Názory k článku Proč firewall?
-
Stevko (neregistrovaný)Vidím aký taký zmysel firewallu na oddelenie dvoch sieti. Ale aký zmysel má firewall napríklad na domácom počítači alebo dokonca na súkromnom servri. Ak na ňom beží nejaká služba, tak tam beží preto, aby som sa na ňu mohol pripojiť odkiaľ chcem. V opačnom prípade služba proste nebeží.
-
Na domácím počítači má firewall význam takový, že umožnuje programátorům aplikací kašlat na detailní nastavování přístupových práv v každé konkrétní aplikaci. Místo toho aplikaci prostě schováme z potenciálně nebezpečných zdrojů (internetu), a povolíme přístup jenom lidem v místní síti. Výhodou je především jednotná konfigurace přístupu pro všechny aplikace bez toho, aby musel aplikace používat nějaký framework k tomu určený. Jistě, solidní aplikace by měla vpustit pouze oprávněného uživatele a nevpustit útočníka bez přístupových údajů. Jenže nežijeme ve světě ideálním, počítače chtějí používat i laikové, kteří nerozumí ani základům konfigurace sítě, natož aby správně uměli nastavovat služby. Ti dokáží pochopit, že aplikaci buď pustí nebo nepustí na "internet". Navíc systém ohrožují aplikace třetích stran, na jejichž kvalitu nemá výrobce systému vliv a nemůže tak zaručit, že nebude děravá, jak cedník. Pomocí firewallu může minimalizovat riziko, že takové aplikace ohrozí bezpečnost systému. Je to prostě kompromis, a sem tam má i svůj smysl :-) -
Třeba proto, aby tu službu nemohl zneužít někdo jiný...
Například, když někomu doma poběží SMTP server, který je nezabezpečený, protože někteří pokročilejší uživatelé si myslí, že jsou hyperadministrátoři, instalují si servery a "administrují je a zabezpečují" z nějakého webového GUI (tudíž, na co není tlačítko, o tom nemají ani tucha). Když před takovým serverem nebude ani žádný firewall, který by k SMTP serveru pustil jenom toho uživatele (například přes VPN), tak zase máme o jeden SPAMerský server navíc :-(
Já mám třeba firewall doma proto, aby mi nikdo:
- nelezl na data
- nezpomaloval internetovou linku tím, že se na mě napíchne a pustí si tam nějaké DCC (nebo co je teď v módě)
- nekoukal na webkamery
a vůbec, aby mě nechal na pokoji :-) -
Když nebudu počítat svůj vlastní, postavený na iptables (takže nastavit lze téměř cokoliv) :-), tak musím říct, že dnešní "krabičky" (switch, router, fw, dhcp server, wifi accesspoint) umí i za pár korun hodně muziky (až mě to občas překvapuje). Defaultní zákaz komunikace dovnitř, mimo té zevnitř navázané a explicitně povolené umí určitě minimálně každá druhá...
-
Flasi (neregistrovaný)Dnešní znamená tak maximálně rok, dva staré (pokud beru ty v lidových cenových relacích). Spousta lidí má doma krabičku, co jim dal jejich ISP před více než jedním, či dvěma roky. A tam je to podle mých zkušenosti s možnostmi nastavování FW pro konkrétní IP adresy o dost horší.
-
http://volani.webnode.cz/ (neregistrovaný)Já mám krabičku, která je postavená na linuxu.
A protože mi běží poměrně dost služeb (ano vesměs naklikaných v GUI, přiznávám), tak jsem vyčerpal všechny "pozice" pro směrování TCP/UDP, port WAN - TCP/UDP, port vnitřní IP.
A taky sem nastavil QoS.
Což sem se dozvěděl že se dělat nemá, protože jakmile se nastaví v té mé krabičce cokoliv tak to ten router nestíhá a je lepší nemít žádná pravidla pro QoS, než nějaká, byť sebelepšeji nastavená :) -
:-) (neregistrovaný)Osobně vnímám názor typu "Jak nejlépe ochránit data před zcizením? ODSTŘIHNĚTE CELOU SÍŤ OD INTERNETU!" Jako naprosto nelogický, předpotopní a zastaralý...
Skoro všechny krádeže citlivých dat má na svědomí buď sociální inženýrství nebo vyložená TUPOST zaměstnanců firmy.
Takže i pokud bude síť naprosto odstřižená od Internetu a sekretářce zavolá někdo s vymyšlenou historkou, že potřebuje zápis z porady ředitele - tak pokud mu sekretářka uvěří, zápis mu pošle i kdyby ho měla fotit foťákem přímo z monitoru :-DDD
--
Nehledě na to, že tam, kde by měli teoreticky dvě sítě, by každý zaměstnanec taky potřeboval dva počítače - jeden na práci off-line a jeden na on-line :-)) A teď nedej bože, že by například potřeboval poslat obchodnímu partnerovi návrh nějakého projektu, který tvořil na tom off-line PC :-DDD Asi by mu to musel jedině OPSAT, protože žádným jiným způsobem by to nepřenesl... :-)
ČLÁNKY DO MAILU