Про стандартный FireWall Windows

← →
Сергей М. © (2009-02-11 17:20) [40]

> Anatoly Podgoretsky © (11.02.09 17:11) [38]

> Для файрвола не припомню ни одной затычки, стабилен

Ну эт кому как повезет)
Хацкеры тоже ведь не дремлют)

← →
KSergey © (2009-02-11 17:28) [41]

> Сергей М. © (11.02.09 17:20) [40]
> > Для файрвола не припомню ни одной затычки, стабилен
> Ну эт кому как повезет)

Это все какие-то рассуждения "вообще". Уверен, в сторонних файерволах дыры так же имеются и хацкеры тоже не дремлют, а уязвимости в самой винде - они по идее файерволом и прикрыты, ну как я понимаю. Да и другой раз траблы находят в таких глубоких драйверах, что все едино сторонний файервол через них и работает, он же не подменяет собой полностью сетевую подсистему, лишь влезает в нее.

А сильно много уведомлений - да тоже надоедает. Я раз в месяц смотрю на сервер, если честно. Ну сколь-нибудь подробно. Работает - и ладно :)

Впрочем я то же так, "вообще" расуждаю.

← →
dmk © (2009-02-11 17:30) [42]

Anatoly Podgoretsky © (11.02.09 17:12) [39]

Анатолий, даже и не знаю.
Как висту поставил windows update сам ежедневно проверят что качать.
Сегодня вот 5, вчера 1, позавчера 27, в день установки 45 штук.
В общей сложности с момента установки 6 января 2009 г. - 90 обновлений.
Еще висят 34 языковых пакета, но мне они не нужны. В число обновлений
входят Vista Ultimate Extras.
Со словом "безопасность" 44 обновления. Штук 15 из них для Windows Defender. Вот ;-)

← →
han_malign © (2009-02-11 17:37) [43]

> Закрыл все порты для входящих соединений (если какие нужны
> - открыл индивидуально) - вот и все. И хоть засканируйся.

- если эти порты никто не "слушает" (WinSock - listen), то их и так сканировать без толку... Если же свежескаченный троян/шпион захочет открыть заднюю дверь, то он спокойно настроит виндовый firewall через стандартный набор интерфейсов INetFwXxx - CreateOLEObject("HNetCfg.FwMgr") и вперед - хошь тебе AuthorizedApplications, хошь GloballyOpenPorts, а хошь и FirewallEnabled. Не уверен, но кажется для этого даже административных прав не надо(не проверял)...

И - учитывая, что давно исправленная уязвимость RPC(которой пользовался MSBlaster), практически единственное от чего он защищает(если не считать ping и ша`ры) - ничего, кроме ложного чувста защищенности, встроенный "Брандмауэр Windows" не дает...

← →
KSergey © (2009-02-11 18:05) [44]

> han_malign © (11.02.09 17:37) [43]
> Если же свежескаченный троян/шпион захочет открыть заднюю дверь, то он спокойно
> настроит виндовый firewall через стандартный набор интерфейсов

Это, к стати, интересная мысль.
Ну, троян и некоторые стронние подкрутить может умеет, но то, что для виндового интерфейс вообще есть и хорошо документирован - да....
Однако надо повентилировать этот вопрос.

← →
han_malign © (2009-02-11 18:09) [45]

Фактически, "Брандмауэр Windows" реагирует только на попытки вызова listen и recvfrom, поскольку перед этим никто не мешает обратиться к вышеуказанному интерфесу - смысла ноль, разве что - от совсем уж древних троянов 98-го года выпуска поможет...

Если так уж хочется закрыть все порты, лучше воспользоваться монитором сетевых подключений и вдумчиво прибить все лишние "слушающие" процессы/сервисы...

А закрыть свежеобновляемые(с каждым патчем обнаруженных) бэкдоры от Microsoft-а, все равно только аппартным firewall-ом получится, потому как всякие LDAP, lsass и иже с ними - хрен просто так от сети отрежешь - с таким же результатом можно просто шнур выдернуть...

← →
Anatoly Podgoretsky © (2009-02-11 19:27) [46]

> Сергей М. (11.02.2009 17:20:40) [40]

Затычки не зависят от моей везучести, они или есть или их нет, я затычки получаю через WSUS
За все время помню только смену версии.

← →
Anatoly Podgoretsky © (2009-02-11 19:31) [47]

> dmk (11.02.2009 17:30:42) [42]

Я уже понял ситуацию сразу после того как отправил ответ.
Ты использует WU, а я AU, поэтому у меня больше, для нескольких систем и языков. Мой анализ показывает тоже примерно 5. А всего пришло 48, часть сразу запредил - это х64 и Итаниум, осталось 27, из них применилось 9, но это с вариантами для разных ОС, на компьютеры ставилось от 4 до 5.

← →
Anatoly Podgoretsky © (2009-02-11 19:33) [48]

> han_malign (11.02.2009 17:37:43) [43]

Он точно также настроит и любой другой, а то вообще будет просто внедрен в другое приложение, например в проводник, ИЕ и т.д.
Принцип работы другой, не запрещать, а разрешать нужное.

← →
Anatoly Podgoretsky © (2009-02-11 19:34) [49]

> KSergey (11.02.2009 18:05:44) [44]

Чаще всего подкручивают через uPnP его штатная функция конфигурирование файрвола, для работы устройства.

← →
Anatoly Podgoretsky © (2009-02-11 19:38) [50]

> han_malign (11.02.2009 18:09:45) [45]

У тебя слабые представления об работе файрволов.
Почему бы не представить, что мне например нужен NETBIOS но только для локалки, а на внешнем интерфейсе не нужен, я не могу закрыть его порты, иначе не будет работать шаринг, общие принтера, но я не хочу выставлять это наружу. Или другой случай тоже, но доступ только для одного/двух компьютеров через Интернет.
Встроеный спокойно с этой задачей справляется.

← →
iZEN © (2009-02-12 00:34) [51]

> han_malign © (11.02.09 18:09) [45]
> А закрыть свежеобновляемые(с каждым патчем обнаруженных)
> бэкдоры от Microsoft-а, все равно только аппартным firewall-
> ом получится, потому как всякие LDAP, lsass и иже с ними
> - хрен просто так от сети отрежешь - с таким же результатом
> можно просто шнур выдернуть...

Рассуждения на уровне школьника, извините.
В аппартном файерволе, как думаешь, что работает?
Та же самая программа типа пакетного фильтра (свободные реализации: IPTABLES Linnux, PF OpenBSD). Кстати, PF был признан лучшим файерволом 2003-2004 года. А правила его довольно просты и описываются в текстовом конфигурационном файле. Вот для примера:
# макроимя сетевого интерфейса int_if="fxp0" # нормализовать все пакеты scrub in all # блокировать всё, что не разрешено block in on $int_if # пространство адресов внутренней сети int_net="192.168.1.0/24" # разрешенные типы icmp сообщений allowed_icmp_types="{ echoreq, unreach }" table <nfs> const { $int_net } # пропустить трафик обратной петли без правил pass quick on lo0 all # разрешить входящий ICMP (ping) pass in on $int_if inet proto icmp all icmp-type $allowed_icmp_types # разрешить запросы к серверу SSH откуда угодно pass in on $int_if proto tcp from any to $int_if port ssh # разрешить запросы к серверу POP3 только из локальной сети pass in on $int_if proto tcp from $int_net to $int_if port pop3 # разрешить запросы к серверу SMTP pass in on $int_if proto tcp from any to $int_if port smtp # разрешить запросы к серверу HTTP/HTTPS pass in on $int_if proto tcp from any to $int_if port { http, https, 8080 } # разрешить запросы к серверу DNS pass in on $int_if proto { tcp, udp } from any to $int_if port domain # разрешить запросы к серверу NFS и RPCBIND pass in on $int_if proto { tcp, udp } from <nfs> to port { nfsd, rpcbind } modulate state # mountd -p 883 pass in on $int_if proto { tcp, udp } from <nfs> to port 883 modulate state # rpc.lockd -p 884 pass in on $int_if proto { tcp, udp } from <nfs> to port 884 modulate state # rpc.statd -p 885 pass in on $int_if proto { tcp, udp } from <nfs> to port 885 modulate state # разрешить исходящий трафик pass out on $int_if proto { tcp, udp, icmp } all keep state

Для других служб правила можно дополнить.

← →
Админ (2009-02-12 08:47) [52]

> Anatoly Podgoretsky © (11.02.09 13:57) [9]
> > wql (11.02.2009 13:53:06) [6]
>
> У меня от ОутПоста только отрицательные впечатления.
> Когда еще не было встроеных, то я его заменил на бесплатный
> ZoneAlarm - того же класса файрвол, что и встроеный.

> ZoneAlarm

Тоже таким когда-то пользовался.

← →
Сергей М. © (2009-02-12 09:00) [53]

> PF был признан лучшим файерволом 2003-2004 года

Это который pfSense ?

← →
iZEN (2009-02-12 20:33) [54]

> Сергей М. © (12.02.09 09:00) [53]
> > PF был признан лучшим файерволом 2003-2004 года
> Это который pfSense ?

pfSense — отдельный продукт, отпочковавшийся от проекта m0n0wall, LiveCD с ним позволяет создавать файерволы.

PF сейчас входит в состав операционной системы FreeBSD.

← →
Сергей М. © (2009-02-12 21:03) [55]

> iZEN (12.02.09 20:33) [54]

> pfSense — отдельный продукт, отпочковавшийся от проекта
> m0n0wall

Спасибо, я в курсе.

> LiveCD с ним позволяет создавать файерволы

Не только и не столько файрволы, сколько полноценные маршрутизаторы с функциями межсетевых экранов.

> PF сейчас входит в состав операционной системы FreeBSD

По сути ведь pfSense использует PF, поскольку растет из FreeBSD.
Аналогично RouterOS, растущей из RedHat и использующей IPTables.

← →
iZEN (2009-02-13 01:43) [56]

> Сергей М. © (12.02.09 21:03) [55]
> По сути ведь pfSense использует PF, поскольку растет из
> FreeBSD.

Я не уверен. На сайте нет такой информации. Может вообще на основе ipfw всё в нём разруливается.

← →
Сергей М. © (2009-02-13 10:35) [57]

> iZEN (13.02.09 01:43) [56]

Может быть.

Хочу лишь сказать, что из трех наиболее известных продуктов в этой нише - pfSense, SmoothWall, MT RouterOS - при прочих равных условиях я как правило останавливаю свой выбор на последнем, хотя бы потому что IPTables - мощный, удобный, проверенный, надежный и хорошо документированный файрвол.

← →
iZEN © (2009-02-13 19:57) [58]

> Сергей М. © (13.02.09 10:35) [57]
> хотя бы потому что IPTables - мощный, удобный,
> проверенный, надежный и хорошо документированный файрвол.

Просто кроме IPTABLES в Linux"е другого нету. :))

Честно говоря, синтаксис правил в PF отличается от IPTABLES более человечным подходом к лексике и семантике "предложений". Почитайте PF FAQ: ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.pdf — читается как поэма. ;)

← →
Сергей М. © (2009-02-13 22:18) [59]

> iZEN © (13.02.09 19:57) [58]

> кроме IPTABLES в Linux"е другого нету

iptables пришел на смену ipchains начиная с 2.4

Ядра младше 2.4 тоже имеют право на существование и по сей день, так что iptables не единственный файрвол)

> синтаксис правил в PF отличается от IPTABLES более человечным
> подходом к лексике и семантике "предложений"

Не возражаю.
Но речь, думаю, идет пока о возможностях и надежности сабжа.

А ты тоже посмотри хотя бы любопытства ради, какую приятную языковую оболочку придумали в MikroTik для iptables ! Да и гуя к нему лучше чем в составе WinBox, пожалуй, не сыскать..

> Но речь, думаю, идет пока о возможностях и надежности сабжа.

Ну так. PF из OpenBSD вышел.

> А ты тоже посмотри хотя бы любопытства ради, какую приятную языковую оболочку придумали в MikroTik для iptables !

На серверах и маршрутизаторах нету графических оболочек. :)) Иначе это Windows со всеми вытекающими... :D

> iZEN (13.02.2009 23:57:00) [60]

Чем мешает или чем помогает графическая оболочка на сервер Виндоус, в случае штатного или корпоративного файрвола? Кроме удобства.

> Anatoly Podgoretsky © (14.02.09 12:21) [61]
> Чем мешает или чем помогает графическая оболочка на сервер
> Виндоус, в случае штатного или корпоративного файрвола?
> Кроме удобства.

Кроме удобства, графическая оболочка ещё и требовательна к видеоподсистеме (прикинь: на серере может вообще не быть видеокарты ни встроенной, ни дискретной; всё "общение" с сервером может сводиться к прямому подключению к нему по последовательной консоли или же удалённо по SSH).

> iZEN © (13.02.09 23:57) [60]

> На серверах и маршрутизаторах нету графических оболочек

MT RouterOS - не исключение.
Я про нативный гуй под на виндовую станцию, с которой можно наглядно, эффективно и полноценно контролировать роутер.

> iZEN (14.02.2009 13:40:02) [62]

Так это я в курсе, если администрирование текстовое, скриптовое, то не надо туда тянуть ГУИ и наоборот. Поэтому Чем мешает или чем помогает графическая оболочка на сервер Виндоус.
На всякий случай есть и то и другое, поскольку корпоративный файрвол является СОМ сервером, со всеми вытекающими из этого последствиями.

Тсс, только администратором это не сообщать.

> Сергей М. (14.02.2009 17:24:03) [63]

Виндовая станция аналогично, основной ГУИ инструмент, ну а продвинутые могут из консоли через NETSH

И тоже тсс, поскольку многие не знаю, что в Виндоус, страшно даже сказать но есть консоль и боже - большинство POSIX утилит.

> Anatoly Podgoretsky © (14.02.09 19:55) [65]

> продвинутые могут из консоли через NETSH

Никто не вправе лишать мазохистов права быть мазохистами)

В случае же с MT RouterOS выбор более чем достаточен на любого ценителя: тут тебе и нативный виндовый гуй, тут тебе и веб-интерфейс, тут тебе и ssh- и telnet-доступ, если хочется "помазохировать")

← →
iZEN (2009-02-15 14:40) [67]

Пример встраиваемого решения на FreeBSD и методы управления файерволом: http://www.thg.ru/network/20041114/print.html

Про стандартный FireWall Windows Найти похожие ветки