Guest Просто_Юзер

Sunbelt Personal Firewall

В этой теме 15 сообщений

Открыл тему.

Паул,вот мои настройки приложений:

31caf3b3fe81t.jpg

А в "Packet filter" у меня пусто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Открыл тему.

Паул,вот мои настройки приложений:

А в "Packet filter" у меня пусто.

Отключить модуль 'Predefined' в 'Network Security'. В раздел 'Applications' нажмите 'Packet Filter'. Там надо правила задать. ('Add' - искать приложение + задать правила, протокол, и т.д.) Сейчас быстро скриншоты сделаю и пытаюсь выписать все мои правила. Это длится некоторое время, но на сегодня обещаю.

P.S.: Последнее блокирующее правило в разделе 'Packet Filter' должно быть: блокировать ВСЁ туда-сюда. Желательно журнализировать.

Update: Сделал по-другому: Вот мои правила. Думаю, что вы дальше разберётесь:

1145d0a28d9e.jpg

Первое правило: DHCP. Локальный порт 68, удалённый порт 67, удалённый адрес 255.255.255.255, UDP исходящие, для svchost. (журнализировать)

Второе правило: DNS для explorer.exe. Удалённый порт 53 исходящие UDP на диапазон адресов моего провайдера только. (журнализировать)

Правило 3: L2TP (специальный vpn протокол): UDP локальный порт 1701; удалённый порт 1701 только по адресам провайдера. (Журнализировать)

Далее DNS (только по адресам провайдера для моих программ + журнализировать)

и

Loopback TCP для Firefox туда - сюда локальный адрес Any (то есть: можно не задать), удалённый адрес 127.0.0.1. (Не журнализируется)

HTTP + HTTPS по требованию для этих же программ. (журнализировать)

Заключают всё 2 правила, которые должны быть ПОСЛЕДНИМИ:

Одно правило для блокирования исходящих пакетов любого протокола (Журнализировать + выдать алерт в виде всплывающего окна; это хорошо для диагностики проблем, и это окно не мешает, так как будет там, где часы)

Одно правило для блокируювания входящих пакетов любого протокола. Не журнализирую, так как меня эта инфа совсем не беспокоит.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Благодарю.

Разберусь,если что - буду спрашивать.;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Благодарю.

Разберусь,если что - буду спрашивать.;)

Правила для Application Behavior Blocking (раздел Intrusions - отметить Enable Application Behavior Blocking и щёлкать на Advanced) я задал вот так:

Settings:

e00e420c11bb.jpg

То есть: разрешать всё всем автоматом (чтобы алертов не было совсем по этому поводу). Естественно, вы можете делать как вы хотите, только не надо всё равно слишком рассчитывать на защиту; это всего лишь слабенький HIPS в понимании Матоушека. Зато интересно наблюдать когда что запускается и что делает в журналах.

Applications:

5db5370ab99e.jpg

Список программ, которые уже запуситились. Там вручную регулярно задаю 'журнализировать' для новых программ.

Раздел HIPS (совсем что-то другое, чем мы его обычно понимаем) там будет только работать в платной версии. Не могу вам советовать ничего так как не пользуюсь (жадный потому что :D)

Web (блокировать скрипты и куки) там тоже только в платной, но это всё равно лучше в браузере делать. Пароль для защиты настроек можно только задать в платной версии.

Теперь запускайте любые ликтесты и наслаждайтесь тем, как они блокируются без нажатия там всяких раздражающих алертов. Если вы делали как я, то тогда во-первых будет всплывающее окно рядом с часами, и во-вторых в журналах всё будет отражено. Журналы пакетного фильтра ОЧЕНЬ подробные. Их можно очистить (Правой кнопкой мыши - выбрать 'Clear Log'). Там ещё журнал фильтра сетевых атак есть, но у меня там ничего нет; даже без файрвола люди в локалке получают сообщение 'Host Down' (У меня сосед здесь тоже в Корбине и мы пытались атаковать меня с помощью nmap - ничего не вышла, потому что меня нет, хотя сеть работает). Коннектиться оттуда ко мне вообще исключено. Как я добился этого долго рассказывать. ;)

P.S.: Напоследок: в Network Security - Trusted Area я снял все галочки, даже с адреса 127.0.0.1.

P.S.2: В вашей картинке в сообщении №5 советую для IE задать Block по всем параметрам. Вы можете всегда разблокировать его если это необходимо.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Loopback TCP для Firefox туда - сюда локальный адрес Any (то есть: можно не задать), удалённый адрес 127.0.0.1. (Не журнализируется)

p2u, скажите, пожалуйста, почему или зачем "туда - сюда"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u, скажите, пожалуйста, почему или зачем "туда - сюда"?

А потому что так работает Loopback для Firefox. Он должен коннектиться обратно к себе по этому же адресу, только первый запуск туда он делает у меня с адреса 0.0.0.0. Поэтому 'Локальный адрес' здесь - абстракт и ничего задать не надо.

loopback = обратная [возвратная] петля (сигнал возвращается передающему устройству, пройдя по коммуникационному каналу в обоих направлениях).

P.S.1: Я, конечно же, экспериментировал. Firefox даже работает с любым файрволом если блокировать ему доступ к 127.0.0.1, но так как этот Loopback задумали разработчики, я его не блокирую.

P.S.2: Если блокировать доступ к 127.0.0.1 для всех остальных (то есть не задать в Sunbelt), то тогда он проходит ликтест Yalta, который он у Матоушека провалит. Условие: надо Loopback убрать из Trusted Area. :)

P.S.3: Opera работает без Loopback.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

p2u, вопрос не столько про "туда", сколько про "сюда". Зачем? Возвращаемое из "туда" - это же не получаемое от"сюда"? Тоже - задумка разработчиков? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u, вопрос не столько про "туда", сколько про "сюда". Зачем? Возвращаемое из "туда" - это же не получаемое от"сюда"? Тоже - задумка разработчиков? :)

Видимо да. В таком браузере как IE в одну сторону хватает разрешать, хотя в нём Loopback идёт через UDP, который вообще без направления.

P.S.: Как вы оцениваете мой подход в свете 'защиты данных'? Никакие хитрые устройства DLP не нужны. Девиз: "Инетский трафик - собственность юзера, а не надзорных органов". :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

p2u, с ff ясно, спасибо. Тогда еще вопрос: как часто в Ваших журналах находилось то, чего быть не должно? Или проще: зачем журнализировать DHСP, DNS, VPN, если IP провайдера прописаны? На всякий случай?

Девиз: "Инетский трафик - собственность юзера, а не надзорных органов".

Девиз хороший. Оцениваю положительно. Только надзорным органам, по-моему, на него начхать, если они захотят чисто конкретно заняться трафиком, выходящим за пределы контролируемой юзером зоны. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u, с ff ясно, спасибо. Тогда еще вопрос: как часто в Ваших журналах находилось то, чего быть не должно? Или проще: зачем журнализировать DHСP, DNS, VPN, если IP провайдера прописаны? На всякий случай?

Пока ничего туда не попало, но это у других юзеров бывает иначе. У Василли, один из моих учеников, там было парочка зловредов, которые блокировались таким образом. Всё, буквально всё, что не задано в правилах блокируется. Я не видел пока ничего у себя, но если совсем случайно попадёт зловред какой-нибудь, то тогда будет видно в журналах; либо блокируется, либо соединяется (на спине Firefox, хотя это практически исключено) и по странным адресам.

Девиз хороший. Оцениваю положительно. Только надзорным органам, по-моему, на него начхать, если они захотят чисто конкретно заняться трафиком, выходящим за пределы контролируемой юзером зоны. ;)

А я пошутил, конечно, но количество неконтролируемого исходящего трафика (если ничего не делать) - ужасающее, и не всегда понятно, куда это всё идёт. Если настроить файрвол таким образом как указано вверх, то тогда сюрпризов не может быть в принципе.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пока ничего туда не попало, но это у других юзеров бывает иначе.

Да правильно. Зачем много времени тратить, если люди просят примеры правил. Это сразу и совет, и ответ для тех, кто правила переписывает, чтобы сразу по-быстрому и без лишних вопросов.

количество неконтролируемого трафика (если ничего не делать) - ужасающий, и не всегда понятно, куда это всё идёт.

Иногда понятно - куда, но не понятно - зачем.

P.S. Столкнулся, кстати, в CIS. Тут это будет оффтоп. Сейчас найду про него топик.

Спасибо за пояснения. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...люди в локалке получают сообщение 'Host Down' (У меня сосед здесь тоже в Корбине и мы пытались атаковать меня с помощью nmap - ничего не вышла, потому что меня нет, хотя сеть работает). Коннектиться оттуда ко мне вообще исключено. Как я добился этого долго рассказывать. ;)...

поиграли со службами и сервисами? :huh:

Если "покурить" "Безопасный интернет" Н. Головко возможно себе такую невидимость организовать??

Отредактировал IN-HOOD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
поиграли со службами и сервисами? :huh:

Если "покурить" "Безопасный интернет" Н. Головко возможно себе такую невидимость организовать??

То, что в этой книге описано - слабое отражение того, что на самом деле можно делать. Как я уже говорил - долго рассказывать. Возможно когда-нибудь выдам всё. Пока не вижу для этого основание. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пока не вижу для этого основание. :)

Но почему? Уверен, работа пользовалась бы огромной популярностью!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте

Поставил себе Sunbelt Kerio Personal Firewall 4.3 Build 246 и теперь не могу открыть ни яндекс, ни рамблер ... В предыдущих версиях KPF эти две страницы постоянно кешировались и их надо было вносить в исключения. Теперь это не прокатывает. Просто открывается пустая страница и надпись гласит: "Ad blocked here by KPF." Помогите, если знаете как.

Заранее спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • 7006605
      22 мая в Творческой мастерской им. А. Н. Сокурова Кабардино-Балкарского государственного университета им. Х. М. Бербекова прошла Всероссийская акция «СТОП ВИЧ/СПИД», приуроченная к Международному дню памяти жертв СПИДа. Акция проводилась медицинским факультетом университета для старшеклассников города Нальчика.  Как отметила доцент кафедры факультетской терапии МФ КБГУ, доктор медицинских наук Зарета Камбачокова, главная задача акции – привлечь внимание к проблеме ВИЧ-инфекции и СПИДа, донести до каждого правильную и полную информацию об этой болезни и, главное, помочь защитить себя и своих близких.  Программа встречи предусматривала интерактивную лекцию, фильм по профилактике ВИЧ-инфекции, также ведущие зачитали письмо женщины, которая рассказывала о своей жизни после того, как узнала о своем диагнозе. Со статистической информацией выступила врач-терапевт центра СПИД КБР Марина Хакунова. У всех участников акции была возможность задать специалистам интересующие их вопросы и получить исчерпывающие ответы.
    • Dion
      Полностью с вами согласен, что заморачиваться в крайней степени незачем, в наше время всё поставлено на поток и  максимально автоматизировано. У меня ещё не было такого, чтобы посылка не пришла всё вопрос времени, когда быстрее посылка придёт когда медленнее но всегда приходила!
    • rustlakov
      Умные люди всегда найдут на чём заработать и как. Тем более что возможностей заработать деньги в наше время очень и очень большое количество. Только слепой не увидит их. А что уж там говорить про интернет. Он сейчас настолько развит что в нём даже можно уже деньги зарабатывать. Лет десять назад про это ещё никто не знал. Сейчас же ситуация очень изменилась.
    • Pechalka
      Вообще не замарачиваюсь по этому поводу. Где там моя посылка... Заказываю всегда всё заранее и сижу не дергаюсь, на любом сайте указаны сроки доставки, раньше указанного срока даже и не переживаю о посылке и вот до сих пор всё всегда приходило, что-то быстро, что-то не очень. Но в целом меня всё устраивает.
    • Bomborgman
      Точно такая же проблема на Premium-версии.