Temat: jaki firewall?

podpisuje sie pod rozwiazaniem hardwerowym ;)
chociaz do czynienia mam z soft/hardware rozwiazaniami to jednak zawsze sklaniam sie do instalacji tych drugich, z powodu zalet jakie Grzegorzu wymieniles ;)

Temat: jaki firewall?

Grzegorz W.:

Jakub L.:

Bardziej skłaniałbym się za rozwiązaniem pudełkowym jak już

Względem pudełka ma te zalety, że popularne pudełka nie mają jeszcze dysków twardych, na które można coś ściągnąć.

Prawdopodobnie jeśli nawet będą miały dyski twarde (a mają) to i tak nie będzie na nie nic można ściągnąć ... halo kolego czy firewalle służą do ściągania?

"mogą też służyć jako Wireless AP, kilku portowy switch z możliwością rozdzielenia na strefy (LAN, WAN, DMZ),"
Jeżeli upieramy się przy czystym firewallu, to te funkcje tez powinny być ucięte.
Jeżeli nie, to nieszczególnie widzę różnicę.
Jak potrzebuję coś ściągnąć, a idzie jak krew z nosa, to zostawienie tego na noc jest chyba rozsądne.
PCt w nocy buczy i przeszkadza spać. Firewall może działać, bo je mniej prądu. Funkcja klienta ftp/torrenta jest przydatna.

Wnioskuję, że masz zwykłego PC'ta w szafie z zainstalowanym Linuxem/BSD, na którym masz uruchomione też inne usługi a że robi Ci za router to jeszcze masz zainstalowany soft firewallowy no i z tego rozpędu nazywasz ten serwer firewallem. Moim zdaniem to nie są

Ma funkcjonalność firewalla to jest firewallem. Windowsa nie podłączę do sieci na dłużej, pudełka nie będę kupował, bo mam już PCta, który robi co potrzebują.

zalety, wydaje się, że element który teoretycznie miałby być elementem bezpieczeństwa w takiej konfiguracji wcale nie gwarantuje bezpieczeństwa, poza tym wystarczy przejrzeć bugtraq pod kątem wykrywanych błędów w systemach linuxowych (rowniez w BSD) a błędów w rozwiązaniach zamknietych pudełkowych np. NetScreen, Checkpoint itp.

Aż tak strasznie to mi nie zależy, Linux na osobnej maszynie daje mi to, czego potrzebuję - brak dostępu do sieci wewnątrz, możliwość monitoringu ruchu, wartością dodaną są inne usługi.
Takie jest moje zdanie, nikogo nie nawracam, znam argumenty strony pudełkowej, bo wielokrotnie dyskutowaliśmy na ten temat z kolegami w pracy.

Ja też mam możliwość wejścia zdalnego VPN'em, różni nas tylko to, że ja dostaję się na serwer (tak właściwie to komputer, dla sprecyzowania to nawet laptop) za firewallem. A na firewalla mogę wejść aby otworzyć sobie dostęp regułkami.

Pod warunkiem, że maszyna z firewallem działa.

W związku z moją praktyką wdrożeniową nie mam dobrego zdania na temat laptopów/komputerów/serwerów oferowanych przez Fujitsu Siemens, jedynie PDA im przyzwoicie wyszło - oczywiście to wszystko moim skromnym zdaniem.

Co do laptopów się zgadzamy. Z serwerami nie miałem styczności, na PCty do pracy biurowej nie narzekam.

Ale i tak takie rozwiązanie to dla geeków/nerdów, zwykłemu użytkownikowi powinno wystarczyć pudełko.

Miło mi słyszeć, że jestem zwykłym użytkownikiem ;-)

Zwykły użytkownik -> pudełko, nie w druga stronę: pudełko -> ZU.

Ale wydaje mi się, że trzeba się rozwijać na nowe technologie,

Jakbym miał kasę i nie miał co z nią zrobić, to bym się może rozwinął, tak to mam starego PCta, który robi swoje.
Pudełka to też głównie SOHO (i gadżeciarstwo) - w większych organizacjach są od tego specjalne komórki, które się zajmują bezpieczeństwem i dostępem do sieci.

Temat: jaki firewall?

Jakub L.:

Grzegorz W.:

Jakub L.:

Bardziej skłaniałbym się za rozwiązaniem pudełkowym jak już

Względem pudełka ma te zalety, że popularne pudełka nie mają jeszcze dysków twardych, na które można coś ściągnąć.

Prawdopodobnie jeśli nawet będą miały dyski twarde (a mają) to i tak nie będzie na nie nic można ściągnąć ... halo kolego czy firewalle służą do ściągania?

"mogą też służyć jako Wireless AP, kilku portowy switch z możliwością rozdzielenia na strefy (LAN, WAN, DMZ),"
Jeżeli upieramy się przy czystym firewallu, to te funkcje tez powinny być ucięte.
Jeżeli nie, to nieszczególnie widzę różnicę.

Ale jak mają być ucięte ? Te pudełko bądź co bądź stricte firewall z założenia służy jako urządzenie do zabezpieczania segmentów sieci na strefy min. LAN, WAN, DMZ - jako że do tego właśnie służy posiada kilka interfejsów, które można podporządkować do odpowiednich stref w szczególnym przypadku służące jako switch, a wbudowany w appliance Wireles Access Point traktowany jest jako kolejny interfejs dostępowy i można go przyporządkować do strefy.
Nie potrafię sobie wyobrazić firewalla pozbawionego interfejsów, albo z interfejsami pozbawionymi funkcji tworzenia stref.

Jak potrzebuję coś ściągnąć, a idzie jak krew z nosa, to zostawienie tego na noc jest chyba rozsądne.
PCt w nocy buczy i przeszkadza spać. Firewall może działać, bo je mniej prądu. Funkcja klienta ftp/torrenta jest przydatna.

Widzę, że kolega nie do końca zrozumiał moją wypowiedź. Oczywiście trudno nie przyznać racji, że pozostawianie na noc włączonego komputera celem ściągnięcia plików czy to za pomocą p2p, czy też ftp, torrentów itp. jest normalną praktyką w zastosowaniach domowych. Z tego co do tej pory wywnioskowałem że masz "firewalla" na PC'cie na którym ściągasz pliki w nocy bo twój właściwy PC w nocy buczy. Co fakt to fakt, logicznie rzecz ujmując dwa włączone PC'ty generują więcej hałasu niż jeden. W moim przypadku orzystam zarówno z zalet firewalla jak też komputera ZA firewallem na którym to korzystam z usług jakie wymieniłem powyżej ze świadomością poczucia bezpieczeństwa.

Wnioskuję, że masz zwykłego PC'ta w szafie z zainstalowanym Linuxem/BSD, na którym masz uruchomione też inne usługi a że robi Ci za router to jeszcze masz zainstalowany soft firewallowy no i z tego rozpędu nazywasz ten serwer firewallem. Moim zdaniem to nie są

Ma funkcjonalność firewalla to jest firewallem. Windowsa nie podłączę do sieci na dłużej, pudełka nie będę kupował, bo mam już PCta, który robi co potrzebują.

Pozorne odczucie. Według mnie masz zwykły serwer linuxowy, który daje ci poczucie bezpieczeństwa po zainstalowaniu iptables czy czegokolwiek innego używasz. Idąc za definicją firewalla z wiki http://pl.wikipedia.org/wiki/Zapora_sieciowa
(bynajmniej nie ja pisałem tę definicję ;-)

"... Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych, Internetu. Często jest to komputer wyposażony w system operacyjny (np.Linux, BSD) z odpowiednim oprogramowaniem. Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne..."

W konfiguracją jaką tutaj opisałeś widzę małą różnicę pomiędzy twoim "firewallem" a Windowsem XP ze swoim natywnym firewallem. Firewall powinien chronić komputery poza nim i dobre praktyki mówią że na tym rola firewalla powinna sie kończyć - na pewno już nie powinien służyć do ściągania plików. Wystarczy jeden 0day na klienta torrenta lub cokolwiek czego używasz i masz dostęp do firewalla gdzie modyfikując reguły możesz nawet niepostrzeżenie wysnifować cały ruch rutowany przez taki firewall geeka/nerda.

zalety, wydaje się, że element który teoretycznie miałby być elementem bezpieczeństwa w takiej konfiguracji wcale nie gwarantuje bezpieczeństwa, poza tym wystarczy przejrzeć bugtraq pod kątem wykrywanych błędów w systemach linuxowych (rowniez w BSD) a błędów w rozwiązaniach zamknietych pudełkowych np. NetScreen, Checkpoint itp.

Aż tak strasznie to mi nie zależy, Linux na osobnej maszynie daje mi to, czego potrzebuję - brak dostępu do sieci wewnątrz, możliwość monitoringu ruchu, wartością dodaną są inne usługi.
Takie jest moje zdanie, nikogo nie nawracam, znam argumenty strony pudełkowej, bo wielokrotnie dyskutowaliśmy na ten temat z kolegami w pracy.

Ja też mam możliwość wejścia zdalnego VPN'em, różni nas tylko to, że ja dostaję się na serwer (tak właściwie to komputer, dla sprecyzowania to nawet laptop) za firewallem. A na firewalla mogę wejść aby otworzyć sobie dostęp regułkami.

Pod warunkiem, że maszyna z firewallem działa.

Działa 24/7 bo jest bezgłośny z minimalnym poborem mocy ;-) + Wake On Lan

W związku z moją praktyką wdrożeniową nie mam dobrego zdania na temat laptopów/komputerów/serwerów oferowanych przez Fujitsu Siemens, jedynie PDA im przyzwoicie wyszło - oczywiście to wszystko moim skromnym zdaniem.

Co do laptopów się zgadzamy. Z serwerami nie miałem styczności, na PCty do pracy biurowej nie narzekam.

Ale i tak takie rozwiązanie to dla geeków/nerdów, zwykłemu użytkownikowi powinno wystarczyć pudełko.

Miło mi słyszeć, że jestem zwykłym użytkownikiem ;-)

Zwykły użytkownik -> pudełko, nie w druga stronę: pudełko -> ZU.

Ja bym raczej powiedział zwykły użytkownik -> artykuł w gazecie pt. "Zabezpiecz swoją sieć" z dołączonym CD z linuxem.

Ale wydaje mi się, że trzeba się rozwijać na nowe technologie,

Jakbym miał kasę i nie miał co z nią zrobić, to bym się może rozwinął, tak to mam starego PCta, który robi swoje.
Pudełka to też głównie SOHO (i gadżeciarstwo) - w większych organizacjach są od tego specjalne komórki, które się zajmują bezpieczeństwem i dostępem do sieci.

Przez przypadek od 5 lat współpracuje z większymi organizacjami, ba nawet miałem okazję pracować w "specjalnej komórce" i zajmowałem się dostępem, firewalle też tam były zarówno appliance jak i iptables.

Nie obraź się Jakub, ale skoro bezpieczeństwo traktujesz jako gadżeciarstwo to brak mi już więcej argumentów.

pozdrawiam
g.Grzegorz W. edytował(a) ten post dnia 23.06.07 o godzinie 08:03

Temat: jaki firewall?

Łukasz M.:
hmm jesli firewall ma byc dla malej sieci to polecam np. D-Link DFL-200 lub DFL-210 przystepna cena do mozliwosci m.in bandwidth manager (DFL-210), serwer VPN, filtrowanie tresci uslug http, IDS/IPS, blokowanie P2P (DFL-210)

No nie wiem, nie mam zaufania do DFLi. Trzy razy na serwisie DFL-700 było i ostatnio też.
Plusy DFLi: plug&play oraz Clavister w środku ;)
Minusy DFLi: cena, konfigurowalność

Lepiej zainwestować w dowolny PC i dedykowanego Linuksa. Ja akurat byłem zmuszony na rozwiązanie sprzętowe.

Zresztą gwoli ścisłości firewall sprzętowy to też komputer z dedykowanym oprogramowaniem.Michał Janiszek edytował(a) ten post dnia 30.07.07 o godzinie 15:22

Temat: jaki firewall?

http://m0n0.ch/wall/
http://pfsense.org/

Koszt niewielki a możliwości niczego sobie.

Temat: jaki firewall?

Najleprzy firewall?

Off-line ! ;]

Temat: jaki firewall?

Michał Janiszek:

Łukasz Mańka:
hmm jesli firewall ma byc dla malej sieci to polecam np. D-Link DFL-200 lub DFL-210 przystepna cena do mozliwosci m.in bandwidth manager (DFL-210), serwer VPN, filtrowanie tresci uslug http, IDS/IPS, blokowanie P2P (DFL-210)

No nie wiem, nie mam zaufania do DFLi. Trzy razy na serwisie DFL-700 było i ostatnio też.
Plusy DFLi: plug&play oraz Clavister w środku ;)
Minusy DFLi: cena, konfigurowalność

Lepiej zainwestować w dowolny PC i dedykowanego Linuksa. Ja akurat byłem zmuszony na rozwiązanie sprzętowe.

Zresztą gwoli ścisłości firewall sprzętowy to też komputer z dedykowanym oprogramowaniem.Michał Janiszek edytował(a) ten post dnia 30.07.07 o godzinie 15:22

W większości usterek to użytkownik był winny uszkodzeniu tego urządzenia ;) taki mały EOT :)

Wszystko zależy jaką sieć ma obsługiwać dane urządzenie. Są jeszcze takie firmy jak Juniper, Checkpoint, Fortigate. Przed zakupem warto przeanalizować kilka różnych pozycji.

Temat: jaki firewall?

Windows Worm Door Cleaner http://www.securityzone.one.pl/blog/wwdc
Firefox 3 http://www.mozilla-europe.org/pl/firefox/security/
Kaspersky Internet Security
ESET Smart Security

Temat: jaki firewall?

dolacze sie :)

wszystkim przedmowca mozna przyznac racje
ale
zastanow sie tak naprawde jakie jest potencjalne ryzyko ze ktos bedzie chcial sie do Ciebie "wlamywac"
jezeli relatywnie niskie nie ma co inwestowac w sprzet lub "bogate" zasoborzerne zaporki lepiej cos latwego i lekkiego, ktore nie obciazy Ci desktopa zbytnio,
Druga sprawa uzalezniona jest od tego co to za siec i co "zlego" moga zrobic/sciagnac inni uzytkownicy - na nich tez trzeba jak cos zrobic poprawki zagrozenia,

jezeli uznasz ze ryzyko jest duze ale "wartosc" danych niezbyt
moim zdaniem w zupelnosci wystarcza jakis przyzwoity (powiedzmy sredniej klasy)routerek ale zato dobrze skonfigurowany

jak juz porobisz sobie z zapora zrob sobie prosty skan:
https://www.grc.com/x/ne.dll?bh0bkyd2
jak wyjdzie Ci cis nie tak to popraweczki :)
pozdrawiam

Temat: jaki firewall?

.:
Windows Worm Door Cleaner http://www.securityzone.one.pl/blog/wwdc
Firefox 3 http://www.mozilla-europe.org/pl/firefox/security/
Kaspersky Internet Security
ESET Smart Security

ESET odpada, w sobotę jeden delikwent włamał mi się, pozmieniał hasła i pobuszował po komputerze. Częściowo moja wina, nie miałem firewalla żadnego i zawierzyłem samemu ESET-owi, mimo pełnej wersji program nic nie wykrył i nic nie zabezpieczył. Cały "Smart Security" poleciał do kosza i już z niego nie wyjdzie...

Temat: jaki firewall?

Skonstruuj swój :
Wybierasz właściwości sieci,następnie protokół TCP/IP, dalej "Właściwości", >>> "Zaawansowane" >>> zakładka "Opcje" >>> "Filtrowanie TCP/IP" >>> "Ptaszkujesz" - "Filtrowanie TCP/IP" >>> i strugając dopuszczasz lub nie ...