» Настройка персональных файерволов (firewall rules)

spike

Цитата:

по воводу DHSP и DNS

Судя по описанию, DNS service нужен только для локалки.
А как она подключена к интернету?

через модем

а на работе я тоже DNS остановил, DHCP тоже

у нас в сети у всех статический ip адрес

spike
Модем и dialer? Чтобы интернет заработал нужно запустить что-то?

Цитата:

А кто-нибудь знает, что точно делает Statefull Inspection? Был бы очень благодарен за обьяснения нормальным русским языком.

- Цитата из хелпа
Цитата:

Stateful Packet Inspection
VisNetic Firewall uses stateful packet inspection to help detect malicious traffic and ensure that onlycorrect data is passed. Every packet in a connection is checked to see if it is valid. TCP header flags,sequence numbers and other packet contents are used to monitor the "state" of the connection and any packet that does not conform is blocked. This allows VisNetic Firewall to catch malicious activitysuch as port scans, certain DoS (denial of service) attacks and fragment attacks.

Перевожу:
ВФ пользует СИ для обнаружения подозрительного траффика и обеспечить пропускание только корректной инфы. Каждый пакет соединения проверяется на виладность (ака правильност, легальность). Флажки ТСР заголовка, номера серий (очевидно, имеется в виду совпадение размера, чексуммы, типа сервиса, с заявленными, номера портов, номера адресов с данными из (а фиг знает, откуда) ), и другое содержимое пакета используется для наблюдения за состоянием соединения, и любой пакет, не проходящий по параметрам, блокируется. Это позволяет ВФ вылавливать вредную активность наподобие скана портов, ДОС (атаки с целью вызвать отказ в обслуживании), фрагментированные атаки (кста, последнее - частый случай у меня - выглядит как мощный поток(до 50шт/сек) фрагментов) (комменты другим шрифтом).

Цитата:

Судя по описанию, DNS service нужен только для локалки.

- А при прямом подключении откуда комп берет айпи серва? У меня, например, по 53 порту запросы идут на местного прова (его серв). На локальные адреса по этому порту у меня блок/бан.
Цитата:

Есть ли у кого какие соображения по-поводу в каких случаях стоит включать Statefull Inspection

- Везде. Хотя, может у поста она как-то по-другому функционирует, у меня ко всему относится.
Цитата:

Control of All Protocols
While many firewalls filter only the IP protocols, ignoring others such as NETBEUI and IPX, VisNetic Firewall intercepts them all and can be configured to allow or block this type of traffic. VisNetic Firewall can also control the less commonly used IP protocols such as GRE, which is required for VPN traffic.

Цитата:

Stateful Inspection Firewall

VisNetic Firewall falls into a class of firewalls called Stateful Inspection Firewalls. Stateful inspection firewalls overcome the limitations of packet filter firewalls and application-proxy servers. They examine more than just the "to" and "from" addresses, and do not require a proxy for every application being accessed.
Stateful inspection firewalls determine whether packets can get through the firewall based on the protocol, port, and source and destination addresses. For every request that is allowed by the strategy, stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host. Also, by maintaining information about previous packets, stateful inspection firewalls can quickly verify that packets meet the criteria for authorized traffic, making them inherently fast.

- лень переводить.. или надо?

bredonosec

Цитата:

Цитата:
Судя по описанию, DNS service нужен только для локалки.

Я об сервисе в NT/2K/XP, не об сервере провайдера.


Цитата:

Stateful Packet Inspection

Давай разберемся вместе чтобы не было всеобщих заблуждений о полезности этой фичи

Цитата:

Every packet in a connection is checked to see if it is valid

Значит для UDP и других он уже неприменим, раз говорится об установленном соединении.

Цитата:

stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host

Чем может грозить поддельный response packet?

Цитата:

Я об сервисе в NT/2K/XP, не об сервере провайдера.

- понял.


Цитата:

Значит для UDP и других он уже неприменим, раз говорится об установленном соединении.

- Хм.. залез на сайт, в факе то-же, что и в файле помощи (чуть другими словами)
Q. What is Stateful Inspection?
A. Stateful inspection firewalls determine whether packets can get through the firewall based on the protocol, port, and source and destination addresses. For every request that is allowed by the strategy, stateful inspection firewalls open up a limited time window to allow response packets, but ONLY from the same host. Also, by maintaining information about previous packets, stateful inspection firewalls can quickly verify that packets meet the criteria for authorized traffic. This makes them inherently fast.
- Ни слова о том, к каким пакетам относится. .. А, вот, нашел - в настройка правил - настройка действий, для пакетов, не предусмотренных никаким правилом - там действительно указано, что Stateful Inspection относится только к ТСР протоколу (и можно малость рехтовать эту самую инспекцию). Выходит, я ошибался.

Цитата:

Чем может грозить поддельный response packet?

- Для АРП - знаю точно
1)спуфинг - ака перехват всего траффика жертвы методом подмены на его машине арп таблицы и перенаправления траффика через машину атакующего - ака создание "ложного АРП-сервера"
2) флуд - забивка машины жертвы АРП пакетами с ложными данными о соответствии айпи и МАС других машин сети, в результате чего создается иллюзия полного отключения сети (ни к кому пробиться не может)
Далее - предполагаемое
Для ТСР - всякие варианты нюков - или неправильно сформированные пакеты, создающие ошибки выполнения прог и т.д. (точно сказать не могу)
далее - т.н. тарпиты
- Tarpits. A "tarpit" is a trap for troublesome outsiders. Your system accepts connections but never replies and ignores disconnect requests. This can leave spammers, worms and port scanners stuck for hours, even days. Now, entries in the Ban List can be set to be tarpits. Also, block rules can become tarpits:
When "Ban" and "Tarpit" are chosen, the rule creates a tarpit for all IPs that try to connect and match this rule. It tarpits all ports for these IPs
When "Tarpit" is chosen but not "Ban", the rule creates a tarpit only for matching connections. It tarpits all IPs for just the selected port range.

Действие: Нормальный обмен пакетами идет так:
STATE EXPLANATION

miasnikov andrew

Цитата:

вообще-то у меня (судя по логам Sygate) svchost ходит (пытается ) на time.windows.com:123, на сервак на 1900 порт, и (что очень странно!)

Ну это ж Time Synchronizer

Цитата:

(что очень странно!) по локалке на 80е порты

Он много куда ходит. Вы за ним понаблюдайте побольше и поймете, что полноценное функционирование рабочей станции в сети невозможно.

Цитата:

a DNS сверяется (резолвится) сетевым драйвером ndisuio.sys
возможно поэтому все не обломалось при отключении svchost.exe от сети.

Ну не знаю, не знаю... у меня резолвинг идет через svchost.exe. Да и не только у меня -- не даром ведь Agnitum создал правила по-умолчанию для обращения к DNS. Да и люди частенько жалуются на проблемы с сетью, когда нечаянно запрещают сетевую активность для svchost.exe.

Кстати, в svchost.exe не числится компонент по имени ndisuio.sys.

spike

Цитата:

по воводу DHSP и DNS
у знакомой остановил службы эти и нормально она работает в инете на динамическом ip

Wow! Я даже никогда бы не додумался останавливать их

А машину перегружали?

Цитата:

по локалке на 80е порты ...
Он много куда ходит. Вы за ним понаблюдайте побольше и поймете

А на 80-то зачем? Это же web-server?

ndisuio.sys - это Sygate так определяет сетевой интерфейс.
Пользующихся другими файрами - просьба не беспокоиться

miasnikov andrew

Цитата:

А на 80-то зачем? Это же web-server?

Это для того, чтобы вы могли пользоваться WU.

Цитата:

11:01:18 svchost.exe TCP OUT wustat.windows.com 80 1146 HTTP connection
11:01:08 svchost.exe TCP OUT windowsupdate.microsoft.com 80 1141 HTTP connection
11:01:14 svchost.exe TCP OUT v4.windowsupdate.microsoft.com 80 1143 HTTP connection
11:01:15 svchost.exe TCP OUT v4.windowsupdate.microsoft.com 80 1144 HTTP connection

Добавлено

Цитата:

ndisuio.sys - это Sygate так определяет сетевой интерфейс.

Сетевой интерфейс в вашем случае вообще-то не должен заниматься резолвингом DNS. Не его это дело.

Цитата:

WU

хорошо бы Windows Update...
Но вот я не могу объяснить тот факт, что svchost пробует 80й порт каждого IP, на который я выхожу по smb-протоколу (файл-сервер мой, локалки и т.д.)
172.21.29.92:80 192.168.0.my:1414 Outgoing Blocked C:\WINDOWS\system32\svchost.exe
172.21.29.105:80 192.168.0.my:1425 Outgoing Blocked C:\WINDOWS\system32\svchost.exe
172.21.29.152:80 192.168.0.my:1552 Outgoing Blocked C:\WINDOWS\system32\svchost.exe
и так далее... троян что-ли? (вроде KAV, SAV, Spybot молчат)
есть идеи?

А про DNS и сетевой интерфейс давай замнем для ясности
Разные машины, разный софт - мало ли чего бывает. У меня сеть работает, чего и всем остальным желаю.

Как скачать руководство по программе Zone Alarm???
Как работать с программой Zone Alarm Pro????

ANDRUHA

Цитата:

Как скачать руководство по программе Zone Alarm???
Как работать с программой Zone Alarm Pro????

Пойти в соответствующий топик по Zone Alarm!!!
Почитать справку по Zone Alarm!!!!

И не засорять данный топик непрофильными вопросами.

Karlsberg
нет, просто запускаю звонить стандартную виндовую звонилку

eika
само-собой и не раз

дома тоже эти сервисы задизаблены, и в инете сижу правда через NAT, причем через два

Karlsberg
предлагаюю включить в таблицу - для правильной работы Novell Client for NetWare
TCP и UDP in/out порты 524 и 427
источник информации
www.novell.com/coolsolutions/netware/features/a_ports_nw5_nw.html

spike
Насколько я понимаю, звонилка сама конфигурит хост по PPP-подобному протоколу и DHCP сервис в этом случае не нужен и может быть закрыт или отключен. Подробнее пока не знаю...
bredonosec
Пригрузился я инфой по ARP. Все его потенциальные дырки могут быть использованы только тогда, когда со мной в сетке есть кто-то еще до дефолтного гейтвея. Я неправ?
Rurik
Хороший документик, точный. Только вот табличку в шапке патчить пока не умею

Karlsberg
Табличку не надо патчить - просто вставляем вот такой код перед очередным [no][tr][/no]
(см. пункт Редактировать в моем посте):

imho
Готово
Так и в переселение душ можно поверить

Karlsberg
Красота.
Надеюсь, теперь даже новички смогут оформлять правила таким образом и не загружать bredonosec лишней работой

Karlsberg

Цитата:

только тогда, когда со мной в сетке есть кто-то еще до дефолтного гейтвея.

- Насколько я понимаю предмет, да. Вроде как МАСи используются для общения меж машинами вплоть до гейта. Хотя, с другой стороны, МАС адрес используется и в пакетах передачи по инету (1-6 байты - МАС назначения, 7-12 байты - МАС отправителя - верно для любого пакета - от ТСП до ICMP/UDP/ARP/etc.)
По крайней мере, не представляю, как переправлять АРП пакеты через шлюзы.
imho

Цитата:

Надеюсь, теперь даже новички смогут оформлять правила таким образом и не загружать bredonosec лишней работой

- Спасибо за заботу
Только одно замечание - меж TCP,UDP пробел вставляйте - иначе их в одну строку кидает, ячейка растягивается - юзерам с малыми экранами скроллить больше приходится.

Я вот тоже остановил DNS Client и DHCP Client.

Использую Eternet (статика) и иногда Dial-up (PPP).

Посмотрим, что из этого выйдет.

хочу настроить встроенный в XP Firewall

какие правила нужны для локалки без инета ?

spike

Цитата:

встроенный в XP Firewall

Молодец! "нас мало но мы в тельняшках"...
Выше в топике было обсуждение штатного файра Windows.
Увы, все сошлись во мнениях, что это:
- неудобный софт,
- недостаточно для рабочей станции (нет контроля исходящего траффика и приложений)

Если еще осталось желание попробовать - правила бери из шапки. RTFM!, короче
(а зачем еще мы все эти правила писали...)
Тебе надо включить: DNS (чтобы имена типа \\server понимал), ntoskrnl.exe (для обмена файлами через расшареные папки) и DHCP (если IP настраивается автоматически). Последнее - запрет всего и вся... хотя это imho XP не дает сделать.

мине главное чтобы всякие гадости извне меня не тревожили, т.к. у нас полно всякого народа, который даже антивирусом толком пользовать не может
накачает всякой херни, а она потом долбится ко всем

поэтому мне надо только перекрыть все, что не касается работы в сети, т.е. авторизация, лазить по чужим компам, общаться в чате и все

spike - А почему бы не взять продукт сторонних фирм? Или условия предполагают наличие лицензий, а платить неохота?

Цитата:

главное чтобы всякие гадости извне меня не тревожили

Этого ты вряд ли добьешься встроенным пакетом. Искренне советую что-нибудь простенькое с контролем приложений. Выбирай тут

Цитата:

общаться в чате

Чатов вообще туева хуча. И настройки у всех разные: коннект по mailslot'ам или с сервером, и т.д. Короче тут точно RTFM к чату.

bredonosec

Цитата:

платить неохота

imho, вопрос не актуален для .ru / .by / ..., если юзер не корпоративный.
к тому же есть и бесплатные (тот же SygatePersonal не Pro)

imho

Цитата:

вопрос не актуален для .ru / .by / ..., если юзер не корпоративный.

- Именно поэтому я и спросил про
Цитата:

условия предполагают

- Может, данный случай как раз не в ру/бай и к тому же предприятие.
spike
Для локалки предпочтительнее считаю пакетный файер. Потому как сетевой фильтр не способен блокировать некоторые пакости, возможные в локалке. (подробности обсуждались ранее)

bredonosec

Цитата:

Для локалки предпочтительнее считаю пакетный файер. Потому как сетевой фильтр не способен блокировать некоторые пакости

А что сетевой фильтр работает не с пакетами?

Цитата:

А что сетевой фильтр работает не с пакетами?

- Возможно, не так выразился, имел в виду те, что создают некое подобие виртуального промежуточного серва с броузером, и если там начинают происходить всякие пакости - не пускают траф дальше (это если я правильно понял принцип их работы) - как, например, тот же аутпост -

Цитата:

Это персональный брандмауэр, защищающий пользователей путем фильтрации входящего и исходящего сетевого трафика, контроля текущих соединений, выявления подозрительных действий. Программа также обеспечивает блокировку назойливой рекламы, ускорение работы с сетью, блокировку активного содержимого веб страниц.

Цитата:

MiniFAQ:
- оутпост персональный фаер, а не серверный,
- оутпост есть анализатор сетевой активности приложений, а не пакетный фаер, хотя в ядре это и реализовано,

По крайней мере, если прога работает с пакетами, производитель об этом сообщает.

может кто подскажет/поможет?
нужно переправить запросы софтины с её специфического порта на порт прокси корпоративки. что-то типа туннеля сквозь существующий прокси.

Сос! Как снять регистрацию, осталось 20 дней. Имеющийся код ввёл, но лезет прога на сайт. И хочет там зарегиться