Размышления о файрволлах (отрезано от обсуждения миниатюрного HP)

[Ayanami-kun]

Вы бы сели в машину, которая едет сама по себе, пусть даже по указанному вами маршруту, но которой вы не можете управлять, не можете ее остановить, не можете из нее выйти, не можете ее контролировать, пока она сама не остановится и не откроет дверь? Сомневаюсь.

Каждый день на такой езжу. И это, кстати, лучше, чем машина, которая постоянно спрашивает "Опасность: к вам приближается автомобиль. Катапультироваться? да/нет"

[Davinel]

Такое игнорирование мне непонятно более всего. Ведь есть такие "комбайны" под Windows? Есть. Вы хотите сказать, что они не нужны? Что все эти защиты - заблуждения юзеров? Опустим мое ламерское описание самого процесса "взлома", но защищают ли такие программы от взлома? Или это весь мир - дураки (т.к. Windows - самая массовая система, ее юзает весь мир), раз они юзают файерволы ненужные?

В принципе да - не нужны. Они не эффективны в них в самих куча дыр и они все равно не дают надежной защиты. Надежную защиту обеспечивает правильно настроенный "железный"(аппаратный) фаервол. Между прочим обычно они построены на unix-like ядре (:

Вот тут пишут, что комп с Windows стоит годами, без антивируса и файервола, а туда никто не залазит. Если вы не выходите при этом в инет, то согласен, не залезут Если же активно будете юзать инет (а не только сидеть на паре-тройке сайтов), а уж тем более если будете сидеть в большой локальной сети, то залезут за несколько дней. И при этом вам не надо что-то самим запускать, просто оставьте включенным комп и все. Убеждался много раз. Я сам сидел 3-4 года в Win без антивируса и файервола, никто не залазил, пока однажды не украли кошелек webmoney (да, ничего левого не запускал, что такое "компьютерная грамотность" я в курсе). Но это было давно, в начале 2000-х, когда инет еще не был у нас столь массовым (т.е. неоткуда этим вирусам было лезть). Сейчас выйти под Windows без файервола в инет - самоубийство У меня есть множество знакомых, которые просто выходят в инет посидеть в браузере, снять почту и скачать фильмы, у них через 2-3 дня сидения без файервола был полный комп троянов и вирусов. Поставили антивирус + файервол - проблем нет. Я не знаю механизм, как они залазят на комп, я знаю, что залазят. Мне этого достаточно. Я не сис админ, повторюсь, я - пользователь.

Ну все так говорят. А потом оказывается, что накачали кучу вареза(в том числе и из той же локальной сети, с шар других пользователей), лазили по порносайтам, что пароли везде стоят 123.. Сидя в локальной сети кстати доступ к своему компьютеру закрывать надо и уж тем более не шарить диски.

Еще я знаю много примеров, когда сервера под управлением линукса становились частями ботнетов. Про то, что ломают роутеры под управлением линукс - я тоже видел сам.

Любопытно было бы глянуть на такой сервер.. Вообще то обычно сервера настраиваются так, что запустить на них чтолибо без прав администратора не представляется возможным, а получить права администратора ломая пользовательский сервис можно только брутфорсом..
А роутер сломать можно. Конечно. Молотком например.

Именно для этого мне, как пользователю, просто чтобы быть спокойным, важно контролировать трафик так, как это позволяют делать комбайны. Да, например, Outpost. Чтобы даже если взломают, то я мог бы хоть это УВИДЕТЬ! В линуксе у меня нет инструмента, чтобы увидеть. Под Windows - есть.

Я ж объяснял.. оутпост ничего реально не даст. В большинстве случаев, если вас реально будут ломать, вы просто не поймете что это был взлом, а в оставшихся что это был взлом не поймет оутпост.
Оутпост - борба с симптомами. Не эффективно отслеживать уже состоявшийся взлом, нужно делать так, чтобы этот взлом было осуществить настолько трудоемко, чтоб этим никто не стал заниматься. А это правильно настроенный фаервол(не комбайн, типа аутпоста, а что то простенькое, типа ip tables), нормальные права доступа к файловой системе и аккуратное отношение к своим действиям.

И пока в линуксе для этого нет инструментов, для меня лично линукс будет просто игрушкой, которую можно поставить на некритичный комп, поиграться и все. А работать - в Windows. И это не только для меня, именно как игрушку линукс сейчас вопринимают большинство даже форумчан (и не только этого форума), которые пишут из Винды, но в профиле ставят, что их ОС - Генту или Дебиан Откуда я знаю? Да по сообщениям видно (когда бодро отбарабанивают где именно в меню командная строка в Windows и т.п.). Пока же я не могу САМ контролировать свой комп под линукс, я не буду полагаться на мантры типа "линукс безопасен" или "никого вот не взломали", я просто серьезно не буду рассматривать эту ОС в плане работы и хранения конфиденциальной информации, которую могут спереть даже незаметно для меня, пусть даже и с вероятностью в 1%.

Эт смешной аргумент. Многие форумчане весьма тесно связаны с IT сферой и знать windows - прямая обязанность.

[Ali1]

У вас есть две равнодырявые программы.
комбайн аля оутпост
браузер
Первая запущена в привилегированном режиме, т.к. иначе она не работает
Вторая от простого пользователя.
Какая программа представляет большую угрозу ?

[Goodvin]

Маразм крепчает, накал страстей растет.
Можно уже даже не комментировать. :-)

[/dev/random]

Вот и у массового пользователя линукс сейчас НЕТ контроля линукса как ОС, контроля своего компа. Нет и все.

))) Я как раз пользуюсь линуксом, а не виндой, в первую очередь потому, что в линуксе я контролирую ВСЁ. А в винде за меня разрабы решают, что для меня лучше и безопаснее.

А по поводу "увидеть, что меня взломали" - бред. Если к вам пролезет троян студента васи пупкина - да, "комбайн" это покажет. Но если взлом был проведён грамотно, то никакие программы в мире вам о нём не скажут. Простейший пример: вредоносный код, проникнув в браузер, не заливает на комп отдельную программу, а в браузере и остаётся. Вы разрешили браузеру выходить в сеть? Разрешили. Значит, и любому вредоносному коду, способному проникнуть в браузер, тоже разрешили. Это не говоря уже о таких вещах, как внедрение в систему своего драйвера.

В общем, чтобы выяснить, была ли взломана система, нужно проводить тщательный и грамотный анализ, независмо от наличия комбайнов, способных вычислить только трояны васи пупкина, но никак не грамотный взлом. А троянам васи пупкина нормально настроенная система не по зубам.

[Warderer]

Такое игнорирование мне непонятно более всего. Ведь есть такие "комбайны" под Windows? Есть. Вы хотите сказать, что они не нужны? Что все эти защиты - заблуждения юзеров? Опустим мое ламерское описание самого процесса "взлома", но защищают ли такие программы от взлома? Или это весь мир - дураки (т.к. Windows - самая массовая система, ее юзает весь мир), раз они юзают файерволы ненужные?

Есть. Не нужны. Заблуждения. Создают видимость безопасности. Дураки.

По делу: лучший, виденный мной файрволл для винды: wipfw, который изумителен своей простотой, надёжностью и конфигурируемостью. Лучший виденный мной мониторинг процессов, общающихся с сетью для винды:

Код: Выделить всё

netstat -a

, лучший анализатор вторжений, всё же snort, наверное.

[Fkabir]

Вот и у массового пользователя линукс сейчас НЕТ контроля линукса как ОС, контроля своего компа. Нет и все.

))) Я как раз пользуюсь линуксом, а не виндой, в первую очередь потому, что в линуксе я контролирую ВСЁ. А в винде за меня разрабы решают, что для меня лучше и безопаснее.

А кто вы по специальности, можно узнать?

А по поводу "увидеть, что меня взломали" - бред. Если к вам пролезет троян студента васи пупкина - да, "комбайн" это покажет.

А таких - 99%. Если не больше. Тоже неплохо.

Но если взлом был проведён грамотно, то никакие программы в мире вам о нём не скажут.

Это в какой доле процента такое может быть?

В общем, чтобы выяснить, была ли взломана система, нужно проводить тщательный и грамотный анализ, независмо от наличия комбайнов, способных вычислить только трояны васи пупкина, но никак не грамотный взлом. А троянам васи пупкина нормально настроенная система не по зубам.

Ну так я хочу быть в этом уверенным САМ, а не на основании ников с форума. Понимаете? САМ. Вот вы уверены в системе своей, и я хочу быть уверенным. Но я не хочу становиться сис админом. Понимаете?

Лучший виденный мной мониторинг процессов, общающихся с сетью для винды:

Код: Выделить всё

netstat -a

Вот сделал я так под Виндой. Какие-то циферки и буковки... Я не сис админ! Понимаете? Вот сделал так - все равно толку для меня, если бы и не делал. А вот заглянул в отчеты Outpost - и мне все понятно. Потому-что там все тоже, но в другом виде. В понятном для пользователя виде. Понимаете?

[Warderer]

Лучший виденный мной мониторинг процессов, общающихся с сетью для винды:

Код: Выделить всё

netstat -a

Вот сделал я так под Виндой. Какие-то циферки и буковки... Я не сис админ! Понимаете? Вот сделал так - все равно толку для меня, если бы и не делал. А вот заглянул в отчеты Outpost - и мне все понятно. Потому-что там все тоже, но в другом виде. В понятном для пользователя виде. Понимаете?

Дело в том, что если вам ЭТО непонятно, то вы просто не контролируете безопасность вашего компьютера. Вам кажется, что вы что-то понимаете и от чего-то защищаетесь. Это во-первых. А во-вторых, при настроенном wipfw лично я не вижу смысла туда заглядывать.

[Fkabir]

Лучший виденный мной мониторинг процессов, общающихся с сетью для винды:

Код: Выделить всё

netstat -a

Вот сделал я так под Виндой. Какие-то циферки и буковки... Я не сис админ! Понимаете? Вот сделал так - все равно толку для меня, если бы и не делал. А вот заглянул в отчеты Outpost - и мне все понятно. Потому-что там все тоже, но в другом виде. В понятном для пользователя виде. Понимаете?

Дело в том, что если вам ЭТО непонятно, то вы просто не контролируете безопасность вашего компьютера. Вам кажется, что вы что-то понимаете и от чего-то защищаетесь. Это во-первых.

Ну значит я обманываю себя успешно иллюзиями вот уже много лет, защищаясь от троянов и прочей нечисти... в отличие от тех пользователей, кто сидит без файервола и антивируса под Винды

Да, а когда я ем что-то, не зная, как и из чего именно его приготовили, я тоже на самом деле все это время голодаю

А когда я еду на машине, не зная принципы работы двигателя, то на самом деле я иду пешком, мне просто кажется, что я еду

[Ali1]

Ну так я хочу быть в этом уверенным САМ, а не на основании ников с форума. Понимаете? САМ. Вот вы уверены в системе своей, и я хочу быть уверенным. Но я не хочу становиться сис админом. Понимаете?

Цитата(Warderer @ Jan 30 2009, в 18:25) *
Лучший виденный мной мониторинг процессов, общающихся с сетью для винды:
Код
netstat -a

Вот сделал я так под Виндой. Какие-то циферки и буковки... Я не сис админ! Понимаете? Вот сделал так - все равно толку для меня, если бы и не делал. А вот заглянул в отчеты Outpost - и мне все понятно. Потому-что там все тоже, но в другом виде. В понятном для пользователя виде. Понимаете?

Что Вам понятно ?
Вы же не понимаете значений слов из отчёта. Вы постоянно придумываете свои толкования, строите из этого объяснения и оправдываете этим свои действия.

[Warderer]

Ну значит я обманываю себя успешно иллюзиями вот уже много лет, защищаясь от троянов и прочей нечисти... в отличие от тех пользователей, кто сидит без файервола и антивируса под Винды

На бред отвечать не буду, но кто вам сказал, что у вас-таки нет троянов и прочего? Аутпост? Он для вас абсолютно авторитетен?

[Fkabir]

Ну так я хочу быть в этом уверенным САМ, а не на основании ников с форума. Понимаете? САМ. Вот вы уверены в системе своей, и я хочу быть уверенным. Но я не хочу становиться сис админом. Понимаете?

Цитата(Warderer @ Jan 30 2009, в 18:25) *
Лучший виденный мной мониторинг процессов, общающихся с сетью для винды:
Код
netstat -a

Вот сделал я так под Виндой. Какие-то циферки и буковки... Я не сис админ! Понимаете? Вот сделал так - все равно толку для меня, если бы и не делал. А вот заглянул в отчеты Outpost - и мне все понятно. Потому-что там все тоже, но в другом виде. В понятном для пользователя виде. Понимаете?

Что Вам понятно ?
Вы же не понимаете значений слов из отчёта. Вы постоянно придумываете свои толкования, строите из этого объяснения и оправдываете этим свои действия.

Слова:
- разрешенные
- заблокированные входящие
- заблокированные исходящие
- сетевая активность
и т.п.
я есть со словарем как-то буду понимайт

Ну значит я обманываю себя успешно иллюзиями вот уже много лет, защищаясь от троянов и прочей нечисти... в отличие от тех пользователей, кто сидит без файервола и антивируса под Винды

На бред отвечать не буду, но кто вам сказал, что у вас-таки нет троянов и прочего? Аутпост? Он для вас абсолютно авторитетен?

- Аутпост
- Антивирус
- Task manager
Анализ всего вышеуказанного, их данных. Ну и еще (главный секрет, только никому не говорите!) поглядывание на мигающий в трее мониторчик

[Warderer]

- заблокированные входящие

Извините, а заблокированные это как? Прилетающий пакет уничтожается или отвергается? А разницу объяснить сможете? Кстати, по результату ответа на этот вопрос сразу два варианта развития атаки.

[Fkabir]

- заблокированные входящие

Извините, а заблокированные это как? Прилетающий пакет уничтожается или отвергается? А разницу объяснить сможете?

А нафига мне оно? Я не сис админ! Мне достаточно, что оно заблокировало что-то, но все работает, а троянов и прочего подобного нет! Вот без него были, а с ним - нет. Мне важен результат. А как работает - это к сис админам. И разработчикам. Я не сис админ!

[Warderer]

- заблокированные входящие

Извините, а заблокированные это как? Прилетающий пакет уничтожается или отвергается? А разницу объяснить сможете?

А нафига мне оно? Я не сис админ! Мне достаточно, что оно заблокировало что-то, но все работает, а троянов и прочего подобного нет! Вот без него были, а с ним - нет. Мне важен результат. А как работает - это к сис админам. И разработчикам. Я не сис админ!

То есть содержимое Task Manager вам понятно, а вывод netstat - не понятен. И вы не сисадмин. Оригинально, честное слово.

[serzh-z]

Мне достаточно, что оно заблокировало что-то

Вот бы ещё оно юзера блокировало...

[Fkabir]

- заблокированные входящие

Извините, а заблокированные это как? Прилетающий пакет уничтожается или отвергается? А разницу объяснить сможете?

А нафига мне оно? Я не сис админ! Мне достаточно, что оно заблокировало что-то, но все работает, а троянов и прочего подобного нет! Вот без него были, а с ним - нет. Мне важен результат. А как работает - это к сис админам. И разработчикам. Я не сис админ!

То есть содержимое Task Manager вам понятно, а вывод netstat - не понятен. И вы не сисадмин. Оригинально, честное слово.

Да, просто продвинутый юзер и не более того

[Ayanami-kun]

Вот бы ещё оно юзера блокировало...

Вспомнилось с ЛОРа.

"Все есть файл и файл есть все. И ты тоже файл, и место тебе в /dev."

[serzh-z]

кто вам сказал, что у вас-таки нет троянов и прочего? Аутпост? Он для вас абсолютно авторитетен?

Это как если бы владелец автомобиля ставил под сомнение заявления и авторитетность производителя о том, что в его автомобиле *есть* боковые подушки безопасности. )

[fed71]

Да. Флейм идет в ширь. И все по кругу. Как я смотрю разговор об одном и даже одинаковыми словами, а вот понимания в народе нет. Эти разговоры не имеют смысла ввиду целостности самой проблемы и попыток обозреть ее отдельные аспекты в отрыве от этого самого целого.
ИМХО сама безопасность достигается единством и целостностью аппаратно-программного комплекса. Можно его настроить через GUI - чудесно! Нужна тонкая настройка через правку конфигов - всегда да. В любом случае от пользователя требуется понимание что он делает и что получится в итоге. А это достигается через книги, маны, личный и других опыт.
Позвольте не поверить, что обычный пользователь (ага, домохозяйка-блондинка), установив на компе крутейший файрвол, как-то сможет настроить его. Дыры выявляются/затыкаются в процессе анализа работы и для этого тоже знания нужны. Громкие крики про "САМУЮ безопасною ОС" воспринимаются мной весьма скептически. Если уязвивость в самой системе - хоть вывернись, но защиты не будет. Дабы не голословничать о том где проблема порылась, вот ссылка
http://www.microsoft.com/rus/technet/secur...n/ms08-025.mspx
Если внимательно почитать-посмотреть, то видно с каких времен проблема тянется. И решения ей нет. Очень напоминает дом без забора, но с железобетонными воротами.
А этот флейм пора закруглять - бесполезный он.

[serzh-z]

Позвольте не поверить, что обычный пользователь (ага, домохозяйка-блондинка), установив на компе крутейший файрвол, как-то сможет настроить его.

Зачем ей вообще файрвол? Или у неё на компе хранятся очень ценные кулинарные рецепты? Вообще, я считаю, что встроенного и настроенного по умолчанию файрвола вполне достаточно для обычного пользователя. Ему вообще не нужно знать про него.

Я думаю, что большинство обычных пользователей телефонов даже не задумывается о всяких там скремблерах и прочем. Т.е. в плане телефонов - мы все те же самые домохозяйки-блондинки.

А этот флейм пора закруглять - бесполезный он.

Как скажете. Надо - так надо. Сейчас закруглим и перенесём топик в "Вопрос чайника" или другой тематический раздел.

[Warderer]

кто вам сказал, что у вас-таки нет троянов и прочего? Аутпост? Он для вас абсолютно авторитетен?

Это как если бы владелец автомобиля ставил под сомнение заявления и авторитетность производителя о том, что в его автомобиле *есть* боковые подушки безопасности. )

Нет, это доверие к установившему на зубилу сигнализацию дяде Васе из соседнего гаража, что теперь-то твою машину точно никто угнать не сможет.

[Bluetooth]

Оставить только исходящие на нужные порты. DNS, HTTP, XMPP и так далее. Более того, рекомендовал бы и некоторые из них ограничить известными хостами. Например, у меня закрыт исходящий SMTP кроме узла, через который я отсылаю почту.

спасибо. а как быть с теми службами, которые случайно выбирают непривилегированный порт?

А нафига мне оно? Я не сис админ! Мне достаточно, что оно заблокировало что-то, но все работает, а троянов и прочего подобного нет! Вот без него были, а с ним - нет. Мне важен результат. А как работает - это к сис админам. И разработчикам. Я не сис админ!

вы абсолютно непробиваемы. рекомендую употребить то время, которое вы фанатично доказываете админам, что они не правы, совершенно не разбираясь в вопросе, и отмазываясь тем, что не админ, употребить на чтение инфы по этому вопросу. это будет намного полезнее. впрочем, я думаю, вас это не устроит. так не лучше ли тогда это время потратить на работу или семью?
а аутпост вам глаза не мозолит, так пусть будет, может от него даж польза будет

[mikluxo]

А когда я еду на машине, не зная принципы работы двигателя, то на самом деле я иду пешком, мне просто кажется, что я еду tongue.gif

Вам же никто исходники не дает читать? Вам говорят, что нужно настроить, что бы работало.

[watashiwa_daredeska]

Ну так я хочу быть в этом уверенным САМ... Понимаете? САМ. Вот вы уверены в системе своей, и я хочу быть уверенным. Но я не хочу становиться сис админом. Понимаете?

Не понимаю. Я не строитель, на каком основании я могу быть уверен, что дом построет качественно, не просядет через год на полметра и по стенам не пойдут трещины? Я не механик, на каком основании я могу быть уверен, что моя машина проедет 5000км (пусть в ней случатся поломки, но она доедет)? Чем абсолютно неизвестные личности -- разработчики Outpost -- авторитетнее других абсолютно неизвестных личностей -- участников форума?

Я вот тоже не сисадмин, но все-таки какие-то знания в этой области мне пришлось приобрести, т.к. на платную поддержку у меня денег нет, а систему (и не одну) содержать как-то надо.

[watashiwa_daredeska]

Да, а когда я ем что-то, не зная, как и из чего именно его приготовили, я тоже на самом деле все это время голодаю

Нет, просто вы не знаете, чем это вам грозит. Может быть, вы отравитесь и умрете от яда через 30сек., может быть вы будете травить себя в течение 10 лет и умрете от язвы желудка, может быть вы нарушите обмен веществ, ожиреете и умрете от сердечного приступа через 15 лет.

А когда я еду на машине, не зная принципы работы двигателя, то на самом деле я иду пешком, мне просто кажется, что я еду

Если вы не знаете принципов работы автомобиля, то нет никакой гарантии, что вы доедете. Хорошо, если вы едете один, а если вы везете меня?

[Goodvin]

Что Вам понятно ?
Вы же не понимаете значений слов из отчёта. Вы постоянно придумываете свои толкования, строите из этого объяснения и оправдываете этим свои действия.

Это еще не всё.
Еще он верит в то, что сам придумывает.
Непонятно только зачем проецировать эту веру на тех, кто знает как оно устроено на самом деле.

[Goodvin]

кто вам сказал, что у вас-таки нет троянов и прочего? Аутпост? Он для вас абсолютно авторитетен?

Это как если бы владелец автомобиля ставил под сомнение заявления и авторитетность производителя о том, что в его автомобиле *есть* боковые подушки безопасности. )

Нет, это доверие к установившему на зубилу сигнализацию дяде Васе из соседнего гаража, что теперь-то твою машину точно никто угнать не сможет.

+ "стопицот тысяч", как говорится.
Ставим какую-то приблуду и верим, верим, верим ей. )))

[yamah]

Что Вам понятно ?
Вы же не понимаете значений слов из отчёта. Вы постоянно придумываете свои толкования, строите из этого объяснения и оправдываете этим свои действия.

Это еще не всё.
Еще он верит в то, что сам придумывает.
Непонятно только зачем проецировать эту веру на тех, кто знает как оно устроено на самом деле.

Человек никогда не слышал слово "уязвимость".
И ни разу не пытался в броузере ввести такой адрес.
Далее, никогда не читал рекомендаций разработчиков "использовать вместе с аппаратным файерволом".
Далее, никогда не интересовался приемами хаккинга.

В противном случае бы знал, что чем навороченней программа, тем более в ней дыр.

Видел классный эксплойт для windows (vbs для ослика), который напрочь отключал соединение "localhost".
Убойная уязвимость есть во всех виндовых секурити прогах: во время их работы отключите и включите все сетевые службы, так как PID процесса и его время старта меняются, секурити программы в полной уверенности перестают следить за сетью. Минус, нужно, что бы юзер сидел под админом.

[Goodvin]

Минус, нужно, что бы юзер сидел под админом.

ну с этим-то нет проблем - таких под виндой подавляющее большинство.