WIGF
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: В шапке не написано,как правильно писать правила в AR для процессов system и svchost.
Надо ли прописовать в конце правил,строку Block and Log All Unmatching Requests или ставить блок в GR. |
vladpol2008, дело вкуса, но у меня во всех правилах по всем приложениям и в GR стоит какое-то завершающее правило (за редким исключением это Block and Log All Unmatching Requests).
По правилам для System и svchost.exe действоаать надо также как и для остальных приложений: разрешать то, что можно и необходимо для работы, а остальное блокировать.
Сейчас поищу свои настройки по этим двум приложениям и дам ссылку, чтобы ещё раз не набирать... Не нашёл.
Напишу заново свои настройки:
• для System разрешены исходящие по PPTP и L2TP (см. в шапке настройки для vpn-соединений);
• для svchost.exe разрешены исходяшие HTTP/HTTPS (т.е. на TCP 80 и 443 - для обновления виндоса), исходящие DNS-запросы (т.е. на UDP 53 DNS-серверов провайдера) и исходящие DHCP-запросы (т.е. UDP с порта 68 на порт 67).
• для WOS разрешены входящие ICMP с доверенных узлов (VPN, DNS и DHCP-серверы провайдера).
Всё остальное запрещено.
Но это для меня. А, например, если используется NetBIOS, то добавятся правила для svchost.exe и т.п.
2 Perets
Цитата:| Мм.. как раз теоретически очень даже влияет, имхо. Если порт в GR открыт, троян может его вычислить портсканом, и вот он - канал для бесконтрольной передачи чего угодно... |
Но ведь при правильной работе фаера после прохождения пакета через пакетный фильтр (GR) он должен пройти и через фильтр приложений (AR). И вот раньше была дырка, при которой при открытии порта в GR с ним можно было ничего не делать в AR - он для всех подряд октрывался, независимо от настроек для конкретных приложений (в т.ч. для WOS).
Цитата:| Топик по ссылке почитал, проблема как раз та самая, а вот о том что это поправили, там нет утверждений. |
Yuriy Вроде написал, не напрямую, но косвенно подтвердил, что дырки больше нет. Я с тех пор не проверял, но чуть раньше я писал про квип и входящие соединения - и там входящие отражались, а значит поправили.
Да и ты сам ниже написал, что входящие отражаются (с владельцем или без, т.е. с владельцем в лице WOS).
Цитата: Действительно, если запущен P2P клиент, и он в данный момент слушает некий порт, в логах входящие по этому порту отразятся правильно, то есть на данного клиента.
Теперь возьмем достаточно обычную ситуацию - некто использует торрент клиента и, скажем, осла.
Значит в GR должно быть открыто, как минимум, два порта. Так вот, если не запущен хотя бы один из P2P клиентов, входящие по его порту будут адресоваться по-прежнему через WOS.
Т.е. мы имеем то, с чего начали - теоретическую дырку, которая легко может стать практической. ИМХО.
Был бы рад ошибиться. ) |
Вот поэтому и не стоит открывать порт через WOS. Потому что после открытия порта в GR он должен быть открыт и ещё для кого-то в AR. И лучше его открыть для конкретного приложения, которое реально будет ждать такие соединения, чем для WOS, а значит для неизвестно кого... |
Всего записей: 1219 | Зарегистр. 19-09-2007 | Отправлено: 10:53 27-11-2008 | Исправлено: WIGF, 11:23 27-11-2008 |
|
Или хуже? 
). Пользовался, много тушканов пропускает. Лучше ставить что-то от другого производителя.