چه فاير والي رو پيشنهاد ميكنين؟

[Hooman]

هيچ نيازی به فايروال پيدا نميکنی . . .
فايروال برای يه سيستم شخصی مشکل سازه . . .
هروقت يه شبکه معظم داشتی براش فايروال هم بخر!
موفق باشی . . .

داشتن یک دیوار آتش در هر شرایطی بسیار لازم است و هر ماشین در زمان اتصال به اینترنت نیاز دارد که برای ایمن بودن (هر چند ناچیز) یک دیوار آتش نرم افزاری بکار برد.

موضوع هفته پیش برنامه clickonline که از bbcworld پخش می شود در همین باره بود. فکر می کنم برنامه در سایت نیز هست اگر توانستید سری بزنید چون بسیار آموزنده است.

حتمن امنیت خود را در سایتهایی مانند grc.com بسنجید.

کوروش جان ممکن است بگویی دیوار آتش چرا مشکل ساز است و این قدر سه نقطه به کار نبری؟!

 

[koorosh]

نحوه عمل فايروالها در سيستمهای شخصی با فايروالهای شبکه متفاوته،
اين فايروالها در حقيقت قوانينی رو برای دسترسی سيستم به شبکه تعريف ميکنن،
اما به اين فکر نيستند که همه دسترسی ها خطرساز نيست، اينجاست که يک EndUser درمونده ميشه که کدوم دسترسی مجاز بايد باشه و کدام غير مجاز.
و اگر از روی نا آگاهی دسترسی سرويسهای خاص ويندوز رو ببنده، بشدت دچار مشکل ميشه.

اينگونه نرم افزارها، بعلت اينکه در لايه های زيرين شبکه کار ميکنن، تغييراتی که هنگام نصب در سيستم ميدهند، سيستم را از حالت استاندارد خارج ميکنن.

فايروالهای شخصی، بدون الگوريتم خاص عمل ميکنند و همين امر موجب به هم ريختگی در عملکردشون ميشه . . .

هومن جان، در مورد نظرت که نوشتی :
"داشتن یک دیوار آتش در هر شرایطی بسیار لازم است و هر ماشین در زمان اتصال به اینترنت نیاز دارد که برای ایمن بودن (هر چند ناچیز) یک دیوار آتش نرم افزاری بکار برد."
ميخوام يه نيمچه خاطره برات تعريف کنم.
حدود يکسال پيش، باهام تماس گرفتند و ازم خواستند در مورد امنيت يک وب سرور باهاشون مشاوره کنم. سروری که به گفته اونها، از لحظه اتصال به اينترنت نهايتا 1 ساعت ميتونست کار کنه و بعد از کار ميفتاد.
اين وب سرور مختص به يه سايت بخصوص بود که بيننده های زيادی داشت. وقتی رفتم سراغ Log های وب سرور، متوجه شدم در ساعت حدود 16 هزار درخواست واقعی دريافت ميکنه! به خاطر شرايط خاص اين سايت بشدت تحت حمله قرار داشت. از کشور اسراييل بيشترين حملات انجام ميشد.
تا پيش از اين مسئولين اين وب سرور تمام تلاششون رو کرده بودند تا از نظر امنيتی بتونن امنيت سرور رو تامين کنند. با شرکتهای مختلف نرم افزاری تماس گرفته بودند، نرم افزار های مختلف و معروف رو خريداری کرده بودند ولی هيچکدام چاره مشکلشون نشده بود.

ساعت 1 شب سايت رو Down کردند و سرور رو به من سپردند.
4 ساعت طول کشيد تا ويندوز رو از اول نصب کنم و تنظيمات مورد نظرم رو روش اعمال کنم.
از اون روز تا بحال هنوز همون سرور بدون حتی يک لحظه مشکل و وقفه داره به کارش ادامه ميده، فقط ماهی يکبار چک ميکنمش.

روی اون سيستم هيچکدوم از اين نرم افزار های مختلفی که به عنوان Firewall و توسط شرکتهای مختلف عرضه ميشه نصب نشده است.

خطراتی که سيستم يک کاربر معمولی رو تهديد ميکنه بيشتر از اين نيست.
اونهم با وضعيت پهنای باند کاربران ايران که به زحمت يه صفحه وب Text Only رو باز ميکنن!
به نظر من سيستمهای شخصی الزاما نيازی به فايروالهای شخصی ندارند.
اين نظر منه که در عمل و با کسب تجربه بهش رسيده ام.
اين نظر از ديدگاه صاحبان صنعت نرم افزار که قصدشون فروش برنامه هاشون هست به شدت رد ميشه، اونها دائما تاکيد ميکنند که امنيت بدون داشتن فايروال ممکن نيست.

البته، در مورد شبکه ها موضوع فرق ميکنه، فايروالی مانند PIX Firewall که با استفاده از قواعد خودش کار ميکنه واقعا نياز ضروری و واقعی در يک شبکه کامپيوتری پرترافيک است.


در ضمن، من علاقه خاصی به . . . دارم، من رو ازش منع نکن

حالا گذشته از همه اين حرفها، يه چيزی بگم؟ اگه نگم ميترکم!!!
الان که ديدم آخرين نوشته مال تو -هومن- است دلم يه جوری شد! گفتم حتما نوشته صد در صد اشتباه ميکنم و صد در صد نوشته ام رو نقض کرده!
چقدر جالبه در مورد نوشته های هيچکس اين حس رو ندارم!

ايشاللا اگه من اشتباه ميکنم از اشتباه در بيام و اگر شما . . . ، قبول کنی.

اون خاطره هم مثلا نيمچه خاطره است! اگه خاطره طولانی بود چی ميشد!


موفق باشيد . . .

 

[rammstein_persia]

از همه بابت نظارتشون ممنون.
راستش منم كه چند تا فايور وال رو تا حالا امتحان كردم (به عنوان يه يوزر البته) با حرفهاي
اقاي koorosh موافقم..يعني به اين نتيجه رسيدم كه شايد واقعا استفاده از فاير وال براي يه پي سي شخصي به دردسر هاش و سوالهاش و ..اين همه وقت گيريش و اعصاب خورد شدنش براي yesو noزدن به پرسشهاي نرم افزار و امكان منع كردن سيستم از چيزي كه نبايد منع شه و....نيرزه..حداقل براي من..

 

[Hooman]

نداشتن ديوار آتش مانند اين است که در و راه های ورودی یک خانه همیشه گشوده باشد و هرگز بسته نشود چون در نظر صاحب خانه بستن در یا راه های ورود مشکل زا است و مهاجم نا خوانده هم به خود زحمت وارد شدن نمی دهد پس به بستن در نیز نیازی نیست!

 

[Blueman]

فاير وال برای چه کاری میخوایی ؟ من انواع و اقسامش رو امتحان کردم و در حال حاضر پشت 2 تا فایر وال هستم ، فقط بگو دقیقا" برای چه کاری میخوایی . اگر صرف پروتکشن برای یک کامپیوتر باشه از مال خود ویندوز استفاده کن ، هیچ کس نمیتونه نفوذ کنه ، اگر چند تا کامپیوتر داری بگو دقیقا" چیکار میخوای بکنی شاید اطلاعات ناقص من به دردت خورد.

 

[koorosh]

بهتره در مورد ساختار و نحوه عمل مهاجمين، سيستم عامل و فايروالها کمی توضيح بدم.

65000 پورت TCP وجود دارد. برنامه های مختلفی که بعضی از آنها قسمتی از سيستم عامل هستند و بعضی ديگر توسط کاربر روی سيستم نصب شده اند روی بعضی از اين پورتها Listen ميکنند. يعنی منتظر دريافت Packet ميمانند. حال اگر برنامه ای روی پورت خاصی منتظر دريافت باشد و در اين برنامه برای جدا کردن درخواستهای درست و Packet های مخرب تمهيدی انديشيده نشده باشد، ميتوان با ارسال يک سری Packet مخرب، آن برنامه و کل سيستم را دچار مشکل کرد.

پس اگر برنامه ای روی پورتها Listen نکند، هيچ راه نفوذی وجود نخواهد داشت.

برنامه ها توسط ما کاربران نصب ميشوند، پس بايد دقت کنيم از نصب برنامه های ناشناس و تاييد نشده روی سيستم خودداری کنيم.
حتما اسم Backdoor ها را شنيده ايد. اينگونه برنامه ها، روی سيستم نصب ميشوند و روی يک پورت خاص Listen ميکنند و منتظر دريافت پيامهای مخرب ميمانند. (به زبان ساده تر يک راه برای مهاجم باز ميکنند.)
نصب برنامه فقط از طريق دوبار کليک کردن بر روی فايل exe نيست، بلکه ميتواند از طريق يک صفحه وب نصب شود، اين گونه برنامه ها بصورت ActiveX در صفخات وب گنجانيده ميشوند و پس از گرفتن تاييد از کاربر، اقدام به نصب خود ميکنند (با توجه به تنظيمات IE). نمونه ساده اين گونه برنامه ها، در سايت ياهو وجود دارد. حتما تا بحال در هنگام نصب Yahoo Messenger با درخواست تاييد مواجه شده ايد.
پس بايد دقت داشته باشيم که در سايتهای تاييد نشده، هيچ درخواست مجوزی را تاييد نکنيم. تا نميدانيم چه کاری انجام ميدهيم دکمه Yes را فشار ندهيم.

اين از بابت نرم افزار های مختلف که توسط کاربر نصب ميشوند. برويم سراغ خود سيستم عامل.

سيستم عامل نيز برای انجام کارها نياز به برقراری ارتباط با شبکه دارد. مثلا وقتی آدرس سايتی را در Internet Explorer وارد ميکنيم، سيستم عامل ابتدا از DNS Server شبکه IP Address آن دومين را ميپرسد و بعد درخواستش را به سمت مقصد ارسال ميکند.
بعضی از سرويسهای خاص نيز هستند که روی پورت خاصی Listen ميکنند تا کار خاصی انجام دهند (TS, IIS, FTP, TFTP, SMTP,SNMP, . . .)

سيستم عامل (NT,2000,XP) اگر پس از نصب، ServicePack هايشان نصب شود و تمامی Update ها و HotFix ها و Patch ها نيز طبق ليست شرکت مايکروسافت رويشان نصب گردد و به موقع Critical Update ها نيز نصب شوند، از نظر ميزان اشتباه ميتواند قابل قبول باشد. (حدودا 90 درصد قابل اطمينان است)
در مورد سرويسهايی که نامشان برده شد بايد گفت که تنها هنگاهی بايد اقدام به نصب و راه اندازی سرويس خاصی روی سيستم عامل کرد که از آن شناخت کافی داشت. زيرا بصورت پيش فرض به هيچ وجه از نظر امنيتی، وضعيت تاييد شده ای ندارند و ميتوانند سيستم را دچار مشکل کنند.

خلاصه کلام:
سيستم عامل را نميتوان به خانه تشبيه کرد و Port را نميتوان به در.
چون ما پورت باز به مفهوم در باز نداريم.

از نظر امنيتی، اگر سرويسهايی که روی سيستم عامل هستند شناخته شده باشند مشکلی برايشان بوجود نخواهد آمد.
برنامه هايی که روی سيستم نصب ميشوند اگر شناخته شده باشند، سيستم را دچار مشکل نخواهند کرد.

بنابراين يک سيستم شخصی، اگر سيستم عاملش بدرستی نصب شده باشد و برنامه ها نيز شناخته شده باشند، بدون نياز به فايروال ميتواند در شبکه کار کند و مطمئن باشد هيچ مشکلی برايش بوجود نخواهد آمد.

بستن در و راههای ورودی منزل از اين طريق است. نه اينکه درها را باز بگذاريم و با فاصله يک متری دور خانه ديوار امنيتی بکشيم !

 

[daydad]

بهتره در مورد ساختار و نحوه عمل مهاجمين، سيستم عامل و فايروالها کمی توضيح بدم.

65000 پورت TCP وجود دارد. برنامه های مختلفی که بعضی از آنها قسمتی از سيستم عامل هستند و بعضی ديگر توسط کاربر روی سيستم نصب شده اند روی بعضی از اين پورتها Listen ميکنند. يعنی منتظر دريافت Packet ميمانند. حال اگر برنامه ای روی پورت خاصی منتظر دريافت باشد و در اين برنامه برای جدا کردن درخواستهای درست و Packet های مخرب تمهيدی انديشيده نشده باشد، ميتوان با ارسال يک سری Packet مخرب، آن برنامه و کل سيستم را دچار مشکل کرد.

پس اگر برنامه ای روی پورتها Listen نکند، هيچ راه نفوذی وجود نخواهد داشت.

برنامه ها توسط ما کاربران نصب ميشوند، پس بايد دقت کنيم از نصب برنامه های ناشناس و تاييد نشده روی سيستم خودداری کنيم.
حتما اسم Backdoor ها را شنيده ايد. اينگونه برنامه ها، روی سيستم نصب ميشوند و روی يک پورت خاص Listen ميکنند و منتظر دريافت پيامهای مخرب ميمانند. (به زبان ساده تر يک راه برای مهاجم باز ميکنند.)
نصب برنامه فقط از طريق دوبار کليک کردن بر روی فايل exe نيست، بلکه ميتواند از طريق يک صفحه وب نصب شود، اين گونه برنامه ها بصورت ActiveX در صفخات وب گنجانيده ميشوند و پس از گرفتن تاييد از کاربر، اقدام به نصب خود ميکنند (با توجه به تنظيمات IE). نمونه ساده اين گونه برنامه ها، در سايت ياهو وجود دارد. حتما تا بحال در هنگام نصب Yahoo Messenger با درخواست تاييد مواجه شده ايد.
پس بايد دقت داشته باشيم که در سايتهای تاييد نشده، هيچ درخواست مجوزی را تاييد نکنيم. تا نميدانيم چه کاری انجام ميدهيم دکمه Yes را فشار ندهيم.

اين از بابت نرم افزار های مختلف که توسط کاربر نصب ميشوند. برويم سراغ خود سيستم عامل.

سيستم عامل نيز برای انجام کارها نياز به برقراری ارتباط با شبکه دارد. مثلا وقتی آدرس سايتی را در Internet Explorer وارد ميکنيم، سيستم عامل ابتدا از DNS Server شبکه IP Address آن دومين را ميپرسد و بعد درخواستش را به سمت مقصد ارسال ميکند.
بعضی از سرويسهای خاص نيز هستند که روی پورت خاصی Listen ميکنند تا کار خاصی انجام دهند (TS, IIS, FTP, TFTP, SMTP,SNMP, . . .)

سيستم عامل (NT,2000,XP) اگر پس از نصب، ServicePack هايشان نصب شود و تمامی Update ها و HotFix ها و Patch ها نيز طبق ليست شرکت مايکروسافت رويشان نصب گردد و به موقع Critical Update ها نيز نصب شوند، از نظر ميزان اشتباه ميتواند قابل قبول باشد. (حدودا 90 درصد قابل اطمينان است)
در مورد سرويسهايی که نامشان برده شد بايد گفت که تنها هنگاهی بايد اقدام به نصب و راه اندازی سرويس خاصی روی سيستم عامل کرد که از آن شناخت کافی داشت. زيرا بصورت پيش فرض به هيچ وجه از نظر امنيتی، وضعيت تاييد شده ای ندارند و ميتوانند سيستم را دچار مشکل کنند.

خلاصه کلام:
سيستم عامل را نميتوان به خانه تشبيه کرد و Port را نميتوان به در.
چون ما پورت باز به مفهوم در باز نداريم.

از نظر امنيتی، اگر سرويسهايی که روی سيستم عامل هستند شناخته شده باشند مشکلی برايشان بوجود نخواهد آمد.
برنامه هايی که روی سيستم نصب ميشوند اگر شناخته شده باشند، سيستم را دچار مشکل نخواهند کرد.

بنابراين يک سيستم شخصی، اگر سيستم عاملش بدرستی نصب شده باشد و برنامه ها نيز شناخته شده باشند، بدون نياز به فايروال ميتواند در شبکه کار کند و مطمئن باشد هيچ مشکلی برايش بوجود نخواهد آمد.

بستن در و راههای ورودی منزل از اين طريق است. نه اينکه درها را باز بگذاريم و با فاصله يک متری دور خانه ديوار امنيتی بکشيم !

مرسى كوروش كبير ... عالى بود

 

[Hooman]

به نظر من firewall های شخصی برای کاربران خانگی سودمند و لازم هستند، چون هر چند که شاید بتوان با مرتب به روز نگه داشتن سیستم عامل و برنامه ویروس یاب و از کار انداختن سرویس های غیر ضروری و دقت در بکار گیری برنامه ها به امنیت خوبی برای یک سیستم شخصی رسید، ولی این دیوارهای آتش لایه ای دیگر به امنیت کاربر می افزایند.
چند کاربر عادی را می شناسید که ویندوز و برنامه های اینترنتی دیگر را مرتب به روز نگه دارند؟ Blaster را که یادتان هست؟
چه شماری از کاربران عادی به سرویس های ویندوز آشنایی دارند؟
چند نفر می دانند untrusted software به چه گفته می شود و spyware چیست؟
شمار کاربرانی که هنگام فعال کردن سرویس ها درباره آنها مطالعه کافی می کنند، چقدر است؟
برنامه های گوناگونی در بسیاری از سیستم ها نصب است که کاربران این برنامه ها زحمت بررسی طرز کار آنها را به خود نمی دهند.
پس برای این گروه ها داشتن یک دیوار آتش خوب مانند Norton یا Zonealarm که تنظیمات اولیه آنها برای استفاده خانگی و شخصی مناسب هستند، راه آسان و ساده تری به سوی امنیت بیشتر است.
کوروش جان
در زمانی که یکی از سازه(component) ها درست کار نکند، از کار بیفتد یا دچار کاستی و کمبودی شود، یا به یکی از نکته های ایمنی که گفتی عمل نشود، چه رخ می دهد؟
نصب یک دیوار آتش برای یک کاربر عادی از پوشاندن سوراخ های امنیتی ساده تر است و اگر اشتباهی ناخواسته نیز از سوی کاربر رخ دهد، دیوار آتش می تواند آن را بپوشاند!
برای یک کاربر خانگی ساده بودن کار بسیار مهم است. یک دیوار آتش نامناسب و بد پیکر بندی شده بسیار بدتر از از یک دیوارآتش شخصی دارای پیکربندی پیش فرض است.
تنها راهی که می توان کاربر خانگی را به پیروی از نکته های ایمنی بنیادی مجاب کرد این است که به او قبولاند که ایمنی بیشتر راندمان و بازده کار را کم نمی کند.

دیوار آتش برنامه یا سخت افزاری است که اطلاعات و داده هایی را که از اتصال اینترنتی یک شبکه یا سیستم رایانه ای می گذرد، پالایش و فیلتر می کند.
دیوار آتش در برابر remote login می ایستد و جلوی دسترسی به فایل ها یا اجرای یک برنامه هدایت شده را می گیرد، بسیاری از برنامه ها دارای ویژگی هایی هستند که اجازه دسترسی از راه دور یا remote می دهند، بعضی باگ هایی دارند که به backdoor و دسترسی پنهانی به آن برنامه می انجامد. سیستم های عامل هم مانند ویندوز دارای backdoor هایی هستند و گاهی بدون کنترل امنیتی کافی دسترسی از راه دور را مجاز می کنند یا باگ هایی دارند که یک hacker کارآزموده می تواند از آنها سود ببرد.
هر ماشین در زمان اتصال مستقیم به اینترنت یک نشانی یکتا دارد و ممکن است مورد حمله قرار گیرد.
بسیاری از برنامه ها برای ساده کردن کارها به کاربر اجازه می دهند ماکرو بسازد، ماکرو script ی از command ها و دستوراتی است که آن برنامه می تواند به کار برد و اجرا کند. hacker ها می توانند ماکرو هایی بسازند که بسته به برنامه، داده های رایانه را از بین ببرد و یا به crash منجر شود.
یک ویروس می تواند نوع دسترسی یک برنامه به اینترنت را تغییر دهد.
و بسیاری از موارد دیگر... که در همه آنها یک دیوار آتش شخصی ایمنی بیشتری بدست می دهد.
همچنین بسیاری از firewall های شخصی جلوی spam را نیز می گیرند!

در اولین فرصت این پاسخ را کامل تر می کنم! کوروش جان می دانم همان طور که گفتی از پیگیری این بحث و گفتگوها دلگیر نمی شوی. چون اصلن دوست ندارم نظرم در چنین موضوع هایی موجب ناراحتی گردد و تنها برای اظهار مخالفت با نظر یک شخص خاص دانسته شود چون به هیچ وجه چنین نیست.

 

[koorosh]

هومن جان حق با توست.
پوشاندن سوراخ های امنیتی برای End User سخت است. راحت ترين راه استفاده از يه برنامه است که بدون دردسر و بدون تنظيم خاص و مشکل، امنيت سيستم را تامين کند.
من هم فکر ميکنم نصب يک Personal Firewall راه مناسبی است.
و توصيه ام استفاده از Norton است.

خوش باشيد و موفق

 

[en2fa]

من هم تأييد ميکنم نظر جفتتون رو
(ميدونم که همتون منتظر تأييد من بوديد!!!!)

راستش من هميشه آخرين hotfix ها و ptch ها رو رويه يکی از system هام (xp) نصب ميکردم
اما از وقتی که يکی منو hack کرد من هم به firewall روی آوردم.
اما در کل خيلی باعث کنی ميشه و اذيت هم زياد ميکنه...و اما يک اطمينان خاطر الکی هم ميده که این خودش از لحاض روانی
خيلی مهمه....

راستی من هم به 3 نقطه اعتقاد دارم...ايول به جفتمون

 

[rammstein_persia]

نظرات koorosh و Hooman هركدوم در نوع خودش درست هست.
بهرحال بحث جالبي اينجا شد.منكه استفاده كردم.

 

[Hooman]

هومن جان حق با توست.

آقا، من پر از ایراد و اشتباهم و در این جا حقی هم در کار نیست که با من باشد. ...
خوش و پیروز باشی

 

[en2fa]

حق با جفتتون هست برادران....اما
يک مزيتی که firewall برای من داشت اینه که جدا از اینکه جلوی سوراخ سنبه ها رو ميگيره(که بحث های بالا رو هم همه در بر ميگيره)
و شما بهش اشاره نکرديد اینه که جلوی برنامه هايی که نميخاهيد به internet وصل شند رو هم ميگيره...
خيلی از برنامه ها تا به اینترنت وصل شيد ميخواهند که برند و يک سری به سايت خود بزنند و يا حتا اطلاعات
شخصی شما را بفرستند که با firewall ها ميتونيد جلوی اینها رو نيز بگيريد...مثلاً من کلاً اجازه دسترسی msn messenger رو گرفتم
انقدر که هرتی بدون اجازه من ميخواد به internet وصل شه...و يا مثلاً real one!!!

 

[Hooman]

بهترین روش:
[left:b3fc0f2d1b]VMWARE + LINUX + connect from XP over bridged networking or the linux proxy.
install vmware
install linux on this virtual machine
use this virtual machine as your gateway
or
absolutely secure
surf with vnc from windows[/left:b3fc0f2d1b]

 

[koorosh]

!!!!!!!!!!!!!!
بی خيال بابا !!!
چقدر ميپيچونيش !!!

 

[amir30bil]

آقا من دو تا سوال دارم :
1. zonealarm 5 رو روی ویندوز 2000 server نصب کردم با اینکه خودش هم اخطار داد که برای سرور نیست ما نصب کردیم . حالا وقتی وصل میشیم به اینترنت هیچ اطلاعاتی مبادله نمیشه و در حقیقت ارتباط قطعه . اینو چیکار باید کرد؟

2. برای ویندوز سرور 2003 چه فایروالی میشه استفاده کرد؟