ΓΝΩΜΗ ΣΑΣ: FIREWALL ΣΤΟΝ ROUTER ή SOFTWARE FIREWALL στο PC?

[ikonsgr]

Μιας και είμαι καινούριος στον κόσμο των μόνιμων συνδέσεων και των μεγάλων ταχυτήτων (δε θέλω γέλια.. 8) ) θα ήθελα να ρωτησω τη γνώμη των παλαιότερων στο κουρμπέτι για κατι που πιστευω ενδιαφέρει πολλους ,ειδικά νέους χρηστες adsl.Που θεωρειται ότι είναι καλύτερο να έχεις τον firewall απο θέμα ασφάλειας λειτουργείας κτλ. , στο router ή στο Pc? Εγω τις λίγες μέρες που έχω adsl έχω ενεργοποιήσει το security στον router και τα Intrusion detections αλλά όχι τον firewall.Εχω software firewall στο pc με φιλτράρισμα σε όλα τα προγράμματα εκτος απο τα p2p Προγράμματα τα οποία και έχω αφήσει ελευθερα. Οποιεσδήποτε συμβουλές , σχόλια , παρατηρήσεις ευπρόσδεκτα.[/b]

[PALADIN]

βάλε καί τα δύο να έχεις το κεφάλι σου ήσυχο.

αλλά το firewall του router είναι σαφώς καλύτερο, έτσι λένε οι ειδικοί εδώ στο φόρουμ. ΧιΧιΧι - γελάω κατόπιν εορτής, πειράζει;

[ikonsgr]

To βασικό στοιχείο διαφοράς ανάμεσα σ'αυτά τα 2 νομίζω ότι είναι το γεγονός ότι σε software firewall μπορείς να ελέγχεις το κάθε προγραμμα που έχει προσβαση στο Internet ξεχωριστά, ενώ με τον router μπορείς να ελεγχεις τα πράματα μονο σε επίπεδο πρωτοκόλου/Port. Αυτό που φοβάμαι είναι μήπως ενεργοποιώντας τον firewall στον router δυσκολέψω την λειτουργία των p2p clients π.χ. στο winmx ακόμα και όταν έκανα mapping ώστε να αφήνει τα 2 port Που θέλει σε tcp Και Udp και να μου τα στέλενει στο pc Που τρέχει το winmx με ενεργοποιημένο το router firewall και χωρίς καθόλου software firewall αρνούνταν να τρέξει το τεστ που ελέγχει αν είναι ελευθερα τα Ports για επικοινωνία.

[ogenikos]

Το hardware firewall είναι επίσης πιο γρήγορο αλλα πιο δύσκολο στην παραμετροποίηση σε σχέση με τo software για έναν ψιλοάσχετο με το αντικείμενο.
Εγώ πάντως όταν μπαίνω σε χοντρά κόλπα (επικύνδυνα sites, irc κλπ) τα ενεργοποιώ και τα δύο, αλλιώς τον περισσότερο χρόνο χρησιμοποιώ μόνο το firewall tou router.

[ikonsgr]

To Μcafee Πάντως που έχω είναι παραμετροποιήσιμο μεχρι εκει που δε πέρνει, μπορείς να κάτσεις μέρες ολόκληρες και να σχεδιάσεις 100άδες κανόνες φιλτραρίσματος για κάθε πρόγραμμα ξεχωριστά, τέτοιου είδους παραμετροποίηση δεν έχει κανένα firewall router 8) Και τα 2 μαζί δεν είναι λίγο υπερβολή?

[XTCgr]

και τα 2 ταυτόχρονα για να είσαι σίγουρος - έχουν αγριέψει τα πράγματα στο net

[ikonsgr]

Aμα σου έκοβε όλα τα direct connections σημαίνει ότι δεν δουλυες καθόλου peer2peer προγράμματα (winmx, kazza, ovrnet, e-mule, κτλ) έλα όμως που εγώ δουλέυω τη γραμμή μέρα νύχτα (εδώ και μια βδομάδα) και σχεδόν αποκλειστικά για peer2peer!! Αυτό που λες πάντως το έχω εφαρμόσει στη π΄ραξη, έχω 2ο μηχάνημα μόνο για τα downloads οπώτε ότι και να πάθει .... απλώς είναι ο μπελάς να τα ξαναστηνεις όλα απ'την αρχή άμα σου γίνει καμμια τρομερή επίθεση. Αλήθεια αυτά τα Intrusion detections κάνουν δουλεία ρε παιδιά? Σε προστατευουν απο επιθέσεις?

[SSB]

Τα περισσότερα software firewalls, έχουν περισσότερες δυνατότητες από τα αντίστοιχα hardware. Για παράδειγμα μπορούν να φιλτράρουν εξερχόμενα packets (outbound), με δυνατότητα ελέγχου σε επίπεδο εφαρμογής, να χρησιμοποιούν πολύ περισσότερους παραμετρικούς κανόνες (user rules) κλπ.

Τα hardware, που στην κυριολεξία και αυτά software είναι που τρέχουν στο router, έχουν όμως ένα - δύο ανεκτίμητα πλεονεκτήματα. Ένα από αυτά είναι η ταχύτητα. Ένα software firewall, αποτελείται συνήθως από δύο τμήματα, τον low level driver, και την κυρίως εφαρμογή με το user interface. Ο driver, αν και συνήθως γραμμένος σε C ή assembly, καθυστερεί κατά κάτι, την όλη μεταγωγή των πακέτων στο TCP stack. Πολύ περισσότερο το δεύτερο τμήμα, η κυρίως εφαρμογή δηλαδή, χρειάζεται διαρκώς να φιλτράρει κάθε TCP/IP αίτηση και στη συνέχεια να συγκρίνει το πακέτο με τον πίνακα των κανόνων (rules).
Αυτό δημιουργεί τεράστιο overhead, πράγμα που γίνεται εύκολα αντιληπτό κατά το browsing ειδικά σε ορισμένες περιπτώσεις (π.χ. forums)
Αντίθετα τα harware firewalls, έχουν στη διάθεσή τους σχεδόν το σύνολο της (μικρής) επεξεργαστικής ισχύος του επεξεργαστή του router. Λόγω όμως του μονολιθικού τρόπου κατασκευής τους αντίθετα με τα software, δεν χρειάζεται να επικοινωνούν διαρκώς με κάποιο kernel driver, καθυστερώντας την μεταγωγή δεδομένων. Πράγμα που τα καθιστά πολλύ γρηγορότερα.

Άλλο πλεονέκτημα των HF, είναι η (συνήθως) άριστη συνεργασία με το NAT του router. Όντας στην κυριολεξία τμήματα του ίδου firmware application, δεν χρειάζεται IPC επικοινωνία που επίσης καθυστερεί, αλλά ταυτόχρονα ειδικά σε περιπτώσεις UPNP υλοποιήσεων, μπορεί ο χρήστης εύκολα να διαχειρίζεται το άνοιγμα - κλείσιμο θυρών ταυτόχρονα και στα 2 (ΝΑΤ/FW) επίπεδα.

Τέλος το ποιό ίσως σημαντικό πλεονέκτημα των HF, είναι η ύπαρξή τους στο εξώτερο σημείο του εσωτερικού δικτύου, μέσα στο router.
Με αυτόν τον τρόπο, προστατεύουν το σύνολο των μηχανημάτων του δικτύου, χρησιμοποιώντας ελάχιστους πόρους, και παρέχοντας την δυνατότητα αν γίνει σωστή ρύθμιση μιά φορά να μην χρειάζεται επιμέρους εγκατάσταση και ρύθμιση κάθε τερματικού.

Πολλοί χρήστες ισχυρίζονται ότι για ακόμα περισσότερη ασφάλεια μπορεί κάποιος να χρησιμοποιεί ταυτόχρονα το hardware firewall του router και το software του μηχανήματός του. Αν η υλοποίηση του HF του router είναι σωστή και όχι απλά στοιχειώδης όπως σε μερικά modems της αγοράς, παρέχει μεγάλες δυνατότητες παραμετροποίησης. Σε αυτή την περίπτωση αν γίνει υπεύθυνα και σωστά, πράγμα που ισχύει και στα software, τότε θεωρώ περιττή την ταυτόχρονη ύπαρξη και ενός SF. Δεν βλάπτει αλλά δεν προσφέρει και τίποτα εκτός ίσως από ... ψυχολογική υποστήριξη

Υπάρχουν και πολλά άλλα πλεονεκτήματα των HF και ίσως και μερικά μειονοκτήματα, αλλά είναι εξαιρετικά δύσκολο να περιγραφούν σε ένα μόνο post.

Ελπίζω να βοήθησα

[ikonsgr]

Φίλε ssb ευχαριστώ για την τεχνική ανάλυση που μας έκανες και συμφωνώ απόλυτα σ'αυτα που λες, αλλά όσον αφορά τα software firewall αν έχεις οτιδήποτε παραπάνω απο Pentium ΙΙΙ 1000άρι ή ATHLON XP δε νομίζω να μπουκώνει τα πακέτα λόγω αδυναμίας επεξεργασίας έτσι δεν είναι?(μιλάω για dedicated μηχάνημα που το μόνο που καένι είναι να τρέχει p2p προγράμματα και ένα firewall) Αυτό πάντως που για μένα είναι ανεκτίμητο στα software firewalls και δεν μπορει να υλοποιειθεί σε router firewall είναι όπως λες κι'εσύ ο έλεγχος σε επίπεδο εφαρμογής, στον router firewall μπορείς να κάνεις το πολύ μέχρι socket (ζευγαράκι πρωτόκολο/port δηλαδή) managment , το οποίο νομίζω ότι δεν σου παρέχει αρκετη ευελιξία όταν φυσικά το firwall εξυπηρετεί ένα μικρό Home lan έτσι δεν είναι? Εφόσον βλέπω ότι είσαι και γνώστης του αντικειμένου θα ήταν πολυ ενδιαφέρον να μας πεις και τυχόν πρακτικές εμπειρίες που έχεις αποκομίσει απο την χρήση των firewalls σε επίπεδο προστασίας και λειτουργείας.

[SSB]

Φίλε ikonsgr, αυτό που σίγουρα μπορώ να σου πω είναι ότι άσχετα με την επεξεργαστική δύναμη του επεξεργαστή, παρουσιάζεται όντως πτώση της όλης απόδοσης λόγω της υλοποίησης του software firewall.

Αναλόγως του μοντέλου του driver που χρησιμοποιούν τα firewalls μπορούν να έχουν driver στο TDI layer, στο NDIS, διπλής χρήσης και στα 2 layers ή 2 ξεχωριστούς drivers, έναν για κάθε TCP layer.
Οι NDIS f/w προσφέρουν το καλύτερο επίπεδο προστασίας, λόγω του ότι το NDIS layer είναι και το κατώτερο επίπεδο του TCP πριν το hardware. Δυστυχώς σε αυτό το layer, δεν μπορεί να γίνει αναγνώριση της προέλευσης του outbound πακέτου, δηλαδή ποιά εφαρμογή το έστειλε.

Αυτός ο λόγος ειναι που χρειάζεται πλέον το ανώτερο (όχι σε απόδοση ή ασφάλεια) επίπεδο TDI, όπου υπάρχει υπογραφή της αιτούσας εφαρμογής.
Γι'αυτό και τα περισσότερα σωστά f/w πρέπει να χρησιμοποιούν και τα 2 layers σε ένα ή δύο ξεχωριστούς kernel drivers.
Θα συνιστούσα την χρήση ενός μόνο, διπλής χρήσης driver, μιάς και μειώνει δραματικά το IPC delay και ταυτόχρονα έχει στατιστικά λιγότερες πιθανότητες ασυμβατότητας με τους άλλους drivers του συστήματος.

H Sygate για παράδειγμα, παράγει f/w με δύο drivers, χωρίς αυτό να σημαίνει ότι δεν είναι καλοί, παρουσιάζουν όμως περισσότερες πιθανότητες καθηστέρησης και ασυμβατότητας.
Τα ZA είναι firewalls με ένα διπλό driver, το ίδιο και πολλά άλλα (Kerio, BI)

Οσον αφορά το ποιός είναι καλύτερος, όπως ξέρεις, έχουν γίνει άπειρες συζητήσεις και τελικά συμπέρασμα δεν βγήκε.

Σαν γενικότερος κανόνας, κάθε f/w είναι τόσο καλό όσο ο χρήστης που το ρύθμισε.

Καταλαβαίνεις λοιπόν, ότι αν πρόκειται για έμπειρο χρήστη θα πρότεινα κατηγορηματικά κάτι σαν το Kerio FW 5.xx, που πραγματικά είναι ίσως ένα από τα πληρέστερα software f/w που υπάρχουν. Ταυτόχρονα αποτελεί την ιδανική λύση NAT/ Router και web content fiter.
To ZA είναι επίσης πολύ καλό παρόλο το λίγο παιδικό user interface του.

Και πάλι επισημαίνω ότι υπάρχουν μεγάλες διαφορές μεταξύ των f/w σε επίπεδο όχι μόνο ασφάλειας, για την οποία σε τελική ανάλυση είναι συνυπεύθυνος και ο administrator, άλλά σε επίπεδο ταχύτητας.
Υπάρχουν διαφορές και σε συμβατότητα με άλλα ΝΕΤ προγράμματα, πράγμα το οποίο θα πρέπει κάποιος να το ψάξει πρίν αποφασίσει.

Τελικά, αν και φυσικά αποτελεί την γνώμη μου και μόνο αυτή, η καλύτερη λύση είναι ένα παραμετρικό hardware firewall, ένα πολύ καλό σετ rules, και για τον σχολαστικό ίσως και κάποιο software f/w στον υπολογιστή του.

Όσον αφορα τα ζεύγη θυρών που ανάφερες, τα συνήθη καλά hardware f/w που συναντώνται σε adsl modems (πχ Zyxel) προσφέρουν έως 10 συνήθως rules, που είναι αρκετοί αν σκεφτείς ότι ξεκινάς σε αφαιρετική βάση (blocked all) και ενεργοποιείς κανόνες forwarding.

Αυτά για την ώρα, και συγγνώμη για το μακροσκελές post

[ikonsgr]

Στο jetspeed Που έχω μπορείς να ορίσεις rules και με τις 2 λογικές (allow all except specified ή block all except specified) καθώς και triggers ώστε να ανοίγουν πολλές πορτες μόλις γίνει κλήση σε μία συγκεκριμένη πόρτα. Μία φορά πάντως που το δοκίμασα ενεργοποιόντας τον router firewall με user difined settings και block all except Λογική αν και έκανα forwarding τα sockets Που χρειάζονταν για να περνάνε τα διάφορα p2p που είχα, δυστηχώς δεν δούλευε κανένα Μήπως χρειάζεται και τίποτ'άλλο επιπλέον?Για τα intrusion detections τι γνώμη έχεις? Δεν σε προστα΄τεβουν αρκετά απο επιθέσεις? (ειδικά όνταν είναι σε επίπεδο router και μάλιστα στο jetspeed ενεργοποιούνται ανεξάρτητα απο το firewall). Για το firwall της mcafee που έχω τώρα τι γνώμη έχεις?

[SSB]

Για να σου δουλέψουν σωστά τα p2p αλλά και κάθε άλλο net application, πρέπει να ανοίξεις τις πόρτες και στο firewall, και στο NAT.
Δυστυχώς έχω ελάχιστη εμπειρία με τα Jetspeed, και δεν μπορώ να σε βοηθήσω. Πάντως υποθέτω ότι λειτουργεί σε αυτή την βάση όπως και τα περισσότερα routers της αγοράς.
Όσον αφορά τα ID είναι καλά σαν firewall / inbound blockers δηλαδή μπορώ να πώ ότι απλά firewalls με δυνατότητα ειδοποίησης σε κάθε port attempt. Χαρακτηριστικό πρόγραμμα αυτής της κατηγορίας είναι το BlackICE, αν και τελευταία του πρόσθεσαν και χαρακτηριστικά outbound blocking. Ουσιαστικά δεν είναι ούτε καλά ούτε κακά.
Σε αυτά πάντως το σημαντικότερο χαρακτηριστικό είναι το όσον το δυνατότερο χαμηλότερο επίπεδο λειτουργίας, δηλαδή υποχρεωτικά NDIS. Έχω δεί ID που έχοντας σαν driver ένα απλό TDI hook service, ή ακόμα ένα sockets packet filter, αφήνουν τον υπολογιστή στο έλεος του κάθε hacker που τυχόν παίζει στα δάκτυλα το NDIS. Βλέπεις το TDI έιναι υψηλό επίπεδο και αφήνει τα χαμηλά αφύλακτα.

Για το mcafee αυτό που έχω να σου πώ είναι ότι έχει όμορφο και λειτουργικό user interface αλλά δεν το βρήκα και πολύ καλό στη συμβατότητα και διάβασα και μερικά όχι και τόσο κολακευτικά σχόλια για την ασφάλεια που προσφέρει.
Και πάλι θα σου πρότεινα κάτι σαν το Outpost ή το ZA 4.5 για εύκολη χρήση ή ακόμα καλύτερα το Kerio 5 για πλήρη αλλά δυσκολότερη λύση.
Ειδικά το Kerio αν σκέφτεσαι να το εγκαταστήσεις σε rounting / NAT server.

[ikonsgr]

Τελικα κατάφερα να το κάνω να δουλεψει με τον fw του router ήθελε να ανοίγω πολλά ports με trigger για να δουλεψει το overnet και το winmx, τα mappings τα ειχα ήδη στον ΝΑΤ. Oσο για τα ID ποιο χαμηλό επίπεδο απο τα ΙD του router firewall δε νομίζω να υπάρχουν έτσι δεν είναι? 8) . Θα δοκιμάσω το kerio που λες μιας και έχω modem/router με switch και ΝΑΤ βεβαίως, αλλά μήπως και ο firewall του router μόνο δεν με καλύπτει?Εχεις το link για το kerio να μη ψάχνω... 8)

[SSB]

Σίγουρα και μόνο βάση τοπολογίας το firewall του router είναι στο ιεραρχικά χαμηλότερο σημείο του δικτύου σου

Το Kerio όπως ήδη σου είπα, στο συνιστώ ειδικά αν έχεις κάποιο dedicated Windows server, ώστε σε αυτή την περίπτωση να αναλάβει χρέη NAT/Routing/FW στη θέση του ICS/FW των Windows. Πάντως δεν χάνεις να το δοκιμάσεις, αν και μην φαντάζεσαι ότι είναι κάτι ιδιαίτερα εύκολο στην αρχή, λόγω της υψηλής παραμετροποίησης που δέχεται.

Μπορείς να βρείς 2 εκδόσεις του Kerio 5.x, η μια περιέχει και το McAfee antivirus engine.
http://www.kerio.com/kwf_download.html

Αν θέλεις μπορείς να μου πείς την γνώμη σου μετά τις δοκιμές

[ikonsgr]

Αν με το "dedicated Windows server" εννοείς και "dedicated download server" τότε σίγουρα μου κάνει . Αυτη τη στιγμή έχω 2 pc με win xp pro sp1 και είναι με τοπολογία ομότιμου δικτύου πάνω σ'ενα 8πορτο switch στο οποίο "πέφτει" και το router του Modem οπώτε όλα τα χρεη NAT/Routing/FW γίνονται στον router χωρίς να χρειάζεται κάποιο software ICS/FW για να κάνει αυτή τη δουλειά. Το μόνο που με προβληματίζει και θέλω να βάλω ΚΑΙ software fw είναι το γεγονός ότι έτσι όπως είναι δεν μπορεί να κάνει φιλτράρισμα σε επίπεδο εφαρμογών, π.χ. έχω ανοίξει ένα socket στον firewall για να δουλευει το overnet , αν καποιος άσχετος βρει το συκγεκριμένο προτόκολο/Port θα μπορεί να το χρησιμοποιήσει για να περάσει απ'το firewall τoυ router οπώτε ο μόνος τρόπος να προστατευθείς είναι να έχεις και ένα software fw το οποίο θα δουλευει σε υψηλό επίπεδο και θα επιτρέπει οτιδήποτε μπαίνει απο το συγκεκριμένο socket ΑΛΛΑ και θα τα κόβει αν δεν είναι και της συγκεκριμένης εφαρμογής.Πάντως το συμπέρασμα που έβγαλα μετα απο όλα όσα είπαμε έιναι ότι, αν έχεις την δυνατότητα (δηλ. διαθέτεις router με firewall) το καλύτερο είναι να δουλευεις τον Low-level fw στον router διοτι σου δίνει καλύτερη απόδοση, καλύπτει όλο το lan και σε προστατευει απο τυχόν προβλήματα ασφάλειας που μπορεί να έχουν τα software fws στα χαμηλά layers του TCP ενώ για επιπλέον προστασία μπορείς να έχεις και έναν software fw ο οποίος να δουευει όμως ΜΟΝΟ σε επίπεδο εφαρμογής και οχι χαμηλά. Παντως δεν ξέρω αν κατι τετοιο μπορεί να γίνει με το kerio ή οποιοδήποτε αλλο sw fw. Ευχαριστώ για το ενδιαφέρον που δείχνεις και θα ήθελα να ακούσω την αποψή σου πάνω σε αυτά.