Ingener

Подскажите какие порты можно закрыть без ограничения функциональности системы.

В этой теме 184 сообщений

У вас всё 'Stealthed' (то есть 'невидимо'). Ваш компьютер не отвечает на трюки pflank.com. С точки зрения маркетинга у вас всё уже прекрасно. :)

P.S.: Естественно не исключено, что вы за роутером провайдера, и сканировали не свой собственный компьютер. Это очень хорошо, но если вы в локалке провайдера, то тогда, возможно стоит принимать дополнительные меры. Если вы хотите больше делать, читайте здесь и примените всё, что вам кажется необходимым...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Спасибо за информацию.

В помощь будет TCPView. Установки не требуется - просто запустить tcpview.exe. С ним можно посмотреть состояние портов изнутри. На всё, что на LISTENING стоит надо обращать внимание - там программа 'слушает' (готова принимать незапрошенный трафик). TCPView показывает, какие программы держат какие порты открытыми...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

-

Отредактировал Ingener

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alg.exe:3668 TCP terminator:1028 terminator:0 LISTENING

lsass.exe:780 UDP terminator:4500 *:*

svchost.exe:1304 UDP terminator:1900 *:*

svchost.exe:1304 UDP terminator:1900 *:*

Какой из этого можно сделать вывод?

Вот эти я выделил. Если у вас XP SP2 или SP3, то тогда мне кажется, что служба шлюза уровня приложения (Application Layer Gateway Service - alg.exe) не нужна.

Такое же можно сказать про службу UPnP и др. Вы найдёте информацию о том, как их закрыть. Можно пользоваться Windows Worms Doors Cleaner. Он закроет вам опасные порты. Установки не требуется. Желательно, чтобы все вкладки были зелёными...

Thoosje Vista Sidebar.exe - возможно троян, ломится в сеть, я его вручную блокирую, т.к. нравится панелька аля Виста.

Не думаю. Вы хотели функционал, который похожий на то, что в Висте - теперь жаловаться не стоит. Боковой панель Майкрософта так же ломится потому что многие параметры берутся именно из Интернета. Нет смысла блокировать Thoosje. Пытаться блокировать то, что сами установили - не очень разумно. Это всегда в ущерб системных ресурсов и иногда даже в ущерб безопасности... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если всё зелёное, то тогда это уже хорошо. Прочитайте дальше в книге о безопасности. Некоторые ненужные службы я всё равно отключил бы, даже если они сейчас не открывают порты. Имейте в виду, что остановить и отключить - разные вещи. Для того, чтобы отключить службы надо их Тип Запуска поставить на Отключено + Применить, ОК. Служба уровня приложений, например, совсем не нужна. Служба UPnP тоже, и т.д.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

-

Отредактировал Ingener

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, нет. Кто-то, возможно даже сам провайдер или кто-то из локальной сести, посылает вам пакет ping для того, чтобы смотреть, 'жив' ли ваш комп. А Файрвол блокировует эту попытку и сообщает вам об этом. Таким образом он даёт вам время от времени знать, что защищает вас. ;)

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

-

Отредактировал Ingener

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

'Взломать' могут, конечно, всегда через программы, которые выходят в Интернет - стоит не ту ссылку нажать и всё. Поэтому, прочитайте там тоже советы про настройки программ и Windows вообще. И желательно выходите в Интернет только в учётке ограниченного пользователя... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
На всё, что на LISTENING стоит надо обращать внимание - там программа 'слушает' (готова принимать незапрошенный трафик).

А вообще программа может принять и обработать не принадлежащие для нее данные? Или имеется виду фальсификация/подмена и маскировка под "свой"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет. Имеется в виду следующее: часто такие программы/службы стоят на всем известным портам, и работают в контексте учётной записи SYSTEM. Если имеется уязвимость в такой программе/службе, то тогда эта уязвимость может использоваться для того, чтобы получить привилегии SYSTEM и потом уже делать всё, что угодно. Всё что может потребоваться: отправить специально созданный пакет к нужному порту и программа/служба его примет. Так как такие программы обычно в списке доверенных (особенно в локальной сети провайдера, например), наличие файрвола может не предотвращать атаку.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Но для обнаружения того что порт находится состоянии LISTENING нужно чтобы сканер дал положительный результат сканирования а именно обнаружил порт и тд. Но "правильный" файрвол не даст провести сканироание до конца и как минимум заблокирует сканирующего. Что не приведет к получению достоверной информации по формуле: порт-протокол-сервис-версия сервиса. Соответственно хакеру не будет возможности правильно подобрать метод/инструмент(эксплойт) для атаки. Разве нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Но для обнаружения того что порт находится состоянии LISTENING нужно чтобы сканер дал положительный результат сканирования а именно обнаружил порт и тд. Но "правильный" файрвол не даст провести сканироание до конца и как минимум заблокирует сканирующего. Что не приведет к получению достоверной информации по формуле: порт-протокол-сервис-версия сервиса. Соответственно хакеру не будет возможности правильно подобрать метод/инструмент(эксплойт) для атаки. Разве нет?

Почему вы думаете только о хакере (человек со сканером)? Черви, например, на такие ограничения не смотрят; просто бьются - вдруг повезёт. Не случайно же 12 миллионов пользвателей (или сколько там уже) заразились Kido/Conficker?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Почему вы думаете только о хакере (человек)? Червьи, например, на такие ограничения не смотрят; просто бьются - вдруг повезёт. Не случайно же 12 миллионов пользвателей (или сколько там уже) заразились Kido/Conficker?

Я думаю (имхо!) что человек-это наиболее опасный атакер. Тем более что для червей HIPS(плюс поиск в трафике сигнатур известных червей), коими сопровождаются подавляющее большинство файрволов, неплохая ловушка. Имхо,конечно...

А что касается 12 миллионов... Мучают меня смутные сомнения что вообще можно собрать точную статистику по этому вопросу.

А увеличение цифры на некоторых сайтах может "играть на руку" некоторым бизнесменам/производителям платного охранного софта... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А что касается 12 миллионов... Мучают меня смутные сомнения что вообще можно собрать точную статистику по этому вопросу.

Даже если маркетологи приврали на 50% (я лично так не думаю), то тогда всё равно жертв ещё больше, чем достаточно... Обратите внимание на условие: доверенная зона, то есть порт открыт... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
svchost.exe:908 TCP TERMINATOR:epmap TERMINATOR:0 LISTENING

svchost.exe:908 TCPV6 terminator:135 terminator:0 LISTENING

Как закрыть выделенные порты (какой-то хост-процесс для служб виндовс) - если их можно закрыть (от этого сеть не пострадает)? Может эти соединения тупо блокировать в firewall Avira PSS9?

Входящие блокировать. Это всё, что можно сделать на Висте. Думаю, что этот файрвол уже по умолчанию делает это если вы задали соответствующий уровень защиты.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
svchost.exe:908 TCP TERMINATOR:epmap TERMINATOR:0 LISTENING

TCP:135 порт службы "Удаленный вызов процедур", открытый в "никуда". Порт вроде бы есть, а вроде бы и нету его, и снаружи его не видно.

svchost.exe:908 TCPV6 terminator:135 terminator:0 LISTENING

Поддержку протокола TCP/IPv6 можно отключить в свойствах сетевого соединения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TCP:135 порт службы "Удаленный вызов процедур", открытый в "никуда". Порт вроде бы есть, а вроде бы и нету его, и снаружи его не видно.

Бояться надо не TCP, а разновидностей UDP (такой трафик он тоже принимает, но этот трафик без напраления, поэтому не всё показывается netstat'ом. Любые входящие туда надо блокировать.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Alex.S
      Париматч понадежней будет, ставлю здесь , в 1хбет ставил, пока счет не заблокировали.
    • Karisha
      Домик на берегу моря, на мой взгляд самый лучший вариант для отдыха с семьей или большой компанией. А если с вами еще будут дети, то домик у моря - это вообще просто прекрасный вариант. Детькам есть где побегать, поиграть, да и проблема с кормлением детей не стоит. Можно кормить их в любое время, свежеприготовленной едой. Ато на отдыхе всегда проблематично в местах общественного питания отыскать блюда для детского питания.
    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.6.300.1.
    • Dragokas
      Не проверял, как сейчас. Раньше, архивы с зашифрованными именами файлов gmail сразу блокировал, так что я бы не назвал это вариантом. Для начала, определить источник, откуда и куда вы отправляете? Вот только что отправил письмо с yandex.ru на gmail.com, файл ZOO_, дефолт. пароль, внутри: ONENOTE 2016.LNK._22299B8A955CED97CD8E815D85990295F3A6D838.txt ONENOTE 2016.LNK._22299B8A955CED97CD8E815D85990295F3A6D838 Всё нормально дошло.
    • Dion
      Эх жалко, что у нокиа нет ничего достойного, а старый фанат телефонов этой фирмы. В своё время не было лучше телефонов чем нокиа, а сейчас конечно Китай рулит в плане телефонии, если раньше первые китайские телефоны-это был мусор то сейчас надо отдать должное!