Форум: "Прочее";
Текущий архив: 2009.04.12;
Скачать: [xml.tar.bz2];
ВнизПро стандартный FireWall Windows Найти похожие ветки
← →
Сергей М. © (2009-02-11 17:20) [40]
> Anatoly Podgoretsky © (11.02.09 17:11) [38]
> Для файрвола не припомню ни одной затычки, стабилен
Ну эт кому как повезет)
Хацкеры тоже ведь не дремлют)
← →
KSergey © (2009-02-11 17:28) [41]> Сергей М. © (11.02.09 17:20) [40]
> > Для файрвола не припомню ни одной затычки, стабилен
> Ну эт кому как повезет)
Это все какие-то рассуждения "вообще". Уверен, в сторонних файерволах дыры так же имеются и хацкеры тоже не дремлют, а уязвимости в самой винде - они по идее файерволом и прикрыты, ну как я понимаю. Да и другой раз траблы находят в таких глубоких драйверах, что все едино сторонний файервол через них и работает, он же не подменяет собой полностью сетевую подсистему, лишь влезает в нее.
А сильно много уведомлений - да тоже надоедает. Я раз в месяц смотрю на сервер, если честно. Ну сколь-нибудь подробно. Работает - и ладно :)
Впрочем я то же так, "вообще" расуждаю.
← →
dmk © (2009-02-11 17:30) [42]Anatoly Podgoretsky © (11.02.09 17:12) [39]
Анатолий, даже и не знаю.
Как висту поставил windows update сам ежедневно проверят что качать.
Сегодня вот 5, вчера 1, позавчера 27, в день установки 45 штук.
В общей сложности с момента установки 6 января 2009 г. - 90 обновлений.
Еще висят 34 языковых пакета, но мне они не нужны. В число обновлений
входят Vista Ultimate Extras.
Со словом "безопасность" 44 обновления. Штук 15 из них для Windows Defender. Вот ;-)
← →
han_malign © (2009-02-11 17:37) [43]
> Закрыл все порты для входящих соединений (если какие нужны
> - открыл индивидуально) - вот и все. И хоть засканируйся.
- если эти порты никто не "слушает" (WinSock - listen), то их и так сканировать без толку... Если же свежескаченный троян/шпион захочет открыть заднюю дверь, то он спокойно настроит виндовый firewall через стандартный набор интерфейсов INetFwXxx - CreateOLEObject("HNetCfg.FwMgr") и вперед - хошь тебе AuthorizedApplications, хошь GloballyOpenPorts, а хошь и FirewallEnabled. Не уверен, но кажется для этого даже административных прав не надо(не проверял)...
И - учитывая, что давно исправленная уязвимость RPC(которой пользовался MSBlaster), практически единственное от чего он защищает(если не считать ping и ша`ры) - ничего, кроме ложного чувста защищенности, встроенный "Брандмауэр Windows" не дает...
← →
KSergey © (2009-02-11 18:05) [44]> han_malign © (11.02.09 17:37) [43]
> Если же свежескаченный троян/шпион захочет открыть заднюю дверь, то он спокойно
> настроит виндовый firewall через стандартный набор интерфейсов
Это, к стати, интересная мысль.
Ну, троян и некоторые стронние подкрутить может умеет, но то, что для виндового интерфейс вообще есть и хорошо документирован - да....
Однако надо повентилировать этот вопрос.
← →
han_malign © (2009-02-11 18:09) [45]Фактически, "Брандмауэр Windows" реагирует только на попытки вызова listen и recvfrom, поскольку перед этим никто не мешает обратиться к вышеуказанному интерфесу - смысла ноль, разве что - от совсем уж древних троянов 98-го года выпуска поможет...
Если так уж хочется закрыть все порты, лучше воспользоваться монитором сетевых подключений и вдумчиво прибить все лишние "слушающие" процессы/сервисы...
А закрыть свежеобновляемые(с каждым патчем обнаруженных) бэкдоры от Microsoft-а, все равно только аппартным firewall-ом получится, потому как всякие LDAP, lsass и иже с ними - хрен просто так от сети отрежешь - с таким же результатом можно просто шнур выдернуть...
← →
Anatoly Podgoretsky © (2009-02-11 19:27) [46]> Сергей М. (11.02.2009 17:20:40) [40]
Затычки не зависят от моей везучести, они или есть или их нет, я затычки получаю через WSUS
За все время помню только смену версии.
← →
Anatoly Podgoretsky © (2009-02-11 19:31) [47]> dmk (11.02.2009 17:30:42) [42]
Я уже понял ситуацию сразу после того как отправил ответ.
Ты использует WU, а я AU, поэтому у меня больше, для нескольких систем и языков. Мой анализ показывает тоже примерно 5. А всего пришло 48, часть сразу запредил - это х64 и Итаниум, осталось 27, из них применилось 9, но это с вариантами для разных ОС, на компьютеры ставилось от 4 до 5.
← →
Anatoly Podgoretsky © (2009-02-11 19:33) [48]> han_malign (11.02.2009 17:37:43) [43]
Он точно также настроит и любой другой, а то вообще будет просто внедрен в другое приложение, например в проводник, ИЕ и т.д.
Принцип работы другой, не запрещать, а разрешать нужное.
← →
Anatoly Podgoretsky © (2009-02-11 19:34) [49]> KSergey (11.02.2009 18:05:44) [44]
Чаще всего подкручивают через uPnP его штатная функция конфигурирование файрвола, для работы устройства.
← →
Anatoly Podgoretsky © (2009-02-11 19:38) [50]> han_malign (11.02.2009 18:09:45) [45]
У тебя слабые представления об работе файрволов.
Почему бы не представить, что мне например нужен NETBIOS но только для локалки, а на внешнем интерфейсе не нужен, я не могу закрыть его порты, иначе не будет работать шаринг, общие принтера, но я не хочу выставлять это наружу. Или другой случай тоже, но доступ только для одного/двух компьютеров через Интернет.
Встроеный спокойно с этой задачей справляется.
← →
iZEN © (2009-02-12 00:34) [51]
> han_malign © (11.02.09 18:09) [45]
> А закрыть свежеобновляемые(с каждым патчем обнаруженных)
> бэкдоры от Microsoft-а, все равно только аппартным firewall-
> ом получится, потому как всякие LDAP, lsass и иже с ними
> - хрен просто так от сети отрежешь - с таким же результатом
> можно просто шнур выдернуть...
Рассуждения на уровне школьника, извините.
В аппартном файерволе, как думаешь, что работает?
Та же самая программа типа пакетного фильтра (свободные реализации: IPTABLES Linnux, PF OpenBSD). Кстати, PF был признан лучшим файерволом 2003-2004 года. А правила его довольно просты и описываются в текстовом конфигурационном файле. Вот для примера:# макроимя сетевого интерфейса
int_if="fxp0"
# нормализовать все пакеты
scrub in all
# блокировать всё, что не разрешено
block in on $int_if
# пространство адресов внутренней сети
int_net="192.168.1.0/24"
# разрешенные типы icmp сообщений
allowed_icmp_types="{ echoreq, unreach }"
table <nfs> const { $int_net }
# пропустить трафик обратной петли без правил
pass quick on lo0 all
# разрешить входящий ICMP (ping)
pass in on $int_if inet proto icmp all icmp-type $allowed_icmp_types
# разрешить запросы к серверу SSH откуда угодно
pass in on $int_if proto tcp from any to $int_if port ssh
# разрешить запросы к серверу POP3 только из локальной сети
pass in on $int_if proto tcp from $int_net to $int_if port pop3
# разрешить запросы к серверу SMTP
pass in on $int_if proto tcp from any to $int_if port smtp
# разрешить запросы к серверу HTTP/HTTPS
pass in on $int_if proto tcp from any to $int_if port { http, https, 8080 }
# разрешить запросы к серверу DNS
pass in on $int_if proto { tcp, udp } from any to $int_if port domain
# разрешить запросы к серверу NFS и RPCBIND
pass in on $int_if proto { tcp, udp } from <nfs> to port { nfsd, rpcbind } modulate state
# mountd -p 883
pass in on $int_if proto { tcp, udp } from <nfs> to port 883 modulate state
# rpc.lockd -p 884
pass in on $int_if proto { tcp, udp } from <nfs> to port 884 modulate state
# rpc.statd -p 885
pass in on $int_if proto { tcp, udp } from <nfs> to port 885 modulate state
# разрешить исходящий трафик
pass out on $int_if proto { tcp, udp, icmp } all keep state
Для других служб правила можно дополнить.
← →
Админ (2009-02-12 08:47) [52]
> Anatoly Podgoretsky © (11.02.09 13:57) [9]
> > wql (11.02.2009 13:53:06) [6]
>
> У меня от ОутПоста только отрицательные впечатления.
> Когда еще не было встроеных, то я его заменил на бесплатный
> ZoneAlarm - того же класса файрвол, что и встроеный.
> ZoneAlarm
Тоже таким когда-то пользовался.
← →
Сергей М. © (2009-02-12 09:00) [53]
> PF был признан лучшим файерволом 2003-2004 года
Это который pfSense ?
← →
iZEN (2009-02-12 20:33) [54]
> Сергей М. © (12.02.09 09:00) [53]
> > PF был признан лучшим файерволом 2003-2004 года
> Это который pfSense ?
pfSense — отдельный продукт, отпочковавшийся от проекта m0n0wall, LiveCD с ним позволяет создавать файерволы.
PF сейчас входит в состав операционной системы FreeBSD.
← →
Сергей М. © (2009-02-12 21:03) [55]
> iZEN (12.02.09 20:33) [54]
> pfSense — отдельный продукт, отпочковавшийся от проекта
> m0n0wall
Спасибо, я в курсе.
> LiveCD с ним позволяет создавать файерволы
Не только и не столько файрволы, сколько полноценные маршрутизаторы с функциями межсетевых экранов.
> PF сейчас входит в состав операционной системы FreeBSD
По сути ведь pfSense использует PF, поскольку растет из FreeBSD.
Аналогично RouterOS, растущей из RedHat и использующей IPTables.
← →
iZEN (2009-02-13 01:43) [56]
> Сергей М. © (12.02.09 21:03) [55]
> По сути ведь pfSense использует PF, поскольку растет из
> FreeBSD.
Я не уверен. На сайте нет такой информации. Может вообще на основе ipfw всё в нём разруливается.
← →
Сергей М. © (2009-02-13 10:35) [57]
> iZEN (13.02.09 01:43) [56]
Может быть.
Хочу лишь сказать, что из трех наиболее известных продуктов в этой нише - pfSense, SmoothWall, MT RouterOS - при прочих равных условиях я как правило останавливаю свой выбор на последнем, хотя бы потому что IPTables - мощный, удобный, проверенный, надежный и хорошо документированный файрвол.
← →
iZEN © (2009-02-13 19:57) [58]
> Сергей М. © (13.02.09 10:35) [57]
> хотя бы потому что IPTables - мощный, удобный,
> проверенный, надежный и хорошо документированный файрвол.
Просто кроме IPTABLES в Linux"е другого нету. :))
Честно говоря, синтаксис правил в PF отличается от IPTABLES более человечным подходом к лексике и семантике "предложений". Почитайте PF FAQ: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf — читается как поэма. ;)
← →
Сергей М. © (2009-02-13 22:18) [59]
> iZEN © (13.02.09 19:57) [58]
> кроме IPTABLES в Linux"е другого нету
iptables пришел на смену ipchains начиная с 2.4
Ядра младше 2.4 тоже имеют право на существование и по сей день, так что iptables не единственный файрвол)
> синтаксис правил в PF отличается от IPTABLES более человечным
> подходом к лексике и семантике "предложений"
Не возражаю.
Но речь, думаю, идет пока о возможностях и надежности сабжа.
А ты тоже посмотри хотя бы любопытства ради, какую приятную языковую оболочку придумали в MikroTik для iptables ! Да и гуя к нему лучше чем в составе WinBox, пожалуй, не сыскать..
← →
iZEN © (2009-02-13 23:57) [60]> Но речь, думаю, идет пока о возможностях и надежности сабжа.
Ну так. PF из OpenBSD вышел.
> А ты тоже посмотри хотя бы любопытства ради, какую приятную языковую оболочку придумали в MikroTik для iptables !
На серверах и маршрутизаторах нету графических оболочек. :)) Иначе это Windows со всеми вытекающими... :D
← →
Anatoly Podgoretsky © (2009-02-14 12:21) [61]> iZEN (13.02.2009 23:57:00) [60]
Чем мешает или чем помогает графическая оболочка на сервер Виндоус, в случае штатного или корпоративного файрвола? Кроме удобства.
← →
iZEN © (2009-02-14 13:40) [62]
> Anatoly Podgoretsky © (14.02.09 12:21) [61]
> Чем мешает или чем помогает графическая оболочка на сервер
> Виндоус, в случае штатного или корпоративного файрвола?
> Кроме удобства.
Кроме удобства, графическая оболочка ещё и требовательна к видеоподсистеме (прикинь: на серере может вообще не быть видеокарты ни встроенной, ни дискретной; всё "общение" с сервером может сводиться к прямому подключению к нему по последовательной консоли или же удалённо по SSH).
← →
Сергей М. © (2009-02-14 17:24) [63]
> iZEN © (13.02.09 23:57) [60]
> На серверах и маршрутизаторах нету графических оболочек
MT RouterOS - не исключение.
Я про нативный гуй под на виндовую станцию, с которой можно наглядно, эффективно и полноценно контролировать роутер.
← →
Anatoly Podgoretsky © (2009-02-14 19:53) [64]> iZEN (14.02.2009 13:40:02) [62]
Так это я в курсе, если администрирование текстовое, скриптовое, то не надо туда тянуть ГУИ и наоборот. Поэтому Чем мешает или чем помогает графическая оболочка на сервер Виндоус.
На всякий случай есть и то и другое, поскольку корпоративный файрвол является СОМ сервером, со всеми вытекающими из этого последствиями.
Тсс, только администратором это не сообщать.
← →
Anatoly Podgoretsky © (2009-02-14 19:55) [65]> Сергей М. (14.02.2009 17:24:03) [63]
Виндовая станция аналогично, основной ГУИ инструмент, ну а продвинутые могут из консоли через NETSH
И тоже тсс, поскольку многие не знаю, что в Виндоус, страшно даже сказать но есть консоль и боже - большинство POSIX утилит.
← →
Сергей М. © (2009-02-14 20:05) [66]
> Anatoly Podgoretsky © (14.02.09 19:55) [65]
> продвинутые могут из консоли через NETSH
Никто не вправе лишать мазохистов права быть мазохистами)
В случае же с MT RouterOS выбор более чем достаточен на любого ценителя: тут тебе и нативный виндовый гуй, тут тебе и веб-интерфейс, тут тебе и ssh- и telnet-доступ, если хочется "помазохировать")
← →
iZEN (2009-02-15 14:40) [67]Пример встраиваемого решения на FreeBSD и методы управления файерволом: http://www.thg.ru/network/20041114/print.html
Страницы: 1 2 вся ветка
Форум: "Прочее";
Текущий архив: 2009.04.12;
Скачать: [xml.tar.bz2];
Память: 0.61 MB
Время: 0.008 c