К этой теме подшита тема "Мой ПК-Моя крепость!"
Freeman_Jack
Старожил
08.04.2004 14:25 • Мой ПК - Моя Крепость!
Люди, предлагаю в этой теме обсуждать все, что связанно с безопасностью ПК: FireWall'ы, антивирусы, стандартные средства защиты опер. системы.
Мои первые вопросы:
1. Когда Agnitum 2.1 обнаруживает сканирование порта, он "защищает" его (порт)?
2. Как можно добраться до настроек ХРюшного файрвола?
DrEvil
Модератор
08.04.2004 14:31 •
Как можно добраться до настроек ХРюшного файрвола?
А что настраивать собрались ?
DrEvil
Модератор
08.04.2004 14:42 •
http://support.microsoft.com/default.as ... duct=winxp
http://www.microsoft.com/windowsxp/home ... rewall.asp
http://support.microsoft.com/default.as ... duct=winxp
Freeman_Jack
Старожил
08.04.2004 16:13 •
DrEvil А что настраивать собрались Просто глянуть, что это есть такое... Да и в английском не силен. Есть русский аналог?
SerJEANt
Участник
08.04.2004 16:25 •
Freeman_Jack
ХРюшный файрвол далеко не идеален, входящую угрозу он как никак блокирует, а вот с исходящей у него серьезные проблемы. Если что уже пролезло, то в такой ситуации он помочь не сможет.
DrEvil
Модератор
08.04.2004 16:29 •
Freeman_Jack
боюсь, что нет.
Freeman_Jack
Старожил
08.04.2004 17:03 •
SerJEANt DrEvil Хорошо, понятно. А как насчет 1. Когда Agnitum 2.1 обнаруживает сканирование порта, он "защищает" его (порт)?
djpython
Старожил
08.04.2004 18:22 •
Freeman_Jack
1. Когда Agnitum 2.1 обнаруживает сканирование порта, он "защищает" его (порт)?
Сканирование порта обнаружить нельзя, можно обнаружить сканирование портов и блокировать источник сканирования (т.е. того кто сканирование проводит).
Freeman_Jack
Старожил
08.04.2004 20:52 •
djpython Сканирование порта обнаружить нельзя Не понял. Почему? блокировать источник сканирования (т.е. того кто сканирование проводит) Как это будет выглядить для сканирующего?
Nikolai
Клубмен
08.04.2004 21:07 •
У меня касперский антихакер грил что сам отражает атаки,когда на дулапе сидел
а через прокси и ADSL молчит как убитый,тока приложения ненужные которые ломяться докладать прибивает на корню.
Freeman_Jack
Старожил
09.04.2004 0:19 •
Nikolai касперский антихакер грил что сам отражает атаки
А цитатой можно?
djpython
Старожил
09.04.2004 6:30 •
Freeman_Jack
Не понял. Почему?
Ну в принципе можно считать атакой и сканирование одного порта, но это слишком осторожно. Как правило с целью атаки сканируются сразу несколько портов.
Как это будет выглядить для сканирующего?
Любая попытка соединения будет блокироваться.
DrEvil
Модератор
09.04.2004 8:25 •
Есть такой интересный файерволл, который работает на уровне ядра системы -
http://www.ntkernel.com/products/pfirewall.shtml . Его почти невозможно обойти, и минимальный ущерб производительности сети. Но конфликтует со многими антивирусами
Nikolai
Клубмен
09.04.2004 8:37 •
Freeman_Jack А цитатой можно?
да не помню уже
чтота типа "сегодня в 12.59 была атака с такого то адреса ,тип атаки и что она успешно отражена"
Freeman_Jack
Старожил
09.04.2004 12:26 •
djpython [quote]Ну в принципе можно считать атакой и сканирование одного порта, но это слишком осторожно. Как правило с целью атаки сканируются сразу несколько портов.[/quot] Просто когда агнитум обнаружает атаку там пишется только один порт.
DrEvil конфликтует со многими антивирусами А как с DrWEB?
Nikolai и что она успешно отражена Вот именно это и хотел услышать.
ИмяНеВажно
Новичок
09.04.2004 15:33 •
Кто знает и подскажет:
1) допустим Оутпост сообщил о сканировании портов, смотрим подробности: злоумышленник уже производит закачку информации через =дыру= ,например, ИнтернетЭксплорера, этому приложению разрешено Фаэрфоллом =делать все=!! Как остановить процесс в АутПосте?? Или узнать точный порт через который качается ?? ибо в процессах не высвечивается порт??
2) как узнать куда именно происходит закачка информации???
Заранее спасибочки...
DrEvil
Модератор
09.04.2004 15:52 •
Freeman_Jack А как с DrWEB?
С DrWeb для 9х конфликтует, насчет NT не знаю.
Freeman_Jack
Старожил
09.04.2004 17:14 •
DrEvil С DrWeb для 9х конфликтует, насчет NT не знаю. Это как? У меня DrWeb for Windows 95-XP v4.27
По поводу
http://www.ntkernel.com/products/pfirewall.shtml А как он будет себя чувствовать вместе с агнитумом 2.1?
ИмяНеВажно как узнать куда именно происходит закачка информации??? Ну наверное на ПК злоумышленника:).
djpython
Старожил
09.04.2004 17:55 •
ИмяНеВажно
допустим Оутпост сообщил о сканировании портов, смотрим подробности: злоумышленник уже производит закачку информации через =дыру= ,например, ИнтернетЭксплорера, этому приложению разрешено Фаэрфоллом =делать все=!! Как остановить процесс в АутПосте?? Или узнать точный порт через который качается ?? ибо в процессах не высвечивается порт??
Ну если ему разрешено делать всё зачем спрашивается фаервол ставили ?
Чтобы остановить ткнуть правой в iexplore.exe и выбрать "блокировать до перезагрузки"
Freeman_Jack
Это как? У меня DrWeb for Windows 95-XP v4.27
Имеется в виду ось под которой работает.
А как он будет себя чувствовать вместе с агнитумом 2.1?
Думаю два файервола как и два антивируса, не очень будут дружить.
ИмяНеВажно
Новичок
09.04.2004 17:57 •
Freeman_Jack -ИмяНеВажно как узнать куда именно происходит закачка информации??? Ну наверное на ПК злоумышленника:).
Нет, закачка производится от него (какой-нибудь клиент трояна) на мой комп, в том то и дело, но вот куда она ложится??? И портов ИнтернетЭксплорер открывает не один, а более! как узнать в какой именно порт закачивается именно инфа с его ИП ??
Freeman_Jack
Старожил
09.04.2004 17:58 •
Скачал только что NTKernel Personal Firewall 1.2. Так и не понял, как ее зарегить. И как она вообще работает? Конфликтов с Вебом пока нет.
ИмяНеВажно
Новичок
10.04.2004 3:32 •
C вопросом нахождения нужного порта разобрался (как всегда до смешного просто, но когда думаешь о другом,то ишешь помоши для ускорения.дела..)теперь могу отрубить только его, а не весь експлорер... Кто же откроет 2-ю тайну - куда ложится информация??? Есть тут хакеры?? (Только, пож100, не надо на живом примере!! !!)
DrEvil
Модератор
10.04.2004 15:20 •
Freeman_Jack
http://www.ntkernel.com/ntkfw.htm
Freeman_Jack
Старожил
10.04.2004 18:43 •
Короче, поюзал я NTKernel Personal Firewall 1.2... Начал конфликтовать с Agnitum 2.1. Просто душили друг друга и заодно весь инет. Даже если в обоих фаерволах все разрешенно.
DrEvil А что лучше: Agnitum 2.1 или NTKernel Personal Firewall 1.2?
ИмяНеВажно 1) допустим Оутпост сообщил о сканировании портов, смотрим подробности: злоумышленник уже производит закачку информации через =дыру= ,например, ИнтернетЭксплорера А как определить, что злоумышленник что-то выкачиват?
P.S. Что такое эхо-запрос?
alex080758
Гость
10.04.2004 19:32 •
Случайно наткнулся на следующую утилиту
http://maxcomputing.narod.ru/ssm.html?lang=ru
Называется System Safety Monitor (SSM). Мне понравилось - она небольшого размера и бесплатна, есть русский фейс, не конфликтует с файрволлами, при том, при всем легка в настройке. Единственное неудобство: какое то время придется ее (программу) потренировать, допустим недельку, потом же можно переключить на автомат и она будет честно блокировать любые попытки несанкционированной активности программ, блокируются, так же, попытки что - то удалить из реестра, либо дописать туда что - нибудь. Вся проблема в том, что большинство файрволлов (Outpost не исключение) свободно пропускают информацию, которую трояны посылают с вашего компа. Многие трояны способны дописывать свой код к DLL разрешенных программ, и, совершенно "легально" посылать информацию от лица разрешенных программ, через разрешенные порты. Антивирусы, тоже, не реагируют на эту активность. С этим достаточно трудно бороться, но можно... Файрволлы же, в осносном, хорошо справляются с защитой компьютера от внешнего вторжения. Если же трояны внедрены в систему, то предложенная программа может приостановить процесс несанкционированной отсылки данных с вашего компа. Вот цитата с сайта разработчика:
" System Safety Monitor (SSM) это файрвол приложений. SSM контролирует какие программы запускаются на вашем компьютере и что они делают. Так, например, SSM может предодвращать так называемое "DLL Injection" (процесс внедрения стороннего кода в чужое приложение). Также, SSM уведомляет Вас, если приложение, которое Вы хотите запустить, было изменено. Кроме того, SSM может производить постоянную проверку некоторых ключей вашего реестра и уведомлять Вас об изменениях или блокировать их." Попробуйте, может быть кому - то поможет. Есть аналогичные программы, но они, как правило платные и имеют гораздо больший размер: 7 - 10 мб.
Гость
10.04.2004 19:42 •
Freeman_Jack писал(а): Скачал только что NTKernel Personal Firewall 1.2. Так и не понял, как ее зарегить.
К сожалению я не понял даже ЧЕМ ее зарегить... Короче, не нашел для нее лекарства.
DrEvil
Модератор
10.04.2004 20:01 •
Господа, с лекарствами не сюда, а то таких пилюль пропишу в профиль.
Freeman_Jack
Проверить можно (хотя и рисковано), обратившись к хацкерам. Обычно в их конфах охотно помогают проверить на взлом с помощью типовых возможностей
alex080758
Гость
10.04.2004 22:08 •
DrEvil писал(а):
Freeman_Jack
Проверить можно (хотя и рисковано), обратившись к хацкерам. Обычно в их конфах охотно помогают проверить на взлом с помощью типовых возможностей
По-моему можно все проверить гораздо проще, существует множество online служб, проверяющих безопасность. Например:
http://grc.com/default.htm раздел ShieldsUP!, кроме того любой сайт разработчиков файрволлов или анонимайзеров предлагает подобные услуги, наверное, что бы показать преимущества своей продукции. В Outpost'e непосредственно из меню можно попасть на один из подобных сайтов.
ИмяНеВажно
Новичок
10.04.2004 22:36 •
Freeman_Jack А как определить, что злоумышленник что-то выкачиват?
Тут любой фаэрволл сообщит сто% , что такая-то прога просит соединения с тем-то.. и предоставиться возможность =разрешить= или =запретить=, ты и делаешь правильный выбор... Тут ясно, вот с закачкой на твой комп без твоего ведома-это по-круче...ты же не будешь постоянно смотреть "сетевую активность" АутПоста... !
Freeman_Jack
Старожил
10.04.2004 22:42 •
DrEvil Проверить можно (хотя и рисковано), обратившись к хацкерам. Не, неохота как-то. Хоть секретной инфы и нет, но не приятно - как будто кто-то в кармане лазит:(.
alex080758 По-моему можно все проверить гораздо проще, существует множество online служб, проверяющих безопасность. Эти службы наверняка работают по одному принципу и всех дырок в защите не найдут. По мне, единственный надежный способ - это как сказл DrEvil, но не хочется как-то.
Freeman_Jack
Старожил
10.04.2004 22:43 •
ИмяНеВажно Дык если IE все можно, то почему и предоставиться возможность =разрешить= или =запретить= ?
ИмяНеВажно
Новичок
10.04.2004 23:32 •
не путай тут..: злоумышленник не может видимо закачать напрямую нам на комп-мешает Фаэрволл и он использует дыры (которые постоянно латает Майкрософт и выкладывает эти латки на своем сайте)в тех прогах, которым =можно делать все=...напримет IE... Но, я лично, не сталкивался чтоб троян выкачивал инфу через тот же IE, тк он предназначен для закачки скорее ... троян лезет напрямую в нет - и тут то его и ловит Фаэрволл, который для этого и предназначен.. У меня сложилось вот такое мнение-кто подправит , буду рад...
[так же заметил , что FlashGet1.4 (само-собой он зарегистрирован! рекламы нет!) но при долгой работе создает доп\папку в теле программы и туда пост скачивает какой-то доп\инсталяционный файл cd_install277.exe Кто знает. что это?? Его Шпион? Или хакеры нашли в нем дыру тоже? ]
Freeman_Jack
Старожил
11.04.2004 7:22 •
ИмяНеВажно Где-то я вроде слышал, что это шпион, который собирает инфу и куда-то ее посылает.
alex080758
Гость
11.04.2004 16:35 •
ИмяНеВажно
троян лезет напрямую в нет - и тут то его и ловит Фаэрволл, который для этого и предназначен.. У меня сложилось вот такое мнение-кто подправит , буду рад...
Ну что же, можно себя и таким образом убаюкивать. Но, если бы все было так просто, то и разговоров бы особых не было...всех троянов ловили бы еще на подступах, и проблемы бы никаой не было. А судя по количеству отзывов в форуме, да и разных статьях повсюду, все далеко не так радужно. Существует такое понятие, как DLL Injection (когда троян внедряется и дописывает свой код в DLL совершенно легальных программ или, даже, в системные DLL), да и трояны за последнее время все хитрее и хитрее становятся, маскируются под системные файлы или под разрешенные программы. Могу тебя легко разубедить в твоем мнении. Если интересно напиши на мыл:
alex080758@email.ru
Могу выслать тебе небольшие программки для проверки (не вирусы и не трояны). Обычно они называются leak test. Запускаешь этот тест, заходишь на любой сайт, что - то печатаешь в адресной строке или в любом месте рабочего стола и т.д. (в программе написано, что надо сделать в каждый момент), когда все выполнишь - через несколько секунд получаешь отчет: в окне броузера загружается картинка посещенного тобой сайта, содержимое твоего буфера, фраза, которую ты набирал на клаве (а ведь это могло быть и не муси - пуси, а вполне конкретный пароль)и т.д. Причем почти любой файрволл это дело пропустит. Не дернется и антивирус. Тест работает через IE и через разрешенные порты. Кто помешает запустить нечто подобное, но втихую. Кроме всего прочего не надо забывать, что любой броузер посылает достаточно информации в header'ах, это вполне легальная и узаконенная практика, но информации передается достаточно, кроме всего прочего существуют Java скрипты и элементы ActiveX и т.д. Так что зачастую ты находишься как на ладошке - прозрачный и беззащитный, правда не всегда об этом догадываешься. Я тебя разочаровал, старичок...?
Freeman_Jack
Старожил
11.04.2004 16:46 •
alex080758 А сам-то как защищаешься?
ИмяНеВажно
Новичок
11.04.2004 23:12 •
прочитал инфу...........................-я рад появлению здесь alex080758 !!!!
Какие эффективные защиты предпочитаешь лично для себя?
djpython
Старожил
12.04.2004 5:49 •
alex080758
В Outpost Firewall есть такая вещь как Components Control которая с описаной тобой проблемой борется.
alex080758
Гость
12.04.2004 8:32 •
djpython В Outpost Firewall есть такая вещь как Components Control которая с описаной тобой проблемой борется.
Согласен, есть такая фича в Outpost, но через некоторое время, почему то возникает желание ее отключить, и..., я редко борюсь с этим желанием. Такое впечатление, что он перестраховывается и, тревога часто бывает ложной. Этот Components Control выскакивает по поводу и без, что иногда отвлекает, а на выбор предоставляется только две возможности, либо не реагировать, либо запретить любую активность этого приложения (еще, конечно, возможность отключить эту возможность)- а приложение это, как правило, оказывается броузером или почтовиком и т.д.
ИмяНеВажно Какие эффективные защиты предпочитаешь лично для себя?
Традиционные. Нравится Outpost. Как правило использую его и, дополнительно, программу вроде System Safety Monitor (
http://maxcomputing.narod.ru/ssm.html?lang=ru), можно пользоваться анонимными прокси - серверами (можно даже создать цепочку из них), существуют программы, позволяющие произвольно менять прокси (допустим на каждый сайт вы заходите под другим IP), но это несколько снижает скорость работы, на dial - up очень заметно. Время от времени можно запускать программу вроде AdAware или SpyBot S&D, на тему отлова программ стукачей (они, нередко, идут в нагрузку к фришным прогам и устанавливаются без вашего ведома). И мне кажется, очень даже неплохой пассивной защитой является модемная связь, когда при каждом подключении IP выдается динамически, т.е. всегда разный. Если только пьяный пионер с перепугу к вам забредет.
Мне кажется, что для домашнего компьютера этого вполне достаточно. Для извращенцев можно, как шутку (но в каждой шутке есть доля...шутки... ), конечно, предложить установить винду со всеми прибамбасами, потом создать образ системного диска (например при помощи NortonGhost или DriveImage) и после каждого похода в Инет откатывать систему к первоначальному состоянию. Есть программа, которая делает это автоматом, WinRollBack называется. Можно безобразничать как угодно: стирать системные файлы, ветви реестра, а потом перегрузить комп, и, все будет как ни в чем ни бывало. Правда информацию, которую вы сознательно добавляли (напр. документ сохранили или файл закачали) тоже будет уничтожена. Наверное, этот вариант больше подходит для компьютерных клубов и пр. общественных мест.
alex080758
Гость
12.04.2004 8:48 •
Да, в догонку, можно использовать Proxomitron. Прога полезная, позволяет удалять из загружаемых страниц нежелательный код, причем на лету. Настроек предостаточно. Есть возможность посылать в сеть недостоверную информацию о себе. Вот, например, что выдает мой комп:
We have determined that your IP address is 81.195.X.XXX
This is the public IP address that is visible to the internet.
Note: this may not be your IP address if you are connecting through a router, proxy or firewall.
Trying to gather information from your web browser...
Operating System = Win67 SK
Browser = Space Bison 0.02
Trying to find out your computer name...
Unable to determine your computer name!
Кроме IP вся информация подставная. Можно, конечно, и IP запутать
ИмяНеВажно
Новичок
12.04.2004 15:40 •
alex080758 ты сообщил интересную и важную информацию...и все в одном месте и сразу, не надо по частям собирать.. Большое спасибо! Будем рады твоим замечаниям... Ах да, а какой антивирус предпочитаешь?
alex080758
Гость
12.04.2004 18:24 •
ИмяНеВажно а какой антивирус предпочитаешь?
У каждого есть свои плюсы и минусы. Тут уж дело вкуса. Единственный недостаток почти любого антивируса это то, что сначала появляется вирус, а уж потом вакцина, т.е. вирусы идут на шаг впереди антивируса. 100% гарантии не дает ни один. Сейчас у меня eTrust стоит. Причина: оперативно обновляется вирусная база, в режиме монитора минимально тормозит систему, сканирование происходит довольно быстро. Иногда пользуюсь AntivirusStop! для троянов. И еще пытаюсь соблюдать "правила личной гигиены": искренне считаю, что большинство вирусов мы заносим себе сами, и тут уж ни один антивирус не поможет. Основное окно для вирусов - наше любопытство. Вирус - такая же рукотворная программа: она должна каким то образом попасть на нашу машину и, кто - то должен ее запустить (кто бы это мог быть?).
P.S. то, что я написал про эти два антивируса абсолютно не означает, что я считаю другие недостойными внимания. Просто сегодня я пользуюсь ими. Возможно, если такой же вопрос ты задашь мне через пару мес. и ответ будет другой. Прошу считать это частным мнением (весьма субъекивным, кстати, которое зависит от конфигурации машины, бесплатности, или наличия лекарства и т.д.), каждый, наверное, должен сам выбрать свое предпочтение.
ИмяНеВажно
Новичок
12.04.2004 21:51 •
понял, возьму eTrust =на карандаш=.., попробуй, как придет время, TIS - тоже обновление базы он-лайн - супероперативное!! В нете работаешь..,-приходит тебе сообщение, что базы обновились и рекомендуем вам обновить,-что и делаешь сразу!! Я его в соседней ветке тут рассматривал!! Ты, знаешь, тоже не плох... Да и эту соседнюю ветку заглядывай...too....
alex080758
Гость
12.04.2004 23:02 •
ИмяНеВажно, Спасибо, обязательно загляну.
Prosto user
Гость
13.04.2004 13:25 •
Freeman_Jack Люди, предлагаю в этой теме обсуждать все, что связанно с безопасностью ПК
Тогда уже я предлагаю объединить здесь эти темы:
http://nvworld.ru/php/viewtopic.php?t=1 ... 5a77634f70
http://nvworld.ru/php/viewtopic.php?t=9 ... 5a77634f70
Freeman_Jack
Старожил
13.04.2004 15:25 •
Prosto user Я только "за". Главное, чтоб у модеров время нашлось подшить 2 эти темы к этой.
alex080758
Гость
13.04.2004 16:03 •
Prosto user
Я - за, нет проблем.
ИмяНеВажно
Новичок
13.04.2004 22:38 •
я против! разный стиль письма!
=мою крепость= можно лишь объединить с =firewall=-ом...
Freeman_Jack
Старожил
13.04.2004 23:04 •
ИмяНеВажно Крепость - это образно. Имелось ввиду вся защита ПК.
ИмяНеВажно
Новичок
14.04.2004 2:44 •
ясный перец.. тут все ясно...
я же имел ввиду разную манеру выдачи-получения информации!!
Только =крепость= и =firewall= тут легко уживаются вместе..
Freeman_Jack
Старожил
15.04.2004 11:05 •
Люди, а чем посоветуете полностью заменить Outpust 2.1?
