Guest Просто_Юзер

Sunbelt Personal Firewall

В этой теме 15 сообщений

Открыл тему.

Паул,вот мои настройки приложений:

31caf3b3fe81t.jpg

А в "Packet filter" у меня пусто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Открыл тему.

Паул,вот мои настройки приложений:

А в "Packet filter" у меня пусто.

Отключить модуль 'Predefined' в 'Network Security'. В раздел 'Applications' нажмите 'Packet Filter'. Там надо правила задать. ('Add' - искать приложение + задать правила, протокол, и т.д.) Сейчас быстро скриншоты сделаю и пытаюсь выписать все мои правила. Это длится некоторое время, но на сегодня обещаю.

P.S.: Последнее блокирующее правило в разделе 'Packet Filter' должно быть: блокировать ВСЁ туда-сюда. Желательно журнализировать.

Update: Сделал по-другому: Вот мои правила. Думаю, что вы дальше разберётесь:

1145d0a28d9e.jpg

Первое правило: DHCP. Локальный порт 68, удалённый порт 67, удалённый адрес 255.255.255.255, UDP исходящие, для svchost. (журнализировать)

Второе правило: DNS для explorer.exe. Удалённый порт 53 исходящие UDP на диапазон адресов моего провайдера только. (журнализировать)

Правило 3: L2TP (специальный vpn протокол): UDP локальный порт 1701; удалённый порт 1701 только по адресам провайдера. (Журнализировать)

Далее DNS (только по адресам провайдера для моих программ + журнализировать)

и

Loopback TCP для Firefox туда - сюда локальный адрес Any (то есть: можно не задать), удалённый адрес 127.0.0.1. (Не журнализируется)

HTTP + HTTPS по требованию для этих же программ. (журнализировать)

Заключают всё 2 правила, которые должны быть ПОСЛЕДНИМИ:

Одно правило для блокирования исходящих пакетов любого протокола (Журнализировать + выдать алерт в виде всплывающего окна; это хорошо для диагностики проблем, и это окно не мешает, так как будет там, где часы)

Одно правило для блокируювания входящих пакетов любого протокола. Не журнализирую, так как меня эта инфа совсем не беспокоит.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Благодарю.

Разберусь,если что - буду спрашивать.;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Благодарю.

Разберусь,если что - буду спрашивать.;)

Правила для Application Behavior Blocking (раздел Intrusions - отметить Enable Application Behavior Blocking и щёлкать на Advanced) я задал вот так:

Settings:

e00e420c11bb.jpg

То есть: разрешать всё всем автоматом (чтобы алертов не было совсем по этому поводу). Естественно, вы можете делать как вы хотите, только не надо всё равно слишком рассчитывать на защиту; это всего лишь слабенький HIPS в понимании Матоушека. Зато интересно наблюдать когда что запускается и что делает в журналах.

Applications:

5db5370ab99e.jpg

Список программ, которые уже запуситились. Там вручную регулярно задаю 'журнализировать' для новых программ.

Раздел HIPS (совсем что-то другое, чем мы его обычно понимаем) там будет только работать в платной версии. Не могу вам советовать ничего так как не пользуюсь (жадный потому что :D)

Web (блокировать скрипты и куки) там тоже только в платной, но это всё равно лучше в браузере делать. Пароль для защиты настроек можно только задать в платной версии.

Теперь запускайте любые ликтесты и наслаждайтесь тем, как они блокируются без нажатия там всяких раздражающих алертов. Если вы делали как я, то тогда во-первых будет всплывающее окно рядом с часами, и во-вторых в журналах всё будет отражено. Журналы пакетного фильтра ОЧЕНЬ подробные. Их можно очистить (Правой кнопкой мыши - выбрать 'Clear Log'). Там ещё журнал фильтра сетевых атак есть, но у меня там ничего нет; даже без файрвола люди в локалке получают сообщение 'Host Down' (У меня сосед здесь тоже в Корбине и мы пытались атаковать меня с помощью nmap - ничего не вышла, потому что меня нет, хотя сеть работает). Коннектиться оттуда ко мне вообще исключено. Как я добился этого долго рассказывать. ;)

P.S.: Напоследок: в Network Security - Trusted Area я снял все галочки, даже с адреса 127.0.0.1.

P.S.2: В вашей картинке в сообщении №5 советую для IE задать Block по всем параметрам. Вы можете всегда разблокировать его если это необходимо.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Loopback TCP для Firefox туда - сюда локальный адрес Any (то есть: можно не задать), удалённый адрес 127.0.0.1. (Не журнализируется)

p2u, скажите, пожалуйста, почему или зачем "туда - сюда"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u, скажите, пожалуйста, почему или зачем "туда - сюда"?

А потому что так работает Loopback для Firefox. Он должен коннектиться обратно к себе по этому же адресу, только первый запуск туда он делает у меня с адреса 0.0.0.0. Поэтому 'Локальный адрес' здесь - абстракт и ничего задать не надо.

loopback = обратная [возвратная] петля (сигнал возвращается передающему устройству, пройдя по коммуникационному каналу в обоих направлениях).

P.S.1: Я, конечно же, экспериментировал. Firefox даже работает с любым файрволом если блокировать ему доступ к 127.0.0.1, но так как этот Loopback задумали разработчики, я его не блокирую.

P.S.2: Если блокировать доступ к 127.0.0.1 для всех остальных (то есть не задать в Sunbelt), то тогда он проходит ликтест Yalta, который он у Матоушека провалит. Условие: надо Loopback убрать из Trusted Area. :)

P.S.3: Opera работает без Loopback.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

p2u, вопрос не столько про "туда", сколько про "сюда". Зачем? Возвращаемое из "туда" - это же не получаемое от"сюда"? Тоже - задумка разработчиков? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u, вопрос не столько про "туда", сколько про "сюда". Зачем? Возвращаемое из "туда" - это же не получаемое от"сюда"? Тоже - задумка разработчиков? :)

Видимо да. В таком браузере как IE в одну сторону хватает разрешать, хотя в нём Loopback идёт через UDP, который вообще без направления.

P.S.: Как вы оцениваете мой подход в свете 'защиты данных'? Никакие хитрые устройства DLP не нужны. Девиз: "Инетский трафик - собственность юзера, а не надзорных органов". :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

p2u, с ff ясно, спасибо. Тогда еще вопрос: как часто в Ваших журналах находилось то, чего быть не должно? Или проще: зачем журнализировать DHСP, DNS, VPN, если IP провайдера прописаны? На всякий случай?

Девиз: "Инетский трафик - собственность юзера, а не надзорных органов".

Девиз хороший. Оцениваю положительно. Только надзорным органам, по-моему, на него начхать, если они захотят чисто конкретно заняться трафиком, выходящим за пределы контролируемой юзером зоны. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u, с ff ясно, спасибо. Тогда еще вопрос: как часто в Ваших журналах находилось то, чего быть не должно? Или проще: зачем журнализировать DHСP, DNS, VPN, если IP провайдера прописаны? На всякий случай?

Пока ничего туда не попало, но это у других юзеров бывает иначе. У Василли, один из моих учеников, там было парочка зловредов, которые блокировались таким образом. Всё, буквально всё, что не задано в правилах блокируется. Я не видел пока ничего у себя, но если совсем случайно попадёт зловред какой-нибудь, то тогда будет видно в журналах; либо блокируется, либо соединяется (на спине Firefox, хотя это практически исключено) и по странным адресам.

Девиз хороший. Оцениваю положительно. Только надзорным органам, по-моему, на него начхать, если они захотят чисто конкретно заняться трафиком, выходящим за пределы контролируемой юзером зоны. ;)

А я пошутил, конечно, но количество неконтролируемого исходящего трафика (если ничего не делать) - ужасающее, и не всегда понятно, куда это всё идёт. Если настроить файрвол таким образом как указано вверх, то тогда сюрпризов не может быть в принципе.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пока ничего туда не попало, но это у других юзеров бывает иначе.

Да правильно. Зачем много времени тратить, если люди просят примеры правил. Это сразу и совет, и ответ для тех, кто правила переписывает, чтобы сразу по-быстрому и без лишних вопросов.

количество неконтролируемого трафика (если ничего не делать) - ужасающий, и не всегда понятно, куда это всё идёт.

Иногда понятно - куда, но не понятно - зачем.

P.S. Столкнулся, кстати, в CIS. Тут это будет оффтоп. Сейчас найду про него топик.

Спасибо за пояснения. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...люди в локалке получают сообщение 'Host Down' (У меня сосед здесь тоже в Корбине и мы пытались атаковать меня с помощью nmap - ничего не вышла, потому что меня нет, хотя сеть работает). Коннектиться оттуда ко мне вообще исключено. Как я добился этого долго рассказывать. ;)...

поиграли со службами и сервисами? :huh:

Если "покурить" "Безопасный интернет" Н. Головко возможно себе такую невидимость организовать??

Отредактировал IN-HOOD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
поиграли со службами и сервисами? :huh:

Если "покурить" "Безопасный интернет" Н. Головко возможно себе такую невидимость организовать??

То, что в этой книге описано - слабое отражение того, что на самом деле можно делать. Как я уже говорил - долго рассказывать. Возможно когда-нибудь выдам всё. Пока не вижу для этого основание. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пока не вижу для этого основание. :)

Но почему? Уверен, работа пользовалась бы огромной популярностью!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте

Поставил себе Sunbelt Kerio Personal Firewall 4.3 Build 246 и теперь не могу открыть ни яндекс, ни рамблер ... В предыдущих версиях KPF эти две страницы постоянно кешировались и их надо было вносить в исключения. Теперь это не прокатывает. Просто открывается пустая страница и надпись гласит: "Ad blocked here by KPF." Помогите, если знаете как.

Заранее спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 11.2.49.
    • PR55.RP55
      При попытке выполнить  в uVS:  "Открыть в браузере отчёт" 404 - Запрашиваемая страница не найдена. https://www.virustotal.com/latest-report.html?resource=bdaa128de70313feb65469a1b1518fd048734f54 При том, что SHA файла есть: https://www.virustotal.com/ru/file/fce6b3c60fd50d2d12f6379da5734380dc888931860e68f6e3ae2bb0c54582ac/analysis/ И так для всех файлов.  
    • РинРин
      Вспомнилась серия из сериала Черное зеркало - там, где парнишка решил почистить ноут от вирусни, скачал и запустил утилиту-чистильщика, а вместе с ней скачалась прога, которая незаметно снимала на него компромат. Ну и потом, естественно, парнишка очень сильно попал). Я не особо впечатлительная и наивная, но с тех пор у меня вебка заклеена стикером XDDD
    • San
      Я вот сейчас тоже столкнулся с подобной проблемой. Кредит к сожалению, давать мне почему-то отказываются. Поэтому для себя лично я решил, что лучше будет взять деньги под залог автомобиля, потому как в худшем случае, я потеряю только свое транспортное средство, а не квартиру или что-то еще более важное. Нашел неплохие условия в Москве на сайте https://lombard-capital.ru/uslugi/dengi-pod-zalog-avto/ .  Кто-нибудь пользовался их услугами?
       
    • Harlison
      Кстати по сути вы говорите про те же материалы, из которых делают балконы разные, как тут под ключ кстати по адекватной цене https://salamander.com.ua/production/osteklenie-lodzhij-i-balkonov/balkon-pod-klyuch/ . В итоге суть в чём, можете попробовать с ними связать напрямую и предложить быть спонсорами такой то идеи, для создания удобства граждан. Или через горсовет и сразу предлагать, где можно их сделать, чтобы те всё оплатили.
      Если взялись, так делайте!