rautapalomuurin hyöty softapalomuuriin

Seuraa 
Viestejä45973
Liittynyt3.9.2015

Mikä on ero ja hyöty rautapalomuurissa suhteessa softapalomuuriin? En tarkoita Windowsin omaa palomuuriia, vaan erillisiä palomuuriohjelmia (Sygate, Comodo, ZoneAlarm, Jetico, Kerio ym.)

Mikä on mielestänne paras softapalomuuri?

Onko rautapalomuurista vaikeampi päästä läpi kuin ohjelmallisesta palomuurista ja jos niin miksi? Voiko hyökkääjä päästä verkosta käsiksi rautapalomuurin ohjelmaan ja muuttaa sitä niin että saa palomuurin vuotamaan, ilmeisesti näin pystyy softapalomuurin kanssa tekemään jos hyökkääjä pääsee sallitun palvelun esim. selaimen haavoittuvuuden kautta koneelle ja käsittelemään softapalomuuria niin että se vuotaa tavalla tai toisella.

Onko haittaa jos käyttää sekä rauta- että softapalomuuria?
Kannattaako käyttää softapalomuurissa "stealth mode browsing" säätöä, joka ilmeisesti piilottaa käyttöjärjestelmän ja muuta tietoa koneestasi kohdesivulta, jolloin hyökkäys hankaloituu koska koneen käyttöjärjestelmää ei tunnisteta.

Minkä kohtuu edullisen rautapalomuurin kannattaisi hankkia jotta kotiverkko pysyisi mahdollisimman hyvin suojassa. Laittakaa merkki ja malli, jos tiedätte hyviä.

Minulla on langaton verkko jonka kautta annan lähistön ihmisten olla yhteydessä kiinteään laajakaistanettiyhteyteeni, jonka kaistaa en itse käytä täydellä teholla, ja haluan suojata erillisen lähiverkkoni, niin että kukaan ei pääse sitä kautta koneilleni.

Sivut

Kommentit (27)

Volitans
Seuraa 
Viestejä10670
Liittynyt16.3.2005

En jaksanut edes lukea koko aloitustasi, sillä vastaus on helppo: Parempi olla molemmat.

Aiemmin, kun näitä hommia tein ammaitkseni, niin molemmat aina - haavottuvaisuuksia löytyy sekä raudasta, että softasta.

Vierailija

Noita on moneen lähtöön. Nykyisiin (jo monta vuotta) ADSL-modeemin oletusasetuksena on NAT sekä palomuuri päällä. Muutama vuosi sitten oli Zytselillä malli olikohan joku 601H josta se piti erikseen asettaa ohjelmallisesti päälle.
Oletettavasti käyttänet jo läviverkossasi NAT -jakoa. Osoitesarja 192... jne.

Softapalomuuri eroaa rautapuolelta lähinnä siinä, että rautapuolen liikennettä valvotaan lähinnä sisäänpäin, ei ulos. Ite käytän molempia, tosin palvelinpuolella ei voi käyttää nattaavaa, mutta siellä hyrrääkin Linux järjestelmät.

Rautapuoli perusmuuriksi ja sitten softapuolelle esim Kerio, ZoneAlaram tms. Joskus olen kokeillut kahtakin softapuolen juttua yhtä-aikaisesti, mutta sitten liikenne takkuilee.

On sitten konetehoista kiinni, että jos menee kaupallisiin (maksullisiin) tuotteisiin.

Vierailija

Langaton kytkin vain koneen ja verkon väliin niin säästyy kortteja polttavilta räpsyiltkin ja saa palomuurin. Erillisellä modeemilla ja kytkimellä.

Volitans
Seuraa 
Viestejä10670
Liittynyt16.3.2005
Lassi

Oletettavasti käyttänet jo läviverkossasi NAT -jakoa. Osoitesarja 192... jne.

NAT on erinomaisen hyvä keksintö. Siinä osoitteita "väärennetään" lennossa, jolloin sisäverkon osoitteet ovat RFC 1918 mukaisia. Internetin reitittimet on tätä varten perusasetuksiltaan sellaisia, että näitä sisäverkon osoitteita ei edes reititetä (ilman erillistä konffausta).

NAT:n takan oleviin koneisiin on suoraan mahdotonta ottaa yhteyttä netin puolelta. Ainoat "reiät" johtuvat itse ohjelmista, jotka avaavat "putkia" nettiiin.

Vierailija

Jassanu(oikeesti kerkeä) lukea, mutta pääsääntöisesti:

- Rautamuuri pitää tulevat kurissa ja

- Softa lähtevät (mahdlliset haittaohjelmat huomaa softa helpommin)

Vierailija

Puhdasta kakkaa koko kysymyksen asettelu.

Jos sinulla on vain 1 tietokone, niin olet liemessä väistämättä.

On pakko olla erikseen toimistokone ja peli/selailukone.

Peli/selailukoneen palomuuriin täytyy panna aukkoja, jotta pelit toimii. Näitä pitkin sitten troijalaiset yms haittaohjelmat (pelidemot) voi lähettää koneesi tietoa muualle. Ei niiden lataamista voi välttää jos haluaa elää. Eikä mikään palomuuri osaa suodattaa kaikkea ulospäin menevää. Tietoa voi siirtää vaikka pingeillä hissukseen.

Toimistokoneella ei tarvi olla yleensä paljoa tehoa, joten ei maksakaan kuin 15 euroa kuussa poisto korkoineen 3 vuoden kuoletusajalle, mikä on riittävä aika. 6 vuottakin on sopiva aika eli 7.5 eur / kk.

Varmuuden vuoksi voi laittaa toimistokoneen tärkeät tiedostot vain USB-muistiin. Monta pientä tikkua, niin vain se olennainen on kiinni sillä hetkellä. Mikään virus ei näe niitä.

Yksi hyvä keino on myös rompulta boottaava käyttöjärjestelmä. Niitä ei saastuta mikään pysyvästi.

En käsitä miksei Lassi koneiden myyjänä heti kannata tämmöistä vaihtoehtoa. Tämä johtaa paljon parempaan elintasoon, kun ei ole liikaa ohjelmia samalla koneella. Win ei oikein kestä sitä, tehot katoaa jo muutamasta isosta ohjelmasta (Office, C++, virusskanneri, muutama muu niin 50% hitaampi bootti).

Virtualisointi on sitten siitä näppärä että nämä eri käyttikset voi olla samalla koneella yhtä aikaa käytössä. Mutta mieluummin 2 erillistä ja erilliset näytöt ja näppäimistöt, ei mitään kvm-kytkimiä. Kyllä pöytätilaa kaikilla sen verran riittää, ja näytöt + näppäimistöt on ilmaisia.

Yksi ikävä puoli on se, että eri koneiden välillä ei copy-paste toimi. Voin myydä sellaisia hiiriä, jotka tallettaa copyn itseensä, joten voi pastettaa sen toiseen systeemiin. Tietääkseni tämmöisiä ei saa kaupoista.

Vierailija
Boysen
Puhdasta kakkaa koko kysymyksen asettelu.

Jos sinulla on vain 1 tietokone, niin olet liemessä väistämättä.

On pakko olla erikseen toimistokone ja peli/selailukone.

Peli/selailukoneen palomuuriin täytyy panna aukkoja, jotta pelit toimii. Näitä pitkin sitten troijalaiset yms haittaohjelmat (pelidemot) voi lähettää koneesi tietoa muualle. Ei niiden lataamista voi välttää jos haluaa elää. Eikä mikään palomuuri osaa suodattaa kaikkea ulospäin menevää. Tietoa voi siirtää vaikka pingeillä hissukseen.

Toimistokoneella ei tarvi olla yleensä paljoa tehoa, joten ei maksakaan kuin 15 euroa kuussa poisto korkoineen 3 vuoden kuoletusajalle, mikä on riittävä aika. 6 vuottakin on sopiva aika eli 7.5 eur / kk.

Varmuuden vuoksi voi laittaa toimistokoneen tärkeät tiedostot vain USB-muistiin. Monta pientä tikkua, niin vain se olennainen on kiinni sillä hetkellä. Mikään virus ei näe niitä.

Yksi hyvä keino on myös rompulta boottaava käyttöjärjestelmä. Niitä ei saastuta mikään pysyvästi.

En käsitä miksei Lassi koneiden myyjänä heti kannata tämmöistä vaihtoehtoa. Tämä johtaa paljon parempaan elintasoon, kun ei ole liikaa ohjelmia samalla koneella. Win ei oikein kestä sitä, tehot katoaa jo muutamasta isosta ohjelmasta (Office, C++, virusskanneri, muutama muu niin 50% hitaampi bootti).

Virtualisointi on sitten siitä näppärä että nämä eri käyttikset voi olla samalla koneella yhtä aikaa käytössä. Mutta mieluummin 2 erillistä ja erilliset näytöt ja näppäimistöt, ei mitään kvm-kytkimiä. Kyllä pöytätilaa kaikilla sen verran riittää, ja näytöt + näppäimistöt on ilmaisia.

Yksi ikävä puoli on se, että eri koneiden välillä ei copy-paste toimi. Voin myydä sellaisia hiiriä, jotka tallettaa copyn itseensä, joten voi pastettaa sen toiseen systeemiin. Tietääkseni tämmöisiä ei saa kaupoista.

Mulla on oletuksena se, että hommat hoituu mahdollisimman joustavasti.
Olette mielestäni kaikki oikeassa, että käyttäjä on suurin turvallisuusongelma näissä. Jotenkin kysymyksen asettelu oli tosiaan hiukka hankala. Siinä on mukana Wlan juttua, joka on mielestäni kaikkein turvattomin sen laitteen oletusasetuksilla. Naapurin sama kanava saattaa helpostikin sekoontua, sekoittaa kummatkin järjestelmät. Joku on saattannutkin huomata, että miten ruudulle ilmaantuu tekstiä ihan itekseen. Toi oli kylläkin langattoman näppiksen ongelma kerrostaloissa, mutta periaatteessa noi se menee

Vierailija

XP:lle suosittelisin Sygatea, yli 3 vuotta käyttänyt kun vielä XP oli itsellä... nyt vistan kanssa Agnitum Outpostia(ei ilmainen mutta hyvä)(komodoa kohta vois taas kokeilla vistalle kun uuden version siitä laittoivat pihalle)

Zonealarmia missään nimessä kannata, vaikka kuinka helppo olisikin, sillä niin monia tunnettuja ongelmia esim melkein jokaisen p2p-ohjelman kanssa

edit; ja niitten rautatason muurien kanssa ei ole tullut itsellä leikittyä että niistä en osaa sanoa suuntaan enkä toiseen

Vierailija

Itse käytän rautapalomuuria joka on yhdistetty hunajapurkkinettipalvelimeen, johon varsinainen koneeni on liitetty epäsuorasti (?):n ja verkon välityksellä, ja vain nettiyhteyksien aikana, muuna aikana verkkoyhteys on poissa käytössä. Mahdollisen vertaisverkkoliikenteen hoidan hunajapurkilla jossa on myös softapalomuuri.
Mistäkö nimi hunajapurkki, siitä että palvelin sisältää ns. "kiinnostavia tiedostoja", joiden aukaisu vaikkapa explorer.exe:n kanssa käynnistää prosesseja jotka tekevät hälytyksen tunkeutumisesta ja tallentavat ip-liikenteen ja lähetetyt/vastaanotetut paketit. Tiedän siis heti mikäli joku tuntematon on koneella netin kautta ja mitä hän mahdollisesti tekee. Ja huolimatta hunajapurkin rautapalomuurista ja softapalomuurista tai muutamasta softapalomuurista välillä koneella on liikennettä joka tarttuu hunajapurkkitiedostoin ja käynnistää paljastusprosessit. Näissä käytetään palvelujen haavoittuvuuksia ja myös protokollien haavoittuvuuksia. Tietenkin tekijät voi vain arvata, tosin välillä pääsen namujen avulla vihollisen koneellekin vakoilemaan.
Tietenkin hunajapurkki pyyhkii myös kaikki lokitiedot ja jäljet säännöllisesti ja varsinainen koneeni muuttaa MAC-osoitetta säännöllisesti ohjelmallisesti.

Vierailija
nettiwelho
XP:lle suosittelisin Sygatea, yli 3 vuotta käyttänyt kun vielä XP oli itsellä... nyt vistan kanssa Agnitum Outpostia(ei ilmainen mutta hyvä)(komodoa kohta vois taas kokeilla vistalle kun uuden version siitä laittoivat pihalle)
Zonealarmia missään nimessä kannata, vaikka kuinka helppo olisikin, sillä niin monia tunnettuja ongelmia esim melkein jokaisen p2p-ohjelman kanssa
edit; ja niitten rautatason muurien kanssa ei ole tullut itsellä leikittyä että niistä en osaa sanoa suuntaan enkä toiseen
Jep, jep. Zone onkin mennyt pikkaisen hankalaksi. Mun asiakkaat ei kylläkään käytä P2P juttuja. Ovat pääasiassa yrittäjiä.

Tätähän sivustoa kannattaa hyödyntää http://koti.mbnet.fi/pattaya1/ Tosin nyt on fonttikoko pikkaisen "lipsunut"

LISÄYS: Äh. Mulla olikin lipsunut selaimen asetus. Sori

Vierailija

Kunnon rautapalomuuri valvoo ja blokkaa myös ulospäin menevää liikennettä.

Kotikäytössä softamuuri on varmasti ihan ok ratkaisu, mutta jos on paljon koneita verkossa, niin rautamuuri tulee helpommaksi hallita.

Vanhalle koneelle hyvä käyttötarkoitus, tarvitsee vain 2-3 verkkokorttia:
http://www.smoothwall.org/

Vierailija
ilesoft
Kunnon rautapalomuuri valvoo ja blokkaa myös ulospäin menevää liikennettä.
Kotikäytössä softamuuri on varmasti ihan ok ratkaisu, mutta jos on paljon koneita verkossa, niin rautamuuri tulee helpommaksi hallita.
Vanhalle koneelle hyvä käyttötarkoitus, tarvitsee vain 2-3 verkkokorttia:
http://www.smoothwall.org/

Ei noi vanhemmat purkit plokkaa ulospäin menevää liikennettä. Tämähän koskee oikeastaan ns. Troijalaisia, joita parhaiten saa sähköpostin kautta. Tosin kyllä muutamilta www-sivuiltakin niitä saa ihan siellä käymällä. Tosi ilkeitä otuksia ovat. Tässäpä Viestintäviraston osoite http://www.cert.fi

Mullehan tulee ajantasalla olevat virusvaroitukset Pandan kautta, vaikka en käytäkkään heidän virusturvaa. Avast on pätevä myös sähköpostipuolella. Omille sivuillenne saatte samanlaisen koodijutun Pandalta kuin tänne http://www.jokilaakso.com/tico ja sinne vasempaan reunaan sen asemoin.

Näissä tämän tyyppisissä keskusteluissa on sellainen ongelma, että herkästi menee meidän ns. "slangille" ja silloin monilta lopahtaa mielenkiinto. Itse pyrin käyttämään kaikessa tähän alaan liittyvässä neuvonnassa mahdollisimman havannoillista sanankäyttöä. Kaikkea tietämystään ei tarvitse kertoa.
Samahan pätee mm. tämän foorumin muutamissa ketjuissa

Vierailija
Vainotus
Itse käytän rautapalomuuria joka on yhdistetty hunajapurkkinettipalvelimeen, johon varsinainen koneeni on liitetty epäsuorasti (?):n ja verkon välityksellä, ja vain nettiyhteyksien aikana, muuna aikana verkkoyhteys on poissa käytössä. Mahdollisen vertaisverkkoliikenteen hoidan hunajapurkilla jossa on myös softapalomuuri.
Mistäkö nimi hunajapurkki, siitä että palvelin sisältää ns. "kiinnostavia tiedostoja", joiden aukaisu vaikkapa explorer.exe:n kanssa käynnistää prosesseja jotka tekevät hälytyksen tunkeutumisesta ja tallentavat ip-liikenteen ja lähetetyt/vastaanotetut paketit. Tiedän siis heti mikäli joku tuntematon on koneella netin kautta ja mitä hän mahdollisesti tekee. Ja huolimatta hunajapurkin rautapalomuurista ja softapalomuurista tai muutamasta softapalomuurista välillä koneella on liikennettä joka tarttuu hunajapurkkitiedostoin ja käynnistää paljastusprosessit. Näissä käytetään palvelujen haavoittuvuuksia ja myös protokollien haavoittuvuuksia. Tietenkin tekijät voi vain arvata, tosin välillä pääsen namujen avulla vihollisen koneellekin vakoilemaan.
Tietenkin hunajapurkki pyyhkii myös kaikki lokitiedot ja jäljet säännöllisesti ja varsinainen koneeni muuttaa MAC-osoitetta säännöllisesti ohjelmallisesti.

Jaa pääset namujen avulla "vihollisen" koneelle vakoilemaan. Eli jollekin bottikoneelle josta tulee hyökkäyksiä randomilla Aika l33t h4xx0r meininki sulla.

Miksi hyötyä on MAC-osoitteen jatkuvasta vaihtamisesta? Yrität saada eri ip-osoitteita jotta waretustasi olisi vaikeampaa seurata?

Vierailija
babun
Miksi hyötyä on MAC-osoitteen jatkuvasta vaihtamisesta? Yrität saada eri ip-osoitteita jotta waretustasi olisi vaikeampaa seurata?
Ei paljoa vaikeuta, kun ISP tietää DSLAMin portin.

Vierailija
babun
Jaa pääset namujen avulla "vihollisen" koneelle vakoilemaan. Eli jollekin bottikoneelle josta tulee hyökkäyksiä randomilla Aika l33t h4xx0r meininki sulla.

No voin sanoa suoraan että bottikoneet eivät koneelleni tunkeudu, vaan tässä on käsityötä takana.

babun
Miksi hyötyä on MAC-osoitteen jatkuvasta vaihtamisesta? Yrität saada eri ip-osoitteita jotta waretustasi olisi vaikeampaa seurata?
Ei vaan syy on aivan toinen.

Sivut

Uusimmat

Suosituimmat