Nový firewall od Keria pro serverová řešení

Diskuze čtenářů k článku

Miloš  |  01. 12. 2004 00:52  | 

Spíš než názor bych měl dotaz.
Je tento Server FireWall implementován ( nebo jeho schopnosti ) do WinRoute Wirewall? Já jen jestli bych měl uvažovat i o tomto prodkutu když si chci koupit WinRoute Wirewall 6.x.x
Miloš

Souhlasím  |  Nesouhlasím  |  Odpovědět
fb  |  01. 12. 2004 05:32  | 

Ne, jedna se o rozdilne produkty. Teda, presneji receno, pro rozdilne nasazeni. Server FireWall nemuze nahradit WinRoute, ale WinRoute ma vsechny funkce Server FireWallu..... Cili Server Firewall nenabizi nic navic, cim WinRoute disponuje. Je to dano tim, ze WinRoute pracuje na jine urovni. Mozna by se to dalo nazvat jako "odlehcena" verze...

Souhlasím  |  Nesouhlasím  |  Odpovědět
fb  |  01. 12. 2004 05:39  | 

Ted mne napadlo, co mozna chces slyset . Kdyz to neosetris na Winroute, tak s tim nic nenadelas na Server Firewall.. Hodne stesti Nechces to doufam na domaci kompl...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Abakus  |  01. 12. 2004 09:16  | 

To není pravda. WinRoute nehlídá komunikaci na úrovni jednotlivých systémových procesů.
WinRoute Firewall a Server Firewall jsou naprosto rozdílné aplikace a ani jedna z nich se tou druhou nedá nahradit.
Já osobně jsem na takovýto produkt čekal. Budu ho nasazovat.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Mira  |  01. 12. 2004 09:31  | 

Jde o rozdilne produkty, ale co se tyce funkci je to trochu jinak. WinRoute (KWF) je urceny pro ochranu cele site, ServerFirewall (KSF) pro ochranu konkretniho stroje.
Pokud se tyka funkcnosti neni rozhodne pravda, ze KSF nenabizi nic navic proti KWF. KSF napr. umi filtrovat sitovy provoz pro jednotlive aplikace a umoznuje hlidat spousteni procesu jinym procesem. Ani jednu z techto funkci KWF nema.
Dalsi informace o KSF jsou na http://www.kerio.cz/ksf

Souhlasím  |  Nesouhlasím  |  Odpovědět
p  |  01. 12. 2004 08:07  | 

Sa mi pacia tie funkcie (logovanie spustania procesov, zakazanie modifikovania spustitelnych suborov atd.) ale to podla mna neni nic co by sa nedalo spravit beznymi prostriedkami. Druhou otazkou je, ci sa daju logy agregovat, ci dokaze alertovat pomocou SNMP trapov alebo WMI eventov. Neviem ci by som radsej nesiel do nejakeho jednoducheho packet filtru, nakonfiguroval si poriadne server a pred siet postavil IDS. Ale pre jeden samostatny server to vyzera ako celkom vhodne riesenie.

Souhlasím  |  Nesouhlasím  |  Odpovědět
y  |  01. 12. 2004 09:07  | 

Já si myslím, že důležitá je tato funkce: Možnost aktivace blokování veškerého příchozího provozu během zapínání a vypínání systému. To má smysl pro případ startu systému, kdy ještě nenaběhl firewall a server je otevřen útokům z Internetu - viz. Blaster. (měli jsme takové problémy

Souhlasím  |  Nesouhlasím  |  Odpovědět
hnusil  |  01. 12. 2004 10:51  | 

to je reseni pro lamy, pockej, az budes mit jine problemy a server nebude dostupny. Osobne si myslim, ze to rozhodne neni profi reseni a uz vubec ne na nejake kriticke servery. Bez dalsich ohledu na to, jaky Kerio produkuje shity.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Kerio  |  01. 12. 2004 16:31  | 

Proc by nemel byt server dostupny?
Blokovani prichoziho sitoveho se provadi prave pouze pri startupu a shutdownu systemu. V momente kdy sluzba KSF nabehne a pote je ukoncena (at uz rucne ci moznym padem) je veskery prichozi provoz povolen. Pripad, ze by z nektereho duvodu zluzba vubec nenabehla je osetren 5 minutovym timeoutem. Pokud v tomto limitu sluzba nenabehne, driver opet zacne povolovat prichozi provoz. Je tedy pak mozne se vzdalene pripojit a resit problem.

Tomas Soukup
KSF lead developer
...............................................< br>Kerio Technologies
www.kerio.com
............................ ...................
No Pasarán! [Neprojdou!]

Souhlasím  |  Nesouhlasím  |  Odpovědět
eMKo  |  01. 12. 2004 18:42  | 

Ze vam ale tuhle funkci trvalo implementovat. Diky jeji absenci jsem na vase produkty kompletne zanevrel, take v osobni firewallech vasi spolecnosti se posledni dobou cim dal casteji objevuji bezpecnostni problemy. Mozna by jste uz pomalu meli zacit uvazovat nad zmenou motta No Pasarán! protoze obcas se Vam stava ze projdou :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
kyssling  |  01. 12. 2004 11:44  | 

Zdravím mám v plánu to nainstalovat na Small Business 2003 Standard. POužívá ten produkt někdo ? Mám trochu strach tam fouknout první verzi (neodzkoušenou masivnějším nasazením).
Nebo má někdo alternativu k tomuto produktu (na 2003 to nedělá ani ZoneAlarm ...).
Potřebuji pouze firewall na server nikoli produkt Winroute Firewall protože tam pojede Proxyplus.

Souhlasím  |  Nesouhlasím  |  Odpovědět
michal_sjx  |  01. 12. 2004 13:14  | 

Pise se ze filtruje nebezpecne packety ;). Je to delane asi pomoci nejakych vzorku a pokud se najde schoda, tak je BAN na packet. Jednak teno zpusob asi neosetruje nebezpecne session a taky se muze nalezt schoda u packetu, ktere nejsou zakerne. Tedy bude odeprena sluzba i pro legalni klienty serveru v pripade, ze bude nahoda splnena.
No a kdyz to vezmu uplne globalne... server na windowsech je stejne potreba dat za poradny stavovy FW postaveny na unixu, cisco, ... etc. Jinak bude napaden behem jednoho dne ;).
Mate nekdo detailnejsi informace o zpusobu detekce zlych packetu v Kerio ServerFirewall?

buffer overflow - neni na to potreba jeste jiny procesor, ktery ma oddelenou cast vykoneho kodu od dat? Pokud ne, tak spravne napsanej exploit na buffer overflow se stejne neda detekovat na urovni sledovani procesu ;).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Kerio  |  01. 12. 2004 16:54  | 

Z jake zkusenosti plyne nazor, ze je server na Windows treba dat za "poradny stavovy FW postaveny na unixu, cisco, ...etc.". Jakou vyhodu takovy filtr poskytne? V cem je lepsi?
Kerio ServerFirewall ma oproti takovemu reseni naopak vyhodu v lepsi znalosti systemu na kterem je nainstalovan, moznosti stavet filtr nad procesy (aplikacemi), ulehcit tak jeho tvorbu a lepe tak zabezpecit system. Predsazeny cisco ci unix nikdy nemuze vedet, s jakou aplikaci je dany provoz svazan. Samozrejme, ze pokud filtr spatne nakonfiguruju, bude behem jednoho dne napaden. V tom mi, ale spatne nakonfigurovane cisco take nepomuze.

IPS pracuje standardnim zpusobem pomoci signatur a porovnani flagu v IP paketech. Pouziva konfiguraci typu Snort. IPS v KSF si neklade za cil odfiltrovat veskere "nebezpecne" pakety. Jde spis o prvni vrstvu pro filtrovani nestandardniho provozu (napr. spatne nastavene IP flagy a optiony) a detekci fingerpriningu (napr. portscan).
V dnesni dobe je nemozne reagovat na nove sirene cervy pomoci standardniho signature based IPS (update databaze trva prilis dlouho, cervy se siri v radu minut). Proto je ochrana der v systemu resena na urovni detekce podezrelych aktivit.
KSF predevsim predchazi nasledkum uspesneho buffer-overflow. Pro naprostou vetsinu uspesne provedeny utok je treba dalsich akci. Napriklad aby bylo mozne provest ovladnuti systemu, je treba nakopirovat na server vlastni program (backdoor) a pustit jej nebo pustit jiny program, ktery jiz na systemu je. Modul Application Hardening nabizi obranne mechanismy pro rozpoznani a zabraneni techto akci.

Tomas Soukup
lead developer
...............................................
Kerio Technologies
www.kerio.com
............................ ....................
No Pasarán! [Neprojdou!]

Souhlasím  |  Nesouhlasím  |  Odpovědět
michal_sjx  |  02. 12. 2004 11:34  | 

poradny myslim ve smyslu dobre upravovatelny a pruhledny. FW pravidla podle me museji byt prehledna, jinak se v tom spravce muze zamotat. Podle me ani nevadi, ze utocnik zna nektere FW pravidla (pokud je napisi spravne, tak nema ani tak sanci - samozrejme nemusi videt zadni vratka, ktera se obcas udelat musi).
Proc stavovy FW? Kdyz mi nekdo bude na port 80 posilat packety s jinym tcp-seq a jinamy tcp-ack a dostane se takovej packet az k aplikaci (web serveru), tak ho to muze zborit (v lepsim pripade na nejaky cas DoS). U IIS jsou takove veci velmi snadno realizovatelne.
Windows TCP stack ma sice v definici, ze muze obsluhovat 65k socketu, ale pri 2k uz jsou windows nedostupne (to by mohl byt SYN flood).
A otazka je: Umi to Kerio serverFW odfiltrovat a nepustit k aplikaci?
V pripade unix-like systemu mam vsechno prehledne v my_firewal_rules.conf a vidim co projde a co ne :).
Ma toto i Kerio?
Doma pouzivam Tiny Personal FW od Vasi firmy. S defaultnim nastavenim uz jsem se nedostal na FTP servery ;) .. asi tomu chybi ta "stavovost". Jestli je to tak i v pripade serverFW netusim, ale jak je tam vyresene FTP?
Vim, ze zde skacu od jednoho k 2., ale nejak se mi to nepodarilo v runTime tematicky usporadat :)

Neberte to pls jako pomlouvani, pro mnohe je GUI FW jedine reseni. Ale me se takove reseni zda plytvani CPU a pasmem na siti (v pripade spravy pres neco jako VNC).

caf michal

Souhlasím  |  Nesouhlasím  |  Odpovědět
jirka  |  01. 12. 2004 21:05  | 

Kdyz nad tim tak premyslim, tak jediny duvod proc bych mel mit zajem poridit si tenhle firewall postaveny na win je asi ten, ze proste nerozumim poradne sitarine a neumim si to nakonfit na nejakym vyrazenym kompu s linuxem.
Mam pravdu, je to jen "pro lamy", nebo existuje nejaky duvod proc by po vasem produktu mel sahnout i nejaky zbehly admin a nepouzivat klasicke reseni iptables v linuxu?

Souhlasím  |  Nesouhlasím  |  Odpovědět
eMKo  |  01. 12. 2004 21:53  | 

A je to tu zas. Proc porad vsude strkate iptables? Jsou totiz mista kde sve uplatneni najde a kde take ne. Mimoto tam kde uplatneni najde iptables bych uz radeji nasadil PF via OpenBSD. K cemu mi bude IPTABLES nebo i PF kdyz mi na web server projde dejme tomu nestandardni get retezec ktery zpusobi preteceni zasobniku a vykona libovolny kod. Jak mi pak IPTABLES pomohou? Uz to konecne chapete? Tak me pripada ze lide kteri doporucuji iptables pro takovato reseni nemaji o IT bezpecnosti absolutne zadne povedomi a jen nekde zaslechli kouzelnou formulku iptables + Linux a uz tim bombraduji vsechna fora.

Souhlasím  |  Nesouhlasím  |  Odpovědět
jirka  |  01. 12. 2004 22:30  | 

Ttva reakce je neprimerena. Pokud ses nevsiml, ptal jsem se zda existuji nejake duvody proc bych mel nasazovat prave tohle reseni. Nechapu proc me napadas - nikde jsem nerekl ze tohle reseni je spatne! Chapu ze ne kazdy ma cas a naladu pronikat nejak hloubeji do problematiky bezpecnosti a studovat veci kolem linuxu jen proto aby si zabezpecil komp. Pro tyhle lidi je idealni, kdyz si naklikaji co potrebuji a ono jim to poskytne vlastne stejnou funkci. Muj dotaz se tykal toho, zda mi tohle reseni prinese NECO NAVIC.
Ohledne nestandartniho get retezce ... to je uloha predevsim pro tvurce webove aplikace aby si s timhle poradil! Navic jsem v textu nikde nenasel ani zminku o tom, ze by kerio umoznovalo nastavit nejake filtry tohoto typu ... nehlede na to ze takova funkce uz mi zavani spis proxy serverem a ne firewallem!

Souhlasím  |  Nesouhlasím  |  Odpovědět
eMKo  |  01. 12. 2004 22:41  | 

Jenze asi nechapes ze tohle kerio si nehraje na cisty stavovy filtr jako iptables. Ne ze bych chtel Kerio chvalit, nemam ho rad :)) , ale tady se ho zastat musim. Ma reakce je zcela primerena, jelikoz pro ochranu serverovych aplikaci je treba pouzivat trochu jine prostredy nez obycejne paketove filtry. To ze si ma dlouhy retezec get zabezpecit samotna aplikace je sice pravda, ale bohuzel tomu tak vzdy neni a proto take existuji ochranne prostredky ve formach, proxy, IDS, IDP apod. Kdyby byly vsechny aplikace bezchybne k cemu by pak tyto produkty byly, ze. V clanku recenzovane kerio sice nema prilis z techto vlastnosti nicmene pridava jista reseni ktera by ochrane serverovych aplikaci v pripade objeveni bezpecnostniho problemu mohly pomoct. A prave tohle ma navic, nebo ne navic ale je to defakto jiny produkt ktery smeruje jinam nez jako primarni obrana sitoveho provozu. Proto je zcela zbytecne pro tento pripad uvazovat IPTABLES, kdyz stejnou funkci v tomto konkretnim pripade zastoupi jakekoliv HW reseni nebo i ten jednoduchy stavovy firewall ve Windows 2003 Server a Windows XP, samozrejme zjednodusene receno. Pokud uz by mel byt nasazen firewall k ochrane serveru dejme tomu v DMZ je to dobry napad, ale i v tomto pripade kdy pred serverem stoji hw reseni, iptables nebo pf by mohl byt produkt keria prinosem v ochrane serverove aplikace. Takze asi tak.

Souhlasím  |  Nesouhlasím  |  Odpovědět
lefti  |  04. 12. 2004 13:25  | 

:))))) Ty ses fakt odbornik z nejvetsich, srovnavat integrovanej fw ve wXP s iptables. :)))

Souhlasím  |  Nesouhlasím  |  Odpovědět
eMKo  |  12. 12. 2004 19:00  | 

No jo kdo nechape ten proste nepochopi.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Borek  |  16. 02. 2005 23:22  | 

KWF mi neustale zatvrzele blokuje hry pres ICQ. Pritom ma nastaveno vse povoleno. Ale asi mi chybi nejake zaskrtavatko zaskrtle. P2P site povoleny...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor
Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky