Vlákno názorů k článku Proč firewall? od miros - Co je qos? Jako pro ruzne porty ruzne...
-
http://volani.webnode.cz/ (neregistrovaný)Já mám krabičku, která je postavená na linuxu.
A protože mi běží poměrně dost služeb (ano vesměs naklikaných v GUI, přiznávám), tak jsem vyčerpal všechny "pozice" pro směrování TCP/UDP, port WAN - TCP/UDP, port vnitřní IP.
A taky sem nastavil QoS.
Což sem se dozvěděl že se dělat nemá, protože jakmile se nastaví v té mé krabičce cokoliv tak to ten router nestíhá a je lepší nemít žádná pravidla pro QoS, než nějaká, byť sebelepšeji nastavená :) -
Flasi (neregistrovaný)Dnešní znamená tak maximálně rok, dva staré (pokud beru ty v lidových cenových relacích). Spousta lidí má doma krabičku, co jim dal jejich ISP před více než jedním, či dvěma roky. A tam je to podle mých zkušenosti s možnostmi nastavování FW pro konkrétní IP adresy o dost horší.
-
Když nebudu počítat svůj vlastní, postavený na iptables (takže nastavit lze téměř cokoliv) :-), tak musím říct, že dnešní "krabičky" (switch, router, fw, dhcp server, wifi accesspoint) umí i za pár korun hodně muziky (až mě to občas překvapuje). Defaultní zákaz komunikace dovnitř, mimo té zevnitř navázané a explicitně povolené umí určitě minimálně každá druhá... -
Třeba proto, aby tu službu nemohl zneužít někdo jiný...
Například, když někomu doma poběží SMTP server, který je nezabezpečený, protože někteří pokročilejší uživatelé si myslí, že jsou hyperadministrátoři, instalují si servery a "administrují je a zabezpečují" z nějakého webového GUI (tudíž, na co není tlačítko, o tom nemají ani tucha). Když před takovým serverem nebude ani žádný firewall, který by k SMTP serveru pustil jenom toho uživatele (například přes VPN), tak zase máme o jeden SPAMerský server navíc :-(
Já mám třeba firewall doma proto, aby mi nikdo:
- nelezl na data
- nezpomaloval internetovou linku tím, že se na mě napíchne a pustí si tam nějaké DCC (nebo co je teď v módě)
- nekoukal na webkamery
a vůbec, aby mě nechal na pokoji :-) -
Na domácím počítači má firewall význam takový, že umožnuje programátorům aplikací kašlat na detailní nastavování přístupových práv v každé konkrétní aplikaci. Místo toho aplikaci prostě schováme z potenciálně nebezpečných zdrojů (internetu), a povolíme přístup jenom lidem v místní síti. Výhodou je především jednotná konfigurace přístupu pro všechny aplikace bez toho, aby musel aplikace používat nějaký framework k tomu určený. Jistě, solidní aplikace by měla vpustit pouze oprávněného uživatele a nevpustit útočníka bez přístupových údajů. Jenže nežijeme ve světě ideálním, počítače chtějí používat i laikové, kteří nerozumí ani základům konfigurace sítě, natož aby správně uměli nastavovat služby. Ti dokáží pochopit, že aplikaci buď pustí nebo nepustí na "internet". Navíc systém ohrožují aplikace třetích stran, na jejichž kvalitu nemá výrobce systému vliv a nemůže tak zaručit, že nebude děravá, jak cedník. Pomocí firewallu může minimalizovat riziko, že takové aplikace ohrozí bezpečnost systému. Je to prostě kompromis, a sem tam má i svůj smysl :-) -
Stevko (neregistrovaný)Vidím aký taký zmysel firewallu na oddelenie dvoch sieti. Ale aký zmysel má firewall napríklad na domácom počítači alebo dokonca na súkromnom servri. Ak na ňom beží nejaká služba, tak tam beží preto, aby som sa na ňu mohol pripojiť odkiaľ chcem. V opačnom prípade služba proste nebeží.
