» Настройка персональных файерволов (firewall rules)

TeXpert

Цитата:

при наличии у неё легального сервера, использующего порт 443

При блокировке порта 443 её легальный сервер ляжет и будет просто кушать ресурсы Так что если сервер нужен - закрывание порта - не есть решение.

Цитата:

Это был намёк на то, что барышня кое-что умеет

Я с ней незнаком лично - потому отношусь как к среднестатистическому пользователю. Может девушка конфигурирует никсовый сервер - я же не телепат!

Цитата:

Начхать мне на этого чудовищного тормоза

Это ваше право, обсуждать не буду

Цитата:

Мне жаль придерживающихся этой точки зрения -- при грамотной политике (прямых руках) девушке нечего особо опасаться, а при твоих страхах -- вообще-то достаточно лишь отрубиться от сети (не питания) -- уж Power off-то зачем?)

1. Меня жалеть не нужно - если бы я боялся, то тут бы с вами не общался, верно?
2. Для построения граммотной политики зачастую требуется не один день и не одна страница форумов (сужу по себе). И ни что не бывает совершенным - это всё нужно каждый день апдейтить. Если есть силы и желание - добро пожаловать в клуб
3. Вы забыли, что угрозы бывают не только сетевыми. И, как мне кажется, совсем не отличаете серьёзный совет от юмора.

Sympathy
Дорогая виновница торжества! Я с вами незнаком настолько близко, как уважаемый TeXpert, поэтому лишь скромно выражу резюме последних словесных баталий.

Тема 1. Если вы не напутали и вопрос был о порте 443.
А) Если у вас нет установленного SSL-сервера - разрешите все исходящие соединения на порт 443 и запретите все входящие на 443. Это правило может быть частью более обширного правила, уже имеющегося в вашем файерволе - разбирайтесь.
Б) Если есть работающий SSL-сервер - любая активность на 443-й должна быть разрешена.

Тема 2. Если вы перепутали и вопрос касался порта 445.
А) Если у вас нет локальной сети - я бы вообще отключил бы порт 445. Не говоря о том, что просто бы его закрыл. Сделать это можно с помощью WWDC.
Б) Если локалка есть - к сожалению, 445 порт закрывать не следует. Убедитесь, что у вас ставятся обновления Windows и работает антивирус. Ограничьте доступ к порту только для доверенных сетей (локалка). И почитайте литературу. Есть ещё довольно простенькая и бесплатная утилитка, которая поможет вам реализовать основные идеи из книги.

gjf
Цитата:

При блокировке порта 443 её легальный сервер ляжет и будет просто кушать ресурсы

Цитата:

Так что если сервер нужен - закрывание порта - не есть решение

А я разве говорил про закрытие? Это твоё предложение. Перечитай -- я лишь про опасность говорил. То есть, надо вооружаться и усилить бдительность
Цитата:

И, как мне кажется, совсем не отличаете серьёзный совет от юмора

Так я в том же духе отвечал

Добавлено:
Кстати, ещё раз повторюсь -- исходящие на порт 443 надо разрешать безусловно, не вижу смыла запрета, это к тому, что излишне было про его упоминать при каждом условии -- зачем лишние напоминания, это как лишние переменные. То есть, речь надо вести лишь о входящих соединениях

Нет у меня никаких серверов, обычный комп. Речь шла действительно о 443 (HTTPS).
А порт этот один умный человек посоветовал закрыть насовсем.
Из-за этого у меня системный часы не находят серверов времени. Это неудобно. Приходится периодически его открывать, сверять время и закрывать снова. Всё просто.

Sympathy
Цитата:

А порт этот один умный человек посоветовал закрыть насовсем

Он переучился. Исходящие на этот порт следует открыть -- эдак почему он тебе не посоветовал закрыть нафиг http? Наглухо? Если исходить из его логики. Между прочим, самый опасный, наверное, порт
Цитата:

Из-за этого у меня системный часы не находят серверов времени

Хм, для этого есть порт 123, каким боком тут 443, не пойму. Может, твою Макафью на свалку?

Не знаю зачем её на свалку...

Запустила предложенную выше прогу, показывает это:



Если 443 закрыт, то по факту время не сверяется. Причём тут 123 (который открыт)?

Sympathy
Цитата:

Не знаю зачем её на свалку...

Ну, надо там копать
Цитата:

Запустила предложенную выше прогу...

Я бы побоялся самопалов запускать у себя. Проверяй лучше через online-сервисы, например, вот. Да и сама можешь таких кучу найти. Ещё советую TCPView, насчёт открытых соединений

А можешь посоветовать по существу? Стоит ли нажимать Close 137:139?

Цитата:

Если 443 закрыт, то по факту время не сверяется. Причём тут 123 (который открыт)?

А причём тут 443-й? У меня сверяется, я по логам пакетов видел. Ставь монитор и посмотри. Ещё экспериментируй так: разреши исходящие на этот порт, но входящие запрети, тем паче у тебя серверов нет (ой ли? Надо тебе на вшивость провериться). То есть, оставь минимум программ, работающих с сетью и с помощью TCPView и какого-нибудь монитора пакетов следи за логами

Провела онлайн тест, где ты указал, пишет:
Found 1 open port(s)
179 : bgp (Border Gateway Protocol)
Это хорошо или плёхо?

Sympathy
Цитата:

А можешь посоветовать по существу? Стоит ли нажимать Close 137:139?

Я вроде как ясно выразил своё отношение:
Цитата:

Я бы побоялся самопалов запускать у себя

Стало быть, я не доверяю этой программе. Я же писал
Цитата:

Ну, надо там копать

то есть, политику запретов осуществляй там -- зачем тебе иначе firewall, для красоты? И ещё выше написал кое-что, очень даже конкретное

Добавлено:
Sympathy
Цитата:

Провела онлайн тест, где ты указал, пишет:
Found 1 open port(s)
179 : bgp (Border Gateway Protocol)
Это хорошо или плёхо?

Ну ты сама же можешь догадаться -- любой открытый (не тобой) порт, уже опасность. Я посмортю, на что этот порт

Цитата:

Я бы побоялся самопалов запускать у себя

Ну я прочитала... Речь-то не о том, какие у тебя сомнения, я-то прогу уже запустила. Показала её ответ. Если ты на самом деле не знаешь ответа - нужно ли нажимать на закрытие указанных портов, то так и сказал бы... И про 179 не говоришь...
Спасибо за общение.

Ктруто! Похоже, ты для кого-то служишь маршрутизатором) Хотя, я не знаю, вдруг ословодами/торрентерами этот порт используется (сам не являюсь ни тем, ни другим). Крайне сомнительно

Добавлено:
Покажи, что TCPView отображает. Там можно в файл сохранить, и через тег code можешь показать

Добавлено:
Из Википедии:
Цитата:

BGP, наряду с DNS, является одним из главных механизмов, обеспечивающих функционирование Internet

Для скромного домашнего компа это перебор). Жду лога TCPView, а вообще, повторюсь -- надо проверить комп с пристрастием

Подскажите, как настроить Аутпост на Аську, чтобы через нее только общаться можно было бы. Только. И все. И никаких галустянских харь чтобы мне не выскакивало с радостным сообщением, что какое-то там ICQ TV обновилось и я теперь могу ихнюю рашу смотреть. И прочими чтобы рекламами-баннерами меня не доставала. Использовал патч, но вот, например, ту же ICQ TV он не режет. Потому, лучше уж Аутпост раз и навсегда настроить - и нервы мои будут мягкими и шелковистыми.

AnTul
В принципе эта информация есть в шапке. Outpost как-то пользовал, но довольно быстро выбросил. Там для аськи есть стандартные правила -- просто отредактируй его согласно шапке. Или, вручную нарисуй. Версия аськи какая? Что надо блокировать против рекламы, я в ветке по ICQ приводил (впрочем, если для аськи запретишь http вообще, необходимости в этом и не будет, а для ICQ 6 http/https иногда нужен как альтернативный способ связи, если просто связь нужна без лишних понтов -- ставь ICQ 2003)

Добавлено:
Sympathy
Цитата:

Если ты на самом деле не знаешь ответа - нужно ли нажимать на закрытие указанных портов, то так и сказал бы...

Ну блин... Ну куда ещё яснее можно выражаться: выбрось ты эту прогу, закрывай через firewall. Как я могу советовать нажимать кнопки на сомнительной проге? Моеж ты её скачала уже с встроенным (необязательно автором!) трояном?

Babylon.exe:3420    TCP    Evana.PROVIDER:1039    38.101.169.200:http    CLOSE_WAIT    
McNASvc.exe:1920    TCP    Evana:6646        Evana:0        LISTENING    
McNASvc.exe:1920    UDP    Evana.PROVIDER:6646    *:*        
oodag.exe:616    TCP    Evana:50300        Evana:0        LISTENING    
svchost.exe:1008    TCP    Evana:epmap        Evana:0        LISTENING    
svchost.exe:1076    UDP    Evana.PROVIDER:ntp        *:*        
svchost.exe:1076    UDP    Evana:ntp            *:*        
System:4        TCP    Evana.PROVIDER:netbios-ssn    Evana:0        LISTENING    
System:4        UDP    Evana.PROVIDER:netbios-dgm    *:*        
System:4        UDP    Evana.PROVIDER:netbios-ns    *:*        

Sympathy
Я сейчас убегаю, попозже буду. А что за
Цитата:

Babylon.exe

? У тебя VPN есть?

VPN нету, прямое подключение к провайдеру.
Babylon - это знаменитый онлайн переводчик

Sympathy
А це
Цитата:

oodag.exe

? Эх, могла бы сама упредить эти вопросы -- я же гадать не умею.
А вообще, что-то у тебя список подозрительно жидкий)
Возможно, у тебя троян на уровне драйвера. На том же сайте, откуда качала TCPView, скачай утилиту, которая руткиты ищет. Сетевой монитор поставила?
Кстати, получается, я не зря интересовался вчера:
Цитата:

Спамерством не увлекаешься?

) Возможно, тебя используют в качестве диспетчера в спамерской ботнет-сети -- у тебя, наверное, канал хороший

И ещё: почитай вот эту книжку, она чрезвычайно полезна. И ещё: у тебя в браузере отключены ActiveX и Java-апплеты? Может, тебе всё-таки firewall сменить (она наверняка у тебя пиртаская?), раз ты её всерьёз не настраиваешь, русские доки к ней есть у тебя? А то посоветую другую, с русскими доками

oodag.exe - это O&O Defrag Agent (Win32) от O&O Software GmbH O&O Defrag (дефрагментаторская служба).
Ты противоречив и подозрителен. Маленький список - подозрительно, был бы большой - было бы ОЧЕНЬ подозрительно?!
Почему, какие основания утверждать - "Возможно, у тебя троян на уровне драйвера".
Хоть малейшие основания, какие?
Никаким спамерством не занимаюсь. Firewall - McAfee.
И вообще, какое ваши слова имеют отношение к 443 и 179 портам?!
Ответов нет... Одни сторонние рассуждения.
Пока. Больше с вопросами к вам обращаться не стану.

Sympathy
Цитата:

Почему, какие основания утверждать - "Возможно, у тебя троян на уровне драйвера"

Цитата:

И вообще, какое ваши слова имеют отношение к 443 и 179 портам?!

Здрасьте, а зачем я столько писал про эти порты, ссылки приводил? Ты же сама сходила, проверилась, что у тебя 179-й порт открыт -- кстати, после моих "одних сторонних рассуждений". Что этот порт открыт -- очень подозрительно, вот это и есть основание, а что без 443-го не можешь время синхронизировать -- также странно
Цитата:

Ответов нет... Одни сторонние рассуждения

Но это, вообще-то говоря, хамство. Засим отклоняюсь -- ибо толку не вижу, даже конкретные советы и рекомендации объяляешь флудом, а гадать я не умею. Удачи
Цитата:

Никаким спамерством не занимаюсь

Там я смайлик поставил. Спамерствовать можно невольно, с большинством так и происходит

Sympathy
1. 443 TCP (!) порт - надо окрывать (иначе с Gmail и другими сайтами будут проблемы - ты на них просто не попадешь )
2. 135-139 TCP&UDP Both надо закрывать - если не пользуешься внутрисетевыми локальными ресурсами и/или предоставляешь доступ к своим расшареным папкам.
3. 443 порт НИКАК не связан с корректировкой времени
4. 179 порт - ну пока не понятно, кто его использует, можно закрыть наглухо Both. Если что-то перестанет работать - тогда будем думать.

Ваша главная проблема -
Цитата:

Firewall - McAfee

Как минимум существовала два разных Desktop 8.5 и другой, с красивым интерфейсом ( извините - версию не помню).
А проблема в том, что в правильно сделанном и настроенном фаерволе НЕ НАДО закрывать порты, а надо только указать какие порты и куда надо открыть, а все остальные порты по умолчанию должны быть закрыты самим ферволом/настройками. Иначе - он не нужен

Sympathy
Погоди, какие руткиты? С чего вообще подозрения начались? У вас трафик левый бежит? В чём проблема?

Исходящие на порт 445 открыть. Умников не слушать.

Сетка есть или компьютер просто подключен к интернету (домашний)? Если локальной сети нет и не предвидится 137/138/139 (NetBIOS) закрыть программой, ссылку на которую я дал. Кстати, этот "самопал" официально рекомендуется по меньшей мере нескольким антивирусными вендорами. Опять же - умников не слушать.

По открытым портам - у вас на первый взгляд ничего подозрительного. Хотите проверить комп - идите на форум VirusInfo и выполните требования по созданию логов. Вам помогут специалисты в течение нескольких дней абсолютно бесплатно и квалифицированно.

А тут вы найдёте только головную боль. Выполнять рекомендации людей, которые хотят ограничить доступ в сеть несчастному O&O Defrag на его порт 50300...

Короче - решать вам. Я руки умываю, не могу взять ответственность за администрирование удалённого компьютера.

Руткиты... Спамботы... Совсем люди поофигевали. Учите матчасть.

KUSA
Цитата:

2. 135-139 TCP&UDP Both надо закрывать - если не пользуешься внутрисетевыми локальными ресурсами и/или предоставляешь доступ к своим расшареным папкам

Надо их вообще наглухо закрыть, да прибить гвоздями). Файлами обмениваться можно в локальной сети совсем по-другому -- мне вот ssh нравится, быстрый к тому же, зараза
Цитата:

4. 179 порт - ну пока не понятно, кто его использует

Я тут порылся малость -- очень интересная, оказывается, штука -- через этот порт, если у тебя достаточные полномочия, можно перехватывать чужой трафик, сидя у себя дома, причём ничего не взламывая! Привожу цитаты из статьи "Обзор эксплойтов" Криса Касперски
Цитата:

На последнем DefCon'е Тони Капела (Tony Kapela, компания 5Nines Data) на пару с Алексом Пилосовым (Alex Pilosov, компания Pilosoft), шокировали общественность, продемонстрировав технику перехвата Internet-трафика путем атаки на BGP-протокол, незащищенность которого позволяет человеку, сидящем, скажем, в юрте на Чукотке, перехватывать трафик между Бостоном и Сан-Франциско

Цитата:

...нашумевший скандал с Пакистанским провайдером Pakistan Telecom, который под давлением правительства попытался запретить своим гражданам втыкать в YouTube и «слегка» захачил BGP-таблицы маршрутизации. В результате чего без YouTub'а остались миллионы пользователей, находящихся вне Пакистана. Все очень просто — захаченные таблицы маршрутизации сделали Pakistan Telecom самым привлекательным роутером для передачи трафика. И YouTube, и Pakistan Telecom превратились в черную дыру, стягивающую трафик со всего мира (news.bbc.co.uk/1/hi/technology/7262071.stm, www.ripe.net/news/study-youtube-hijacking.html). Действительно, тут есть от чего выпасть в осадок, сесть на измену и нереально испугаться. Но впервые об этой дыре открыто заговорили в далеком 1998 году (www.cs.columbia.edu/~smb/papers/acsac-ipext.pdf). С тех пор прошел добрый десяток лет и... ничего! Живем! «Изюминка» Тони и Алекса состояла в том, что они предложили не просто направлять трафик в устройство /dev/nul, как это делал Pakistan Telecom, а возвращать его (возможно, в слегка модифицированном виде) конечному пользователю, открывая огромные перспективы для шпионажа

В заключение Касперски пишет:
Цитата:

Однако, протокол BGP (Border Gateway Protocol, «Протокол Граничного Шлюза») работает поверх IP (в частности, BGP over TCP использует порт 179), а потому доступен для атаки из любой точки Сети. Роутеры содержат таблицы маршрутизации, принимающие данные от других роутеров без всякой авторизации! Любой узел может объявить себя роутером, сообщающим всем остальным о себе и о тех узлах, которым он готов доставить трафик. Причем, если целевому узлу берутся доставить трафик более одного роутера, то выбирается роутер, обслуживающий более узкий диапазон адресов. Что очень хорошо для атакующих — представиться маленьким роутером проще, чем большим и могучим. Однако представиться роутером все равно не так просто! Придется либо регистрироваться в Internet Assigned Numbers Authority (IANA), либо заниматься подменой IP-адресов, либо искать роутеры, принимающие BGP-пакеты от кого угодно. А потому, осуществить такую атаку может только сравнительно крупный ISP (типа Pakistan Telecom), но никак не Вася Пупкин

Но я тут поинтересовался -- оказывается, завести у себя Автономную систему не так уж и проблматично -- это может сделать даже небольшая организация, или даже частное лицо, как понял, люди и цену называют -- от $500, это делается через провайдера. Добавим сюда маршрутизатор с поддержкой BGP (сойдёт и обычный линукс, как радостно отмечает народ -- отмечая возможность подмены IP-адреса таким способом) Другой вопрос -- зачем им это надо (а вдруг им понравилась пошпионить за трафиком конкурента?))
Цитата:

...можно закрыть наглухо Both

Нужно
Цитата:

Если что-то перестанет работать - тогда будем думать

После всего сказанного выше это уже звучит как шютка)

Оригинал сообщения тут.

P. S. Конечно, всё это не означает, что все эти угрозы присутствуют на машине клиента, но вот открытость этого довольно экзотического порта -- весьма странно. Как и насчёт 123/443. Как минимум -- повод для проверки

Добавлено:
gjf
Цитата:

А тут вы найдёте только головную боль. Выполнять рекомендации людей, которые хотят ограничить доступ в сеть несчастному O&O Defrag на его порт 50300...

Может, я чего-то не понимаю, но вопрос -- а нафига дефрагментатору доступ в сеть? Простой (даже вытекающий из здравого смысла, принцип гласит -- всё должно быть максимально просто, насколько возможно). Выражаясь попроще: нафига козе баян?
Цитата:

Руткиты... Спамботы... Совсем люди поофигевали. Учите матчасть

Я действительно фигею). Эдак скоро люди образование будут получать через Википедию -- эдакий образчик научной чистоты и честности. Матчасть учить надо, но с головой, и как говаривал Декарт -- сомневаться

gjf
Вот за это наконец спасибо.
А то думала ничего, кроме залихватских советов уже не услышу.
Спасибо ещё раз.
P.S. Сетка локальная тоже есть.

TeXpert

Цитата:

Привожу цитаты из статьи "Обзор эксплойтов" Криса Касперски

Цитат из Ксакепа тут ещё не хватало...

Цитата:

Может, я чего-то не понимаю, но вопрос -- а нафига дефрагментатору доступ в сеть? Простой (даже вытекающий из здравого смысла, принцип гласит -- всё должно быть максимально просто, насколько возможно). Выражаясь попроще: нафига козе баян?

Может попробовать сначала узнать что да как прежде чем орать "А нафига"?

WildGoblin
Цитата:

Цитат из Ксакепа тут ещё не хватало...

На этот случай я привёл в том же посте ссылку на оригинальный источник -- посмотри, только не все у нас читают на аглицком (да и с русским проблемы у некоторых). Полагаю, всё-таки речь по существу должен идти, не из соображений кошерности-некошерности исчтоника, главное, можно проверить, так ли это
Цитата:

Может попробовать сначала узнать что да как прежде чем орать "А нафига"?

Ну, через одно место делать никто не запретит -- но тут, я считаю, явный перебор -- это при том, что настроить firewall не научившись. Эдак, вот это:
Sympathy

Цитата:

Found 1 open port(s)
179 : bgp (Border Gateway Protocol)
Это хорошо или плёхо?

тоже норма? И, главное, я сколько ни пытаюсь намекнуть (оказалось, не я один!) что всё-таки заняться наконец настройкой собственно firewall'а, клиент объявляет это "залихватскими советами"

Цитата:

Может, я чего-то не понимаю, но вопрос -- а нафига дефрагментатору доступ в сеть?

Потому что без него OO Defrag не будет работать.

Chauvinist
Цитата:

Потому что без него OO Defrag не будет работать

Интересно, почему же Руссинович не прикрутил сетевые фичи к своему дефрагментатору, кажется, лучшему)

TeXpert
Не знаю сам. А главное нужно именно только наличие соединения,потому что никаких пакетов по нему я так и не увидел.

TeXpert

Цитата:

тоже норма? И, главное, я сколько ни пытаюсь намекнуть (оказалось, не я один!) что всё-таки заняться наконец настройкой собственно firewall'а

Я же спросила - хорошо это или плохо? Опять ответ в виде вопроса на вопрос. Пустопорожние намёки меня не интересуют, как и общие советы "заняться наконец настройкой собственно firewall'а".