FIREWALL - základ bezpečnosti (díl 3/3)

MyEgo.cz

home foto blogy mywindows.cz kontakt

FIREWALL - základ bezpečnosti (díl 3/3)

Bezpečnost 12.04.04
security 0

V dnešním, třetím, díle seriálu o bezpečnosti začnu poněkud netradičně. A to od konce. Nasměrujte svůj browser na grc.com. Další testy jsou dostupné na pcflank.com a scan.sygatetech.com. Pokud se Vám zobrazí něco jiného než následující tabulka, Vaše firewall má problém! A i pokud jej mít nebude, čtěte rovněž dál, protože firewall je jen malá část nutné bezpečnosti osobního počítače s Windows! Nepodléhejte falešnému pocitu bezpečí, potřebujete i sandbox!

GRC Port Authority Report
Results from scan of ports: 
 0, 21-23, 25, 79, 80, 110,
 113, 119, 135, 139, 143, 389, 443, 445, 
 1002, 1024-1030, 1720, 5000 
0 Ports Open 
0 Ports Closed 
26 Ports Stealth 
--------------------- 
26 Ports Tested 
ALL PORTS tested were found to be: STEALTH. 
TruStealth: PASSED - ALL tested ports were STEALTH, 
- NO unsolicited packets were received, 
  NO Ping reply (ICMP Echo) was received. 

Obsah:

Tato část seriálu by se chtěla zaměřit na konkrétní příklady použití Tiny Personal Firewall 5.5, což je, vzhledem ke své ceně, jednoznačně nejlepší řešení pro dokonalé zabezpečení počítače s Windows.

Několik lidí se mě emailem, i v komentářích, ptalo, zda tento seriál článků má být placená reklama od TPF. Rozhodně ne. Je sice možné, že pošlu link na tento seriál TinySoftware, proč ne (!), ale… jsem jen spokojený uživatel, znám tento systém, znám ZoneAlarm, Sygate PF, Norton System Security, BlackIce Defender, McAfee Firewall, Kerio PF a pár dalších taky-řešení bezpečnosti.

Nicméně, jak jsem již psal v předchozích dílech, jiná řešení jsou vždy jen, minimálně, polovičatá. Paketový filtr a antivirus je vcelku k ničemu co se týče neznámých nákaz, trojanů, průniků. Na to je potřeba speciální firewall v kombinaci se speciálním sandboxem, sadou pravidel pro file access, OLE/COM, application spawning, prostě sadu "guards", hlídačů, kteří monitorují veškeré procesy ve Windows, a povolí jen ty autorizované.

Takže, k těm konkrétním příkladům. To, co zde budu uvádět, bude funkční, a kompletní řešení, nebude sice shodné s tím co používám já na svém počítači (bylo by dost hloupé popisovat detailně svoji konfiguraci), ale… funkční a otestované.

Začněte samozřejmě tím, že si stáhnete Tiny Personal Firewall 5.5, popřípadě rovnou zakoupíte ;) Instalujte všechny moduly. Následně je nutný restart počítače. Po restartu počítače se Vám v taskbaru zobrazí ikona žlutého štítu, se šipkou doprava, což znamená, že TPF je povolena, šedá ikona znamená nefunkční TPF.

TPF se skládá ze 4 základních modulů:

  • Applications (autorizované aplikace).
  • Network Security (firewall).
  • Windows Security (sandbox).
  • IDS & IPS (tedy Intrusion Detection System a Intrusion Prevention System).

Applications

Aplikace v TPF se dělí na A. systémové (jejich název začíná na $), B. uživatelsky definované (user-defined, non-system). Při prvním startu TPF se automaticky vytvoří skupina $KnownSystemApps, kam TPF zařadí zejména systémové procesy Windows, ale taky aplikace, které se spouští při startu Windows. Druhá systémová skupina, která se vytvoří, je Trusted skupina. Implicitně mohou obě tyto skupiny přistupovat ke všem prostředkům počítače, což nemusí být přesně to co chcete.

Takže, po instalaci TPF a restartu ihned smažte skupinu Trusted a rovněž smažte ze skupiny $KnownSystemApps všechny aplikace, které nejsou 100% systémové, made by Microsoft. Zůstane Vám tedy jen skupina $KnownSystemApps a v ní cca 15 systémových procesů.

Následně si vytvořte v CommonGroups následující skupiny (groups):

  • local servers (budete ji používat pro aplikace, které potřebují lokální inbound komunikaci (safe zone), třeba Apache server, či Bluetooth adapter).
  • allow mods (budete je používat pro aplikace, které mohou zapisovat do systémových souborů).
  • no mods (budete je používat pro všechny ostatní aplikace).

Následně klikněte na UserDefined a vytvořte si následující skupiny:

  • Browser (HTTP, HTTPS, FTP) - Opera, Mozilla, Firefox, MyIE2.
  • Email (SMTP, POP3) - Opera, The Bat!
  • FTP (FTP) - CuteFTP, Total Commander.
  • Installation Applications (je již vytvořeno) - přidává se dynamicky.
  • Messenger (ICQ) -Miranda, ICQ.
  • News (NNTP) - Opera.
  • NoNet (bez TCP/IP konektivity) - PSPad, Kalkulačka, Photoshop, Dreamweawer, Flash, atd.
  • Ping (ICMP) - ping.exe.
  • WinUpdate (IE a wupdgmgr.exe) - iexplore.exe a wupdmgr.exe.

V tomto návodu ukážu princip, jak zprovoznit a otevřít porty pro základní programy, které potřebujete, tedy browser, email, klient, FTP klient, ICQ, ping, a Windows Update.

Poté co vytvoříte tyto skupiny můžete:

  • buď: spustit Váš browser, email klienta, ICQ, FTP, a další aplikace, a TPF se Vás dotáže, protože, je ještě nezná, do jaké skupiny je má zařadit, vzhledem k tomu, že některé aplikace (třeba Opera), jsou browser, email klient, i NNTP, zařaďte je do více skupin (!)
  • anebo: přes tlačítko Enroll zařadit patřičné aplikace do patřičných skupin.

Tímto jste si nadefinovali základní, autorizované aplikace. Pokud nějakou aplikaci TPF nezná, nedovolí ji spustit!

Důležitá je rovněž identifikace aplikace. Naprostá většina aplikací nezapisuje do svého těla, nemění svůj kód, takže… je možno je identifikovat přes jejich MD5 checksum.

Doporučená identifikace:

  • identified by: checksum + path.
  • integrity check: zde zvolte minimálně "monitor integrity corruption", případně rovnou "ask user" či "protection"

K čemu to je? Pokud by Vám nějaký vir modifikoval autorizovanou aplikaci, již to nebude ona aplikace a TPF je nespustí!

Nastavení Network Security

TPF nám tedy už pozná aplikace, které máme v systému, které jsme autorizovali. Následně tedy musíme určit, zda, a které, a jak, mohou přistupovat k internetu.

Nejdříve si zvolte položku Options a nastavte:

  • network security engine status: monitor.
  • stealh mode: enable, popřípadě, pokud sdílíte připojení k internetu (ICS), zvolte enable with ICS.
  • closed port access: monitor.

Následně si zvolte položku Predefined IP addresses a do Object definitions from Common DB vložte následující IP adresy (pro povolení Windows Update) do objektu nazvaného windows update:

  • 207.46.134.24
  • 65.54.249.190

K čemu to je? Tento návod je koncipovaný tak, že Internet Explorer má zakázaný přístup na internet s výjimkou HTTP protokolu a těchto 2 IP adres. Tyto IP adresy se v tuto chvíli používají na Windows XP SP1 pro windowsupdate.com. Samozřejmě, mohou se měnit. Proto definice této skupiny. Na ostatní IP adresy IE přístup nemá povolen.

Proč? 99% trojanů zneužívá „application hijacking“ pro svoji komunikaci, tedy, nekomunikují přímo, ale přes ActiveX kompomentu volají jádro IE…

Následně si zvolte položku Network Security Rules a smažte zde veškerá před-definovaná pravidla. Jsou příliš obecná a málo restriktivní, takže, uděláme si lepší :)

Nejprve, v úrovni Low Priority Rules, zakážeme veškerou komunikaci, a to následovně:

Protocols IP Application Access Audit Security Zone
[s] All_TCP_UDP All(*) $KnownSystemApps Prevent Ignore All(*)
TCP, Inbound 127.0.0.1 local servers Allow Ignore Safe Zone
All_TCP_UDP All(*) All (Non System) Prevent Ignore All(*)
All_TCP_UDP All(*) All (System) Prevent Ignore All(*)

K čemu je první, a třetí a čtvrtý řádek je asi jasné. Zakazuje (Prevent) veškerou Inboud i Outboud TCP i UDP komunikaci, pro systémové i user-defined aplikace. Řádek druhý je zde kvůli serverům jako je Apache, kterému povolujete, aby přijímal z IP adresy 127.0.0.1 požadavky na komunikaci, ale to pouze ze "Safe Zone", tedy z lokálního počítače, či z lokální sítě.

Které adaptéry patří do Safe Zone a které to Dangerous Zone (Internet, případně ale i lokální síť!) , definujeme v Zone Settings. TPF ji ale většinou nastaví automaticky korektně, takže není nutné dělat úpravy.

Dále nadefinujeme pravidla v Client Rules pro browser, FTP, email, a další aplikace následovně (otevřeme vždy jen ty porty, které daná aplikace, z principu své činnosti, potřebuje).

Browser (Opera, MyIE2, Firefox, Mozilla, rozhodně ne IE!):

Protocols IP Application Access Audit Security Zone
HTTPS All(*) Browser Allow Ignore All(*)
FTP-Download All(*) Browser Allow Ignore All(*)
HTTP All(*) Browser Allow Ignore All(*)

Email klient (Opera, The Bat!, rozhodně ne Outlook Express či Outlook!)

Protocols IP Application Access Audit Security Zone
SMTP All(*) Email Allow Ignore All(*)
POP3 All(*) Email Allow Ignore All(*)

IM Messenger (Miranda, ICQ) - zde povolíme odchozí 5190, a naslouchání na portech 1200-1240:

Protocols IP Application Access Audit Security Zone
TCP, Inbound/Outbound, local ports 1200-1240, remote port 5190 All(*) Messenger Allow Ignore All(*)

FTP (CuteFTP, Total Commander):

Protocols IP Application Access Audit Security Zone
FTP All(*) FTP Allow Ignore All(*)
FTP-Download All(*) FTP Allow Ignore All(*)

Installation application (aplikace spuštěné ve speciálním režimu instalace; ty mohou zapisovat do souborů, registrů, atd., pokud neskončí jejich proces):

Protocols IP Application Access Audit Security Zone
All_TCP_UDP All(*) Installation Applications Allow Monitor All(*)

News (NNTP):

Protocols IP Application Access Audit Security Zone
News All(*) News Allow Ignore All(*)

Ping (pro DOSový ping.exe) :

Protocols IP Application Access Audit Security Zone
All_ICMP All(*) Ping Allow Ignore All(*)

Windows Update.

Zde uvedeme pravidlo, aby se nás systém dotázal, pokud Windows Update (a tím i IE a wupdmgr.exe) bude chtít přistupovat k jiným IP adresám, než ty 2, co jsem dříve uvedl. Tyto IP adresy se čas od času mění, a je nutné je upravovat. Pravidlo "Ask User" znamená, že TPF se nás dotáže, pokud IP bude jiná, zda ji chceme jednorázově, či trvale, povolit.

Protocols IP Application Access Audit Security Zone
HTTP All(*) WinUpdate Ask User Monitor All(*)

Co nám zbývá? V High Priority Common Rules povolit DNS a taky onen WindowsUpdate. Jak na to?

Protocols IP Application Access Audit Security Zone
Outbound_DNS, remote port 53 All(*) $KnownSystemApps Allow Ignore All(*)
TCP, Outbound, remote port 80 windows update iexplore.exe Allow Ignore All(*)

Tímto jsme povolili naprosté minimum portů, pro specifické aplikace, a zakázali vše ostatní. Navíc jsme nastavili stealh režim (kdy systém neodpovídá na příchozí TCP/UDP/ICMP pakety, je "neviditelný" pro případného útočníka).

Nastavení Windows Security

Windows Security je onen zmiňovaný Sandbox. Sandbox přiděluje aplikacím jejich vymezený prostor. Jak na něj?

File Rules:

Zde minimálně povolíme pro všechny systémové aplikace ($KnownSystemApps) přístup na "Fixed Drives", jinak budete neustále obtěžováni tisícem dotazů na to, zde se může zapisovat do souborů. TPF zde má jinak slušná výchozí pravidla. Zatím je nechte takto.

Registry:

Opět, TPF zde obsahuje rozumné defaultní hodnoty, jako je "Ask User" pro zápis do "Run" sekce registrů a další věci. Ponechejte je takto.

Application Spawning:

Application spawning je povolení / zakázání spouštění jiných aplikací aplikací právě spuštěnou, autorizovanou. TPF obsahuje obecná pravidlo, které se ptá uživatele na application spawning. Vám jen zbývá přiřadit Vašemu file-manageru, tedy třeba Total Commanderu (nebo i Průzkumníkovi, nicméně, nedoporučoval bych to, rozhodně ne obecně, jen na konkrétní aplikace), v User Rules, možnost pro application spawning všech [All(*)] aplikací. Tím bude file-manager oprávněn spouštět jiné, libovolné aplikace. Rovněž zde zvolte aby se spuštěná aplikace řídila svým bezpečnostním modelem (child), ne modelem rodiče (parents, tedy vlastní Total Commander!).

Taky je vhodné nastavit aby veškeré user-defined All (non-system) aplikace mohli spouštět MSOHELP.exe, Winhlp32.exe a hh.exe, tedy nápovědu Windows.

Options:

  • rozhodně nastavte "Alert when unkown application starts"
  • guard system processes (jinak jsou system processes autorizovány ke.. všemu)

Miscellanous:

Zde je nutné zapnout, defaultně vypnuté, znemožnění použití low level API, v dolní řádce nalezněte sloupec nazvaný „Sytem Low Level API“ (pátý sloupec), a nastavte pravidla na „Ask User“, a „monitor“.

Exceptions:

K čemu jsou výjimky (exceptions)? No, ne vždy se hodí, aby daná aplikace měla zapnuté veškeré "strážce" (guards). Implicitně jsou všichni guards zapnuti pro veškeré aplikace, s výjimkou $KnownSystemApps (tam jsou všichni guards vypnuti), explorer.exe, cmd.exe (příkazová řádka), userinit.exe, msiexec.exe, ikernel.exe.

Já osobně zde:

  • zapnu (jinak vypnuté) guards na explorer.exe (i proto, že používám LiteStep)
  • vypnu File Guard pro PSPad (ostatní ponechám zapnuté), jinak bych nemohl editovat, třeba, soubory c:/windows/*.ini

Co dále?

Jak řešit problémy? Jak řešit, že nějaká aplikace nefunguje? Já osobně to řeším tak, že dané aplikaci, krátkodobě, v User Rules, povolím veškerou Outbound komunikaci, a použiji výborný Activity Monitor (dodávaný s TPF), nebo TCPView a TDIMon (oba od SysInternals), k tomu, abych se podíval, na kterých portech, a na které IP adresy, se aplikace obrací, a podle toho vytvořím poté konkrétní pravidla, a aplikaci přidělím jen ta nezbytná práva.

Mimochodem, řadu Vašich dotazů zodpoví (tak málo používaná) funkce Search na www.tinysoftware.com/forum. :wink: Poměrně slušný je i manuál k TPF (1MB, formát PDF).


Komentáře

  1. 1 #lama 12.04.04, 12:04:09
    FB

    Presne jako hodinky ;)

  2. 2 Radek Hulán 12.04.04, 12:04:11
    FB

    [1] no, Nucleus umožňuje článek vložit do redakčního systému a nastavit mu datum, kdy má být publikován ;) Tedy třeba 00:00:00 8)

  3. 3 pavelm 12.04.04, 12:04:52
    FB

    Super návod. Bezpečností jsem se naivně nikdy nijak nezabýval, takže pro mě určitě přínosné! ;)

  4. 4 Skim@Spim 13.04.04, 08:04:37
    FB

    File Rules:
    Zde minimálně povolíme pro všechny systémové aplikace ($KnownSystemApps) přístup na "Fixed Drives", jinak budete neustále obtěžováni tisícem dotazů na to, zde se může zapisovat do registrů.

    Ja nevim, jestli jsem slepej, ale zadny tam nemam? Je to mozny?

    Jinak ten navod je super.

  5. 5 Radek Hulán 13.04.04, 09:04:29
    FB

    [4] má tam být samozřejmě do souborů, překlep, v tak dlouhým článku (snad) jedinej..

  6. 6 Skim@Spim 13.04.04, 10:04:06
    FB

    [5] Ale bohuzel ani to tam nemam. Muzes mi napsat, jak to udelat? Nenasel jsem totiz ani moznost zadat tam ten pristup na "Fixed drives" do jakychkoliv souboru... :roll:

  7. 7 Radek Hulán 13.04.04, 10:04:25
    FB

    [6] v dílu 4/4 budou i screenshots.. bude asi o víkendu.

  8. 8 LubosT 14.04.04, 11:04:18
    FB

    Je urcite skvele mit bezpecny a nenabouratelny system, ale jak to vypada s vykonnosti systemu po nainstalovani takovehoto 'super hlidaciho psa'. Nejde do kyticek :wink: podobne jako napr. po nainstalovani NAV2004?

  9. 9 Radek Hulán 14.04.04, 12:04:46
    FB

    [8] rozhodně u TPF ne, NAV2004 je mameluk, co sežere 20% výkonu a 50MB paměti, ale TPF, zabere cca 15MB v paměti (což je nic) a odhadem tak 0.1% výkonu CPU ;)

  10. 10 Broken.Bones 14.04.04, 01:04:43
    FB

    Překousnu sice hodně, ale z GUI TPF mám noční můry...

  11. 11 Martin Mašek 14.04.04, 03:04:42
    FB

    Vážení přátelé,
    snažím se zabezpečit počítač jak sobě, tak i lidem, kterým ho instaluji. Už jsem zjistil, že mezi antiviry je jedničkou NOD32. Teď jsem se začal tedy shánět po nějakém dobrém firewallu. Narazil jsem na tento článek, kde jsem se dozvěděl, že údajně je nejlepší TPF. Tak jsem si ho stáhl a nainstaloval. Ale pak jsem zjistil, že jaksi nejsem schopen ho "reálně" nastavit a využívat(člověk nemůže být odborníkem ve všem). A nedokážu si ani představit, jak by pak byli schopni ho využít lidé, kterým PC instaluji a kteří jsou počítačový začátečníci. Ale jelikož nechci jejich PC přeinstalovávat každý týden, tak je u nich firewall nutnost. Co byste mi tedy v mém případě poradili? Kerio či ZoneAlarm nejsou tak dobrý jako TPF, ale aspoň kus práce udělají (sami na pozadí) - než FTP, které bez "odborného" nastavení je "na nic". Případně mě vyveďte z omylu. Děkuji za každou radu.

  12. 12 Radek Hulán 14.04.04, 04:04:06
    FB

    [11] jo, TPF je pro lidi, co tomu rozumí, nebo jim to někdo nastaví... V tomto článku je i konkrétní popis nastavení, nicméně, ona i taková ZoneAlarm či Kerio se musí (mírně) nastavovat, nejvíce "blbuvzdorná" (to nemyslím zle) je asi McAfee Personal Firewall. Tam se nedá nastavit skoro nic 8)

  13. 13 Martin Mašek 14.04.04, 04:04:14
    FB

    [12]
    Děkuji za tak rychlou odpověď. A mohu se ještě zeptat, jaký firewall (kromě TPF) byste doporučil? Je podle Vás lepší Kerio nebo ZoneAlarm (drobné nastavení by neměl být problém).
    Děkuji za odpověď.

  14. 14 Radek Hulán 14.04.04, 04:04:21
    FB

    rozhodně ZA 4.5 Pro.. Zejména proto, že je mnohem více používaná, a tudíž i otestovaná.. Kerio spíše začíná.. Jejich předchozí produkt byl dost mizerný.

  15. 15 Martin Mašek 14.04.04, 04:04:30
    FB

    [14] Děkuji za informace a přeji hodně spokojených čtenářů... :wink:

  16. 16 Skim@Spim 15.04.04, 08:04:28
    FB

    Ahoj, cetl jsem o Tvem omezeni fora, i kdyz jsem -nactilety, o pocitace se zajimam uz dlouho, ale spis o harware, proto mam ted hloupe dotazy na internetovou bezpecnost, tak se Ti za ne predem omlouvam 8). No, ale k veci. Jak mam povolit Windows Media player? Nechavam si od nej pres internet vyplnovat ID3 tagy, ale protoze je to Windows, nemam k tomu moc duveru. Je tam nejaky bezpecnostni problem treba jako u Internet Exploreru, Outlooku,... Diky moc

  17. 17 mepp 17.04.04, 06:04:26
    FB

    TPF serial je jiste kvalitni, ale proc kdyz byla zminena konkurence, nikdo nezminil.. Sygate personal firewall? dle meho je to tez velmi kvalitni firewall, a presto o nem v clanku neni ani zminka coz je myslim skoda, jinak clanek samotny neni spatny..

  18. 18 Tudor 22.04.04, 12:04:59
    FB

    Zdravím ve Světě počítačů č.8 vyšel dost podivnej test Firewallů kde skončil Tiny až na šestém místě(vyhrál Kerio bez nějakejch mínus) .Mezi nedostatky Tiny bylo např. neschovává IP adresu a umožnuje identifikaci operačního systému,neumožňuje update,funkce zabraňující útoku zvenčí není součástí(?)zajištění ochrany konfigurace heslem není umožněno,zablokování nebezpečných e-mailů není umožněno, dále cituji Pozitivní je , že na rozdíl od mnoha jiných programů nelze tento firewall útočícím programem vypnout. Ochrana však selže v momentě, kdy viry napadnou důležité části programů. Chtěl bych se zeptat nakolik je důležité schování IP adresy a identifikace systému. A je vůbec možné aby s Tiny viry napadly důležité části programů aniž by jim to uživatel povolil?Jsou tam i plusy ale ty jsou daleko podrobněji rozvedeny ve vašem článku.

  19. 19 Radek Hulán 22.04.04, 01:04:20
    FB

    [18]
    * schování IP adresy je k ničemu, každý dokážu určit správnou IP
    * identifikace OS - na to každý útočník kašle, pokud to ale chcete, pořiďte si, zdarma, Proxomitron
    * ochrana heslem JE u TPF možná, dokonce práva pro různé uživatele
    * vir TPF modifikovat nemůže

    PS: některé "recenze" v časopisech nejsou recenzí, ale reklamou ;)

  20. 20 Tudor 22.04.04, 02:04:45
    FB

    Tak to taky namě působilo. Poněvadž první Kerio byl v testu v placené verzi ale až čtvrtej Zone Alarm free přitom to mohlo bejt klidně naopak.A u Keria žadné mínus.A to by se určitě něco dalo najít.

  21. 21 El Vita 23.04.04, 02:04:19
    FB

    [20] jo, mel jsem kerio, ale ted mam tinu a jsem max spokojeny. pekne ted vidim, co "presne" system vsechno dela. Ten test je fakt jedna velka reklama. Navic ip si fakt kazdy zjisti a a system ???? vzdyt je to jedno, jaky "cednik" od makrosoftu mas !!!! :lol:

  22. 22 Martin 26.04.04, 11:04:33
    FB

    Jenom bych chtel ukazat na chybu (podle me) na nastaveni messengeru. Nevim cim to je, ale me ICQ 2003b komunikuje na portech 1200-14827.

  23. 23 Radek Hulán 29.04.04, 02:04:46
    FB

    [22] ok, je to možné, sám používám Mirandu (ICQ klon), v dalším díle se podívám i na ICQ (Lite) a na aktualizaci antivirů, na proxy a na filtrování reklamy.

  24. 24 El Vita 29.04.04, 06:04:55
    FB

    [23] kdy bude dalsi dil? uz nemuzu dospat

  25. 25 Radek Hulán 29.04.04, 07:04:07
    FB

    [24] dostanu se k tomu, zřejmě, o víkendu

  26. 26 Martin 01.05.04, 12:05:03
    FB

    Dobry den, vybornej clanek. Jan jsem se chtel zeptat jestli byste nemohl uvest nastaveni pro nejznamejsi p2p programy (dc++, kazaa, emule, emule plus, bittorrent). Bude u nich asi problem, ze se pripojuji k ruznym dalsim uzivatelum s ruznou ip adresou a ja preci nebudu porad manualne povolovat dana konkretni pripojeni - pujde to nejak zautomatizovat ?

  27. 27 Radek Hulán 01.05.04, 12:05:15
    FB

    [26] S tím bude trochu problém. Porozhlédnu se po netu, ALE, p2p osobně nepoužívám, a nebudu, takže to bude spíš jen teorie. Třeba to čtenáři doplní praktickými zkušenostmi.

  28. 28 El Vita 09.05.04, 12:05:48
    FB

    já už bych chtěl 4. díl !!!!!!!!!!!!!!!!

  29. 29 TimJ 18.05.04, 08:05:45
    FB

    [22] v ICQ si můžeš nastavit (Preferences - Connections - User -- mluvim o ICQ pro) rozsah portů, který chceš, aby používal. Takže volba je na tobě, já mám nastavený třeba zrovna rozsah ... :P.

    PS: užitečnej článek Radku, pěkný. Měly by takový bejt všechny. Ale holt ty kontroverzní už k Tobě tak trochu patří... :D.

  30. 30 whitebeard 18.05.04, 11:05:00
    FB

    [11] Máš naprostou pravdu. Už jsem to jednou psal, používám NOD a ZponeAlarm, na netu jsem 24hod.denně /když spím-stahuju/, používám IE, OutlookExpress a jsem bez jakýchkoliv problémů. Testy na různých serverech/např.auditmypc/ ukazují maximální možné zabezpečení, kolegové při pokusu o průnik do mého pc to nezvládají, tak proč instalovat TPF s řadou problémů a nutností zběsilého nastavování? Abych byl in? Blbost!!

  31. 31 hendrix634262 19.05.04, 09:05:59
    FB

    Pouzivam TPF 2.0.15A uz nejaky ten rocik a nedam nan dopustit. Nastavene a hotovo. Proti verzii 5.5 az neskutocne jednoduche a pritom ucinne. Zakazane mam vsetko okrem potrebnych portov a je po problemoch. Kym som nemal firewall kazdy pako sa mi hrabal v pecku. Po instalacii si uz nik ani neklepol 8)
    Tiez odporucam kazdemu TPF z vlastnej skusenosti. Ak to nastavite podla popisu je vsetko v pohode.

  32. 32 Petr 06.06.04, 02:06:04
    FB

    Narazil jsem na tento článek vlastně náhodou. Zaujalo mne to, protože jsem čerstvým majitelem wifi připojení k netu a téma zabezpečení PC se najednou stalo mnohem aktuálnější. Používám Kerio společně s antivirem AVG 7 a programem Ad-aware. Není to špatná kombinace, ale 100%ní bezpečnost to rozhodně není. Zkusil jsem nainstalovat TPF. Jenže je Anglicky a to je pro mne problém a pro ostatní uživatele u mne neřešitelná věc. Neexistuje Čeština do TPF, nebo nějaké stránky v Češtině o TPF?

    Jinak článek je pěkný a rozhodně zajímavý.

  33. 33 Radek Hulán 07.06.04, 02:06:15
    FB

    [32] obávám se, že TPF se, přestože to je česká firma, moc českým klientům nevěnuje, není to výdělečné..

  34. 34 Standa 07.06.04, 10:06:44
    FB

    Zdravim, nainstaloval jsem TPF 5... dle navodu a vse jede, jak ma, ale chci jeste jet pres proxy - zde je kamen urazu - nepusti me to, nevim, co povolit, muzete mi pomoct? diky moc

  35. 35 eDwin 08.06.04, 08:06:31
    FB

    Bude 4. díl ? Please 8)

  36. 36 Radek Hulán 08.06.04, 12:06:54
    FB

    [35] někdy jo, ale teď není moc (vůbec) čas.. :|

  37. 37 Lahvac 08.06.04, 04:06:27
    FB

    Chci se zeptat, jak nakonfigurovat tento firewall pro více uživatelů? Zkusil jsem volbu All users (*) i ALL@JMENOPOCITACE, ale nic prostě nefunguje! A nastavovat to každýmu uživateli zvlášť (i s adminem 5), to se mi fakt nechce...

  38. 38 shaamaan 15.06.04, 03:06:34
    FB

    Pouzivam win xp sp1 a mam nasledovny problemik:

    Nastavil som sietove prava pre messengers (miranda IM) tak ako to tu je popisane ale miranda sa nepripojila na ICQ. Potom som pozrel ci vyuziva naozaj tie porty, ktore su popisane. Lokalne porty neboli od 1200 ale od 3400. Teda som to nastavil na rozhranie lokalnych portov 3400 - 3440 ale aj tak nic! Remote port som nechal 5190, lebo ten sa naozaj zhodoval.

    Kedze sa mi zda dost blbe zakazat modul firewall len preto, aby som sa mohol pripajat na ICQ, bol by som rad, keby ste mi to hocikto, kto s tym mate podobne skusenosti objasnili (najlepsie na mejl).

    Dik moc

    PS: vsetky ostatne sietove prava pre ostatne skupiny (browser, ftp, ...) funguju ako maju a nemam problemy sa pripojit napr. na ftp alebo prehliadat cez http...

  39. 39 Kocour 18.06.04, 11:06:45
    FB

    [38] Ja jsem mel podobny problem, u me zase Miranda vyuzivala porty 1136-1138, kdyz jsem je povolil, tak zase vyuzivala jine porty :o) Ted je mam nastavene na 1100-1240 a zatim to funguje...

  40. 40 shaamaan 21.06.04, 11:06:15
    FB

    [39] mno... ja som to zase musel nastavit na 1000-1240 :-)) ale uz to konecne ide!!!

  41. 41 Radek Hulán 01.07.04, 11:07:26
    FB

    poprosil bych o specifikaci témat pro 4 díl seriálu:
    http://myego.cz/item...

    Děkuji :)

  42. 42 cyphE 08.07.04, 12:07:20
    FB

    chci se zeptat... zkousel jsem chvili pouzivat jako firewall ZoneAlarm, ale u nekterych stranek [napriklad http://www.formule1.cz] mi s nim kompletne zatuhly Wokna. vzdy byl nutny restart a tak nasledovalo odinstalovani... ted mam Kerio a bez problemu, neco podobneho se mi s nim nikdy nestalo! chtel bych se zeptat, cim to mohlo byt - nakonfigurovat ZoneAlarm jsem se snazil vsemozne, ale nic nepomohlo???

    moc diky za radu!

    ps: clanek je vyborny, ale druhy dil je jaksi nejaky nepristupny:[ a propo, opravdu to chvilemi vypada jako reklamni text:] nepises nahodou o par radku vys neco o tom, ze testy jsou i placene:]] >> bez urazky...

  43. 43 Honza 13.07.04, 11:07:45
    FB

    A co nastavení firewallu na Linuxu? Nebyl by nejaky navod? ;)

  44. 44 Josef 19.07.04, 03:07:04
    FB

    Pokud někdo chcete češtinu do programu Tiny personal firewall, tak prosím napište žádost na tento mail: chceteto@cestiny.cz

  45. 45 Saleikum 21.07.04, 05:07:44
    FB

    Zajimave....chystam se vyzkouset...ale pro jistotu az po formatu C:, radsi...

    Zajimalo by me to nastavovani DC jak uz nekdo zminil par prispevku zpatky...Pred nedavnem jsem se pokousel to nejak rozume nastavit pomoci paketoveho filtru v KPF ale nepovedlo se mi to, tak jsem se na to vybodl a povolil mu vsecky porty coz neni nejlepsi reseni proto bych nerad opakoval stejny postup u TPF...kdybyste nekdo vedeli jake porty povolit ci jak to vubec nastavit byl bych rad....

  46. 46 Michal 31.07.04, 09:07:37
    FB

    Mam windows 2000 SP4, instaloval jsem TPF a po restartu se mi wokna uplne zasekly. Nepomoh nouzovy rezim ani vraceni posledni funkcni konfigurace. Musel jsem v dosu vymazat adresar s tpf, abych widows zase rozbehal. Vim, ze nefunkcni system se z internetu neda napadnout, ale takhle dokonale jsem si bezpecnost nepredstavoval.

  47. 47 Ron 05.08.04, 02:08:55
    FB

    Promin, ale jestli to dobre chapu tak sendbox je overovani aplikaci ve windozech. A to preci novej ZoneAlarm a Kerio mají.... Mimochodem jak se ptal Martin Masek na ty jiný firewally tak si mu doporucil ZoneAlarm, ze je lepsi a kerio zacina. Dle meho nazoru vzdy byl lepsi KerioPF a byl o krok dale. Jedinou chybou KPF bylo ze se poustel az po pripojeni k siti, coz by mohla byt taky petencialni chyba..., ale v registrech se to da prehodit. A KPF ma detailnejsi konfiguraci ZA je pro lamy.. Berte me trochu s rezervou, testoval sem mnoho firewallu takze nechci pomlouvat ZA...

  48. 48 Bart 05.08.04, 05:08:17
    FB

    Existuje nekde dobre, podrobne a nezavisle testovani personal firewallu vcetne jejich porovnani (z pohledu bezpecnosti) ? Jedna vec je chvala uzivatele, kterou respektuji (diky, zkusenosti jsou to nejcennejsi), ale kategoricka prohlaseni jsou vetsinou domenou marketingu. Chtelo by to dalsi informace, pokud jsou. Puvodne jsem hledal info a testy o Symantec Norton Internet Security 2004 Professional, ale nikde neni nic seriozniho (bud nejlepsi produkt vsech dob :) nebo prohlaseni viz cast 1 "extreme jednoduchy firewall"). Tahle informace proste nestaci. P.S. Proc se tady zverejnuji e-mailove adresy v podobe vhodne pro sber robotem ? To je bezpecne ?

  49. 49 junglister 21.11.04, 04:11:03
    FB

    Již se tu někdo zmínil o problémech s nastavenim proxy, konkretne u me proxomitronu. Pokousel jsem se nastavit porty na kterych komunikuje a to vse pomoci activity monitoru a marne. Fire fox vždy zahlasil ze nelze navazat spojeni s proxy serverem. Prosim o radu. Dekuji

  50. 50 junglister 21.11.04, 05:11:48
    FB

    btw: opravdu tu chybí ten 4 navod :)

  51. 51 Tomáš 12.12.04, 12:12:48
    FB

    No, nejdříve jsem měl chuť ten TPF zase odinstalovat, ale asi si ho ponechám delší dobu. Jen kdyby tak autoři uměli něco jako drag&drop, bylo by to fakt perfektní. Stejně jako přidávání aplikace je hodně otravné, kéž by šlo prostě exe soubor přetáhnout do TPF do příslušné složky :-(

  52. 52 hawkeyepierce 12.01.05, 09:01:27
    FB

    Zajimalo by me, jak poznam, ktere aplikace v $KnownSystemApps patri mezi tech cca 15 aplikaci, ktere jsou 100% systemove.Nemohl by tu byt nekde zverejnen list aplikaci, bez kerych se clovek ve windows neobejde ? Diky.

  53. 53 zombux 24.01.05, 11:01:26
    FB

    ehmmmm... hrál jsem si s TPF o víkendu, a ocenil bych čtvrtou část seriálu, díky :)

  54. 54 kriistof 27.01.05, 08:01:54
    FB

    Ahoj, zminoval jsi se, ze nepouzivas p2p programy. Ja vsak pouzivam DC++ a vazne nevim jak TPF nastavit:(
    Nemnel by jsi nejakou radu i pro uzivatele, kteri p2p programy pouzivaji?
    ps: odkud stahujes cracky? ;)

  55. 55 epepe 31.01.05, 12:01:26
    FB

    [54] Podaradil ti nekdo, jak nastavit Dc++ ? Taky ho pouzivam, chtel bych vyzkouset TPF, ale kvuli Dc++, ktere hodne pouzivam ;-) se mi do toho moc nechce... dik za odpo

  56. 56 antonov 13.02.05, 05:02:31
    FB

    Rad Bych se zeptal na spolehlive nastaveni pro skype. (Hlasova komunikace po netu). Dekuji.

  57. 57 Psychopat 07.03.05, 09:03:32
    FB

    Nainstaloval jsem na SATA disk winXP home SP1a, a hned TPF 5.5, vse slo v pohode. Pote jsem pripojil na IDE disky . Po zpetnem nabootovani do winXP se rozhodi TPF a u vsech aplikaci se v amonu zobrazuje TPFname userinit_1 a nic pak nefunguje jak ma.(pokud odstranim disk primary master tak je to zase v poho) Verze TPF 6.5 ma tu samou chybu. Zkousel jsem ruzny zpusob instalace winXP (se vsemi zapojenymi disky IDE, i bez), hledal sem podobny problem i na webu, ale neuspesne (malokdo pouziva TPF :p ).

  58. 58 zombux 08.03.05, 08:03:28
    FB

    [55] vytvoř pravidlo pro DC... kde je problém? vždyť to se dělá úplně stejně jako třeba u ICQ...

  59. 59 radim 11.03.05, 09:03:25
    FB

    jeden praktický postreh: interni systemove procesy windows, tak jak jsou popsany v kapitole „reseni bezpecnosti pro windows“, doporucuji upravovat PŘED instalaci TPF. Ja to udelal opacne, windows se zhroutili a nez jsem prisel na to ze musim v nouzovem rezimu zapnout sluzbu windows installer a odinstalovat TPF, tak se mi takhle podarilo 2x preinstaovat winy. Nasledne jsem vse nastavil podle navodu ale net mi stejne nejel. Pokud clovek není guru přes pc, tak nemá sanci si ho realne nastavit
    -radim-

  60. 60 radim 11.03.05, 09:03:29
    FB

    vybrat 15 systemovych aplikaci a ostatní zrusit killnout je pro laika neresitelny problem. Kazda se tvari totiž jako systemova.

  61. 61 zombux 11.03.05, 01:03:19
    FB

    [60] to máš pravdu... však někde nahoře už Radek psal že tenhle článek a tenhle firewall není pro laiky ;)

  62. 62 Šoman Robert 31.07.05, 07:07:21
    FB

    Zdravím, doteď sem si myslel že už nejsem lama, ale byl jsem naivní. Mám problémy podle tohoto článku nastavit TPF 6.5. Myslíš, že by šel udělat jednoduchý návod na poslední verzi? Asi by stačil jednoduchý v návaznosti na tenhle, ale aspoň něco..

  63. 63 Šoman Robert 31.07.05, 07:07:22
    FB

    [61]
    No možná ne, ale nestálo by to za to pomoct i laikům?

  64. 64 Radek 02.08.05, 06:08:46
    FB

    Pro autora
    můžeš prosim tě napsat, který z fw bys doporučil mimo Tiny? Po přečteni přípěvku si myslím, že by to zajimalo nejen me, protoze Tiny je opravdu pro odborníky a ja jako BFU, ho nemám šanci správně nastavit a ani nemám čas nastavovat jej několik hodim nebo dni, jak někteří tady píší. Zkoušel jsem ho pár dnů, ale je to nad mé sily i s tvým návodem, protoze mam uz novější verzi a některé tebou popisované věci v něm prostě nemám a mám tam spoustu jiných. Prostě jestli je alespon nějaká alternativa dle tebe. Já si vyhlídl Outpost Pro, Zone Alarm Pro, Norman a BlackIce a tyto bez problému "nastavím". Co by jsi tedy doporučil z těchto? taky jsem jich zkoušel hodně, ale neumím posoudit, který je aspoň trochu bezpecný, můžu to posoudit pouze z hlediska uživatelského komfortu.

  65. 65 Luboš 02.08.05, 10:08:14
    FB

    A Kerio PF ? Na to si zabudol ?[64]

  66. 66 Radek 02.08.05, 10:08:48
    FB

    Ne, nezapomněl, ale kerio není podle mě dobrý fw, měl jsem s ním pořád nějaké problémy, s některými aplikacemi. Proto si chci vybrat opuze z těch fw, o kterých jsem psal.

  67. 67 Zdenek 12.08.05, 10:08:38
    FB

    Zkoušel jsem TPF v.5.5, nastavil jsem vše jak je doporučeno. Na http://www.grc.com po provedení testu, jsem měl odezvy na ping. Na http://www.qualys.com jsem dostal hlášení o špatném nastavení. No chybička se asi vloudila, hold jsem asi nepohopil vše tak jak jsem měl. Po přechodu na TFPro 6.0 i v nastavení po instalaci, všechny dostupné testy které jsou na netu dostupné dopadly na jedničku. Občas se pohybuji na stránkách kde se to spamem a dilerama jen hemží. Používám 6ku asi rok s NOD32, za tu dobu nemám takové problémy jaké jsem řešil v minulosti. Ale i tak, uživatel by měl dodržovat pravidla při
    surfování , neklikat bezhlavě na vše. Při stahování pošty ze serveru používat programy jako MailWasher. Proč to píšu. Nejsem žádný odborník na bezpečnost Pc, ale při troše námahy šedé kůry mozkové se dá i tato oblast zvládnout.

  68. 68 Karel 12.11.05, 07:11:25
    FB

    Po chvíli trpělivosti se mi vše podařilo nastavit a vše běží jak má ale s jednou věcí si nedokážu poradit,po několika dnech a dnes již hned po startu dojde k vymazání veškerého nastavení a i všech skupin,nejen mnou vytvořených ale i systémových,prostě věech,děkji za jakoukoli radu

  69. 69 zombux 10.12.05, 02:12:20
    FB

    [64] z těchto mám vyzkoušený Outpost Pro, na kterém momentálně funguji a vřele doporučuju. Jeho konfigurace je naprosto jednoduchá a jeho možnosti výborné (s Tiny se měřit nemůže, nemá sandbox, ale díky tomu je zase řádově rychlejší, a narozdíl od Tiny nemá tak zoufale pomalé a nestabilní konfigurační rozhraní).
    Co naopak nedoporučím je Kaspersky Anti-Hacker, jehož obsluha je ještě jednodušší než u Outpostu, ale zdálo se mi že některé jeho nastavení se chovají jinak než chci, takže šel hodně rychle z počítače. Každopádně, trial verze ti dá hodně jasnou představu o tom jak to funguje

  70. 70 zombux 10.12.05, 02:12:36
    FB

    [64] z těchto mám vyzkoušený Outpost Pro, na kterém momentálně funguji a vřele doporučuju. Jeho konfigurace je naprosto jednoduchá a jeho možnosti výborné (s Tiny se měřit nemůže, nemá sandbox, ale díky tomu je zase řádově rychlejší, a narozdíl od Tiny nemá tak zoufale pomalé a nestabilní konfigurační rozhraní).
    Co naopak nedoporučím je Kaspersky Anti-Hacker, jehož obsluha je ještě jednodušší než u Outpostu, ale zdálo se mi že některé jeho nastavení se chovají jinak než chci, takže šel hodně rychle z počítače. Každopádně, trial verze ti dá hodně jasnou představu o tom jak to funguje

  71. 71 zombux 10.12.05, 02:12:43
    FB

    [64] z těchto mám vyzkoušený Outpost Pro, na kterém momentálně funguji a vřele doporučuju. Jeho konfigurace je naprosto jednoduchá a jeho možnosti výborné (s Tiny se měřit nemůže, nemá sandbox, ale díky tomu je zase řádově rychlejší, a narozdíl od Tiny nemá tak zoufale pomalé a nestabilní konfigurační rozhraní).
    Co naopak nedoporučím je Kaspersky Anti-Hacker, jehož obsluha je ještě jednodušší než u Outpostu, ale zdálo se mi že některé jeho nastavení se chovají jinak než chci, takže šel hodně rychle z počítače. Každopádně, trial verze ti dá hodně jasnou představu o tom jak to funguje

  72. 72 pavel 03.02.06, 06:02:07
    FB

    Ahoj lidičky, neporadil by mi někdo jak nastavit KPF 4.1.3.. Potřebuji sdílet internet v domací síti (pouze dva počítače). Bez Keria je vše OK. Jakmile ho aktivuji, tak z klienta se nepřihlásím na internet. prosím o radu. Díky

  73. 73 fanynek 05.04.06, 11:04:57
    FB

    [70] Nazdárek lidojedi! Nekažte mi radost.Před chvílí jsem si stáhnul onu třicetidenní trial verzi Kasper. Anti-Hackera a poslovenštil si ji a mám z ní velkou radost.Zatím se chová všechno naprosto korektně a funguje,jak má.Tak uvidíme,jak na tom soudruzi zapracovali. Mám DOTAZ: Dá se někde stáhnout manuál k výše jmenovanému firewallu?

  74. 74 honza 07.04.06, 04:04:18
    FB

    musím se přiznat, že nastavení TPF také moc nerozumím. nová verze se podle výše zmíněného návodu nastavit nedá. momentálně mám defaultní konfiguraci... jsem po čerstvé reinstalaci win (tj žádné brouky nikde nemám) tak to dělám tak, že pokud se mi ohlásí nějaká aplikace kterou znám tak ji hodim do trusted a neznáme aplikace se zatím nehlásí...myslíte si, že v této "defaultní" konfiguraci je TPF použitelný ? ... jo a taky se nemůzu zbavit hlášky pri spuštění winamp, že se snaží injectovat kody do ostatních procesu..dá se někde nastavit nějaké tiché hlídání bez techto hlášek ? jinak se asi mrknu na ten outpost...

  75. 75 celebi 23.07.06, 01:07:22
    FB

    počuj radku a aky máš názor na kerio winroute firewall? hlavne v porovnaní s TPF

  76. 76 tlačenka 07.11.06, 12:11:41
    FB

    [16] ... hm ID3 tagy jsou fajn, ale z principu nenechávám WinMedPlayer ani prdnout do sítě, jelikož tajně, bez vědomí a SOUHLASU uživatele, o něm posílá informace. Co si přehrává atp ....

    Já mám zatím Kerio .. a když WMP povolím přistup, vidím jak se někam připojí, něco málo pošle a pak se zase odpojí .... čili tím jsem si ověřil co jsem kdesi četl ... a vůbec, vůči MS produktům jsem v tomto skeptický. Veřím tomu že má Bill díky svým OS na miliónech počítačů, nejrossáhlejší, nejaktualnější a nejpodrobnější databázi chovaní mas .....

  77. 77 majeje 10.11.06, 09:11:55
    FB

    Dobry den pan Hulan chcel by som sa spytat na vas nazor na Zone Alarm Pro konkretne tu poslednu verziu nie je podla vas dostacujuci co sa tyka firewallu ked napr. podla stranky http://www.toptenreviews.com ziskal zlate hodnotenie ako najlepsi firewall roku 2006?taktiez by som chcel poradit pred niekolkymi dnami som si bol urobit test na stranke http://www.test.bezpecnosti.cz... islo o zakladny test pri ktorom bol testovany firewall, pri vyhodnoteni my v sekcii "www server" vyhodilo ze je otvoreny a verejny chcel by som sa spytat co to znamena, bol pri tom ! ako hrozba.moje pripojenie na net je cez mikrovlnku.poradte prosim ako mam vypnut pripadne zamedzit tomuto problemu mam Win XP PRO. dakujem

  78. 78 Radek Hulán 10.11.06, 10:11:16
    FB

    [77] Zone Alarm Pro je výborný firewall (+ obsahuje další sekce), s klidem jej doporučuji.

  79. 79 Jedi28 04.02.07, 03:02:46
    FB

    Tak jsem zkusil TPF ve verzi 6.5 a první dojem byl docela pěkný. Pak jsem jej nastavoval a to se mi už nelíbilo, asi jsem už degenerovaný Jeticem, ale tam je nastavení pro mně mnohem přehlednější. Sice stále používám verzi 1, ale vyvíjí se verze 2, zkoušel jsem ji, má mouchy, je to beta, ale nadále zůstávám u Finského Jetica. Jinak TPF by sloužil dobře, ale Jetico je pro mě lepší.

  80. 80 Zdenek Chládek 21.10.08, 09:10:20
    FB

    troufnu si říct, že ZoneAlarm umí to samé jako tiny jen ho dobře nastavit...

  81. 81 nwm 01.05.09, 03:05:59
    FB

    Zdravím,
    používám Tiny firewall 6.5.126 ale narazil jsem na problém s nastavením LAN. Používáme s bráchou router přes, který sdílíme i internetové připojení. Zkoušel jsem v pravidlech nastavit:

    Protokol: UDP
    Směr: in
    Lokální port: 53
    Vzdálený: vše
    Zóna: Bezpečná zóna
    S tím že jsem taky zadal vzdálenou IP 192.168.0.183(bratrova). Ale nějak to nechce fičet..... budu vděčný za radu. Díky