Battle Forum - Показать сообщение отдельно

**a2z** · 01.09.2006, 18:40

Подправим некоторые базовые правила.

Internet Explorer
Для браузера Internet Explorer авторы файрволла определили правила - разрешаются все исходящие соединения по протоколу TCP через порты 21,70,80-83.443,554,1080, 3128, 8080, 8088 и входящие соединения по протоколу TCP через порт 1375, по протоколу UDP через порты 1040-1050.

Mozilla Firefox, Opera
Ставим Лисицу или Оперу по умолчанию и порядок.
• 21-й порт блокируется сразу и без раздумий, для загрузки файлов с ftp-серверов существуют специальные программы, более удобные, чем браузер.
• 443-й порт отвечает за соединения по протоколу HTTPS, который чаще называют SSL, использующемуся для организации криптографически защищенного канала для обмена данными (пароли, ключи, личная информация) в Сети. Думаю, что, активность программы через этот порт также следует запретить. Правда, исключения в данном случае имеются.
• Порт 1080 отвечает за SOCKS-соединения. SOCKS был создан для обеспечения удобного и безопасного использования сервиса сетевых файрволлов для приложений типа клиент-сервер, работающих по протоколам TCP и UDP. Если вы не пользуетесь SOCKS-серверами при работе с IE, порт можно смело отключать.
• С портами 3128; 8080 и 8088 еще прозрачнее. Исползуем прокси-серверы - оставляем, нет - заблокировать.
• Через 70-й порт можно задействовать так называемую систему Gopher. Некоторые специалисты называют Gopher прямым предшественником WWW, но сегодня она представляет интерес только для исследователей. Актуальность эта служба утратила уже давно, поэтому закрываем и его. Кстати говоря, года два назад дыра, связанная с неконтролируемом буфером, управляющим информацией, получаемой от сервера Gopher, наделала немало шума.
• Закрытие ТСР-порта 1375 и UDP-портов 1040-1050 тоже не должно вызвать неприятных последствий.
• И наконец, порт 554. Используется он исключительно в мультимедийных целях, поэтому закрыть его можно без проблем - намного проще закачать файл и посмотреть его при помощи специального плейера.

Microsoft Outlook (Express)
Для почты Microsoft Outlook (Express) пo умолчанию дозволительны исходящие ТСР-соединения через порты 25. 80-83,119, 110,143,389,443.995,1080. 3128. 8080. 8088 и 11523. Многовато для простых получения и отправки сообщений.
• 25 и 110 не трогаем - они отвечают за выполнение основной функции.
• На порт 119 приходят новости по протоколу NNTP, если вы не получаете новости подобным образом, то порт можно смело закрывать.
• Порт с номером 995 - получение почты по протоколу РОРЗ, используя защищенное соединение SSL/TLS. Если вам это не нужно, то 995-й порт закрываем.
• 143-й порт отвечает за работу с почтой по протоколу IMAP. Нет IMAP -нет порта.
• Через 389-й порт можно получить доступ к серверу LDAP. Штука удобная, широко используется в UNIX-системах, но дома она вряд ли может пригодиться. Стало быть, закрываем.
• А вот все оставшееся нужно для того, чтобы клиент мог вылезать в Сеть, реагируя на некоторые элементы, которые очень часто помещают в письма. Не знаю что сказать. Причина банальна: я не понимаю целесообразности этих возможностей и не вижу смысла включать в письмо что-то, кроме чистого текста. Русский словарь (как и любой другой) богат, и при помощи содержащихся там слов можно выразить сколь угодно сложную мысль. Если вы со мной согласны, то блокируйте остальные порты, если нет - дело ваше.

FTP клиент
С ftp-клиентом все просто. Для нормальной работы ему следует разрешить исходящие соединения по протоколу TCP через 21-й порт, а потом по ситуации (в режиме обучения).

Download клиент
Менеджеру закачек разрешить исходящее соединения по протоколу TCP через порты 21, 80-83, 443, 1080, 3128, 8080, 8088 и 11523.
• Для пользователей FlashGet -запретить лазить в 212.31.251.68 ; 212.31.251.67 ; 210.51.184.50 и сюда 208.184.39.132. ;208.185.54.9, а то он ключи там проверяет, становится опять не зарегистрированным и потом всякую ерунду от туда тащит и баннеры показывает.

Автообновления программ
Авто обновления следует тоже запретить. Всё должно быть строго по команде. А то лазают где попало и трафик зря сжирают. Самому Outpost-у обновления запретить, ему там делать нечего. Для обновлений существуют варезные сайты

Служебные программы
Следует обратить внимание на некоторые служебные программы, которые тоже лезут в Сеть.

• Alg.exe - Microsoft Application Layer Gateway Service. Он обеспечивает поддержку плагинов Internet Connection Sharing / Internet Connection Firewall. Эти службы дают возможность нескольким компьютерам сети подключиться к интернету через один компьютер. В большинстве случаев она просто не нужна. Кстати, если она не нужна, то запрет ее сетевой активности - банальная полумера. Заходим в HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Ser-vices\ALG и изменяем значение Start на DWORD:00000004 - экономия полтора мегабайта оперативной памяти. Кхе кхе, мало но все же.
• Conf.exe - это тот самый Net-Meeting, о полной деинсталляции которого мечтает половина русских пользователей системы Windows (другая половина не мечтает, поскольку уже давно это проделала). Не нужен - отрубаем.
• Из той же серии программа dwwin.exe - Microsoft Application Error Reporting. Вам оно надо? Microsoft за эти сообщения денег нам не платит.
• Mstsc.exe - Microsoft Remote Desktop - отвечает за подключение к удаленному Рабочему столу. Если не надо и если раньше не прибили этот сервис - не пущать.
• Explorer.exe - в сети ему делать нечего.
• Lsass.exe - это локальная подсистема аутентификации пользователей (Security Accounts Manager). К сожалению, эту нужную функцию используют несколько опасных сетевых червей. В некоторых случаях запрет ее сетевой активности возможен, в некоторых -нет. Этот вопрос следует обсудить с собственным провайдером, и, если он скажет, что служба должна работать, спасет только установка соответствующих патчей, которые выпускает любимая компания Microsoft. Я её запретил.
• Наконец, служба Messenger, которая пересылает сообщения между клиентами и серверами. По большому счету, домашнему пользователю она не нужна. Она позволяет принимать сообщения net send, которые пользователю не нужны, - если есть желание пообщаться, стучимся в аську и не выёживаемся. Тем не менее, если по каким-либо причинам эту службу отключить нельзя, то используйте файрволл для закрытия UDP-портов 135, 137, 138 и ТСР-портов 135, 139,445.
• Можно смело блокировать 5000 порт и на вход и на выход (это Universal Plug&play - совершенно не нужное в реальной жизни)
• Можно закрыть ещё 5554 и 9996 по TCP.

Остальные системные настройки можно оставить по умолчанию.

Вирусы, шпионы
Некоторые порты используются не только добросовестным софтом, но и всякими троянами. Краткий список портов, которым следует уделить особое внимание.

• 31 порт используется троянцем Master Paradise,
• 121 - ВО jammerkillahV,
• 456 - Hackers Paradise,
• 555 - Stealth Spy, Phase0 и NeTadmin,
• 666 - At¬tack FTP,
• 1001 - Silencer и WebEx,
• 1010 - Doly trojan v1.35,
• 1011 - Doly Trojan,
• 1015 - Doly trojan v1.5,
• 1033 - Netspy,
• 1042 - Bla1.1,
• 1080 - Win-gate,
• 1170 - Streaming Audio Trojan,
• 1243 - SubSeven,
• 1245 - Voodoo,
• 1269 - Maverick's Matrix,
• 1492 - FTP99CMP,
• 1509 - Psyber,
• 1600 - Sivka Burka,
• 1807 - SpySender,
• 1981 - ShockRave,
• 1999 - Backdoor,
• 2001 - Tro-janCow,
• 2023 - Pass Ripper,
• 2115 - Bugs,
• 2140 - The Invasor,
• 2283 - HVL Rat5,
• 2300 - PC Xplorer v1.2,
• 2565 - Striker,
• 2583 - Wincrash2,
• 2801 - Phineas,
• 3791 - Total Eclipse 1.0,
• 4567 - FileNail,
• 4950 - IcqTrojan,
• 5000 - Blazer 5, BioNet Lite, Sockets De Troje ,
• 5011 - OOTLT,
• 5031 - NetMetro 1.0,
• 5321 - Firehotcker,
• 5400 - BladeRunner 0.80 и BackConstruction 1.2,
• 5521 - Illusion Mailer,
• 5550 - Xtcp,
• 5569 - RoboHack,
• 5742 - Wincrash,
• 6400 - The tHing,
• 6669 - Vampire,
• 6670 - DeepThroath 1,2,3.x,
• 6883 - DeltaSource,
• 6912 - ShitHeep,
• 6939 - Indoctrination,
• 6969 - Gatecrasher,
• 7306 - NetMonitor,
• 7789 - ICQKiller,
• 9400 - InCommand 1.0,
• 9872 - PortalOfDoom,
• 9875 - PortalOfDoom,
• 9989 - Inlkiller,
• 10101 - BrainSpy,
• 10607 - Coma,
• 11000 - Senna Spy Trojans,
• 11223 - ProgenicTrojan,
• 12076 - Gjamer,
• 12223 - Hack-99 KeyLogger.

!Разумеется, это не всё, поэтому рекомендуется время от времени посещать специальные ресурсы, посвященные сетевой безопасности, где можно найти актуальный на данный момент перечень потенциально опасных портов.

Информация найдена в источнике без автора и копирайта.
Отредактировано и дополнено a2z.

01.09.2006, 18:40	#3
a2z Супер-Модератор	Подправим некоторые базовые правила. Internet Explorer Для браузера Internet Explorer авторы файрволла определили правила - разрешаются все исходящие соединения по протоколу TCP через порты 21,70,80-83.443,554,1080, 3128, 8080, 8088 и входящие соединения по протоколу TCP через порт 1375, по протоколу UDP через порты 1040-1050. Mozilla Firefox, Opera Ставим Лисицу или Оперу по умолчанию и порядок. • 21-й порт блокируется сразу и без раздумий, для загрузки файлов с ftp-серверов существуют специальные программы, более удобные, чем браузер. • 443-й порт отвечает за соединения по протоколу HTTPS, который чаще называют SSL, использующемуся для организации криптографически защищенного канала для обмена данными (пароли, ключи, личная информация) в Сети. Думаю, что, активность программы через этот порт также следует запретить. Правда, исключения в данном случае имеются. • Порт 1080 отвечает за SOCKS-соединения. SOCKS был создан для обеспечения удобного и безопасного использования сервиса сетевых файрволлов для приложений типа клиент-сервер, работающих по протоколам TCP и UDP. Если вы не пользуетесь SOCKS-серверами при работе с IE, порт можно смело отключать. • С портами 3128; 8080 и 8088 еще прозрачнее. Исползуем прокси-серверы - оставляем, нет - заблокировать. • Через 70-й порт можно задействовать так называемую систему Gopher. Некоторые специалисты называют Gopher прямым предшественником WWW, но сегодня она представляет интерес только для исследователей. Актуальность эта служба утратила уже давно, поэтому закрываем и его. Кстати говоря, года два назад дыра, связанная с неконтролируемом буфером, управляющим информацией, получаемой от сервера Gopher, наделала немало шума. • Закрытие ТСР-порта 1375 и UDP-портов 1040-1050 тоже не должно вызвать неприятных последствий. • И наконец, порт 554. Используется он исключительно в мультимедийных целях, поэтому закрыть его можно без проблем - намного проще закачать файл и посмотреть его при помощи специального плейера. Microsoft Outlook (Express) Для почты Microsoft Outlook (Express) пo умолчанию дозволительны исходящие ТСР-соединения через порты 25. 80-83,119, 110,143,389,443.995,1080. 3128. 8080. 8088 и 11523. Многовато для простых получения и отправки сообщений. • 25 и 110 не трогаем - они отвечают за выполнение основной функции. • На порт 119 приходят новости по протоколу NNTP, если вы не получаете новости подобным образом, то порт можно смело закрывать. • Порт с номером 995 - получение почты по протоколу РОРЗ, используя защищенное соединение SSL/TLS. Если вам это не нужно, то 995-й порт закрываем. • 143-й порт отвечает за работу с почтой по протоколу IMAP. Нет IMAP -нет порта. • Через 389-й порт можно получить доступ к серверу LDAP. Штука удобная, широко используется в UNIX-системах, но дома она вряд ли может пригодиться. Стало быть, закрываем. • А вот все оставшееся нужно для того, чтобы клиент мог вылезать в Сеть, реагируя на некоторые элементы, которые очень часто помещают в письма. Не знаю что сказать. Причина банальна: я не понимаю целесообразности этих возможностей и не вижу смысла включать в письмо что-то, кроме чистого текста. Русский словарь (как и любой другой) богат, и при помощи содержащихся там слов можно выразить сколь угодно сложную мысль. Если вы со мной согласны, то блокируйте остальные порты, если нет - дело ваше. FTP клиент С ftp-клиентом все просто. Для нормальной работы ему следует разрешить исходящие соединения по протоколу TCP через 21-й порт, а потом по ситуации (в режиме обучения). Download клиент Менеджеру закачек разрешить исходящее соединения по протоколу TCP через порты 21, 80-83, 443, 1080, 3128, 8080, 8088 и 11523. • Для пользователей FlashGet -запретить лазить в 212.31.251.68 ; 212.31.251.67 ; 210.51.184.50 и сюда 208.184.39.132. ;208.185.54.9, а то он ключи там проверяет, становится опять не зарегистрированным и потом всякую ерунду от туда тащит и баннеры показывает. Автообновления программ Авто обновления следует тоже запретить. Всё должно быть строго по команде. А то лазают где попало и трафик зря сжирают. Самому Outpost-у обновления запретить, ему там делать нечего. Для обновлений существуют варезные сайты Служебные программы Следует обратить внимание на некоторые служебные программы, которые тоже лезут в Сеть. • Alg.exe - Microsoft Application Layer Gateway Service. Он обеспечивает поддержку плагинов Internet Connection Sharing / Internet Connection Firewall. Эти службы дают возможность нескольким компьютерам сети подключиться к интернету через один компьютер. В большинстве случаев она просто не нужна. Кстати, если она не нужна, то запрет ее сетевой активности - банальная полумера. Заходим в HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Ser-vices\ALG и изменяем значение Start на DWORD:00000004 - экономия полтора мегабайта оперативной памяти. Кхе кхе, мало но все же. • Conf.exe - это тот самый Net-Meeting, о полной деинсталляции которого мечтает половина русских пользователей системы Windows (другая половина не мечтает, поскольку уже давно это проделала). Не нужен - отрубаем. • Из той же серии программа dwwin.exe - Microsoft Application Error Reporting. Вам оно надо? Microsoft за эти сообщения денег нам не платит. • Mstsc.exe - Microsoft Remote Desktop - отвечает за подключение к удаленному Рабочему столу. Если не надо и если раньше не прибили этот сервис - не пущать. • Explorer.exe - в сети ему делать нечего. • Lsass.exe - это локальная подсистема аутентификации пользователей (Security Accounts Manager). К сожалению, эту нужную функцию используют несколько опасных сетевых червей. В некоторых случаях запрет ее сетевой активности возможен, в некоторых -нет. Этот вопрос следует обсудить с собственным провайдером, и, если он скажет, что служба должна работать, спасет только установка соответствующих патчей, которые выпускает любимая компания Microsoft. Я её запретил. • Наконец, служба Messenger, которая пересылает сообщения между клиентами и серверами. По большому счету, домашнему пользователю она не нужна. Она позволяет принимать сообщения net send, которые пользователю не нужны, - если есть желание пообщаться, стучимся в аську и не выёживаемся. Тем не менее, если по каким-либо причинам эту службу отключить нельзя, то используйте файрволл для закрытия UDP-портов 135, 137, 138 и ТСР-портов 135, 139,445. • Можно смело блокировать 5000 порт и на вход и на выход (это Universal Plug&play - совершенно не нужное в реальной жизни) • Можно закрыть ещё 5554 и 9996 по TCP. Остальные системные настройки можно оставить по умолчанию. Вирусы, шпионы Некоторые порты используются не только добросовестным софтом, но и всякими троянами. Краткий список портов, которым следует уделить особое внимание. • 31 порт используется троянцем Master Paradise, • 121 - ВО jammerkillahV, • 456 - Hackers Paradise, • 555 - Stealth Spy, Phase0 и NeTadmin, • 666 - At¬tack FTP, • 1001 - Silencer и WebEx, • 1010 - Doly trojan v1.35, • 1011 - Doly Trojan, • 1015 - Doly trojan v1.5, • 1033 - Netspy, • 1042 - Bla1.1, • 1080 - Win-gate, • 1170 - Streaming Audio Trojan, • 1243 - SubSeven, • 1245 - Voodoo, • 1269 - Maverick's Matrix, • 1492 - FTP99CMP, • 1509 - Psyber, • 1600 - Sivka Burka, • 1807 - SpySender, • 1981 - ShockRave, • 1999 - Backdoor, • 2001 - Tro-janCow, • 2023 - Pass Ripper, • 2115 - Bugs, • 2140 - The Invasor, • 2283 - HVL Rat5, • 2300 - PC Xplorer v1.2, • 2565 - Striker, • 2583 - Wincrash2, • 2801 - Phineas, • 3791 - Total Eclipse 1.0, • 4567 - FileNail, • 4950 - IcqTrojan, • 5000 - Blazer 5, BioNet Lite, Sockets De Troje , • 5011 - OOTLT, • 5031 - NetMetro 1.0, • 5321 - Firehotcker, • 5400 - BladeRunner 0.80 и BackConstruction 1.2, • 5521 - Illusion Mailer, • 5550 - Xtcp, • 5569 - RoboHack, • 5742 - Wincrash, • 6400 - The tHing, • 6669 - Vampire, • 6670 - DeepThroath 1,2,3.x, • 6883 - DeltaSource, • 6912 - ShitHeep, • 6939 - Indoctrination, • 6969 - Gatecrasher, • 7306 - NetMonitor, • 7789 - ICQKiller, • 9400 - InCommand 1.0, • 9872 - PortalOfDoom, • 9875 - PortalOfDoom, • 9989 - Inlkiller, • 10101 - BrainSpy, • 10607 - Coma, • 11000 - Senna Spy Trojans, • 11223 - ProgenicTrojan, • 12076 - Gjamer, • 12223 - Hack-99 KeyLogger. !Разумеется, это не всё, поэтому рекомендуется время от времени посещать специальные ресурсы, посвященные сетевой безопасности, где можно найти актуальный на данный момент перечень потенциально опасных портов. Информация найдена в источнике без автора и копирайта. Отредактировано и дополнено a2z. __________________ × Если вы нашли ошибку в моём сообщении, выделите её мышкой и нажмите Alt-F4 × × Twitter, LastFm, SCC, What.cd, Tapochek.net ×