Visnetic 2.0

[helldomain]

Ugu. Prosto firewallow mnogo, a ya odin ;-))).

[Bosmr]

helldomain
Да ладно рассказывать, сидишь небось за буржуйским Ipchains'ом...
))))

Я НАШЕЛ !!!!!!!!!!!

Наступил на детские грабли и парил голову себе и другим...

НЕЛЬЗЯ запускать одновременно 2 фаера!!!
Я писал , что у меня установлен ZoneAlarm , ну и боясь остаться с
голой Ж в инете не отключал его во время эксперементов
Отдельно каждый работает , а вместе
У меня есть только одно оправдание- на каком то англоязычном
форуме прочел , что один чудак сидит сразу за 2мя этими фаерволлами
(ZA & VN) - не верь глазам своим !!

Спасибо helldomain и Bosmr что заставили меня продолжить разбираться
с проблемой и решить ее.

Теперь если можно, такой вопрос - где почитать о правильной
кофигурации т.е. протоколы , порты , входящие и выходящие ,
необходимые для разных прог.
А может кто то статью напишет, а

БОЛЬШОЕ спасибо

[Bosmr]

Цитата:

На всех компьютерах стоит (пока) ZoneAlarm

Вот это меня как раз и смутило.
Естественно так нельзя.
А почитать... хм, чтобы все в одном, такого не видел.
Сначала, сразу же что нужно - это сделать filter all traffic on this adapter для интернетовского интерфейса, сделать block всех packets, которые no matching rule.
Затем настраивай нужные тебе сервисы, я тебе давал самые необходимые.
Посмотри еще сюда:
%windir%\system32\drivers\etc
файл services.
Основные сервисы и порты ими используемые.
Когда все это проделаешь, смотри периодически в log, и вводи новые правила.
Только не переусердствуй, разрешай только самое необходимое!!!
И не забудь сделать block all traffic когда стена выключена, и filter all traffic когда включена.

Добавлено через 41 минуту:
По поводу протоколов... тебе лучше книжку какую купить...
Или еще, у Vot'а была электронная библиотека по этому поводу, вроде...
Ну и в инете поищи, я на такое наталкивался помню...

[maskman]

Bosmr
helldomain
А как в Этой стене заперетить выход в инет определенным прогам???
Вроде лазил не нашел там такого, может не туда смотрел...

[Bosmr]

maskman
К сожалению никак. Или резать по портам и IPшникам.
Тут сам принцип немного другой, нежели у Personal firewall'ов.
Как говорит Хелл, прога схожа по действиям с хардверными стенами.

[maskman]

Bosmr
Спасибо, тогда будем следить куда эти с***ки лезут )))
и отрубать ...

Bosmr

Интересный файлик %windir%\system32\drivers\etc файл services.
Нашел там основные протоколы О.К
Сконфигурировал основные сервисы - Даже НТТР сервер заработал
позволяя зайти ко мне , EMule - получил High ID !!

Прошел проверку на " вшивость " на указанных в шапке сайтах
по безопасности, а также еще на 3х

http://scan.sygatetech.com/prequickscan.html
http://www.pcflank.com/fw_rules_db.htm
http://www.it-sec.de/vulchke.html

НЕВИДИМ !!! все полностью закрыто!
Хотя на ZoneAlarm'е было также хорошо.
Кстати , возможно это будет кому-то
интересно могу коротко рассказать о причинах ухода с ZoneAlarm,
за которым сидел 2 года:

1. Периодические падения ZoneAlarm сервиса TrueVector
( на разном железе и операционках) . Он перезапускается автоматом,
но неизвестно, что в это время с безопасностью компа .
Особенно стало актуально в наш век самоползающих
вирусов типа лавсана.
2. "Распухание" в памяти ZoneAlarm после нескольких дней
непрерывной работы компьютера с Р2Р программой EMule
создающей большое количество одновременных соединений.
ZoneAlarm занимал до 70-80 Мега !! и 40-50% от процессора,
хотя , возможно, что это проблема мула
3. Очень неудобный интерфейс (ИМХО)


Ну чтож , теперь проверим боем (инетом) расхваленный visnetic !

Еще раз всем спасибо.

[Bosmr]

Alechko
Ты только не забудь, что любой открытый тобой порт - это потенциальная дыра.
Что HTTP, что SMTP, все что угодно.
Так что думаю здесь самое главное - не переборщить...
Всмысле, окрывать только то чем пользуешься, а не все что попало.

All
У меня кстати тоже пару вопросов есть...

Вот такая штука:
Можно открывать какой либо сервисный порт для клиентский портов как:
a) 1024-5000
б) 1024-65536

И не очень понятно, кто когда что использует, вот например, окрываю 80-й порт для 1024-5000 и сайт снановится недоступен для некоторых людей...

Может это какие-нибудь хитрые приблуды с подменой адресов, типа прокси какого-нибудь???
Хотелось бы понять когда кто что использует?

И вот еще вопрос, например, открываю сервисный порт, к примеру тот же 80й.
Может ли кто-нибудь поразить меня трояном, который будет использовать этот порт? Или же, если порт занят уже ХТТП сервисом( как впрочем и со всеми остальными портами), то никто уже кроме него локально не сможет его использовать?
Все трояны которые я видел используют клиентские порты, что на самом деле для меня не очень понятно, почему именно клиентские???

Вот еще пример, открыт у меня для всех по UDP 123й порт.
Его например в какой-то момент времени не использует Net time сервис.
Почему бы трояну не использовать этот порт для передачи данных?
возможно ли такое?

Уясните, гуры, пожалуйста!!!

Bosmr


Вот что я нашел по твоему 2му вопросу

Port/Protocol:
80/TCP
Service:
WWW-HTTP
Description:
Port 80 is used by web-servers in order to open connection with a user. Port 80 is the standard port for websites. This port is used by web-browsers by default.
Trojans using this port:
Executor, Seven-Eleevn, WANRemote, Web Serve CT


Взято с серьезного сайта по безопасности

http://www.pcflank.com/ports_services.htm

Подставь там номер порта в Search и увидиш, какая дрянь
может его использовать .

Так что " Ты только не забудь, что любой открытый тобой порт - это потенциальная дыра."

[helldomain]

Ehh, wse nemnogo ne tak.

Port - eto wsego lish nomer kommunikacionnogo kanala. Porazit tebya troyanom mogut, no dlya etogo ego nado k tebe na mashinu prosunut i zapustit. I tolko togda troyan zaimet kakoi-libo port i budet jdat na nem soedinenij. Odin port na odnom interfeise mojet bit zanyat tolko odnoi programmoi w odin i tot-je moment wremeni, t.e. ti ne mojesh na odnom i tom-je interfeise odnowremenno zapustit 2 servera wisyaschih, na primer, na portu 80.

[Bosmr]

Хех, ну я так и думал. спасибо!
А что скажете по поводу диапазонов:
1024-5000 и 1024-65536 ?

[helldomain]

A chto dumat? Porti ot 0 do 1023 obichno ne ispolzujutsya dlya lokalnogo mappinga ishodyaschih soedinenij, a wse chto swishe - wpolne.

Привет всем!!!
Я вернулся ... с новыми проблемами help пожалуйста.

Месяц за сабжем показал, что прога очень хороша но,
раз в 3-4 дня VISNETIC полностью закрывает инет.
Комп включен 24 часа в сутки.
Нет сообщений об ошибках или проблемах,
в логе видны запрещенные UDP подключения и никаких
TCP Ни разрешенных ни запрещенных

Я сходил на форум VISNETIC"а и не нашел подобных
жалоб
Возможно это проблема окружения т.е. прог бегущих параллельно?
Напомню, что у меня WinXP
Спасибо.

ставь KaH'a и используй обе стенки каспером хорошо правила создавать just rulez

[helldomain]

U nas na servere ono rabotaet i bez problem. Server pod 2k3.

[Bosmr]

Alechko
Да я вот тоже на стенку пожаловаться не могу... все как часы...
Поэтому сперва:
Порверь настройки.

Погляди также, все ли то что блокируется/разрешается, у тебя в лог суется...
Это настраивается в свойствах каждого правила, а то, что не попадает под правила, то что "no matching rule", - в Configuration(для каждого интерфейса) -> advanced -> ну и там у каждого протокола увидишь.

Вооот... что еще... возможно у тебя проблема с самой виндой.
Посмотри в event viewer на наличие ошибок, там могут быть проблемы, когда установлены более одного интерфейса. (SceCli, ID 1001)

Кстати, инет пропадает повсеместно?

Ну или еще вариант - сделай allow на локалку, загрузи любой комп в ней, и проверь, будет ли инет. Возможно, ты неправильно настроил правила для сети...
Ну вот, и неплохо было бы, если бы ты запостил то, что у тебя в логе блокируется по UDP.

ЗЫ: Хотя кстати, бывает у меня тоже сбоит иногда... но это с самой виндой...
Там что происходит - ICS который у меня настроен, почему-то иногда(но очень очень редко) не переводит внутрисетевой IP во внешний, и во внешнюю сеть начинают вылезать 192.168.0.*.... естественно стенка их рубит... и инет стало быть не пашет...
Кстати, возможно, у тебя что-то подобное...

[Seva]

helldomain
Спасибо. Отличный firewall посоветовал

На днях первый раз поставил Visnetic. Версия 2.1.2. Впечателения самые положителные. Просто песня. Единственный минус - не может отдельно с программами работать(какую куда пускать). К ресурсам нетребователен - не грузит систему с 64МГб и слабым камнем.
И дома также поставлю - комбайн-аутпост порядком надоел своей прожорливостью, снесу без сожаления.

Bosmr

Настройки все проверены т.к. каждое правило вылизывал
для минимального доступа к компу ну и для понимания
всей этой кухни
В логи скидываю почти со всех правил
В event viewer системы и в апликаций все давно
вычищено
У меня внутренняя сеть из 3 компов и, когда это
случается, то запирается вся сеть
На этой машине у меня бежит главная дыра в
безопасности EMule - Вот как раз его попытки
подключения по UDP и отражаются в логе
Внутренние адреса в инет не лезли (кажется?)
Проверю это при следующем падении

И еще вопрос по теме , но не по месту
Ключи от 207 квартиры подходят к 212 ?

Спасибо

[Seva]

Alechko

Цитата:

Alechko:
И еще вопрос по теме , но не по месту
Ключи от 207 квартиры подходят к 212 ?

Вот то место, где узнаешь ответ
http://www.imho.ws/showthread.php?s=...threadid=20657