Firewall v XP

Nikdo tě přece nenutí ty firewally používat.
http://pc.poradna.net/a/view/308473-bezpecnost-na- internetu-pracujeme-s-neprivilegovanym-uctem-i

Pouzivanie fw je dnes moda pritom ich vyznam je vseobecne precenovany.
Btw k tym otazka, co sa ta fw pyta. Asi ti uslo, ze tam byva aj moznost zapamatat si dane pravidlo a druhy krat sa ta fw na toto pravidlo pytat nebude, ale pouzije naucene.

Mozna je to nejaka nablbla moda, ale osobne mam rad kontrolu nad tim, co ode mne (a ke mne) tece. Proto FW pouzivam.

a já bych měl jednu svatokrádežnou otázku: je-li kontrola odesílaných dat zásadní počin, proč tedy nekontrolovat přímo aplikace? (tedy mít pod kontrolou, co a jak je v PC nainstalováno a nakonfigurováno?)

Aplikacni FW prece hlida aplikace, nebo ne? Takze muj FW je kontroluje za me. Ja zase nevidim duvod pri nainstalovanych cca 50 programech na mym pc se v kazdem hrabat zvlast a nastavovat jim, jestli ted muzou na net nebo ne. Navic u nekterych jsou aktualizace pomerne caste a pokud bych to v nich vypinal rucne, tak pomalu nebudu delat nic jine, nez povolovat a zakazovat. V aplikacnim FW mam vse pekne vse v jednom programu a pak odpada zdlouhavy nastavovani a po case zase povolovani jednotlivych programu na net. Nekdo to muze delat jinak, podle hesla proc to delat jednoduse, kdyz to jde slozite a nejde vubec o nejake crackle hry, jak se obcas casto pouziva jako protiargumentace. Hry nehraju a taky nepotrebuju aby si win z pc posilaly kdovi co. Od MS mam povoleny jen aktualizace a urcite sam vis mnohem lip nez ja, ze z win na net nelezou rozhodne jen aktualizace a ze se tam cpe spousta dalsich veci, ktery tam mit nechci. Nepotrebuju informovat kamarady v USA a kdo vi kde jeste po svete, co kde a jak delam a co mam v pc.

urcite sam vis mnohem lip nez ja, ze z win na net nelezou rozhodne jen aktualizace a ze se tam cpe spousta dalsich veci, ktery tam mit nechci

Ano, touchwood to ví líp než Ty, jaké součásti Windows "lezou na net" (mimochodem to záleží na paranoidnosti firewallu, localhost -> (local)hostname považují některé takyfirewally za komunikaci ven), a proto se toho narozdíl od Tebe nebojí. Co k tomu dodat?

Jinak "zakazovat" aktualizace programů na firewallu je vážně bezvadný nápad. Už jsi někdy nějakou síťovou aplikaci napsal? To musí být fajn zábava, když se ten program pořád dokolečka snaží připojit na aktualizační server (a vytěžuje procesor) a firewall mu v tom brání (a vytěžuje procesor.)

TW to zcela jiste vi lip nez Radek, a nastopero lip nez ja. Nejsem paranoidni, aktualizace "poustim", localhost chapu. Neni mi ale jedno, kdyz mi /kterasi - jakakoliv/ freewarova ulita komunikuje s cort vi kym. Taky nepotrebuju, aby moje potencialne nachytane vejry (trojany) obtezovaly jine lidi na siti (i kdyz se to zatim nikdy nestalo), totez se tyka mozneho spamu. Aplikacni FW me na toto upozorni jako prvni instance a ja to muzu dal resit. Jsem dost pohodlny tvor a FW je pro me proste tim nejjednossim resenim.

Jasně,že vim,že je možnost Zapamatovat,ale on se třeba u jedný aplikace ptá na sto různejch věcí...
taky mám rád komunikaci pod kontrolou,ale zase mám rád svižnej systém...bohatě by mi stačil nějakej naprosto jednoduchej prográmek k integrovanýmu firewallu,kde bych moh v tray sledovat,případně zakázat programu komunikaci,ale to asi neexistuje..

Používat dva firewally najednou není normální. Jednoduchý je třeba Sygate Personal Firewall. Je ale potřeba vědět, co opravdu povoluješ nebo zakazuješ.

hned vyzkoušim díky.
ještě sem našel nakej NetLimiter,ale je to trial,takže ee.

NetLimiter (pokud se nepletu) není firewall.

NL co sem cetl,by mel jen sledovat komunikaci,kterou si sam muzes nastavit ci co..

Sygate dobrej

Možná sis nainstaloval nějakej firewall, kde je pro laika až moc možností. Pokud hledáš něco jednoduchýho, tak zkus firewall Sygate. Když něco poleze ven, zeptá se, jestli povolit, nebo zakázat a je tam zatržítko na trvalé pamatování odpovědi a už tě to znova otravovat nebude. Tedy na každou aplikaci ti vyskočí jedna otázka
Nezapomeň po instalaci FW vypnout ten integrovaný ve windows.

jj diky.
nejsem jakože laik a vetsinou vim proc,co a jak nastavit a zakazat,nebo povolit,ale fakt sem hledal neco jednoduchyho,neotravnyho s minimalnima pozadavkama na hw.

já sem právě měl nakej Armor a kdyz sem ho odinstaloval,tak ne jenom,ze nezapnul interni fw,ale uplne mi rozmrdal system,takze sem to pul hodiny daval dohromady

Můj názor je jasný: firewally jsou důkazem neschopnosti spravovat svůj vlastní systém a snahou "opravovat" problém na jiném místě, než vznikl. Pokud je (ve velmi specifických případech) třeba firewall (v pravém slova smyslu, tedy jako paketový/stavový filtr), postačí bohatě ten integrovaný ve Windows, nebo ještě lépe wipfw.

Já osobně jsem firewall používal naposledy před cca 6 lety, v době, kdy jsem měl ještě dialup a Windows dostávaly veřejnou adresu. Od dob DSL je firewall na všech PC vypnut, není totiž potřeba.

Hm,já mám pro všechny případy ještě router s firewallem:)

Však o tom jsem psal. Pro běžné PC je "firewall" už NATující router, pokud tam běží ještě nějaký stavový firewall, pak je to "betonový". Aplikační firewall je nadbytečný a signalizuje stav, kdy sám uživatel netuší, co mu v PC vlastně běží a komunikuje.

Jen velký odborník dokáže zjistit všechna možná napadnutelná místa při komunikaci s internetem.
Proč se mořit s tím co neznám, když to za mě udělá firewall, že?
Pokrok nezastavíš a šest let je v počítačovém světě jako ve středověku.

IMHO jeden z (kontroverzních) důvodů používání aplikačních firewallů, kontrolující odchozí komunikaci:

Připusťme, že uživatel má upirátěný program/hru, který se automaticky po spuštění snaží připojovat k webu výrobce, hledat aktualizace atd. Jak jinak než aplikačním firewallem programu takového návštěvy zakázat, není-li tohle nastavitelné v aplikaci? (kromě "vypnutí" internetu).

souhlasím s tvým podpisem.
já nestojím ani o to, aby mě fízlovaly kdejaké součásti operačního systému, které se nemají co připojovat na net - a nejde to vypnout (wmp).
podobně se chovají různé free programy, a ne vždy to jde snadno zrušit (vynechávám cracky, tam bych to čekal automaticky).
takže chápu pojistku v podobě aplikačního firewallu.

a nejde to vypnout (wmp)

to není pravda. Ale to je vážně marné.

třeba hosts souborem...

No jo, ale adresa/IP se nějak jednoduše zjistit nedá. Vezmi třeba aplikaci, která při svém ukončení spouští ve svém enginu nějakou firemní stránku, nabádající např. k nákupu/registraci/aktivaci. Jak dopředu zjistíš, kam se bude sw eventuelně chtít připojovat (pokud to z různých důvodů nechceš ANI JEDNOU povolit)? Reverse engeneeringem? Aplikační FW tohle ošéfuje naprosto spolehlivě a jednoduše.

Inu ano, na to by se to hodilo. Reverse engeneeringem? mno měl jsem jednu hru, která po skončení otevírala url - stačilo navštívit její adresář pokouknout po konfigu a smazat zástupce url.

V čem ti žádný fw nepomůže: pokud rogue app. bude mít jakoby legitimní požadavek (dejme tomu aktualizace) může dojít k požadavku na server příklad: server/stránka/cislo?123456 kde 1 znamená: má tento fw s trouto chybou, 2:má ten a ten bt klient, 3456 má ten a ten port otevřený v bt klientu.

Na stránce stáhne obrázky, které budou v kešce prohlížeče, v obrázcích bude šifrovaný kontejner, který zneužije chybu fw. fw se zmanipuluje. Stáhne se vir, který vyjede po otevřeným portu.

Je to pouze příklad, kdy si budeš myslet, že jsi v bezpečí a přitom jsi naprosto v prdeli.

Je to reakce na "Aplikační FW tohle ošéfuje naprosto spolehlivě a jednoduše." Ne vždy ti to může vyjít.

Nehledě na to, že aplikační FW neumí svchost, který je z hlediska sys. služeb (co kam na jaký port) dobře zdokumentován.

EDIT// ale je to na každým z nás co si vybere, jen je třeba nevěřit slepě jednomu programu, který rozhodně obsahuje chyby.

Pěkný příklad jsi uvedl (naštěstí takových aplikací snad moc nebude)

Osobně, jako mírně poučenému laikovi, se mi nejvíce líbí/vyhovuje firewall z Vist *) (W7 neznám). Kromě toho, že pracuje (ve smyslu Vladimirova a TW apoštolátu) "správně", umí i u jednotlivých aplikací (zjednodušeně u *exe) nastavit OUT/IN blokaci komunikace. Tedy to, co dělá aplikační FW. Ať to je či není systémové, ať se to někomu (tvůrci aplikace, MS..) líbí či ne, prostě chci mít možnost "posledního slova".

-----
*) mám ultimátní 64bit; nevím, jak je tomu u jiných verzí

(naštěstí takových aplikací snad moc nebude)

Naopak - dnešní typický útok jde přes "povolené" prohlížeče, flash playery nebo Adobe readery. To, že tyto SW mají v sobě velké chyby (zvící vrat od stodoly), je všeobecně známo.. (v poslední době min. po dvou exploitech na Flashplayer a Reader)

OK, zeptám se teda takhle:
XPčkový/Visťácký FW tyto Tebou popsané útoky zachytí a čistě aplikační FW ne?

Nezachytí a ani vcelku nemůže.
---
Dejme si výchozí stav na většině home PC. Povolen prohlížeč, povolen flash plugin.
Existovala chyba ve flash pluginu (na YouTube bylo video), kde jsi demonstračně klikal ve flash aplikaci na tlačítka a vepisoval údaje - střih- ukázali ti, že ve skutečnosti klikáš na ploše a vytváříš adresáře - chyba byla brzy opravena, ale vezmi si, že jako samoadmin takto měníš proxy, odesíláš svůj soubor SAM či povoluješ nepovolitelné - vše bylo regulerní, žádný av nebo fw nic neprotestoval.
----
Teď si vezmí, že samoadmin překročí Rubikon, který je daný nastavením zabezpečení pro plugin (protože plugin pod adminem může vše)

Admin vše, system vše, zbytek, kde to má význam nemůžou nic. Řešením je opravdu omezený účet (i MS to s UAC pochopil dobře). útočník dnes chce využít tvůj pc hlavně k: získání informací (může), k poskytnutí konektivity (nemůže bez admina). Ten udělá daleko víc práce než fw.

Tak.

Snad jen mám pochybnosti, že aplikační firewally dovedou rozlišovat pluginy - myslím že co běží v rámci spustitelného souboru prohlížeče je pro něj prohlížeč.

Díky za podrobnou vysvětlivku.

Omezený účet/UAC je tedy mnohem potřebnější než firewall. Bude tedy pak pro paranoika (či blokovače odchozí komunikace jednotlivým aplikacím) stačit i ten aplikační FW (?).

Ve Vistách (za routerem/NATem) se zapnutým UAC jsem (samo)adminem. Používám zabudovaný FW, u pár aplikací navíc blokuji komunikaci na internet. Jsem (snad) v bezpečí, i bez omezeného účtu... (?)

Je potřebnější v tom smyslu, že uživatel/ čili vir nemá moc možností se zachytit - má pár userských klíčů k samospouštění, nemá přístup do zápisu v HKLM (nevytvoří službu nebo driver), má přístup do svého profilu, ne však do systému nebo okolních profilů.

Snaž se L-Core pochopit, co těmi příklady chci říct: neovlivníš kvalitu, nebo skryté schopnosti programů, takže když se "vir rozhodne" přepadnout systém, tak ho přepadne a ani av a ani fw mu nemusí zabránit. Na co však narazí je omezení účtu - maximálně se trapně pokusí zapsat do "po spuštění". Nikomu nebráním v AV nebo FW - fajn jste na to zvyklí, ale je třeba si uvědomit, že hrozbu nemusí zachytit.

----
EDIT// uvědom si, že vir pod adminem má oprávnění změnit status spouštění chráněného daemona AV nebo FW - po restartu ho sestřelí.

A důkaz na závěr: Já Admin zakazuji nízkoúrovňovej ovladač se spuštěním boot.(na XP)

Vypadá to, že mě opravdu přesvědčíte

Po uzávěrce zkusím naštudovat, zda existuje nějaký bezbolestný způsob, jak XPčkového admina bez hesla (automatické přihlášení) převést na omezeného usera. Zdůrazňuju bezbolestně (tedy bez přeinstalace Windowsů). Plně aktualizovaný SP3, se spoustou nainstalovaných aplikací či her. Čistá instalace všeho by mi zabrala odhadem >24hodin, do toho nejdu.. (některé hry se instalují klidně i několik hodin, např. MS Train Simulator s addony odhadem 5 hodin)

Inspiraci očekávám ve Vladimirově seriálu.

Určitě to alespoň vyzkoušej. Hojně používej tlačítka spustit jako (v případě, že to aplikace vyžaduje) a instalace typu "pro všechny". U menších her třeba zjistíš milou věc, že jsou tak nějak vesměs portable a nastavení si cpou do profilu . Co je v prgfiles je spustitelný. Na hry stejně využívám svojí složku.

Hry instaluju na jiný disk. V Program Files IMHO nemají co dělat (jenom Steam má přes 50GB).

"bezbolestný způsob" - pokud se ten user nejmenuje administrator, mělo by to jít:

- mezikrok u home: vyrobíš pomocný servisní účet "admin", třeba ať můžeš použít "spustit jako"
- svůj účet změníš na omezený učet
- buď budeš hledat problematické nefunkční aplikace a povolíš zápis do jejich adresáře, anebo šmahem povolíš zápis do \program files - ochrana proti poškození aplikací userem tě netrápí, ale ať se 90% aplikací rozjede.
- zatvrzelým 10% aplikacím můžeš dát právo zápisu do [HKEY_LOCAL_MACHINE\SOFTWARE\blbá_aplikace]

- pro úplně vytunění chybí jedna věc - ikona nějakého rozumně bezpečného prohlížeče na adminí ploše, tentokrát v režimu "runas /user:omezený_účet_s_heslem". visťáci mají toto jednodušší.

Drobná rada: když máš autologon, dej si ke všem účtům heslo. Neuškodí.

Od doby, co jsou dostupné domácí routery, žádný aplikační fw neřeším. Ano, se stupidním USB ADSL modemem v síti O2, to byla jiná káva. Teď jsem za firewallem místního ISP, společně s cca 40-50 ostatními, moje "krabička" routuje taky, takže ani na windowsí fw nezbyde prakticky žádná práce. A jestli některá aplikace náhodou odešle nějaké informace ke svému páníčkovi, třeba o tom kde surfuji, je mi srdečně jedno. Nepovažuji se za důležitý objekt hodný zájmu tajných služeb äni nikoho podobného.
P.S.: Nemám omezený účet, cracky nestahuji, obyč. Avast + firewall ve Windows, kdybych se nevrtal v tom hnoji, který mi občas lidi přinesou, ani bych nevěděl, jak vypadá breberka.