Перейти к содержанию

Recommended Posts

Guest Просто_Юзер

Открыл тему.

Паул,вот мои настройки приложений:

31caf3b3fe81t.jpg

А в "Packet filter" у меня пусто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Открыл тему.

Паул,вот мои настройки приложений:

А в "Packet filter" у меня пусто.

Отключить модуль 'Predefined' в 'Network Security'. В раздел 'Applications' нажмите 'Packet Filter'. Там надо правила задать. ('Add' - искать приложение + задать правила, протокол, и т.д.) Сейчас быстро скриншоты сделаю и пытаюсь выписать все мои правила. Это длится некоторое время, но на сегодня обещаю.

P.S.: Последнее блокирующее правило в разделе 'Packet Filter' должно быть: блокировать ВСЁ туда-сюда. Желательно журнализировать.

Update: Сделал по-другому: Вот мои правила. Думаю, что вы дальше разберётесь:

1145d0a28d9e.jpg

Первое правило: DHCP. Локальный порт 68, удалённый порт 67, удалённый адрес 255.255.255.255, UDP исходящие, для svchost. (журнализировать)

Второе правило: DNS для explorer.exe. Удалённый порт 53 исходящие UDP на диапазон адресов моего провайдера только. (журнализировать)

Правило 3: L2TP (специальный vpn протокол): UDP локальный порт 1701; удалённый порт 1701 только по адресам провайдера. (Журнализировать)

Далее DNS (только по адресам провайдера для моих программ + журнализировать)

и

Loopback TCP для Firefox туда - сюда локальный адрес Any (то есть: можно не задать), удалённый адрес 127.0.0.1. (Не журнализируется)

HTTP + HTTPS по требованию для этих же программ. (журнализировать)

Заключают всё 2 правила, которые должны быть ПОСЛЕДНИМИ:

Одно правило для блокирования исходящих пакетов любого протокола (Журнализировать + выдать алерт в виде всплывающего окна; это хорошо для диагностики проблем, и это окно не мешает, так как будет там, где часы)

Одно правило для блокируювания входящих пакетов любого протокола. Не журнализирую, так как меня эта инфа совсем не беспокоит.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Благодарю.

Разберусь,если что - буду спрашивать.;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Благодарю.

Разберусь,если что - буду спрашивать.;)

Правила для Application Behavior Blocking (раздел Intrusions - отметить Enable Application Behavior Blocking и щёлкать на Advanced) я задал вот так:

Settings:

e00e420c11bb.jpg

То есть: разрешать всё всем автоматом (чтобы алертов не было совсем по этому поводу). Естественно, вы можете делать как вы хотите, только не надо всё равно слишком рассчитывать на защиту; это всего лишь слабенький HIPS в понимании Матоушека. Зато интересно наблюдать когда что запускается и что делает в журналах.

Applications:

5db5370ab99e.jpg

Список программ, которые уже запуситились. Там вручную регулярно задаю 'журнализировать' для новых программ.

Раздел HIPS (совсем что-то другое, чем мы его обычно понимаем) там будет только работать в платной версии. Не могу вам советовать ничего так как не пользуюсь (жадный потому что :D)

Web (блокировать скрипты и куки) там тоже только в платной, но это всё равно лучше в браузере делать. Пароль для защиты настроек можно только задать в платной версии.

Теперь запускайте любые ликтесты и наслаждайтесь тем, как они блокируются без нажатия там всяких раздражающих алертов. Если вы делали как я, то тогда во-первых будет всплывающее окно рядом с часами, и во-вторых в журналах всё будет отражено. Журналы пакетного фильтра ОЧЕНЬ подробные. Их можно очистить (Правой кнопкой мыши - выбрать 'Clear Log'). Там ещё журнал фильтра сетевых атак есть, но у меня там ничего нет; даже без файрвола люди в локалке получают сообщение 'Host Down' (У меня сосед здесь тоже в Корбине и мы пытались атаковать меня с помощью nmap - ничего не вышла, потому что меня нет, хотя сеть работает). Коннектиться оттуда ко мне вообще исключено. Как я добился этого долго рассказывать. ;)

P.S.: Напоследок: в Network Security - Trusted Area я снял все галочки, даже с адреса 127.0.0.1.

P.S.2: В вашей картинке в сообщении №5 советую для IE задать Block по всем параметрам. Вы можете всегда разблокировать его если это необходимо.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
Loopback TCP для Firefox туда - сюда локальный адрес Any (то есть: можно не задать), удалённый адрес 127.0.0.1. (Не журнализируется)

p2u, скажите, пожалуйста, почему или зачем "туда - сюда"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
p2u, скажите, пожалуйста, почему или зачем "туда - сюда"?

А потому что так работает Loopback для Firefox. Он должен коннектиться обратно к себе по этому же адресу, только первый запуск туда он делает у меня с адреса 0.0.0.0. Поэтому 'Локальный адрес' здесь - абстракт и ничего задать не надо.

loopback = обратная [возвратная] петля (сигнал возвращается передающему устройству, пройдя по коммуникационному каналу в обоих направлениях).

P.S.1: Я, конечно же, экспериментировал. Firefox даже работает с любым файрволом если блокировать ему доступ к 127.0.0.1, но так как этот Loopback задумали разработчики, я его не блокирую.

P.S.2: Если блокировать доступ к 127.0.0.1 для всех остальных (то есть не задать в Sunbelt), то тогда он проходит ликтест Yalta, который он у Матоушека провалит. Условие: надо Loopback убрать из Trusted Area. :)

P.S.3: Opera работает без Loopback.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse

p2u, вопрос не столько про "туда", сколько про "сюда". Зачем? Возвращаемое из "туда" - это же не получаемое от"сюда"? Тоже - задумка разработчиков? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
p2u, вопрос не столько про "туда", сколько про "сюда". Зачем? Возвращаемое из "туда" - это же не получаемое от"сюда"? Тоже - задумка разработчиков? :)

Видимо да. В таком браузере как IE в одну сторону хватает разрешать, хотя в нём Loopback идёт через UDP, который вообще без направления.

P.S.: Как вы оцениваете мой подход в свете 'защиты данных'? Никакие хитрые устройства DLP не нужны. Девиз: "Инетский трафик - собственность юзера, а не надзорных органов". :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse

p2u, с ff ясно, спасибо. Тогда еще вопрос: как часто в Ваших журналах находилось то, чего быть не должно? Или проще: зачем журнализировать DHСP, DNS, VPN, если IP провайдера прописаны? На всякий случай?

Девиз: "Инетский трафик - собственность юзера, а не надзорных органов".

Девиз хороший. Оцениваю положительно. Только надзорным органам, по-моему, на него начхать, если они захотят чисто конкретно заняться трафиком, выходящим за пределы контролируемой юзером зоны. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
p2u, с ff ясно, спасибо. Тогда еще вопрос: как часто в Ваших журналах находилось то, чего быть не должно? Или проще: зачем журнализировать DHСP, DNS, VPN, если IP провайдера прописаны? На всякий случай?

Пока ничего туда не попало, но это у других юзеров бывает иначе. У Василли, один из моих учеников, там было парочка зловредов, которые блокировались таким образом. Всё, буквально всё, что не задано в правилах блокируется. Я не видел пока ничего у себя, но если совсем случайно попадёт зловред какой-нибудь, то тогда будет видно в журналах; либо блокируется, либо соединяется (на спине Firefox, хотя это практически исключено) и по странным адресам.

Девиз хороший. Оцениваю положительно. Только надзорным органам, по-моему, на него начхать, если они захотят чисто конкретно заняться трафиком, выходящим за пределы контролируемой юзером зоны. ;)

А я пошутил, конечно, но количество неконтролируемого исходящего трафика (если ничего не делать) - ужасающее, и не всегда понятно, куда это всё идёт. Если настроить файрвол таким образом как указано вверх, то тогда сюрпризов не может быть в принципе.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
Пока ничего туда не попало, но это у других юзеров бывает иначе.

Да правильно. Зачем много времени тратить, если люди просят примеры правил. Это сразу и совет, и ответ для тех, кто правила переписывает, чтобы сразу по-быстрому и без лишних вопросов.

количество неконтролируемого трафика (если ничего не делать) - ужасающий, и не всегда понятно, куда это всё идёт.

Иногда понятно - куда, но не понятно - зачем.

P.S. Столкнулся, кстати, в CIS. Тут это будет оффтоп. Сейчас найду про него топик.

Спасибо за пояснения. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
IN-HOOD
...люди в локалке получают сообщение 'Host Down' (У меня сосед здесь тоже в Корбине и мы пытались атаковать меня с помощью nmap - ничего не вышла, потому что меня нет, хотя сеть работает). Коннектиться оттуда ко мне вообще исключено. Как я добился этого долго рассказывать. ;)...

поиграли со службами и сервисами? :huh:

Если "покурить" "Безопасный интернет" Н. Головко возможно себе такую невидимость организовать??

Отредактировал IN-HOOD

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
поиграли со службами и сервисами? :huh:

Если "покурить" "Безопасный интернет" Н. Головко возможно себе такую невидимость организовать??

То, что в этой книге описано - слабое отражение того, что на самом деле можно делать. Как я уже говорил - долго рассказывать. Возможно когда-нибудь выдам всё. Пока не вижу для этого основание. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Пока не вижу для этого основание. :)

Но почему? Уверен, работа пользовалась бы огромной популярностью!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Tellmypl

Здравствуйте

Поставил себе Sunbelt Kerio Personal Firewall 4.3 Build 246 и теперь не могу открыть ни яндекс, ни рамблер ... В предыдущих версиях KPF эти две страницы постоянно кешировались и их надо было вносить в исключения. Теперь это не прокатывает. Просто открывается пустая страница и надпись гласит: "Ad blocked here by KPF." Помогите, если знаете как.

Заранее спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×