06.06.2007

»зуча€ брандмауэр Windows

image

≈сли вы работаете в операционной системе Windows XP или уже перешли на Windows Vista, брандмауэр Windows доступен всем вашим клиентам и обеспечит защиту, котора€ необходима дл€ улучшени€ безопасности в пределах организации Ч даже если ваши мобильные сотрудники наход€тс€ за тыс€чи километров от офиса.

¬ давние времена, в палеокомпьютерную эру никто не задумывалс€ об установке брандмауэра на каждый отдельный компьютер. ƒа и зачем? “огда вр€д ли кто-либо слышал об »нтернете, никто не знал про TCP/IP, а маршруты протоколов локальный сетей не выходили за пределы здани€ или за территорию предпри€ти€. ¬ажные данные хранились на мэйнфрейме или файловых серверах — информаци€, которую люди держали на своих настольных компьютерах, была не особо важной, а собственный вес компьютера обеспечивал немалую степень физической безопасности. ≈сли имелось подключение к »нтернету, использовалось несколько преобразователей протоколов и маршрутизатор с фильтрацией пакетов (€ имею в виду “брандмауэр”) на границе сети, который, скорее всего, требовал настройки огромного числа правил и исключений.

—овременные компьютерные среды значительно отличаютс€ от таких древних. ¬сЄ вокруг подключено к »нтернету (и использует протокол TCP/IP), а мобильные устройства — просто обыденность. –аботодатель обеспечивает вас переносным компьютером не потому, что заботитс€ о вас — он заботитс€ о том, чтобы получить от вас больше пользы. ќн хочет, чтобы вы работали всегда, когда у вас по€витс€ п€ть свободных минут и подключение по Wi-Fi. ѕереносные компьютеры сто€т дороже, чем настольные, но это полностью окупаетс€ производительностью.  ак вы понимаете, именно мобильность делает их столь привлекательными дл€ вас и ваших конкурентов.

«ададимс€ таким вопросом: какой процент от общего количества времени, в течение которого ваш компьютер включен и подсоединен к какой-либо сети, составл€ет врем€ подключени€ к вашей корпоративной сети? ≈сли вы работаете в режиме, похожем на мой, то не больше 20 процентов. Ёто означает, что только 20 процентов времени мой переносной компьютер находитс€ в безопасности в пределах корпоративной сети корпорации ћайкрософт, защищенный от внешних атак механизмами демилитаризованной зоны.Ќо как же быть с теми 80 процентами времени, когда мой переносной компьютер с различными цел€ми подключаетс€ напр€мую к »нтернету? (ј € очень часто подключаюсь к самым опасным сет€м в мире: к Ћ¬— отел€ во врем€ конференции по компьютерной безопасности!) ƒа и при подключении к корпоративной сети — как насчет угроз, исход€щих от других компьютеров в этой среде?

—редства безопасности разрабатываютс€ после, а иногда значительно позже, по€влени€ угроз. ¬ирусы были клиентской проблемой, потому что люди широко использовали дискеты, и поэтому перва€ антивирусна€ программа по€вилась на клиентском компьютере. ѕозже, когда с ростом попул€рности электронной почты вредоносные программы превратились в сетевых червей, которые распростран€лись по ней, программы защиты от вредоносного ѕќ также эволюционировали, и по€вились шлюзы электронной почты. — развитием »нтернета к вредоносным программам добавились тро€ны, и вслед за этим антивирусное программное обеспечение переместилось на прокси-серверы доступа в »нтернет. Ёто широко известный эволюционный путь, который никто не ставит под сомнение.

ј теперь давайте применим ту же логику к брандмауэрам. ƒл€ защиты от компьютерных угроз вчерашнего дн€ брандмауэра на границе сети хватало. “еперь его недостаточно, потому что угрозы многочисленнее, сложнее и все быстрее распростран€ютс€. ѕри этом мы еще не касаемс€ того, что оборудование и способы работы значительно отличаютс€ от используемых в прошлом. ћногие компьютеры содержат секретную информацию, хранимую локально, и они могут длительное врем€ находитьс€ далеко от корпоративной сети (то есть за границей сети). ѕоэтому брандмауэру суждено стать защитным механизмом каждого отдельного клиента. ƒл€ клиентов брандмауэры больше не €вл€ютс€ необ€зательными. Ќе делайте этой ошибки: не пренебрегайте ими. ƒл€ защиты компьютера от вашей собственной корпоративной сети и от »нтернета клиентские брандмауэры жизненно важны.

 лиентские брандмауэры и “театр безопасности”


ћногие люди не знали о том, что первый выпуск Windows® XP содержал клиентский брандмауэр. Ёто и не удивительно, так как по умолчанию брандмауэр был выключен, а включить его можно было, сделав довольно много щелчков мышью. Ѕрандмауэр просто по€вилс€, причем достаточно скрытно, при этом не настаива€ на своем использовании и не дава€ руководств по применению. Ќо он действительно работал. ≈сли бы вы включили этот брандмауэр, то он защитил бы вас от вирусов Nimda, Slammer, Blaster, Sasser, Zotob и любых других попыток передать непрошенный трафик через порт вашей сети. ѕонимани€ важность защиты клиента, разработчики пакета обновлени€ 2 (SP2) дл€ Windows XP включили брандмауэр по умолчанию, создали два профил€ (»нтернет и корпоративна€ сеть) и интегрировали его с групповыми политиками.

  сожалению, два фактора замедлили воспри€тие брандмауэра Windows XP SP2: проблемы с приложени€ми и “театр безопасности”. ћногие бо€лись, что брандмауэр помешает правильной работе их приложений. “акое, однако, случалось нечасто, что объ€сн€етс€ принципом работы брандмауэра. ќн позвол€л любому исход€щему трафику покинуть компьютер, но при этом блокировал весь вход€щий трафик, который не €вл€лс€ ответом на некоторый предыдущий исход€щий запрос. ≈динственный случай, когда така€ схема нарушала работу клиентского приложени€, — если оно создавало прослушивающий сокет и ожидало получени€ вход€щих запросов. Ѕрандмауэр Windows XP обеспечивал простые настройки исключений дл€ программ или портов (но, к сожалению, не с помощью групповой политики).

Ѕольшим преп€тствием €вл€лс€ “театр безопасности”, устраиваемый производител€ми других клиентских брандмауэров. Ќекоторые люди полагали, что принципа работы брандмауэра Windows XP, а именно разрешени€ исход€щему трафику беспреп€тственно покидать компьютер, дл€ полнофункциональной работы клиентского брандмауэра недостаточно. јргументом было то, что клиентский брандмауэр должен задерживать весь трафик, вход€щий и исход€щий, до тех пор, пока пользователь не даст €вного разрешени€.

ƒавайте разберемс€. «десь возникают два сценари€.

  •  ≈сли вы работаете с правами локального администратора, и ваш компьютер заражен вредоносной программой, то она просто отключит брандмауэр. ¬ы проиграли.
  •  ≈сли вы не работаете как локальный администратор, и ваш компьютер заразилс€ вредоносной программой, то эта программа заставит брандмауэр стороннего производител€ открыть диалоговое окно, которое содержит иностранный текст (там что-то про порты и IP-адреса) и задает очень серьезный вопрос: “¬ы разрешаете это сделать?”. ≈динственным ответом, конечно, будет “ƒа, да, да, тупой компьютер, и прекрати мен€ доставать!” » как только этот диалог исчезнет с экрана, исчезнет и ваша безопасность. »ли, что еще чаще случаетс€, вредоносна€ программа просто внедритс€ в существующий сеанс программы, действи€ которой уже одобрены, и вы даже не увидите диалогового окна. ¬ы оп€ть проиграли.
—уществует важный постулат безопасности, который необходимо усвоить: защита относитс€ к ресурсу, который вы хотите защитить, а не к тому, от чего вы защищаетесь. ѕравильный подход — это запустить простой, но эффективный брандмауэр Windows на каждом компьютере вашей организации дл€ защиты каждого компьютера от других компьютеров по всему миру. ≈сли вы пытаетесь заблокировать исход€щие подключени€ от компьютера, безопасность которого уже нарушена, то как вы можете быть уверены, что компьютер делает то, что вы просите? ќтвет прост: никак. »сход€ща€ защита — это “театр безопасности”, это уловка, котора€ только создает впечатление улучшени€ безопасности, при этом не дела€ ничего дл€ действительного ее улучшени€. ¬от почему исход€щей защиты не было в брандмауэре Windows XP и вот почему ее нет и в брандмауэре Windows Vista™. (ƒалее € еще остановлюсь на управлении исход€щим трафиком в Windows Vista.)

„то нового в Windows Vista?


ќсновой дл€ брандмауэра Windows Vista €вл€етс€ платформа фильтрации Windows, часть нового сетевого стека.  ак и Windows XP, Windows Vista по умолчанию блокирует вход€щий трафик. ¬ зависимости от того, какой профиль используетс€ на компьютере, примен€етс€ несколько стандартных исключений дл€ сетевых служб (о профил€х € расскажу далее). ѕри желании можно написать правила, разрешающие вход€щие подключени€. “ак же, как и Windows XP, Windows Vista по умолчанию пропускает весь исход€щий трафик интерактивных процессов, но ограничивает исход€щий трафик служб, который определен в ограничени€х служб. », оп€ть же, можно написать правила дл€ блокировки дополнительных исход€щих подключений.

—ерьезным отличием Windows Vista от Windows XP €вл€етс€ новый интерфейс повышенной безопасности и полна€ поддержка групповых политик в области настроек и правил (см. рис. 1). —тара€ панель управлени€ в интерфейсе пользовател€ осталась практически без изменений, только настройки журнала и протокола ICMP переместились в новый интерфейс. Ётот новый интерфейс пользовател€, оснастка MMC “ѕовышенна€ безопасность”, обеспечивает новые возможности и гибкость. »меетс€ также новый контекст netsh advfirewall в команде netsh, с помощью которого можно запускать сценарии добавлени€ и удалени€ правил, настраивать и показывать глобальные и профильные политики и просматривать состо€ние активности брандмауэра. ƒл€ вас, разработчики: файлы FirewallAPI.dll и Netfw.h обеспечивают программное управление всеми параметрами брандмауэра.



–ис. 1 Ѕрандмауэр Windows в режиме повышенной безопасности (ўелкните изображение, чтобы уменьшить его)

”правление в оснастке MMC “ѕовышенна€ безопасность” осуществл€етс€ с помощью мастера. ѕри создании правила вы можете выбрать один из четырех типов: дл€ программы, дл€ порта, предопределенное или пользовательское. ѕо€снени€ см. на рис2.

ѕри написании правил можно использовать множество элементов — все они доступны дл€ локальных правил и правил, примен€емых с помощью групповой политики. ¬ их число вход€т: учетные записи и группы пользователей и компьютеров службы Active Directory®, исходные и конечные IP-адреса, исходные и конечные порты TCP и UDP, номера протоколов IP, программы и службы, типы интерфейсов (проводной, беспроводной или удаленный доступ) и типы и коды ICMP.

Ѕудучи настроенным, брандмауэр обрабатывает правила в следующем пор€дке.

ќграничени€ служб Ќекоторые службы в Windows Vista ограничивают себ€ дл€ снижени€ веро€тности новой атаки типа Blaster. ќдно из ограничений — это список портов, которые необходимы данной службе. Ѕрандмауэр следит за этим и запрещает использование (или указание использовать) данной службой другого порта.

ѕравила безопасности подключени€ ќснастка MMC “ѕовышенна€ безопасность” нар€ду с поддержкой брандмауэра отвечает и за работу протокола IPsec. Ћюбые правила, которые включают политики IPsec, выполн€ютс€ во вторую очередь.

ќбход проверки подлинности  Ёто позвол€ет определенным компьютерам, прошедшим проверку подлинности, обойти другие правила.

Ѕлокирующие правила Ёти правила €вно блокируют определенный вход€щий и исход€щий трафик.

–азрешающие правила Ёти правила €вно разрешают определенный вход€щий и исход€щий трафик.

ѕравила брандмауэра хран€тс€ в реестре, но где именно, € не скажу. Ќу... ладно, вы найдете их здесь:

  • HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRule
  • HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
  • HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System

Ќо только не редактируйте эти правила пр€мо в реестре. »наче мы найдем вас, выкрадем вашего домашнего любимца и продадим на eBay! Ќу, может, до этого и не дойдет, но единственный поддерживаемый способ редактировать правила — это использовать MMC режима повышенной безопасности.

—етевые профили

¬ Windows Vista определено три сетевых профил€: доменный, частный и общий. ≈сли компьютер принадлежит домену, и вход в домен успешно выполнен, автоматически примен€етс€ профиль домена — самосто€тельно сделать этот выбор вы не можете.  огда компьютер подключен к внутренней сети, в которой нет домена (например к домашней сети или сети в небольшом офисе), вы (или администратор) должны применить частный профиль. Ќаконец, когда компьютер подключен непосредственно к »нтернету, следует применить общий профиль.

 ак Windows Vista определ€ет, куда поместить ваш компьютер? ≈сли происходит изменение сети (получен новый IP-адрес, обнаружен новый шлюз, примен€емый по умолчанию, или получен новый интерфейс), служба сетевого расположени€ (NLA) вы€вл€ет это изменение. ќна создает сетевой профиль, который включает информацию о существующих интерфейсах, о том, прошел ли компьютер проверку подлинности при подключении к контроллеру домена, MAC-адрес шлюза и т.д., и присваивает этому профилю GUID. «атем NLA уведомл€ет брандмауэр, и тот примен€ет соответствующую политику (дл€ каждого из трех существующих профилей определена сво€ политика).

≈сли интерфейс новый и компьютер ранее с ним не сталкивалс€, а служба NLA не выбрала профиль домена, вы увидите диалоговое окно, в котором вас попрос€т указать тип сети, к которой вы подключаетесь.  ак ни странно, вариантов три: домашн€€, рабоча€ и публична€. ¬ы можете подумать, что “рабоча€” означает профиль домена, но на самом деле это не одно и то же. ѕомните, что профиль домена вы не увидите, так как при подключении компьютера к домену служба NLA выбирает его автоматически. Ќа самом деле оба варианта — “домашн€€” и “рабоча€” — относ€тс€ к частному профилю. ‘ункционально они одинаковы — отличаютс€ только значки. (ѕримечание. „тобы выбрать частный профиль, вы должны быть локальным администратором или иметь возможность повысить права до локального администратора.)  ак и следовало ожидать, “публична€” относитс€ к общему профилю.

¬ Windows Vista сетевой профиль примен€етс€ ко всем интерфейсам компьютера. ¬от краткое описание алгоритма дерева решений службы NLA.

  1. »сследовать все подключенные сети.
  2. »меетс€ ли интерфейс, подключенный к сети, определенной как публична€? ≈сли да, настроить профиль компьютера как общий и выйти.
  3. »меетс€ ли интерфейс, подключенный к сети, определенной как частна€? ≈сли да, настроить профиль компьютера как частный и выйти.
  4. ¬се ли интерфейсы вид€т контроллер домена и выполнил ли компьютер успешный вход в него? ≈сли да, настроить профиль компьютера как доменный и выйти.
  5. »наче настроить профиль компьютера как общий.

÷елью €вл€етс€ выбор как можно более ограничивающего профил€. ќднако здесь есть два очевидных побочных эффекта. ¬о-первых, если порт Ethernet вашего компьютера подключен к вашей корпоративной сети, а его адаптер беспроводной св€зи подключен к сети кафе Starbucks этажом ниже, компьютер выберет общий профиль, а не профиль домена. ¬о-вторых, если ваш компьютер подключен пр€мо к »нтернету (в общем профиле) или подключен к вашей домашней Ћ¬— (в частном профиле), и вы устанавливаете VPN-подключение к корпоративной сети, ваш компьютер остаетс€ в общем или частном профиле.

„то это может означать? ѕолитика брандмауэра дл€ профил€ домена включает правила дл€ удаленной поддержки, удаленного администрировани€, общего доступа к файлам и принтеру и т.д. ≈сли вы используете эти правила, чтобы удаленно подключитьс€ к клиенту, у вас ничего не получитс€, если клиент выбрал какой-либо другой профиль. Ќо не расстраивайтесь — можно написать правила брандмауэра, которые разрешают необходимые вам вход€щие подключени€, а затем применить их только к VPN-подключени€м.“еперь можно выполн€ть администрирование ваших клиентов с помощью VPN, даже если они не используют профиль домена.

”правление исход€щими подключени€ми

–анее € упоминал, что исход€ща€ защита в клиентских брандмауэрах — не более чем “театр безопасности”. ќднако один из видов управлени€ исход€щей защитой очень полезен: это административное управление определенными типами трафика, которые вы определенно не хотите разрешать. Ѕрандмауэр Windows Vista уже делает это дл€ ограничений служб. ќн позвол€ет службе использовать необходимые ей порты и блокирует любые другие ее действи€. ћожно создать дополнительные правила, которые будут разрешать или блокировать определенный трафик в соответствии политикой безопасности вашей организации (см. рис. 3).



–ис. 3 ћастер создани€ правила дл€ нового вход€щего подключени€ (ўелкните изображение, чтобы увеличить его)

—кажем, вы вдруг захотели запретить пользовател€м работать с определенным клиентом мгновенной передачи сообщений. ¬ы можете создать правило (конечно, в групповой политике) дл€ блокировки подключений этого клиента к регистрационным серверам.

Ќо на пути применени€ такого подхода есть практические ограничени€. Ќапример, Windows Live™ Messenger (который вы, возможно, все еще знаете как MSN® Messenger) имеет множество различных серверов, которые могут использоватьс€ дл€ входа, и их список посто€нно мен€етс€.  роме того, если используемый по умолчанию порт 1863/tcp заблокирован, он переключитс€ на порт 80/tcp. ѕравило дл€ блокировки подключени€ Windows Live Messenger к регистрационным серверам будет слишком сложным и подверженным посто€нным корректировкам. я привел этот пример, чтобы проиллюстрировать, что административное управление исход€щим трафиком может быть полезным, но оно не замен€ет политик ограниченного использовани€ программ, если необходимо соблюдать строгий контроль программного обеспечени€, которое пользовател€м разрешено устанавливать и запускать.

«ащитите свой компьютер

ƒемилитаризованной зоны больше нет. “еперь каждый компьютер должен следить за собственной безопасностью.  ак программы защиты от вредоносного программного обеспечени€ были перенесены с клиентского компьютера на границу, так и брандмауэры должны быть перемещены с границы на клиентов. ¬ы можете сделать это мгновенно, включив брандмауэр, который у вас уже установлен.

≈сли вы работаете в операционной системе Windows XP или уже перешли на Windows Vista, брандмауэр Windows доступен всем вашим клиентам и обеспечит защиту, котора€ необходима дл€ улучшени€ безопасности в пределах организации — даже если ваши мобильные сотрудники наход€тс€ за тыс€чи километров от офиса.

—тив –айли (Steve Riley), старший специалист по разработке стратегий безопасности в группе корпорации ћайкрософт по вопросам надежного использовани€ компьютерной техники и пишущий редактор журнала TechNet Magazine. ќн посто€нно летает по всему миру, выступа€ на конференци€х и помога€ заказчикам в обеспечении безопасности. ≈го последн€€ книга — Protect Your Windows Network («ащита сети Windows. »здательство Addison-Wesley, 2005 г.). — ним можно св€затьс€ по адресу steve.riley@microsoft.com.

или введите им€

CAPTCHA
—траницы: 1  2  3  4  
1
06-06-2007 21:36:58
Ќевозможно настроить дл€ нормальной защиты данную поделку. упраление правилами дл€ приложений, контроль трафика, уравление портами, блокировка IP, абсолютно все кор€во. Ёто не брандмаузер, а пароди€ на нормальный файрволл.
0 |
1
06-06-2007 21:43:55
ќчень даже можно настроить, вполне самодостаточный файрвалл, к тому же бесплатный ј если у некорых руки кривые, нечего пен€ть на разработчиков.
0 |
1
06-06-2007 23:23:14
 ак настроить с помощью ентого подели€, сообщени€ о сканированиии определенных портов, причем отдельно дл€ локалки (сообщать не надо) и инета(сообщать), и с об€зательным определением айпишника с которого происходит сканирование?  ак ограничить трафик (не запретить)дл€ определЄнного порта?  ак посмотреть какое приложение, по какому протоколу, через какой порт, и на какой IP получило (отправило) ћб, и в какое врем€?
0 |
1
07-06-2007 09:00:42
Ќе согласен. Ёто не дл€ администрировани€ сети. ј дл€ простых пользователей, коих 95% от обшщего кол-ва пользователей. ≈сли ты админ и хочешь там рулить трафиком - пользуйс€ другими средствами. ј дл€ локальной машины - этого сердства за глаза. я пользуюсь им, несмотр€ на то что знаю о недостатках, но большего мне и не надо. Ёто как сковорода - рпедназначена дл€ жарки, а если вам надо и гриль и разогрев - берите микроволновку.
0 |
1
07-06-2007 21:24:08
я про простых пользователей и говорю. ƒл€ сервера и разруливани€ трафика Linux использую.
0 |
1
07-06-2007 10:38:39
а зачем тебе знать с какого ип адреса теб€ сканируют? можно подумать ты найдЄшь его и постучишь ему по голове. ну сканирует ну и фиг с ним, от этого ровным счотом ничего не мен€етс€ кто сказал что фаервол должен отображать подобную информацию? он должен защищать, а аналитика это полезна€ фенечка внагрузку (вспоминаем iptables и иже с ним) но активные сокеты таким она смареть))) netstat в консоле, это дл€ особо любопытных. ненравитс€ текстовый вывод? любишь клацать мышкой? ты не админ, тебе хочетс€ только поканетелитьс€
0 |
1
07-06-2007 10:46:48
ну сканирует ну и фиг с ним, от этого ровным счотом ничего не мен€етс€ай-€й-€й вот это знать как раз надо если в локалке по€вл€етс€ больна€ тачка, то знать откуда теб€ пытаютс€ поиметь очень даже полезно. например, что бы нафиг заблочить на пару недель ее айпишник в своем фаере и сообщить админу сети. это особенно актуально в случае наших домашних сетей
0 |
1
07-06-2007 15:39:42
≈сли надо определ€ть сканирование портов, то ¬ам в самый раз надо ставить IDS (системы обнаружени€ вторжени€), и уж тем более если ¬ам необходимо обноружить откуда идет атака, то наверн€ка ¬ам придетс€ учесть такие вещи, как распределенные атаки, где каждый зараженный хост выполн€ет свои функции ¬ ¬исте же стоит нормальный Ѕ–јЌƒћј”≈–, а не IDS.
0 |
1
07-06-2007 16:00:40
Ќе понимаю зачем ставить тормозную IDS, вместо того, что бы просто сделать лог событий фаеру и какие-то элементарные алерты. ≈сли какое-то приложение посто€нно долбитс€ на какой-то порт моего компа и фаер молча ничего не делает, то это говорит о том, что он сделан либо лохами, либо дл€ лохов
0 |
1
07-07-2007 12:43:03
 асперыч поставь и не имей люд€м мозги. –аз ты фанат алертов.
0 |
1
08-06-2007 12:36:51
ј ты с€дь на другой ѕ  в сети и проверь его сам.
0 |
06-06-2007 22:43:53
если они его нормально сделают то оп€ть все завоют макрософт малополист!! это нормально, если что то там нет... бедн€га жетико ваще свернетс€...
0 |
1
07-06-2007 00:13:31
ќп€ть реклама микрософт, € теперь понимаю почему на дей большенство пользователей, да потомучто про неЄ вездЄ пишут, и не важно что главное писать главное напоминать.
0 |
1
07-06-2007 00:22:03
–еальный пример работы файрвола: исход€щий трафик FTP при включеном фаерволе было в пределах 4 байт в секунду –ешение: ќтключить фаервол =)
0 |
1
07-06-2007 02:13:39
" * ≈сли вы работаете с правами локального администратора, и ваш компьютер заражен вредоносной программой, то она просто отключит брандмауэр. ¬ы проиграли. * ≈сли вы не работаете как локальный администратор, и ваш компьютер заразилс€ вредоносной программой, то эта программа заставит брандмауэр стороннего производител€ открыть диалоговое окно, которое содержит иностранный текст (там что-то про порты и IP-адреса) и задает очень серьезный вопрос: У¬ы разрешаете это сделать?Ф. ≈динственным ответом, конечно, будет Уƒа, да, да, тупой компьютер, и прекрати мен€ доставать!Ф " ƒаунский подход, ничего больше не скажешь. ќни видимо всех считают идиотами. ј ведь именно нормальный! брандмауэр не раз спасал мен€ от тро€нов еще неизвестных антивирусу - надо просто прочитать, что за нова€ программа и куда пытаетс€ выйти с твоего компьютера.
0 |
1
07-06-2007 09:29:31
Ќ-да. √де-нибудь на синьюсе така€ стать€ была бы уместна. Ќо на секлабе, »ћ’ќ, это просто оскорбление читател€. я - админ. ћне пофиг на юзера, и если будет примен€тьс€ персональный брандмауэр, а в некоторых случа€х это приходитс€ делать - то он будет управл€тьс€ централизованно и никогда ничего не спросит у юзера. ќн сделает то, что € велю, а остальное забанит.
0 |
1
07-06-2007 11:22:16
»менно так. –азрешить только то , что разрешу €, понима€ что € делаю. »наче такой фаервол не нужен. —еклаб всеже не сайт дл€ второгодников-информатиков. ’от€ чита€ статьи и новости , дл€ первоклашек , становитьс€ грустно.
0 |
1
07-06-2007 09:30:39
—пустись с небес на грешную «емлю. 99% обычных пользователей пон€ти€ не имеют о протоколах/портах и прочих интимных подробност€х сетевых технологий. —проси себ€, как, по твоему, поступит обычных бухгалтер, когда увидит подобное сообщение пыта€сь отослать платежку в банк? »менно так - ƒј, ƒј! » подход у человека от безопасности должен быть имеено такой - в твоей локальной сети, что не дауны, то хакеры пока не уволенные.
0 |
1
07-06-2007 10:41:48
согласен. если ты не даун, то тебе хватит мозгофф недопустить тро€. хот€бы соблюда€ банальные правила - типа не запускать подозрительные вложени€, не лазить на порнушыне сайты или лазить но чемто безопасным, пользоватьс€ антивирусом
0 |
1
08-06-2007 15:25:04
согласен. если ты не даун, то тебе хватит мозгофф недопустить тро€. хот€бы соблюда€ банальные правила - типа не запускать подозрительные вложени€, не лазить на порнушыне сайты или лазить но чемто безопасным, пользоватьс€ антивирусом –еб€та, вы с луны свалились? ” мен€ спрашивают: - точку на русском или латинском регитсре набирать?  акие мозги? ” кого? ” юзвер€? ƒа нельз€ им довер€ть отвечать на такой серьезный вопрос как пропустить или нет!
0 |
1
07-06-2007 10:52:11
—пустись с небес на грешную «емлю. 99% обычных пользователей пон€ти€ не имеют о протоколах/портах и прочих интимных подробност€х сетевых технологий.вы предлагаете всем стать такими же лохами? общий даунский уровень пользователей не означает, что надо отказыватьс€ от статистики и расширенной гибкости настроек
0 |
1
07-06-2007 15:58:46
 ому всем? Ќужно отдел€ть мухи от котлет. —тив –айли говорит, что в основной своей массе люди не обладают достаточными знани€ми, чтобы давть себе отчет в своих действи€х, не то что, эфективно противосто€ть новым угрозам из интернет и т.п. Ёсли ты не пон€л - это не цель, это констатаци€ очевидного факта. » это отправна€ точка дл€ специалистов.  аждый должен заниматьс€ своим делом. «ачем секретарше расширенной гибкости настроек? ѕр€ма€ аналоги€ с гранатой и обезь€ной очевидна?
0 |
1
07-06-2007 16:19:44
так давайте же все станем тупым быдлом! зачем учитьс€ если большинство чуваков вокруг прыгает с копьем вокруг костра? зачем ездить на транспорте, если умееш ходить? нафиг летом одежда? зачем покупать в магазинах хавку, когда так много вкусных объедков? зачем реализовывать механизм логировани€ событий, если под виндами логи почти никто не читает? зачем делать какие-то предупреждени€, если пользователи их всеравно не поймут! пусть быдло остаетс€ быдлом!
0 |
1
07-06-2007 23:49:33
а им всЄ это и не надо. € же говорю, простенький фаер вроде wipfw с рулесами в профиле пользовател€. Ћучше вообще кабинеты цепл€ть в 3550 и каждому юзеру по vlan.
0 |
1
08-06-2007 02:43:19
"—проси себ€, как, по твоему, поступит обычных бухгалтер, когда увидит подобное сообщение пыта€сь отослать платежку в банк? " ” обычного бухгалтера ничего не выскочил, потому что фаер уже настроен пропускать то, „“ќ Ќјƒќ, и это не работа бухгалтера разрешать соединени€, это работа админа. » если вдруг платежка не уходит - работа админа разрешить исход€щее соединение.
0 |
1
08-06-2007 10:31:40
бухгалтера тут как раз нипричем. бухгалтеру админ все настроит. и настроит ему он, скорее всего не виндовый фаер, а поставит какой-нить сигейт или что-то подобное - от нормального производител€. подавл€ющее колличество пользователей винды - домохоз€йки. вот дл€ них этот фаер. а фаер, который думает, что он умнее пользовател€ - полное фуфло. это доказано опытом. потому как если без моего согласи€ какое-то приложение становитс€ доверенным, то это уже ни в какие ворота не лезет - потенциальна€ дыра налицо.
0 |
1
07-06-2007 13:05:50
„ушь полна€. » ложь нагла€. ” мен€ фаер (јутпост) стоит в состо€нии блокировать все что неизвестно и не доставать мен€ вопросами. ¬се работает как часики. ј вендовый фаер в топке пусть горит. ќн не может элементарно ActiveX заблокировать с сайтов чтобы "не доставал" вопросами браузер.
0 |
1
07-06-2007 15:51:54
ј как насчет BOOT-Time_filter, который присутствует во встроеном фаере?
0 |
05-07-2007 13:04:55
порт на свитче не сразу поднимать. вот и всего делов
0 |
—траницы: 1  2  3  4