Karlsberg Цитата: Я не вижу причин давать больший диапазон портов, чем определено протоколом производителя, зато вижу кучу причин этого не делать
Есть смысл в твоих соображениях,но я исхожу из того ,что разрешение исходящих с 1024 по 5000 не дает больше безопасности чем разрешение с 1024 по 65535 ,так как даже в минимальноми диапазоне итак слишком много портов для выхода.Хотя всегда из больших бед выберают меньшее -это не оспорить!!! Но ведь мы даем диапозон портов на исходящее для определенного приложения "типа радмин" и на какой нить троянец они не действуют.А при выходе в сеть троянца,нас попросят дать ему особые разрешения.
Вобщем затея с исходящими-это уже из области занудства или паранои.В отпусте ваще почемуто при предложении создать правило, в режиме обучения, не показуеться локальный порт в всплывшем окне создания правил.Хотя конечно же для таблицы которую вы все вместе создаете не лишним будет инфа о локальных портах,более того отличная затея с данной табличкой !!!
Цитата: Открытый порт - это открытый доступ к стеку протоколов, позволяет делать много разных гадостей
А проь это я не знал! Можеш в кратце пояснить какие угрозы например предоставляет 21 TCP порт открытый на входящее ,если не считать атаку на уровне приложений(типа эксплоита на сер вью и т д )
helix Тут ты чето попутал,там написано следущее в варианте с запретом :
"Запретить любую сетевую активность для данного приложения"
и после нажатия этого, приложение полностью режиться от сети ,на основании правила "запрещено контролем компонентов"таковое ты потом увидеш в окне "сетевая активность"когда IE не выйдет в сеть.
Вчитайся внимательно и вникни в смысл варианта с запретом !!!
Spectr Да я читал про это в Апгрейт спэшл номер помоему 2.
То есть там предлагают установить чистую систему и запускать все по очереди чтобы сразу зарегились все компоненты,так как в чистой токо поставленной форточке нет троянов,откуда им взяться с дистрибутива что ли ???
Но это все для NIS писали и парвильно ведь потом через три недели обнаружив новую DLL мы четко запрещаем ей выйти в сеть с данным приложением,так как знаем что все DLL необходимые для его нормальной функциональности давно с ним устаканены.
Цитата: Но уж если теперь после 3 месяцев работы контроль компонентов требует моего внимания то внимательно смотрю что же именно изменилось. Такое случается раз в 2-3 недели и связанно как правило с обновлениями системы или установкой новых программ.
А как ты определяеш зачем данная DLL ??
Так вот я почему и забил тревогу.Ведь отпуст определив новый компонент не дает нам особого выбора.Обновить не вариант.Остаеться пройти по пути в корневую и удалить ее,а корневая SYSTEM 32 например,че за DLL я не знаю.Короче реальных вариантов нет !!!
Радмин ,умно замаскированый под сетевого дурака ,не одним антивирем не распознать !!!
Цитата: В первое время, пока все данные о компонентах "устаканиваются" внутри файервола, совершенно случайно можно разрешить выход проге, зараженной в первый-второй-и и.д. день. Такие вещи лучше делать до реального подключения в интернет или использовать что-то подобное Adinf.
Про то как устаканить все DLL гарантировано без троянов,на несколько строк выше написано.А что такое Adinf ???
И где вы берете статистику исходящих по локальным портам для разных приложений- логи чтоли просматриваете, где в вильтре исходящее для того то или того то ,ведь помоему производители не сообщают что они в код программфы заложили ???
