How To: Βέλτιστη ασφάλεια με τον λιγότερο δυνατό κόπο χρήστη & υπολογιστή

[WAntilles]

Προσωπική άποψη για βέλτιστη ασφάλεια με τον λιγότερο δυνατό κόπο χρήστη & υπολογιστή:

1. NAT & Hardware Firewall με SPI (Stateful Packet Inspection), σε σοβαρό ethernet aDSL modem-router.

2. Software firewall δεν χρειάζεται.

3. Το firewall των XP - είτε Gold, είτε SP1, είτε SP2 - δεν χρειάζεται -> Stop & Disabled.

4. Universal Plug and Play δεν χρειάζεται -> Stop & Disabled.

5. Το Messenger Service -> Stop & Disabled.

6. Anti-spyware δεν χρειάζεται.

7. Protowall δεν χρειάζεται.

8. Αυτόματο anti-virus δεν χρειάζεται.

9. Manual scanning μόνο όλων των εισερχόμενων (downloads, executables, office documents, windows media, mail attachments) πριν εκτελεσθούν ή ανοιχθούν από όλες τις δυνατές πηγές εισόδου σε ένα σύστημα (internet, LAN, removable media).

10. Blocklist Manager ας τρέχετε μία φορά το μήνα ώστε να ενημερώνετε τα αρχεία ipfilter.dat & guarding.p2p που χρησιμοποιούν αντίστοιχα το emule/amule & mldonkey αντίστοιχα.

11. Δεν τρέχουμε IE-οειδείς browsers.

12. Δεν τρέχουμε Outlook-οειδείς mail & news clients.

13. Δεν τρέχουμε οποιονδήποτε client που έχει VBScript ή/και ActiveX ή/και Active Scripting.

14. Εάν πληρούνται τα 3 παραπάνω, δεν έχουμε ανάγκη για anti-spyware (το σημείο 6).

15. Στον mail client απενεργοποιούμε Java & Javascript.

16. Δεν τρέχουμε security suites όλα σε ένα. Συνήθως είναι βαριές, bloated, αναποτελεσματικές και προβληματικές.

17. Δεν συγχέουμε τις διακριτότατες έννοιες των worm-trojan & virus. Άλλο το ένα άλλο το άλλο.

18. Δεν συγχέουμε τους διακριτότατους ρόλους firewall & anti-virus. Άλλο το ένα άλλο το άλλο.

19. Από τα 3 παραπάνω συμπεραίνουμε ότι έκαστος στο είδος του.

20. Εγκαθιστούμε το τελευταίο Service Pack.

21. Εγκαθιστούμε τελευταίες εκδόσεις βασικών DLL & components του συστήματος ακόμα και αν δεν τα χρησιμοποιούμε (αυτά που υπάρχουν στα "προκαταρκτικά" των Manual XP updates) π.χ. NET Framework & SP1, DirectX 9.0c, Windows Media Player 9.0, Internet Explorer 6.0 SP1 (ή 2) κλπ. επειδή updates βγαίνουν για τις τελευταίες εκδόσεις και όχι για τις παλιές.

22. Εγκαθιστούμε όλα τα critical & recommended updates.

23. Ειδικά για τα Vista - και λόγω του 1 - δεν τρέχουμε οποιαδήποτε έκδοση των Windows Vista, μέχρι να υποστηρίξουν το SPI.

Τα παραπάνω είναι ανεξαρτήτως OS (Windows, Linux).

Αν και ομολογουμένως είναι περισσότερο Windows-oriented διότι οι ακόλουθοι κίνδυνοι:

- VBScript
- ActiveX
- Active Scripting
- Windows Media Scripting

-> carriers για worms-trojans υπάρχουν μόνο σε αυτά (στα Windows).

[sdikr]

1. συμφωνώ,
2. και ομως χρειάζεται, ειδικά για τα outgoing, (κάτι που τα απλά hardware firewall δεν ελέγχουν)
3. συμφωνω
4. σχετικό, αν το μηχάνημα είναι καθαρό το Upnp είναι ενα πολύ καλό βοήθημα
5. ΔΙΑΦΩΝΩ
6. Συμφωνω (γιατί το μουλάρι έχει ipfilter) αν το p2p σας δεν έχει protowall
7. ΔΙΑΦΩΝΩ καθετα, οριζόντια και διαγωνια!
8. ποιο κουραστικό δεν είναι αυτό;
9. ......
10. browser wars episode 999+ (διαφωνω οπως καταλαβαινεις!)
11. email wars episode 100+ (ξανα διαφωνω!)
12. Οπότε μερικές σελίδες απλά δεν τρέχουν!
13. είσαι τόσο σίγουρος;
14. που σημαίνει πάλι χάνουμε λειτουργικότητα
19. διαφωνω, ειδικά το sp2 έχει πολλά προβλήματα
21. συμφωνω

Και προσωπική γνώμη για την απόλυτη ασφάλεια, ή να μάθει ο χρήστης πως να το δουλέυει το μηχάνημα ή να το βγάλει απο την μπρίζα

[WAntilles]

2. και ομως χρειάζεται, ειδικά για τα outgoing, (κάτι που τα απλά hardware firewall δεν ελέγχουν)

Το γνωρίζω. Αλλά δεν βλέπω το λόγο να περιορίσει κάποιος χρήστης τα outgoing εάν έχει καθαρό PC - που είναι και απαραίτητη προϋπόθεση για τα όσα λέει το thread.

4. σχετικό, αν το μηχάνημα είναι καθαρό το Upnp είναι ενα πολύ καλό βοήθημα

Το μηχάνημα είναι καθαρό. Είναι προϋπόθεση για το thread.

Το UPnP μαθαίνει και συνηθίζει το χρήστη στο βόλεμα και την άγνοια-ημμάθεια. Και φυσικά δεν ισχύει παντού και πάντα.

5. ΔΙΑΦΩΝΩ

Σαφώς και δεν χρειάζεται.

Λόγω των 10-12 που είναι και τα μοναδικά carriers για spyware, ισχύει το 13 και άρα και το 5.

7. ΔΙΑΦΩΝΩ καθετα, οριζόντια και διαγωνια!

Εξήγησέ μου πώς είναι με αυτές τις προϋποθέσεις που λέω, να είναι απαραίτητο το αυτόματο scanning. Διότι εάν τηρηθούν όλα αυτά που λέω, δεν περνά τίποτα. Οπότε το αυτόματο απλά κάνει το PC να αποδίδει πολύ λιγότερο.

8. ποιο κουραστικό δεν είναι αυτό;

- Κάθε πότε κατεβάζεις καινούρια προγράμματα ή mail με attachments; 100 φορές τη μέρα; -> Δεν νομίζω. Κι ύστερα, έτσι συνηθίζει ο χρήστης να είναι υπεύθυνος και προσεκτικός.

10. browser wars episode 999+ (διαφωνω οπως καταλαβαινεις!)
11. email wars episode 100+ (ξανα διαφωνω!)
12. Οπότε μερικές σελίδες απλά δεν τρέχουν!

Είναι τα carriers-θερμοκήπια worms-trojans.

13. είσαι τόσο σίγουρος;

Ναι. Δές τι λέω παραπάνω και στο σχόλιο του 5. Είναι τα μοναδικά carriers.

14. που σημαίνει πάλι χάνουμε λειτουργικότητα

Δεν χάνουμε τίποτα. Σκοπός του mail είναι ένα γραπτό μήνυμα, άντε και με μερικές εικόνες. Όχι τσίρκο.

19. διαφωνω, ειδικά το sp2 έχει πολλά προβλήματα

Γιατί δεν φτιάχνεις ένα thread όπου θα τα εξηγείς αναλυτικά-ενδελεχώς;

Αλλά τεκμηριωμένα και με επιχειρήματα.

Θα ενδιαφέρει πολλούς χρήστες είμαι σίγουρος.

[Billis]

1. Συμφωνώ.
2. Διαφωνώ. Τα software firewalls τύπου Zone Alarm ή Kerio λειτουργούν σε επίπεδο εφαρμογών και πρέπει να φιλτράρουν την κίνηση και στις δύο κατευθύνσεις. Τα απλά hardware firewalls όπως και οι ipfilter λύσεις είναι packet-oriented. Η πρότασή μου είναι να υπάρχει ένα packet-based firewall στο router ή σε κάποιο αντίστοιχο bastion host και να είναι τα Windows PCs εξοπλισμένα με τοπικό software firewall.
5. Διαφωνώ. Φυσικά και χρειάζεται, είναι απαραίτητο αξεσουάρ τη σήμερον ημέρα.
7. Διαφωνώ. Εκτός βέβαια και αν ο συγκεκριμένος ΗΥ προβλέπεται να λειτουργεί σαν συλλέκτης καινούργιων βλαβερών ζιζανίων.
8. Διαφωνώ. Ο έλεγχος για ιούς πρέπει να είναι αυτόματος για οτιδήποτε καταλήγει στον ΗΥ μας. Οι πιο σκληροπυρηνικοί θα έλεγαν "και σε οποιαδήποτε μορφή".
9. Συμφωνώ.
10. Συμφωνώ.
11. Συμφωνώ.
12. Συμφωνώ, αν και ορισμένες φορές είναι αναγκαίο κακό.
13. Βλέπε το σχόλιό μου για το σημείο 5.
14. Συμφωνώ.
19. Συμφωνώ, αν και καλό είναι να περιμένουμε γύρω στον ένα μήνα από την κυκλοφορία του επίσημου service pack ώστε αν γίνει καμμιά στραβή να μην την πατήσουμε και εμείς.
20. Συμφωνώ.
21. Συμφωνώ.

[sdikr]

Το γνωρίζω. Αλλά δεν βλέπω το λόγο να περιορίσει κάποιος χρήστης τα outgoing εάν έχει καθαρό PC - που είναι και απαραίτητη προϋπόθεση για τα όσα λέει το thread.
.

Και εδώ ειναι η ερώτηση πως το καταφέρνεις, ή πως είσαι σίγουρος οτι είναι καθαρό;

Γιατί να μην έχεις μια παραπανω ασφάλεια;

Σαφώς και δεν χρειάζεται.

Λόγω των 10-12 που είναι και τα μοναδικά carriers για spyware, ισχύει το 13 και άρα και το 5.

Για την ώρα

Εξήγησέ μου πώς είναι με αυτές τις προϋποθέσεις που λέω, να είναι απαραίτητο το αυτόματο scanning. Διότι εάν τηρηθούν όλα αυτά που λέω, δεν περνά τίποτα. Οπότε το αυτόματο απλά κάνει το PC να αποδίδει πολύ λιγότερο.

ξέχασες τον παράγοντα "Χρήστης"

Είναι τα carriers-θερμοκήπια worms-trojans.

πότε μου δεν είχα πρόβλημα!

Γιατί δεν φτιάχνεις ένα thread όπου θα τα εξηγείς αναλυτικά-ενδελεχώς;

Αλλά τεκμηριωμένα και με επιχειρήματα.

Θα ενδιαφέρει πολλούς χρήστες είμαι σίγουρος.

Γιατί είναι κάτι το οποίο είναι γνωστό,

[WAntilles]

Και εδώ ειναι η ερώτηση πως το καταφέρνεις, ή πως είσαι σίγουρος οτι είναι καθαρό;

Όταν έχεις ένα δωμάτιο με μοναδική δίοδο μία πόρτα η οποία φυλάσσεται, τότε 1+1=2 (μέχρι να ανακαλυφθούν οι transporters τουλάχιστο).

ξέχασες τον παράγοντα "Χρήστης"

Δηλαδή;

πότε μου δεν είχα πρόβλημα!

Αυτό δεν είναι επιχείρημα. Αν κουβαλάς ραδιενεργά κατάλοιπα και προσέχεις με κίτρινα κουστούμια κλπ. μάλλον ποτέ δεν θα έχεις πρόβλημα. Αλλά αυτό δεν σημαίνει ότι θα πρέπει να επιδιώκεις να κουβαλάς αυτά τα ραδιενεργά.

Γιατί είναι κάτι το οποίο είναι γνωστό,

Καθόλου γνωστό θα έλεγα.

Προσωπικά πρωτάκουσα ότι το SP2 έχει προβλήματα, για 1η φορά από σένα εδώ στο φόρουμ.

[todo]

5.Protowall χρειάζεται να τρέχεις σε περίπτωση που χρησιμοποιείς P2P που δεν παρέχει ip-filtering

EDIT-Sorry για το 6 ήθελα να γράψω όχι για το 5

[Re-Ti-Re]

Και προσωπική γνώμη για την απόλυτη ασφάλεια, ή να μάθει ο χρήστης πως να το δουλέυει το μηχάνημα ή να το βγάλει απο την μπρίζα

Συμφωνώ.
Αυτή είναι η απάντηση σε όλα.
Ο χρήστης πρέπει να μάθει για του κινδύνους.
Αν είναι σε ένα PC στο σπίτι του, θα μάθει παθαίνοντας ή διαβάζοντας.
Αν είναι σε LAN στο γραφείο του, πρέπει ο υπεύθυνος ασφάλεια του δικτύου να τον συμβουλέψει και φυσικά να τον προστατέψει.
Όλα τα άλλα είναι θεωρία.

[JohnGR]

1. Συμφωνώ κι ας μην είναι modem!

2. Διαφωνώ. Για τον πλήρως συνειδητοποιημένο χρήστη ίσως, αλλά και πάλι...

3. Συμφωνώ.

4. Γενικά συμφωνώ.

5. Διαφωνώ. Κι αν;

6. Σε Ρ2Ρ χωρίς άλλου είδους προστασία είναι απαραίτητο.

7. Διαφωνώ.

8. Διαφωνώ.

9. Και πιο συχνά δεν κάνει κακό.

10. Άντε να κάνεις μια online συναλλαγή με την τράπεζά σου μεάλλο τρόπο!

11. Αν κάνεις το Thunderbird να συνεργάζεται ΠΛΗΡΩΣ με τον exchange θα το σκεφτώ!

13. Συμφωνώ... με τον Σπύρο!

13. Μμμμ...

14. Θα συμφωνήσω και πάλι με τον Σπύρο.

15. Διαφωνώ.

16. Συμφωνώ.

17. Συμφωνώ.

18. Κι ο Λουμίδης στους καφέδες!

19. SP2 ΜΟΝΟ slipstreamed!

20. Γιατί να εγκαταστήσουμε κάτι αν δεν το χρειαζόμαστε;

21. Συμφωνώ.

[wintech2003]

1. Συμφωνώ
2. Συμφωνώ
3. Χμμ.. διαφωνω λιγάκι.. Εγώ απλα το εχω ενεργοποιημένο ειδικά στα Windows XP SP2
4. Συμφωνω
5. Χρειάζεται στον ασχετο που πατάει σε κάθε τσοντοσελίδα σε όλα τα security warnings "ΝΑΙ" (και δεν έχει βάλει Firefox)
6. Δεν το έχω χρησιμοποιήσει ποτέ.
7. Για τον ασχετο χρειάζεται... καλύτερα αυτόματο, παρά να το ξεχάσει κανεναν 2μηνο χωρις υπογραφές
8. Συμφωνω.. αλλα manual scanning? Γιατι οχι απλά να έχεις ενα auto-protect απο πίσω...?
9. Δεν τα χρησιμοποιώ ποτέ... βέβαια σπανίως κατεβάζω απο emule..
10. Τρέχουμε-τρέχουμε.. Αν δεν ειχαμε ποτε πρόβλημα, δεν υπάρχει λόγος να αλλάζουμε browser.
11. Αν ο Thunderbird είχε τις δυνατότητες του Outlook 2003 ίσως να το σκεφτόμουν...
12. Συμφωνω εν μέρη..ποιο σωστά.. "Γνωρίζουμε τί τρέχουμε και μετά το ανοίγουμε"
13. Συμφωνώ γιαυτο και εγραψα στο 5: αν δεν έχει βάλει Firefox
14. Συμφωνώ αν και δεν το έχω κανει ποτε μου
15. Συμφωνώ, Symantec Antivirus Corporate rulez
16. Συμφωνω
17. Συμφωνω
18. Και ο Λουμίδης σους καφέδες (με λίγα λογια - Συμφωνω)
19. Συμφωνω
20. Συμφωνω
21. Συμφωνω

[WAntilles]

5. Χρειάζεται στον ασχετο που πατάει σε κάθε τσοντοσελίδα σε όλα τα security warnings "ΝΑΙ" (και δεν έχει βάλει Firefox)

Η απάντησή σου είναι και απάντησή μου και με καλύπτει.

7. Για τον ασχετο χρειάζεται... καλύτερα αυτόματο, παρά να το ξεχάσει κανεναν 2μηνο χωρις υπογραφές

Δεν στέκει το σχόλιο. Διότι τις ίδιες υπογραφές χρησιμοποιεί και το manual και το αυτόματο.

Εάν είναι προϊστορικές στο ένα θα είναι και στο άλλο.

Λέγοντας "αυτόματο anti-virus" δεν εννοώ αυτό που ανανεώνει αυτόματα τις υπογραφές. Αλλά αυτό που τρέχει σαν service μόνιμα και σκανάρει τα πάντα εν τη εκτελέσει τους.

8. Συμφωνω.. αλλα manual scanning? Γιατι οχι απλά να έχεις ενα auto-protect απο πίσω...?

Γιατί τρώει πολλά CPU cycles.

Π.χ. ο Firefox μου (το EXE του) είναι το ίδιο εδώ και 3.5 μήνες (από τις 9 Νοεμβρίου) -> 105 μέρες. Έστω ότι τον ανοιγο-κλείνω 20 φορές κατά μέσο όρο τη μέρα. Άρα έχει σκαναριστεί το ίδιο εκτελέσιμο 20x105=2100 φορές. Μήπως είναι κατασπατάληση CPU cycles αυτό;

Και για κάντε το αυτό επί κάποιες εκατοντάδες drivers, DLLs και εκτελέσιμα που χρησιμοποιούνται καθημερινά και είναι μονίμως τα ίδια.

10. Τρέχουμε-τρέχουμε.. Αν δεν ειχαμε ποτε πρόβλημα, δεν υπάρχει λόγος να αλλάζουμε browser.

Για δές την "ραδιενεργή" απάντηση που έδωσα και στον sdikr.

11. Αν ο Thunderbird είχε τις δυνατότητες του Outlook 2003 ίσως να το σκεφτόμουν...

Γι' αυτό ετοιμάζεται το Mozilla Sunbird.

14. Συμφωνώ αν και δεν το έχω κανει ποτε μου;

Ειλικρινά δεν καταλαβαίνω.

[wintech2003]

Ειλικρινά δεν καταλαβαίνω.

Απλά ποτε δεν έχω απενεργοποιήσει την Java απο τον browser....

[Re-Ti-Re]

Γιατί τρώει πολλά CPU cycles.

Π.χ. ο Firefox μου (το EXE του) είναι το ίδιο εδώ και 3.5 μήνες (από τις 9 Νοεμβρίου) -> 105 μέρες. Έστω ότι τον ανοιγο-κλείνω 20 φορές κατά μέσο όρο τη μέρα. Άρα έχει σκαναριστεί το ίδιο εκτελέσιμο 20x105=2100 φορές. Μήπως είναι κατασπατάληση CPU cycles αυτό;

Και για κάντε το αυτό επί κάποιες εκατοντάδες drivers, DLLs και εκτελέσιμα που χρησιμοποιούνται καθημερινά και είναι μονίμως τα ίδια.

Συμφωνώ. Είναι μεγάλο πρόβλημα.

[wintech2003]

Γιατί τρώει πολλά CPU cycles.

Π.χ. ο Firefox μου (το EXE του) είναι το ίδιο εδώ και 3.5 μήνες (από τις 9 Νοεμβρίου) -> 105 μέρες. Έστω ότι τον ανοιγο-κλείνω 20 φορές κατά μέσο όρο τη μέρα. Άρα έχει σκαναριστεί το ίδιο εκτελέσιμο 20x105=2100 φορές. Μήπως είναι κατασπατάληση CPU cycles αυτό;

Και για κάντε το αυτό επί κάποιες εκατοντάδες drivers, DLLs και εκτελέσιμα που χρησιμοποιούνται καθημερινά και είναι μονίμως τα ίδια.

Καλα δεν νομίζω οι συγχρονοι επεξεργαστές να "μασάνε"... Να μου πεις οτι ο δίσκος (που ειναι και το πιο αργο μέρος του PC) θα ζορίζεται απο τις επιπλέον εργασίες.. να το καταλάβω.. αλλα οχι και η CPU....

[Re-Ti-Re]

Καλα δεν νομίζω οι συγχρονοι επεξεργαστές να "μασάνε"... Να μου πεις οτι ο δίσκος (που ειναι και το πιο αργο μέρος του PC) θα ζορίζεται απο τις επιπλέον εργασίες.. να το καταλάβω.. αλλα οχι και η CPU....

Δηλαδή μόνο αυτοί που έχουν την δυνατότητα να αναβαθμίζουν το PC τους θα έχουν την απαιτούμενη ασφάλεια. Οι άλλοι όχι.
Αυτό κατάλαβα, συγνώμη αν λέω κάτι λάθος.