2009. augusztus 25., kedd

Mi a baj a személyi tűzfalakkal?

A személyi tűzfal csodálatos találmány. Rátelepíti az ember a vindózára, beállítja és máris úgy érzi, megmenekült mindentől, ami az internet világában fenyegeti. Miért nem szeretjük mégsem a személyi tűzfalakat?
  1. Valódi támadásokat nem nagyon fognak meg, cserébe hamis biztonságérzetet adnak a felhasználónak. A legnagyobb veszélyt a felhasználóra a trójaiak, a phishing, a drive-by exploitok és a célpontjukban ülő, sechole-okkal telepakolt böngészők jelentik. Ezek ellen tűzfallal nem nagyon lehet védekezni - van viszont egy jóval erősebb érvünk is a sz. tűzfalak ellen: az, hogy valódi támadásokat sem nagyon fognak meg. Kis házi tesztlaborunkban egyszer öt ingyenes és fizetős, meglehetősen sokat reklámozott integrált internetvédelmi megoldást teszteltünk: az okosan beállított nmap-scant egyik sem fogta meg. Igaz, azzal is lehet vitatkozni, hogy a sz.t. meg kellene-e, hogy fogja a portscant - az viszont, hogy egy patcheletlen SMB-hibán keresztül metasploittal bemenve, majd local system shellt kapva a * Security semmit sem szól, az már erős.
  2. Hihetetlenül idegesítő, hogy félpercenként feldob egy dialógust, aminél dönteni kell. Nem kommentálnám bővebben a dolgot: mindenki találkozott már a jelenséggel.
  3. Nagyon nehézkessé teszik a konfigurációt, rengeteg hibalehetőséggel. Ismét csak utalnánk arra a fura érzésre, ami akkor keríti hatalmába az embert, amikor a kis otthoni hálózatán szeretné összelőni, hogy az A gép lássa a B gép megosztásait. Az ember küzd, de csak pingetni lehet az A gépet a B-ről (visszafelé már nem), de az SMB csak nem akar működni.
  4. Processzt, CPU-időt és egyéb erőforrásokat foglalnak. Ehhez sem kell túl sok kommentár.
  5. Ahhoz, hogy megfelelő konfigurációban fussanak, olyan szintű ismeretek kellenének, amelyek a legtöbb felhasználónak nincsenek meg. A "mindent szabad a skype-nak"-típusú szabályok értelmetlenné teszik magát a tűzfalat - idáig pedig meglehetősen sztereotip az út, ugyanis először csak azokat a processzeket engedjük forgalmazni, amelyekről biztosan tudjuk, hogy mit csinálnak (biztosan tudjuk?), minden mást letiltunk. Egészen addig, amíg az egyik CVS23L.exéről ki nem derül, hogy igazából kedvenc zenelejátszónk frissítője: itt jön el az a pont, ahol széttárjuk a kezünket, hogy nem tudjuk eldönteni egy-egy processzről, hogy engedjük-e a forgalmazást. A következő lépés sejthető: igen, engedjünk mindent mindenkinek.
UPDATE: a visszajelzések alapján kicsit pontosítunk a bejegyzés kicsengésén. A személyi tűzfalak használata igenis növelheti a biztonsági szintet, azonban csodafegyverként használni és így aposztrofálni ezeket az eszközöket erős túlzás.

17 megjegyzés:

  1. es vajon van megoldas?

    VálaszTörlés
  2. nah igen, de most akkor ne is legyen SEMMILYEN tűzfal se azon az egy szem gépen, ami router és minden nélkül van rákötve a netre?
    nem azt mondon, h nincs igazság a bejegyzésben, minden szava igaz, de azért ad egy alapvető védelmet már csak azzal, hogy elég nagy támadható felületet lefed. gyakorlatilag rengeteg vírust már azzal nem kiirtottunk, de megelőztük a gépre jutását azzal, hogy legalább egy * Security van fenn a gépén. Az már más kérdés, h egy sima security hole segítségével be lehet jutni az illető gépére, ez ellen tényleg csak a megfelelő felhasználói hozzáállással és rendszeres frissítésekkel lehet védekezni.
    aztán lehet h nincs igazam.

    VálaszTörlés
  3. @szalonna:
    Ne keverjünk két műfajt: a hálózati tűzfalaknak igenis megvan a maguk haszna - például meg tudod mondani, hogy milyen portokon akarsz szolgáltatásokat futtatni, a többihez ne engedjen semmilyen hozzábeszélést. Ez teljesen korrekt.

    A gond ott van, amikor a személyi tűzfalak megpróbálnak olyasmit is elvégezni, ami nagyon nehéz, és a felhasználóra sem lehet támaszkodni.

    Másrészt van megoldás (persze el kell fogadni, hogy a személyi tűzfalak használatával sem lehet tökéletesen biztonságos rendszert építeni). Nem lesz földrengető újdonság, te is írtad: frissítsünk, ne használjuk adminisztrátorként a gépünket és ne tegyünk fel krekkelt fotosopot.

    VálaszTörlés
  4. @kovács zsombor
    és hol választódik el a hálózati tűzfal a személyi tűzfaltól? szolgáltatásban, funkcióban, kinézetben? pl a Firewall Builder, ami csak egy gui pl az iptables-hez, ami -szerintem- az egyik legjobban konfigurálható és egyik legbiztonságosabb tűzfal, már személyi tűzfalnak minősül? vagy az a személyes tűzfal, amikor beépített vírusirtó is van már benne?

    VálaszTörlés
  5. @szalonna:

    Jó a kérdés. :) A különbség szerintem ott van, hogy a "hagyományos" forgalomszabályozás megmarad TCP-szinten, míg a perszonál tűzfalak jóval magasabb szinten is vizsgálják a forgalmat - például azt, hogy melyik processz kezdeményezi. (Ismétlem: szerintem, de nem találtam egyértelmű elkülönítést a szakirodalomban).

    A tűzfalnak szerintem nem feladata a vírusszűrés (lévén alapvetően hálózati forgalomszabályozó (hálózatiforgalom-szabályozó?) eszköz), tehát azt semmiképp nem szabnám kritériumnak.

    Másrészről a kimenő és a bejövő forgalom szabályozására messze nem azonosak a lehetőségek. Bejövő forgalom esetében praktikusan TCP szintig tudsz szűrni, kimenő esetében (mivel ugyanazon az oprendszeren fut a tűzfalad is, mint a kommunikáló processzek) jóval több a lehetőség - tessék, itt egy második elkülönítés is a személyi és a "hagyományos" tűzfalak között: személyi tűzfalnak hívhatjuk akár azt is, ha a kimenő forgalom szabályozása során figyeled a processzek viselkedését is, illetve ha a végső döntés meghozásához a felhasználó interakciója is szükséges. Ebben a felosztásban az iptablest "hagyományos" tűzfalként soroljuk be.

    VálaszTörlés
  6. Hm. Egy hamarosan új gépet(+oprendszert, stb.) vásárló egyszeri fogyasztónak, aki az átlagosnál némileg otthonosabban mozog az informatika világában, de az IT-biztonsághoz már nem ért, mit ajánlanál? Vegyek egy Eset Smart Securityt és imádkozzak mellé rendszeresen?

    VálaszTörlés
  7. @sarruken:
    Konkrét termékeket ha nem gond, nem ajánlanék. :) Inkább szempontokat mondok, hogy mire figyelj.

    1. Frissíts.
    2. Tegyél fel tűzfalat meg víruskergetőt (nem kell mindenáron krekkeltet keresni/vásárolni jogtisztán, van remek open-source megoldás is a problémára. Semmivel sem jobb vagy rosszabb, mint azok, amiket pénzért tudsz venni).
    3. Ne használd a géped adminisztrátorként.
    4. Ne telepíts fel minden krekkelt vackot.

    Nagyjából ennyi. Még esetleg az, hogy ha otthon netezel, akkor vásárolj egy routert, és arra kösd rá a géped. (Ezáltal a router működése közben nem enged csatlakozni a gépedhez az internet felől, ami elég hasznos dolog. Másrészt meg wifit is tudsz használni így). Esetleg gondolkozz el, hogy nem akarsz-e rápróbálni valami linuxra.

    VálaszTörlés
  8. Köszi!

    A 3-as tippen megdöbbentem, de belegondolva teljesen logikus...Szívesen megkérdezném, hogy melyik open source megoldást javaslod, de tudomásul veszem, hogy konkrétan egyiket sem:)

    Egyszobás lakásban a routernek eddig nem éreztem szükségét, de így azért már kicsit más lett a leányzó fekvése...

    VálaszTörlés
  9. Én főként netezésre használom a gépet. Linuxok közül az ubuntu nagyon bejött. Ingyenes, legális...frissítések jönnek rendesen, ha vmi exploitra fény derül gyorsan javítva.

    VálaszTörlés
  10. "patcheletlen SMB hiba":

    feltételezem az ms 08-067-ről van szó, node azt már a sima xp sp2-es tűzfal is megfogja (ugyanúgy ahogy a lanos samba elérést is kinyírja...), szóval azt hogy sikerült mégis átengedni? :)

    VálaszTörlés
  11. @keri:
    pontosan, az MS0867 volt a kis aranyos.

    A tűzfalakat feltelepítettük, és az első dolguk általában az volt, hogy lelőtték a windows saját tűzfalát. A telepítést a "next-next-finish" iskolával csináltuk, azaz semmit nem állítottunk az alapbeállításokon - ez pedig majdnem mindegyik terméknél azt jelentette, hogy az első hálózatot (amiben telepítettük) trusted-ként definiáltuk, ilyen módon simán nyitva hagyta a TCP/139-et és a TCP/445-öt.

    VálaszTörlés
  12. Windows xp-ben van olyan, hogy netsh. ipchainshez hasonlo szabályrendszert lehet vele összehozni. Egy a probléma vele. Ugyanaz,mint az ipchainssel. Aki nem egy tűzfal üzemeltető, az inkább neki se kezd ilyen akcióknak, mert ezer helyen vérezhet el. Ezért lehet eladni ennyi értéktelen szoftvert.
    Én állandóan le szoktam ezeket kapcsolni,mivel legtöbbször egy router mögött vagyok internetről nem elérhető címmel és ott elvileg a dróton senki nem tud a gépemre (vissza)jönni. Böngészőt kell inkább lecserélni Firefox-ra és feltuningolni mindenféle featurekkel. Ezek a personal firewallok az ágvilágon semmire se jók. csak arra, hogy lelassítja a gépet mint az állat. És a felhasználó előbb-utóbb kikapcsolja.
    Windows beépített featureivel simán meg lehet oldani a védelmet. Csak sokan nem ismerik ezeket ezért lehet eladni ennyi gagyi terméket az embereknek. De ez nem csak az informatikában van így. Szinte mindenhol ez van. Aki nincs tisztába a dolgokkal arra bármi bóvlit rá lehet sózni... Kasperskytől az F-secureig sok mindent kipróbáltam. Gagyik. A legjobb, ha én saját kézzel állítom be a szabályokat. De már mondtam ez mindennel így van az életben. Levesben is az a legjobb amit te csinálsz otthon magadnak...Nem az amit egy kajáldában eléd tesznek...
    Rengeteg üzletág épít az emberek kényelmességére és lustaságára. Pedig ostoba műsorok bámulása helyett manuálokat is lehetne olvasgatni... Meg a másik : a fogyasztói társadalomban szuggerálva vannak az emberek, hogy vegyék be amit beadnak nekik. Ne gondolkozzanak, ne csináljanak maguk semmit. Csak vásároljanak/fogyasszanak. Ezen a hozzáálláson kell változtatni. Egyszer még jópár éve felraktam egy WindowsNT gépet az internetre amin még szolgáltatás is futott. Több mint egy évig ment úgy, hogy még elbootolni se kellett.... Nem volt rajta se betörés se rendszer lefagyás. Igaz, hogy előtte kiolvastam néhány a témába vágó könyvet, meg konzultáltam néhány szakértővel. De közben egy csomó dolgot meg is tanultam. Ez az igazi szórakozás (a tanulás) nem az idióta műsorok bámulása... 500 éve az embereknek természetes volt, hogy maguk csináljanak meg mindent amit tudnak, ma meg az a természetes, hogy nem kell gondolkozni.... Szerencsére nem mindenki gondolja így.

    VálaszTörlés
  13. http://www.bekesinformatikus.hu/index.php?sub=panda

    Ezért találta ki a Panda Security a MOP-ot. Az átlagfelhasználónak fogalma sincsen a Rule-okról. Trusted meg Aloowed * és máris nem zavarják az ablakok. Ezzel ez kikerülhető.

    VálaszTörlés
  14. GhostWall nevű tűzfal progit ismered? esetleg próbáltad is már? tapasztalat/vélemény?

    VálaszTörlés
  15. COMODO tűzfalról és egyéb szoftverekről mi a véleményed?

    VálaszTörlés
  16. Nem szokásunk konkrét termékeket ajánlgatni. Ízlések és pofonok.

    Egyébként azt a terméket kell választani, amelyik
    1) tudja azt, amit szeretnél,
    2) el is hiszed róla, hogy tudja azt amit állítanak róla. "Rendes" tesztlaborok eredményeit kell megkeresni és az alapján dönteni.

    Bizonyos minőségi szint fölött már nem termék számít, hanem azon, hogy megvan-e a tudás a használatához.

    A Comodora is minden igaz, ami a posztba írva van. ;)

    VálaszTörlés
  17. Én körbe próbáltam minimum 20 féle tűzfalat comodo,online amor, és még sorolhatnám és tényleg semmit sem érnek az alap feladatukat nem látják el.Én a Sygate Personal Firewall Professional 5.6.348-at ajánlom. Ez nem az ingyenes változat ebbe van IDS-is ez ennek a tűzfalnak a végső változata széria kell hozzá .Minden ki bemenő forgalom jól átlátható Bekapott a gép egy trójait szépen visszafogta. Sőt volt olyan is hogy az SVC Host –on megnyitott egy szerver portot egy vírus azt is visszafogta. Külsőleg nemcsak érzékeli a port scant és a DOS-támadást és jelez mind kettőnél, de tiltja a támadó címét is.Visszafogta a SVC-host és LSA-shel export felé irányuló külső kéretlen kezdeményezéseket mindent logol ,jobbat ennél én még nem láttam pedig én aztán erre sok időt szántam de én semmi rosszat nem mondhatok róla én ezt a tűzfalat mindenkinek nyugodt szívvel ajánlom.Ja és nem ütik egymást a windows tűzfallal.A Comodot Online amort hogy futtatják hogy milyen jók szuperek de én úgy látom csak a helyet foglalják a gépen semmit sem érnek. Egy listával kezdtem ami állítólag független kutatáson alapul és az első legjobb helyen szereplő tűzfalak egy nagy nullák voltak az alapot se tudják.Azok voltak a leg viccesebbek amelyeken csak egy sima védelem be gomb volt, de azon kívül szinte semmi normális de volt amelyik még rosszabb volt.

    VálaszTörlés

Kommentek