Otthoni tűzfalak tesztje

Titkosítás, biztonság, privát szféra

A matousec.com összehasonlította az öt legnépszerűbb - a felhasználók kb. 80%-a által - desktop környezetben használt tűzfalat, és meglepő(?) eredményre jutott. A teszt itt található, az egyes tűzfalak összefoglaló elmzései pedig itt.
Ugyanerről a felmérésről egy rövid összefoglaló magyarul a HWSW-n olvasható.

( jano82 | 2006. 12. 08., p – 09:25 )

Nekem az iptables az otthoni! :-)

Egyébként meg nem is azzal van a baj, hogy
ezek a tűzfalak adott esetben keveset tudnak,
mert ha sokat tudnának, a felhasználó akkor
sem menne velük többre, lévén, hogy nem
ért hozzá. Szerintem.

Na meg tegyünk különbséget a "tűzfal" és a "személyi anyámkínnya" közt, az előbbi a hálózatot védi, míg az utóbbi _próbálja_ lekapcsolni a _helyi_ káros tevékenységeket (a teszt alapján nem sok sikerrel).

edit: és mindezt user-interactive módban teszi

Meg lehet ezt úgy oldani, hogy felhasználóbarát legyen. Az viszont baj, hogy a legtöbb tűzfal csak csomagszűrő, de a felsőbb protokollokat (HTTP, FTP, SMTP stb.) nem képes kezelni és vmi ingyenes víruskergetőt sem tudtak beépíteni. A sebességszabályozásról nem is beszélve. Nem csak agyhalottak használják a netet.
--
Aries
http://aries.mindworks.hu
http://mindworks.hu/blog/aries

iptables...

Nekem az hiányzik Linuxon, amit winen megszoktema, nevezetesen, hogy ne csak portonként tudjam állítgatni a szabályokat, hanem programonként is.
Persze lehet, hogy ez csak a tudatlanságomból adódik, de erre még nem találtam megoldást.

Ha minderre az adott program első netrenyúlásakor a firewall még rá is kérdezne, na az már maga lenne a kánaán...

Tudom-tudom, szerveren ez értelmetlen, de valamikor jön a Linux Desktop éve...

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o

...hogy ne csak portonként tudjam állítgatni a szabályokat, hanem programonként is.

man iptables részlet...

--uid-owner userid
Matches if the packet was created by a process with the given effective user id.

--gid-owner groupid
Matches if the packet was created by a process with the given effective group id.

--pid-owner processid
Matches if the packet was created by a process with the given process id.

--sid-owner sessionid
Matches if the packet was created by a process in the given session group.

--cmd-owner name
Matches if the packet was created by a process with the given command name. (this option is present only if iptables was compiled under a kernel supporting this feature)

Ha valaki ír egy olyan démont (lehet hogy már megtörtént) ami dinamikusan szerkeszti a szabályláncokat akkor meg fogja kérdezni hogy - Mit parancsolsz kisgazdám?

--
maszili

Jaj dehogy!

Olvasd el csak mégegyszer, hogy mit is írtam!
Van ott olyan hogy win+net fika? Ugye, hogy nincs.

A világért sem akarok én senkinek az önérzetébe gázolni.
Ha lehetne akkor már rég töröltem volna az iptables-ről szóló hozzászólást is és akkor inkább a win+net... csak nehogy valami baj legyen. Végül is ez egy olyan szájt ahol szentségtörés a nem win+net...

Ez úton is szeretném megköszönni hogy figyelmeztettél és ezután csak win+net mindörökké ámen!! Mégegyszer elnézést kérek!!!

--
maszili

>> Igazad van!
nem magánvéleményt közöltem

>> Nyilvánvalóan használhatatlan az egész...
csak b0rked

>> ezért érdemesebb windows-t használni .net-tel.
ez természetesen így van, de nem ezért

>> Elnézést hogy ide mertem írni ennek a használhatatlan programnak a kapcsolóiról ezt a pár sort...
semmi gond, csak felesleges volt

nem magánvéleményt közöltem

Nem is úgy értelmeztem. Az "örökérvényű igazság" talán megfelelő lesz...

csak b0rked

Elnézésedet kérem de hiányosak az internet szleng ismereteim. Mit jelent a "b",nulla,"rked" szó? Gyanítom azt, hogy valami szar :)

ez természetesen így van, de nem ezért

Végül is mindegy, hogy miért... lényeg a lényeg, hogy jobb. Kész.
Én ezt be is látom, nem vitázok.

semmi gond, csak felesleges volt

Szerinted.
Én erre a kérdésre...
hogy ne csak portonként tudjam állítgatni a szabályokat, hanem programonként is
... válaszoltam.

De már látom, hogy ha azt válaszoltam volna, hogy felejtsd el mert a linux szar és ezt csak win+net -tel lehet megcsinálni akkor az nem lett volna felesleges :-D

--
maszili

> programonként is

Ja igen, ez ugye a --cmd-owner volna? Akkor keresd meg szepen, hogy hova tunt az enterspajzkernelekbol ez a funkcio es miert. Mielott bizonygatod, hogy mennyire faszan megy ez linuzba, elotte legalabb utananezhetnel, es akkor nem kene feleslegesen hozzaszolnod.

( necrolite | 2006. 12. 08., p – 10:19 )

Apro hozzaszolas ezekhez az un tesztekhez. 2003 ota keresek otthonra tuzfalat es kiprobaltam nehany csodas alkotast. Kiprobaltam a kovetkezoket:

- NIS 2003,2004,2005,2006,2007
- Panda csoda
- Kerio
- Kaspersky
- Zone alarm
- McAfee
- Bitdefender

Rovid konkluzio: A Norton minden tesztben pocsekul szerepel es zabalja a vasat cserebe ontanulo modon intelligensen lekezeli az esemenyeket es a tudatlan felhasznalot nem riogatja feleslegesen. Emellett kivaloan mukodik egy gepterem tobbfelhasznalos kornyezeteben es az automatikus frissitesnek koszonhetoen up2date tartja onmagat igy egy ev alatt amig hasznaltuk zerora csokkent a fertozesek szama. A pandat viccbol kiprobaltuk de azonfelul hogy fogta a gepet gyakorlatilag egy vicc az egesz... A kerio 30 percnyi blaster erolkodes utan ugy dontott beadja a derekat es rebootolt es beengedte a blastert noha a tesztekben iszonyu intelligencsen mukodik... Zone Alarm azt hiszem eletem legnagyobb tevedese... AZ a kategoria ami megkerdezi az 1.0-as felhasznalot hogy szeretne-e futtatni a penis.exe nevu progit aki rutinosan egy yes to all valasszal halalba kuldi a 10 perccel ezelott frissen telepitett gepet, no comment! McAfee.. Korulmenyes, tele vakriasztasokkal (spec egy driver install cd neki rojai ami ujra szeretne idnitani a gepet... ejjel kettokor ebresztette a csaladot a gep full hangeros vijjogasaval! Bitdefender... Na haaat az az egy brutalis tevedese a termeszetnek.. Onvedo a DC halozat ellen... Toled tudnak tolteni de te csak akkor ha a fo fw szabalyt kikapcsolod ami ugye hal istennek nem ongyilkossag! Vegere hagynam a fent emlitett teszt gyozteset a draga Kaspersky csodat hogy a keze torne le a keszitoknek. Ugye hal istennek nem gaz az hogy a gyari logitech driver cd reboot kerese utan kozolte hogy rootkit van a gepen es ujrainditani szeretne a gepet... Ismetelt vijjogas de mar a fulesbe amitol 10 percig a fulem is cseng... En botor... Ugyanezt eljacca minden gyari driverrel... Semmilyen progit nem ismer azaz gyakorlatilag vagy mindent kienged ami nem tul gaz vagy mindent megkerdez ami pl registry injection-nal olyan emberien olvashato illetve 1.0-as userek sokat ertenek am belole... Es a fo csoda az a nyomkovetese. A draga en marha havidijert elofizetek egy jatekra ami kb 1-3 naponta frissul (eg valtozik az indito exe binarisa). A nyomorult oke hogy erzekeli de allandoan sir miatta... Ha 1.0-as user uzemmodban hasznalod ki tudod kapcsolni a riasztast (azaza riaszt, csak nem latod) vagy full uzemmodban trusted applications-nak hozzaadhatod... Ugye milyen kenyelmes tenyleg csak 10 ablak klikk meg jelszo meg anyamkinja... Hasznalja aki akarja...

En inkabb lenyelem a norton hardverigenyet es 3 nap alatt megtanulja az alkalmazasokat (amiket magatol nem ismer de nem zargat egy svchost.exe ki akar menni a netre feliratu marhasaggal) es toltogeti le a progi alairasokat es egy exe valtozast is ezekkel kapasbol lekezel...Arrol nem beszelve hogy intelligensem kezeli a halozati profilokat 1.0-as falhasznaloknak is igy azoknak nem kell erteni a halozatokhoz mint sok mas pl zone alarm eseten.. Laptoppal kimondottan elonyos...

Ezek miert nincsenek benne ezekben az un tesztekben?

Hmmm, érdekes, nekem Kerioval semmi gondom, de csak a firewall részét használom, azt is advanced azaz tanuló üzemmódban...

Igaz, hogy így NAT mögött inkább kifele szűrök vele. :)

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o

Szerintem azért, mert a szg egyre inkább olyan eszközzé válik, mint a TV vagy a mobiltelefon. Szépen lassan bekerül minden nappaliba, mivel használata jelentősen bonyolultabb, mint egy TV-é (bár a rokonságban van akinek már ez is gondot okoz), ezért elvárható, hogy az oprendszert úgy írják meg, hogy kinyalja a felhasználó ****ét, és kitalálja, hogy mit akar.

Nem tartom kizártnak, hogy lassan ha windos alatt futó programot akarsz írni, akkor segurity modult kell csinálnod hozzá ami megmagyarázza az oprendszernek, hogy ennyi fileból állok itt vannak a digitálisan aláírt md5summok és ezeket a portokat használom. Enélkül meg húzz a ****ba.

És ez nagyon helyes is. Minden kiddie a Windows "haxx0lásával" szórakozik, és sokszor be is jön nekik.......
Lassan már ÉN félek amikor szobatársam behoz egy khm "internetes férfimagazint", hogy utána melyik gép DoSolja le a routert a hálóból
(egy "dsl router" kütyünél szerintem nem normális üzemi tevékenység, ha nem NATol és a webes adminfelület HTML-je helyett csak egy "busy" stringet dob a következő kihúzásig-bedugásig)
Ez nem állapot, már elnézést.
(és ez nem MS-fikázás, ne annak értsétek)

Én tegnap szívtam 4 órát egy smc birkakáddal, de valami hihetetlen:
ha wifi ki van kapcsolva megyeget, óránként csak 1x fagy
ha wifit bekapcsolom akkor jönnek a gondok:
wep 128bit beállítom, gépeket beállítom 2 laptop kacsolodik állítanám, hogy a 3. is de elírtam a jelszót, roter lefagy (megáll, pingre semmire nem válaszol még kábelen se, a ledek azok szépen villognak az elején)
wpa, wpa 2, ugyan ez de ott néha 1-2 percig megy, amint jön a acer lapot asus wififel lepuszul az egész
Ha csak a macbook volt rákötve kábelen minden mást lekapcsoltam megy, ha macbook wifint, akkor 1-5 perc alatt megadja magát. Este 10-re meadtam magam, akkor legyen access control, felveszem a 3 gépet a listába. Próbálok csatlakozni. 2. és a 3. tud első nem. Lista megnéz, első macet átírom 4.nek, erre az első gép tud csatlakozni a 2. már nem.
Végeredmény: 1. random mac utánna a rendes, na így már minden jó. Ezen az smc-n egy wince van de nem tudom hogy jutott át a minőségi vizsgálaton, remélem lassan jön egy frissítés, mert így nem igazán jó. Még gondolkodom a 8napon bellüli vissza szállításon és az eladó hátsó felének bakanccsal való lendületes kékítésén.
---
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station

Egyik haveromnak is ilyen van. Neki ~30 perc után elkezd összevissza villogni minden aktív forgalom-LED, és se NAT se WiFi se admin felület...

Komoly javításon esett át azóta, egy fedél-leszedés "személyében", így nem melegszik túl.
Azért színvonal megvan, egy céleszközt így "megtervezni"............................

Az a bajom, hogy egy 60éves nőnek, hogy magyarázom el, hogy amit tegnap 10rugóért kapott az már akkor szar volt mikor megtervezték, szitntem hétfőn visszaviszem és megmondom hogy ba**zák meg. Linksys-t meg sehol nem tudok venni.
Mindjárt nyitok egy wifi router topikot, érdekelne hogy melyik az ami jó.
--
A bus station is where a bus stops. A train station is where a train stops. On my desk, I have a work station

Nem tartom kizártnak, hogy lassan ha windos alatt futó programot akarsz írni, akkor segurity modult kell csinálnod hozzá ami megmagyarázza az oprendszernek, hogy ennyi fileból állok itt vannak a digitálisan aláírt md5summok és ezeket a portokat használom. Enélkül meg húzz a ****ba.

Mar van ilyen. Sztem jo otlet, ott ahol maximalis biztonsagot kell adni. Anno itt a gyarban is ilyet akartunk csinalni, csak a fejlesztes mas iranyba ment tovabb.

---
pontscho / fresh!mindworkz

>> segurity modult kell csinálnod hozzá ami megmagyarázza az oprendszernek, hogy ennyi fileból állok itt vannak a digitálisan aláírt md5summok és ezeket a portokat használom. Enélkül meg húzz a ****ba.
ezirányú további ötletekért pedig lehet nézegetni egy kis java-t vagy .net-et ;)

Felreertettel, a kerdes arra iranyult, hogy attol, hogy a buta user nem allitja be, de ettol fuggetlenul egy tokeletes tuzfal, es beconfigolva megallit minden tamadast(urambocsasd meg kicsit tulzok, de elnezheto :P).
Akkor az a tuzfal azert kap rossz ertekelest, mer a mari neni conf nelkul bekapott vele 6 trojait?
Ertem en hogy 2006 meg pct a nappaliba, de ez nem azt jelenti, hogy agyat meg a kukaba.
Aki gepezik, tanulja meg hasznalni(lanytestveremnek meg a winnel is gondjai vannak, vagy megtanulja, vagy megcsinaltatja...)

Amugyis, sztem nem lehet lamaproof szoftvert irni, tul sok lehetoseg van.

( kukukk v | 2006. 12. 08., p – 11:06 )

es a Sygate Personal Firewall-al mi a helyzet? Minden programot kulon lehet engedelyezni... windows service-eket is... lehet portot engedelyezni/tiltani ip-ket engedelyezni... kulon halokartyakra allitani szabalyokat.... ha progit ujrateszel eszreveszi, hogy modosult, es megkerdi ujra hogy engedelyezed-e...
vagy ez az egesz csak kamu es valojaban szar? :}
ja es amugy ingyenes

( bastya_elvtars | 2006. 12. 08., p – 11:11 )

Én Keriót használok (ráadásul a free editiont), és teljesen jó. outpost volt régebben, de az minden verzióval egyre szarabb lett.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

( dzsekijo | 2006. 12. 08., p – 11:43 )

Kéretik nem röhögni ha hülyeséget kérdezek, de nem használok Windowst, így hát tudatlan vagyok ezen
dolgok felől...

A Windowsnak van saját tűzfala is. Az miért nincs még csak meg sem említve? Miért kell egyáltalán 3rdparty termékekre hagyatkozni amikor van bundled megoldás is? Egyáltalál, hogy hat kölcsön / működik együtt a natív és a desktop tűzfal?

( ng | 2006. 12. 08., p – 12:26 )

Ez egy marhaság - ahogy indián barátom szokta mondani. Ilyen szempontok egy tűzfalnál hogy System driver protection, Open thread control, Registry keys protection?

( melon | 2006. 12. 08., p – 15:10 )

A tesztet végigolvasva megörültem, hogy az én kis kedvencem lett a legjobb. Comodo-t használok pár hónapja, és eléggé megkedveltem. Kicsi, okos, nem fogja a gépet, stb.

( nem | 2006. 12. 08., p – 16:57 )

A következőket használtam:
- Norton ISec 2003, 04 (kényelmes,de feladtam túlzott hw igény miatt; +1 feketepont: hiába veszed meg, a licensz csak 1 évig él)
- Kerio pFW 2.1.4 (nem olyan kényelmes, feladtam, mert állandóan zargatott (zavart))
- Comodo 2.3.6.81 free ( egész kényelmes, JÓ support [fórum], nem zargat túl sokszor)

( Botond | 2006. 12. 08., p – 17:12 )

Hogy itt mindenki milyen jól ért a Windows tűzfalakhoz?! HUP helyett hívhatnának minket HWP-nek is.

Vagy adminisztrálni. Van aki kénytelen például holnap Exchange szervert buzulni akkor, amikor nem dolgozik senki, mert ugye az Exchange nem állhat meg munkaidőben. Hümm. Hol van az megírva, hogy aki UNIX rendszereket üzemeltet vagy használ, annak semmi köze nem lehet a Windows rendszerekhez?

--
trey @ gépház

( kukukk v | 2007. 01. 15., h – 07:40 )

Olyan tuzfalat tudnatok mondani win ala ami tud forgalmat is szabalyozni? UPC-s netet osztok tovabb lakotarsnak windows-on Internet Conenction Sharing-el, es szeretnem korlatozni 30 kilobyte-ra. Vagy esetleg valami mas kis ugyes progit ra (eleg ha az interface-t tudja limitalni, nem kell, hogy kulon progikra is lehessen allitani a korlatot)