Файервол - не слишком ли хорошо?
6893
45
Бимс
experienced
Поставил файервол. Через час работы читаю в логе: предотвращено 10 попыток проникновения, из них 3 высокоскоростных. Адреса: много Венгрии, понятно, там НАТО, высокоскоростные, скорей всего, идут оттуда; Иерусалим, т.е. Израиль ко мне стучался, а я не открыл; есть японы, но я по ихому не копенгаген. Даже Бердск сканирует мои портянки, ни струя себе!
Вопрос 1. Разве эта параша не должна отсекаться провайдером - Новокомом? Пров говорит, что у них свой фраервол. Но лог-то вот он. За несколько часов 125 интруженов, из них 12 высокоскоростных. Помнится, в КомпГазете говорилось, что простому юзеру за спиной прова не о чем беспокоиться. Слышал, не знаю, правда ли, что такие траблы только у виндовых серверов, а у никсовых проблем нет. Если это так, то вопрос – а какие провы сидят на Никсах?
Вопрос 2. Фраер хорошо работает, но не слишком ли? Отклонил довольно много запросов от прова. Не с этим ли связан заметный рост числа ответов "Недоступен" Ослика? А как оптимизировать настройки фраера? Я записался в него "Новичком", каковым и являюсь, поэтому он настроек не кажет, только пишет "Ни о чём не беспокойтесь, усё у порядке", и теперь я ничего не могу, кроме как благодарить партию за заботу о выхухоли.
Вопрос 1. Разве эта параша не должна отсекаться провайдером - Новокомом? Пров говорит, что у них свой фраервол. Но лог-то вот он. За несколько часов 125 интруженов, из них 12 высокоскоростных. Помнится, в КомпГазете говорилось, что простому юзеру за спиной прова не о чем беспокоиться. Слышал, не знаю, правда ли, что такие траблы только у виндовых серверов, а у никсовых проблем нет. Если это так, то вопрос – а какие провы сидят на Никсах?
Вопрос 2. Фраер хорошо работает, но не слишком ли? Отклонил довольно много запросов от прова. Не с этим ли связан заметный рост числа ответов "Недоступен" Ослика? А как оптимизировать настройки фраера? Я записался в него "Новичком", каковым и являюсь, поэтому он настроек не кажет, только пишет "Ни о чём не беспокойтесь, усё у порядке", и теперь я ничего не могу, кроме как благодарить партию за заботу о выхухоли.
По поводу того, что должен резать пров: если у тебя с ним договор, что он твой адрес защитит, то да, должен резать. В противнм случае он предоставляеттебе канал и все то, что по нему идет.
А хорошо или нет работает фаер - так все определяется тем, как ты его настроил. ИМХО после любого визарда необходимо еще и ручки приложить...
А хорошо или нет работает фаер - так все определяется тем, как ты его настроил. ИМХО после любого визарда необходимо еще и ручки приложить...
У МТС например все сидят за 2-мя или даже 3-мя firewall'ами (насколько мне известно, только нет щас возможности проверить), вот только откуда ты думаешь народ в свое время даже на GPRSе бластеров нахватался? :). Скорее всего, червяк приполз от GPRSников, хотя извне портсканом тебя уже не достанут, в том то и прелесть приватных адресов.
Это у кого адреса приватные? У МТС-а? Ню-ню..
Это у кого адреса приватные? У МТС-а? Ню-ню..у ГПРСников видмо..
По поводу того, что должен резать пров: если у тебя с ним договор, что он твой адрес защитит, то да, должен резать. В противнм случае он предоставляеттебе канал и все то, что по нему идет.
------------------------------
Нет, ничего такого в договоре нет. Но пров очень удивлённо и ооооочень искренне воскликнул: "Этого не может быть, у нас же файервол!" Это можно своей девушке сказать: "Не может быть. я же предохранялся!" У них была куча времени проверить, насколько эффективен их предохранитель. Поэтому его слова я считаю чистой воды МХАТом.
Но что делать-то? Переустановиться экспертом?
А по поводу виндовых и никсовых серверов - это правда или всё одно?
------------------------------
Нет, ничего такого в договоре нет. Но пров очень удивлённо и ооооочень искренне воскликнул: "Этого не может быть, у нас же файервол!" Это можно своей девушке сказать: "Не может быть. я же предохранялся!" У них была куча времени проверить, насколько эффективен их предохранитель. Поэтому его слова я считаю чистой воды МХАТом.
Но что делать-то? Переустановиться экспертом?
А по поводу виндовых и никсовых серверов - это правда или всё одно?
По поводу переставится...Посоветовать ничего не могу, потому как я как не напригал свои телепатические возможности, но узнать что за фаер у тебя стоит мне не удалось.Мож он у тебя и входящие телепатические коннекты режет? 
А по всему остальному... Если хочешь правильно настроитьфаер, то тут нужно уже знать какие пакеты от кого и для чего нужны... И это уже никак не будет зависить от того, в каком режиме ты его ставиш.
Мож он у тебя и входящие телепатические коннекты режет? А по всему остальному... Если хочешь правильно настроитьфаер, то тут нужно уже знать какие пакеты от кого и для чего нужны... И это уже никак не будет зависить от того, в каком режиме ты его ставиш.
А по поводу виндовых и никсовых серверов - это правда или всё одно?Что именно одно??
Сейчас читают
Кот хочет съесть котенка, что делать?
11650
25
Продажа квартиры без АН. (часть 5)
77056
354
попеть
41889
289
Больше чем уверен, что в режим эксперта можно переключиться и без переустановки. Настройки поизучай. 
по поводу виндовых и никсовых серверов
--------------
Я слышал, что через виндовый сервер пролезть снаружи легко. а через никсовый нет. так ли это?
--------------
Я слышал, что через виндовый сервер пролезть снаружи легко. а через никсовый нет. так ли это?
Нет. Не так.
Все опятьтаки будет определятся тем, кто систему настаивал. Можно и линь настроить как решето, а вожно и из винды сделать непробиваемую систему.
Просто в линуксе все настройки гораздо прозрачнее, чем в винде. Винда напоминает черный ящик, в ней что-то происходит, а вот что - это скрыто от глаз: один процесс может отвечать за несколько служб и фиг знает как быть завязаным на другие службы.. В лине - есть демон, он отвечает за конкретные вещи. Поднял демона на конкретном порте, и ты знаешь, что н висит только на этом порте и ни на каком другом.
Все опятьтаки будет определятся тем, кто систему настаивал. Можно и линь настроить как решето, а вожно и из винды сделать непробиваемую систему.
Просто в линуксе все настройки гораздо прозрачнее, чем в винде. Винда напоминает черный ящик, в ней что-то происходит, а вот что - это скрыто от глаз: один процесс может отвечать за несколько служб и фиг знает как быть завязаным на другие службы.. В лине - есть демон, он отвечает за конкретные вещи. Поднял демона на конкретном порте, и ты знаешь, что н висит только на этом порте и ни на каком другом.
Кстати, в тему МТС GPRS: Как вам новость:
http://www.nsk.mts.ru//news/news.jsp?pageId=news&itemId=6696
----------
С 22 октября 2003 года абонентам стала доступна услуга "Использование статического IP-адреса". Данная услуга повышает безопасность и удобство при работе в сети Internet по GPRS.
Стоимость подключения услуги - единовременная плата $0,15 (с НДС). Стоимость использования услуги - $1 ежемесячно (c НДС).
----------
Лично мне становится смешно от фразы "статический адрес повышает безопастность". У кого какие комментарии на этот счет?
http://www.nsk.mts.ru//news/news.jsp?pageId=news&itemId=6696
----------
С 22 октября 2003 года абонентам стала доступна услуга "Использование статического IP-адреса". Данная услуга повышает безопасность и удобство при работе в сети Internet по GPRS.
Стоимость подключения услуги - единовременная плата $0,15 (с НДС). Стоимость использования услуги - $1 ежемесячно (c НДС).
----------
Лично мне становится смешно от фразы "статический адрес повышает безопастность".
У кого какие комментарии на этот счет? Фигвама чистой воды.
Это из серии рекламы у кого порошек стирает круче.
Это из серии рекламы у кого порошек стирает круче.
А чего, собственно, смешного?
А разве не повышают? А?
Допустим ты лазишь через GPRS по ssh и админишь удаленый сервер. В каком случае безопасность будет выше: когда у тебя адрес из диапазона 217,8,226.ххх и 217,8,227,ххх или тогда, когда ты будешь иметь статический адрес. Про VPN я пока молчу.
Так что думать нужно прежде чем смеяться.
А разве не повышают? А?
Допустим ты лазишь через GPRS по ssh и админишь удаленый сервер. В каком случае безопасность будет выше: когда у тебя адрес из диапазона 217,8,226.ххх и 217,8,227,ххх или тогда, когда ты будешь иметь статический адрес. Про VPN я пока молчу.
Так что думать нужно прежде чем смеяться.
Хм... Я почему-то сразу подумал про безопасность клиента, а вот про безопастность в случае удаленного администрирования в голову как-то не пришло сразу... Каюсь
ЗЫ: 2Barlog: А почему нельзя удалить дубликатное сообщение полностью? Или на него уже успели ответить?
ЗЫ: 2Barlog: А почему нельзя удалить дубликатное сообщение полностью? Или на него уже успели ответить?
Да уж... клиенты - все сплошь админы.
Лично мне становится смешно от фразы "статический адрес повышает безопастность".
-----------------
Похоже, да. Где-то писАлось, что сидеть за спиной прова тем и хорошо, что он тебе даёт динамический IP: сечас ты Сидоров, а через минуту уже Моника Левински.
-----------------
Похоже, да. Где-то писАлось, что сидеть за спиной прова тем и хорошо, что он тебе даёт динамический IP: сечас ты Сидоров, а через минуту уже Моника Левински.
А чего, собственно, смешного?
А разве не повышают? А?
----------------
Не знаю, ребята, вам виднее.
--------------------------------------
Похоже, я был прав, когда назвал топик "Не слишком ли хорошо". Открылась ещё одна пакость. Такое ощущение. что фраер с течением времени вообще заблокировал мне выход в Инет. С ним я только что зашёл на главную страницу НГС, а дальше не могу. Отконнектился, отключил файервол и вот сейчас сижу без него. При-при-приехали. Ну ладно, что у меня высматривать. А вот некоторые мои друзья всерьёз и небезосновательно испугались, как они без него работали и что теперь делать, коли он не пашет.
А разве не повышают? А?
----------------
Не знаю, ребята, вам виднее.
--------------------------------------
Похоже, я был прав, когда назвал топик "Не слишком ли хорошо". Открылась ещё одна пакость. Такое ощущение. что фраер с течением времени вообще заблокировал мне выход в Инет. С ним я только что зашёл на главную страницу НГС, а дальше не могу. Отконнектился, отключил файервол и вот сейчас сижу без него. При-при-приехали. Ну ладно, что у меня высматривать. А вот некоторые мои друзья всерьёз и небезосновательно испугались, как они без него работали и что теперь делать, коли он не пашет.
Проверил, точно, файервол с дефолтными настройками не пускает дальше главной страницы НГС. Хочешь. как лучше, а получается как у черномырдина
Странно. Не должно такого быть. Тут уже нужно смореть правила фильтрации портов + ping + tracert + много еще чего...
Ну или можно фаервол сменить.
Ну или можно фаервол сменить.
Такое ощущение. что фаервол с течением времени вообще заблокировал мне выход в Инет.
-------------
В инфе фаера написано, что лицензионного ключа не требуется. И тут же "А если вы хотите испытать в течение 30 дней, нажмите тут". Впервые вижу такое сочетание. Так он, выходит, триальный? Или нет? А на сайте-барахолке написано, что он фри. Врут, заманивают? Стал бы я возиться его качать, если триальность была указана!
-------------
В инфе фаера написано, что лицензионного ключа не требуется. И тут же "А если вы хотите испытать в течение 30 дней, нажмите тут". Впервые вижу такое сочетание. Так он, выходит, триальный? Или нет? А на сайте-барахолке написано, что он фри. Врут, заманивают? Стал бы я возиться его качать, если триальность была указана!
Можно и линь настроить как решето, а вожно и из винды сделать непробиваемую систему.Тонко подмечено!
один процесс может отвечать за несколько служб и фиг знает как быть завязаным на другие службы..Самый простой способ узнать какой процесс на каком порте сидит - воспользоваться TCPView. Рекоммендации лучших файерволоводов...
puzo
member
Хотелось бы внести слово в защиту провайдера!!!!
Для начала ответим на один вопрос:
-Может ли провайдер знать, какие задачи вы ставите перед собой используя подключение к интернет (хотелось бы добавить! Полностью аннонимного клиента . Т.к. не может знать провайдер о каждом клиенте, который покупает интернет в ларке, рядом с домом, а соотвественно и о его желаниях)
- а теперь на еще один вопрос (как следствие):
имеет ли провайдер право закрывать доступ к портам клиента, не зная его задач.
Думаю ответ очевиден!!!!
Если нет то готов выслушать возражения.
Для начала ответим на один вопрос:
-Может ли провайдер знать, какие задачи вы ставите перед собой используя подключение к интернет (хотелось бы добавить! Полностью аннонимного клиента . Т.к. не может знать провайдер о каждом клиенте, который покупает интернет в ларке, рядом с домом, а соотвественно и о его желаниях)
- а теперь на еще один вопрос (как следствие):
имеет ли провайдер право закрывать доступ к портам клиента, не зная его задач.
Думаю ответ очевиден!!!!
Если нет то готов выслушать возражения.
Мне кажется, что это вправе решать сам провайдер. А если клиенту нужны какие-нибудь дополнительные открытые порты, пусть зарегистрируется и напишет провайдеру (станет неанонимным клиентом).
Хм-м-м-м.. А как бы тебе понравилось если бы к примеру МТС сам за тебя решил на какие телефоны тебе можно звонить, а на какие нет... И чтобы например начать звонить на телефоны 54-хх-хх тебе нужно сходить в офис и зарегистрироваться? А?
Мне кажется, что это вправе решать сам провайдер. А если клиенту нужны какие-нибудь дополнительные открытые порты, пусть зарегистрируется и напишет провайдеру (станет неанонимным клиентом).Ради такого геморроя я бы не стал даже рассматривать этого провайдера, как серъёзную фирму, и уж тем более не стал бы к нему подключаться. Puzo прав, провайдер должен предоставлять услугу в полном объёме. А обеспечение безопасного секса (читай интернета) должго лежать таки на клиенте.
Просто разные подходы - со стороны админа (который может обеспечить безопасность сам) и со стороны обычного юзера, который зайдет в инет, схватит бластера, и будет потом паниковатьИМХО у любого человека есть право выбора, в том числе и провайдера. Можно сделать, чтоб, например, при регистрации, выбирать, обеспечивает ли пров секьюрность, или сам пользователь должен. А то под универсальный шалбон подогнать всех просто нереально.
ЗЫ: У меня сейчас сложилась ситуация, когда я оказался в положении, что секьюрность обеспечивают за меня, просто на NSC поставили новый FW, и позакрывали все, что можно (даже ssh случайно закрыли ;)). И чтобы открыть какой-нибудь порт, нужно заполнять электронную анкету. Вот только обидно, что права выбора прова в данном случае у меня отстутствует
ИМХО у любого человека есть право выбора, в том числе и провайдера. Можно сделать, чтоб, например, при регистрации, выбирать, обеспечивает ли пров секьюрность, или сам пользователь должен. А то под универсальный шалбон подогнать всех просто нереально. ЗЫ: У меня сейчас сложилась ситуация, когда я оказался в положении, что секьюрность обеспечивают за меня, просто на NSC поставили новый FW, и позакрывали все, что можно (даже ssh случайно закрыли ;)). И чтобы открыть какой-нибудь порт, нужно заполнять электронную анкету. Вот только обидно, что права выбора прова в данном случае у меня отстутствует
Аналогия немного наоборот, скорее всего правильнее провести с входящими
Кстати, насчет, например, e-mail2sms, здесь МТС за нас решает, от кого можно принимать, а от кого нельзя, хотя в данном случае обеспечить безопасность (фильтрацию) со стороны абонента просто просто невозможно...
Кстати, насчет, например, e-mail2sms, здесь МТС за нас решает, от кого можно принимать, а от кого нельзя, хотя в данном случае обеспечить безопасность (фильтрацию) со стороны абонента просто просто невозможно...
Хотелось бы внести слово в защиту провайдера!!!!
-----------
Да и мне бы хотелось. Но я его за язык не тянул. Он сам вскричал "Этого не может быть! У нас свой файервол" Если он мне ничего не обязан, а он, как я понимаю, ничего мне не обязан, вздохнул бы сочувственно и всё.
-----------
Да и мне бы хотелось. Но я его за язык не тянул. Он сам вскричал "Этого не может быть! У нас свой файервол" Если он мне ничего не обязан, а он, как я понимаю, ничего мне не обязан, вздохнул бы сочувственно и всё.
Бимс
experienced
воспользоваться TCPView
----------------
Скачал, попробую
----------------
Скачал, попробую
Если иногда невозможно выглянуть дальше сервера провайдера, это. похоже, у него проблемы (иногда признаётся), а не у фаера. Тут просто надо попробовать разных провов.
Puzo прав, провайдер должен предоставлять услугу в полном объёме. А обеспечение безопасного секса (читай интернета) должго лежать таки на клиенте.
-----------------------
Наверное, так. Но аспект безопасности упоминается далеко не всеми провами при сношениях с юзером. Поэтому если впервые сталкиваешься с морем случайных контактов, когда не ты, а тебя, это ошеломляет. У некоторых провов "безопасность" в услугах упоминается.
-----------------------
Наверное, так. Но аспект безопасности упоминается далеко не всеми провами при сношениях с юзером. Поэтому если впервые сталкиваешься с морем случайных контактов, когда не ты, а тебя, это ошеломляет. У некоторых провов "безопасность" в услугах упоминается.
Немного прояснилось, но конец ещё не виден. На рекламной заставке ZoneAlarm пишет, что усё у порядке, ваш комп под защитой. Но эта защита - как кефир вместо .... Оказывается, для стабильного соединения надо вносить домены провайдера в Trust - зону доверия. Ну ладно, домены Новокома я узнал, но в зону внести не удаётся. На НМТС получил 15 блоков коннекта файерволом за 10 минут. Утомился, снёс его к чёрту. Кстати, Аутпост тоже постепенно блокирует доступ в Инет до нуля. Пока не знаю, что делать.
Быть бидэ.
Быть бидэ.
Странно все у тебя... У меня Аутпост стоит уже около года: коннект всегда есть и никто его до нуля не блокирует. Один раз правда глюк был: Опера вдруг свалилась в запрещенные приложения. Ну так я его перенастроил и опять все понеслось.
У нас с другом по файеру, у меня ЗА (был), у него Аут. И у меня, и у него коннект постепенно сошёл до нуля. Общее мнение: проблем только прибавилось. Ещё у нас общего - Опера 7.11. Я попробую Аутпост.
Извиняюсь за глупый вопрос, но что есть бластер
Вирус MSblast назывался. Он и сейчас активно гуляет.
Червь такой, w32.blaster.worm называется. В отличие от почтовых червей, которые обычно распространяются в письмах под грифом "Срочно откройте этот скринсейвер!!!" или "финансовый документ.doc[.vbs]", эта тварь ломает комп через сеть, в обход пользователя. Пользователь только видит окошко о том, что через минуту комп перезагрузится... От w32.blaster.worm-а спасает firewall.
Вот ссылка для самообразования. Вот еще ссылка от Symantec.
Вот ссылка для самообразования. Вот еще ссылка от Symantec.
firewall - не панацея.
а от w32.blaster.worm есть и другие способы.
а от w32.blaster.worm есть и другие способы.
Во-первых: Файервол надо всегда настраивать самому, если не хочешь чтоб проблемы с инетом были. Не умеешь--сначала научись (это недолго и несложно), а потом уже в инет с ним лазай.
Во-вторых:Не все можно считать атакой. Все зависит от настроек. Можно настроить так, что два пинга подряд на твою машину он будет считать атакой. У ФБР, например, в сутки регистрируется до 10000 попыток взлома. Так у них IDS так настроена. Реально из них попыток взлома гооооораздо меньше........
Во-вторых:Не все можно считать атакой. Все зависит от настроек. Можно настроить так, что два пинга подряд на твою машину он будет считать атакой. У ФБР, например, в сутки регистрируется до 10000 попыток взлома. Так у них IDS так настроена. Реально из них попыток взлома гооооораздо меньше........
Уже согласен и с первым и со вторым. Между настройкой и выходом надо, как я понимаю, трояны вычистить .
Лучше почистить. Таких зверьков проще убить, чем прокормить. Хотя файервол и так их не выпустит при правильной настройке. Но у многих троянов есть опция закрытия файерволов. Только не забудь при установке новых сетевых приложений открыть им доступ, а то будешь долго думать почему они у тебя не работают....
Deft
activist
Так хоть решётка есть. А вот без файервола..............
Только не забудь при установке новых сетевых приложений открыть им доступ, а то будешь долго думать почему они у тебя не работают....
----------
А я на этом и попался в ЗонАларме.
----------
А я на этом и попался в ЗонАларме.
ТОП 5
1
2
3
4