Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
DOE_JOHN

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я так понимаю что в Outpost надо наплевать на правила создаваемые по умолчанию и вводить те что в шапочке. Правильно? Создать правила только для приложений которыми пользуешся. Подскажите что из шапки нужно для работы по диалап, локалки нет и наверно еще долго не будет. Как быть с svchost.exe? Outpost для него сам что-то настраивает, что из этого надо оставить/изменить/удалить? Как поступить с общими правилами на вкладке системные?
Как задать последне правило из шапки о блокировке

Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 00:10 06-06-2004
Velimir



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
IP 211.185.33.252 принадлежит Seoul Daegil Elementary School. Ты случайно не пользовался левыми корейскими крякалками?

Вроде бы не пользовался.
и ещё я практически заблокировал по словам spylog, hotlog, bannerbank -  
они не могут давать такие icmp ???
Добавлено
Не получается с помощью оутпоста выявить процесс.
Левых процессов вроде бы то же нет. Но что то все же посылает эти пинги ??
Предлагайте еще какие нибудь сканеры буду пробовать пока не найду.
В оутпост этот процесс - system !!! Идет с периодом около 4 минут...
вот ещё что
Во всей этой гадости проскакивает порт 2048. (DLS - monitor)
Объясните что это за монитор (кто нить должен знать)

Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 07:43 06-06-2004 | Исправлено: Velimir, 08:39 06-06-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Velimir
Ок, я бы перепроверил Оутпост с помощью утилитки TcpView с sysinternals.com, так, на всякий случай. Дальше я все-таки советую взять TaskInfo и посмотреть кто бежит под этим процессом. Процесса system не существует, exe который запускается - это svchost.exe, который поднимает разные dll-ки сервисов. Посмотри на список сервисов - может быть, там прописался кто-то подозрительный. Если все в порядке - можно запустить Shavlik HFNetChk, он проверит что все системные файлы "свои", и никто не заменил системную dll своей троянской.
 
DOE_JOHN
Запусти ipconfig /all - скорее всего ты увидишь один DHCP сервер и два DNS сервера. Значит, надо конфигурить DHCP и DNS - см. шапочку и можно старую шапочку. После этого все проги которыми ты пользуешься для интернета - браузер, качалку, ну и т.д.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 10:30 06-06-2004
helix



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В общих правилах я убрал разрешение на :  
   1. outgoing DHCP  
   2. inbound identefication
   3. loopback
   4. GRE protocol
   5. PPTP control connection
В запрещенных приложениях к меня - explorer.exe , lsass.exe, telnet.exe и еще штук 5 по
мелочи.   И никаких проблем -почту получаю,тормозов нет ,ничего не лезет.Спрашивает-
ся,а зачем тогда эти протоколы нужны?
 Впрочем,нет, иногда Outpost выдает сообщение типа:  
              Внимание: некоторые компоненты  ........  изменились  
     и предлагает выбор-обновить,запретить,отключить. Чаще всего это компоненты IE,
но могут быть и любые другие. При просмотре "подробнее"- эти изменения 2001 года и
все подписаны Microsoft-ом. Я заметил,что эта лабуда стала выскакивать после теста на
прочность фаера какой-то (не помню) прогой,о которой здесь в свое время много говори-
ли. Тест я выдержал,и прогу,и ее следы в реестре убрал сразу же. Но,видать что-то оста-
лось. В любом случае я всегда запрещаю деятельность предлагаемых изменений, но это
напрягает. У кого есть похожие проблемы?

Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 11:06 06-06-2004
Panamaaa



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
helix

Цитата:
  3. loopback

А это зачем убрал?

----------
В интернете можно найти всё, а иногда и то, что нужно...

Всего записей: 1395 | Зарегистр. 11-06-2003 | Отправлено: 23:45 06-06-2004
helix



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 Panamaaa
 
Для конкретных приложений я ,конечно, его разрешаю,А так,вообще, он не нужен.
 (См. 5 страницу данного топика).

Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 11:02 07-06-2004
Panamaaa



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
helix

Цитата:
См. 5 страницу данного топика

Спасибо на наводку. Теперь тоже запрет поставлю.
 
Добавлено
ага, вот здесь тоже есть... достаточно информативно, правда на англицком
_http://www.outpostfirewall.com/forum/showthread.php?s=3a5c3f195cb16bc1aa2f8da89fabd8da&t=9858
 
а это в формате DOC
_http://www.outpostfirewall.com/forum/attachment.php?s=3a5c3f195cb16bc1aa2f8da89fabd8da&attachmentid=2404

----------
В интернете можно найти всё, а иногда и то, что нужно...

Всего записей: 1395 | Зарегистр. 11-06-2003 | Отправлено: 12:00 07-06-2004
danu2000

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
2 All
Имею ZoneAlarm Pro with Web Filtering 4.0.146.029. При создании ехпертных правил по таблице с верху , удаётсеа ввести только  3 правила, потом пишет ошибку "Произошла ошибка при анализе данных XML .Процес был остановлен" . Почему ето происходит ?
 
И 2 ворпос :
 
Нужно вводить ети правила строго по списку ?

Всего записей: 344 | Зарегистр. 04-11-2002 | Отправлено: 15:32 07-06-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
danu2000

Цитата:
Произошла ошибка при анализе данных XML

Скорее всего это проблема билда. Если это бета, попробуй поставить последний релиз.

Цитата:
Нужно вводить ети правила строго по списку ?

В старой шапочке все расписано. Кроме того, не обязательно использовать их все - выбирай те, который подходят для твоих приложений.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 16:13 07-06-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
При создании ехпертных правил по таблице с верху , удаётсеа ввести только  3 правила, потом пишет ошибку "Произошла ошибка при анализе данных XML .Процес был остановлен" . Почему ето происходит ?
- Есть еще небольшая вероятность, что что-нить в морфологии задания правила под конкретно зону ошибся. На всякий случай в теме про зону можешь выложить свой вариант написания сбойного правила, (после ввода которого сбои идут) - если что не так, подскажут.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 01:32 08-06-2004
ULTRASPEED

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Все привет.Я здесь впервые,просмотрев бегло топ появились вопросы!
Поскольку в этом топе обсуждаются правила людьми которые пользуються разными стенами спрошу следущее.
 
Как в ваших файерволах организован контроль компонентов???
 
У меня отпуст при обнаружении чего либо контролем компонентов предлагает варианты:
1.Обновить для этого компонента инфу,относительно приложения (то есть выпустить тулзу в сеть с данной DLL)
2.Запретить любую сетевую активность данному приложению(то есть просто не выпускает его в сеть и все )
3.Показать корневую директорию приклеивающегося компонента
 
Короче в этих вариантах нет ни какой помощи.Так как мне все равно в сеть надо выйтиэтой тулзой.Чте нить типа выйти данному приложению без этой DLL то есть без этого компонента и близко нет
Так вот к чему вопрос мне сказалии что в NIS существует категория правил которые запросто могут применяться к DLL-библиотекам,разрешать или блокировать их относительно того или иного компонента.Короче можно все таки выпустить приложение в сеть без всяких там компонентов,которым просто запрет прописать
 Люди поделитесь опытом в данном вопросе,раскажите как в ваших стеночках обстоят дела в подобной ситуации
 
По правилам от себя:Я считаю что про выход с локальных портов ваще не париться можно а всегда ставить 1024-65535 так как это просто не важно и не имеет ни какого значения.
И по поводу того ,что "люди помогите не могу порт закрыть сканеры его видят"
Открытый порт не несет в себе не какой опасности ,другое дело приложение которое на нем висит,вот его то и надо защитить.Я прежде чем фаер настроить убил у ся в сервисах половину служб ненужных,заодно наблюдая как в оснастке "открытые порты" при отключении сервисов уменьшалось количество открытых портов для (св гост)

Всего записей: 304 | Зарегистр. 07-06-2004 | Отправлено: 08:12 08-06-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED

Цитата:
 всегда ставить 1024-65535 так как это просто не важно и не имеет ни какого значения

Я не вижу причин давать больший диапазон портов, чем определено протоколом производителя, зато вижу кучу причин этого не делать. Если прога хочет общаться через порт через который ей от рождения это запрещено - а может, троянчик завелся? может контроь компонентов не сработал или появился новый способ его обойти?

Цитата:
Открытый порт не несет в себе не какой опасности

Открытый порт - это открытый доступ к стеку протоколов, позволяет делать много разных гадостей.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 08:57 08-06-2004
helix



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED
 
 Из трех вариантов ответа смело выбирай "запретить". Я много раз так делал для IE и
связь с инетом после этого не нарушалась.

Всего записей: 996 | Зарегистр. 16-01-2003 | Отправлено: 09:14 08-06-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED

Цитата:
Как в ваших файерволах организован контроль компонентов???  
 ....
Короче в этих вариантах нет ни какой помощи.Так как мне все равно в сеть надо выйтиэтой тулзой.Чте нить типа выйти данному приложению без этой DLL то есть без этого компонента и близко нет

 
Рекомендую набраться терпения и после устновки в аутпосте  "Component Control is Maximum"   в первые 3-5 дней " на запрос аутпоста отвечать  
1.Обновить для этого компонента инфу
 
Я при этом почти не проверял dll, так как была чистая машина и регулярно гонял постоянно 5-6 антитроянов и антивирусов))
 
После этого список  компонентов устаканился и аутпост перестал меня спрашивать.
 
Но уж если теперь после 3 месяцев работы контроль компонентов требует моего внимания то внимательно смотрю что же именно изменилось. Такое  случается раз в 2-3 недели и связанно как правило с обновлениями системы или установкой новых программ.

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 14:09 08-06-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED
helix
Spectr
В первое время, пока все данные о компонентах "устаканиваются" внутри файервола, совершенно случайно можно разрешить выход проге, зараженной в первый-второй-и и.д. день. Такие вещи лучше делать до реального подключения в интернет или использовать что-то подобное Adinf.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:30 08-06-2004
ULTRASPEED

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Karlsberg

Цитата:
Я не вижу причин давать больший диапазон портов, чем определено протоколом производителя, зато вижу кучу причин этого не делать

Есть смысл в твоих соображениях,но я исхожу из того ,что разрешение исходящих с 1024 по 5000 не дает больше безопасности чем разрешение с 1024 по 65535 ,так как даже в минимальноми диапазоне итак слишком много портов для выхода.Хотя всегда из больших бед выберают меньшее -это не оспорить!!! Но ведь мы даем диапозон портов на исходящее для определенного приложения "типа радмин" и на какой нить троянец они не действуют.А при выходе в сеть троянца,нас попросят дать ему особые разрешения.
Вобщем затея с исходящими-это уже из области занудства или паранои.В отпусте ваще  почемуто при предложении создать правило, в режиме обучения, не показуеться локальный порт в всплывшем окне создания правил.Хотя конечно же для таблицы которую вы все вместе создаете не лишним будет инфа о локальных портах,более того отличная затея с данной табличкой !!!
 

Цитата:
Открытый порт - это открытый доступ к стеку протоколов, позволяет делать много разных гадостей

 
А проь это я не знал! Можеш в кратце пояснить какие угрозы например предоставляет 21 TCP порт открытый на входящее ,если не считать атаку на уровне приложений(типа эксплоита на сер вью и т д )
 
 
 
helix
 
Тут ты чето попутал,там написано следущее в варианте с запретом :
"Запретить любую сетевую активность для данного приложения"
и после нажатия этого, приложение полностью режиться от сети ,на основании правила "запрещено контролем компонентов"таковое ты потом увидеш в окне "сетевая активность"когда IE не выйдет в сеть.
Вчитайся внимательно и вникни в смысл варианта с запретом !!!
 
Spectr
 
Да я читал про это в Апгрейт спэшл номер помоему 2.
То есть там предлагают установить чистую систему и запускать все по очереди чтобы сразу зарегились все компоненты,так как в чистой токо поставленной форточке нет троянов,откуда им взяться с дистрибутива что ли ???
Но это все для NIS писали и парвильно ведь потом через три недели обнаружив новую DLL мы четко запрещаем ей выйти в сеть с данным приложением,так как знаем что все DLL необходимые для его нормальной функциональности давно с ним устаканены.
 

Цитата:
Но уж если теперь после 3 месяцев работы контроль компонентов требует моего внимания то внимательно смотрю что же именно изменилось. Такое  случается раз в 2-3 недели и связанно как правило с обновлениями системы или установкой новых программ.

А как ты определяеш зачем данная DLL ??
Так вот я почему и забил тревогу.Ведь отпуст определив новый компонент не дает нам особого выбора.Обновить не вариант.Остаеться пройти по пути в корневую и удалить ее,а корневая SYSTEM 32 например,че за DLL я не знаю.Короче реальных вариантов нет !!!
Радмин ,умно замаскированый под сетевого дурака ,не одним антивирем не распознать !!!
 

Цитата:
В первое время, пока все данные о компонентах "устаканиваются" внутри файервола, совершенно случайно можно разрешить выход проге, зараженной в первый-второй-и и.д. день. Такие вещи лучше делать до реального подключения в интернет или использовать что-то подобное Adinf.

 
Про то как устаканить все DLL гарантировано без троянов,на несколько строк выше написано.А что такое Adinf ???
И где вы берете статистику исходящих по локальным портам для разных приложений- логи чтоли просматриваете, где в вильтре  исходящее для того то или того то ,ведь помоему производители не сообщают что они в код программфы заложили ???

Всего записей: 304 | Зарегистр. 07-06-2004 | Отправлено: 21:33 08-06-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
но я исхожу из того ,что разрешение исходящих с 1024 по 5000 не дает больше безопасности чем разрешение с 1024 по 65535 ,так как даже в минимальноми диапазоне итак слишком много портов для выхода.
- Об этом уже говорилось. Порты в районе 30 000 -40 000  - одни из любимых для всевозможных троянов. (прежде чем писать, читайте для разнообразия)
 

Цитата:
А при выходе в сеть троянца,нас попросят дать ему особые разрешения.  
- может быть. А если компонент контроль отвалится? Уж лучше, когда защита дублируется по разным уровням, чем вероятность дыр.
 

Цитата:
Вобщем затея с исходящими-это уже из области занудства или паранои.
- Если трой, что у тебя все-таки как-то поселился, захочет кинуть своему создателю что-нить типа паролей твоих, или еще что-нить такое, он какое соединение будет устанавливать? Входящее или исходящее?  
 

Цитата:
"запретить". Я много раз так делал для IE и  
связь с инетом после этого не нарушалась.
- возможно, у вас он не фильтрует, а пропускает? У меня, когда стоял пост, такое действие отрубало инет. (что логично исходя из надписи
Цитата:
"Запретить любую сетевую активность для данного приложения"  

 

Цитата:
Ведь отпуст определив новый компонент не дает нам особого выбора.Обновить не вариант.Остаеться пройти по пути в корневую и удалить ее,а корневая SYSTEM 32 например,че за DLL я не знаю.Короче реальных вариантов нет !!!
- В теме про аутпост SXP говорил, что с новыми версиями есть возможность влиять на отдельные дллки (отключать, запрещать именно им .. что-то в этом роде) Врать не хочу, не помню точно, просмотри ту тему или спроси у него.  
 

Цитата:
Про то как устаканить все DLL гарантировано без троянов,на несколько строк выше написано.
- дочитай до конца свою же цитату. там написано

Цитата:
Такие вещи лучше делать до реального подключения в интернет  


Цитата:
И где вы берете статистику исходящих по локальным портам для разных приложений- логи чтоли просматриваете,
- я да. Фильтра логов, к сожалению, на моей стенке (виснетик) нет, так что, в реальном времени смотрю, что после каких действий куда стучится.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 22:35 08-06-2004
ULTRASPEED

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bredonosec
Я не буду далее спорить про локальные порты ,так как аргументов и в твою и мою сторону утверждающих правильность мысли нет !Но и так понятно что чем больше ограничений для чего либо темь меньше вероятности упустить это из под контроля
 

Цитата:
(прежде чем писать, читайте для разнообразия)

Косяк понял ,простите,просто открыв форум и прочитав 18 страниц я естественно не вник ,я просто смотрел вопросы мя интересующие,постараюсь перечитать.
 
 

Цитата:
- Если трой, что у тебя все-таки как-то поселился, захочет кинуть своему создателю что-нить типа паролей твоих, или еще что-нить такое, он какое соединение будет устанавливать? Входящее или исходящее?    

 
Он установит исходящее с моего локального порта.И входящее на удаленный с его точки зрения,но исходящий с моей ,короче это игра слов ,небудем,да и ваще если трой по почте шлет то исходящее ,а если трой на базе радмина,то входящее или я вопрос не понял !!
 

Цитата:
- В теме про аутпост SXP говорил, что с новыми версиями есть возможность влиять на отдельные дллки (отключать, запрещать именно им .. что-то в этом роде) Врать не хочу, не помню точно, просмотри ту тему или спроси у него.  

 
На данный момент то есть на седнешнее число у мя свежий самый отпуст и я там этого не вижу.Прийдеться прочитать 100 страниц .Мож человек списался с ними и они ему это пообещали ?? Не могу я смотреть в книгу видеть фигу
 я правильно понял в топе 100страничном написано про DLL ?????
 
У мя в системных есть правило где TCP исходящее с 1024-65535  на удаленный PPTP порт
Знаю что это правило обеспечивает тунели с удаленного на мой порт для передачи данных,ат тода чем оно от простых конектов отличаеться,вобщем разъясните плиззз!!!
 
 
 
bredonosec
А как у тя дела обстоят с контролем компонентов ???????
 
 
Да кстате при нажатии варианта "заблокировать этому приложению любую активность " инет та пашет но не с этим приложением!!! блок попадает токо на тот тулз у которого компонент изменился!

Всего записей: 304 | Зарегистр. 07-06-2004 | Отправлено: 23:41 08-06-2004 | Исправлено: ULTRASPEED, 23:45 08-06-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED

Цитата:
 затея с исходящими-это уже из области занудства или паранои

Вот почему-то именно ограничение диапазона 5000-м портом всегда вызывает кучу споров. Всем хочется 65535. А то что снизу 1024 почему-то всем нравится...
Давайте договоримся на будущее, что эти числа пришли от самих разработчиков виндов. Когда приложение просит у операционки свободный порт, оно его получает именно из диапазона 1024...5000 (или выше, если изменить настройки). Есть версия юникса, которая начинает с 1-го порта, но это не наш вариант.
Это правило верно для большинства приложений, не выполняющих системные функции. Если кто-то ему не следует, это отмечается в шапочке, а у нас есть возможность правильно настроить файер. Правильно - значит точно.

Цитата:
какие угрозы например предоставляет 21 TCP порт открытый на входящее

Первое, что приходит в голову - флуд SYN-запросами, когда приходит запрос коннекта, TCP стек шлет ответ и ставит таймер, ожидая подтверждения. За время ожидания он еще несколько раз пошлет ответ. Если таких запросов достаточно много, ресурсы операциоки заканчиваются, и интернет тоже.
добавлено
Не сказал самое главное - SYN-флуд можно применить только если кто-то на этом порту ждет соединения по TCP, как например FTP сервер (так как FTP основан на TCP, за редчайшим нестандартным исключением).

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:42 09-06-2004 | Исправлено: Karlsberg, 10:16 09-06-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ULTRASPEED

Цитата:
А как ты определяеш зачем данная DLL ??  
Так вот я почему и забил тревогу.Ведь отпуст определив новый компонент не дает нам особого выбора.Обновить не вариант.Остаеться пройти по пути в корневую и удалить ее,а корневая SYSTEM 32 например,че за DLL я не знаю.Короче реальных вариантов нет !!!  

 
Во-первых аутпост дает выбор: а именно заблокировать до  следующего перезапуска приложения (или перезапуска системы - не помню точно делал это давно когда с помощью pcaudit проверял защиту против  DLL injection).
После чего можно пойти и как минимум посмотреть чья это dll (in properties) и сравнить ее с оригиналом в дистибутиве или на чистой системе ( у меня стоит 2 WinXP).
В WinXp есть также sfc для ручной проверки системных dll.
Ну а уж в случае подозрений задействовать  всю тяжелую артиллерию антитроянов и антивирусов (их у меня сразу 5 штук)
После чего либо  убить этот файл и НЕ ЗАБЫТЬ вычистить эту длл из списка разрешенных длл (после pcaudit  у меня  в списке было больше двух десятков таких призраков pcaudit замаскированного под длл с разными названиями). Либо при новом запуске приложения со спокойной душой разрешить.  
 

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 10:47 09-06-2004 | Исправлено: Spectr, 10:51 09-06-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru