21 ответов в этой теме

[basid]

Моя кочка зрения проста - контроль приложений позволяет контролировать (только) клиентскую активность.

Полноценная защита узла требует пакетного фильтра, которого не стало в "брандмауэре" версии 12.

[SergSG]

Не знаю.

 

Пакетный фильтр и раньше был фикцией из за приоритета фильтра приложений.

Да и вообще, чем дальше, тем больше файер дырявится. Печально.

Сообщение было изменено SergSG: 27 Август 2018 - 00:34

[VVS]

basid, а почему тут, а не в бета?

"пакетного фильтра, которого не стало в "брандмауэре" версии 12" - это с чего бы то его не стало?

[basid]

basid, а почему тут, а не в бета?

"пакетного фильтра, которого не стало в "брандмауэре" версии 12" - это с чего бы то его не стало?

1. Я хочу узнать мнение других людей. Обсуждать можно в багтрекере - запись есть.

2. Я не увидел. Где-то пропустил кнопочку "продвинутый режим"?

[VVS]

1. Написано "Только для бета-тестеров версии 12" - я и подумал, что это логичнее в бету.

2. Внизу, справа кнопка "Дополнительные настройки".

 

ЗЫ

Стафы, это как раз весьма хорошо характеризует дизайн, если даже basid не заметил этой кнопки.  

[basid]

Да уже заметил

Другой вопрос, что я уже некоторое время подумываю запросить перенос этой надписи в, таки, левый нижний угол. И даже безотносительно брандмауэра.

 

Кроме того, вопросов не стало меньше ...

Фундаментальная проблема - контроль серверных приложений.

 

Если я поднял условный HTTP-сервер, то, как правило, слушать этот сервер будет "все интерфейсы по обоим протоколам". При этом я получаю запрос с параметрами серверного сокета (все входящие на таком-то порту).

Это уже ошибка: как приложение создаст серверные сокеты - зависит от приложения. В некоторых случаях я даже не могу управлять параметрами этих сокетов.

А вот с каких адресов будут пропущены клиентские подключения - это уже в полной моей власти. Должно быть. А нету.

 

В нормальной ситуации я "прикрываю" узел пакетным фильтром и, если в этом фильтре есть контроль приложений, то разрешаю клиентские подключения не просто на заданный сервис (порт), а "на заданный порт, если серверный сокет создан конкретным приложением (службой)".

 

В такой (идеальной) ситуации я понимаю, что и как защищено.

С брандмауэром DrWeb, лично мне:

1. Непонятно защищён ли мой узел вообще;

2. Непонятно как получить данные о блокированных пакетах и подключениях.

 

Из-за первого пункта, лично мне, вообще страшно включить брандмауэр. Из-за второго - я не понимаю как решать проблему, если она возникнет.

 

Третий и очень важный пункт - я не могу ограничить пользователей, которым разрешено создавать правила в "спрашивающих" режимах. Что, опять-таки, ставит под вопрос смысл файервола, который любым пользователем может быть превращён в решето.

Понятно, что надо сделать, чтобы было "не решето", но трудоёмкость настройки - зашкаливает за все разумные границы.

 

В сухом остатке: брандмауэр подходит только пользователю, который хочет себя немного обезопасить.

 

С моей кочки зрения задачу "немного обезопасить" существенно лучше решают две вещи:

1. Проверка защищённого трафика;

2. Полная проверка (и входящего и исходящего) трафика нетфильтром.

[VVS]

Третий и очень важный пункт - я не могу ограничить пользователей, которым разрешено создавать правила в "спрашивающих" режимах. Что, опять-таки, ставит под вопрос смысл файервола, который любым пользователем может быть превращён в решето.

Это речь о том, что правила может создавать любой пользователь?

Скажу более - их может создавать "непользователь" (ну не знаю я, от чьего имени создаётся правило, если оно создаётся с окна блокировки Windows).

[Eugen Engelhardt]

..я не могу ограничить пользователей, которым разрешено создавать правила в "спрашивающих" режимах.

Такого ограничения или разрешения - нет, брандмауэр не контролируется централизованно, если речь за корпоратив, там нужно использовать NAT или Proxy Server, но не брандмауэр.

..их может создавать "непользователь" (ну не знаю я, от чьего имени создаётся правило, если оно создаётся с окна блокировки Windows).

От имени системы.

 

На мой взгляд, брандмауэр нужен "для хомячков", и то, его необходимо существенно переработать, так как, в том виде в котором он существует сейчас, никуда не годится.

[Kirill Polubelov]

На мой взгляд, брандмауэр нужен "для хомячков", и то, его необходимо существенно переработать, так как, в том виде в котором он существует сейчас, никуда не годится.

 

Все знают, что его надо переработать, но никто, кроме Agnitum, не знает как именно =)

[Eugen Engelhardt]

Все знают, что его надо переработать, но никто, кроме Agnitum, не знает как именно =)

   

[VVS]

..я не могу ограничить пользователей, которым разрешено создавать правила в "спрашивающих" режимах.

Такого ограничения или разрешения - нет, брандмауэр не контролируется централизованно, если речь за корпоратив, там нужно использовать NAT или Proxy Server, но не брандмауэр.

Я не про корпоратив, я просто не хочу, чтобы моя дочка могла управлять фаером.

[Eugen Engelhardt]

я просто не хочу, чтобы моя дочка могла управлять фаером.

То, что Вы хотите, это больше смахивает на родительский контроль брандмауэра

[SergSG]

 

..я не могу ограничить пользователей, которым разрешено создавать правила в "спрашивающих" режимах.

Такого ограничения или разрешения - нет, брандмауэр не контролируется централизованно, если речь за корпоратив, там нужно использовать NAT или Proxy Server, но не брандмауэр.

Корпоративы бывают разные.

[Eugen Engelhardt]

Корпоративы бывают разные.

Но суть их одна, так что не будем разводить полемику.

[basid]

Четыре (локальные) учётки моего домашнего компьютера не превращают этот компьютер в "корпоратив".

Но, как минимум, должна быть возможность ограничить создание правил только группой локальных администраторов.

[VVS]

я просто не хочу, чтобы моя дочка могла управлять фаером.

То, что Вы хотите, это больше смахивает на родительский контроль брандмауэра

Почему доступ только админа к изменениям настроек SG3 - это часть нормального функционала, а аналогичные требования к фаеру столь удивляют?

[SergSG]

 

 

я просто не хочу, чтобы моя дочка могла управлять фаером.

То, что Вы хотите, это больше смахивает на родительский контроль брандмауэра

 

Почему доступ только админа к изменениям настроек SG3 - это часть нормального функционала, а аналогичные требования к фаеру столь удивляют?

 

В файере немного другая ситуация с правилами. Без прав он просто дыра.

[VVS]

я просто не хочу, чтобы моя дочка могла управлять фаером.

То, что Вы хотите, это больше смахивает на родительский контроль брандмауэра

Почему доступ только админа к изменениям настроек SG3 - это часть нормального функционала, а аналогичные требования к фаеру столь удивляют?

В файере немного другая ситуация с правилами. Без прав он просто дыра.

Вот именно...

[basid]

Вотжежвыупёртые ...

По умолчанию "в винде" запрещены входящие, разрешены все исходящие и нет контроля приложений. Насколько я понимаю, как минимум, в "клиентских линуксах" - точно также.

Что характерно - никто не умер.

И вот, вместо того, чтобы стартовать с относительно безопасной точки и "постепенно закрутить гайки", создаётся среда, в которой "шевелить руками, конечно, можно. Но не каждый день".

[VVS]

basid, полностью согласен с Вашим возмущением...

Теперь бы только понять, к чему оно относится.