OT IPv6 - prakticke zkusenosti

Dodo Racek dodoracek na gmail.com
Pondělí Říjen 9 15:18:46 CEST 2017 

hmmm ... a ako pomaha firewall, ked si niekto za nim stiahne na lokalne PC
virus (obycajne niekde v prilohe povolenych mailov, alebo napadnutej WEB
stranky...) ?

Ak ten virus komunikuje cez http, teda port 80, ktory je obycajne na FW
povoleny ako cielovy port, lebo ak by nebol,
tak by nebol ani pristup na internet a vlastne clovek na PC by si nesiahol
ani ten virus, ale ani nepozrel stranky...

Proxy server? systemove nastavenia klienta proxy su necitatelne pre virusy?
alebo na firewalle mate povoleny len zoznam domen/stranok, ktore ako admin
povolite a vsetky ostatne zakazane?
Teda absolutne zabezpecene, ze nikto a nic nepojde na port 80 nejakeho
zberneho servera pre virusy, kde posiela data, prijma prikazy apod...

a mate na FW absolutne zakazany aj port 53 (DNS) ?
lebo niektore programy chodia na tento port na cielovy server a vobec to
nie su DNS requesty... a chodia tam napr. ssh komunikacie... ;-)))

Bezpecnost NAT, FW a pod je taka dobra, ako je administrator "strasny pes",
najcastejsie iluzorna, ktora zastavi skolakov pri skusani "hackovania",
cielenym utokom sotva zabrani.

Bezpecnost != NAT
Bezpecnost != Firewall
...
...

Su to "tehlicky", ktorych vhodnym umiestnenim, nastavenim a pouzivanim sa
buduje Bezpecnost...
Bezpecnost je celkom komplexny problem zavisly od velkeho poctu vstupov ...
a spravania sa ludi, ktorych chcete chranit...

Mat Firewall a tvrdit, ze som v bezpeci je rovnako iluzorne, ako mat NAT a
tvrdit, ze som v bezpeci.
Prenesene je to podobne tvrdenie, ako
" ja mam ABS na aute a preto mozem vojst do zakruty akokolvek rychlo a auto
a ABS ma udrzi na ceste... "


Dodo


2017-10-09 15:00 GMT+02:00 Petr Simek <psimek na jcu.cz>:

> On Mon, 9 Oct 2017, Jaroslav Meduna wrote:
>
> Ona ta myslenka sitoveho firewallu ktery vsechno zaridi je trochu zcestna,
>>>
>> nejlepsi firewall je vzdy na tom konkretnim zarizeni, to spolehani se ze
>> ochranu dokonale zajisti sitove prvky je chybne.
>> To vypada na ignoraci bezne uzivanych sitovych technologii, které jsou na
>> tom postavene, například DMZ...
>>
>
> DMZ vam nijak nepomuze s tim ze si nekdo na PC prohlizecem stahne vira
> ani nezabrani vzajemne nakaze. Ta vira ve vsemocnost nadrazene sitove
> ochrany je zbytecne silna.
>
> Mimochodem - DMZ koncept obvykle vyuziva NAT pro PC na intranetu.
>
>
> *------------------------------------------------------------------------*
> |                          Petr Simek   APS JU                           |
> |                             psimek na jcu.cz                              |
> *------------------------------------------------------------------------*
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20171009/123030b5/attachment-0001.html>

Další informace o konferenci Hw-list