| Настройка
файервола Outpost Pro 2.5
Установили программу. Ребутнулись. Прога предложит создать правила -
согласились, потом разберёмся с ними.
Настройка глобальных правил.
Allow DNS Resolving по умолчанию разрешен, и правильно, поскольку
системе необходимо получить доступ к серверу DNS. Иначе станет невозможным
преобразование имен из привычного для всех нас вида в IP-адреса, по которым
и происходит поиск.
Allow Outgoing DHCP - позволяет использовать DHCP. По умолчанию
эта возможность включена, хотя нужна она далеко не всем. Получить точный
ответ о целесообразности этого правила можно у своего провайдера. Если
провайдер скажет, что нужды в службе нет, то можно ее отрубить.
Allow Inbound Identification - no умолчанию запрещен.
Разумно поскольку для большинства пользователей получение входящих данных
на порт 113 для идентификации ни к чему. Эксперты отмечают, что именно
так чаще всего воруют пароли. При этом учтите, что порт 113 не имеет никакого
отношения к активному режиму FTP, это ошибка. Поэтому закрытие порта никаких
проблем в работе по ftp-протоколу не создаст и создать не может.
Allow Loopback - производить loopback-соединения, которые
чаще называют замыканием на себя, приходится пусть не очень часто, но
и не настолько редко. Знающие люди советуют снять галку.
Allow GRE Protocol - необходим всем, кто использует РРТР. Например,
для организации VPN-доступа. Тут лучшим советчиком будет собственный провайдер.
Я лично отключил.
Block Remote Procedure Call - блокировка удаленного вызова процедур.
При проставленной галке блокировка есть, а при снятой - нет. По умолчанию
галка стоит на своем месте, поскольку большинству пользователей удаленный
вызов процедур абсолютно не нужен. Зато всяким плохим такое право непременно
пригодится.
Deny Unknown Protocols - нужен для подстраховки. Это правило повторяет
житейскую мудрость о том, что все непонятное является опасным. И предписывает
файрволлу блокировать любое соединение, если не удается определить тип
протокола. Думаю, что спорить с народной мудростью не следует - себе дороже
получится.
Дальше открываем вкладку «Приложеня» и удаляем оттуда всё! Ни чего не
оставляем.
Включаем режим обучения и запускаем по очереди те программы, которые
должны выходить в сеть. И здесь внимательно создаём правила для каждой
программы.
Сколько программ, которым необходим постоянный выход в Сеть, нужно простому
пользователю? Немного: браузер, почтовый клиент, аська и джаббер. ftp-клиент
и менеджер закачек. Для всех этих программ Outpost предлагает свой набор
правил, их мы и применяем как стандартные или базовые. Потом некоторые
подредактируем.
Подправим некоторые базовые правила.
Для браузера Internet Explorer авторы файрволла определили правила - разрешаются
все исходящие соединения по протоколу TCP через порты 21,70,80-83.443,554,1080,
3128, 8080, 8088 и входящие соединения по протоколу TCP через порт 1375,
по протоколу UDP через порты 1040-1050. Дофига. (У меня он вообще выходит
в сеть только домой за апдейтами, что бы залатать в системе старые дырки
и получить новые - всё). Ставим Лисицу или Оперу по умолчанию и порядок.
При этом я не призываю к радикальным мерам - полному запрету этого браузера.
Много веб-страниц заточены под него. Таковы реалии. Исходя из этих соображений,
21-й порт блокируется сразу и без раздумий, для загрузки файлов с ftp-серверов
существуют специальные программы, более удобные, чем браузер. 443-й порт
отвечает за соединения по протоколу HTTPS, который чаще называют SSL,
использующемуся для организации криптографически защищенного канала для
обмена данными (пароли, ключи, личная информация) в Сети. Думаю, что,
активность программы через этот порт также следует запретить. Правда,
исключения в данном случае имеются. Некоторые провайдеры допускают выход
в интернет только по VPN-каналу, что приводит к необходимости внести изменения
в таблицу маршрутизации. Решается это просто: пользователю надо запустить
скрипт, находящийся на сервере, доступ к которому разрешен только по протоколу
HTTPS. Легче всего это сделать, используя IE. Так что в таких случаях
закрывать порт целесообразно только после выполнения всех необходимых
операций.
Порт 1080 отвечает за SOCKS-соединения. SOCKS был создан для обеспечения
удобного и безопасного использования сервиса сетевых файрволлов для приложений
типа клиент-сервер, работающих по протоколам TCP и UDP. Если вы не пользуетесь
SOCKS-серверами при работе с IE, порт можно смело отключать. С портами
3128; 8080 и 8088 еще прозрачнее. Исползуем прокси-серверы - оставляем,
нет - заблокировать. Через 70-й порт можно задействовать так называемую
систему Gopher. Некоторые специалисты называют Gopher прямым предшественником
WWW, но сегодня она представляет интерес только для исследователей. Актуальность
эта служба утратила уже давно, поэтому закрываем и его. Кстати говоря,
года два назад дыра, связанная с неконтролируемом буфером, управляющим
информацией, получаемой от сервера Gopher, наделала немало шума. Закрытие
ТСР-порта 1375 и UDP-портов 1040-1050 тоже не должно вызвать неприятных
последствий. И наконец, порт 554. Используется он исключительно в мультимедийных
целях, поэтому закрыть его можно без проблем - намного проще закачать
файл и посмотреть его при помощи специального плейера. После всего IE
должен работать вполне исправно и с "кривыми" сайтами, и с прямыми.
Теперь можно определить и правила для Mozilla или Opera, причем аналогия
будет практически полной.
Microsoft Outlook (Express) пo умолчанию дозволительны исходящие ТСР-соединения
через порты 25. 80-83,119, 110,143,389,443.995,1080. 3128. 8080. 8088
и 11523. Многовато для простых получения и отправки сообщений. 25 и 110
не трогаем - они отвечают за выполнение основной функции. С остальными
- разберёмся.
На порт 119 приходят новости по протоколу NNTP, если вы не получаете новости
подобным образом, то порт можно смело закрывать. Порт с номером 995 -
получение почты по протоколу РОРЗ, используя защищенное соединение SSL/TLS.
Если вам это не нужно, то 995-й порт закрываем. 143-й порт отвечает за
работу с почтой по протоколу IMAP. Нет IMAP -нет порта. Через 389-й порт
можно получить доступ к серверу LDAP. Штука удобная, широко используется
в UNIX-системах, но дома она вряд ли может пригодиться. Стало быть, закрываем.А
вот все оставшееся нужно для того, чтобы клиент мог вылезать в Сеть, реагируя
на некоторые элементы, которые очень часто помещают в письма. Не знаю
что сказать. Причина банальна: я не понимаю целесообразности этих возможностей
и не вижу смысла включать в письмо что-то, кроме чистого текста. Русский
словарь (как и любой другой) богат, и при помощи содержащихся там слов
можно выразить сколь угодно сложную мысль. Если вы со мной согласны, то
блокируйте остальные порты, если нет - дело ваше.
С ftp-клиентом все просто. Для нормальной работы ему следует разрешить
исходящие соединения по протоколу TCP через 21-й порт, а потом по ситуации
(в режиме обучения).
Менеджеру закачек разрешить исходящее соединения по протоколу TCP через
порты 21, 80-83, 443, 1080, 3128, 8080, 8088 и 11523. У себя FlashGet-y
я запретил лазить сюда 212.31.251.68 ; 212.31.251.67 ; 210.51.184.50 и
сюда 208.184.39.132. ;208.185.54.9, а то он гад ключи там проверяет, становится
опять не зарегистрированным и потом всякую ерунду от туда тащит и баннеры
показывает.
Авто обновления следует тоже запретить. Всё должно быть строго по команде.
А то лазают где попало и трафик зря сжирают. Самому Outpost-у я запретил
вылазить в сеть, ему там делать не чего. Для обновлений существуют варезные
сайты.
Следует обратить внимание на некоторые служебные программы, которые тоже
лезут в Сеть. Alg.exe - Microsoft Application Layer Gateway Service. Он
обеспечивает поддержку плагинов Internet Connection Sharing / Internet
Connection Firewall. Эти службы дают возможность нескольким компьютерам
сети подключиться к интернету через один компьютер. В большинстве случаев
она просто не нужна. Кстати, если она не нужна, то запрет ее сетевой активности
- банальная полумера. Заходим в HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Ser-vices\ALG
и изменяем значение Start на DWORD:00000004 - экономия полтора мегабайта
оперативной памяти.
Conf.exe - это тот самый Net-Meeting, о полной деинсталляции которого
мечтает половина русских пользователей системы Windows (другая половина
не мечтает, поскольку уже давно это проделала). Не нужен - отрубаем. Из
той же серии программа dwwin.exe - Microsoft Application Error Reporting.
Вам оно надо? Microsoft за эти сообщения денег нам не платит. Mstsc.exe
- Microsoft Remote Desktop - отвечает за подключение к удаленному Рабочему
столу. Если не надо и если раньше не прибили этот сервис - не пущать.
Explorer.exe - в сети ему делать нечего. Lsass.exe - это локальная подсистема
аутентификации пользователей (Security Accounts Manager). К сожалению,
эту нужную функцию используют несколько опасных сетевых червей. В некоторых
случаях запрет ее сетевой активности возможен, в некоторых -нет. Этот
вопрос следует обсудить с собственным провайдером, и, если он скажет,
что служба должна работать, спасет только установка соответствующих патчей,
которые выпускает любимая компания Microsoft. Я её запретил. Наконец,
служба Messenger, которая пересылает сообщения между клиентами и серверами.
По большому счету, домашнему пользователю она не нужна. Она позволяет
принимать сообщения net send, которые пользователю не нужны, - если есть
желание пообщаться, стучимся в аську и не выёживаемся. Тем не менее, если
по каким-либо причинам эту службу отключить нельзя, то используйте файрволл
для закрытия UDP-портов 135, 137, 138 и ТСР-портов 135, 139,445.
Можно смело блокировать 5000 порт и на вход и на выход (это Universal
Plug&play - совершенно не нужное в реальной жизни)
Можно закрыть ещё 5554 и 9996 по TCP.
Остальные системные настройки я оставил по умолчанию.
Режим невидимости. Скрытые процессы - “спрашивать”.
Настроить подключаемые модули я думаю не очень сложно. Фильтр почтовых
вложений я отключил, хватит антивируса. С остальными можно поковырятся.
Некоторые порты используются не только добросовестным софтом, но и всякими
троянами. Краткий список портов, которым следует уделить особое внимание.
31 порт используется троянцем Master Paradise, 121 - ВО jammerkillahV,
456 - Hackers Paradise, 555 - Stealth Spy, Phase0 и NeTadmin, 666 - At¬tack
FTP, 1001 и Silencer и WebEx, 1010 - Doly trojan v1.35, 1011 - Doly Trojan,
1015 - Doly trojan v1.5,1033 - Netspy, 1042 - Bla1.1,1080 - Win-gate,
1170 - Streaming Audio Trojan, 1243 - SubSeven, 1245 - Voodoo, 1269 -
Maverick's Matrix, 1492 - FTP99CMP, 1509 - Psyber, 1600 - Sivka Burka,
1807 - SpySender, 1981 - ShockRave, 1999 - Backdoor, 2001 - Tro-janCow,
2023 - Pass Ripper, 2115 - Bugs, 2140 - The Invasor, 2283 - HVL Rat5,
2300 - PC Xplorer v1.2, 2565 - Striker, 2583 - Wincrash2, 2801 -Phineas,
3791 - Total Eclipse 1.0, 4950 - IcqTrojan, 5000 - Blazer 5, BioNet Lite,
Sockets De Troje , 5011 -OOTLT, 5031 - NetMetro 1.0, 5321 - Firehotcker,
5400 - BladeRunner 0.80 и BackConstruction 1.2, 5521 - Illusion Mailer,
5550 - Xtcp, 5569 -RoboHack, 5742 - Wincrash, 6400 - The tHing, 6669 -
Vampire, 6670 -DeepThroath 1,2,3.x, 6883 - DeltaSource, 6912 - ShitHeep,
6969 - Gate¬crasher, 7306 - NetMonitor, 7789 - ICQKiller, 9400 - InCommand
1.0, 9872 - PortalOfDoom, 9989 - Inlkiller, 4567 - FileNail, 6939 - Indoctri¬nation,
9875 - PortalOfDoom, 10101 - BrainSpy, 10607 - Coma, 11000 -Senna Spy
Trojans, 11223 - ProgenicTrojan, 12076 - Gjamer, 12223 - Hack-99 KeyLogger.
Разумеется, это не всё, поэтому рекомендуется время от времени посещать
специальные ресурсы, посвященные сетевой безопасности, где можно найти
актуальный на данный момент перечень потенциально опасных портов.
С уважением. |