Страница 2 из 2 ПерваяПервая 12
Показано с 11 по 19 из 19

Тема: Безопасные порты

  1. #11

    По умолчанию

    Цитата Сообщение от MrX Посмотреть сообщение
    Из бесплатных Comodo.
    Из платных Kerio.

    Это те, что я предпочитаю, а так их до усрачки.
    Спасибо.Попробую

  2. #12

    По умолчанию

    а как закрываются порты?
    Нужно лезть в настройки файервола. Если стоит брандмауэр от винды, то заходите в "Исключения->добавить порт" дальше нужно указать вышеперечисленные порты и поставить галочку на разрешение или блокировку входящего или исходящего соединения.

    Любой файер по умолчанию запрещает какие-либо входящие соединения. Но трояны работают по принципу Client---Server, тоесть на комп жертвы ставится невидимый для глаз сервер, а злобный хакер коннектится к нему спец-прогой как клиент (вот и будет управлять машиной жертвы как захочет по запросу клиентской части). В данном случае нужно наглухо закрыть определенный порт, т.е. запретить любые соединения через него.

    Я использую Outpost Firewall в нем нужно заходить "Параметры->Детектор атак->Дополнительно->Уязвимые порты" и указать системный или троянский порт. При передаче подозрительного пакета или скана на эти порты, Аутпост расценит это как атаку и автоматически перекроет передачу данных через уязвимый порт.

  3. #13

    По умолчанию

    если незатруднит, впишите через азпятую, те порты, которые можно безболезнено отключить. которые не повлияют на работы браузеров, FTP и почтовых килентов

  4. #14
    Пользователь
    Регистрация
    23.05.2007
    Сообщений
    31

    По умолчанию

    их слишком много.

    Поставьте фаер, и закрывайте порты, которые не повлияют на работу.

    Вот которые не стоит закрывать:
    браузер - 80, 443
    FTP - 21 (но могут понадобиться и другие из верхнего диапазона, зависит от клиента)
    почта - 25, 110 (143 если используете IMAP)

  5. #15

    По умолчанию

    Все мы юзаем основные системные порты - это 1-1024 их ещё называют well known ports, т.е. они заточены под самые распространенные виндовсовские службы. Тем самым, вышестоящие порты, лучше наглухо закрыть. Кроме исключений конечно, часть из которых MrX расписал уже

  6. #16
    Новичок
    Регистрация
    17.08.2007
    Сообщений
    13

    По умолчанию

    PortBlocker, маленькая программа, блокирующая порты(для информации)

  7. #17

    По умолчанию

    Сразу же и без тормозов, закрывайте порты 7(echo); 23(telnet); 43(Who is); 135(DCOM); 137;138;139(Net bios); 113(Authorization); 5000(PnP-зачем в сети?); 5554; 9996; 18350.

    Какие порты нам нужны для работы браузера? По умолчанию Аутпостина разрешает ему вход в сеть через порты 70;80-83;1080;8080;8081;8088;socks;587;554;20-21;pop3;1935-остальное по мелочи.

    8080;8080;8088 и 3128 порты соединения через прокси сервер, если не используете - закрываем, юзаете - оставляем.
    То же самое с портом 1080 - отвечает за соединение с Socks - прокси сервером.
    Порт №70 - абсолютно бесполезная штука Gopher, отключаем.
    Еще есть порт №443, отвечающий за передачу данных по HTTPS или SSL - организующему улучшенный, криптографически защищенный канал. Активность через этот порт также лучше запретить, только если вы конечно не юзер засекреченной коммерческой организации или пентагона)) и не используете VPN шлюзы или еще круче VPN+Proxy...
    554 порт - можете закрыть, как хотите, используется только в мультимедийных целях и в основном только для работы с IE.
    Стоит перекрыть порты smtp и pop3, если не используете браузер для работы с почтой.
    С браузером более менее разобрались.


    Для отправки и приема почты без лишних манипуляций в любом почтовом клиенте оставляйте открытыми порты 25 и 110, 995(для pop3), 119, если принимаете рассылку по протоколу NNTP; остальные не к чему - закрывайте. Но всё опять же на ваше усмотрение.

    Для ftp клиента, разрешайте выход через порт 20-21.

    Если вы обновляете винду, любые проги или сам Аутпост, то можете разрешить этим службам выход в сеть, но лучше не разрешать, вдруг скажем 4-я версия Аутпоста незаметно станет прояверять вашу регистрацию? И вообще, всё должно работать только если вы добро на это дали.

    Кстати, всемилюбимый менеджер закачек flashget проверяет ключи, по крайней мере это у меня было с версиями 1.65 и 1.72, запрещаем ему лазить на диапазон ip адресов 212.31.251.67 - 68, 208.185.54.9, 210.51.184.50. Остальным менеджерам следует разрешить соединения через порты, аналогичные по правилам для браузера и ещё на порты 21 и 11523.

    Для аськи дело понятное, разрешаем исходящие соединения по стандартным портам, в зависимости от менеджера и от вашего хотения юзать проксю.

    Антивирусные мониторы и сканеры - разрешаем, в соответствии с правилами приложения.

    Переходим к системным службам. Лучше разрешить SVCHOST, т.к. он постоянно будет "обновлять свою конфигурацию" по мере путешествия по инету, фаер задолбит своими вопросами на разрешение... Можете оставить ему свцхосту стандартные правила браузера, не страшно.
    dwwin.exe - служба регистрации ошобок... Её я рекомендую вообще отрубить через консоль администрирования, запрещайте её, а то будет лазить куда-попало да трафик зря жрать...
    Lsass.exe - служба аутентификации пользоваеля на локальном уровне. Эту службу лучше запретить(червивая), но иногда это не допускает провайдер, если возникнут проблемы - звоните в техсаппарт для уточнения.
    Mstsc - допуск к удаленному рабочему столу - запрещаем. Лучше используйте Radmin.
    Conf.exe - это NetMeeting, сомневаюсь, что кто-то им пользуется...

    Alg.exe - . Понадобиться - если играете в online игры из локалки, если нет, то вырубайте.

  8. #18

    По умолчанию

    Все знают что такое шары? Простым компьютерным языком - это "расшаренные ресурсы". Еще проще - это файлы, доступные любым пользователям рабочей группы (WORKGROUP) в Windows системах. Тоесть, если ваш компьютер относится к рабочей группе, то по нему спокойно смогут лазить любые такие же пользователи рабочей группы. Звучит ужасно? А как же безопасность личных данных и тд?
    И что дальше? Дальше больше, пропажа вашего icq номера, затроянивание вашей машины, пропажа денег на счете с карточки коммутируемого доступа, вобщем вы станете предметом общественного пользования Список неограничен, ведь имея доступ к вашей машине, можно все! И при этом вы ничего не заметите

    А как это происходит спросите вы? Как злоумышленник может проникнуть в вашу систему? А я отвечу - очень просто! Достаточно иметь под рукой одну из этих программ: IP Tools; Essential Net Tools или Advanced IP Scanner.
    Дальше все происходит быстро и четко. Берется диапазон внутренних айпи адресов вашего провайдера или адреса вашей собственной ЛС, например 12.34.45.0 - 12.34.45.255 от 0 до 255 и нажимается кнопка Scan. Так злоумышленник находит потенциальную жертву, того, на чьем компьютере имеются незащищенные расшаренные ресурсы. Во время сканировани программа выполняет следующее: пингует вашу машину, посылает ехо запрос с ожиданием ответа и выводит на глаза злоумышленнику список откликнувшихся на скан компьютеров. Перед ним предстанут работающие компьютеры, подключенные к интернету или к вашей локальной сети с ничего не подозревающими пользователями
    Теперь злоумышленник начинает искать реальную жертву. Для этого в Advanced IP Scanner достаточно ткнуть правой кнопкой мыши "Explore" и откроется ваш компьютер!!! Можно будет просматривать ваши файлы, а сами вы ничего не будете при этом подозреавать. Могут открытся все ваши логические и съемные диски, в том числе диск c. Обычно, если злоумышленнику нужен пароль от вашей интернет карточки, он будет шарить по вашей машине с помощью модема, а это мизерная скорость.
    Но у него есть решение этой проблемы - использование оболочки Far Manager. Для этого "хацкер" делаем команду "Подключить сетевой диск", вводит айпи адрес вашей машины и имя нужного диска, вот и все, теперь он сможет лазить Far'ом и даже маленькая скорость для него не помеха. После этого, если открыт диск с, "хацкер" лезет в WINDOWS-->system32-->config и сливает оттуда всю БД SAM, в которой и хранятся драгоценные пароли!!!
    И нетолько, зайдя с правами админа, можно скопировать и запустить на удаленной системе трояна (вы не задумавились откуда антивирус иногда находит троянов?), что сделает вас рабом злоумышленника. О других последстивиях делайте выводы сами.
    С локальной сетью тот же процесс, но цели немного другие

    Тонкости. Злоумышленник полностью прослушивает netbios , а значит знает имя учетной записи, имя компьютера, принадлежность к рабочей группе. Служба - "Обозреватель компьютеров". Netbios - порт 139. ICMP эхо запрос, тот же пинг показывает время прохождения пакета от посыла до отклика. В Essential Net Tools netbios активность включается опционально, в Advanced IP Scanner по умолчанию.
    Злоумышленнику не всегда откроется диск с:, и не всегда все диски. Чаще папки "Общие документы". Это возможно, если пользователь защитил диск "С" паролем, но не отключил учетную запись гостя. Просматривая на шары, злоумышленник по умолчанию заходит в компьютер под гостем и может только копировать файлы. Если учетная запись админа у жертвы не защищена паролем, то "хацкер" автоматом зайдет под админом.

    Методы борьбы. Первым делом ставим фаервол. Лучше Outpost, но стандартный брандмауэр виндовс тоже сгодится. Запрещаем любую активность netbios - входящие соединения на порт 139. Лезем в Параметры-->Системные-->ICMP-->Убираем флажки с "Эхо-ответ" "Из" и "В". Теперь вы всегда будете не в сети для злоумышленника
    Ставим пароль на свою учетку, если даже вы 1 работаете за своим компом, то это все равно нужно.
    Выключаем учетку гостя.
    Еще можно настроить политику аудита, чтобы вести логи всех входящих соединений, это важно в случае с локальными сетями, если вы открыли доступ на определенные паапки. Панель управления-->Администрирование-->Локальные параметры безопасости.

  9. #19
    Новичок
    Регистрация
    25.08.2007
    Сообщений
    3

    По умолчанию

    когда-то давным давно изучал этого зверя Essential Net Tools. Если я не ошибаюсь, то для WinXP эта штука малоэффективна. Встроенный фаер защищает от него.

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •