» Настройка персональных файерволов (firewall rules)

Цитата:

А галочку в Enable logging to DB поставил?

Это где?

wezir
Это в правом нижнем углу под списком адресов для блокировки

Насчет loopback - он необходим некоторым прогам. Например - offline explorer, или вышеупомянутым.
Цитата:

вот результаты тестирования стен
http://www.pcflank.com/art41c.htm

- Довольно интересные результаты. По ним выходит, что моя стенка ну просто мусор (Deerfield Visnetic), хотя она в силу того, что является пакетным файером, позволяет блокировать кой-чего, что неспособны перекрыть обычные сетевые фильтры, как тот же аутпост и подобные.
Тесты пробовал пройти - вроде говорит, ОК, но я не уверен, что проверяет именно меня: у меня нет внешнего IP (через локалку выхожу, её серв на FreeBSD). В общем, может ли кто, имеющий также виснетик, провериться?

bredonosec

Цитата:

моя стенка ну просто мусор (Deerfield Visnetic)

Так ведь любая стена без контроля приложений будет в конце списка. Весь прикол этих всех тестов - как одна апликашка может замаскироваться под другую, которой выход разрешен... Кстати, сам жду когда дирфилд свой продукт дополнит этой необходимой штукой.

Прикол в том, что пакетный попутно фильтрует сами пакеты, а не только адреса. То есть, если пакет не такой, кк ожидалось - он не проходит. Это правило по дефолту: если для такого пакета правила нет - он блокируется. Хочешь его пропустить - сделай правило.
Это было первое. Второе - кк упоминалось, stateful inspection. - т.е., если вася пупкин эмулирует стук под ответы на якобы мои запросы, то пост может это и пропустить, а виснетик - фиг. Потому как идет проверка, посылался ли запрос на этот адрес по такому-то протоколу, на такое-то добро. И если нет - блок.
Далее. Часто идет фрагментация пакетов. (иногда законно, иногда используется для взлома) - моя стена такие пакеты, которые не содержат инфы о себе, или эта инфа не совпадает с действительностью - опять же - блок по дефолту. Кста, эта фича очень помогает - часто вижу флуд такими инвалидными пакетами. Пропустил бы - мог и повиснуть или в бсод. А так - работаю ))
Далее. Для ICMP можно по каждому конкретному типу настроить. И получится, что вы сами пинговать и сканить можете (с некоторыми ограничениями), а вас - нет.
Далее, про АРП флуд, АРП спуфинг я писал неоднократно. В посте не видел возможности блокировать эти пакеты. Точнее сказать, вообще не знал, что такие есть. ))
А именно это мне актуально, бо я работаю через локалку, а (вот не помню, кто приводил статистику, что) примерно 80% взломов/нюков идут как раз через локальную сеть, бо возможности многократно шире (и скорость, и разнообразие способов)

Хотя, если приделают апп-контроль к нему - ругаться не буду, Может и пригодится. Покамест можно довесить апп. контроль от зоны.

bredonosec
А как насчет более простого варианта - троян в почте или скачал трояна вместе с варезом (раз в год и на старуху бывает ... ). Он спокойно открывает соединение через 80-й ремоут порт, который обычно у всех открыт, и все.

Цитата:

троян в почте

- Клиентами не пользуюсь. Забираю сам с веб-интерфейса. Причем не кликаю на что-попало. Так что мне неактуально.

Цитата:

или скачал трояна вместе с варезом

- А об этом должен антивирь думать.
Тем более, что, как неоднократно упоминалось (например, SXP), тот же Пост беззащитен к троям.
Хотя если теоретически - есть угроза. Может, воткну апп-контроль от зоны, она не враждует с виснетиком.

bredonosec

Цитата:

Тем более, что, как неоднократно упоминалось (например, SXP), тот же Пост беззащитен к троям.

А нельзя ли по-подробнее про это или ссылку где про беззащитность Поста к троянам написано.
Для меня самое главное в стенке чтобы без моего ведома не могла утечь наружу информация в частности логины в банк (или программы не стучали на меня). Там где я бываю только за содержимое моего диска по совокупности украденных програм можно крупно пострадать. Из аспирантуры да еще с крупным штрафом выгоняли. А сотрудников просто заносили в черный список а потом он не смог получить работу ни в одном университете англии.
До сих пор я думал что Аутпост выигрывает именно по этому критерию
Если есть другие мнения буду благодарен если поделитесь. Потому что виденные до сих пор обзоры стенок поражают своим непрофессионализмом. Речь всегда идет о рюшечках да бантиках а не о функциональности.

bredonosec

Цитата:

об этом должен антивирь думать

Код любого трояна может быть модифицирован так что ни один антитроянец его не узнает.
Еще один вариант для собирания всякой нечисти - тот-же HTTP

Цитата:

тот же Пост беззащитен к троям

А как-же http://www.pcflank.com/art41c.htm ? Здесь он набрал максимальное количество очков именно из-за хорошей фильтрации компонентов.
Spectr

Цитата:

виденные до сих пор обзоры стенок поражают своим непрофессионализмом

За последние пару лет не видел ни одного профессионального обзора, хотя ищу регулярно. Спецы по сетям наверняка не учились на литературном

Karlsberg

Цитата:

За последние пару лет не видел ни одного профессионального обзора, хотя ищу регулярно. Спецы по сетям наверняка не учились на литературном

Да черт с ним с языком, было бы профессиональное изложение сильных и слабых сторон работы и принципов работы а не обзор красивостей интерфейса.
Я напрмер понятия не имел про пакетные фаеры. Начинал с Atguard перешел на NIS и с в свое сремя с удовольствием перешел на первую бету аутпоста.

Цитата:

А нельзя ли по-подробнее про это или ссылку где про беззащитность Поста к троянам написано

- Впервые где-то с полгода назад в аутпостовской теме. Сейчас уже не найду, но точно помню, что было и повторялось неоднократно. Если попадется - дам ссылу.

Цитата:

фильтрации компонентов

сорри за маленький оФФ, но фильтрация компонентов выражается в том, что пост блокирует длл, которая изменила свой размер/работу/еще чего-нить,
или в том, что не дает к приложению прилепляться новым длл-кам, которых еще нет в списке разрешенных?

Spectr
Принципы работы иногда можно нарыть на сайтах производителей, или в книжечках, иногда проскакивают статейки на разных сайтах. Есть у меня пара е-буков, я так понимаю для тебя аглицкий не проблема, могу подкинуть...

Spectr

Цитата:

понятия не имел про пакетные фаеры.

- Значит - фильтрует отдельные пакеты. И правила можно применять не только к протоколам/адресам/.. но и к типам пакетов (установление соединения, транспорт, информация, выяснение настроек сети, пинги, рассылки, проч) Пример: logSample.txt
*** = прикрыл последний октет своего внутреннего айпи.
Или можно посмотреть обсуждение в теме Deerfield VisNetic Firewall 2.0

bredonosec
там много смешного.... например ZAP 3.7 free получил 5 баллов а ZAP 4.0.x.x Pro всего 3
да и врут они... сами ЗАП с максимальными настройками проверте на этих тестсх.... и результат вас удивит

Цитата:

Q: process termination?
A:Outpost can be killed by any trojan.... dalse put svoboden.. blago OP ne soprotivlaetsa vigruzke

Q: izmenenie pravil outposta... i nasilnoy perezagruzke systemi
A: pravela pomenat mozno bat failov )) echo >> Oppostconfig.ini (ili kak on tam nazivaetsa... netu outposta)

Q: ili pro PCAudit... kotoriy obhodit outpost so standartnimi nastroikami?
A: PcAudit? v teme pro luboy FW esli linki na etot test

(C)SXP

Цитата:

сорри за маленький оФФ, но фильтрация компонентов выражается в том, что пост блокирует длл, которая изменила свой размер/работу/еще чего-нить,
или в том, что не дает к приложению прилепляться новым длл-кам, которых еще нет в списке разрешенных?

нетак... Оутпост в отличии от Сигейта неможет заблокировать определенную дллку а блокирует всё приложение

Outpost firewall process can be terminated by any lamers trojan... thats why Outpost is not secure....

Добавлено
кстати текущий Зоне Аларм обходит Оутпост по надежности против троянов

Цитата:

текущий Зоне Аларм обходит Оутпост по надежности против троянов

- Сопротивляется выгрузке? Или какие-то процессы в системе контролирует, что ребутнуть нельзя насильно его?

Цитата:

Оутпост в отличии от Сигейта неможет заблокировать определенную дллку

- вроде кто-то говорил тут обратное..страницу назад что-ли..
инфа относится и к последним версиям тоже?

SXP

Цитата:

Оутпост в отличии от Сигейта неможет заблокировать определенную дллку а блокирует всё приложение

Так ведь в принципе, это правильный вариант... При подозрении на изменение кода надо блокировать все приложение

Цитата:

текущий Зоне Аларм обходит Оутпост по надежности против троянов

А как-же результаты на PC Flank? (не заметил предыдущий пост, понял - врут )

А вообще, кто-нибудь с Оутпостом, попробуйте убить его процесс... Чего-то не очень верится (не в обиду SXP)

bredonosec

Цитата:

- Сопротивляется выгрузке? Или какие-то процессы в системе контролирует, что ребутнуть нельзя насильно его?

и то и другое...


Цитата:

Так ведь в принципе, это правильный вариант... При подозрении на изменение кода надо блокировать все приложение

а если это svchost.exe с дллкой от трояна.... Sygate в таком случае заблокирует дллку трояна а оутпост весь процесс что скажется на работе сети...

Karlsberg

Цитата:

А вообще, кто-нибудь с Оутпостом, попробуйте убить его процесс... Чего-то не очень верится (не в обиду SXP)

Убил аутпост из TaskManager( из списка исчез), после чего запустил acrobat reader и сделал упешно update (а ведь он у меня стоит в запрещенных к выходу и при запущенном аутпосте это не проходит). Так что аутпост был действителено убит. Ну и дела.
Но убил то я его из TaskManager - вопрос как легко его убить какому-либо трояну??
Наверное пока таких случаев не было - иначе бы шум поднялся точно.



Цитата:

а если это svchost.exe с дллкой от трояна.... Sygate в таком случае заблокирует дллку трояна а оутпост весь процесс что скажется на работе сети...

Так как аутпост для рабочих станция а не для сервера то это не страшно. При подобной аварийной ситуации все равно лучше вырубить все.

bredonosec

Цитата:

сорри за маленький оФФ, но фильтрация компонентов выражается в том, что пост блокирует длл, которая изменила свой размер/работу/еще чего-нить,
или в том, что не дает к приложению прилепляться новым длл-кам, которых еще нет в списке разрешенных

Блокирует все приложение как уже сказали выше но реагирует как на изменение dll так и на новые dll. PcAudit как раз и пытался прикинуться новой dll.
В то же время любое обновление IE6 или новая версия даже lingvo hook сразу вызывает предупреждение что изменились файлы.

Отзеркалил и кинул в шапочку инфу по сетям.

Karlsberg

Цитата:

Принципы работы иногда можно нарыть на сайтах производителей, или в книжечках, иногда проскакивают статейки на разных сайтах. Есть у меня пара е-буков, я так понимаю для тебя аглицкий не проблема, могу подкинуть

Спасибо - бросить на емэйл в профиле удобно? Или лучше дать фтп доступ?

Spectr
См. ПМ

Karlsberg
Классический BitTorrent по умолчанию работает в диапазоне 6881-6889. Мой клиент (SHAD0W's experimental) по умолчанию настроен на 6881-6999. Во всех (скорее всего) клиентах порты конфигурируемы, но не думаю, что их кто-то меняет.
У меня в файрволе так:

BitTorrent IN: TCP, local 6881-6999, remote 1025-65535
BitTorrent OUT: TCP, local 1024-5000, remote HTTP, 6881-6999

По HTTP клиент связывается с трекером. В доках про это ничего не говорится, так что его в принципе можно отключить.

Сорри. Был неправ. HTTP отключать конечно нельзя.

nickddd
Я, кстати, до сих пор не проверил, какой порт используется для захода на трекер. Он, скорее всего, использует указанный в *.torrent, но кто знает...

Karlsberg
Как раз HTTP и использует. Я вчера во время скачивания отключил HTTP, ничего не произлшло. Поэтому написал, что можно отключить. А сегодня запустил докачку, и получил <ERROR. Problem connecting to tracker>. Разрешил HTTP, подключился.

по поводу svchost.exe
2k/XP позволяют задавать в настройках сетевого подключения(также в групповых политиках) списки DNS-серверов (пример:194.87.0.9,158.43.240.4)=> можно запретить процессу подключения ко всем адресам,кроме этих
еше можно поставить себе DNS-сервер(такой как ExtraDNS)
и все DNS-запросы разрешать только через него.

P.S.напишите что Аутпост считает "SYSTEM" и как это прикрыть

TCP and UDP Port Numbers
http://www.iana.org/assignments/port-numbers

Цитата:

PORT NUMBERS

(last updated 2004-04-06)

The port numbers are divided into three ranges: the Well Known Ports,
the Registered Ports, and the Dynamic and/or Private Ports.

The Well Known Ports are those from 0 through 1023.

The Registered Ports are those from 1024 through 49151

The Dynamic and/or Private Ports are those from 49152 through 65535

Tim72
Спасибо, добавил в шапочку.

denis1234

Цитата:

можно поставить себе DNS-сервер

А смысл? Все равно ему придется выходить в интернет за адресами. То есть вместо конфигурации одного соединения надо конфигурить два. Есть какие-нибудь положительные стороны?

Karlsberg

ExtraDNS испольует свой список DNS-серверов, все ответы на запросы хранит в своей базе

Цитата:

Есть какие-нибудь положительные стороны?

-svchost.exe можно вообще запретить
-все запросы будут идти только через один процесс
-не нужно создавать правила для 53 порта каждому приложению
команда Ipconfig /all выдаст не IP DNS провайдера ,а 127.0.0.1