Продолжаю серию статей про настройку оутпоста. Зачем настраивать DNS, если по умолчание все настроено? Ну во-первых, все новые приложения будут нуждаться в двух новых правилах, это DNS правило, плюс обычное правило. Таким образом мы уменьшаем риск предоставить доступ в сеть левым программам.
Троянские программы, которые используют только DNS протокол, не имея возможности воспользоваться системным правилом, будут теперь нуждаться в специальном правиле. Это единственный вариант, который позволит блокировать DNShell leaktest и различные эксплоиты
1. Заходим в настройку Windows 2000/ XP и отключаем DNS службу. (Пуск/ Настройка/ Панель управления/ Администрирование/ Службы). Тем самым мы заставим каждое приложение выполнять собственные DNS запросы, вместо того, чтобы делегировать их services.exe (Win2000) или svchost.exe (WinXP).
2. Выключаем системное правило “Allow DNS Resolving”.
3. Для каждого приложения необходимо добавить новое правило со следующими параметрами:
<Приложение> DNS Resolution:
Где протокол UDP
и Где удаленный адрес <адреса DNS серверов провайдера>;
и Где удаленный порт 53
Разрешить эти данные
Справка:
Определить IP адрес DNS серверов вашего провайдера можно следующим образом. Пуск- Выполнить набрать cmd, в открывшимся окне набрать команду ipconfig -all
После прописания этого правила в приложениях, можете Svchost.exe переместить в запрещенные приложения (удалять не спешите, может вдруг что-то настроете не так), больше оно нам не нужно.
Протестировал на своей машине, прекрасно работает почта, браузер, фтп-клиент, аська, вебмани, язлик, и другие программы. Единственное в вебманях не работает внутренний обменик (ищу где собака зарыта).
Справка:
Приложение Svchost.exe требует различные сетевые доступы для выполнения базовых сетевых задач. Но предоставление ему полного доступа сделает систему уязвимой для RPC эксплоитов, таких червей как Blaster и Welchia/Nachi.
Поэтому я бы рекомендовал все таки отключить DNS службу, так как некоторые трояны пытаются маскировать свой трафик под DNS, рекомендуется любые попытки связи с другими серверами, кроме серверов провайдера, рассматривать как подозрительные. Если это легальные попытки (например, провайдер поменял адрес DNS сервера и разрешающее правило нуждается в обновлении), то при появлении сообщения и потери связи с сетью следует проверить журнал в разделе “История Заблокированных”, чтобы разобраться в причине.
Необходимо также дописать следующие правила в раздел системных:
Possible Trojan DNS (UDP):
Где протокол UDP
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет
Possible Trojan DNS (TCP):
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 53
Блокировать эти данные
и Дать отчет
Правила для блокировки Simple Service Discovery Protocol
Block Incoming SSDP:
Где протокол UDP
и Где локальный порт 1900
Блокировать эти данные
Block Outgoing SSDP:
Где протокол UDP
и Где удаленный порт 1900
Блокировать эти данные
SSDP - используется для поиска Universal Plug and Play (UPnP) устройств в локальной сети. Так как UPnP имеет много проблем с безопасностью, лучше отключить SSDP, если только он вам не нужен. Если же нужен, то измените правило в разрешенное. Если в конце добавлено правило “Block Other UDP”, это должно ограничить SSDP в соответствии с представленными советами.
Правила для блокировки пакетов UPnP
Block Incoming UPnP:
Где протокол TCP
и Где направление Входящее
и где локальный порт 5000
Блокировать эти данные
Block Outgoing UPnP:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 5000
Блокировать эти данные
- Эти правила блокируют пакеты UPnP в соответствии с правилами для SSDP, описанными выше. Если Вы уверены в том, что нужно UPnP (например, для NAT Traversal) измените их в разрешенные, но добавьте IP адреса UPnP устройств как удаленные адреса, чтобы ограничить диапазон. Если в конце добавлено правило “Block Other TCP”, это должно ограничить UPnP в соответствии с представленными советами.
Правило для блокирования RPC/DCOM трафика
Block RPC (TCP):
Где протокол TCP
и Где направление Входящее
и Где локальный порт 135
Блокировать эти данные
Block RPC (UDP):
Где протокол UDP
и Где локальный порт 135
Блокировать эти данные
- Это копия системного правила по умолчанию для блокирования RPC/DCOM трафика. Поэтому оно не является абсолютно необходимым, но может рассматриваться как дополнительное средство безопасности. Если необходим доступ RPC/DCOM измените эти правила на разрешенные, но только доверенным удаленным адресам.
Allow DHCP Request:
Где протокол UDP
и Где удаленный адрес <адрес DHCP сервера провайдера>
и Где удаленный порт BOOTPS
и Где локальный порт BOOTPC
Разрешить эти данные
- Заметьте, что данное правило не является необходимым, если используется статический IP адрес. Здесь правило нужно потому, что svchost.exe отвечает за связь с DHCP, а системные DHCP правила не будут работать, если в конце будет правило “Block Other TCP/UDP”.
Правило для Windows Help
Allow Help Web Access:
Где протокол TCP
и Где направление Исходящее
и Где удаленный порт 80, 443
Разрешить эти данные
- Для Windows Help может понадобиться Web доступ для некоторых целей. Если Вы не намереваетесь использовать Help (или не желаете, чтобы Микрософт знал, когда и что Вы…), то уберите это правило.
Правило для для синхронизации времени
Allow Time Synchronisation:
Где протокол UDP
и Где удаленный порт 123
и Где удаленный адрес time.windows.com, time.nist.gov
Разрешить эти данные
- Правило нужно только в том случае, если Вы используете эту функцию Windows XP. В противном случае - удаляем.
Правила для блокировки неопределенных сервисов
Block Other TCP Traffic:
Где протокол TCP
и Где направление Исходящее
Блокировать эти данные
Block Other TCP Traffic:
Где протокол TCP
и Где направление Входящее
Блокировать эти данные
Block Other UDP Traffic:
Где протокол UDP
Блокировать эти данные
- Поместите эти правила последними в списке. Это предотвратит появление многочисленных всплывающих окон Rules Wizard для неопределенных сервисов. Любые дополнительные правила в дальнейшем должны быть помещены перед этими правилами.
Системные правила, которые можно отключить:
- Allow Inbound Authentication - это простой и ненадежный, поэтому редко применяемый метод установления инициатора сетевого соединения. Если же этот метод применяется, то отключение этого правила может вызвать задержку при подключении к некоторым e-mail серверам.
- Allow GRE Protocol, Allow PPTP control connection - оба протокола применяются в VPN - Virtual Private Networks, использующих протокол туннелирования Точка-Точка. Если у Вас нет VPN, они могут быть отключены. (убрать галочку напротив правила)
Системное правило “Allow Loopback”, включенное в настройках по умолчанию, представляет значительную угрозу безопасности для пользователей, использующих прокси-сервера (такие программы, как AnalogX Proxy, Proxomitron, WebWasher и некоторые anti-spam/anti-virus). Так как это правило разрешает использовать прокси любому приложению, для которого специально не заблокирован доступ в Интернет. Отключение или удаление этого правила исключает эту возможность.
Преимущества: Предотвращает возможность уязвимости правил прокси сервера “не доверенными” приложениями.
Недостатки: Каждое приложение, использующее прокси (например, web обозреватель с Proxomitron и т.д.) будет нуждаться в дополнительном правиле, разрешающем доступ к прокси (рекомендаций Rules Wizard - Мастера настроек будет достаточно в большинстве случаев).
На этом все, постарался максимально систематизировать ту информацию, что у меня была. Если есть вопросы по настройке, то задавайте.
при поддержке - Buckster.ru - больше всего денег с Вашего трафика!
Похожие записи
18.03.2022 в 23:43
28.03.2022 в 23:58
29.03.2022 в 01:02
26.04.2022 в 22:51
27.04.2022 в 00:52
17.05.2022 в 03:59
За статью огромное спасибо, поскольку до прочтения был тупым ботом. Спасибо брат.
06.07.2022 в 19:41
Opera 9.51 Сборка 10081
Процесс opera.exe постоянно долбится на shoutmix.com (Журнал-НTTP)
На этот сайт я не захожу. Что это такое и как с этим бороться?
Заранее спасибо за ответ.
06.07.2022 в 22:44
23.07.2022 в 23:08
прошу, ответе на несколько вопросов. простите меня дурня, прошу зарание.
как я понимаю, сначала фильтруют системные правила, затем приложения, ну и после приложений. А когда низкоуровневые? как понять, это… “ниже уровня приложений”?
pcflank.com/(рекомендован агнитом)
Quick Test
Stealth Test
полный провал? и так и сяк,а дырки кругом.
СПАСИБО!
пс: и можно, как для блондинок.
07.08.2022 в 04:22
С Уважением
07.08.2022 в 23:55
08.08.2022 в 03:39
С Уважением
03.09.2022 в 18:00
14.09.2022 в 22:20
16.09.2022 в 10:20
17.09.2022 в 02:13
10.12.2022 в 00:17
10.12.2022 в 00:22
10.12.2022 в 00:52
10.12.2022 в 01:12
10.12.2022 в 03:28
11.12.2022 в 01:28
11.12.2022 в 14:57
12.12.2022 в 03:02
16.12.2022 в 14:31
17.12.2022 в 01:24
17.12.2022 в 01:42
17.12.2022 в 15:21
19.12.2022 в 01:59
25.12.2022 в 16:25
25.12.2022 в 22:57
26.12.2022 в 01:56
или
pro 6.5.2352.xxxx
вобщем все что до 2356 - не работает - сырые конфиги самого аутпоста, смотря откуда качали. бывает что в сети выкладывают бетки и так далее. При первом появлени версии 2009 в ревизиях 2351-2356 были глюки и , наверно, они работали только у самих агнитумцев))
Качайте версию поновее, например с оф. сайта, причем удостоверьтесь что ваша версия что то вроде x.x.xxx.2358
+++++++++++++++++++++++++++++++
26.12.2022 в 10:16
у меня вот сейчас с оф сайта, сижу не нарадуюсь.
26.12.2022 в 13:14
26.12.2022 в 23:20
27.12.2022 в 00:37
28.12.2022 в 18:27
28.12.2022 в 23:20
15.01.2023 в 19:02
16.01.2023 в 02:18
16.01.2023 в 22:44