Перейти к содержанию

Recommended Posts

Guest Просто_Юзер

Открыл тему.

Паул,вот мои настройки приложений:

31caf3b3fe81t.jpg

А в "Packet filter" у меня пусто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Открыл тему.

Паул,вот мои настройки приложений:

А в "Packet filter" у меня пусто.

Отключить модуль 'Predefined' в 'Network Security'. В раздел 'Applications' нажмите 'Packet Filter'. Там надо правила задать. ('Add' - искать приложение + задать правила, протокол, и т.д.) Сейчас быстро скриншоты сделаю и пытаюсь выписать все мои правила. Это длится некоторое время, но на сегодня обещаю.

P.S.: Последнее блокирующее правило в разделе 'Packet Filter' должно быть: блокировать ВСЁ туда-сюда. Желательно журнализировать.

Update: Сделал по-другому: Вот мои правила. Думаю, что вы дальше разберётесь:

1145d0a28d9e.jpg

Первое правило: DHCP. Локальный порт 68, удалённый порт 67, удалённый адрес 255.255.255.255, UDP исходящие, для svchost. (журнализировать)

Второе правило: DNS для explorer.exe. Удалённый порт 53 исходящие UDP на диапазон адресов моего провайдера только. (журнализировать)

Правило 3: L2TP (специальный vpn протокол): UDP локальный порт 1701; удалённый порт 1701 только по адресам провайдера. (Журнализировать)

Далее DNS (только по адресам провайдера для моих программ + журнализировать)

и

Loopback TCP для Firefox туда - сюда локальный адрес Any (то есть: можно не задать), удалённый адрес 127.0.0.1. (Не журнализируется)

HTTP + HTTPS по требованию для этих же программ. (журнализировать)

Заключают всё 2 правила, которые должны быть ПОСЛЕДНИМИ:

Одно правило для блокирования исходящих пакетов любого протокола (Журнализировать + выдать алерт в виде всплывающего окна; это хорошо для диагностики проблем, и это окно не мешает, так как будет там, где часы)

Одно правило для блокируювания входящих пакетов любого протокола. Не журнализирую, так как меня эта инфа совсем не беспокоит.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Благодарю.

Разберусь,если что - буду спрашивать.;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Благодарю.

Разберусь,если что - буду спрашивать.;)

Правила для Application Behavior Blocking (раздел Intrusions - отметить Enable Application Behavior Blocking и щёлкать на Advanced) я задал вот так:

Settings:

e00e420c11bb.jpg

То есть: разрешать всё всем автоматом (чтобы алертов не было совсем по этому поводу). Естественно, вы можете делать как вы хотите, только не надо всё равно слишком рассчитывать на защиту; это всего лишь слабенький HIPS в понимании Матоушека. Зато интересно наблюдать когда что запускается и что делает в журналах.

Applications:

5db5370ab99e.jpg

Список программ, которые уже запуситились. Там вручную регулярно задаю 'журнализировать' для новых программ.

Раздел HIPS (совсем что-то другое, чем мы его обычно понимаем) там будет только работать в платной версии. Не могу вам советовать ничего так как не пользуюсь (жадный потому что :D)

Web (блокировать скрипты и куки) там тоже только в платной, но это всё равно лучше в браузере делать. Пароль для защиты настроек можно только задать в платной версии.

Теперь запускайте любые ликтесты и наслаждайтесь тем, как они блокируются без нажатия там всяких раздражающих алертов. Если вы делали как я, то тогда во-первых будет всплывающее окно рядом с часами, и во-вторых в журналах всё будет отражено. Журналы пакетного фильтра ОЧЕНЬ подробные. Их можно очистить (Правой кнопкой мыши - выбрать 'Clear Log'). Там ещё журнал фильтра сетевых атак есть, но у меня там ничего нет; даже без файрвола люди в локалке получают сообщение 'Host Down' (У меня сосед здесь тоже в Корбине и мы пытались атаковать меня с помощью nmap - ничего не вышла, потому что меня нет, хотя сеть работает). Коннектиться оттуда ко мне вообще исключено. Как я добился этого долго рассказывать. ;)

P.S.: Напоследок: в Network Security - Trusted Area я снял все галочки, даже с адреса 127.0.0.1.

P.S.2: В вашей картинке в сообщении №5 советую для IE задать Block по всем параметрам. Вы можете всегда разблокировать его если это необходимо.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
Loopback TCP для Firefox туда - сюда локальный адрес Any (то есть: можно не задать), удалённый адрес 127.0.0.1. (Не журнализируется)

p2u, скажите, пожалуйста, почему или зачем "туда - сюда"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
p2u, скажите, пожалуйста, почему или зачем "туда - сюда"?

А потому что так работает Loopback для Firefox. Он должен коннектиться обратно к себе по этому же адресу, только первый запуск туда он делает у меня с адреса 0.0.0.0. Поэтому 'Локальный адрес' здесь - абстракт и ничего задать не надо.

loopback = обратная [возвратная] петля (сигнал возвращается передающему устройству, пройдя по коммуникационному каналу в обоих направлениях).

P.S.1: Я, конечно же, экспериментировал. Firefox даже работает с любым файрволом если блокировать ему доступ к 127.0.0.1, но так как этот Loopback задумали разработчики, я его не блокирую.

P.S.2: Если блокировать доступ к 127.0.0.1 для всех остальных (то есть не задать в Sunbelt), то тогда он проходит ликтест Yalta, который он у Матоушека провалит. Условие: надо Loopback убрать из Trusted Area. :)

P.S.3: Opera работает без Loopback.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse

p2u, вопрос не столько про "туда", сколько про "сюда". Зачем? Возвращаемое из "туда" - это же не получаемое от"сюда"? Тоже - задумка разработчиков? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
p2u, вопрос не столько про "туда", сколько про "сюда". Зачем? Возвращаемое из "туда" - это же не получаемое от"сюда"? Тоже - задумка разработчиков? :)

Видимо да. В таком браузере как IE в одну сторону хватает разрешать, хотя в нём Loopback идёт через UDP, который вообще без направления.

P.S.: Как вы оцениваете мой подход в свете 'защиты данных'? Никакие хитрые устройства DLP не нужны. Девиз: "Инетский трафик - собственность юзера, а не надзорных органов". :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse

p2u, с ff ясно, спасибо. Тогда еще вопрос: как часто в Ваших журналах находилось то, чего быть не должно? Или проще: зачем журнализировать DHСP, DNS, VPN, если IP провайдера прописаны? На всякий случай?

Девиз: "Инетский трафик - собственность юзера, а не надзорных органов".

Девиз хороший. Оцениваю положительно. Только надзорным органам, по-моему, на него начхать, если они захотят чисто конкретно заняться трафиком, выходящим за пределы контролируемой юзером зоны. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
p2u, с ff ясно, спасибо. Тогда еще вопрос: как часто в Ваших журналах находилось то, чего быть не должно? Или проще: зачем журнализировать DHСP, DNS, VPN, если IP провайдера прописаны? На всякий случай?

Пока ничего туда не попало, но это у других юзеров бывает иначе. У Василли, один из моих учеников, там было парочка зловредов, которые блокировались таким образом. Всё, буквально всё, что не задано в правилах блокируется. Я не видел пока ничего у себя, но если совсем случайно попадёт зловред какой-нибудь, то тогда будет видно в журналах; либо блокируется, либо соединяется (на спине Firefox, хотя это практически исключено) и по странным адресам.

Девиз хороший. Оцениваю положительно. Только надзорным органам, по-моему, на него начхать, если они захотят чисто конкретно заняться трафиком, выходящим за пределы контролируемой юзером зоны. ;)

А я пошутил, конечно, но количество неконтролируемого исходящего трафика (если ничего не делать) - ужасающее, и не всегда понятно, куда это всё идёт. Если настроить файрвол таким образом как указано вверх, то тогда сюрпризов не может быть в принципе.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
Пока ничего туда не попало, но это у других юзеров бывает иначе.

Да правильно. Зачем много времени тратить, если люди просят примеры правил. Это сразу и совет, и ответ для тех, кто правила переписывает, чтобы сразу по-быстрому и без лишних вопросов.

количество неконтролируемого трафика (если ничего не делать) - ужасающий, и не всегда понятно, куда это всё идёт.

Иногда понятно - куда, но не понятно - зачем.

P.S. Столкнулся, кстати, в CIS. Тут это будет оффтоп. Сейчас найду про него топик.

Спасибо за пояснения. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IN-HOOD
...люди в локалке получают сообщение 'Host Down' (У меня сосед здесь тоже в Корбине и мы пытались атаковать меня с помощью nmap - ничего не вышла, потому что меня нет, хотя сеть работает). Коннектиться оттуда ко мне вообще исключено. Как я добился этого долго рассказывать. ;)...

поиграли со службами и сервисами? :huh:

Если "покурить" "Безопасный интернет" Н. Головко возможно себе такую невидимость организовать??

Отредактировал IN-HOOD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
поиграли со службами и сервисами? :huh:

Если "покурить" "Безопасный интернет" Н. Головко возможно себе такую невидимость организовать??

То, что в этой книге описано - слабое отражение того, что на самом деле можно делать. Как я уже говорил - долго рассказывать. Возможно когда-нибудь выдам всё. Пока не вижу для этого основание. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Пока не вижу для этого основание. :)

Но почему? Уверен, работа пользовалась бы огромной популярностью!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Tellmypl

Здравствуйте

Поставил себе Sunbelt Kerio Personal Firewall 4.3 Build 246 и теперь не могу открыть ни яндекс, ни рамблер ... В предыдущих версиях KPF эти две страницы постоянно кешировались и их надо было вносить в исключения. Теперь это не прокатывает. Просто открывается пустая страница и надпись гласит: "Ad blocked here by KPF." Помогите, если знаете как.

Заранее спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • stepangrnec
      купить лотерейный билет лото  мгновенная лотерея онлайн 
    • demkd
      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c53e07ec-25f3-4093-aa39-fc67ea22e99d}
      Windows.StateRepositoryPS.dll используется в ShellExperienceHost.exe, который в результате и рубится из-за исключения уже в другой библиотеке - StartUI.dll при нажатии на кнопку меню с виндовым флажком, как это связано с Windows.StateRepositoryPS.dll не совсем ясно, поскольку в событиях не видно никаких проблем с соответствующим ему COM.
      "Для них недостаточно просто назначить Full Access для Everyone" тут это прокатывает и все работает если впрямую назначить Everyone и дать полный доступ, а uVS ранее просто и незатейливо сбрасывал dacl в null и отключал наследование, что если верить msdn обеспечивает полный доступ к ключу всем и оно так и есть, но как оказалось нравится это не всем причем таким странным образом, поэтому теперь и dacl и owner всегда возвращаются в исходное состояние во избежании.
    • Такси Курумоч
      Такси Курумоч Аэропорт Самара с квитанцией, чеком Сайт: http://g-transfer.ru
      Email: [email protected]
      Viber/Whatsapp +79272040919
      Телефон +79991709505   Воспользовался услугами данной трансферной компании, и решил обязательно поделиться со всеми)
    • Dragokas
      demkd, какой конкретно ключ? Если речь идёт о доступе служб к ключам, то начиная с Vista есть службы с так называемым Restricted SID (ServiceSidType = 3). Для них недостаточно просто назначить Full Access для Everyone (S-1-1-0).
    • demkd
      Неожиданно в Win10 всплыла нехорошая ошибка с правами доступа к ключам, как оказалось полный доступ к некоторым ключам может привести к неработоспособности отдельных компонентов Windows.
      К примеру исправление двойных слешей в Win10 1803 убивает меню пуск, почему ему не нравится полный доступ к ключу я так и не понял, но теперь такой проблемы нет и владелец и права доступа восстанавливаются после модификации ключа. ---------------------------------------------------------
       4.0.18
      ---------------------------------------------------------
       o В окно информации о процессе добавлены проценты загрузки CPU с момента создания процесса.
         "CPU" = загрузка всего процессора.
         "CPU 1 core" = загрузка в пересчете на 1 ядро.  o uVS теперь восстанавливает права доступа и владельца ключей после модификации параметров ключа.  o Исправлена ошибка из-за которой в лог могло выводиться обрезанное информационное сообщение о пути до ключа реестра.  o Исправлена ошибка из-за которой не удавалось изменить некоторые ключи реестра при запуске uVS под текущим пользователем.
         (Если права доступа запрещали изменение ключа для текущего пользователя).  o Исправлена финальная (когда не помогло использования ASA) функция удаления защищенных ключей реестра из веток *\CLSID.
         Ранее удаление завершалось с ошибкой "ключ не найден".
         (!) Внимательно следите за тем что вы удаляете, функция игнорирует системную защиту реестра (Win10) и защиту большинства антивирусных программ.  
×