» Настройка персональных файерволов (firewall rules)

SympathyПродираем наконец глаза, ещё на той странице было:
Цитата:

...любой открытый (не тобой) порт, уже опасность

Или, тебе тут надо конкретный номер порта подставлять? Хорошо: открытый порт 179-й, если не открыт специально, установленными необходимыми программами, опасен

А это вовсе не пустопорожний намёк, а конкретная рекомендация
Цитата:

...закрывай через firewall

gjf
Воспользовался рекомендованной утилитой Windows Worms Doors Cleaner, перезагрузился. Но один пункт (NetBIOS) никак не хочет устанавливаться:

сколько бы ребутов я не делал.

Dukat
Ну не знаю, что сказать, надо смотреть систему.
Английским владеете? Накатайте письмо на суппорт, их мыло в нижнем левом углу. Просто у меня такой ситуации ни разу не было, причин может множество.
Если хотите сами разобраться - я бы начал с отключения службы TCP/IP NetBIOS (NetBT) и отключения всего с упоминанием NetBIOS в Сетевых соединениях - TCP/IP - Дополнительно - WINS. Потом бы отключил все сетевые соединения, перегрузился и попробовал программку ещё раз.

Если и это не поможет - ну уж не знаю

gjf
Спасибо за ответ, буду пробовать.

А вот еще вопросик.
В настройках фаервола на роутере есть пункт DMZ

Цитата:

DMZ (Demilitarized Zone) is used to allow a single computer on the LAN to be exposed to the Internet.

В английском не шибко силен, но так понимаю, если у меня нет локалки и к Интерент подключен только один комп, эту опцию надо переключить в Enabled, и ввести свой ip (192.168.1.2). Но ст0ит только включить эту DMZ, как KIS начинает регулярно сообщать об атаке на порт 1434 от helkern. Выключаю DMZ - и все спокойно.

Dukat
DMZ - это хост, на который будут переадресованы все пакеты, не попадающие под какое-либо правило виртуального сервера. По сути дела вы перегнали весь траффик на свой компьютер,не ограничивая его правилами роутера. Соответственно, к вам и полезла на порты всякая фигня.

Все в том же фаере роутера есть раздел Service Filtering с таким описанием: The following services can be blocked based on your specific need.
Поставил галку напротив "Ping from External Network"
Но получилось, что я сам теперь могу пинговать только 127.0.0.1.
Можно ли как-то по другому запретить компьютеру отвечать на ping?

Цитата:

Можно ли как-то по другому запретить компьютеру отвечать на ping?

Запретить входящие ICMP Echo Request (type 8).

Господа, подскажите что это. Стоит SEP на сервере и локальных машинах. Сегодня заметил, что одна машина лезет по UDP по всей сети
Вот что пишет в логе SEP сервера:
14.05.2009 14:11    Заблокировано    10    Входящее    UDP    192.168.0.16    00-21-95-06-B2-F3    3544    255.255.255.255    FF-FF-FF-FF-FF-FF    67    C:\WINDOWS\system32\drivers\ipnat.sys    Администратор    DOMEN    По умолчанию    1    14.05.2009 14:11    14.05.2009 14:11    Блокировать IPv6 для IPv4 (Teredo)

Это пишет на моем и остальных компах:
14.05.2009 14:11    Заблокировано    10    Входящее    UDP    192.168.0.16    00-21-95-06-B2-F3    3544    255.255.255.255    FF-FF-FF-FF-FF-FF    67        Petro    DOMEN    По умолчанию    1    14.05.2009 14:11    14.05.2009 14:11    Блокировать IPv6 для IPv4 (Teredo)
На компе 192.168.0.16 который все это и мутит логи чистые, хотя SEP стоитт как и на всех остальных

Люди, подскажите, пожалуйста, как правильно настроить GhostWall?

Скажите за шапкой этой темы ещё кто то смотрит?
ссылки не актуальны
Цитата:

http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/
Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec

---

Нельзя ли добавить инфу для чайников не по теории, а по практике?
Цитата:

Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm

---

Есть ли возможность шапку таблици из "шапки"(извините) сделать динамической как в Exel
Было бы ещё неплохо добавить список команд (cmd) и прог проверки IP адресов/портов для создания правил(к примеру сервера ISQ).

Помойму одно из самых слабых мест Винды это svhost.exe, CTF Loader и т.п. может кто поделиться инфой по созданию правил для этих компонентов ОСи ведь контроль приложений сейчас есть в боьшенстве сетевых экранов?

По Generic Host Process for Win32 Services (SVCHOST.EXE) есть конкретный вопрос:
В KIS определил его в "Слабые ограничения" кое какие правила создал, DNS на 53 порт моего прова разрешил по двум адресам, ещё разрешил (Any outgoing UDP stream 239.255.255.250/1900), но мне переодически сыплються запросы на другие порты и адреса как быть?
CTF Loader как поступить с ним?

sanni00015
Правила для svchost.exe есть в шапке Jetico Personal Firewall. Для CTF Loader пока не встречал (а разве ему вообще нужен выход в сеть?).

Dukat
Спасибо.
CTF Loader к ниму Опера и isq обращаются которые имеют доступ в нет, отсюда вопрос как с ним обходиться?

sanni00015
Погуглил насчет CTF Loader. Эта штука предоставляет сервис альтернативного ввода данных, + языковая панель рядом с треем, вот статья от MS: http://support.microsoft.com/?kbid=282599 (на англ.).

Dukat
Я читал эту статью перед написанием своего поста и для чего служит CTF Loader мне понятно. Интересовался я тем стоит его ограничевать при создании правил в хипсе учитывая, что под него трояны маскеруються?

sanni00015

Цитата:

Интересовался я тем стоит его ограничевать при создании правил

На первое время можно поставить ему "Запрос действия" и посмотреть, какие у этого CTF Loader'а будут желания. Либо запрет с логированием, а потом, при необходимости, что-нибудь ему разрешить на основе журнальных записей.

sanni00015
Если не пользуешься Win обновлениями, то можно разрешить для SVCHOST только из шапки DHCP (UDP 67-68) - 1 в первую очередь, и DNS (UDP 53 и KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535) - во вторую очередь. Если испльзуешь авт. обновления - то добавь TCP порты 80 и 443.

Dukat
KUSA
Спасибо.
Кстати
Цитата:

DHCP (UDP 67-68) - 1 в первую очередь

спрашивал в тех потдержке прова сказали запретить, у меня IP постоянный.
Я пользуюсь KIS 9 там как такового фаера нет там хипс и есть это
оставить или создать руками?

П.С.
не испльзую авт. обновления Win.

sanni00015
В KIS приличный фаер, можно все правила создать необходимые. Как глобальные (пакетные), так и по каждому приложению в отдельности.
Зависит еще от того, какой выбран метод: запретить все "плохое", или разрешить только нужное.

sanni00015

Цитата:

спрашивал в тех потдержке прова сказали запретить, у меня IP постоянный.

Он тоже может назначаться - например по MAC адресу сетевой карты - при назначении ты используешь как раз 67-68 UDP+brodcast

Цитата:

Я пользуюсь KIS 9 там как такового фаера

извини не понял - это как?

Цитата:

не испльзую авт. обновления Win

- тогда оставь для svchost только UDP.

зы
Здесь есть целиком ветка именно по KIS - там у людей на КИС больше готовых ответов

KUSA

Цитата:

Цитата: Я пользуюсь KIS 9 там как такового фаера

извини не понял - это как?

Цитата:

тоесть DNS запросы разрешить только через UDP, а по TCP запретить?

sanni00015, в подавляющем большинстве случаев для DNS достаточно протокола UDP.

Подскажите, какие порты или что еще надо открыть или разрешить, чтобы можно было законектиться Ideal administrator-ом на машину с файрволом? Открыл те, которые написаны на сайте Идеала, но соединение происходит как-то странно - то с первого раза, то с 10-го (выдает ошибку, что нет соединения).
Сам список портов: 135/tcp, 135/udp, 137/tcp, 137/udp, 138/udp, 139/tcp, 445/tcp, 445/udp, 5900/tcp.
Помогите, очень нужно.

Нужен ЛикБез, подскажите алгоритм изучения основ/азов для настройки фаера, копаюсь во всём этом, а разобраться не могу нахватался по верхам и ещё больше себя запутал, с чего начать куда двигаться, какие правила, куда ставить... Я ноль в компьютерной грамотности, ПК имею давно, но толком в нём никогда не разбирался, очень хочу въехать в придмет обсуждения (сетевую безопасность для дома), но плаваю в теме и не могу ухватиться.
Мозг уже кипит, а руки опускаються...

sanni00015
поискать Руководство по созданию безопасной конфигурации Agnitum Outpost firewall и читать до просветления.

Verwolk
Спасибо!
Сам об этом подумывал, но самневался в совместимости руководства Outpost для PC Tools Firewall Plus.
пошёл за руководством.

Цитата:

Сам об этом подумывал, но самневался в совместимости руководства Outpost для PC Tools Firewall Plus

почему?
протоколы одни, порты одни..
принципы одни..

курил Руководство по созданию безопасной конфигурации и эту тему + иногда гугл, дня за 2-3 получил то, что хотел...

Помогите создать правила для Skype.

Только что поставил его,а он щемится на кучу портов по TCP и UDP..

Chauvinist
1. Skype_TCP_Out - All Hosts - TCP - Outgoing - Remote ports 80, 443, 1024-65535 - Skype.exe
2. Skype_TCP_In - All Hosts - TCP - Incoming - Local ports (номер порта из настроек соединения в скайпе)- Skype.exe
3. Skype_UDP_Out/In - All Hosts - UDP - Both - Remote ports 1024-65535 - Local ports 1024-65535 - Skype.exe

https://support.skype.com/faq/FA148/I-can-t-connect-to-Skype-from-work-or-due-to-a-restrictive-firewall-Which-ports-need-to-be-opened-in-order-to-use-Skype

Chauvinist

Цитата:

Только что поставил его,а он щемится на кучу портов по TCP и UDP

За счёт такой диверсификации Skype и работает надёжно

Chauvinist
Там на их сайте было подробно написано, в принципе всё лишнее советую запретить -- у меня так же надёжно работало при этом (сейчас я этой программой почти не пользуюсь -- уж очень она хамски себя ведёт, например, просто так из автозагрузки её не убрать). Запрещать нужно из соображений безопасности и трафика: в противном случае, если у тебя хороший канал, через тебя будут прогонять чужой трафик