Terve. Tässä olen pohtinut mikä palomuuri sopisi valvomotietokoneeseen parhaiten, windows defender olisi muuten hyvä mutta pitäisi ottaa käyttöön windowssin oma palomuuri ja silloin sallia päivitykset. Päivityksiä ei missään tapauksessa saa sallia joten tarvitsisi jonkun erillisen palomuurin jota ei tarvitsisi kovin usein päivitellä ja joka toimisi hyvin valvomo ohjelman taustalla eikä vaatisi usein boottausta... ideoita?
Ihan mikä tahansa palomuuri käy jos se tekee työnsä oikein eli estää ulkoa sisäänpäin tulevat yhteysyritykset. Mikään palomuuri ei suojaa jos suojattava järjestelmä "mainostaa" tarjoamiaan palveluita ulkomaailmaan (kuten windows usein tekee). Voisit vähän tarkentaa mikä "valvomo" ja mitä koneella pitää pystyä tekemään. Tarvitseeko koneelta päästä julkiseen verkkoon ja erityisesti pitääkö julkisesta verkosta päästä ko. valvomokoneelle. Miksi päivityksiä ei saisi asentaa, uudelleenkäynnistysten takiako?
Päivitysongelma on nimen omaan uudelleenkäynnistyksen vuoksi, eli siis konetta ei pitäisi yllättäen tarvita käynnistää uudelleen. Koneella ei tarvitsisi pystyä pääsemään ulkomaailmaan muuten kuin että koneeseen pitäisi olla etäyhteys esim. teamviewerillä tms.. Ajatus olisi saada ohjelma pyörittämään esim. lämpökeskusta tms.. kuitenkin niin ettei sitä tarvitsisi vahtia kuin esim kerran kuussa max
Tuota vois ajatella yhtenä vaihtoehtona>> http://www.download.fi/tietoturva/palomuurit/sygate_personal_firewall.cfm
Ne Mä$än päivitysautomaatit voi ottaa vallan mainiosti pois automaatilta ja päivittää käsin tarvittaessa haluamaaasi aikaan... T: Vesku
Kone NATin taakse ja vain ne portit ohjaukseen joita tarvitaan palvelujen käytössä. VNC olisi todennäköisesti paljon järkevämpi vaihtoehto kuin tuo TeamViewer.
Joo ne päivitykset saa pois päältä mutta microsoftin oma palomuuri hakee päivitykset windows updaten kautta ja jos sen joskus haluaa erikseen päivittää päivittämättä windowssia niin ongelmia tulee. Tuo VNC on käytössä toisissa projekteissa ja on kyllä kanssa ihan ok, itse vain tähän eri yhteistyötahojen kanssa suosisin teamvieweriä. Tuo Sygate ovisi olla kokeilemisen arvoinen, onko muita hyviä ideoita?
...Mutta tuo nat juttu kuulostaa kyllä oikeinkin järkevältä. Pitää vain miettiä voiko sitä kuinka käytännössä toteuttaa. Ns. prosessi verkko ja toimisto verkko ovat samalla kytkimellä prosessiverkon osoitteisiin ei ole kajoaminen koska silloin ABB Fena mokkulat eivät taas välttämättä toimi kunnolla.
NAT ei ole mikään palomuuri! Kautta aikain ainakin minä olen toiminut siten, että koko (sisä)verkko muurataan tiukasti kiinni ulkoapäin yrittäjiltä. Sisältä ulos pääseekin sitten ihan helpolla. Mahdollinen etäkäyttö kannattaa sitten suunnitella erikseen.... T: vesku
DHCP asiakas reittimessä/tms. ja siitä sitten jakaa verkon eteenpäin. Jos alunperin jo käytössä NAT tai paikallinen DHCP palvelin (IP-osoitteet muotoa 192.168.xxx.xxx), niin silloin tuosta ei ole mitään iloa. NATin yhteydessä tulee laitteessa aina palomuurikin. Toisaalta, et saa mitenkään yhteyttä edes pelkän NATin takana oleviin koneisiin jos portteja ei ohjata eteenpäin. Mitähän oikein "palomuurilla" nyt haetaan? Kehittyneinkään palomuuri ei estä hyökkääjää joka tietää jonkin WAN-verkkoon avoimen pavelun olemassaolon.
Windowssin palomuuri ei niitä päivityksiä tarvitse, vaan Defender-paketin mukana tuleva virustentorjunta niitä kaipailee. Ainakin näin itse olen käsittänyt. Windowssin palomuuri on rakennettu sisään, eli et tarvitse sitä Defender-pakettia saadaksesi palomuurin. Joten päivitykset voisi kytkeä pois päältä huoletta ja jättää ne manuaalisiksi.
Eli periaatteessa riittäisi kun laittaa vain windowssin palomuurin toimimaan, kytkee kaikki päivitykset pois päältä ja laittaa eston kaikkiin muihin ohjelmiin paitsi etäkäyttöohjelmaan?
No koitetaan tällä, aika näyttää tarvitseeko tämä sitten jotain muuta tuon winukan palomuurin lisäksi. Mitä jos esimerkiksi jonkun tehtaan koko tuotanto olisi kiinni tästä koneesta jolla ohjataan logiikkaa? olisiko silloin järkevää jo laittaa erillistä palomuuria?
Vaikka valitsemasi nimimerkki onkin vastenmielinen, totean, että silloin kun on kyse taloudellisista intresseistä, valitaan kaupallinen sovellus. Pääsääntö on, että rahalla saa parempaa kuin ilmaiseksi.
Aika karkea yleistys, palomuuri ei nyt niin ihmeellinen ohjelma ole että siitä pitäisi maksaa. Huomaa että nyt puhutaan pelkästä palomuurista jota ei edes haluta mitenkään erityisesti säätää. Virustorjuntaohjelmat ja kokonaiset tietoturvaratkaisut ovat sitten erikseen.
Viittasin tähän kysymykseen: Ainakin minun korvissani "jonkun tehtaan koko tuotanto" kuulostaa taloudellisesti merkittävältä asialta, jonka suojelemiseen kannataa panostaa.
Palomuuri on silti toiminnaltaan täysin yhtä yksinkertainen. Silläkään ei ole suurta merkitystä onko palomuuri ns. rautapalomuuri (eli usein jonkinlainen sulautettu purkki jossa ajetaan Linuxia tai BSD:tä sisällä), niin siissä rautapurkeissakin on myös jonkinlainen ohjelmisto. Olet oikeassa ...suojelemiseen kannattaa panostaa, mutta mielestäni on hieman naiivia sanoa "panostamisen" tarkoita sitä että ostetaan "jokin" kaupallinen tuote ja oletetaan kaiken olevan hyvin. En väitä vapaiden/ilmaisten ohjelmistojen pärjäävän yhtään paremmin. Joka tapauksessa ohjelman kaupallisuus ei millään tavalla takaa laatua, ohjelmasta löytyneiden bugien määräkään ei tee ohjelmaa huonommaksi tai paremmaksi. Jos on oikeasti tärkeästä tiedoste kyse niin silloin kannattaa palkata asiantuntija eikä kysellä tuntemattomien mielipiteitä foorumilla.
