Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А галочку в Enable logging to DB  поставил?

Это где?

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 00:57 05-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Это в правом нижнем углу под списком адресов для блокировки

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 01:20 05-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насчет loopback - он необходим некоторым прогам. Например - offline explorer, или вышеупомянутым.
Цитата:
вот результаты тестирования стен  
http://www.pcflank.com/art41c.htm  
- Довольно интересные результаты. По ним выходит, что моя стенка ну просто мусор (Deerfield Visnetic), хотя она в силу того, что является пакетным файером, позволяет блокировать кой-чего, что неспособны перекрыть обычные сетевые фильтры, как тот же аутпост и подобные.  
 Тесты пробовал пройти - вроде говорит, ОК, но я не уверен, что проверяет именно меня: у меня нет внешнего IP (через локалку выхожу, её серв на FreeBSD). В общем, может ли кто, имеющий также виснетик, провериться?

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 21:00 05-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
моя стенка ну просто мусор  (Deerfield Visnetic)

Так ведь любая стена без контроля приложений будет в конце списка. Весь прикол этих всех тестов - как одна апликашка может замаскироваться под другую, которой выход разрешен... Кстати, сам жду когда дирфилд свой продукт дополнит этой необходимой штукой.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 23:42 05-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прикол в том, что пакетный попутно фильтрует сами пакеты, а не только адреса. То есть, если пакет не такой, кк ожидалось - он не проходит. Это правило по дефолту: если для такого пакета правила нет - он блокируется. Хочешь его пропустить - сделай правило.  
 Это было первое. Второе - кк упоминалось, stateful inspection.  - т.е., если вася пупкин эмулирует стук под ответы на якобы мои запросы, то пост может это и пропустить, а виснетик - фиг. Потому как идет проверка, посылался ли запрос на этот адрес по такому-то протоколу, на такое-то добро. И если нет - блок.  
 Далее. Часто идет фрагментация пакетов. (иногда законно, иногда используется для взлома) - моя стена такие пакеты, которые не содержат инфы о себе, или эта инфа не совпадает с действительностью - опять же - блок по дефолту. Кста, эта фича очень помогает - часто вижу флуд такими инвалидными пакетами. Пропустил бы - мог и повиснуть или в бсод. А так - работаю ))  
 Далее. Для ICMP можно по каждому конкретному типу настроить. И получится, что вы сами пинговать и сканить можете (с некоторыми ограничениями), а вас - нет.  
 Далее, про АРП флуд, АРП спуфинг я писал неоднократно. В посте не видел возможности блокировать эти пакеты. Точнее сказать, вообще не знал, что такие есть. ))  
 А именно это мне актуально, бо я работаю через локалку, а (вот не помню, кто приводил статистику, что) примерно 80% взломов/нюков идут как раз через локальную сеть, бо возможности многократно шире (и скорость, и разнообразие способов)
 
 Хотя, если приделают апп-контроль к нему - ругаться не буду, Может и пригодится. Покамест можно довесить апп. контроль от зоны.

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 00:35 06-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
А как насчет более простого варианта - троян в почте или скачал трояна вместе с варезом (раз в год и на старуху бывает ... ). Он спокойно открывает соединение через 80-й ремоут порт, который обычно у всех открыт, и все.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 02:09 06-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
троян в почте  
- Клиентами не пользуюсь. Забираю сам с веб-интерфейса. Причем не кликаю на что-попало. Так что мне неактуально.

Цитата:
или скачал трояна вместе с варезом  
- А об этом должен антивирь думать.  
Тем более, что, как неоднократно упоминалось (например, SXP), тот же Пост беззащитен к троям.  
 Хотя если теоретически - есть угроза. Может, воткну апп-контроль от зоны, она не враждует с виснетиком.  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 02:53 06-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
Тем более, что, как неоднократно упоминалось (например, SXP), тот же Пост беззащитен к троям.  

  А нельзя ли по-подробнее про это или ссылку где про беззащитность Поста к троянам написано.
 Для меня самое главное в стенке чтобы без моего ведома не могла утечь наружу  информация в частности логины в банк (или программы не стучали на меня). Там где я бываю только за содержимое моего диска по совокупности украденных програм можно крупно пострадать. Из аспирантуры да еще с крупным штрафом выгоняли. А сотрудников просто заносили в черный список а потом он не смог получить работу ни в одном университете англии.  
 До сих пор я думал что Аутпост выигрывает именно по этому критерию
Если есть другие мнения буду благодарен если поделитесь. Потому что виденные до сих пор обзоры стенок поражают своим непрофессионализмом. Речь всегда идет о рюшечках да бантиках а не о функциональности.

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 05:07 06-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
об этом должен антивирь думать

Код любого трояна может быть модифицирован так что ни один антитроянец его не узнает.
Еще один вариант для собирания всякой нечисти - тот-же HTTP

Цитата:
тот же Пост беззащитен к троям

А как-же http://www.pcflank.com/art41c.htm ? Здесь он набрал максимальное количество очков именно из-за хорошей фильтрации компонентов.
Spectr

Цитата:
виденные до сих пор обзоры стенок поражают своим непрофессионализмом

За последние пару лет не видел ни одного профессионального обзора, хотя ищу регулярно. Спецы по сетям наверняка не учились на литературном

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 12:49 06-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
За последние пару лет не видел ни одного профессионального обзора, хотя ищу регулярно. Спецы по сетям наверняка не учились на литературном

 
Да черт с ним с языком, было бы профессиональное изложение сильных и слабых сторон работы и принципов работы а не обзор красивостей интерфейса.
Я напрмер понятия не имел про пакетные фаеры. Начинал с Atguard перешел на NIS и с в свое сремя с удовольствием  перешел на первую бету аутпоста.

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 18:20 06-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А нельзя ли по-подробнее про это или ссылку где про беззащитность Поста к троянам написано
- Впервые где-то с полгода назад в аутпостовской теме. Сейчас уже не найду, но точно помню, что было и повторялось неоднократно. Если попадется - дам ссылу.  

Цитата:
фильтрации компонентов
сорри за маленький оФФ, но фильтрация компонентов выражается в том, что пост блокирует длл, которая изменила свой размер/работу/еще чего-нить,
 или в том, что не дает к приложению прилепляться новым длл-кам, которых еще нет в списке разрешенных?  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 19:17 06-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Принципы работы иногда можно нарыть на сайтах производителей, или в книжечках, иногда проскакивают статейки на разных сайтах. Есть у меня пара е-буков, я так понимаю для тебя аглицкий не проблема, могу подкинуть...

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 19:18 06-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr

Цитата:
понятия не имел про пакетные фаеры.
- Значит - фильтрует отдельные пакеты. И правила можно применять не только к протоколам/адресам/.. но и к типам пакетов (установление соединения, транспорт, информация, выяснение настроек сети, пинги, рассылки, проч) Пример: logSample.txt
*** = прикрыл последний октет своего внутреннего айпи.
 Или можно посмотреть обсуждение в теме Deerfield VisNetic Firewall 2.0

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 19:31 06-04-2004
SXP



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
там много смешного.... например ZAP 3.7 free получил 5 баллов а ZAP 4.0.x.x Pro всего 3
да и врут они... сами ЗАП с максимальными настройками проверте на этих тестсх.... и результат вас удивит

Всего записей: 3755 | Зарегистр. 21-06-2002 | Отправлено: 20:34 06-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Q: process termination?  
A:Outpost can be killed by any trojan.... dalse put svoboden.. blago OP ne soprotivlaetsa vigruzke
 
Q: izmenenie pravil outposta... i nasilnoy perezagruzke systemi
A: pravela pomenat mozno bat failov )) echo >> Oppostconfig.ini (ili kak on tam nazivaetsa... netu outposta)
 
Q: ili pro PCAudit... kotoriy obhodit outpost so standartnimi nastroikami?
A: PcAudit? v teme pro luboy FW esli linki na etot test
(C)SXP

----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 20:37 06-04-2004 | Исправлено: bredonosec, 20:58 06-04-2004
SXP



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
сорри за маленький оФФ, но фильтрация компонентов выражается в том, что пост блокирует длл, которая изменила свой размер/работу/еще чего-нить,  
 или в том, что не дает к приложению прилепляться новым длл-кам, которых еще нет в списке разрешенных?  

 
нетак... Оутпост в отличии от Сигейта неможет заблокировать определенную дллку а блокирует всё приложение
 
Outpost firewall process can be terminated by any lamers trojan... thats why Outpost is not secure....
 
Добавлено
кстати текущий Зоне Аларм обходит Оутпост по надежности против троянов

Всего записей: 3755 | Зарегистр. 21-06-2002 | Отправлено: 20:39 06-04-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
текущий Зоне Аларм обходит Оутпост по надежности против троянов
- Сопротивляется выгрузке? Или какие-то процессы в системе контролирует, что ребутнуть нельзя насильно его?  

Цитата:
Оутпост в отличии от Сигейта неможет заблокировать определенную дллку  
- вроде кто-то говорил тут обратное..страницу назад что-ли..
 инфа относится и к последним версиям тоже?  


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16269 | Зарегистр. 13-02-2003 | Отправлено: 21:10 06-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SXP

Цитата:
Оутпост в отличии от Сигейта неможет заблокировать определенную дллку а блокирует всё приложение

Так ведь в принципе, это правильный вариант... При подозрении на изменение кода надо блокировать все приложение

Цитата:
текущий Зоне Аларм обходит Оутпост по надежности против троянов

А как-же результаты на PC Flank? (не заметил предыдущий пост, понял - врут )
 
А вообще, кто-нибудь с Оутпостом, попробуйте убить его процесс... Чего-то не очень верится (не в обиду SXP)

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 21:15 06-04-2004 | Исправлено: Karlsberg, 21:17 06-04-2004
SXP



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec

Цитата:
- Сопротивляется выгрузке? Или какие-то процессы в системе контролирует, что ребутнуть нельзя насильно его?  

и то и другое...
 

Цитата:
Так ведь в принципе, это правильный вариант... При подозрении на изменение кода надо блокировать все приложение  

а если это svchost.exe с дллкой от трояна.... Sygate в таком случае заблокирует дллку трояна а оутпост весь процесс что скажется на работе сети...

Всего записей: 3755 | Зарегистр. 21-06-2002 | Отправлено: 21:18 06-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
А вообще, кто-нибудь с Оутпостом, попробуйте убить его процесс... Чего-то не очень верится (не в обиду SXP)

 
Убил аутпост из TaskManager( из списка исчез), после чего запустил acrobat reader и сделал упешно update (а ведь он у меня стоит в запрещенных к выходу и при запущенном аутпосте это не проходит). Так что аутпост был действителено убит. Ну и дела.
Но убил то я его из TaskManager - вопрос как легко его убить какому-либо трояну??
Наверное пока таких случаев не было - иначе бы шум поднялся точно.
 
 

Цитата:
а если это svchost.exe с дллкой от трояна.... Sygate в таком случае заблокирует дллку трояна а оутпост весь процесс что скажется на работе сети...

 
Так как аутпост для рабочих станция а не для сервера то это не страшно. При подобной аварийной ситуации все равно лучше вырубить все.
 
bredonosec

Цитата:
сорри за маленький оФФ, но фильтрация компонентов выражается в том, что пост блокирует длл, которая изменила свой размер/работу/еще чего-нить,  
 или в том, что не дает к приложению прилепляться новым длл-кам, которых еще нет в списке разрешенных

 
Блокирует все приложение как уже сказали выше но реагирует как на изменение dll так и на новые dll. PcAudit  как раз и пытался прикинуться новой dll.
В то же время любое обновление IE6 или новая версия даже lingvo hook сразу вызывает предупреждение что изменились файлы.  

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 22:07 06-04-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru