Jak správně nastavit firewall a systémové služby ve Windows XP

lepsi nastroj pro diagnostiku pouzivanych port procesu je CurrPorts ke stazeni z www.nirsoft.net umi vse na co autor zminoval ze pouziva 3utility, ma 39kb a staci jen pustit/bez instalace, dobra vec a zadarmo.
doporucuju pro diagnostiku pri odstranovani spyware,cervu,keylogeru a dalsiho svinstva, v kombinaci s nastrojem Autoruns a trochou zkusenosti, je to velmi silne freeware kombo na reseni ruzneho hnusu.

Článek se mi moc líbí, nejsem ani PC profík ani negramot a o všecho v PC se starám převážně sama, velmi často tedy pátrám po info, článcích a supportu na netu.
Jasné, informativní, přehledné...  Houšť - a větší kapky!
Díky!

Ak ste vsetci taky mudri neviem naco citate podobne clanky, nastavte si firewall sami a nemusite sa tym chvalit, ak chcete poradit tak nech sa paci(ale poradit k danej teme, konretne ako nastavit firewall), ak tu chcete pisat co vsetko viete a v com ste odbornici tak myslim ze to zaujima naozaj malokoho.

Je třeba nechat ho prověřit porty ve stavu on-line či nevadí i off-line.

Opravdu dobrý článek. Používám už asi 1/2 roku Kerio Personal Firewall.
Článek mně pomohl doplnit některé informace.

zajímavá věta v článku o firewallech

Po pár konzultacich s technikem chello se domnívám, ze mi OutlookExpress plní upstream neustále nějakými daty, takže je dost obtížné odeslat mail s přílohou nad 1MB. Ve spojeních v Keriu není vidět nic neobvyklého, ale zdá se, že OE inicializuje odesílání dat, které neskončí ani po zavření programu. Když odpojím počítač od sítě na delší dobu a po opětovném připojení, počítač žádná velká data neodesílá - sotva však spustím OE, proces se nastartuje a modem vykazuje velké množství odesílaných dat. Testy na viry a spyware jsou negativní. Ví někdo, co s tím ?

format

netstat -ano,   a vymazat odchozi zpravy v OE.

To je teda článek. Trvalo mně asi hodinu než jsem to přelóskal, abych z toho něco měl. A nakonec napíšou, cituji: "Jediná nevýhoda je, že potřebujete poměrně dost zkušeností, ale ty časem přijdou." To je fakt betálný, ale já nepotřebuju vědět jak tam lícou ty pakety, ale jak nastavit ten firewall. Podle mě článek na bobek. Čus

To je teda článek. Trvalo mně asi hodinu než jsem to přelóskal, abych z toho něco měl. A nakonec napíšou, cituji: "Jediná nevýhoda je, že potřebujete poměrně dost zkušeností, ale ty časem přijdou." To je fakt betálný, ale já nepotřebuju vědět jak tam lícou ty pakety, ale jak nastavit ten firewall. Podle mě článek na bobek. Čus

To je teda článek. Trvalo mně asi hodinu než jsem to přelóskal, abych z toho něco měl. A nakonec napíšou, cituji: "Jediná nevýhoda je, že potřebujete poměrně dost zkušeností, ale ty časem přijdou." To je fakt betálný, ale já nepotřebuju vědět jak tam lícou ty pakety, ale jak nastavit ten firewall. Podle mě článek na bobek. Čus

To je teda článek. Trvalo mně asi hodinu než jsem to přelóskal, abych z toho něco měl. A nakonec napíšou, cituji: "Jediná nevýhoda je, že potřebujete poměrně dost zkušeností, ale ty časem přijdou." To je fakt betálný, ale já nepotřebuju vědět jak tam lícou ty pakety, ale jak nastavit ten firewall. Podle mě článek na bobek. Čus

Borci, tak to je teda článek. Já - běžný uživatel jsem to asi hodinu lóskal, abych z toho něco měl a nakonec mi tam napíšou, cituji: "Jediná nevýhoda je, že potřebujete poměrně dost zkušeností, ale ty časem přijdou." To je fakt betálný, ale já nepotřebuju vědět jak tam lícou ty pakety, víš co. Já potřebuju nastavit ten firewall. Podle mě článek na bobek. Čus

Proc mam takovej pocit, ze pasaz, tykajici se zabezpeceni odchoziho provozu ve firewallu, ktery je ve winXP SP2, je spatne. Asi to chce misto opisovani a odkazovani na ruzne weby vyzkouset v praxi .

Jen pro stouraly, osobne pouzivam reseni od Symantecu, ano, nebylo zadarmo.

Tak článek tohoto typu je opravdu velmi zajímaví a velmi propracovaný. Díky autorovi

ale nikdy se nemá šetřit chválou, když je jí třeba. A za takovýto článek jsem se modlil už řadu let. Děkuji

Pane Spisovatel, to nema chybu!
Doufam, ze pero neopustite a budete toto prohlubovat do detailu a muzete pridat i spetku filozofie (=zamysleni) pripadne Vase zkusenosti/postrehy v clancich opravdu neuskodi

Kez by jste podrobne nakousl tema o firewallech - protoze se s kolegyni zertem dohaduji, ze je zbytecne mit firewall na desktopu kdyz je fyzicky napojen na server (v nemz onen program je) Jak to tedy je? Ma pravdu slecna kolegyne nebo ja?

Firewall na serveru perfektně zabrání útoky z internetu. Ale nezabrání útoky z kolegova počítače. Pokud se nějaký červ, útočící na okolí, dostanet (třeba mailem) až na něčí počítač, jsou ostatní ve vnitřní "chráněné" sítí bez obrany. Nicméně kombinace firewall/poštavní antivir na serveru by tomuhle měla zabránit. Takže zbývá jen kolega hacker :)

Zalezi jak je udelana sit. Kdyz pres router/firewall pude vsechen traffic, tak ani kolega cracker neni problem.

a už jsi zkoušel filtrovat traffic na reálné 100MBps lajně, že si jseš tak jistý? Ona je to totiž pro CPU a systém docela náročná činnost...

Firewall na serveru perfektně zabrání útoky z internetu. Ale nezabrání útoky z kolegova počítače. Pokud se nějaký červ, útočící na okolí, dostanet (třeba mailem) až na něčí počítač, jsou ostatní ve vnitřní "chráněné" sítí bez obrany. Nicméně kombinace firewall/poštavní antivir na serveru by tomuhle měla zabránit. Takže zbývá jen kolega hacker :)

Firewall na serveru perfektně zabrání útoky z internetu. Ale nezabrání útoky z kolegova počítače. Pokud se nějaký červ, útočící na okolí, dostanet (třeba mailem) až na něčí počítač, jsou ostatní ve vnitřní "chráněné" sítí bez obrany. Nicméně kombinace firewall/poštavní antivir na serveru by tomuhle měla zabránit. Takže zbývá jen kolega hacker :)

sorry, i já jsem se stal obětí chyby serveru :)

To zavisi od programu a ako je to celkovo navrhnute. Ak sa napr. jedna o program spustany zo zdielaneho disku v Microsoftej sieti, potom pokial viem, sa program len natiahne do pamate na Vas pocitac a tam sa spusti, takze pren platia pravidla Vasho firewallu. Ale ak by niekto program zmenil (vymenil za nejaku zakernu verziu na serveri napriklad), tak by sa k nemu firewall spraval podla tych istych pravidiel ako predtym. Keby vytvaral dalsie spojenia (ktore predtym nerobil), firewall by na to upozornil. Utocnik by ten program mohol samozrejme zmenit tak, aby to bolo nenapadne a aby program dalsie nove spojenia nevytvaral.

Ak program bezi na serveri (napriklad web server), tak firewall u Vas sa stara len o to, co mu prichadza od webservera a co mu prehliadac naspat posiela. Keby niekto napadol ten web server a nechal si posielat hesla, ktorymi sa prihlasujete, tak tomu firewall nezabrani. Totiz musel ich tomu serveru posielat aj predtym nez bol napadnuty, inak by ste sa neprihlasili.

Pane Spisovatel, to nema chybu!
Doufam, ze pero neopustite a budete toto prohlubovat do detailu a muzete pridat i spetku filozofie (=zamysleni) pripadne Vase zkusenosti/postrehy v clancich opravdu neuskodi

Kez by jste podrobne nakousl tema o firewallech - protoze se s kolegyni zertem dohaduji, ze je zbytecne mit firewall na desktopu kdyz je fyzicky napojen na server (v nemz onen program je) Jak to tedy je? Ma pravdu slecna kolegyne nebo ja?

Díky za první i druhý článek,zvláště možnost načíst Process Library a DLL Library.Kéž by mistr sám,či s kolektivem mohl napsat takové pojednání o toulkách v Registrech.Něco o tom,jak se vytváří,co vše je možné v nich rozšifrovat,hlavně jak se obeznámit s tím,co mažu,abych zase nedopadl jako slon v porcelánu.Ještě jednou srdečné díky za dílo.Doufám,že toto není poslední článek s pera autora.

Pekny clanok, akurat nemozem suhlasit s navrhom na zakazanie servisu UPNP. Hlavne dnes v case "rozmachu" pripojenia k DSL cez router, UPNP je dobra vec. Cez UPNP si dokaze dynamicky nakonfigurovat NAPT na routri naprikald messenger ale aj DC++.

Dik za info. Doteraz som nevidel ze by sa to niekde pouzivalo. Ak to chapem spravne, UPnP dovoluje automaticke konfigurovanie, ale da sa to nastavit aj rucne? Alebo len automaticky cez UPnP?

Server mi trikrat zahlasil Out of memory, ale aj tak sa to trikrat submitlo...

NAPT sa dá nakonfigurovať v routri aj manuálne (t.j. napr cez telnet alebo www zadáš do konfiguracie NAPT mapovací záznam pre kazdy port a vnútornú adresu - ale je to prácne a zložité). Okrem toho, keď na vnútornej sieti beží DHCP, nevieš akú IP adresu bude mať tvoje PC vo vnútornej LAN. Moj pripad je nasledovny:
internet
ADSL router (Speedtouch 510)
PC1      
 

UPNP dovoluje programom automaticky si otvárať na routri potrebne porty, ale samozrejme mozes NAPT konfigurovať aj manulane cez telnet alebo www rozhranie routra (prajem prijemnu zabavu)...
U mna vyzera pripojenie k internetu nasledovne:
internet
ADSL Router Speedtouch (spustené DHCP, UPNP v secure rezime)
PC1.... PCn
Na každom PC mám WinXP, SP2, Zonelarm.
WinXP firewall mám vypnutý, zonealarm mám nastavený tak, že v trusted zone je PC1...PCn a ADSL router (aby firewall neblokoval UPNP komunikáciu).
Ked spustim messenger 6,2 z lubovolného PC v moejej LAN, tak sa cez UPNP pootvárajú príslušné porty na routri a všetko funguje (hlasová konferencia, videokonferencia, prenos súborov).
V DC++ mám nastavené v Advanced options použitie UPNP. Po spustení DC++ cez UPNP zistí moju vonkajšiu IP adresu pridelenú internet providerom, nakonfiguruje sa automaticky do aktiv rezimu, pootvára porty na routri. čiže ja s UPNP som dosť spokojmý.
Otázka je, ako je takto popísané riešenie bezpečné voči attackom z vonka...

ja se s tym neseru.
upnp = off .

DC++
-----
smerovat port 1413 na port 1413 adresa 10.0.0.1. ostatnym pc netreba aktivny rezim aspon rel. vela nestahuju

So smerovanim portov aspon viem ze len tam je diera v zabezpeceni..

s upnp to je riadna fajka - dovolit programom aby si otvarali a zatvarali firewall.. napr smart spyware si otvori port na dangerous activity a je to cele v prdeli... chcem mat prehlad.
-- Bude po mojom a nijak ina [pc]

Myslim, ze smart spyware by mi zachytil zonealarm, takze dufam ze takyto pripad nenastava.
Otazka : Ako riesis konfigurovanie IP adresy v DC++ ? Vzdy to robis manualne, alebo mas pevnu IP ?

Dik za info. Doteraz som nevidel ze by sa to niekde pouzivalo. Ak to chapem spravne, UPnP dovoluje automaticke konfigurovanie, ale da sa to nastavit aj rucne? Alebo len automaticky cez UPnP?

Dik za info. Doteraz som nevidel ze by sa to niekde pouzivalo. Ak to chapem spravne, UPnP dovoluje automaticke konfigurovanie, ale da sa to nastavit aj rucne? Alebo len automaticky cez UPnP?

Konecne po dlouhe dobe nejaky slusny clanek. Doufam, ze v tomto budete pokracovat a v dalsich clancich zajedete i vice do hloubky daneho problemu.
Diky

Dobrý článek hlavně pro ty co něvědí ani co je antivir nebo spyware.

Zdravím článek je velmi fundovaný, se zajímavýma odkazama. Děkuji za něj a víc takových. Co takhle k tomu dodat i doporučené úpravy registru.

Pro podrobnejsi nastaveni doporucuji v CZ treba tento
http://hulan.info/blog/item/firewall-zaklad-bezpecnosti-dil-1-3

Díky za článek.

Reakce lidi me prekvapuji, protoze se tu vetsinou akorad nadava - tak to si ten clanek musim precist, i kdyz SP2 nemam.

Ale co myslite, neni stejne lepsi pouzivat nejaky firewall, napr. KPF, nebo jiny?

Vazeny pane,
Konecne, po dlouhe dobe, jsem si precetl opravdu zajimave koncipovany clanek, ktery se vyznamne vymyka (zde jiz temer zazite) zvyklosti psat vicemene prakticky nepouzitelne clanky, ktere se snad nedaji nazvat jinak nezli "pocitacova beletrie". Takhle nejak by mel vypadat clanek od osoby, ktera skutecne vi, o cem je rec. Prestoze myslim, ze v oboru nejsem uplny laik, takto logicky utrideny online clanek, doplneny hodnotnymi odkazy, na toto tema, jsem zatim necetl.
Jeste jednou moc dekuji, zejmena  za ty, kteri jsou uplnymi zacatecniky a chteji vedet neco vice, nez to, co jim predlozi ke konzumaci velky Bill.

nechci delat reklamu, ale urcite nekomu pomuze i pekne napsany clanek na www.pctuning.cz

Nelze než pochválit.
1*

 
... platí to pouze v případě, když máte FW plně pod svou správou a přece jen něco o tom, jak počítač funguje víte.
Uvedu příklad:
XP Home, na kterém jsou 4 uživatelé. Z nich jeden o funkci FW a o portech a dalších věcech popsaných v článku něco ví a další 3 umí počítač zapnout, spustit hru, prohlížeč nebo napsat dopis.
A teď hádanka - jak dopadne nastavení FW, když tito 3 uživatelé reagují na výzvy FW (KPF) tak nějak různě? Odpovím - špatně. Ten jeden "chudák" musí pořád sledovat  co, že se v FW změnilo a co se tam zase otevřelo. Časem buď zešediví protože zbývající 3 nejsou schopni pochopit ani při častém opakování základní pravidla (vždy následuje celkem logická odezva "proč bych se to měl/a/ učit - já nejsem otrok počítače, počítač má služit mně")
Výsledek - odinstalování KPF, aktivace firewallu z XP SP2, pravidelný WindowsUpdate a update NAV, občasné spuštění ad-aware a spybot a je klid. Když je nejhůř, tak obnova partition ze zálohy v GHOST na druhé partition.
Přitom jsem přesvědčen o tom, že takto "chráněný" počítač je přitom ještě chráněn NADPRŮMĚRNĚ oproti mnoha dalším, ke kterým jsem čas od času volán. Jinak řečeno, tato zkušenost ukazuje, že pravidla popsané v článku jsou realizovatelné pouze u poměrně úzké skupiny lidí.
Jak se často hanlivě píše BFU je nemohou a ani nechtějí znát a používat. A popravdě řečeno se jim ani nedivím. Lékař taky po mně nemůže chtít, abych znal anatomii.
Závěrem se omlouvám za poměrně pesimistický tón tohoto příspěvku, ale vycházím-li  z pravidla, že pesimista je poučený optimista, tak snad ani nelze jinak. V každém případě, ale osvěta tak, jak je podaná v tomto článku určitě neuškodí.

Vyborna reakce na vynikajici clanek. Diky

Čemu říkáte výborná reakce? Tomu, že předchozí pisatel píše o něčem, co nezná?
Mluvím za Kerio (2), jelikož jej používám. Dal jsem ho též na víceuživatelský počítač a nemám nejmenší problém s přepisováním pravidel. Stačí použít požadavek hesla při přepisu pravidla. V případě absolutní nedůvěry v ostatní uživatele nastavíte režim, kdy se firewall na nic nebude ptát a povolí pouze to, co je v pravidlech. Sice Vás čeká pár (desítek) minut spouštění používaných programů s odklikáváním pravidel (a možná tak týden na občasné doladění), ale pak pravidla zaheslujete a už je klid.

Ano, je to vyborny prispevek, protoze to, co tady prezentujete vy, je znamo bezpochyby erudovanejsim uzivatelum, ale rekneme v podminkach, kdy jsou vsichni uzivatele, vcetne administratora naprosti amateri - pak by se jim Vase znalosti hodily, ale bohuzel jimi nedisponuji.

Vy máte do jisté míry také pravdu, ale na druhou stranu - ti uživatelé to pochopí. Nechte je zaplatit náklady na odstranění malware a po prvních několika návštěvách zjistíte, že už FW nastavovat buď umějí, nebo se naučili pracovat s tím nastavením, které jste jim do FW naimportoval (protože samozřejmě pravidla pro síťový provoz již připravená máte).

Ad absurdum ma nekdo po rodine pozadovat platbu za udrzbu firewallu na vlastnim pocitaci? (((:

Ad absurdum ma nekdo po rodine pozadovat platbu za udrzbu firewallu na vlastnim pocitaci? (((:

Tusim, ze KPF 4x ma moznost chranit pristup k nastaveni heslem. No a pak ten jeden zkusenejsi muze nastavit vychozi pravidla a ti ostatni budou jen "konzumovat". Ten SP2 a integrovanej firewall je taky moznost (a ve vami popsanem pripade - SP2, F, NAV, Spy... IMHO plne postacujici pro HOME users).
"proč bych se to měl/a/ učit - já nejsem otrok počítače, počítač má služit mně" --- s timto se bohuzel stotoznit nemohu. Prirovnani s lekarem a anatomii mi take neprijde zrovna vhodne. Spis bych to videl na ridice (normalniho, ne z povolani), ktery take musi vedet, jak se to auto ridi a znat alespon drobne opravy (vymena kola, zarovky - tak nas ucili v autoskole ). Zrovna tak uzivatel PC by si v dnesnim "propojenem" svete mel uvedomit jista rizika a byt poucen!!! A na vetsi slozitosti si samozrejme zavolat "mechanika" Toliko muj nazor.

Ja si s vami dovolim nesouhlasit. Pocitac neni pro kazdeho "blbce". Pocitac potrebuje nastavit podle aktualni situace v IS.
Proto, kdyz si nekdo pocitac koupi, mel by jsi ho nechat take nastavit, pokud to neumi.
Navic od toho mame multiuzivatelske systemy. Co Administrator nastavi, tak to ma zustat a pouze Administrator muze delat zmeny (na pozadani uzivatele, majitele).
Proto takovemu uzivateli, jak vy popisujete, je to nakonec uplne jedno. Protoze zkuseny Administrator nastavi pocitac tak, aby byl zabezpecen, a aby vyhovoval uzivatelskym potrebam.
Me staci stravit s uzivatelem tak hodinu a firewall je nastaven. Takze nevim o cem tady hovorite.
Pokud to jde cestou jak vy popisujete, tak vidite nezcetne pripadu, jak uzivatel pracuje jako Admin, atd. Toho by se dala napsat spousta.

A jeste bych rad dodal. Presne jak rikate "Jak se často hanlivě píše BFU je nemohou a ani nechtějí znát a používat. A popravdě řečeno se jim ani nedivím. Lékař taky po mně nemůže chtít, abych znal anatomii."
Proto BFU jde k tomu doctorovy a nesnazi se lecit sam!!! Stejne tak by jsi nezkuseny uzivatel mel zajit k Administratorovi.

Dobry FW ma heslo. Takze ty dalsi traja sa bez toho hesla mozu... a ten prvy vie ze je za vodou

Dobry FW ma heslo. Takze ty dalsi traja sa bez toho hesla mozu... a ten prvy vie ze je za vodou

A co treba konkretne u KPF chranit nastaveni heslem?

Super článek. Chtělo by to více takových o bezpečnosti a TCP/IP protokolech vůbec.
Jsem v tom začátečník, dost mi to pomohlo.

Diky Koza
 

"...Často se ale nyní dodávají různé bezpečnostní balíky, které navíc k firewallu obsahují možnost filtrování potenciálně nebezpečných součástí, jako např. ActiveX..."

Dodam, ze bohuzial je to tak. Pretoze tato ficurka (filtrovanie obsahu) je doslova zabijak kompu. To sa hodi jedine na specialny komp vyhradeny na firewall, a aj ten musi byt dostatocne nadimenzovany. Pri filtrovani obsahu totiz musi firewall pakety prijimat, ukladat do nejakej cache v pamati, a poskladat ich aby zistil, co to vlastne je (navyse mozu prichadzat v prehadzanom poradi). To neni robota pre firewall, ale skor pre proxy-server. Niet divu, ze ked si niekto tieto blbosti pozapina, potom narieka, ze firewall mu zerie 30% cpu a prilis vela pamate...

ak by som si mal vybrat medsi tym, ci bude FW zrat polku cpu aj ram a tym ci dostanem nejake chronty z netu, tak radsej obetujem ten vykon.
ale to je otazka vkusu

A neni jednodussi zrusit IE ? FW ma slouzit svymu ucelu a filtrovani webu neni ucelem FW. Soft AllInOne bude vzdy milionkrat horsi nez specializovany SW.

Diky!

Velmi srozumitelné, perfektně napsané. Velký dík

Pripojuji se, super clanek, dlouho jsem na neco takoveho cekal...
Tomas Skorepa

Rovnez souhlas. Konecne neco hlubsiho o Widlich.

no, IMHO to moc "hluboké" není. Nebyl vůbec popsán princip fungování a filtrování TCP (3-stavový princip, zaměření na SYN,pakety, nebezpečí ARP spoofingu apod), což je základní předpoklad k pochopení činnosti paketového filtru a jeho korektnímu nastavení.
Nechci vystupovat jako rypák nebo škarohlíd, ale když už se autor rozhodl napsat "popularizační" článek, mohl ho napsat aspoň trošku tak, aby to nebyla jen "doporučení", ale aby zaznělo, jak to vlastně funguje (protože pak nakonfigurovat ten firewall už opravdu není problém) -- a že to není až zase tak složité.
 
Takhle můžu zkonstatovat jediné -- jednooký mezi slepými králem, a doufat, že aspoň pár BFU použije více-méně nakonfigurovaný firewall.

Tak ten návod napiš sám, umísti ho někam na web a dej nám o tom vědět... umíte-li i radit, pane kolego

opravdu je potreba znovu objevovat ameriku?

http://www.svetsiti.cz/view_list.asp?rubrika=Tutorialy&temaID=1

Mam napad Co takto vygooglit vsetky stranky, co sa zaoberaju sietami, potom ich chronologicky zoradit, a vsetkym (okrem autora prvej z nich) napisat "Je treba objavovat ameriku"? Zostali by asi len RFC. A la Monty Python.

Obsah internetu JE REDUNDANTNY. A vzdy bude.

Preco su v clanku v rychlosti zaklady sieti spomenute? Aby aj ludia, co si chcu nastavit firewall a este o nich nevedia, pochopili zakladne veci. Aky by malo asi efekt napisat "najprv si precitajte tychto 10 clankov a potom mozme pokracovat"? Vacsinu by to pravdepodobne odradilo. Zoberme si napr. Cryptology eprint archive (eprint.iacr.org). V takmer kazdom prispevku je v uvode v rychlosti zhrnute, o com sa rozprava, aby aj ten, kto to vidi prvy krat, sa hned nestratil. Su tam naviac uvedene dalsie odkazy. Eprint a zive.cz su sice dve rozdielne veci, ale dufam, ze pointa je jasna.

BTW, existuje napr. archiv s prednaskami/clankami J. Peterky o sietach a suvisejucich veciach (www.earchiv.cz), kde sa da najst toho fakt vela o sietach. Stranok venujucich sa sietam (uz len v cestine/slovencine) je urcite neurekom. Howg.

opravdu je potreba znovu objevovat ameriku?

http://www.svetsiti.cz/view_list.asp?rubrika=Tutorialy&temaID=1

Tak ten návod napiš sám, umísti ho někam na web a dej nám o tom vědět... umíte-li i radit, pane kolego

Tak ten návod napiš sám, umísti ho někam na web a dej nám o tom vědět... umíte-li i radit, pane kolego

Tak ten návod napiš sám, umísti ho někam na web a dej nám o tom vědět... umíte-li i radit, pane kolego

Tak ten návod napiš sám, umísti ho někam na web a dej nám o tom vědět... umíte-li i radit, pane kolego

Tak ten návod napiš sám, umísti ho někam na web a dej nám o tom vědět... umíte-li i radit, pane kolego

Tak ten návod napiš sám, umísti ho někam na web a dej nám o tom vědět... umíte-li i radit, pane kolego

Tak ten návod napiš sám, umísti ho někam na web a dej nám o tom vědět... umíte-li i radit, pane kolego

Tak ten návod napiš sám, umísti ho někam na web a dej nám o tom vědět... umíte-li i radit, pane kolego

Taky mne hned trklo do oci, jak se da opomenout TCP 3-way handshake a o UDP ani zminka, coz je trochu divne

Niekedy by ma zaujimalo, ci ludia, co pisu taketo prispevky, tie clanky vobec citaju. TCP hanshake tam je:

- prohlížeč vytvoří spojení vysláním TCP paketu “žádám o spojení” na adresu 194.213.53.220, port 80
- server 194.213.53.220 (zive.cz) odpoví zpět “přijal jsem žádost, potvrď”
- prohlížeč odpoví “ok”

To je TCP handshake. Akurat nebolo povedane, ze sa to tak vola.

"O UDP ani zminka" - tak to si uz naozaj myslim, ze ste to ani necitali.

TCP handshake tam je, ako som to uz raz pisal v prispevku nizsie (akurat nie je povedane, ze sa to nazyva 'TCP handshake'):

- prohlížeč vytvoří spojení vysláním TCP paketu “žádám o spojení” na adresu 194.213.53.220, port 80
- server 194.213.53.220 (zive.cz) odpoví zpět “přijal jsem žádost, potvrď”
- prohlížeč odpoví “ok”

Nie su popisane priznaky (flags) TCP paketov, pretoze vacsina Win firewallov aj tak nedava moznost filtrovat pakety podla nastavenych priznakov v hlavicke. Proste "Prichozi TCP spojeni" = SYN flag nastaveny. Ucel clanku bol uvod do nastavenia firewallu a nie zasypat ludi vsetkymi moznymi technickymi detailami naraz.

ARP spoofing? Co takto este IP spoofing, SYN flooding, SYN cookies, ARP poisoning, ICMP reroute, atd., atd. Kazde z tohoto by vydalo na clanok zvlast. To by slo, keby to bol serial s rovnakym poctom casti ako Manuela

to není TCP hadshake, ale obyčejné HTTP
TCP handshake totiž realizuje TCP stack, nikoliv nějaký IE To za prvé. Za druhé tam nikde nebylo napsáno, jak to vlasrně všechno funguje v součinnosti s firewallem -- je to totéž, jako bych psal kuchařku, začal tím jak se dělá jíška a plynule bych přešel k podlévání pečeně -- prostě tam významný kus chybí.
Za třetí: SYN filtrování používá např. vestavěný firewall v XP, taktéž to tak dělá např. Kerio (ostatní personální firewally tak důkladně neznám, nikdy jsem je nepotřeboval). Nejde o to popisovat jednotlivé flagy, jde o to popsat možnost (a praktický příklad např. na nějaké službě nad tcp/1024), jak lze tohle využívat. Opakuju, že takto pojatý článek prostě není vzdělávací, nýbrž jen "kuchařka", která toho BFU prostě nezachrání, protože to zase jen "nějak" nastaví.
Za čtvrté: ARP spoofing byl vzpomenut jako příklad, kterým jsem chtěl demonstrovat, že předpoklad některých BFU, kteří zde reagovali, že mají dostatečně zabezpečené PC, je zcela lichá.
 
Za páté: TCP/IP a firewalling je tak široký, rozmanitý a obsáhlý, že ta "manuela" by byla tak akorát. To se ovšem obávám, že by živě "utrpělo" zlepšení své pověsti, a že na živě není člověka, který by byl schopen to napsat.

- "to není TCP hadshake, ale obyčejné HTTP" - prve 3 su TCP hanshake, HTTP zacina az od stvrteho paketu (prvy je paket s nastavenym SYN, druhy SYN|ACK, treti ACK, stvrty je HTTP GET)
-"TCP handshake totiž realizuje TCP stack, nikoliv nějaký IE" - to je pravda, nad tym som dlho rozmyslal, ako to napisat, aby to bolo jednoduche a nie matuce. Totiz vzdy je rozhodnutie medzi presnostou (detailami) a praktickou citatelnostou aj pre ludi, co o tom este nikdy nepoculi. Keby bolo na zaciatku "clanok je len pre tych, co vedia, ako funguje TCP/IP stack", tak by to asi ani nikto necital, pretoze ti si uz firewall nastavit vedia.

Uplna bezpecnost neexistuje a ani principialne nemoze. To zatial zatajime Kolko ludi napr. vie, ze po sieti moze prist paket s adresou 127.0.0.1? Je to sice adresa loopbacku, ale nie je problem vyslat na siet takyto paket. Vacsinou to ani nikoho nenapadne, preto sa teoreticky takyto paket moze dostat dalej aj cez routre mimo LAN (v zavislosti od ich konfiguracie).

Dostatecne zabezpecene != uplne zabezpecene. A dostatecne ma rozny vyznam v roznych situaciach. Vzdy je to balanc medzi funkcionalitou a bezpecnostou.


Under NCSC's Trusted Computer Systems Evaluation Criteria (DOD 5200.28-STD), Windows® operating systems are Class D, the lowest of its seven levels.

NOTE: The increasing levels of "trust" in DOD 5200.28-STD are D, C1, C2, B1, B2, B3 and A. Win3.1, Win3.11, WFW3.11 and Win95 are Class D. WinNT 3.51 is certified as Class C2, as long as it's used on a PC with no floppy drive, no network or modem connection, and physical security measures adequate to maintain that configuration.


(http://www.cerberussystems.com/INFOSEC/tutorial/winfosec.htm, je to trocha starsie, z 2002)

Trieda D znamena v podstate, ze "pocitac sa da zapnut a funguje".

Manuela sa napisat da, otazka je kolko ludi to bude citat. Cim presnejsie detaily, tym menej. Specializovanych utokov ako napr. ARP poisoning alebo spomenuty loopback traffic existuje tolko, ze sa da o tom pisat roky. Mate sancu aby zive utrpelo zlepsenim povesti LOL

IP spoofing je podla mna pouzitelnejsi nez ARP spoofing, pri ARP spoofingu musi byt utocnik na rovnakom subnete. Rozlicne techniky scanovania portov a zistovanie nastavenia firewallu samotny firewall tiez nevyriesi. Preto funguju veci ako ACK scan, FIN scan, XMAS scan, NULL scan, atd, ktore su zalozene na testovani odpovedi podla jednotlivych flagov. Ziadny firewall nezabrani Idle scanu pouzitim ziveho, malo aktivneho kompu niekde na sieti (ktory ma predvidatelne sekvencne cisla). Da sa nim zmapovat naviac IP-based host trust.

Firewall rovnako nemoze zachytit zneuzivanie buffer overflowu, XSS a inych utokov na aplikacnej vrstve. Za prve, firewall to ani nema za ucel (je to paketovy filter), za druhe, IDS/IPS nadstavba (ktoru mnohe bezpecnostne baliky maju) dokaze max. zachytit pokusy o zneuzitie uz znamych chyb. Co de facto neriesi samotnu chybu.

Nikdy a nikde som netvrdil, ze firewall na zabezpecenie staci. Nevsimol som si ani, ze by niekto vyslovene reagoval v zmysle, ze 'firewallom ma uplne zabezpeceny komp'. Firewall je sice lepsi nez drotom do oka, ale sam nestaci. Rovnako ako v banke by nestacili len straznici. Na tom sa zrejme zhodneme. A pocit falosnej bezpecnosti je horsi ako nezabezpeceny system.

Je hlavne diametralny rozdiel medzi pocitacom, ktory je napadnutelny automatickym programom (skriptom) ako napr. virus/worm Sasser a pripadom, ked na to treba cloveka.

Najsilnejsi druh utokov je aj tak social engineering, pretoze obchadza technicke prvky zabezpecenia. Najslabsim clankom je nakoniec clovek. Predpokladajme (hypoteticky), ze je komp zabezpeceny proti technickym utokom. Ked presvedcime jeho uzivatela, aby spustil podvrhnuty program, tak mame vyhrane. Na to ale treba napr. sledovat jeho komunikaciu s nejakym kolegom, podvrhnut mail s podvrhnutou adresou odosielatela toho kolegu a presvedcit ho, aby si pozrel prilozeny program. Jeden sposob obrany su napr. digitalne podpisy, ale na to tiez existuje milion sposobov obidenia (ide o to, ako velmi donutime nasu obet "spolupracovat"). Konkretne v poslednom case sa roztrhlo vrece s utokmi na hasovacie funkcie (MD5, SHA-0, v podstate vsetky iterativne hasovacie funkcie na zaklade prace dvojice Kelsey-Schneier). Viz

Kelsey, Schneier: Second Preimages on n-bit Hash Functions for Much Less than 2^n Work, Cryptology ePrint archive, http://eprint.iacr.org/2004/304/
Xiaoyun Wang, Dengguo Feng, Xuejia Lai, Hongbo Yu: Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD, http://eprint.iacr.org/2004/199/

Prakticke vyuzitie:
Ondrej Mikle: Practical Attacks on Digital Signatures Using MD5 Message Digest, http://cryptography.hyperlink.cz/2004/collisions.htm
Dan Kaminsky: MD5 To Be Considered Harmful Someday, http://www.doxpara.com/md5_someday.pdf

no, já bych to napsal do článku tak, jak to doopravdy je a nemíchal bych jednotlivé úrovně ISO/OSI:
1. prohlížeč předá do TCP stacku HTTP GET pro daný webserver
2. TCP stack resolvuje jméno (tady záleží zda se ptá DNSka přes TCP nebo UDP nebo zda ho má např. v hosts; resolving jako takový si IMHO zaslouží kapitolu sám o sobě, ale pro osvětlení činnosti firewallingu toto lze IMHO "opomenout")
3. TCP stack vytvoří spojení (SYN - SYN/ACK - ACK) a posílá "původní" HTTP GET
 
Osobně se nedomnívám, že by to bylo pro kohokoliv nějak extra složité na pochopení, na druhou stranu taky chápu potřebu psát čtivě a pro totální BFU, kteří nerozlišují mezi browserem a stackem (ba vůbec o nějakém stacku ani nevědí). Prostě jsem měl pocit, že některé aspekty článku jsou lehce zavádějící. Navrhuji příměří  - oba máme svým způsobem pravdu

" ... stvrty je HTTP GET ..." to akoze HTTP GET je TCP packet ? ) hehe

Ako som uz raz pisal, TCP handshake tam je, akurat nie je povedane, ze sa to odborne vola 'TCP handshake':

- prohlížeč vytvoří spojení vysláním TCP paketu “žádám o spojení” na adresu 194.213.53.220, port 80
- server 194.213.53.220 (zive.cz) odpoví zpět “přijal jsem žádost, potvrď”
- prohlížeč odpoví “ok”

Prvy paket je s nastavenym flagom SYN, druhy SYN|ACK, treti ACK. Vacsina Win firewallov aj tak pokial viem neumoznuje filtrovat presne podla nastavenych flagov v TCP hlavicke. Maju proste "Prichozi TCP spojeni" (=TCP paket so SYN nastavenym). Ulohou clanku bol uvod do fungovania firewallu so zakladmi fungovania sieti, nie zahrnut ludi technickymi detailami. Neda sa vsetko napisat v jednom clanku.

ARP spoofing? Co takto este IP spoofing, SYN flooding, SYN cookies, ARP poisoning, ICMP rerouting, atd.? Kazde z toho by vydalo na osobitny clanok. Mozno keby bol z toho serial s rovnakym poctom casti ako Manuela, tak by to slo. Nabuduce budem pisat disclaimery

Hi all
Pouzivam KF, na WinXP so SP2 mam snim vsak problem
Ked si vo VMware vytvorim virtualny pocitac s win (win98 - winXP), stym ze chcem aby bol viditelny normalne na nasej sieti (t.j. pre ostatnych vo firme aby sa tvaril ze mam este jeden pocitac (rovnaka workgroupa, ip adresa z naseho adresneho priestoru, nastavene nase firemne proxy)) tak ak chcem z tohto virtualneho pocitaca ist na inet, tak musim vypnut KF, bo sa tam inak nedostanem :(
Uz som skusal vsetko mozne, ale nic nepomaha :(
Viete mi niekto poradit?

A která verze 2 nebo 4? Čtyřku jsem ještě nezkoušel, ale dvojka mi dělala taky problémy, nemohl rozdejchat příchozí pakety na tu virtuální síťovou kartu vmware, v případě že jsem to nepovolil zahlásil chybu přetečení... atd., v případě povolení následoval okamžitý restart.

Vyborny clanek. Hlavne pro zacinajici uzivatele,¨kteri siti a nastavenim FW moc nerozumi.

Nazdarek, funguje mi to pre VMware 4.5.2 a Kerio 4

VMware ma networking: Bridged

Kerio nastavujem filter napr. pre HTTP a proxy:

Application: system
Protocol: TCP
Remote: Port: [80] HTTP
Port: [8080]
Direction: Outgoing
Action: Permit

ahoj prosím ťa napísal by si mi na exUMELKYNA@azet.sk ako nastavit Kerio Firewall aby mi isiel spustit internet? ked mam spusteny firewall nejde mi ziadna stranka neviem ako to tam mam nastavit...

velmi mi pomozes ak napises - hocikto kto vie ako na to...

diiiky moc