Ну, первая мысль - полный бред и маразм. Глюк на глюке и с тормозами. Но, как выяснилось - это не так страшно. (В принципе они работают по-моему через TDI хуки, которых можно установить несколько и они не должны друг другу мешать?..). Как меня заверили - это даже работает :) , правда я не могу проверить насколько адекватно они сосуществуют.
Ну относительно защиты "внешнего периметра", т.е. предотвращения вторжений из вне - это, очевидно, бессмысленно (если сам фаерволл не баговит). Однако если теперь представить, что скажем вирус/троянец пытается "в обход" фаерволла сходить в интернет - скажем отправить письмо с паролями, то все становится интереснее.
Для тех, кто не знает - объясняю, как происходит "обход фаерволла". В большинстве случаев фаерволлы работают в "режиме обучения". И когда что-либо пытается слазить в интернет, появляется окошко - типа "резрешим или нет этой программе сходить в интернет"? Троянец, будучи запущенным на компьютере, при появлении такого вопроса на экране тут же нажимает "Разрешить" и спокойно лезет в интернет.
Пользователь даже не успеет ничего заметить. Для того, чтобы реагировать на такое окошко с вопросом, троянец "затачивается" под конкретный фаерволл. То есть, он допустим реагирует на появления окна с заголовком Agnitum Outpost. Если этому троянцу повезло и на машине работает тот фаерволл, под который был "заточен" троянец, то для троянца все пройдет успешно. Если же работает другой фаерволл - то троянец с ним ничего сделать не сможет.
А теперь - если будет работать несколько фаерволлов, то вероятность успешного обхода стремится к нулю.
Вот я теперь и думаю - все же это маразм и мне нужно хорошенько выспаться
(чтобы такая фигня в голову не лезла 
), или все же определенный смысл в таких рассуждениях имеется? Или может есть какие-нибудь ещё основания для использования нескольких фаерволлов?Есть у кого-нибудь какие-то мысли по этому поводу? Может есть такой опыт?
Это сообщение отредактировал mvf23 - 15-08-2006 - 04:50
| QUOTE |
| как upper фильтры (а не хуки :), они все больше к NDIS льнут |
Ох, я вообще плохо представляю устройство этого самого стека. Читал про него когда-то давным-давно. Но практике использовать эти знания не приходилось, так что - извиняюсь, не со злым умыслом, а по причине врожденного малоумия ляпнул :)
| QUOTE |
| на машине, осуществляющей NAT-трансляцию их не поставишь |
Ну, NAT обычному пользователю и не требуется. Если есть необходимость в NAT - то лучше (имхо) все же отдельную машинку на это дело выделить. Которая будет пакеты туда-сюда перебрасывать. Заодно и фильтровать по-немножку...
А вообще, за ответ - спасибо. :) (И не говори потом, что люди - не благодарны. :) )
Надо будет попробовать в "полевых условиях".
Может у кого-то есть ещё и опыт по этому поводу?
По поводу ставить два продукта одного действия - ИМХО не очень хорошо.. Вспомнить, хотя бы попытки поставить два антивируса на одну машину.. Типа должна быть двойная защита, а получается двойной глюк...
| QUOTE |
| NAT-трансляция - это типа "маскарад адресов", по иному - прокси-сервер |
Да, типа "маскарад адресов". Но не то же самое что прокси. Хотя функции в чем-то похожи.
Прокси - это скорее твой "представитель", ты к нему вполне осознанно обращешься с целью получить те или иные данные. А NAT - это когда твой адрес, заменяется на другой, и ты об этом даже можешь не знать. Т.е. NAT - это скорее "маска", ткоторую ты не замечаешь.
Если интересно - могу дать точные определения.
| QUOTE |
| Вспомнить, хотя бы попытки поставить два антивируса на одну машину.. Типа должна быть двойная защита, а получается двойной глюк... |
На самом деле просто нельзя ставить 2 антивируса в режиме мониторинга. А вообще несколько антивирусов - это хорошая идея.
Оптимальный вариант когда есть один антивирус работающий в режиме монитора, и другой который используется только как "сканер по требованию".
| QUOTE |
| ТО есть, не поставишь фаервол на машину-прокси или не поставишь два фаервола на машину-прокси? |
Ну с прокси как раз все должно получиться. А вот с NAT - нет.
К слову очень часто прокси содержит в себе функции фаерволла.
Вообще сейчас очень многие программы типа WinRoute содержат в себе и прокси, и NAT и фаерволл.
| QUOTE (-=Велла=- @ 15.08.2006 - время: 16:12) |
| Прошу прощения за неграмотность, но NAT-трансляция - это типа "маскарад адресов", по иному - прокси-сервер (одни из его функций). ТО есть, не поставишь фаервол на машину-прокси или не поставишь два фаервола на машину-прокси? ИЛИ я что-то не поняла? По поводу ставить два продукта одного действия - ИМХО не очень хорошо.. Вспомнить, хотя бы попытки поставить два антивируса на одну машину.. Типа должна быть двойная защита, а получается двойной глюк... |
На первое: принципы организации сетей на базе протокола IP таковы, что каждый узел должен иметь свой уникальный IP-адрес. Интернет - это IP сеть. Сначала, для передачи данных из одной подсети в другую, можно было использовать обычный роутинг. Однако адресное пространство конечно, поэтому его на всех не хватает (пиндостан, кстати, гад). Для этого умные люди выделили три IP-сети (10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, 192.168.0.0 - 192.168.255.255), которые считаются внутренними. Для того, чтобы попасть компьютеру из внутренней сети во внешнюю, необходимо было что-то делать. Тогда же и появилась технология NAT (Network Address Translation) - технология трансляции сетевых адресов. NAT - это такая хитрая технология, которая позволяет прозрачно транслировать IP адреса и номера портов из одной группы группы в другую. Почитать про эти схемы можно в RFC 1631, 2663, 2766, 3022. Маскарадинг - это одна из схем NAT, описанная в RFC 3022, называемая так же традиционной. В терминологии *nix систем она обзывается masquarading, ибо *никосоиды опять выпендриваются.
На второе: в глобальном смысле устройство, осуществляющее роутинг или трансляцию является прокси. Однако не все, что прокси, является брэндмауэром или транслятором. :) В настоящее время понятие "прокси" - это промежуточный прозрачный агент, имеющий право отдавать контект из собственного кэша, даже конкретней - HTTP-прокси. Фильтрацией по портам занимается брэндмауэр, он же NAT-транслятор или роутер.
На десерт: ты даже не представляешь, сколько у тебя навешано таких фильтров на тот же драйвер привода CD-ROM - и все работает, а там ведь еще есть и lower фильтры. Логика же организации стека фильтров протоколов транспортного уровня ничем не отличается от того же вышеупомянутого стека. И deadlock'ов там не бывает, так как все идет по очереди.
Запьем все это антивирусами - там у них совсем другое дело. Они любят входить в так называемые deadlock'и и лечить друг-друга. Антивирус уже не только проверка на сигнатуру вируса, но и выявление подозрительной активности. Сама активность антивируса уже подозрительна для других. Так что боливар не выдержит двоих. Я вообще подозреваю, что это сделано намеренно. :)))
И как ответ: не поставишь брэндмауэра, расчитанного на частное использование, на машину, которая уже САМА является брэндмауэром и занимается трансляцией.
То есть, если у меня на машине (возьмем часный случай) стоит софтовый прокси-сервер, выполняющий функции NAT ("чтобы попасть компьютеру из внутренней сети во внешнюю") и фаервол (он же брандмауэр), кот. все это фильтрует, однако сам прокси-сервер тоже в свою очередь может выполнять функции брандмауэра - он пускает только туда, куда разрешено, то поставить второй фаервол я уже не смогу.. А вот если я сижу дома и у меня один комп и он имеет соединение с глобальной сетью посредством модема, например, то я могу поставить два фаера? ТАк чтоли? Чот запуталась..
На счет антивирусов.. я тоже так подозреваю.. Все им лишь бы денег заработать... на нас...
| QUOTE (-=Велла=- @ 15.08.2006 - время: 17:12) |
| Ага.. понятно.. то есть тут все намного серьезней, чем я подозревала... То есть, если у меня на машине (возьмем часный случай) стоит софтовый прокси-сервер, выполняющий функции NAT ("чтобы попасть компьютеру из внутренней сети во внешнюю") и фаервол (он же брандмауэр), кот. все это фильтрует, однако сам прокси-сервер тоже в свою очередь может выполнять функции брандмауэра - он пускает только туда, куда разрешено, то поставить второй фаервол я уже не смогу.. А вот если я сижу дома и у меня один комп и он имеет соединение с глобальной сетью посредством модема, например, то я могу поставить два фаера? ТАк чтоли? Чот запуталась.. На счет антивирусов.. я тоже так подозреваю.. Все им лишь бы денег заработать... на нас... |
Не путайся.
Сейчас прокси, это такая байда, которая живет на уровне протоколов приложений, а NAT же влачит свое жалкое существование на уровне транспортных. И если для работы с прокси приложения должны уметь работать с прокси дополнительно, то с работой через NAT приложения даже и не подозревают о наличии такового. Кто прокси, кто NAT и кто брэндмауэр понятно? В серверном случае последние два - один человек. :) Прокси "фильтрует базар" (типы контента), а брэндмауэр адреса и порты.
А если дома - ставь хоть три. Только зачем? :) Лучше поставить локальный кэширующий прокси.
Это сообщение отредактировал mvf23 - 15-08-2006 - 19:00
| QUOTE (mvf23 @ 15.08.2006 - время: 20:00) |
| Ну в общем, да - лечится. Только это не всегда удобно. |
гм. а помоему наоборот , разрешил что нужно и вперед , так проще и безопасней.
Несколько фаерволлов - это все же, скорее, маразм. Бонусы очень сомнительны.
Кастаельно обхода фаерволлов - все зависит от изворотливости троянца и сообразимтелтьности фаерволла.
Например ты разрешаешь сходить в интернет своему браузеру? Ну вот троянец может осуществить вызов браузера, с просьбой сходить на адрес
www.какой-то-там-адрес.com/index.php?password=например-твой-пароль
Окошечно браузера разумеется показываться не будет. Дальше ясно.
Аутпост (кто его юзает) в режим обучения нужно ставить только на период установки новых прог, которым нужна некоторая сетевая активность. Для всего остального - кирпич. Если чувствуете что что-то не идет с сетью, то верните на время повторения операции режим обучения и сделайте соответствующие настройки.
Про Антивири - дотошные мля до ужаса. Последний 6-й Каспер с его проактивной защитой ругается даже на фарика.
Про локальный кэширующий прокси - ставьте себе CoolProxy и будет Вам счастье. Супер прога - спасибо афтару. Принудительное кэширование всего на свете. Сверху все это можно сдобрить каким-нить Anonymity 4 Proxy или ей подобным, но это уже тому кому нужно.
Почему бы не настроить одну но правильно.
| QUOTE (Brutal_Whore @ 12.10.2006 - время: 18:08) |
| Бред однозначно! Только один файервол нужен!Но хороший!Зачем миллион полуотстойных если можно поставить только один, но хороший! |
Согласна полный бред!
Да и один и хороший (типа всяхих ZoneAlarm`ов, Outpost`ов, Sygate Pers. firewall) - как его не настраивай, если кому уж сильно надо всеравно c легкостью ОБОЙДУТ!