Hlavní stránka Multimédia DD blog Firewall - obrňte své počítače...
Firewall - obrňte své počítače...
autor: Kuchař Martin , publikováno 2.2.2005
Firewall - obrňte své počítače...
V době, kdy počítačové pirátství a napadání PC je stále častější záležitostí, by bylo dobré objasnit si jednu se základních možností zabezpečení vašeho počítače. Je pravděpodobné, že se většina běžných uživatelů s pojmem firewall dříve setkala, čás z nich už jej dokonce používá, ale stále je mezi námi mnoho těch, kteří na bezpečnost příliš nedbají. V tomto článku si tedy problematiku firewallu trochu přiblížíme a ukážeme si základní postupy, jak si svůj počítač zabezpečit před šíťovými útoky. {mospagebreak title=Co je to Firewall}

Pokud mluvíme o "útoku" na počítače, myslíme tím především napadení počítače viry. Málokdo si však uvědomuje, že je zde i další, neméně nebezpečný typ útoků - přímé napadení (a posléze i ovládnutí) počítače připojeného na síť (přesněji řečeno připojeného na Internet, i když v lokálních sítích by takový útok bylo možné provést také). Takový druh útoku bychom mohli přirovnat k pokusu o proniknutí do vašeho "počítačového bytu", kdy zloděj zkouší vstoupit přes málo zajištěné typizované dveře. Pokud se mu to podaří může nezabezpečenou cestou přenášet tam i zpět co se mu líbí...

Jelikož většina uživatelů používá stejný druh "bytu", tedy operační systém Microsoft Windows, mají případní zájemci o vaše data snazší úkol. Pokud dovnitř proniknou mohou nejenom nahlížet do vašich programů, mohou dokonce použít Váš počítač k útoku na jiné (takovému ovládanému počítači říkáme příznačně "zombie"). Pokud zůstaneme u přirovnání k bytu - pak instalaci firewalu můžeme přirovnat k bezpečnostnímu zabezpečení dveří a oken s vrátným který kontroluje co jde ven a co dovnitř...

Na počátku bychom si měli nejdříve objasnit, co to ten firewall vlastně je a k čemu nám slouží. Firewall je soubor pravidel, jež chrání vnitřní síť LAN před útokem "zvenčí" - v praxi především z Internetu. Může být pouze na jednom PC a nebo na síťovém serveru, přes který jsou všechna ostatní PC napojena. Chrání tak počítače před útokem hackerů, před viry a wormy (červy). Firewall tedy obsahuje pravidla, jež řídí komunikaci z vnitřní sítě směrem ven, komunikaci soustřeďuje do jednoho uzlu, odfiltrovává nebezpečné služby, blokuje nepřátelské monitorování sítě apod.

Firewall - obrňte své počítače...

Budování firewalu však není lehkou otázkou. Než se do tohoto vůbec pustíme, objasníme si, jak vlastně probíhá taková komunikace mezi několika PC či mezi PC a Internetem.

Veškerá komunikace síťových služeb probíhá skrze tzv. porty. Port se dá představit jako přepínač v telefonní ústředně. Jelikož ale při připojení PC do sítě je potřeba využívat více síťových služeb než jen jednu, máme k dispozici celkem 65535 portů, což znamená, že současně můžeme využívat služby http, ftp, ssh, smtp, pop... a pořád nám zbývá k dispozici mnoho a mnoho volných portů.

A právě přes tyto porty je možné vést útok. Osoba (nebo počítačový virus či jiný počítač), jež má zájem se do Vašeho PC "nabourat" musí najít odpovídající port, který bude při útoku a případné pozdější komunikaci využívat. Pomocí scanování portů se tedy zjišťuje jaké služby na nich běží a pokud najde nějakou službu s bezpečnostní dírou, pak má zcela vyhráno. Avšak možností je celá řada, toto byla jen ukázka jednoho z možných postupů.

Čísla některých portů a služby které je standardně využívají:

  • FTP (přenos souborů): 20, 21
  • HTTP (www stránky): 80
  • POP (elektronická pošta): 110
  • IMAP3 (elektronická pošta): 220
  • hra Doom: 666
  • ICQ: 4000

Firewall má tedy za úkol kontrolovat všechny porty a komunikaci na nich probíhající. Tu vyhodnocuje podle pravidel, jež má nastaveny a rozhoduje, zda je komunikace vyhovující či nevyhovující. Pokud narazí na nějaké pokusy o proniknutí, pokouší se je odrazit a nepustit je dovnitř počítače.

Při budování firewalu je ale potřeba vybrat správný typ se správnými funkcemi, možnostmi a vhodně jej umístit. Celá situace se ale podstatně liší podle toho o jakou síť se jedná. Je velice odlišné je budovat firewall v malé lokální síti o dvou PC, jiné to je ve firmě, kde má PC několik stovek uživatelů (tam ale na to mají zase experty - tedy většinou).

Důvody pro použití

Už v okamžiku připojení PC do sítě je počítač okamžitě vystaven pokusům o scanování portů a o průnik do PC. A právě firewall je ta prvotní obrana jež nás chrání před útoky z Internetu do naší lokální sítě. Zabraňuje pokusům o spojení po nepovolených protokolech, na zakázaných portech, nepovolených IP adresách apod. 

Možná si řeknete, že vaše PC není ničím zajímavým pro Internetové piráty, avšak vždy se může najít někdo, kdo si chce vyzkoušet své schopnosti a nejjednodušším cílem je právě nezabezpečené PC. Není nic příjemného přijít kvůli nedbalosti o svá soukromá data, důležité soubory či jiné pro Vás důležité věci, případně sloužit jako "zombie" k útokům na jiné. A věřte, že k takovýmto útokům dochází dnes a denně - zajímavé je, že většina postižených o průniku na svůj počítač dokonce ani neví.

Ve velkých firmách by mohl i nenápadný průnik napáchat obrovské množství škod. Určitě by se napadené firmě nelíbilo, kdyby hacker zjistil důvěrné informace o nově chystaném revolučním produktu a poskytl je konkurenční firmě, či je jinak zveřejnil. To by mohlo mít pro tu společnost dalekosáhlé následky. Avšak možností ohrožení je nespočet.

Právě proto by použití firewallu mělo být bezesporné. Za minimální náklady (někdy i nulové) můžete získat alespoň základní ochranu a nějaký ten pocit bezpečnosti.

Firmy - bez bezpečnostní politiky ani ránu

Pokud se někdo rozhodne o vybudování firewallu, musí nejdříve zhodnotit celkovou situaci, posoudit nároky a ujasnit si rizika a bezpečnostní požadavky. Dále je potřeba přesně stanovit čeho a za jakou cenu má být dosaženo, co je třeba chránit a co je všechno v sázce.

Je potřeba si ujasnit míru zabezpečení a především se dohodnout na použitém řešení. Ve většině firem je k dispozici dokument, jež řeší bezpečnostní politiku a tudíž při připojení do Internetu je potřeba, aby parametry připojení a použité ochrany tomuto dokumentu bezesporu vyhovovaly. 

Funkce Firewallu

V dnešní době již firewall neplní jen základní funkci ochrany před únikem dat či napadením lokální sítě. Dnešní moderní firewall přináší komplexní řešení v oblastech napojení do Internetu a lokální sítě.

Tyto komplexní služby dokáží plnit funkce antivirové ochrany, optimalizace připojení, problémy s IP, přístupových práv uživatelů, zabezpečené komunikace, sdílení přístupu k internetu apod.

Antivirová ochrana: Provozovatelé firewallu většinou kladou i požadavky na ochranu před příchozími, ale i ochozími počítačovými viry a to především skrze elektronickou poštu.

Firewall - obrňte své počítače...

Optimalizace připojení: Tímto se většinou rozumí využívání cache serveru. Ty mají za účel uchovávat často otevírané stránky, obrázky a jiné zdroje internetu do paměti a při dalším požadavku na jejich otevření se již nenačítají z veřejné sítě, ale pouze ze serveru umístěného přímo na bráně firewallu.  Tím se dosáhne toho, že uživatelé si vystačí i s pomalejší linkou do internetu, neboť při opakovaném volání stejné služby již není třeba ji otevírat právě z internetu, ale pouze z lokálního serveru.

Problémy s IP: V dnešní době dochází k velkému problému s přidělováním IP adres. Každý síťový uzel připojený k internetu musí totiž mít svou IP adresu, která navíc musí být jedinečná. Tyto adresy jsou ale i závislé na způsobu připojení a na daném poskytovateli. Je tedy prakticky nemožné přidělit například jedné firmě 100 jedinečných IP adres. Toto nám ale může příjemně ošetřit firewall. Za firewallem můžou být IP adresy jakékoliv, nezávislé na providerovi a když má dané požadavky vyslat na providera, tak se pomocí IP maškarády přeloží na jednu adresu, která je providerem přidělena.

Firewall - obrňte své počítače...
IP adresy ve vnitřní síti jsou libovolné a jedinečnou (veřejnou) IP má jen PC s firewallem.

Přístupová práva: Provozovatel podnikové sítě může pomocí firewallu omezovat některé síťové služby jako například - prohlížení erotických stránek, zákaz používání ICQ či třeba stahování pomocí DC++ atd. Dále lze použití těchto služeb monitorovat a ukládat například do protokolu.

Firewall - obrňte své počítače...
Ukázka jak můžou být omezeny možnosti využití internetu v podnikových sítích.

Zabezpečená komunikace: Pomocí dvojice firewallu lze provádět komunikaci skrze internet na úrovni zabezpečeného tunelu. Takovýto tunel je prakticky neviditelný kromě těch dvou firewallů mezi kterými probíhá. Skrze tyto tunely lze provozovat i celé sítě - VPN (Virtual Private Network).

Sdílení přístupu k internetu: Firewall může dokonce plnit funkci směrovače. Například v malé firmě je jen jedna přípojka do internetu a je potřeba, aby byla konektivita dostupná všem připojeným PC.

{mospagebreak title=Typy firewallů}

Již jsme si řekli, že firewall vlastně kontroluje příchozí a odchozí komunikaci. Ta probíhá na základě přenosu síťových paketů, jež si lze představit jako malé elektronické balíčky. Každý takový balíček má na sobě informaci o tom, odkud přišel, kam jde a na jakou adresu (port) má přijít. Dále pak už obsahuje samotný obsah, jež je tvořen právě tou informací, která má být přenesena. Té základní informaci se říká IP datagram a obsahuje příchozí i odchozí IP adresy, porty a další informace.

Firewall pracuje ve dvou základních metodách, ale v každé z nich nějakým způsobem vyhodnocuje právě ty přenášené pakety. Buď vyhodnocuje IP datagram a to zda vyhovuje nastaveným podmínkám - pak se jedná o paketový filtr a říká se, že se jde o síťovou vrstvu a nebo se zabývá obsahem jednotlivých paketů - jde o tzv. aplikační bránu a tudíž se hovoří o aplikační vrstvě.

Avšak není výjimkou, že firewall pro svou spolehlivou funkci využívá obě dvě zmíněné možnosti zároveň. Rozeberu zde obě možnosti postupně.

Paketové filtry

Nejčastěji se paketové filtry vyskytují v systémech UNIX, jež je mají přímo zabudované v jádrech. V systémech Windows se vyskytují pouze ve verzích 2000 a XP, avšak nedosahují takových kvalit jako právě v systémech UNIX.

Firewall - obrňte své počítače...
Názorné schéma kontroly paketů.

Pracují tak, že vyhodnocují jednotlivé pakety podle hlavičky IP datagramu, jež obsahuje IP adresu odesílatele i příjemce, zdrojový i cílový port a další informace. Paketový filtr má daná pravidla, podle kterých pak ze získaných informací z IP datagramu rozhoduje, zda paket projde a nebo bude zahozen. Pracují však pouze na úrovni uvedených vlastností paketů a nedokáží vyhodnotit jejich obsah. To znamená, že nedokáží například rozpoznat autorizovaného uživatele. Samotné paketové filtry jsou velice rychlé a nenáročné na systémové zdroje. Hlavní výhodou je, že nepotřebuje žádnou podpůrnou aplikaci a celý proces se odehrává přímo v jádře. V dnešní době se paketové filtry vyskytují už ve všech nových operačních systémech jako jsou UNIX, BSD, Windows XP, Mac OS a i Linux. Pokud někdo řekne, že používá firewall, tak v 80% se jedná právě o paketový filtr.

Aplikační brány

Někdy se můžete setkat s označením jako aplikační gateway, Proxy, gateway, aplikační Proxy. Je to vlastně software běžící na firewallu. Existují dva nepatrně odlišné způsoby fungování.

První z nich je podobný paketovému filtru jen s tím rozdílem, že rozhodování se odehrává s využitím informací jednotlivých aplikačních vrstev (kontroluje obsah paketu). Chová se vlastně navenek jako směrovač, neboť pracuje pouze v síťové vrstvě, avšak interně zasahuje až na aplikační vrstvu. Což znamená, že nevyhodnocuje jen odkud kam paket jde, ale sleduje i jeho obsah.

Firewall - obrňte své počítače...

Častěji se však používá řešení druhé. Celý proces komunikace uživatele s internetem skrze proxy gateway probíhá poněkud složitěji. Pokud uživatel zadá do svého internetového prohlížeče (browseru) nějakou adresu, tak ta by měla dojít k příslušnému serveru, tam se zpracovat a zpět odeslat internetovou stránku. Avšak při použití proxy (je to vlastně server a klient v jednom společném provedení, který se stará o jednu příslušnou službu jako například FTP, WWW, e-mail...) nemůže uživatel vznést svůj požadavek přímo na server, ale musí jej odeslat skrze prostředníka jimž je právě proxy. Brána požadavek příjme, sama vygeneruje požadavek svým jménem a odešle jej příslušnému serveru. Když pak příjme zpět výsledek, tak jej pošle zájemci.

Hlavní výhodou firewallu používajícího proxy je ta, že již nemůže zůstat pro koncového uživatele transparentní. To znamená, že při kliknutí na odkaz se informace neodešle přímo na cílový server, ale na proxy bránu, která teprve zajistí vše, co je třeba. Jelikož tedy data procházejí skrze proxy gateway, je možné je zaznamenávat, monitorovat či různě blokovat.

Jednou z mnoha dalších funkcí, které může proxy brána plnit, je funkce cache. To znamená, že si uchovává již jednou navštívené WWW stránky, aby při dalším požadavku na jejich zobrazení je nebylo nutné stahovat z internetu a tím zatěžovat linku, ale stačilo je pouze poslat ze své vnitřní cache paměti.

Omezení či povolení

Ať už zvolíte firewall kterýkoli, vždy je hlavně potřeba nastavit firewall pro jeden z těchto dvou způsobů povolování či zakazování paketů. Buď můžete nastavit implicitní zákaz - jedná se o to, že zakážete všechny služby sítě a povolíte jen ty, které pro provoz potřebujete. Druhá možnost je přesně opačná - implicitní povolení. Při této volbě povolujete všechny služby a zakazujete jen ty, které považujete za rizikové. Ve výsledku má každá z těchto dvou možností své klady a zápory a jde především o to, pro jaký typ sítě se která hodí více. Avšak u obou je potřeba při zavádění důkladně dbát na to, aby nebyla žádná z možných služeb opomenuta, neboť právě ta jedna by mohla útočníkovi poskytnou volnou cestu.

Architektura firewall

V praxi se celková architektura firewallu dělí na dva základní prvky jimiž jsou demilitarizovaná zóna a dvounohé firewally. Jejich popis, výhody a nevýhody zde rozepíšu zvlášť.

Demilitarizovaná zóna

Při použití tohoto zapojení je veškerá komunikace přenášena skrze směrovače a samotný firewall. Není možné, aby PC odeslalo svůj požadavek přímo na server do Internetu (je zakázán IP-forwarding). Demilitarizovaná zóna je tedy oblast od jednoho směrovače po druhý. 

Přenos packetů tedy probíhá následovně. Z PC je odeslán požadavek na Internetový server. Požadavek jde přes směrovače do proxy brány, kde se vyhodnotí a jménem brány odešle příslušnému serveru. Ten jej po obdržení zpracuje a zpět odešle požadovanou informaci. Ta dojde zpět na proxy bránu, zkontroluje se a buď se zahodí, nebo se pošle na PC, odkud požadavek vyšel.

Firewall - obrňte své počítače...

Při tomto zapojení je stupeň bezpečnosti na nejvyšší úrovni, neboť potencionální útočník by musel projít přes dva síťové směrovače. Nevýhoda tohoto zapojení je ta, že je zapotřebí použít dva směrovače, jež musí umožňovat posílání packetů pouze v rámci demilitarizované zóny a packety, jež by měly tuto hranici přesahovat musí zahodit.  Další nevýhodou je větší cena tohoto zapojení právě z důvodu použití dvou směrovačů.

Další z možností je zapojení pomocí jednoho směrovače, který ovšem musí mít minimálně tři síťové rozhraní. Samozřejmě tyto postupy nejsou jen ty jediné možné. Existuje celá řada různých funkčních zapojení, které se volí podle typu a požadavků.

Jedním z velice často používaných zapojení je pomocí samostatného firewallu jež plní jak funkci mostu a směrovače, tak i již zmíněnou funkci firewallu. Toto zapojení se používá hlavně v domácnostech a nebo v menších firmách, kde počet PC není příliš vysoký. Výhodou však je, že není třeba dokupovat směrovače.

Firewall - obrňte své počítače...

Dvounohé firewally

Tento způsob zapojení je prakticky ukázán na předchozím obrázku. Jedná se vlastně o směrovač, jež má navíc za úkol pracovat jako firewall se všemi svými možnostmi. Je potřeba, aby dvounohý firewall měl alespoň dvě síťová rozhraní, neboť jedno slouží k připojení veřejné sítě (v tomto případě internetu) a k druhému se napojí místní síť LAN. Opět umožňuje pouze komunikaci skrze proxy a jakýkoliv ip-forwarding je zakázán. Může plnit funkci aplikační brány a zároveň paketového filtru.

{mospagebreak title=Firewall a Windows}

Mnoho lidí se připojuje k internetu z domova pomocí ADSL, kabelového připojení, WiFi a nebo i dial-up. Ptáte se, zda je potřeba nějaký firewall vůbec používat? Pamatujte na to, že ochrana vašich dat není nikdy dostatečná a vždy se dají provést nějaké další kroky k jejich obraně. Uživatelé Linuxu či unixových systémů mají v tomto výhodu, neboť jejich systém má velice kvalitní firewall již zabudován přímo v jádře. Uživatelé Windows však musí sáhnout po nějakém produktu, neboť tyto systémy firewall integrovaný nemají (kromě Win XP, Win2000 a novější).

Jak již jsem zmínil, tak systémy Windows XP a 2000 v sobě integruje základní firewall. Jedná se o paketový filtr, který se ovšem svými možnostmi a schopnostmi zdaleka nerovná Unixovým systémům. Avšak uživatelům dokáže poskytnout základní ochranu při minimálních potřebách na provádění jakéhokoliv nastavení.

Pokud chcete využít vlastností tohoto firewallu, tak jej zapnete ve vlastnostech jednotlivých síťových připojení.

Firewall - obrňte své počítače...
Zapínání či vypínání integrované firewall ve Win XP.

V možnostech nastavení můžete povolovat a zakazovat jednotlivé protokoly. Obrovskou nevýhodou však je, že to můžete provádět jen globálně, čili pro všechny služby současně (buď je protokol povolen nebo je zakázán).

Firewall - obrňte své počítače...
Protokoly na nichž můžete nastavovat komunikaci.

Užitečnou funkcí je možnost nastavení různých vlastností pro všechna použitá připojení. Například pro připojení pomocí dial-up je možné vypnout všechny protokoly, avšak pro připojení k místní síti je naopak povolit. Každé z těchto typů připojení má jakoby svůj vlastní firewall, což ještě více zjednodušuje jejich použití. Jejich instalaci tedy zvládne naprosto každý uživatel (což například u komerčních produktů je někdy poněkud obtížnější a vyžaduje jistou míru znalostí v této problematice).

Tento typ firewallu je tedy výhodný pro uživatele, kteří z jakýchkoliv důvodů nechtějí instalovat žádné další programy a nebo se necítí na to, aby si jiný produkt nastavovali sami. Avšak to je na druhou stranu zaplaceno poměrně nízkým stupněm ochrany.

Jiná však je situace u Windows XP se SP2 . Už od vydání byly názory na nově přepracovaný firewall poněkud rozporuplné. Avšak je potřeba zmínit, že oproti původnímu firewallu je to rozhodně velký skok kupředu.

Největším nedostatkem je asi to, že firewall nedokáže blokovat ochozí provoz, pouze jej monitoruje a ukládá do protokolu. Microsoft však dodává, že tento firewall není rozhodně určen jako náhrada za jiné samostatné produkty, ale má spíše plnit základní funkci ochrany domácích PC.

{mospagebreak title=Firewall a Linux}

V dnešní době je systém Linux již natolik rozšířen v serverech a nebo již i na běžných pracovních stanicích, že by bylo vhodné se zmínit i o něm. V každém novém jádře je o něco propracovanější a nabízí více možností nastavení.

Firewall - obrňte své počítače...
Tux - vlastně logo Linuxu.

Jak packet prochází skrz linuxové jádro (kernel), dostává se na různá záchytná místa na kterých jsou různě definovaná filtrovací pravidla. Každé z pravidel je tvořeno popisem atributů akcí, které se mají vykonat, jestliže jim packet odpovídá. Pokud se packet postupně dostane přes všechny tyto pravidla, tak se vykoná implicitní akce. Avšak mimo základní rozhodnutí pustit nebo zahodit existují i další možnosti co s packetem udělat.

Firewall - obrňte své počítače...
Schéma filters tabulky - možné rozhodnutí co s packetem udělat...

Starší jádra Linuxu 1.0 (dnes se již nepoužívají) měly implementovány BSD ipfw a tak to bylo až do jader 2.0 v nichž však úroveň ipfw byla podstatně vyšší a umožňovala o něco více možností nastavení. V té době bylo základem jádra ipwadm, jež bylo později vyměněno za ipchain (přesněji od verze 2.2) jež byl již poměrně schopným a silným prostředkem pro budování ochrany PC. Oproti ipwadm přinášel nespočet nových pravidel jež dokázaly podstatně zvýšit celý výkon firewallu. Časem však vývojáři zjistili, že by bylo vhodné celé řetězce zjednodušit, zajistit jejich lepší funkci a zvýšit jejich rychlost. Vznikl tedy netfilter, jež je velice schopný a silný. Integruje v sobě NAT (Network Address Resolution) a MAQUARADE (maškráda). Netfilter byl plně integrován pomocí nástroje pro správu pod názvem iptables, jež byl přímo implementován od jádra 2.4. Je tedy doporučeno přejít na toto novější jádro a přitom se uživatelé nemusí bát, že by jejich nastavení nebylo funkční, neboť jádra jsou zpětně plně kompatibilní.

Firewall - obrňte své počítače...
Schéma prostupu packetu jádrem a postupného vyhodnocování.

Pokud porozumíte linuxovému systému a naučíte se s ním pracovat, pak můžete s jeho pomocí vytvářet firewall s neskutečnými možnostmi. Nejpodstatnější je provést nastavení důkladně a hlavně správně. K tomu můžete použít buď příkazového řádku a nebo některý z mnoha grafických programů, jež se Vám snaží práci usnadnit. Je jen na Vás, který z nástrojů si vyberete, ale vždy záleží na výsledku, ne na postupu a použitých aplikacích, kterými jej bylo dosaženo.

 

#!/bin/sh

#politika retezce forward je bez varovani zahazuje - defakto zakaz forwardovani
ipfwadm -F -p deny
#nastav default policy pro retezce input a output tak aby poustely pakety dal
ipfwadm -I -p accept
ipfwadm -O -p accept

#vyprazdnime vsechny retezce (-f = flush)(-I = input, -O = output, -A = accounting)
ipfwadm -F -f
ipfwadm -I -f
ipfwadm -O -f
ipfwadm -A -f

#vytvorime novy retezec
ipchains -N icmp_all
ipchains -F icmp_all

#do retezce putuje cele icmp z input chainu
ipchains -A input -p ICMP -j icmp_all
#poustime icmp jine nez type 5
ipchains -A icmp_all -p icmp --icmp-type ! 5 -j ACCEPT
#zakazeme(-j DENY) fragmentovane ICMP (-f) - ping of death
ipchains -A icmp_all -f -l -j DENY

#v retezci forward (-F) povolime (-a accept) pakety protokolu TCP/IP (-P TCP)
#jdouci ze zdrojove adresy 1.2.3.* a ze zdrojoveho portu v rozmezi
#1024 az 65535 (-S 1.2.3.0/24 1024:65535) na cilovou adresu 192.1.12.10 a
#a cilovy port 25
ipfwadm -F -a accept -b -P tcp -S 1.2.3.0/24 1024:65535 -D 192.1.2.10 25

#pocitame pakety/bajty (-A ) prenesene pres rozhrani eth1 (-W eth1)
#jdouci prez adresu 192.168.37.1 (-S ... a -D ... ) a port www
ipfwadm -A in -a -W eth1 -P tcp -D 192.168.37.1 www
ipfwadm -A out -a -W eth1 -P tcp -S 192.168.37.1 www

#presmerovani prichoziho www na lokalni www proxy port (-r 8080)
ipfwadm -I -a accept -r 8080 -P tcp -S 0.0.0.0/0 -D any/0 www
 

Malá ukázka jak vypadalo vytváření firewallu v ipwadm. Dodávám, že tato ukázka je prakticky nefunkční.
Nyní už je asi jasné, že práce v tomto systému není nic pro začátečníky.

 

Avšak je třeba připomenout, že zkušený uživatel by měl vše zvládat nastavovat pomocí příkazového řádku. Když totiž problematice dostatečně rozumí a je schopen firewall vytvořit, pak by pro něj neměl být žádný problém udělat to vše právě pomocí příkazového řádku.

Z hlediska možností můžete využívat nespočet funkcí a nastavení, jež jsou Vám k dispozici. Můžete nastavovat IP maškarádu, přesně kontrolovat a zaznamenávat veškerá průchozí data, přesně určovat co se má s danými packety provádět, zda se mají přeposlat, přijmout, odmítnout a nebo zahodit. Dále můžete například velice detailně nastavovat jednotlivé IP adresy, přiřazovat jim cílové a zdrojové porty a nastavovat protokoly. Velice užitečnou funkcí je také to, že je možné zaznamenávat veškeré připojení a vést o nich podrobné protokoly. Tím máte k dispozici velice přehledný a detailní monitoring sítě.

 

#!/bin/sh

#

# ip_chains_script

# V. 1.0_pogo December 29, 2000

# FLUSH AND ZERO

ipchains -v -F input

ipchains -v -F output

ipchains -v -Z input

ipchains -v -Z output

# SET POLICY

ipchains -v -P input DENY

ipchains -v -P output ACCEPT

# ALLOW INCOMING FTP REQUEST FROM INTERNAL NETWORK

ipchains -v -A input -d 172.22.1.2 21 -s 172.22.1.0:244 -p tcp -j ALLOW

# DENY OUTGOING TELNET REQUESTS

ipchains -v -A output -s 172.22.1.2 23 -s 0/0 -p tcp -j DENY

echo "end of firewall script"

#end of file

ipchain již je pro práci poněkud pohodlnější - malá ukázka

 

Detailní přehled veškerých funkcí firewallu na systémech Linux je ale mimo rozsah tohoto článku. Vše se také liší podle použité distribuce a dané verze samotného jádra.

{mospagebreak title=Kerio Personal Firewall}

Tento program firmy Kerio je podle mnoha nezávislých testů jedním z nejlepších firewallů. Velikou výhodou také je, že pro domácí a nekomerční použití jej lze zcela zdarma stáhnout na stránkách výrobce.

 http://download.kerio.com/eu/dwn/kpf4-en-win.exe  - zdarma ke stáhnutí

Firewall - obrňte své počítače...
Hlavní okno Kerio Personal firewall.

Tento firewall pracuje v několika vrstvách, kterými jsou Síťová bezpečnost, Ochrana soukromí, Monitoring útoků, Bezpečnost aplikací a ochrana před trojskými koni. Dohromady soubor těchto prvků poskytuje ochranu na velmi vysoké úrovni.

Mimo všechny již zmíněné služby dokáže také blokovat pop-up okna, jež někdy dokáží být velice otravná při surfování na internetu, automatický transparentní mód neustále scanuje počítač před vetřelci atd.

Síťová bezpečnost: Program monitoruje veškeré odchozí i příchozí data a poskytuje přehled o tom, která aplikace data přijímá nebo je odesílá.

Po instalaci je nejdříve třeba nastavit, které aplikace z těch, jež máte na PC, budou mít přístup do Internetu a které jej mít nebudou. Je například možné nastavit program MSN tak, že bude moci provádět posílání zpráv, avšak P2P přenos bude zakázán. Pokročilí uživatelé a administrátoři mohou dokonce nastavovat packet filter tak, že zakazuje či povoluje komunikaci jen na specifických portech, protokolech či IP adresách. Je možné nastavit také úroveň míry kontroly a bezpečnosti pro jednotlivé aplikace.

Firewall - obrňte své počítače...
Nastavování práv přístupu jednotlivým aplikacím.

Dále v dalším okně je zobrazován aktuální přehled všech běžících procesů a jejich komunikace s Internetem. Uživatel tak má kompletní přehled o tom, co který program dělá, co se snaží odesílat a nebo přijímat. Tyto hodnoty se samozřejmě dají ukládat do .log souboru pro jejich pozdější kontrolu apod.

Firewall - obrňte své počítače...
Ukázka traffic.

Ochrana soukromí: Informace jako čísla kreditních karet, telefonní čísla, adresy, rodná čísla apod. mohou být pro některé hackery mlsným soustem a dají se snadno zneužívat. Proto je v tomto firewallu integrovaná schopnost blokovat odesílání těchto údajů do sítě Internet. Je také možné nastavit program tak, aby při pokusu o odeslání těchto údajů se nejprve uživatele dotázal, zda to chce opravdu provést.

Správa cookies: Cookies soubory mají primárně funkci usnadňovat nám práci v internetu tím, že si pamatují například již zobrazené reklamy, ankety apod. a nezobrazují nám je znova. Na druhou stranu ale umožňují vystopovat odkud se připojujeme a další detaily. Tím je možné získat některé choulostivé informace z našeho PC. Proto Kerio tyto tracking cookies sleduje a blokuje.

Firewall - obrňte své počítače...
Zobrazení statistik za poslední měsíc.

Přesměrování hovoru: Pokud se připojujete k internetu skrze dial-up, tak Vám hrozí přesměrování připojení na některou zpoplatněnou linku. Může se pak stát, že místo 15Kč za hodinu mimo špičku zaplatíte 60Kč za minutu. To se stává především na různých erotických serverech, kdy se do počítače natáhnou Active-X prvky, které dokáži ztlumit zvuk modemu a následně bez vědomí uživatele se napojit na linku například z Thajska. Toto se snaží Kerio potlačit tím, že veškeré pokusy o vytočení nového telefonního čísla je nejprve potřeba potvrdit.

Monitoring útoků: Dnešní hackeři používají různé metody získávání volných cest pro průnik do PC. Od port-scanning přes různé jiné podstatně složitější procesy. Většinu známých a používaných útoků je však Kerio schopen odhalit díky zabudovanému systému odhalování pokusů o průnik do systému.

Firewall - obrňte své počítače...
Okno nastavování monitoringu pokusů o proniknutí do systému.

Trojské koně: Toto je jeden z nejčastějších způsobů napadení PC. Tyto aplikace dokáží na napadeném PC běžet zcela neviditelně a provádět nespočet operací. Uživatel jej většinou stáhne a spustí v domnění, že se jedná o jinou aplikaci. Po aktivování dokáže trojský kůň například vytvořit bezpečnostní díru, přes kterou může pak útočník bezproblémově provádět své operace.

Pokud tedy uvažujete o instalaci nějakého firewallu, tak bych Vám určitě doporučil právě tento produkt. Z hlediska komplexnosti nemá určitě žádné nedostatky. Dokáže pokrýt opravdu velké spektrum nároků jež jsou na něj kladeny.

Bohužel je určen pouze pro uživatele Windows 98, ME, XP a 2000.

{mospagebreak title=Hlavní zásady zabezpečení PC}

Většina lidí si říká, že není třeba jejich PC nějak obzvláště chránit, neboť na něm nic důležitého a choulostivého nemají. Avšak ne vždy se útočníkovi jedná právě o Vaše data. PC může být zneužito i za účelem odesílání spamu, šíření viru a nebo i pro napadení jiného počítače.

Míra pokusů o útok také závisí například na rychlosti linky do internetu. Na lince 64kbps můžete být prakticky v klidu, avšak pokud vaše PC "sedí" na lince například 1Mbps apod., tak se míra útoků dá očekávat poměrně větší.

Na základní principy zabezpečení systému se podíváme podrobněji.

Nejprve je potřeba se zamyslet nad otázkou, zda je Váš počítač alespoň z části zabezpečen. Pokud už máte systém nainstalovaný delší dobu (přes rok), neustále instalujete různé programy a při přístupu do Internetu jste žádný firewall ani antivir nepoužívali, je docela překvapivé, že je systém ještě funkční. Předem je teda vhodné systém přeinstalovat a nahrát do něj veškeré dostupné záplaty ještě předtím, než jej vůbec zapojíte do sítě.

Na čerstvou instalaci je vhodné nahrát SP2. Velké firmy sice zatím v této oblasti váhají avšak pro normálního koncového uživatele by se měl SP2 použít. Bude tedy třeba si jej přichystat a to buď na instalačním CD (dodávaly se k některým časopisům, nebo byly k dostání třeba na Invexu) a nebo je možné si jej z jiného PC stáhnout na adrese http://download.microsoft.com/download/2/8/0/28001168-047a-4f33-bcac-e343824afe79/WindowsXP-KB835935-SP2-CSY.exe

Dalším z doporučených kroků je instalace firewallu. Nejlepší volbou je již výše zmíněný Kerio Personal Firewall. Ke stáhnutí například na http://download.kerio.com/eu/dwn/kpf4-en-win.exe.

Firewall - obrňte své počítače...
Kerio Personal Firewall 4.0

Nebylo by na škodu zamyslet se i nad použitím anti-viru. Těch je na trhu dostupných několik a liší se svými schopnostmi, silou a náročností. Jedním z nejlepších produktů v této oblasti je NOD32. Ten ale bohužel není freeware.

Firewall - obrňte své počítače...
Antivirový program NOD32.

Dávejte si pozor na podezřelé internetové stránky, jež se Vám snaží vnutit instalaci nějakého programu, jež Vám má něco umožnit. Většinou se jedná o stránky s erotickým materiálem a nebo stránky s warez obsahem. Pokud tedy na nějaké takovéto stránky narazíte, okamžitě je vypněte a rozhodně nepotvrzujte žádnou instalaci, pokud opravdu přesně nevíte, co děláte.

Nikdy neinstalujte software, u něhož nevíte co je zač nebo co má dělat. Stahujte jen ty soubory u nichž jste si jistí obsahem a víte co od nich můžete čekat a co mají provádět.

Při prohlížení elektronické pošty neotevírejte spam (nevyžádanou poštu) a už vůbec se nepokoušejte otevírat jejich přílohy. Právě tímto způsobem se v dnešní době šíří většina virů a trojských koní. Mnoho uživatelů by jistě mohlo překvapit jakou neuvěřitelnou rychlostí dokáže vir obletět celý svět jen skrze e-mail. Pracuje totiž ve většině případu tak, že po otevření si najde contact list (seznam kontaktů) a automaticky se sám přepošle na všechny adresy v něm obsažené. Jistě už si dokážete představit, jak tento strom nabývá na své mohutnosti a rychlosti šíření.

Nakonec je vhodné udržovat Vaše PC aktuálně zabezpečené. Navštěvujte stránky Windows Update a stahujte a instalujte nejnovější možné záplaty a aktualizace. Avšak myslete také na to, že neexistuje PC, jež by bylo zabezpečeno na 100%. Pokaždé se dá najít nějaká cestička, kterou je možné provést průnik do systému. Avšak pokud učiníte výše zmíněné kroky, je Váš počítač alespoň základním způsobem zabezpečen proti napadením z Internetu.

Závěr

Co nám z tohoto článku vyplývá? Snad jen to, že při minimálních nárocích na instalaci a zprovoznění (pokud se jedná o jednotlivé PC) získáte alespoň nějakou ochranu Vašich dat. Samozřejmě nedokážete tímto zabránit profesionálním pokusům o průnik, avšak jako prvotní ochrana před útokem mladého nezkušeného hackera Vám tyto postupy bohatě poslouží.

Zkuste se tedy nad bezpečností zamyslet a pokud možno ihned firewall nainstalujte - teda pokud jej již nemáte. Třeba právě teď se může někdo pokoušet získat Vaše data a důvěrné informace.

 
Komentáře k článku
RSS
Pouze registrovaní uživatelé mohou přidat komentář!
9.12.2004 08:47:31   0.0.0.xxx 5154
V prvni vete o Keriu Vam chybi konec vety. Patri tam dodat "pro MS Windows". Proc? Protoze ve srovnani s jinymi firewally(prakticky vsechny jsou non-MS Windows fw. A nemyslim tim netfilter nebo ipfw) je to jen detska hracka. Ale verim ze pro MS Windows lepsi fw nenajdete.

Na druhou stranu pokud to opravite, pak pro zmenu posledni veta je temer zbytecna. Kazdopadne slovo "Bohuzel" je tam zbytecne uz ted.
9.12.2004 08:51:36   0.0.0.xxx 5756
chvalim autora, clanek ktery me po dlouhe dobe zaujal takze diky
9.12.2004 08:54:02   0.0.0.xxx 5755
Jeste jedna vec. Aplikacni firewall je sice bran jako jeden z nejbezpecnejsich fw, ale bez i obycejneho paketoveho firewallu dlouho neprezije(hrozi DoS). Proto se aplikacni fw instaluje az za paketovy firewall a jen malokdy ho uvidite samostatne.
9.12.2004 08:58:12   0.0.0.xxx 5855
kdyby si to cetl poradne tak je tam napsane ze se obe varianty zpravidla kombinuju... a jinak kukam ze asi ctes clanky aby si pak do komentare mohl napsat kritiku a veci ktere se ti nelibili... ;-) no kazdy holt mame jine konicky...
9.12.2004 09:01:21   0.0.0.xxx 5955
Jejda, na tohle sem uplne zapomel :-)

Takze az ted:
Autorovi za clanek dekuji. Je to dobry clanek.
9.12.2004 09:02:59   0.0.0.xxx 5854
Kukat nemusis :-)

Jsou to drobnosti co sem napsal. Pri sirce zaberu toho clanku to jsou az skoro pitomosti :-)

P.S.: Je prijemne zjistit ze autor cte ty plky co tu nechavaji ctenari :-)
9.12.2004 09:15:22   0.0.0.xxx 5757
"kdyby si to cetl poradne tak je tam napsane ze se obe varianty zpravidla kombinuju..."

Ano priznavam ze sem nektery casti preskocil, ale to co v clanku popisujes lze chapat spis jako "volbu" nez jako "nutnost".

P.S.: Skoda ze nelze editovat to co sem placnu. Pak je to tu tema myma postama takhle zaneradeny :-(
No nic. Budu se snazit bud vynechat blbosti nebo s tim pockat az toho bude vic a napsat to do jednoho postu.
9.12.2004 09:23:29   0.0.0.xxx 5854
"Jiná však je situace u Windows XP se SP2 . Už od vydání byly názory na nově přepracovaný firewall poněkud rozporuplné. Avšak je potřeba zmínit, že oproti původnímu firewallu je to rozhodně velký skok kupředu...
...Největším nedostatkem je asi to, že firewall nedokáže blokovat ochozí provoz, pouze jej monitoruje a ukládá do protokolu"

To je nesprávné tvrzení. S vydáním SP2 microsoft konečně implementoval i ODCHOZÍ firewall a nutno říci že celkem na slušné úrovni. Nedosahuje sice kvalit keira ale když se správně nastaví tak funguje také velice bezpečně. Bohužel bezpečnostní dírou je právě to jeho defaultní nastavení -když si uživatel nepřenastaví (což se většinou neděje) tak je děravý jako ementál.
Keiro je defaultně nastaveno restriktivně a uživatel si naopak musí postupně vše povolit - což je z bezpečnostního hlediska lepší.
Možná je škoda že se autor více nezabýval právě možnostmi nastavení windows firewallu.
9.12.2004 09:24:40   0.0.0.xxx 5657
no je fain ze sisi to uvedomil... priste to zkus projit cele a pak kdyztak napsat - ja nerikam ze jsem neomylny (chybu nebo nejakou nepresnost muzu treba nekdy mit) ale jako treba s tem WIN na zacatku je to fakt trapne...
ale uz to neres
no a co bych to byl za autora kdybych ty komentare necetl a nereagoval na ne.. ;-)
9.12.2004 09:36:57   0.0.0.xxx 6158
Zdravim nevite někdo jak povolit v KPF4 vzdálenou plochu?Mám povolený port na kterém ta služba běží, ale přesto se mě nepodaří přes net k pc přihlásit.Dik
9.12.2004 09:55:10   0.0.0.xxx 5658
At je ten muj prvni post napsanej jakkoliv, nemeni to nic na faktu ze ta veta v clanku je prilis obecna. A to natolik az je nepravdiva. Takze pokud Ti vadi oznaceni "pro MS Windows", tak co treba "pro domaci pouziti". Ve vysledku to bude vlastne jedno a totez.

Ale jo, tuhle kapitolu uz opoustim.
9.12.2004 10:50:22   0.0.0.xxx 5755
Opravdu se mi nelíbí reklama nabízená tímto článkem: Jedním z nejlepších programů je... NOD32 - to, že existuje velká škála dalších antivirů se autor jaksi pozapoměl zmínit a jestli je jedním z nejlepších - to bych nechal zhodnotit uživatele.... To samé Kerio: Nejlepší volbou je již výše zmíněný Kerio.... Co třeba ZoneAlarm? Norton Personal firewall a další taky skvělé produkty?? Zdá se, že autor se nejspíše věnuje obchodu s těmito produkty. Doporučoval bych PCtuningu tyto výroky odstranit a text obecněji přepsat s použitím "příkladů" - Kerio a NOD32.
9.12.2004 10:59:22   0.0.0.xxx 5954
je tam napsane ze je doporuceno pouzit antivir a jednim z nejlepsich je NOD32 - nikde neni uvedeno ze by to byl pouze jeden jedniny! nevim kde si na to prisel! a kdyby si sledoval testy antiviru, srovnavaci testy apod. tak by si vedel, ze mam jednoznacne pravdu a uzivetele uz to take mnohokrat prohlasili! pokud mas na mysli napriklad AVG tak si bud jisty ze ten nezachyti ve srovnani s NOD32 skoro nic...

no a co se Keria tyce tak ten je na tom uplne stejne... vitez mnoha nezvislych testu v tomto odvetvi... obrovska skla moznosti nastaveni a monitoringu apod. a opet nikde nerikam ze by to byl pouze jeden mozny produkt...

schvalne se koukni na nejake testy techto produktu a pak posud sam...
9.12.2004 11:05:06   0.0.0.xxx 5656
A co vy, co vy prodavate z tech dalsich jmenovanych? :-)) Zlodej krici, chytte zlodeje :-) Bezte se vycpat s takovym schizofrennim nazorem. Vetsina lidi nebude stahovat, instalovat a zkouset trial verze vsech dostupnych programu, protoze na to nema chut, cas a mnohdy ani znalosti. Proste si nechaji neco doporucit, popsat a pokud jsou spokojeni, tak u toho zustanou. Pokud ne, jdou jinam. Kdyz si budete kupovat auto, taky budete trvat, ze si s kazdym potencialnim vozem musite objet svuj testovaci okruh?
9.12.2004 11:10:34   0.0.0.xxx 5755
Jde o princip. Věty sou vykopírované přímo z obsahu článku takže není o čem diskutovat.
- U NODu jste se sice zmínil, že existuje celá škála dalších ale to je vše, v kombinaci s výše zmíněnou větou je každámu jasné o co jde.
- Kerio - podle výsledků mnoha nezávislých testů.... pokud takovou formulaci použijete, měl by následovat alespoň jeden odkaz na test, aby se uživatelé dočetli o těch "dalších", o kterých jste se nezmínil.....

Myslím, že takováto reklamní protěžování konkrétních produktů na PCtuning nepatří. Nebo se snad měníme na reklamní časopis?
9.12.2004 11:31:53   0.0.0.xxx 6055
takze podle vas ja jsem distributor firem kerio a NOD32 a tenhle clanek mi ma jen pomoc prodat nekolik dalsich krabici se softwarem:-)))))

ja se rozhodne nesnazim protezovat nejaky konkretni produkt ale vybrat ten jeden ktery je nejlepsi a ten ctenarum doporucit - a tenhle calnek neni srovnavaci test antiviru a firewallu...

kdo tomutu veri si kerio nainstaluje a vyuzije jeho sluzeb a nebude se zabyvat napriklad nejakymi jinymi trial a omezenymi verzemi jinych vyrobcu!
9.12.2004 11:35:18   0.0.0.xxx 5856
Protoze kdyz posadite k max.zabecpecenemu kompu (antivir,FW,antispam atd.) lamu, tak ho za*ere.. Ja nepouzivam FW, stacim si s AVG 6 a problem s viry ci spamem mam tak 2x do roka na XP SP1.
9.12.2004 11:41:25   0.0.0.xxx 5756
Článek je vesměs dobře napsán. Ale proč probohla tahle věta?!

Míra pokusů o útok také závisí například na rychlosti linky do internetu. Na lince 64kbps můžete být prakticky v klidu, avšak pokud vaše PC "sedí" na lince například 1Mbps apod., tak se míra útoků dá očekávat poměrně větší.

To je přece nesmysl.
9.12.2004 11:44:33   0.0.0.xxx 5954
jisty utocnik si jako svou obet spise vybere PC, na nez bude mit kvalitni rychly a spolehlivy pristup. Pokud provadi prunik za ucelem ziskani nejakych dat, tak jej snaze provede prave na rychle lince. Snazit se dostat na nestabilni pripojeni pomoci dial-up je ponekud obtiznejsi nez naprilad na 1024kbps ADSL :-)
9.12.2004 11:55:32   0.0.0.xxx 5955
NAT=Network Address Translation
jen tak pro upřesnění
9.12.2004 12:52:54   0.0.0.xxx 6056
tos tim firewallem toho asi hodne po tuningoval ze ? to musis mit ted aspon 30tisic 3dmarku... a procik ti diky tomu bezi nejmin na 5ghz
hele radsi tu domenu zruste a kupte neco jako pocitacprolamy.cz
9.12.2004 13:02:18   0.0.0.xxx 5755
prave sem premyslel, ze sem pripojim podobny komentar, diky, ze ho nemusim vymyslet....
9.12.2004 13:31:20   0.0.0.xxx 5656
Jeden z nejlepších článků v poslední době ... Více článků no toto i podobná témata ... :-)))
9.12.2004 13:35:40   0.0.0.xxx 5856
diiiky za kompliment :-) ses fakt frajer... nevim jak ty muzes neco orzhodovat o obsahu tohot magazinu....

plati pro oba komentare...
9.12.2004 14:01:41   0.0.0.xxx 5956
Som rád že sa najdu aj taký čo do diskuzie vstupujú len za účelom kritizovania a sami nič nenapíšu.Podla mňa tento článok nieje uřčený pre tých ktorý vypadli zo školy firewallu ale pre tých ktorý o tom nič nevedia a radi si nechajú poradiť...Dobrá práca Martine.
9.12.2004 14:07:34   0.0.0.xxx 5755
Nevím, proč se autor zaměřil pouze na 2 produkty (Kerio a NOD32). Když už je tady zmínil, měl je vyjmenovat všechny, nebo zůstat jenom u obecného popisu. Kerio je free, Segate Firewall je taky free, atd.... Příjde mi to jako laciná reklama, autor měl zůstat více nad věcí, nebo měl udělat porovnání více produktů.
9.12.2004 14:11:28   0.0.0.xxx 5855
Dobrej článek. Pro lamy určitě přínosnej. Myslim, že to sem patří. Nevim proč by měl být pctuning jen o přetaktování apod. Ladit se dá i po soft. stránce, ne? Miluju borce co maj nabušenej comp, myslej si jaký jsou odborníci, když si to sami stavěli a přitom maj to "dělo" děravý jak cedník a zaprasený srač...a, že když k tomu přijde normální člověk, tak na tom nemůže pořádně nic dělat. Ještě bych doporučil použít občas třeba Ad-Aware a pod. :-)
9.12.2004 14:16:57   0.0.0.xxx 5756
Ještě k tomu výběru autora. Myslim že volil velice dobře a určitě má pravdu, že Kerio i NOD jsou jedny z nej. Kerio bez diskuze, tam fakt neni pořádná alternativa. Je free v CZ a fakt kvalitní. U antivirů je těch dobrejch voleb víc. No doporučoval bych tam připsat třeba do závorky pár alternativ, aby tady pak někteří kritici nebrečeli. :-)
9.12.2004 14:45:09   0.0.0.xxx 5656
konecne alespon nekdo, kdo se v tom pohybuje a pak teprve pise nejake komentare... je videt ze alespon vis co je dobre :-)

s tema borcema jsme na tom podobne - mysli si ze kdyz maji treba A64 3400+ tak buhvi jaci nejsou machri... a ve vetsine pripadu jim to kupuji rodice :-)

nema smysl se nad tim ale pozastavovat a uz vubec ne nervovat - kdyz je bavi rypat tak at - jednou na to doleti sami i s tema nabouchanyma compama :-)
9.12.2004 14:48:26   0.0.0.xxx 5655
tento clanek nemel byt jako srovnavaci test antiviru a firewall - mel ukazat jak firewall pracuje a prinest zakladni navod jak PC zabezpecit. Ty dva produkty jsem vybral jen proto, nebot jsou na trhu nejlepsi a jak uz jsem psal neslo o srovnani ale o navod.

a nemuzes srovnavat Kerio se segate firewall - to je neco jak porovnavat zigulika a noveho bavoraka :-)
9.12.2004 14:50:21   0.0.0.xxx 5552
S tím nesouhlasím - proč jste jmenoval některé produkty (jenom 2) když jich trh nabízí více. Měl jsem možnost porovnat NOD32 a NA2005 a zůstal jsem u NA - hlavně kvůli blbé registraci NOD32. Vážený pane redaktore, proti všeobecnému popisu - velmi zajímavý článek, ale proč jste neudělal další článek, kde by jste se zabýval už jenom antiviry a firewally?
9.12.2004 14:53:47   0.0.0.xxx 5757
5GHz procík ti bude jaxi na prd, když budeš mít pc zavšivený viry a červy a budou ti zatěžovat CPU na 100%. Jsem připojenej přes sdílenej 1mbps a když vypnu firewall, tak okamžitě přijde několik málo fajnovejch souborů a začnou se sekat hry - červík...Jsou tu i jiné články - testy přehrávačů, stavba sítě,...
9.12.2004 14:55:37   0.0.0.xxx 5756
Ještě malou poznámku: jako redaktor by jste měl být nezaujatý, můžete si myslet, že tyto dva programy jsou nejlepší, ale vy by jste měl psát pouze fakta, ne to co si myslíte, na to potom slouží tato diskuze. Vy jste řekl A a potom nic, kde je B,C, D, atd.?
9.12.2004 14:58:00   0.0.0.xxx 5855
no tak k tomu proc jsem jmenoval jen dva uz se vyjadrovat znovu nebudu... je to tu vyse hodnekrat popsane...

no a k tomu proc jsem neudelal dalsi clanek - stejne by oba nemohli vyjit ve stejnou chvili takze by vas to v tomhle smeru asi neuspokojilo... no ale do budoucna se da s temito clanky pocitat...
9.12.2004 15:02:24   0.0.0.xxx 5857
Já si myslím, že by bylo dobré udělat dva články - o tom, jak to pracuje a o tom, co si člověk může vybrat, + a - různých programů.
9.12.2004 15:05:10   0.0.0.xxx 5756
Píšete: Netfilter byl plně integrován pomocí nástroje pro správu pod názvem iptables, jež byl přímo implementován od jádra 2.4.

Jen bych to upřesnil, že součástí jádra 2.4+ firewall,který se opravdu jmenuje Netfilter. Ale iptables je jen nástroj (aplikace) pomocí kterého se vytváří filtrovací pravidla pro jaderný fw (netfilter). iptables tedy není součástí jádra.
9.12.2004 15:32:37   0.0.0.xxx 5856
A já si myslím, že by jste ty dva články mohl napsat třeba vy, pane Martin, když už jste tak "chytrej" a "fundovanej" kritik! No, a potom si povíme jak je ten Váš článek nezaujatej, a vůbec jinak dokonalej...Myslím, že by jste koukal, co by se našlo podobných "rejpalů" jako jste vy, co by Vám napsali nejednu nelichotivou poznámku do diskuse atd... No, každopádně člověk trochu moudrej a rozumnej si v tom článku najde co potřebuje a "neremcá"! HOWGH!*<:-)
9.12.2004 15:59:11   0.0.0.xxx 5856
ach jo! Je tohle swtuning nebo pctuning? Zas uz nemate hw a zaplacavate prazdny misto temahle ko**tinkama? OMG ste PCtuning a ne nejaka sw poradna? Uz se konecne vzpamatujte. Lidi sem chodi kvuli HW a nicemu jinymu. Zlatej svethardware. Zda se, ze posledni slusnej web o HW v cz. Co tu bude zitra? Navod na nastaveni icq? ROFL.
Tohle sem napsal rano a byl to prvni prispevek. Ted se divam ze uz neni
9.12.2004 15:59:19   0.0.0.xxx 5855
Chápu sice, že celý pctuning.cz je pro primárně určen pro nezasvěcence, ale proboba, proč popisuje autor ipchain? Proč ne iptables? A o čem to vlastně celé je? Vždyť tohle bylo dávno všude popsáno.
9.12.2004 16:05:59   0.0.0.xxx 5754
na kolejnim pocitaci s integrovanou gigabitovou sitovkou mam v podstate stoprocentni vytizeni procesoru pri prenosu dat po ftp (rychlost kolem 2mbs), pokud odinstaluju kerio, je to v pohode... s outpost fw je to ok, ale to ma zase jiny musky...
nevite nekdo jestli nemam neco spatne nastavenyho v tom keriu?
9.12.2004 16:16:00   0.0.0.xxx 5754
Jste jak banda idiotů!
Jasně autor napsal, že to jsou jedny ne jediné nejlepší programy.
A lze toto brát jako reklamu?
Určitě ne.
Takový produkt jako Kerio PFW ji ani nepotřebuje, je zadarmo a zpracování je velmi kvalitní.
A co se týče NODu, je to obdobné až na to, že není free.
Tak už se do něj nenavážejte a raději dělejte něco užitečnějšího.
Já myslím, že tento článek je hodně kvalitní a to i přes drobné chyby.
Jsme přece lidi. Nikdo není neomylný.
Nebo snad vy ano?
Tom
9.12.2004 16:17:41   0.0.0.xxx 5655
Presne vim o cem mluvis. Take jsem zpocatku pouzival Kerio a na 100mbit siti je to strasnej snek (vic jak 3,5mb/s z toho nedostanes). Pak jsem presel na Outpost a je to naprosto v pohode. Btw co myslis tema "muskama"? Ja jsem zatim naprosto spokojenej. Jak UI tak bezpecnosti. Treba to ovladani je naprosto dokonaly a kam se na nej hrabe kerio. Pravda je to takove vic ""programatorske"" ale ma to lepsi logiku vytvareni pravidel.
9.12.2004 16:31:37   0.0.0.xxx 5556
Jak už tu bylo řečeno, mohly se alespoň závorek uvést alternativy, to by vypadalo lépe a nebylo by tu tolik kritiky na stranu autora.
A jedna věc: vypadá to, že je to primárně zaměřené na začátečníky a lamy, kterým by mohlo poněkud dělat problém nastavit Kerio. (navíc je v aj) A takový odkaz na návod by neškodil. Možná je tu popsané, co si sehnat, ale někomu to stačit nemusí. To je ale jen názor, já osobně s tím problém nemám a nijak se nad tím nepozastavuju. Jen mě poněkud vyvedly z míry některé příspěvky pár zatvrzenců, že článek se čte aby se mohl kritizovat...
9.12.2004 16:43:53   0.0.0.xxx 5656
Kdyby se každy venoval tomu, čemu alespon trochu rozumi to by bylo na svete krasne. Tento clanek je velice kvalitni a ty dva k...eni kteři psali že to neni o tuningu tak se pletou. Tuning je vyladění a i v auto tuningu ma nekolik kategorii. Ja jsem zase zastance toho že pruhledná bočnice a modry neon je pro šašky a ne tuning, ale každy podle sveho. Podle mě vykon bezpečnost a stabilni system je TUNING. Vice takovíchto erudovaných clanku. Diky
9.12.2004 16:57:03   0.0.0.xxx 5857
Po rozšíření vysokorychlostního internetu, by podobných článků mělo být víc, ovšem pokud začnete radit jakej antivir a firewall by mohli uživatelé vyzkoušet, chtělo by to přidat i podrobnej popis ovládání a nastavení hlavně firewallu, neboť se obávám , že každá druhá lama si stáhne kerio, nainstaluje ho a zjistí, že mu nefunguje jeho oblíbený chat, video chat atd.....Takže začnou prudit nás ostatní abychom jim to daly do kupy. Už se fakt těším. No jen tak dál kluci jedni.Za všechny velké díky.
9.12.2004 16:57:04   0.0.0.xxx 5656
Poprvý a asi i naposledy jsem zabrousil na tento server. Tolik kritiky a arogance v diskusi jsem snad ještě neviděl. Pokud nesouhlasim s obsahem článku, tak snad ještě nemusim napadat autora!

Osobně z určitých důvodů používam Kerio, ale spokojenej nejsem. Norton personal firewall je podle mě o dost kvalitnější, ale příliš dlouho mu trvá nabíhání. O NOD32 toho slyšim dost, ale nechce se mi opouštět NAV. Mam verzi Corporate a s tou sem sost spokojenej. Vlastně sem neměl vir ani nepamatuju.

K obecnému doplnění by přeci jen ještě mohla být zmínka o spyware. To je totiž věc, kterou má uživatel v PC hned po instalaci Windows a nemusí se ani připojovat k netu. Ale AdAware nebo Spybot to hravě vyřeší...
9.12.2004 17:08:13   0.0.0.xxx 5756
to znamena, ze ked v clanku napise, ze najlepsie je PC, ale existuju aj ine platformy (moja pozn.: psx, GC, xbox), tak autor clanku predava pocitace? Sledujte o com je clanok a nevytrhavajte vety zo suvislosti. Alebo ste protitreklamny agent, ktory sleduje dodrziavanie reklamnych pravidiel? Tak ho rovno zatvorte do basy...

Chapte tento moj prispevok ako priklad, ze aj vas mozno chytit za slovicko, lenze clanok je o uplne niecom inom, ako vy pisete, ma poradit a aj radi!!!
9.12.2004 17:15:09   0.0.0.xxx 5857
tak preco sem preboha chodite a citate tento web, ked sa vam nepaci. Neradte autorom, co maju zalozit, zalozte si web sami a dajte pristup len tym superultramegamachrom, ktorym chcete.
9.12.2004 17:51:08   0.0.0.xxx 5855
Nechapej to spatne, tady nejde o tento clanek. clanek je fajn a urcite je to i dulezite tema. Ale problem je v tom, ze na pctuningu uz vychazeji pouze takove clanky. A to bohuzel toto tema je uz hodne vzdalene puvodnimu zamereni serveru (na ktere byli lidi zvykly). Nevim jestli na pctuningu namaji skutecne co testovat, nebo proste soupereni se svethw vzdali a zmenili zamereni serveru. Redakce by to uz konecne mela nejak oficialne okomentovat (alespon by zase meli nejakej clanek, kterym by zaplacli titulni misto :-)) aby se s tim uz lidi smirili. Ted vsichni cekaj nejaky testy apod..... A na recenze HW tu bude svethw (kterej mimochodem je ted vazne skvelej, viz recenze nForce 4 desky vcera ..., ale zase ma dost hroznej design, v tom na pct nema :-))
9.12.2004 20:11:43   0.0.0.xxx 5553
1: pokud se nekomu neco na tomto serveru nelibi, tak jej prece nikdo nenuti ho cist! jsme ve svobodne zemi kde si kazdy muze cist co chce - pokud tedy prijdtete na pctuning tak kdyz se vam nezda tema clanku tak proc ho proboha ctete? a proc pak jeste nadavate autorovi a cele redakci? Zacnu cist, nelibi se mi to tak to zavru ale nekteri si to radeji cele doctou aby se mohli nsrat jeste vice a pak napsat jak je to hrozne a co to tu dela!

2: Ptate se proc pissu o ipchain a ne o iptables - pro nezasvecene je uzitecne se dozvedet neco o historii a pro ty zkusenejsi je to ztejne bezpúredmetne - ti maji jiste informaci podsatne vice!

3okud tento server pro ty lidi s ,,drsne tuningovanym PC" neni a nelibi se jim tak at sem nelozi - a zajimalo by me co poavzujete za tuning. Tuning = uprava za ucelem zvyseni vykonu a nebo jinych vlastnosti ale nikoliv vzhledu. Mooding = to je pak to co dela vetsina lidi (da si do PC neon, zvysi FSB o 15MHz, a mysli si ze jsou frajeri) farjeri...)

4: zkuste napsat clanek sami a nebo si zalozte vlastni server jen pro ty pro ktere si myslite ze bude vhodnu. PAk mi dejte odkaz a ja se na nej kouknu ;-)

5: snad jsem timhle nikoho neurazil... jiste je tu i hodne slusnych lidi, kteri si clanek prectou a neco jim prinese - PRO TY JE TAKY PISU!

6: dekuji za pochavyl ktere mi tu nekteri lidi napsali! ZUSTANTE I DAL CTENARI!
9.12.2004 20:12:07   0.0.0.xxx 5754
1: pokud se nekomu neco na tomto serveru nelibi, tak jej prece nikdo nenuti ho cist! jsme ve svobodne zemi kde si kazdy muze cist co chce - pokud tedy prijdtete na pctuning tak kdyz se vam nezda tema clanku tak proc ho proboha ctete? a proc pak jeste nadavate autorovi a cele redakci? Zacnu cist, nelibi se mi to tak to zavru ale nekteri si to radeji cele doctou aby se mohli nsrat jeste vice a pak napsat jak je to hrozne a co to tu dela!

2: Ptate se proc pissu o ipchain a ne o iptables - pro nezasvecene je uzitecne se dozvedet neco o historii a pro ty zkusenejsi je to ztejne bezpúredmetne - ti maji jiste informaci podsatne vice!

3okud tento server pro ty lidi s ,,drsne tuningovanym PC" neni a nelibi se jim tak at sem nelozi - a zajimalo by me co poavzujete za tuning. Tuning = uprava za ucelem zvyseni vykonu a nebo jinych vlastnosti ale nikoliv vzhledu. Mooding = to je pak to co dela vetsina lidi (da si do PC neon, zvysi FSB o 15MHz, a mysli si ze jsou frajeri) farjeri...)

4: zkuste napsat clanek sami a nebo si zalozte vlastni server jen pro ty pro ktere si myslite ze bude vhodnu. PAk mi dejte odkaz a ja se na nej kouknu ;-)

5: snad jsem timhle nikoho neurazil... jiste je tu i hodne slusnych lidi, kteri si clanek prectou a neco jim prinese - PRO TY JE TAKY PISU!

6: dekuji za pochavyl ktere mi tu nekteri lidi napsali! ZUSTANTE I DAL CTENARI!
9.12.2004 20:37:07   0.0.0.xxx 5655
neco v tom smyslu sem chtel taky napsat :o) i kdyz me clanek nezaujal...nikdo me to cist nenuti :o)
9.12.2004 21:59:05   0.0.0.xxx 5556
jenze autor by mel byt take schopen prijimat kritiku a snazit se vyhovovat svym ctenarum....
A hlavne si nemyslim, ze autor tohoto clanku sam o sobe dela pctuning pctuningem...
Sam proti clanku nic nemam a doporuceni odzkousenych programu se mi libi, alespon nemusim zkouset 1000 jinych... coz stejne delam, protoze na PCtuningu vychazi v tomhle smeru temeta tak trochu mimo misu a FW uziva kazdy uz nekolik let a pokud ne, tak je to jeho vec, ale moc jich tu nebude.
Lepe se drzet HW a obcas tuningu treba windows, coz muze hodne lidem prinest mnohe, ikdyz jsou tam same prkotinky, ktere spousta lidi musi znat, ale i tak bod k dobru, ale psat ted o FW je par let pozadu... Lidi zamyslete se nad clankama a treb trideni pro zacatecniky a schopne usery by neskodilo a pro zacatecniky pojem cizich vyrazu, kde by se mohli dozvedet o co jde u anglickych nazvu + schema + vysvetleni by bylo fajn, misto dlouheho vysvetlovani pres ICQ, bych jen poslal link dotycnemu, co chce neco "noveho" znat.
9.12.2004 22:43:27   0.0.0.xxx 5656
Článek se mi líbí a to nejen proto, že zmiňuje aplikace (NOD a Kerio), které používám už od prvních verzí. Tyto aplikace autor zmínil pravděpodobně proto, že je může používat i lama jako jsem já a dále jsou dle mé dlouhodobé praxe velmi kvalitní. Pro nevěřící Tomáše bych podotknul, že NOD32 používají servery jako je SEZNAM nebo ATLAS (...,který navíc používá taky Kerio...). Taky se Tomášové můžete podívat na NOD32 sem http://www.virusbtn.com/vb100/archives/products.xml?eset.xml
a porovnat jej s jinými např. oblíbený AVG http://www.virusbtn.com/vb100/archives/products.xml?avg.xml

Nicméně jak je již zvykem podotknout na závěr. Ať si každý používá co mu nejvíc vyhovuje.

A já dodám, ale ať potom neustále neobtěžuje své kamarády, že má se mu "zbouchal" počítač, a že tam má vira a jestli mu s tím nepomůže..... To víš, že pomůže, jinak by jsem nebyl kamarád, ale s.re mě to dělat 5x do roka a jestli se neumoudříš, tak s Tebou kamarádit přestanu!!!
Omlovám, se všem ostatním, ale neudržel jsem se, ale určitě nejsem sám s tímto "fenoménem"...
9.12.2004 22:59:38   0.0.0.xxx 5856
ten firewall by som nikdy nenazval firewallom, on si robi co chce. Priklad:
chcem sa pomocou total commanderu pripojit niekam na ftp. funguje to tak mesiac, zrazu nejde. Fajn teda pozriem nastavenia. V exceptions je zaskrtnuty a teda by mal ist (lenze nejde). Tak ho skusam odobrat a pridat a restartovat firewall (on a off) restartovat pocitac, povolit porty 20 a 21 a podobne a stale nic. Vypnem firewall a ono to ide !!! Ten xp sp2 firewall je vrcholne pribrzdeny a nefunguje ako ma.

K tomu keriu firewallu, no je vyborny, ale nehodi sa na 100 Mbit siet. na AXP 1600+ som mal 100% zatazenie cpu ak som nieco tahal (niekto odo mna) a davalo to max 3 MB/s. Potom som si za pomoci IPSEC vyrobil aky taky firewall (funguje bez problemov) a fpohode 10MB/s pri 40% cpu (vsetko cez FTP).
9.12.2004 23:06:27   0.0.0.xxx 5755
pctuning hm porozmyslajme co znamena PC. Spravne PC nie je len HW ale aj SW, takze neviem preco by tu nemohli pisat ohladom SW
"Zlatej svethardware" - to som prestal citat po zopar copy paste clankoch a po chabych recenziach
9.12.2004 23:06:38   0.0.0.xxx 5755
Ten začátek článku se fakt povedl.Sám bych to nedokázal vysvětlit líp. U Keria mi ale chybí zmínka že je česky -to je pro většinu lidí důležitá informace. A taky tam mohlo být něco víc k nastavení a odkaz na manuál. Viz tedy www.kerio.cz a najděte si. No a taky by si asi zasloužil zmínku druhý nejrozšířenější a nejjednodušší -Zonealarm. Nebylo by špatné ten článek o popis nastavení doplnit (zvlášť když u linuxu jsou příklady...)

Z autorových poznámek pod článkem jsem si bohužel udělal dojem, že si o sobě myslí že stvořil opravdovou perlu podle toho jak je "namistrovanej" to je můj dojem. Příště trošku s úctou ke čtenářům.
10.12.2004 00:00:40   0.0.0.xxx 5756
clanek dobry, urcite svedomite napsany. Pravda je ze by zde mohlo byt trochu vic clanku o tuningu, ale tohle taky neuskodi.S tim, ze NOD32 je velmi dobry program souhlasim, od doby co ho pouzivam nemam konecne havet v pc, ostatni antiviry vzdy nasly pouze neco.Pouzivam ZoneAlarm, driv Kerio, ale Zone mi vyhovuje proste lip, takovy uzivatelsky prijemnejsi.
Pro autora:radeji nekomentujte prispevky, zbytecne je pokazen predchozi dojem po precteni clanku, Vase postoje mi prijdou dost nafoukane, je v tom citit neco jako: "ja jsem nejvetsi sef" a pritom ani nevite ze jako autor clanku mate vsem vykat a ne tykat a to bez toho jestli Vas stvou nebo ne.
Muj nazor, za clanek dekuji
10.12.2004 00:14:39   0.0.0.xxx 5855

Tak jsem prave docetl. Musim uznat, ze oroti predchozim clankum o LAn a LANpaarty je to zase pekny posun k vyssi kvalite ne zrovna tradicnich clanku na PCT. Mam ale i kritiku, doufam, ze za ni nebudu napadnut, ve stylu, ze sem nemusim chodit apod. Myslim, ze kritika je potrebna vec, zajistuje totiz autorum zpetnou vazbu. Kdyby totiz vsichni jen mazali med kolem huby, nikdy by se uroven nezvysovala.


Tak a ted ty vyhrady. Podle me se tem trosku nevhodne pouzivaji terminy a slucuji se nektere zbytecne dohromady:


1) "Firewall může dokonce plnit funkci směrovače." Zpravidla se uvazuje tak, ze smerovac(router) je nazev HW zarizeni a Firewall je jeho nadstavbou, at uz SW, nebo i s podporou HW. Pravdou samozrejme je, ze jsou i jednoucelove HW firewally, jako treba CISCO PIX Firewall apodobne. Presto bych tuhle vetu nevidel jako optimalni, pokud je firewall HW, ma urcite vzdy i zakladni podporu pro IP routing a je tedy vzdy i smerovacem.


2) Vubec rozdeleni druhu Firewallu na packetove filtry a aplikacni gatewaye(proxy) je trosku hodne zjednodusene. Vubec treba nebyl zminen typ stavoveho firewallu (statefull firewall), ktery je dnes velmi dulezity, nebot postihne velkou spoustu utoku, kterym se packetovym filtrem brani velice tezko a pritom jsou na 2. vsrtve, tedy ani aplikacni firewall je na ne k nicemu. Stavovy firewall umi proste sledovat ne jen jednotlive packety, ale kontroluje cela spojeni, umi napriklad omezovat mnozstvi tzv. polootevrenych spojeni, kdy utocnik posle velke mnozstvi packetu s SYN bitem, kterymi se snazi zahltit dany stroj (SYN flooding) a dalsi podobne vymozenosti. To je velky nedostatek, ze nebyl zminen, nebot bez nej si dnesni zabezpeceni vetsi firemni site nelze dost dobre predstavit. Jinak samozrejme existuji produkty, ktere se dokazou divat temer do vsech vrstev OSI modelu, a integruji tak v sobe jak zakladni packetovou filtraci, tak statefull, tak aplikacni FW.


3)NAT (Network Address Resolution) - nekdo uz vyse psal, je to Translation. Hojne se take pouziva napriklad na CISCO zarizenich termin PAT (port adress translation), coz je ekvivalent pro maskaradu na Linuxu, tedy zpusob, kdy se tzv. pretezuje jedna verejna IP a nepreklada se 1:1, ale pro kazdy odchozi preklad se pouzije stejna verejna IP.


4)"Pomocí dvojice firewallu lze provádět komunikaci skrze internet na úrovni zabezpečeného tunelu." No to je sice pravda, ale vypada to, ze na jinde nez mezi 2ma FW to nejde. Dnes je mozne tunely realizovat mezi leccims, a to hned nekolik typu PPTP, L2TP, GRE na Cisco routerech. Zabezpeceny tunel je taky divne oznaceny. Predpokladam, ze jste mel na mysli sifrovana spojeni, nebo primo sifrovane tunely, nejcasteji pomoc IPSec protokolu. No ze je neviditelny, videt neni na prvni pohled komunikace uvnitr tunelu, tunel jako takovy, respektive packety mezi obema konci videt samo jsou a pokud neni tunel sifrovany, dokonce se s urcitymi nastroji odposechnute packety daji decapsulovat a ziskat tak packety vnitrniho provozu. Teprve sifrovany tunel je dobre zabezpeceny (uz jsem se chytnul, sam to slovo koukam taky pouzivam proti pripadnemu odposlechu, pokud se pouzije adekvatni sifra a metody k cennosti prenasenych dat.


5) Take me (nejsem sam jak vidim) v clanku, ktery se zabyva obecne zabezpecenim PC ci site a zminuje i antiviry chybi zminka o Ad-aware a Spybot a jejich funkci.



6) Nejvetsi chyba ci omyl v clanku:


"Za firewallem můžou být IP adresy jakékoliv, nezávislé na providerovi a když má dané požadavky vyslat na providera, tak se pomocí IP maškarády přeloží na jednu adresu, která je providerem přidělena."


To je nesmysl, za FW NEMOHOU byt JAKEKOLI IP. Zaprve existuje RFC 1918, ktere zminuje, ktere rozsahy se maji pouzivat, takze (protoze RFC jsou jen doporuceni) by to bylo poruseni jakychsi dobrych mravu na Internetu. Ale ono to ma samozrejme i sve opodstatneni. Totiz kdy pouziji IP adresy jine nez dle zmineneho RFC a budu se chtit dostat na server, ktery ma nahodou pridelenu IP, kterou jsem ja nevedomky pouzil na svem PC, proste mam smulu a FW to neznatuje, nebot po DNS prekladu z nazvu serveru na IP zjisti, ze je to je to IP adresa, kterou ma ve vnitrni siti a posle mi packet zpatky.


Abych jen nekritizoval, narozdil od mnoha vyber FW pro demonstraci chvalim, myslim, ze Kerio je hojne pouzivany, kvalitni a zaroven s dostatecne intuitivnim ovladanim, na kterem se to da dobre demosntrovat. Drovnani s integrovanym Firewallem (no to je silne slovo pro ten jednoduchy packetovy filtr) ve WIN XP se jednoznacne nabizi. Chvalim i vyber NOD jako ukazku dobreho antiviru.


I pres me vyhrady jeste jednou rikam, ze sirka a pomerne velka koplexnost (vzledem k cilove skupine ctenaru) je dobra a clanek asi vetsine ctenaru pomuze v orientaci v tomto segmentu IT.


Diky


Martin



10.12.2004 06:46:20   0.0.0.xxx 5554
Ale když se kací les, lítají třísky a s tím autor musí počítat (autor by si měl i v diskuzích zachovat určitý odstup a náhled na diskuzi a někdy neurážet své čtenáře - to dělá redaktora dobrým redaktorem). Ale proti teorii sitě a firewallů nic nemám, mám pouze výhrady ke zmiňovaným produktům. Když si vezmu kerio, leckterý nováček se v tomto programu může ztratit, povolit třeba něco, co by neměl. Když tento článek čtou i novačci, tak proč jim nedoporučit něco jednodušího??? Asi chápu ty, co se zamilovali do Keria (jsou to vzláště ty, co neumějí používat programy v angličtině ), ale jsou i další produkty, které bych třeba zmínil.
10.12.2004 08:13:19   0.0.0.xxx 5656
Koukam, ze i ja pisu bludy a neprectu si to po sobe, samozrejme ip datagramy jsou jako takove zalezitosti 3. vsrtvy (sitove) a ne 2. vrstvy, jak jsem psal v bode 2, kdyz jsem licil prednosti statefull firewallu. Tedy se omlouvam. Martin
10.12.2004 09:30:17   0.0.0.xxx 5656
Teda vážně díky za info.doteď sem si myslel že sem O.K., ale že je AVG k ničemu mě děsí...ale KERIO je fakt dobrý..hodí se k tomu přilepit Ad-aware SE....a je to komplet. souhlasím s jedním, že by to mělo být doplněno odkazy na srovnávací testy..Ale jinak článek super.F
10.12.2004 09:35:51   0.0.0.xxx 5556
nebo ne? myslim ze by stalo zato zminit i pouziti nejakeho bezpecneho prohlizece (tzn. NE IE) a e-mailveho klienta. pac pokud lezu s IE na SUX stranky, tak mi ten firewall moc nepomuze.
10.12.2004 09:49:35   0.0.0.xxx 5755
pokud nekdo napise kritiku na urovni jako jste to provedl Vy, tak nemohu nijak namitat ale naopak jsme rad, ze jsem byl upozornen na sve chyby a tim padem pri psani dalsich clanku je nebudu opakovta

proti kritice nic nemam pokud je podana slusne a v nejake rozumne forme

dik
10.12.2004 09:53:50   0.0.0.xxx 5857
Ja se necitim jako nejvetsi sef - to rozhodne ne. Jen jsem se nechal unest pri cteni tech komenmtaru ve stylu ,,co to tady ten clanek ma vubec co delat" ... Priznavam ze jsem mozna svou reakci trochu prehnal...

Kazdopadne kritiku uznavam a jsem rad kdyz nekdo opravi me chyby ale musi to byt podano slusnou formou, ktera nikoho neurazi.
10.12.2004 10:59:46   0.0.0.xxx 5855
Dufam, ze ten novy bavorak bude ten Sygate PF.
10.12.2004 13:33:25   0.0.0.xxx 5955
ono opravdu Kerio v dnesni dobe je nejlepsi a NOD32 take
11.12.2004 00:11:53   0.0.0.xxx 5757
no, je velmi prijemne vedet ze na jednom serveru jsou dva lide se stejnym nickem !! ja ten svuj pouzivam 10 let, kolik ty ? )
odpovidat ti na tvuj dotaz nebudu, na to je uz dost pozde, nezlob se......
pro autora - velmi dobry clanek, thx
11.12.2004 13:11:41   0.0.0.xxx 5856
Jenže... dost Čechů jsou děsní kritici, sami nic udělat neumí, a jen frflají.
Někdo používá X let FW, a myslí si, že musí zamachrovat. Ale je naprostá většina lidí, co ani nevědí, co to je, natož znali tyhle základní informace, neřkuli že by uměli sami FW správně nastavovat.
A pro tyto je tohle osvěta, která je nutná. Každý někdy nějak začínal. Kdyby nezískal podobné informace do začátků, nikdy by se neposunul dál.
Takže nemachrujte, a když se vám to nelíbí nebo to znáte, tak to fakt nečtěte. Ušetříte čas (i čas při psaní protest pamfletů).
11.12.2004 20:56:47   0.0.0.xxx 5554
zdielam tento nazor a myslim, ze takych sa este najde...

Ja osobne pouzivam starsiu verziu keria "dvojkovu" radu (v2.1.5), pretoze sa mi zda prehladnejsia.

Avir od esetu je skutocne najlepsi, svedci o tom najvacsi pocet vitazsttev VB100 Award a este aj rychlost skenovania ma najvyssiu.
12.12.2004 18:59:17   0.0.0.xxx 5454
Dobrej clanek, ale chybi tam zminka o nastaveni uzivatelskych prav ve WidlichXP. To je podle me VELMI dulezity bezpecnostni faktor. Mam zkusenost (resp. mi pribuzni antitechnici) s prohlizenim erotickych stranek BEZ ANTIVIRU (ale s firewallem). Pravda, obcas to po siti proscanuju ale stejne... A zadnej problem. Proc? Uzivatel, ktery si je prohlizel nemel pristup pro zapis nikam vyjma sveho adresare v Documents And Settings a pro cteni vsude vyjma adresaru s citlivymi informacemi.

adie

a stejne - Linux FOREVER!
13.12.2004 14:36:39   0.0.0.xxx 5556
Jak jsem si to tak procital, tak na konci jsem zahledl NOD32, je v nem par chyb, diky kterym se da vyuzivat neustale.
Prvni moznost je, stahnout trial a po vyprseni 30ti dnu trialu NOD odinstalovat a znovu nainstalovat a mate novych 30 dnu trialu. Tohle nejspise zkousel kazdy, kdo ma NODa.
Druha moznost je trvalejsi. Pred instalaci NODa si nastavte v PC systemove datum na rekneme rok 2054. Pak nainstalujte NODa, a vratte datum na rok 2004. Prave mame nainstalovany Trial NOD32 na 50let a 30 dnu. Tohle mozna nekteri nevedeli. Standartne totiz programy nedovoli spusteni pred datem jejich instalace. NOD ano.
14.12.2004 07:34:41   0.0.0.xxx 5655
Timto uz jste to ale opravdu prepiskl a berte to ode mne pekne. Osobne do diskuzi skoro zasadne neprispivam, ale toto mi neda.
Nezpochybnuji, ze jste si s clankem dal spoustu prace. Musite byt ale jako autor schopny prijmout kritiku. Je dobre obcas v diskuzi reagovat, ale ne odpovidat na napadani napadanim. Na tyto posty ctenaru nereagujte, protoze se tim akorat shodite. Jako autor byste mel byt trosku nad veci.
Osobne bych clanek ohodnotil +3, cili dobry. Take mi vadi drobne nesvary, jako doporuceni nekterych produktu a celkova nevyrovnanost, rozhodne ale clanek MA opodstatneni byt na PCT.
Ale argumenty autoru: "zalozte si vlastni web a ja se na nej kouknu" nebo "jestli se vam to nelibi, tak sem nelezte", ktere vidavam nejen tady, se mi dost prici. Clanky prece pisete proto, aby se cetly a web byl navstevovany.
Mnoho zdaru a tesim se na test firewallu.
14.12.2004 20:36:32   0.0.0.xxx 5455
jde o to, ze outpost obcas blokuje nektere aplikace, ktere jsou v seznamu "trusted application"... nekdy pomuze reset fw, nekdy je treba restart kompu :-(
16.12.2004 18:47:35   0.0.0.xxx 5755
Nevim ja používám kerio kratce,ale nijak mě na siti nerzdí....na 10MBit.
16.12.2004 19:21:27   0.0.0.xxx 5655
Mno vsak si na 10mbitu.. tam je to jeste v pohode.. ale jak se clovek dostava nad 3MB/s tak to je jina ;-)

Proste 100mbit a vejs...
21.12.2004 10:36:12   0.0.0.xxx 5556
ad článek: pěkně popsáno, dík autorovi
ad diskuze: to už je slabší až na několik světlých vyjímek, čekal jsem plodnější diskuzi
A teď dotaz: co je pravdy na tom, že pokud je nainstalován firewall, nedoporučuje se nechat aktivovaný implementovaný fw ve win XP? A proč?
31.12.2004 13:56:05   0.0.0.xxx 5557
ahoj.mam problem,jsem na net připojenej přes jiny pc,proxy a za firewallem.....chtěl bych hrat hry po netu,kde se můžu dočíst o nastaveni aby mě to bylo umožněno?jaky porty povolit atd......nevim o tom teměř nic.dik za jakoukoliv radu či návod.....
31.12.2004 22:38:15   0.0.0.xxx 5655
Pokud někdo nepoužívá internet a chystá se si ho zavést, tak určitě je dobré o tom něco vědět a jiných serverech budou články o jiných FW, tak proč se nepodívat i tam. Ohledně antivirů, tak neexistuje ideální antivir(na všechny viry) i když s nortonem jsem spokojen. Dobrý program je netmonitor, který sleduje odchozí příchozí přenosy dat.
21.1.2005 18:11:48   0.0.0.xxx 5454
Není vhodný pro laiky, největší problém je to, že člověk musí u PC dělat takzvaného vrátného. PC se neustále ptá, která aplikace se spouští: blokovat ANO-NE .teď nastane problém, neznámá aplikace se pokouší spustit a teď laik nerozezná zda se jedná o útok, nebo jen o nezbytnou funkci windows, kterou když dáte blokovat, tak se třeba windows zablokuje. Má zkušenost: Windows media player. Jednalo se o spuštění neznámého souboru který se pokusil spustit a já protože ho neznám a myslel si ,že se jedná o útok, ani adresa ve windows nedokázala napovědět, tak jsem ho dal blokovat. Ejhle, při spuštění kterého koli multimediálního souboru se windows zablokoval.Lajkům udělá více škody než užitku. Proto Kerio nedoporučuji lajkům! S pozdravem
22.1.2005 13:38:19   0.0.0.xxx 5553
V tom pripade odsuzujes prakticky celou fylozofii osobnich firewallu. Pokud clovek nevi co di aplikace muze dovolit a kam muze a nesmi lizt na net tak bohuzel se s tim bude muset seznamit aby vedel co ma povolit a co ne.
Kerio neni rozhodne pro profesionaly je to klasicky osobni firewall s velmi jednoduchym ovladanim, bohuzel ma spoustu jinych nevyhod, ktere ale normalni clovek s obycejnym pripojenim na net (ADSL atd) vubec nemusej trapit.
24.2.2005 09:17:03   0.0.0.xxx 5456
Tak já třeba používám jako FW kombinaci ProtoWall a ZoneAlarm Pro a jako AV mám McAfee VirusScan 9.0, k tomu Adaware SE (professional) s monitorem registru... Co bych chtěl víc? co se týče FW. Řekl bych, že funkčností je na tom ten ZoneAlarm Pro ještě líp než kerio, akorát holt není zadara... Antivir NOD je asi opravdu dnes to nejlepší, co můžete sehnat... já sem prostě dal na "klasiku" v oboru a kdo je větší klasik v obotu než McAfee?
4.3.2005 13:34:47   0.0.0.xxx 5658
BTW po vyprseni aktualizaci uplne staci nastavit si jako aktualizacni server "www.nod32.com/nod_eval.nevim jak to,ale staci to:-)
21.10.2006 23:28:43   89.24.6.xxx 2217
WWW.KUKU.CZ
2.4.2007 12:10:07   212.20.77.xxx 1615
Jsem se díval na a kerio byl mezi průměrnými firewally a použival jsem nod A nepodobal se mi zatěžoval mi ramku.tě'd pouzivam Outpost firewall a Kaspersky a Komp je čistý.
10.1.2010 00:46:03   89.185.250.xxx 00

1. Ten odkaz na stažení toho Kerio nefunguje. Mají tam nějaký jiný FW. Kerio WinRoute Firewall. Je to ono?

2. Tady je odkaz na test firewallů, kde Sunbelt Kerio FW získal jen 5 %. Jako nejlepší jim vyšel třeba PC Tool.... Rád bych si přečetl Váš názor, než si něco nainstaluju.
http://www.zive.cz/bles kovky/test-firewallu-vitezi-bezplatne-comodo-a-pc-tools-firewall-plus/sc-4-a-150109/default.aspx

3. Jak je to s několika firewally za sebou? V bedně člověk kolikrát vidí, jak se do nějaké centrály snaží někdo(virus) proniknout a překonává postupně až pět firewallů.

A potažmo. Když budu mít tenhle nový FW, musím vypnout ten původní windowsácký, nebo tam můžu nasázet třeba tři, co umí každý něco jiného?

4. Jak jsem narazil na slovo "lama", větřím týpky, co umí, nebo by chtěli crackovat/hackovat. Zajímal by mě právě jejich názor. Jestli ten firewall umí překonat, tak by mohli napsat, co jim moc nejde

Redakce si vyhrazuje právo odstranit neslušné a nevhodné příspěvky. Případné vyhrady na diskuze(zavináč)pctuning.cz

0 čtenářů navrhlo autorovi prémii: 0Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.