|
|
 | Firewall - Black Ice Defender
Fra : Herbert |
Dato : 19-02-01 12:05 |
|
Hejsa
Jeg er blevet anbefalet "Black Ice Defender" som firewall til min Cybercity
ASDL.
Er der nogle der har erfaringer med den? eller er der en anden som jeg skal
vælge ?
Mvh Erik
| |
 Rasmus (19-02-2001)
| Kommentar
Fra : Rasmus |
Dato : 19-02-01 14:29 |
|
Jeg har læst i en del test af Personal Firewalls (bla. på www.grc.com) , at
black Ice defender ikke er den bedste løsnig, de den indeholder en del
"huller".
Personligt vil jeg anbefale ZoneAlarm Pro, der er glimrende til privat brug
når man lærer den at kende : )
Mvh
Rasmus
| |
Kent Friis (19-02-2001)
| Kommentar
Fra : Kent Friis |
Dato : 19-02-01 18:12 |
|
Den Mon, 19 Feb 2001 14:28:43 +0100 skrev Rasmus:
>Jeg har læst i en del test af Personal Firewalls (bla. på www.grc.com) , at
>black Ice defender ikke er den bedste løsnig, de den indeholder en del
>"huller".
>
>Personligt vil jeg anbefale ZoneAlarm Pro, der er glimrende til privat brug
>når man lærer den at kende : )
Sjovt nok er ZoneAlarm den jeg hører mest negativt om.
Mvh
Kent
Som er relativt neutral, da jeg hverken bruger det ene eller det andet
(men derimod iptables).
--
http://www.celebrityshine.com/~kfr - nu med thumbnails på grafiksiderne.
| |
 Rasmus (19-02-2001)
| Kommentar
Fra : Rasmus |
Dato : 19-02-01 20:22 |
|
>> Sjovt nok er ZoneAlarm den jeg hører mest negativt om.
Problemet med ZA (det jeg har hørt folk brokke sig over) er at den kommer
med en række falske alarmer. Man kan dog vælge ikke at få vist disse alarmer
og så kører alting fint. Har ikke hørt at nogen havde noget
sikkerhedsmæssigt at klandre den for...
Rasmus
| |
Erik Gildsig Poulsen (19-02-2001)
| Kommentar
Fra : Erik Gildsig Poulsen |
Dato : 19-02-01 20:45 |
|
Hvordan slå man disse falske alamer fra ?
Erik
"Rasmus" <presario@get2net.dk> wrote in message
news:_nek6.9132$PC4.514795@news010.worldonline.dk...
> >> Sjovt nok er ZoneAlarm den jeg hører mest negativt om.
>
> Problemet med ZA (det jeg har hørt folk brokke sig over) er at den kommer
> med en række falske alarmer. Man kan dog vælge ikke at få vist disse
alarmer
> og så kører alting fint. Har ikke hørt at nogen havde noget
> sikkerhedsmæssigt at klandre den for...
>
> Rasmus
>
>
>
>
| |
Kim Ludvigsen (19-02-2001)
| Kommentar
Fra : Kim Ludvigsen |
Dato : 19-02-01 21:39 |
|
Erik Gildsig Poulsen wrote:
[Om ZoneAlarm]
> Hvordan slå man disse falske alamer fra ?
Jeg bruger ganske vist Pro-udgaven, men mon ikke alarmerne slås fra på
samme måde:
Tryk på Alerts, nederst på siden fjerner du hakket i feltet ved "Show
the alert popup window".
Mvh. Kim Ludvigsen
| |
Flemming Riis (19-02-2001)
| Kommentar
Fra : Flemming Riis |
Dato : 19-02-01 20:50 |
|
On Mon, 19 Feb 2001 20:22:00 +0100, "Rasmus" <presario@get2net.dk>
wrote:
>Problemet med ZA (det jeg har hørt folk brokke sig over) er at den kommer
>med en række falske alarmer.
De er vel ikke falske ? , de er vel bare brugeren der ikke forstå at
tolke dem.
| |
Martin Schultz (19-02-2001)
| Kommentar
Fra : Martin Schultz |
Dato : 19-02-01 21:10 |
|
On Mon, 19 Feb 2001 20:50:07 +0100, Flemming Riis <flemming@riis.nu>
wrote:
>On Mon, 19 Feb 2001 20:22:00 +0100, "Rasmus" <presario@get2net.dk>
>wrote:
>
>>Problemet med ZA (det jeg har hørt folk brokke sig over) er at den kommer
>>med en række falske alarmer.
>
>De er vel ikke falske ? , de er vel bare brugeren der ikke forstå at
>tolke dem.
Jep
| |
Rasmus (19-02-2001)
| Kommentar
Fra : Rasmus |
Dato : 19-02-01 21:56 |
|
>De er vel ikke falske ? , de er vel bare brugeren der ikke forstå at
>tolke dem.
Det jeg mener med "falske" er at mange folk tolker svar fra DNS servere m.m
som "inbrudforsøg", men du har fuldstændig ret. ZA logger bare hvad der
sker...
Mvh
Rasmus
| |
Peter Brodersen (21-02-2001)
| Kommentar
Fra : Peter Brodersen |
Dato : 21-02-01 02:39 |
|
On Mon, 19 Feb 2001 21:55:54 +0100, "Rasmus" <presario@get2net.dk>
wrote:
>>De er vel ikke falske ? , de er vel bare brugeren der ikke forstå at
>>tolke dem.
>Det jeg mener med "falske" er at mange folk tolker svar fra DNS servere m.m
>som "inbrudforsøg", men du har fuldstændig ret. ZA logger bare hvad der
>sker...
ZA bør dog netop ikke logge regulære DNS-svar og deslige.
--
- Pede
Professionel nørd
| |
Duck Trucks Inc. (26-02-2001)
| Kommentar
Fra : Duck Trucks Inc. |
Dato : 26-02-01 17:06 |
|
> ZA bør dog netop ikke logge regulære DNS-svar og deslige.
Det er der vel i princippet ikke noget ivejen for at den gør.
Men at der popper alle mulige beskeder op der får den almindelige
bruger til at tro at der er indbrud, er nok ikke så fedt.
Spørgsmålet i ZA er nok hvordan man lærer at skelne immellem de
beskeder man får. Hvilken besked får man når der er en rigtig
sniger på vej ind. Hvordan ser den ud i forhold til en falsk alarm?
Hvis man slår alt muligt warning fra, slår man vel også de rigtige
indbrudsforsøg fra?! Eller hvad...?
| |
Peter Brodersen (26-02-2001)
| Kommentar
Fra : Peter Brodersen |
Dato : 26-02-01 21:32 |
|
On Mon, 26 Feb 2001 17:06:18 +0100, "Duck Trucks Inc."
<ducktrucksinc@nospam.dk> wrote:
>> ZA bør dog netop ikke logge regulære DNS-svar og deslige.
>Det er der vel i princippet ikke noget ivejen for at den gør.
Jo, hvis den er sat til kun at logge ikke-initierede forbindelser. Det
er lidt det, praktisk talt alle hjemme-firewalls virker ved at gøre.
ZoneAlarm har dog tidligere haft det svært hvad specielt angår
DNS-forespørgsler (og andet UDP-trafik, i sagens natur). I en ældre
version kunne man portscanne en ZA-maskine, uden at den loggede noget,
hvis bare man sendte pakker fra port 53 (DNS).
>Spørgsmålet i ZA er nok hvordan man lærer at skelne immellem de
>beskeder man får. Hvilken besked får man når der er en rigtig
>sniger på vej ind. Hvordan ser den ud i forhold til en falsk alarm?
Man får ingen besked, for ZoneAlarm logger jo kun hvad, den blokerer
(hvilket så umiddelbart vil være alt ikke-initieret trafik).
Med andre ord: En logfil vil kun vise data, der ikke er gået videre i
systemet.
Indbrudsforsøg kan foretages på mange forskellige måder. Typisk vil
det være at finde en service at udnytte - fx hvis brugeren har en
webserver kørende og tilgængelig (og så vil han selvfølgelig bede
firewallen om ikke at reagere på den port).
Men ellers er det altså ikke ligetil at bryde ind i fx en
Windowsmaskine, netop fordi der ikke kører nogen services. Dog med
undtagelse af fil- og netværksdeling, der nok i en del tilfælde gør,
at folk har delt deres filer med resten af omverdenen. Her kan en
firewall blokere forespørgsler til ens fildelings-server, men det
relevante her er dog snarere, at man i første omgang deler filer med
resten af omverdenen. Det behøver som sådan heller ikke nødvendigvis
at være et indbrudsforsøg, man i så fald vil logge her; fx vælger
Windows-servere at forsøge at lave en direkte NetBIOS-forespørgsel
(som en del af fildelingsprotokollen) for at spørge om computerens
navn, hvis den ikke lige kan lave et reverse DNS-opslag. Noget af en
speciel måde for serveren at opføre sig på, men ikke desto mindre er
det hverdag for ret mange servere.
Grundlæggende kigger hjemme-firewalls altså mere på netværksdata så
som IP-nummeret og portnummeret, og ikke på dataen på
applikationsniveauet. Det gør desværre også, at man i mange tilfælde
slet ikke kan bruge firewallens information til noget, fordi den ikke
fortæller HVAD, den pakke, den blokerede, indeholdte.
--
- Pede
Professionel nørd
| |
Duck Trucks Inc. (27-02-2001)
| Kommentar
Fra : Duck Trucks Inc. |
Dato : 27-02-01 17:18 |
|
> Grundlæggende kigger hjemme-firewalls altså mere..
-Mega snip-
Tak da for den forklaring!!!
| |
|
|