категории | RSS

Правила закрытия портов в Agnitum Outpost Firewall
Создание запрещающих правил для блокировки портов в приложении SVCHOST.EXE
Рассмотрим создание правила на примере блокировки портов 23, 69, 135, 137, 138, 139, 445, 4444 по протоколам TCP и UDP
Откройте окно Firewall-a. Нажмите: Параметры/ Приложения/SVCHOST.EXE/Изменить/ Редактировать правила/Создать.
В верхнем поле (Выберите событие для правила) поставьте птичку в (Где протокол) и в нижнем поле (Описание правила)
щёлкните на (Неопределено) и во всплывшем окне выберите протокол TCP.
В открывшемся окне в верхнем поле (Выберите событие для правила) будет стоять птичка в (Где направление) . В нижнем поле (Описание правила) на (Где направление исходящее) щёлкните на (исходящее) и во всплывшем окне замените на (Входящее).
В верхнем поле (Выберите событие для правила) поставьте птичку в (Где локальный порт). В нижнем поле (Описание правила)
а (Где локальный порт) щёлкните на (неопределено) и во всплывшем окне наберите вручную (23, 69, 135, 137,138,139, 445, 4444).
Далее нажмите ОК.
Теперь по аналогии такое же правило создайте для протокола UDP. (!) При создании этих правил в среднем поле
(Выберите действия для правил) надо выбрирать (Блокировать эти данные) и при желании можно дополнительно выбирать
ещё (Сообщить).
Теперь этому правилу надо придать высокий приоритет. Приоритет обработки правил а Firewall-е идёт в окне сверху вниз.
Значит делаем следующее: снова выбираем (SVCHOST.EXE), далее изменить/редактировать правила и кнопкой (вверх)
перемещаем эти два правила на самый верх.
Далее выберите ОК и Применить.
В Agnitum Outpost Firewall уже есть стандартное правило в Параметры -> Системные -> Общие правила/Параметры : Блокировать
Remote Procedure Call. Для пользователей версии Agnitum Outpost Firewall 2.6 и выше можно указать еще дополнительные
параметры для полной блокировки порта: (Игнорировать контроль компонентов) и (Пометить правило как Правило
с высоким приоритетом) - для этого кнопкой (вверх) перемещаем это правило на самый верх.
Всё это надо сделать для протоколов TCP и UDP.
Вот ещё, что надо сделать, чтобы полностью закрыть порт 135, через который работает служба DCOM
Пуск/панель управления/администрирование/службы компонентов - двойной клик.
В открывшемся окне снова двойной клик по (служба компонентов) -это справа.
В новом окне двойной клик справа по папке (Компьютеры).
Далее правой кнопкой мыши по иконке (Мой компьютер) и щёлкаем во всплывшем окне (свойства).
Далее вверху нажимаем (свойства по умолчанию) и убираем галку в (Разрешить использование DCOM на этом компьютере)
Далее нажимаем (Протоколы по умолчанию) и все их грохаем расположенной в середине кнопкой (Удалить).
Теперь нажимаем (Безопасность DCOM) и в двух графах в середине окна (Изменить ограничения) и в двух графах (Изменить настройки по умолчанию) РАЗРЕШАЕМ всё с локальным доступом/запуском/активацией и ЗАПРЕЩАЕМ всё с удалённым доступом/запуском/активацией.
Все эти настройки легко восстановить в том же порядке.

Блокировка портов созданием запрещающих правила в Глобальных/Системных настройках
Для примера создадим в Глобальных/Системных настройках запрещающее правило для блокировки порта 445 по протоколу TCP. Для этого открываем Firewall и:
Слева вверху щёлкаем (Параметры) и в выпавшей таблице нажимаем (Системные).
Во вновь всплывшем окне из трёх кнопок (Параметры) жмём самую нижнюю и во всплывшем окне справа вверху жмём
кнопку (Добавить).
Во вновь всплывшем окне в верхнем поле (1. Выберите событие для правила) ставим галку в (Где протокол).
В нижнем поле (3.Описание правила) жмём на (Не определено) и выбираем протокол TCP.
Теперь снова в верхнем поле (1.Выберите событие для правила) ставим галки в (Где направление) и (Где локальный порт).
В нижнем окне (3.Описание правила) жмём на (Не определено) и выбираем (Где направление) Входящие и
(Где локальный порт) 445.
В среднем поле (2.Выберите действие для правила) ставим галки в "Блокировать эти данные", "Пометить как правило
с высоким приоритетом" и "Игнорировать контроль компонентов".
Название правила создалось автоматически, но Вы можете его стереть и напечатать как Вам нравится. Жмём все (OK).

Созданное Правило будет выглядеть так:
Где протокол TCP
и Где направление Входящее
и Где локальный порт 445
Блокировать эти данные
и Пометить правило как Правило с высоким приоритетом
и Игнорировать Контроль компонентов
Поскольку, для атак по протоколу UDP, самыми уязвимыми являются порты 1025, 1026, 1027, 1028, 1029, 1030 - на основании вышеизложенного создаём для них всех сразу одно запрещающее Глобальное/Системное правило на входящие соединения по протоколу UDP. Далее, после выхода из интернета смотрим в журнале Firewall-a, что даже если и были запросы на соединения
на эти закрытые порты то ни один бит информации не принят и не отправлен через эти порты. Это один из элементов
невидимости Вашего компьютера в сети.

Порядок обработки правил в Agnitum Outpost Firewall Pro
Плагины - типа Блокпоста и т.д. и т.п.
Общие правила с пометкой Игнорировать Контроль компонентов
Зона Доверенные/NetBIOS в настройке сети
Общие правила запрещения NetBios
Общие правила с пометкой Правило с высоким приоритетом
Приложения размещенные в "Запрещенные приложения" и "Доверенные приложения"
Правило для конкретного приложения "Пользовательский уровень"
Общие правила для приложений (вкладка Системные - кнопка внизу "Общие правила") (читайте ниже "Как сделать,
чтобы "Глобальные правила .....") После этого, когда ничего из выше перечисленного не подошло, Outpost смотрит на применяемую политику:
__° Если Разрешить, то разрешает.
__° Если Обучить, то обучается.
__° Если Запретить, то запрещает.
Разрешить NAT пакеты
Правило транзита

Как сделать, чтобы "Глобальные правила" имели больший приоретет, чем "Правила для приложений"?!
Вы можете изменять Глобальные правила или создавать новые с помощью опции (Параметры). Этот процесс аналогичен
созданию правил на основе приложений Создание правил для приложений, что Вы уже видели выше. Единственными отличиями являются следующие возможности. Возможность задания типа пакета для исходящих соединений (т.е. соединений, где
Где направление  Исходящее):
" Локальные пакеты, направленные из или в локальную сеть
" Транзитные пакеты, проходящие через сеть или перенаправленные в другие сети (полученные и затем отправленные дальше пакеты)
" NAT пакеты  транзитные пакеты, подвергнутые трансляции IP-адресов (полученные или отправленные через NAT
(Network Address Translation, трансляция сетевых адресов) прокси-сервер)
Кроме того, Вы можете пометить правило как Правило с высоким приоритетом, если хотите, чтобы оно имело преимущество
над правилами для приложений, которым отдается предпочтение по умолчанию. Кроме того, Вы можете пометить правило как Игнорировать Контроль компонентов, если хотите, чтобы оно имело преимущество над правилами для NetBIOS в Настройка локальной сети, которым отдается предпочтение по умолчанию. Более того, если Вы отметили Игнорировать Контроль
компонентов, то значение Правило с высоким приоритетом не будет иметь никакого значения.
!!!!!эффект данных манипуляций с настройками проверен на 100%.... после всего проделанного,попробуйте просканировать свои IP любым сканером,например Xspider... результат как говориться на лицо))) (ХОСТ НЕАКТИВЕН)!!!!

DimonVideo
2007-05-07T18:16:25Z
Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 7

#7   vav81    

Viper Russia, это кашперский лагает а не комп твой атакуют lol


0 ответить

#7   -crunch-    

хорошая статья !


0 ответить

#7   GunSS    

все вышеперечисленное можно проделать и на каспере интернет сикьюрити.. да и пожадуй не только, любой файервол можно так настроить...


0 ответить

#7   asdfghkl123    

Автор гений, только для ламеров можно было написать, для чего статья... Ведь так залипнуть можно)


0 ответить

#7   Viper Russia    

Хм, ну я просто для себя смысла в этом не вижу, пока мне хватает каспера антихакера, стабильно вроде атаки отбивает, а там посмотрим


0 ответить

#7   Re_anim_atoR    

спасиб ;)


0 ответить

Яндекс.Метрика