Нужен ли firewall для защиты рабочих станций?

[DWState 30]

4 пункт особенно понравился....очень помогает, особенно после пары инцедентов, которые включали и наказание тоже.

[Ego1st 95]

2) любой фаер будет задавать вопросы, а конечный пользователь и вопросы фаера, имхо, нЕ совместимы

Эээ работая системным администратором, вы доверите настройки защиты пользователю?

я кстати не только про fw говорил..

3) гораздо проще и удобней с точки зрения администрирования один корпоративный фаер, нормальная IDS (например snort), нормально настроенный шлюз и наверное нормально настроенная служба каталогов реализующая групповые политики безопасности (Active Directory, Fedora Directory и тд и тп)

а кто спорит что это неудобно (заметьте что то что легче с точки зрения администратирования, не всегда лучшее с точки зрения безопасности) , я говорил что это лучше чем голая система это раз, второе с точки зрения безопасности лучше иметь fw на каждой системе..

что бы сразу вопросов не возникало, заметьте я не говорил что это лучше по цене качеству, я просто сказал что это лучше с точки зрения безопасности..

[Antivir 0]

я кстати не только про fw говорил..

я тоже....

я говорил что это лучше чем голая система это раз' date=' второе с точки зрения безопасности лучше иметь fw на каждой системе..

что бы сразу вопросов не возникало, заметьте я не говорил что это лучше по цене качеству, я просто сказал что это лучше с точки зрения безопасности..[/quote']

А с точки зрения соотношения безопасноть/производительность лучше когда на локальных станциях нету фаервола, там хватает пользовательских приложний, антивирусника и прочих СЗИ - первостепенных, например DeviceLock...

[Oleg070 0]

2) любой фаер будет задавать вопросы, а конечный пользователь и вопросы фаера, имхо, нЕ совместимы

А кто пользователю даст возможность управлять фв(в блок и пароль на него).

Igo1st +1

[Antivir 0]

2) любой фаер будет задавать вопросы, а конечный пользователь и вопросы фаера, имхо, нЕ совместимы

А кто пользователю даст возможность управлять фв(в блок и пароль на него).

Igo1st +1

Пользователю этого права никто не даст... а когда фаер по молча заблокирует какое то приложение... (допустим обновилась какая нибудь сетевая виндовая служба) и производительность сразу упадет в ноль... первый кто получит по шапке это системный администратор.... а если в корпоративной сетке поднят сервер WSUS и это обновление прошло массово.... (конечно вы сейчас скажите что все обновления надо сначала на тестовом стенде отработать.... но это во первых не каждый может себе позволить, а во вторых средне статистический админ не когда этого не сделает...)

незабудьте учесть что я говорю о сети в котрой от 150 и более машин... и не факт что они расположены в одном здании(и/или одном городе)...

[Oleg070 0]

Полностью согласен.

Для такой сети надо очень хорошо подумать где локальный фв уместен а где нет.

[Ego1st 95]

Не дОверю... Именно поэтому я настаиваю на корпоративном фаере, а не на пользовательском на каждую машину....

Хорошо при попадании в сеть, червя парализующего работу всей сети, и попадая на рабочую станцию через 0day уязвимостью как вы будете это останавливать?

фраза избитая как этот мир... к тому же из учебника...

какая бы она не была, суть её остаеться актуальной и по сей день..

потом кому то легче iptables поправить... а ктото и с аутпостом с интуитивным GUI справиться не может....

пользователю ненадо справляться, а для этого есть админ, если не может, значить плохой админ..

кстати вы говоря так опираетесь на личный опыт, или на учебник?

А это имеет значение?

например DeviceLock

ну DeviceLock поистине нужная вещь..

да вот ещё хотелось бы уточнить что в вашем понятии

корпоративном фаере

[Antivir 0]

да вот ещё хотелось бы уточнить что в вашем понятии

корпоративном фаере

например фаервол который стоит сразу за маршрутизатором и фильтрует весь трафик, если локальная сеть разбита на участки (например по районам и/или городам) то еще и между ними (по два )

То есть фаер на каждый вход в корпоротивную сеть...

приблизительным продуктом могу назвать VipNet от Infotechs

[Oleg070 0]

Не дОверю... Именно поэтому я настаиваю на корпоративном фаере, а не на пользовательском на каждую машину....

Хорошо при попадании в сеть, червя парализующего работу всей сети, и попадая на рабочую станцию через 0day уязвимостью как вы будете это останавливать?

Странный вопрос... руками....

Я не думаю что наличие локального фаера как то сильно спасет ситуацию....

Очень ошибаетесь.

1 Если вирь попал и проинфицировал комп с локальным фв то в сеть вирь не подет фв не пустит.

2 Если вирь попал на комп без фв, то он не попадет на те компы где стоит фв

По моему этого аргумента достаточно. Хотябы для создания наиболее зашишенной группы компьютеров. Если нет возможности на все компы сети локальные фв поставить.

[Antivir 0]

Не дОверю... Именно поэтому я настаиваю на корпоративном фаере, а не на пользовательском на каждую машину....

Хорошо при попадании в сеть, червя парализующего работу всей сети, и попадая на рабочую станцию через 0day уязвимостью как вы будете это останавливать?

Странный вопрос... руками....

Я не думаю что наличие локального фаера как то сильно спасет ситуацию....

Очень ошибаетесь.

1 Если вирь попал и проинфицировал комп с локальным фв то в сеть вирь не подет фв не пустит.

2 Если вирь попал на комп без фв, то он не попадет на те компы где стоит фв

По моему этого аргумента достаточно. Хотябы для создания наиболее зашишенной группы компьютеров. Если нет возможности на все компы сети локальные фв поставить.

Начнем с того как вирь попал на локальный комьпьютер...

если устройства ввода вывода заблокированы (DeviceLock'ом например) вирь не может попасть на локальную станцию... вы скажите с инета, тоже НЕТ... если правильно настренны прокся+шлюз+фаер на входе+ Разграничение пользования инетом... то есть надо четко определять кому в организации нужен доступ во вне, а кому нет!!!

Конечно если станция как проходной двор... то тут и локальный фаер не спасет...

И потом мы говорим про 0day уязвимость... а не факт что уязвимость не в фаере, это первое , а второе тот же snort (правильно настроенный) не даст заразе распространиться!!!

и потом любой фаервол можно обойти... Более или менее интуитивно понятно это описано в книге Криса Касперски "Записки исследователя компьютерных вирусов".

Так что есть смысл подучить мат.часть!

[Ego1st 95]

Очень ошибаетесь.

1 Если вирь попал и проинфицировал комп с локальным фв то в сеть вирь не подет фв не пустит.

2 Если вирь попал на комп без фв, то он не попадет на те компы где стоит фв

По моему этого аргумента достаточно. Хотябы для создания наиболее зашишенной группы компьютеров. Если нет возможности на все компы сети локальные фв поставить.

все правильно..

Antivir вы видимо просто незнаете что есть и fw для рабочих станций, которые алдминистрируются удалённо, например продукты от trendmicro и можно одновременно задать правила для всех машин сети (вслучаи глобального обновления).. в случаи заражения одного компьютера его можно быстро отключить от сети удаленно, и потом уже разбираться..

Хотя меня можете не убеждать, всё зависит от того в какой сетки всё это находяться, если информациия очень важна без ац на локальных компьютерах опасно, если не так важна то его и не обязательно ставить..

[Antivir 0]

Antivir вы видимо просто незнаете что есть и fw для рабочих станций, которые алдминистрируются удалённо, например продукты от trendmicro и можно одновременно задать правила для всех машин сети (вслучаи глобального обновления).. ставить..

Знаю есть...

Использование таких продуктов упростит администрирование, однако на проиводительность не повлияет (то есть нет разницы ставить индивидуальный фаер, или клиента)

[Ego1st 95]

прокся+шлюз+фаер на входе+ Разграничение пользования инетом

обясните мне как, даный вариант спасёт от скачки файла из интернета, и последующем запуске его (естественно разговор ведёться про того у кого есть доступ во вне)?

кому в организации нужен доступ во вне, а кому нет!!!

предположим глав.бух сидит с интернетом от делать нечего решила без палева аську установить, скачала левый месенджер с червём.. всё сегмент положен считайте..

И потом мы говорим про 0day уязвимость...

я говорил про уязвимость оси, не один червяк под все fw подстроиться несможет..

Так что есть смысл подучить мат.часть!

так тем и занимаемся постоянно..

[Oleg070 0]

2 Antivir

DeviceLock имеет привязку к определенному устройству? ну пусть это будет принтер, ну пусть это USB принтер.

[Ego1st 95]

однако на проиводительность не повлияет (то есть нет разницы ставить индивидуальный фаер, или клиента)

я непойму вы что собираетесь настраивать 286 компы или микрошы?

[Antivir 0]

2 Antivir

DeviceLock имеет привязку к определенному устройству? ну пусть это будет принтер' date=' ну пусть это USB принтер.[/quote']

DeviceLock имеет возможность блокировать USB-порты, оптические носители и тд, даже запись на винт можно блокировать...

А также имеет исключения, например USB заблокирован для любых контактов, но принтеру можно...

Добавлено спустя 3 минуты 55 секунд:

однако на проиводительность не повлияет (то есть нет разницы ставить индивидуальный фаер' date=' или клиента)[/quote']

я непойму вы что собираетесь настраивать 286 компы или микрошы?

Стандартный парк Celeron 1,4-3,0

Все зависит от того пользовательского ПО которое используется...

Чем больше парк тем острее вопросы производительности.

Если речь о маленькой компании максимум в 30 компов, где пользователи кроме оутглюка, офиса и 1С ничего не используют... (ну админы канечно юзают кваку, контру и тд)....

Речь ведем о большой корпоративной сети с различными прикладными задачами...

[Oleg070 0]

2 Antivir

Спасибо за ответ.

Еще у меня сложилось впечатление что вы работаете в гос структуре или в крупной корпорации.

Это так?

[Antivir 0]

2 Antivir

Это так?

угу... в крупной...

[Ego1st 95]

Элементарной настройкой прокси.

В том же squid есть текстовый файл, куда просто записываются расширения запрещенных файлов!

будете запрещать exe качать?

У Криса касперски описаны варианты обхода фаервола без идентификации(то есть не вАжно, какой фаер)

через дырки в оси?

См выше о настройках прокси... и потом при наличии нормативной базы этот вопрос ("о скачке без палева") очень просто решается:

прежде чем разрешить инет глав.буху(хотя я пока не врубаюсь зачем главбуху инет?) надо ему показать нормативный акт, где написано, что в случае нарушения лишение премии либо какое то иное материальное взыскание... Я вам точно говорю желание у пользователя сразу пропадет!!!

плохо вы пользователей знаете=)) неважно кому глав буху или ещё кому, это просто пример был =))

Речь ведем о большой корпоративной сети с различными прикладными задачами...

ну и? уверен что 10метров памяти это точно не кретично..

[Antivir 0]

Речь ведем о большой корпоративной сети с различными прикладными задачами...

ну и? уверен что 10метров памяти это точно не кретично..

повторяю все зависит от софта! может и критично!

[Ego1st 95]

ладно заканчиваю я спор, как говориться сколько людей столько и мнений.. можно считать я проиграл эту схватку=))

Вы почитайте, весьма интересная книга...

что за книга можно подробнее?

[Antivir 0]

ИМХО

Доступ в интернет нужен только людям обслуживающим технику, остальным по специальному запросу, с точным указанием куда и зачем...

Добавлено спустя 5 минут 14 секунд:

ладно заканчиваю я спор, как говориться сколько людей столько и мнений.. можно считать я проиграл эту схватку=))

Вы почитайте, весьма интересная книга...

что за книга можно подробнее?

автор Крис Касперски.

Называется: "Записки исследователя компьютерных вирусов"

вот сцыло на нее

http://www.piter.com/book.phtml?978546900331

[Oleg070 0]

2 Antivir

Книжка стоящая, есть еще из этой же серии этого же автора не помню как зовется(дома надо глянуть).

[А.Щеглов 6]

Коллеги, вы весьма своеобразно обсуждаете вопрос "Нужен ли FW для защиты рабочих станций". Какая-то "каша" получается.

Вы не определились с тем, что это такое, каким функционалом наделено, при этом "притягиваете за уши" и какие-то иные средства.

Давайте сначала. FW - это программно-аппаратное средство, устанавливаемое на стыке подсетей, как следствие, принимающее на себя все внешние атаки, в том числе и DoS. Здесь можно говорить о функциях NAT, фильтрации доступа между компьютерами подсетей и т.д. "Персональный FW2 - такое определение вообще от большой грамотности в области защиты информации. На самом деле - это механизм контроля доступа (замечу, уже пользователей и процессов для исходящих запросов, компьютеров, для входящих) к сетевым ресурсам (такой же, как к файловым объектам, объектам реестра, принтерам и т.д.). Т.е. это лишь один из механизмов защиты от НСД, реализующий разграничительную политику доступа к ресурсам, в данном случае, к сетевым. Сам по себе подобный механизм в составе средства защиты от НСД, конечно, необходим. Необходимо разграничивать входящий доступ к серерам в составе ЛВС (изолировать обработку в рамках информационной системы), иначе любая рабочая станция будет нести в себе угрозу удаленной атаки, на рабочих станциях - доступ пользователей - к ресурсам в составе ЛВС (это все не задачи FW - это задачи соответствующего механизма защиты в составе средства защиты от НСД). Если же говорить о комплексном решении, здесь свои требования. Сказано было об очень полезной возможности разграничить доступ для процессов (используется для защиты от шпионских программ). но если на Вашем компьютере невозможно запустить никакой вредоносный код (ни одну программу, кроме санкционированных - механизм обеспечения замкнутости программной среды), мы уже получаем возможность решения иной задачи защиты - никакую шпионскую программу и так запустить невозможно, но шпионскими функциями может обладать санкционированная программа, как в результате закладок, так и в результате ошибок программирования (особенно в том случае, если Вы пользуетесь свободно распространяемым ПО).

Не понимаю, при чем здесь механизм контроля доступа к устройствам (какое-то из средств здесь обсуждаете). Если уж касаться этого вопроса, то , говоря хорошее оно или нет, необходимо обсуждать вопрос корректности реализации. С учетом того, что к большинству устройств обращение происходит через драйвер (корректно не определить, какой пользователь обратился к подобному устройству), посмотрите, как реализуется данным средством (как это противоречие решено разработчиком) разграничение доступа к устройствам в многопользовательском режиме (войдите под одной учетной записью и запустите нужное приложение по правой кнопке мыши с правами другого пользователя). В системе будет зарегистрировано два пользователя. Одному разрешите доступ к устройству, другому нет. Обратитесь к устройству и посмотрите, на сколько корректно им будет отработана заданная Ваши разграничительная политика.

Но это к слову о том, что хорошо, что плохо.

Суть же моего краткого выступления, прежде чем оценивать полезно чего-либо, определить с его функциями, решаемыми задачами, условиями использования. Тогда разговор может получиться предметным.