Hirdetés

  2. Fórumok
  3. LOGOUT reakciók
  4. Linux tűzfal otthon

Új hozzászólás Aktív témák

  • #14 zrubi senior tag
    Új Válasz #14
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    zrubi

    senior tag

    Csak néhány gondolat a cikkhez:

    * A 'saját tűzfal készítés élményén' kívül sajnos ennek manapság nem sok értelme van... miért:

    - Mert már sok professzionális, kész, működő megoldás létezik, amiket nagyon könnyű telepíteni, és üzemeltetni. A tűzfal lényege pedig nem a barkácsolás.

    - Sajnos azt kell mondjam, hogy otthoni környezetben manapság már ez a fajta tűzfalazás (csomagszűrő + proxy) elavult, és nagyjából semmire nem jó. Ez manapság arra való, hogy a klienseket elszeparáljuk a szerverektől, nyomtatóktól, egyéb hálózatoktól... erre pedig leginkább céges környezetben van szükség.

    Miért?
    Mert a https, és http forglamat kiengeded, hiszen a júzerek netezni szeretnének...
    Ezen a kettőn pedig BÁRMILYEN forgalom képes működni. És a bármilyent szó szerint kell érteni. Mamapság bártmit be lehet csomagolni http (vagy annakk látszó) protokollba, amit a proxy simán átenged...

    a https kiengedése pedig maga a paradicsom (a 'gonosz' forgalmak szempontjából), mert azzal még a proxy sem tud/akar semmit kezdeni, 'csak átengedi' így pedig már http-be sem kell csomagolni, bármit lehet forgalmazni kifelé...

    És ha ez a bármi pl egy VPN, ssh, vagy hasonló, akkor tulajdonképpen akarva vagy akaratlanul beengedtél idegeneket a hálózatodba, amibe a tűzfalad nem fog (mert nem is tud) beleszólni!

    * A cikkben vázolt tűzfalszabályok nagy rész teljesen felesleges, pl: loc-loc irányú forgalmak.
    Ezek ugyanis el sem fognak jutni a tűzfalig, mert ugyan abban a natworkben vannak, így direktben egymással kommunikálnak. Ilyen szempontból erősen félrevezető is a cikk ezen része, hiszen a kevésbé hozzáértők azt hihetik, hogy egy tűzfal képes megakadályozni/korlátozni azonos hálózatban lévő gépek közötti forgalmat. De valójában ez nem igaz!

    Manapság nem attól kell parázni (értsd védeni a hálózatodat) hogy valaki direktben eléri a desktop gépedet. Ezellen ugyanis egy 'szappantartó' is véd, ha minden forgalamt maszkol kifelé (MASQUERADE)

    Otthoni felhasználás esetén a valós probléma az, ami a felhasználók gépére kerül, és onnan KIFELÉ kommunikál. (és így gyorsan részese is lehet egy botnetnek pl)

    Márpedig oda az esetek 99.98%-ban úgy kerül valami hogy a júzer le - (vagy épp fel) tölti. Akarva, vagy akaratlanul az mindegy. Ezellen pedig egy ilyen jellegű tűzfal sajnos NEM VÉD.

    * Hálózattervezés szempontjából pedig egy kliensekből állló hálózatot védettnek nyilvánítani elég nagy tévedés. Pont ez a hálózat az, AMITŐL a többit védeni KELL!
    (ezzel az utóbbi ténnyel sajnos sok magát nagyra tartó cég sincs tisztában)

    PS:
    Remélem ezzel senkinek nem törtem le a lelkesedését...

Új hozzászólás Aktív témák