» Настройка персональных файерволов (firewall rules)

По идее, есть проверки на низких уровнях, и данные дублируются пока не совпадут с контрольными суммами (за точность формулировок не ручаюсь, что-то такое читал), так что выпадение нескольких пакетов не должно помешать правильной передаче инфы.
А вот если все пакеты фрагментируются из-за превышения размера - тогда не знаю.

Вопрос - Разрешая passive ftp с его 1024-65535 remote ports, разве мы не открываем большую дыру в своей системе (почти все трояны в этом диапазоне сидят)?

Какой тогда смысл в запрете всего последним правилом, если мы почти все порты открыли (ну да, первая тысяча тоже хорошо, но все таки)

wand
В принципе, расчитано на то что файервол имеет конроль приложений, и разрешит входящее соединение только настроенному фтп-клиенту. Трояны могут сидеть в любом диапазоне, а так критичный диапазон "системных" сервисов прикрыт.

Цитата:

разве мы не открываем большую дыру

- В принципе, никто же не заставляет ВСЕ правила из таблицы себе ставить. Данное - только на случай,

Цитата:

Специально для клиентов, которые не хотят или не могут принимать коннекты снаружи был создан Passive FTP. Клиент коннектится со своего порта N (из диапазонана 1024..5000) на 21-й порт сервера, а сервер сообщает клиенту порт для данных из диапазона (1024..65535). Тогда клиент открывает второй коннект на него со своего порта N+1.

(см. ссылку на предыдущую шапку наверху). То есть, если у тебя этой проблемы нет - не ставь.
2. Если трабла есть и поставил.
а) оживляй правило только тогда, когда работаешь с фтп. В остальное время - дисэйбл.
б) соединение - только на выход, так что, если троян еще не сидит у тебя, то попасть через эту дыру к тебе ему будет затруднительно.

(ЗЫ. подобная ситуевина есть со скайпом - там тож кучу портов на кучу серверов открыть надо для нормальной работы. Спасался отключением правила когда не разговаривал.)

Удачи.

bredonosec

Цитата:

ситуевина есть со скайпом

Может, выложишь правила для него? Наверняка популярная штучка, за неимением достойных конкурентов.

Ща, перепишу..

Rule #
Let Skype out
MyAdress 1024-5000 - AllAddresses 1001-64000
Block incoming fragments
Block incoming connections
Action - Allow & log connections

Rule #
Let Skype 33033 (in)
MyAddress 1024-5000 - AllAddresses 33033
Block incoming fragments
Block incoming connectios
Allow & log connections

Два правила т.к. для слушанья (надеюсь, не путаю первое и второе, бо ща не установлен - проверить не смогу, только правила в наборе для стенки остались) достаточно одного нижнего, а для ответа - весь диапазон.

Да, диапазон сервов (удаленных адресов) можно уменьшить до 24,0,0,0 - 240,0,0,0.
Только вряд ли это сильно поможет.

Karlsberg, bredonosec

Я в принципе так и решил, т.к. браузером по фтп ходить извращение, на всякий случай можно временное правило сделать. А аппликейшн детектом я не пользуюсь, надоело оно мне. Постоянно спрашивает всякую фигню (з.ы. раньше zonealarm стоял). А тут настроил немножко правил, и забыл.

bredonosec
Класс, спасибо. Как только доберусь проверить их - засунем в шапочку.
wand
Дело в том что котроль приложений не зависит от того, будет файервол спрашивать о каждом коннекте, или нет. Его использование повышает защиту во много раз, а в настройках надо прописать чтобы работал молча.
Все правила из шапки, вместе с последним запрещающим, достаточны для файервола чтобы решить что нужно делать с пакетом или попыткой соединения, файервол ставится в режим работать молча, и по необходимости писать в лог.

Цитата:

Как только доберусь проверить их

- В теме про сабж пишут, что новая версия не требует столько, будто бы ей достаточно только 443, а то и вовсе 80 порта..
Не уверен, что этого им будет достаточно для связи, но на всякий случай уточняю - мои правила работали с версией 096.0.1

правило для Time Sync (синхронизация времени)
Protocol - UDP
Filter data going - In & Out
Local - My adress. port 123
Remote - All adress. port 123 (или прописать сервак которым пользуетесь, например time.windows.com (207.46.130.100))
Block incoming fragments

ЗЫ может в шапку закинете?

AntiBIOtic

Цитата:

может в шапку закинете?

Обязательно.
bredonosec
У меня каждое добавление в шапку похоже на написание ассемблерной программы прямо в кодах процессора. Может есть какой-то менее болезненный способ, чем пачит ее ручками?

Karlsberg

Цитата:

У меня каждое добавление в шапку похоже на написание ассемблерной программы прямо в кодах процессора. Может есть какой-то менее болезненный способ, чем пачит ее ручками?

а может сделать шапку в HTML и выложить ссылу? например так

Цитата:

а может сделать шапку в HTML и выложить ссылу?

- В принципе, можно. Это совсем нетрудно. (страницу назад писал, как это делается)
Только разница вся будет заключаться в том, что
1. вместо [] придется писать <>,
2. Править сможет не любой, а только хозяин акка, на котором лежит (кидать сюда пароль к акку глупо - любой ньюб сможет подменить страницу на вирезагрузку или подобное.
3. Заходящим придется лишний раз лезть по ссылкам. (а также возможно злиться и плеваться, если бесплатный хостинг начнет глючить.

Так что, имхо, нет смысла. Проще тут продолжать.
Разве что, если сильно разростется, сделать как http://www.pcflank.com/fw_rules_db.htm - на sql базе.

bredonosec
Поищите во флейме
кто-то из ребят делал прогу, которая была как бы GUI к написанию всего на руборде
Там было изменение цветов, шрифтов и вроде были и таблицы

ruboard easywrite. В программах. (+ тема в тестировании)
Но создатель мне говорил, что с таблицами, тем более, вложенными, и подобным форматированием пока тяжко.

Time Sync в шапочке. Мерси AntiBIOtic


Добавлено
bredonosec
Вычитал на хомяке правила для Skype:
Минимум необходимо открыть выход на 80-й ремоут порт (или 443 для версии выше 0.97) или на диапазон выше 1024.
Обещано также, что качество звука значительно улучшится если открыть UDP на ремоут выше 1024, и разрешить ответы от них.
Звук будет еще круче, если открыть входящие по TCP и/или UDP на порт указанный в настройках скайпа.
Оригинал на английском: http://www.skype.com/help_faq.html#Technical
и довесок тут: http://www.skype.com/help_firewalls.html

Karlsberg - инфу эту разумеется видел. Насчет порта 80 - не знаю, как ща, раньше с ним она только зарегать ник могла. (и то не уверен). Про какое-бы-то-ни-было общение можно было забыть.

Цитата:

на порт указанный в настройках скайпа

- возможно, он и был там по дефолту. Не помню.
Остальные советы сводятся к мысли - чем больше откроешь, тем лучше. :/

bredonosec
Скорее всего, у них там реализовано несколько протоколов, и выбирается наиболее качественный вариант в зависимости от того, что доступно. Кроме того, они себя позицируют как самую файервольно-независимую интернет-говорилку, а значит попытались сделать какой-то минимум с единственно открытым портом, типа 80 или 443. Но идея действительно такая - открыть все.

bredonosec

Цитата:

Остальные советы сводятся к мысли - чем больше откроешь, тем лучше. :/

Karlsberg

Цитата:

Но идея действительно такая - открыть все.

Так и сделал.И началось самое интересное.......
Уже два раза наблюдал в логах файрволла (Jetico) в режиме реального времени
бурную деятельность Skype.При этом Skype даже не запущен и в процессах тоже
отсутствует.
Похоже для Skype нужно хорошо прописанное оттестированное правило с ограничениями,видимо даже на некоторые адреса.

Karlsberg
Понравилась твоя статья "Настройка персональных файерволов (firewall rules)".
Если есть такая возможность,помоги с настройками нового файрволла Jetico.
Там просто еще возникает целый ряд правил (winlogon,system,userinit, services,explorer, svchost(3),...... ).Можно просто выложить образцовый файлик настроек Optimal.bcf .

gavana
Я только-только заново поставил всю систему, так что поиграться Jetico не доведется еще по крайней мере месяц. Давай так, ты задавай вопросы, а мы тут постараемся ответить, если это конечно относится к сетям. Похоже, они там добавили прибамбасы для чисто внутреннего секьюрити, так как winlogon и userinit с эксплорером ну масимум нужно не выпускать в интернет.

Ваши правила вместо правил которые создает outpost автоматически. Хозяева outpostoв кинте на мыло правила плз. JohnDow33[at]rambler.ru [at]=ссобака спасибо.

надо уточнить, что Time Sync выполняется приложением svchost.exe

у меня стоит аутпост.
находит svchost.exe и создаёт для него правило шаблонное.
но позже, когда я выхожу в инет, запускаю проверку почты svchost.exe запрашивает входящее соединение каждый раз по новому порту, ip вроде не знакомый (хотя с dns не сверял..), если разрешить - почта проверяется, если запретить - ничего не сосёт..
аналогично и для браузера..
что это такое?

Добавлено
а! разобрался, запрашивалось входящее по UDP с адреса 194.67.1.150 и 194.67.1.114.
whois сказал, что этот диапазон - 194.0.0.0 - 194.255.255.255 принадлежит RIPE/SOVAM/TELEROSS что-то такое...
ну а я через ROL погружаюсь в www, так что разрешил входящие с двух этих адресов.. правильно ли я поступил?

leputain
Цитата:

а! разобрался, запрашивалось входящее по UDP с адреса 194.67.1.150 и 194.67.1.114.
whois сказал, что этот диапазон - 194.0.0.0 - 194.255.255.255 принадлежит RIPE/SOVAM/TELEROSS что-то такое...
ну а я через ROL погружаюсь в www, так что разрешил входящие с двух этих адресов.. правильно ли я поступил?

Попробуй написать в службу поддержки ROL они точно ответят.
Скорее всего это доменный сервер (DNS).
Если у тебя OutPost посмотри в журнал - должна быть фраза в разделе разрешенных
DNS resolving - это доменный IP.
Я на MTU и мой домен тоже не на MTU а на другом IP. У тебя скорее всего так же...
ALL
Может кто знает...
У меня постоянно кто то хочет выйти ICMP на IP 211.185.33.252 (от имени system).
Whois говорит что это Кореец. Вопрос - кто знает что это за IP и что с ним делать???
Благодарю!!!(У меня этот IP заблокирован)

leputain
DNS запрос шлется обычно по UDP с локальных портов 1024...5000 на 53-й порт DNS-сервера. Ответ от него приходит на порт с которого было послан запрос.
Имхо, нужно проверить две вещи - что запросы уходят действительно на 53-й порт и с помощью ipconfig /all посмотреть какие DNS сервера сконфигурированы сейчас. Скорее всего, эти два адреса ты и увидишь.

Добавлено
Velimir
А какой именно ICMP?

Цитата:

Попробуй написать в службу поддержки ROL

да ну с ними связываться.. посто лень..


Цитата:

DNS запрос шлется обычно по UDP с локальных портов 1024...5000 на 53-й порт DNS-сервера. Ответ от него приходит на порт с которого было послан запрос.

именно в диапазоне 1024-... и возвращается, только почему раньше ничего подобного не выскакивало..? на версии 2 аутпоста (до перехода на 2.1) ничего такого не наблюдал..


Цитата:

ipconfig /all посмотреть какие DNS

именно они и есть.

leputain

Цитата:

почему раньше ничего подобного не выскакивало..?

Это скорее разработчикам Аутпоста вопрос
Для своих DNS серваков можно прописать постоянное правило, чтобы файер лишний раз не отвлекал (см. шапочку)

Karlsberg

Цитата:

А какой именно ICMP?

А хрен его знает? Процесс от имени system.
Как его ещё обозначить я пока не знаю. Я не большой спец по протоколам.
Поэтому и дал IP может у кого подобное наблюдается.
Просто эхо-запрос причем постоянный (у меня много прог стоит в запрещенных)
Могу в ПМ выслать только их переписать надо (или снимок экрана сделать)
Возможно это тоже чейто DNS или вспомогательный сервер того же дяди Нортона.

Velimir

Цитата:

эхо-запрос

Вот это я и имел в виду. Короче, это простой ping. Из самых интересных, бывают echo request, echo reply, destination unreacheble, ну и так далее.
IP 211.185.33.252 принадлежит Seoul Daegil Elementary School. Ты случайно не пользовался левыми корейскими крякалками?
Теперь как искать. В Аутпосте (я так понял у тебя он) нужно найти процесс который это дело пытается послать. Потом ищем этот процесс в TaskInfo, например, и смотрим кто такой и почему вообще запущен. Дальше в зависимости от того, что найдешь.

Цитата:

Просто эхо-запрос причем постоянный

- Если поможет, вот список номеров ICMP пакетов:
0 Ping reply
1
2
3 Destination Unreacheable
4 Packet lost
5 Shorter Route
6 Alternate HOst Address
7
8 Ping request
9 Router advertisment
10 Router Solicitation
11 Time Exceeded
12 Parameter Problem
13 Timestamp Request
14 Timestamp Reply
15 Information Request
16 Information Reply
17 Address Mask Request
18 Address Mask Reply
19 Reserved (for security)
20-29 - пустые. Или у меня нет инфы о них.
30 Traceroute
31 Datagram Conversion Error
32 Mobile Host Redirect
33 IPv6 Where-Are-You
34 IPv6 I-Am-Here
35 Mobile Registration Request
36 Mobile Registration Reply
37 Domain Name Request
38 Domain Name Reply
39 SKIP
40 Photuris