Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Открыть новую тему     Написать ответ в эту тему

Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю тему по настройке персональных файерволов. Все что знаю, написал ниже. Пользуйтесь, добавляйте... Кстати, для всех перепечаток добавьте также (c) на форум. Конструктивная критика приветствуется, на всю остальную буду реагировать неадекватно :) Особо буду благодарен за дырку в безопасности, если такая будет найдена.
Предыдущий вид шапки в отдельном файле.- общая информация, советы.


Таблица настройки правил брандмауэров
Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
comment:
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CIFS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers  
FTP-clients
active mode
TCP
TCP
1024-65535
1024-65535
20 1-65535
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-65535
21, 2121, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 80, 110, 143, 443, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
80, 443, 1024-65535
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block

*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено  
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534

 
Дополнительная информация по портам (Спасибо bredonosec)
ports.txt   ports.html
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)
http://portforward.com/cports.htm (Port Forwarding Ports List, eng)
http://www.pcflank.com/fw_rules_db.htm (правила для разных приложений, eng, спасибо Spectr)
http://www.iana.org/assignments/port-numbers (Спасибо Tim72)
Special Application Port  List New
 
Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm
 Инфа по сетям - временно тут: NetworkingNotes txs to SXP (c)Bredonosec
 
KB951748-решение проблемы для DNS:разрешаем локальные порты 1024:5000 и 49152:65535  
Или просто не ставить/удалить  
 
Убедительная просьба - проблемы конкретных файерволов обсуждать в соответствующих топиках. В этом топике собирается инфа о протоколах и портах, не имеющих отношения к какому-либо конкретному файерволу. Спасибо за понимание.

Подобные и соответствующие топики на форуме:
Microsoft Windows » Тонкая настройка брандмауэра Windows
Microsoft Windows » Disable Telemetry Windows 7 and next
Тестирование » Бесконтрольность Windows 10
. . . .

Рабочая копия-архив шапки #

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 15:21 27-03-2004 | Исправлено: Muznark, 13:31 26-08-2022
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bredonosec
Слишком она популистская и неточная у них. Не обьясняет, как что работает, а это полезно только если есть определенный уровень знаний. У нас шапочка точнее и есть обьяснения

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 22:24 02-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предлагаю общественности проверить настройку своих файерволов на leaktests
 
ссылки есть на  
http://www.pcflank.com/art41b.htm
 
Особенно рекомендую  
pcAudit
http://www.pcinternetpatrol.com/
 
Две недели назад меня очень напугал этот тест показав что все мои ухищрения по настройке аутпоста были легко обойдены и вся информация с моей клавиатуры и моего диска легко и без моего ведома ушла  с моего компьютера несмотря на жесткие правила на выпуск программ в интернет.
А ведь настройки были строго в соотвествии с рекомендациями производителя и общественности на форумах (и как в таблице в шапке).  Знаю решение проблемы но только для аутопоста, и там я уже писал об этом.
 
Любопытно было  бы знать как эти тесты проходят на других файерволах.
Кому не лень проверить свои файерволы?
 
Может быть стоит дать ссылку на тесты в шапке???

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 23:43 02-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
В принципе, такие ссылки уже есть в теме "Лучший файервол"... Там их целых два, но может быть это другой
У меня писиаудит не вылез.

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:07 03-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
 
Sorry, не знал про эту тему, пойду читать

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 00:17 03-04-2004
estimated



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
У меня писиаудит не вылез

А у меня вылезает (под админом на XP)  
Насколько я помню, у тебя тоже Kerio 2.1.5, но для инета ты используешь юзера с ограниченными правами - может как раз из-за этого у тебя он не проходит?
 
Насколько я понял, этот pcAudit использует механизм DLL Injection (внедрение своей dll  в адресное пространство другой программы). В качестве этой "другой программы" pcAudit пытается использовать все запущенные процессы.
 
Если я ставлю первым правилом (наивысший приритет в Kerio 2.1.5) deny all <-->, то pcAudit не проходит. Но  если просто деактивирую все правила, разрешающие исходящие соединения (без первого deny all), а потом вручную жму "Deny" при каждом запросе - то pcAudit проходит. И почему это происходит - я пока не понял...  В чем может быть дело?

Всего записей: 1088 | Зарегистр. 15-02-2002 | Отправлено: 01:33 03-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
estimated
Так с ходу сказать не могу. Только что опять запустил, в активных соединениях было видно как он "пробует" каждый активный процесс, так что наверное дело не в юзере который не админ. Ради интереса запустил из-под админа - тот-же результат, но он отработал секунды за 3, а из-под лимитед тужился минут 5. Единственная вещь, на которую можно обратить внимание - это чекбокс "Check MD5" - у тебя отмечен?

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 02:25 03-04-2004
nickddd

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
estimated

Цитата:
Если я ставлю первым правилом (наивысший приритет в Kerio 2.1.5) deny all <-->, то pcAudit не проходит. Но  если просто деактивирую все правила, разрешающие исходящие соединения (без первого deny all), а потом вручную жму "Deny" при каждом запросе - то pcAudit проходит. И почему это происходит - я пока не понял...  В чем может быть дело?

У меня ATGuard и то же самое. Дырку я нашел, но файрвол тут ни при чем. Стоит у меня локальный прокси - squid. Через него все и проходит. Что с этим делать пока не понял. Или в сквиде что-то настраивать (я его всего 2 недели юзаю, еще не разобрался) или в винде секурити крутить.

Всего записей: 860 | Зарегистр. 03-03-2003 | Отправлено: 13:18 03-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
estimated
Утро вечера муд...
Когда писиаудит проходит по активным процессам, я заметил что они по порядку начинают слушать (listen). Поэтому можно предположить что он пытаеться сделать из каждого процесса прокси-сервер и через него выйти наружу. У меня loopback не разрешен, поэтому скорее всего сам писиаудит блокируется когда пытается подсоединиться к свежесозданным проксикам.
 
Добавлено
Разрешил loopback. Писиаудит вылез

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 14:04 03-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
Можно поподробнее про  loopback?  
127.0.0.1 что ли прикрыть надо?
Результат плачевный, что с loopback что без него, все равно страничку выдает. Через оперу проскакивает остальные процессы оутпост блокирует.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 17:56 03-04-2004 | Исправлено: wezir, 18:29 03-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir

Цитата:
Можно поподробнее про  loopback?  
127.0.0.1 что ли прикрыть надо?  

 
 
 Вот рекомендации что я надыбал на форумах

Цитата:
 
Disable "Allow Loopback" Rule
 
The "Allow Loopback" global rule included in the default configuration presents a significant security risk to those using proxy servers (software like AnalogX Proxy, Proxomitron, WebWasher and some anti-spam/anti-virus software) since it allows any application not specifically blocked to access the Internet using the rules set up for the proxy. Disabling or deleting this rule removes this possibility.
 
Benefits: Prevents proxy server rules from being exploited by untrusted software.
Costs: Every application using a proxy server (e.g. web browser with Proxomitron, etc) will need an extra rule to allow access to the proxy (the one suggested by the Rules Wizard should be sufficient in most cases).
 

 
После того как я запретил loopback  в глобальных правилах, за 2 недели мне пришлось лишь дважды разрешить его для конкретных приложений (NERO and Serv-U administrator)
Другие пока не просятся. Но и прохи у меня нет.

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 18:37 03-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А просто в виндовс отключить данный сервис можно?

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 19:09 03-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir

Цитата:
А просто в виндовс отключить данный сервис можно?

 
А нет  такого сервиса !!!!  
Да и сам loopback нужен -  Достаточно просто разрешить тем кому он нужен а не всем подряд
Для Serv-U он жизненео нужен!!!
 

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 19:41 03-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
All
Так, дело не в loopback. После того, как он один раз вылез, я не смог вернуть систему в прежнее состояние, даже восстановив ее с имиджа. Принудительный запрет дела не меняет. Если кто знает почему - откликнитесь...

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 20:40 03-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
А что с системой то?

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 23:04 03-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg

Цитата:
После того, как он один раз вылез, я не смог вернуть систему в прежнее состояние, даже восстановив ее с имиджа.

 
А можно пожалуйста по-подробнее:
в какое такое прежнее состояние? Что поломалось то??
 
Уменя после многократных тестирований в том числе pcAudit  никаких необратимых последствий не было, да и невозможно это. Это же тест всего лишь.
Единственное что пришлось сделать так вычистить призраки-клоны  рсаудита из списка разрешенных (зарегистрированных) dll in components details

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 23:31 03-04-2004
Karlsberg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
Spectr
Дозапускал pcaudit... Решил поиграться и посмотреть, почему у меня все пучком, а у других нет. После разрешенного loopback он таки вылез на свой сайт, показал мой десктоп, в общем, все как у людей. После этого убрал loopback, а pcaudit продолжает спокойно проходить сквозь файервол. Восстановился с имиджа, та-же проблема. Теперь сижу и вспоминаю, что-же я такое натвикал с тех пор, как сделал этот имидж...
Из описания принципа работы pcaudit вообще не понятно, как файервол может ее поймать. Это скорее функция операционки, а не файервола. Вот такие пироги...

Всего записей: 1008 | Зарегистр. 13-12-2001 | Отправлено: 00:44 04-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Karlsberg
 
Может оно и к лучшему, зато придется выяснить все-таки правильную настройку файервола.
К сожалению помочь не могу так как у меня аутпост - в нем  вся изюминка была в том чтобы запретить в правилах explorer.exe. Именно он позволял обойти component control.
После запрета explorer   даже при разрешонном loopback аутпост начинал предупреждать про ранее неизвестную dll  в составе хорошо известных и разрешенных к выходу программ

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 12:30 04-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня только через браузер проскакивает, остальные приложения файрволом блокируются независимо разрешен loopback или нет.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 12:41 04-04-2004
Spectr



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wezir
а какая стена?
Потому что если проскакивает через броузер, то пора сливать воду (точнее менять стенку, если конечно она настроена правильно)
Прошу прощения за оффтоп, но
вот результаты тестирования стен
http://www.pcflank.com/art41c.htm

Всего записей: 632 | Зарегистр. 03-03-2002 | Отправлено: 13:15 04-04-2004
wezir



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spectr
Agnitum
Но во всех других тестах он держит все на ура, в чем причина не могу понять, пропускает только PCAaudit и что интересно контроль компонентов у меня даже не дергается.
 
http://www.pcflank.com/art41c.htm здесь никаких проблем не наблюдается.

Всего записей: 652 | Зарегистр. 02-06-2002 | Отправлено: 13:34 04-04-2004 | Исправлено: wezir, 13:42 04-04-2004
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru