Всем!!! Инструкция по (пере-)настройке фаерволла!

Всем!!! Инструкция по (пере-)настройке фаерволла!

Сообщение sasha-dobryj » 29 окт 2013, 21:43

1)Настройки файерволла- общие- уровень оповещений -> высокий(порты).
2)Убрать svchost.exe из группы "системных прог"(в HIPS) и заблокировать их в файерволле.
3)Добавить отдельные правила svchost.exe HIPS:системный(хотя почти всё можно блокировать или спросить),
файерволл- разрешить исх tcpudp на порт 53, ниже правило-блокировать всё(т.е.остальное) и логировать.
4)Правило для группы "программы" утянуть на дно списка мышью и там ВСЕГДА держать.
Изменить его на : tcpudp исходящ- спросить и лог; всё(остальное)- блокир. и лог.
5)ваши браузеры, почтовые проги, майлру- и яндекс-агенты сделать правило "браузеры" и проследить, что они выше группы "программы". (FTP- браузерам, если есть, назначить правило FTP.) InternetExplorer рекомендую блокировать(в СНГ).
6) Включить режим файерволла "обучение" и поработать с сетью на проверенных сайтах(Яндекс,Майлру) и на локалке, если есть. Смотреть "Журнал файерволла" и дублировать что нужно в правила, если нет локалки с общ.папками, то группа "система" и svchost не должны иметь доп.правил.(совмещать общие папки и интернет крайне ОПАСНО!). Обновите все легальные программы и окончательно переключите режим файерволла на "Пользовательскую политику".
7)Просмотрите автом-ки созданные во время обучения правила. Для прог, кот. нужен интернет, измените правила, заменив исходящие адреса и порты на "любые"(повторы уберите), которым инет не нужен - заблокируйте.
8)Для скайпо-подобных прог - "доверенные"
9)Для торрент-прог и DC+ 4 правила: а)разр все tcpudp исх; б)разр вход люб.адрес на порт, который указан в настройках"сеть" торрент- программы(случайность отключить!); в)так же разр вход на порт 1900; г)запр. всё(т.е.остальное).
10)включайте мозги и дописывайте свои правила. Записывайте на бумаге, что изменили. У кого винда беспл, рекомендую откл. обновл и в "глоб" правилах запретить выход на microsoft.com, live.com и др сайты фирмы.
11)Всегда проверять пункт 4.
sasha-dobryj
 
Сообщения: 12
Зарегистрирован: 27 окт 2013, 14:50

Re: Всем!!! Инструкция по (пере-)настройке фаерволла!

Сообщение vitalya » 13 фев 2014, 22:33

sasha-dobryj писал(а):3)Добавить отдельные правила svchost.exe HIPS:системный(хотя почти всё можно блокировать или спросить),
файерволл- разрешить исх tcpudp на порт 53, ниже правило-блокировать всё(т.е.остальное) и логировать.

Зачем svchost.exe tcp? Он и без UDP может обойтись!
vitalya
 
Сообщения: 4
Зарегистрирован: 13 фев 2014, 22:20

Re: Всем!!! Инструкция по (пере-)настройке фаерволла!

Сообщение sasha-dobryj » 14 фев 2014, 01:43

Да, для svchost только исходящие порт 53 ( и только на сервера DNS, если без торрентов и DC - ФС с псевдо-ДНС).
sasha-dobryj
 
Сообщения: 12
Зарегистрирован: 27 окт 2013, 14:50

Re: Всем!!! Инструкция по (пере-)настройке фаерволла!

Сообщение sasha-dobryj » 14 фев 2014, 01:46

PS. и не только TCP , но и UDP ...
Последний раз редактировалось sasha-dobryj 14 фев 2014, 16:55, всего редактировалось 1 раз.
sasha-dobryj
 
Сообщения: 12
Зарегистрирован: 27 окт 2013, 14:50

Re: Всем!!! Инструкция по (пере-)настройке фаерволла!

Сообщение vitalya » 14 фев 2014, 09:44

Я недавно начал пользоваться комодо. До этого фаерволами не пользовался.
И правило для svchost были для меня первым уроком! Если его запретить совсем, то 3G МТС инет у меня пропадал.
Потом методом тыка и просмотра журнала я создал правило - разрешить udp исходящие на ДНС МТС на порт 53. Остальное всё под запрет. Но у меня Винда 8 и свчост постоянно пытается куда-то позвонить и меня это беспокоит - а не вирус ли это звонит!
Потом я попробовал отключить службу DNS - клиент и тогда svchost вообще сеть запретил! Подключался с помощью запуска Фаерфокс - он предлагает подключиться к сети.
На другой Винде пробовал ставить Аутпост - там для svchost несколько правил есть разрешения и на протокол TCP. Но в Аутпосте можно посмотреть какое приложение делает запрос через svchost и уже пользователь может решить разрешить соединение или запретить. У комодо тоже есть похожее приложение - Килсвич, но оно не показывает кто инициализирует запросы через svchost и это неудобно.
Думаю, что когда я запрещаю svchost сеть полностью, то моя скорость соединения падает, хотя трафик экономится.
vitalya
 
Сообщения: 4
Зарегистрирован: 13 фев 2014, 22:20

Re: Всем!!! Инструкция по (пере-)настройке фаерволла!

Сообщение sasha-dobryj » 14 фев 2014, 13:01

Полный запрет svchost'а недопустим. Это одно из "изобретений" мелкософта - глобальный программный шлюз.
Службы, инициализирующие сетевые соединения (и интернет, и локальные, и локально-хаккерские-удаленно-манипуляционные) все работают через него. В свое время мне прямо сказали, что на бесплатном Комодо разделения запросов не будет. И отделить их без специальной функции такого разделения можно только снаружи(сетевыми правилами).
Без порта 53 сайтового интернета (DNS) не будет - будет только прямая адресация по IP4-цифровым адресам серверов, и только главных страниц, поскольку сайты распылены по множеству серверов и адресуются символьными ссылками.
Так что "порт 53 TCP исход." надо svchost'у разрешать всегда. У меня также изредка были и UDP-запросы. Это недавнее "незаконное" использование DNS-порта для обмена управлением многоканальными соединениями появилось недавно и не у всех провайдеров; и без него скорости больше 10Мбод(1 бод уже полвека = 1бит/с) недоступны. А это полноценный связной канал, втч для шпионажа.
Программы-драйвера всех китайских 3G и 4G-модемов уже содержат шпионские функции, требующие постоянной связи co своими серверами, и не работают, если такой связи нет. Либо не пользоваться мобильным интернетом, либо терпеть, включив режим обучения фаерволла и потом создав разрешающие правила для запрашиваемых IP-адресов примерно 5-7 этих серверов. Также по этим каналам происходит динамический выбор радиоканалов, и при отсутствии управления связь идет только по единственному стандартному радиоканалу. А высокие скорости радиоинтернета получаются как раз запараллеливанием множества стандартных EDGE каналов (4по64)кбод прием, 64кбод передача. Поэтому, кстати, для передачи видео и отправки файлов нужно иметь в 4 раза большую мобильную скорость, чем для приема.
sasha-dobryj
 
Сообщения: 12
Зарегистрирован: 27 окт 2013, 14:50

Re: Всем!!! Инструкция по (пере-)настройке фаерволла!

Сообщение sasha-dobryj » 14 фев 2014, 16:33

sasha-dobryj писал(а):Программы-драйвера всех китайских 3G и 4G-модемов уже содержат шпионские функции, требующие постоянной связи co своими серверами.

- это тоже через шлюз svchost!!!(напрямую они обычно только обновляются). Однако полностью разблокировать его крайне нежелательно, так как этот шлюз - стандартный способ маскировки вирусов, троянов, червей и хаккеров-взломщиков(и проверки подлинности винды). И если нельзя узнать, КТО звонит, то надо хотя бы проверять, КУДА звонят! К сожалению, адреса этих 3G-серверов всё время меняются, и создать стабильное правило вообще невозможно. Просто приходится включать спрашивание фаерволла, а сразу после включения моб.инета смотреть в оповещениях, куда звонит svchost и разрешать. Однако по мере изменения эфирных условий происходит переключение каналов, с помощью новых запросов через их сервер. И если в начале интернет-сессии примерно 50% вероятности, что это не вредонос, то потом вообще лучше не разрешать (можно переподключить интернет). В результате скорость падает, но качество связи возрастает, так как радиосвязь идет по самым надежным на данный момент частотным радиоканалам. Поэтому советую тем мобильщикам, кто вредоносов не боится, разрешать в svchost все исходящие, а кто боится - переходить на андроид-планшеты (отдельные от компа с ценными данными), линуксы(недавно вроде китайские модемы в них заработали), или на провод :roll: :lol: .
С вредоносо-чистых компьютеров исходящие безопасны, но где их взять - эти чистые... Сейчас все проги - от антивирусов, почтовых агентов, игр до всевозможных служебных - содержат стационарные трояны, передающие авторам, кто и как использует их творения и многие под шумок тянут и чужое - и чужие проги, и ваши данные. Skype - это вообще ворота как на выход, так и на вход! И попробуй запрети! Приходится только в проактивной защите(HIPS) запрещать доступ ко всему, кроме её папок и ключей. Но остальные проги делают это тихо и почти незаметно, исподтишка. И от вашего имени! А так называемые DDOS-атаки на крупные сервера компаний без массового участия ВАШИХ компьютеров вообще невозможны... Причем именно через ВАШИ исходящие...
sasha-dobryj
 
Сообщения: 12
Зарегистрирован: 27 окт 2013, 14:50

Re: Всем!!! Инструкция по (пере-)настройке фаерволла!

Сообщение vitalya » 15 фев 2014, 20:41

sasha-dobryj, что-то Вы не то пишете по поводу отключения svchoct от сети! :lol: Не такой уж он прям нужный! Просто стандартную его функцию делать dns запросы отключить легко и через винду и никакой трагедии не произойдёт на любом инете, не только 3G! Все браузеры и почтовые программы могут делать точно такие-же DNS запросы и без svchot
vitalya
 
Сообщения: 4
Зарегистрирован: 13 фев 2014, 22:20

Re: Всем!!! Инструкция по (пере-)настройке фаерволла!

Сообщение sasha-dobryj » 15 фев 2014, 22:11

vitalya писал(а):Просто стандартную его функцию делать dns запросы отключить легко и через винду и никакой трагедии не произойдёт


Честно скажу, никогда не слышал. Напиши,как это делать, желательно для разных версий винды.
sasha-dobryj
 
Сообщения: 12
Зарегистрирован: 27 окт 2013, 14:50

Re: Всем!!! Инструкция по (пере-)настройке фаерволла!

Сообщение vitalya » 15 фев 2014, 22:34

Жмёшь клавишу Виндоус + R - набираешь msconfig - ОК. Переходишь на вкладку "службы", снимаешь галку DNS-клиент и жмешь "применить" - "ОК" Усё! Только в комоде приложениям, которые выходят в инет нужно разрешить udp исходящие на DNS серверы вашего провайдера, на порт 53. В таком случае никакие вредоносные приложения не смогут выйти в сеть через svchost. А напрямую их остановит фаервол.
vitalya
 
Сообщения: 4
Зарегистрирован: 13 фев 2014, 22:20

След.

Вернуться в Обсуждаем Comodo Firewall

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron