Chraňte se před nebezpečím zvenku

Tak bych potreboval vedet , jestli u toho on-line testu je mozny soucasne downloadovat data , protoze ten TCP test trva asi 45 minut

a to bych si mohl zaroven neco sosnout , abych tu linku nejak vyuzil a nemusel jen tak cumet do ConnectionMetru (dial-up).

Jinak jsem zkousel vsechny testy o.k. , krome TCP (tam jenom 0-150) , pak se mi nechtelo cekat....

Ja osobne povazuju za nelepsi win xp firewall zkousel sem i ruzny ostatni ale pro me jako obyc uzivatele pres modem - zbytecnost. Navic XP staci nastavit jednim zatrhnutim ramecku misto 2 deniho uceni u pf kterej navic vetsinou dost zpomaluje a dela ruzny problemy. Naco navic firewall na aplikace kdyz potrebuju ochranit hlavne z netu programy si ohlidam sam, staci neklikat na kazdej trojan v mailu...

Presne tak mluvis mi z duse :) Taky pouzivam firewall v XP, minimalne zatezuje system a z vnejsku mi pocitac naprosto zneviditelni. Co se tyce odchozi dopravy, nejsem lama abych spoustel kazdou pitomost, takze nic jako ZoneAlarm a podobne nepotrebuji.

Jenze v tom pripade nesmis spustit skoro nic!!!! Az jsem se divil, co vsechno leze na internet po pripojeni a co jsem musel pomoci Keria zablokovat. Bez zeptani se mi tam snazila dostat drtiva vetsina programu. Word, Excel, Abbyy finereader, paint shop pro atd atd. Proste i programy co tam nemeli vubec sahat.

souhlasim

dokonce jsem čuměl, když jsem zjistil že Oulook má rád koláčky (cookies). mám teda verzi 2003 (tzn. office 11), která je beta, takže asi chtějí mít přehled ale aby si POP/SMTP klient ukládal koláčky to jsem fakt zíral. word a excel sosají jen když načítáš stránky z netu jinak ne - to mám ověřený u wordu a excelu 2003.

ale někomu třeba firewall z xp stačí. pravda je že je to v systému a mělo by to jít přes registry snadno upravit. takže třeba taková automatická instalace už zajistí komplexní zabezpečení.

Dokavaď jsem používal Kerio, verzi 2.1, tak jsem měl neustále problémy s providerem. Mám pevnou linku a o různé "návštěvníky" nebyla nouze. Tohle vše odpadlo, když na doporučení  pracovníků Softexu jsem si nainstaloval ZoneAlarm - feree verzi. Od té doby znám providera jen při placení faktur  Denně ZA zaznamenává tak 10-15 ataků zvenčí....

Jaký program použít ve windows 95? Bohužel ani jedna z těchto tří verzí nefunguje. Alespoň se mi ji napodařilo zprovoznit. Díky za rady...

Vzhledem k tomu, ze umistenim Windows 95 na internet davate dobrovolne vsem k dispozici svuj pocitac na hrani, bylo by znacne neuvazene na nej instalovat jakoukoliv firewall a tim svym uzivatelum komplikovat zivot.

Pouzivam KPF 2.1.4 a jsem maximalne spokojeny... nema sice blokovani vseho mozneho jako ta nova rada, ale cookies si muzu zakazat v nastaveni prohlizece, pop-upy zablokuje MyIE2, neni co resit. A ty dotazy, ze jeden program spousti jiny byly tak akorat k nastvani :)

Navic, KPF nove rady se nejak neprenesl pres diakritiku v nazvech souboru/adresaru... (WinXP, ale zkousel jsem ho uz kdy...)

Mohu se zeptat, kde na zonelabs.com najdu ZoneAlarm 4.0? ZoneAlarm Pro je ve verzi 4.0, ale free ZoneAlarm jsem nasel jen verzi 3.7.202.

mam docela dobrou zkusenost s ISS BlackIce PC Protection.. Zatim nezklamal a na popupy a filtry mam Proxomitron.. asi to nej co sem na tohle pouzival a free, plne programovatelny...

Jestli chcete spolehlivej test tak si zajdete za mym starym kamosem Gibsonem na www.grc.com

pak SHIELDS UP a uvidite, je to jeden z nej testu na netu

Takovou hlasku mi to hodi, kdyz chci zkusit ten test od sygate. ma to znamenat, ze jsem v klidu???

Jedu na opere a mam zapnuty XP firewall.

uz dlouho pouzivam outpost firewall a nemuzu si ho vynachvalit. funguje naprosto spolehlive, ma OBROVSKE moznosti nastaveni, minimalni zatez procesoru a hlavne blokovani reklamy. spolehlive odfiltruje reklamu z webovych stranek i z aplikaci (v icq jsem uz banner nevidel dobry rok:)). diky logovani neni problem zpetne zjistit pokusy o pripojeni zevnitr i zvenku (v mem pripade okolo 4000 bloknutych denne!!!). rozhodne stoji za vyzkouseni

Skusil som Outpost (po zlych skusenostiach s Kerio - padal pri vacsej zatazi) a vsimol som si, ze sa firewall aktivuje az ked sa prihlasim. Da sa to nejako zmenit? Estelen som to nainstaloval, takze radsej sa pytam tych, ktori s tymto maju dlhodobe skusenosti. Pripadne mi mozete dat tipy na dalsie firewally? Potrebujem, aby sa spustal ako sluzba (a hned aj fungoval), aby nepadal pri vysokej zatazi a aby to nebol ziaden spyware. Inak mi staci filter na porty, ziadne blokovanie reklam a podobne nepotrebujem. Zrejme by som si vystacil i s obycajnym paketovym filtrom na IP protokole vo Windows, lenze mam 1 sietovku s 2 IP adresami, jednu potrebujem mat volne dostupnu (lokalna), na druhej iba vybrane porty (HTTP, HTTPS, POP3, POP3S, SMTP a SMTP-SSL) + nejake to umoznenie synchronizacie casu a pod.

Tak som to vyriešil použitím FireDaemon, funguje to zatiaľ perfektne.

mam na PC Kerio PF, pri pristupu pres dial-up test na www.grc.com jako
fully stealth mode (perfektni), bohuzel pri pristupu pres LAN (mikrovlnka) pouze closed porty bez stealth modu...co s tim???
chtel bych vyzkouset Outpost, ale nevim jestli funguje jako systemovy
firewall (kontrola behu PC a vsech aplikaci) nebo pouze pro pristup na web, da se v nem nastavit stealth mode pres LAN? umi i cesky? da se k nemu sehnat nejaka dokumentace? fungoval by spolecne s KPF najednou?
jak jinak zabezpecit PC na mikrovlnce???

dik za odpoved..........Mr.Solveproblems ;o)

me se hodne libil Outpost od firmy Agnitum. Je to paketovy server s docela podrobnym nastavovanim. Navic ma takove srandicky jako filtr na reklamy, blokovani sites podobne jako dnes uz snad vsechny "rozumne" firewaly. Bohuzel to neni free (ve verzi PRO).

Naproti tomu me Kerio docela zklamal - pada mi :(

Outpost je z "personal" rieseni asi fakt najlepsi...

Souhlasím, vyzkoušel jsem všechny varianty z článku, ale Agnitum Outpost je bezkonkurenční. Kromě toho, že umí blokovat různá reklamní vyskakovací okna, bannery apod. (krásně se dá docílit zive.cz totálně bez reklam), má i vlastní DNS cache a další funkce.

nojo, kdo nepoužívá MyIE..

To iste som docelil s Mozillou

ve free verzi ma blokovani popup reklamy, dns cache, filtrovani nebezpecnych priloh...

Neviete nahodou poradit ako sa da v Linuxe (RedHat) pozriet aktualna rychlost pre uplink a downlink (alebo niejaky programcok, najlepsie do textoveho modu)? Mam totiz pocit, ze nas poskytovatel nas vonku brzdi, lebo mu platime iba za prijate data. Mame mikrovlnove pripojenie. K nam je rychlost zarucovana od 64 do max 256kbit/s, co v reali chodí okolo 192kb/s - overene pri stahovani suboru. Ale zistenie rychlosti pre uplink mi zatial este zahadou. Nie som profik v linuxe, este sa len ucim a tak budete pisat napiste to o jeden riadok obsirnejsie. Vrela vdaka. 

iptraf - měří a ukazuje okamžité průtoky rozhraními
mrtg - dělá grafy na webu a počítá max. a avg hodnoty

oboje součástí RedHatu.

jestli chcete mit tyhle hodnoty primo pred ocima, nainstalujte si treba <a href="http://www.gkrellm.net">gkrellm</a>

A nevíte o něčem podobném, co ale běží vzdáleně přes telnet? Tj. monitoruje traffic na servru, ale prohlížím si to vzdáleně. Díky.

Ten iptraf mám právě na Debianu spuštěný přes SSH. Jako klient PuTTY pod WinXP. Předpokládám, že telnet by tudíž měl být taky použitelný...

Díky za reakci - nechci obočovat z diskuze k článku, ale ...

Mám RedHat6.2 cz, konzolu používám též Putty, SSH též, iptraf - nelze spustit. (přes konzolu)

Že by byl problém ve verzi Linuxu?

No spis se zeptej nekde na cz.comp.linux (newsova skupina). Posleze jeste pripoj nejaky detailni vypis o hlaskach, kery ti prikaz iptraf pri pokusu o spusteni hlasi.

To co si napsal vys je na houby

Nevite nekdo, jestli existuje program, ktery by umel filtrovat a shapovat (omezovat) VESKERY provoz na internetu? Mam sdilene pripojeni a potrebuji omezit svoji rychlost. To znamena, potrebuju, aby ten program bezel na jednom compu a filtroval veskery  pakety (surfovani, FTP stahovani, hrani her) jdouci na Gateway (mam program Web Activity Monitor, ale ten funguje jako proxy. To nechci.)

Dik, je tu dost chytrejch lidi, tak doufam, ze mi nekdo poradi.

dej si tam linuxa - potom tc je shaping a iptables zbytek...

dej si tam linuxa - potom tc je shaping a iptables zbytek... - dej to na nejaklou pomalou sunku za 2 tisice a muzes to nechat bezet nonstop..

Zkus: http://www.netlimiter.com

Limity jde nastavit i pro jednotlivé aplikace, má to i scheduler pro jednotlivé aplikace a pod.

Dik. To je presne to, co jsem potreboval. A uz mam i crack :)

Tak jsem si projel všechny testy na těch stránká Sygate (jsem připojenej přes Mistral - UPC), a díky tomu jsem zjistil, že mám povolený NetBios a port 139 - ihned jsem zakázal NetBios přes TCP/IP, ale dále mi to v testu Trojan Scan pořád hlásí

Trojan

5000

OPEN

Bubbel, Back Door Setup, Sockets de Troie

Naprosto netuším o co jde? AVG6 žádný vir nehlásí - mám teda v PC nějakýho trojana nebo co?

Ne pravdepodobne nemas, Test pouze ukazuje, ze mas otevreny port 5000 a nabizi nejrozsirenejsi trojany, ktere zde obvykle sidli. Podle me, mas ale urcite Windows XP, ty na tonle portu maji sluzbu UPNP.

mám Windows XP, UPNP mi to hlásilo na portu 1900, tak jsem tu službu zakázal - čímž port 1900 již není hlášen jako "dostupný" - všechny mimo toho 5000 jsou zobrazeny jako CLOSED.

Navíc se to vůbec nezmění, když zapnu vestavěný firewall - je vůbec k nečemu? Jak můžu poznat, že funguje?

Zakazte jeste sluzbu SSDP za s UPNP bezprostredne souvisi. Mate servicepack pro XP? Myslim ze prinasi jiste zmeny do nastaveni firewallu.

1. Kerio Personal Firewall je naprosto jina aplikace nez Tiny Personal Firewall. Oba tyto produkty jsou vyvijeny zcela nezavisle

2. Nelze rict, ze firewall ICF (ten co je v XP) je omezeny. Jedna se totiz o stavovy paketovy filtr a nelze ho tedy srovnavat s firewally, ktere pracuji s aplikacni vrstvou. Takze shrnuto fw v XP chrani velmi spolehlive, nedokaze vsak kontrolovat dopravu v zavislosti aplikaci, ostatne jako vsechny paketove firewally vcetne IPTABLES v Linuxu.

Na stránkách Kerio je odvčera i česká verze.

Zajímalo by mě, zda lze vestavěný firewall ve WinXP nastavit tak, aby fungovalo ICQ?

Pokud se ICQ tyce, vestaveny firewall v XP ho nijak neblokuje pouziva NAT, takze ICQ jede zcela transparentne. Mensi problem se muze vyskytnout u posilani souboru po siti ICQ. Ovsem i to se da snadno vyresit nastavenim portu pro prijem souboru v ICQ klientovi. Posleze staci uz zvoleny port otevrit ve firewallu.

Vtip je v tom, že klient Mirabilis ICQ (to normální, co má většina lidí..) používá k přenosu souborů náhodný port v obrovském rozsahu. Pokud nechceš mít problém s fw, tak přejdi na Miranda ICQ

Vtip je v tom, ze to v tom klientovi jde prenastavit :)))

...nebo jeste lepe <a href="http://www.trillian.cc/">Trillian!</a>

Nainstaloval jsem Kerio, odklepal některý dotazy jako povolit, některý zakázat (nechápu, proč explorer.exe se chce připojovat na 127.0.0.0 ?), ale příšerně se mi zpomalil přístup na internet - co to může znamenat?

to brutalni zpomaleni je zpusobeno az do oci bijicim spatnym naprogramovanim fitrovani webu. Navic ma KPF bug jako prase pri kterym filtruje cookies ktere by nemel ....

Proste kerio personal firewall jeste neni hotovy produkt .... pockal bych tak minimalne rok nez s tim neco udelaj ..... jinak je lepsi zustat u verze 2.15

Díky, a je možné někde získat verzi 2.15? Mě jde především o filtrování TCP/IP, UDP komunikace, na nějaký cookies a blokování popupů kašlu

Tiny Firewal, ver. 2.15 (freeware pre osobné použitie) sa dá stiahnuť na http://www.kerio.com/us/kpf_download.html (anglická verzia).

Pardón, samozrejme jedná sa o Kerio Personal Firewall, ver. 2.15 (už nie Tiny).

tak si jen vypni filtrování webového obsahu. stejně to není standartně zapnuté takže pokud jsi neaktivoval tlačítkem "enable web filtering" to filtrování tak se nemusíš ničím zatěžovat.

a odkud to všechno víš? nevím o tom že by o tom něco kerio psalo...

tak to by me taky zajimalo (to o exploreru).

Me posila UDP packety na 127.0.0.1 Kdyz mu to zakazu, tak po stazeni jedne dvou stranek zane blbnout (vzdy konkretni okno, novy jede okej).

Stejny pravidlo mam na svchost
Co zpusobuje blokovani jsem nezjistil, ale kdyz ten packet nebloknu, po poslani se zavre jeden port svchostu Tak sem to radsi nechal povoleny.

no 127.0.0.1 jsi ty sám, to je speciální adresa lokálního počítače. asi si tím nějak ověruje... něco ....  hmmm, že by si ověřoval že existuje? že se mu to třeba nezdá?

nevím proč by to měl dělat a proč to dělá, ale není to nic nekalého tak to povolím...

mno ted kecate IPTABLES umi samozrejme i filtrovat provoz od dane aplikace ,uzivatele ,procesu a dalsich par milionu veci - i vcetne predani rozhodovaciho rizeni externimu programu ,napojeni na externi zdroje rozhodovani -radius atd - jinak IPTABLES se pouziva pro maskaradu atd - iptables je hodne komplexni firewall ,ktery nema moc obdoby

jak se v iptables filtruje konkretni aplikace/proces?

v man iptables se zamerte na owner a --owner-cmd... - iptables ma HODNE siroky zaber - rozhodne to neni jen paketovy filtr

Jenze my si trochu nerozumime. IPTABLES sice tuhle dopravu filtruje jak spravne rikate, ale teprve po tom co provedete konfiguraci. Musite tedy vzdy presne nastavit dopredu procesy ktere bude ridit. Pravy aplikacni firewall vsak funguje formou dotazu, kdy proste sam kontroluje celou aplikacni vrstvu a hlida si, ktery proces nebo aplikace "leze" ven.

mno myslim ,ze se pletete vy - to cemu vy rikate aplikacni firewaly jsou veci ,ktere filtruji uz samotne protokoly(a ty se taky musi nakonfigurovat - pote acnou pracovat) - tole je ukolem napr squidu - ale hlidani aplikaci v iptables samozrejme funguje i na aplikace ,ktere jeste nebezi - to by prece nedavcalo smysl...?

Ano ale astalo za predpokladu, ze musite dopredu vedet kam se chce aplikace pripojit - teprve pak ji muzete povolit. IPTABLES proste samo o sobe nedokaze kontrolovat aplikacni vrstvu. Predstav te si, ze by jste mel povolit dejme to mu 20 ruznych aplikaci a proste by jste nevedel jake porty pouzivaji. Bylo by docela zdlouhave to zjistovat. Pravy aplikacni fw se vsak zachova tak, ze sam rozpozna, kdyz je nejaka doprava smerovana z aplikace nebo do aplikace a vytvori o tom zaznam. Dnes uz vetsinou s dotazem zda ji chcete primo povolit ci ne. Nemusite tak nic nastavovat do predu a zjistovat jake porty otevirat. Firewall proste sedi na aplikacni vrstve a vse kontroluje zcela automaticky.

Tohle se dá s iptables zařídit také a na rootu se něco takového objevilo. V podstatě scriptík, který nastavý zákaz ven všemu, logování a když přijde požadavek, zeptá se uživatele, jestli chce této aplikaci povolit přístup tam a tam. Po kladné odpovědi přidá příslušné pravidlo.

Nicméně toto stejně (jako FW typu ZA a spol) není aplikační firewall. Aplikační firwall musí znát aplikační protokoly a rozhodovat se na jejich obsahu (viz. např. ten squid).

No to co povazujete vy za aplikacni firewall se uz dle meho nazoru hodne blizi IDS.

A pokud se nemylim SQUID je proxy takze nema s fw nebo IDS pranic spolecneho :)

No aplikačním firewallům se právě často říká(valo) proxy (někdy také aplikační brány). S IDS to opravdu nemá nic společného. I když je pravda, že v současnosti bývají všechny tyto věci dodávané v rámci jednoho produktu.

Kdyztak mrknete nekam na definici. Pokud se dnes uvazuje aplikacni firewall, mysli se tim firewall, ktery dokaze ridit dopravu aplikacim. Nemusi nutne vedet jestli je do doprava protokolu, HTTP, SMTP atd.

Pak už je ovšem dnešní terminologie naprosto na nic, protože toto dokáží i ty iptables, které jsou přitom packetovým filterem jak vyšitým.

No pokud to opravdu jse s tim skriptem jak rikate, pak ano. Pokud se to ale musi nastavit vse predem tak ne.

mno, myslim, ze na definici toho co je paketovy, stavovy popripade paketovy firewall. byste se mel Vy. Kdyz tak sleduju tuto diskuzi.

Ale mate pravdu, ze iptables je "pouze" paketovy filtr.

Rodzil mezi aplikacnim fw a paketovym je hlavne v tom, ze paketovy fw zajima pouze to co je to za datagram a komu je urcen a od koho je.

aplikacni (nebo-li proxy) fw hledi primo do toho datagramu a filtruje napriklad jednotlive prikazy typu GET, PUT (v pripade HTTP)

Pri vhodne kombinaci obojiho nemate sanci "oblafnout" FW tim, ze napriklad pres port 80 poslete ven pozadavek na telnet...

To co si pletete s aplikacnim FW Vy, je stavovy FW v tzv self learning modu.

Nemate pravdu. Takze jeste jednou:

paketovy filtr - provadi kontrolu jne podle zahlavi IP datagramu

stavovy paketovy filtr - viz. jako predchozi + udrzuje si tabulku odchozich spojeni na zaklade ktere dale pracuje s prichozi dopravou

aplikacni firewall - kontroluje zahlavi datagramu + aplikacni vrstvu, nikoli vsak jeji obsah. Tudiz metody GET atd napr. v protokolu HTTP vubec nerozlisuje od toho tu je IDS

Nuze uz to tady bylo, a uz je to tu zas
http://www.firewall-software.com/firewall_faqs/types_of_firewall.html

Prosim pozorne precist.

Jak ovsem v IPTABLES nastavit, aby odpoved na UDP pakety, prichazejici po stejnem cisle portu jako odeslane, prichazely zpet jsem mezi parametry nenasel.

Zkuste se vyjádřit jasněji. Pakety přicházejí, pokud jsou odeslány na správnou IP adresu

Pro jejich POVOLENÍ zpravidla stačí použít stavový firewall, tj. pravid lo
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Předpokládá se samozřejmě, že destination port odpovědi = source port dotazu.

Je to presne tak, potrebuji ,aby si pamatoval cislo portu, ze ktereho byl paket odeslan a povolil na nem prijem, protoze na tomtez portu vzapeti prichazi odpoved. Dekuji za dobry tip.

Ad 1) Existuji dva Tiny Personal Firewall, jeden americkej shareware, druhej ceskej freeware. Ten druhej je skutecne predchudcem KPF, staci se podivat na rozdily mezi nejnovejsi verzi TPF a nejstarsi verzi KPF. Predpokladam (ale nemam to potvrzeny), ze prave kvuli konfliktu jmen doslo k prejmenovani na Kerio.

Na začiatku bol Tiny Personal Firewal, podobne ako WinRouteLite a WinRoutePro. V českej aj ankglickej verzii a firma mala sídlo aj (len?) v USA. Potom sa rozdelila, Tiny si zobrala meno a sídli v USA, Kerio zobralo firewal aj WinRoute a vyvíjalo ich ďalej pod označením Kerio. Tiny súbežne vyvinula svoj vlastný (podstatne komplexnejší firewal, ale ako shareware). Predtým som používal Tiny Personal Firewal a plynule cez verzie som prešiel na Kerio. Je to stále jedno a to isté (a celkom perfektne fungujúce). Tiny Firewal, ver. 2.15 (freeware pre osobné použitie) sa dá stiahnuť na http://www.kerio.com/us/kpf_download.html.

Pardón, samozrejme jedná sa o Kerio Personal Firewall, ver. 2.15 (už nie Tiny).