http://krisweb.ru/ Lasto Blogging Engine ru Sergey Krivenko krisweb@sibmail.com krisweb@sibmail.com http://krisweb.ru/i/lastoblog.png http://krisweb.ru/ http://krisweb.ru/post_1172227942.html <p>Настройка правил для Agnitum Outpost Firewall <STRONG>http://www.agnitum.com</STRONG> <br> <br> Думаю, что проблема безопасности волнует каждого пользователя компьютера. И если с такой неприятностью, как вирусы и троянские программы всё более или менее понятно, то с прямыми атаками на систему дела обстоят намного сложнее. Чтобы избежать посягательства на дорогую сердцу информацию, необходимо установить так называемый FireWall. <br> Принцип действия любого firewall’а основан на полном контроле всех служб и программ, которым необходим доступ во Всемирную паутину или локальную сеть. <br> <br>Правильно настроить такой “щит” – задача не из лёгких. Разработчики это понимают и часто делают простой и понятный интерфейс с минимумом видимых настроек программы. Такой подход применяется и в программе Agnitum Outpost Firewall. Однако автоматическая конфигурация не всегда подходит для того или иного пользователя. И вот здесь многие сталкиваются с проблемой создания правила для определённой программы. <br> <br> Все испытания проводились с Agnitum Outpost Firewall ver. 3.5. Но многие настройки будут присутствовать и в ранних версиях данного продукта. Если в статье что-то не указано – лучше не трогать и оставить так как есть. Итак, начнём. <br> <br> Установка не вызывает особых проблем. Попросят перезагрузиться – соглашаемся. <br> Дальше идёт создание автоматической конфигурации – создаём. Сразу идём в “Параметры – Системные – Глобальные правила и доступ к raw socket”. Жмём вкладку “Параметры” и видим все глобальные правила, которые применяются ко всем программам и службам в сети. <br> <br> • Allow DNS Resolving. Без этого правила работа в сети будет невозможна, так как будет заблокирован доступ к серверу DNS. <br> • Allow Outgoing DHCP. Это правило позволяет использовать DHCP. Если ваш провайдер использует DHCP, то оставляйте, если нет – смело отключайте. <br> • Allow Inbound Identification. Рекомендую отключить. Для большинства пользователей получение входящих данных на порт 113 для идентификации ни к чему. <br> • Allow Loopback. Производить loopback-соединения, которые чаще называются “замыканием на себя”. Если вы используете такое соединение, то галочку следует оставить, если нет – смело отключайте. <br> • Allow GRE Protocol. Необходим всем, кто использует РРТР (организация VPN-доступа). Если не используете такое соединение, то отключаете. Если есть сомнения – обратитесь к вашему провайдеру. <br> • Block Remote Procedure Call. Блокировка удаленного вызова процедур. Большинству пользователей удаленный вызов процедур абсолютно не нужен. Зато всяким плохим пользователям такое право непременно пригодится. Галочку оставляем. <br> • Deny Unknown Protocols. Это правило позволяет блокировать любое соединение, если не удаётся определить тип протокола. Оставляем “птицу”. <br> <br> Все остальные правила позволяют корректно работать с протоколами TCP и UDP, поэтому оставляем всё, как есть. <br> <br> Здесь же мы можем закрыть полностью доступ к определённому порту системы. Как это сделать? Всё достаточно просто. <br> <br> 1. Выберите “Добавить” для создания нового системного/общего правила. Далее откроется окошко с опциями (вариантами) настройки общих/системных правил. <br> <br> 2. Выберите событие для правила обозначьте “Где протокол”, “Где направление” и “Где локальный порт”. <br> <br> 3. В поле “Описание правила” кликните на “Не определено” в строке “Где протокол” и выберите необходимый протокол. <br> <br> 4. В поле “Описание правила” кликните на “Не определено” в строке “Где направление” и выберите “Входящее” соединение. <br> <br> 5. В поле “Описание правила” кликните на “Не определено” в строке “Где локальный порт” и обозначьте номер порта, который вы хотите закрыть. <br> <br> 6. В поле “Выберите действия” для правила отметьте “Блокировать эти данные” и пометить правило как “Правило с высоким приоритетом” и “Игнорировать Контроль компонентов”. <br> <br> 7. В поле Имя правила введите название правила и нажмите “ОК” для его сохранения. Название правила должно появиться в списке “Параметры”. <br> <br> Настоятельно рекомендую создать правила для полного блокирования входящего трафика UDP-портов 135, 137, 138 и ТСР-портов 135, 139,445. Можно смело блокировать 5000 порт и на входящие и на выходящие соединения (это Universal Plug&play) Можно закрыть ещё 5554 и 9996 по TCP. Именно через эти порты чаще всего происходят атаки на ваш компьютер. <br> <br>Далее отправляемся на вкладку “Приложения” и удаляем оттуда все программы. Для чего это нам надо? Сейчас попробую объяснить. Обыкновенному пользователю для работы необходимо всего несколько программ: браузер, менеджер закачек, почтовая программа, ftp-клиент, ICQ. Остальные подождут… <br> <br> Ставим политику “Обучение”, входим в Интернет и запускаем каждую из них. Outpost попросит создать правило для каждой программы, что мы и делаем. Затем редактируем каждое правило в отдельности. <br> <br> Для браузера Opera разработчики Outpost’а разрешили следующие соединения: исходящие для протокола TCP на порты 21,25, 80-83, 110, 119, 135, 443, 1080, 3128, 8080,8081, 8088. Достаточно много, не правда ли? Давайте разберёмся, что нам надо от браузера (Аналогия с IE и Mozilla будет практически полной). 21-ый порт (Opera FTP connection) блокируем в первую очередь, однако если вы закачиваете файлы с ftp-серверов с помощью браузера, следует оставить галочку. Порты 80-83 отвечают за работу по HTTP протоколу. Их не трогаем. 25-ый (Opera SMTP connection) и 110-ый (Opera POP3 connection) порты отвечают за отправку и получение почты соответственно. Если не пользуетесь сторонней почтовой программой, то оставляйте; если нет – смело убираете галочку. На порт 119-ый приходят новости по протоколу NNTP, если вы не получаете новости подобным образом, то порт можно смело закрывать. 135-ый следует заблокировать. 443-й порт отвечает за соединения по протоколу HTTPS, который чаще называют SSL, использующемуся для организации криптографически защищенного канала для обмена данными (пароли, ключи, личная информация) в сети. Думаю, что лучше всего оставить без изменений. 1080-ой порт отвечает за SOCKS-соединения. Если вы не пользуетесь SOCKS-серверами при работе, порт можно смело отключать. 3128, 8080,8081, 8088 – это всё порты работы с прокси-серверами: используете их – оставляете. <br> <br> Outlook работает с помощью исходящих ТСР-соединений через порты 25. 80–83,119, 110,143,389,443.995,1080. 3128. 8080. 8088. 25-ый и 110-ый не трогаем – они отвечают за выполнение основной функции. Со 119-ым портом мы уже разобрались. Порт с номером 995 – получение почты по протоколу РОРЗ, используя защищенное соединение SSL/TLS. Если вам это не нужно, то 995-й порт закрываем. 143-й порт отвечает за работу с почтой по протоколу IMAP. Нет IMAP – порт закрыт. Через 389-й порт можно получить доступ к серверу LDAP. Дома она вряд ли может пригодиться. Стало быть, закрываем. The Bat! использует практически те же порты, что и Outlook, кроме портов, необходимых для PROXY. <br> <br> Правила для менеджеров закачек не следует изменять. Они используют только необходимые порты, однако если не пользуетесь прокси, можно смело блокировать всё те же порты 3128. 8080. 8088. Для ftp-клиента следует оставить только 21-ый порт. <br> <br> Необходимо обратить внимание на некоторые служебные программы. • Alg.exe – Microsoft Application Layer Gateway Service. Этот процесс обеспечивает поддержку плагинов Internet Connection Sharing / Internet Connection Firewall. Эти службы дают возможность нескольким компьютерам сети подключиться к Интернету через один компьютер. В большинстве случаев она не нужна. • Conf.exe – это Net-Meeting. Не нужен – отключаем.. • Dwwin.exe – Microsoft Application Error Reporting. Ясно без слов! • Mstsc.exe - Microsoft Remote Desktop. Подключение к удалённому рабочему столу. • Explorer.exe - Microsoft Windows Explorer. Что нужно Проводнику в Интернете? • Lsass.exe – Local Security Authority Service. Это локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon. • Служба Messenger, которая пересылает административные сообщения между клиентами и серверами. По большому счету, домашнему пользователю она не нужна. <br> <br> Для работы в Интернете я рекомендую использовать режим “Обучение”. Он позволяет создавать правила “на лету” для незнакомых программ. <br> <br> <STRONG>Источник: sys.alfamoon.com</STRONG> <br> <br> Дополнительная инфоормация взята с: <br><STRONG>http://www.xtreme-invest.info/index.php/topic,839.0.html </STRONG> <br> <div style="margin-left:10px;color:#575;font-weight:bold;"><a href="http://krisweb.ru/comment_1172227942.html">Оставить комментарий</a></div> Fri, 23 Feb 2007 13:52:22 GMT