Согласен с мнением, что это весьма дырявая и малонастраиваемая штука.
У встроенного фаервола от Майкрософт думаю более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.
Цитата
Для работы в локалке лучше нормальный пакетный файер, который будет иметь достаточно возможностей для блокировки пакетов всех мастей, а не только ТСР/ИР.
А что, у вас распространены локалки, которые под виндой на новеловском стеке протоколов работают?
Сам пользуюсь для защиты домашнего компьютера и выхода в интернет iptables на линукс-роутере.
У встроенного фаервола от Майкрософт думаю более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.
Нуну. Видел я этих тестеров. Для половины из них троян эта такая системная функция у виндоуз.
Цитата
А что, у вас распространены локалки, которые под виндой на новеловском стеке протоколов работают?
По идее? он имел ввиду не только TCP/UDP, но и GRE ICMP.
Просветите что это за "новеловском стеке протоколов"?
которые под виндой на новеловском стеке протоколов работают?
- А при чем тут новелл? Али желаете сказать, что кроме уровня приложений ни на каком уровне уязвимостей нету? Ни ICMP приколов, ни АРП снифа/флуда/доса? Ни прочих прелестей, хоть от того же УДП? Али это только желание умными словами покидаться?
Цитата
более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.
- И для закрытия каждой новопоявившейся дырки ежедневно бегать на винапдейт - искать свежие фиксы? А на мне это надо? Я который год сижу на 98 + стенка 2-летней давности. И никакая тварь не пролазит. Хотя изначально убивали в течение пары часов после подключения кабеля. Сможешь ты так спокойно сидеть используя только стенку выни (а не рутер на линуксе со спецсофтом в качестве посредника)? Сомневаюсь. Да и ты тоже. Иначе не использовал бы линь.
Помойму программные фаерволлы вообще на ARP уровне не работают.
Работают и очень даже эффективно Виснетик мой точно. Другие пакетные (винроут/проч), насколько слышал, тоже, но сам не юзал, подтвердить/опровергнуть не могу.
Цитата
А ICMP это часть протокола IP который вы упомянули
Да, заговорился С другой стороны, забыл уточнить такую приятную штуку, как МАС-блокировку - после чего атакующий может как угодно курочить свои пакеты, всё равно они дропятся. В отличие от стенок, работающих на более высоком уровне, которым такое может спровоцировать глюки/"выполнение произвольного кода"(С)M$.
Извини, я тупой и понимаю слова буквально. tcp/ip это стек протоколов, начиная от ip-уровня и заканчивая tcp, включая arp, rarp, icmp, igmp, udp и весь прикладной уровень. Пакеты, которые не относятся к tcp/ip, относятся к какому-нибудь другому стеку протоколов, например ipx/spx. От какого-нибудь арп спуфинга тебя фаервол не спасет в принципе. Также не уверен, что персональные виндовые фаерволы хорошо в плане скорости справляются с фрагментированными пакетами.
Цитата
- И для закрытия каждой новопоявившейся дырки ежедневно бегать на винапдейт - искать свежие фиксы?
Безопасность - это процесс . На вин или какой-нибудь еще апдейт тебе бегать в любом случае, если не для фаервола, так для тех сервисов, которые смотрят в локальную сеть. Пожалуй со встроенным нормально настроенным видновым фаерволом и свежепроапдейтеной виндой я буду чувствовать себя более спокойно, чем в 98 + стенкой 2-летней давности, особенно если за эти 2 года она не обновлялась. А почему я предпочел бы встроенный фаервол каким-нибудь хитрым хакам для аутпоста, которые включают нестандартные возможности, я уже говорил.
китайцы гады так и лезут... (к-во пакетов, к-во байт, правило) 15150 5964056 deny udp from any to me 1026,1027 in 12808 618988 deny tcp from any to me 1433 in советую всем такое включить (в смысле запретить)
точно точно, я каждый день в логах вижу попытки коннекта: root,admin, web,mail,postmaster и т.д. скоро будет как в том анекдоте: Китайцы взломали сервер Пентагона. Во взломе участвовал каждый китаец Каждый второй китаец назвал пароль Мао-Дзедун После 500 000 0000 попытки сервер согласился, что пароль Мао-Дзедун.
итайцы гады так и лезут... (к-во пакетов, к-во байт, правило) 15150 5964056 deny udp from any to me 1026,1027 in 12808 618988 deny tcp from any to me 1433 in советую всем такое включить (в смысле запретить)
Вы кажется ошиблись с 1024 порта идет пулл портов для противоположной стороны при соединении.
Т.е. Если ваш браузер открывает порт 80 на сервере www.google.com то в свою очередь у вас открывается порт начиная от 1024.
Т.е. заблокировав эти порты вы можете вообще закрыть доступ к интернету.
От какого-нибудь арп спуфинга тебя фаервол не спасет в принципе.
Спасает. Ловлю по маку и плевать, что он мне пытается впарить. АРП пропускается только с одной конкретной машины. Остальные идут лесом.
Цитата
Также не уверен, что персональные виндовые фаерволы хорошо в плане скорости справляются с фрагментированными пакетами.
Аналогично. Правило по дефолту - неопознанные дропить. В других правилах также встречается (где необходимо) фрагменты дропить.
Цитата
Безопасность - это процесс
На соседнем форуме недавно подымался вопрос, что для чего - машина для гаража, али гараж для машины. Пришли к выводу, что таки гараж для машины. А комп для работы, а не развлечения в виде поиска вредоносных жуков с шотган... то есть, твикером да регедитом в руках, да регулярные заходы на мелких для пополнения боекомпле.. то есть, поиска свежих фиксов.
Цитата
каким-нибудь хитрым хакам для аутпоста
Пост - это к петровичу. у меня другое, читать надыть внимательнее.
Цитата
Извини, я тупой и понимаю слова буквально. tcp/ip это стек протоколов, начиная от ip-уровня и заканчивая tcp, включая arp, rarp, icmp, igmp, udp и весь прикладной уровень.
Я тож понимаю буквально. И таки делю протоколы по уровням и типам. Не обозначая двумя всё множество. Причем, почему-то (совсем тупой, наверно) считаю, что уровней 7 а не 2.
Добавлено в [mergetime]1127428903[/mergetime]
Цитата
итайцы гады так и лезут... (к-во пакетов, к-во байт, правило) 15150 5964056 deny udp from any to me 1026,1027 in 12808 618988 deny tcp from any to me 1433 in советую всем такое включить (в смысле запретить)
Вы кажется ошиблись с 1024 порта идет пулл портов для противоположной стороны при соединении.
Т.е. Если ваш браузер открывает порт 80 на сервере www.google.com то в свою очередь у вас открывается порт начиная от 1024.
Т.е. заблокировав эти порты вы можете вообще закрыть доступ к интернету.
- Вообще-то для инета динамически назначаются порты от 1024 до 5000 (можно в настройках это дело подредактить), но по протоколу ТСР. А если по удп, да с тучи разных адресов (чтоб не было возможности забанить по ИПу), да исключительно по этим портам - да пускай. Тем более, что броузер в первое включение кидает обычно 3 пакета по последовательным 3 портам. 1026,1027,1028. Если жмакнуть ф5, (ака рефреш), то пойдут следующие. То есть, даже в случае наезда по ТСР закрытие пары из диапазона не было б критичным.
Ловлю по маку и плевать, что он мне пытается впарить. АРП пропускается только с одной конкретной машины. Остальные идут лесом.
Все дело в том, что арп-фильтрация берет заголовок арп-пакета, а не его содержимое. Твоя схема хорошо работает, когда в сети тебе нужен только один компьютер. А когда более одного - можно предварительно стать другим компьютером (на канальном и сетевом уровне) и пускать твой трафик через себя.
Цитата
А комп для работы, а не развлечения в виде поиска вредоносных жуков с шотган... то есть, твикером да регедитом в руках, да регулярные заходы на мелких для пополнения боекомпле.. то есть, поиска свежих фиксов
Если говорить в общем - то фиксы искать все же стоит. Иначе развлчений в виде восстановления информации или системы может быть слишком много.
Цитата
Пост - это к петровичу. у меня другое, читать надыть внимательнее.
Читать нужно внимательней тебе, я про ситуацию Пэтро как раз и писал.
Цитата
Я тож понимаю буквально. И таки делю протоколы по уровням и типам. Не обозначая двумя всё множество. Причем, почему-то (совсем тупой, наверно) считаю, что уровней 7 а не 2.
А где я писал про то, что всего лишь 2 уровня? tcp/ip - общепринятое обозначение для всего стека протоколов, а не только для протокола tcp и протокола ip.
Цитата
- Вообще-то для инета динамически назначаются порты от 1024 до 5000 (можно в настройках это дело подредактить)
Ну и где ты видел, скажем, в броузере, возможность редактирования исходящих портов???
А когда более одного - можно предварительно стать другим компьютером (на канальном и сетевом уровне) и пускать твой трафик через себя.
А на каком уровне работает МАС, позвольте поинтересоваться?
Цитата
Если говорить в общем - то фиксы искать все же стоит. Иначе развлчений в виде восстановления информации или системы может быть слишком много.
- В общем - проглядывать-проглядываю. Но ставлю только то, что выходит за рамки защиты (частично уровень 7). То есть, заплаты к ИЕ, поскольку программное обеспечение стена не контролирует, только пакеты.
Цитата
Читать нужно внимательней тебе, я про ситуацию Пэтро как раз и писал.
Ну а смысл мне? Просто заодно? Что этим доказать? :?
Цитата
Ну и где ты видел, скажем, в броузере, возможность редактирования исходящих портов???
- не в броузере. В реестре. звтра-послезавтра поищу, сегодня спать хочу уже дико..
да, точно, запамятовал, что удаленный порт, а локальные те же, да по удп.. Но, с другой стороны, учитывая размер стека портов, насколько эти глюки вероятны.. да и обычный рефреш дело решит если что..
bredonosec Ну да будешь каждый раз рефрешить. И то не поможет.
Когда программа подключается к порту например 80 она у себя открывает например 1025 данные идти не будут и она не поставит 1025 в чтото типа блеклиста. Она будет каждый раз пытаться открыть 1025. Причем это даже не сама программа, а поддержка в сети виндоуз. Сама программа вообще не знает какой порт откроется, а получает его в качестве параметра возврата из процедуры.
Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.
А на каком уровне работает МАС, позвольте поинтересоваться?
MAC адреса - это адреса канального уровня. Пэтро
Цитата
Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.
Нам же нужно не перекрывать их совсем, а перекрывать новые соединения, которые приходят к нам из внешнего мира на эти порты. В таких ситуациях помогают stateful фаерволы, которые умеют фильтровать пакеты в зависимости от состояния соединения, которому этот пакет принадлежит.
Когда программа подключается к порту например 80 она у себя открывает например 1025 данные идти не будут и она не поставит 1025 в чтото типа блеклиста. Она будет каждый раз пытаться открыть 1025. Причем это даже не сама программа, а поддержка в сети виндоуз.
- насколько глядел логи, первое соединение с сетью - удп по 1026 порту.(на 53 - днс), после чего ТСР на 1027 и т д На порт 1024 или 1025 почему-то ни разу не попадалось. (попробую поискать среди старых логов - может, где и был такой.... )
alexk
Цитата
MAC адреса - это адреса канального уровня.
Угу Что и требовалось доказать. И как, позвольте поинтересоваться, можно использовать этот уровень, если его стенка также фильтрует?
Цитата
таких ситуациях помогают stateful фаерволы, которые умеют фильтровать пакеты в зависимости от состояния соединения, которому этот пакет принадлежит.
- точнее, использующие понятие stateful inspection (при приеме пакета извне идет проверка, запрашивался ли такой пакет по такому порту и протоколу с такого адреса. Если нет - до свидания.) Моя стена также это имеет.
Да, как обещал, *относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534