Использую сейчас связку Panda+OutPost, но в силу, а точнее в силу слабости своей машины решил отказаться от OutPost. И возникли следующие вопросы:
стоит ли это делать, и хватит ли мужества встроенного в Panda Firewall'a чтобы в случае чего отразить атаку хулиганов?
Если да, то как сделать чтобы PandaFirewall показывал что ко мне ломятся или сканируют?
Может быть что-то своё посоветуте, буду всему :-)
Как антивирь Panda меня устраивает, хотя я все время пользовался NOD32, но после того как он пропустил sasser (ВИНОВАТ ЛИ в этом антивьрь???), я от него отказался. Жду Ваших ответов...
Полная Версия: Firewall или...
осмелюсь посоветовать аппаратный файрволл.
цена вопроса - 60-70 зеленых президентов.
цена вопроса - 60-70 зеленых президентов.
дай тогда уж линку для ознакомления...
| QUOTE |
D-Link DI-604 получил знак "Top Product!" по результатам тестирования широкополосных маршрутизаторов, проводимого онлайновым изданием Scot's Newsletter. Сравнение устройств Netgear RP614 и D-Link DI-604 проводилось по следующим параметрам: функциональность, безопасность, простота инсталляции и настройки, возможность обновления программного обеспечения. Сравнение функциональности показало, что устройства имеют сопоставимый набор возможностей, "однако D-Link имеет небольшой, но очень важный набор дополнительных функций, которые часто отсутствуют в маршрутизаторах класса SOHO". Эти функции включают "простую настройку портов приложений, набор правил межсетевого экрана, и возможность размещения одного компьютера в демилитаризованной зоне (DMZ)". Автор обзора так же отметил, что "DI-604 предоставляет прекрасную возможность работы с МАС - адресами компьютеров. Это дает D-Link мощное средство для блокировки и планирования доступа к Интернет компьютеров локальной сети по МАС - адресам". Сравнивая внешний вид устройств, про DI-604 автор обзора сказал, что "- его закруглённые края позволяют расположить его в любом удобном для вас месте. Он также снабжён значительно меньшим по размерам внешним блоком питания". Оба устройства продемонстрировали простоту инсталляции и настройки, благодаря наличию мастера установки. Однако, по мнению автора, "программа настройки D-Link была лучше". Автор также отметил, что "в DI-604 встроена возможность обновления программного обеспечения. Наличие многочисленных, по сравнению с Netgear, детальных параметров настроек на экране, предоставляет пользователям больше средств управления". Среди этих настроек: возможность установки времени вручную или с использованием сервера времени NTP, просмотр в журнале регистрации всех выполненных действий, встроенный тест подключения кабеля и возможность настройки порта приложения. "Нет никаких сомнений по поводу того, какой из продуктов более гибок и удобен в управлении",- так автора обзора сказал про возможности конфигурации D-Link DI-604 . По материалам Scot's Newsletter |
у некоторых клиентов сети ХоумНет такое дело частво встречается , удобная штука..
конкретно эта модель роутера стоит 40 у.е
удобное администрирование, но! если к нему подключить ещё один компьютер ,грозит немедленное отключения IP от сети и как результат штраф в размере 600 рублей, за незаконное подключение другой машины
конкретно эта модель роутера стоит 40 у.е
удобное администрирование, но! если к нему подключить ещё один компьютер ,грозит немедленное отключения IP от сети и как результат штраф в размере 600 рублей, за незаконное подключение другой машины
Ой, Аванте, а с этого места поподробнее пожалуйста 
Где это написано про штрафы и про 600 рублей канкрэтно ?
И почему это я не могу подключить свой второй собственный компьютер к интернету через вот такой вот аппарат, если мне влом 2 сетевых карточки покупать ?
Где это написано про штрафы и про 600 рублей канкрэтно ?
И почему это я не могу подключить свой второй собственный компьютер к интернету через вот такой вот аппарат, если мне влом 2 сетевых карточки покупать ?
я точно не скажу где это написано, но это 100% действующий факт.
т.е о любои перемещении сетевой карты , как я понимаю, надо заранее уведомлять ТС ,о том, что мак у тебя будет другой
т.е о любои перемещении сетевой карты , как я понимаю, надо заранее уведомлять ТС ,о том, что мак у тебя будет другой
avante,
специально для таких случаев, в DI-604 предусмотрен режим
"забрать мак-адрес с интерфейса и установить его на WAN"
поверь, ЕС никак не сможет доказать подключено ли у меня 2 компутера либо 1 либо 10....
разве что ордер на обыск принесет?
специально для таких случаев, в DI-604 предусмотрен режим
"забрать мак-адрес с интерфейса и установить его на WAN"
поверь, ЕС никак не сможет доказать подключено ли у меня 2 компутера либо 1 либо 10....
разве что ордер на обыск принесет?
Н-да... боюсь я не готов выложить 40 уёв за такую штуку... А как, кстати встроенный в винду файрвол? Сильно стрёмный или можно юзать?
статистика показывает, что встроенный фаервол от атак не помогает почти. windows xp sp1 с включенным встроенным брандмауэром становится "зомби" машиной через 240 секунд подключения в сеть.
В смысле "зомби"???
Тогда скажите пожалуйста, как правильно отключить (или удалить) файрвол в SP2, чтобы он потом не конфликтовал с другими файрволами (например с Пандовским)
Тогда скажите пожалуйста, как правильно отключить (или удалить) файрвол в SP2, чтобы он потом не конфликтовал с другими файрволами (например с Пандовским)
AVANTE
А если у меня дома 2 ноутбука ??? То как же мне тогда в сетку выходить ? Чего то какая то дискриминация получается Непродумали - я ведь оплатил свое подключение к Сети, зачем мне регистрировать мой зверинец по-отдельности, когда все меняется непрерывно ?
Или звонить каждый вечер и уведомлять что включаю новый компьютер ?
А если у меня дома 2 ноутбука ??? То как же мне тогда в сетку выходить ? Чего то какая то дискриминация получается
Непродумали - я ведь оплатил свое подключение к Сети, зачем мне регистрировать мой зверинец по-отдельности, когда все меняется непрерывно ?Или звонить каждый вечер и уведомлять что включаю новый компьютер ?
вирусы заражют компьютер через уязвимости и делают их "зомби" - т.е. компьютер приходит в подчинение вируса. обычно это организовывают для dos атаки, когда все "зомби" компьютеры начинают усилено обращаться к rfrjbe-то одному компьютеру, что приводит к его выходу из строя на некоторое время.
отключить: свойства соединяния - дополнительно - отключить брандмауэр.
отключить: свойства соединяния - дополнительно - отключить брандмауэр.
Спасибо, выручил! Чтобы ещё спросить......... 
тут два выхода. либо ставить в качестве гейта еще одну машинку (в данном случае я рекомендую openBSD)
либо аппаратный firewall.
хотя первое можно с натяжкой назвать вторым.
ниодному виндовому файрволу лично я не верю ни на йоту.
для нормальной работы, FW должен находится в ядре системы в состоянии "запрещено все"
либо аппаратный firewall.
хотя первое можно с натяжкой назвать вторым.
ниодному виндовому файрволу лично я не верю ни на йоту.
для нормальной работы, FW должен находится в ядре системы в состоянии "запрещено все"
| QUOTE (Angus @ Dec 4 2004, 04:01 PM) |
| AVANTE А если у меня дома 2 ноутбука ??? То как же мне тогда в сетку выходить ? Чего то какая то дискриминация получается Непродумали - я ведь оплатил свое подключение к Сети, зачем мне регистрировать мой зверинец по-отдельности, когда все меняется непрерывно ?Или звонить каждый вечер и уведомлять что включаю новый компьютер ? |
Ниче не надо уведомлять. Еще неделю будут разбираться просто почему это тебе надо. Еще и отключат на всякий случай.
Тихо меняй мак на втором компе и все.
Angus
я за что купил-за то продал мне вот лично глубоко все равно
я за что купил-за то продал
мне вот лично глубоко все равно
AVANTE
Ну как же так! Ты же сотрудник, ты в этом котле варишься/крутишься
Ты уж нам посоветуй чего, как быть в такой ситуации Мож спросишь кого ? А то вот про штрафы сказал - а у меня ни одной бумажулечки нету про ети самые штрафы - вот я и удивляюсь
Ну как же так!
Ты же сотрудник, ты в этом котле варишься/крутишься Ты уж нам посоветуй чего, как быть в такой ситуации
Мож спросишь кого ? А то вот про штрафы сказал - а у меня ни одной бумажулечки нету про ети самые штрафы - вот я и удивляюсь
Angus
если найду где я это умудрился прочитать, обязательно обупликую
если найду где я это умудрился прочитать, обязательно обупликую
Да, кстати, еще один, неуважаемый мной, описывал, как можно подключить второй компутер:
http://forum.hnet.ru/index.php?showtopic=1...indpost&p=16334
особливо смотрим на способ №3. тот же нат, но через компутер.
http://forum.hnet.ru/index.php?showtopic=1...indpost&p=16334
особливо смотрим на способ №3. тот же нат, но через компутер.
да их черт не разберет, между отделами нет четкого взаимодействия
я еще раз повторяю, тот же DI-604 можно загнать в следующее состояние:
1. отдавать mac твоей карточки
2. реагировать на пинги снаружи
3. не пропускать снаружи более ничего.
4. получать адрес снаружи по DHCP
5. натить два компа из нутра наружу.
единственно, как можно догадаться, что натит железяка, а не нормальная машина включена - у TCP/IP есть в пакете OS создателя.
да и то (тем, кому не интересна тема, могут не читать) - начало pf.os из openBSD:
1. отдавать mac твоей карточки
2. реагировать на пинги снаружи
3. не пропускать снаружи более ничего.
4. получать адрес снаружи по DHCP
5. натить два компа из нутра наружу.
единственно, как можно догадаться, что натит железяка, а не нормальная машина включена - у TCP/IP есть в пакете OS создателя.
да и то (тем, кому не интересна тема, могут не читать) - начало pf.os из openBSD:
| QUOTE |
# passive OS fingerprinting # ------------------------- # # SYN signatures. Those signatures work for SYN packets only (duh!). # This fingerprint database is adapted from Michal Zalewski's p0f passive # operating system package. The last database sync was from a Nov 3 2003 # p0f.fp. # # # Each line in this file specifies a single fingerprint. Please read the # information below carefully before attempting to append any signatures # reported as UNKNOWN to this file to avoid mistakes. # # We use the following set metrics for fingerprinting: # # - Window size (WSS) - a highly OS dependent setting used for TCP/IP # performance control (max. amount of data to be sent without ACK). # Some systems use a fixed value for initial packets. On other # systems, it is a multiple of MSS or MTU (MSS+40). In some rare # cases, the value is just arbitrary. # # NEW SIGNATURE: if p0f reported a special value of 'Snn', the number # appears to be a multiple of MSS (MSS*nn); a special value of 'Tnn' # means it is a multiple of MTU ((MSS+40)*nn). Unless you notice the # value of nn is not fixed (unlikely), just copy the Snn or Tnn token # literally. If you know this device has a simple stack and a fixed # MTU, you can however multiply S value by MSS, or T value by MSS+40, # and put it instead of Snn or Tnn. # # If WSS otherwise looks like a fixed value (for example a multiple # of two), or if you can confirm the value is fixed, please quote # it literally. If there's no apparent pattern in WSS chosen, you # should consider wildcarding this value. # # - Overall packet size - a function of all IP and TCP options and bugs. # # NEW SIGNATURE: Copy this value literally. # # - Initial TTL - We check the actual TTL of a received packet. It can't # be higher than the initial TTL, and also shouldn't be dramatically # lower (maximum distance is defined as 40 hops). # # NEW SIGNATURE: *Never* copy TTL from a p0f-reported signature literally. # You need to determine the initial TTL. The best way to do it is to # check the documentation for a remote system, or check its settings. # A fairly good method is to simply round the observed TTL up to # 32, 64, 128, or 255, but it should be noted that some obscure devices # might not use round TTLs (in particular, some shoddy appliances use # "original" initial TTL settings). If not sure, you can see how many # hops you're away from the remote party with traceroute or mtr. # # - Don't fragment flag (DF) - some modern OSes set this to implement PMTU # discovery. Others do not bother. # # NEW SIGNATURE: Copy this value literally. # # - Maximum segment size (MSS) - this setting is usually link-dependent. P0f # uses it to determine link type of the remote host. # # NEW SIGNATURE: Always wildcard this value, except for rare cases when # you have an appliance with a fixed value, know the system supports only # a very limited number of network interface types, or know the system # is using a value it pulled out of nowhere. Specific unique MSS # can be used to tell Google crawlbots from the rest of the population. # # - Window scaling (WSCALE) - this feature is used to scale WSS. # It extends the size of a TCP/IP window to 32 bits. Some modern # systems implement this feature. # # NEW SIGNATURE: Observe several signatures. Initial WSCALE is often set # to zero or other low value. There's usually no need to wildcard this # parameter. # # - Timestamp - some systems that implement timestamps set them to # zero in the initial SYN. This case is detected and handled appropriately. # # - Selective ACK permitted - a flag set by systems that implement # selective ACK functionality. # # - The sequence of TCP all options (MSS, window scaling, selective ACK # permitted, timestamp, NOP). Other than the options previously # discussed, p0f also checks for timestamp option (a silly # extension to broadcast your uptime ;-), NOP options (used for # header padding) and sackOK option (selective ACK feature). # # NEW SIGNATURE: Copy the sequence literally. # # To wildcard any value (except for initial TTL or TCP options), replace # it with '*'. You can also use a modulo operator to match any values # that divide by nnn - '%nnn'. # # Fingerprint entry format: # # wwww:ttt:D:ss:OOO...  S:Version:Subtype:Details# wwww - window size (can be *, %nnn, Snn or Tnn). The special values # "S" and "T" which are a multiple of MSS or a multiple of MTU # respectively. # ttt - initial TTL # D - don't fragment bit (0 - not set, 1 - set) # ss - overall SYN packet size # OOO - option value and order specification (see below) # OS - OS genre (Linux, Solaris, Windows) # Version - OS Version (2.0.27 on x86, etc) # Subtype - OS subtype or patchlevel (SP3, lo0) # details - Generic OS details # # If OS genre starts with '*', p0f will not show distance, link type # and timestamp data. It is useful for userland TCP/IP stacks of # network scanners and so on, where many settings are randomized or # bogus. # # If OS genre starts with @, it denotes an approximate hit for a group # of operating systems (signature reporting still enabled in this case). # Use this feature at the end of this file to catch cases for which # you don't have a precise match, but can tell it's Windows or FreeBSD # or whatnot by looking at, say, flag layout alone. # # Option block description is a list of comma or space separated # options in the order they appear in the packet: # # N - NOP option # Wnnn - window scaling option, value nnn (or * or %nnn) # Mnnn - maximum segment size option, value nnn (or * or %nnn) # S - selective ACK OK # T - timestamp # T0 - timestamp with a zero value # # To denote no TCP options, use a single '.'. # # Please report any additions to this file, or any inaccuracies or # problems spotted, to the maintainers: lcamtuf@coredump.cx, # frantzen@openbsd.org and bugs@openbsd.org with a tcpdump packet # capture of the relevant SYN packet(s) # # A test and submission page is available at # http://lcamtuf.coredump.cx/p0f-help/ # # # WARNING WARNING WARNING # ----------------------- # # Do not add a system X as OS Y just because NMAP says so. It is often # the case that X is a NAT firewall. While nmap is talking to the # device itself, p0f is fingerprinting the guy behind the firewall # instead. # # When in doubt, use common sense, don't add something that looks like # a completely different system as Linux or FreeBSD or LinkSys router. # Check DNS name, establish a connection to the remote host and look # at SYN+ACK - does it look similar? # # Some users tweak their TCP/IP settings - enable or disable RFC1323 # functionality, enable or disable timestamps or selective ACK, # disable PMTU discovery, change MTU and so on. Always compare a new rule # to other fingerprints for this system, and verify the system isn't # "customized" before adding it. It is OK to add signature variants # caused by a commonly used software (personal firewalls, security # packages, etc), but it makes no sense to try to add every single # possible /proc/sys/net/ipv4 tweak on Linux or so. # # KEEP IN MIND: Some packet firewalls configured to normalize outgoing # traffic (OpenBSD pf with "scrub" enabled, for example) will, well, # normalize packets. Signatures will not correspond to the originating # system (and probably not quite to the firewall either). # # NOTE: Try to keep this file in some reasonable order, from most to # least likely systems. This will speed up operation. Also keep most # generic and broad rules near the end. # ########################## # Standard OS signatures # ########################## # ----------------- AIX --------------------- # AIX is first because its signatures are close to NetBSD, MacOS X and # Linux 2.0, but it uses a fairly rare MSSes, at least sometimes... # This is a shoddy hack, though. 45046:64:0:44:M*: AIX:4.3::AIX 4.3 16384:64:0:44:M512: AIX:4.3:2-3:AIX 4.3.2 and earlier 16384:64:0:60:M512,N,W%2,N,N,T: AIX:4.3:3:AIX 4.3.3-5.2 ну и так далее. |
кому интересно - могу файлик целиком отдать.
Voldemar
Пропустил несколько момент.
Я так понимаю, это аппаратный файерволл ?
С возможностью удаленного администрирования ? (т.е. я могу по сети, скажем, совершенно из другого места настроить правила ?)
Или это свитч/хаб, т.е. нечто, имеющее несколько выходов ?
Т.е. я его покупаю, прикручиваю где-нить к стене, и раскидываю чиста провода по тем местам квартиры, где я бывать часто люблю с ноутом ?
А D-Link - Это как фирма-то ? Видал, конечно в прайсах, но кажется, очень уж китайско-китайское... я про надежность.
Есть какие нибудь альтернативы интересные для дома ?
Какое общее правильное название для этих устройств ? (чтобы знать что в прайс-листах высматривать)
Пропустил несколько момент.
Я так понимаю, это аппаратный файерволл ?
С возможностью удаленного администрирования ? (т.е. я могу по сети, скажем, совершенно из другого места настроить правила ?)
Или это свитч/хаб, т.е. нечто, имеющее несколько выходов ?
Т.е. я его покупаю, прикручиваю где-нить к стене, и раскидываю чиста провода по тем местам квартиры, где я бывать часто люблю с ноутом ?
А D-Link - Это как фирма-то ? Видал, конечно в прайсах, но кажется, очень уж китайско-китайское... я про надежность.
Есть какие нибудь альтернативы интересные для дома ?
Какое общее правильное название для этих устройств ? (чтобы знать что в прайс-листах высматривать)
любишь бывать с ноутом? солюшены такие:
1. это "легкий" маршрутизатор. 1 WAN 4LAN. внутри есть DHCP сервер для LAN
2. да, именно аппаратный.
3. откуда есть доступ, оттуда можно и настроить.
4. можешь подключить Wi-Fi Access Point и бродить по квартире не спотыкаясь о провода.
5. обычно позиционируется как SOHO Router/firewall.
про эксплуатацию - можно спросить у Que, он уже пару месяцев за такой живет.
AcademCom такую железяку клиентам впаривает.
1. это "легкий" маршрутизатор. 1 WAN 4LAN. внутри есть DHCP сервер для LAN
2. да, именно аппаратный.
3. откуда есть доступ, оттуда можно и настроить.
4. можешь подключить Wi-Fi Access Point и бродить по квартире не спотыкаясь о провода.
5. обычно позиционируется как SOHO Router/firewall.
про эксплуатацию - можно спросить у Que, он уже пару месяцев за такой живет.
AcademCom такую железяку клиентам впаривает.
я вот читал , читал, все-таки D-Link я наверно себе поставлю тоже, у клиента видел-настраивал, удобный интерфейс ,возможность дистанционного администрирования (только с разрешенных IP адресов) .....
в общем решено, и всем советую
по анологии с 604 моделью есть чтонибудь с технологией Блютус
в общем решено, и всем советую
по анологии с 604 моделью есть чтонибудь с технологией Блютус
| i | Так, товарищи, а вам не кажется, что это уже совсем другая тема? Может её надо разделить? |
Здесь расположена полная версия этой страницы.