Про стандартный FireWall Windows

← →
KSergey © (2009-02-11 13:16) [0]

Подскажите: за что люди не любят стандартный FireWall из Windows?
Он не позволяет сделать какие-то настройки или есть много известных непочиненых уязвимостей?

Сколько мне попадалось криков - толком никто сказать не может, только плюются, а от чего конкретно - не говорит никто.

Меня вот он полностью устраивает функционалом в отличии от некоторых других, ест ьровно что нужно; правда про уязвимости не знаю.

← →
Эстет (2009-02-11 13:25) [1]

Очень хорошая аналогия напрашивается с машинами. Проанализируй кто и почему меняет стандартную комплектацию/конфигурацию новой машины и понимание вопроса придет само.

← →
dmk © (2009-02-11 13:36) [2]

>Подскажите: за что люди не любят стандартный FireWall из Windows?

Тут уместен вопрос наверно другого характера:
Почему он не такой навороченный как Outpost или другие?

Ведь если MS будут писать столь навороченные программы,
то о конкурентноспособности и рынке можно будет забыть.

Такая у MS политика. Пишут минимум, чтобы дать покушать и другим.

← →
Плохиш © (2009-02-11 13:40) [3]

> dmk © (11.02.09 13:36) [2]
>
> >Подскажите: за что люди не любят стандартный FireWall из
> Windows?
>
> Тут уместен вопрос наверно другого характера:
> Почему он не такой навороченный как Outpost или другие?

"Вам шашечки или ехать?" (c) народный анекдот...

← →
Сергей М. © (2009-02-11 13:47) [4]

> за что люди не любят стандартный FireWall из Windows?

Ну хотя бы за то что он бессилен в борьбе против ряда известных сетевых атак.
Внутрь себя не пускает, мол, не лезь, я сам справлюсь, а чуть запахло жареным, так сразу и лапки кверху)

← →
Anatoly Podgoretsky © (2009-02-11 13:53) [5]

> KSergey (11.02.2009 13:16:00) [0]

Или сексуально озабоченые или им нужен не персональный файрвол.
Если проанализировать обсуждения, то первое, второе редкость.

← →
wql (2009-02-11 13:53) [6]

У меня стандартный виндовый.
Устраивает. Никаких вирусов и троянов отродясь не было...
А навороты и тормоза ОутПоста раздражают.
Отказался от него когда появилась 4я версия...

← →
Anatoly Podgoretsky © (2009-02-11 13:55) [7]

> Сергей М. (11.02.2009 13:47:04) [4]

Неправда, он может полность закрыть машину, что даже пинги не пойдут.

← →
KSergey © (2009-02-11 13:56) [8]

> dmk © (11.02.09 13:36) [2]
> Почему он не такой навороченный как Outpost или другие?

Окей, переформулирую вопрос: что есть такого в том же Outpost, без чего использование стандартного невозможно?
Подчеркиваю, мне хочется конкретный примеров того, что что делает невозможным применение стандартного файервола в конкретной ситуации.

← →
Anatoly Podgoretsky © (2009-02-11 13:57) [9]

> wql (11.02.2009 13:53:06) [6]

У меня от ОутПоста только отрицательные впечатления.
Когда еще не было встроеных, то я его заменил на бесплатный ZoneAlarm - того же класса файрвол, что и встроеный.

← →
KSergey © (2009-02-11 13:59) [10]

> Сергей М. © (11.02.09 13:47) [4]

Т.е. фактически в нем есть уязвимости (баги/ошибки архитектуры), я правильно понимаю? А это точно? Нелья ли конкретных примеров, правда видимо это недопустимо правилами :(

> Anatoly Podgoretsky © (11.02.09 13:53) [5]
> или им нужен не персональный файрвол.

А можно назвать конкретную функцию не персонального файервола, которой нет в виндовом??

← →
Anatoly Podgoretsky © (2009-02-11 14:04) [11]

> KSergey (11.02.2009 13:59:10) [10]

Ну например нестандартные SSL протоколы.

← →
Anatoly Podgoretsky © (2009-02-11 14:09) [12]

> Anatoly Podgoretsky (11.02.2009 14:04:11) [11]

Кстати мы (разработчики) всегда в состояние сделать такую фичу, которой нет в других файрволах.
Так что ответ одназначный.
Надо подходить к вопросу по другому, делает ли встроеный файрвол то что мне надо или пора покупать другой и вообще нужен ли другой файрвол, не является ли
это колокольчиком и хватит обычного Интернет защитника, которых антивирусные фирмы наплодили, поскольку запрашиваемые функции относились к Папа контроль, а не к файрволам, особенно персональным.

Кстати в Виндоус стандартных файрволов было несколько, сейчас уже третье поколение, но только в Виста.

← →
boa_kaa © (2009-02-11 14:12) [13]

> Anatoly Podgoretsky © (11.02.09 13:55) [7]
>
> Неправда, он может полность закрыть машину, что даже пинги
> не пойдут.
>

и что потом с ней делать, если не секрет? дурное дело-то нехитрое...

> KSergey © (11.02.09 13:16)

если комп выходит в сеть через небольшую локалку, тогда хватит и виндовского
а вот если напрямик подключен к и-нету или в большую подсеть провайдера, то там всегда найдется N имбецилов, которые очень любят устраивать разного рода атаки, которые в свою очередь никак не блокируются

← →
Сергей М. © (2009-02-11 14:23) [14]

> Anatoly Podgoretsky © (11.02.09 13:55) [7]

А мне не надо "полностью", мне надо так как я хочу.
А он, зараза, мне не дает этого сделать.
И как мне с ним дружит после этого ?
Мне проще отключить его к едренифени, что я собственно и делаю всякий раз при инсталляции системы)

← →
KSergey © (2009-02-11 14:35) [15]

> boa_kaa © (11.02.09 14:12) [13]
> которые очень любят устраивать разного рода атаки, которые в свою
> очередь никак не блокируются

Т.е.вы хотите сказать, что есть известные уязвимости в виндовом файерволе, позволяющие его обойти, правильно?

> Сергей М. © (11.02.09 14:23) [14]
> мне надо так как я хочу. А он, зараза, мне не дает этого сделать.

Что именно, уточните, плиз. Я не смог ничего такого придумать и комплексую.

← →
Anatoly Podgoretsky © (2009-02-11 14:35) [16]

> boa_kaa (11.02.2009 14:12:13) [13]

Ты можешь продолжать работать, а для внешних врагов ты недоступен.
Компьютер не только будет закрыт, но и не будет виден в сети.

← →
Anatoly Podgoretsky © (2009-02-11 14:37) [17]

> Сергей М. (11.02.2009 14:23:14) [14]

Что именно ты не можешь делать?
Ты можешь открыть любой порт или приложение, и тогда будешь не полностью закрыт.

← →
KSergey © (2009-02-11 14:41) [18]

> boa_kaa © (11.02.09 14:12) [13]
> а вот если напрямик подключен к и-нету

вот это и имею :)
причем уже 8 лет как.
Файервол когда-то давно был, потом надоел. Но за последние пол-года (после смены провайдера) состояние пациента сильно ухудшилось, вплоть до ужасного.
Вот я и забеспокоился о презервативах. Вернее аутпост уже назад поставил (т.к. Win2k, стандартного нет), но будет Win2003, вот и думаю какой маркой резинок пользоваться.

На другом подобном сервере с 2003 включил стандартный, функционально устраивает полностью, но может ячего недогоняю, в частности по поводу уязвимостей?

← →
Правильный$Вася (2009-02-11 14:52) [19]

> для внешних врагов ты недоступен.

а для внутренних?

> не будет виден в сети.

это не всегда удобно

← →
KSergey © (2009-02-11 15:03) [20]

> Правильный$Вася (11.02.09 14:52) [19]
> > для внешних врагов ты недоступен.
> а для внутренних?

Тоже, в чем беда?

К стати, это мне как раз понравилось в стандартном - рулится свое на сетевые интерфейсы, именно в такой терминологии. Для аутпоста, например, рулится только в терминах IP-адреса. Хотя если несколько IP на интерфейсе - то может оно и гибче, да и интерфейсы меняться могут (физически), так что не понятно что удобнее.

← →
Сергей М. © (2009-02-11 15:08) [21]

> Anatoly Podgoretsky © (11.02.09 14:37) [17]

Хочу, например, иметь надежную, гибко настраиваемую и контролируемую защиту от SYN-флада и от порт-сканирования)

> KSergey © (11.02.09 14:35) [15]

см. тут же ответ для АП

← →
Anatoly Podgoretsky © (2009-02-11 15:18) [22]

> KSergey (11.02.2009 14:41:18) [18]

Сервер? Тогда корпоративный файрвол ISA 200x
Встроеный в систему все же персональный файрвол, его может не хватить.

← →
Anatoly Podgoretsky © (2009-02-11 15:21) [23]

> Правильный$Вася (11.02.2009 14:52:19) [19]

Те кто в сети есть внутренние враги, как то не замечаю никаких проблем, кроме того ты читал, что файрвол полностью настраиваемый на входящие соединения, а в Висте и на исходящие. Зачем тебе нужно в локальной сети, чтобы к тебе кто то лазил, для этого существуют сервера. На серверах у меня этот файрвол отключен, проблем нет.

← →
Сергей М. © (2009-02-11 15:24) [24]

> Anatoly Podgoretsky

Самая лучшая оборона - это эшелонированная оборона.

← →
iZEN (2009-02-11 15:25) [25]

> KSergey © (11.02.09 13:16)
>
> Подскажите: за что люди не любят стандартный FireWall из
> Windows?

Настройки не такие гибкие. Инструменты для настройки ужасают. Фильтрация трафика — вообще в "Дополнительных настройках TCP/IP" и никаким боком к файерволу не относится. :O

← →
KSergey © (2009-02-11 15:50) [26]

> Сергей М. © (11.02.09 15:08) [21]
> защиту от SYN-флада и от порт-сканирования)

ну про первое почитаю, а про второе не очень понятно: что тут нужно-то? Закрыл все порты для входящих соединений (если какие нужны - открыл индивидуально) - вот и все. И хоть засканируйся.
Или подразумевается "интеллектуальный" антисканер, который при попытках перебирания портов блокирует все соединения от "плохого" хоста?

← →
Anatoly Podgoretsky © (2009-02-11 15:52) [27]

> Сергей М. (11.02.2009 15:08:21) [21]

Да без проблем, не синронизированые пакеты блокируются по определению и без вмешательства персоны, не надо тут контролируемости никаой.
Сканирование порта чем тебя так волнует, ну запрети сканирование совсем. Пока все в рамках любого персонального файрвола.

← →
Anatoly Podgoretsky © (2009-02-11 15:54) [28]

> Сергей М. (11.02.2009 15:24:24) [24]

ИСА это позволяет и бастион и периметр и DMZ и на любую глубину.
Равноценной замены ИСА просто нет, но он очень сложный, не любой сисадмин с ним справится.

> iZEN (11.02.2009 15:25:25) [25]

Потому там и находится, а вот ее реализация редко позволяет ее применить, хотя нужна иногда.

> KSergey © (11.02.09 15:50) [26]

Не только и не столько блокирует, сколько ведет протокол и выполняет заданные мной действия при заданных правилах обнаружения.

> Anatoly Podgoretsky © (11.02.09 15:52) [27]

> не синронизированые пакеты блокируются по определению

А подхват ожидаемых not-SYN-пакетов ?
Такая задача тоже имеет право на жизнь и не так уж редка.

> Сканирование порта чем тебя так волнует

Тем же чем и тебя - потенциальной атакой вслед за сканированием)

> KSergey (11.02.2009 15:50:26) [26]

Блокировка, неуправляемая, тоже есть, по каким правилам работает неизвестно, файрвол персональный.

> Сергей М. (11.02.2009 16:00:30) [30]

> А подхват ожидаемых not-SYN-пакетов ?
> Такая задача тоже имеет право на жизнь и не так уж редка.

Задача файрвола бороться с хакерами, а не содействовать им.

Если такая задача есть, то решаться она другими средствами, а не файрволом.

> Anatoly Podgoretsky © (11.02.09 16:07) [32]

> решаться она другими средствами, а не файрволом

В любых "средствах", тем более автономных, эти ф-ции возлагаются именно на файрвол, тесно взаимодействующий с подсистемами трансляции и маршрутизации.

чета или вы тут через чур умные, ил ия на столько темный :)

Лана, если нет явных неустраняемых уязвимостей - меня устраивает вроде как. А тама посмотрим :)

>Окей, переформулирую вопрос: что есть такого в том же Outpost,
>без чего использование стандартного невозможно?

Не знаю насчет outpost"a, я использую интернет секьюрити касперского.
Во-первых — касперский более оперативно реагирует на дырки в системе чем MS.
Во-вторых — гибкая система настроек и уведомлений.
В-третьих — сколько еще дырок найдут и когда неизвестно (нет должного доверия).

> KSergey © (11.02.09 16:27) [34]

> если нет явных неустраняемых уязвимостей

Вот ты сам рассуди - что ни день, то мелкомягкие плодят очередные затычки в системе безопасности, и конца-края этому не видно)..

А касается каждая из этих затычек в частности файрвола (и каким боком) или не касается - про то простому смертному юзеру довольно сложно понять)

>Сергей М. © (11.02.09 16:35) [36]

Вот-вот. Только сегодня 5 обновлений через windows update пришло.
Все 5 заплатки и средства удаления вредоносных программ ;-)
А совокупный траффик по обновлениям уже за 1 Гб перевалил.

> Сергей М. (11.02.2009 16:35:36) [36]

Ну не надо, за данный месяц всего 48, количество постоянно снижается. При том иэ этих 48 часть относится к определениям, а не затычки и часть это разные редакции - для ХР, для Висты, для 2003/2008. Ранее приходило не менее 100, обычно по 150 за раз. А еще часть это не дырки как токовые, примерно так, кто то блокнотом исправил ИНИ файл, блокноту запретили писать - вот такого класса. Из этих 48 обновлений, что пришли вчера потребовалось только 9, по всем трем ОС и по двум языка. Можно сказать что всего 3/4 за месяц, смешно даже.

Для файрвола не припомню ни одной затычки, стабилен.

> dmk (11.02.2009 16:42:37) [37]

Чего у тебя так мало? Наверно отказался от некоторых важных и не получаешь их?

> Anatoly Podgoretsky © (11.02.09 17:11) [38]

> Для файрвола не припомню ни одной затычки, стабилен

Ну эт кому как повезет)
Хацкеры тоже ведь не дремлют)

Про стандартный FireWall Windows Найти похожие ветки