Какие открытые порты необходимы для Windows

Тема в разделе "WASM.NETWORKS", создана пользователем SteelRat, 26 июл 2005.

  1. SteelRat

    SteelRat New Member

    Публикаций:
    0
    Регистрация:
    26 авг 2004
    Сообщения:
    409
    Сделал наконец-то firewall, правда сыроват :) Теперь задача заключается в составлении правил для него. Какие порты должны быть открыты для всеобщего обозрения в сети ?

    add 100 allow tcp from 192.168.0.0/24 to any 1-3000

    add 100 allow udp from 192.168.0.0/24 to any 1-3000

    Последнее правило "deny any to any"

    Эти два правила дают видеть ОС в сети, и запрещают её пинговать. Хочется сделать более тонккую настройку...

    Пока знаю только

    UDP 137,138

    TCP 139
     
  2. Booster

    Booster New Member

    Публикаций:
    0
    Регистрация:
    26 ноя 2004
    Сообщения:
    4.860
    firewall под какую OS? (FTP, Telnet). AFAIK винда сама очень активно использует порты для межпроцессного взаимодействия. Не знаю открыта ли эта информация Microsoft или нет, но я не встречал. Но Portmon.exe вроде показывает. А вообще может по умолчанию открыть все. Так как IMHO работа с стенами, по определению требует определённой квалификации.



    З.Ы. Интересно каким методом контролируешь, перехватом в ядре?
     
  3. infern0

    infern0 New Member

    Публикаций:
    0
    Регистрация:
    7 окт 2003
    Сообщения:
    811
    Адрес:
    Russia
    а откуда взялось 3000 ?

    imo есть диапазон 0-1023 и 1024-65535

    первый - системный диапазон, часть из которого (well-known ports) документирована. Доступ обычнотолько с привилегиями админа/рута. Вторая - свободная, доступ не ограничен. Я бы сделал (и делал) например так:

    allow tcp 80 # http

    allow tcp/udp 53 # ns

    allow tcp 110 # pop3

    allow tcp 25 # smtp

    deny tcp/udp 0-1023

    allow tcp/udp 1024-65535



    насчет сервисов - есть в системе такой файлик - services

    для винды он в windows\system32\drivers\etc - там найдешь инфу по портам для сервисов которые хочушь открыть.
     
  4. infern0

    infern0 New Member

    Публикаций:
    0
    Регистрация:
    7 окт 2003
    Сообщения:
    811
    Адрес:
    Russia
    ps: твои два правила не запрещают пинговать. Для запрета пинга надо закрыть icmp протокол.
     
  5. SteelRat

    SteelRat New Member

    Публикаций:
    0
    Регистрация:
    26 авг 2004
    Сообщения:
    409
    infern0

    Последнее правило "deny any to any" => все ICMP дропаются :) Это же аналог ipfw :)

    За подсказку спасибо ! Про этот файл совсем забыл :)
     
  6. semen

    semen New Member

    Публикаций:
    0
    Регистрация:
    8 июн 2004
    Сообщения:
    334
    Адрес:
    Russia
    SteelRat

    Хорошую стенку написать не так просто. Миниум надо смотреть что передается по 21 порту и мониторить команды PORT\ABORT\RETR\STOR чтобы ВРЕМЕННО открыть доступ для датаконнекшена ftp - иначе будут топы в форумах "я не могу зайти на твой фтп... - выбрось свой IE и поставь нормальный фтп клиент" =) - что действиельно может помочь, но реально переключится только пассив режим - ведь действительно кажется что дело в клиенте, а на самом деле в стенке.
     
  7. OLS

    OLS New Member

    Публикаций:
    0
    Регистрация:
    8 янв 2005
    Сообщения:
    322
    Адрес:
    Russia
    ... минимум надо : привязываться к тому, какая именно программа открывает данный порт, раз уж ты пишешь персональный файрвол.



    Иначе, будет как раньше - все входящие с 53/UDP - пропускаем (ради DNS), все входящие с 20/TCP - пропускаем (ради FTP). А более-менее умные трояны и сканеры про эти (и аналогичные) free-access порты отлично знают ...
     
  8. intuit

    intuit New Member

    Публикаций:
    0
    Регистрация:
    1 июн 2003
    Сообщения:
    28
    infern0 wrote:





    Привилегированные порты: 1-1024, 0 - зарезервирован.
     
  9. SteelRat

    SteelRat New Member

    Публикаций:
    0
    Регистрация:
    26 авг 2004
    Сообщения:
    409
    Эта "стенка закладывалась" как классическое подобие ipfw от FreeBSD. Т.о. вся отвественность лежит на админе (поэтому хорошие админы ценятся). Как он заложит правила, так и будет :) а начальные правила хочу заложить, чтобы машину было видно в сети, "стенка" даже имеет два варианта последнего правила deny all и allow all они даже не прописаны, он так скомпилированы :)))

    OLS Можешь по подробнее ? Трояны и вирусы это не мой "конёк". Как же тогда поступать если не открывать доступ н-р к 53/UDP на in/out ?
     
  10. semen

    semen New Member

    Публикаций:
    0
    Регистрация:
    8 июн 2004
    Сообщения:
    334
    Адрес:
    Russia
    SteelRat

    Надо не просто фильтровать, но и:

    1) Мониторить контент портов некоторых служб. Пример с фтп я привел. Это делать обязательно иначе работа служб не корректна.

    2) Попрограмная настройка - о чем говорил OLS. Чтоб не дать ненужным прогам юзать порты что им не положено.

    3) Можно еще проверять контент некоторых служб на правильность. Ну и много чего еще...
     
  11. SteelRat

    SteelRat New Member

    Публикаций:
    0
    Регистрация:
    26 авг 2004
    Сообщения:
    409
    semen

    Это же "вилы в бок" да и отправка пакетов идет на уровне DISPATCH_LEVEL... :dntknw: На сколько я понял можно RAW сокетами отправлять/принимать данные по любому порту, н-р 110 и стенка будет считать (если не вести мониторинг), что это почтовый POP3, который вероятно админом может быть открыт ?
     
  12. xCoRe

    xCoRe New Member

    Публикаций:
    0
    Регистрация:
    17 ноя 2003
    Сообщения:
    13
    Адрес:
    Кириши
  13. SteelRat

    SteelRat New Member

    Публикаций:
    0
    Регистрация:
    26 авг 2004
    Сообщения:
    409
    Да, перерыл много чего... Поискал по форуму темы и ужаснулся :dntknw:
     
  14. nnosov

    nnosov New Member

    Публикаций:
    0
    Регистрация:
    27 июл 2005
    Сообщения:
    2
    Адрес:
    Russia
    semen, про фильтрацию содержимого в принципе верно, но есть 2 отрицательных момента:

    1. Надо ХОРОШО знать много протоколов

    2. Протоколы меняются, - это надо отслеживать



    ИМХО для этого лучше подходит метод CONNECT HTTP прокси или SOCKS прокси - и авторизация с учетом трафика есть, и любой ориентированный на связь протокол нормально работать.

    Сейчас многие клиены эти методы поддерживают.
     
  15. semen

    semen New Member

    Публикаций:
    0
    Регистрация:
    8 июн 2004
    Сообщения:
    334
    Адрес:
    Russia
    xCoRe

    эээ видел, но мне-то это зачем, не яж стенку делаю.

    nnosov

    ну критичен только первый пункт(остальное улучшение секурити...) и к этому пункту замечания верны, но деваться некуда, иначе банальный фтп работать не будет.







    Хм, делается стенка а не прокси(назначения то совсем разные =), прокси это так сказать клиент стенки =) и потенциальная опасность))

    А вот закрыть все и ходить в инет через прокси это можно конечно, что все равно не убавляет того, что если стенка хорошая, то поддержка хотябы фтп быть должна...
     
  16. OLS

    OLS New Member

    Публикаций:
    0
    Регистрация:
    8 янв 2005
    Сообщения:
    322
    Адрес:
    Russia
    SteelRat

    Можешь по подробнее ? Трояны и вирусы это не мой "конёк"



    А от кого ты тогда создаешь защиту ?



    Просто многие UDP-сканеры давно отправляют запрос от имени 53-го порта, как наиболее часто открытого на подобных файрволах. Да и кто-то из повальных Интернет-эпидемий тоже 53-м портом побаловался.



    Раз уж ты создаешь персональный файрвол, то грех не пользоваться информацией о том, какая именно программа открыла порт на прием и/или передачу. Вот GHP действительно нужен прием на 53/UDP, а MSSQL-ю - совершенно не нужно - так сделай, чтобы правила варьировались в зависимости от приложения. А вообще - понаблюдай за серьезными персональными файрволами (естественно в режиме обучения) и сам все поймешь - кто из программ куда хочет ...
     
  17. SteelRat

    SteelRat New Member

    Публикаций:
    0
    Регистрация:
    26 авг 2004
    Сообщения:
    409
    OLS

    Говорил же, всё зависити от Админа :) пусть сканируют UDP от этого никуда не денешся... Смотри как можно выстроить толковую цепочку:

    Допустим я точно знаю свой DNS (мой провайдер 81.22.0.3) стоит стенка на машине (192.168.0.222), одним "глазом" (сетевухой) смотрит в инет, другим в мою сеть. На клиентской машине я указываю DNS=81.22.0.3 при таком раскладе машина 192.168.0.9 посылает запрос DNS на 81.22.0.3 стенка по правилам перенаправляет его на 81.22.0.3 и как ipfw создает временное правило возврата этого пакета от 81.22.0.3 с ограниченным "временем жизни" если этот пакет возвратится, то по "временному правилу" он войдет внутрь моей сети, если опоздает, то облом :) Попытка протолкнуть UDP пакет извне "провалится", т.к. нет подходящего правила вхождения пакета :)))

    Рассмотрим случай заражения внутренней машины (192.168.0.9) Машина пытается, используя порт DNS соединиться с машиной 217.137.106.126 (от балды) по правилам ей "дадут по рукам", т.к. порт 53 разрешён от 192.168.0.0/24 к 81.22.0.3, даже UDP поверх ICMP на 53 порт провалится неудачей, т.к. хороший Админ, это хороший Админ, который ставит правило

    add 200 deny icmp from any to any in icmptype 5,9,13,14,15,16,17

    :)))

    Единственное, что сможет сделать машина 192.168.0.9 это отправить UDP пакет на порт 53 с информацией от вируса, но сервер 81.22.0.3 не поймёт "об чём речь", т.к. пакет нестандартный и уничтожит его.

    Естественно стенка должна стоять на отдельной машине, чтобы "шальные ручки" юзверей не добавили туда вирусов :) А ещё круче ситуация сложится, если настроить DNS внутри своей сети.
     
  18. nnosov

    nnosov New Member

    Публикаций:
    0
    Регистрация:
    27 июл 2005
    Сообщения:
    2
    Адрес:
    Russia
    SteelRat Пишет не персональный файрвол, а корпоративный, который ставится Админом(желательно грамотным :)) на шлюзе в интернет.

    Тут вопрос встает такого плана:

    а что не хватает ipfw (по образу и подобию которого пишется файрвол)для Windows, с учетом ее специфики ?