Új hozzászólás Aktív témák

• #25 zrubi senior tag TomeeSan #17

  Új Válasz 2013-10-29 11:07:33 #25

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  zrubi

  senior tag

  válasz TomeeSan #17 üzenetére

  Ne legyen kés a szívedben...

  Tanulni mindig jó és hasznos... csak az baj, amikor 'rosszat tanul' valaki...
  Csak ezért szóltam hozzá egyátalán.

  Egyébként én is ilyennekkel kezdtem pályafutásomat (10+ éve majd tűzfalakkal foglalkoztam 'nagyban' is sok évig... (jelenleg még nagyobban, de ez már nem feltétlenül a jó irány) de mégis egy openwrt-s ruoterem van otthon, mert az pont oda való.

• #14 zrubi senior tag

  Új Válasz 2013-10-29 09:31:48 #14

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  zrubi

  senior tag

  Csak néhány gondolat a cikkhez:

  * A 'saját tűzfal készítés élményén' kívül sajnos ennek manapság nem sok értelme van... miért:

  - Mert már sok professzionális, kész, működő megoldás létezik, amiket nagyon könnyű telepíteni, és üzemeltetni. A tűzfal lényege pedig nem a barkácsolás.

  - Sajnos azt kell mondjam, hogy otthoni környezetben manapság már ez a fajta tűzfalazás (csomagszűrő + proxy) elavult, és nagyjából semmire nem jó. Ez manapság arra való, hogy a klienseket elszeparáljuk a szerverektől, nyomtatóktól, egyéb hálózatoktól... erre pedig leginkább céges környezetben van szükség.

  Miért?
  Mert a https, és http forglamat kiengeded, hiszen a júzerek netezni szeretnének...
  Ezen a kettőn pedig BÁRMILYEN forgalom képes működni. És a bármilyent szó szerint kell érteni. Mamapság bártmit be lehet csomagolni http (vagy annakk látszó) protokollba, amit a proxy simán átenged...

  a https kiengedése pedig maga a paradicsom (a 'gonosz' forgalmak szempontjából), mert azzal még a proxy sem tud/akar semmit kezdeni, 'csak átengedi' így pedig már http-be sem kell csomagolni, bármit lehet forgalmazni kifelé...

  És ha ez a bármi pl egy VPN, ssh, vagy hasonló, akkor tulajdonképpen akarva vagy akaratlanul beengedtél idegeneket a hálózatodba, amibe a tűzfalad nem fog (mert nem is tud) beleszólni!

  * A cikkben vázolt tűzfalszabályok nagy rész teljesen felesleges, pl: loc-loc irányú forgalmak.
  Ezek ugyanis el sem fognak jutni a tűzfalig, mert ugyan abban a natworkben vannak, így direktben egymással kommunikálnak. Ilyen szempontból erősen félrevezető is a cikk ezen része, hiszen a kevésbé hozzáértők azt hihetik, hogy egy tűzfal képes megakadályozni/korlátozni azonos hálózatban lévő gépek közötti forgalmat. De valójában ez nem igaz!

  Manapság nem attól kell parázni (értsd védeni a hálózatodat) hogy valaki direktben eléri a desktop gépedet. Ezellen ugyanis egy 'szappantartó' is véd, ha minden forgalamt maszkol kifelé (MASQUERADE)

  Otthoni felhasználás esetén a valós probléma az, ami a felhasználók gépére kerül, és onnan KIFELÉ kommunikál. (és így gyorsan részese is lehet egy botnetnek pl)

  Márpedig oda az esetek 99.98%-ban úgy kerül valami hogy a júzer le - (vagy épp fel) tölti. Akarva, vagy akaratlanul az mindegy. Ezellen pedig egy ilyen jellegű tűzfal sajnos NEM VÉD.

  * Hálózattervezés szempontjából pedig egy kliensekből állló hálózatot védettnek nyilvánítani elég nagy tévedés. Pont ez a hálózat az, AMITŐL a többit védeni KELL!
  (ezzel az utóbbi ténnyel sajnos sok magát nagyra tartó cég sincs tisztában)

  PS:
  Remélem ezzel senkinek nem törtem le a lelkesedését...

• #11 zrubi senior tag RBJ #2

  Új Válasz 2013-10-29 08:58:08 #11

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  zrubi

  senior tag

  válasz RBJ #2 üzenetére

  A cikket elolvasva nekem valami szoftveres, és megfelelő gui val rendelkező tűzfal kellene.

  Rengeteg ilyen létezik, pl:

  http://openwall.com/
  http://www.smoothwall.org/
  http://www.zentyal.org/

Új hozzászólás Aktív témák