» Настройка персональных файерволов (firewall rules)

Velimir

Цитата:

TheBat!

А он требует loopback на какой-то фиксированный порт который не конфигурится в настройках?

Panamaaa
большое спасибо

Добавлено
может и это правило закинем в шапку? для информативности

AntiBIOtic
пажалста.
Цитата:

может и это правило закинем в шапку?

Странно, что это правило ещё не в шапке.

Panamaaa
Давайте доведем дело до конца - выложите проверенные правила для 2-х протоколов передачи файлов, а потом все вместе - в шапочку. Статус позволяет.

Цитата:

Странно, что это правило ещё не в шапке.

Сам удивляюсь, оказывается есть люди которые им не пользуются

Karlsberg



Цитата:

Сейчас нету стандарта на такие вещи, и каждый файервол делает это по-своему

Я понимаю что у всех по разному .У отпуста можно только блокировать выход всеть приложения в котором появляеться новый компонент,ну или проследовав по пути снести с компа нафиг ту DLL которая клеиться, но не каких вариантов нет больше.И тут же у NIS например есть вариант "выйти в сеть приложению без данной DLL ,а потом найдя ее прописать ей правила как для приложения (на запрет выхода в сеть ,и она больше не попроситься!!! )
А вопрос то вот в чом,я хочу узнать как всетаки в других фаерах реализованы возможности запрета конкретным DLL или отсутствие таковых как в отпусте !!!
Ребята вы все на разных фаерах сидите как у вас эти траблы решаються???
Ну я же ранее вопрос нармально задал,или мне его полностью перефразировать надо ???


speakerr



Цитата:

лично мне больше ничего и не нужно. порядок же во внутреннем хозяйстве контролируется DrWeb`ом. периодически, но всем новым. а все рассуждения про "контроль приложений" на СЕЙЧАС воспринимаю как временно несерьезные попытки двигаться в этом направлении, приводящие к появлению глючных, ресурсоемких и неудобоворимых для юзверя приложений

Я тоже пользуюсь антивирем Веба и постоянно обновляю его базы !Про несерьезные попытки скажу что соблюдая все правила в шапке ,и всю политику настройки можно запросто лишиться конфидициальной инфы из за трояна подделаного как BHO модуль для IE.Так что зря считаеш что я двигаюсь не в серьезном направлении

ALL
Уточняю про нет биос
У мя в фаере есть два варианта правил для сети :
Разрешить NetBios
Запретить NetBios
Эти правела для сети имеют найвысший приоритет.
То есть если я разрешил нет биос в правилах для сети. А потом в системных прописал
137 138 139 445 TCP Входящее запретить ,то все равно все нет биос соединения проходят а в режиме отображения сетевой активности я вижу, что по этим портам идут соединения на основании "разрешить трафик нет биос"
Если запретить нет биос ,то есть в правилах для сети снять галочку и прописать такое правило в системных:
137 138 139 445 TCP исходящее разрешить и кликнуть че нить по адресу
\\123.123.123.123 или просто стартонуть какой нить нетбиоссканер то все глухо и в активности все это глушеться на основании "запретить трафик нет биос !!!
Пробовал по разному,но понял что эти два правила действуют тотально!!!
И опять же ответили мне на вопрос и я подумал что не правильно его сфразировал

цитирую свой вопрос



Цитата:

И еще вопросик у ваших фаеров у всех есть запрет и разрешение NetBios как тотальное правило ,то есть пользуем или нет ??Или есть у кого возможности системными правила прописать?(к примеру я всех по нет биос вижу а все меня нет )

То есть да или нет нет диосу и ко мне и от меня ,или у некоторых есть варианты с настройкой в конкретную сторону(типа я всех юзаю а мя нет )
Я понимаю что я могу неразшаривать свое и все это не увидят но я хочу чтобы я по уязвимому протоколу NetBios ваще не был доступен а чужия шары юзал

Цитата:

есть запрет и разрешение NetBios как тотальное правило

- Конкретно на моей стенке нет контроля приложений и соответственно, нет возможности разрешать ту или иную активность избирательно некоторым приложениям.
Запрет я поставил тотальный. Бо сеть последнее время не сканю и отдельный выход мне не нужен. Но изменить или добавить правило, чтоб не пускало только in или out - могу. Хотя не совсем понимаю смысл этого действия.

Цитата:

но я хочу чтобы я по уязвимому протоколу NetBios ваще не был доступен а чужия шары юзал

- Насколько понимаю, для этого нужна двусторонняя связь. То есть, если можешь залезть на чужую шару, нетбиос у тебя включен. Когда-то пробовал и пришел именно к такому выводу. Потому и запретил.
Если увижу действующие правила, которые обеспечивают такое - готов пересмотреть своё мнение. ))


Цитата:

Сам удивляюсь, оказывается есть люди которые им не пользуются

- Есть. )) Потому как любители поиграться с mIRC юзерами под боком есть. (

ULTRASPEED

Цитата:

как всетаки в других фаерах реализованы возможности запрета конкретным DLL

Kerio 2.1.5 хранит MD5 приложения, предлагает обновить когда что-то изменилось, но я не знаю что он делает с другими dll. Скорее всего, ничего, потому что я помню как Сигейт бился в истерике после каждой новой загруженной dll-и.

Цитата:

у NIS например есть вариант "выйти в сеть приложению без данной DLL

Я пытался найти описание этой фичи у них в документации, но не нашел. Ты сам ее там видел или это по рассказам других? Не очень хочется ставить NIS и потом обнаружить, что ее нет.

Цитата:

Пробовал по разному,но понял что эти два правила действуют тотально!!!
И опять же ответили мне на вопрос и я подумал что не правильно его сфразировал

Дело в том что твой вопрос относится только к Оутпосту, так как у всех "глобальность" и разделение правил на группы реализованы по-разному. У одних есть только одна группа, и правила действуют по-порядку, и других есть несколько групп, одеа "сильнее" другой, а внутри группы правила равнозначны. Если твоя цель - видеть чужие шары и не показывать свои, закрой входящие и разреши исходящие. Если я что-то не понял - звиняйте, не специально.

Добавлено
bredonosec

Цитата:

- Есть. )) Потому как любители поиграться с mIRC юзерами под боком есть. (

Да я и сам им не пользуюсь. Мысль была - нефиг удивляться, что чего-то не хватает, знаешь - делись.

Так, а по iptables тут специалисты есть?

Karlsberg

Цитата:

TheBat!
А он требует loopback на какой-то фиксированный порт который не конфигурится в настройках?

- протокол направление и порт -,
Правило для TheBat (разрешить данные)
TCP
OUT/INC
127.0.0.0
А для всех остальных (по крайней мере у меня) блокировать данные
TCP
OUT/INC
127.0.0.0(255.255.255.0).
И пока вроде все работает.........

Karlsberg
то есть:
Основной шлюз : 212.12.5.20 ==DHCP
DNS-серверы . : 212.12.0.2 ==DNS
212.12.0.3 ==DNS
конфигурировать по ним. А что запретить для svchost.exe
Зачем optpost.exe ломится на 207.44.236.84 по 80 порту с локальных портов 1259,1223, 1204, 1304, 1238, 1322?

DOE_JOHN
Ребята, я не волшебник
207.44.236.84 = agnitum.com, навеняка проверяет апдейты или лицензию. В теме про оутпост наверняка знают, зачем он может ломиться на свой собственный хомяк.

Цитата:

А что запретить для svchost.exe

К сожалению, я не очень знаком с оутпостовским способом задавания правил, но если он их применяет по порядку до первого "сработавшего" то вначале можно разрешить сервер DHCP и два сервера DNS, а в конце запретить все.

Цитата:

В теме про оутпост наверняка знают, зачем он может ломиться на свой собственный хомяк.

- Действительно, читал что-то подобное в той теме с полгода назад. Единственное, что запомнил - предположение, что запрет ставить 2 стены связан именно с нежеланием светить сию активность.. А если серьезнее - гляньте тему по посту.

Про превентивный запрет на автообновление (или прощай "левая" регистрация) там тож написано.


Добавлено

Цитата:

с локальных портов 1259,1223, 1204, 1304, 1238, 1322?

- млин.. ну это же просто случайные номера из диапазона 1024-5000, выделенного для веб-серфинга и прочей сетевой активности по дефолту..

DOE_JOHN

bredonosec

Хочу заступиться за аутпост
Прошу прощения но прежде чем выдвигать довольно таки серьезные обвинения в адрес аутпоста, проверьте пожалуйста еще раз что в аутпосте
отключены
1) Automatic Check for Update
2) News download
3) Plugins information download.
Это все в Tools

Потому что до сих пор все сообщения про то что аутпост ломится на свой сайт без разрешения, оказались в конце концов неподтвержденными.
Один из моих компов с аутпостом сидит еще и за корпоративной стеной на которой друг сисоп мониторил все мои соединения. Так вот я специально проверял и сообщаю следующий факт
за 9 месяцев аутпост ни разу никуда сам по себе не ходил. Кроме PC Flank WhoEasy plugin, для выхода которого в сеть у меня стоит правило для Outpost (Allow remote Port Whois) в самом аутпосте.

Spectr

Цитата:

прежде чем выдвигать довольно таки серьезные обвинения

- Вообще-то я не обвинял, только упомянул, что читал о таком предположении и предложил посмотреть первоисточник для более точной инфы.

Цитата:

до сих пор все сообщения про то что аутпост ломится на свой сайт без разрешения, оказались в конце концов неподтвержденными

- Чтож, прекрасно!
Спасибо за инфу про
Цитата:

2) News download
3) Plugins information download

- буду знать. (когда юзал - только автоапдейт был актуален)

всем re

хотел поинтересоваться есть ли особые настройки ICMP для аутпоста?

Звиняйте поднял шумиху. Действительно было включено грузить новости и информацию о модулях. Но все равно пусть outpost посидит в запрещенных приложениях.

Подскажите пожалуйста! Какое нужно создать правило для svchost.exe? А то автоматом выставить неохота. Спасибо!

Gals2000

Цитата:

правило для svchost.exe

svchost.exe поднимает системные процессы, и правила зависят от того в какой конфигурации ты работаешь - статический/динамический IP и т.д. В общем, командой ipconfig /all можно посмотреть есть ли сервера DNS и DHCP и создать для них правила (см. шапочку).

Gals2000

Посмотри рекомендации на
http://www.outpostfirewall.com/forum/showthread.php?t=9858
там не только для svchost но для всего остального

Подскажите plz. проверил свой Sygate на пробиваемость данных портов на сайте www.pcflank.com и получил следующие результаты:
Port: Status Service Description
137-138 stealthed n/a n/a
135 closed n/a n/a
139 closed n/a n/a
445 closed n/a n/a
Есть над чем беспокоиться или нет? А то www.pcflank.com рекомендует Agnitum Outpost, хотя настройки делал по faq. Установил на другую машину Agnitum Outpost настроил и таже картина! Да и там и там incoming TCP_UDP ports 135-139,445 - block!

Gals2000
Всё ровно друг.

Хотелось бы увидить комментарии знающих людей чем может грозить обычному пользователю сиЁ:

Цитата:

Камински представил утилиту DomainCasting, которая позволяет отражать поток данных от серверов DNS

весь текст здесь


Добавлено
коментарии по проблеме и соотвесно по настройке файров.

dadu - Если правильно понял из статьи, это относится к методам атак на ДНС сервы. То есть, уж никак не на персоналки.

Цитата:

Используя тысячи серверов DNS, вы можете пропускать множество анонимных данных через брандмауэры. Каминский также упомянул технологию Voice over DNS, которая позволяет использовать серверы DNS для передачи голосовых разговоров. Мы не будем особо вдаваться в детали, поскольку вы можете сами посетить сайт LayerOne и скачать комментарии к сессии.

Во вторник, 16 июня, через два дня после сеанса, на DNS-серверы Akamai DNS была проведена крупная атака. Некоторые популярные сайты типа Yahoo, Google и Microsoft были несколько часов вне досягаемости. Хотя это, возможно, просто совпадение, но оно заставляет задуматься.

С этой точки зрения,
Цитата:

обычному пользователю сиЁ

никак не грозит.
Но с другой стороны, фраза
Цитата:

В этом году Камински представил утилиту DomainCasting, которая позволяет отражать поток данных от серверов DNS.

звучит как какой-то вид УДП спуфинга, результатом которого стало бы неправильное нахождение ДНС сервом ИПа сайта по имени, запрошенном юзером.. То есть, опять же, влияние на серв, а не пользователя (тем более, что этот вариант мне кажется слишком маловероятным)

bredonosec
dadu
Насколько я понял, описан способ абсолютно беспрепятственной передачи данных через ДНС, причем в обе стороны. Попозже загляну в RFC, но выглядит как ДНС-запрос, дополнительно несущий сворованные у юзера данные. Свой родной ДНС сервер не знает запрошенный домен и посылает запрос дальше, пока он не доходит до "подставного" ДНС сервера который эти данные вытаскивает. Подставной ДНС сервер (тут я предполагаю - точно не знаю) наверняка можно запустить если хакнуть другой сервер, поэтому и были проведены атаки через 2 дня после конференции.
Не судите строго - написал что понял

Подтверждается худший вариант... Попробуйте поискать в гугле "SSH over DNS". Приватная инфа может уходить теперь не только через Веб-контент.

Если интересно, залил сверстанный в ворд (для распечатки) обзор по аутпосту с ixbt.ru
Agnitum Outpost Firewall Pro 2.zip 8страниц, 2,3метра

Кому нужен список стандартно используемых портов - RFC1700 (например _http://www.faqs.org/rfcs/rfc1700.html)

Karlsberg

Цитата:

bredonosec
dadu
Насколько я понял, описан способ абсолютно беспрепятственной передачи данных через ДНС, причем в обе стороны. Попозже загляну в RFC, но выглядит как ДНС-запрос, дополнительно несущий сворованные у юзера данные. Свой родной ДНС сервер не знает запрошенный домен и посылает запрос дальше, пока он не доходит до "подставного" ДНС сервера который эти данные вытаскивает. Подставной ДНС сервер (тут я предполагаю - точно не знаю) наверняка можно запустить если хакнуть другой сервер, поэтому и были проведены атаки через 2 дня после конференции.
Не судите строго - написал что понял

Теперь наверное я ни чего не понял.
Вопрос Кто нибудь исследовал логи файрволов по этому поводу.
Я например знаю IP своих DNS серверов. А как они будут выглядеть если пройдет
запрос отподмененных DNS - будет ли IP другим или изменится кол-во байт
в запросе .......Вобщем как это можно будет определить в логах.
(Получается нечто наподобии тунелинга через DNS что ли, или что-то не так)
Давайте этот вопрос не отпускать на самотек........

Agnitum Outpost Firewall 2.1

Удаленный пользователь может послать серию небольших TCP пакетов с установленными URG, PSH, SYN, и FIN флажками и со случайным IP адресом источника со скоростью более 90 kbps, чтобы аварийно завершить работу программы.

Решение: Установите следующие значения в файле конфигурации outpost.ini:
HideIcmpActivity=yes
HideIpActivity=yes

http://www.cyberinfo.ru/read.php?sname=yiz&articlealias=angnitiumoutpost

Looking, уважаемый, это относится исключительно к Оутпосту, а посему просто обязано быть в его родном топике

Velimir
Тут такое дело... Исследовать логи не довелось, и сам предмет изучал исключительно по десятку статей в интернете. Пока что пришел к выводу, что

Цитата:

Получается нечто наподобии тунелинга через DNS

- лучше не скажешь.
Если я понимаю правильно, сами ДНС запросы не отличаются сильно от обычных, и тоже направлены на твой ДНС сервер. Это он сам их потом доставит куда надо. Количество байт одного запроса контролировать невозможно, но если будет уходить что-то большее чем пароли, ДНС трафик должен ощутимо вырасти.