Нужен ли файрвол на десктопе? (как считаете?)

[polachok]

Поспорил с одним товарищем. Он утверждает, что файрвол абсолютно необходимая мера безопасности. А то ведь как поломааают! И сравнивает с дверью с замком в квартиру.
По-моему - излишняя паранойя, просто стоит поотключать ненужные сервисы.

PS десктопы на которых крутятся SQL, ftp, www и проч. прошу считать серверами.

[mark]

Ну, имхо, если ip внешний - нужен, иначе нет.

[Crazy]

Может у меня и паранойя, у меня и файервол, и безопасный прокси.
Бережливого бог бережет.

[Liksys]

ИМХО, нужен. SELinux+IPTables+нет_кривых_или_лишних_сервисов+драйвер_прямых_рук.
Так спокойнее. B)

[eduard_pustobaev]

Бережливого бог бережет.

...сказала монашка, одевая на свечу презерватив.

P.S. Бережливого ==> бережённого.

[polachok]

ИМХО, нужен. SELinux+IPTables+нет_кривых_или_лишних_сервисов+драйвер_прямых_рук.

медленно сползаю под стол...

[mark]

ИМХО, нужен. SELinux+IPTables+нет_кривых_или_лишних_сервисов+драйвер_прямых_рук.
Так спокойнее. B)

Это просто мания какая-то....

[alexni]

Безопасности много не бывает.

[mark]

alexni
ее вообще не бывает, имхо...

[alexni]

ее вообще не бывает, имхо...

а паранойя это нормальный образ мысли нормального админа 8-)

[Liksys]

ИМХО, нужен. SELinux+IPTables+нет_кривых_или_лишних_сервисов+драйвер_прямых_рук.

медленно сползаю под стол...

А почему?

ее вообще не бывает, имхо...

а паранойя это нормальный образ мысли нормального админа 8-)

Во! Золотые слова!

[snake]

Скажем так --- не помешает.
Хотя, конечно, сверхнадобности нет.

[Trueash]

Голосовал за "нужен". Потому как, даже если у вас паранойя, это не значит, что ОНИ за вами не следят

[pzp-5]

Безопасности много не бывает.

+1.
Часто файрвол предотврщаетт ошибку работы кривых ручек "домашнего" админа.
Неделю назад установил себе после попыток проникновения с помощью ботовско-хаккерской атаки по ССШ через динамический АйПи (оставил когда-то (на перспективу) открытым соответсвующий порт для инета с огромными ограничениями, разумеется) !!!
На компе открыты ФТП, аШТТП, ССШ, Сквид, Самба, и т.п. .
Важно - Сеть разделена на внутреннюю (офисную) и общегородскую.Инет - через ВПН.
Много чего в конфигах разрешено для внутренней сети, часть разрешена - для городской.
Но сам факт попытки взлома - насторожил.
Сейчас раз в сутки с удовольствием наблюдаю по статистике Файрвола - количество попыток проникновения на поднятые сервисы.
Роутер меленькой сетки приравниваю к Десктопу (при условии поднятия соответствующих серисов/служб).

[Liksys]

Сейчас раз в сутки с удовольствием наблюдаю по статистике Файрвола - количество попыток проникновения на поднятые сервисы.

Приятно наблюдать, как "кульхацкеры" идут лесом
Фаерволл - вещь хорошая. Особенно если уметь им пользоваться B)

[Crazy]

У нас в общаговских сетях твориться такое, что без файервола ходить небезопасно.

[alexni]

На компе открыты ФТП, аШТТП, ССШ, Сквид, Самба, и т.п. .
Важно - Сеть разделена на внутреннюю (офисную) и общегородскую.Инет - через ВПН.

Это уже не десктоп 8-)
Скорее сервер доступа в инет. А на него файрволл -- сам бог велел...
И даже наверное не только файерволл.

[Liksys]

У нас в общаговских сетях твориться такое, что без файервола ходить небезопасно.

У нас тоже, правда, не в общаговской, а в городской. Весь народ с факультета с компами грамотный, все друг друга грозятся поломать и т.п. Почти все, за исключением меня и еще человек 5 сидят в вендах. Зато когда винловыехацкеры грозятся поломать, при словах "гы, а у меня Линух" лезут под стол от стыда

[pzp-5]

На компе открыты ФТП, аШТТП, ССШ, Сквид, Самба, и т.п. .
Важно - Сеть разделена на внутреннюю (офисную) и общегородскую.Инет - через ВПН.

Это уже не десктоп 8-)
Скорее сервер доступа в инет. А на него файрволл -- сам бог велел...
И даже наверное не только файерволл.

Сорри.Отредактировал свое сообщение через пяток минут после размещения.Было добавлено -
Роутер меленькой сетки приравниваю к Десктопу (при условии поднятия соответствующих серисов/служб)

[polachok]

Роутер меленькой сетки приравниваю к Десктопу (при условии поднятия соответствующих серисов/служб).

На компе открыты ФТП, аШТТП, ССШ, Сквид, Самба, и т.п. .

ну предупреждал же

PS десктопы на которых крутятся SQL, ftp, www и проч. прошу считать серверами.

[diesel]

гм. если подконнектится не к чему, то и файерволл не нужен - вот не знаю зачем мне ssh для внешней сети - он для нее и заперт, nfs для внешней сети мне тоже не надо - ну и не видят оттудова моих шар, Apache тоже только для внутреннего пользования. А если FTP октрыт анонимный, то от попыток подобрать рутовский пароль ... файерволл не спасает

[elide]

файрвол нужен на десктопе не только для того, чтоб кто-то не влез, но и чтоб лишнее не вылезло...
мне часто приходится выходить в сеть из различных чужих сеток, и я не хочу, чтоб какая-то зараза в этих чуждых и неконтролируемых мной сетках снифером контролировала мою активность. поэтому файрвол нужен для того, чтобы предотвратить утечку пакетов в обход TOR (даже если заворачивать все через проксю, то многие софтины постоянно берутся рассылать dns запросы... так вот нехрена кому попало знать, к каким хостам я обращаюсь....).
кроме того, у меня все сервисы доступны только с локалхоста. если мне нужно лезть по ssh снаружи, то я юзаю knockd.
но это не отменяет необходимости юзать ssl и gpg (:

По-моему - излишняя паранойя

паранойя не бывает излишней. никогда.

[alexni]

А если есть к чему коннектиться и извне тоже неплохо разрешить, но только с трёх адресов?

[Liksys]

Это как раз иптаблезом и разруливается, или, возможно, средствами самого сервиса.

[alexni]

Это как раз иптаблезом и разруливается, или, возможно, средствами самого сервиса.

А так как iptables это инструмент созданный для безопасности, а сервис -- фиг его знает для чего, то ...

[diesel]

А если есть к чему коннектиться и извне тоже неплохо разрешить, но только с трёх адресов?

tcpwrappers?

Код: Выделить всё

grep -v "#" /etc/hosts.allow
ALL: 127.0.0.1 192.168.6.230
proftpd: ALL
sshd: 192.168.10.1

Хотя пожалуй если есть к чему коннектится, то это может уже и не десктоп

[alexni]

tcpwrappers?

Ну или так 8)

Хотя пожалуй если есть к чему коннектится, то это может уже и не десктоп smile.gif smile.gif smile.gif

десктоп, десктоп.

мало ли чего я сам для себя написал. 8)

[sensei]

Я использую на десктопе(Слака) правда iptables настраивать не умею и настраивал по одной статье.


вот зацените, нормально ли так для десктопа с выходом в нет?

root@deep:/home/sanya# iptables-save
# Generated by iptables-save v1.3.5 on Tue Dec 5 05:43:57 2006
*filter
:INPUT DROP [48:21636]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:65535 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:65535 -j ACCEPT
COMMIT
# Completed on Tue Dec 5 05:43:57 2006

[pento]

Всего должно быть в меру.
Файрвол на nix like системе на десктопе не особо необходим.
Особенно если оно в локалке с фейковым IP.
Хотя конечно, если времени много свободного и есть желание, можно и поковыряться в настройках.

[Bruce]

имхо хотя бы icmp flood надо рубануть на фаерволе домашнем. в любом случае.