Несколько фаерволлов на одной машине.
mvf23
Профессионал
8/15/2006, 8:48:10 AM
Тут выяснилось, что есть люди, использующие ОДНОВРЕМЕННО несколько разных фаерволлов на одной машине.
Ну, первая мысль - полный бред и маразм. Глюк на глюке и с тормозами. Но, как выяснилось - это не так страшно. (В принципе они работают по-моему через TDI хуки, которых можно установить несколько и они не должны друг другу мешать?..). Как меня заверили - это даже работает :) , правда я не могу проверить насколько адекватно они сосуществуют.
Ну относительно защиты "внешнего периметра", т.е. предотвращения вторжений из вне - это, очевидно, бессмысленно (если сам фаерволл не баговит). Однако если теперь представить, что скажем вирус/троянец пытается "в обход" фаерволла сходить в интернет - скажем отправить письмо с паролями, то все становится интереснее.
Для тех, кто не знает - объясняю, как происходит "обход фаерволла". В большинстве случаев фаерволлы работают в "режиме обучения". И когда что-либо пытается слазить в интернет, появляется окошко - типа "резрешим или нет этой программе сходить в интернет"? Троянец, будучи запущенным на компьютере, при появлении такого вопроса на экране тут же нажимает "Разрешить" и спокойно лезет в интернет. Пользователь даже не успеет ничего заметить. Для того, чтобы реагировать на такое окошко с вопросом, троянец "затачивается" под конкретный фаерволл. То есть, он допустим реагирует на появления окна с заголовком Agnitum Outpost.
Если этому троянцу повезло и на машине работает тот фаерволл, под который был "заточен" троянец, то для троянца все пройдет успешно. Если же работает другой фаерволл - то троянец с ним ничего сделать не сможет.
А теперь - если будет работать несколько фаерволлов, то вероятность успешного обхода стремится к нулю.
Вот я теперь и думаю - все же это маразм и мне нужно хорошенько выспаться (чтобы такая фигня в голову не лезла ), или все же определенный смысл в таких рассуждениях имеется? Или может есть какие-нибудь ещё основания для использования нескольких фаерволлов?
Есть у кого-нибудь какие-то мысли по этому поводу? Может есть такой опыт?
Ну, первая мысль - полный бред и маразм. Глюк на глюке и с тормозами. Но, как выяснилось - это не так страшно. (В принципе они работают по-моему через TDI хуки, которых можно установить несколько и они не должны друг другу мешать?..). Как меня заверили - это даже работает :) , правда я не могу проверить насколько адекватно они сосуществуют.
Ну относительно защиты "внешнего периметра", т.е. предотвращения вторжений из вне - это, очевидно, бессмысленно (если сам фаерволл не баговит). Однако если теперь представить, что скажем вирус/троянец пытается "в обход" фаерволла сходить в интернет - скажем отправить письмо с паролями, то все становится интереснее.
Для тех, кто не знает - объясняю, как происходит "обход фаерволла". В большинстве случаев фаерволлы работают в "режиме обучения". И когда что-либо пытается слазить в интернет, появляется окошко - типа "резрешим или нет этой программе сходить в интернет"? Троянец, будучи запущенным на компьютере, при появлении такого вопроса на экране тут же нажимает "Разрешить" и спокойно лезет в интернет. Пользователь даже не успеет ничего заметить. Для того, чтобы реагировать на такое окошко с вопросом, троянец "затачивается" под конкретный фаерволл. То есть, он допустим реагирует на появления окна с заголовком Agnitum Outpost.
Если этому троянцу повезло и на машине работает тот фаерволл, под который был "заточен" троянец, то для троянца все пройдет успешно. Если же работает другой фаерволл - то троянец с ним ничего сделать не сможет.
А теперь - если будет работать несколько фаерволлов, то вероятность успешного обхода стремится к нулю.
Вот я теперь и думаю - все же это маразм и мне нужно хорошенько выспаться (чтобы такая фигня в голову не лезла ), или все же определенный смысл в таких рассуждениях имеется? Или может есть какие-нибудь ещё основания для использования нескольких фаерволлов?
Есть у кого-нибудь какие-то мысли по этому поводу? Может есть такой опыт?
DELETED
Акула пера
8/15/2006, 7:33:23 PM
Установка двух брэндмауэров на одну машину логики не лишена. Они действительно стоят как upper фильтры (а не хуки :), они все больше к NDIS льнут) для транспортных протоколов (транспортных провайдеров) и, по логике Windows, просто выстраиваются в ряд в стеке. Один минус - учить защиту нужно дважды и на машине, осуществляющей NAT-трансляцию их не поставишь.
mvf23
Профессионал
8/15/2006, 8:03:21 PM
как upper фильтры (а не хуки :), они все больше к NDIS льнут
Ох, я вообще плохо представляю устройство этого самого стека. Читал про него когда-то давным-давно. Но практике использовать эти знания не приходилось, так что - извиняюсь, не со злым умыслом, а по причине врожденного малоумия ляпнул :)
на машине, осуществляющей NAT-трансляцию их не поставишь
Ну, NAT обычному пользователю и не требуется. Если есть необходимость в NAT - то лучше (имхо) все же отдельную машинку на это дело выделить. Которая будет пакеты туда-сюда перебрасывать. Заодно и фильтровать по-немножку...
А вообще, за ответ - спасибо. :) (И не говори потом, что люди - не благодарны. :) )
Надо будет попробовать в "полевых условиях".
Может у кого-то есть ещё и опыт по этому поводу?
Ох, я вообще плохо представляю устройство этого самого стека. Читал про него когда-то давным-давно. Но практике использовать эти знания не приходилось, так что - извиняюсь, не со злым умыслом, а по причине врожденного малоумия ляпнул :)
на машине, осуществляющей NAT-трансляцию их не поставишь
Ну, NAT обычному пользователю и не требуется. Если есть необходимость в NAT - то лучше (имхо) все же отдельную машинку на это дело выделить. Которая будет пакеты туда-сюда перебрасывать. Заодно и фильтровать по-немножку...
А вообще, за ответ - спасибо. :) (И не говори потом, что люди - не благодарны. :) )
Надо будет попробовать в "полевых условиях".
Может у кого-то есть ещё и опыт по этому поводу?
-=Велла=-
Акула пера
8/15/2006, 8:12:32 PM
Прошу прощения за неграмотность, но NAT-трансляция - это типа "маскарад адресов", по иному - прокси-сервер (одни из его функций). ТО есть, не поставишь фаервол на машину-прокси или не поставишь два фаервола на машину-прокси? ИЛИ я что-то не поняла?
По поводу ставить два продукта одного действия - ИМХО не очень хорошо.. Вспомнить, хотя бы попытки поставить два антивируса на одну машину.. Типа должна быть двойная защита, а получается двойной глюк...
По поводу ставить два продукта одного действия - ИМХО не очень хорошо.. Вспомнить, хотя бы попытки поставить два антивируса на одну машину.. Типа должна быть двойная защита, а получается двойной глюк...
mvf23
Профессионал
8/15/2006, 8:39:30 PM
NAT-трансляция - это типа "маскарад адресов", по иному - прокси-сервер
Да, типа "маскарад адресов". Но не то же самое что прокси. Хотя функции в чем-то похожи.
Прокси - это скорее твой "представитель", ты к нему вполне осознанно обращешься с целью получить те или иные данные. А NAT - это когда твой адрес, заменяется на другой, и ты об этом даже можешь не знать. Т.е. NAT - это скорее "маска", ткоторую ты не замечаешь.
Если интересно - могу дать точные определения.
Вспомнить, хотя бы попытки поставить два антивируса на одну машину.. Типа должна быть двойная защита, а получается двойной глюк...
На самом деле просто нельзя ставить 2 антивируса в режиме мониторинга. А вообще несколько антивирусов - это хорошая идея.
Оптимальный вариант когда есть один антивирус работающий в режиме монитора, и другой который используется только как "сканер по требованию".
Да, типа "маскарад адресов". Но не то же самое что прокси. Хотя функции в чем-то похожи.
Прокси - это скорее твой "представитель", ты к нему вполне осознанно обращешься с целью получить те или иные данные. А NAT - это когда твой адрес, заменяется на другой, и ты об этом даже можешь не знать. Т.е. NAT - это скорее "маска", ткоторую ты не замечаешь.
Если интересно - могу дать точные определения.
Вспомнить, хотя бы попытки поставить два антивируса на одну машину.. Типа должна быть двойная защита, а получается двойной глюк...
На самом деле просто нельзя ставить 2 антивируса в режиме мониторинга. А вообще несколько антивирусов - это хорошая идея.
Оптимальный вариант когда есть один антивирус работающий в режиме монитора, и другой который используется только как "сканер по требованию".
mvf23
Профессионал
8/15/2006, 8:44:54 PM
ТО есть, не поставишь фаервол на машину-прокси или не поставишь два фаервола на машину-прокси?
Ну с прокси как раз все должно получиться. А вот с NAT - нет.
К слову очень часто прокси содержит в себе функции фаерволла.
Вообще сейчас очень многие программы типа WinRoute содержат в себе и прокси, и NAT и фаерволл.
Ну с прокси как раз все должно получиться. А вот с NAT - нет.
К слову очень часто прокси содержит в себе функции фаерволла.
Вообще сейчас очень многие программы типа WinRoute содержат в себе и прокси, и NAT и фаерволл.
DELETED
Акула пера
8/15/2006, 8:59:49 PM
(-=Велла=- @ 15.08.2006 - время: 16:12)Прошу прощения за неграмотность, но NAT-трансляция - это типа "маскарад адресов", по иному - прокси-сервер (одни из его функций). ТО есть, не поставишь фаервол на машину-прокси или не поставишь два фаервола на машину-прокси? ИЛИ я что-то не поняла?
По поводу ставить два продукта одного действия - ИМХО не очень хорошо.. Вспомнить, хотя бы попытки поставить два антивируса на одну машину.. Типа должна быть двойная защита, а получается двойной глюк...
На первое: принципы организации сетей на базе протокола IP таковы, что каждый узел должен иметь свой уникальный IP-адрес. Интернет - это IP сеть. Сначала, для передачи данных из одной подсети в другую, можно было использовать обычный роутинг. Однако адресное пространство конечно, поэтому его на всех не хватает (пиндостан, кстати, гад). Для этого умные люди выделили три IP-сети (10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255), которые считаются внутренними. Для того, чтобы попасть компьютеру из внутренней сети во внешнюю, необходимо было что-то делать. Тогда же и появилась технология NAT (Network Address Translation) - технология трансляции сетевых адресов. NAT - это такая хитрая технология, которая позволяет прозрачно транслировать IP адреса и номера портов из одной группы группы в другую. Почитать про эти схемы можно в RFC 1631, 2663, 2766, 3022. Маскарадинг - это одна из схем NAT, описанная в RFC 3022, называемая так же традиционной. В терминологии *nix систем она обзывается masquarading, ибо *никосоиды опять выпендриваются.
На второе: в глобальном смысле устройство, осуществляющее роутинг или трансляцию является прокси. Однако не все, что прокси, является брэндмауэром или транслятором. :) В настоящее время понятие "прокси" - это промежуточный прозрачный агент, имеющий право отдавать контект из собственного кэша, даже конкретней - HTTP-прокси. Фильтрацией по портам занимается брэндмауэр, он же NAT-транслятор или роутер.
На десерт: ты даже не представляешь, сколько у тебя навешано таких фильтров на тот же драйвер привода CD-ROM - и все работает, а там ведь еще есть и lower фильтры. Логика же организации стека фильтров протоколов транспортного уровня ничем не отличается от того же вышеупомянутого стека. И deadlock'ов там не бывает, так как все идет по очереди.
Запьем все это антивирусами - там у них совсем другое дело. Они любят входить в так называемые deadlock'и и лечить друг-друга. Антивирус уже не только проверка на сигнатуру вируса, но и выявление подозрительной активности. Сама активность антивируса уже подозрительна для других. Так что боливар не выдержит двоих. Я вообще подозреваю, что это сделано намеренно. :)))
И как ответ: не поставишь брэндмауэра, расчитанного на частное использование, на машину, которая уже САМА является брэндмауэром и занимается трансляцией.
По поводу ставить два продукта одного действия - ИМХО не очень хорошо.. Вспомнить, хотя бы попытки поставить два антивируса на одну машину.. Типа должна быть двойная защита, а получается двойной глюк...
На первое: принципы организации сетей на базе протокола IP таковы, что каждый узел должен иметь свой уникальный IP-адрес. Интернет - это IP сеть. Сначала, для передачи данных из одной подсети в другую, можно было использовать обычный роутинг. Однако адресное пространство конечно, поэтому его на всех не хватает (пиндостан, кстати, гад). Для этого умные люди выделили три IP-сети (10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255), которые считаются внутренними. Для того, чтобы попасть компьютеру из внутренней сети во внешнюю, необходимо было что-то делать. Тогда же и появилась технология NAT (Network Address Translation) - технология трансляции сетевых адресов. NAT - это такая хитрая технология, которая позволяет прозрачно транслировать IP адреса и номера портов из одной группы группы в другую. Почитать про эти схемы можно в RFC 1631, 2663, 2766, 3022. Маскарадинг - это одна из схем NAT, описанная в RFC 3022, называемая так же традиционной. В терминологии *nix систем она обзывается masquarading, ибо *никосоиды опять выпендриваются.
На второе: в глобальном смысле устройство, осуществляющее роутинг или трансляцию является прокси. Однако не все, что прокси, является брэндмауэром или транслятором. :) В настоящее время понятие "прокси" - это промежуточный прозрачный агент, имеющий право отдавать контект из собственного кэша, даже конкретней - HTTP-прокси. Фильтрацией по портам занимается брэндмауэр, он же NAT-транслятор или роутер.
На десерт: ты даже не представляешь, сколько у тебя навешано таких фильтров на тот же драйвер привода CD-ROM - и все работает, а там ведь еще есть и lower фильтры. Логика же организации стека фильтров протоколов транспортного уровня ничем не отличается от того же вышеупомянутого стека. И deadlock'ов там не бывает, так как все идет по очереди.
Запьем все это антивирусами - там у них совсем другое дело. Они любят входить в так называемые deadlock'и и лечить друг-друга. Антивирус уже не только проверка на сигнатуру вируса, но и выявление подозрительной активности. Сама активность антивируса уже подозрительна для других. Так что боливар не выдержит двоих. Я вообще подозреваю, что это сделано намеренно. :)))
И как ответ: не поставишь брэндмауэра, расчитанного на частное использование, на машину, которая уже САМА является брэндмауэром и занимается трансляцией.
-=Велла=-
Акула пера
8/15/2006, 9:12:51 PM
Ага.. понятно.. то есть тут все намного серьезней, чем я подозревала...
То есть, если у меня на машине (возьмем часный случай) стоит софтовый прокси-сервер, выполняющий функции NAT ("чтобы попасть компьютеру из внутренней сети во внешнюю") и фаервол (он же брандмауэр), кот. все это фильтрует, однако сам прокси-сервер тоже в свою очередь может выполнять функции брандмауэра - он пускает только туда, куда разрешено, то поставить второй фаервол я уже не смогу.. А вот если я сижу дома и у меня один комп и он имеет соединение с глобальной сетью посредством модема, например, то я могу поставить два фаера? ТАк чтоли? Чот запуталась..
На счет антивирусов.. я тоже так подозреваю.. Все им лишь бы денег заработать... на нас...
То есть, если у меня на машине (возьмем часный случай) стоит софтовый прокси-сервер, выполняющий функции NAT ("чтобы попасть компьютеру из внутренней сети во внешнюю") и фаервол (он же брандмауэр), кот. все это фильтрует, однако сам прокси-сервер тоже в свою очередь может выполнять функции брандмауэра - он пускает только туда, куда разрешено, то поставить второй фаервол я уже не смогу.. А вот если я сижу дома и у меня один комп и он имеет соединение с глобальной сетью посредством модема, например, то я могу поставить два фаера? ТАк чтоли? Чот запуталась..
На счет антивирусов.. я тоже так подозреваю.. Все им лишь бы денег заработать... на нас...
DELETED
Акула пера
8/15/2006, 10:18:36 PM
(-=Велла=- @ 15.08.2006 - время: 17:12) Ага.. понятно.. то есть тут все намного серьезней, чем я подозревала...
То есть, если у меня на машине (возьмем часный случай) стоит софтовый прокси-сервер, выполняющий функции NAT ("чтобы попасть компьютеру из внутренней сети во внешнюю") и фаервол (он же брандмауэр), кот. все это фильтрует, однако сам прокси-сервер тоже в свою очередь может выполнять функции брандмауэра - он пускает только туда, куда разрешено, то поставить второй фаервол я уже не смогу.. А вот если я сижу дома и у меня один комп и он имеет соединение с глобальной сетью посредством модема, например, то я могу поставить два фаера? ТАк чтоли? Чот запуталась..
На счет антивирусов.. я тоже так подозреваю.. Все им лишь бы денег заработать... на нас...
Не путайся.
Сейчас прокси, это такая байда, которая живет на уровне протоколов приложений, а NAT же влачит свое жалкое существование на уровне транспортных. И если для работы с прокси приложения должны уметь работать с прокси дополнительно, то с работой через NAT приложения даже и не подозревают о наличии такового. Кто прокси, кто NAT и кто брэндмауэр понятно? В серверном случае последние два - один человек. :) Прокси "фильтрует базар" (типы контента), а брэндмауэр адреса и порты.
А если дома - ставь хоть три. Только зачем? :) Лучше поставить локальный кэширующий прокси.
То есть, если у меня на машине (возьмем часный случай) стоит софтовый прокси-сервер, выполняющий функции NAT ("чтобы попасть компьютеру из внутренней сети во внешнюю") и фаервол (он же брандмауэр), кот. все это фильтрует, однако сам прокси-сервер тоже в свою очередь может выполнять функции брандмауэра - он пускает только туда, куда разрешено, то поставить второй фаервол я уже не смогу.. А вот если я сижу дома и у меня один комп и он имеет соединение с глобальной сетью посредством модема, например, то я могу поставить два фаера? ТАк чтоли? Чот запуталась..
На счет антивирусов.. я тоже так подозреваю.. Все им лишь бы денег заработать... на нас...
Не путайся.
Сейчас прокси, это такая байда, которая живет на уровне протоколов приложений, а NAT же влачит свое жалкое существование на уровне транспортных. И если для работы с прокси приложения должны уметь работать с прокси дополнительно, то с работой через NAT приложения даже и не подозревают о наличии такового. Кто прокси, кто NAT и кто брэндмауэр понятно? В серверном случае последние два - один человек. :) Прокси "фильтрует базар" (типы контента), а брэндмауэр адреса и порты.
А если дома - ставь хоть три. Только зачем? :) Лучше поставить локальный кэширующий прокси.
A763
Специалист
8/15/2006, 10:53:47 PM
присоединяюсь к выше сказанному.., но два и более фаервола на домашнем компе все помоему перебор ..., встречал такие компы в жизни.., в 95 % случаев все это криво работало увы...., так что иое имхо лучше один но правильно настроенный..
DELETED
Акула пера
8/15/2006, 10:57:07 PM
Кстати, проблема описанная mvf23, лечится установкой by default правила deny.
mvf23
Профессионал
8/15/2006, 11:00:19 PM
Ну в общем, да - лечится. Только это не всегда удобно.
A763
Специалист
8/15/2006, 11:08:14 PM
(mvf23 @ 15.08.2006 - время: 20:00) Ну в общем, да - лечится. Только это не всегда удобно.
гм. а помоему наоборот , разрешил что нужно и вперед , так проще и безопасней.
гм. а помоему наоборот , разрешил что нужно и вперед , так проще и безопасней.
mvf23
Профессионал
8/16/2006, 1:51:07 AM
Ну в общем да.
Несколько фаерволлов - это все же, скорее, маразм. Бонусы очень сомнительны.
Кастаельно обхода фаерволлов - все зависит от изворотливости троянца и сообразимтелтьности фаерволла.
Например ты разрешаешь сходить в интернет своему браузеру? Ну вот троянец может осуществить вызов браузера, с просьбой сходить на адрес
www.какой-то-там-адрес.com/index.php?password=например-твой-пароль
Окошечно браузера разумеется показываться не будет. Дальше ясно.
Несколько фаерволлов - это все же, скорее, маразм. Бонусы очень сомнительны.
Кастаельно обхода фаерволлов - все зависит от изворотливости троянца и сообразимтелтьности фаерволла.
Например ты разрешаешь сходить в интернет своему браузеру? Ну вот троянец может осуществить вызов браузера, с просьбой сходить на адрес
www.какой-то-там-адрес.com/index.php?password=например-твой-пароль
Окошечно браузера разумеется показываться не будет. Дальше ясно.
DarkUser
Новичок
8/24/2006, 11:12:40 PM
Присоединяюсь к тем, кто за единство бытия и правильность настроек.
Аутпост (кто его юзает) в режим обучения нужно ставить только на период установки новых прог, которым нужна некоторая сетевая активность. Для всего остального - кирпич. Если чувствуете что что-то не идет с сетью, то верните на время повторения операции режим обучения и сделайте соответствующие настройки.
Про Антивири - дотошные мля до ужаса. Последний 6-й Каспер с его проактивной защитой ругается даже на фарика.
Про локальный кэширующий прокси - ставьте себе CoolProxy и будет Вам счастье. Супер прога - спасибо афтару. Принудительное кэширование всего на свете. Сверху все это можно сдобрить каким-нить Anonymity 4 Proxy или ей подобным, но это уже тому кому нужно.
Аутпост (кто его юзает) в режим обучения нужно ставить только на период установки новых прог, которым нужна некоторая сетевая активность. Для всего остального - кирпич. Если чувствуете что что-то не идет с сетью, то верните на время повторения операции режим обучения и сделайте соответствующие настройки.
Про Антивири - дотошные мля до ужаса. Последний 6-й Каспер с его проактивной защитой ругается даже на фарика.
Про локальный кэширующий прокси - ставьте себе CoolProxy и будет Вам счастье. Супер прога - спасибо афтару. Принудительное кэширование всего на свете. Сверху все это можно сдобрить каким-нить Anonymity 4 Proxy или ей подобным, но это уже тому кому нужно.
JBC
Новичок
9/6/2006, 1:57:55 PM
2 стенки на одной машине - паранойя.
Почему бы не настроить одну но правильно.
Почему бы не настроить одну но правильно.
DELETED
Акула пера
9/11/2006, 1:49:03 AM
Как нам однажды сказал преподаватель по защите информации. Два антивиря на одной машине маразм по причине того. что они вмешиваются в работу оси и могут некорректно реагировать еще на чъе-то вмешательство. Файрволлы имхо где-то близко
fatcat
Новичок
11/11/2006, 5:40:06 PM
(Brutal_Whore @ 12.10.2006 - время: 18:08) Бред однозначно!
Только один файервол нужен!Но хороший!Зачем миллион полуотстойных если можно поставить только один, но хороший!
Согласна полный бред!
Да и один и хороший (типа всяхих ZoneAlarm`ов, Outpost`ов, Sygate Pers. firewall) - как его не настраивай, если кому уж сильно надо всеравно c легкостью ОБОЙДУТ!
Только один файервол нужен!Но хороший!Зачем миллион полуотстойных если можно поставить только один, но хороший!
Согласна полный бред!
Да и один и хороший (типа всяхих ZoneAlarm`ов, Outpost`ов, Sygate Pers. firewall) - как его не настраивай, если кому уж сильно надо всеравно c легкостью ОБОЙДУТ!