![ICQ [62610883]](http://blog.air4web.com/bblog/templates/markon/img/icq_status/){kind=small}
Firewall
21.07.2005
Už žádné další firewall(y) s vyskakovacími okny, už žádný další firewall se složitým nastavením a špatnou podporou VoIP a on-line her. Přivítejte můj instalátor freeware (volně šiřitelného) firewall(u) WIPFW, který ve 50kB zajišťuje tu nejlepší ochranu počítače s minimálním nastavením.
Potlačení největších hrozeb
Podle mých zkušeností a statistiky zneužívání bezpečnostních děr většina virů a exploitů se šíří přes příchozí TCP porty 0-1024 a 5000 (uPNP). Proto jsem můj firewall nastavil tak, aby blokoval ty nejnebezpečnější porty a naopak povolil připojení z portů, které využívají on-line hry a další aplikace. Mimo jiné jsou povoleny všechny příchozí UDP pakety, ostatně exploitů, které by ke svému spojení využívali UDP pakety je jako šafránu.
![wipfw.png [12458 bytes]](http://blog.air4web.com/bblog/pbimages/3f6019b191e4685d8e20948521733e14.png)
Něco pro notebooky
V poslední době je čím dál více uživatelů vybaveno přenosnými počítači, bohužel výrobci fitrewall(ů) pro ně nemají mnoho připraveno. Proto jsem do instalátorů přidal položku "LAN Support", která zajistí povolení všech portů (včetně sdílení SMB/Samba) pouze na interní adresy (např. 192.168.1.200). Pokud tedy notebook připojíte do LAN sítě, která je za nějakou NAT bránou, dojde k sdílení souborů jen mezi lokálními počítači. Naopak připojíte-li notebook přímo do internetu s veřejnou IP adresou, firewall veškeré sdílení zablokuje.
Více než firewall
Pro správce sítě jsem připravil malý bonus a tím je zablokování všech USB disků. Pokud tedy zaškrtnete políčko "Disable USB storage media" uživatelé nebudou moci k počítači připojovat USB FLASH paměti. Proto je tento instalátor tak vhodný pro správce sítě, nabízí jim přesně to co potřebují pouze s tím nejnutnějším nastavením. Instalace firewallu na jeden počítač v módu "Secure" vám pomůže ochránit počítače před únikem informací uživateli stejně jako před nekontrolovaným šířením počítačových virů.
Samozřejmě tuto ochranu je nutné skloubit s dalšími prvky síťové bezpečnosti jako je antivirový štít na poštovních schránkách, proxy server zabraňující stažení spustitelných souborů či zakázání používání disket a DVD-ROM mechanik. Zjednodušeně řečeno WIPFW je malý nástroj, který vám pomůže rychle a efektivně zabezpečit váš počítač.
Stažení / Download
od Jakub Skala
21.07.2005 #Co je špatného na popup oknech FireWallů? Po týdnu jsou všechny pravidla nastavená a je klid(pokud neinstalujete denně nový sw). Vše ostatní je zakázáno ideální pro paranoiky:-). U takových to malých firewallů mi chybí alespoň základní analýza trafficu bez ní pak nevím co zakázat.
I tak obdivuji tu snahu.
od anicka
21.07.2005 #mile me prekvapuje, ze se to da pouzivat. Portovat ipfw na Windows se mi zdalo byt dost zbesilym napadem.
MOzna by neuskodilo zminit se v clanku o strance projektu - http://wipfw.sourceforge.net/
od markon
21.07.2005 #2Skala: Ale proč nastavovat něco, co většina lidí nepoužije a čemu většina lidí neporozumí. Hodně lidí má s firewally problémy, a nebo něco špatně nastaví.
A odborníci = správci, potřebují instalovat firewally ve velkém a zkus si týden nastavovat třeba 100 počítačů.
Mě prostě a jednoduše normální softwarové firewally pro Windows vadí, protože jsou nespolehlivé (vím z praxe) a obsahují spoustu nastavování úplných blbostí, které jsou na nic.
A především, pokud nějakému uživateli u nás ve firmě vyskočí omylem okno u ZoneAlarmu váš počítač je ohrožen, tak mám průser. A třeba mu to okno vyskočí, když ho pingnu, což je děsivé. Většina lidí prostě nemá s počítači tak dlouhé zkušenosti, aby tohle posuzovali.
Re: Firewall od markon
21.07.2005 #2anicka: dodám to tam, už jsem to stejně poslal autorovi WIPFW a říkal, že připravuje grafickou verzi a můj instalátor použije.
od rony
21.07.2005 #Jakub, mozno v tom, ze uzivatel rozhoduje, co povolit
a mozno pri paranoidnej sprave siete ide o to, ze on ma na kompe pracovat a nie vymalovavat vymalovanky XP
alebo otazka ucelu a potrieb: sebe si dam zonealarm a preden este nejaky hw firewal - proste NORMALNY FIREWALL a pouzivatelom nieco s napevno nastavenymi pravidlami, s ktorymi on nepohne. a to vsetko najlepsie lahko spravovatelne z jedneho stroja - ak nahodov bude potrebovat nieco povolit, aby som sa nemusel hnat na piate poschodie, kvoli 2 parametrom.
ono by mozno ten instalator mohol byt aj lepsi v niecom dalsom: ako co najjednoduchsie distribuovat pravidla na konecne stanice pre tento firewall a to Globalne ale aj individualne. Premysliet vsetky mozne varianty a integrovat to napriklad s ActiveDirectory v zmysle - program na centralnu spravu si dokaze z AD nacitat pocitace v sieti a vie do AD pridat prikaz na nakopirovanie novej verzie konfiguraku