Jump to content

Защитни стени - въпроси, мнения, предимства, недостатъци

tanganika
 Share

Препоръчан пост

tanganika Новобранец

tanganika

Публикувано
  • Author
Публикувано

Мдаа горе-долу разбрах защо филтрирането на ICMP трафика от защитните стени е много важно за сигурността.

 

http://articles.techrepublic.com.com/5100-10878_11-5087087.html

 

 

 

nikikom,кои настройки за private networks са по-правилни и осигуряващи по-добра защита,когато се въведе точния IP адрес

 

http://i48.tinypic.com/24yst8x.jpg

 

Или по този начин ?

 

http://i50.tinypic.com/25u6xsl.jpg

 

Аз съм направил настройките така и нямам никакви проблеми с откриването на private networks.

 

http://i49.tinypic.com/2croj5t.jpg

 

Питам защото повечето защитни стени като например Outpost,Online Armor,стената на Касперски задават правилото 77.77.2.0 + Subnet Mask 255.255.255.0

Link to comment
Сподели другаде
  • Отговори 1.1k
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

Популярни дни

ТОП потребители в тази тема

Популярни дни

Публикувани изображения

mihnev_sz Новобранец

mihnev_sz

Публикувано
Публикувано

И по-точно че не съм наясно с тази материя.

Да ти кажа и аз не съм много наясно,ами обхваща всички поредни IP адреса,които в случая до първите три точки сочат към един и същ доставчик в случая.

Link to comment
Сподели другаде
nikikom Новобранец

nikikom

Публикувано
Публикувано

Мдаа горе-долу разбрах защо филтрирането на ICMP трафика от защитните стени е много важно за сигурността.

 

http://articles.techrepublic.com.com/5100-10878_11-5087087.html

 

 

 

nikikom,кои настройки за private networks са по-правилни и осигуряващи по-добра защита,когато се въведе точния IP адрес

 

http://i48.tinypic.com/24yst8x.jpg

 

Или по този начин ?

 

http://i50.tinypic.com/25u6xsl.jpg

 

Аз съм направил настройките така и нямам никакви проблеми с откриването на private networks.

 

http://i49.tinypic.com/2croj5t.jpg

 

Питам защото повечето защитни стени като например Outpost,Online Armor,стената на Касперски задават правилото 77.77.2.0 + Subnet Mask 255.255.255.0

Остави си ги така както си ги направил.

 

Работата е там, че спорет COMODO ще си видим за всички компютри от подмрежа 77.77.2, от копютър 1 до 255.

 

IP 77.77.2.255 ти е Broadcast. Едвали ще получиш отговор, но пробвай един ping към него :peace:.

 

 

По-добре пробвай това

 

Първо избери Alert me to incoming connections - stealth my ports on a per-case basis

След това отиди в Application Rules

Натисни Add

От Select избери Browse

Отиди до C:\WINDOWS\system32 и избери svchost.exe

 

http://store.picbg.net/pubpic/F9/76/28d8888a713af976.JPG

 

След това в прозореца на Application Network Access Control, натисни Add

Ще ти се отвори прозорец Network Control Rule.

За Action: избери Allow

За Protocol: избери UDP

За Direction: избери Out

 

За Source Address избери Any

За Destination Address избери IP Mask В полето за IP сложи 77.77.2.0 а за Mask 255.255.255.0

За Source Port избери Any

За Destination Port избери 53

 

Накрая затвори всички прозорци на COMODO с Apply така че да се запомнат правилата и виж да ли ще имаш интернет.

 

Казвам ти да пробваш тея настройки, понеже се сещам бегло, че бе писал преди, че ако не избереш

Define a New Trusted Network - Stealth my ports to EVERYONE else

нямаш интернет, но мога и да се лъжа.

Link to comment
Сподели другаде
tanganika Новобранец

tanganika

Публикувано
  • Author
Публикувано
nikikom

Остави си ги така както си ги направил.

 

Работата е там, че спорет COMODO ще си видим за всички компютри от подмрежа 77.77.2, от копютър 1 до 255.

 

А ако съм с това правило

http://i48.tinypic.com/2mgqi5y.png

Означава ли че ще съм видим за всички компютри от подмрежа 77.77.31, но от копютър 212 до 255 ?

Има ли възможност за по-затегнато правило/да съм видим за колкото се може по-малко компютри ?

 

nikikom

IP 77.77.2.255 ти е Broadcast. Едвали ще получиш отговор, но пробвай един ping към

него .

 

Когато IP 77.77.31.255 ми е Broadcast ( сега съм на другия компютър ) въпреки разрешението се получава това.

 

http://i48.tinypic.com/2n8982e.png

 

 

nikikom

По-добре пробвай това

 

Първо избери alert me to incoming connections - stealth my ports on a per-case basis

След това отиди в Application Rules

Натисни Add

От Select избери Browse

Отиди до C:\WINDOWS\system32 и избери svchost.exe

 

След това в прозореца на Application Network Access Control, натисни Add

Ще ти се отвори прозорец Network Control Rule.

За Action: избери Allow

За Protocol: избери UDP

За Direction: избери Out

 

За Source Address избери Any

За Destination Address избери IP Mask В полето за IP сложи 77.77.2.0 а за Mask 255.255.255.0

За Source Port избери Any

За Destination Port избери 53

 

Накрая затвори всички прозорци на COMODO с Apply така че да се запомнат правилата и виж да ли ще имаш интернет.

 

Казвам ти да пробваш тея настройки, понеже се сещам бегло, че бе писал преди, че ако не избереш

Define a New Trusted Network - Stealth my ports to EVERYONE else

нямаш интернет, но мога и да се лъжа.

 

Да създам това правило за svchost.exe ли ?

 

Да преди 5-6 месеца имах проблем с откриване на private networks но след като ми показаха как да създам правило на стената по този начин

http://i48.tinypic.com/2mgqi5y.png

и махнах отметката да не открива автоматично private networks нямам никакви проблеми с интернета без значение дали избирам

http://i49.tinypic.com/or5rfp.png

 

Или

 

http://i49.tinypic.com/3wrnk.png

Link to comment
Сподели другаде
nikikom Новобранец

nikikom

Публикувано
Публикувано
Означава ли че ще съм видим за всички компютри от подмрежа 77.77.31, но от копютър 212 до 255

Чакай, че още немога да се орянтирам в COMODO :giggle:

 

За стелта.

В настройката Define a New Trusted Network - Stealth my ports to EVERYONE else Имаш начало и край на адресите от мрежата.

 

http://store.picbg.net/pubpic/C0/91/f5b7f8c64b2cc091.JPG

 

Предполагам, че ако сложиш едно и също IP за начало и край, правилото ще важи само за него.

 

В правилото за System, нямаш тая възможност. Там има

Всяко IP

Определено IP

Начало и край на IP-а

Всички IP-а от мрежа/маска

 

Предполагам, че каквото и IP да сложиш тук, правилото ще се отнася за всички IP-а от тази мрежа/маска, иначе Single IP и IP Mask, ще се доблират.

 

Ето ми правилото на Svchost.exe за втория ми компютър. Интернета съм го споделил от първия компютър.

 

http://store.picbg.net/pubpic/5F/04/1c99df5681ef5f04.JPG

 

Но и да промена IP-то на втория компютър на 192.168.0.5 или 25, интернета не спира.

Правилото важи за всички компютри от мрежа 192.168.0

Поправка

Примера с частната ми мрежа не е добър, понеже тя се намира в My Network Zones. Така че дори и да блокирам Svchost.exe за нея, втория компютър продължава да има интернет.

Но опражнението го направих за DNS сървърите на първия компютър, и промяна в интернета няма.

 

 

Пробвай това което ти предложих за Svchost.exe, плюс още две правила.

 

Първо блокирай временно правилата за System

 

После ако Svchost.exe не присъства в Application Rules, направи следното.

 

Отиди в Application Rules

Натисни Add

От Select избери Browse

Отиди до C:\WINDOWS\system32 и избери svchost.exe

 

http://store.picbg.net/pubpic/F9/76/28d8888a713af976.JPG

 

След това в прозореца на Application Network Access Control, натисни Add

Ще ти се отвори прозорец Network Control Rule.

За Action: избери Allow

За Protocol: избери UDP

За Direction: избери Out

 

За Source Address избери Any

За Destination Address избери IP Mask В полето за IP сложи 77.77.2.0 а за Mask 255.255.255.0 или данните на домашния компютър

За Source Port избери Any

За Destination Port избери A Single Port и в полето въведи 53

 

Накрая затвори всички прозорци на COMODO с Apply така че да се запомнат правилата

 

После дабави и пробвай следните правила за DHCP

 

За Action: избери Allow

За Protocol: избери UDP

За Direction: избери In/Out

 

За Source Address избери Any

За Destination Address избери Any

За Source Port избери A Single Port и в полето въведи 68

За Destination Port избери A Single Port и в полето въведи 67

 

Накрая затвори всички прозорци на COMODO с Apply така че да се запомнат правилата

 

После направи и следното правило

 

За Action: избери Allow

За Protocol: избери UDP

За Direction: избери In/Out

 

За Source Address избери Any

За Destination Address избери Any

За Source Port избери A Single Port и в полето въведи 67

За Destination Port избери A Single Port и в полето въведи 68

 

Накрая затвори всички прозорци на COMODO с Apply така че да се запомнат правилата и виж да ли ще имаш интернет.

 

Това за Ping-а бе майтап :peace:

Link to comment
Сподели другаде
tanganika Новобранец

tanganika

Публикувано
  • Author
Публикувано

Nikikom,това са ми новите правила за системата.Сега видим ли съм за другите компютри от подмрежата ? Това ли е възможно най-стегнатото правило за системата ?

http://i50.tinypic.com/2ewiecj.png

http://i49.tinypic.com/1px8a9.png

 

 

Създадох правилата които ми препоръча за Svchost.exe,но не се получава спира ми нета.

С тези правила нямам проблем,оставих стената да си ги създаде и само добавих последното ограничаващо правило

http://i48.tinypic.com/jtmgih.png

 

знам че не са най-правилните,но ти ги показвам информативно за да може да ми покажеш какви нови да пробвам та да реша проблема с правилата за Svchost.exe.

Link to comment
Сподели другаде
nikikom Новобранец

nikikom

Публикувано
Публикувано

Пробвай само да блокираш правилата за System.

 

Първите две правила за Svchost.exe, са ти за DNS сървъри.

Третото изглежда е за DHCP сйрвър.

Четвъртото, нямам представа за какво е този езходящ трафик за ICMP на Svchost.exe.

 

Пробвай само да блокираш правилата за System. Неби трябвало да влиае на връзката ти.

Link to comment
Сподели другаде
tanganika Новобранец

tanganika

Публикувано
  • Author
Публикувано

Пробвай само да блокираш правилата за System.

 

Първите две правила за Svchost.exe, са ти за DNS сървъри.

Третото изглежда е за DHCP сйрвър.

Четвъртото, нямам представа за какво е този езходящ трафик за ICMP на Svchost.exe.

 

Пробвай само да блокираш правилата за System. Неби трябвало да влиае на връзката ти.

Да прав си,блокирах System изтрих 4-тото правило,поставих ограничаващо за финал и всичко е наред

 

http://i48.tinypic.com/29bkhnt.jpg

 

Има ли още какво да се желае за правилото на Svchost.exe,какво още да променя ?

 

Създадох като твоето правило за Skype и сега зарежда доста по-бързо.Виждам че и правилото за браузъра ти е различно би ли го показал ?

Link to comment
Сподели другаде
nikikom Новобранец

nikikom

Публикувано
Публикувано

За Svchost.exe няма какво вече да се пипа. Ако не ползваш DHCP сйрвър, в смисъл, ако IP-то си го въвеждаш ръчно в TCP/IP настройките на компютъра,

 

http://store.picbg.net/pubpic/6A/3F/d26823a50e726a3f.JPGhttp://store.picbg.net/pubpic/11/46/a10f317834551146.JPG

 

може да блокираш и третото правилото за Svchost.exe.

 

 

Правилата за Mozilla Firefox

 

http://store.picbg.net/pubpic/91/5D/6f9a0b56f214915d.JPG

Link to comment
Сподели другаде
tanganika Новобранец

tanganika

Публикувано
  • Author
Публикувано

Nikikom,хиляди благодарности за оказаната помощ :hesthebest:

 

Пробвах варианта да въведа данните ръчно

 

http://i48.tinypic.com/k0fz9x.jpg

 

Но в този случай за да имам интернет System не трябва да е блокирана и избрах да ги оставя така

 

http://i48.tinypic.com/xo0eb6.jpg

 

И все пак според теб кой от двата варианта осигурява по-високо ниво на защита ?

Когато ръчно въвеждам данните и System не е блокирана или този който съм избрал да оставя ?

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
 Share
Иди на предишната тема
×
×
  • Създай ново...