Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Nie tylko antywirus: firewall też może być niepotrzebny

Znowu miałem pisać o czymś innym , ale poruszona niegdyś tematyka antywirusów wraca do mnie okresowo, zwyczajowo w akompaniamencie, powiedzmy, niskiej aprobaty. Niedawny wpis o bezzasadności stosowania oprogramowania antywirusowego ponownie obudził rzeszę głęboko wierzących i praktykujących posiadaczy takowego, co zazwyczaj idzie w parze z feerią przerażających argumentów, z którymi nie da się dyskutować, nie wykazując głębokiego zwątpienia w przyszłość ludzkości. Stąd też poza obowiązkowym usprawiedliwianiem błędu logicznego, jakim jest antywirus, mogłem zaobserwować również licytację w temacie całych „pakietów zabezpieczających”. O ile jestem w stanie zrozumieć (acz nie poprzeć) kwestię samego antywirusa, będącego pozostałością po okropnych przyzwyczajeniach, to pławienie się w całym arsenale zbędnego oprogramowania budzi mój głęboki niepokój.

Baza wirusów została zaktualizowana

Spróbujmy sobie przypomnieć, co to jest pakiet zabezpieczający, czyli słynne oprogramowanie „internet security”. Nazwa niezmiennie kojarzy się z rokiem 2004, co nie daje o sobie zapomnieć ani przez chwilę. Otóż, po krótkiej wycieczce po stronach producentów, możemy się dowiedzieć, że pakiet bezpieczeństwa to połączenie antywirusa, ochrony rodzicielskiej, narzędzi do kopii zapasowej oraz zapory. A więc doprawdy rok 2004, albo nawet wcześniej. Żaden z owych produktów nie jest potrzebny, a na czele rankingu zbędności znajdzie się bezsprzecznie zapora. Na zapory jeszcze nie narzekałem, ale ponieważ planuję podejść do tematu z podobnym pietyzmem, jak do antywirusów, moje narzekanie będzie dosadne i wielopłaszczyznowe.

Pozwolę sobie podzielić się szeregiem obserwacji, dowodzących, że zapór internetowych (firewalli) niemal nikt wokoło nie rozumie. Będzie trzeba nieco się pobawić, ale spróbujemy dowieść, że dodatkowa zapora w systemie jest zbędna, przypomnieć, dlaczego w ogóle jakakolwiek powinna być niepotrzebna, a na końcu podkreślić, że w praktyce w codziennych scenariuszach zapory już o dawna nic nie dają. Zacznijmy więc.

I will build a great wall on our southern border...

Gdy kilkanaście lat temu przechodziłem z Windows Millennium na Auroksa (a następnie Fedorę), pierwszą rzeczą, jaką robiłem, była konfiguracja zapory iptabes (chain INPUT policy DROP). Wcześniej na Windowsach stosowałem zaporę Zone Alarm i antywirusa Dr. Web (od czasu do czasu dokonywałem też skanu offline programem SpyBot Search & Destroy). Dokonałem więc organizacyjnej kalki: nasłuchałem się, że na Linuksa wirusów nie ma, ale nikt mi nie mówił nic o zaporach. Dziarsko więc tkałem polityki dla łańcuchów iptables, nie zawsze w pełni wiedząc, co tak naprawdę robię. Kończyło się to kilkoma zabawnymi zakleszczeniami: pierwszym problemem, jaki na siebie ściągnąłem, było zablokowanie odpytań DNS. Na początku nawet tego nie zauważyłem (!), ale oczywiście mowa tu o minutach, a nie dniach. Internet w roku 2004 działał nieco inaczej, niż obecnie, połączenie z jedną stroną nie wywoływało eksplozji zapytań w stronę setek serwerów CDN, nierzadko dało się żyć w błogiej nieświadomości braku DNSów, lecąc na danych z pamięci podręcznej. Problem dostrzegłem nie wskutek nieładowania stron przez Mozillę 1.7, a przez… awarię X11. Nie rysowało się bowiem żadne nowe okno. Dlaczego? Bo system był skonfigurowany tak, by nazwa hosta z DNS miała bezwarunkową precedencję wobec pliku hostów :D W konsekwencji czego żadne okno nie widziało, gdzie ma się wyświetlić. Była to pouczająca lekcja, ale bardziej dotyczyła X11, niż specyfiki działania zapory. Los zmusił mnie do pogłębienia wiedzy, gdy ustawiłem iptables bez wskazania ujścia dla logów. Dzięki temu, każdy filtrowany pakiet skutkował litanią wyrzucaną na standardowy błąd, a więc każdy terminal tty i każde aktywne okienko konsoli (zaszalałem). Wszelkie programy z interfejsem ncurses ulegały erozji, ponieważ iptables pisał po nich, wyrywając dziury, nierzadko w innym kolorze. Musiałem to prędko naprawić, więc udałem się na polowanie po forach. Prędko znalazłem odpowiedź, ale przy okazji zapytałem też na polskim kanale IRC (co oznacza, że siedzę na nim od 12 lat co najmniej). Przedstawiłem swoją sytuację: że odfiltrowałem wszystko – pingi, infrastrukturalny multicast, NTP… Zanim zapytałem o śmieci na terminalu, to mnie zadano pytanie, brzmiające „po co”?

...and I will have Mexico pay for that wall!

Początkowo go nie zrozumiałem. No bo jak to „po co”? Żeby złoczyńcy nie dostali się do komputera! Więc niech nie odrzuca połączeń, tylko w ogóle zrzuca wszystkie niechciane pakiety! Postanowiono mi otworzyć oczy na to, jak działa firewall. A żeby wiedzieć, co robi firewall, trzeba przez chwilę poczytać, jak działają programowe gniazda sieciowe (sockets).
Otóż: połączenie z zewnątrz nie zostanie zestawione, jeżeli po lokalnej stronie nic nie „słucha”. Innymi słowy, musi istnieć proces (serwer), który następnie dzierżawi gniazdko na jakimś porcie TCP i ustawia je w tryb LISTEN. Gdy połączenie z zewnątrz zechce zestawić łącze z owym serwerem, gniazdko „wiąże się” z nim (bind), tryb zmienia się na ESTABLISHED, a następnie (zazwyczaj) następuje rozwidlenie procesu serwera, gdy mógł on słuchać dalej, celem obsłużenia nowych połączeń. Nie wspominając oczywiście o tym, że obie strony muszą do siebie mówić tym samym językiem – klient FTP nie dogada się z serwerem SSH…

A co się stanie, gdy z zewnątrz przyjdzie próba połączenia, a na żadnym porcie nic nie będzie słuchać? Teoretycznie nic. Connection refused. Odpowie system operacyjny. Gdy dzielnie usiłowałem napisać „niezniszczalne” reguły zapory dla mojego Auroksa, zasugerowano mi, żebym zaniechał prób i skupił się na wyłączeniu wszystkich słuchających usług. Ponieważ był to komputer czysto biurkowy, sprowadziło się to jedynie do zatrzymania serwera OpenSSH. Po owej operacji, żaden port nie znajdował się w trybie „LISTEN”, więc nic nie obsłużyłoby połączeń z zewnątrz. Przestawiłem więc zaporę na domyślne ustawienia. Ale nie wyłączyłem jej. Dlaczego? Przecież po wyłączeniu usług była już „teoretycznie niepotrzebna”. Owszem. A jaka jest różnica między teorią, a praktyką? Teoretycznie żadna…

Klient sieci Microsoft Windows

Dobrze, odstawmy więc na chwilę Linuksa, ale obiecuję, że wrócimy do niego. Odwiedźmy na chwilę Windowsy, na których to uparcie używałem przez wiele lat zapory ZoneAlarm. Używałem jej mimo upływu lat i postępującej zmiany konfiguracji. Windowsy to ciekawe zagadnienie w kwestii usług. Przede wszystkim dlatego, że Windows, na którym pracowałem posiadał pewien mechanizm, który doprowadził do jego popularyzacji w latach 90-tych: był to komponent „Windows for Workgroups”, czyli „Klient sieci Microsoft Network”. Microsoft żył wtedy w swoim świecie, uparcie chcąc sprzedać go wszystkim wokół, przez co klient ów nosił znamiona projektu dostosowanego do zupełnie innych protokołów niż internet. Świetnie spisywał się w sieciach osiedlowych: wspomniana usługa odpowiadała za obecność systemu w Otoczeniu Sieciowym, więc wejście do lokalizacji „Moje Miejsca Sieciowe” pozwalało zobaczyć wesołą gromadkę sąsiedzkich pecetów. Nieco gorzej sprawa się miała, gdy system z klientem Microsoft Network był podpięty bezpośrednio do internetu, tj. posiadał publiczny adres IP. A było to całkiem częste na początku obecnego wieku. Wtedy „Otoczeniem Sieciowym” stawał się cały zakres maski podsieci, a system udostępniał otwarty port 135. Ponieważ mapa sieci była rysowana przez broadcast, dostawca internetu zazwyczaj wyciał taki ruch, więc Miejsca Sieciowe były puste. Niemniej, system słuchał dalej. Na szczęście, udostępnianie plików w WANie nie ma zbyt wiele sensu, więc mogłem wyłączyć wszystkie usługi klienckie, w praktyce zamykając port. Czy ZoneAlarm ucichł? Nie. Od czasu do czasu pokazywał próby skanowania portów oraz próby dziwnych żądań skierowanych na porty 135, 139, 445 i 3127 z komputerów o rev-DNS z końcówką „adsl.tpnet.pl”. Były to więc niedobitki komputerów z Windows XP, zarażonych legendarną triadą Blaster, Sasser i MyDoom.
Tego typu zagrożenia były mi niestraszne, a Windows Update pobierał jedynie aktualizacje dla Internet Explorera 6 oraz wyłączonego Klienta Microsoft Network. Czułem się bezpieczny. Przygody z zaporą na Auroksie i cenna lekcja o zbędności zrzucania pakietów na systemie, gdzie nic nie słucha poskutkowała więc odinstalowaniem ZoneAlarma. Stworzony w czasach „dla grup roboczych” Windows Me nie posiadał własnego filtra pakietów, ale wedle mojej bezkresnej wiedzy, nie był mi już potrzebny. Efekt? Po dwóch tygodniach system został zdemolowany – zdalnie. Dramat. Szok i niedowierzanie. Jakże to możliwe? Otóż Windows Millennium był systemem nowoczesnym. Dlatego zawierał stos protokołu Universal Plug and Play. Rzecz jasna dziurawy. I zapomniany przez wszystkich poza typami spod ciemnych portów. Tymczasem ja nie miałem pojęcia, że na (absurdalnym i oczywiście niestandardowym) porcie 5000 słucha u mnie usługa SSDP. Dzięki temu przyswoiłem drugą lekcję – wyłączaj nie tylko usługi, o których wiesz, ale i te, o których nie wiesz. Przy okazji zraziłem się do Windowsów na tyle, że wróciłem do nich dopiero w roku 2008, po nabyciu ThinkPada z Windows XP.

Czy mój Windows Millennium byłby bezpieczny, gdybym wyłączył naprawdę wszystkie usługi? Prawdopodobnie tak. Nie byłoby usługi, którą dałoby się wykorzystać do włamania. Trzeba by próbować walczyć bezpośrednio ze stosem TCP/IP. A to znacznie trudniejsze, niż podatność w jakiejś usłudze. Czy dałoby się zatem zaszkodzić mojemu systemowi? Cóż, tak. Stos TCP/IP w Windows 9x miał wiele błędów, jednym z nich była podatność na „ping of death”. Zapytanie tak zniekształcone, że system nie potrafi go obsłużyć i w konsekwencji zawiesza się. Niestety, nie pomogłaby na to zapora. Problem zachodzi bowiem „pod spodem”…

Sieciowe systemy operacyjne

Co takiego zmieniło się podczas mojego kilkuletniego wygnania z Windowsów? Dorobiłem się routera. Od tego momentu wszystkie komputery za nim były widoczne w internecie jako jeden. Próba dobicia się do któregokolwiek z nich była w praktyce próbą dobicia się do mojego routera. Zapora niniejszym stała się „jeszcze niepotrzebniejsza”. Aurox zdechł, przesiadłem się na Fedorę i nie zmieniałem w niej już domyślnych ustawień zapory. Zostawiłem nawet działające ssh, bo zdążyłem odkryć jego zalety. Jedyną dodatkową warstwą zabezpieczeń był SELinux, co wydawało mi się bardzo rozsądną konfiguracją domyślną. Cóż, Red Hat. Na laptopie miałem z kolei Windows XP. System, dla którego specjalnie wstrzymano prace nad Longhornem, by wydać Service Pack 2. Pakiet wprowadzający Centrum Zabezpieczeń i nową Zaporę. SP2 był wpychany z uporczywością porównywalną z Windows 10, a błękitne płyty z Service Packiem były rozdawane jak cukierki. No więc chyba jakiś sens ta zapora miała, prawda?
Owszem, sporo w tym prawdy. Wyjaśnijmy, dlaczego. Windows XP, podobnie jak wszystkie systemy NT, to system sieciowy. Oznacza to nie tylko, że „umie w internety”, ale również, ogólnie rzecz biorąc, udostępnia wiele funkcjonalności w formie usług sieciowych, a więc lokalnych mini-serwerów. Nie muszą to być usługi szczególnie użyteczne, w większości są to interfejsy programistyczne. Dzięki temu NT jest z definicji zaopatrzony w rozproszony system komunikacji międzyprocesowej, czyli niesławny RPC. Funkcjonalnie, jest to genialna decyzja. Pozwala zatrzeć granicę między lokalnym komputerem a zasobami sieciowymi, z czego rozlegle korzysta na przykład bezkonkurencyjne Active Directory. Funkcje Windows są nierozerwalnie uzależnione od DCOM RPC i owej usługi nie da się wyłączyć. Można żądać poświadczeń. Można filtrować ruch. Można robić wiele innych cudów, ale efektywnie wyłączyć się jej nie da. Niestety, przez wiele lat Windows żył w alternatywnej rzeczywistości i siłą inercji wmawiał sobie, że pracuje w korporacyjnej sieci operującej na własnościowym protokole, a żadne urządzenie nie będzie wykazywać wrogich zamiarów względem pozostałych. Zestawienie owego podejścia z sieciowym systemem operacyjnym to recepta na katastrofę. I tak w istocie było: w stosie RPC/DCOM/LSASS znaleziono niezliczone dziury i w erze internetu trzeba to było zacząć wreszcie porządnie filtrować, a całość przekompilować z zabezpieczeniem przeciwko przepełnieniu bufora (obie te rzeczy załatwił Service Pack 2).

Ale czy przypadkiem Linux też nie jest systemem sieciowym? Ależ jest, z tym, że rozwiązano kwestie komunikacji sieciowej w zupełnie inny sposób. Najlepiej widać to na gołym poleceniu netstat. Wykonane pod Linuksem wyświetli dwie listy. Pierwszą dla gniazdek internetowych (TCP i UDP), a drugą dla gniazdek domenowych (Unix). Już ten podział wskazuje, że funkcje systemowe porozumiewają się przez gniazda nieprzechodzące przez internet (systemd, D-Bus, X11), a jeżeli potrzebne jest jakieś zdalne wywoływanie procedur, jak RPC, ostanie ono zahostowane przez demona demonów inetd. Gniazdka internetowe będą zawierać zestawione połączenia ze światem oraz słuchające usługi sieciowe. To jednak nie wszystko. System domyślnie tworzy oddzielny, wirtualny interfejs sieciowy sprzężenia zwrotnego (loopback), służący do komunikacji wewnętrznej. Możemy wyciągnąć kabel ethernetowy, ale interfejs loopback będzie istniał dalej. Możemy też nuklearnie wyciąć na zaporze całą komunikację z zewnętrzem, ale sieciowe usługi funkcjonalne dalej będą pracować.

Jak radzi sobie z tym Windows? No cóż… Tutaj jest gorzej. Wypisanie pełnego netstat da nam tylko połączenia TCP i UDP. Wśród nich będzie serwer RPC, słuchające 135 i 445 oraz parę innych straszydeł. A więc wszystkie usługi komunikują się przez stos sieciowy. Najbliższe do interfejsu sprzężenia zwrotnego są tzw. „named pipes”, ale to nie to samo. Zwłaszcza, że w Linuksie też są named pipes. To nie są droidy, których szukamy. Loopback w Windows mapuje się mniej więcej na to samo, co „localhost”. A to niedobrze. Co ciekawe, da się doinstalować interfejs loopback jako wirtualne urządzenie… ale nikt o tym nie wie. Więc jesteśmy zmuszeni do do posiadania usług sieciowych wystawionych do internetu. A więc niejako „zmuszeni” do stosowania zapory. Nie powinno tak być. Takie coś nie powinno być architekturalnie możliwe. Dlaczego Windows działa w taki sposób? Nie mam pojęcia :D Może zabrakło czasu? Może wyobraźni? A może Windows nigdy nie miał pracować na protokole TCP/IP, wykorzystując zamiast tego własny, płatny i niejawny protokół, podobnie, jak dawny Netware? Jest to w każdym razie zaszłość historyczna, za którą przyszło nam sporo zapłacić (dosłownie).
Czy Windows ma wbudowaną zaporę? Tak. Czy jest ona dobra? Tak, jest doskonała. Domyślnie w domenie blokuje wręcz niezbędny administracyjnie ruch, a jak udało mi się pokazać w zeszłym roku, da się nią całkowicie zablokować również telemetrię. Co więcej, bez problemu można w niej kontrolować również ruch wychodzący, stosować ostrzeżenia, wprowadzać gradację uprawnień… Pełny serwis. Zastępowanie systemowego „Windows Firewall with Advanced Security” innym produktem jest zbędne, ponieważ wprowadzamy do systemu mechanizm w praktyce mniej przetestowany (a więc mniej bezpieczny), niż systemowa zapora. Niektórzy producenci pakietów bezpieczeństwa to zauważyli. Na przykład F-Secure reklamuje swój produkt jako zawierający zaporę, ale w praktyce jest to nakładka na UI dla Windows Firewall. I bardzo dobrze. W następnej wersji sugeruję zamiast antywirusa nakładkę na Windows Defendera, a zamiast ochrony rodzicielskiej – nakładkę na Windows Family Safety :D Za roczną subskrypcję 399 PLN ;)

Jeżeli problem będzie ze stosem TCP/IP, to zewnętrzna zapora i tak nie pomoże. Chyba, że będzie podmieniać tak dużo obsługi sieci, że samo to stanie się oddzielnym problemem.

No więc zapora w Windowsach musi niestety zostać… Ale ponownie: jesteśmy za routerem (zazwyczaj). Zakładając, że pozostałe urządzenia w domu nie chcą nas pożreć, bo wskutek dobrych praktyk (a nie antywirusa!) nie zawierają szkodliwego oprogramowania, zapora może nie jest przesadą rozmiarów antywirusa, ale zdecydowanie w większości scenariuszy równie dobrze mogłoby jej nie być. Na pewno jednak przegięciem jest zapora zewnętrzna, dodatkowa. Można się zastanawiać nad filtrowaniem ruchu wychodzącego, ale z drugiej strony można po prostu nie pozwalać programom aspirującym do takich działań na uruchomienie się.

Polecam eksperyment (za NATem): Linux z pustym iptables i bez firewalld. Windows z wyłączoną zaporą. Będzie to dalece bezpieczniejsza konfiguracja, niż Windows z antywirusem, ale bez aktualizacji. Mocno odradzam jednak takie zabawy z Windowsem użytkownikom „internetu mobilnego”, czyli połączeń pakietowych, wdzwanianych przez sieć HSPA i LTE. Dostaje się wtedy semi-publiczny adres IP, niby ruch przychodzący oraz komunikacja między węzłami jest wycięta… ale to przecież nie zawsze musi być prawda. Może lepiej nie kusić losu i nie sprawdzać.

Zestawienie

Podsumujmy zatem:
  • na poprawnie zaprojektowanym systemie, nawet sieciowym, zapora nie jest potrzebna. Należy skupić się na zabezpieczeniu usług i drugiej linii obrony, czyli redukcji przywilejów, gdy ktoś jednak usługę sforsuje
  • tosowanie zapory zrzucającej w milczeniu ruch przychodzący na sens o tyle, że zniechęca boty do dalszych prób. Za zaporą i tak nie powinna się znajdować żadna zbędna usługa
  • w Windows popełniono jakiś koszmarny błąd projektowy i usługi sieciowe są z definicji niemożliwe do pełnego zabezpieczenia. Na szczęście, systemowa zapora jest zaskakująco dobra
  • wprowadzenie zewnętrznej zapory to w praktyce dodanie kolejnego elementu, który trzeba obdarzyć zaufaniem, a im mniej takowych, tym lepiej. Fakt istnienia Windows Server można uznać za niezłą poszlakę, że systemowa zapora jednak działa.
  • większość ataków sieciowych z zewnątrz i tak rozbija się o NAT tworzony przez router. Zapora chroni wtedy przez atakami z wewnątrz sieci, która, gdy dobrze pilnowana, nie powinna stanowić zagrożenia
  • filtrowanie ruchu wychodzącego to zupełnie inna bajka ??

Sam kiedyś otaczałem się murami z antywirusów i zapór (stosowałem też antydialery!), ale nauczyłem się, że nie należy stosować tych narzędzi bezkrytycznie. Nauczyłem się też jednak, bolesnym doświadczeniem, że nie należy też beztrosko wyłączać wszystkich zabezpieczeń, ale to osobna kwestia. Nie zmienia to jednak mojej opinii na temat pakietów bezpieczeństwa. Jest to ten sam sprzeciw wobec faktów i „mentalność podkładki chłodzącej”, o których wspominałem przy okazji antywirusów. Fortyfikowanie się zasiekami z pakietów „Internet Security” nieodmiennie kojarzy mi się z widokiem małego dziecka w płetwach, czepku, kole ratunkowym i rękawkach (ileż razy widziałem coś takiego! Drodzy rodzice, nie idźcie tą drogą!). Raczej nie utonie, ale żeby sobie popływać, będzie musiało się strasznie namęczyć. A jak zacznie się wiercić i buntować, i tak z łatwością zachłyśnie się wodą.

UPDATE:

Luka, przez którą się do mnie włamano, to: Unchecked Buffer in Universal Plug and Play can Lead to System Comprom.... Wydano na nią aktualizację, której mój Windows Update nie pobrał, ponieważ zainstalowałem usługę SSDP po pobraniu aktualizacji :D
 

internet bezpieczeństwo

Komentarze

0 nowych
DjLeo MODERATOR BLOGA  17 #1 01.12.2016 00:15

Za krótki, jeszcze bym poczytał ;)

wielkipiec   12 #2 01.12.2016 00:19

@DjLeo: aż policzyłem, i wyszło mi 80% średniej objętości :D
Jestem otwarty na sugestie uzupełnień/kontynuacji!

redspl   6 #3 01.12.2016 00:39

@wielkipiec: Wpis jak zawsze super :)

overconscious1981   3 #4 01.12.2016 00:41

Na Windowsie 2000/XP/2003 szło wyłączyć nasłuchiwanie na wszystkich portach.
Kilka wpisów w rejestrze i polecenie "netstat -ano" dawało pusty (żadnych wpisów) rezultat.
Wtedy firewall był niepotrzebny, nawet jeśli system był niezałatany na Blastera czy Sassera.

Na nowszych Windowsach już się w to nie bawię, bo praktycznie zawsze jestem za NATem w kontrolowanym środowisku.
Nawet z komórki korzystam z udostępniania przez WiFi, które działa jak NAT.

pionner   7 #5 01.12.2016 00:52

Witać panie, że masz wiedzę, cholernie dobrze się twoje wpisy czyta.

Ogólnie chętnie bym poczytał o dziwnych rozwiązaniach i innych pozostałościach w Windowsie (i innych systemach) z lat kiedy internet się nosiło na dyskietkach. Jest szansa na taki wpis? :)

  #6 01.12.2016 00:58

Windows Worms Doors Cleaner Pan autor nie znał ?

msnet   18 #7 01.12.2016 01:03

@DjLeo: Dokładnie - zanim się dobrze rozkręciło, to już się skończyło :)

@wielkipiec: Twoje wpisy się czyta, jak dobrą powieść sensacyjną :)

msnet   18 #8 01.12.2016 01:10

Jeśli chodzi o Zaporę systemu Windows w najnowszych Windowsach (od 8 do 10) dodałbym ciekawą jej "właściwość": wyłączenie tejże powoduje, że próba zainstalowania jakiegokolwiek programu ze Sklepu Windows kończy się niepowodzeniem.

mat41997   7 #9 01.12.2016 01:37

Fakt. Wszystkie pakiety bezpieczeństwa chronią nas przed nami samymi i to nie idzie im też najlepiej. Zaawansowany user z wyczuciem bezpieczeństwa może sobie pozwolić na brak zapory i anty-virusa. No ale nie zwykły Kowalski.

  #10 01.12.2016 01:38

Z tym TCP/IP rzeczywiście mogło coś być. Win95 by default nie instalował TCP/IP pomimo tego, że miał go na stanie w zasobach sterowników, za to instalował Novellowskie IPX/SPX. Wówczas Microsoft Network próbowało udawać CompuServe :), więc może MS zamarzył soę internet "wolny" jak facebook, na który użytkownicy Sieci byli jeszcze zbyt dojrzali.

MrBeckham666   18 #11 01.12.2016 02:46

Jak o zaporze systemowej w windows można powiedzieć że jest dobra puscza wszystko jak leci a zapyta przyważnie jak to jest zaufany program.

Fajne podsumowanko :)

Autor edytował komentarz w dniu: 01.12.2016 02:51
triget   6 #12 01.12.2016 03:07

Bardzo ciekawy wpis. Z przyjemnością przeczytałem!

LORDEK   5 #13 01.12.2016 06:45

W dobie dzisiejszych dziurawych usług w Windowsie brak firewalla to jednak proszenie się o kłopot. Fakt, można ręcznie uniemożliwić próby włamu, ale nie wszystkie podatności są wszystkim znane, dwa polityka aktualizacji Windows 10 i w ogóle jego działanie to kpina i mozolne sprawdzanie czy aby na pewno po aktualizacji wszystko dalej jest odłączone to może nie marnowanie czasu, ale syzyfowa praca. Co do antywirusów to faktycznie jeżeli power-user głównie pracuje na systemie i nawet żadnych aplikacji nie pobiera to ok, no ale wystarczy jeden dziwny odnośnik - pośpiech, wszędobylskie klony download to można sobie dorzucić jakiego syfu. Ściągając jakieś egzotyczne oprogramowanie - nie mówię o piratach tylko o oprogramowaniu mało popularnym dostępnym na niewielkiej liczbie witryn w przypadku masy przekierowań na stronie czy złośliwości w jej kodzie coś podłapać zawsze można. Mam Eset IS, niemal milczy cały czas, ale raz na jakiś czas się odezwie. Przykład: ściągałem mojej lubej program do obróbki video, trochę już leciwy, ale dla niej zawsze był wygodny - freeware. Kiedyś gdzieś tam go używała, ale ogólnie jest mało popularny. Ściągałem go z jednej ze stron, nawet popularnej, jeden z pierwszych wyników w Google. Efektem był krzyk antywirusa przy próbie pobrania jak się okazało nie tego co chciałem - nie ten przycisk download, który okazał się odnośnikiem do zasyfionego exe. Ok, power user zauważy, że plik exe wygląda jakoś dziwnie, ale wystarczy na prawdę chwila nieuwagi lub dobrze spreparowany syf i gotowe. Kilka lat temu nawet na Windowsie można było odpuścić sobie antywirusa, ale teraz, w dobie coraz większego cwaniactwa twórców złośliwości, wszędobylskich syfiastych linków - co się zdarzało nawet na stronach z dobrą renomą w postaci podmienionych reklam warto jakąś podstawową ochronę mieć. No chyba, że jesteście paranoikami, reklamy blokujecie nawet na często używanych stronach gdzie nie są one uciążliwe, wszystkie skrypty blokujecie lub używacie przeglądarek tekstowych, a na noc odłączacie internet przed spaniem. Przed targetowanym atakiem nic nas nie ochroni - to fakt, ale przed chwilą zapomnienia, nieuwagi, czy czyjejś złośliwości warto coś tam zawsze mieć, bo potem zostaje niesmak. Taki współpracownik/kolega z zasyfionym kompem, który wysyła zarażony plik z ważnymi dla nas danymi, robiąc to nieświadomie też może nam krwi napsuć.

bart86   9 #14 01.12.2016 07:03

Bardzo dobry i ciekawy wpis. Nie wiediząłem że zapora systemu Windows jest "dobra". W tym temacie pewne rzeczy trzeba będzie zweryfikować. Ale z antywirusa nie zamierzam zrezygnować, może dla niektórych naiwnie ale wolę dmuchać na zimne.

Subversive   7 #15 01.12.2016 07:42

@bart86: " z antywirusa nie zamierzam zrezygnować"

I bardzo dobrze. W biurze, w którym pracuję otrzymujemy masę e-maili od klientów. Od czasu do czasu trafia się niespodzianka w załączniku. Problem polega na tym, że aby nie mieć antywirusa nie wystarczy być świadomym użytkownikiem. Trzeba jeszcze ze świadomymi użytkownikami współpracować. A o to najtrudniej.

bart86   9 #16 01.12.2016 07:46

@Subversive: gdzieś kiedyś przeczytałem, że antywirus może na nowe zagrożenia nie jest tak skuteczny ale jest dobry na stare, które wciąż krążą po sieci

  #17 01.12.2016 08:01

Ten tekst przypomina mi trochę argumenty ruchu antyszczepionkowego. Wszystko jest pięknie i wspaniale zanim nie dojdzie do tragedii, czyli ciężkiej choroby u bobasa :(

  #18 01.12.2016 08:10

Na brak AV czy firewalla może sobie pozwolić tylko garstka świadomych użytkowników. Z doświadczenia wiem, że nieszczęścia to chodzą stadami, więc znam przypadek, gdzie wskutek infekcji ransomware znajoma straciła wszystkie dane klientów sieci telekomunikacyjnej, w której pracowała. Oczywiście szef nie kupił jej AV, a o backupie danych to nie wspomnę. Wszystko trzeba było ręcznie wprowadzać od nowa. Dlatego uważam, że to rozwiązanie jest potrzebne dla powiedzmy 97% internautów. Jak już wspomniano w komentarzach - chwila nieuwagi albo pośpiech i tragedia gotowa.

  #19 01.12.2016 08:24

Dzięki takim wpisom mam więcej pracy, od ludzi którzy coś przeczytali i bach...
Pisząc art uświadom czytelników, iż w zamkniętym OS, w którym istnieje nieskończona ilość błędów jeszcze nie odkrytych nie ma czegoś takiego jak bezpieczeństwo tylko istnieje względne bezpieczeństwo będące wypadkową wiedzy użytkownika, administratora, PBI i wszelakich innych zabezpieczeń

  #20 01.12.2016 08:36

Artykul ciekawy, jednakze majacy zastosowanie tylko dla peceta. Wystawienie serwera www do internetu bez zapory rowna sie 3.. 2.. 1.. boom! Zapora to nie tylko filtrowanie dostepu do okreslonych portow powiedzialbym ze to tylko dodatek). Zapora zarzadza limitowaniem pakietow, moze bronic przed skanowaniem, przed podstawowymi atakami wymierzonymi w dany protokol. Dorzucmy do tego jeszcze cos takiego fail2ban a mamy polaczony z zapora limiter przed bruteforce. Zapora moze wspomagac cos takiego jak podtrzymanie polaczen typu Established, wiec nawet restart udostepnionej uslugi nie zerwie takiej. u.

Prosty przyklad zapory niefiltrujacej pakietow a wspomagajacej prace uslugi to np serwer openvpn w trybie client-to-side. Iptables ustawia maskarade, forward pakietow i podtrzymanie polaczen - koniec. Jak ktos chce dodac filtrowanie pakietow - nie ma problem

Mowa oczywiscie o iptables dla Linuxa.

ichito   11 #21 01.12.2016 08:53

@wielkipiec
Właściwie jednym stwierdzeniem podważyłeś tezę tytułu
"filtrowanie ruchu wychodzącego to zupełnie inna bajka ??"
Ponieważ bez dodatkowych ustawień zapora nie kontroluje tego ruchu i jeszcze jedno "ponieważ"...zapora staje się w miarę funkcjonalna od Visty, a sugerujesz, że to reguła generalna dla Windows.
Sam artykuł ciekawy i pouczający, ale powinieneś zaznaczyć, że dla bardziej zaawansowanego użytkownika...ten mniej weźmie Twoje słowa za dobrą monetę i temat bezpieczeństwa oferowanego przez zaporę zwyczajnie "osika".

Mam odmienne zdanie - zapora dla mnie to podstawa, bo pozwala mi na łatwiejszą i swobodniejszą kontrolę nad aplikacjami/procesami tym bardziej dokładną, że preferuję te, które posiadają moduły ochrony proaktywnej...ale to też już inna bajka :)

  #22 01.12.2016 09:11

@overconscious1981: w kontrolowanym tzn. Offline?

Wszystko zalezy od konkretnego scenariusza. Nie ma zasady, ze firewall "be", a AV jest ok itd. Zabezpieczenia powinny byc wielowarstwowe coby wyeliminowac blad ludzki I segmentowac siec w razie wpadki. Zwlaszcza jezeli mozna skusic usera na odwiedzenie czegos, kliknięcie w cos, lub podpięcie czegos. Do tego dochodzą reverse shelle ktore trzeba upuścić i fałszywe access pointy.

Wniosek, jak nie zalezy na tym co sie chroni to mozna wyłączać wszystko. W komercyjnym środowisku musi to miec ręce i nogi, a większość scenariuszy przemyślana za wczasu. Rozumiem, ze autor porusza kwestie tylko zwiazane z endpoint security.

Pozdr.

  #23 01.12.2016 09:17

fantastyczny wpis, gratulacje dla autoea ! wniosek jeden - należy używać głowy do myślenia a nie wbijania gwoździ

  #24 01.12.2016 10:30

Odpowiadając na tytuł - pewnie, że może być nie potrzebny, jak odłączysz sieć i zaplombujesz gniazdka. Albo całkowicie panujesz nad swoim komputerem.

Nie rozumiem genezy ani celu "popełniania" takich tekstów - przy zestawieniu z sugestywnymi tytułami wydaje mi się wręcz trollingiem. Dlaczego?

a) jeśli wpis jest dla "Kowalskich" to jest zły z założenia - zniechęca ich do korzystania z pakietów, które (owszem odpłatnie i z narzutem) uszczelniają syfilis jakim jest windows+niewiedza techniczna [definicja "Kowalskiego"].
Bez nich "Kowalski" zainfekuje się syfem i upubliczni/zaszyfruje wszystkie istotne dane w 15 minut.
Pozostaje kwestia czy zapłacić 30-50 pln/rok i mieć 5-15% mniej mocy obliczeniowej to duża cena za drastyczne zmniejszenie ryzyka infekcji.

PS: Idiotów, którzy mimo 6546 monitów wszystko potwierdzą i wyłączą, by dać się zainfekować pomijam jako niereformowalnych.

b) jeśli jest dla "pr0" albo nawet aspirujących do tego tytułu - funkcja oświatowa jest dość mocno ograniczona przez dość wąskie spektrum konkretnych przypadków i bardzo ogólnikowe dopełnienia. Czyli zbiór ciekawostek, opinii i popularno-naukowe tło.

c) jeśli jest "dla wszystkich" to jest kompletnie bez sensu, ze względu na charakterystykę zagadnienia - podejście SKRAJNIE MOCNO zależy od profilu odbiorcy.

Na koniec: nie kwestionuję wiedzy technicznej ani umiejętności autora, które wydają mi się na sporo wyższym poziomie niż moje.
Tylko jego odrealnione podejście.
Przypomina mi zachęcanie dzieciaków z pierwszej klasy podstawówki, do olania ćwiczeń z dodawania, przez licealistę, bo "przecież to proste".
Pewnie, że proste - niech to pominą i od razu się wezmą za algebrę Boole'a. Między kolorowanką, a grą w klasy...

aPoCoMiLogin   7 #25 01.12.2016 10:36

Fajnie się czytało, ciekawe porównanie 2 architektur.

Nie używam AV na windowsie od czasów kiedy mam router oraz uważam co pobieram (dość skrupulatnie). Kilka lat i mimo tego netstat prawie pusty (z wyjątkiem tych usług których wyłączyć się nie da, win8).

Ja to osobiście widzę tak - jeżeli potrzebujesz możliwości to powinieneś ogarniać więcej niż różnice pomiędzy prawym i lewym przyciskiem myszy. Jeżeli nie potrzebujesz wiele, to takie systemy jak chromeOS powinny być masowo używane przez tych wszystkich klikaczy fejsbukowych. Ale tak nie jest, pomimo że i tak używają tacy ludzie głównie przeglądarki, to mają windowsy, po 2-3 antywirusy a i tak ich komputery to jeden wielki śmietnik. Nie wiem czy coś da się w tej kwestii zmienić.. Tak samo lewe aplikacje na androida, pobierane z jakichś chomików, pomimo że są nawet czasami darmowe bezpośrednio w google play. No po prostu komputery za szybko stały się wszechobecne, a ludzie za mało o nich wiedzą..

  #26 01.12.2016 10:37

ta polityka "otwartych drzwi i okien" spowodowała zamknięcie Agnitum i najlepszego firewall'a , czyli Outpost Firewall, którym notabene można najlepiej kontrolować inwigilacje np. W10..........

/

Maxi_S   4 #27 01.12.2016 10:42

Dobrze się czyta, ale uważam że w swojej ocenie nieprzydatności firewalla i antywirusa nieco się zagalopowałeś. Nieraz okazywało się, że Windowsowi szkodzi "złośliwa" czcionka czy ikona pliku, odczytana z właśnie podłączonego pendrive'a. Office też może złapać grypę. Część infekcji dotyczy wyłącznie konta użytkownika, ale nawet ZU, z ograniczonym dostępem będzie siał własnymi danymi w sieć. Takie scenariusze możliwe są również w przypadku szeroko pojętego Linuksa (złośliwe dodatki w przeglądarce), chociaż z mniejszym prawdopodobieństwem podniesienia uprawnień.

Co do tych tzw. nakładek na firewalla Windows, to moim zdaniem mają one prawo bytu chociażby ze względu na przejrzystość obsługi i pewne wartości dodane (czarne listy połączeń, ochrona ARP, ochrona przed podmianą DNS, możliwość identyfikacji i zestawiania połączeń w oparciu o różnego rodzaju poświadczenia itd.). Bądź co bądź na Linuksie też istnieją nakładki na IPTABLES i to zarówno pozwalające uprościć definiowanie reguł, jak i dające możliwość analizy ruchu i dynamicznego definiowania reguł.

I tytułem podsumowania warto wspomnieć, że oba systemy (Linuks, Windows) posiadają zarówno politykę systemu jak i kont użytkowników. Celem stosowania polityki nie jest jednak ochrona użytkownika przed szkodliwym oprogramowaniem, ale ochrona systemu i innych użytkowników przed działaniami zainfekowanego użytkownika. Obecnie większość ataków jest zorientowanych na użytkownika (złośliwe dodatki, maile, informacje w komunikatorach itp.). Na ile Office czy Acrobat działający w Wine jest odporniejszy na złośliwe pliki? Posługując się terminologią medyczną, śmiem twierdzić, że dane konto użytkownika może być nosicielem (rozsiewaczem) wirusa (poprzez uzłośliwione dokumenty), samemu nie odczuwając zgubnych skutków jego działania. Można sobie również wyobrazić sytuację, kiedy plik ściągnięty na Linuksie (bez antywirusa) zostanie na pendrive przeniesiony na Windowsa (bez antywirusa) i tam uruchomiony. Odpali się niewinny "Asystent pobierania" czy instalator sieciowy - czy do takich programów można mieć zaufanie? Same w sobie może zła nie niosą, ale z tym co ściągają może być różnie.

dthlfwp   7 #28 01.12.2016 10:50

chociażby jak znajomy przychodzi z pendrive czy wysyła coś w załączniku, to przydają się zabezpieczenia. Nie raz się zdarzyło, że ktoś miał zawirusowany komputer i w zipie oprócz tego co ma być była dołączona niespodzianka.

pocolog   11 #29 01.12.2016 10:54

@aPoCoMiLogin: Ktoś kiedyś wmówił ludziom, że komputer jest jak pralka. Każdy go powinien mieć i każdy sobie z nim poradzi... i tak jak większość ludzi korzysta z 2 programów pralki bo więcej nie rozumie, tak komputer mają do uruchamiania przeglądarki internetowej i gier.

makita   2 #30 01.12.2016 10:58

Ogólnie prawda, że ani Antywirus ani Firewall nie są w dzisiejszych czasach potrzebne. Ale prawdą jest też, że są sporym ułatwieniem i wygodą w użytkowaniu komputera. Czasem łatwiej wgrać Eseta IS i od razu korzystać z PC, niż dłubać, grzebać, zanim się Windows Firewall skonfiguruje, na kazdym kompie osobno, a po formacie od nowa...

wielkipiec   12 #31 01.12.2016 11:02

@makita: jedyna rzecz, którą nalezy zrobić to podnieść suwak UAC na samą górę ;) A instalacja Windows 10 z pendrive'a USB 3.0 trwa 15 minut ^^

miclis   4 #32 01.12.2016 11:03

Fajny wpis. Czytało się bardzo miło i chętnie poczytałbym więcej.
Po instalacji Linuxa z reguły aktywuje ufw, w bardziej skomplikowane rzeczy nie chce mi się bawić i za bardzo nie widzę takiej potrzeby.

  #33 01.12.2016 11:04

Można nawet podziwiać tej wiedzy,tylko ilu jest takich znawców proporcjonalnie do posiadaczy komputerów.Może 10-ciu na sto.Ta ogromna większość użytkowników musi mieć antywirusa i zaporę.Dodać należy,że z tego ogromu posiadacze tych zabezpieczeń ładują domyślne ustawienia..jak fabryka dała.Zwrócił tu uwagę @LORDEK,że wiele programów,które samo w sobie nie mają wirusa dla exe, no mają złośliwe przekierowania dla jego pobrania.Zwłaszcza programy -Free.Czyli ten ktoś w dobrym znaczeniu dał swój program na używalność wszystkim chętnym,lecz nie zadbał o bezpieczeństwo własnej strony.Sam wczoraj doświadczyłem tego ściągając program medialny.Jest oficjalnie nawet na DP. Bez asystenta to zrobiłem.Zrobił się larum na czerwono.Zrezygnowałem,lecz nie odpuściłem.Na niemieckiej stronie - odpowiednik naszego portalu, ten program miał sześć przekierowań.Cztery alarmowały wysoki poziom niebezpieczeństwa.W końcu trafiłem na ,,spokojną,, stronę,która umożliwiła zainstalowanie tego banalnego,choć przydatnego czasami programiku.Dalej..to że exe był czysty,nie gwarantuje jeszcze niczego.Dlatego robię zawsze manewr obronny.Używać,ale bez dostępu internetu.Lub wyjątkiem dla niego osobista konfiguracja zapory.Czasami najlepsza zapora,to chwilowe odcięcie się od sieci.

  #34 01.12.2016 11:08

Może i racja. Sprawą nieporuszoną jest zjawisko łączenia się naszych programów z siecią bez wyraźnego powodu.

Raz, jest to wnerwiające, dziś prawie wszystko MUSI łączyć się ze stroną producenta i wyświetlać jakieś SZALENIE WAŻNE informacje.
Dwa, nie mam pewności czy przy okazji nie wysyła samowolnie jakichś informacji.

Mam bardzo prostego firewalla - Windows Firewall Control - z ustawieniem domyślnym pozwalającym na dostęp do sieci tylko programom którym na to pozwoliłem. BTW dodawanie programów do białej/czarnej listy jest dziecinnie proste i działa jak powinno.

Bander zwierz   7 #35 01.12.2016 11:08

Stosuję zaporę głównie aby zatkać adware różnych, skądinąd pożytecznych programów. Wiem, że to nieetyczne, ale... klient nasz pan.

abrateks   9 #36 01.12.2016 11:22

Co za brednie. Nie dalej jak tydzień temu doświadczyłem ataku TCP jadąc na zaporze systemowej Windows 10. Jest idealna? Aleś mnie ubawił. Puszcza wszystko jak leci.

  #37 01.12.2016 11:47

Wygląda mi to na pracę doktorską ;)
Nawiasem: Firewall genialnie sprawdza się na androidzie. Oczywiście zrootowanym. Nie wypuści nic.

kowgli   6 #38 01.12.2016 12:01

@abrateks: Opisz dokładniej, co takiego doświadczyłes? To ciekawa sprawa. Co rozumiesz pod "atak TCP"? Co i w jaki sposób było "atakowane"?

makita   2 #39 01.12.2016 12:05

@wielkipiec: " jedyna rzecz, którą nalezy zrobić to podnieść suwak UAC na samą górę ;)"

Niestety, gdy suwak mam zaledwie na pierwszej pozycji, Chrome nie potrafi się zaktualizować. Muszę uruchomić program jako admin, Chrome pobierze update, a dopiero po restarcie widnowsa!! będzie skończona aktualizacja przeglądarki... Nie wspomnę o problemach z działaniem Battle.net na UAC itp. ESET nie robi problemów, Windows owszem i to dużo.

Bez konfiguracji i grzebania w Windows Firewall to nie działa dobrze.

Windows 10 instaluje się 15 min (u mnie 7 min), reszta aplikacji 3-4 godziny. System to najmniejszy problem...

wielkipiec   12 #40 01.12.2016 12:07

@kowgli: to komunikat, który wypisuje np. ESET smart security, gdy ktoś skanuje porty. Pojawia się nawet, gdy chiński bot usiłuje się "włamać" do Windows szukając portu z SSH, chcąc się logować przez użytkownika "admin/admin". Ale gdyby się nie pojawiał, taki ESET nie miałby jak usprawiedliwiać swojego istnienia ;)

wielkipiec   12 #41 01.12.2016 12:10

@makita: żadna z moich instalacji Chrome, oraz generalnie większość aktualizatorów (wyłączywszy oczywiście moją ukochaną Javę, napisaną przez małpy) nie miała żadnych problemów nie tylko z UAC, ale i z kontami użytkowników komputerów w domenie :D A było ich z kilkaset.
To nie rok 2007, kiedy były z tym problemy. A jak soft jest niezgodny z Windows, to należy go usunąć :D

  #42 01.12.2016 12:44

@TakieMamZdanie (niezalogowany): ale nawet świadomy użytkownik wymięknie w pierwszym większym biurze, z setkami maili od obcych ludzi. Zazwyczaj power user ma dużo mniejszy ruch na poczcie niż przysłowiowa pani Grażynka

Troll z jaskini   6 #43 01.12.2016 12:51

Autorze, zapomniałeś, że pakiety internet security potrafią mieć HIPS + piaskownicę i to bezpłatne np. Comodo.
A wracając do firewalla. Można mieć wewnętrzne IP, niepubliczne, które router dostaje, a i tak można zarazić się malware, który wyśle np. wpisywane znaki do jakiegoś serwera, a serwerem może być nawet strona internetowa ze skryptem, który odbierze dane. (a publiczne IP mogą chcieć mieć gracze, np. na wew IP nie idzie zagrać z kumplem w wielu grach, np. w rainbow six siege, bo pojawia się napis NAT i trzeba lecieć do dostawcy netu by przydzielał nam z puli zewnętrznej, wtedy problem znika).
Kolejna sprawa, nie znam windowsowskiego firewalla, nie wiem jakie ma opcje konfiguracyjne, ale czy można zrobić tak by pokazywał się alert do 100% programów, które chcą połączyć się z netem? Czy może podpisane rzeczy windows przepuszcza, a o inne pyta alertem? Pytam, bo firewalle firm trzecich mogą nawet pytać czy pozwalamy windowsowym procesom połączyć się z routerem i tak dalej (możemy się nie zgodzić i zostajemy bez netu), dodatkowo można zrobić tak by alert dawał nam wybór, czy pozwolić x procesowi na połączenie się tylko z jednym IP i danym portem (i wtedy najwyżej dostajemy kolejne alerty) czy może z góry pozwolimy łączyć się z każdym IP (lub wybierzemy swoją regułkę, z wcześniej przygotowanych), bo jeśli tego windowsowy firewall nie ma to podziękuję mu i wybiorę darmowego firewalla. Całą komunikację z MS można łatwo wyciąć.

I zrób nowy wpis o piaskownicy i o HIPS, bo to są nowsze zabezpieczenia niż firewalle, które istnieją od wieków.

Troll z jaskini   6 #44 01.12.2016 12:59

@makita: do domu, który ma kraty w oknach i podwójne drzwi, też można włamać się na luzie, wystarczą wytrychy lub coś do wycięcia krat w oknie, banał, a mimo to ludzie zabezpieczają domy, bo lepsze jest jakieś zabezpieczenie niż żadne (wiem, że windows ma defendera i firewalla, no ale pakiety IS mają jeszcze HIPS i piaskownicę i to za darmo, choć nie każdy IS je ma. I teraz co będzie prostsze do zaatakowania? windowsowe zabezpieczenia czy uruchomiony w piaskownicy malware z HIPSem, który odbierze malware część uprawnień lub nawet wszystkie (czyli malware nawet pliku żadnego nie stworzy, nic nie doda do rejestru, nie uruchomi innego pliku exe jak np. notatnik, bo HIPS mu nie pozwolił))

btw. konfigurację można zapisać i po reinstallce systemu załadować, chyba nawet można tworzyć profile w niektórych pakietach IS no i własne reguły dla firewalla i HIPS np. podpisane VPN i wtedy np. grze online aplikujemy regułę VPN i mamy pewność, że gra bez VPN nie połączy się z niczym, spoko sprawa, a w windowsowym firewallu nie wiem czy można sobie gotowe reguły stworzyć i podczas alertu wybrać, wątpię (do tego pewnie windowsowy firewall przepuści grę, bo podpisana czy coś, a nie wiem czy da się ustawić by nawet nie ufał chrome lub IE i pytał czy pozwolić na dostęp do netu).

Autor edytował komentarz w dniu: 01.12.2016 13:02
msnet   18 #45 01.12.2016 13:14

@Troll z jaskini: Zapora systemu Windows także pozwala tworzyć zasady (osobno dla połączeń wychodzących i przychodzących), a także je eksportować i importować. Zasady mogą dotyczyć programu, portu, a także wielu innych rzeczy (możliwości jest bardzo dużo). Możesz łatwo zablokować cały ruch sieciowy albo dać dostęp do sieci wszystkim. Możesz przejrzeć aplikacje i funkcje, które mają dostęp do sieci i go im odebrać (dotyczy to też systemowych - jest na liście choćby środowisko powłoki systemu Windows). Jeśli chodzi o alerty, to znalazłem tylko opcję pokazującą info, że windowsowy firewall zablokował nową aplikację (oczywiście w okienku z komunikatem są przyciski pozwalające odblokować tej apce dostęp do sieci).

Autor edytował komentarz w dniu: 01.12.2016 13:19
pocolog   11 #46 01.12.2016 13:54

@marek 2010 (niezalogowany): Bo programy pobiera się ze strony producenta, a nie przeszukuje pierdyliard agregatorów i schowków. Głupiemu nawet AV nie pomoże.

vries   6 #47 01.12.2016 14:01

W domu może, w firmie nie bardzo.
Często gęsto coś tam wykrywa, strony blokuje itd. A raz całe szczęście firewall przyblokował mi ruch na klientach, bo jakiś komp (niestety winowajcy nie znalazłem) zaczął mi robić ARP spoofing.
Innymi słowy, przydają się (szczególnie jak firmowa sieć robiona jest po kosztach).

ichito   11 #48 01.12.2016 14:15

@msnet:

To prawda, że można to zrobić, ale znakomita większość tego nie robi, bo nie ma o tym pojęcia...nawet jak zechce spróbować, to obsługa systemowej zapory może zdać się nieco nieintuicyjna, żeby nie powiedzieć przerażająca. Ludzie więc odpuszczają sobie jej konfigurację zostawiając pootwierane porty, zezwolenia na ruch wychodzący "wszędzie i dla wszystkiego", dając dostęp z zewnątrz do współdzielonych zasobów. Taka zapora daje fałszywe poczucie bezpieczeństwa i w takim kontekście jest faktycznie bezużyteczna i niepotrzebna.
Dlatego preferuję zapory firm trzecich, bo one mają już wbudowane reguły nie tylko dla składników systemowych czy newralgicznych wykrytych procesów/usług...oferują w większości jakiś tam dobór poziomu ochrony czy choćby strefy zaufania dla wykorzystywanej sieci. Pozwalają na automatyczne blokowanie najpowszechniejszych typów ataków, dając na wejściu dla mniej zaawansowanego użytkownika realny poziom ochrony.
Zapora nie jest jakimś wysublimowanym bytem...jest i powinna być fragmentem szerszego planu bezpieczeństwa, które nazywa się ochroną wielowarstwową, w którym każda z warstw pełni rolę filtra czy blokady dla określonych zdarzeń.

  #49 01.12.2016 14:27

@DjLeo: Ja bym jeszcze parę zdań dopisał, wtedy tekst stałby się jeszcze krótszy :)
Poręczniejszy do czytania.

Troll z jaskini   6 #50 01.12.2016 16:05

@msnet: ale już sam aletr nie pozwoli w oknie aletru wybrać reguły o nazwie "Moja reguła nr 8"? Albo nie pozwoli na "zezwalaj tylko dla tego jednego IP i jednego portu"? Jedynie będzie opcja "Zezwól" lub "Blokuj"?

ilili   8 #51 01.12.2016 16:20

"na poprawnie zaprojektowanym systemie, nawet sieciowym, zapora nie jest potrzebna. Należy skupić się na zabezpieczeniu usług i drugiej linii obrony, czyli redukcji przywilejów, gdy ktoś jednak usługę sforsuje"

jest tak samo mądre jak powiedzenie ze w samochodzie nie są potrzebne pasy bezpieczeństwa - wystarczy ostrożnie prowadzić.

ale po pierwsze kto dogłębnie za swój system operacyjny. wszystkie zainstalowane programy, przejrzał wszystkie pliki konfiguracyjne, wszystkie skrypty. i tak przy każdej aktualizacji!

a po drugie kto nigdy w życiu nie popełnił błędu, nie dokonał żadnego przeoczenia czy niedopatrzenie?

po trzecie musimy dokonać audytu wszystkich kodów zrudlowych wszystkich naszych programów majacych cokolwiek wspólnego z siecią. w tym X'y a z tego co wiem nie ma ani jednego człowieka na planecie zdolnego zaudytowac X. bo to ze programiści popełniają błędy to już wiemy.

tak że tak. po spełnieniu powyższych nie potrzebna nam zapora sieciowa.

Autor edytował komentarz w dniu: 01.12.2016 16:22
pb2004   6 #52 01.12.2016 16:44

@wielkipiec
Gdy zainstalujesz na Linuksie odpowiedniki usług sieciowych z Windowsa to także będą otwarte te same porty(samba, dlna server, upnp, cups itd). Unix domain sockets nie mają tu nic do rzeczy. Inetd zaś to demon realizujący tzw. socket activation i obecnie jest on raczej rzadko używany bo jest systemd.

Autor edytował komentarz w dniu: 01.12.2016 16:45
Farkas   10 #53 01.12.2016 17:19

@wielkipiec pamiętam, jak sobie eksplorowałem eksploitem Kaht2 sieć radiową, której użytkownikiem byłem. Wyszukiwałem skanerem otwarte porty użytkowników z innych lokalizacji. Zazwyczaj jak port był otwarty, to szło się dostać.

Raz na jakiś czas nie, a dlaczego? m.in. dlatego, że ktoś miał zainstalowanego Avasta w odsłonie antywirusowej darmowej, który to zabezpieczał system przed tego typu standardowymi atakami i próbę odparcia takowego odnotowywał stosownym komunikatem.

Wszystko było dla zabawy, nie czyniłem szkód. Chociaż kojarzę, że podkusiło mnie, aby poczytać sobie czyjeś rozmowy w ramach lektury, ale to było z czystej ciekawości jak jeszcze byłem dzieciakiem - nie wykorzystywałem nic z tego, co przeczytałem. Raz komuś zrobiłem na pulpicie foldery z linii komend, gdzie jeden folder to jeden wyraz, a powstało z nich zdanie: "PISZ NA NUMER GG TUNUMER" :D

wielkipiec   12 #54 01.12.2016 17:30

@Farkas: "otwarty port" jeszcze nic nie znaczy. Po drugiej stronie musi być jakaś usługa. To nie są drzwi, które wszystko przyjmują na zasadzie "o, otwarty port, mogę se zabrać pliki!"

Farkas   10 #55 01.12.2016 17:33

@wielkipiec wiem, wiem. Nie wnikałem w technikalia, nakreśliłem tylko co i jak :)

clubber84   4 #56 01.12.2016 17:59

Jakiś taki niedosyt czuję po przeczytaniu twojego wpisu - tak jakby się skończył, ale czegoś jeszcze brakuje...
Już wiem - opisu sposobów, jak wykorzystać zaporę podczas wyłączania usług systemowych (oczywiście niepotrzebnych).

Autor edytował komentarz w dniu: 01.12.2016 17:59
wielkipiec   12 #57 01.12.2016 18:03

@clubber84: ale co ma zapora do wyłączania usług?

  #58 01.12.2016 18:10

"z którymi nie da się dyskutować, nie wykazując głębokiego zwątpienia w przyszłość ludzkości"
\Nie jesteś pępkiem świata kolego, a Twoje zdanie nie jest ani najważniejsze ani najwłaściwsze. Nic by Ci się nie stało, jakbyś nauczył się szanować odmienne poglądy.

phx84lbn   9 #59 01.12.2016 18:26

Podoba mi się ten wpis...
Naprawdę: ładny wpis...

msnet   18 #60 01.12.2016 18:33

@Troll z jaskini: Dawno już takiego okienka u siebie nie widziałem, dlatego nie pamiętam, co dokładnie się w nim znajduje.

marcinmn72   1 #61 01.12.2016 18:48

No cóż...do agencji też można pójść bez firewalla lub antywirusa.Przy zachowaniu higieny i wyborze pani z małym stażem, unikniemy AIDS. Na 50 klientów 49 się uda ale jeden będzie się drapał po.....Ja bym nie chcial być tym jednym.

yuwo   7 #62 01.12.2016 19:27

Na paranoicznych ustawieniach bezpieczeństwa Windę da się używać bez firewalla i antywirusa. Tyle, że będzie to niezbyt wygodne. Do tego w zasadzie żadnego niesprawdzonego oprogramowania (z tym czasami może być kłopot). Chyba jednak lepszym rozwiązaniem jest AV.

jajecpl   9 #63 01.12.2016 19:55

@wielkipiec: A jak to się ma do strony http://www.whatsmyip.org/port-scanner/ ?
Wszystkie testy mam Timed-out, znaczy bezpiecznie?

Razzor   4 #64 01.12.2016 21:15

Zapory nie ma, systemową mam wyłączoną, antywirusa też nie mam, mam tylko skaner i ublocka prawidłowo skonfigurowanego.Komp czysty od wielu lat.

Farkas   10 #65 01.12.2016 21:24

@jajecpl: u mnie na Linuksie podobnie. Nic nie robiłem w kierunku zabezpieczenia systemu.

Autor edytował komentarz w dniu: 01.12.2016 21:25
wielkipiec   12 #66 01.12.2016 21:26

@Farkas: bo jesteście za routerem :D Tyle wam ta zapora jest potrzebna ;)

Farkas   10 #67 01.12.2016 21:27

@wielkipiec aaaa :D Daleko mi do sieciowca i choć wiem, że jestem za routerem, to kompletnie o tym zapominam pod względem jakby to powiedzieć, technicznym :)

Autor edytował komentarz w dniu: 01.12.2016 21:28
jajecpl   9 #68 01.12.2016 21:30

@Farkas: A masz możliwość sprawdzić na windowsie?

wielkipiec   12 #69 01.12.2016 21:31

@jajecpl: nie będzie różnicy przecież, ta strona skanuje router

tI3r   8 #70 01.12.2016 21:34

@wielkipiec spoko art, ale w firmach zapora to podstawa :). Większość ataków pochodzi z wewnątrz a szkodliwe może być wszystko. Widzisz, ktoś mógłby zadać pytania: "ale kontrolujesz sytuację", "przeprowadzasz audyty" czy "wiesz, że od ciebie zależy firma, setki ludzi - oni mają rodziny, kredyty itd i wiesz, że możesz nas puścić z torbami"? :)

Stosuję dobrą zasadę: biała lista. Jak na razie działa (czytaj: jeszcze pracuję) :).

wielkipiec   12 #71 01.12.2016 21:40

@tI3r: jak się opiekowałem labami na uczelni, to obowiązkowo wszędzie była zapora, no i okresowwa lektura tcpdumpów. Studenci potrafią przynieść niezły syf :D

mktos   9 #72 01.12.2016 22:41

Jest tylko jeszcze jedna rzecz o której warto pamiętać - IPv6. Niektórzy dostawcy taką rzecz mają, a Windows sam się skonfiguruje, aby z niej skorzystać. I już nie ma NAT-a. Jesteśmy otwarci do komunikacji z całym światem.

A tak w ogóle - NAT to nie firewall. NAT to nie technologia bezpieczeństwa. NAT to proteza, która nie powinna była powstać. Nawet za NAT-em nie jesteśmy nagle w magicznej krainie, gdzie wszyscy są szczęśliwi i ludziom się żyje dostatnio, tylko we wrogim środowisku, gdzie żarówki i lodówki będą próbowały zadrzeć czy to z całym internetem, czy może jednak z naszymi lokalnymi maszynami.

pdbq   5 #73 01.12.2016 22:52

@wielkipiec:
z jednej strony podziwiam za cierpliwość, dociekliwość, pracowitość itp...
z drugiej strony cieszę się, że ja w tym czasie po prostu korzystałem z komputera :)

wielkipiec   12 #74 01.12.2016 22:56

@mktos: IPv6, IoT oraz marność NATu: to istotne kwestie, indeed! Maskaradowanie z IPv6 to kompletne voodoo

Farkas   10 #75 01.12.2016 23:45

@jajecpl: a mam, ale to już jutro może.

ProTofik   7 #76 02.12.2016 01:28

Jakiś czas temu przeczytałem twój wpis o antywirusach. Dał mi do myślenia, ale ESETa nie ruszyłem. Dzisiaj przeczytałem ten wpis, wróciłem jeszcze raz do poprzedniego... i w sumie to chyba masz rację. ESETa usunięty, włączyłem Windows Defendera oraz Windows Firewalla, UAC na maxa, i zaczynam nowe życie. Jeszcze tylko muszę się przemóc i zejść z konta administratora
Chciałem tylko zwrócić uwagę że kilka razy wspominałeś w swoich wpisach że 'poprawnie skonfigurowany Windows' jest bezpiecznym systemem. Może następny wpis o tym jak go poprawnie skonfigurować.

Autor edytował komentarz w dniu: 02.12.2016 01:28
Berion   13 #77 02.12.2016 11:50

@Subversive: Ależ pewnie! Trzeba też nie wchodzić na strony z lewymi skryptami, obrazkami itd... Tja, wyłączenie firewalla to kolejna mądrość autora, zaraz po nieużywaniu AV na Windows...

@ProTofik: Zanim zaczniesz, nowe szczęśliwe życie to poczytaj jeszcze o DEP, i o tym że mnóstwo zła ma w poważaniu UAC, DEP, ASLR i takie tam.

Autor edytował komentarz w dniu: 02.12.2016 11:51
wielkipiec   12 #78 02.12.2016 12:04

@Berion: ma w poważaniu UAC, bo je zepsuto w Windows 7 ;) Dlatego należy podnieść suwak na samą górę i rozważyć korzystanie z konta ograniczonego.
A, i nie sugeruję wyłączenia firewalla, pokazuję jedynie, że w praktyce ma on znacznie mniej pracy, niż kiedyś

ichito   11 #79 02.12.2016 13:27

@wielkipiec:
Oczywiście, że sugerujesz
- po pierwsze tytuł, a słowo "też" podkreśla wymowę stwierdzenia
"firewall też może być niepotrzebny"
- po drugie fragment
"Będzie trzeba nieco się pobawić, ale spróbujemy dowieść, że dodatkowa zapora w systemie jest zbędna, przypomnieć, dlaczego w ogóle jakakolwiek powinna być niepotrzebna, a na końcu podkreślić, że w praktyce w codziennych scenariuszach zapory już o dawna nic nie dają."
Nie migaj się teraz stwierdzeniami, kiedy to zepsuto UAC, bo to niczego nie zmienia w Twoim przesłaniu, że mechanizmy Windows, na które wskazujesz są wystarczające, żeby skutecznie go chronić...NIE SĄ...i jest na to tysiące dowodów w postaci opracowań teoretycznych czy rzeczywistych szkodników. Nie wystarczy powyłączać usługi, pracować na ograniczonym koncie i maksymalnie ustawioną kontrolą użytkownika...chyba, że jesteś odcięty od sieci, choć i to jest sporym uproszczeniem.

Berion   13 #80 02.12.2016 13:59

@wielkipiec: Są podatności, które mają UAC w poważaniu bez względu na to gdzie jest ten suwak. W tym rzecz. :/ Ja także ustawiam na samą górę, ale nie można tego traktować jak lekarstwa na raka, tylko jako kolejne zabezpieczenie które po prostu dobrze mieć. Tak samo jak AV czy ogniomurek (już pomijając to, że na routerze też nie powinno się w 100% polegać skoro większość ma backdoory, które można użyć podchodząc z WAN). Lubię Twoje teksty, ale te dwa akurat uważam za szkodliwe.

Inaczej odebrałem tekst. Wręcz jako zalecenie wyłączenia i spójrz po komentarzach jak to się odbija.

Autor edytował komentarz w dniu: 02.12.2016 14:03
wielkipiec   12 #81 02.12.2016 14:44

@ichito: nie sugeruję :) mam to wyjaśnić na kukiełkach?

wielkipiec   12 #82 02.12.2016 15:14

@Berion: aż tak łatwo nie jest. Są metody obejścia UAC, fakt. Ale są mitygowalne i trudne/niemożliwe w automatyzacji. Nie ma dramatu. No, chyba, że na domyślnych ustawieniach. Wtedy można go w ogóle wyłaczyć :D

pocolog   11 #83 02.12.2016 16:32

@wielkipiec: Ja poproszę te kukiełki! Mogą być mapety :D

ichito   11 #84 02.12.2016 16:37

@wielkipiec:
Dawaj...zobaczymy jak bardzo mnie przekonasz :)

roller_coaster   2 #85 02.12.2016 18:43

Co do firewalla, to zwykły użytkownik nie będzie sprawdzał i analizował logów. Woli na wszelki wypadek zainstalować firewalla z pierwszego miejsca w rankingu i mieć spokój.

Wpis ciekawy, ale raczej dla wtajemniczonych. Mnie bardziej inspiruje do pogłębienia wiedzy niż przekonuje do odinstalowania firewalla, głównie dlatego, że niewiele rozumiem. Nawet na Linux stosuję ufw enable tak na wszelki wypadek, bo nie rozumiem o co w tym wszystkim chodzi.

Czy są jakieś książki nie dla informatyków, które by łopatologicznie, najlepiej poprzez analogie i obrazki tłumaczyły sprawy działania ruchu sieciowego i firewall, podstaw bezpieczeństwa, roli routera w tym wszystkim, jak wyglądają popularne metody ataków, np. przez przeglądarkę i czy ściągniecie na dysk obrazka może otworzyć furtkę włamywaczowi?

Autor edytował komentarz w dniu: 02.12.2016 18:44