OT: ADSL?

Tomas Vondra vondra@karneval.cz
Sobota Srpen 13 18:18:29 CEST 2005 

Asi uz jsme dost offtopic, nicmene dovolim si reagovat:
 > Tak ted tomu nerozumim. Nekdo tady tvrdil ze firewall v pocitaci je
 > lepsi(bezpecnejsi?) protoze ten v touteru je pouze stavovy (nejsem
 > sitar a nevim co si pod tim predstavit).

Naopak - tvrdil jsem ze vetsina firewallu v routerech stavova neni. To 
zjednodusene receno znamena ze firewall kazdy paket posuzuje nezavisle,
protoze nevi jestli nahodou nepatri k nejakemu jiz otevrenemu spojeni. 
To se docela hodi, protoze nektere utoky pres NAT spocivaji v posilani 
paketu pro dosud neexistujici spojeni (zjednodusene receno), pripadne se 
nejak vyuzivaji spojeni jiz existujici. (Ne, NAT skutecne neni 
spolehliva ochrana pred utoky.)

Ty lepsi routery jsou vetsinou zalozene na Linuxu a stavovy firewall 
maji, protoze pouzivaji iptables. Vetsinou ale maji jenom webove 
rozhrani, ktere bych oznacil za pekelny nastroj. Zadat pres to 
slozitejsi pravidla je dost opruz, pokud to vubec jde.

Troufam si tvrdit ze na vetsine levnych routeru jsou firewally jenom 
jako bonus - pro zakladni ochranu staci, ale maji sve limity.

Nektere routery lze ale prestavet na "linuxbox" (nektere od Linksysu, 
Ovislinku apod.) - tj. tvari se to jako obycejne PC s nainstalovanym 
Linuxem, a jdou s tim delat v podstate vsechna kouzla.

Otazkou take je co si predstavit pod pojmem "hw firewall". Pokud je to 
firewall se zadratovanou pevnou sadou pravidel tak je to celkem k 
nicemu, protoze dynamika vyvoje je obrovska. Kazdy den se objevuji nove 
protokoly, nove utoky atd.

 > Kdysi se rikalo, ze firewall by mel byt mimo pocitac a chapal jsem to
 > tak, ze programovy firewall v pocitaci jde treba nejak obejit a
 > neochrani vsechno. Ted mi tady syn tvrdil, ze firewall v
 > pocitaci je lepsi v tom, ze lze pro jednotlive programy
 > povolit/zakazat pristup na internet. Kdyz mam firewall v routeru, mam
 > si instalovat jeste neco na pocitac?

Z vetsiny bezpecnostnich doporuceni vyplyva ze firewall by mel byt 
oddeleny od pracovnich stanic (samostatna masina) - to je take moje 
vyhrada k softwarovym firewallum jako je ten z Windows XP, Kerio, Zone 
Alarm apod. Ma to bezpecnostni duvody ktere tu nebudu rozebirat, ale i 
duvody ryze prakticke (Muzete spravovat jeden firewall pro celou sit, 
nebo na kazde stanici jeden samostatny firewall - co je asi tak 
pracnejsi?) Je to otazka penez/pozadovane bezpecnosti apod.

Je pravda ze propojeni OS a firewallu na jednom PC ma svoje vyhody 
(napriklad prave urceni ktera binarka muze komunikovat pres sit a ktera 
ne), ale s trochou snahy se neceho podobneho da dosahnout i pres 
samostatny firewall typu ipw nebo iptables. Nicmene to co predvadi MS se 
svym firewallem (zejmena co se tyka konfigurace slozitejsich pravidel 
apod.) je peklo.

Zasadni otazka ovsem je proc instalovat programy kterym neverim - 
nedovedu si predstavit firmu ktera skutecne dba na bezpecnost a takove 
programy trpi. Znam samozrejme i pripady kdy si zamestnanci ve firme bez 
vedomi kohokoliv odpovedneho (sef, admin) nainstalovali vlastni wifi 
access point aby nemuseli tahat kabely k notebooku, a nechali ho uplne 
nezabezpeceny. Potom je samozrejme firewall jenom vyhazovani penez.

 > Zatim jediny utok na pocitac jsem zazil kdyz mi to pripojeni
 > instalovali, router nejak stavkoval a na chvilku strcili kabel do
 > sitovky primo. Bylo to otazka par vterin. Firewall v routeru jsem
 > nijak nenastavoval a ani jsem se ho nesnazil pochopit (mam svych
 > starosti dost), protoze vsechno funguje bez problemu. Jen vim ze
 > syn si do sveho pocitace pootviral nejake porty ktere byly v routeru
 > implicitne (nebo po nastavenipri instalaci?) zavrene a resi to tim fw
 > v pocitaci.

<noflame>
   Nastaveni firewallu neni trivialni - pokud do toho nevidite tak do
   toho nerejpejte. Nevykladejte si to zle, ale pristup microsoftu a
   dalsich firem "musi to zvladnout kazdy" je ponekud dvojsecna zbran.

   Pokud to prevedeme do oblasti motorismu, tak by si kazdy ridic mel
   bych schopen seridit brzdy, rizeni, predstih, apod. Jenomze potom by
   asi nebyl prekvapenim razantni narust smrtelnych nehod.

   To same plati o firewallech - slozitejsi nastaveni ponechme na lidech
   kteri tomu alespon trochu rozumi.
</noflame>

Pokud vas tahle problematika trochu vic zajima, muzete se v rijnu 
podivat na www.openweekend.cz - je to studentska vicemene pravidelna (po 
pul roce) konference, velmi pekne udelana. Jednim z rijnovych temat je 
prave  prevence sitovych utoku. A v archivu je nekolik velice peknych 
prispevku na tema firewallu v BSD a Linuxu, bezpecnosti wifi siti apod.

t.v.

Další informace o konferenci Hw-list