FIREWALL (7.6.2003 12:14:07)
Jaké kdo máte zkušenosti s routery s HW firewallem? Router dělá NAT, Hacker Attack Protect, Block Hacker Scan a další. Jak to spolehlivě chrání vnitřní síť? Myslim že tohle je aktuální téma pokud je síť neustále ve spojení s inetem.
Baracudda (7.6.2003 13:39:22)
Mám router s firewallem a jsem s ním velice spokojen. Sem tam zablokuje pokusy o scannovaní a vlastně dovnitř nepustí nic co tam nepatří. Mám na routeru také nastaveno neodpovídat na příchozí ICMP pakety, takžýe se navenek tváří jako mrtvý brouk a zřejmě i to značne omezuje různé pokusy rádoby-hackerů. Na každém stroji mám také nainstalován Kerio Personal Firewall, kterým jsem dříve chránil dial-up připojení, ale co mám router, tak nemá v podstatě nic na práci. Netvrdím, že kdyby se někdo opravdu moc snažil dostat dovnitř, tak by se mu to nemohlo povest, ale to platí u každého řešení. Myslím, že pro ochranu domácí sítě obyčejný router za pár korun bohatě stačí a celkem můžete mít jistotu, že Vám nikdo nebrouzdá po discích, když se zrovna nedíváte.
Ant (7.6.2003 14:10:30)
Mám taky router s firewallem Micronet sp888 jak je tohle zařízení bezpečné, ví to někdo? Různí rádoby znalí tvrděj že ano, ale rači se zeptám zkušenějších. Co vy na to ? Hlavně díky za jakékoli rady. Info též na www.micronet.info
Ivan (25.8.2005 20:50:31)
Zaboha ten router nemohu rozchodit. WAN strana hlásí připojeno, LAN strana nachází klienta pomocí DHCP, pingem se dostanu kamkoliv s odezvou, dokonce když zadám jen číslem adresu třeba seznamu, vrátí se mi odezva se slovy www.seznam.cz za 10ms atd, ale když zadám cokoliv slovy, nic se nenajde. Mám to na Karnevalu, a nikdo neví co s tím. A samotný SP888 je už vyměněn, a nejde a nejde. M"žeš poradit? Díky, Ivan.
Nargon (25.8.2005 21:26:30)
Nastavit DNS servery. To jsou servery, ktere prekladaji slovni nazev na IP. Kdyz vam IP funguje a dns nazev ne, tak je urcite problem v DNS ze je nemate nastavene. Takze se zeptejte Karnevalu jake DNS servery maji a ty pak do routeru zadejte (teda pokud to umoznuje) nebo do kazdeho PC zvlast primo v nastaveni site. (nebo tam nekde to bude, staci proklikavat a hledat)
Mike007 (1.1.2006 19:03:38)
nevite někdo jak aktivovat KPF 2.2.0-911 pokud jo dejte mi prosim vedet M007
TomM (25.8.2005 23:39:42)
tohle vypadá na problém s DNS, pokud sem správně pochopil, že když zadáš IP, tak to jede, pokud zadáš jméno tak to nejede.
Thorough (28.8.2005 00:44:52)
Škoda že důležité info chybí - jaký používáš operační systém a zda máš firewall.
Honza (30.8.2005 22:30:21)
To me zaujalo. Jak popisovanym problemem souvisi OS? Ze ty delas nekde na helpdesku? Kanonada nesmyslnych a nesouvisejicich dotazu klienta natolik zblbne ze podekuje a zmatene zavesi.
Anonym (26.8.2005 08:17:58)
Máš-li router kde je zapnutý NAT a nemáš přesměrovány žádný porty do vnitřní sítě (celkem častý případ) potom žádný firewall na kompu nepotřebuješ. Nikdo se k tobě nemá jak dostat. Jedině že by ovládl router a pohrál si s jeho nastavením. Stačí ale na routeru vypnout přístup z netu a veškeré snahy jsou marné.
Thorough (28.8.2005 00:50:25)
Nemyslím že je NAT tak jednoznačně nepřekonatelný.
Nargon (28.8.2005 02:03:48)
Hlavne blbost uzivatelu vladne svetem. Ja jsem si jen tak na zkousku, zkusil proskenovat port 80 z ipcek, ktery jsou podobny moji, jen 256 stanic (posledni cislo promeny) a par portu bylo otevrenejch a asi na 4 modemy jsem se dostal s defaultnim jmenem a heslem. Pak mi vlastne nebranilo nic abych mohl modem rekonfigurovat.
Anonym (28.8.2005 09:34:21)
Nemáš-li udělanej forwarding, do sítě LAN se nedostaneš.
TomM (28.8.2005 14:02:38)
a co třeba nějakej trojan, kterej to proantuje buď přes UPnP a nebo jednoduše otevře vestu zevnitř??y :D
Thorough (28.8.2005 23:11:37)
Nějaká cesta do vnitřní sítě přece musí existovat. Jinak by sis musel chodit pro webové stránky na server s disketou :)) Jak je to pokud si třeba pingneš někam na server? Program odešle data a čeká na odpověď. Odpověď příjde a ... na vysokém portu projde přes NAT. Čím to? No protože NAT propouští "odpovědní pakety" (ACK=1). A co když to není odpověď, jenom se tak tváří? A co když to není ICMP ale třeba DCOM exploit? :) NAT je velmi účinný, ale není samospásný. No a když se k tomu připočte třeba nějaký sběrač hesel který si uživatel lokálně spustí, tak je osobní firewall i za NATem na místě.
Anonym (28.8.2005 23:23:44)
Meleš pěkný kraviny
Masak (28.8.2005 23:32:06)
Kraviny to asi nebudou, ale každopádně za NATem jsi ochráněn tak na 99%. Sam používám připojení Wifi s NATováním a PC bez firewallu. Za 4 roky provozu žádnej síťovej vir, prostě pohodička.
Nargon (29.8.2005 00:01:17)
To je tim, ze se o tebe zadnej hacker nezajimal. nebo nejakej vir. Proste jsi nebyl zajimavej subjekt. nebo mas na pocitaci neco s oznacenim "statni tajemstvi"
Thorough (29.8.2005 01:37:57)
Užij si svou nevědomost :))))
TomM (28.8.2005 23:24:04)
když paket opouští LAN, tak se v NATU udělá záznam, který pustí odvěď zpět na to src IP z kterého vyšel! a z toho vyplývá (jak jsem psal níže) záškodnictví zevnitř síťe /např. viry) NAT neubrání
Martin (29.8.2005 20:55:05)
Ahoj, tohle by mne docela zajímalo. Mám SpeedTouch 510i, žádný záznam v NAT, UPnP vypnuté a FW zapnutý s default nastavením. Exituje nějaká možnost, že by se někdo z venku naboural do PC ve nitřní síti? Pokud samozdřejmě neberu tu nejčastější možnost, že si otevřu díru do systému pomocí nějakého programu ;-)). Zatím jsem nechal Personal Firewall zapnutý, ale používám ho hlavně pro sledování odchozí komunikace.
Zajda (29.8.2005 21:36:03)
Záleží na implementaci NATu. NAT samozřejmně za normálních okolností umožní vytvoření spojení nebo dočásný záznam ve svých tabulkách pro přeposlání udp paketů tam a zpět jen zevnitř sítě. Pokud je ale tento kanál vytvořen, tak již nebrání poslat data, která mohou negativně ovlivnit klientskou aplikaci popř. přes ní kompromitovat daný stroj. No to je ale již spíše úroveň zabezpečení aplikací. Zajímavější jsou (ne)možnosti různých nat traversalů. Prakticky je možné se dostat za firewall nebo alespoň provést DoS útok na různé podpůrné mechanismy(nat/pat traversal, jinak se zove také nat/pat passtrough)pro různé nestandardní protokoly jejichž funkce na ,,syrovém" NATu nebo PATu není možná. Závisí totiž i na navázání spojení z internetu dovnitř sítě a na modifikaci přenášených dat. Nejčastěji se útočí na FTP,IRC,H.323 nebo IPSec nat traversaly. Pokud je daný nat traversal pokořen, je opravdu reálná možnost že se útočník bude moci dostat do segmentu vaší privátní sítě. UPnP jakožto otevírač firewalu je nekonečnou studnicí nejrůznějších chyb v implementaci ;)
Nargon (29.8.2005 23:15:37)
Lamerskej dotaz. Co to vlastne je NAT TRAVERSAL? jak se to lisi od normal natu, nebo je to jen delsi pojmenovani normalniho natu.
Thorough (30.8.2005 01:44:54)
Já jsem měl na mysli TCP pakety exploitu zapouzdřené do datagramu s nenastaveným syn a nastavenym ACK příznakem. Router datagramy na TCP portu který je vyšší než 1023 propustí (nijak důsledně nezkoumá ACK, může tam být "jakékoliv" celé číslo vyšší než nula), vybalí originální pakety, přepošle je k vnitřním počítači a počítač uvnitř sítě je zpracuje - alias výstup exploitu protenulovaný do generátoru paketů. Něčemu takovému by měl umět zabránit kvalitní filtr paketů který v adsl modemech není a v lokální stanici by se takový mechanismus dal dohledat jen v nějakém TCP dumpu.
Honza (30.8.2005 22:25:42)
Divoka teorie. Co si takhle nastavit drop all ve fw routeru a jit si lehnout? NAT do vnitrni site neforwardne nic od ceho by nemela zaznam odchozi komunikace. Nevi totiz kam s tim...
Thorough (31.8.2005 08:22:21)
v záhlaví paketu má dost informací
Anonym (31.8.2005 13:07:16)
Hadr na hlavu. Dnešní NATy nejsou co bejvávaly(i když pořád existuje Mics-ro & srot. Dneska NAT supluje i takovej stavovej firewall.
Anonym (31.8.2005 16:10:59)
Souhlasím s tím, že NAT vyfiltruje skoro všechno. Jsem za NATem již několik let, PC bez firewallu a vše funguje v poho.
Wosic (31.8.2005 23:00:57)
Jasně a nat si někde stáhneš a nainstaluješ, viď? Nezapomeň si taky nainstalovat pakety aby ti fungoval internet .. LOL .. :))))))))))
Anonym (31.8.2005 23:04:20)
NAT i s firewall jde stahnout treba tady http://www.kerio.cz/kwf_download.html
Anonym (1.9.2005 00:32:28)
Další možnost je pořídit si windows serverovou edici, kde si můžeš nat taky nainstalovat.
Wosic (1.9.2005 16:19:45)
jasne a nezapomen jeste na stazeni a instalaci tech paketu aby ti fungoval inet troubo :))))
Telefon: +420277270707
☎ O2: +420277270772
☎ T-Mobile: +420277270773
☎ Vodafone: +420277270777
Dostupnost: Po–Pá: 8:00–18:00
E-mail: info@dsl.cz
