Мой ПК - Моя Крепость! Обсуждение средств защиты.

[Гость]

Люди, скажите пожалуйста чем можно протестировать firewall а именно Norten Internet Security 2005?

[ZuckO]

http://security.symantec.com/sscv6/home ... MKI&bhcp=1

[DrEvil]

Dark EYE
Забавно:

если периодически просматривать системные файлы каталогов %windir%\system и &windir&\system32 и %Program Files%\Internet Explorer\plugins и ветку реестра автозапуска програм HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
и там же, только, RunServices на предмет выявления новых файлов или записей (в случае реестра) то появления вирусов можно избежать

Для начала список разделов реестра, которые надо мониторить:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\\BootExecute
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup

А есть еще логон-скрипт, а есть еще системные сервисы, а есть еще win.ini, а еще групповые политики, а еще существуют рут-киты...

достаточно перезагрузки с чистой стстемной дискетки и опять же удалить руками.

А с бут-вирусом делать что будете, с рут-китами, а скромный факт, что все тело вируса можно заложить в ключик реестра, и запускать прямо из ключика...

На сайтах есть обширные документы (доки) в которых "обсосаны" методы обхода этих "защитников" доступа инэта от Вас самих же.

Да, способам несть числа. Но большинство требуют, чтобы юзер сам кой-чего нажал. А вот от новых версий червей, текущих через дыры в протоколах Windows, кроме файервола предохранительных средств нет. Достаточно эпидемии MsBlast и Sasser вспомнить

Програмно навредить жедезу практически не возможно

И это сказал человек, знающий про

обширные документы (доки) в которых "обсосаны" методы обхода этих "защитников" доступа инэта от Вас самих же.

. Не открою тайну тропиканки, если скажу, что, задавшись вопросом всерьез, навредить вполне можно. Банальности вроде WIN95.CIH можно не упоминать. Вот правка пзу винчестера может много дать. Хорошо смотрятся перепрошивки "продвинутых" модемов, видеокарт, RAID-контроллеров. Особенно программные вольтмоды привлекают. Гипероверклок через проги вроде http://nvworld.ru/php/viewtopic.php?t=12226 вполне способен кой-чего зажарить

[GDDR]

Всем привет. Описываю Вам ситуацию. Поставил себе я ХР SP2 и все замечательно работало и работает, но... При каждом подключении к интернету вылетает сообщение от Norton Internet Security 2005 что была блокирована попытка внедрения в компьютер. Сначала я не обращал внимания на это. Хакеры есть хакеры. Но потом я решил посмотреть его IP - было указано два IP remote (сейчас не могу сказать точно какой, когда буду дома напишу) и local. Так вот local ip никогда не изменяется 127.0.0.1 Хорошо, подумал я, раз так, заблокирую я оба IP. И на закладке Personal Firewall в Restricted zone вписал обо IP. И тут самое интересное - после этих действий у меня перестали открываться какие либо интернет страницы. Страницы не открываются ни в internet explorer'е ни в Mozilla. Но стоит мне удалить 127.0.0.1 из Restricted zone как все начинает работать. Такое впячатление складывается что какая та прога хочет отослать данные. Ну что самое интересное это что когда это прога или червяк пытается отослать данные NIS2005 его блокирует но страницы все равно открываются. Главное не прописывать его IP в Restricted zone. При сканирование Ad-Aware 1.06SE ничего не выявляет. Сканирование антивирусом с последними обновлениями тоже ничего не находит. Помогите, пожалуйста. Не хочу систему сносить из за этого.

[JaJa]

Заблокировать самого себя (127,0,0,1)? Оригинальный способ лечения троянов, надо запомнить.

[GDDR]

JaJa, дело в том что когда у меня был установлен Norton Internet Security 2004 подобных сообщений не вылетало.

[DrEvil]

GDDR
По-любому, 127.0.0.1 блокировать нельзя.

[GDDR]

DrEvil, я его уже разблокировал, но интересно откуда этот IP берётся. После подключения к инету, я кликаю на соединение и смотрю IP. У сервера один IP, у меня другой. Никакого напоминания о 127.0.0.1 нету.

[JaJa]

GDDR, Ну 127,0,0,1 Это Ваш IP . Блокируя его Вы блокируете все сетевые службы.
A

я кликаю на соединение и смотрю IP

это IP присваемый вам провайдером.

[Freeman_Jack]

Люди, посдкажите плиз бесплатный, простой, но надежный файрвол, а то запарился с агнитумом (ключи). Заранее спасибо.

[ZuckO]

Freeman_Jack, тут выбор не большой или http://www.freedownloadscenter.com/Best ... e-6_0.html или http://www.zonelabs.com/store/content/home.jsp Я лично пользую Sygate и очень доволен. Правда версия у меня Pro и лицензионка

[Freeman_Jack]

спасибо.

[Hamburger]

Братцы, есть проблема. На лицензионной WinXP Home осваиваю лицензионный же Norton Internet Security 2005. Во-первых, после установки NIS Виндоус стал грузиться с двухминутной паузой: синий экран и курсор, больше ничего нет (я думаю, Нортон в сеть пытается залезть за автообновлениями, хотя я эту опцию и отключил. Сужу по миганию лампочки обмена данными на LAN DSL-модеме). Как отучить?

Во-вторых, после нескольких автообновлений из сети (запускаю вручную) стало появляться сообщение Нортон-антивируса, что он не поддерживает Repair и просит uninstall/reinstall. Переустановка помогает лишь на 2-3 дня. Дальше снова за свое. Если он не поддерживает, то зачем скачивает? И кто тогда этот Repair поддерживает?

Вобщем, не очень радостные впечатления. Хочу вернуться на AVP Касперского, а файервол встроенный в ХР использовать. Вопрос по файерволу: можно ли его настроить на надежную защиту и как? Или хакеры его так "обсосали", что шансов на защиту нет и лучше остановиться на предложенном ZuckO?

[Hamburger]

ZuckO, Пошел по ссылке и узнал, что Sygate называет "Sygate free 6.0" свой же Personal Firewall 4.1.814 от 27.07.2001. Не знаешь, нормально работает?

[Freeman_Jack]

Скачал я sygate personal firewall 5.6. Не мог бы кто-нить подсказать, где можно взять для него руссификатор?

[ZuckO]

Hamburger, Нормально. Я её (фри версию) пользовал больше года и очень понравилась, потому купил про вариант v.5.5 (возможностей по настройке больше) вот уже два года юзаю и (тьфу 3х) никаих проблем не испытываю. Ни одно соединение не пропускает без ведома, постоянные апдейты вирусной базы, притом легка и проста в обращении. Вместе с ней включён виндовский фаервол и никаких конфликтов.
Freeman_Jack, IMHO не нужен, там всё интуитивно, даже дефолтной настройки достаточно.

[Hamburger]

Freeman_Jack,

Скачал я sygate personal firewall 5.6

Он тоже free? Может дашь ссылку на скачивание. Всё лучше, чем найденный мной

Personal Firewall 4.1.814 от 27.07.2001

[Гость]

Скажите а можно ли в sygate personal firewall блокировать порты?

[ZuckO]

Гость, Да.

[Freeman_Jack]

Hamburger, http://wcarchive.cdrom.com/pub/simtelne ... ys/spf.exe

[Hamburger]

Freeman_Jack, Спасибо. Скачал. Будем изучать.

[ZuckO]

Freeman_Jack,
Hamburger,
Можно обзорчик почитать:
http://www.ixbt.com/soft/sygate-personal-firewall.shtml

[UDP]

У меня к Вам вопрос по поводу Norten Internet Security 2005. Я создал отдельное правило в котором блокировались все порты как local так и remote. Потом начал тестирование на сайте symantec. Результат меня порозил. Оказалось, что порты только CLOSED но они не SECURED. Некоторые порты типа 21 и 25 вообще были открытыми, и это несмотря на то что все порты были заблокированы. Т.е в итоговом варианте получается что хакер все же может установить дистанционное управление с моим компом? Плюс ко всему, комп виден в сети. Хотя если я не ошибаюсь файрвол должен его сделать невидимым. Это реальная проблема? Нужно ли менять файрвол?

[DrEvil]

UDP
1. Вы уверены, что проверили именно себя? Если Вы используете прокси-сервер, DSL-модем с функцией брандмауэра, или заботливый провайдет Ваш трафик пропускает через шлюз, то сай Symantec просканировал не Вас, а прокси-сервер, модем, или шлюз провайдера.
2.

ко всему, комп виден в сети. Хотя если я не ошибаюсь файрвол должен его сделать невидимым

В какой именно сети ? В сетевом окружении ? А в нем еще хоть кто-то виден ?

[Гость]

DrEvil
Видимо UDP под "сетью" имеет ввиду инет, и наверняка из-за надписи после теста, типа you computer is visible/unvisible to...

[kesic]

Sorry! Это было моё сообщение.

[UDP]

DrEvil,

Вы уверены, что проверили именно себя?

Я не использую прокси сервер, у меня нет DSL-модема, пользуюсь dial-up.
kesic,

под "сетью" имеет ввиду инет

да, я под сетью имел виду интернет.
При чем что самое интересное я проверил NIS2005 не только на сайте Symantec, ещё был вот здесь
http://www.hackerwatch.org/probe/ потом нашел ещё пару сайтов (адреса не помню), они все показали что определенные порты (которые у них заданы в списке я так понял, т.е они сканируют не все подряд) у меня ЗАКРЫТЫ но не ЗАЩИЩЕНЫ. Может действительно они все сканируют моего правайдера, а не меня. Вообще помойму надо раслабиться, слишком много внимания уделяю этим файрволам. Один вопрос. Где читал что у windows 2000 prof SP4 система безопасности лучше чем у WINDOWS XP SP2. Это правда?

[DrEvil]

Это правда

Нет. По-умолчанию даже хуже, LM-хеши не запрещены, защита ключей шифрующей файловой системы дырявая. Другое дело, что в ХР больше компонентов, значит больше кода, больше дыр.

Провайдер проверяется очень просто - выключаете NIS, и проверяетесь на сайтах. Если эти же порты имеют такой же статус - файерволл стоит на стороне провайдера.

[kesic]

UDP

Где читал что у windows 2000 prof SP4 система безопасности лучше чем у WINDOWS XP SP2. Это правда?

В принципе, DrEvil, уже ответил.
А вот ещё сайты-сканеры
http://scan.sygate.com/
http://www.pcflank.com/
А тут можно проверить браузер на уязвимость
http://bcheck.scanit.be/bcheck/

[Hamburger]

kesic,

сайты-скан

Сканер Sygate сообщает:

Trying to gather information from your web browser...
Operating System = Windows XP
Browser = Microsoft Internet Explorer 6.0
Trying to find out your computer name...
Unable to determine your computer name!
Trying to find out what services you are running...
Unable to detect any running services!

PCFLANK выдал заключение:

Recommendation:
All the ports we have scanned are Stealthed (by a firewall). So just continue following the fundamental security measures and regularly update your security software.

Browser security Test (нижняя ссылка) тоже ничего плохого не нашел:

The Browser Security Test is finished. Please find the results below:
High Risk Vulnerabilities 0
Medium Risk Vulnerabilities 0
Low Risk Vulnerabilities 0

Т.е. встроенный в ХР файерволл не так уж плох(другой пока не установил)? (Правда, никаких сообщений об атаке или сканировании он не выдавал. И при последнем тесте Касперский взвизгнул про обнаружение потенциально опасного объекта. И еще фронтпэйдж самопроизвольно запустился - т.е. какие-то удаленные действия предпринимать с моим компом все-таки можно?)