Michal Kawecki <kkwinto@o2.px> wrote:
> Pomimo statusu MVP jesteśmy całkowicie niezależni od MS. Przynajmniej
> o sobie mogę to powiedzieć. Do polecanych przeze mnie rozwiązań
> dochodzę sam i każde z nich OSOBIŚCIE testuję, zarówno na komputerach
> własnej firmy, jak i na tych którymi się opiekuję zawodowo.
Milo to slyszec, a skojarzylo mi sie dlatego ze uzyles DOKLADNIE
takich samych calych zdan jak inny MVP w tej sprawie. Wiec moze to wplyw
jakiegos wspolnego szkolenia, konferencji itp. co powoduje ze zapmaietalo
sie dana argumentacje.
> Firewall nie musi działać w dwie strony, wystarczy jeśli działa w
> jedną.
Kwestia podejscia. To przegladarka WWW powinna dzialac w jedna strone
(slynny zart nt IE i przegladania zawertosci interneu z danego komputera -
i odwrotnie) natomiast firewall inny niz typowo pakietowy - czyli
softwarowy personall firewall powinien IMHO dzialac w obie strony.
> Kontrolowanie połączeń wychodzących jest stosowane rzadko i
> raczej przez uzytkowników świadomych tego, co chcą osiągnąć.
Tutaj jednak rozminales sie z faktami. Rozwiazanie MS to chyba jedyny
popularny PF (softwarowy) dzialajacy tylko w jedna stronne. Praktycznie
kazdy inny mniej lub bardziej skutecznie stara sie dzialc w obie.
> Zapora zaimplementowana w XP wraz z SP2 nie odbiega skutecznością od
> firewalli wbudowanych w routery sprzętowe,
Halo - Ziemia do Michala Kaweckiego. Personall firewalle do ktorych
zalicza sie na dobra sprawe rowniez rozwiazanie MS dzialaja na troche
innych zasadach niz firewalle pakietowe - sprzetowe czy pf, iptables itp.
> które przecież nie kontrolują ruchu wychodzącego (a jeśli kontrolują, to
> i tak nikt z tego nie korzysta).
Dlaczego tak twierdzisz? Praktycznie kazda amatorska siec oprata
zazwyczaj o iptables w ten czy inny sposob ogranicza ruch wychodzacy:
rozne P2P, slynne porty 135, 445 137:139, netbios itp przez ktore rozlazi
sie najwiecej robakow i na ktorych sie dobijaja zapychajac przepustowosc.
> I jak na razie nie słychać, żeby ktoś ją pokonał.
> Pomimo to osobiście preferuję właśnie rozwiązania sprzętowe, a to
> dlatego, iż nie da się ich wyłączyć w przypadku zainfekowania systemu.
Wiesz: nie kazdego stac albo chce inwestowac w rozwiazania klasy
Cisco itp. ktore tez musza byc skonfigurowane i zabezpieczone. Jak sie
spojrzy na ilosc stojacych w kazdym miescie APkow z domyslnymi - nie
zmienionymi user/pass to zaczynam miec watpliwosci co do skutecznosci
i podstawowych zalet firewalla sprzetowego przy podobnych praktykach.
> Tyle że to równie łatwo może się przytrafić zarówno Zaporze, jak i
> proponowanemu tutaj Kerio. Dlatego pisanie, że Kerio z jakichś tam
> powodów będzie skuteczniejsze, nie ma oparcia w faktach.
Nie pisalem nic o Kerio - za to wytykalem rozwiazaniu MS
jednokierunkowosc. Ale jesli juz koniecznie chcesz pisac o Kerio PF (nie
uzywam go - preferuje Outposta) to IMHO jest to bezpieczniejsze z jednego
prostego powodu: jest to rozwiazanie mniej popularne niz wbudowane
rozwiazanie MS. Popularnych alterantywnych PF jest co najmniej kilkanascie
wiec istnieje znaczaco wieksze prawdopodobnienstwo, ze zlosciwy kod
wykorzystujacy slabosc konkretnego rozwiazania skupi sie na
najpopularniejszym rozwiazaniu MS i tu najczesciej szukac sie bedzie dziur
mozliwych do wykorzystania. Podobnie jest z przegladarkami i np: Opera -
jest ona najmniej popularna z wielkiej trojki
i poza dziwnymi ukladami z Secunia pewnie tez najmniej dokladnie
przetestowana na mozliwosc naduzyc.
>> Zestawienie skutecznosci PF juz podalem [link], przypomne tylko ze
>
> To jest zestawienie skuteczności kontroli ruchu wychodzącego w
> firewallach, a nie zestawienie skuteczności firewalli. Ponieważ Zapora
> ruchem wychodzącym się nie zajmuje, więc umieszczenie jej w tej
> tabelce jest nieporozumieniem.
Wiec twierdzisz ze skoro rozwiazanie MS problemu nie widzi to
problemu nie ma? To juz chyba Walesa kilkanascie lat temu sugerowal
wyrzucenie termometru na leczenie goraczki ;)
> BTW tak się składa, że od paru już lat
> osobiście ten link w wielu dyskusjach podawałem, i choć brak mi
> pewności w tym względzie, to mogę założyć, że na polskich grupach
> dyskusyjnych byłem pierwszy. Patrz http://tinyurl.com/nrmva .
Rzucilem okiem i przyszlo mi do glowy jedno: czy to nie bylo jeszcze
przed ukazaniem sie SP2 do WinXP - bo wtedy co innego uwazales za dobre
i godne polecenia. Tyle tylko ze na WinXP siwat sie nie konczy. MS zamiast
bawic sie w takie ulomnie firewalle milo byloby gdyby wypuscil wlasnego
antywirusa do pobrania i zainstalowania w kazym obecnie supportowanym OSie.
W odroznieniu od personall firewalli o darmowego AV znacznie trudniej.
> Ano, tabelka na którą się powołujesz dowodzi niestety czegoś
> całkowicie odmiennego. Otóż wynika z niej jasno, że wszystkie
> firewalle aktualnie obecne na rynku są w mniejszym lub większym
> stopniu podatne na różnego rodzaju sztuczki, pozwalające je obejść
> działając od wewnątrz systemu. I to czasami w banalny sposób.
Kolejny raz wychodzi srawa wyciagniecia kabla z gniazdka. Tyle tylko
ze skoro kazdy firewall ma potencjalne lub calkiem realne zagrozenia to ma
byc powod do uzywania najmniej skutecznewgo rozwiazania?
> Ponadto
> w większości z nich pełną skuteczność uzyskuje się dopiero po
> włączeniu w ich opcjach zaawansowanego wykrywania dll-li, co do tego
> stopnia staje się uciążliwe w użytkowaniu, że IMHO większość
> użytkowników te zaawansowane opcje zaraz wyłącza.
Zapomniales ze wiekszosc PF moze dzialac nie tylko w trybie nauki,
ale rowniez w zdefiniowanych wczesniej trybach zabezpieczen, gdzie ilosc
zapytan jest minimalna - praktycznie nie wystepuja.
> Stąd wniosek, że w
> istocie firewalle te w niewielkim stopniu podnoszą bezpieczeństwo
> systemu w stosunku do zwykłej Zapory,
Wiesz ja nie wymagam by cos bylo w 100% bezpieczne - takich rozwiazan
po prostu nie ma. Ale jesli mam wybor to chce uzywac rozwiazania
bezpieczneijszego i pozwalajacego mi na kontrole nad PF i ruchemn
sieciowym, czego o rozwiazaniu MS praktycznie nie da sie powiedziec. Nie
wiem dlaczego MS koniecznie chce traktowac wszystkich swoich uzytkownikow
jak debili, co to schowaja sie pod biurkoi jesli zobacza zapytanie o
reakcje na zadanie przez proces dostepu do wyjscia na swiat.
Taki "drobny" szczegol jak to, ze firewall MS jest tylko pod WinXP tez jest
co najmniej dziwny - dlaczego jesli to takie swietne rozwiazanie to nie
bylo ono dostepne rowniez dla innych OSow MS w okresie ich supportowania?
> a już na pewno nie zabezpieczą
> przed szkodnikiem napisanym tak, żeby je obejść. Tym samym stwarzają
> jedynie złudne poczucie bezpieczeństwa. Do tego dochodzi możliwość ich
> programowego wyłączenia...
Juz wyzej pisalem - nawet jesli dane rozwiazanie da sie wylaczyc
programowo, to uzywanie rozwiazan alterantywnych a nie domyslnej
konfiguracji podnosi poziom bezpieczenstwa z prostej przyczyny -
rozwiazania alterantywne jako mniej popularne sa mniej narazone na odkrycie
i wykorzystanie luk nawet jesli by te w nich tkwily. Przypominam ze ten
watek zaczal sie od pewnie jakiegos robaka wylaczajacego wbudowane
rozwiazanie MS. Ide o zaklad ze po zinstalowaniiu na tym juz zarazonym
konfigu np: Jetico PF czy Kerio w jednej z jego roznych wersji nie
powodowaloby wylaczenia PF.
> rootkity... Doprawdy, spróbuj może znaleźć
> inne argumenty, które wykażą wyższość takiego firewalla nad tandemem
> Zapora plus dobry program antywirusowy/antymalware :-).
Chwila - tandemem?
1. To MS oferuje juz wlasny, darmowy antywirus? Cos przeoczylem?
2. Nawet jesli w przypadku AV siegnie sie do rozwiazania zewnetrznego to
nie mozna porownywac rownolegle dzialajacego firewalla i AV z samym
firewallem. Poza cena wspomne tylko o zasobozernosci i spowolniniu
dzialania systemu ciaglym skanowaniem przez monitor AV. O ile bedac na
stale podlaczonym do sieci i nie zabezpieczonym innym firewallem PF
wylacza chyba tylko idiota [PF praktycznie nie spowalnia systemu] to
wylaczenie monitora AV jest juz dosc czeste - nawet najwydajniejsze
chyba obcenie rozwiazanie jakim jest monitor w NOD32 [aktualnie go
uzywam i widze przyspieszenie w stosunku do KAV 5.0 PPRO] jednak
zauwazalnie spowalnia start aplikacji i przegladaniekatalogow nawet na
maszynce ponad 2 GHz [AMD a nie P4] z 1 GB RAM.
> Jeszcze raz: nie twierdzę wcale, że kontrola ruchu wychodzącego nie
> jest przydatna. Owszem, jest, ale tylko w przypadku kiedy nasz system
> *już* został zainfekowany. A to oznacza, że szczególny nacisk należy
> położyć nie na wykrywanie objawów infekcji, tylko na jej ZAPOBIEGANIE.
Wiesz - obecnie tyle oprogramowania zwlaszcza freeware/shareware
zawiera adware, systemy szpiegujace itp ze kontrola ruchu wychodzacego
to IMHO podstawa i wcale nie mjusui dotyczyc wylacznie robakow/wirusow jak
starasz sie sugerowac. Zawsze wylaczam sprawdzanie aktualizacji [moge to
zrobic recznie jak chce] a mimo to niektore programy uparcie chca sie
laczyc ze strona producenta i cos wyslac. Biorac pod uwage ze nie zna sie
ich kodu [to nie oprogramowanie open source][ cos takiego bardzo mi sie nie
podoba. I w tym miejscu brak kontroli ruchu wychodzacego w rozwiazaniu MS
dyskwalifikuje je - przynajmniej dla mnie.
> Niestety, nie mam wpływu na politykę firmy Microsoft. Nie jestem też
> specjalnie przeczulony na punkcie wysyłania tego czegoś przez WGA,
> wszystkie programy Microsoftu jakich używam są legalne.
Podobnie jak u mnie, co przychodzi mi o tyle latwo ze poza OSem z
oprogramowania MS uzywam wylacznie darmowych przegladarek
Worda/Excela/PPointa bo zostalo mi z damych lat sporo dokumentow Worda 2.0
ktorych OO.org nie obsluguje. Nie zmienia to faktu ze potajemne wysylanie
nie wiadommo czego "do domu" nie podoba mi sie wcale.
> Osobiście bardziej martwi mnie brak kontroli nad informacjami
> rozsyłanymi przez mojego Skype'a ;-), co przyznasz chyba, że stwarza o
> wiele większe potencjalne zagrożenie... ;-))
Jak to milo uslyszec od MVP o zaletach oprogramowania open source
i zagrozeniach zwiazanych z zamknietym oprogramowaniem ;)
-- Pozdrawiam, Michal Bien mailto:mbien@mail.uw.edu.pl #GG: 351722 #ICQ: 101413938 JID: mbien@jabberpl.orgReceived on Wed Jun 28 22:45:05 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 28 Jun 2006 - 22:51:25 MET DST