Firewall и Shieldsup!
#1
Отправлено 14 Июнь 2011 - 13:06
f6.0.png 38,6К 78 Скачано раз
В случае же альтернативных файерволов (Kerio, встроенные файерволы Windows XP/7) все задействованные порты помечаются как "Stealth".
Настройки файервола Dr.Web следующие:
созданы только два правила - для Dr.Web Updater и Firefox. В обоих случаях разрешены только исходящие соединения.
Dr.Web Updater: UDP(53), TCP(80-83,443)
Firefox: UDP(53), TCP(80,443)
Все остальные соединения запрещены по-умолчанию: Packet filter - Deny all, Advanced - Block unknown connections.
В чем может быть причина?
#2
Отправлено 14 Июнь 2011 - 13:18
аутпост - все зеленое.В случае же альтернативных файерволов (Kerio, встроенные файерволы Windows XP/7)
#3
Отправлено 14 Июнь 2011 - 13:55
Все остальные соединения запрещены по-умолчанию: Packet filter - Deny all, Advanced - Block unknown connections.
Непонятно, если Packet filter - Deny all, то вообще ничего работать не будет.
После смены правил, перезапуск был?
Как идти ломая стены, и не трогать кирпичи?
#4
Отправлено 14 Июнь 2011 - 14:19
Да, конечно. И перезапуск и перезагрузка.После смены правил, перезапуск был?
Почему?Непонятно, если Packet filter - Deny all, то вообще ничего работать не будет
Разве описанные выше настройки не означают, что будет блокироваться все, что не разрешено двумя созданными правилами для Dr.Web Updater и Firefox?
P.S. Забыл уточнить, что служба DNS Client отключена, поэтому в соединениях для svchost.exe нет необходимости.
Сообщение было изменено #user: 14 Июнь 2011 - 14:24
#5
Отправлено 14 Июнь 2011 - 14:59
Вы же хотите все порты закрыть, а некоторые системные порты такие системные..Да, конечно. И перезапуск и перезагрузка.
Почему?
Разве описанные выше настройки не означают, что будет блокироваться все, что не разрешено двумя созданными правилами для Dr.Web Updater и Firefox?
Потому, что правила пакетного фильтра имеют более высокий приоритет, чем правила фильтра приложений.
Как идти ломая стены, и не трогать кирпичи?
#6
Отправлено 14 Июнь 2011 - 15:00
А не наоборот?Потому, что правила пакетного фильтра имеют более высокий приоритет, чем правила фильтра приложений.Почему?
Разве описанные выше настройки не означают, что будет блокироваться все, что не разрешено двумя созданными правилами для Dr.Web Updater и Firefox?
Борис А. Чертенко aka Borka.
#7
Отправлено 14 Июнь 2011 - 15:07
Тогда возникает вопрос почему все работает?Потому, что правила пакетного фильтра имеют более высокий приоритет, чем правила фильтра приложений.
#8
Отправлено 14 Июнь 2011 - 15:37
А не наоборот?
нет.
Тогда возникает вопрос почему все работает?Потому, что правила пакетного фильтра имеют более высокий приоритет, чем правила фильтра приложений.
всё --- это что? как вы deny all поставили?
#9
Отправлено 14 Июнь 2011 - 15:39
А не наоборот?Потому, что правила пакетного фильтра имеют более высокий приоритет, чем правила фильтра приложений.
Нет, если пакетный фильтр, что то запрещает, значит такой пакет выкидывается. Т.е. если в пакетном фильтре нет не разрешений, не запрещений, то только тогда срабатывает фильтр приложений. Разумеется порядок проверок зависит от типа пакета. В исходящем, сначала проверятся app и потом пакетный фильтр(но если запрещено пакетным то выкинет всё равно, просто позже). В получаемом, сначала пакетный потом app.
Не тот какой надо интерфейс запрещён или запрещено но не правильно. Правильно это когда всем интерфейсам выставлено Deny All и настройки этого рулсета(Deny All) не менялись, и соответствуют изначальным.Тогда возникает вопрос почему все работает?Потому, что правила пакетного фильтра имеют более высокий приоритет, чем правила фильтра приложений.
Как идти ломая стены, и не трогать кирпичи?
#10
Отправлено 14 Июнь 2011 - 16:09
Нормально... Было ж наоборот?нет.А не наоборот?
Борис А. Чертенко aka Borka.
#11
Отправлено 14 Июнь 2011 - 16:10
Раньше же сначала проверялись правила для АФ и только затем ПФ?Нет, если пакетный фильтр, что то запрещает, значит такой пакет выкидывается. Т.е. если в пакетном фильтре нет не разрешений, не запрещений, то только тогда срабатывает фильтр приложений. Разумеется порядок проверок зависит от типа пакета. В исходящем, сначала проверятся app и потом пакетный фильтр(но если запрещено пакетным то выкинет всё равно, просто позже). В получаемом, сначала пакетный потом app.А не наоборот?Потому, что правила пакетного фильтра имеют более высокий приоритет, чем правила фильтра приложений.
Борис А. Чертенко aka Borka.
#12
Отправлено 14 Июнь 2011 - 16:48
Раньше же сначала проверялись правила для АФ и только затем ПФ?
Порядок проверок всегда определялся направлением, т.к. в принципе не возможно проверить исходящий пакет в пакетном фильтре до того как его сформирует tcpip.sys для данных полученных им из приложения(т.е. фильтр приложений будет в этом случае первым по любому). А вот, для входящего пакета первым будет пакетный фильтр, т.к. в этот момент говорить о приложениях рано.
Главное тут только то, что пройдут только те пакеты которые были разрешены обоими фильтрами(это если совсем упрощённо). Причём на пакетном уровне, всегда, сначала будут проверены правила пакетного фильтра и только потом будет проверка, нужен ли такой пакет фильтру приложений. Т.е. приоритет(не порядок проверки, см. выше) правил пакетного фильтра выше.
Как идти ломая стены, и не трогать кирпичи?
#13
Отправлено 14 Июнь 2011 - 16:52
Ага, ясно. Спасибо. Мы же за входящий траффик говорим.Порядок проверок всегда определялся направлением, т.к. в принципе не возможно проверить исходящий пакет в пакетном фильтре до того как его сформирует tcpip.sys для данных полученных им из приложения(т.е. фильтр приложений будет в этом случае первым по любому). А вот, для входящего пакета первым будет пакетный фильтр, т.к. в этот момент говорить о приложениях рано.Раньше же сначала проверялись правила для АФ и только затем ПФ?
Главное тут только то, что пройдут только те пакеты которые были разрешены обоими фильтрами(это если совсем упрощённо). Причём на пакетном уровне, всегда, сначала будут проверены правила пакетного фильтра и только потом будет проверка, нужен ли такой пакет фильтру приложений. Т.е. приоритет(не порядок проверки, см. выше) правил пакетного фильтра выше.
Борис А. Чертенко aka Borka.
#14
Отправлено 14 Июнь 2011 - 16:59
Ага, ясно. Спасибо. Мы же за входящий траффик говорим.
Короче, дело ясное, что дело тёмное, но ведь работает же.
Как идти ломая стены, и не трогать кирпичи?
#15
Отправлено 15 Июнь 2011 - 10:12
По-поводу "Deny all" все верно - все соединения будут запрещены. Просто не учел, что нужно применять эти настройки не только в разделе "Packet filter", но и в разделе "Interfaces".
С контролем портов решил вопрос следующим образом:
помимо упомянутых двух правил в фильтре приложений, создал собственный набор правил в пакетном фильтре:
pf.png 22,9К 31 Скачано раз
UDP(53)
TCP(80,443)
Внизу списка применено правило, запрещающее все остальные соединения по любому протоколу.
Теперь картинка выглядит так:
grc2.png 37,39К 23 Скачано раз
#16
Отправлено 15 Июнь 2011 - 10:31
#17
Отправлено 15 Июнь 2011 - 15:17
Тут есть определенные нюансы. Разработчикам ведь нужно быть уверенными в том, что файерволл с настройками по-умолчанию не вызовет проблем с доступом в сеть какого-нибудь ПО на ПК обычного пользователя. Поэтому слишком уж закручивать настройки по-умолчанию вряд ли кто-то будет.хм...интересно, а в будущем обычным пользователям эти правила нужно будет писать руками, чтобы получить такую же картинку?
Да и не тот это компонент, который может быть особо полезен пользователю, не вникающему в тонкости настройки файерволла.
#18
Отправлено 15 Июнь 2011 - 17:27
хм...интересно, а в будущем обычным пользователям эти правила нужно будет писать руками, чтобы получить такую же картинку?
В 7.0 бете ситуация с этим, уже значительно лучше, т.к. убрано много разрешений по умолчанию для многих портов(в пакетном фильтре). Теперь такие порты, для пакетного фильтра, будут открываться автоматически фильтром приложений, с учётом его правил. Хотя править настройки фильтра приложений при этом всё равно придётся, т.к. там по умолчанию приходится много разрешать. Впрочем, надо понимать, что доступность некоторых портов для скана, само по себе ещё не означает проблем с безопасностью, т.к. использовать уязвимость можно только в том случае, если данные с этих портов будут получены приложением(см. фильтрация на уровне приложений) и оно имеет подходящую уязвимость.
Как идти ломая стены, и не трогать кирпичи?
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых