Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> Настройка персональных файерволов
Rumata | Профиль
Дата 13 Июня, 2005, 18:52
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



Автор: Karlsberg,


Файерволы
Для начала рассмотрим файерволы, которые применяет правила последовательно, от первого к последнему, и не имеют разделения правил на системные и пользовательские. Пока что, для простоты, не будем рассматривать накрутки типа VPN-ов, NAT-ов и т.д., то есть грубо говоря, в компьютере есть сетевая карта, подключенная к модему, или модем для dial-upa. Кроме того, файервол умеет задавать правила для приложений. Все остальное добавим в будущем.
Замечание: файервол обязан иметь пароль, а вы - его использовать, иначе какой-нибудь пакостный троянец или вирус сможет просто выгрузить его из памяти.

Протоколы
Описание протоколов и портов будет дано позже уважаемым Sky hawk, по возможности и наличии свободного времени. Пока что важно знать два основных - TCP и UDP. UDP использует пакеты и не использует соединения, то есть что-то типа "послать N байт по адресу и не знать, дошло или нет". TCP работает по другому - сначала шлется запрос на соединение, и только после положительного ответа второй стороны возможна передача потока данных. С точки зрения файервола UDP пакет может быть пропущен или выброшен, но с TCP запретить или разрешить можно только установку соединения. FTP основан та TCP.

Принцип насторйки по порядку:
- закрываем все порты из опасных диапазонов (обычно от 1 до 1024, за исключением системных сервисов которые нам нужны для работы, например DNS, DHCP и т.д.
- открываем порты для програм которые могут выходить в интернет или принимать соединения от других компьютеров
- закрываем вообще все

Важно всегда указывать в правилах конкретное приложение, этим вы обезопасите себя от большой части троянов, ворующих вашу личную информацию. Кроме того, файервол - только пол-дела, всегда помните об этом.

Первое правило
Точнее, два - не обязательно, но так спать спокойнее:
Block TCP and UDP, local_port=<1..67> remote_address=all remote_port=all both_directions all_applications
Block TCP and UDP, local_port=<69..1023> remote_address=all remote_port=all both_directions all_applications

Дырочка - 68-й порт - оставлен для DHCP (см. ниже). Если вам он не нужен или нужен другой - вы хозяин своей системы.

Правила
DHCP (Dynamic Host Configuration Protocol) - по нему компьютер получает IP-address от провайдера
При поднятии система шлет со своего 68-го порта запрос на 67-й порт DHCP сервера. На самом деле, шлет всем в вашем сабнете, но разрешаем мы только на наш DHCP сервер. С него-же, с его 67-го порта, приходит ответ на наш 68-й порт. При этом ответы с любого другого компьютера, кроме сервера, будут игнорироваться файерволом. Кстати, узнать адрес сервера можно командой ipconfig /all в ДОС-окошке
Правило: UDP local_port=68 remote_port=67 remote_address= both_directions

DNS (Domain Name Server) - позволяет вашему браузеру находить сайты по сочетанию букв, типа http://www.yahoo.com/
Компьютер шлет запрос со своего порта из диапазона от 1024 до 5000 на 53-й порт DNS сервера провайдера. Обычно используеться UDP, но для длинных запросов может использоваться и TCP. Следует заметить, что обычно провайдер предоставляет два сервера, а значит и правил в файерволе должно быть два, или если позволяет файервол, в remote_address можно засунуть оба адреса (чтоб узнать адреса, используем ipconfig /all)
Правило: UDP and TCP local_port=<1024..5000> remote_address= remote_port=53 both_directions

Для всех остальных не забывайте добавить в правило и приложение, для которого вы его задаете.

Браузер (IE, Opera, Mozilla...)
Использует TCP для подключения на порт 80(HTTP), 443(HTTPS), и реже много других.
Можно написать: BI>TCP local_port=<1024..5000> remote_address=all remote_port=all outgoing_direction
Если используеться абсолютно стандартно, то remote_port=<80, 443>

FTP (для качалок)
Старомодный FTP работает так: клиент (то есть мы) коннектится со своего порта N (из диапазонана 1024..5000) на 21-й порт сервера, а сервер коннектится со своего 20-го порта на наш порт N+1 (второй порт используеться для передачи данных, а первый - управляющий)
Правила:
TCP local_port=<1024..5000> remote_address=all remote_port=21 outgoing_direction
TCP local_port=<1024..5000> remote_address=all remote_port=20 incoming_direction


Специально для клиентов, которые не хотят или не могут принимать коннекты снаружи был создан Passive FTP. Клиент коннектится со своего порта N (из диапазонана 1024..5000) на 21-й порт сервера, а сервер сообщает клиенту порт для данных из диапазона (1024..65535). Тогда клиент открывает второй коннект на него со своего порта N+1.
Правило: TCP local_port=<1024..5000> remote_port=all remote_address=all outgoing_direction
Для очистки совести можно написать remote_port=<21, 1024..65535>. Кстати, качалка будет работать и с НTTP, так как порт 80 входит в список разрешенных

ICQ
TCP local_port=<1024..5000> remote_address=all remote_port=5190 outgoing_direction
Неплохо бы проверить адрес icq сервера и вместо remote_address=all написать только его

E-mail
POP3 используется для коннекта на почтовый сервер для проверки и закачки почты.
Правило: TCP local_port=<1024..5000> remote_address=<почтовый сервер> remote_port=110 outgoing_direction
SMTP используется для коннекта на почтовый сервер для посылки почты.
Правило: TCP local_port=<1024..5000> remote_address=<почтовый сервер> remote_port=25 outgoing_direction
Кроме этих двух протоколов, у продвинутых провайдеров есть более защищенные протоколы для работы с почтой. Пишите, разберемся. В крайнем случае можно разрешить для e-mail клиента любые действия, но только для своего почтового сервера.

Emule и компания
TCP и UDP local_port=<1024..5000> remote_address=all remote_port=all outgoing_direction
TCP и UDP local_port= remote_address=all remote_port=all incoming_direction


Bittorrent
TCP local_port=<1024..5000> remote_address=all remote_port=all outgoing_direction
TCP local_port=<6881..6889> remote_address=all remote_port=all incoming_direction

Помните, что он коннектится не только к другим торрентам, а еще и на трекер

Последнее правило
Block all, для всех протоколов, портов, приложений и направлений.

Дополнительная информация по портам (Спасибо bredonosec)
Список портов: в текстовом   и   html формате
http://www.it.ru/reference/ports.html
http://www.iss.net/security_center/advice/Exploits/Ports/ (eng)

Немного теории по протоколам (Спасибо bredonosec)
UDP: http://book.itep.ru/4/44/udp_442
TCP: http://book.itep.ru/4/44/tcp_443.htm


© forum.ru-board.com


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
2/59561   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon


















_________________
Желающим разместить рекламу смотреть сюдой
/   
Rumata | Профиль
Дата 13 Июня, 2005, 19:08
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



Таблица настройки правил брандмауэров

Application or Service
what is it?
TCP UDP
_local_
remote
dire-ction
_зачем_?
Specific rules, ICMP
_ _______________________ _ ___________ ____________ _ _________________ _________________
DHCP
Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров
UDP
68
67
both
settings request +answer
DNS
Сервис соответствия доменного имени IP-адресу
(RU-Board.com -> 207.44.160.93)
TCP, UDP
1024-5000
53
both
IP request + response
ntoskrnl .exe
Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки
TCP
UDP
1024..5000
137. 138
139
137. 138
out
both
NetBIOS session service
NetBios overTCP/IP
_____comment:_____
137 - browsing request
138 - browsing responses
ntoskrnl .exe
оно же через CFIS (Common Internet File System)
TCP, UDP
445
445
both
win2k+ аналог NetBIOS/TCP
поправьте меня, если я не прав
browser
IE, Opera, Mozilla
TCP
1024..5000
80, 443, 8080, 8100
out
http(s) web-servers      
FTP-clients
active mode
TCP
TCP
1024-5000
1024-5000
20
21
in
out
data transmission
ftp requests
FTP-clients
passive mode. Соединения для данных инициируются клиентом
TCP
1024-5000
21, 1024-65535
out
FTP requests+ transmission
ICQ
internet messenger
TCP
1024-5000
443 or 5190
out
443 - с шифрованием
можно обозначить IP login.icq.com = 64.12.161.153
IRC
internet messenger
TCP
?
113
6660-6670
?
out
in
IRC connection
IRC AUTH connection
E-mail
почтовая программа-клиент (Outlook, The Bat и др.)
TCP
1024-5000
25, 110, 143, 993, 995
out
25 - SMTP-сервер (отправка)
110 - POP3-сервер (прием)
143 - IMAP (замена POP3)
993 - secure IMAP
995 - secure POP3
comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM
Emule & Co
файлообменник
TCP
4662,4711, 4712
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Emule & Co
файлообменник
UDP
4665,4672, 4673
any
any
1025-65535
in
out
response (?)
request (?)
поправьте меня, если я не прав
Bittorent
качалка, hispeed Р2Р, с центральным сервером (трекер)
TCP
1024-5000
6881-6889
any (?)
any (?)
out
in
(?)

(?)
Radmin Viewer
Remote Administrator
TCP
any
4899 (or server-defined. RTFM)
out
connect to Radmin-server
Radmin Server
Remote server
TCP
4899 (or serv-defined. RTFM)
any
both
connect to client
Languard & Co
сканеры сетей
TCP, UDP
UDP
any
any
any
any
out
in
скан
-
Allow ICMP out
Novel client
NetWare application (инфо)
TCP, UDP
1024-65535
427
524
427
out
both
NCP Requests
SLP Requests
   
MSN
Windows Messenger
TCP
1024-65535
1863,6891-6901
out
-
Block Incoming Fragment, Block Incoming Conection
Time Sync
синхронизация времени
UDP
123
123
both
-
Block incoming fragment
LAST RULE
Block any other connection
TCP UDP
any
any
any
все остальные пусть не лазят в сеть
ICMP block
     


© forum.ru-board.com

____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
3/59561   
bredonosec | Профиль
Дата 14 Июня, 2005, 0:52
Quote Post



Кот Баюн
Group Icon

Группа: Старожил
Сообщений: 7403
Регистрация: 16.10.03
Авторитет: 15
Вне форума

Предупреждения:
(0%) -----


//ух ты! так здесь уже таблицы как-то можно делать? Али это на админских правах просто в хтмле перекинуто? unsure.gif


____________________
Заявление.
Прошу отправить меня на курсы повышения зарплаты.
Подпись.

из законов мерфи:
Пропеллер играет роль вентилятора, когда он останавливается-пилот потеет..
PMEmail Poster
Rumata | Профиль
Дата 14 Июня, 2005, 11:14
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



bredonosec
лень теги дорисовывать smile.gif на админских правах - HTML


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
Пэтро | Профиль
Дата 18 Июня, 2005, 16:48
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Самое интересное что в ХР это все прописать можно и без внешнего файрволла
через:
<<WINPATH>>\system32\secpol.msc
Политики безопасности IP - Cоздать политику.

У меня гдето был док как это все настроить при желании могу поискать.
PMEmail Poster
24/20841   
Rumata | Профиль
Дата 18 Июня, 2005, 16:56
Quote Post



The One
Group Icon

Группа: Admin
Сообщений: немеряно
Регистрация: 21.06.03
Авторитет: 77
Вне форума



Пэтро
Цитата
Самое интересное что в ХР это все прописать можно и без внешнего файрволла через: <<WINPATH>>\system32\secpol.msc

угу, только XP Home этого нема


____________________
user posted image user posted image user posted image

Если что-то случилось с форумом (тьху тьху), все новости там, вступайте, подписывайтесь, присоединяйтесь ))
Пэтро | Профиль
Дата 18 Июня, 2005, 20:03
Quote Post




Group Icon

Группа: Banned
Сообщений: 7119
Регистрация: 15.06.05
Авторитет: 1
Вне форума

Предупреждения:
(0%) -----


Цитата
угу, только XP Home этого нема


помойму если скачать у когонить файл secpol.msc эта возможность открывается, правда смысла в этом большого я не вижу так как мониторинга при этом способе никакого лучше уж поставить нормальный файрволл.
PMEmail Poster

Topic Options Start new topic Start Poll 

 



[ Script Execution time: 0.0745 ]   [ 12 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top