Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

Страницы: (3) 1 2 3  ( Перейти к первому непрочитанному сообщению ) Start new topic Start Poll 

> А какой ПЕРСОНАЛЬНЫЙ файрвол вы используете?, личные предпочтения
alexk | Профиль
Дата 22 Сентября, 2005, 16:34
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


bredonosec
Цитата
Согласен с мнением, что это весьма дырявая и малонастраиваемая штука.

У встроенного фаервола от Майкрософт думаю более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.
Цитата

Для работы в локалке лучше нормальный пакетный файер, который будет иметь достаточно возможностей для блокировки пакетов всех мастей, а не только ТСР/ИР.

А что, у вас распространены локалки, которые под виндой на новеловском стеке протоколов работают?

Сам пользуюсь для защиты домашнего компьютера и выхода в интернет iptables на линукс-роутере.


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
3/13986   
Пэтро | Профиль
Дата 22 Сентября, 2005, 18:26
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Цитата
У встроенного фаервола от Майкрософт думаю более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.


Нуну. Видел я этих тестеров. Для половины из них троян эта такая системная функция у виндоуз.

Цитата
А что, у вас распространены локалки, которые под виндой на новеловском стеке протоколов работают?


По идее? он имел ввиду не только TCP/UDP, но и GRE ICMP.

Просветите что это за "новеловском стеке протоколов"?
PMEmail Poster
3/20840   
alexk | Профиль
Дата 22 Сентября, 2005, 18:47
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Пэтро
Цитата
Нуну. Видел я этих тестеров. Для половины из них троян эта такая системная функция у виндоуз.

Ты видел 5 человек, 10, 20 и 100. По всему миру их миллионы. Срабатывает элементарная статистика.
Цитата

Просветите что это за "новеловском стеке протоколов"?

ipx/spx


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
bredonosec | Профиль
Дата 22 Сентября, 2005, 19:00
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


Цитата
которые под виндой на новеловском стеке протоколов работают?
- А при чем тут новелл? Али желаете сказать, что кроме уровня приложений ни на каком уровне уязвимостей нету? Ни ICMP приколов, ни АРП снифа/флуда/доса? Ни прочих прелестей, хоть от того же УДП?
Али это только желание умными словами покидаться?
Цитата
более половины пользователей xp sp2 - потенциальные тестеры, поэтому шансы, что критическая уязвимость в их продуктах пройдет незамеченной гораздо меньше, чем для разработчиков outpost и подобных ему фаерволов.
- И для закрытия каждой новопоявившейся дырки ежедневно бегать на винапдейт - искать свежие фиксы? А на мне это надо? Я который год сижу на 98 + стенка 2-летней давности. И никакая тварь не пролазит. Хотя изначально убивали в течение пары часов после подключения кабеля. Сможешь ты так спокойно сидеть используя только стенку выни (а не рутер на линуксе со спецсофтом в качестве посредника)? Сомневаюсь. Да и ты тоже. Иначе не использовал бы линь.


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
3/12892   
Пэтро | Профиль
Дата 22 Сентября, 2005, 19:20
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Цитата
Просветите что это за "новеловском стеке протоколов"?

ipx/spx


Точно точно. Но они ж насколько я знаю заканчиваются на внутренней сети.
И насколько я знаю троянов експлоитов под них нет.

Цитата
ни АРП снифа/флуда/доса


Помойму программные фаерволлы вообще на ARP уровне не работают. Для этого как правило используют Аппаратные устройства.

А ICMP это часть протокола IP который вы упомянули.
PMEmail Poster
3/20840   
bredonosec | Профиль
Дата 22 Сентября, 2005, 19:31
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


Цитата
Помойму программные фаерволлы вообще на ARP уровне не работают.
Работают и очень даже эффективно smile.gif Виснетик мой точно.
Другие пакетные (винроут/проч), насколько слышал, тоже, но сам не юзал, подтвердить/опровергнуть не могу.
Цитата
А ICMP это часть протокола IP который вы упомянули
Да, заговорился smile.gif
С другой стороны, забыл уточнить такую приятную штуку, как МАС-блокировку - после чего атакующий может как угодно курочить свои пакеты, всё равно они дропятся. В отличие от стенок, работающих на более высоком уровне, которым такое может спровоцировать глюки/"выполнение произвольного кода"(С)M$.


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
1/12892   
alexk | Профиль
Дата 22 Сентября, 2005, 19:40
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


bredonosec
Цитата
Али это только желание умными словами покидаться?

Извини, я тупой и понимаю слова буквально. tcp/ip это стек протоколов, начиная от ip-уровня и заканчивая tcp, включая arp, rarp, icmp, igmp, udp и весь прикладной уровень. Пакеты, которые не относятся к tcp/ip, относятся к какому-нибудь другому стеку протоколов, например ipx/spx.
От какого-нибудь арп спуфинга тебя фаервол не спасет в принципе. Также не уверен, что персональные виндовые фаерволы хорошо в плане скорости справляются с фрагментированными пакетами.
Цитата

- И для закрытия каждой новопоявившейся дырки ежедневно бегать на винапдейт - искать свежие фиксы?

Безопасность - это процесс smile.gif. На вин или какой-нибудь еще апдейт тебе бегать в любом случае, если не для фаервола, так для тех сервисов, которые смотрят в локальную сеть.
Пожалуй со встроенным нормально настроенным видновым фаерволом и свежепроапдейтеной виндой я буду чувствовать себя более спокойно, чем в 98 + стенкой 2-летней давности, особенно если за эти 2 года она не обновлялась. А почему я предпочел бы встроенный фаервол каким-нибудь хитрым хакам для аутпоста, которые включают нестандартные возможности,
я уже говорил.




____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
1/13986   
Eugene | Профиль
Дата 22 Сентября, 2005, 19:43
Quote Post



Юджин
Group Icon

Группа: VIP
Сообщений: 2047
Регистрация: 12.08.03
Авторитет: 8
Вне форума

Предупреждения:
(0%) -----


китайцы гады так и лезут...
(к-во пакетов, к-во байт, правило)
15150 5964056 deny udp from any to me 1026,1027 in
12808 618988 deny tcp from any to me 1433 in
советую всем такое включить (в смысле запретить)


____________________
Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.
PMEmail Poster
alexk | Профиль
Дата 22 Сентября, 2005, 19:48
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Eugene
Цитата
китайцы гады так и лезут...

точно точно, я каждый день в логах вижу попытки коннекта:
root,admin, web,mail,postmaster и т.д.
скоро будет как в том анекдоте:
Китайцы взломали сервер Пентагона.
Во взломе участвовал каждый китаец
Каждый второй китаец назвал пароль Мао-Дзедун
После 500 000 0000 попытки сервер согласился, что пароль Мао-Дзедун.
lol.gif


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
1/13986   
Rumata | Профиль
Дата 22 Сентября, 2005, 20:04
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



220.138.46.253 Taiwan, а так Gemany пыталось приконектиться оч долго 12 и 19 сентября + Spain, все попытки впарить трояна, блокируеться по умолчанию


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
Пэтро | Профиль
Дата 22 Сентября, 2005, 20:12
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Цитата
итайцы гады так и лезут... (к-во пакетов, к-во байт, правило) 15150 5964056 deny udp from any to me 1026,1027 in 12808 618988 deny tcp from any to me 1433 in советую всем такое включить (в смысле запретить)


Вы кажется ошиблись с 1024 порта идет пулл портов для противоположной стороны при соединении.

Т.е. Если ваш браузер открывает порт 80 на сервере www.google.com то в свою очередь у вас открывается порт начиная от 1024.

Т.е. заблокировав эти порты вы можете вообще закрыть доступ к интернету.
PMEmail Poster
2/20840   
bredonosec | Профиль
Дата 23 Сентября, 2005, 2:37
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


Цитата
От какого-нибудь арп спуфинга тебя фаервол не спасет в принципе.
Спасает. smile.gif Ловлю по маку и плевать, что он мне пытается впарить. АРП пропускается только с одной конкретной машины. Остальные идут лесом.
Цитата
Также не уверен, что персональные виндовые фаерволы хорошо в плане скорости справляются с фрагментированными пакетами.
Аналогично. Правило по дефолту - неопознанные дропить.
В других правилах также встречается (где необходимо) фрагменты дропить.
Цитата
Безопасность - это процесс
На соседнем форуме недавно подымался вопрос, что для чего - машина для гаража, али гараж для машины. Пришли к выводу, что таки гараж для машины. А комп для работы, а не развлечения в виде поиска вредоносных жуков с шотган... то есть, твикером да регедитом в руках, да регулярные заходы на мелких для пополнения боекомпле.. то есть, поиска свежих фиксов. bigwink.gif

Цитата
каким-нибудь хитрым хакам для аутпоста
Пост - это к петровичу. у меня другое, читать надыть внимательнее.
Цитата
Извини, я тупой и понимаю слова буквально. tcp/ip это стек протоколов, начиная от ip-уровня и заканчивая tcp, включая arp, rarp, icmp, igmp, udp и весь прикладной уровень.
Я тож понимаю буквально. И таки делю протоколы по уровням и типам. Не обозначая двумя всё множество.
Причем, почему-то (совсем тупой, наверно) считаю, что уровней 7 а не 2. wink.gif

Добавлено в 02:41
Цитата
итайцы гады так и лезут... (к-во пакетов, к-во байт, правило) 15150 5964056 deny udp from any to me 1026,1027 in 12808 618988 deny tcp from any to me 1433 in советую всем такое включить (в смысле запретить)

Вы кажется ошиблись с 1024 порта идет пулл портов для противоположной стороны при соединении.

Т.е. Если ваш браузер открывает порт 80 на сервере www.google.com то в свою очередь у вас открывается порт начиная от 1024.

Т.е. заблокировав эти порты вы можете вообще закрыть доступ к интернету.
- Вообще-то для инета динамически назначаются порты от 1024 до 5000 (можно в настройках это дело подредактить), но по протоколу ТСР. А если по удп, да с тучи разных адресов (чтоб не было возможности забанить по ИПу), да исключительно по этим портам - да пускай. smile.gif
Тем более, что броузер в первое включение кидает обычно 3 пакета по последовательным 3 портам. 1026,1027,1028. Если жмакнуть ф5, (ака рефреш), то пойдут следующие. То есть, даже в случае наезда по ТСР закрытие пары из диапазона не было б критичным. cool.gif


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
3/12892   
alexk | Профиль
Дата 23 Сентября, 2005, 12:18
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


Цитата
Ловлю по маку и плевать, что он мне пытается впарить.  АРП пропускается только с одной конкретной машины. Остальные идут лесом.

Все дело в том, что арп-фильтрация берет заголовок арп-пакета, а не его содержимое. Твоя схема хорошо работает, когда в сети тебе нужен только один компьютер. А когда более одного - можно предварительно стать другим компьютером (на канальном и сетевом уровне) и пускать твой трафик через себя.
Цитата

А комп для работы, а не развлечения в виде поиска вредоносных жуков с шотган... то есть, твикером да регедитом в руках, да регулярные заходы на мелких для пополнения боекомпле.. то есть, поиска свежих фиксов

Если говорить в общем - то фиксы искать все же стоит. Иначе развлчений в виде восстановления информации или системы может быть слишком много.
Цитата
Пост - это к петровичу. у меня другое, читать надыть внимательнее.

Читать нужно внимательней тебе, я про ситуацию Пэтро как раз и писал.
Цитата

Я тож понимаю буквально. И таки делю протоколы по уровням и типам. Не обозначая двумя всё множество.
Причем, почему-то (совсем тупой, наверно) считаю, что уровней 7 а не 2.

А где я писал про то, что всего лишь 2 уровня?
tcp/ip - общепринятое обозначение для всего стека протоколов, а не только для протокола tcp и протокола ip.
Цитата

- Вообще-то для инета динамически назначаются порты от 1024 до 5000 (можно в настройках это дело подредактить)

Ну и где ты видел, скажем, в броузере, возможность редактирования исходящих портов???


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
17/13986   
Eugene | Профиль
Дата 23 Сентября, 2005, 14:02
Quote Post



Юджин
Group Icon

Группа: VIP
Сообщений: 2047
Регистрация: 12.08.03
Авторитет: 8
Вне форума

Предупреждения:
(0%) -----


Цитата
Т.е. заблокировав эти порты вы можете вообще закрыть доступ к интернету.

но дело в том что это UDP а не TCP
те броузер будет пахать аж бегом
но вот DNS например может иногда глючить


____________________
Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.
PMEmail Poster
2/5791   
bredonosec | Профиль
Дата 24 Сентября, 2005, 2:29
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


Цитата
А когда более одного - можно предварительно стать другим компьютером (на канальном и сетевом уровне) и пускать твой трафик через себя.
А на каком уровне работает МАС, позвольте поинтересоваться? wink.gif
Цитата
Если говорить в общем - то фиксы искать все же стоит. Иначе развлчений в виде восстановления информации или системы может быть слишком много.
- В общем - проглядывать-проглядываю. Но ставлю только то, что выходит за рамки защиты (частично уровень 7). То есть, заплаты к ИЕ, поскольку программное обеспечение стена не контролирует, только пакеты.
Цитата
Читать нужно внимательней тебе, я про ситуацию Пэтро как раз и писал.
Ну а смысл мне? Просто заодно? Что этим доказать? :?
Цитата
Ну и где ты видел, скажем, в броузере, возможность редактирования исходящих портов???
- не в броузере. В реестре. звтра-послезавтра поищу, сегодня спать хочу уже дико..
Цитата
но вот DNS например может иногда глючить
А это вообще порт53.. к чему вы его сюды? :?


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
1/12892   
Eugene | Профиль
Дата 24 Сентября, 2005, 9:37
Quote Post



Юджин
Group Icon

Группа: VIP
Сообщений: 2047
Регистрация: 12.08.03
Авторитет: 8
Вне форума

Предупреждения:
(0%) -----


коннектится к порту 53
с порта 1024,1025,1026,1027 и тд
(пассивного сокета для приема данных от днс-сервера)


____________________
Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.
PMEmail Poster
1/5791   
bredonosec | Профиль
Дата 24 Сентября, 2005, 12:50
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


да, точно, запамятовал, что удаленный порт, а локальные те же, да по удп..
Но, с другой стороны, учитывая размер стека портов, насколько эти глюки вероятны.. да и обычный рефреш дело решит если что..


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
Пэтро | Профиль
Дата 24 Сентября, 2005, 23:46
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


bredonosec
Ну да будешь каждый раз рефрешить. И то не поможет.

Когда программа подключается к порту например 80 она у себя открывает например 1025 данные идти не будут и она не поставит 1025 в чтото типа блеклиста. Она будет каждый раз пытаться открыть 1025. Причем это даже не сама программа, а поддержка в сети виндоуз. Сама программа вообще не знает какой порт откроется, а получает его в качестве параметра возврата из процедуры.


Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.
PMEmail Poster
3/20840   
alexk | Профиль
Дата 25 Сентября, 2005, 16:50
Quote Post



Отъявленный самурай
Group Icon

Группа: Старожил
Сообщений: 2676
Регистрация: 10.02.04
Авторитет: 5
Вне форума

Предупреждения:
(0%) -----


bredonosec
Цитата

А на каком уровне работает МАС, позвольте поинтересоваться?

MAC адреса - это адреса канального уровня.
Пэтро
Цитата

Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.

Нам же нужно не перекрывать их совсем, а перекрывать новые соединения, которые приходят к нам из внешнего мира на эти порты. В таких ситуациях помогают stateful фаерволы, которые умеют фильтровать пакеты в зависимости от состояния соединения, которому этот пакет принадлежит.


____________________
If you're determined to reinvent the wheel, at least try to invent a better one - Larry Wall
PMEmail Poster
1/13986   
bredonosec | Профиль
Дата 26 Сентября, 2005, 3:21
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


Цитата
Когда программа подключается к порту например 80 она у себя открывает например 1025 данные идти не будут и она не поставит 1025 в чтото типа блеклиста. Она будет каждый раз пытаться открыть 1025. Причем это даже не сама программа, а поддержка в сети виндоуз.
- насколько глядел логи, первое соединение с сетью - удп по 1026 порту.(на 53 - днс), после чего ТСР на 1027 и т д
На порт 1024 или 1025 почему-то ни разу не попадалось. (попробую поискать среди старых логов - может, где и был такой.... )

alexk
Цитата
MAC адреса - это адреса канального уровня.
Угу smile.gif Что и требовалось доказать. smile.gif
И как, позвольте поинтересоваться, можно использовать этот уровень, если его стенка также фильтрует?
Цитата
таких ситуациях помогают stateful фаерволы, которые умеют фильтровать пакеты в зависимости от состояния соединения, которому этот пакет принадлежит.
- точнее, использующие понятие stateful inspection (при приеме пакета извне идет проверка, запрашивался ли такой пакет по такому порту и протоколу с такого адреса. Если нет - до свидания.) Моя стена также это имеет.

Да, как обещал,
*относительно диапазона локальных TCP портов (1024-5000)- 5000 значение по умолчанию, на NT based может быть изменено
ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters |-> MaxUserPort | тип DWORD | valid значения 5000-65534


(С)шапка темы Компьютерный форум Ru.Board » Компьютеры » Программы » Настройка персональных файерволов (firewall rules)
/в сборке которой ваш покорный слуга принимал живейшее участие blush2.gif /

Добавлено в 03:22
Цитата
Так что перекрытие первых портов начиная от 1024 полностью прекратит функционирования интернета как я и говорил.
- если не забуду, попробую прикрыть для эксперимента (ща не имеет смысла, всё одно стек ушел вперед) и скажу результаты.


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
3/12892   

Topic OptionsСтраницы: (3) 1 2 3  Start new topic Start Poll 

 



[ Script Execution time: 0.0910 ]   [ 12 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top