[kapitalist96]

olen kuulnud et räägitakse kogu aeg tarkvaralistest tulemüüridest (ZoneAlarm, Sygate jne), kuid kas on olemas ka riistvaralisel kujul tulemüüre ? ja kas riistvaralisi tulemüüre on üldse võimalik nö. tavainimesel hankida ka kuskilt?

[John Smith]

Äkki proovid nuppu ::OTSING:: --ruuter

[Jumbu]

siin näiteks paar tükki

[stepzter]

Oleneb mida lugeda riistvaraliseks tulemüüriks. Need väikesed kastid, mida tulemüürideks nimetatakse on ka arvutid, olgugi et lihtsad, millel jookseb tulemüüri tarkvara. Eelmises tööandja juures oli tihtipeale tulemüüriks kasutusel 1U'ne tavaline IBM'i PC server, millel jooksis Linux ning mis tegeles ainult tulemüüri ülesannetega.
Teatud mööndustega võib ka seda riistvaraliseks tulemüüriks nimetada, kui võtta riistvaralise tulemüüri definitsiooniks, et tegu on eraldi riistvaraga, mis tegeleb tulemüürimisega.

[Trwind55]

[stepzter]

Kui tarkvara töötaks nii nagu peaks on sama seadistuse puhul sama turvalisus. Kahjuks aga ei ole kunagi võimalik 100% kindel olla, et mõnda bugi sees ei ole ja selles suhtes loetakse riistvaralisi tihti turvalisemaks, kuigi BSD operatsioonisüsteeme ja isegi Linuxit peetakse ka selle funktsionaalsuse osas väga turvaliseks.

Ruuter muideks ei ole sama, mis tulemüür. Vahe on küll rohkem teoreetiline, kui praktiline, sest mõlemad tegelevad pakettide vastuvõtmise ja edasisaatmisega ning praktiliselt alati on üks ja seesama lahendus mõlema rollis. Vahe on tegevuse idees: ruuter vaatab kuhu pakette edasi saata, tulemüür vaatab, kas pakette edasi saata.

Sisuliselt ei ole enda arvutis vaja ("tarkvaralist") tulemüüri pidada, kui võrku juurdepääsu valvab juba tulemüür ning sa kõiki arvuteid, kes sinuga ühel pool tulemüüri on, usaldad.
Samas iga tulemüür on täpselt nii turvaline kui ta seadistus. Tavaliselt on arvutid internetti ühendatud läbi internetti jagava ruuteri, mis tekitab sisevõrgu ehk teeb võrgu maskeraadi st. jätab arvutitele mulje, et nad on interneti osa, kuid tegelikus internetis esineb kõikide arvutite eest. Sellisel juhul ei ole sisuliselt võimalik väljastpoolt pöörduda ühegi arvuti poole sisevõrgus, ilma spetsiaalselt seda ruuterile selgeks tegemata, kuna ruuter lihtsalt ei tea, millise arvuti poole pöörduda taheti. See välistab arvutite vastased ründed väljastpoolt. Aga tulemüüride funktsionaalsus on ka lisaks väljast sisse tuleva liikluse jälgimisele ka pidada silma peal seest välja mineval liiklusel. See teeb keerulisemaks ründeid, kus kasutaja saab pahaaimamatult legaalseid kanaleid pidi pahatahtlikku programmi (emaili viirus näiteks), mis üritab avada võrgukanalit seestpoolt. Selles osas on head kasutaja arvutis jooksvad tulemüürid väga kasulikud, kuna tavaliselt ei keerata eraldiseisvast tulemüürist kõike väljaminevat liiklust kinni, kuna see teeks lihtsalt interneti kasutamise võimatuks. Kasutaja arvutis jooksev tulemüür saab silma peal pidada, mis programmid internetiga ühendust peavad ja kasutaja käest igaühe kohta kinnitust küsida.

[LordVader]

[nuhk]

Tarkvaraline tulemüür, mida tavaline kasutaja konfima pääseb on umbes sama turvaline kui lahtine raud-uks. Nende va isekonfuvate müürikeste kolmanda-neljanda järjestikuse tüütu küsimuse peale öeldakse viimaks ikka YES või isegi YES TO ALL - et küll müür ise teab... ja korras ongi. Petlik turvatunne pealekauba - et mul on ju igavesti vinge tulemüür, kolme ajakirja testid võitnud ja mõni veel hulga raha ka maksnud... kuni ühel kenal päeval litakas ära käib.
Tulemüüri konf peab olema läbipaistev, soovitavalt käsitsi - ja selle tegija peab täpselt teadma, mida ja milleks ta lahti keerab. Vastasel korral on tegu mitte tulemüüri, vaid turvamänguga. Lisaks pimeda softi enda võimalikud tagauksed, mida sama firma tulemüür sugugi kaitsta ei tarvitse.
Olen võrguga tegelenud aastaid, aga näiteks windoozaga midagi tõsiselt privaatset ette võtta ei julge - pole sugugi kindel, et see midagi kasutaja selja taga kirja pandut hiljem "kuhu vaja" välja ei saada, olgu siis oma aruga või küsimise peale. IE5 näiteks logib kõik külastatud www-lehed: http://www.fuckmicrosoft.com/content/ms-hidden-files.shtml - hea võimalus kaotsi läinud aadresse masinast kätte saada

nuhk@hot.ee

[John Smith]

Tarkvara "TULEMÜÜR" Hüppab ette aken "Kas soovite lubada netiühenduse "SVCHOST.exe" hurraa muidugi lubame"- Kuna ei tea mis see on. Ja ongi kogu võrk PINGi täis ja tuleb kohe uus teema, et nett on aeglane??

[LordVader]

[nuhk]

OT:
Ega seda va lõuapooliku aunimetust ikke päris muidu ka ei anta...

[LordVader]

[Markos]

Aga kaua võib lolliga vaielda ? Mina sinuasemel ei asuks niivõrd nõrkade väidetega nuhi vastu välja, kes üsnagi ilmekalt ja arusaadavalt selgitas ära, millised on laiatarbe tarkvaralise tulemüüri puudused. Kui nüüd veidikene täpsemaks minna, siis nö riistvaraline tulemüür on ka tegelikult tarkvara sisaldav ja kogu müürimine tehaksegi selles. Odavad seebikarbid teps mitte ei kasuta hw accelerated funktsioone. Seebika eelis on selles, et ta ei lase omale eriti palju lollusi öelda ja by default on ta niguinii üsna secure ja laseb ka internetti tarbida täiesti korralikult, ilma et midagi muutma peaks, samas on sinu windowsi jooksutav ja sisevõrgu ip taha peidetud pessukas kaitstud. Tõsi, seda küll väljastpoolt sisse tulevate asjade vastu, kui sulle mingi spammiuss sisse poeb ja 25'ndat porti pidi sodi välja pritsib, siis see ei aita, ei aita ka opsüsteemis olev tarkvaraline tulemüür, kuna see pärib sinult luba astuda vahekorda internetiga, aga kuna enamus inimesi ei tea mitte, mis asi see selline on ja lasevad sellel rahulikult sündida. Tulemüüride idee ongi tegelikult lõppkasutajast võimalikult sõltumatud olla, ega asjata neid suurtes süsteemides eraldi kastidena ei peeta. Ja tulemüüri konfivad inimesed, kes omavad selleks vastavat ettevalmistust, mitte suvalised nagad.
Turvaaukude vastu aitab tulemüür väga tõhusalt, ülla ülla, kes blasteri pärast muret tundma ei pidanud ? eks ikka need, kes istusid nat'i või tulemüüri taga ja kelle 135 port polnud kogu maailmale valla. Tõsi, viiruste vastu nad ei aita, samamoodi IE turvaprobleemide vastu, aga need polegi tulemüüri funktsioonid, kui nii hoolega järele mõelda või mis ?

[LordVader]

[Markos]

to lordvader:

No kas Sul siis toesti on selline ettevalmistus et void une pealt oelda millist porti kasutab

Jah, kujutad ette on küll, vähemalt standardiseeritud portide kohapealt. Üldjuhul me räägime tulemüüride puhul väljast sisenevatest portidest, mis korralikus tulemüüris siseste teenuste puudumisel on kõik kinni, rohkem pole vajagi, see on suur asi turva seisukohast.

mingi sulle taiesti tundmatu tarkvara mida keegi kodanik lokaalvorgust yhel heal paeval kasutama hakkab ja kui lahed seda kysima inimeselt kes seda otseselt kasutab, siis oskab ta ainult kasi laiutada. OK, tarkvaratootja ei kavatse sulle mingit infot jagada, teed siis ise mingi aja uuringut et mis porti ta ikka kasutab, saad teada, kuid oh hada, nadala aja parast otsustas
tarkvara mingitel taiesti arusaamatutel pohjustel vahetada porti voi remote IP'd ja ongi piiks. Peale selle on see uurimus veel mottetu ajaraiskamine.

Sul on vist portide ja ülejäänud suhtes ikka peas kõik alles suht segi nagu pudru ja kapsad. See millest sina räägid on lokaalsed pordid, mille konkreetne host avab omal lokaalselt, et teha ühendus mõne väljaspool võrku asuva serveri või teise arvuti konkreetsesse porti, kas see port on seal standardne, või mitte, ei oma antud juhul tähtsust. Ka ei ole üldjuhul kombeks sees väljuvat liiklust piirata. Tõsi, mõningatel juhtudel on outputi filtreerimine vajalik (koolid, riigiasutused jms) kus sel moel takistatakse ligipääsu konkreetsetele avalikele teenustele. Ma olen ainult ühte seebikat siiamaani näinud, millel vaikimisi olid lubatud ainult webiteenused, st 80 port destinationiks, teistel pole seda iial näinud. Peale selle on olemas ka veel intelligentsed tulemüürid, millel on sisenevad või väljuvad pordid vaikimisi kinni, kuid mis avavad neid dünaamiliselt juhul kui selleks soovi avaldatakse. Sooviavaldus muidugi ei käi nii lihtsalt, et mingi teenus teeb pordi lahti ja kohe on plaks ka tulemüüris auk sees, sellisel juhul kaotaks tulemüür oma mõtte.
Linuxi iptablesel on sellisteks tulemüüri funktsioonideks näiteks state related & state established checking, ning kogu kompott töötab ülla ülla nat'i funktsioone kasutades.

[LordVader]

[Markos]

Ja kuidas seda vältida tarkvaralise symanteci või muu tootja tulemüüriga ? suht lootusetu, inimene vajutab accept ja tulemus on ikka 0. Mingit eelist ma siin ei näe. Järelikult on parim variant ikkagi sulgeda ka seest väljapoole tehtavad ühendused mittestandardsetesse portidesse ja kui seda teha sõltumatus eraldiseisvas tulemüüris, siis ei ole võimalik kellelgi eksikombel ühendust aktsepteerida ja turva auk jääb sitsima sisevõrku. Kõik jooksvalt tekkivad vajadused tuleb ka jooksvalt lahendada.

[LordVader]

[nuhk]

Kui suures ühistu majas mõni windooza-jürka SVCHOST'i või mõne muu nakkava saasta peale "accept" vajutab, siis ei ole see mitte ainult naabrite, vaid lisaks kogu ühenduse mure. Hakatuseks lastakse maja sisevõrk ja netiühendus mõlemad silmini sitta täis... ja alles siis keerab ISP selle toru kõige täiega kinni. Teooria on ilus asi, aga päris elus käib see enam-vähem nii.

Allpool pakutud bandwidth-limiterid ei anna sulle suurt midagi, need piiravad liikluse mahtu. Icmp echo-request (just see, mida billtripperid välja ajavad) annab väga palju väikesi pakette - st mahtu pole ollagi, aga ruuterid koormatakse ikka üle, iga pisike pingipakett ja selle vastus vajavad töötlemist nii sinu kui järgnevates ruuterites ja võimalikes tulemüürides. Isegi kui sa seda floodpingi oma "piiratud kiirusega" Interneti poole üles lased, siis vasta mune saad ikka - ja asja eest. Proovi oma laialdasi teadmisi kord ka praktikasse rakendada, näiteks mõni suurem ühistuvõrk püsti panna ja natuke aega töös hoida, sellest võiks abi olla... Natike õelavõitu sai, aga eks sa oled selle ära ka teenind.
Minu jaoks on teema ammendatud.

nuhk@hot.ee

[LordVader]

[stepzter]

Üldiselt, seespoolt väljaspoole on võimalik tulemüüriga ainult rumalaid kasutajaid isoleerida. Natuke osavam kasutaja võib teha sul tunneli kasvõi läbi DNS'i. Port 80 peal SSH'st ja üle HTTP tunnelitest rääkimata.

Aga tundub, et inimesed räägivad siin üksteisest mööda. Tulemüürist saab rääkida ainult mingi võrgu kontekstis. Nagu ma ütlesin, on iga tulemüür täpselt nii efektiivne nagu ta seaded on ja selles on nö. tarkvaralisel tulemüüril eelis kasutaja arvutis application layeri allikaid teada. Tänu sellele saab ligipääsu nii internetile, kui ka sisevõrgule piirata mitte ainult portide põhjal, vaid juba konkreetsete programmikoodide tasemel. Kui selle tulemüüri seaded usaldada kasutaja kätte, siis on tegu täpselt nii turvalise tulemüüriga, kui kasutaja tahab/oskab seda hoida, aga see ei tähenda, et seda õigust peab kasutajale andma. Samuti ei tähenda kasutaja arvutis jooksev tulemüür, et võrku ei peaks isoleerima internetist tulemüüriga või, et võrgu kasutajate omavahelist suhtlemist ei võiks piirata.

Muideks, minu arvamus on, et välja suunduva liikluse piiramine peaks üldjuhul toimuma kasutaja arvutis, kuna sise- ja välisvõrgu piiripeal filtreerimisest ei ole turva seisukohalt tavaliselt erilist kasu.

[wesi]

[John Smith]

[stepzter]