу и сказал что примитивно и настраивать замучаешься а эффект того не стоит. Хотя в комплекте с цифровой подписью и центрами сертификации можно попытаться смутить что-нибудь более прикольное - типа цифровой подписи для приложений которым можно работать в Inet, но насколько это окажется работоспособным я так сразу не скажу - надо проверять.



Хотя, согласен в другом - продукт Микра.... - поэтому и выводы делаем....

А выводы каждый делает сам для себя :)

kirs
29.04.2006, 20:09
Есть комп. Он висит в сети через NAT. Отсюда логический вывод -> от атак из вне он защищен. Однако бывают еще и нежелательные соединения инициируемые прогами с самого компа.
Задача: присекать попытки таких соединений, т.е. разрешить доступ одним и запретить другим приложениям. А какую стенку,Вы могли бы посоветовать?
Нужна программа по сути аналогична стандартному виндовому фаеру.Убивающая именно попытки программ которые лезут в сеть сами.

RiC
29.04.2006, 20:40
Нужна программа по сути аналогична стандартному виндовому фаеру.Убивающая именно попытки программ которые лезут в сеть сами.
Попробуйте Sygate.

kirs
29.04.2006, 20:55
Если не трудно,пошлите на нужную ссылку,ато я точно напутаю..)

RiC
29.04.2006, 21:52
Если не трудно,пошлите на нужную ссылку,ато я точно напутаю..)
http://www.simtel.net/product.download.mirrors.php?id=53687

kirs
29.04.2006, 21:57
Спасибо! Очень выручили-)

RiC
30.04.2006, 08:16
Спасибо! Очень выручили-)
Инструкция - http://www.inetcomm.ru/articles.php?page=sygate

Alfiya
25.02.2007, 16:08
http://www.simtel.net/product.download.mirrors.php?id=53687

Нажала эту ссылку, а там табличка "Congratulation! You are the 999999 visitor. You won..."
я испугалась этой таблички. Нашла загрузку Sygate Personal Firewall 5.6, а там табличка "your banner qualified for 10 free Ringtones". Это вирусы что ли?

Geser
25.02.2007, 18:59
Нажала эту ссылку, а там табличка "Congratulation! You are the 999999 visitor. You won..."
я испугалась этой таблички. Нашла загрузку Sygate Personal Firewall 5.6, а там табличка "your banner qualified for 10 free Ringtones". Это вирусы что ли?
Это реклама

1serg
01.03.2007, 11:02
Огромное спасибо Вам за статью ,очень познавательно и понятно написано .

asd911
04.05.2007, 01:44
Спасибо за статью.
Что такое файервол - понятно.
Но вот как он работает, по прежнему не ясно. :-)
Тоесть, нужно обладать дополнительными знаниями, помимо основных юзерских.
"Интуитивно" настроить файрвол, как это можно сделать с большинством других програм, тоже не получиться.
Поставил R-Firewall, потому, что к нему дается руководство.
Если есть еще материалы по работе стенок, буду благодарен.

Moonlight Rambl
04.05.2007, 09:26
работает - он "стоит" между тобой и интернетами, выполняет роль таможни на границе, всяких моджахедов останавливает :)
----------
интуитивно настроить - ну, скажем, в Outpost'е есть режим обучения. Так как обычно пользователь знает какие проги ему нужны для инета (почтовик, аська, браузер итд, набор зачастую невелик) то им можно доступ разрешать. А что полезло непонятное - запретить. А через недельку другую можно поставить режим block most (блокировка всего что явным образом не разрешено). Это что касается блокировки исходящих. Защита от атак снаружи выражается в закрытии/сокрытии портов, блокировки доступа извне (прямое назначение). Собственно, заклинание Firewall (огненная стена) в играх видели? Ну вот как-то так оно и работает. Некоторые навороченные виды стенок умеют еще и осуществлять мониторинг приложений, если что-то изменилось в наборе dll или запускаемом exe они тут же об этом и сообщают, мол, так и так, чего делать. По поводу детальных настроек надо смотреть на саму стенку, они заметно отличаются, хотя принципы схожи. Но интерфейсы... :)

Макcим
04.05.2007, 10:59
Если есть еще материалы по работе стенок, буду благодарен.Таких материалов как таковых нет. Для того чтобы понимать принцип работы файрвола, нужно знать принцип работы протокола TCP/IP. Основы основ Geser изложил в этой статье.

Moonlight Rambl
04.05.2007, 13:36
Смотря как писать :) По сути разница ведь только в gui. Если взять "примерную" информацию каким программам/соединениям что разрешать то это вполне пойдет для всех стенок. Главная проблема - найти где это все задавать :) Скажем, веб-браузер, разрешить исходящие соединения 1024-4999 порты, удаленные 80, 443, 8080... Но запретить отсылать какое-либо инфо на ip ***.***.***.*** так так там сидят злые люди. Как-то так.

Макcим
04.05.2007, 15:40
Если взять "примерную" информацию каким программам/соединениям что разрешать то это вполне пойдет для всех стенок."Примерная" информация это понятие о-о-очень растяжимое. Проще пользоваться шаблонами правил, встроенных в файрвол. Если я расскажу о своих настройках файрвола, то все банально просто - удаляю все правила созданные по умолчанию и создать только нужные в режиме обучения. Посмотрите раздел "Помогите", столько напуганных людей непонимающих алретов Аутпоста. Криво настроенный файрвол хуже, чем его отсутствие. При неправильной настройке может пропасть связь с интернет. Правила для каждого индивидуальные. Говоря о себе, меня не устроило ни одно правило созданное в файрволе по умолчанию.

Скажем, веб-браузер, разрешить исходящие соединения 1024-4999 порты, удаленные 80, 443, 8080...Впервые слышу, чтобы браузерам разрешали локальные порты только определенного диапазона.

Numb
04.05.2007, 16:42
Впервые слышу, чтобы браузерам разрешали локальные порты только определенного диапазона.Строго говоря, такое правило может иметь место быть, поскольку 1024-4999 - диапазон значений локальных портов, используемых ОС по умолчанию.

Макcим
04.05.2007, 22:36
Строго говоря, такое правило может иметь место быть, поскольку 1024-4999 - диапазон значений локальных портов, используемых ОС по умолчанию.Ну, а зачем тогда использовать правило файрвола, если один из этих портов итак будет задействован по умолчанию?

orvman
05.05.2007, 02:07
Ну, а зачем тогда использовать правило файрвола, если один из этих портов итак будет задействован по умолчанию? Совершенно верно. Это касаемо браузера. Идем далее.
Скажем, веб-браузер, разрешить исходящие соединения 1024-4999 порты, удаленные 80, 443, 8080... Многие браузеры и софт иногда еще юзают и UDP + TCP, потом ответы ICMP и т.д. А еще есть замечательная вещь - сам localhost, либо весь диапазон 127.0.0.0. Ну и т.д.
Поэтому:
Для того чтобы понимать принцип работы файрвола, нужно знать принцип работы протокола TCP/IP. Не факт. Обычно народу это не нужно. Ну уж если на то пошло, то необходимо знать еще и принцип работы самого фаера. А вообще скрытые техи работы фаеров известны только самим разработчикам.

Таких материалов как таковых нет. Ну например для Outpost есть.
Проще пользоваться шаблонами правил, встроенных в файрвол. Не факт. Шаблоны создаются именно для юзеров. Дабы у всех работало. И дабы кривыми ручками своими они потом не заваливали письмами техподдержку и т.д.
Правила для каждого индивидуальные. Говоря о себе, меня не устроило ни одно правило созданное в файрволе по умолчанию. Согласен - на 100%. При одном условии - если знаешь и четко понимаешь, что делаешь.

Макcим
05.05.2007, 09:57
Не факт. Обычно народу это не нужно. Ну уж если на то пошло, то необходимо знать еще и принцип работы самого фаера. А вообще скрытые техи работы фаеров известны только самим разработчикам.Я говорю об основах. Я тоже не знаю глубоко TCP/IP, но для настройки файрвола и подключения к сети мне хватает :) Ну кроме того, что изложил Geser, важно ещё знать какие порты, каким программам нужны для нормальной работы.

Не факт. Шаблоны создаются именно для юзеров.Так мы и говорим о юзерах.

asd911
05.05.2007, 15:06
Например можно пойти на этот сайт http://tools-on.net/privacy.shtml?2
Просканировать порты и если выявятся открытые - закрыть.
Но это капля в море.
Наверняка, должныбіть наработаные схемы, обобщенный опыт как настраивать огнестены.

Скачал pcaudit и проверил в какие дырки может еще сунуться исходящая информация.

Макcим
05.05.2007, 18:17
Ну например для Outpost есть.Ссылка в этой (http://virusinfo.info/showthread.php?t=9503) теме.

DISEPEAR
06.07.2009, 01:00
Хотел бы поинтерсоватся.. Сейчас у меня стоит официальный Outpost Firewall Pro
версия 6.5.4 с пожизненной лицензией.
При этом в интернет вхожу через провайдера, модем D-Link 2540U/BRU/D ADSL2/2+PortEthernetRouter. Но при этом когда я его покупал, в телекомункационной компании где и предоставляет услугу провайдер. То у меня его взяли минут на 15, а потом вернули и сказали что драйвера устанавливать не надо. Просто включил и всё.
До этого был модем Asus USBшный. Много было с ним мороки и с драйверами, часто вылитал.
Вот я и хотел спросить у знающих. Есть ли у меня Router без установленных драйверов? И нужен ли мне в дальнейшем такой жёсткий фаер как Outpost Firewall Pro ? Что то он тяжеловатый какой то, и пакеты не фильтрует.. На запрос не поставишь, как например в Eset Smart Security. Там было проще..
Если у меня уже есть Router то быть может мне лучше тогда остаться на ESS или на каком нибудь подобном, более мягком - чисто для фильтра пакетов? Как вы считаете? Или всё же Router не даёт полной защиты?

Helgin
06.07.2009, 11:44
Господа забывают, что существуют ещё программы которые лезут в инет при установке - отправить информацию об установке, проверить валидность цифровой подписи, и пр. Зарегистрироваться....обновления скаячать.
Фаервол генерирует на этих этапах большое количество непонятных среднему пользователю сообщений. Запрещать. "Почему у меня не устанавливается"
А в режиме block most -пользователь не поймет почему у не работает какой то функционал программ (на собственном опыте).
Конечно приятно запретить фаером программе лезть куда-то к создателю на сайт, особенно если она используется скажем так не будучи купленной...но в остальном получается фаер позади NAT не очень и нужен.
Всё равно квалификации отличить нужный от ненужного трафика как правило- нет. И справочной литературы в инете тоже нет на эту тему, не говоря уж о сайтах производителей.
"если вы доверяете этой программе"
Как я могу доверять или не доверять какому нить mgvfc.exe ? Откуда я знаю что он хочет?

DISEPEAR
06.07.2009, 13:38
А в режиме block most -пользователь не поймет почему у не работает какой то функционал программ (на собственном опыте).
Конечно приятно запретить фаером программе лезть куда-то к создателю на сайт, особенно если она используется скажем так не будучи купленной...но в остальном получается фаер позади NAT не очень и нужен.

Ну почему же не нужен.. ну например для экономии трафика. В ESS очень удобно это было, там можно было поставить все нужные приложения на запрос. И каждый раз при попытке вылезти в инет вылезало окошечко с запросом. Можно было временно запретить - на сеанс. Или вообще временно запретить всем программам выход в инет кроме браузера и почтового клиента. Скорость инета улучшалась естественно.

syneus
18.11.2009, 15:50
сегодня файрвол блокировал атаку троянского коня Master Paradise,Просканировал компьютер на этом сайте http://tools-on.net/privacy.shtml?2 открытых портов не обнаружено,значит есть открытые порты,нужно ли их закрывать ,или достаточно ,что файрвол блокирует атаки?

craftix
08.01.2010, 01:40
сегодня файрвол блокировал атаку троянского коня Master Paradise,Просканировал компьютер на этом сайте http://tools-on.net/privacy.shtml?2 открытых портов не обнаружено,значит есть открытые порты,нужно ли их закрывать ,или достаточно ,что файрвол блокирует атаки?

Я конечно поздновато отвечаю, но в описанной выше ситуации скорее всего нужно просто установить все последние обновления для операционной системы и тогда скорее всего никакие атаки фаерволу блокировать больше не надо будет. Если только эти атаки не идут с вашего собственного компьютера. Ну и еще несколько "если", о которых думаю обычному пользователь знать не обязательно.

valho
08.01.2010, 06:01
Нажала эту ссылку, а там табличка "Congratulation! You are the 999999 visitor. You won..."
я испугалась этой таблички. Нашла загрузку Sygate Personal Firewall 5.6, а там табличка "your banner qualified for 10 free Ringtones". Это вирусы что ли?
http://img31.imageshack.us/img31/9841/simtelnet1.th.png (http://img31.imageshack.us/img31/9841/simtelnet1.png)

Видимо паталогия там уже давно.
(вставил картинку, а там она чёт пропала)

штушакутуша
08.04.2010, 12:16
Здравствуйте. А у меня вообще засада какая-то. Включаю встроенный брандмауэр виндоуз, utorrent вообще удаляю из списка исключений, запускаю utorrent , выскакивает окошко: блокировать-разрешить, нажимаю "блокировать", utorrent появляется в списке исключений, но галочка напротив него не стоит. Вроде всё, как и должно быть. И в самом utorrent " разрешить брандмауэром виндоуз" галочка снята. Но utorrent как качал-раздавал, так и продолжает качать-раздавать. Мне кажется нездоровая какая-то канитель. Может знает кто-нибудь? Подскажите пожалуйста.:O

jeekaservis
01.10.2010, 18:26
ето всё туфта

Zoric
25.03.2011, 15:43
а нужен ли файрволл на спутниковом интернете у меня радуга интернет?