» Настройка персональных файерволов (firewall rules)

эх, хорошо быть member'ом...
а вот я - junior - не могу редактировать шапку

мы забыли главное правило в конце BLOCK/DROP ALL!

Block any other connection

TCP,UDP

any

any

any

все остальные пусть не лазят в сеть

ICMP block

Spectr
Цитата:

Раз в таблице есть ntoskrnl .exe то может стоит поместить и правила для
svchost

- С радостью. Только сформулируйте их достаточно четко, чтоб можно было запихнуть в тэйбл ))
ladutsko
Цитата:

может быть легко изменено в реестре

- В любой вЫни? или только НТ/2к/..?

bredonosec

Цитата:

В любой вЫни? или только НТ/2к/..?

с NT 3.51 Service Pack 5
_http://www.microsoft.com/resources/documentation/windowsnt/4/server/reskit/en-us/net/sur_tcp2.mspx

Цитата:

с NT 3.51 Service Pack 5

- понял, исправил.

bredonosec
а почему вместо 1024-5000 нельзя писать any?

ladutsko
Потому что в any входит и системный диапазон, в котором программе делать нечего, и если она туда пытаеться залезть, это должно быть знаком что что-то не в порядке, может вирус, троянец, или просто шпион....

Изменены правила для Емула. Замечания?
Ну раз нет, тогда спокойной.

bredonosec

Цитата:

Цитата:Раз в таблице есть ntoskrnl .exe то может стоит поместить и правила для
svchost
- С радостью. Только сформулируйте их достаточно четко, чтоб можно было запихнуть в тэйбл ))

Вот правила для Svchost.exe

TCP; Allow; Outgoing; Remote 53 , 80, 443, 389;
UDP; Allow; Local: 68; Remote: 67 ;
UDP; Allow; Local: any; Remote: 53, 123;

Далее в оутпосте настоятельно рекомендуется прописать явно
UDP; Block; Incoming Local:all;
UDP; Block; Ougoing Remote: all
TCP; Block; Incoming; Local: all;
TCP; Block; Ougoing; Remote: all
Это заблокрует всплывание многочисленных окошек для неуказанных сервисов.
Как в остальных фаейволах я не знаю.

НО на ноутбуке я предпочитаю прописывать несколько отдельных правил для каждой службы (DNS, DHCP, SSDP,UPnP, RPC, LDAP, Time synch). Тогда при переходе из среды в среду легко включать или выключать блокировку небходимых служб (например RemoteDesktop или DHCP)

Spectr
Давай немножко поподробнее...

Цитата:

TCP; Allow; Outgoing; Remote 53 , 80, 443, 389

53-й - это DNS для длинных запросов... А зачем его на остальные порты выпускать?

Цитата:

UDP; Allow; Local: 68; Remote: 67

Это DHCP, я считаю что он просто обязан быть выпущен только на свой DHCP сервер

Цитата:

UDP; Allow; Local: any; Remote: 53, 123

53 - обычный DNS, с ним понятно. А кто живет на 123-м порту? any тоже под вопросом, RFC локальный порт ограничен с 1024 до 5000

Karlsberg
ну вот так и знал что укороченная под таблицу версия вызовет только вопросы и никакой пользы
Хорошо - вот полная версия того что стоит у меня (скопированная с outpost forum)
И в виде пригодном для гибкого включения выключения блокировок разных служб под Outpost.

===============
Allow DNS (UDP): Protocol UDP, Remote Port 53, Remote Address <your ISP's DNS servers>, Allow
Allow DNS (TCP): Protocol TCP, Outgoing, Remote Port 53, Remote Address <your ISP's DNS servers>, Allow
Possible Trojan DNS (UDP): Protocol UDP, Remote Port 53, Block & Report
Possible Trojan DNS (TCP): Protocol TCP, Outgoing, Remote Port 53, Block & Report
---
Block (or Allow) DHCP Request: Protocol UDP, Remote Address <ISP DHCP Server address>, Remote Port BOOTPS, Local Port BOOTPC, Allow
---
Allow Time Synchronisation: Protocol UDP, Remote Port 123, Remote Address time.windows.com, time.nist.gov, Allow
---
Allow LDAP connection: Protocol TCP, Outgoing, Remote Port 389 Allow
---
Allow Help Web Access: Protocol TCP, Outgoing, Remote Port 80, 443, Allow
---
Allow( or Block) RemoteDesktop connection: Protocol TCP, Outgoing, Remote Port 3389 Allow (or Block)
---
Block RPC (TCP): Protocol TCP, Incoming, Local Port 135, Block
Block RPC (UDP): Protocol UDP, Local Port 135, Block
---
Block Other TCP Traffic: Protocol TCP, Outoing, Block
Block Other TCP Traffic: Protocol TCP, Incoming, Block
Block Other UDP Traffic: Protocol UDP, Block
==================================


Цитата:

А кто живет на 123-м порту?

123 порт = Time Synchronisation


Цитата:

any тоже под вопросом, RFC локальный порт ограничен с 1024 до 5000

Хороший вопрос!
Во-первых у меня eMule очень часто использует порты 5500-7000
во вторых почему то в оутпосте в пресетах ( да и в базе на http://www.pcflank.com/fw_rules_db.htm )
никогда не указывают одновремнно local and remore ports.
Если указан remote ports то local port как бы может быть любой
Точного ответа не знаю сам.

Spectr
Спасибо, в общем и целом понятно... Кроме странной логики Оутпоста. Может поэтому их и в пресетах нет потому что он просто физически не дает задать их одновременно.. Кстати страничка не открывается, проверь пожалуста линк.

Есть фтп. Требует открыть открыть порты не совсем такие, как в таблице:
inbound remote ~61000 и local ~12000.

Karlsberg

Цитата:

проверь пожалуста линк.

Поправил (там скобка вконце захватывалась)

nickddd

Цитата:

Есть фтп. Требует открыть открыть порты не совсем такие, как в таблице:
inbound remote ~61000 и local ~12000

О том и говорю, что я везде в фтп клиентах, емул указываю 1025-65535

Не, ну всегда есть исключения... А у меня ослик седет себя как приличный

Karlsberg

Цитата:

Кроме странной логики Оутпоста. Может поэтому их и в пресетах нет потому что он просто физически не дает задать их одновременно

Да нет только что проверил, Outpost позволяет задать одновременно ограничения и на remote и local ports в application settings

Spectr
Я предпочитаю максимально ограничивать любую сетевую деятельность. Если в RFC или в комментах к самой проге определен диапазон, всегда определяю где зя, а где низя.

Spectr
Интересная подборка! 123-коррекция времени, так?
А Бут РС - дистанционно с компом работаешь?

Хотел уточнить одну деталь: мы сильно уклоняемся в сторону именно аутпоста. А по нему уже есть немаленькая тема. Может стоит как-то равновесие с другими распространенными стенками сохранять? Или там, отдельно рекомендованные наборы для поста, зоны, других ставить, а в основу - только сами дыры, которые наддо закрывать, без примеси технологии той или иной стены?

bredonosec

Цитата:

А Бут РС - дистанционно с компом работаешь?

Да нет - BootPs, BootPC это 67, 68 и нужно если стоит динамическая раздача IP адресов. Так что дома эту службу отключаю а на работу прихожу с ноутом и включаю.


Цитата:

Хотел уточнить одну деталь: мы сильно уклоняемся в сторону именно аутпоста. А по нему уже есть немаленькая тема. Может стоит как-то равновесие с другими распространенными стенками сохранять? Или там, отдельно рекомендованные наборы для поста, зоны, других ставить, а в основу - только сами дыры, которые наддо закрывать, без примеси технологии той или иной стены?

Полностью согласен что необходима общая направленность по дырам.
Именно поэтому и нашел эту тему. В теме по аутпосту как то много постов про мелкие технические детали не имеющие ничего общего с сетевой безопасностью.
Но примеры могу давать только для аутпоста, хотя как мне кажется, правила универсальные, смотри например как я уже приводил базу данных

http://www.pcflank.com/fw_rules_db.htm

Кстати мне кажется эту ссылку стоит поместить в шапку

Spectr
Согласен, база стОящая. Добавил.

Spectr

Цитата:

динамическая раздача IP адресов.

- Понял.

Цитата:

http://www.pcflank.com/fw_rules_db.htm

- Классная штука! Чем-то напоминает нашу шапочку, только вот что точно знаю, так это, что наша шапка никогда не станет такой же информативной, ибо места не хватит для распечатки всего, что необходимо для хотя бы большинства распространенных приложений.

bredonosec
Слишком она популистская и неточная у них. Не обьясняет, как что работает, а это полезно только если есть определенный уровень знаний. У нас шапочка точнее и есть обьяснения

Предлагаю общественности проверить настройку своих файерволов на leaktests

ссылки есть на
http://www.pcflank.com/art41b.htm

Особенно рекомендую
pcAudit
http://www.pcinternetpatrol.com/

Две недели назад меня очень напугал этот тест показав что все мои ухищрения по настройке аутпоста были легко обойдены и вся информация с моей клавиатуры и моего диска легко и без моего ведома ушла с моего компьютера несмотря на жесткие правила на выпуск программ в интернет.
А ведь настройки были строго в соотвествии с рекомендациями производителя и общественности на форумах (и как в таблице в шапке). Знаю решение проблемы но только для аутопоста, и там я уже писал об этом.

Любопытно было бы знать как эти тесты проходят на других файерволах.
Кому не лень проверить свои файерволы?

Может быть стоит дать ссылку на тесты в шапке???

Spectr
В принципе, такие ссылки уже есть в теме "Лучший файервол"... Там их целых два, но может быть это другой
У меня писиаудит не вылез.

Karlsberg

Sorry, не знал про эту тему, пойду читать

Karlsberg

Цитата:

У меня писиаудит не вылез

А у меня вылезает (под админом на XP)
Насколько я помню, у тебя тоже Kerio 2.1.5, но для инета ты используешь юзера с ограниченными правами - может как раз из-за этого у тебя он не проходит?

Насколько я понял, этот pcAudit использует механизм DLL Injection (внедрение своей dll в адресное пространство другой программы). В качестве этой "другой программы" pcAudit пытается использовать все запущенные процессы.

Если я ставлю первым правилом (наивысший приритет в Kerio 2.1.5) deny all <-->, то pcAudit не проходит. Но если просто деактивирую все правила, разрешающие исходящие соединения (без первого deny all), а потом вручную жму "Deny" при каждом запросе - то pcAudit проходит. И почему это происходит - я пока не понял... В чем может быть дело?

estimated
Так с ходу сказать не могу. Только что опять запустил, в активных соединениях было видно как он "пробует" каждый активный процесс, так что наверное дело не в юзере который не админ. Ради интереса запустил из-под админа - тот-же результат, но он отработал секунды за 3, а из-под лимитед тужился минут 5. Единственная вещь, на которую можно обратить внимание - это чекбокс "Check MD5" - у тебя отмечен?

estimated

Цитата:

Если я ставлю первым правилом (наивысший приритет в Kerio 2.1.5) deny all <-->, то pcAudit не проходит. Но если просто деактивирую все правила, разрешающие исходящие соединения (без первого deny all), а потом вручную жму "Deny" при каждом запросе - то pcAudit проходит. И почему это происходит - я пока не понял... В чем может быть дело?

У меня ATGuard и то же самое. Дырку я нашел, но файрвол тут ни при чем. Стоит у меня локальный прокси - squid. Через него все и проходит. Что с этим делать пока не понял. Или в сквиде что-то настраивать (я его всего 2 недели юзаю, еще не разобрался) или в винде секурити крутить.

estimated
Утро вечера муд...
Когда писиаудит проходит по активным процессам, я заметил что они по порядку начинают слушать (listen). Поэтому можно предположить что он пытаеться сделать из каждого процесса прокси-сервер и через него выйти наружу. У меня loopback не разрешен, поэтому скорее всего сам писиаудит блокируется когда пытается подсоединиться к свежесозданным проксикам.

Добавлено
Разрешил loopback. Писиаудит вылез

Karlsberg
Можно поподробнее про loopback?
127.0.0.1 что ли прикрыть надо?
Результат плачевный, что с loopback что без него, все равно страничку выдает. Через оперу проскакивает остальные процессы оутпост блокирует.

wezir

Цитата:

Можно поподробнее про loopback?
127.0.0.1 что ли прикрыть надо?

Вот рекомендации что я надыбал на форумах

Цитата:

Disable "Allow Loopback" Rule

The "Allow Loopback" global rule included in the default configuration presents a significant security risk to those using proxy servers (software like AnalogX Proxy, Proxomitron, WebWasher and some anti-spam/anti-virus software) since it allows any application not specifically blocked to access the Internet using the rules set up for the proxy. Disabling or deleting this rule removes this possibility.

Benefits: Prevents proxy server rules from being exploited by untrusted software.
Costs: Every application using a proxy server (e.g. web browser with Proxomitron, etc) will need an extra rule to allow access to the proxy (the one suggested by the Rules Wizard should be sufficient in most cases).

После того как я запретил loopback в глобальных правилах, за 2 недели мне пришлось лишь дважды разрешить его для конкретных приложений (NERO and Serv-U administrator)
Другие пока не просятся. Но и прохи у меня нет.