Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-5000
1024-5000
20
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-5000
21, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 110, 143, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
1024-5000
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: WildGoblin, 17:14 24-03-2017
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOE_JOHN
Ребята, я не волшебник
207.44.236.84 = agnitum.com, навеняка проверяет апдейты или лицензию. В теме про оутпост наверняка знают, зачем он может ломиться на свой собственный хомяк.

Цитата:
А что запретить для svchost.exe

К сожалению, я не очень знаком с оутпостовским способом задавания правил, но если он их применяет по порядку до первого "сработавшего" то вначале можно разрешить сервер DHCP и два сервера DNS, а в конце запретить все.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 00:06 12-06-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В теме про оутпост наверняка знают, зачем он может ломиться на свой собственный хомяк.  
- Действительно, читал что-то подобное в той теме с полгода назад. Единственное, что запомнил - предположение, что запрет ставить 2 стены связан именно с нежеланием светить сию активность.. А если серьезнее - гляньте тему по посту.
 
 Про превентивный запрет на автообновление (или прощай "левая" регистрация) там тож написано.  
 
 
Добавлено

Цитата:
с локальных портов 1259,1223, 1204, 1304, 1238, 1322?
- млин.. ну это же просто случайные номера из диапазона 1024-5000, выделенного для веб-серфинга и прочей сетевой активности по дефолту..


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16056 | Зарегистр. 13-02-2003 | Отправлено: 00:46 12-06-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DOE_JOHN
 
bredonosec
 
Хочу заступиться за аутпост
Прошу прощения но прежде чем выдвигать довольно таки серьезные обвинения в адрес аутпоста,  проверьте пожалуйста еще раз что в аутпосте  
отключены
1) Automatic Check for Update
2) News download
3) Plugins information download.
Это все в Tools
 
Потому что до сих пор все сообщения про то что аутпост ломится на свой сайт без разрешения, оказались в конце концов неподтвержденными.
Один из моих компов с аутпостом сидит еще и  за корпоративной стеной на которой друг сисоп мониторил все мои соединения. Так вот я специально проверял и сообщаю следующий факт
 за 9 месяцев аутпост ни разу никуда сам по себе не ходил. Кроме PC Flank WhoEasy plugin, для выхода которого в сеть у меня стоит правило для Outpost (Allow remote Port Whois)  в самом аутпосте.
 

Всего записей: 627 | Зарегистр. 03-03-2002 | Отправлено: 01:37 12-06-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr

Цитата:
прежде чем выдвигать довольно таки серьезные обвинения  
- Вообще-то я не обвинял, только упомянул, что читал о таком предположении и предложил посмотреть первоисточник для более точной инфы.

Цитата:
до сих пор все сообщения про то что аутпост ломится на свой сайт без разрешения, оказались в конце концов неподтвержденными
- Чтож, прекрасно!  
 Спасибо за инфу про
Цитата:
2) News download  
3) Plugins information download
- буду знать. (когда юзал - только автоапдейт был актуален)


----------
Вопрос: 'Что человек курит?' как правило возникает не когда ты слышишь, как он дышит, а когда видишь, что он пишет
Пропеллер играет роль вентилятора, он останавливается -пилот потеет
Аськи нету.

Всего записей: 16056 | Зарегистр. 13-02-2003 | Отправлено: 15:51 12-06-2004
RRRrrr

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем re
 
хотел поинтересоваться есть ли особые настройки ICMP для аутпоста?

Всего записей: 2 | Зарегистр. 12-06-2004 | Отправлено: 18:31 13-06-2004
DOE_JOHN

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Звиняйте поднял шумиху. Действительно было включено грузить новости и информацию о модулях. Но все равно пусть outpost посидит в запрещенных приложениях.

Всего записей: 1595 | Зарегистр. 09-05-2004 | Отправлено: 23:08 18-06-2004
Gals2000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите пожалуйста! Какое нужно создать правило для svchost.exe? А то автоматом выставить неохота. Спасибо!

Всего записей: 120 | Зарегистр. 29-05-2002 | Отправлено: 20:54 23-06-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gals2000

Цитата:
правило для svchost.exe

svchost.exe поднимает системные процессы, и правила зависят от того в какой конфигурации ты работаешь - статический/динамический IP и т.д. В общем, командой ipconfig /all можно посмотреть есть ли сервера DNS и DHCP и создать для них правила (см. шапочку).

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 23:03 23-06-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Gals2000
 
 Посмотри рекомендации на  
http://www.outpostfirewall.com/forum/showthread.php?t=9858
там не только для svchost но для всего остального

Всего записей: 627 | Зарегистр. 03-03-2002 | Отправлено: 23:38 23-06-2004
Gals2000

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите plz. проверил свой Sygate на пробиваемость данных портов на сайте www.pcflank.com и получил следующие результаты:  
 Port:        Status     Service     Description  
  137-138   stealthed     n/a     n/a  
  135          closed         n/a     n/a  
  139          closed         n/a     n/a  
  445          closed         n/a     n/a  
Есть над чем беспокоиться или нет? А то www.pcflank.com рекомендует Agnitum Outpost, хотя настройки делал по faq. Установил на другую машину Agnitum Outpost настроил и таже картина! Да и там и там incoming TCP_UDP ports 135-139,445 - block!  

Всего записей: 120 | Зарегистр. 29-05-2002 | Отправлено: 19:25 24-06-2004 | Исправлено: Gals2000, 19:27 24-06-2004
Sky hawk



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Gals2000
Всё ровно друг.

----------
Волгоград в Фейсбуке
АвтоТвиттер
© каждый имеет мнение как хочет.

Всего записей: 2153 | Зарегистр. 31-10-2003 | Отправлено: 01:25 25-06-2004
dadu



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хотелось бы увидить комментарии знающих людей чем может грозить обычному пользователю сиЁ:

Цитата:
 Камински представил утилиту DomainCasting, которая позволяет отражать поток данных от серверов DNS

весь текст здесь
 
 
Добавлено
коментарии по проблеме и соотвесно по настройке файров.

Всего записей: 1218 | Зарегистр. 13-11-2002 | Отправлено: 09:00 28-06-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dadu - Если правильно понял из статьи, это относится к методам атак на ДНС сервы. То есть, уж никак не на персоналки.

Цитата:
Используя тысячи серверов DNS, вы можете пропускать множество анонимных данных через брандмауэры. Каминский также упомянул технологию Voice over DNS, которая позволяет использовать серверы DNS для передачи голосовых разговоров. Мы не будем особо вдаваться в детали, поскольку вы можете сами посетить сайт LayerOne и скачать комментарии к сессии.  
 
Во вторник, 16 июня, через два дня после сеанса, на DNS-серверы Akamai DNS была проведена крупная атака. Некоторые популярные сайты типа Yahoo, Google и Microsoft были несколько часов вне досягаемости. Хотя это, возможно, просто совпадение, но оно заставляет задуматься.  
С этой точки зрения,  
Цитата:
обычному пользователю сиЁ
никак не грозит.  
Но с другой стороны, фраза
Цитата:
В этом году Камински представил утилиту DomainCasting, которая позволяет отражать поток данных от серверов DNS.  
звучит как какой-то вид УДП спуфинга, результатом которого стало бы неправильное нахождение ДНС сервом ИПа сайта по имени, запрошенном юзером.. То есть, опять же, влияние на серв, а не пользователя (тем более, что этот вариант мне кажется слишком маловероятным)

Всего записей: 16056 | Зарегистр. 13-02-2003 | Отправлено: 09:35 28-06-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
dadu
Насколько я понял, описан способ абсолютно беспрепятственной передачи данных через ДНС, причем в обе стороны. Попозже загляну в RFC, но выглядит как ДНС-запрос, дополнительно несущий сворованные у юзера данные. Свой родной ДНС сервер не знает запрошенный домен и посылает запрос дальше, пока он не доходит до "подставного" ДНС сервера который эти данные вытаскивает. Подставной ДНС сервер (тут я предполагаю - точно не знаю) наверняка можно запустить если хакнуть другой сервер, поэтому и были проведены атаки через 2 дня после конференции.
Не судите строго - написал что понял

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 10:33 28-06-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подтверждается худший вариант... Попробуйте поискать в гугле "SSH over DNS". Приватная инфа может уходить теперь не только через Веб-контент.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 16:07 02-07-2004
bredonosec



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если интересно, залил сверстанный в ворд (для распечатки) обзор по аутпосту с ixbt.ru
Agnitum Outpost Firewall Pro 2.zip 8страниц, 2,3метра

Всего записей: 16056 | Зарегистр. 13-02-2003 | Отправлено: 20:48 02-07-2004 | Исправлено: bredonosec, 20:51 02-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кому нужен список стандартно используемых портов - RFC1700 (например _http://www.faqs.org/rfcs/rfc1700.html)

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 18:19 08-07-2004
Velimir



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
bredonosec  
dadu  
Насколько я понял, описан способ абсолютно беспрепятственной передачи данных через ДНС, причем в обе стороны. Попозже загляну в RFC, но выглядит как ДНС-запрос, дополнительно несущий сворованные у юзера данные. Свой родной ДНС сервер не знает запрошенный домен и посылает запрос дальше, пока он не доходит до "подставного" ДНС сервера который эти данные вытаскивает. Подставной ДНС сервер (тут я предполагаю - точно не знаю) наверняка можно запустить если хакнуть другой сервер, поэтому и были проведены атаки через 2 дня после конференции.  
Не судите строго - написал что понял

Теперь наверное я ни чего не понял.
Вопрос Кто нибудь исследовал логи файрволов по этому поводу.
Я например знаю IP своих DNS серверов. А как они будут выглядеть если пройдет
запрос отподмененных DNS - будет ли IP другим или изменится кол-во байт
в запросе .......Вобщем как это можно будет определить в логах.
(Получается нечто наподобии тунелинга через DNS что ли, или что-то не так)
Давайте этот вопрос не отпускать на самотек........

Всего записей: 398 | Зарегистр. 06-08-2003 | Отправлено: 09:06 09-07-2004
Looking



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Agnitum Outpost Firewall 2.1  
 
Удаленный пользователь может послать серию небольших TCP пакетов с установленными URG, PSH, SYN, и FIN флажками и со случайным IP адресом источника со скоростью более 90 kbps, чтобы аварийно завершить работу программы.  
 
Решение: Установите следующие значения в файле конфигурации outpost.ini:  
HideIcmpActivity=yes  
HideIpActivity=yes  
 
http://www.cyberinfo.ru/read.php?sname=yiz&articlealias=angnitiumoutpost

Всего записей: 1812 | Зарегистр. 02-06-2004 | Отправлено: 14:53 09-07-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Looking, уважаемый, это относится исключительно к Оутпосту, а посему просто обязано быть в его родном топике
 
Velimir
Тут такое дело... Исследовать логи не довелось, и сам предмет изучал исключительно по десятку статей в интернете. Пока что пришел к выводу, что

Цитата:
Получается нечто наподобии тунелинга через DNS

- лучше не скажешь.
Если я понимаю правильно, сами ДНС запросы не отличаются сильно от обычных, и тоже направлены на твой ДНС сервер. Это он сам их потом доставит куда надо.  Количество байт одного запроса контролировать невозможно, но если будет уходить что-то большее чем пароли, ДНС трафик должен ощутимо вырасти.

Всего записей: 1006 | Зарегистр. 13-12-2001 | Отправлено: 15:19 09-07-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru