Перейти к содержимому


Фото
- - - - -

Злой Firewall блочит добрый модуль WiFi


  • Please log in to reply
36 ответов в этой теме

#21 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 12 Декабрь 2017 - 08:55

В первую очередь мой ответ на вопрос, почему в пакетнике нет кучи разрешающих правил на протоколы. Изначально я черпал вдохновение из известного в 90-200х kerio personal firewall 2.x, но уже тогда стало понятно что время прошло и все просто повешаются. С каждой версий он упрощается,исходя из фидбека, но это не афишируется, просто людям становится проще с ним жить. при этом там до сих много всяких строгих методов, та же система доверенной цепочки вполне годная вещь. Недавно мы избавились от проблемы с нативными путями и привязки к диску, что тоже плюс к карме.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#22 ComeToDaddy

ComeToDaddy

    Member

  • Posters
  • 145 Сообщений:

Отправлено 12 Декабрь 2017 - 10:32

Konstantin Yudin,

 

Мне кажется вам стоит задуматься над кнопочкой "Блокировать все входящие", такой же как в виндовом файрволе. Глупо отрицать, что это единственная спасительная панацея для работы в открытых общественных сетях (бесплатные WiFi сети)... там где все узлы недоверенные, там, где дикая природа. Сделайте эту функцию более изящно, если хотите, - если считаете, что слово "Блокировать все.." будет отпугивать домохозяек.

 

Ведь сами же написали, что правила приложений, в число которых входят и все системные-виндовые, в приоритете. А приложения эти открывают кучу портов, для них все правилами разрешено, через уязвимости в них черви проникают. Одного запрета на входящий пинг в пакетники недостаточно. Это смех и грех.

 

Представляете, что творится с компом человека-домохозяина, который подключен к провайдеру кабелем напрямую, без роутера? Там же вавилонсикй котел из троянов, рекламы и прочего.



#23 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 12 Декабрь 2017 - 11:01

Konstantin Yudin,

 

Мне кажется вам стоит задуматься над кнопочкой "Блокировать все входящие", такой же как в виндовом файрволе. Глупо отрицать, что это единственная спасительная панацея для работы в открытых общественных сетях (бесплатные WiFi сети)... там где все узлы недоверенные, там, где дикая природа. Сделайте эту функцию более изящно, если хотите, - если считаете, что слово "Блокировать все.." будет отпугивать домохозяек.

Домохозяйка нажмёт эту кнопочку, а потом напишет сюда на форум, что "Я поставила DrWeb, а он заблокировал работу Skype и Viber".


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#24 ComeToDaddy

ComeToDaddy

    Member

  • Posters
  • 145 Сообщений:

Отправлено 12 Декабрь 2017 - 11:45

Домохозяйка нажмёт эту кнопочку, а потом напишет сюда на форум, что "Я поставила DrWeb, а он заблокировал работу Skype и Viber".

 

А вы сами-то пробовали нажимать эту кнопочку в виндовом файрволе? Ну что, заблокировался Skype, Viber, uTorrent?



#25 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 12 Декабрь 2017 - 11:53

 

Домохозяйка нажмёт эту кнопочку, а потом напишет сюда на форум, что "Я поставила DrWeb, а он заблокировал работу Skype и Viber".

А вы сами-то пробовали нажимать эту кнопочку в виндовом файрволе?

 

Нет, не пробовал, ибо виндовый фаер мне не интересен.
 

Ну что, заблокировался Skype, Viber, uTorrent?

Судя по Вашим словам, они не заблокировались.
Значит он блокирует отнюдь не "все входящие". © Ваш


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#26 ComeToDaddy

ComeToDaddy

    Member

  • Posters
  • 145 Сообщений:

Отправлено 12 Декабрь 2017 - 11:56

Значит он блокирует отнюдь не "все входящие". © Ваш

 

Он не блокирует "исходящие". Все что вы перечислили, все инициируется вами как исходящие соединения.



#27 ComeToDaddy

ComeToDaddy

    Member

  • Posters
  • 145 Сообщений:

Отправлено 12 Декабрь 2017 - 12:03

Вы просто не понимаете внутренней кухни. Вот у меня сейчас eMule сидит на 4662 порту и качает себе. Я с ноутбука сканю через Nmap свой стационарный комп и вижу этот порт открытым и с десяток других. Могу издеваться над ними теперь как хочу. Теперь я ставлю галочку в виндовом файрволе "Блокировать все входящие": eMule продолжает прекрасно качать себе, а Nmap c ноутбука не видит ни одного открытого порта. Поиздеваться над жертвой не получится. Троян через уязвимости не пролезет.



#28 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 12 Декабрь 2017 - 12:04

 

Значит он блокирует отнюдь не "все входящие". © Ваш

 

Он не блокирует "исходящие". Все что вы перечислили, все инициируется вами как исходящие соединения.

 

Попробуйте в фаере DrWeb запретить все входящие для Skype - он будет работать?


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#29 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 12 Декабрь 2017 - 12:37

Вы просто не понимаете внутренней кухни. Вот у меня сейчас eMule сидит на 4662 порту и качает себе. Я с ноутбука сканю через Nmap свой стационарный комп и вижу этот порт открытым и с десяток других. Могу издеваться над ними теперь как хочу. Теперь я ставлю галочку в виндовом файрволе "Блокировать все входящие": eMule продолжает прекрасно качать себе, а Nmap c ноутбука не видит ни одного открытого порта. Поиздеваться над жертвой не получится. Троян через уязвимости не пролезет.

у нас это по умолчанию. все что не устанавливало соединения на машину не придет
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#30 ComeToDaddy

ComeToDaddy

    Member

  • Posters
  • 145 Сообщений:

Отправлено 12 Декабрь 2017 - 13:24

Попробуйте в фаере DrWeb запретить все входящие для Skype - он будет работать?

 

В конечном счете речь идет об открытых портах, через которые и проникают трояны в общественных и корпоративных сетях. Все сводится только этому. DrWeb ни при каких обстоятельствах не фильтрует порты. Он их не защищает никак. Все открыто. А винда защищает. Стоит только выбрать "Общественная сеть" вместо "Домашняя", сразу перекрывается сетевое обнаружение и общие папки. Виндовый файрвол защищает - стоит только поставить галочку, и все порты будут отфильтрованы, все будет наглухо закрыто, без нарушения функционирования софта. Вот это и нужно внедрить в DrWeb.



#31 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 12 Декабрь 2017 - 13:40

>Он их не защищает никак. Все открыто

не правда. нельзя установить входящий коннект если до этого не было исходящего от процесса.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#32 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 12 Декабрь 2017 - 13:51

 

Попробуйте в фаере DrWeb запретить все входящие для Skype - он будет работать?

 

В конечном счете речь идет об открытых портах, через которые и проникают трояны в общественных и корпоративных сетях. Все сводится только этому. DrWeb ни при каких обстоятельствах не фильтрует порты. Он их не защищает никак. Все открыто. А винда защищает. Стоит только выбрать "Общественная сеть" вместо "Домашняя", сразу перекрывается сетевое обнаружение и общие папки. Виндовый файрвол защищает - стоит только поставить галочку, и все порты будут отфильтрованы, все будет наглухо закрыто, без нарушения функционирования софта. Вот это и нужно внедрить в DrWeb.

 

Т.е., судя по уклончивости Вашего ответа, Вы проверили и убедились, что Skype при таких настройках файрвола не работает?

Значит, никакой речи о "Блокировать все входящие" © Ваш идти не может...


Сообщение было изменено VVS: 12 Декабрь 2017 - 13:52

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#33 ComeToDaddy

ComeToDaddy

    Member

  • Posters
  • 145 Сообщений:

Отправлено 12 Декабрь 2017 - 14:17

не правда. нельзя установить входящий коннект если до этого не было исходящего от процесса.

 

Я проведу эксперимент с Nmap.

 

что Skype при таких настройках файрвола не работает?

 

Дело в том, что Skype я ни разу в жизни не пользовался. Я проверил на eMule и uTorrent, а вы проверьте пожалуйста Skype? Будет ли он работать, если в виндовом файрволе поставит галочку "Блокировать все входящие".

 

Я смотрю исключительно на порты, а не на приложения. На низкий уровень, а не на верхний. Трояны и хакеры пролазят через открытые порты с установленными там уязвимыми приложениями.



#34 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 644 Сообщений:

Отправлено 12 Декабрь 2017 - 14:39

У меня у родителей ноут напрямую подключен к сети интернет, сеть там организована так у провайдера, что соседние клиенты видны и уже года 3 как вообще без проблем. Фаер из коробки. Ни одной попытки несанкционированного доступа. Суслики ловится. В общем довольны.

#35 ComeToDaddy

ComeToDaddy

    Member

  • Posters
  • 145 Сообщений:

Отправлено 12 Декабрь 2017 - 20:10

не правда. нельзя установить входящий коннект если до этого не было исходящего от процесса.

 

 

Я проведу эксперимент с Nmap.

 

 

Провел простой эксперимент. Использовал в Nmap опцию -A, которая выводит имена и версии установленных сервисов, которые висят на портах. Для этого она шлет определенные данные на порт и в зависимости от того, что прилетает в ответ, определяет версии. Файрвол DrWeb включен, Default rule в пакетнике, виндовый файер выключен. Сканил свой комп с ноута. Лог ниже.

 

Как видно, работа файера ДрВеба никак не проявляется, он никак не вмешивается в работу, позволяет слать в порты произвольные данные, а сервисы отвечают на эти данные. Где же я неправду сказал? Школьник со сканером прекраcно очень точно вычислил версию моего VMWare - 12.5.7, с точностью до билда Build 5813279. Имя моего компа, имя моей домашней группы и все остальное по списку. По версиям ПО он выяснит какие уязвимости они имеют и проникнет ко мне в комп. А троян сделает это на автомате. А я все это время буду сидеть на диване в автомойке уткнувшись в ноут ожидая пока помоют мой автомобиль и думать, что DrWeb меня защищает.

 

Для сравнения приведу второй лог при включенной галочке "Блокировать все входящие соединения" в виндовом файрволе. Кто какой лог выбирает для работы в открытых сетях? Я выбираю второй.

 

Starting Nmap 7.50
Initiating SYN Stealth Scan at 21:32
Scanning 192.168.1.xx [1000 ports]
Discovered open port 1025/tcp on 192.168.1.xx
Discovered open port 445/tcp on 192.168.1.xx
Discovered open port 135/tcp on 192.168.1.xx
Discovered open port 139/tcp on 192.168.1.xx
Discovered open port 443/tcp on 192.168.1.xx
Discovered open port 1030/tcp on 192.168.1.xx
Discovered open port 912/tcp on 192.168.1.xx
Discovered open port 1031/tcp on 192.168.1.xx
Discovered open port 1028/tcp on 192.168.1.xx
Discovered open port 902/tcp on 192.168.1.xx
Discovered open port 2869/tcp on 192.168.1.xx
Discovered open port 5357/tcp on 192.168.1.xx
Discovered open port 1026/tcp on 192.168.1.xx
Discovered open port 1027/tcp on 192.168.1.xx
Completed SYN Stealth Scan at 21:32, 14.31s elapsed (1000 total ports)
Initiating Service scan at 21:32
Scanning 14 services on 192.168.1.xx
Completed Service scan at 21:33, 58.64s elapsed (14 services on 1 host)
Initiating OS detection (try #1) against 192.168.1.xx
NSE: Script scanning 192.168.1.xx.
Initiating NSE at 21:33
Completed NSE at 21:34, 61.82s elapsed
Initiating NSE at 21:34
Completed NSE at 21:34, 0.01s elapsed
Nmap scan report for 192.168.1.xx
Host is up (0.0058s latency).
Not shown: 986 filtered ports
PORT     STATE SERVICE         VERSION
135/tcp  open  msrpc           Microsoft Windows RPC
139/tcp  open  netbios-ssn     Microsoft Windows netbios-ssn
443/tcp  open  ssl/http        VMware VirtualCenter Web service
| http-methods:
|_  Supported Methods: GET HEAD POST
|_http-title: Site doesn't have a title (text; charset=plain).
| ssl-cert: Subject: commonName=VMware/countryName=US
| Issuer: commonName=VMware/countryName=US
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2015-09-01T11:59:53
| Not valid after:  2016-08-31T11:59:53
| MD5:   1fa6 af1d 1598 d739 8f13 253d b5cb a23c
|_SHA-1: 6c60 ec39 b705 d1d1 f73d ad20 755e ca7d 3864 b9f5
|_ssl-date: TLS randomness does not represent time
| vmware-version:
|   Server version: VMware Workstation 12.5.7
|   Build: 5813279
|   Locale version: INTL  
|   OS type: win32-x86
|_  Product Line ID: ws
445/tcp  open  microsoft-ds    Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUPNAME)
902/tcp  open  ssl/vmware-auth VMware Authentication Daemon 1.10 (Uses VNC, SOAP)
912/tcp  open  vmware-auth     VMware Authentication Daemon 1.0 (Uses VNC, SOAP)
1025/tcp open  msrpc           Microsoft Windows RPC
1026/tcp open  msrpc           Microsoft Windows RPC
1027/tcp open  msrpc           Microsoft Windows RPC
1028/tcp open  msrpc           Microsoft Windows RPC
1030/tcp open  msrpc           Microsoft Windows RPC
1031/tcp open  msrpc           Microsoft Windows RPC
2869/tcp open  http            Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
5357/tcp open  http            Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Service Unavailable
MAC Address: XX:XX:XX:XX:XX:XX (xxxxx)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
OS details: Microsoft Windows Server 2008 or 2008 Beta 3, Microsoft Windows Server 2008 R2 or Windows 8.1, Microsoft Windows 7 Professional or Windows 8, Microsoft Windows Embedded Standard 7, Microsoft Windows 8.1 R1, Microsoft Windows Phone 7.5 or 8.0, Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7, Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008
Uptime guess: 1.479 days (since Mon Dec 11 10:04:42 2017)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=260 (Good luck!)
IP ID Sequence Generation: Incremental
Service Info: Host: PCNAME; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: -4s, deviation: 0s, median: -4s
| nbstat: NetBIOS name: PCNAME, NetBIOS user: <unknown>, NetBIOS MAC: XX:XX:XX:XX:XX:XX (Asustek Computer)
| Names:
|   PCNAME<00>     Flags: <unique><active>
|   WORKGROUPNAME<00>     Flags: <group><active>
|   PCNAME<20>     Flags: <unique><active>
|_  WORKGROUPNAME<1e>     Flags: <group><active>
| smb-os-discovery:
|   OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
|   OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
|   Computer name: PCNAME
|   NetBIOS computer name: PCNAME\x00
|   Workgroup: WORKGROUPNAME\x00
|_  System time: 2017-12-12T21:33:44+05:00
| smb-security-mode:
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_smbv2-enabled: Server supports SMBv2 protocol

TRACEROUTE
HOP RTT     ADDRESS
1   5.83 ms 192.168.1.xx

NSE: Script Post-scanning.
Initiating NSE at 21:34
Completed NSE at 21:34, 0.00s elapsed
Initiating NSE at 21:34
Completed NSE at 21:34, 0.00s elapsed
Read data files from: F:\Raznoe\Nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 148.06 seconds
           Raw packets sent: 4011 (179.036KB) | Rcvd: 56 (2.548KB)

 

 

Второй лог.

 

 

Starting Nmap 7.50
Initiating SYN Stealth Scan at 22:01
Scanning 192.168.1.xx [1000 ports]
Completed SYN Stealth Scan at 22:01, 22.96s elapsed (1000 total ports)
Initiating Service scan at 22:01
Initiating OS detection (try #1) against 192.168.1.xx
Retrying OS detection (try #2) against 192.168.1.xx
NSE: Script scanning 192.168.1.xx.
Initiating NSE at 22:01
Completed NSE at 22:01, 0.00s elapsed
Initiating NSE at 22:01
Completed NSE at 22:01, 0.00s elapsed
Nmap scan report for 192.168.1.xx
Host is up (0.016s latency).
All 1000 scanned ports on 192.168.1.xx are filtered
MAC Address: XX:XX:XX:XX:XX:XX (xxxxx)
Too many fingerprints match this host to give specific OS details
Network Distance: 1 hop

TRACEROUTE
HOP RTT      ADDRESS
1   16.00 ms 192.168.1.xx

NSE: Script Post-scanning.
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 34.57 seconds
           Raw packets sent: 2049 (94.700KB) | Rcvd: 1 (28B)


Сообщение было изменено VVS: 12 Декабрь 2017 - 21:56


#36 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 12 Декабрь 2017 - 22:37

В первую очередь мой ответ на вопрос, почему в пакетнике нет кучи разрешающих правил на протоколы. Изначально я черпал вдохновение из известного в 90-200х kerio personal firewall 2.x, но уже тогда стало понятно что время прошло и все просто повешаются. С каждой версий он упрощается,исходя из фидбека, но это не афишируется, просто людям становится проще с ним жить. при этом там до сих много всяких строгих методов, та же система доверенной цепочки вполне годная вещь. Недавно мы избавились от проблемы с нативными путями и привязки к диску, что тоже плюс к карме.

Да, в файере вроде бы много чего есть, но все как то мутно, непонятно, а то и просто нелогично, как с этим пакетником, протоколами или разрешениями IP. А все эти упрощения только добавили хаоса. Думается, в 12 стоило бы продумать и архитектуру, и функционал, и юзабилити заново, и лучше с нуля.

Я вот посоздавал в пакетнике запреты на определенные порты и протоколы, а оказалось это фигня и реально ничего не запретилось и запретить при нынешней архитектуре невозможно.



#37 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 13 Декабрь 2017 - 11:09

Всем спасибо за тесты и фидбек, надо все перепроверить.
With best regards, Konstantin Yudin
Doctor Web, Ltd.


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых