Размышления о файрволлах (отрезано от обсуждения миниатюрного HP)

[Fkabir]

В линуксе, вы утверждаете, что при серфинге по сети, работе с почтой залезть на комп юзера нельзя? Или можно? Если существует хоть вероятность в 1%, что залезут, как это пользователь (не сис админ) может отследить, установить? Никак.

да бросьте вы рассуждать о том, чего не понимаете. и не хотите понимать - ибо Goodvin уже довольно многое вам объяснил. да и к тому же можно самому порыть в инете.

Вот вкратце я объяснил, зачем мне нужен файервол-комбайн в линуксе, да и зачем я все это пишу - Размышления о файрволлах

Да, я внимательно прочитал посты Goodvin, что если нет сервисов запущенных + есть комп. грамотность, то ничего не залезет. Но это неубедительно, можно 1000 раз быть настороже, а затем 1 раз оплошать, и этот 1 раз может очень дорого обойтись. Потому спокойнее самому видеть то, что описано в этом моем посте - Размышления о файрволлах
Да, с возможностью тут же действовать - блочить или разрешать. Кстати, а ведь еще может быть ситуация, что надо запустить таки сервисы И как тогда быть, если не видишь, кто активно к тебе лезет, а куда что-то лезет от тебя?

mikluxo
По определению на линуксе сидят только те, кто хочет хоть немного думать, это понятно? Вас заставляют его использовать?

О, а вот и стандатрный ответ линуксоида! Браво! Типа "тут никто никому ничего не должен, не нравится, не критикуй, а иди на..." - это вместо того, чтобы улучшать систему

[mikluxo]

О, а вот и стандатрный ответ линуксоида! Браво!

Вы хотите, чтобы мы его для Вас написали? Я сижу без firewall и ничего. Живой.

Кстати, а ведь еще может быть ситуация, что надо запустить таки сервисы

Думать надо, прежде чем запускать, и архитектуру своей ОС поизучать, если не хотите, чтобы у Вас на харде помойка в виде кучи порева завелась. Одного дядю чуть не посадили, за такое дело, только потом доказали, что его комп ломанули, тогда отстали(Кстати тоже винда была).
//мысли вслух
Вот интересно, человек ходит по кабакам, снимает дам легкого поведения, получил к примеру СПИД, а потом предъявляет докторам, что они "придурки" не придумали ничего от СПИДА! А где вот этого человека голова была, когда он этот СПИД зарабатывал?
Теперь, насчет GUI vs консоль. Графические вещи интересные, но они и много глючнее, раз 20 у меня падал flashget под виндой(причем так громко, что один раз 2 гига заново выкачивать пришлось, далеко ходить не надо, слаквару качал 12.2) и не разу не подвел wget под той же виндой(да под виндой пользуюсь тоже им).

[chitatel]

Вот интересно, правда. Какие есть замечательные программы для Windows: файерволлы, антивирусы с "удобным графическим интерфейсом". Только не помогают они многим пользователям Windows нифига. Потому что самое слабое звено - они сами, как тут правильно заметили.

Неоднократно был свидетелем воплей таких пользователей, типа "ПАМАГИТИ!! ВИРУС!!! ЧО ДЕЛАТ?". При этом у субъекта есть и установленный файерволл, и даже нередко честно купленный(!) антивирус. Как так? Куда глаза смотрели, что руки делали?

Вообще все эти windows'оидные разговоры о борьбе с вирусами - как сводки войны с другой планеты. Она там идёт постоянно, без перерыва.

И вот данный разговор представляется мне такой картиной: человек прямо из боя, разгорячённый, в бинтах и крови, в руке карабин, забегает в тихий мирный паб, там люди сидят, пиво пьют, курят, спокойно беседуют... "Вы чо сидите?! Пулемёт на крышу! Гранаты где?! У двери - баррикаду, олухи!". Ну, ему говорят, типа ты успокойся, садись, пивка выпей... Но человек-то прямо из боя, у него в ушах грохот, а в ноздрях запах пороха и крови - куда там: "Да вас всех сейчас поубивают! Чего сидите? Делайте что-нибудь!". Ну, вобщем, выход, очевидно, один: объяснить человеку, что пространственно-временной континуум искривился, и он по ошибке открыл не ту дверь, а война - это вот тем переулком и потом налево...

Вот.

А по сути темы: надёжность файерволла определяется не графическим интерфейсом, видимо. Да и вообще, что это упёрлись в файерволл - есть известная фраза:"Безопасность это не результат, это процесс" (как-то так, а на самом деле звучит красивей).

[yamah]

Fkabir
1. Ваше понятие "файервол" никак не совпадает с общепринятым. Посмотрите хотя бы тут. Вы путаете сетевой экран и контроль всего.
2. Я когда первый раз увидел оутпост, я по инструкции три дня его настраивал, что бы запретить одну аську. Немного мана и в Iiptables я запретил все кроме того, что нужно.
3. Оутпост один имеет уязвимостей больше чем все секъюрити приложения под линь вместе взятые с ядром. Особенно красиво дело обстоит с руткитами и экплойтами.
4. Ради спортивного интереса попробуйте увалить юникс -сервак без файерволов, антивирусов и прочей лабуды. И попробуйте забитый такой хренью винду. А потом говорите, что надо улучшать.
5. Мне вот крайне интересно, как вы сможите запустить от моего пользователя какую-либо программу. У меня сейчас из домашнего каталога запрещен запуск файлов на исполнение просто тупым указание при монтировании домашнего раздела. А откуда разрешены, туда записать может только рут. Вы можете попробоввать подломить систему через незапущеные службы веб, фтп, маил и баз данных серверов. Любой дебил, читающих ][акер или подобный буржуйский журнал, в течении часа найдет как взломать зафайерволенную машину.

Хотите что-то улучшить - улучшайте.
Хотите отваливать бабки за дыру на дыре и для дыры - это ваши проблемы.

[Bluetooth]

Вот вкратце я объяснил, зачем мне нужен файервол-комбайн в линуксе, да и зачем я все это пишу

вы не разбираетесь в вопросе, и, судя по всему, не хотите разбираться. так смысл дальше на него тратить время?
Все ваши рассуждения идут вкривь и вкось, а все оттого, что вы плохо себе представляете о чем рассуждаете. опять же, смысл?

это вместо того, чтобы улучшать систему

линукс от наличия полного аналога аутпоста лучше не станет. вам должно быть это понятно из постов гудвина.

[Olegator]

немного офтопа по поводу уязвимостей в антивирусах http://www.opennet.ru/opennews/art.shtml?num=16877 . Таким образом используя антивирус вы сильно рискуете в плане безопасности. А Аутпост - это ещё дополнительная уязвимость в системе.

[Dmitry85]

Goodwin, компетентность вашего мнения, мне еще более сомнительна. И ваши посты не менее вводят пользователей в заблуждение, выше я это уже показал.

лично меня вы в этом не убедили. кого убедили, поднимите пожалуйста ногу

Да ладно, бросьте, пустое это.
Он даже не в состоянии написать правильно ник того, к кому обращается, а написав с ошибкой - не переплюнет через себя, чтобы исправить.
О каких еще спорах или аргументациях можно говорить с таким "собеседником" ?
Бессмысленно.
Имеющие глаза - сами всё видят.

Зато ты в состоянии написать, хренову тучу сообщений ни очем - об опасности, что ко мне на мой писюк через 3 нат'а и фаерфокс, из-за слабости ТЦП/ИП залезут злые волки

[Voice]

Ого о_О откуда столько вражьих воинов на этом форуме завелось...

[Goodvin]

Fkabir
4. Ради спортивного интереса попробуйте увалить юникс -сервак без файерволов, антивирусов и прочей лабуды. И попробуйте забитый такой хренью винду. А потом говорите, что надо улучшать.

Ха!
Друг мой, Вы не забыли кому Вы это пишете ?
Чтобы что-то хотя бы попытаться "увалить" надо понимать как оно работает, как минимум, для начала.
Боюсь, что Ваше предложение не по адресу.

Зато ты в состоянии написать, хренову тучу сообщений ни очем - об опасности, что ко мне на мой писюк через 3 нат\'а и фаерфокс, из-за слабости ТЦП/ИП залезут злые волки

Милейший, я с Вами детей не крестил и на брудершафт не пил.
Потрудитесь общаться без хамства и фамильярности.
Спасибо.

[Warderer]

во внешний мир как видите торчит один сервис, апачи через который мне удобно людям файлы отдавать. он должен торчать в любом случае, если будет стоять файрвол, я его открою в файрволе. ничего другого и так не торчит. зачем мне файрвол?

Ой как ты не прав! Поверь прожженому параноику-админу! Файрволл нужен для блокирования исходящих портов, если кто-то смог пробить у тебя, ну пусть будет firefox, и запускает банально от твоего пользователя такой ма-а-а-аленький клиентик, благодаря которому ты присоединяешься к огромным полчищам ботнетов. А потом, такие как я борятся со спамом, который рассылают такие, как ты.

[Warderer]

Outpost сам заблочит, еще на этапе сканирования портов. Ну а даже если какая-то гадость пролезет, то обратно ничего не отошлет, т.к. Outpost тут же либо заблочит сам, либо задаст "глупый вопрос", что вот тут, мол, фигня какая-то в инет лезет, чего делать-то?

Ой как сомнительно! Либо вы замучаетесь подтверждать блокировки, либо пропустите, допустим медленный распределённый скан, либо просто скажете разрешить то, что разрешать нельзя.

Вобще, то, что вы называете файрволлом - действительно комбайн. Реально это три отдельных продукта:
1. Непосредственно файрволл (iptables) - средство манипуляции с сетевыми пакетами, такими как их сброс, перенаправление, подмена заголовков
2. Система обнаружения вторжений (SNORT, например)
грамотно настроенное первое и второе дают IPS - intrusion prevention system, то есть систему противодействия вторжениям
3. Анализатор соединений. Если честно, то мне всегда хватало netstat+tcpdump, а для более простых вещей - trafshow.

Но, если честно, то за более чем 8 лет админства я не могу вспомнить ни одного раза, когда все эти три компонента мониторились бы мной одновременно. Так или иначе в единицу времени можно заниматься только одним.

[Bluetooth]

во внешний мир как видите торчит один сервис, апачи через который мне удобно людям файлы отдавать. он должен торчать в любом случае, если будет стоять файрвол, я его открою в файрволе. ничего другого и так не торчит. зачем мне файрвол?

Ой как ты не прав! Поверь прожженому параноику-админу! Файрволл нужен для блокирования исходящих портов, если кто-то смог пробить у тебя, ну пусть будет firefox, и запускает банально от твоего пользователя такой ма-а-а-аленький клиентик, благодаря которому ты присоединяешься к огромным полчищам ботнетов. А потом, такие как я борятся со спамом, который рассылают такие, как ты.

то есть прожженный параноик-админ рекомендует закрывать все ненужные порты на исходящие соединения?
если честно, то хотелось бы развернутые комментарии по этому вопросу увидеть.

[watashiwa_daredeska]

Ой как ты не прав! Поверь прожженому параноику-админу! Файрволл нужен для блокирования исходящих портов

Параноик-админ пусть сам на домашней машине открывает исходящий порт перед каждым кликом на ссылку в firefox Как известно, безопасность обратно пропорциональна удобству использования.

[Bluetooth]

Ой как ты не прав! Поверь прожженому параноику-админу! Файрволл нужен для блокирования исходящих портов

Параноик-админ пусть сам на домашней машине открывает исходящий порт перед каждым кликом на ссылку в firefox Как известно, безопасность обратно пропорциональна удобству использования.

не надо перегибать. это совсем не то же самое, что закрыть все ненужные порты, и открыввать по мере надобности.

[yamah]

Друг мой, Вы не забыли кому Вы это пишете ?

Судя по всему - религиозному фанатику некой империи.

Ладно, пускай человек радуется своему буажному бункеру.

Перечитал все еще раз и понял, что этого человека ни один комбаин и тормоз системы не защитит, ели его вдруг кто-то перестанет считать "неуловимым Джо".

[Warderer]

во внешний мир как видите торчит один сервис, апачи через который мне удобно людям файлы отдавать. он должен торчать в любом случае, если будет стоять файрвол, я его открою в файрволе. ничего другого и так не торчит. зачем мне файрвол?

Ой как ты не прав! Поверь прожженому параноику-админу! Файрволл нужен для блокирования исходящих портов, если кто-то смог пробить у тебя, ну пусть будет firefox, и запускает банально от твоего пользователя такой ма-а-а-аленький клиентик, благодаря которому ты присоединяешься к огромным полчищам ботнетов. А потом, такие как я борятся со спамом, который рассылают такие, как ты.

то есть прожженный параноик-админ рекомендует закрывать все ненужные порты на исходящие соединения?
если честно, то хотелось бы развернутые комментарии по этому вопросу увидеть.

Оставить только исходящие на нужные порты. DNS, HTTP, XMPP и так далее. Более того, рекомендовал бы и некоторые из них ограничить известными хостами. Например, у меня закрыт исходящий SMTP кроме узла, через который я отсылаю почту.

[yamah]

Оставить только исходящие на нужные порты. DNS, HTTP, XMPP и так далее. Более того, рекомендовал бы и некоторые из них ограничить известными хостами. Например, у меня закрыт исходящий SMTP кроме узла, через который я отсылаю почту.

Веб тоже можно через проксик внешний гонять. А настройки дать только любимому броузеру.

[Fkabir]

Goodvin
Ха!
Друг мой, Вы не забыли кому Вы это пишете ? )
Чтобы что-то хотя бы попытаться "увалить" надо понимать как оно работает, как минимум, для начала.
Боюсь, что Ваше предложение не по адресу. )

Я могу еще раз написать, что я не сис админ по профессии, да, но это не значит, что я - идиот (а у меня такое впечатление после ваших реплик складывается, что вы всех людей делите на сис админов и идиотов).

Поэтому не надо мне расписывать про единицы и нолики в компьютере и про то, что нет "мифических путей" взлома, а всегда должно быть, что ломать и через какой порт проникать. Я все это прекрасно понимаю. Да, я может не силен в терминологии типа что же программно только файервол, а что комбайн, но это не значит, что я только вчера за комп сел и ничего не понимаю.

Я лишь пытаюсь донести до вас мысль, что даже если сервисы типа апача и мускула у вас не будут запущены, но вы будете сидеть в интернете, т.е. будут открыты порты (запущены сервисы? как правильно, по сис админски, написать, чтоб вы поняли, что я имею ввиду?) для браузера, почтового клиента и мессенджера, то уже через это к вам могут залезть на комп. И можно сколько угодно рассказывать про недырявые браузеры и почтовые клиенты, но практика показывает, что в них дыры находят регулярно, что даже в протоколах находят дыры. Касательно линукса уже было много новостей, когда находили дыры, существующие годами, просто их никто не видел длительное время (или знали о них небольшое число людей). И не видели не потому, что линукс так крут, а потому, что на сегодня для десктопов это как раз тот самый неуловимый Джо, которого тут уже упоминали. Их массово никто не ищет. Надеюсь, что пока. Почему надеюсь - потому-что еще раз надеюсь, что линукс будет развиваться и станет массовой ОС. Иначе он так и останется мало кому нужным неуловимым Джо -(

Ну да ладно, а если еще и запустить сервисы типа апача и мускула, что тогда? Тут админы советуют постоянно все подряд закрывать и сидеть в бункере, боясь высунуть нос. А как же комфортная работа?

НУ вот еще раз, к примеру, у вас нет запущенных сервисов, но вы сидите в инете. К вам через вполне "легальный" порт залезли на комп. Да, также могут залезть и в любой другой ОС, и в Windows, все верно. НО вот если у меня стоит комбайн, о котором мы тут уже много говорили, то он тут же отловит исходящее соединение, заблочит его, и выдаст окошко с "глупым вопросом", что вот такая-то прога с компа лезет наружу, чего делать? А может и вообще заблочить порт, через который она пришла и куда снова ломится (при этом да, может перестать работать браузер или почтовый клиент). Тут же по графически представленным логам в комбайне можно увидеть прогу, где она находится, найти ее на компе. И по времени создания отловить весь "выводок" и убить. Все, проблема решена.

Что же будет в линуксе, где такой комбайн "не нужен"? Будет 100-процентный клиент ботнета! Причем "хозяин" компа может об этом так никогда и не узнать! И будет всем на форумах доказывать, какая у него надежная система!

Потому-что массовый пользователь ни сном, ни духом, что к нему кто-то залез. У него просто НЕТ инструментов, чтобы это отслеживать. А то, что есть для сис админов, тем массовый пользователь не умеет пользоваться, даже если он его запустит, то полученные данные ему зачастую ничего НЕ скажут, он их не сможет правильно интерпретировать, т.к. это довольно специфический профессиональный софт. И массовый пользователь не обязан становиться сис админом, изучая кучу такого софта и как им грамотно пользоваться. Такие же комбайны как раз и позволяют, не становясь сис админом, контролировать происходящее на компе.

Warderer
Вобще, то, что вы называете файрволлом - действительно комбайн. Реально это три отдельных продукта:
1. Непосредственно файрволл (iptables) - средство манипуляции с сетевыми пакетами, такими как их сброс, перенаправление, подмена заголовков
2. Система обнаружения вторжений (SNORT, например)
грамотно настроенное первое и второе дают IPS - intrusion prevention system, то есть систему противодействия вторжениям
3. Анализатор соединений. Если честно, то мне всегда хватало netstat+tcpdump, а для более простых вещей - trafshow.

Но, если честно, то за более чем 8 лет админства я не могу вспомнить ни одного раза, когда все эти три компонента мониторились бы мной одновременно. Так или иначе в единицу времени можно заниматься только одним.

Вот именно! Вот и я о том же! Физически сложно и неудобно запускать кучу утилит, прог + чего-то шаманить в командной строке, чтобы все это отслеживать оперативно и принимать решения (когда надо). А "комбайн" это позволяет делать, причем делать за секунды, не за минуты и десятки минут! Т.е. с ним бы у сис админов просто экономилось время. Вот вам как админу опытному сложно, а представьте каково это массовому юзеру, не профи?

chitatel
Ну, ему говорят, типа ты успокойся, садись, пивка выпей... Но человек-то прямо из боя, у него в ушах грохот, а в ноздрях запах пороха и крови - куда там: "Да вас всех сейчас поубивают! Чего сидите? Делайте что-нибудь!"

Спасибо, посмеялся Вообще-то то, что в этом пабе всех не ложат сотнями, объясняется не крутостью паба, а тем, что в пабе всего человек 10-20. Причем из них процентов 70-80 постоянно меняются. Одни приходят, другие уходят. И потому убийство 1-2 человек из паба не так будет заметно в абсолютных цифрах, как убийство сотен и тысяч там, за углом. Но в относительных цифрах в пабе могут убивать столько же, если не больше, просто это незаметно - до поры, до времени.

mikluxo
Вы хотите, чтобы мы его для Вас написали? Я сижу без firewall и ничего. Живой.

Нет, не "мы чтоб написали", а вот именно вы! Я вас столько лет уже ищу, чтоб написали, а вы все скрываетесь и скрываетесь, даже без файервола, не стыдно??? Срочно писать комбайн под линукс!!! Вам, именно вам!!!

А если серьезно, то я уже писал, что все это до поры, до времени, пока у вас ОС на десктопе типа "неуловимый Джо", вы можете и дальше сидеть без файервола. Но это не значит, что к вам не смогут залезть сейчас, если захотят. И это не значит, что к вам не залезут в будущем. И кстати, то, что вы никак не контролируете процесс, не говорит о том, что к вам не залазили. Может уже сто раз залазили, но вы просто не в курсе. Вы НЕ можете видеть, залазили к вам или нет. У вас нет такого ПО, чтобы оперативно это отслеживать. Если вы, конечно, не опытный сис админ, регулярно копающийся в своих логах вместо завтрака, обеда и ужина

[mikluxo]

Нет, не "мы чтоб написали", а вот именно вы! Я вас столько лет уже ищу, чтоб написали, а вы все скрываетесь и скрываетесь, даже без файервола, не стыдно??? Срочно писать комбайн под линукс!!! Вам, именно вам!!!

Долго же Вам ждать придется.

А если серьезно, то я уже писал, что все это до поры, до времени, пока у вас ОС на десктопе типа "неуловимый Джо", вы можете и дальше сидеть без файервола. Но это не значит, что к вам не смогут залезть сейчас, если захотят. И это не значит, что к вам не залезут в будущем. И кстати, то, что вы никак не контролируете процесс, не говорит о том, что к вам не залазили. Может уже сто раз залазили, но вы просто не в курсе. Вы НЕ можете видеть, залазили к вам или нет. У вас нет такого ПО, чтобы оперативно это отслеживать. Если вы, конечно, не опытный сис админ, регулярно копающийся в своих логах вместо завтрака, обеда и ужина

Ну используйте Ваш любимый виндовоз, или Вам кто-то мешает? Вы нам уже столько нарассказывали, я прям боюсь. Вам уже опытные люди писали, что пользователь не будет сидеть тыкать, на блокировать, когда ему нужно посмотреть порево/игрушку/увеличить что-либо и т.п. Поэтому первая опасность это пользователь. Обученный пользователь может противостоять всему. А глупый на первой же ловушке сядет.
Вот человек не знает ПДД сел за руль, что он сделает? Въедет в первый же столб и все. Не умеешь водить машину, заведи себе водителя, та же ситуация и здесь, не знаешь как пользоваться компом, заведи венду+firewall+antivirus+чуточку мозгов. Если мозгов нет, это уже к папе с претензиями.

[Fkabir]

mikluxo
Вам уже опытные люди писали, что пользователь не будет сидеть тыкать, на блокировать, когда ему нужно посмотреть порево/игрушку/увеличить что-либо и т.п.

Откуда такая уверенность? Вот все, кому я объяснял как файерволом пользоваться, пользуются им без проблем. Даже домохозяйки И я знаю множество опытных пользователей под Windows, которые прекрасно нажимают, когда надо и что надо, и т.п. Те, кто не в состоянии нажать, для тех, повторюсь, в линуксе будет в 100 раз сложнее освоиться. Т.е. их тогда, следуя вашей логике, лучше вообще к компу не подпускать, а то все столбы будут ихними, вам не останется

[mikluxo]

Откуда такая уверенность? Вот все, кому я объяснял как файерволом пользоваться, пользуются им без проблем. Даже домохозяйки smile.gif И я знаю множество опытных пользователей под Windows, которые прекрасно нажимают, когда надо и что надо, и т.п. Те, кто не в состоянии нажать, для тех, повторюсь, в линуксе будет в 100 раз сложнее освоиться. Т.е. их тогда, следуя вашей логике, лучше вообще к компу не подпускать, а то все столбы будут ихними, вам не останется smile.gif

По себе сужу, как заходишь в интернет тот же vz.ru постоянно выкидывал popup окошки, на файлообменниках та же ситуация, и уже быстрей закрываешь, чтобы не вылезло еще одно и еще окошек не понаоткрывало. А когда плотно работаешь, вылезает сообщение(к примеру диск полон или еще какая нибудь лабуда, так вообще нажимаю не глядя). В винде так устроено, она на все хочет обратить внимание(как будто я не знаю сколько у меня на харде места осталось). При этом я еще пользовался такой фишкой, которая постоянно говорила эта программа обратилась туда-то и т.п., быстро надоело. Так что, кому как, а под линуксом сижу, может и начну изучать iptables может и нет, но заблочить что-то мне не надо, было бы надо уже нашел бы чем прикрыться.
Хотите пример применения мозга? У нас в университете целая куча вирусни и других зверюшек передается через флешки с помощью autorun.inf, и никто(!) из наших пользователей не догадался, что можно авторан отрубить в реестре. Какого микрософт туда ее спрятал, или ждет, что пользователи начнут изучать реестр(да там без бутылки не разберешься)? Почему Вы не возмущаетесь насчет того, почему нет нормального редактора реестра, который бы "блочил" там autorun и почему когда отрубаешь автозапуск, появляются косяки с определением(да и с записью как недавно здесь узнал, если использовать виндовую поделку записи дисков?)флэшек, дисков и других? Почему нет нормального бесплатного firewallа? Вот Ваш Outpost к примеру, бесплатен? Нет. Вы его купили? Вот когда у Вас будет лицензионное все ПО, тогда и скажете, вот у меня все лицензионное, и все хорошо работает. У меня лично таких денег нет, чтобы покупать каждый год новый комп и кучу лицензий в придачу, а голая ОС не стоит и гроша без офиса(МС тоже денюшку просят) и других необходимых программ.
Кстати, раз уж вопрос пошел, господа админы, не подскажете что почитать перед сном на тему повышения устойчивости к взломам извне.
PS: меня терзают смутные сомнения. У Промова ядро, у Fkadir Outpost, значит есть реинкарнация на линуксфоруме.

[Warderer]

Warderer
Вобще, то, что вы называете файрволлом - действительно комбайн. Реально это три отдельных продукта:
1. Непосредственно файрволл (iptables) - средство манипуляции с сетевыми пакетами, такими как их сброс, перенаправление, подмена заголовков
2. Система обнаружения вторжений (SNORT, например)
грамотно настроенное первое и второе дают IPS - intrusion prevention system, то есть систему противодействия вторжениям
3. Анализатор соединений. Если честно, то мне всегда хватало netstat+tcpdump, а для более простых вещей - trafshow.

Но, если честно, то за более чем 8 лет админства я не могу вспомнить ни одного раза, когда все эти три компонента мониторились бы мной одновременно. Так или иначе в единицу времени можно заниматься только одним.

Вот именно! Вот и я о том же! Физически сложно и неудобно запускать кучу утилит, прог + чего-то шаманить в командной строке, чтобы все это отслеживать оперативно и принимать решения (когда надо). А "комбайн" это позволяет делать, причем делать за секунды, не за минуты и десятки минут! Т.е. с ним бы у сис админов просто экономилось время. Вот вам как админу опытному сложно, а представьте каково это массовому юзеру, не профи?

Вы меня абсолютно не поняли. Это совершенно разные задачи, потому сваливать их в одну кучу - бред.

[Portnov]

Я лишь пытаюсь донести до вас мысль, что даже если сервисы типа апача и мускула у вас не будут запущены, но вы будете сидеть в интернете, т.е. будут открыты порты (запущены сервисы? как правильно, по сис админски, написать, чтоб вы поняли, что я имею ввиду?) для браузера, почтового клиента и мессенджера, то уже через это к вам могут залезть на комп.

Это просто неверно. Если программа специально не ожидает соединений по сети, "залезть" "через неё" "в комп" (установить соединение) невозможно.

И можно сколько угодно рассказывать про недырявые браузеры и почтовые клиенты,

"Дыры" в браузерах - это уязвимости совсем другого класса, нежели уязвимости в сервисах типа apache. Подавляющее большинство этих уязвимостей приводит только к тому, что браузер зависает или падает, пытаясь отобразить специальным образом сформированную страницу. Самые "страшные" уязвимости в браузерах - это когда код, содержащийся в странице, каким-то образом начинает выполняться с правами браузера. Т.е. браузер загружает страницу в память, а потом из-за ошибки может начать выполнять её содержимое (это уязвимости типа переполнения буфера, когда данные затирают стек или код, или тривиальные ошибки типа той, что долго существовала в IE: если в поле комментария gif-файла был javascript-код, он запускался). От таких уязвимостей ни фаервол, ни комбайн типа аутпоста не защитят: они отслеживают только момент установления соединения, они не могут проверять содержимое каждой загружаемой странички на безопасность - системных ресурсов не хватит.

Вобщем, почитайте хоть что-нибудь о принципах функционирования сети и сетевой безопасности. Пока что вы полностью некомпетентны. Для специалиста ваши вопли о необходимости "Аутпоста в линуксе" выглядят смешно, и больше ничего.

[watashiwa_daredeska]

не надо перегибать. это совсем не то же самое, что закрыть все ненужные порты, и открыввать по мере надобности.

На десктопной машине у меня нет ненужных исходящих портов.

[vbif]

Добавлю свои 3 рубля по поводу интуитивности файрволов.
При всей интуитивности их в среднем раз в неделю звонит кто-нибудь с проблемой "у меня не грузятся страницы". После мучительного процесса проверки разных возможностей отключаем Outpost (пользователь обычно возмущается, мол щас хацкеры атакуют) - и сразу всё начинает работать. Включаем - снова не работает. "Год работало, а теперь не работает?". Такая вот интуитивность...

[Goodvin]

Я могу еще раз написать, что я не сис админ по профессии, да, но это не значит, что я - идиот (а у меня такое впечатление после ваших реплик складывается, что вы всех людей делите на сис админов и идиотов).

Упаси Вас бог, я Вас идиотом не считаю и нигде не называл.
Не приписывайте мне всякую ерунду.

Поэтому не надо мне расписывать про единицы и нолики в компьютере и про то, что нет "мифических путей" взлома, а всегда должно быть, что ломать и через какой порт проникать. Я все это прекрасно понимаю. Да, я может не силен в терминологии типа что же программно только файервол, а что комбайн, но это не значит, что я только вчера за комп сел и ничего не понимаю.

Извините, но Ваша некомпетентность именно на уровне ноликов и единичек.
Это ж не я Вас заставляю фантастические глупости писать про сети и взломы, Вы сами их пишете.

Я лишь пытаюсь донести до вас мысль, что даже если сервисы типа апача и мускула у вас не будут запущены, но вы будете сидеть в интернете, т.е. будут открыты порты (запущены сервисы? как правильно, по сис админски, написать, чтоб вы поняли, что я имею ввиду?) для браузера, почтового клиента и мессенджера, то уже через это к вам могут залезть на комп.

Зачем Вы пишете ерунду ? Это просто бред какой-то.

НУ вот еще раз, к примеру, у вас нет запущенных сервисов, но вы сидите в инете. К вам через вполне "легальный" порт залезли на комп. Да, также могут залезть и в любой другой ОС, и в Windows, все верно.

Продолжайте в это верить, только нам эти глупости декларировать не надо.
Это совершенная ерунда, построенная на незнании и суевериях.
Порт - это не дырка в кармане, через котору кто хочет тот и лезет.
Вернитесь к ноликам и единичкам и узнайте что такое порты, что такое "залезть" и как оно всё работает.

Что же будет в линуксе, где такой комбайн "не нужен"? Будет 100-процентный клиент ботнета! Причем "хозяин" компа может об этом так никогда и не узнать! И будет всем на форумах доказывать, какая у него надежная система!

А ничего не будет в линуксе, где такой "комбайн" не нужен.
А если пользователь линукса окажется идиотом - он сам себе угробит систему быстрее любого хакера.
Таких идиотов периодически отсеивают, когда на каком-то форуме кто-то выкладывает команду безусловного удаления всех файлов в корневой файловой системе от имени суперпользователя.
И толпы идиотов её запускают и удаляют себе все файлы.

А если серьезно, то я уже писал, что все это до поры, до времени, пока у вас ОС на десктопе типа "неуловимый Джо", вы можете и дальше сидеть без файервола. Но это не значит, что к вам не смогут залезть сейчас, если захотят. И это не значит, что к вам не залезут в будущем. И кстати, то, что вы никак не контролируете процесс, не говорит о том, что к вам не залазили. Может уже сто раз залазили, но вы просто не в курсе. Вы НЕ можете видеть, залазили к вам или нет. У вас нет такого ПО, чтобы оперативно это отслеживать. Если вы, конечно, не опытный сис админ, регулярно копающийся в своих логах вместо завтрака, обеда и ужина

Оставьте уже свои суеверия про "залазили", "нет ПО" и т.д..
Вам неоднократно указали и доказали несостоятельность эти выдумок.

P.S.
Увы, но дальнейший разговор с Вами в том же стиле видится мне совершенно бессмысленным.
Вы уводите беседу за грань разумного.

[Davinel]

Я лишь пытаюсь донести до вас мысль, что даже если сервисы типа апача и мускула у вас не будут запущены, но вы будете сидеть в интернете, т.е. будут открыты порты (запущены сервисы? как правильно, по сис админски, написать, чтоб вы поняли, что я имею ввиду?) для браузера, почтового клиента и мессенджера, то уже через это к вам могут залезть на комп.

Если к вам, лично к вам, захотят залезть, то все равно залезут. Будь это линукс, виндоус или опенбсд и вне зависимости от количества комбайнов. В конце концов подкараулят в подъезде и дадут по голове.
Для защиты же от массовых методов взлома достаточно весьма банальных и простых вещей. Нет никакого смысла эти методы усложнять пока остаются миллионы людей открывающих экзешники в почте.

НУ вот еще раз, к примеру, у вас нет запущенных сервисов, но вы сидите в инете. К вам через вполне "легальный" порт залезли на комп. Да, также могут залезть и в любой другой ОС, и в Windows, все верно. НО вот если у меня стоит комбайн, о котором мы тут уже много говорили, то он тут же отловит исходящее соединение, заблочит его, и выдаст окошко с "глупым вопросом", что вот такая-то прога с компа лезет наружу, чего делать? А может и вообще заблочить порт, через который она пришла и куда снова ломится (при этом да, может перестать работать браузер или почтовый клиент). Тут же по графически представленным логам в комбайне можно увидеть прогу, где она находится, найти ее на компе. И по времени создания отловить весь "выводок" и убить. Все, проблема решена.

В виндоусе это реализуется вполне тривиальными методами. К примеру программка, которая попала к вам на компьютер через "уязвимость"(боюсь что в описанной вами ситуации уязвимость будет заключаться в том, что вы сделали какую то глупость), скачает за собой вирус маскируясь при этом под svchost. Он и так постоянно куда то лезет, никогда не поверю что вы будете лично проверять каждое соединение этого сервиса. Дальше скачанный вирус будет спокойно отсылать свою почту через аутлук. Конечно если вы не используете аутлук то у вас скорее всего вызовет подозрение такое его поведение, но ведь миллионы людей используют.. И сильно сомневаюсь, что они блокируют его после каждого сеанса. Так же я очень сильно сомневаюсь, что вы блокируете исходящие smtp порты на все сервера кроме выбранных, а раз так - фаервол ничего не заподозрит. Кроме того в самом оутпосте хватает своих собственных уязвимостей.

Что же будет в линуксе, где такой комбайн "не нужен"? Будет 100-процентный клиент ботнета! Причем "хозяин" компа может об этом так никогда и не узнать! И будет всем на форумах доказывать, какая у него надежная система!

Понимаете, в линуксе это всё можно предотвратить одним единственным действием - блокировка запуска исполняемых файлов из раздела /home. Возможны еще и дополнительные извращения, к примеру выделение для всех веб программ своего собственного раздела и отдельного пользователя с минимальными правами и запуск всех таких программ от имени этого пользователя. Кроме того iptables куда как проще аутпоста, соотвественно взломать его в разы сложнее.

Потому-что массовый пользователь ни сном, ни духом, что к нему кто-то залез. У него просто НЕТ инструментов, чтобы это отслеживать.

Массовый пользователь этим все равно не занимается. Уж поверьте.

А если серьезно, то я уже писал, что все это до поры, до времени, пока у вас ОС на десктопе типа "неуловимый Джо", вы можете и дальше сидеть без файервола. Но это не значит, что к вам не смогут залезть сейчас, если захотят. И это не значит, что к вам не залезут в будущем. И кстати, то, что вы никак не контролируете процесс, не говорит о том, что к вам не залазили. Может уже сто раз залазили, но вы просто не в курсе. Вы НЕ можете видеть, залазили к вам или нет. У вас нет такого ПО, чтобы оперативно это отслеживать. Если вы, конечно, не опытный сис админ, регулярно копающийся в своих логах вместо завтрака, обеда и ужина

У меня вот тут рядом стоит комп с виндой. Там уже года 4 нет ни фаервола ни постоянно запущенного антивируса(он включается на полное сканирование раз в неделю). За все это время там был 1 вирус. Его принес знакомый на флешке как потом выяснилось. Сетевых атак тоже нет. И спам от туда не рассылается. Я знаю, что теоретически могут. И "залезть" и все такое прочее, но на практике, если соблюдать определенные меры предосторожности, то опасность не так уж и велика.
А в линуксе, если соблюдать те же самые меры и к тому же нормально настроить систему, вам просто не понадобятся все эти вещи о которых вы так жалеете. Вероятность взлома будет настолько мала, что проще просто бэкапить вовремя важные данные чем морочить себе голову по этому поводу.

[vbif]

А я, кстати, никогда не был до конца уверен, что антивирус и файрвол способны защитить в полной мере Windows. Тем более что я нередко встречался с явным наличием трояна или чего-то подобного на компе несмотря на наличие антивируса и файрвола.

[diesel]

во внешний мир как видите торчит один сервис, апачи через который мне удобно людям файлы отдавать. он должен торчать в любом случае, если будет стоять файрвол, я его открою в файрволе. ничего другого и так не торчит. зачем мне файрвол?

Ой как ты не прав! Поверь прожженому параноику-админу! Файрволл нужен для блокирования исходящих портов, если кто-то смог пробить у тебя, ну пусть будет firefox, и запускает банально от твоего пользователя такой ма-а-а-аленький клиентик, благодаря которому ты присоединяешься к огромным полчищам ботнетов. А потом, такие как я борятся со спамом, который рассылают такие, как ты.

та даже при наличии файрвола исходящие порты я буду блокировать в последнюю очередь, потому как все-равно прийдется иметь открытыми: 80, 443, 8080, 3128, 143,110, 25, 22, 21, 3306, 5222, 5223, ICQ, MSN, RDP, rsync, DNS, и еще много разных кастомных, которые придется открывать/блокировать от случая к случаю. Ограничения типа "к mysql я конекчусь только туда" не покатят - могу во много разных мест коннектится. Это такой же trade off с безопасностью как и sudo без пароля - оно может быть удобно, но в некоторых случаях может сыграть злую шутку. Когда полчища ботнетов из firefox'ов будут иметь место быть - тогда, возможно, нужно менять свое отношение к этому, пока что такой проблемы нет, а удобство есть.

[Fkabir]

Ну хорошо, я неправильно формулирую что-то, т.к. не специалист. И мои оппоненты именно на это упирают, цепляясь за частности, но игноря саму идею - мониторинга трафика и блокировки при необходимости различных программ (процессов?). Хотя в линуксе все это есть, просто не в графическом виде либо в виде какой-то неюзабельной и непонятной для массового пользователя альфы, причем функционал распылен по куче утилит, т.е. все неудобно и непонятно для массового пользователя.

Такое игнорирование мне непонятно более всего. Ведь есть такие "комбайны" под Windows? Есть. Вы хотите сказать, что они не нужны? Что все эти защиты - заблуждения юзеров? Опустим мое ламерское описание самого процесса "взлома", но защищают ли такие программы от взлома? Или это весь мир - дураки (т.к. Windows - самая массовая система, ее юзает весь мир), раз они юзают файерволы ненужные?

Вот тут пишут, что комп с Windows стоит годами, без антивируса и файервола, а туда никто не залазит. Если вы не выходите при этом в инет, то согласен, не залезут Если же активно будете юзать инет (а не только сидеть на паре-тройке сайтов), а уж тем более если будете сидеть в большой локальной сети, то залезут за несколько дней. И при этом вам не надо что-то самим запускать, просто оставьте включенным комп и все. Убеждался много раз. Я сам сидел 3-4 года в Win без антивируса и файервола, никто не залазил, пока однажды не украли кошелек webmoney (да, ничего левого не запускал, что такое "компьютерная грамотность" я в курсе). Но это было давно, в начале 2000-х, когда инет еще не был у нас столь массовым (т.е. неоткуда этим вирусам было лезть). Сейчас выйти под Windows без файервола в инет - самоубийство У меня есть множество знакомых, которые просто выходят в инет посидеть в браузере, снять почту и скачать фильмы, у них через 2-3 дня сидения без файервола был полный комп троянов и вирусов. Поставили антивирус + файервол - проблем нет. Я не знаю механизм, как они залазят на комп, я знаю, что залазят. Мне этого достаточно. Я не сис админ, повторюсь, я - пользователь.

По поводу портов и готовности программ коннектиться. Много раз сталкивался с ситуацией, когда человек просто серфит по сети - с антивирусом и файерволом, ничего у себя не запускает, а потом появляется на винте вирус (троян), который лезет в инет и что-то отсылает. И если бы не "комбайн", который блочит исходящие, то выявить эту программу не сис админ не смог бы... ну или долго бы вылавливал. Причем браузер был - то Firefox, то Opera, не IE. У меня лично такого давно не было, но я видел такое у вполне опытных пользователей. Как, почему, какой механизм - я не знаю. Я просто видел результат.

Еще я знаю много примеров, когда сервера под управлением линукса становились частями ботнетов. Про то, что ломают роутеры под управлением линукс - я тоже видел сам.

Это все я видел сам. Потому не буду больше пытаться теоретизировать как на самом деле там все ломается, я просто видел и знаю, что на комп можно залезть, даже если там нет апача и мускула, а просто идет серфинг по сети. Да, линуксу проще - вирусы не страшны, но могут просто залезть извне. Да, пока вероятность очень низкая, т.к. линукс малораспространен. Да, взломать можно и Windows, и линукс, если захотят залезть, залезут в любом случае. Согласен. Именно для этого мне, как пользователю, просто чтобы быть спокойным, важно контролировать трафик так, как это позволяют делать комбайны. Да, например, Outpost. Чтобы даже если взломают, то я мог бы хоть это УВИДЕТЬ! В линуксе у меня нет инструмента, чтобы увидеть. Под Windows - есть.

И пока в линуксе для этого нет инструментов, для меня лично линукс будет просто игрушкой, которую можно поставить на некритичный комп, поиграться и все. А работать - в Windows. И это не только для меня, именно как игрушку линукс сейчас вопринимают большинство даже форумчан (и не только этого форума), которые пишут из Винды, но в профиле ставят, что их ОС - Генту или Дебиан Откуда я знаю? Да по сообщениям видно (когда бодро отбарабанивают где именно в меню командная строка в Windows и т.п.). Пока же я не могу САМ контролировать свой комп под линукс, я не буду полагаться на мантры типа "линукс безопасен" или "никого вот не взломали", я просто серьезно не буду рассматривать эту ОС в плане работы и хранения конфиденциальной информации, которую могут спереть даже незаметно для меня, пусть даже и с вероятностью в 1%.

Вы бы сели в машину, которая едет сама по себе, пусть даже по указанному вами маршруту, но которой вы не можете управлять, не можете ее остановить, не можете из нее выйти, не можете ее контролировать, пока она сама не остановится и не откроет дверь? Сомневаюсь. Вот и у массового пользователя линукс сейчас НЕТ контроля линукса как ОС, контроля своего компа. Нет и все.