<div dir="ltr"><div><div><div>hmmm ... a ako pomaha firewall, ked si niekto za nim stiahne na lokalne PC virus (obycajne niekde v prilohe povolenych mailov, alebo napadnutej WEB stranky...) ?<br></div><br></div><div>Ak ten virus komunikuje cez http, teda port 80, ktory je obycajne na FW povoleny ako cielovy port, lebo ak by nebol,<br>tak by nebol ani pristup na internet a vlastne clovek na PC by si nesiahol ani ten virus, ale ani nepozrel stranky...<br><br></div>Proxy server? systemove nastavenia klienta proxy su necitatelne pre virusy?<br></div>alebo na firewalle mate povoleny len zoznam domen/stranok, ktore ako admin povolite a vsetky ostatne zakazane?<br><div><div><div>Teda absolutne zabezpecene, ze nikto a nic nepojde na port 80 nejakeho zberneho servera pre virusy, kde posiela data, prijma prikazy apod...</div><div><br></div><div>a mate na FW absolutne zakazany aj port 53 (DNS) ?</div><div>lebo niektore programy chodia na tento port na cielovy server a vobec to nie su DNS requesty... a chodia tam napr. ssh komunikacie... ;-)))<br></div><div><br></div><div>Bezpecnost NAT, FW a pod je taka dobra, ako je administrator "strasny pes",</div><div>najcastejsie iluzorna, ktora zastavi skolakov pri skusani "hackovania",</div><div>cielenym utokom sotva zabrani.<br></div><div><br></div><div>Bezpecnost != NAT</div><div>Bezpecnost != Firewall</div><div>...</div><div>...</div><div><br></div><div>Su to "tehlicky", ktorych vhodnym umiestnenim, nastavenim a pouzivanim sa buduje Bezpecnost...<br></div><div>Bezpecnost je celkom komplexny problem zavisly od velkeho poctu vstupov ... a spravania sa ludi, ktorych chcete chranit...</div><div><br></div><div>Mat Firewall a tvrdit, ze som v bezpeci je rovnako iluzorne, ako mat NAT a tvrdit, ze som v bezpeci.</div><div>Prenesene je to podobne tvrdenie, ako</div><div> " ja mam ABS na aute a preto mozem vojst do zakruty akokolvek rychlo a auto a ABS ma udrzi na ceste... "<br></div><div><br></div><div><br></div><div>Dodo<br></div><div><br></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2017-10-09 15:00 GMT+02:00 Petr Simek <span dir="ltr"><<a href="mailto:psimek@jcu.cz" target="_blank">psimek@jcu.cz</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, 9 Oct 2017, Jaroslav Meduna wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ona ta myslenka sitoveho firewallu ktery vsechno zaridi je trochu zcestna,<br>
</blockquote>
nejlepsi firewall je vzdy na tom konkretnim zarizeni, to spolehani se ze<br>
ochranu dokonale zajisti sitove prvky je chybne.<br>
To vypada na ignoraci bezne uzivanych sitovych technologii, které jsou na<br>
tom postavene, například DMZ...<br>
</blockquote>
<br>
DMZ vam nijak nepomuze s tim ze si nekdo na PC prohlizecem stahne vira<br>
ani nezabrani vzajemne nakaze. Ta vira ve vsemocnost nadrazene sitove<br>
ochrany je zbytecne silna.<br>
<br>
Mimochodem - DMZ koncept obvykle vyuziva NAT pro PC na intranetu.<br>
<br>
<br>
*-----------------------------<wbr>------------------------------<wbr>-------------*<br>
| Petr Simek APS JU |<br>
| <a href="mailto:psimek@jcu.cz" target="_blank">psimek@jcu.cz</a> |<br>
*-----------------------------<wbr>------------------------------<wbr>-------------*<br>______________________________<wbr>_________________<br>
HW-list mailing list - sponsored by <a href="http://www.HW.cz" rel="noreferrer" target="_blank">www.HW.cz</a><br>
<a href="mailto:Hw-list@list.hw.cz">Hw-list@list.hw.cz</a><br>
<a href="http://list.hw.cz/mailman/listinfo/hw-list" rel="noreferrer" target="_blank">http://list.hw.cz/mailman/<wbr>listinfo/hw-list</a><br>
<br></blockquote></div><br></div>