Задаване на правила за Agnitum Outpost Firewall - Статии за Microsoft Windows
Всички тестове бяха извършени с Agnitum Outpost Firewall ver. 3.5. Но много настройки ще присъстват в по-ранните версии на този продукт. Ако нещо не е посочено в статията, по-добре е да не го пипате и да го оставите както е. И така, нека да започнем.
Инсталацията не създава никакви проблеми. Ще ви помолят да рестартирате - ние се съгласяваме. След това създаваме автоматична конфигурация - създаваме я. Веднага отиваме на „Настройки - Система - Глобални правила и достъп до необработен сокет". Щракнете върху раздела „Настройки“ и вижте всички глобални правила, които се прилагат за всички програми и услуги в мрежата.
• Разрешаване на разрешаване на DNS. Без това правило работата в мрежа няма да бъде възможна, защото достъпът до DNS сървъра ще бъде блокиран. • Разрешаване на изходящ DHCP. Това правило позволява използването на DHCP. Ако вашият интернет доставчик използва DHCP, напуснетеако не, не се колебайте да го деактивирате. • Разрешаване на входяща идентификация. Препоръчвам да го изключите. За повечето потребители получаването на входящи данни на порт 113 за удостоверяване е безполезно. • Разрешаване на обратна връзка. Направете loopback връзки, които по-често се наричат „обратно затваряне“. Ако използвате такава връзка, оставете квадратчето за отметка, ако не, не се колебайте да я деактивирате. • Разрешаване на GRE протокол. Необходим за всички, които използват PPTP (VPN организация за достъп). Ако не използвате такава връзка, тогава я деактивирайте. Ако се съмнявате, свържете се с вашия интернет доставчик. • Блокирайте извикването на отдалечена процедура. Блокиране на извикване на отдалечена процедура. Повечето потребители изобщо не се нуждаят от извикване на отдалечена процедура. Но такова право със сигурност ще бъде полезно за всички лоши потребители. Оставете квадратчето за отметка. • Отказ на неизвестни протоколи. Това правило ви позволява да блокирате всяка връзка, ако типът на протокола не може да бъде определен. Остави птицата.
Всички други правила ви позволяват да работите правилно с TCP и UDP протоколите, така че оставяме всичко както е.
Тук можем напълно да затворим достъпа до конкретен порт на системата. Как да го направим? Всичко е съвсем просто.
1. Изберете „Добавяне“, за да създадете ново системно/общо правило. След това ще се отвори прозорец с опции (опции) за задаване на общи/системни правила.
2. Изберете събитие за правилото, маркирайте „Where Protocol“, „Where Direction“ и „Where Local Port“.
3. В полето „Описание на правилото“ щракнете върху „Не е дефинирано“ в реда „Протокол за къде“ и изберете необходимия протокол.
4. В полето „Описание на правилото“ щракнете върху „Недефинирано“ в реда „Посока накъде“ и изберете връзката „Входяща“.
5. В полето „Описание на правилото“ щракнете върху „Не е дефинирано“ в реда „Къде е локалният порт“ ипосочете номера на порта, който искате да затворите.
6. В полето „Избор на действия“ за правилото отметнете „Блокиране на тези данни“ и маркирайте правилото като „Правило с висок приоритет“ и „Игнориране на контрола на компонентите“.
7. В полето Име на правило въведете име за правилото и щракнете върху OK, за да го запазите. Името на правилото трябва да се появи в списъка с опции.
Горещо препоръчвам да създадете правила за пълно блокиране на входящия трафик на UDP портове 135, 137, 138 и TCP портове 135, 139,445. Можете безопасно да блокирате порт 5000 както за входящи, така и за изходящи връзки (това е Universal Plug& play). Можете също така да затворите 5554 и 9996 през TCP. Именно през тези портове най-често се извършват атаки срещу вашия компютър. След това отидете в раздела Приложения и премахнете всички програми от там. Защо ни трябва? Сега ще се опитам да обясня. Един обикновен потребител се нуждае само от няколко програми, за да работи: браузър, мениджър за изтегляне, програма за електронна поща, ftp клиент, ICQ. Останалите ще почакат...
Задаваме политиката "Обучение", влизаме в Интернет и стартираме всеки от тях. Outpost ще ви помоли да създадете правило за всяка програма, което ние правим. След това редактираме всяко правило поотделно.
За браузъра Opera разработчиците на Outpost разрешиха следните връзки: изходящи за TCP протокола на портове 21.25, 80-83, 110, 119, 135, 443, 1080, 3128, 8080,8081, 8088. Доста много, нали? Нека да разберем какво ни трябва от браузъра (Аналогията с IE и Mozilla ще бъде почти пълна). Първо блокираме 21-ия порт (FTP връзка на Opera), но ако изтегляте файлове от ftp сървъри с помощта на браузър, трябва да оставите отметка. Портове 80-83 са отговорни за работата по HTTP протокола. Ние не ги докосваме. 25-то (SMTP връзка на Opera) и 110-то (POP3 на Operaвръзка) портовете отговарят съответно за изпращане и получаване на поща. Ако не използвате пощенска програма на трета страна, оставете я; ако не, не се колебайте да премахнете отметката от квадратчето. Новините се получават на порт 119 чрез протокола NNTP, ако не получавате новини по този начин, тогава портът може безопасно да бъде затворен. 135-то трябва да се блокира. 443-ият порт е отговорен за връзките чрез HTTPS протокола, който по-често се нарича SSL, който се използва за организиране на криптографски защитен канал за обмен на данни (пароли, ключове, лична информация) в мрежата. Мисля, че е най-добре да го оставите непроменен. Порт 1080 отговаря за SOCKS връзките. Ако не използвате SOCKS сървъри на работа, портът може безопасно да бъде деактивиран. 3128, 8080,8081, 8088 - това са всички портове за работа с прокси сървъри: използвайте ги - оставете ги.
Outlook работи с изходящи TCP връзки на портове 25. 80-83,119, 110,143,389,443.995,1080. 3128. 8080. 8088. Не докосваме 25-ти и 110-ти - те са отговорни за изпълнението на основната функция. Вече се справихме със 119-то пристанище. Номер на порта 995 - получаване на поща чрез протокола POP3 чрез защитена SSL/TLS връзка. Ако нямате нужда от него, затваряме 995-ия порт. 143-ият порт е отговорен за работата с поща чрез IMAP протокола. Няма IMAP - портът е затворен. Чрез порт 389 можете да получите достъп до LDAP сървъра. Вкъщи е малко вероятно да е полезно. И така, ние затваряме. Прилепът! използва почти същите портове като Outlook, с изключение на портовете, изисквани от PROXY.
Правилата за мениджърите за изтегляне не трябва да се променят. Те използват само необходимите портове, но ако не използвате прокси, можете безопасно да блокирате всички същите портове 3128.8080.8088. Само порт 21 трябва да бъде оставен за ftp клиента.
Необходимо е да се обърне внимание на някои услугипрограма.• Alg.exe – Microsoft Application Layer Gateway Service. Този процес осигурява поддръжка за добавки за споделяне на интернет връзка/защитна стена за интернет връзка. Тези услуги позволяват на множество компютри в мрежа да се свързват с интернет чрез един компютър. В повечето случаи не е необходимо. • Conf.exe е Net-Meeting. Не е необходимо - деактивирайте.. • Dwwin.exe - Отчитане на грешки в приложението на Microsoft. Ясно без думи! • Mstsc.exe - Microsoft Remote Desktop. Връзка с отдалечен работен плот. • Explorer.exe - Microsoft Windows Explorer. От какво се нуждае Internet Explorer? • Lsass.exe – Локална услуга на органа за сигурност. Това е локалният сървър за удостоверяване, който ражда процеса, отговорен за удостоверяване на потребители в услугата Winlogon. • Услуга Messenger, която препраща административни съобщения между клиенти и сървъри. Като цяло домашният потребител не се нуждае от него.
За сърфиране в интернет препоръчвам да използвате режима за обучение. Тя ви позволява да създавате правила в движение за непознати програми.