Файервол - не слишком ли хорошо?
6920
45
Поставил файервол. Через час работы читаю в логе: предотвращено 10 попыток проникновения, из них 3 высокоскоростных. Адреса: много Венгрии, понятно, там НАТО, высокоскоростные, скорей всего, идут оттуда; Иерусалим, т.е. Израиль ко мне стучался, а я не открыл; есть японы, но я по ихому не копенгаген. Даже Бердск сканирует мои портянки, ни струя себе!
Вопрос 1. Разве эта параша не должна отсекаться провайдером - Новокомом? Пров говорит, что у них свой фраервол. Но лог-то вот он. За несколько часов 125 интруженов, из них 12 высокоскоростных. Помнится, в КомпГазете говорилось, что простому юзеру за спиной прова не о чем беспокоиться. Слышал, не знаю, правда ли, что такие траблы только у виндовых серверов, а у никсовых проблем нет. Если это так, то вопрос – а какие провы сидят на Никсах?
Вопрос 2. Фраер хорошо работает, но не слишком ли? Отклонил довольно много запросов от прова. Не с этим ли связан заметный рост числа ответов "Недоступен" Ослика? А как оптимизировать настройки фраера? Я записался в него "Новичком", каковым и являюсь, поэтому он настроек не кажет, только пишет "Ни о чём не беспокойтесь, усё у порядке", и теперь я ничего не могу, кроме как благодарить партию за заботу о выхухоли.
Бимс
По поводу того, что должен резать пров: если у тебя с ним договор, что он твой адрес защитит, то да, должен резать. В противнм случае он предоставляеттебе канал и все то, что по нему идет.
А хорошо или нет работает фаер - так все определяется тем, как ты его настроил. ИМХО после любого визарда необходимо еще и ручки приложить...
Бимс
У МТС например все сидят за 2-мя или даже 3-мя firewall'ами (насколько мне известно, только нет щас возможности проверить), вот только откуда ты думаешь народ в свое время даже на GPRSе бластеров нахватался? :). Скорее всего, червяк приполз от GPRSников, хотя извне портсканом тебя уже не достанут, в том то и прелесть приватных адресов.
netghost
Это у кого адреса приватные? У МТС-а? Ню-ню..:миг:
Barlog
Это у кого адреса приватные? У МТС-а? Ню-ню..:миг:
у ГПРСников видмо..
Barlog
По поводу того, что должен резать пров: если у тебя с ним договор, что он твой адрес защитит, то да, должен резать. В противнм случае он предоставляеттебе канал и все то, что по нему идет.
------------------------------
Нет, ничего такого в договоре нет. Но пров очень удивлённо и ооооочень искренне воскликнул: "Этого не может быть, у нас же файервол!" Это можно своей девушке сказать: "Не может быть. я же предохранялся!" У них была куча времени проверить, насколько эффективен их предохранитель. Поэтому его слова я считаю чистой воды МХАТом.
Но что делать-то? Переустановиться экспертом?
А по поводу виндовых и никсовых серверов - это правда или всё одно?
Бимс
По поводу переставится...Посоветовать ничего не могу, потому как я как не напригал свои телепатические возможности, но узнать что за фаер у тебя стоит мне не удалось.:миг:Мож он у тебя и входящие телепатические коннекты режет? :ха-ха!: :ха-ха!: :ха-ха!:

А по всему остальному... Если хочешь правильно настроитьфаер, то тут нужно уже знать какие пакеты от кого и для чего нужны... И это уже никак не будет зависить от того, в каком режиме ты его ставиш.

А по поводу виндовых и никсовых серверов - это правда или всё одно?
Что именно одно?? :а\?:
Бимс
Больше чем уверен, что в режим эксперта можно переключиться и без переустановки. Настройки поизучай. :спок:
Barlog
по поводу виндовых и никсовых серверов
--------------
Я слышал, что через виндовый сервер пролезть снаружи легко. а через никсовый нет. так ли это?
Бимс
Нет. Не так.:улыб:
Все опятьтаки будет определятся тем, кто систему настаивал. Можно и линь настроить как решето, а вожно и из винды сделать непробиваемую систему.
Просто в линуксе все настройки гораздо прозрачнее, чем в винде. Винда напоминает черный ящик, в ней что-то происходит, а вот что - это скрыто от глаз: один процесс может отвечать за несколько служб и фиг знает как быть завязаным на другие службы.. В лине - есть демон, он отвечает за конкретные вещи. Поднял демона на конкретном порте, и ты знаешь, что н висит только на этом порте и ни на каком другом.
Barlog
Кстати, в тему МТС GPRS: Как вам новость:

http://www.nsk.mts.ru//news/news.jsp?pageId=news&itemId=6696
----------
С 22 октября 2003 года абонентам стала доступна услуга "Использование статического IP-адреса". Данная услуга повышает безопасность и удобство при работе в сети Internet по GPRS.
Стоимость подключения услуги - единовременная плата $0,15 (с НДС). Стоимость использования услуги - $1 ежемесячно (c НДС).
----------

Лично мне становится смешно от фразы "статический адрес повышает безопастность". :ха-ха!: :ха-ха!: :ха-ха!: У кого какие комментарии на этот счет? :ха-ха!:
Barlog
Сообщение удалено. Удалил Barlog
netghost
Фигвама чистой воды.
:миг:
Это из серии рекламы у кого порошек стирает круче.
:ха-ха!:
netghost
А чего, собственно, смешного? :а\?:
А разве не повышают? А?
Допустим ты лазишь через GPRS по ssh и админишь удаленый сервер. В каком случае безопасность будет выше: когда у тебя адрес из диапазона 217,8,226.ххх и 217,8,227,ххх или тогда, когда ты будешь иметь статический адрес. Про VPN я пока молчу.
Так что думать нужно прежде чем смеяться.:миг: :спок:
Barlog
Хм... Я почему-то сразу подумал про безопасность клиента, а вот про безопастность в случае удаленного администрирования в голову как-то не пришло сразу... Каюсь:улыб:

ЗЫ: 2Barlog: А почему нельзя удалить дубликатное сообщение полностью? Или на него уже успели ответить?
Barlog
Да уж... клиенты - все сплошь админы.
:ухмылка:
ganymed
А где там сказано, что для всех становится безопаснее? :ха-ха!:
netghost
Лично мне становится смешно от фразы "статический адрес повышает безопастность".
-----------------
Похоже, да. Где-то писАлось, что сидеть за спиной прова тем и хорошо, что он тебе даёт динамический IP: сечас ты Сидоров, а через минуту уже Моника Левински.
Barlog
А чего, собственно, смешного?
А разве не повышают? А?
----------------
Не знаю, ребята, вам виднее.
--------------------------------------
Похоже, я был прав, когда назвал топик "Не слишком ли хорошо". Открылась ещё одна пакость. Такое ощущение. что фраер с течением времени вообще заблокировал мне выход в Инет. С ним я только что зашёл на главную страницу НГС, а дальше не могу. Отконнектился, отключил файервол и вот сейчас сижу без него. При-при-приехали. Ну ладно, что у меня высматривать. А вот некоторые мои друзья всерьёз и небезосновательно испугались, как они без него работали и что теперь делать, коли он не пашет.
Бимс
Проверил, точно, файервол с дефолтными настройками не пускает дальше главной страницы НГС. Хочешь. как лучше, а получается как у черномырдина
Бимс
Странно. Не должно такого быть. Тут уже нужно смореть правила фильтрации портов + ping + tracert + много еще чего...
Ну или можно фаервол сменить.:миг:
Бимс
Такое ощущение. что фаервол с течением времени вообще заблокировал мне выход в Инет.
-------------
В инфе фаера написано, что лицензионного ключа не требуется. И тут же "А если вы хотите испытать в течение 30 дней, нажмите тут". Впервые вижу такое сочетание. Так он, выходит, триальный? Или нет? А на сайте-барахолке написано, что он фри. Врут, заманивают? Стал бы я возиться его качать, если триальность была указана!
Barlog
Можно и линь настроить как решето, а вожно и из винды сделать непробиваемую систему.
Тонко подмечено! :спок:
один процесс может отвечать за несколько служб и фиг знает как быть завязаным на другие службы..
Самый простой способ узнать какой процесс на каком порте сидит - воспользоваться TCPView. Рекоммендации лучших файерволоводов... :миг:
Хотелось бы внести слово в защиту провайдера!!!!

Для начала ответим на один вопрос:
-Может ли провайдер знать, какие задачи вы ставите перед собой используя подключение к интернет (хотелось бы добавить! Полностью аннонимного клиента . Т.к. не может знать провайдер о каждом клиенте, который покупает интернет в ларке, рядом с домом, а соотвественно и о его желаниях)

- а теперь на еще один вопрос (как следствие):
имеет ли провайдер право закрывать доступ к портам клиента, не зная его задач.

Думаю ответ очевиден!!!!

Если нет то готов выслушать возражения.
puzo
Мне кажется, что это вправе решать сам провайдер. А если клиенту нужны какие-нибудь дополнительные открытые порты, пусть зарегистрируется и напишет провайдеру (станет неанонимным клиентом).
netghost
Хм-м-м-м.. А как бы тебе понравилось если бы к примеру МТС сам за тебя решил на какие телефоны тебе можно звонить, а на какие нет... И чтобы например начать звонить на телефоны 54-хх-хх тебе нужно сходить в офис и зарегистрироваться? А?
netghost
Мне кажется, что это вправе решать сам провайдер. А если клиенту нужны какие-нибудь дополнительные открытые порты, пусть зарегистрируется и напишет провайдеру (станет неанонимным клиентом).
Ради такого геморроя я бы не стал даже рассматривать этого провайдера, как серъёзную фирму, и уж тем более не стал бы к нему подключаться. Puzo прав, провайдер должен предоставлять услугу в полном объёме. А обеспечение безопасного секса (читай интернета) должго лежать таки на клиенте.
Stalker
Просто разные подходы - со стороны админа (который может обеспечить безопасность сам) и со стороны обычного юзера, который зайдет в инет, схватит бластера, и будет потом паниковать:миг:ИМХО у любого человека есть право выбора, в том числе и провайдера. Можно сделать, чтоб, например, при регистрации, выбирать, обеспечивает ли пров секьюрность, или сам пользователь должен. А то под универсальный шалбон подогнать всех просто нереально.

ЗЫ: У меня сейчас сложилась ситуация, когда я оказался в положении, что секьюрность обеспечивают за меня, просто на NSC поставили новый FW, и позакрывали все, что можно (даже ssh случайно закрыли ;)). И чтобы открыть какой-нибудь порт, нужно заполнять электронную анкету. Вот только обидно, что права выбора прова в данном случае у меня отстутствует:хммм:
Barlog
Аналогия немного наоборот, скорее всего правильнее провести с входящими:миг:

Кстати, насчет, например, e-mail2sms, здесь МТС за нас решает, от кого можно принимать, а от кого нельзя, хотя в данном случае обеспечить безопасность (фильтрацию) со стороны абонента просто просто невозможно...
puzo
Хотелось бы внести слово в защиту провайдера!!!!
-----------
Да и мне бы хотелось. Но я его за язык не тянул. Он сам вскричал "Этого не может быть! У нас свой файервол" Если он мне ничего не обязан, а он, как я понимаю, ничего мне не обязан, вздохнул бы сочувственно и всё.
воспользоваться TCPView
----------------
Скачал, попробую
Бимс
Если иногда невозможно выглянуть дальше сервера провайдера, это. похоже, у него проблемы (иногда признаётся), а не у фаера. Тут просто надо попробовать разных провов.
Stalker
Puzo прав, провайдер должен предоставлять услугу в полном объёме. А обеспечение безопасного секса (читай интернета) должго лежать таки на клиенте.
-----------------------
Наверное, так. Но аспект безопасности упоминается далеко не всеми провами при сношениях с юзером. Поэтому если впервые сталкиваешься с морем случайных контактов, когда не ты, а тебя, это ошеломляет. У некоторых провов "безопасность" в услугах упоминается.
Бимс
Немного прояснилось, но конец ещё не виден. На рекламной заставке ZoneAlarm пишет, что усё у порядке, ваш комп под защитой. Но эта защита - как кефир вместо .... Оказывается, для стабильного соединения надо вносить домены провайдера в Trust - зону доверия. Ну ладно, домены Новокома я узнал, но в зону внести не удаётся. На НМТС получил 15 блоков коннекта файерволом за 10 минут. Утомился, снёс его к чёрту. Кстати, Аутпост тоже постепенно блокирует доступ в Инет до нуля. Пока не знаю, что делать.

Быть бидэ.
Бимс
Странно все у тебя... У меня Аутпост стоит уже около года: коннект всегда есть и никто его до нуля не блокирует. Один раз правда глюк был: Опера вдруг свалилась в запрещенные приложения. Ну так я его перенастроил и опять все понеслось.
Barlog
У нас с другом по файеру, у меня ЗА (был), у него Аут. И у меня, и у него коннект постепенно сошёл до нуля. Общее мнение: проблем только прибавилось. Ещё у нас общего - Опера 7.11. Я попробую Аутпост.
netghost
Извиняюсь за глупый вопрос, но что есть бластер
Дон Кихот
Вирус MSblast назывался. Он и сейчас активно гуляет.
Дон Кихот
Червь такой, w32.blaster.worm называется. В отличие от почтовых червей, которые обычно распространяются в письмах под грифом "Срочно откройте этот скринсейвер!!!" или "финансовый документ.doc[.vbs]", эта тварь ломает комп через сеть, в обход пользователя. Пользователь только видит окошко о том, что через минуту комп перезагрузится... От w32.blaster.worm-а спасает firewall.

Вот ссылка для самообразования. Вот еще ссылка от Symantec.
netghost
firewall - не панацея.
а от w32.blaster.worm есть и другие способы.
Бимс
Во-первых: Файервол надо всегда настраивать самому, если не хочешь чтоб проблемы с инетом были. Не умеешь--сначала научись (это недолго и несложно), а потом уже в инет с ним лазай.
Во-вторых:Не все можно считать атакой. Все зависит от настроек. Можно настроить так, что два пинга подряд на твою машину он будет считать атакой. У ФБР, например, в сутки регистрируется до 10000 попыток взлома. Так у них IDS так настроена. Реально из них попыток взлома гооооораздо меньше........
Deft
Уже согласен и с первым и со вторым. Между настройкой и выходом надо, как я понимаю, трояны вычистить .
Бимс
Лучше почистить. Таких зверьков проще убить, чем прокормить. Хотя файервол и так их не выпустит при правильной настройке. Но у многих троянов есть опция закрытия файерволов. Только не забудь при установке новых сетевых приложений открыть им доступ, а то будешь долго думать почему они у тебя не работают....
Бимс
WinXP + Firewall:улыб:
another one
Так хоть решётка есть. А вот без файервола..............
Deft
Только не забудь при установке новых сетевых приложений открыть им доступ, а то будешь долго думать почему они у тебя не работают....
----------
А я на этом и попался в ЗонАларме.