Antiviry a Anonymita (Proč se o tom nemluví?)

[ZAJDAN]

Na Windows jsem sveho času používal zone alarm(super). Na linuxu jsem pomoci iptables odřízl přístup do netu vybraným programům bez problémů... Hry co jsem instaloval ve wine jsem takto ošetřoval, pač jedu na hulvata

[Reklama]

[Martin Dráb]

Jenze ve widlich bys potreboval ne 2 dny ale 20let, abys do toho dopsal to vsechno co to neumi a prepsal to vsechno, co to dela uplne blbe. Dyt ten debilni system neumi ani symlink ...

To záleží, co byste tam chtěl dopisovat. Zrovna co se týče firewallu,  všechno vyjma rozhodovací logiky a UI tam máte (pokud vynecháte standardní Windows Firewall). Rozhraní pro detekci a filtrování síťových operací (per-application) a práce s pravidly tam je přímo zabudováno. A je i zdokumentováno.

Symlinky a hardlinky Windows (resp. NTFS) umějí (z Příkazového řádku k tomu slouží utilita mklink).

Mně kdysi (2005) stačilo stáhnout nějakou Kerio věc, Next, Next, Next, hotovo. Určitě to netrvalo 20 let.

Kerio (Subnelt) Personal Firewall byl jednu dobu velmi oblíbený nástroj. Asi se nějak nedostalo ven, jak moc je "kvalitní".

Například hlídal i spouštění neznámých procesů, při kteréžto události zobrazil dotaz a spouštění procesu (resp. jeho hlavního vlákna) bylo pozastaveno. Útočníkovi ale v takovém případě stačilo se pokusit proces (resp. jeho hlavní vlákno) znovu rozběhnout, aby onen dotaz obešel.

Je pravda ale, že co se týče síťových nastavení, to umělo hodně (a to ještě v době XP, kdy žádné dokumentované rozhraní pro firewally v podstatě nebylo).

[sport]

Jelikož si odmítám zasírat PC antiviry (natož placenými....) , tak tohle vůbec nesleduji, ani nevím, zda neexistuje nějaký jiná než Defender, Avast, ESET, NOD, Kaspersky... a to je vše, tak je pro mě tahle informace vlastně nová (i když z nějakého podobného důvodu je právě tak nepoužívám, co když antiviry umí i "zavirovat" PC, když ho umí i odvirovat, jednak  riziko, že by antivir mohl odesílat určité informace z PC, ostatně Windows >=8 šmíruje také), jen by mě zajímalo, co jsou ty desítky modulů, to jsem se nedozvěděl

PS: A nikdy jsem neměl problém s virem (vlastně jen jednou za 12 let, nebyla doba šifrovačů, takže nedošlo ke ztrátě dat, ale bohužel šlo o kompletní infekci všech kdykoli otevřených .exe, .html,php), Za kdykoli si spustím sestřin PC, zjistím od oka(autoruns+ process explorer), že je tam vir.

[ByCzech]

ByCzech: Demence je psat o necem o cem vis hovno.

Nikdo se ani nepodíval co ten "Windows Firewall Control" (https://www.binisoft.org/wfc.php) vlastne dela...

Jestlize aplikace chce pristup na internet vidim to! A vidim na jakou adresu a port se chce pripojit.
A je na me jestli to povolim nebo nepovolim a jestli to pravidlo bude nebo nebude trvale.

Ale já vím jak to vypadá... To je taková ta věc, co uživatel automaticky kliká Ano/Yes/Allow bez toho, aby věděl, jestli to udělal správně. Znalý člověk GUI nepotřebuje a BFU je to GUI k ničemu, protože stejně vše povolí = jako by nebylo. Takže asi tak.

[Tuxik]

Co máte v linuxu za problém s firewallem? iptables na packetový filtr, na aplikace máme vymoženosti jako cgroups, pokud vám jde o oddělení/ustřižení konkrétní aplikace od sítě, zkuste třeba

Kód: [Vybrat]

unshare -n ping root.czchybí vám snad něco ke spokojenosti?

[Reklama]

[noef]

Novinka bude, až uživatele Windows pochopí, že to čemu se říká ve Windows firewall se v Linuxu řeší přes iptables/nft + selinux/apprmor ap. a pak to má daleko větší možnosti, než si kdy uživatel Windows může představit.

Má to nepředstavitelně větší možnosti, ale člověk si musí udělat dva dny volno aby to nakonfiguroval a doprogramoval si k tomu UI.

+1

Dost me zarazilo, ze pod Widlema tak bezna vec, jako mit GUI pro firewall (napr. Comodo), v Linuxovem desktopu neexistuje*. A ty kecy o BFU, iptables atd. si strcte za klobouk - kdyz chci desktop, tak ocekavam GUI. Mam tu nekolik klikatek na baliky, nastaveni site, barvicek prostredi ale zadne na "firewall"? Od OS na desktopu ocekavam zakladni moznosti nastaveni pres GUI a "firewall" (jakkoliv si ho pojmenujete) do toho IMO patri.

*: Nasel jsem jeden bastl, ale vypadalo to zastarale a stejne to podle reakci ostatnich skoro nefungovalo.

A tak je to v Linuxu se vším .

Kdyz jsem z Widli 10 prechazel na Kubuntu, tak moc veci jsem ne-desktopove resit nemusel. Pouze obcas zlobi detekce monitoru po startu (mivam pripojene 3-4 monitory z toho jeden se zapina nejak zpozdene), ale to z vetsi casti vyresil jestli 2 radkovy skript.

PS: Kdo tu psal tu kravinu s 30 odsouhlasenimi po spusteni browseru - v beznem Widlim FW (treba tom Comodu) se pravidla ukladaji (tusim podle hashe binarky) a lze nastavit jemnost pravidel - pouze podle aplikace, nebo treba aplikace + port atp. Takze realne se vas to zepta JEDNOU na Firefox, vy zaskrtneme "zapamovat" a "povolit" a nastaveni firewallu pro prohlizec je hotove - prace na par vterin. To je trosku nekde jinde, nez se ucit s iptables, smrdlat si skriptiky a pripadne si sam i prekladat veci jen proto, abych dosahl funkcionality stejne, jako ma kazdy Widli FW zadarmo a na par kliku.

[Vladimír Drgoňa]

A k tomu linuxu: som zvedavý, či kontroluješ hashe všetkých updates, čo sťahuješ a overuješ si autority, ktoré ich vytvárajú.

Čo je to za ptákovinu? Každý ebuild v Gentoo obsahuje hashe zdrojových súborov, ktoré sa pri kompilácii samozrejme kontrolujú. Každé distro si bezpečnosť rieši posvojom, vždy lepšie ako ten paródia na bezpečnosť od M$.
Na overenie autority existujú certifikáty, pokiaľ inštaluješ podpísaný balík tak vieš že ho niekto skontroloval.
Na wydlách inštaluješ náhodne stiahnuté *.exe, v lepšom prípade *.msi súbor, ktorý nikto neoveruje a nikto za nič neručí - bordel jak prasa.

[Jenda]

Znalý člověk GUI nepotřebuje

A jak jinak bys zařídil, aby se o tom uživatel dozvěděl a mohl odpovědět? Nebo tím, že používám Xka, automaticky nejsem znalý?

Jako mně je to fuk, když to bude mít rozumné API, tak si tam to volání Zenity dialogu umím udělat taky.

Co máte v linuxu za problém s firewallem?

Že neexistuje nic, co by zobrazilo „stardict resolvnul dict.cn a připojuje se k němu na :80. Povolit jednou, vždy, ne“, nedej bože i „nadejkoval jsem mu ACK z druhé strany a poslal tohle: [hexdump paketu]. Povolit?“

[Tuxik]

Co máte v linuxu za problém s firewallem?

Že neexistuje nic, co by zobrazilo „stardict resolvnul dict.cn a připojuje se k němu na :80. Povolit jednou, vždy, ne“, nedej bože i „nadejkoval jsem mu ACK z druhé strany a poslal tohle: [hexdump paketu]. Povolit?“

Ne že by to nešlo, něco podobného jsem kdysi zahlédl, zkusím to dohledat, ale je pravda, že standardně nic takového v Linuxu není. Možná je to i tím, že v Linuxu není běžné stahovat z pochybných zdrojů 8 programů na to, čeho chci aktuálně dosáhnout a zkoušet, který z nich mi nejvíce vyhovuje a který z nich mi zlikviduje OS, HW, utopí rybičky a zabije andulku vyhozením z 10tého patra.

[Tuxik]

Už jsem to našel... http://douaneapp.com/ za nic neručím, nezkoušel jsem, nevím, jak moc je to ve vývoji. Mlžete zkusit a poreferovat.

[Petr]

Osobně mám celou síť připojenou k netu přes jedno malé PC s linuxem a se dvěma síťovými kartami. Jedna do internetu a druhá do vnitřní sítě.

Na tom PC se nastavením v iptables zahodí v podstatě vše, co přichází zvenku na kartu připojenou do internetu, kromě již navázaných spojení zevnitř. A hlavně tam běží proxy server squid, který zajišťuje webové služby pro PC ve vnitřní síti. Ten squid zároveň blokuje reklamy (takové ty domény imedia.cz, gemius.pl ...) a dál brání i stahování souborů s koncovkami dll, exe, msi atd. atd.

Počítače uvnitř nemají v OS nastavenou cestu ven. Cesta na proxy server je nastavená čistě ve firefoxu. Takže OS vůbec neví, jak do internetu a umí to jen Firefox, protože proxyna není nastavená v OS ale jen ve FF.

Když občas potřebuju něco posílat mimo firefox (třeba aby účetní program poslal data finančáku), povolím na tu chvilku NAT v iptables pro IP adresu toho PC s účetnictvím. Po přenosu to pravidlo zase z iptables smažu a je po NATu.

Když chci stáhnout nějakou instalačku pro Win (většinou exe soubor), povolím si to .exe na chvilku ve squidu, stáhnu to na linuxovou mašinu a pošlu to na virustotal.com ke kontrole. Až pak to jde do widlí.

Na to, co dělám opakovaně, mám skripty. Takže zprovoznění NATu pro určitou IP je otázka pár vteřin. Tento systém provozuju asi od roku 2001 (tenkrát ještě s ipchains) a zatím naprosto bez problému a hlavně bez antiviru, který stejně hlavně šmíruje a brzdí. Všude jsu povypínané automatické aktualizace (stejně by nefungovaly), takže se nemusím bát, že se někde něco po aktualizaci rozbije.

Toto řešení ale asi není moc vhodné pro běžné nasazení u ostatních, protože ne každému stačí webové služby a taky nechrání před připojením nakaženého zařízení, když si někdo třeba donese cestovní netobook atd. Není to použitelné ani pro internetové hraní her a podobně. Já ale nic takového nepotřebuju, takže s tím funguju spokojeně už přes 15 let.

[Jenda]

Možná je to i tím, že v Linuxu není běžné stahovat z pochybných zdrojů 8 programů na to, čeho chci aktuálně dosáhnout a zkoušet, který z nich mi nejvíce vyhovuje a který z nich mi zlikviduje OS, HW, utopí rybičky a zabije andulku vyhozením z 10tého patra.

Ten příklad se Stardictem nebyl vymyšlený... A je jich tam víc. https://brmlab.cz/user/jenda/et#stardict

Osobně mám celou síť připojenou k netu přes jedno malé PC s linuxem a se dvěma síťovými kartami.

Ano, my taky víme, co je to stavový firewall. Ale to jaksi neřeší „backdoor“/„antifeature“ v běžné aplikaci (Stardict, GNOME, systemd…).

proxy server … brání i stahování souborů s koncovkami dll, exe, msi atd. atd.

Tak ten musí mít v době všudepřítomného HTTPS docela těžký život (btw. na Linuxu mě nějaké dll/exe/msi fakt netrápí, leda že bych rozchodil nějaký virus ve Wine).

Všude jsu povypínané automatické aktualizace (stejně by nefungovaly), takže se nemusím bát, že se někde něco po aktualizaci rozbije.

To zní skvěle. Co to udělá, když vstoupíš do exploitu na openssl/Firefox/libpng/jasper?

[Nox]

Petr: Docela hezke reseni, jen bych ho nedokazal rozchodit. Osobne si myslim, ze zaklad bezpecnosti by mel byt pristup: Na net smi pouze www prohlicec, emailovy klient a komunikator, zbytek programu musi fungovat plnohodnotne bez nej.

[Jenda]

Petr: Docela hezke reseni, jen bych ho nedokazal rozchodit. Osobne si myslim, ze zaklad bezpecnosti by mel byt pristup: Na net smi pouze www prohlicec, emailovy klient a komunikator, zbytek programu musi fungovat plnohodnotne bez nej.

A SSH klient a Kukuruku klient a... A u toho komunikátoru a emailového klientu je přece nesmysl povolovat celý Internet, chceš povolit jenom tvůj Jabber a mail server. No a přesně k tomu se hodí aplikační firewall, jehož neexistence se tu řeší.

Dá se to aproximovat tím, že browser spustíš pod jiným uživatelem, pomocí iptables match UID modulu mu povolíš všechno, a ostatním zakážeš vše až na ty výjimky (Jabber, mail, SSH servery).

[ByCzech]

Tak GUI pro firewall?

https://gufw.org/
https://www.linux-apps.com/content/show.php/UFW+KControl+Module?content=137789

A pro selinux?

https://pandeyarpit.wordpress.com/selinux-an-introduction/selinux-gui-overview/

...