Свободен
Свободна
Скрыть опции темы
Привет, гость!
Зарегистрируйся, чтобы получить полный доступ и возможность писать в форуме, группах и блогах.
Вход Регистрация
Вход Регистрация
 mvf23
|
|
|
Тут выяснилось, что есть люди, использующие ОДНОВРЕМЕННО несколько разных фаерволлов на одной машине.  Ну, первая мысль - полный бред и маразм. Глюк на глюке и с тормозами. Но, как выяснилось - это не так страшно. (В принципе они работают по-моему через TDI хуки, которых можно установить несколько и они не должны друг другу мешать?..). Как меня заверили - это даже работает :) , правда я не могу проверить насколько адекватно они сосуществуют. Ну относительно защиты "внешнего периметра", т.е. предотвращения вторжений из вне - это, очевидно, бессмысленно (если сам фаерволл не баговит). Однако если теперь представить, что скажем вирус/троянец пытается "в обход" фаерволла сходить в интернет - скажем отправить письмо с паролями, то все становится интереснее. Для тех, кто не знает - объясняю, как происходит "обход фаерволла". В большинстве случаев фаерволлы работают в "режиме обучения". И когда что-либо пытается слазить в интернет, появляется окошко - типа "резрешим или нет этой программе сходить в интернет"? Троянец, будучи запущенным на компьютере, при появлении такого вопроса на экране тут же нажимает "Разрешить" и спокойно лезет в интернет.  Пользователь даже не успеет ничего заметить. Для того, чтобы реагировать на такое окошко с вопросом, троянец "затачивается" под конкретный фаерволл. То есть, он допустим реагирует на появления окна с заголовком Agnitum Outpost. Если этому троянцу повезло и на машине работает тот фаерволл, под который был "заточен" троянец, то для троянца все пройдет успешно. Если же работает другой фаерволл - то троянец с ним ничего сделать не сможет. А теперь - если будет работать несколько фаерволлов, то вероятность успешного обхода стремится к нулю. Вот я теперь и думаю - все же это маразм и мне нужно хорошенько выспаться  (чтобы такая фигня в голову не лезла  ), или все же определенный смысл в таких рассуждениях имеется? Или может есть какие-нибудь ещё основания для использования нескольких фаерволлов?Есть у кого-нибудь какие-то мысли по этому поводу? Может есть такой опыт? Это сообщение отредактировал mvf23 - 15-08-2006 - 04:50 |
|
|
|
Установка двух брэндмауэров на одну машину логики не лишена. Они действительно стоят как upper фильтры (а не хуки :), они все больше к NDIS льнут) для транспортных протоколов (транспортных провайдеров) и, по логике Windows, просто выстраиваются в ряд в стеке. Один минус - учить защиту нужно дважды и на машине, осуществляющей NAT-трансляцию их не поставишь.
|
|
mvf23
|
|||||
|
Ох, я вообще плохо представляю устройство этого самого стека. Читал про него когда-то давным-давно. Но практике использовать эти знания не приходилось, так что - извиняюсь, не со злым умыслом, а по причине врожденного малоумия ляпнул :)
Ну, NAT обычному пользователю и не требуется. Если есть необходимость в NAT - то лучше (имхо) все же отдельную машинку на это дело выделить. Которая будет пакеты туда-сюда перебрасывать. Заодно и фильтровать по-немножку... А вообще, за ответ - спасибо. :) (И не говори потом, что люди - не благодарны. :) ) Надо будет попробовать в "полевых условиях". Может у кого-то есть ещё и опыт по этому поводу? |
||||
 -=Велла=-
|
|
|
Прошу прощения за неграмотность, но NAT-трансляция - это типа "маскарад адресов", по иному - прокси-сервер (одни из его функций). ТО есть, не поставишь фаервол на машину-прокси или не поставишь два фаервола на машину-прокси? ИЛИ я что-то не поняла? По поводу ставить два продукта одного действия - ИМХО не очень хорошо.. Вспомнить, хотя бы попытки поставить два антивируса на одну машину.. Типа должна быть двойная защита, а получается двойной глюк... |
|
mvf23
|
|||||
|
Да, типа "маскарад адресов". Но не то же самое что прокси. Хотя функции в чем-то похожи. Прокси - это скорее твой "представитель", ты к нему вполне осознанно обращешься с целью получить те или иные данные. А NAT - это когда твой адрес, заменяется на другой, и ты об этом даже можешь не знать. Т.е. NAT - это скорее "маска", ткоторую ты не замечаешь. Если интересно - могу дать точные определения.
На самом деле просто нельзя ставить 2 антивируса в режиме мониторинга. А вообще несколько антивирусов - это хорошая идея. Оптимальный вариант когда есть один антивирус работающий в режиме монитора, и другой который используется только как "сканер по требованию". |
||||
|
mvf23
|
|||
|
Ну с прокси как раз все должно получиться. А вот с NAT - нет. К слову очень часто прокси содержит в себе функции фаерволла. Вообще сейчас очень многие программы типа WinRoute содержат в себе и прокси, и NAT и фаерволл. |
||
|
|
|||
|
На первое: принципы организации сетей на базе протокола IP таковы, что каждый узел должен иметь свой уникальный IP-адрес. Интернет - это IP сеть. Сначала, для передачи данных из одной подсети в другую, можно было использовать обычный роутинг. Однако адресное пространство конечно, поэтому его на всех не хватает (пиндостан, кстати, гад). Для этого умные люди выделили три IP-сети (10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255), которые считаются внутренними. Для того, чтобы попасть компьютеру из внутренней сети во внешнюю, необходимо было что-то делать. Тогда же и появилась технология NAT (Network Address Translation) - технология трансляции сетевых адресов. NAT - это такая хитрая технология, которая позволяет прозрачно транслировать IP адреса и номера портов из одной группы группы в другую. Почитать про эти схемы можно в RFC 1631, 2663, 2766, 3022. Маскарадинг - это одна из схем NAT, описанная в RFC 3022, называемая так же традиционной. В терминологии *nix систем она обзывается masquarading, ибо *никосоиды опять выпендриваются. На второе: в глобальном смысле устройство, осуществляющее роутинг или трансляцию является прокси. Однако не все, что прокси, является брэндмауэром или транслятором. :) В настоящее время понятие "прокси" - это промежуточный прозрачный агент, имеющий право отдавать контект из собственного кэша, даже конкретней - HTTP-прокси. Фильтрацией по портам занимается брэндмауэр, он же NAT-транслятор или роутер. На десерт: ты даже не представляешь, сколько у тебя навешано таких фильтров на тот же драйвер привода CD-ROM - и все работает, а там ведь еще есть и lower фильтры. Логика же организации стека фильтров протоколов транспортного уровня ничем не отличается от того же вышеупомянутого стека. И deadlock'ов там не бывает, так как все идет по очереди. Запьем все это антивирусами - там у них совсем другое дело. Они любят входить в так называемые deadlock'и и лечить друг-друга. Антивирус уже не только проверка на сигнатуру вируса, но и выявление подозрительной активности. Сама активность антивируса уже подозрительна для других. Так что боливар не выдержит двоих. Я вообще подозреваю, что это сделано намеренно. :))) И как ответ: не поставишь брэндмауэра, расчитанного на частное использование, на машину, которая уже САМА является брэндмауэром и занимается трансляцией. |
||
|
-=Велла=-
|
|
|
Ага.. понятно.. то есть тут все намного серьезней, чем я подозревала... То есть, если у меня на машине (возьмем часный случай) стоит софтовый прокси-сервер, выполняющий функции NAT ("чтобы попасть компьютеру из внутренней сети во внешнюю") и фаервол (он же брандмауэр), кот. все это фильтрует, однако сам прокси-сервер тоже в свою очередь может выполнять функции брандмауэра - он пускает только туда, куда разрешено, то поставить второй фаервол я уже не смогу.. А вот если я сижу дома и у меня один комп и он имеет соединение с глобальной сетью посредством модема, например, то я могу поставить два фаера? ТАк чтоли? Чот запуталась.. На счет антивирусов.. я тоже так подозреваю.. Все им лишь бы денег заработать... на нас... |
|
|
|||
|
Не путайся. Сейчас прокси, это такая байда, которая живет на уровне протоколов приложений, а NAT же влачит свое жалкое существование на уровне транспортных. И если для работы с прокси приложения должны уметь работать с прокси дополнительно, то с работой через NAT приложения даже и не подозревают о наличии такового. Кто прокси, кто NAT и кто брэндмауэр понятно? В серверном случае последние два - один человек. :) Прокси "фильтрует базар" (типы контента), а брэндмауэр адреса и порты. А если дома - ставь хоть три. Только зачем? :) Лучше поставить локальный кэширующий прокси. |
||
 A763
|
|
|
присоединяюсь к выше сказанному.., но два и более фаервола на домашнем компе все помоему перебор ..., встречал такие компы в жизни.., в 95 % случаев все это криво работало увы...., так что иое имхо лучше один но правильно настроенный..
|
|
|
|
|
Кстати, проблема описанная mvf23, лечится установкой by default правила deny. 
|
|
mvf23
|
|
|
Ну в общем, да - лечится. Только это не всегда удобно. Это сообщение отредактировал mvf23 - 15-08-2006 - 19:00 |
|
A763
|
|||
|
гм. а помоему наоборот , разрешил что нужно и вперед , так проще и безопасней. |
||
|
mvf23
|
|
|
Ну в общем да. Несколько фаерволлов - это все же, скорее, маразм. Бонусы очень сомнительны. Кастаельно обхода фаерволлов - все зависит от изворотливости троянца и сообразимтелтьности фаерволла. Например ты разрешаешь сходить в интернет своему браузеру? Ну вот троянец может осуществить вызов браузера, с просьбой сходить на адрес www.какой-то-там-адрес.com/index.php?password=например-твой-пароль Окошечно браузера разумеется показываться не будет. Дальше ясно. |
|
DarkUser
|
|
|
Присоединяюсь к тем, кто за единство бытия и правильность настроек.  Аутпост (кто его юзает) в режим обучения нужно ставить только на период установки новых прог, которым нужна некоторая сетевая активность. Для всего остального - кирпич. Если чувствуете что что-то не идет с сетью, то верните на время повторения операции режим обучения и сделайте соответствующие настройки. Про Антивири - дотошные мля до ужаса. Последний 6-й Каспер с его проактивной защитой ругается даже на фарика. Про локальный кэширующий прокси - ставьте себе CoolProxy и будет Вам счастье. Супер прога - спасибо афтару. Принудительное кэширование всего на свете. Сверху все это можно сдобрить каким-нить Anonymity 4 Proxy или ей подобным, но это уже тому кому нужно. |
 JBC
|
|
|
2 стенки на одной машине - паранойя. Почему бы не настроить одну но правильно. |
|
|
|
|
Как нам однажды сказал преподаватель по защите информации. Два антивиря на одной машине маразм по причине того. что они вмешиваются в работу оси и могут некорректно реагировать еще на чъе-то вмешательство. Файрволлы имхо где-то близко
|
 fatcat
|
|||
|
Согласна полный бред! Да и один и хороший (типа всяхих ZoneAlarm`ов, Outpost`ов, Sygate Pers. firewall) - как его не настраивай, если кому уж сильно надо всеравно c легкостью ОБОЙДУТ! |
||
|
Рекомендуем почитать также топики: Проблемы с оптическими приводами -= Blade of Darkness =- Core 2 Duo E6750 Помогите выбрать лазерник для дома Важно! Требуется программа для кодирования в mp3 |