Profile Firewall - Is 2008

deme
deme
în Sta355ii de lucru

Buna ziua,


Am o mica intrebare. Este posibil ca setarile din profil sa fie tinute minte de firewall be baza subnetului si nu a adresei de IP? Daca ai un IP alocat dinamic firewall-ul iti scoate peri albi intrebind de fiecare data ce sa lase si ce nu desi ai mai raspuns la intrebarile astea in aceeasi locatie. Am facut un mic experiment conectind si placa wireless la aceeasi retea. Desi amble placi erau in acelasi subnet a creat un profil nou in clipa in care am conectat si wireless-ul si a luat-o de la capat cu intrebarile desi aplicatiile nu faceau trafic pe wireless.


Ca sa scap am facut rezervari in DHCP dar chestia e destul de enervanta si presupun ca nu sint singurul cu problema asta iar poate altii nu pot sa-si faca rezervari in DHCP ca sa scape.


Cu speranta,


Deme

Comentarii

  • alexcrist
    alexcrist

    Salut deme,


    BD Firewall retine setarile de profil pe baza subnet-ului, nu pe aza unui singur IP. Insa subnet-ul este limitat. Daca te uiti in fisierul profiles.xml, vei observa un rand de genul <network>192.168.0.0/24/00E05000C74B;</network> (aici este inregistrat intervalul de IP-uri pentru care se aplica profilul respectiv).


    Am facut un mic experiment conectind si placa wireless la aceeasi retea. Desi amble placi erau in acelasi subnet a creat un profil nou in clipa in care am conectat si wireless-ul si a luat-o de la capat cu intrebarile desi aplicatiile nu faceau trafic pe wireless.


    Aici este vorba de altceva. Nu conteaza ca ambele placi de retea sunt in acelasi subnet. Conteaza ca 2 IPuri diferite, ceea ce duce la crearea unui nou profil.


    Oricum, tu ai dreptate: BD Firewall nu prea poate fi folosit pe un PC cu IP dinamic si nu esti primul care raporteaza problema asta. Am vorbit saptamana trecuta cu LiveAssistance si le-am transmis acest bug. Deocamdata nu am primit raspuns.


    Cris.

  • deme
    deme

    Salut Cris,


    Multumesc pentru raspuns si pentru semnalarea problemei mai departe. Personal, cred ca e un bug. Faptul ca la doua IP-uri din acelasi subnet face un profil nou si o ia de la capat demonstreaza ca nu tine minte pe baza subnetului. In fisier apare corect subnetul, poti sa-l vezi si din interfata grafica dar nu tine seama de el. Cred ca aici e scaparea. Sint convins ca se poate remedia destul de usor.


    Chiar daca placile de retea ar avea IP-uri diferite (sau folosesti un VPN client) are trebui sa se uite mai intai pe ce interfata se face traficul si dupa aia sa intrebe ce sa faca daca pe interfata respectiva nu are definita nici o regula.


    Sper sa se rezolve curind printr-un update. M-am uitat si prin sectiunea de engleza a forumului si am vazut ca intr-adevar s-au mai plins si altii de problema asta.


    Multumesc inca o data pentru raspuns.


    Deme

  • alexcrist
    alexcrist

    Salut deme,


    Chiar daca placile de retea ar avea IP-uri diferite (sau folosesti un VPN client) are trebui sa se uite mai intai pe ce interfata se face traficul si dupa aia sa intrebe ce sa faca daca pe interfata respectiva nu are definita nici o regula.


    Nu sunt 100% sigur, insa nu cred ca se poate face diferenta intre o placa de retea sau alta.


    Cand o aplicatie se conecteaza la internet, ea cauta destinatia prin toate placile de retea disponibile (de fapt, prin toate Gateway-urile). Aplicatia nu are de unde sa stie, din-nainte, pe ce placa de retea sa iasa pentru a ajunge la destinatie (si nici BD nu are de unde sa stie asta).


    Iar daca ar fi, cum spui tu, sa se uite mai intai pe ce interfata se face traficul si dupa aia sa intrebe, atunci inseamna ca ar trebui intai sa-i dea acces la internet, sa vada pe unde gaseste destinatia, iar apoi sa blocheze accesul si sa te intrebe. Chestia asta nu este posibila pentru ca, in cazul unui Malware care transmite date confidentiale (de exemplu contul bancar), e de ajuns o fractiune de secunda pentru a transmite datele.


    Inca mai astept raspuns de la TechSupport. Daca nu se rezolva pana luni, o sa intru iar pe LiveAssistance sa intreb.


    Cris.

  • deme
    deme
    editat octombrie 2007

    Salut Cris


    Salut deme,


    Nu sunt 100% sigur, insa nu cred ca se poate face diferenta intre o placa de retea sau alta.


    Se poate face cu siguranta, nu e asta problema.


    Cand o aplicatie se conecteaza la internet, ea cauta destinatia prin toate placile de retea disponibile (de fapt, prin toate Gateway-urile). Aplicatia nu are de unde sa stie, din-nainte, pe ce placa de retea sa iasa pentru a ajunge la destinatie (si nici BD nu are de unde sa stie asta).


    Iar daca ar fi, cum spui tu, sa se uite mai intai pe ce interfata se face traficul si dupa aia sa intrebe, atunci inseamna ca ar trebui intai sa-i dea acces la internet, sa vada pe unde gaseste destinatia, iar apoi sa blocheze accesul si sa te intrebe. Chestia asta nu este posibila pentru ca, in cazul unui Malware care transmite date confidentiale (de exemplu contul bancar), e de ajuns o fractiune de secunda pentru a transmite datele.


    Daca deschizi un command prompt si rulezi "route print" calculatorul tau o sa-ti afiseze toate rutele pe care le are. Sistemul nu se bazeaza pe incercari. Stie precis pe ce intefata se va duce si catre ce gateway (presupunind ca ai mai multe GW pentru aceeasi interfata). BD vede pe ce interfata iese o aplicatie pt simplul motiv ca tot traficul trece drin diverul NDIS instalat pe fiecare placa de retea. Calea pe care urmeaza sa o ia pachetele asta se decide inainte de a exista orice fel de trafic deci nu se pot transmite nici un fel de date in afara fara ca FW sa isi bage nasul in pachetele alea unde o sa vada sursa, destinatia etc.


    Sint convins ca e doar o scapare pe care o sa o rememdieze destul de usor. Ma gindesc doar ca sint useri care nu au cum sa-si dea seama ce se intimpla si atunci pot sa renunte la produs din cauza asta sau, mai rau, sa-si dezactiveze FW ca sa scape de mesaje.


    Deme

Liderul tuturor timpurilor

Categorii de discuții

Defenders of the month