Názory k článku Vybíráme osobní firewall (2.)

A všiml jste si, že ten test testuje pouze filtrování odchozích spojení (respektive část takového filtrování)?

Chybí mi tu i třeba Comodo

Ja pouzivam IPTABLES a jsem naramne spokojen.
BTW: V ankete chybi minimalne jeste dve moznosti:
- jiny firewall
- zadny firewall

A pole které chbí praktiky ve všech anketách. JJM. Jakákoli jiná možnost.

AFAIK iptables neumi rozpoznat aplikaci, ktera komunikuje. A to dulezitejsi -- uzivatele iptables veri svemu systemu, nepotrebuji omezovat soft zevnitr.

Widlaci jo. Jednou jsem nechal pres noc pusteny w2k s firewallem a antivirem a nakonec jsem je musel opravovat z Linuxu (clamav nasel nejaky zviratka v c:/winnt/system32, ktery pri bootu zasekly avg, takze neslo nabootovat widle).

Nicmene mi neni jasny, kdyz se podivam na tristni vysledky http://www.firewallleaktester.com/tests.htm, ze cely tenhle clanek nemel jeden odstavec:

Pokud vas firewall vubec neco zachyti, je to pouze neschopnosti hackera. Je jedina sance -- ze bude hacker hodnej a nebude nam chtit smazat data a ukrast cislo kreditky.

Docela se desim okamziku, kdy i lidi na widlich budou chtit pouzivat PKI. Zatim jsem nevidel nezdiskreditovany widle.

Iptables je FW, ne odchytavac aplikaci. A k cemu je FW odchytavajici aplikace pokud veskere aplikace bezi pod admin uzivatelem a mohou si naprosto regulerne FW shodit, pripadne si samy povolit pristup ?

Navic tento pristup je naprosto zcestny, nac zakazovat odchozi provoz ? Predpokladem preci je aby se do sytemu vubec nedostal SW ktery produkuje nechteny odchozi provoz (coz mimo jine vylucuje pouzivani i naprosto holych widli). A tomu nema zamezit FW, ale trebas antivir.

Muzes omezovat i odchozi veci, ja to (omezeni odchozich) pouziju az se mi v siti objevi windowsi pocitac ...

Věř mi, že i u neškodných aplikací může být občas důvod k zamezení odchozí komunikace.

"Predpokladem preci je aby se do sytemu vubec nedostal SW ktery produkuje nechteny odchozi provoz (coz mimo jine vylucuje pouzivani i naprosto holych widli). A tomu nema zamezit FW, ale trebas antivir."
a kdyz se tam dostane??

K prvnimu odstavci, iptables to samozrejme umi rozpoznat a nejen aplikaci, ale treba i pod jakym uzivatelem ci skupinou bezi. Pomoci targetu ULOG jednoduse vytvorite aplikace ktere na vas vyhodi okenko s zadosti o povoleni, stejne jako ty ve Windows. A to ani nehovorim o dalsich pokrocilejsich targetech jako je layer-7 filtering ci QoS v userspacu.

Zdravim, tohle me zajima, uz existuje nejaky funkcni aplikacni firewall na tomto reseni? Dokaze rozeznat symlink pojmenovany (se stejnou skupinou a uzivatelem - tohle si totiz lama do pocitace pusti uplne v pohode) stejne jako uzivatelskou aplikaci? Diky za informaci

Trosku fantazirujete, takovejch widli je. Pravda za hw firewallem. Mam tu i SW firewall pro pripad ze jsem na GPRS s tim ze ho mam nastaven "rucne" stylem iptables/ipfw tj ze jsem na zacatek dal propousteci pravidla (predevsim zakaz vse INCOMING), povolil prichozi veci (DNS jen z nasich NS serveru - pouzivame vlastni), nejake PPTP veci a zbytek je nemylosldne omezen. Pak to chce pozastavovat sdileni ve sluzbach, odzdilet vse vcetne tiskaren a x desitek hodin system dotahovat dotahovat. Mam tady WinXP uz temer dva roky. Obcas vytahnu tu 2,5 z ntbk kdyz kopiruji fotky a na druhem kompu to projizdim vsim moznym a zatim, klep klep.

Jiste, pokud jste profik, kterej se widlema zabejva, tak nejspis jo. A pokud jsou ty widle jenom na praci (tedy neprohlizi se na nich net), tak muzou byt bezpecny.

Ale pocitac beznych uzivatelu jsou na tom spatne. A u naseho serveru dokonce svevolne mizi ikonky z control panelu, tak nevim ;-)

Moc me vzdycky pobavi, kdyz nekdo vyklada, jak je Linux pracne nastavitelnej. Firewall jsem nastudoval z tutorialu od Johanky, okopiroval jeni nastaveni a bylo. Cely to trvalo asi 20 minut... A od ty doby to nastaveni jenom kopiruju na novy pocitace :-)

Nj, ale nejsou u toho ty prekrasny okynka "OK/Storno" a tlacitka "next", "next", "next", ... :D.

Navic je clovek vetsinou pripraven o tu zabavu, kdy se "neco nejak nastavilo samo" (a blbe), pripadne samovolne mizeni konfigurace a podobne. Nemluve o hrdinskych cinech konanych pri hledani "kam ono to vlastne tuhle blbost uklada ?".

Linux je takova nuda, konfigurace je vzdy v /etc (a pokud nahodou ne, tak staci man xyz).

Ale jo, staci nainstalovat Mandrake. Poskytuje tohle vsechno :-D

Jaký smysl má testovat free ZoneAlarm a plnou verzi Kerio? ZoneAlarm v plné verzi je špičková firewall, antispam, antivir, antispyware, IDS, a mraky dalších věcí, jinak řečeno, naprostá špička. A na rozdíl od NIS je to i mimořádně rychlé..

Pokud se nepletu tak Kerio je pro nekomeční účely zdarma. Takže to srovnání se více než vybízí.

S Keriem sem měl jen ty nejlepší zkušenosti. Jediné mínus které u mě KPF má je jeho paměťová náročnost(ale to už je dnes téměř běžné(bohužel)).

Občas je vhodné investovat $49 do produktu (ZA Security Suite), který je řádově lepší než Kerio zdarma, a v tomto "testu" by placené alternativy neměly chybět..

No, Kerio nepoužívám hlavně z důvodu pomalosti a nestability (Win98). Narozdíl od něho je třeba Zone Alarm bleskovej a padá minimálně.

Obavam se, ze mluvit o stabilite cehokoliv na Windows 98 je pomerne zbytecne.

Ano, milion aplikací funguje bez problémů, a Kerio ne. Tudíž to asi nebude JENOM widlema, že? Trochu logiky by to chtělo... A soudnosti.

Trochu znalosti a "32-bitove architektury" a vnitrku Windows 9x by to chtelo, a z toho pak usoudit na vyhlidky aplikace, ktera pracuje jen trosku nize v systemu.

mily pane, vy jste nikdy nevidel ovladac shazujici win 9x a ovladac stejneho zarizeni od jineho vyrobce, ktery to nedelal?

A vy jste nikdy neviděl želvu ležet na zádech? To má asi stejnou souvislost s tématem, jako Váš příklad. Existence padajících a nepadajících ovladačů nic neříká o tom, jestli se proces může bránít zápisu do svého adresového prostoru nebo nemůže.

videl... pan si tu stezoval na stabilitu Win 9x a implikoval, ze je obecne problem napsan kod pro nizsi systemove urovne.. ja se mu taktne snazil naznacit, ze problem je jinde..

Kdepak, pán implikoval, že je těžké napsat bezpečný (nenapadnutelný) kód. Napsat stabilní kód není těžké. Napsat neprůstřelný kód v děravém prostředí, to už těžké je.

v1kt0r - Obavam se, ze mluvit o stabilite cehokoliv na Windows 98 je pomerne zbytecne.

na to byla reakce ze kdyz jine aplikace bezi bez problemu proc ne KPF

Ja implikoval, ze v prostredi s necistymi rozhranimi a chovanim je obecne problem napsat (zejmena nizkourovnovou, OK, to jsem nerekl, ale rec je o firewallu) aplikaci, ktera bude stabilni. Prostredi, kde kazdy muze zapisovat kam chce a k ruznym prostredkum lze pristupovat pres nekolik historickych rozhrani, kde novy kozenkovy kabat vola propalenou 16-bitovou zasteru... Prostredi, kteremu by se mel kazdy obloukem vyhnout...

i jedno shozeni systemu a aplikace konci, osobne jsem mel jeden pad Keria4, ale to byla jedna z betaverzi, u finalnich jsem nikdy problem nemel a jede spolehlive. BTW posledni verze Keria 4.2 uz podporu pro Win98 nema.

Kerio je skvělé. ;-) Jeden můj zákazník mi dohodil svého známého, kterému nešel počítač. Nechal totiž nebožák Kerio automaticky upgradovat na poslední verzi a to se kouslo a žralo 100% výkonu. Odinstalování neproběhlo korektně ani v nouzovém režimu, ještě se musela zobrazit skrytá zařízení a ručně odstřelit dva ovladače, které KPF neodinstaloval. Docela opruz, ten nebožák by to prý nakonec řešil reinstalací Windows.
Ještě že jsem spokojený uživatel Outpostu (v Pro verzi).

Nedávno jsem byl docela nemile překvapen, že silný počítač (cpu 1,8GHz, 512MiB RAM, 2x HDD RAID0) nebyl schopný dodávat přes FTP data rychlosrí 100MBps, pořád jěl něco kolem 30-50Mbps i když k tomuneměl důvod. Po vypnutí firewallu (nepamatuju si přesně o jaký FW šlo) se okamžitě zvedla rychlost na 100Mbps. Je tohle normální chování hakéhokoliv firewallu ve Windows?

Jestli je to bezne nevim, ale me toto KPF na podobne konfiguraci zpusouje take...

jo, KPF4.x tohle dela na libovolne konfiguraci. Krome toho pri takhle rychlem kopirovani docela hodne zatezuje CPU. KPF2.15 je na tom mnohem lip, stejne jako Jetico. Je skoda, ze test nezohlednuje i takove vlastnosti.


Vyuziju prilezitosti a zeptem se: Je mozne (a jak?) v XP SP2 zrusit naslouchani systemu na portech 135-139 a 445? Opravdu nepotrebuju nic sdilet, nejvys se pripojit k samba serveru. Diky.

Jde, ale za cenu znacneho znefunkcneni systemu, musite odstrlit RPC. Zkuste, uvidite sam co vsechno prestane fungovat.

Pretoze kerio 2.x nekontroluje obsah. Filtruje len na zaklade adresy, portov, protokolu a aplikacie, ktora dany paket vytvorila. Naproti tomu kerio 4.x je zaroven aj cosi ako proxy server, ktory musi niekde vo vyrovnavacej pamati tie pakety poskladat, a zistit, co v nich vlastne je. To je jeden z dovodov, preco su u verzie 4.x ovela vyssie naroky na cpu/pamat, ako u 2.x. A samozrejme, ze rychlostou 100Mbit/s (alebo dokoca 1Gbit/s) to nezvladne. BTW, osobne si myslim, ze filtrovanie obsahu by vo firewalle nemalo vobec byt...

Firewall může provádět i analýzu až na úroveň aplikační vrstvy. Ale rozhodně by měl uživatel mít možnost zvolit si, jestli to opravdu chce.

Je to bohuzel naprosto standardni chovani vsech FW ktere jsem mel tu cest zkusit. FTP pod Linuxem pri temer 12MB/s zpusobuje naprosto neznatelne zatizeni CPU (a to samozrejme vcetne nekolika pravidel v iptables).

Trochu time out, ale přeci jen... používám Jetico PF a se snížením rychlosti nemám problém, bude to zřejmě tím, že nefiltruje obsah paketů, podobně jako KPF.

Přestal jsem Kerio používat, protože při delším surfování na internetu (třeba 2hod. někdy i méně) přes prohlížeč Firefox, mě padal systém (modrá obrazovka). Nejdřív jsem si myslel, že se nesnese s Firefoxem, ale pak mi systém padal i při použítí IE. Vyzkoušel jsem tedy jiné firewally a padání přestalo. Takže bych Kerio zas tak moc nechválil!

Kerio používám už tři roky na systémech W 98, W Milenium, W 2000 a W XP a bez nejmenší chybičky či nestability.

Kerio sem používal x let dokud ho nepřebral sunbelt nebo jak se menuje ta nova firma a pak to začalo stát za bačkoru.
Jiná kapitola je rychlost ta je opravdu mizerná a to i přes vytvoření pravidel stejně se to na rychlosti nepodepsalo teď již rok používám Comodo a jsem spokojen

Nemam wokna nijak v lasce, ale musim rict, ze moje uz v instalacce orezany SP1 se sygatem a nodem fungujou uz skoro rok, z toho pul roku na kolejnetu. Je celkem zajimavy, ze problemy se stabilitou maj jen lamy a linuxaci (linux je sice "lepsi" ale lama v tom neni schopna niceho). Kdyz se o XP prumerne dobre starate, tak vydrzej celkem dost.

Jinak k tomu zatezovani, se sygatem a nodem sem byl schopnej na kolejnim FTP kopirovat prakticky porad pres 10 MBps a obcas i na DC (hub byl venku) s klientem Zion++ 2.00.

Chybí mě tu ještě Tiny Personal Firewall a BlackICE. To jsou další výborný osobní firewally. Spíš bych čekal nějaký test bezpečnosti jako na http://www.firewallleaktester.com/tests.htm než to co o nich tvrdí výrobce a jak skvěle se ovládá, ale funkčnost je ta tam a poskytují nám falešný pocit bezpečí. Na to jak dopadl v tomto testu KPFW, pak jak může být 5 z 24 vítězem?