Bezpieczeństwo sieci

[key]

jeśli nie ma filtrowania po MAC po stronie dostawcy to można zawsze skonfigurować router jak ap ze switchem

Swietny pomysl. A oszczednosci to najlepiej wyplacic w duzych banknotach, nawlec na nitke i ciagnac za soba podczas spaceru.

[moher]

@key: nie rozumiem co masz na myśli, zamiast być złośliwym napisz po ludzku co jest nei tak.

[key]

Cala twoja siec, kazde urzadzenie podpiete do niej, wszystko co udostepniasz jest widoczne z calego internetu.

[moher]

Myślisz, że w internacie każdy dostaje publiczne IP? Wcześniej przecież autor łączył się bezpośrednio kablem więc różnicy nie będzie.

PS Słyszałeś o takim wynalazku jak firewall?

[key]

Myślisz, że w internacie każdy dostaje publiczne IP?

Zaleznie od ISP o ktorym w tym watku nie ma mowy.

W najlepszym wypadku to jestes czescia sieci osiedlowej - niewielka roznica.

Wcześniej przecież autor łączył się bezpośrednio kablem więc różnicy nie będzie.

Watek czytaja tez inni ludzie, n.p. podlaczeni do sieci kablowej.

Słyszałeś o takim wynalazku jak firewall?

Tak. Czesc oprogramowania takiego malego pudelka nazywanego potocznie "router".

[moher]

Wybacz, ale wątek dotyczy konkretnego przypadku, wcześniej autor był podłączony kablem, więc moja propozycja pod względem bezpieczeństwa nic nie zmieni.


Nawet windows ma wbudowanego firewalla, alternetywnych, bezpłatnych rozwiązań też nie brakuje, dobrze o tym wiesz a mimo to zachowujesz się w niezrozumiały dla mnie sposób. Zawsze możesz autorowi zasponsorować nowy router.

Twoja złośliwość zaczęła mnie już trochę męczyć.

[key]

więc moja propozycja pod względem bezpieczeństwa nic nie zmieni.

pewnie. Dodanie dodatkowych komputerow i udostepnianie plikow nic nie zmienia.

Nawet windows ma wbudowanego firewalla

Ta. Dziurawego jak stare kalosze.

Twoja złośliwość zaczęła mnie już trochę męczyć.

Mnie meczy beztroska z jaka podajesz niebezpieczne rozwiazania innym uzytkownikom tego forum.-

[moher]

Bo komputer z publicznym IP (albo w sieci osiedlowej) jest taki bezbronny, że od razu włamują się na niego źli hakerzy. Daj spokój, router to nie jest lek na całe zło, bez niego też można zabezpieczyć komputer.

Może jeszcze powiesz, że komputery w twojej sieci lokalnej (za NAT-em) mają wyłączony firewall?

Może mam jeszcze autorowi napisać jak żyć, doradzić żeby w zimie nosił szalik i czapkę? Porada dotyczy zastosowania dostępnego sprzętu w konkretnej sytuacji, to chyba logiczne, że na komputerze podłączonym do sieci w jakikolwiek sposób powinien być firewall.

[key]

Może jeszcze powiesz, że komputery w twojej sieci lokalnej (za NAT-em) mają wyłączony firewall?

Sa spiete przez dodatkowa, wirtualna siec VPN i maja wylaczony wszelaki M$-syf.

doradzić żeby w zimie nosił szalik i czapkę?

Jesli kazesz mu wychodzic przy -35°C na zewnatrz, warto by bylo o tym wspomniec.

to chyba logiczne, że na komputerze podłączonym do sieci w jakikolwiek sposób powinien być firewall.

To nie jest logiczne. Przy poprawnie skonfigurowanej i zabezpieczonej sieci FW na klientach nie jest potrzebny.

[moher]

<font color="#FF0000"><b>[...]</b></font>

To nie jest logiczne. Przy poprawnie skonfigurowanej i zabezpieczonej sieci FW na klientach nie jest potrzebny.

To jest jak najbardziej logiczne, zagrożenia dla sieci nie ograniczają się do tych zewnętrznych, do sieci da się dostać przez klienta przy pomocy całej gamy "złośliwego oprogramowania", które potrafi sobie obejść NAT-a.

Szczególnie jak się ma te klienty na Windowsie (chociaż malware na Windowsie i tak sobie najprawdopodobniej tego firewalla wyłączy). Kontrola dostępu do zasobów i firewall na klientach to podstawa.

[ Komentarz dodany przez: YaHooo: 2011-10-03, 18:58 ]
<a href="http://www.bez-kabli.pl/viewtopic.php?p=59341#59341">Panie i Panowie tniemy cytaty!</a>

[krystianb]

zagrożenia dla sieci nie ograniczają się do tych zewnętrznych, do sieci da się dostać przez klienta przy pomocy całej gamy "złośliwego oprogramowania", które potrafi sobie obejść NAT-a.

Przed robactwem na komputerze żaden firewall Cie nie zabezpieczy, do tego służy antywirus.

[moher]

Jesne, że zabezpieczy, może nie przed infekcją (chociaż czasami zabezpieczy przed ściągnięciem payloadu), ale filtrując ruch wychodzący może mnie zabezpieczyć przed skutkami.

[key]

do sieci da się dostać przez klienta przy pomocy całej gamy "złośliwego oprogramowania", które potrafi sobie obejść NAT-a.

Tylko jesli jest sie na tyle ograniczony umyslowo, ze sam wpuscisz to oprogramowani do sieci. Skanujacy proxy i dobre odciecie sieci od reszty swiata skutecznie zabezpiecza przed wszelakiego rodzaju swinstwem.

Zreszta zdecyduj sie o ktorym NAT mowimy - sprzetowym oddzieleniu sieci od reszty swiata (czyli tym co sugerowalem od poczatku) czy bylejakim softem na maszynie?

Kontrola dostępu do zasobów i firewall na klientach to podstawa.

Standartowe rozwiazania maja do siebie to, ze sie je w standartowy sposob lamie. Programiki dolaczane do systemow operacyjnych tak samo dobrze zabezpieczaja przed wszelkiego rodzaju paskudztwem jak taniec naokolo kompa z wymachiwaniem kolorowymi szmatkami.

ale filtrując ruch wychodzący może mnie zabezpieczyć przed skutkami.

Tak ci sie tylko wydaje. Jesli cos jest aktwne w sieci to masz problem.

Przed robactwem na komputerze żaden firewall Cie nie zabezpieczy

Ale moze zabezpieczyc przed dostaniem sie robactwa przez otwarte porty.

[moher]

Od kiedy iptables (czy tam netfilter) na routerze jest ok, a iptables na kliencie jest bylejaki?

Poza tym NAT to raczej na routerze (albo kompie robiącym za router).

Przecież to jasne, że soft A/V czy firewall nie daje pewności, ale tak samo możesz mieć dziurawy FW w swojej frytce. Proxy z AV chyba sobie nie radzi ze skanowaniem szyfrowanych połączeń zbytnio.

Co to znaczy coś jest aktywne? Jeśli firewall to wytnie to nie jest aktywne (jeśli działanie tego malware było oparte o dostęp do sieci).

[key]

Od kiedy iptables (czy tam netfilter) na routerze jest ok, a iptables na kliencie jest bylejaki?

Problem nie polega na iptables tylko na wyexponowaniu hosta. Chyba nie rozumiesz roznicy.

Poza tym NAT to raczej na routerze

Czyli wracamy to punktu wyjscia

ale tak samo możesz mieć dziurawy FW w swojej frytce

No niby moge. Pytanie tylko jakie jest prawdopodobiensto ze taka dziura zostanie nie zauwazona (mowimy o open source vs. komercyjny M$-soft) oraz o ilosci osob ktore sa zainteresowane napisaniem malware na ta platforme.

Proxy z AV chyba sobie nie radzi ze skanowaniem szyfrowanych połączeń zbytnio.

Jak zaden inny proxy. Od tego jest AV na kliencie. I AV miedzy uszami uzytkownika.

Jeśli firewall to wytnie to nie jest aktywne

I myslisz ze soft, ktory dostal sie na klienta nie poradzi sobie z dodaniem regolki do zestawu filtrow na tym samym kliencie?

[moher]

Pisałem o NAT i o jego braku 100% ochrony klientów, bo Ty upierałeś się, że jest lekiem na całe zło i nie trzeba firewalla na kliencie. Jakbyś czytał ze zrozumieniem, to nie odtrąbił byś tak szybko zwycięstwa.

Jak się pracuje na koncie prawami admina to jasne, że malware sobie zrobi z firewallem co chce, ale za głupotę się płaci.

Co do wyeksponowania hosta: jak mam router z iptables to jest on niezniszczalny, a jak bezpośrednio podłączonego klienta z iptables to jest niezabezpiezczony?

W routerze też najczęściej jest złożony do kupy zwykły linuksowy soft + jakiś autorski interface do tego. Poza tym malware na MIPS-owe linuksowe routery jak najbardziej istnieje.

[key]

bo Ty upierałeś się, że jest lekiem na całe zło

Nie jest lekiem na cale zlo, ale podstawa zabezpieczenia sieci. No i jedynym sposobem by miec kontrole nad tym, co wydostaje sie na zewnatrz.

nie trzeba firewalla na kliencie.

Bo nie trzeba - FW na kliencie niewiele wnosi do bezpieczenstwa. Poogladaj sobie konfiguracje duzych komercyjnych sieci.

a jak bezpośrednio podłączonego klienta z iptables to jest niezabezpiezczony?

Poczytaj w jaki sposob roznosi sie wszelakie dziadostwo.

PTW: mogl by ktorys z modow wyciagnosc dyskusje o bezpieczenstwie sieci do innego watku?

W routerze też najczęściej jest złożony do kupy zwykły linuksowy soft

No niby tak. I nawet ten "zwykly linuksowy soft" jest szczelniejszy od kazdej maszyny na windzie.

[moher]

Nadal nie odpowiedziałeś czym rózni się skuteczność iptables na routerze i na kliencie.

Korporacyjne sieci to zupełnie inna bajka niż prywatna sieć w domu, tam systemy stacji roboczych mają zupełnie inaczej ustawione polityki bezpieczeństwa (w tym i firewall), user kliknie tylko w to na co admin mu zezwolił, wątpie, że masz tak skonfigurowane stacje klienckie.

Poza tym sieć w korporacjach opiera się głównie na intranecie i mało która stacja robocza ma bezpośredni dostęp do internetu (proxy, wewnętrzne serwery poczty i komunikatorów itp.)

Ameryki nie odkryłeś, że na Windowskie łatwo o infekcję przy standardowej konfiguracji.

Podsumowując, NAT jest fajny, ale jak go nie masz to też nie umrzesz, a firewall na stacji klienckiej jest przydatny i może uniemożliwić malware przesyłanie informacji z Twojego komputera (niekoniecznie tylko dostęp do niego).

PS w IPv6 nie ma NAT i każda stacja kliencka ma publiczne IP, to znaczy że czeka nas zagłada?

[key]

Nadal nie odpowiedziałeś czym rózni się skuteczność iptables na routerze i na kliencie.

Pisalem. Dwa razy. Tu nie chodzi o iptables, tylko o to, co jest widoczne z zewnatrz.

user kliknie tylko w to na co admin mu zezwolił, wątpie, że masz tak skonfigurowane stacje klienckie.

User klika w to, co mu jest potrzebne do pracy. Soft z ktorym pracujemy wymaga pracy z konta administratora. W domu mam podobna konfiguracje jak w firmie: solidne oddzielenie netu od reszty sieci, wewnetrzne serwery, odpowiednio ustawione proxy.

Poza tym sieć w korporacjach opiera się głównie na intranecie

Podobnie jak w domu. Udostepniajac cokolwiek chce miec kontrole komu udostepniam.

jak go nie masz to też nie umrzesz

W sumie to nie twoj problem jak ty obchodzisz sie ze swoimi danymi. Ja w mojej sieci mam mase dokumentow, ktore nie powinny dostac sie w niepowolane rece.

firewall na stacji klienckiej jest przydatny i może uniemożliwić

Jesli satysfakcjonuja cie przypadkowe i niekontrolowalne rozwiazania - sugeruje dalsze podazanie ta droga.

[moher]

1. Poprawnie skonfigurowana stacja kliencka podłączona bezpośrednio też może być niewidoczna.

Większość softu, który działa jedynie na koncie administratora tak na prawde tego nie potrzebuje i jest źle zaprojektowany/napisany. Oczywiście Twój soft może mieć do tego sensowne powody. Co nie zmienia faktu, że raczej niezaufanego softu nie uruchamia się na koncie z takimi uprawnieniami.

3. Bez NAT też masz kontrolę komu udostępniasz.

4. NAT nie zabezpiecza Cię przed kradzieżą danych, malware nie interesuje czy jesteś za routerem czy nie.

5. Jeśli odmowa dostępu do internetu niezaufanym aplikacjom jest przypadkowa i niekontrolowana to nie wiem co nie jest.

Kpij dalej, żyj we własnym bezpiecznym świecie za NAT-em i nie dostrzegaj dalej, że bezpośrednie włamanie z zewnątrz nie jest jedynym i największym niebezpieczeństwem (właściwie teraz jest mniejszym niż malware).

[key]

Większość softu, który działa jedynie na koncie administratora tak na prawde tego nie potrzebuje i jest źle zaprojektowany/napisany.

Akurat ten soft potrzebuje bezposrednie dojscie do HW. Tego nie da sie inaczej zrobic.

Co do reszty: nie zrozumiales moich wypowiedzi. Nie widze sensu pisania ci po raz kolejny tego samego w inny sposob - nie zrozumiesz.

żyj we własnym bezpiecznym świecie za NAT-em

Gdybs przeczytal calosc, dostrzegl bys, ze NAT nie jest lekiem na wszystko, ale jedynie 1/20 calego systemu. Mimo wszystko podstawowa.

bezpośrednie włamanie z zewnątrz nie jest jedynym i największym niebezpieczeństwem (właściwie teraz jest mniejszym niż malware)

Przeciez od poczatku pisze jak porypanym pomyslem jest eksponowanie hostow...

[moher]

Ty w ogóle czytasz co ja piszę? Bo chyba się trochę rozmijamy.

Co to to jest wyeksponowany host? Ma benery i reklamy zachęcające do wejścia? Komp z firewallem bezpośrednio wpięty do netu i z publicznym IP nie jest powodem do zmartwień i może być całkowicie niewidoczny z zewnątrz tak jak komp za NAT-em. Nie oznacza to przecież, że każdy ma dostęp do danych na tym komputerze.

Co do reszty: jak nie potrafisz konkretnie wskazać błędu w moim rozumowaniu to nie pisz, że nie będziesz tłumaczył bo i tak nie zrozumię, odpowiadasz na moje posty wybiórczo i nie odnosisz się do większości z tego o co pytam i co napisałem.

Porypane jest Twoje stwierdzenie, że host może być bezpieczny jedynie za natem.

[key]

Komp z firewallem bezpośrednio wpięty do netu

Spojrz sobie w ktorym miejscu systemu operacyjnego wpina sie softwarowy FW na win maszynach.

że host może być bezpieczny jedynie za natem.

Nigdzie nie twierdze ze "jedynie". Twierdze tylko ze ustawienie zabezpieczenia na zewnetrznym pudelku jest duzo latwiejsze niz zabezpieczenie widows'owej maszyny. W pierwszym wypadku wystarcza wpiecie sprzetu do pradu, w drugim musisz wiedziec co robisz.

[moher]

W windowsie (przynajmniej od czasów nt) filtr pakietów jest na poziomie jądra, tak jak w linuksie.

[key]

Brawo. A teraz kombinuj dalej - ja ide na piwo.

[moher]

Jak wrócisz i wymyślisz gdzie się mylę to mi napisz.

Pierwsze lepsze linki z googli:

1. http://www.ntkernel.com/w&p.php?id=14
2. Windows >= Vista - http://msdn.microsoft.com/en-us/windows ... 63267.aspx