Защитни стени - въпроси, мнения, предимства, недостатъци

[Night_Raven]

Така е доста по-добре. Би трябвало и всичко да работи.

[stambet0]

Да, всичко работи нормално.Искрени благодарности!

[tanganika]

Night_Raven,не ми стана много ясно какви правила трябва да се зададът на svchost.exe.

[Night_Raven]

Каквито са нужни, зависи от конкретната система. А и ти си с Comodo, правила не те вълнуват. Нали така беше?

[nikikom]

stambet0, пробвай за DNS само изходящ трафик. За Windows Time само изходящ. За Skype само изходящ, както за TCP така и за UDP. За отдалечени добави още TCP - 443, а към UDP 80 и 443.

[Pe6o]

Привет tanganika,

Не е нужно да създаваш правила за svhost.exe'тата./мн.число защото са няколко на брой/ Въпросните файлове се асоцират с различни сервизи, така че по удачно е да се дава статус на сервизите.

Една програма, която ще ти помогне да направиш настройки на сервизите командвани от svhost.exe'тата

svchostvewer

http://img43.imageshack.us/img43/164/firewall14.jpg

 

http://img201.imageshack.us/img201/8035/newproject.jpg

[Night_Raven]

Това чудо изисква .NET Framework и само и единствено показва кой процес кои услуги е приютил. Не виждам каква полза има от него. Ако ще е за гледане, по-добре да се ползва Process Explorer. Има с тонове повече функции и не изисква .NET Framework.

[tanganika]

Благодаря за помоща ви.Създадох следните правила всичко работи нормално,но дали са най-првилните настройки не зная.

 

http://i35.tinypic.com/4iddoo.jpg

 

Първо правило:

Action: Allow

Protokol: UDP

Direction: Out

 

Source Adrresse: = Any

Destination Adrress: = Single IP 255.255.255.255

Source Port: = Any

Destination Port: = A Single Port 67

 

Второ правило:

Action: Allow

Protokol: UDP

Direction: Out

 

Source Adrresse: = Any

Destination Adrress: = Any

Source Port: = Any

Destination Port: = A Single Port 53

 

Трето правило:

Action: Block

Protokol: IP

Direction: In/Out

 

Source Adrresse: = Any

Destination Adrress: = Any

Ip Details: IP Protocol = Any

 

http://i34.tinypic.com/f6t20.jpg

[nikikom]

stambet0, ня бях сигурен дали за DHCP правилото може да бъде само с изходящ трафик. В мрежата в която се намирам не ползвам DHCP, но от процеса за присвояване на IP може да се заключи че не ти трябва входящ трафик.

Ще се опитам да опиша DHCP процеса, както и последващото подновяване за да се знае, а пък може и да бъркам, така че някой да ме поправи.

 

DHCP процеса се състои от чети фази:

1 DHCP Discover (откриване)

2 DHCP Offer (оферта)

3 DHCP Request (запитване)

4 DHCP Acknwledgment (потвърждение)

 

1 DHCP Discover се извършва от клиента, праща заявка. Понеже все още няма IP адрес, цялато информация ползва brodcasts на адрес 255.255.255.255. Клиента включва своя MAC адрес в DHCP Discover, за да се разбере, че тази заявка идва от него.

 

2 DHCP Offer се изваршва от DHCP сървъра при получаване на DHCP Discover заявка. Тази оферта включва и MAC адреса на изпратилия заявката, така че да е ясно, че тази оферта е предназначена за него.

 

3 DHCP Request се извършва от клиента. Този DHCP пакет отново използва brodcast. Причината е че клиента все още няма IP адрес, той само показва коя оферта е приел (в стъпка две DHCP Offer , клиента може да получи няколко оферти).

 

4 DHCP Acknwledgment се извършва от DHCP сървъра за да потвърди, че дава този IP адрес на клиента.

 

 

DHCP подновяване.

Обикновено DHCP клиента получава IP адреса за ограничен период от време. Заявката за подновяване на IP адреса може да бъде задействана по три автоматични начина:

 

Всеки път при рестартиране на клиента, той подновява своя IP адрес, като изпраща заявка.

 

След издтичане на 50% от определеното за ползване време.

 

След изтичане на 87.5% от определеното за ползване време.

 

Не зависимо че процеса не ползва TCP протокола, защитните стени запазват информация в паметта си от хедъра на пакета преминал през нея, като сокет на източника, така и сокет на получателя. Сокет се нарича кобинацията от IP адрес, транспортен протокол и номер на порт. Така че ако еди UDP пакет пристигне до защитната стена от интернет, тя ще провери в памета си да ли е записана информация, че очаква пакет със сокет едикойси. Ако няма в памета такива данни, пакета се отхвърля, това при полужение че има правило само за изходящ трафик за UDP, но ако преди това вие сте пратили пакет до тоя адрес в интеернет, защитната стена ще запише сокет на източника както и на получатела , и след като получи отговор, ще провери в паметта си да ли се очеква от тоя адрес пакет, и ако да, тя ще го пропусне, това отново при полужение, че имате за правило само изходящ трафик за UDP. Но ако отговора се забави, защитната стена премахва данните от паметта си, и ще блокира всеки пакет от тоя адрес понеже има за правило само изходящ трафик.

 

Възможно е и някъде да бъркам, така че ме извинете.

[Night_Raven]

Стъпките са точни. Стъпки 1 и 3 изискват изходяща връзка, докато стъпки 2 и 4 изискват входяща такав, така че комуникацията трябва да е двустранна, което трябва да се отрази и в правилото(ата).

[nikikom]

Стъпките са точни. Стъпки 1 и 3 изискват изходяща връзка, докато стъпки 2 и 4 изискват входяща такав, така че комуникацията трябва да е двустранна, което трябва да се отрази и в правилото(ата).

Възможно е. Не се намирам в мрежа с DHCP сървър и не съм запознат. Просто прехвърлям резултата от DNS към DHCP, не зависимо че нямат нищо общо. При DNS с правило само за изходящ трафик, стената не блокира отговора от DNS сървъра. При DHCP обаче от снимката се вижда че първия изходящ пакет от клиента е към brodcast IP, а отговора е от конкретно IP, на сървъра или различно от това записано в първоначалния изходящия пакет на клиента.

 

http://store.picbg.net/thumb/87/34/7f5000297c668734.JPG

 

http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol

[stambet0]

Здравейте! Благодаря много на nikikom за подробното обяснение. Сега имам известно запитване. След като изтрих правилата, които бях направил за svchost.exe(по съвет на Night_Raven), не съм създавал нови правила за самия процес. При стартиране на системата обаче, следват многократни запитвания от страна на защитната стена за този процес т.е. кои връзки да разреша. Все още се опитвам да направя достатъчно добри настройки за този процес, но не мога да се справя. Разбрах, че те за различни за всяка система, така че ще съм много благодарен ако ми помогнете за създаването на тези правила.

[Night_Raven]

Обръщай внимание на посока, протокол, порт и IP адрес. Предполагам една част от запитванията са точно за broadcast-а за DHCP, който пропуснах да ти кажа да направиш, защото вече не ползвам Kerio Personal Firewall 2.1.5. Правилото трябва да е:

- Direction: Both

- Local Port: 68

- Remote Port: 67

- IP address: 255.255.255.255

Възможно е да има и други, но не знам за какво точно става въпрос. Данните от прозореца на съобщението могат да се използват за проверка в интернет каква връзка се изпълнява и тогава да се прецени нужна ли е или не.

 

В интерес на истината посоката при UDP е по-скоро за стената, защото по принцип UDP е протокл без посока, но различните стени различно приемат настройки в правилата за UDP. За KPF 2.1.5 конкретно задавам двупосочна, за да съм сигурен, че всичко ще е наред.

[stambet0]

Благодаря отново. Съобщенията, които ми излизат са от рода на това:

'Generic Host Process for Win32 Services' from your computer wants to send UDP datagram to sws-ha-4.btc-net.bg [212.39.90.43], port 53

и това:

Someone from sws-ha-4.btc-net.bg [212.39.90.43], port 53 wants to send UDP datagram to port 1045 owned by 'Generic Host Process for Win32 Services' on your computer.

Ще наглася тези настойки на DHCP.

[Night_Raven]

Това трябва да е адресът на DNS на БТК. Или поне един от тях. Не знам дали е винаги и един и същ или са повече и се променят. Ако са повече, друг път ще получиш пак известие. Или не си направил правило за DNS, или е неправилно, или е правилно, но е било за друг IP адрес. В такъв случай можеш да създадеш ново с новия DNS сървър и да се надяваш да няма други, но можеш и да създадеш унифицирано правило, но в такъв случай трябва да знаеш дали DNS сървърите на БТК са поредни, за даползваш IP/range.