# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  Снова опасные порты

## VictorSh

Здравствуйте,

изрядно порывшись в интернете на тему портов и на форуме (например, здесь ) решил проверить свои компы на открытые порты.

Нагуглившись понял, что есть 3 способа закрыть порты:
1) ручками, отключив соответствущие службы (см, например, книгу Н. Головко, безопасный интернет);
2) используя программу Windows Worms Doors Cleaner;
3) с помощью файервола.

Так как домашний комп находится за прокси провайдера, то сканировал на открытость порты изнутри программой FreePortScanner. Открытыми оказались на домашнем компе TCP 80, 135, 139, 443, 445 порты. Попровобал закрыть способом 2 и после перезагрузки системы посканировать - остается открытым порт 139. Отменил действия программы. Пробовал добавлять правила в Firewall (стоит Agnitum Outpost) для порта 445 (TCP,запретить, входящие) и ставить политику брандмауера в режим блокировки - все равно порт остается открытым. Пробовал выключить Outpost и включить встроенный брандмауер Windows и изменить правила для порта 445 - снял галочку (запретил входящие на этот порт): сканю все рано порт 445 открыт. При работе Outpost в режиме обучения при скане некоторых портов выдается предупреждение, что приложение запрашивает исходящее соединение, но когда дело доходит до портов 139, 445 никакаго предупреждения не вылазит. Удалял правила, создавал новые - результат тот же.

Теперь рабочий комп (есть локалка и инет). Установлен Kaspersky Internet Security 2010. Открыты порты TCP 135, 139, 445. Пробовал пользоваться способом 2 и все равно остается открытым порт 139. Но как я понял, что эти порты отвечают за сессии NetBIOS, обозреватель компьютеров, общие файлы и папки и принтеры. Поэтому, закрыв их способами 1 и 2, у меня не будут видны общие файлы, папки и принтеры, которые очень нужны. Поэтому остается способ 3. Настроил сетевой экран KIS на запрет входящих по TCP 445, посканил - порт открыт.

Теперь вопросы:
1) как закрыть этот 139ый порт (но опять же, как я понял, что пропадет доступ к общим принтерам и файлам)?
2) Не понимаю, почему, настроив все правила в брендмауэре, порт все равно открыт?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

Как я всегда советую, необходимо сначала понять суть проблемы, изучить матчасть, а затем бороться  :Smiley:  иначе можно разработать комплекс по защите от Лох-Несского чудовища, потратить на это массу сил и времени, а потом окажется, что чудовища то вроде как и нет  :Smiley:  
Выводы:
1. "Порт" никакой опасности не несет. Это не более как "адрес внутри компьютера" - IP адрес позволяет доставить пакет до ПК, а порт позволяет понять, какому приложению его "отдать". Как следствие,  понятие "опасные порты" мягко говоря неверное
2. утверждения "приложение X прослушивает порт Y", "по порту Y можно подключиться извне", "по порту Y можно провести успешную атаку" не являются синонимами. Дело в том, что если на ПК стоит Firewall, то собственно его задача как раз и состоит в том, чтобы блокировать подключения извне ... при этом если приложению хочется прослушивать порт, например 445 - оно и будет его прослушивать - но *извне* к нему подключиться сможет только тот, кому разрешено это правилами Firewall (хотя анализ на самом ПК покажет, что порт Y открыт). 
3. нельзя "сканировать на открытость порты изнутри" - понять, можно ли подключиться по порту Y можно только просканировав ПК "снаружи", причем нужно еще понимать, что в того-же KIS есть понятие локальной сети и Интернет - для локальной сети правила более мягкие, и сканируя свой компьютер с ПК соседа я могу получить совершенно иную картину, чем при скангировании портов с какого-то ПК в Инет
Зачем в локальной сети блокировать порты сети MS - я собственно не очень хорошо понимаю (это еще хорошо, что в сети явно нет админов и службы безопасности - у меня за установку/включение Firewall и баловство с портами пользователь бы как минимум сел за написание объяснительной, а ПК его пошел бы на format c :Smiley: . В локальной сети на периметре должен стоять Firewall + NAT, блокирующий атаки извне и обеспечивающий выход ПК ЛВС в Инет. При этом ПК ЛВС обычно имеют немаршрутизируемые адреса типа 172.20.* или 192.168.* и никто по определению не может атаковать их извне, если только на Firewall нарочно не ввести допускающую это настройку. Соответсвенно в ЛВС закрытие портов сети MS просто недопустимо - потеряем возможность расшаривать папки, и принтеры ...

----------


## Travoed

> это еще хорошо, что в сети явно нет админов и службы безопасности - у меня за установку/включение Firewall и баловство с портами пользователь бы как минимум сел за написание объяснительной, а ПК его пошел бы на format c.


Правильно ли я понял из этих слов , что в локальной сети файервол не нужен ? А как же начинающие "кулхацкеры" , присутствующие практически в каждой ЛС ? А черви  и прочие mallware , стадами живущее у некоторых пользователей в ЛС ? Или это забота админов ? А нам достаточно обновлений Windows и антивируса ? Хотелось бы узнать поподробнее .

----------


## Зайцев Олег

> Правильно ли я понял из этих слов , что в локальной сети файервол не нужен ? А как же начинающие "кулхацкеры" , присутствующие практически в каждой ЛС ? А черви и прочие mallware , стадами живущее у некоторых пользователей в ЛС ? Или это забота админов ? А нам достаточно обновлений Windows и антивируса ? Хотелось бы узнать поподробнее .


В локальной сети Firewall на рабочих станциях не нужен. Ибо:
1. Все ПК в ЛВС централизованно настраиваются, обновляются, защищаются. А раз они обновляются - то подавляющее большинство малварей попросту не несут угрозы ... плюс централизованный антивирус (который устанавливается и конфигурируется админами);
2. В нормальной ЛВС нет червей и малварей - так как имеется централизованная антивирусная защита, мониторинг и т.п. - и как следствие, ни одного вируса на компьютерах пользователей нет ... и если вдруг что-то появится, оно будет моментально поймано и вреда не причинит;
3. Начинающий кулхацкер ... если ему не повезет - он моментально станет начинающим дворником (после его увольнения по статье). Если повезет - останется работать, но больше шалить никогда не будет  :Smiley: 
Чтобы упредить рост числа дворников, в таковой ЛВС будут жесткие законы и регламенты, описывающие правила поведения и ответственность. 
В остальном в ЛВС предприятия пользователи естественно не ставят себе антивирусы, Firewall и прочее защитное ПО - все устанавливается админами, ими же и сопровождается. Если в сети толпы вирусов, кулхацкеров, пользователи сами себе ставят какие-то антивирусы, сами выключают службы и конфигурируют Firewall и т.п. - то это не локальная сеть предприятия, а форменный бардак, за который как минимум админов необходимо поувольнять... и проблему необходимо решать глобально - увольнять админов, вводить централизованную защиту и контроль ... или не считать это локальной сетью, считая просто "домашней сетью", мало отличающейся от Инет

----------


## Travoed

Я так понял , что всё вышесказанное относится к ЛВС предприятия . А как в случае с ЛВС провайдера  ?

----------


## Зайцев Олег

> Я так понял , что всё вышесказанное относится к ЛВС предприятия . А как в случае с ЛВС провайдера ?


ЛВС провайдера - это ЛВС провайдера, по сути между ней и Интернет никакой разницы нет ... но там и не возникает таких потребностей, как расшаривание принтеров или папок - как максимум применяется что-то типа DC++  ... и далее все просто - Fiewall, фильтрация всех входящих кроме коннектов по порту того-же DC++ ... или установка роутера, которые за счет NAT трансляции перекроет все входящие подключения, кроме явно описанных правилами

----------


## prowler

> Начинающий кулхацкер ... если ему не повезет - он моментально станет начинающим дворником (после его увольнения по статье). Если повезет - останется работать, но больше шалить никогда не будет


Вот бы еще и во внешке так было, а то сегодня какое то нашествие (продолжается до сих пор.
От сюда вопрос, только собрался поменять Outpost на G-Data IS, почитав отзывы решил попробовать.
Хотелось услышать авторитетное мнение о этом продукте.

----------


## Зайцев Олег

> Вот бы еще и во внешке так было, а то сегодня какое то нашествие (продолжается до сих пор.
> От сюда вопрос, только собрался поменять Outpost на G-Data IS, почитав отзывы решил попробовать.
> Хотелось услышать авторитетное мнение о этом продукте.


Во "внешке" такое будет, когда дело дойдет до какой-то однозначной идентификации юзеров, дабы можно было вычислить шутников и наказать. Даже сам факт осознания того, что злобные деяния могут быт наказаны будет мощной сдерживающей силой. 
Насчет указанных продуктов - я бы посоветовал не менять шило на мыло, а сделать проще - разориться и купить роутер. Его и настраивать в принципе не надо - поднимается NAT транслятор и UPNP ... NAT сделает невозможным сканирования портов и любые формы атак, а UPNP позволит программам типа uTorrent или eMule настроить "проброску" портов автоматически. И все будет отлично - куда проще пресечь атаку "на подлете", чем фильтровать пакеты на самом ПК (не тратятся ресурсы ПК, выше защищенность и безопасность)

----------


## ed3110

Просканировал порты на извне,на многих сайтах.Есть кое -какие различия,но всюду показывают,что порты-23,80 открыты.Инет у меня через ADSL.Ставил другой Firewoll-Outpost,в обучающий режим.
Комп и так тормозит,а тут вообще "пешком" заработал.Но что самое интересное,тест всё равно показал-Ваш Firewoll провален-.
Возможно я где и что то не так делаю(опыта с гулькин...),но опасны ли открытые порты 23,80.И опасны ли порты ,через которые обычно "заходит" всякая "троянская" и "червячная" гадость.Тест показал,что они у меня закрыты,и тут же дал рекомендацию,что держать эти порты надо в режиме "стелс"...
Мне всё это жутко интересно,но голова уже кругом идёт..
Поставил сейчас APS.по всем портам ведётся наблюдение,а вот "135-MSnet-занят другой программой"И 6 раз "взвыл" на почту-SMTP-25 порт.Сказал -атака хакеров.Подскажите ...что вообще это и что делать после атаки,я просто сбросил состояние тревоги

----------


## VictorSh

> В локальной сети Firewall на рабочих станциях не нужен. Ибо:
> 1. Все ПК в ЛВС централизованно настраиваются, обновляются, защищаются. А раз они обновляются - то подавляющее большинство малварей попросту не несут угрозы ... плюс централизованный антивирус (который устанавливается и конфигурируется админами);
> 2. В нормальной ЛВС нет червей и малварей - так как имеется централизованная антивирусная защита, мониторинг и т.п. - и как следствие, ни одного вируса на компьютерах пользователей нет ... и если вдруг что-то появится, оно будет моментально поймано и вреда не причинит;


Что вы имеете ввиду под "централизованно настраивается, ...". Можно с этого поподробней?
Я тоже хотел бы огранизовать такую сеть. Как я понимаю для этого нужен домен, в котором пользовательские данные хранятся на сетевом диске, который потом можно проверять на вирусы? как организована интеракитвная защита? Допустим пользователь вставляет флешку, содержащую вирус. Дело в том, что отказаться от использования флешек нельзя. Автозапуск выключен. Или тут будет клиентская часть, которая проверяет комп? Возможно ли установить централизованный антивирус, если рабочие станции Windows, а сервер FreeBSD?

----------


## Hackeruga

я уж писал слезте вы с этой мании преследования   купите касперский КРИСТАЛ и спите спокойно! он  за вас все обдумает

- - - Updated - - -




> Вот бы еще и во внешке так было, а то сегодня какое то нашествие (продолжается до сих пор.
> От сюда вопрос, только собрался поменять Outpost на G-Data IS, почитав отзывы решил попробовать.
> Хотелось услышать авторитетное мнение о этом продукте.


Мнение  такое! ОН НЕ ДЛЯ ОБЫЧНЫХ ПОЛЬЗОВАТЕЛЕЙ   НУ К ПРИМЕРУ ЕСЛИ У МЕНЯ СЕРВЕР ДАННЫХ  ИЛИ САЙТ НА КОМПЬЮТЕРЕ ЭТО ПОНЯТНО
А КОГДА ИЗВЕНИ  СТОИТ КОНТРА  ДА ФОТОШОП  это  уже уссатся от смеха можно зачем человеку  оутпост
Некоторые просто одержимы манией преследования! вот и всё! Сам подумай что такого  сверх мега секретного   у тебя на компьютере! что тебя  просто  хотят  поломать и выташить сверх пупермега   пароль

Я снес оутпост  поставил касперский кристал и не заморачиваюсь! Да  я и не  заморачивался когда оутпост стоял
! Все эти атаки мать их  это не атаки! А скажем  так  если к  примеру У ВАС ЕСТЬ НА ПРОВАЙДЕРЕ  типа  сети  для внутреннего обмена  файлами! 
Это запросы а они расцениваются как атаки, 
запрос  на айпи  
запрос на свободный слот  
запрос на скорость и так  далее
Я ж  пишу  вы никому нафиг не сдались  атаковать вас !

----------


## NRA

Работоспособная система -- это _контролируемая_ система, а для этого систему нужно настроить и защищать от альтернативных "владельцев". Так что я не согласен с вашим наивным тезисом насчёт того, чтобы "забить на всё", ведь кроме потерянных данных и времени довольно часто можно попасть в неприятную ситуации с зомбоботами, когда мальваря с вашего компьютера занимается распространением вирусов, сетевой атакой или просто спамом - вполне реально схлопотать срок и солидный штраф. Например, недавно знакомый практически на ровном месте попал почти на $300, так как поймал дайлер, который дозванивался на "горячие" номера в другой стране...

Может я немного параноик, но я использую HIPS м фаером потому что мне нравиться знать что куда лезет и что пытается делать, а после того, как запретил некоторым программам инжект и выход в интернет, то система визуально даже быстрее и стабильнее работает.

Но на вкус и цвет...

----------


## AnnAon69

AndreyPopovNew скажите есть вариант на asus K70i перенапровльть порты для раздачи wi-fi????

----------


## MASHAKa

из WAN в LAN не могу пробросить 25 и 445 порты. второй это smb. как быть? тупо недоступны снаружи. если ставлю 446-445 например, то работает. но хочется использовать все же стандартные порты

----------

