OT: ADSL?
Tomas Vondra
vondra@karneval.cz
Sobota Srpen 13 18:18:29 CEST 2005
Asi uz jsme dost offtopic, nicmene dovolim si reagovat:
> Tak ted tomu nerozumim. Nekdo tady tvrdil ze firewall v pocitaci je
> lepsi(bezpecnejsi?) protoze ten v touteru je pouze stavovy (nejsem
> sitar a nevim co si pod tim predstavit).
Naopak - tvrdil jsem ze vetsina firewallu v routerech stavova neni. To
zjednodusene receno znamena ze firewall kazdy paket posuzuje nezavisle,
protoze nevi jestli nahodou nepatri k nejakemu jiz otevrenemu spojeni.
To se docela hodi, protoze nektere utoky pres NAT spocivaji v posilani
paketu pro dosud neexistujici spojeni (zjednodusene receno), pripadne se
nejak vyuzivaji spojeni jiz existujici. (Ne, NAT skutecne neni
spolehliva ochrana pred utoky.)
Ty lepsi routery jsou vetsinou zalozene na Linuxu a stavovy firewall
maji, protoze pouzivaji iptables. Vetsinou ale maji jenom webove
rozhrani, ktere bych oznacil za pekelny nastroj. Zadat pres to
slozitejsi pravidla je dost opruz, pokud to vubec jde.
Troufam si tvrdit ze na vetsine levnych routeru jsou firewally jenom
jako bonus - pro zakladni ochranu staci, ale maji sve limity.
Nektere routery lze ale prestavet na "linuxbox" (nektere od Linksysu,
Ovislinku apod.) - tj. tvari se to jako obycejne PC s nainstalovanym
Linuxem, a jdou s tim delat v podstate vsechna kouzla.
Otazkou take je co si predstavit pod pojmem "hw firewall". Pokud je to
firewall se zadratovanou pevnou sadou pravidel tak je to celkem k
nicemu, protoze dynamika vyvoje je obrovska. Kazdy den se objevuji nove
protokoly, nove utoky atd.
> Kdysi se rikalo, ze firewall by mel byt mimo pocitac a chapal jsem to
> tak, ze programovy firewall v pocitaci jde treba nejak obejit a
> neochrani vsechno. Ted mi tady syn tvrdil, ze firewall v
> pocitaci je lepsi v tom, ze lze pro jednotlive programy
> povolit/zakazat pristup na internet. Kdyz mam firewall v routeru, mam
> si instalovat jeste neco na pocitac?
Z vetsiny bezpecnostnich doporuceni vyplyva ze firewall by mel byt
oddeleny od pracovnich stanic (samostatna masina) - to je take moje
vyhrada k softwarovym firewallum jako je ten z Windows XP, Kerio, Zone
Alarm apod. Ma to bezpecnostni duvody ktere tu nebudu rozebirat, ale i
duvody ryze prakticke (Muzete spravovat jeden firewall pro celou sit,
nebo na kazde stanici jeden samostatny firewall - co je asi tak
pracnejsi?) Je to otazka penez/pozadovane bezpecnosti apod.
Je pravda ze propojeni OS a firewallu na jednom PC ma svoje vyhody
(napriklad prave urceni ktera binarka muze komunikovat pres sit a ktera
ne), ale s trochou snahy se neceho podobneho da dosahnout i pres
samostatny firewall typu ipw nebo iptables. Nicmene to co predvadi MS se
svym firewallem (zejmena co se tyka konfigurace slozitejsich pravidel
apod.) je peklo.
Zasadni otazka ovsem je proc instalovat programy kterym neverim -
nedovedu si predstavit firmu ktera skutecne dba na bezpecnost a takove
programy trpi. Znam samozrejme i pripady kdy si zamestnanci ve firme bez
vedomi kohokoliv odpovedneho (sef, admin) nainstalovali vlastni wifi
access point aby nemuseli tahat kabely k notebooku, a nechali ho uplne
nezabezpeceny. Potom je samozrejme firewall jenom vyhazovani penez.
> Zatim jediny utok na pocitac jsem zazil kdyz mi to pripojeni
> instalovali, router nejak stavkoval a na chvilku strcili kabel do
> sitovky primo. Bylo to otazka par vterin. Firewall v routeru jsem
> nijak nenastavoval a ani jsem se ho nesnazil pochopit (mam svych
> starosti dost), protoze vsechno funguje bez problemu. Jen vim ze
> syn si do sveho pocitace pootviral nejake porty ktere byly v routeru
> implicitne (nebo po nastavenipri instalaci?) zavrene a resi to tim fw
> v pocitaci.
<noflame>
Nastaveni firewallu neni trivialni - pokud do toho nevidite tak do
toho nerejpejte. Nevykladejte si to zle, ale pristup microsoftu a
dalsich firem "musi to zvladnout kazdy" je ponekud dvojsecna zbran.
Pokud to prevedeme do oblasti motorismu, tak by si kazdy ridic mel
bych schopen seridit brzdy, rizeni, predstih, apod. Jenomze potom by
asi nebyl prekvapenim razantni narust smrtelnych nehod.
To same plati o firewallech - slozitejsi nastaveni ponechme na lidech
kteri tomu alespon trochu rozumi.
</noflame>
Pokud vas tahle problematika trochu vic zajima, muzete se v rijnu
podivat na www.openweekend.cz - je to studentska vicemene pravidelna (po
pul roce) konference, velmi pekne udelana. Jednim z rijnovych temat je
prave prevence sitovych utoku. A v archivu je nekolik velice peknych
prispevku na tema firewallu v BSD a Linuxu, bezpecnosti wifi siti apod.
t.v.
Další informace o konferenci Hw-list