Перейти к содержанию
Ingener

Подскажите какие порты можно закрыть без ограничения функциональности системы.

Recommended Posts

Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

У вас всё 'Stealthed' (то есть 'невидимо'). Ваш компьютер не отвечает на трюки pflank.com. С точки зрения маркетинга у вас всё уже прекрасно. :)

P.S.: Естественно не исключено, что вы за роутером провайдера, и сканировали не свой собственный компьютер. Это очень хорошо, но если вы в локалке провайдера, то тогда, возможно стоит принимать дополнительные меры. Если вы хотите больше делать, читайте здесь и примените всё, что вам кажется необходимым...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Спасибо за информацию.

В помощь будет TCPView. Установки не требуется - просто запустить tcpview.exe. С ним можно посмотреть состояние портов изнутри. На всё, что на LISTENING стоит надо обращать внимание - там программа 'слушает' (готова принимать незапрошенный трафик). TCPView показывает, какие программы держат какие порты открытыми...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Отредактировал Ingener

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
alg.exe:3668 TCP terminator:1028 terminator:0 LISTENING

lsass.exe:780 UDP terminator:4500 *:*

svchost.exe:1304 UDP terminator:1900 *:*

svchost.exe:1304 UDP terminator:1900 *:*

Какой из этого можно сделать вывод?

Вот эти я выделил. Если у вас XP SP2 или SP3, то тогда мне кажется, что служба шлюза уровня приложения (Application Layer Gateway Service - alg.exe) не нужна.

Такое же можно сказать про службу UPnP и др. Вы найдёте информацию о том, как их закрыть. Можно пользоваться Windows Worms Doors Cleaner. Он закроет вам опасные порты. Установки не требуется. Желательно, чтобы все вкладки были зелёными...

Thoosje Vista Sidebar.exe - возможно троян, ломится в сеть, я его вручную блокирую, т.к. нравится панелька аля Виста.

Не думаю. Вы хотели функционал, который похожий на то, что в Висте - теперь жаловаться не стоит. Боковой панель Майкрософта так же ломится потому что многие параметры берутся именно из Интернета. Нет смысла блокировать Thoosje. Пытаться блокировать то, что сами установили - не очень разумно. Это всегда в ущерб системных ресурсов и иногда даже в ущерб безопасности... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Пожалуйста:

wwdc.rar

Paul

wwdc.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Если всё зелёное, то тогда это уже хорошо. Прочитайте дальше в книге о безопасности. Некоторые ненужные службы я всё равно отключил бы, даже если они сейчас не открывают порты. Имейте в виду, что остановить и отключить - разные вещи. Для того, чтобы отключить службы надо их Тип Запуска поставить на Отключено + Применить, ОК. Служба уровня приложений, например, совсем не нужна. Служба UPnP тоже, и т.д.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Отредактировал Ingener

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Да, нет. Кто-то, возможно даже сам провайдер или кто-то из локальной сести, посылает вам пакет ping для того, чтобы смотреть, 'жив' ли ваш комп. А Файрвол блокировует эту попытку и сообщает вам об этом. Таким образом он даёт вам время от времени знать, что защищает вас. ;)

Paul

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Отредактировал Ingener

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

'Взломать' могут, конечно, всегда через программы, которые выходят в Интернет - стоит не ту ссылку нажать и всё. Поэтому, прочитайте там тоже советы про настройки программ и Windows вообще. И желательно выходите в Интернет только в учётке ограниченного пользователя... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
barsukRed
На всё, что на LISTENING стоит надо обращать внимание - там программа 'слушает' (готова принимать незапрошенный трафик).

А вообще программа может принять и обработать не принадлежащие для нее данные? Или имеется виду фальсификация/подмена и маскировка под "свой"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Нет. Имеется в виду следующее: часто такие программы/службы стоят на всем известным портам, и работают в контексте учётной записи SYSTEM. Если имеется уязвимость в такой программе/службе, то тогда эта уязвимость может использоваться для того, чтобы получить привилегии SYSTEM и потом уже делать всё, что угодно. Всё что может потребоваться: отправить специально созданный пакет к нужному порту и программа/служба его примет. Так как такие программы обычно в списке доверенных (особенно в локальной сети провайдера, например), наличие файрвола может не предотвращать атаку.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
barsukRed

Но для обнаружения того что порт находится состоянии LISTENING нужно чтобы сканер дал положительный результат сканирования а именно обнаружил порт и тд. Но "правильный" файрвол не даст провести сканироание до конца и как минимум заблокирует сканирующего. Что не приведет к получению достоверной информации по формуле: порт-протокол-сервис-версия сервиса. Соответственно хакеру не будет возможности правильно подобрать метод/инструмент(эксплойт) для атаки. Разве нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Но для обнаружения того что порт находится состоянии LISTENING нужно чтобы сканер дал положительный результат сканирования а именно обнаружил порт и тд. Но "правильный" файрвол не даст провести сканироание до конца и как минимум заблокирует сканирующего. Что не приведет к получению достоверной информации по формуле: порт-протокол-сервис-версия сервиса. Соответственно хакеру не будет возможности правильно подобрать метод/инструмент(эксплойт) для атаки. Разве нет?

Почему вы думаете только о хакере (человек со сканером)? Черви, например, на такие ограничения не смотрят; просто бьются - вдруг повезёт. Не случайно же 12 миллионов пользвателей (или сколько там уже) заразились Kido/Conficker?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
barsukRed
Почему вы думаете только о хакере (человек)? Червьи, например, на такие ограничения не смотрят; просто бьются - вдруг повезёт. Не случайно же 12 миллионов пользвателей (или сколько там уже) заразились Kido/Conficker?

Я думаю (имхо!) что человек-это наиболее опасный атакер. Тем более что для червей HIPS(плюс поиск в трафике сигнатур известных червей), коими сопровождаются подавляющее большинство файрволов, неплохая ловушка. Имхо,конечно...

А что касается 12 миллионов... Мучают меня смутные сомнения что вообще можно собрать точную статистику по этому вопросу.

А увеличение цифры на некоторых сайтах может "играть на руку" некоторым бизнесменам/производителям платного охранного софта... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А что касается 12 миллионов... Мучают меня смутные сомнения что вообще можно собрать точную статистику по этому вопросу.

Даже если маркетологи приврали на 50% (я лично так не думаю), то тогда всё равно жертв ещё больше, чем достаточно... Обратите внимание на условие: доверенная зона, то есть порт открыт... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ingener

-

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
svchost.exe:908 TCP TERMINATOR:epmap TERMINATOR:0 LISTENING

svchost.exe:908 TCPV6 terminator:135 terminator:0 LISTENING

Как закрыть выделенные порты (какой-то хост-процесс для служб виндовс) - если их можно закрыть (от этого сеть не пострадает)? Может эти соединения тупо блокировать в firewall Avira PSS9?

Входящие блокировать. Это всё, что можно сделать на Висте. Думаю, что этот файрвол уже по умолчанию делает это если вы задали соответствующий уровень защиты.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ingener

Avira AntiVir Premium Security Suite.pdf - про файр говорится начиная с 42 страницы.

Может что-то упустилось из виду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
svchost.exe:908 TCP TERMINATOR:epmap TERMINATOR:0 LISTENING

TCP:135 порт службы "Удаленный вызов процедур", открытый в "никуда". Порт вроде бы есть, а вроде бы и нету его, и снаружи его не видно.

svchost.exe:908 TCPV6 terminator:135 terminator:0 LISTENING

Поддержку протокола TCP/IPv6 можно отключить в свойствах сетевого соединения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
TCP:135 порт службы "Удаленный вызов процедур", открытый в "никуда". Порт вроде бы есть, а вроде бы и нету его, и снаружи его не видно.

Бояться надо не TCP, а разновидностей UDP (такой трафик он тоже принимает, но этот трафик без напраления, поэтому не всё показывается netstat'ом. Любые входящие туда надо блокировать.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×