htgの説明:私はルータを持っている、私はファイアウォールが必要ですか?

ファイアウォールには、ハードウェアファイアウォールとソフトウェアファイアウォールの2種類があります。ルーターはハードウェアファイアウォールとして機能し、Windowsにはソフトウェアファイアウォールが組み込まれています。あなたがインストールできる他のサードパーティのファイアウォールもあります。

2003年8月に、パッチされていないWindows XPシステムをファイアウォールなしでインターネットに接続した場合、Windows XPがインターネットに公開されているネットワークサービスの脆弱性を悪用したBlasterワームによって数分で感染する可能性があります。

セキュリティパッチのインストールの重要性を示すことに加えて、ファイアウォールを使用することの重要性が実証され、着信ネットワークトラフィックがコンピュータに届かないようにします。しかし、お使いのコンピュータがルータの後ろにある場合、本当にソフトウェアのファイアウォールがインストールされている必要がありますか?

ホームルータはネットワークアドレス変換(NAT)を使用して、家庭内の複数のコンピュータ間で提供されるインターネットサービスからの単一のIPアドレスを共有します。インターネットからの着信トラフィックがルータに到達すると、ルータは転送先のコンピュータを知らないため、トラフィックを破棄します。実際には、NATは着信要求がコンピュータに届かないようにするファイアウォールとして機能します。ルーターによっては、ルーターの設定を変更して、特定の種類の送信トラフィックをブロックすることもできます。

ポートフォワーディングを設定するか、またはすべての着信トラフィックが転送されるDMZ(非武装地帯)にコンピュータを置くことで、ルータにトラフィックを転送させることができます。実際には、DMZはすべてのトラフィックを特定のコンピュータに転送します。ファイアウォールとして機能するルーターからは、コンピュータにはもうメリットがありません。

画像クレジット:Flickrのwebhamster

コンピュータ上でソフトウェアファイアウォールが動作します。これはゲートキーパーとして機能し、着信トラフィックを通過させたり廃棄したりします。 Windows自体には、Windows XP Service Pack 2(SP2)で既定で有効になっていた、組み込みのソフトウェアファイアウォールが含まれています。ソフトウェアファイアウォールはコンピュータ上で動作するため、インターネットを使用するアプリケーションを監視し、アプリケーションごとにトラフィックをブロックして許可することができます。

コンピュータをインターネットに直接接続する場合は、ソフトウェアファイアウォールを使用することが重要です。ファイアウォールにはデフォルトでWindowsが付属しているので、これを心配する必要はありません。

ハードウェアとソフトウェアのファイアウォールが重複する重要な点

ソフトウェアファイアウォールの利点

ハードウェアファイアウォールの利点

ハードウェアファイアウォール(ルーターなど)またはソフトウェアファイアウォールの少なくとも1つのタイプのファイアウォールを使用することが重要です。ルーターとソフトウェアファイアウォールはいくつかの点で重複していますが、それぞれ独自のメリットがあります。

ルーターをすでにお持ちの場合は、Windowsファイアウォールを有効にしたままにすると、パフォーマンス上のコストをかけずにセキュリティ上の利点が得られます。したがって、両方を実行することをお勧めします。

組み込みのWindowsファイアウォールを置き換えるサードパーティのソフトウェアファイアウォールを必ずしもインストールする必要はありませんが、もっと機能が必要な場合は可能です。

これは、あなたが意図したように、トピックに精通していない人にとっては簡単な答えです。しかし、なぜハードウェアファイアウォールが何千ドルもの費用を要し、あなたが言及しなかった膨大な数の保護を提供できる理由が説明されていれば、より良い記事になりました。ルータのファイアウォールは痕跡です。

これは素晴らしい記事でした。これは、ルータとソフトウェアファイアウォールの違いを理解するのに役立ちます。私は多くの人々がルータがあなたのコンピュータを保護していることを本当に理解しているのではないかと疑います。

これは私が両方を持っているので有益な有益な記事でした。私はルータが内部ワームをブロックすると思っていましたが、私は間違っていました。オタク。

説明のおかげで、私はサードパーティの防火壁が必要かどうかも分かりませんでした。

Linux用のソフトウェアオプションは何ですか?ほとんどのマルウェアは、Linux OSに焦点を当てていませんが、変更される可能性があります。たいていの場合、私はWindowsに比べLinuxの方が好きで、Macには慣れていません。

高貴4情報:)

ルーターが「何千ドルものコストがかかる」と「保護の配列を提供する」ネットワークでは、ルーターのファイアウォールが「痕跡が残っている」とは思わない

私はコメント文字列を説明するのに役立つ定義を含んでいます…

残留(v-stj-l);小さくなって進化の変化のためにその使用を失った身体部分に関連する。例えば、クジラは、体の壁の筋肉に位置する小さな骨を持ち、それらは臀部および後肢の痕跡の骨である。

ダグに同意する傾向がある。

この記事は、通常のハイ・ハウ・ツー・ギークの標準まではありませんでした。

JDがポイントを持っているかどうかを知ることはできません。無関係であれば、「痕跡が残っている」というニックピッキングは十分にはっきりしていますが、最初の文章が何を作ろうとしているのかは不明です。

要点に戻る – セキュリティを向上させるためにルータの設定をどのように調整できるかについての情報は提供されていませんでした。さらに、Windowsソフトウェアが着信をチェックするが、発信トラフィックはチェックしないという事実は言及されていない。いくつかのフリー・ファイアウォールが両方をチェックし、受信チェックを過ぎてデータをエクスポートするマルウェアの能力を制限することは重要な考慮事項です。

素敵な記事ですが、ちょっと短いです。ファイアウォールは、PCを比較的安全に保つ上で非常に大きな役割を果たしています。ファイアウォールは通信には重要ではありませんが、発生する可能性のある問題を制限したい場合はそれが重要です。

機密情報を扱う際に、ウイルス感染ファイルを盲目的に開いている「ユーザー」、URLに注意を払っていない人、HTTPとHTTPSが常に存在するため、ファイアウォールでも何か悪いことは起こり得ないというわけではありません。しかし、ファイアウォールが設置されている場合には、ワームやウイルスによる感染の可能性が増す可能性が大幅に低下します。結局のところ、ファイアウォールはまさにこれを実行します。つまり、 “ファイア”(別名ペイロード)が広がるのを防ぎます。ところで、すべてのワームやウイルスがこれを実行するわけではなく、DoSゾンビクライアントまたはネットワークアクセスが必要なものとして自分自身を「家に電話をかけたい」ものに設定するだけです。

Linuxの人はファイアウォールも考慮する必要があります。ほとんどすべてのディストリビューションにはデフォルトで何も設定されていません。これは、あなたのLinuxボックスが広く開いていて、ハードウェアファイアウォールによって保護されていることを意味します。これは心配することがあまりない(明らかにMacのように)明白な理由のためには良い考えではありません。少なくともまだ!しかし、同じローカルネットワーク上に他のWindowsボックスがある場合、Windowsはさまざまな「内部」トラフィック(ヒント、ヒント)に対して特定の「ポート」を開く可能性が高いため、それらを公開する可能性があります。また、ワーム/ウィルスが内部/ローカルネットワークを介してペイロードをアンロードする可能性はあまりありませんが、Linuxには依然として悪いアプリケーションやプロセスを検出するウィルススキャナアプリがほとんどないため、リスクは依然として存在します。

あなたがファイアウォールを使用していない場合、または開かれている場合、私の助言は、それに慣れ、未使用のポートを閉鎖することです。

ソフトウェアファイアウォールは、あらゆる種類の保護よりも多くのシステムを破壊します。経験豊富な管理者がいる企業環境では、ソフトウェアファイアウォールは「いくらか」有益ですが、依然として大きな頭痛です。また、家庭の平均的なユーザーがそれらを理解したり構成したりすることは誰にも期待できません。 ZoneAlarmを覚えていますか? 「最も一般的な」ソフトウェアファイアウォール。人々は、プログラムのネットワークアクセスを許可するか拒否するかを尋ねるポップアップに疲れてしまった。それは冗談だった。 ZoneAlarmは、セキュリティ対策スイートのソフトウェアファイアウォールにもはや最初の課金を提供しておらず、今ではそのアンチウィルスを推進している。

あなたは本当に両方が必要です; *ルーターのファイアウォールは毎時何千もの厄介なパケットからあなたのPCを保護することができます。その保護がなければ、それが利用可能であれば狂っている。ネットワークファイアウォールに障害が発生した場合は、インターネットに接続していない可能性もあります。それは良いです; *ソフトウェアのファイアウォールは、平均的なホームルータができない特別な攻撃からあなたのPCを保護することができます。 LAN上の他のデバイスからの特定のパケットを信頼するように簡単に設定できますが、すべての接続でコンピュータを完全に開くわけではありません。*ポータブルデバイスを持ち、他のネットワークに接続する場合は、常にソフトウェアファイアウォールを実行する必要があります。公共エリア、カフェ、喫茶店、図書館、学校などのほとんどのWi-Fiネットワークは安全ではありません。

誰かがLinuxファイアウォールについて尋ねました。カーネルにはiptablesがあり、GUIはiptablesの設定を管理するだけです。 ufwはiptablesへのCLIインターフェイスを使いやすいですが、GUIバージョンもあります。 iptablesは非常に強力です。 Linuxの場合は、fail2banを見てください。おそらくほとんどの人がデフォルト設定で必要とすることをします。

人々がZone Alarmの問題を抱える唯一の理由は、Zone Alarmを正しく使用しないためです。最初は多くのポップアップがありますが、ユーザーがブロックするか許可するかを選択する前に適切な決定を下すか、永久に、またはその時間だけを選択すると、ZAは「訓練された」状態になり、間もなくポップアップ稀になるでしょう。私は数年前からZAを使ってきましたが、最初はXPで、今はWin7 64で問題はありませんでした。着信時にのみ機能するMicrosnotファイアウォールとは異なり、ZAは着信と発信の両方に対応し、使いやすく、ブロックされていない、またはブロックされていない送信をブロックまたはブロック解除することを選択すると編集できます。さらに、ZAはダウンロードを監視して、それらが安全かどうかを判断し、可能性のあるフィッシングサイトに警告します。

Doug氏は、家庭用ルータと専用ネットワークアプライアンスをNATで比較すると、単純すぎることに同意します。

しかし、私は家族と友人になぜルータを購入すべきかを伝えるときに、同じ簡単な説明を使用します。私はあなたの着信電話をすべて網羅する会社の交換機のアナロジーを使っています。誰も上司に直接電話することはできません。

それは驚くべきことですが、ただ1台のPCを持つ人々は、ルータなしでモデムに直接接続することができます。;多くのISPは、最近無線ルータを無料で提供していますが、supprt問題を単純化します。

本当に「ニックピック」したいのであれば、なぜWindowsファイアウォールだけに頼るべきではないかで始めることができました。もちろん、ほとんどのInternet Securityスイートにはファイアウォールが付属しています。

ほとんどのルータのハードウェアファイアウォールは、いくつかの保護機能を備えています。しかし、Wi-Fi対応ルータを持つほとんどの人が適切にセキュリティを確保していないことを考慮すると、あなたの周辺はインターネットアクセスと自宅またはオフィスネットワーク(あなたのPC PLUSの内容を含め、あなたの行っていることを見ることができます) 1.セキュリティ保護されていない、および2.ソフトウェアファイアウォールがPC上で正常に動作するようにする。そう、はい、あなたは両方が必要です!

私たちの中小企業は2000年から2005年の間に5年間ISDNモデムを介してインターネットに接続されていました(これは当時の最善の接続でした)。 32のIPアドレスを持つ専用のIPサブネットがありました。私たちはNATルータを持っていませんでした。モデムはいくつかの10/100スイッチに接続されており、オフィスには約20台のコンピュータがありました。いくつかはWin-NT4を実行していて、ほとんどはwin-98seを実行していて、いくつかはwin-2kを実行していました(開発者は2006年までXPを起動しませんでした)。

すべての点で、ネットワークワーム(2000年から2005年)の非常に脆弱な時期に、すべてのマシンが直接ルーティング可能な(アクセス可能な)インターネット接続を持ち、ファイアウォールソフトウェアを実行していなかったということです。どのマシンがネットワークベースの/インターネットベースのワームやハックの試みにヒットしたり感染しているのではないかと推測してください:回答 – > win-98システム。私はまだ私の家庭やオフィスのマシンで新しいハードウェアにwin-98(kernelExとともに)をインストールして実行しています。これにはTBサイズのSATAハードドライブと1GBのシステムRAM、3GHzのP4 CPUなどが含まれます。

Win-98は、ファイアウォールで “保護”する必要はありませんでしたが、非常に脆弱で繊細なOSベースのNTベースのラインがありました。

NTベースのコンピュータで動作するソフトウェアファイアウォール(とそのようなAVソフトウェア)は、マルウェアが(ブラウザベースの悪用によって)コマンドと制御のマスターに接続する前にオフにするのは簡単ではなかったので、とにかくジョークですセカンダリペイロードをダウンロードします。

…完全に残っている

マイクロソフトのモットー:動作すれば、それほど複雑ではない。

Windows NT(および2k、XPなど):最も高価で繊細なコードから作られています。天皇の新しい服のように。

実際にwin98マシンは、Windows 3.1とアプリケーションが同じではない理由で保護を必要としない(最近の)理由はありません。彼らは古いです。機能が存在しなかったので、今日の開発は文字通りそのプログラムには存在しませんでした。そして、はい、より高価なハードウェアルータがありますが、それを言うには十分です。あなたがそれを必要とするような人なら、あなたはすでにそれについて知り、必要なものを知っています。

Chrisの良い紹介とかなり良い「建設的な」フィードバック。

特に、TheFuのIPテーブルとfail2banを持ってきた人のコメントが気に入っています。私は異種の(Windows / Linux)LAN上のゲートウェイ+ファイアウォールとしてUbuntuサーバーを実装しているので、これは大変です。

よくできました!

はい、ハリド、ここでも同じ考えです。情報TheFuをありがとう。

便利な記事ですが、誰かが私のためにポイントを明確にしてください:

Windows 8は最終的に適切な双方向の着信および発信のファイアウォールを備えていますか、着信トラフィックのみを監視するXPと同じ古いものですか?

同様に、Ubuntu Linuxのファイアウォールが片方向か双方向かは誰にも分かりますか?

ありがとう。

非常に役に立つ記事Chris!ありがとうございました。

@JD:明確にするために、「痕跡のない」という言葉については、複数の意味を持っていますが、ここには私が含まれていますが、「はるか大きくまたは目立つ非常に小さなものを形成する」: Doug Jensenによる投稿は確かに関連性があり、正確であったが、(彼も言及するように)彼が提起していることは、このトピックが対象とするものの範囲外である。

@リチャードH:インバウンドとアウトバウンドのルールは、Windowsファイアウォールで個別に管理されており、少なくともWin7から始まります(私は決してVistaに掘り下げたことはありません)。

@ “smike”:表示名を模倣していますか?:-)私はこの記事が良かったと思いました。物品はどれくらい短いのかをバランスさせなければならない(人々が全体を読んで最初のものを思い出すことができるように)。

非技術的な方法で説明される – brillo !!

@ smikeそれは真実ではないので言及されていませんでした。

Windows 7のファイアウォールは、あなたがそれを設定すると、発信トラフィックもブロックします。デフォルトでは、すべての発信トラフィックが許可されますが、発信接続をブロックするファイアウォールプロファイルの場合は、[発信接続]を[ブロック]に変更するだけで変更できます。それは “高度な設定”にありますが、それだけです。何かに到達することは非常に複雑ではありません。

ハードウェアファイアウォールを設置していても、ソフトウェアファイアウォールを有効にすることには大きな問題はありません。複数の防衛層が好きです。両方のファイアウォールをロックダウンするだけで、必要なプロトコルの入出力が可能になります。それは痛みですが、ウイルス/マルウェアの感染や盗まれた個人情報と比較して、あなたに頭痛の程度をあまり与えません。

@スパイクあなたの返信スパイクありがとう。

ハイチャック

おっとっと。あなたの修正をありがとう。私は、W7がアウトバウンドトラフィックを傍受するように設定できることに気づいていませんでした。それは使用する価値があるかのように聞こえるので、私はそれを見ます。

しかし、個々のファイアウォールプロファイルの設定についてのコメントは、「高度なタブ」の下に置かれた理由のように聞こえます。ゾーンのアラームなどは、熟練したユーザーの入力を必要とせずに、このすべてをあなたのために働きます。

ああ、ハイスパイク、あなたのディスプレイの名前をパロディーするための出席者、私が10年以上使ってきたもの、クリスチャンと姓の組み合わせ

乾杯。

クローゼットまたはガレージ内にほこりを集める可能性のある古いマシン、100 Base Tネットワークインターフェイスカード、FreeBSDのコピーを使用することで、パケットフィルタリングの問題に対するより堅牢なソリューションを簡単かつ安価に作成することができます。 ipfw “[IPファイアウォール]”ステートフルパケットフィルタリング “のふるいは、任意のテキストエディタで作成できるファイアウォールスクリプトを通して完全にユーザが設定できます。新しいバージョンのBSDには、デフォルトでコンパイルされたBerkeley Packet Filterカーネルモジュールが付属しています.BSDカーネルは、この機能を「オンザフライ」で簡単に組み込むことができるように設計されています。

基本的に、インターネットはNICカード#1上のBSDゲートウェイマシンに接続されています。ウェブから受信したすべてのトラフィックは、*ユーザ設定済みのBerkeley Packet Filterによって駆動されるipfwスクリプトを通過する必要があります(いくつかのサンプル設定が提供されています)。 Berkeley Packet Filterを使用すると、ICMP応答を送信ホストに自動的にソート、リダイレクト、ドロップすることができます。個々のTCP「Flags」と同じくらいフィルタリングされたパケットはすべて削除できます。これにより、流行が疑わしい着信パケットへのアクセスを拒否できます”TCP SYN-FIN”攻撃は一例です。 「完了」フラグ[FIN]を含む同期パケット[SYN]を送信することによって、多くのより小さいファイアウォールが混乱し、見かけの矛盾に対処することができず、あまりにも頻繁に不正パケットを入力することができます。 「管理されていない」カーネルメモリの領域に注入できる数バイトの実行可能コードが含まれている場合、デフォルトでそのコードが実行され、これが世界中のボットネットを作成するための仕組みになっています。パケットが127.0.0.1から発信されたことを示唆する偽造されたIPアドレスの偽装(通常はCPUがこのアドレスにある)など、他の攻撃を防ぐことができます。一般的に、ファイアウォールの小さいものは「内部」とみなされるパケットに対してフィルタリングを行わないようにハードコードされているため、実行可能なコード断片を含む不正なパケットがシステムに許可され、カーネルメモリ[通常は共通のバッファオーバーフローによって]、その邪悪な行為をします。 Berkeley Packet Filterでは、パケットの発信元を偽装された偽装されたIPアドレスと単純に比較することで、この悪用済みの攻撃を阻止する「発信元の確認のインターフェース」を実行することができます。明らかに、IPアドレス127.0.0.1で発信されたパケットは、インターネットに接続されたNICカードからゲートウェイマシンに入ることはできません。 ** 127.0.0.1からのもので、eth0経由であなたのシステムに入ったパケットは、Master Yodaがファイアウォールスクリプトを書いていれば “落ち着かなく”なります。 。どうして?それを “黙って”落とす理由は、攻撃者にICMPメッセージが元のホストに返された場合に有益な情報を与えることを好まない* [私のオペレーティングシステムとは何か、私のパケットフィルタが実際に接続されているネットワークアダプタカードを介して忍び寄ってきたことを通知している間に、自分のマシンの中で起きたと主張している奇妙な非標準パケットの送信者に、インターネットに!

すべてのファイアウォールは、システム管理者のファイアウォールスクリプトの賢明さだけでなく、どのパケットを監視し、どのようなパケットで処理するかを指示します。私はネットワーク上の “ハニーポット”ホストをパケットの発信者と一緒に猫とマウスを演奏する “Tripwire”と呼ばれるソフトウェアパッケージと一緒に “侵入しやすい”と認識されたパケットの宛先として使用しました。誰かが侵入を試みている場合、Tripwireは彼を庭の道の下に導き、どこにも行かず、休憩のために使用されたすべての努力を記録します。ハニーポットは安価で、時代遅れのホストコンピュータであり、 *例えば、貴重な知的財産を含んでいますが、実際には安価なデコイです!ホストの重要なファイルシステムは、 “刑務所”や “砂場”の中にftp、smtp、sshなどのハニーポットの “よく知られているサービス”を実行することで保護されています。サンドボックス内のファイルシステムは本当のMcCoyのようですそれは重要ではなく、より重要なのは、攻撃者が自分のTCPベースのサービスの1つを制御することができれば、「特権を持たない」ユーザーとして実行されているため、攻撃者はあなたのネットワーク上のホストを「ルート」させ、他のホストへの入り口を得ることができます。非常に堅調な銀行の金庫に侵入し、(a)独占のお金の中に何もないこと、そして(b)出る方法がないことを発見することだけを想像してみてください! [“chroot”という用語は、あなたのサンドボックスで使用されるファイルシステムとは異なる “絶対的なルート”を宣言するプロセスを指しています。] WindowsとDOSマシンは伝統的にC:\に根付いています。ハードウェア制約によってサポートされている任意のパーティション「マウントポイント」でルートファイルシステムを設定する機能。私のホストがC:\で “root”になっている場合、私は実際のファイルシステムの空の “スタブ”だけを含む小さな特別なパーティションに自分のサンドボックスを “ルート”させるかもしれません。それは完全なディレクトリツリーを含みますが、完全に正当で正当なものと思われますが、ファイルフォルダはすべて空です**コンピュータは本当のルートディレクトリの場所を知っていますが、歓迎されない訪問者には言いません。たとえ彼が私のftpサーバを管理していても、例えばサンドボックスでは、FTPサーバがUsername = “Nobody”で “Group ID 000″の “User ID 000″として実行されているので、ハニーポットのファイルシステムの「絶対的なルートディレクトリ」と思われるものは、青い煙や鏡だけです。 [これにより、攻撃者はダメージゼロ*で多くの時間とエネルギーを浪費し、自分のすべてのことを記録し、IPアドレスを追跡し、刑事責任を支持する証拠をまとめる機会を与えます。

あなたの安価で古いBSDゲートウェイマシンは、NATアドレッシングを備えた完全にプログラム可能な非常に高品質なネットワークルータのように動作します。 2番目のNICカードに「プライベートネットワークブロック」を割り当て、インターネットからのパケットを10.0.1.1ゲートウェイなどに転送するだけです。ネットワークアドレス変換「ファイアウォール」を備えたほとんどのNetgearまたはBelkinまたはLInksysルータとは異なり、安価なBSDゲートウェイマシンは、厳しく制限されたクラスCネットワークから252ホスト以上を容易に収容できます。 [192.168.1.0などのクラスCネットブロックの合計255個のIPアドレスを削減する、任意のネットブロックでのユーザ割り当てには常に使用できない「デフォルトゲートウェイ」アドレス、「ブロードキャスト」アドレス、および「ネットワーク」アドレスがあります/実際にネットワークホストやネットワークメディアストレージやネットワークプリンタなどのデバイスに割り当てられる24〜252のアドレス]

私の読者の多くは今では完全に混乱しています。だから私は、無断アクセスによるネットワークへの悪影響を軽減するために、少しの調査が非常に長い道のりを歩むことを止めてお勧めします。 O’Reillyは「TCP / IPネットワーク管理」という名の素晴らしい雑誌を販売しています。 WebブラウザはTCPパケットを使用して動作します。伝送制御プロトコルは、インターネットを動作させるものです! TCPはすべてを「パケット」と呼ばれる小さな束のデータに分割し、各パケットに「シーケンス番号」を割り当て、さまざまな「TCPフラグ」を付加して受信側のホストがパケットのビジネスを理解できるようにします。 TCPは**双方向プロトコルです** ** UDPは特定のサイズ制限や他の意味のある要件がなく、送信ホストと受信ホストの間に “ハンドシェイク”がない、ほぼ無秩序な任意のデータです。すべてのTCP「よく知られているサービス」は、2つのホストを同期させるために「SYN」パケットを受信します。受信側ホスト**は、 “SYN”パケットを受信した肯定応答への “ACK”パケットを**応答し、* IPアドレスと他の “スケーリング”要因を含む追加の技術的な詳細を交換しますこの議論は、様々な許容可能なパラメータに関する。 2つのホストがTCPのそれぞれのバージョンが互換性があることに同意するならば、パケットを交換し始めることができます、それぞれは*送信IP * *宛先IP *と*シーケンスナンバリングを含みます*各パケットは*送信者から受信者までの最速の瞬間的に利用可能なルート; *したがって、同じルート経由で2つのパケットは到着しませんでした。このため、TCPは受信側でファイル全体を再構成するために「シーケンス番号」を使用します。 TCPは*エラーチェックなし*と*訂正は要求しない*受信側のTCPデーモンは、その情報が元の “SYN”パケットと共に送信されたために期待するパケット数を知っている]例えば、バックボーンルータが正確な瞬間をとって “平均失敗間隔”を使い切った場合、受信ホストは “Not Sent As Sent”最終確認を送信します。一方、受信者が1000パケットを予期し、1000パケットを受信した場合、受信者は「受信済みとして送信済み」を返します。

あなたが侵入者を止めたいなら、あなたは** TCPがどのように働くかを知る必要があります**。任意のTCPパケットをデコードできるBerkeley Packet Filterに対してうまく設計されたファイアウォールスクリプトは、(a)IPアドレスを偽装しているか、(b)偽装したインタフェースの原点を持つ可能性がある示された、 – おそらくあなた自身のシステム内で、こんにちは?実際にワイド・エリア・ネットワーク・アダプタ・カードに入ったときに、(c)あなたのシステムで稼働していない*サービスのための「SYN」要求を含んでいるか(d)、いろいろな理由で*禁止されています。 [個人的には、中国、台湾、香港、マレーシア、ロシア、ウクライナ、ボズニア、ヘルツェゴビナ、ラトビア、リトアニア、エストニア、ドイツ、ポーランド、マリアナ諸島またはフランス領ポリネシアのどこからでもTCPトラフィックを100%ブロックします***そのトラフィックが自分のネットワーク内で発生しているTCP要求に応答していない限り、*** “迷惑な”国籍からの受信トラフィックはすべて「静かに落とされました」。私のオペレーティングシステムは、たとえば、自分のプラットフォームに固有のものへの攻撃を洗練させるのに役立ちます。

* BSDゲートウェイマシンの背後にあるWindowsまたはLinuxマシンは、NATアドレスホストの直接攻撃を開始することは事実上不可能で、高度な*パケット認識とフィルタリング機能を備えたネットワークアドレス変換のメリットをすべて享受できますネットワークアドレス変換に加えて「ステートフルな」パケットフィルタリング機能を実装しようと試みているハードウェアゲートウェイに対しておそらく10,000ドルも費やすことを望んでいない限り、単純に利用できません。いくつかのデバイスは、 “ステートフルな”パケットデコーディングとフィルタリングのために、他のものがあまりうまくいきませんでした(Linuxでは “IP_TABLES”は非常に難しいかもしれません。 BSDカーネルベースの “Berkeley Packet Filter”に固有の重要な、そしてまばらな、*不可欠の*フィルタリング機能が欠けています。あなたのBSDゲートウェイと “ステートフルな”パケットフィルタリングホストマシンは、数年で使用していなかった非常に遅いCeleronベースのマシンと同じくらい古いものである可能性があります。 [最後の注記:「ステートフル」パケットフィルタリングという用語は、主に、さまざまなTCPフラグをデコードし、「パケット発信元のインターフェイス」検証や「逆DNS」トレースなどの他のチェックを実行する機能を指しますすでに緊張しているDNSルートサーバーに余計な負担をかけないように、ネットワークへの深刻な攻撃や長期間の攻撃の間には非常に短期間のために)インバウンドパケットの「状態」をチェックすることにより、 「SYN」フラグ*と「ACK」フラグの両方を運ぶパケット。 SYNとしてフラグが付けられたパケット| ACKは「静かに落とす」必要がありますが、そのためにBerkeley Packet FilterとBSD IP Firewallが必要です。これは、簡単で便利な方法で、あなた自身のファイアウォールスクリプトを自由に書くことができます。プログラミング言語]は、さまざまな種類の許可されていないパケットのそれぞれに対して何をすべきかについて非常に正確にパケットフィルタに指示します。リダイレクトされるものもあります。送信ホストに通知の有無にかかわらず削除されるものがあります。 “Bit Bucket”と呼ばれるUnixマシン上の魔法の場所に他のものを送ることができます[実際には/ dev / nullと呼ばれる特殊な “デバイス”で、サイバースペースのブラックホールのデジタル同等物に相当します。 Bit Buffetに送信されたものは、その “time to live”が期限切れになるまで生き残り、その後、 “Null Hotel”に滞在している間は “リフレッシュ”できないため、意味のある方法で存在しなくなり、過渡的エネルギーが完全に消散する。これはSYNのために特にフィッティングエンドです。 FINとSYN | ACKパケット、または偽造されたIPアドレスまたは偽造されたインタフェースの起源のもの、特に127.0.0.1 [私の膝のバンジョーを持つもの]から来たと主張する人は、実際には中華人民共和国内のどこかの本部で起きているあなたが銀行やクレジットカードの番号を盗むことを計画しているならば、あなたは貧弱な設計や技術的に時代遅れのもの、 Windowsの各コピーに標準装備!

私がここでやろうとしたことは、比較的少量の研究が必要であることに感銘を受けたので、インターネットがどのようにビジネスを行っているかを理解することができます。 * TCPが何であるか分からず、少なくとも表面的には*どのように動作するのかを理解できなければ、侵入を防ぐことはできません。簡単に言えば、Microsoftの “ファイアウォール”はタスクに依存していません。Windowsオブジェクトはパケットフィルタを実行できるように激しくしています。なぜなら、パケットフィルタは侵入があった場合に攻撃者によって使用される強力な武器だからです。悪意のあるNT_AUTHORITY_SYSTEMアカウントとして実行されているプロセスを “root”にするか、悪化させる可能性があります。 ** Windows Ultimate Attack Against Windows **は、 “TRUSTED_INSTALLER”ユーザーアカウントを “偽装”する方法を見つけることです。信頼できるインストーラは、Windows Vista以降のすべてのシステムファイルおよびプロセスの新規で改良された「所有者」です。ユーザーTRUSTED_INSTALLERを偽装することができれば、NT_AUTHORITY_SYSTEMユーザーアカウントではできないこともあります。 The *only* competently engineered and fully reliable firewall that is truly adequate to protect your Windows network host machine *must* be run in a gateway machine that is *not* under the control of the NT Kernel. In other words, you need the Berkeley Packet Filter engine driving the BSD Kernel-Mode IP Firewall that ships standard in every version of FreeBSD since version 5.0. As the name implies, it’s *free* and it’s bullet proof. You *must* put forth some effort and study TCP in order to understand enough to write your firewall script telling the packet filter what to do with *dangerous* non-standard packets, and with BSD you can also use various Kernel Tuning settings to make further adjustments to the way TCP works in your gateway machine. These are known as sysctls (system controls) and that discussion is too long and too technical for this forum. You’d likely not understand it prior to reading TCP/IP Network Administration from O’Reilly, and doing a bit of study in the online documentation at Home of FreeBSD Note that I do *not* recommend PCBSD (the graphical user interface version of BSD). FreeBSD *can* be configured with an interface similar to what Windows users expect to find, but if you are inexperienced at setting up an x11 server and window manager, it will come at great personal cost [much frustration and many needless new gray hairs] while really serving no purpose worthy of all the effort necessary to make it work on your hardware. Your BSD gateway machine will be much like a *very* expensive Cisco backbone router in that it is highly configurable and completely capable of routing, forwarding, blocking or simply destroying various inbound or outbound data streams. Once you get it set up, though, it simply sits there and hums along day after day like a Netgear or Belkin or Linksys router with its NAT “firewall.” The difference between them;however, is like night and day. A $75 “router” cannot possibly hope compare to the fine grained precision control over all TCP traffic inbound and outbound you will enjoy with your BSD gateway, and for this narrowly defined purpose, the text based command line version of FreeBSD is more than adequate. No “windows” necessary for this configuration. It will remind older users of MS DOS except that the shell commands are vastly more powerful, and there’s basically not much short of a power failure or a hard drive crash that can bring a BSD machine down unless *you* decide to take it down for some hardware maintenance purpose that can’t be handled with the machine up and running. A 10 year old used machine from your local pawn shop or computer recycling company with 512 MB to 1 GB of older, slower RAM and a 40 GB hard drive is much more than adequate to serve as a gateway machine unless you are a corporation the size of Boeing, in which case you should consider a newer generation machine that runs faster and can handle the load. I once ran a BSD gateway on a 486-DX33 machine with 128 Megabytes of RAM that we lab tested and proved capable of handling in excess of 10,500 inbound http (TCP) requests every 15 minutes. I doubt seriously that any home user will ever approach that level of inbound traffic. At the time I had 35,000 paid customers behind my gateway firewall who were hosting their web pages on my two machines running Apache Web Server, and some of those domains were extremely busy.

FreeBSD is a direct descendent of AT&T Unix. It is the “Ultimate” operating system for TCP/IP networks. What is the Internet? The Internet is a TCP/IP Network consisting of millions of much smaller TCP/IP networks all coordinated by a set of “Internet Protocols” developed under contract from the Department of Defense at the University of California, campus at Berkeley during the cold war era. BSD is essentially the *birthplace* of TCP/IP. If your goal is to secure a host on that giant TCP/IP Inter-Network we now call the Internet (formerly it was known as the DARPANET, so-named for the “Defense Advanced Research Projects Administration”) then why not go to the source? Berkeley is where TCP/IP was invented! Doesn’t it follow logically that you will find the very best network utilities and security tools were also created at Berkeley? If you succeed in creating your bullet proof BSD Gateway with the Ultimate “stateful” packet filter based firewall, it *will* come at a steep personal price. I have been doing this since 1973, and that’s just a few months shy of 40 years experience. I will not mislead you. Some of this study material is a very steep [almost vertical] learning curve for beginners and new comers to the Unix universe that existed fully 15 years prior to the founding of Microsoft Corporation. There is, however, vast amounts of excellent documentation, much of it available from the O’Reilly Publishing Company. The FreeBSD developers have provided outstanding documentation, and all versions of BSD ship with complete source code so that you may examine the actual software. Unlike Microsoft, FreeBSD has nothing to hide. You may copy it, modify it, give it away, install it on 50,000 computers and it costs not one penny beyond the cost of a DVD to burn the download. Some would say that it’s like Ubuntu on a very stout dose of steroids! Try it, you’ll like it. Unix has been open for business since 1965, and that means 47 years of continuous development;47 years of refinement;47 years spent perfecting, tweaking, fine tuning and adjusting the premier networking operating system in this quadrant of the galaxy. There are many pretenders, but absolutely *no* serious contenders where TCP/IP networking is concerned. As you might imagine, over these past 47 years some of the finest minds in the fields of computer science and mathematical modeling have explored and pushed the limits of Unix and we are fortunate, indeed, to be living and using Unix here and now because these pioneers of the original and only true and genuine TCP/IP networked multi-user, preemptive multi-tasking operating system created from the work of Dennis Ritchie and Brian Kernighan at Bell Telephone Laboratories, have written millions and millions of words explaining all that Unix is capable of doing, and outlining for us how we can configure our own Unix based servers and work stations to perform amazing feats of data processing and network integration all carried out at a level of excellence and reliability that is light years ahead of the next nearest network operating system. You could spend somewhere between $3500 to around $10,000 or even more if the size of your network is very large for a hardware gateway that attempts to implement bona fide “stateful packet filtering” and for all your money spent you would receive a relatively pale shadow of the precision instrument you can build from a very old Windows XP Service Pack 1.x vintage clunker running a command line operating system that “doesn’t do windows.” Your $10,000 gateway hardware device would likely be inadequate to stop some of the intrusions I have defeated over the past 15 years using laughable hardware platforms that were running the finest network operating system ever created. You cannot purchase one anywhere, and you will *not* be excused from the requirement to study and understand how TCP/IP networks carry out their business. It will be relatively tedious. Some would say it’s down right boring, but at the end of the tunnel lies the only genuinely effective weapon you can deploy against a hostile world filled with some extremely bright and frighteningly competent attackers bent on stealing our trade secrets, copying our intellectual property, intercepting communications with your bank and credit card companies, assuming your identity if possible, or if you are an humble home computer user with no defense contracts and no ties to financial institutions, they will simply rifle through your private correspondence, read your archived email messages looking for valuables, and then move on to the next computer to do it all again to some other individual or institution. Why do they do it? Because they *CAN* !!! Why can’t folks seem to stop them very efficiently? Mainly it’s because they lack the proper tools. What are the “proper tools?” A “C average” level understanding of TCP/IP networking fundamentals, and a moderate familiarity with FreeBSD command line operations and configuration. Toss in a very old computer. One that’s totally unfit for “modern” operating systems with their lovely graphics intensive “point and click” way of doing things, and you’ll have all you need to meet would be intruders head on and turn them away empty handed. It’s sort of a digital equivalent of Habitat for Humanity. What we’re talking about here, ladies and gentlemen, is a bit of old fashioned “sweat equity.” If you are willing to endure the discomfort of learning the nuts and bolts of TCP;if you are willing to endure the discomfort of learning to configure and control a Unix based server from a command line interface where there isn’t a single thing anywhere in sight that looks even remotely “clickable,” then you are already on your way to having the capability to keep intruders out of your equipment and prevent them from stealing your identity or your money or your trade secrets and intellectual property. You won’t have to depend on Norton or Avast or Microsoft or anyone else because you will have created your gateway machine “the old fashioned way.” You will have earned it. You will understand it inside and out. In the unlikely event that it requires attention after you put it in service, you won’t need to hire a consultant like me who might charge you anywhere from $250 to $500 or more per hour to do the same work that you *can* do for yourself. There are some very clever hackers out there, but not many at all can match my experience and expertise. Know this: To defeat a hacker, you *must* know *everything* the hacker knows about intrusion and in addition, you must also know at least one thing the hacker does *not* know!!! When you have attained this level of understanding, the childish amateurs will no longer be a problem. At my level, only the cream;the “hacker elite” stand any realistic chance of penetrating (unless I have allowed them in and routed them to my Honey Pot so that I can study their methods and devise effective counter measures.) I may not be able to keep 100% of them out, but I absolutely *can* keep out 99.9995% of them, and the other.0005% of them that do get in these days inevitably end up working long hours only to discover that they have succeeded in breaking into a Honey Pot that has recorded their every keystroke so I can study it at my leisure. Don’t be a victim of shoddy software engineering! Networking does not require slick graphical interfaces, what it requires is a *System Administrator* who knows his business. One who has bothered to study TCP.どうして? Because TCP is the engine that powers the internet, and the Internet is where the fish are biting, isn’t it? Al Gore did not “invent” the Internet, and neither did Microsoft. The Internet was invented at the request of the Department of Defense as a communications system to be used in the event of nuclear war with the Soviet Union. The mouse is *not* a necessary networking tool. The Berkeley Packet Filter *is* a necessary networking tool. It does not come with any version of Windows. You can’t get it from Ubuntu. Mac users don’t have it and can’t get it. There’s only one place where you’ll find it. FreeBSD. All it costs is a little blood, sweat and tears. Like anything else in t

“Software firewalls allow you to easily control network access” – *EASILY*???!!! – the first thing I do when debugging network connections it turn off the firewall and it amazing how often the “problem” goes away. Debugging the firewall to figure out what ports/programs/protocols need to be set to allow an application to work can be mind boggling and completely frustrating. Too often I’ve seen all ports opened up to a program because no one knew what ports/protocols the program needed to work (but it did work when the firewall was turned off).

Final thought – I’ve never seen a case where a windows firewall alert (or a UAC alert for that matter) has ever caught or alerted someone to malware. I’m not saying it hasn’t happened (or happened but ignored), but of the security tools available (router firewall, software firewall, anti-virus, etc.) the windows software firewall appears to be the least beneficial and the source of the most configuration problems I’ve had to solve.

米国大統領選挙の投票率は、1824年のジョン・アダムス対アンドリュー・ジャクソン選挙で26.9%に過ぎなかったが、選挙人口の81.8%が1876年のラザフォード・ヘイズ対サミュエル・ティルデン選挙。