» Настройка персональных файерволов (firewall rules)

Цитата:

но если будет уходить что-то большее чем пароли, ДНС трафик должен ощутимо вырасти.

- Это верно. И если ты смотришь иногда в лог реального времени, то может насторожить обилие пакетов на днс. А может и не насторожить. Обычно вижу 2 пакета при начале работы или входе на новый серв (один туда, другой - обратно). В остальное время их нет. Если начали окромя этого появляться - можно заинтересоваться.

Looking

Цитата:

Решение: Установите следующие значения в файле конфигурации outpost.ini:
HideIcmpActivity=yes
HideIpActivity=yes

- Если в журнале не отображать активность по ИПу и ICMP, то как в реальном времени следить за этим траффиком? Или полагаться целиком на автомат?

bredonosec,Karlsberg,All

Цитата:

Цитата:
но если будет уходить что-то большее чем пароли, ДНС трафик должен ощутимо вырасти.
- Это верно. И если ты смотришь иногда в лог реального времени, то может насторожить обилие пакетов на днс. А может и не насторожить. Обычно вижу 2 пакета при начале работы или входе на новый серв (один туда, другой - обратно). В остальное время их нет. Если начали окромя этого появляться - можно заинтересоваться.

Я знаю IP своих DNS - можно попробовать настроить на них монитор какой нибудь.
Предлагается всем кому интересно это так и сделать. Трафик через них совсем махонький, так что отличить резкое его увеличение, или количество запросов наверно не сложно. Ежели чего выйдет сразу пишите в топик не затягивайте.

Классный топ...
Вот вопросец - вижу динамический диапазон стоит 1024..5000 в большинстве случаев вместо 1024-65535 - это точно, что эти службы используют именно до 5000 или это только в теории!?

greenfox

Цитата:

это точно, что эти службы используют именно до 5000 или это только в теории!?

Все параметры вытащены из соответствующих мануалов и то чем пользуюсь, конфигурил именно так, проблем с сетью не замечено. Кроме того, прямо под шапочкой есть место в реестре, где это дело меняется (чиста если вдруг пропустил )

Karlsberg

Цитата:

соответствующих мануалов

те типа так в мануале и написано, что именно до 5000 и не шагу выше!?
ps мануал перечитаю, может просто запамятовал я...

greenfox

Цитата:

что именно до 5000 и не шагу выше!?

Типа того... Кое-где было 4999. А в каком сервисе проблема, если она есть?

Karlsberg

Цитата:

А в каком сервисе проблема, если она есть?

да нет проблем... просто я после прочтения этих мануалов (наверно невнимательно читал ) для служб требующих динамического адресса в файере открывал все порты выше 1023... а тут оказ-ся и до 5000 хватает...

greenfox
До 5000 хватает. Но есть и специфические ОС/программы/требования.
Они, кстати, могут использовать и 1024-65534 независимо от указанных в шапке настроек реестра. Тут только RTFM спасает

Насчет использования DNS для левого траффика - в сети появилась Power Point от самого автора, можно легко найти в Гугле по "ssh over dns".
В общем, в DNS-запросах должны появляться всякие странные записи типа 00000001.doxpara.com или <timestamp>.server.com. Понятное дело, что в конкретной реализации это может быть все что угодно, но принцип обращения к доменам больше второго уровня должен остаться. Как и адреса серверов которые вы сами не запрашивали.

У кого есть идеи, как это можно фильтровать файером?

Karlsberg

Цитата:

Насчет использования DNS для левого траффика

Цитата:

У кого есть идеи, как это можно фильтровать файером?

С момента появления инфо про левый DNS-траффик начал пристально наблюдать за поведением своего файера по части DNS. У меня настроенно стандартное правило :
send receive datagrams_port53_moy server.
Так вот,действительно в последнее время файер выявлял не типовые запросы-
то на moy DNS server уже svchost.exe запрашивал outbound connection (вместо только send receive datagrams),то уже даже и мой браузер просился на moy DNS server .
Естественно все попытки одним движением навечно заблокировал.
А фаейр у меня Jetico,который еще много интересного и уникального умеет дополнительно.

gavana

Цитата:

svchost.exe запрашивал outbound connection

Насколько я понимаю, файер имеет в виду запрос TCP соединения, который может использоваться для длинных запросов, который не влазят в стандартный UDP-шный пакет. Интересно посмотреть внутрь, куда это он там хотел попасть.


Цитата:

браузер просился на moy DNS server

Может быть он сам по себе пытается адреса резолвить?

Karlsberg

Цитата:

Цитата:svchost.exe запрашивал outbound connection

Насколько я понимаю, файер имеет в виду запрос TCP соединения, который может использоваться для длинных запросов, который не влазят в стандартный UDP-шный пакет. Интересно посмотреть внутрь, куда это он там хотел попасть.


Цитата:браузер просился на moy DNS server

Может быть он сам по себе пытается адреса резолвить?

Теоретически как бы твоя правда,НО......
Во-первых,идея создания и трактовки правил в Jetico несколько отличается от стандартных.
Во-вторых,в последних версиях разработчиками очень сильно доработан вопрос безопастности DNS и др. запросов.соответстенно ЛЮБЫЕ доп.запросы трактуются как левые.
В-третьих,данный файер делает много упреждающих действий еще до выхода любого
приложения в сеть.(и в этом его неповторимость)
Попробуйте чего-нибудь утянуть любым способом с машины,на которой установлен настроенный Jetico.

Протестил KPF 4.0.16, казались открытыми порты 135 и 5000. Залез в настройки, закрыл оба наглухо - броузер перестал коннектиться с интернетом. Как бы из так закрыть, чтобы еще и жить можно было?

WinXP SP1

Настройки Керио по умолчанию + правила на стандартные программы, которые стоят в компе.

Заранее благодарен

gavana

Цитата:

Попробуйте чего-нибудь утянуть любым способом с машины,на которой установлен настроенный Jetico.

Ну если у твоей почтовой програмки есть API, то наверное все могут

VladPa

Цитата:

закрыл оба наглухо - броузер перестал коннектиться с интернетом.

Как именно закрыл, в какой таблице?

Подмогните новичку. Имею выход в инет через районную локальную сеть. Хочу закрыться от соседей по сети, которая мне совсем не нужна. Отключил все сетевые службы макрософт. Нетбиос через TCP/IP отключил. Поставил KPF 4. Просканировался тут http://www.pcflank.com/scanner1.htm. Порт 139 открыт. В файере на 139 порт поставил Application - any Local -139 remote -any direction -both. Еще раз сканируюсь -139 открыт. Где что не так делаю?? И попутно вопрос. 135 открытый порт есть смысл закрыть?? Пользую в основном Opera IRC ICQ Бат.

Urk
Измени правило - Local = 139, Remote = all. Главное, чтобы был закрыт локальный порт, а заходить на него могут пытаться с любого другого порта. 135 тоже закрой.

Urk

Цитата:

Пользую в основном Opera IRC ICQ Бат.

так можно и все порты служебные (<1000) закрыть на входящих....

Urk
А зачем тебе 139 порт? Если тебе сеть нужна только для интернета - ну его нафиг.
В интернет ты ходишь через шлюз/прокси провайдера. Туда и давай доступ. А остальных отрезай на корню.

Karlsberg

Цитата:

Измени правило - Local = 139, Remote = all

Так у меня так и стоит. На 135 поставил аналогично Local -135 remote -all direction -both. Сканируюсь - оба открыты. Или руки кривые или файер.

Urk

Цитата:

Сканируюсь - оба открыты. Или руки кривые или файер.

а ты сканишь то снаружи или изнутри сети свой шлюз!? И правило это стоит на первом месте в списке!?

Urk

Цитата:

Так у меня так и стоит

Сори, неправильно понял
Файер вроде нормальный. А где ты это правило прописываешь? Внутри Packet Filter? (спросил чисто чтоб небыло недоразумений).
Тогда, думаю, стоит проверить где встречается svchost.exe (который слушает на этих портах), также может надо выкинуть Generic Host Applications из списка в Network Security.
Наверное, надо перебираться в тему про Керио, вроде это только его проблема.

Urk
У тебя интернет через прокси или роутер стоит?
Разница такая: если роутер, то сайт сканирует скорее всего твои порты. Если прокси у прова, то в инете "светится" его IP и сканируются порты сервера провайдера.
Проверь, совпадает ли IP, отражаемый на сайте перед сканом, с твоим (найти можно командой "ipconfig /all")

imho
Кстати, отличный вариант. Районная локалка - значит практически нет шансов что pcflank сканит сам компьютер
Urk
Попробуй посканить сам себя любым сканером безопасности.

Karlsberg

Цитата:

А где ты это правило прописываешь? Внутри Packet Filter?

Да
imho

Цитата:

если роутер, то сайт сканирует скорее всего твои порты. Если прокси у прова, то в инете "светится" его IP и сканируются порты сервера провайдера.
Проверь, совпадает ли IP, отражаемый на сайте перед сканом

Светится IP прокси, мой нет. Прокси в браузере отключал перед сканированием. Выходит я порты своего прова долбил на скане? Как тогда свои проверить??

Urk

Цитата:

Как тогда свои проверить??

Инсталируешь любой сканер безопасности (например xSpider), открываешь ему полный выход в интернет и даешь ему свой IP адрес (который видно в ipconfig).

Urk
Послушай, это уже паранойя. У тебя в локалке что, монстры сетевого фрикинга сидят?
Так... кулхацкеры .

Попробуй сделать как говорит Karlsberg (но я сам не пользовался локальными сканерами безопасности).
Хотя не факт, что поможет.

Попроси лучше кого-нибудь из администрации сети или из знакомых посканировать твой компьютер. (Собственно, это и делает pcflank)
Это верняк. Меня по первости учили свои же из локалки - что и как ставить. А администрация моя не помогла никак - они даже сказали, что используя файервол я лишаюсь их техподдержки по всяким глупостям с сетью... Хотя мер безопасности в сети - никаких (или я их не вижу).

Цитата:

они даже сказали, что используя файервол я лишаюсь их техподдержки по всяким глупостям с сетью...

- Ну, это уже хамство! имхо, разумеется.

imho

Цитата:

лишаюсь их техподдержки по всяким глупостям с сетью

У нас когда звонишь в суппорт просто просят отключить файервол.

bredonosec
Не разводя лишнего флейма, скажу, что подключение к интернету у нас через VPN.
Соответственно, чтобы не вдаваться в лишние подробности по настройке конкретных файров и правил, администрация умыла руки. А могли бы и правило настройки файра написать... Ленивые они у нас... но сеть работает

Karlsberg

Цитата:

Инсталируешь любой сканер безопасности (например xSpider), открываешь ему полный выход в интернет и даешь ему свой IP адрес

Сделал по другому малость. Со старых времен остался модем. Через него и вышел в инет на pcflank. Показал c десяток портов stealthed остальные закрыты. Все ок.
Всем спасибо. Теперь я спокоен.
Сорри что напряг.