PC χωρίς firewall κ.τ.λ.

[Katsoulinos]

Έχω φάει τα νιάτα μου και την ομορφιά μου στο forum να διαβάζω από τα ποιο παλιά threads ως και τα ποιο πρόσφατα σχετικά με firewall rules, UDP/TCP, port forwarding, κ.τ.λ. και διαπιστώνω πως ενώ όλα είναι απλά και ξεκάθαρα πάντα υπάρχουν απώλειες στην ταχύτητα και στο user friendly του πράγματος με τα firewall.
Γενικά θεωρώ τον εαυτό μου power user (τρομάρα σου!) και με ότι ασχοληθώ στο pc το φέρνω βόλτα έστω και έπειτα από 34243624365464236 τόμους βιβλιογραφίας που θα μελετήσω, αλλά δεν αντέχω άλλο πια ρε παιδιά και πήρα την απόφαση να χρησιμοποιήσω μια δυνατότητα του router μου (3COM 3CRWDR101A-75) για να γλυτώσω από όλα αυτά. Θα ενεργοποιήσω το DMZ (demilitarized zone) για ένα από τα pc που έχω.
Η ερώτηση που έχω να κάνω σχετικά με αυτό είναι ποιοι και πόσο σημαντικοί κίνδυνοι υπάρχουν για ένα pc χωρίς καμία προστασία στο internet δεδομένου ότι δεν πρόκειται να το χρησιμοποιώ παρά μόνο για download με P2P προγράμματα.
Πιστεύετε οτι θα αντέξει αν δεν κάνω καθόλου browsing και δεν τρέχω παρά μόνο windows και e-mule;

Υ.Γ. στο παρελθόν είχα on-line υπολογιστή χωρίς καμία προστασία και τα έπαιζε μετά από κανά 2μηνο με εντατική χρήση του internet. μιλαμε ομως τινγκα στα exploits, trojan, worms κ.τ.λ.

[kourampies]

Software firewall είναι παντελώς άχρηστο (το ίδιο και το hardware firewall σε οικιακές συνθήκες) εφόσον βρίσκεσαι πίσω απο ΝΑΤ. Με DMZ κινδυνεύεις. Επίσης trojans exploits και worms θα κολλάς ανεξάρτητα από το firewall, όσο χρησιμοποιείς internet explorer.

[cprotopapas]

Software firewall είναι παντελώς άχρηστο (το ίδιο και το hardware firewall σε οικιακές συνθήκες) εφόσον βρίσκεσαι πίσω απο ΝΑΤ. Με DMZ κινδυνεύεις. Επίσης trojans exploits και worms θα κολλάς ανεξάρτητα από το firewall, όσο χρησιμοποιείς internet explorer.

Αν με το παραπάνω εννοείς ότι επειδή είσαι πίσω από ΝΑΤ,είσαι ασφαλής...πλανάσαι οικτρά.Όσο για το τελευταίο σχόλιο περί ΙΕ,μάλλον εμπάθεια παρά γνώσεις δείχνει.

[giorgosts]

Πίσω από dmz μόνο linux. Τα win δεν κάνουν γιατί δρομολογούν εσωτερικές λειτουργίες από το Internet. To software firewall είναι για να σε φυλάει από .. τον εαυτό σου.

Κάνε ένα πείραμα. Απενεργοποίησε NAT και software firewall, και κάνε ένα port scan από έξω (wan) για να δεις πόσα ports είναι ανοικτά. Σουρωτήρι.

Κάνε το ίδιο σε linux. Θα τα δεις όλα κλειστά. Period.

Windows χωρίς firewall δεν γίνεται. Ή θα έχεις το ενσωματωμένο, ή NAT, ή (καλύτερα) και τα δύο.

Είδες αν απενεργοποιήσεις το firewall βγαίνουν 100 μηνύματα στο taskbar "Ο Υπολογιστής σας κινδυνεύει" Για να το λένε αυτοί, κάτι ξέρουν.

[stefkon]

Πίσω από dmz μόνο linux. Τα win δεν κάνουν γιατί δρομολογούν εσωτερικές λειτουργίες από το Internet. To software firewall είναι για να σε φυλάει από .. τον εαυτό σου.

Κάνε ένα πείραμα. Απενεργοποίησε NAT και software firewall, και κάνε ένα port scan από έξω (wan) για να δεις πόσα ports είναι ανοικτά. Σουρωτήρι.

Κάνε το ίδιο σε linux. Θα τα δεις όλα κλειστά. Period.

Off Topic

Ε όχι και όλα κλειστά.
Υπάρχουν και εκει κάποια ports ανοικτά (δεν θυμάμαι πόσα) σλλά σε σύγκριση με τα windows είναι ........σταγόνα στον ωκεανό.

[stefkon]

Έχω φάει τα νιάτα μου και την ομορφιά μου στο forum να διαβάζω από τα ποιο παλιά threads ως και τα ποιο πρόσφατα σχετικά με firewall rules, UDP/TCP, port forwarding, κ.τ.λ. και διαπιστώνω πως ενώ όλα είναι απλά και ξεκάθαρα πάντα υπάρχουν απώλειες στην ταχύτητα και στο user friendly του πράγματος με τα firewall.
Γενικά θεωρώ τον εαυτό μου power user (τρομάρα σου!) και με ότι ασχοληθώ στο pc το φέρνω βόλτα έστω και έπειτα από 34243624365464236 τόμους βιβλιογραφίας που θα μελετήσω, αλλά δεν αντέχω άλλο πια ρε παιδιά και πήρα την απόφαση να χρησιμοποιήσω μια δυνατότητα του router μου (3COM 3CRWDR101A-75) για να γλυτώσω από όλα αυτά. Θα ενεργοποιήσω το DMZ (demilitarized zone) για ένα από τα pc που έχω.
Η ερώτηση που έχω να κάνω σχετικά με αυτό είναι ποιοι και πόσο σημαντικοί κίνδυνοι υπάρχουν για ένα pc χωρίς καμία προστασία στο internet δεδομένου ότι δεν πρόκειται να το χρησιμοποιώ παρά μόνο για download με P2P προγράμματα.
Πιστεύετε οτι θα αντέξει αν δεν κάνω καθόλου browsing και δεν τρέχω παρά μόνο windows και e-mule;

Υ.Γ. στο παρελθόν είχα on-line υπολογιστή χωρίς καμία προστασία και τα έπαιζε μετά από κανά 2μηνο με εντατική χρήση του internet. μιλαμε ομως τινγκα στα exploits, trojan, worms κ.τ.λ.

Αν είναι μόνο για αυτόν τον λόγο, ΝΑΙ.
Βάλε και ένα καλό antivirus για να ελέγχει τα προγράμματα που κατεβάζεις αν έχουν .....ιο.

[cosmos]

Αν δε βαριέσαι δες και το 2ο link στην υπογραφή μου.

[giorgosts]

Ε όχι και όλα κλειστά.
Υπάρχουν και εκει κάποια ports ανοικτά (δεν θυμάμαι πόσα) σλλά σε σύγκριση με τα windows είναι ........σταγόνα στον ωκεανό

Δεν καταλαβαίνω το offtopic. PC χωρίς firewall θέλετε; LINUX.

Δείτε τα logs μου από portscan

Spoiler:

1. Τίποτε δεν ακούει στο Internet. Όλα τα ports κλειστά

Starting Nmap 4.20 ( http://insecure.org ) at 2007-06-20 11:33 EEST
Warning: OS detection for 192.168.0.3 will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
All 65535 scanned ports on 192.168.0.3 are closed
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops
OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 7.794 seconds

2. Ανοίγουμε τον ftp server. Βλέπουμε στο scan την πόρτα 21 ανοικτή

Starting Nmap 4.20 ( http://insecure.org ) at 2007-06-20 11:34 EEST
Interesting ports on 192.168.0.3:
Not shown: 65534 closed ports
PORT STATE SERVICE
21/tcp open ftp
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.18 - 2.6.19 (x86)
Uptime: 0.005 days (since Wed Jun 20 11:28:12 2007)
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 4.586 seconds

3. Έχουμε έναν χρήστη και κατεβάζει αρχείο από το ftp Bλέπουμε την 21 καθώς και την 60011 πόρτα ανοικτές (η δεύτερη είναι η data port του ftp)

Starting Nmap 4.20 ( http://insecure.org ) at 2007-06-20 11:40 EEST
Interesting ports on 192.168.0.3:
Not shown: 65533 closed ports
PORT STATE SERVICE
21/tcp open ftp
60011/tcp open unknown
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.18 - 2.6.19 (x86)
Uptime: 0.008 days (since Wed Jun 20 11:28:12 2007)
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 3.635 seconds

4. Ανοίγουμε τον vnc Βλέπουμε στο portscan ανοικτές τις 21, 5800, και 5900 πόρτες (ftp και vnc)

Starting Nmap 4.20 ( http://insecure.org ) at 2007-06-20 11:42 EEST
Interesting ports on 192.168.0.3:
Not shown: 65532 closed ports
PORT STATE SERVICE
21/tcp open ftp
5800/tcp open vnc-http
5900/tcp open vnc
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.18 - 2.6.19 (x86)
Uptime: 0.010 days (since Wed Jun 20 11:28:12 2007)
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 3.526 seconds

5. Ανοίγουμε και το Azureus. Εκτός των προηγουμένων, μας ανοίγει και την πόρτα 62589 που έχουμε ορίσει γι' αυτόν

Starting Nmap 4.20 ( http://insecure.org ) at 2007-06-20 11:44 EEST
Interesting ports on 192.168.0.3:
Not shown: 65531 closed ports
PORT STATE SERVICE
21/tcp open ftp
5800/tcp open vnc-http
5900/tcp open vnc
62589/tcp open unknown
No exact OS matches for host (If you know what OS is running on it, see http://insecure.org/nmap/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=4.20%D=6/20%OT=21%CT=1%CU=42012%PV=Y%DS=0%G=Y%TM=4678E8DF%P=i686-
OSc-linux-gnu)SEQ(SP=C1%GCD=1%ISR=C2%TI=Z%II=I%TS=8)SEQ(SP=C1%GCD=1%ISR=C
OS:3%TI=Z%II=I%TS=8)SEQ(SP=C1%GCD=1%ISR=C2%TI=Z%II=I%TS=8)OPS(O1=M400CST11N
OS:W5%O2=M400CST11NW5%O3=M400CNNT11NW5%O4=M400CST11NW5%O5=M400CST11NW5%O6=M
OS:400CST11)WIN(W1=8000%W2=8000%W3=8000%W4=8000%W5=8000%W6=8000)ECN(R=Y%DF=
OS:Y%T=40%W=8018%O=M400CNNSNW5%CC=N%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+%F=AS%RD=0%
OS:Q=)T2(R=N)T3(R=Y%DF=Y%T=40%W=8000%S=O%A=S+%F=AS%O=M400CST11NW5%RD=0%Q=)T
OS:4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+
OS:%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y
OS:%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=40%TOS=C0%IPL=164%UN=0%
OS:RIPL=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=N%T=40%TOSI=S%CD=S%SI
OS:=S%DLI=S)


Uptime: 0.011 days (since Wed Jun 20 11:28:12 2007)
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 14.397 seconds

5. Ενεργοποιούμε και το http seed του Azureus (για να μπορεί να seedάρει χωρίς να παίρνουν χαμπάρι οι ISP). Βλέπουμε και την πόρτα 8080 (http-alt) ανοικτή

Starting Nmap 4.20 ( http://insecure.org ) at 2007-06-20 11:45 EEST
Interesting ports on 192.168.0.3:
Not shown: 65530 closed ports
PORT STATE SERVICE
21/tcp open ftp
5800/tcp open vnc-http
5900/tcp open vnc
8080/tcp open http-proxy
62589/tcp open unknown
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.18 - 2.6.19 (x86)
Uptime: 0.012 days (since Wed Jun 20 11:28:12 2007)
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 3.689 seconds

6. Τα κλείνουμε όλα. Τί βλέπουμε; ΤΙΠΟΤΑ

Starting Nmap 4.20 ( http://insecure.org ) at 2007-06-20 11:47 EEST
Warning: OS detection for 192.168.0.3 will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
All 65535 scanned ports on 192.168.0.3 are closed
Too many fingerprints match this host to give specific OS details
Network Distance: 0 hops

OS detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 7.896 seconds

Προσοχή!! Δεν λέει filtered (firewalled) Λέει closed. Δεν υπάρχει firewall

Όποιος θέλει ασφάλεια βάζει LINUX. Οι άλλοι πρέπει να πληρώνουν προστασία.

[stefkon]

Δεν καταλαβαίνω το offtopic. PC χωρίς firewall θέλετε; LINUX.

Δείτε τα logs μου από portscan

Spoiler:

1. Τίποτε δεν ακούει στο Internet. Όλα τα ports κλειστά


2. Ανοίγουμε τον ftp server. Βλέπουμε στο scan την πόρτα 21 ανοικτή


3. Έχουμε έναν χρήστη και κατεβάζει αρχείο από το ftp Bλέπουμε την 21 πόρτα, καθώς και την 60011 πόρτα ανοικτές (η δεύτερη είναι η data port του ftp



4. Ανοίγουμε τον vnc Βλέπουμε στο portscan ανοικτές τις 21, 5800, και 5900 πόρτες (ftp και vnc)



5. Ανοίγουμε και το Azureus. Εκτός των προηγουμένων, μας ανοίγει και την πόρτα 62589 που έχουμε ορίσει γι' αυτόν



5. Ενεργοποιούμε και το http seed του Azureus (για να μπορεί να seedάρει χωρίς να παίρνουν χαμπάρι οι ISP). Βλέπουμε και την πόρτα 8080 (http-alt) ανοικτή



6. Τα κλείνουμε όλα. Τί βλέπουμε; ΤΙΠΟΤΑ

Όποιος θέλει ασφάλεια βάζει LINUX. Οι άλλοι πρέπει να πληρώνουν προστασία.

Off Topic

Άμα ήξερε Linux θα έβαζε.
Αν δεν ξέρεις απο Linux και δεν έχεις όρεξη ή χρόνο να μάθεις τότε τα windows είναι .....μονόδρομος.

Υ.Γ.
Και το linux έχει firewall.

[giorgosts]

Άμα ήξερε Linux θα έβαζε. Αν δεν ξέρεις απο Linux και δεν έχεις όρεξη ή χρόνο να μάθεις τότε τα windows είναι .....μονόδρομος.

Να μην παίζει τότε με πράγματα που δεν καταλαβαίνει. Για να σου λέει η Microsoft ότι το τείχος προστασίας χρειάζεται, κάτι ξέρει παραπάνω.

[stefkon]

Να μην παίζει τότε με πράγματα που δεν καταλαβαίνει. Για να σου λέει η Microsoft ότι το τείχος προστασίας χρειάζεται, κάτι ξέρει παραπάνω.

Μόνο που ο τείχος προστασίας που παρέχει η Microsoft είναι για τα μπάζα.

[AddictedToChaos]

Να μην παίζει τότε με πράγματα που δεν καταλαβαίνει. Για να σου λέει η Microsoft ότι το τείχος προστασίας χρειάζεται, κάτι ξέρει παραπάνω.

Η M$ λέει πολλά, γενικότερα.

Πόσα απ' αυτά που λέει ισχύουν και στην πραγματικότητα όμως... είναι άλλο θέμα

[giorgosts]

Μόνο που ο τείχος προστασίας που παρέχει η Microsoft είναι για τα μπάζα.

Μία χαρά είναι. Επιτρέπει τα εξερχόμενα και απαγορεύει τα εισερχόμενα, εκτός των εξαιρέσεων που ορίζει ο χρήστης.

Τα PF είναι γι' αυτούς που δεν ξέρουν, και δημιουργούν πολλά προβλήματα. Πας να συνδεθείς στο Ιντερντ και σε ρωτάει; Θες να συνδεθείς στο Internet; (Τι λές ρε μμκ, δεν θέλω; )

(Βέβαια το πρόβλημα είναι λίγο πιό σύνθετο. Ο μέσος χρήστης windows δεν είναι κυρίαρχος στο μηχάνημά του. Κυρίαρχες είναι οι εταιρίες που βάζουν τα προγράμματα, και το PF μπορεί να μπλοκάρει την πρόσβαση στο Internet αυτών των προγραμμάτων).

Δες το 2ο link του cosmos

[stefkon]

Μία χαρά είναι. Επιτρέπει τα εξερχόμενα και απαγορεύει τα εισερχόμενα, εκτός των εξαιρέσεων που ορίζει ο χρήστης. Ρυθμίζεται και ανάποδα. (Δηλ. και τα εξερχόμενα)

Τα PF είναι γι' αυτούς που δεν ξέρουν, και δημιουργούν πολλά προβλήματα.

Δες το 2ο link του cosmos

Off Topic

Μόνο μια χαρά δεν είναι.
Το τι επιτρέπει και τι δεν επιτρέπει (εισερχόμενα - εξερχόμενα)........είναι κάτι που θα πρέπει να το συζητήσουμε αλλού.
Θέλει πολύ δουλειά ακόμα το "τείχος"
Δεν χρειάζεται να το δω

[chao]

1. Ο μέσος χρόνος, που θα δεχθεί ένας χρήστης επίθεση μόλις συνδεθεί στο internet, έχει μειωθεί στα 5 λεπτά της ώρας.


2. `Αν το ζητούμενο είναι το emule, αναζήτησε έναν εξωτερικό σκληρό δίσκο, με ethernet θύρα, mini-Linux λειτουργικό και ξεμπέρδεψες.

Γλυτώνεις ένα PC ανοιχτό, ο σκληρός έχει χώρο να στήσεις ότι service θέλεις (i-ptables), ενώ ο χειρισμός του emule γίνεται over HTTP.


3. Ελάχιστα firewall (είτε hardware, είτε software υλοποίηση) μπορούν να θεωρηθούν απόλυτα αξιόπιστες λύσεις, το εξής ένα: IP-TABLES


4. Αν είσαι διστακτικός με το Linux, διάλεξε ένα PC τριετίας, βάλε XP και 3 αξιοπρεπή προγράμματα προστασίας ΔΩΡΕΑΝ,

(Outpost Free, Peerguardian, Clam Antivirus), δρομολόγησε το Port Forwarding μόνο στο συγκεκριμένο PC, και καθάρισες.