» Настройка персональных файерволов (firewall rules)

Тут такое дело. У меня инет по выделенке и я плачу за траффик... Недавно я изучил лог ПРОКСИ и посмотрел что кучу трафика тянут разные "украшательства" на сайтах, т.е. FLAHS-intro, разные баннеры, с одного сайта загрузилась фоновая музыка в MP3 файле аж на ~2,7Mb и прочая мура. Часть SWF можно срезать Outpostom но как быть с фоновой музыкой и т.п. - можно как-то побороть?

Есть еще такая штука как Proxomitron, и тут тоже вопрос - надо ставить и Proxomitron и Outppost или все возможности Proxomitron можно реализовать настроиыв плагины Outpost'a???

Черт, уведомления не ходили. Поднакопилось тут, вопросов

ra3pat

Цитата:

поставил OUTpost на сервер

На какой сервер-то? Не является ли он случаем Шлюзом в интернет для раб. станций из локальной сети? Если ДА, то в этом случае Outpost противопоказан (см. ниже ответ для bredonosec).

А вообще, лучше не ставить Firewall (а уж тем более на сервер!) без соотв. знаний, которых, поверьте, нужно достаточно очень много.

Net_man

Цитата:

Даже не знаю что и думать.

Эти порты действительно открыты, даже если ты создал правило блокирования всего трафика для этого порта. Так происходит потому, что фаеры приложений их не закрывают, а обеспечивают фильтрацию трафика по этим портам (в т.ч. и полное блокирование трафика для этого порта).

Но даже если создано правило на полное блокирование трафика для этого порта, то при анализе извне статус порта будет не Closed, а Stealthed!

Я не знаю как SSS анализирует порты, но вы проверьтесь в онлайн-сканере на http://www.pcflank.com/scanner1.htm -- он работает с тремя статусами: Open, Closed, Stealth. На закрытых фаером портах должен быть статус Stealthed.

bredonosec

Цитата:

- если правильно помню, пост - персональный, а не серверный файер. Об этом написано и на оффсайте, и в шапке соотв темы здесь.

Я писал, что ИМХО это не до конца так. Под несерверностью, как я понимаю, производитель имеет ввиду, что Outpost -- это фаер, который не умеет работать с транзитными пакетами. Возможно, еще могут быть какие-то проблемы с производительностью, если поставить его на относительно слабенькую машину (предварительно создав сотенку..другую правил), обрабатывающую большое кол-во запросов.

ИМХО в остальном Outpost нет никаких противопоказаний для его использования на серверах.

Цитата:

- Правило можно создать по любой группе пакетов? Или есть ограничения? (типа там, закрыть такую-то группу IP на входящие ICMP типа 0,10,13,16,18 и еще не помню, какие, или UDP по 137/138 для неполной группы адресов, типа 192,168,0,2-192,168,0,153, ну и т.д. )

Удобство такого рода обеспечивается? Или надо каждую дюрку отдельной заплатой закрывать?

Типы ICPM задаются только глобально для хоста с фаером.

В остальном? можно городить любые правила, по критериям: Протокол, Направление, Удаленный хост, Удаленный порт, Локальный хост, Локальный порт, Временной интервал. Ессно в качестве имени хостов можно указывать списки, диапазоны и маски, а в качестве номеров портов -- списки и диапазоны.

JuryB

Цитата:

но как быть с фоновой музыкой и т.п. - можно как-то побороть

В свойства IE загляните, тоже бывает полезно

Цитата:

или все возможности Proxomitron можно реализовать настроиыв плагины Outpost'a???

Proxomitron, насколько я помню, должен резать поболе, чем плаги OF.

Программа Local Port Scanner ( которую можно взять отсюда: http://www.jpsoft.dk/exe/lps.zip) показала, что открыты порты 135 и 1025. Знатоки, подскажите, как закрывать порты? У меня стоит Outpost Firewall 2.1.

DaniyrALM


Цитата:

Программа Local Port Scanner ( которую можно взять отсюда: http://www.jpsoft.dk/exe/lps.zip) показала, что открыты порты 135 и 1025.

Сканировать порты локально -- не совсем правильно, по крайней мере в случае с OF 2.1, потому как loopback разрешен по умолчанию, причем даже когда для приложений слушающих порты, не создано разрешающих правил!

Это означает, что даже когда вы их закроете, LPS все равно будет показывать статус OPEN для них! Так что после того как вы закроете порты, идите на http://www.pcflank.com/scanner1.htm и сканируйте ваш хост.


Цитата:

Знатоки, подскажите, как закрывать порты? У меня стоит Outpost Firewall 2.1.

Ну несколько вариантов навскидку:

1. Догадаться самому (ну или хотя бы попытку сделать...).
2. Почитать мануал (он, имеется в т.ч. и на русском языке, причем очень доходчиво написан; 4 поездки в метро по 45 минут и вы заочно "владеете" этим фаером).
3. Зайти в топик по OF и прочитать шапку (это когда думать не хочется).

Цитата:

Под несерверностью, как я понимаю, производитель имеет ввиду, что Outpost -- это фаер, который не умеет работать с транзитными пакетами

Цитата:

ИМХО в остальном Outpost нет никаких противопоказаний для его использования на серверах.

Наверно, я не выспался и туплю, но как серв сможет работать, если не пропустит транзитные пакеты?

Цитата:

Типы ICPM задаются только глобально для хоста с фаером

ясно.
А блок по МАСу? или ARP, RARP (что есть второе, пока так и не вьехал, потому не юзаю) с возможностью выбора как постом выше? (про время и направление не говорю, бо само собой разумеется)

Добавлено
Упс. туплю. серв не обязательно есть шлюз. пошел спать.

bredonosec

Цитата:

Наверно, я не выспался и туплю, но как серв сможет работать, если не пропустит транзитные пакеты?

А зачем, например, FTP/HTTP и т.д. -серверу принимать транзитные пакеты? Вот если на сервере стоит MS ISA в качестве корпоративного фаерволла (LAN <> WAN), то тогда их нужно пропускать... А в случае FTP/HTTP и т.д. нафиг не надо.

Цитата:

А блок по МАСу? или ARP, RARP (что есть второе, пока так и не вьехал, потому не юзаю) с возможностью выбора как постом выше? (про время и направление не говорю, бо само собой разумеется)

Какие еще MAC и APR? Это ж Ethernet, а фаер работает на уровне 3 OSI, т.е. на уровне TCP/IP. А в DSL/DUN и др. никаких MAC'ов нет . Это в некоторых аппаратных фаерах есть возможность управления по MAC, а в софтовых я такого не видел... Так что это вы уж размечтались.

eika
Цитата:

в онлайн-сканере на http://www.pcflank.com/scanner1.htm

Спасибо. Проверился - выдало пару десятков портов с параметром "Stealthed", так что я спокоен.

У меня стоит OF 2.1 . В последние дни на столе вдруг начала появляться табличка :

Attention! -Microsoft Internet Explorer

Your computer clock may be wrong и т.д. Предлагают бесплатную программу,кото-
рая мои часы настроит. Что это? Попытка взлома? Как мне с этим бороться? По логам это
приходит не извне,а от моего IE. Я вспомнил,что недавно разрешил провести изменение
компонент IE, подписанное Microsoft, что видимо было ошибкой.И что теперь делать?

helix
Это скорее всего Pop-up IE в стиле netsend. На Opera подобных штук не замечено.

//off
Цитата:

Microsoft Internet Exploser

Лучше заменить на Exploder, в крайнем случае на Explorer
А часы надо настраивать ручками! В ХР есть даже кнопочка синхронизации через интернет.

IMHO
Эта кнопка у меня включена и часы показывают точно.
P.S. Спасибо за замеченную опечатку.

helix
Цитата:

часы показывают точно

да, конечно же, в системе все нормально. просто кто-то пользуется социальной инженерией...
По жизни, я бы никогда не пустил домой человека с улицы, который сказал, что может мне часы бесплатно подвести (зачем ему-то это надо?)

Добавлено
Да, за последнее время (точнее 2.мая) у wzor'а была выложена серия хороших книжек по безопасности Hacknotes (сети, windows, др). Не знаю будет ли работать ссылка, но найти можно в разделе Bookz на www.wzor.net.

eika

Цитата:

Какие еще MAC и APR? Это ж Ethernet, а фаер работает на уровне 3 OSI, т.е. на уровне TCP/IP.

- Вот вам и разница.


Цитата:

никаких MAC'ов нет . Это в некоторых аппаратных фаерах есть возможность управления по MAC, а в софтовых я такого не видел... Так что это вы уж размечтались.

- Ви мечтаете, а я имею.
Если интересно, могу сообщить, что около половины правил моей стенки относится к МАС адресам. (персональные, так сказать, правила). Еще 4 ARP правила - на 4 группы адресов. (с автобаном и автоподвесом ака тарпитом). (ох, расхвастался я чего-т.. :Р)
Цитата:

А в случае FTP/HTTP и т.д. нафиг не надо.

- опоздал, сам уже допер -

Цитата:

серв не обязательно есть шлюз.

Давайте немного проясним ситуацию с уровнями OSI и как на это натягивается TCP/IP, поскольку когда это все писалось, они о друг дружке ничего не знали.
OSI Уровень 5-7 - конечная прога, работающая с инетом
OSI Уровень 4 - TCP и UDP
OSI Уровень 3 - IP, ICMP, ARP, RARP
OSI Уровень 1-2 - h/w, типа Ethernet, и др.

bredonosec

Цитата:

Ви мечтаете, а я имею.

Ну чтож, поздравляю. Кстати, я не мечтаю об этом, т.к. пока не было таких задач, чтобы требовалась фильтрация по MAC/ARP.

Karlsberg

Да на эту тему полно информации (ya.ru), причем написанной разными людьми.

Кстати, когда я писал OSI layer 3 я несколько недоговаривал -- правильнее было говорить и OSI layer 3 и layer 4.

Karlsberg
А как твою табличку из шапки получить в виде таблички (картинки)?

renreg
Это bredonosec у нас спец по таким штукам
В принципе, можно сохранить эту страничку в html-е, открыть ее в ворде и сохранить в doc-е.

Karlsberg

Цитата:

А как твою табличку из шапки получить в виде таблички (картинки)?

1. Если нужен растр, то делай скриншот. Дальше понятно.
2. Если нужна эл. таблица, то можно экспорт в Excel, например через правый клик мыши на таблице.

renreg

Цитата:

А как твою табличку из шапки получить в виде таблички (картинки)?

- Или сохранить и нтмл код выдрать, или взять редактор (простейший, текстовой), запихать туда код таблицы из шапки и сменить [ на <, a ] на >
(вроде еще не все понимают тег [no] [/no], так что сначала желательно сменить [no] -> <small>, -> </small>[/no].
Да, еще [no][color=#******] [/color][/no] -> <font color=#******> </font>

В общем, примитив. Учите нтмл!

А если в ёксель - просто выделяешь мышкой и копи-пасте.

Изучал табличку внимательно, просто хочу проконсультироваться про собственную ситуацию:
Outpost сегодня поймал след. запрос:

svchost.exe с моей машины пытается организовать удаленное соединение по TCP с адресом 192.168.0.1 по порту 2869
То же самое и с explorer.exe (но этот реже - 3 раза против 8-ми svchost.exe )

Я, ессесна, отклонил это дело. Что за странный запрос? И адрес, и порт?
Антивирус ничего не нашел (пользую Stop!).

Кто подскажет - создать правило на послед. блокировки таких запросов или это что-то нужное?

RonnY

Возможно это SSDP event notification TCP 2869.

eika

Цитата:

Какие еще MAC и APR? Это ж Ethernet, а фаер работает на уровне 3 OSI, т.е. на уровне TCP/IP. никаких MAC'ов нет . Это в некоторых аппаратных фаерах есть возможность управления по MAC, а в софтовых я такого не видел... Так что это вы уж размечтались

bredonosec

Цитата:

Вот вам и разница Ви мечтаете, а я имею

Аутпост тоже фильтрует по МАКу.
Используется "ARP fIltering aka Dmut SuperStealth plugin"

Anna

Ок, теперь буду знать. Хотя не совсем понимаю, зачем это нужно.

eika
Ну например злобный хакер, в наглую сканирующий порты и пытающийся забраться на компьютер, заходя с dialup-а. По IP не забанить - он каждый раз новый. Отключаем его по маку, пусть тужится.

Цитата:

Ну например злобный хакер, в наглую сканирующий порты и пытающийся забраться на компьютер, заходя с dialup-а. По IP не забанить - он каждый раз новый. Отключаем его по маку, пусть тужится.

LOL!

Какой MAC в модемном соединении?

MAC -- это Ethernet! Ну и, возможно, DSL (если говорить о PPPoE), но на 100% последнего я утвеаждать не могу.

А в остальных случаях и думать забудьте

eika

Цитата:

Хотя не совсем понимаю, зачем это нужно.

Тебе мож и нет, а в сетке это самое оно
Karlsberg
Цитата:

заходя с dialup-а

Мак действует только в пределах твоей подсети, до первого же маршрутизатора

neva102502

Цитата:

Тебе мож и нет, а в сетке это самое оно

Так я то тоже имею сетку, просто не представляю кретина, который будет хачить/флудить и т.д. с частой сменой IP на сетевом интерфейсе. Да если он до такого додумается, то почему бы ему сразу не додуматься периодически менять MAC? Это же не сложно...

А вообще, в базовой поставке OF 2 есть плаг Attack detection, который может временно блокировать удаленный IP (или всю подсеть) при множественных обращениях к портам (сканирование) и/или блокировать локальный порт при обнаружении DoS-атаки на него.

Очень удобно -- ничего не надо делать ручками, а хацкеры, меняющие IP, отдыхают...

eika
neva102502
Написал первое что пришло в голову. Думал - мысль, оказалось - нет
Тогда просветите, что есть в диал-апе. Навеняка в PPP тоже есть уникальный ID модема.
И если у меня IP сеть построенная на token ring, там сетевухи другого типа?

eika

Цитата:

Attack detection, который может временно блокировать удаленный IP (или всю подсеть)

Ага, отрубит твою машину от всей твоей же подсети, если какой небудь энтузазист попробует какую то новую програмку со странным название - сетевой сканер? так что ли ?

Цитата:

периодически менять MAC? Это же не сложно...

Смотря на какой ОС. И по крайней мере это максимально (?) что можно сделать.
Вообще-то правила я считаю хорошее это по ip+mac и отслеживать на предмет недай бог у кого эта пара видоизменится, всразу по башке. Но это уже не по теме топика.
OF это для диалапщиков и т.п. инетчиков ИМХО больше подходит, в ту сторону он и развивается в основном.

Добавлено
Karlsberg

Цитата:

Навеняка в PPP тоже есть уникальный ID модема.

ИМХО нет, тебя IP даётся, вот это и есть твой ID.

Цитата:

И если у меня IP сеть построенная на token ring, там сетевухи другого типа?

Если ты про различие в смысле возможности настроек MAC и т.п., то я про разницу не слышал.

neva102502

Цитата:

Ага, отрубит твою машину от всей твоей же подсети, если какой небудь энтузазист попробует какую то новую програмку со странным название - сетевой сканер? так что ли ?

Ну я же сказал, что можно только IP, а не всю подсеть. А если всю, то теоретически шлюз тоже блокируется и получается финиш . Хотя, это ИМХО уже излишество банить всю подсеть, т.е. даже если хацкер IP поменяет, то его опять автоматика забанит.

Цитата:

Смотря на какой ОС.

Да ОС тут не всегда причем. Можно ведь и во флэш шить... но это уже требует временных затрат.

Цитата:

Вообще-то правила я считаю хорошее это по ip+mac и отслеживать на предмет недай бог у кого эта пара видоизменится, всразу по башке. Но это уже не по теме топика.

А я считаю, что следить 254 интерфейсами в домовой сети -- эти геморрой, т.к. там постоянно все меняется.

Цитата:

OF это для диалапщиков и т.п. инетчиков ИМХО больше подходит, в ту сторону он и развивается в основном.

ИМХО -- он для конечных пользователей, а технология подключения тут роли не играет, т.к. та же настройка фильтров по MAC -- это прерогатива поставщиков услуг и корпораций. Продвинутых конечных пользователей в расчет не берем, т.к. это исключение из правила, причем маааленькое такое в % соотношении.

neva102502 и др.
Тогда вопрос на засыпку - что будет делать тот-же оутпост на машине с диалапным модемом если я захочу определить правило по MAC - адресу?