# Форум на русском языке  > Решения по информационной безопасности  > Межсетевые экраны (firewall)  >  Результаты проверки фаервола кис 2009 снаружи

## costashu

пытался добиться ответа/реакции на форуме ЛК, но не судьба. Поэтому прошу уважаемых участником этого замечального форума _подтвердить/опровергнуть_ приведенные ниже результаты. 

В наличии - винда хп про сп3, кис 2009 с настройками по умолчанию, последний тМитер для подсчета трафика и с включенным собственным фаерволом на внешнем интерфейсе, cdma инет с отключенными нетбиосом и службами шары и клиента сети.

Имеем - фаервол кис 2009 не только пропускает кучу незатребованных пакетов, не закрытых правилами, но и - _самое важное!_ - пропускает пакеты, запрещенные имеющимися в нем правилами Local Services (TCP), Local Services (UDP). Утверждаю так потому, что пакеты эти останавливаются и логируются тМитером. Вот лог фаервола тМитера только за сегодня (айпи у меня динамический в громадном сегменте, потому не закрываю):

```
2008-07-13 00:10:27   ACL:0/0   UDP  125.211.198.24:50884 -> 77.52.213.254:1027  len=485
2008-07-13 00:18:04   ACL:0/0   UDP  221.206.121.54:39139 -> 77.52.213.254:1027  len=485
2008-07-13 00:25:47   ACL:0/0   UDP  60.222.224.130:39579 -> 77.52.213.254:1026  len=485
2008-07-13 00:30:33   ACL:0/0   TCP  202.63.156.10:4101 -> 77.52.213.254:23  len=60
2008-07-13 01:40:28   ACL:0/0   TCP  218.27.1.194:18723 -> 77.52.213.254:10000  len=48
2008-07-13 01:45:53   ACL:0/0   UDP  125.211.198.4:34595 -> 77.52.213.254:1027  len=485
2008-07-13 01:53:37   ACL:0/0   UDP  125.211.198.20:33027 -> 77.52.213.254:1026  len=485
2008-07-13 01:53:37   ACL:0/0   UDP  125.211.198.20:33027 -> 77.52.213.254:1027  len=485
2008-07-13 02:38:35   ACL:0/0   UDP  125.211.198.24:45028 -> 77.52.213.254:1026  len=485
2008-07-13 02:59:05   ACL:0/0   TCP  61.160.207.130:6000 -> 77.52.213.254:2967  len=40
2008-07-13 10:36:03   ACL:0/0     2  77.52.204.37 -> 224.0.0.22  len=40
2008-07-13 10:36:04   ACL:0/0     2  77.52.204.37 -> 224.0.0.22  len=40
2008-07-13 10:36:36   ACL:0/0   TCP  72.27.186.20:3317 -> 77.52.204.37:23  len=60
2008-07-13 10:50:17   ACL:0/0   UDP  125.211.198.11:35258 -> 77.52.204.37:1026  len=485
2008-07-13 10:59:28   ACL:0/0   UDP  60.222.231.183:47734 -> 77.52.204.37:1026  len=917
2008-07-13 10:59:28   ACL:0/0   UDP  60.222.231.183:47736 -> 77.52.204.37:1027  len=917
2008-07-13 11:01:02   ACL:0/0   UDP  125.211.198.9:53716 -> 77.52.204.37:1026  len=485
2008-07-13 11:22:31   ACL:0/0   UDP  125.211.198.10:53062 -> 77.52.204.37:1026  len=485
2008-07-13 11:27:43   ACL:0/0   TCP  77.52.225.17:3395 -> 77.52.204.37:1433  len=48
2008-07-13 11:27:46   ACL:0/0   TCP  77.52.225.17:3395 -> 77.52.204.37:1433  len=48
2008-07-13 11:46:12   ACL:0/0   UDP  60.222.224.134:47985 -> 77.52.204.37:1027  len=485
2008-07-13 11:49:36   ACL:0/0   UDP  125.211.198.29:37417 -> 77.52.204.37:1026  len=485
2008-07-13 11:56:06   ACL:0/0   UDP  60.222.224.138:42993 -> 77.52.204.37:1027  len=485
2008-07-13 12:07:59   ACL:0/0   UDP  125.211.198.11:60378 -> 77.52.204.37:1027  len=485
2008-07-13 12:08:33   ACL:0/0   UDP  60.222.224.137:51296 -> 77.52.204.37:1026  len=485
2008-07-13 12:08:33   ACL:0/0   UDP  60.222.224.137:51296 -> 77.52.204.37:1027  len=485
2008-07-13 12:18:12   ACL:0/0   UDP  60.222.224.130:42867 -> 77.52.204.37:1027  len=485
2008-07-13 12:41:11   ACL:0/0   UDP  202.99.172.146:36143 -> 77.52.204.37:1026  len=922
2008-07-13 12:41:11   ACL:0/0   UDP  202.99.172.146:36144 -> 77.52.204.37:1027  len=922
2008-07-13 13:03:33   ACL:0/0   UDP  60.222.224.138:36821 -> 77.52.204.37:1026  len=485
2008-07-13 13:18:44   ACL:0/0   UDP  202.99.172.146:52881 -> 77.52.204.37:1026  len=922
2008-07-13 13:18:44   ACL:0/0   UDP  202.99.172.146:52883 -> 77.52.204.37:1027  len=922
2008-07-13 13:33:56   ACL:0/0   UDP  221.206.121.53:41144 -> 77.52.204.37:1026  len=485
2008-07-13 13:55:20   ACL:0/0   TCP  77.52.207.52:1697 -> 77.52.204.37:1433  len=48
2008-07-13 13:56:26   ACL:0/0   UDP  202.99.172.146:52610 -> 77.52.204.37:1026  len=922
2008-07-13 13:58:36   ACL:0/0  ICMP  80.255.73.19 -> 77.52.204.37  len=56
2008-07-13 13:58:49   ACL:0/0   TCP  202.4.96.22:21008 -> 77.52.204.37:10000  len=48
2008-07-13 13:59:49   ACL:0/0   UDP  125.211.198.4:53957 -> 77.52.204.37:1026  len=485
2008-07-13 13:59:49   ACL:0/0   UDP  125.211.198.4:53959 -> 77.52.204.37:1027  len=485
2008-07-13 14:10:59   ACL:0/0  ICMP  80.255.73.19 -> 77.52.204.37  len=56
2008-07-13 14:25:44   ACL:0/0     2  77.52.204.210 -> 224.0.0.22  len=40
2008-07-13 14:25:45   ACL:0/0     2  77.52.204.210 -> 224.0.0.22  len=40
2008-07-13 14:32:44   ACL:0/0   UDP  221.206.121.10:53498 -> 77.52.204.210:1027  len=485
2008-07-13 14:47:36   ACL:0/0   TCP  67.198.202.130:39995 -> 77.52.204.210:22  len=48
2008-07-13 14:54:24   ACL:0/0   TCP  91.90.20.5:80 -> 77.52.204.210:1837  len=751
2008-07-13 15:08:50   ACL:0/0   UDP  125.211.198.16:40336 -> 77.52.204.210:1027  len=485
2008-07-13 15:12:09   ACL:0/0   TCP  77.52.225.17:3512 -> 77.52.204.210:1433  len=48
2008-07-13 15:12:11   ACL:0/0   TCP  77.52.225.17:3512 -> 77.52.204.210:1433  len=48
2008-07-13 15:12:38   ACL:0/0   UDP  202.99.172.146:46647 -> 77.52.204.210:1027  len=922
2008-07-13 15:12:38   ACL:0/0   UDP  202.99.172.146:46646 -> 77.52.204.210:1026  len=922
2008-07-13 15:22:36   ACL:0/0   UDP  221.206.121.10:38006 -> 77.52.204.210:1026  len=485
2008-07-13 15:26:19   ACL:0/0   TCP  85.121.68.94:3708 -> 77.52.204.210:4899  len=64
2008-07-13 15:28:40   ACL:0/0   TCP  201.8.219.172:3445 -> 77.52.204.210:4899  len=48
2008-07-13 15:43:21   ACL:0/0   TCP  77.37.137.246:4513 -> 77.52.204.210:4899  len=64
2008-07-13 15:44:58   ACL:0/0   TCP  91.126.90.78:1692 -> 77.52.204.210:4899  len=64
2008-07-13 15:47:15   ACL:0/0   UDP  125.211.198.4:59097 -> 77.52.204.210:1027  len=485
2008-07-13 16:00:30   ACL:0/0   UDP  221.206.123.163:33619 -> 77.52.204.210:1026  len=485
2008-07-13 16:00:30   ACL:0/0   UDP  221.206.123.163:33620 -> 77.52.204.210:1027  len=485
2008-07-13 16:03:35   ACL:0/0   UDP  60.222.231.183:45826 -> 77.52.204.210:1026  len=917
2008-07-13 16:11:05   ACL:0/0   UDP  125.211.198.10:34486 -> 77.52.204.210:1027  len=485
2008-07-13 16:34:09   ACL:0/0   TCP  77.52.204.210:3071 -> 195.189.143.140:443  len=40
2008-07-13 16:45:07   ACL:0/0   TCP  98.206.98.153:3597 -> 77.52.204.210:4899  len=64
2008-07-13 16:45:10   ACL:0/0   TCP  98.206.98.153:3597 -> 77.52.204.210:4899  len=64
2008-07-13 16:45:17   ACL:0/0   TCP  98.206.98.153:3597 -> 77.52.204.210:4899  len=64
2008-07-13 16:46:29   ACL:0/0   TCP  77.52.204.210:3257 -> 195.14.47.66:80  len=40
2008-07-13 16:50:29   ACL:0/0   UDP  125.211.198.20:48079 -> 77.52.204.210:1026  len=485
2008-07-13 16:50:29   ACL:0/0   UDP  125.211.198.20:48080 -> 77.52.204.210:1027  len=485
2008-07-13 18:51:44   ACL:0/0     2  77.52.204.210 -> 224.0.0.22  len=40
2008-07-13 18:51:45   ACL:0/0     2  77.52.204.210 -> 224.0.0.22  len=40
2008-07-13 19:09:12   ACL:0/0   UDP  125.211.198.26:38810 -> 77.52.204.210:1027  len=485
2008-07-13 19:14:30   ACL:0/0   UDP  221.206.121.54:39197 -> 77.52.204.210:1026  len=485
2008-07-13 19:14:30   ACL:0/0   UDP  221.206.121.54:39197 -> 77.52.204.210:1027  len=485
2008-07-13 19:19:15   ACL:0/0   TCP  77.52.199.35:4029 -> 77.52.204.210:1433  len=48
2008-07-13 19:31:43   ACL:0/0   TCP  88.152.7.52:4104 -> 77.52.204.210:4899  len=64
2008-07-13 20:02:30   ACL:0/0   UDP  60.222.231.183:54584 -> 77.52.204.210:1026  len=917
2008-07-13 20:02:30   ACL:0/0   UDP  60.222.231.183:54585 -> 77.52.204.210:1027  len=917
2008-07-13 20:04:50   ACL:0/0   UDP  125.211.198.23:33980 -> 77.52.204.210:1026  len=485
2008-07-13 20:05:27   ACL:0/0   TCP  77.52.121.174:4114 -> 77.52.204.210:2967  len=48
2008-07-13 20:05:30   ACL:0/0   TCP  77.52.121.174:4114 -> 77.52.204.210:2967  len=48
2008-07-13 20:07:52   ACL:0/0   UDP  60.222.224.137:41022 -> 77.52.204.210:1026  len=485
2008-07-13 20:12:39   ACL:0/0   TCP  77.52.198.204:3055 -> 77.52.204.210:1433  len=48
2008-07-13 20:12:43   ACL:0/0   TCP  77.52.198.204:3055 -> 77.52.204.210:1433  len=48
2008-07-13 20:24:19   ACL:0/0   UDP  125.211.198.21:36559 -> 77.52.204.210:1027  len=485
2008-07-13 20:44:39   ACL:0/0   TCP  77.245.149.75:3342 -> 77.52.204.210:32000  len=48
2008-07-13 20:55:38   ACL:0/0   UDP  221.206.121.57:42569 -> 77.52.204.210:1026  len=485
2008-07-13 20:55:38   ACL:0/0   UDP  221.206.121.57:42571 -> 77.52.204.210:1027  len=485
2008-07-13 21:01:43   ACL:0/0   UDP  125.211.198.7:48818 -> 77.52.204.210:1026  len=485
2008-07-13 21:01:43   ACL:0/0   UDP  125.211.198.7:48818 -> 77.52.204.210:1027  len=485
2008-07-13 21:12:58   ACL:0/0   UDP  59.44.226.73:6266 -> 77.52.204.210:25772  len=63
2008-07-13 21:13:25   ACL:0/0   UDP  59.44.226.73:6266 -> 77.52.204.210:25772  len=63
2008-07-13 21:18:55   ACL:0/0   UDP  125.211.198.24:51313 -> 77.52.204.210:1027  len=485
```

(имеющийся архив логов пока вставить в сообщение не могу - нет прав) 

Кроме того, пытаясь проверить работу фаервола кис 2009, а именно его правил (для чего пришлось отключить защиту от сетевых атак), провел сканирование с помошью LanSpy своего второго компа (по всем портам), сымитировав по мере возможности у себя дома инет. Вот лог портов:

```
TCP порты (2)
	21 ftp => File Transfer Protocol
	2869 port => Full port Range

UDP порты (9)
	123 NTP => Network Time Protocol
	135 epmap => DCE endpoint resolution
	137 netbios-ns => NetBios Name Service
	138 netbios-dgm => NetBios Datagram Service
	139 port => Full Port Range
	445 microsoft-ds => Microsoft-DS
	500 isakmp => Isakmp
	1900 ssdp => Simple Service Discovery Protocol
	4500 ipsec-nat-t => IPsec NAT-Traversal
```

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

А в ходе подобных "тестов" у их автора не возникло мысли о том, что одновременная работа двух *программных* Firewall может привести к совершенно непредсказуемым последствиям ?! Например, откуда уверенность в том, что драйвер TMeter поймает пакет после того, как его пропустит KIS, а не до него (хотя в данном случае вообще будет непредсказуемая ситуация - кто из двух равноправных по сути фильтров трафика первым поймает пакет - загадка). Поэтому если тестировать, то 
1. Необходимо деинсталлить все Firewall и иное ПО, активно фильтрующее трафик
2. Применить что-то типа моей утилиты APS - средство, открывающее кучу портов и логирующее успешный коннект к ним. Далее запретить работу скажем по порту X, убедиться, что APS этот порт прослушивает и пробовать подключиться по этому порту извне, применяя скажем telnet. В случае успешного коннекта можно смело говорить о пропуске пакетов
3. Следует помнить, что "домашняя" сеть может считаться доверенной

----------


## costashu

уважаемый Зайцев Олег! Примите мои почтения  :Smiley:  Спасибо, что откликнулись

мысль возникала, и не раз. Потому в начале своего сообщения я и выразил просьбу подтвердить или опровергнуть приведенные результаты. Их легко повторить любому желающему. Необходимое условие - устанавливать тМитер _после_ кис. Я готов попробовать и другие способы, в том числе рекомендованные вами, при первой возможности

----------


## Зайцев Олег

> уважаемый Зайцев Олег! Примите мои почтения  Спасибо, что откликнулись
> 
> мысль возникала, и не раз. Потому в начале своего сообщения я и выразил просьбу подтвердить или опровергнуть приведенные результаты. Их легко повторить любому желающему. Необходимое условие - устанавливать тМитер _после_ кис. Я готов попробовать и другие способы, в том числе рекомендованные вами, при первой возможности


Для двух приложений, устанавливающих KernelMode драйвера, абсолютно не важно, кто ставился первым, кто последним. Важно, в каком порядке загрузятся их драйвера и какой метод фильтрации трафика они применят. Поэтому повторять опыт с TMeter и любым иным подобным средством смысла нет - именно из-за того, что не ясно, кто из фильтров поймает пакет раньше. Именно поэтому есть смысл в описанном мной опыте - в данном случае проверяется, дошли ли пакеты до прикладной задачи. Если доходят, то с уверенностью в 100% можно говорить, что они пропущены Firewall.

----------


## costashu

> (имеющийся архив логов пока вставить в сообщение не могу - нет прав)


вот закачал сюда логи (197кб, файл Logs.rar)

*Добавлено через 10 минут*




> Для двух приложений, устанавливающих KernelMode драйвера, абсолютно не важно, кто ставился первым, кто последним. Важно, в каком порядке загрузятся их драйвера и какой метод фильтрации трафика они применят.


конечно, но почему-то в случае с кис и тМитер порядок установки влияет на порядок перехвата пакета. В этом каждый легко может убедиться



> Поэтому повторять опыт с TMeter и любым иным подобным средством смысла нет - именно из-за того, что не ясно, кто из фильтров поймает пакет раньше.


1. является ли свидетельством время перехвата пакета? Я включал логирование в запрещающих пакетных правилах кис - для тех же пакетов в логах фаервола тМитера было указано более позднее время
2. если я запрещу в кис пакетным правилом, скажем, входящие на порт 1026, и такие пакеты перестанут логироваться тМитером, будет ли это свидетельством того, что тМитер перехватывает пакеты после кис?
3. есть ли смысл в логировании вайршарком?

----------


## Kinneas

Здравствуйте.

Я что-то не так прочитал или.. ? Нетбиос у Вас отключен, так ведь? Так почему же они тогда в логе LanSpy видны? Да и вообще, хочу с сожалением отметить, что фаерволлы у Касперского - странная штука - помню, у меня в седьмом КИС в режиме "Блокировать все" трафик шел и отмечался в журнале трафика как ни в чем не бывало.

----------


## costashu

> Нетбиос у Вас отключен, так ведь? Так почему же они тогда в логе LanSpy видны?


и вам здравствовать  :Smiley:  Я провел _серию_ сканирований с разными настройками. Для приведенного выше лога да, нетбиос поверх tcp в свойствах подключения был выключен и комп после этого перезагружен. Для сравнения логи портов с настройками для локалки:

```
TCP порты (8)
	21 ftp => File Transfer Protocol
	135 epmap => DCE endpoint resolution
	139 netbios-ssn => NetBios Session Service
	445 microsoft-ds => Microsoft-DS
	1044 port => Full port Range
	1110 port => Full port Range
	2869 port => Full port Range
	19780 port => Full port Range

UDP порты (7)
	123 NTP => Network Time Protocol
	137 netbios-ns => NetBios Name Service
	138 netbios-dgm => NetBios Datagram Service
	445 microsoft-ds => Microsoft-DS
	500 isakmp => Isakmp
	1900 ssdp => Simple Service Discovery Protocol
	4500 ipsec-nat-t => IPsec NAT-Traversal
```

----------


## Jolly Rojer

costashu такой вопрос, а антивирус лицензионный? Если не лицензионный и был зарегистрирован кряком а не ключиком ... то может быть и не такое...!  :lol:

----------


## bovar

Даже на forum.kaspersky.com не принято спрашивать о том, лицензионный ли ключ. У costashu ключ Gold beta testers-кий.

----------


## costashu

спасибо, bovar




> costashu такой вопрос, а антивирус лицензионный?


да. Но мы рассматриваем _не антивирус_ - интегрированный пакет интернет безопасности. Он тоже лицензионный

----------


## DVi

> Для двух приложений, устанавливающих KernelMode драйвера, абсолютно не важно, кто ставился первым, кто последним. Важно, в каком порядке загрузятся их драйвера и какой метод фильтрации трафика они применят





> конечно, но почему-то в случае с кис и тМитер порядок установки влияет на порядок перехвата пакета


costashu, в данном случае Олег более прав, нежели Вы. Порядок загрузки драйверов в общем случае не зависит от порядка установки (если только это не предусмотрено самим разработчиком).

----------


## costashu

уважаемый DVi, я тоже люблю теорию, но могу только повторить то, что я уже написал выше -


> конечно, но почему-то в случае с кис и тМитер порядок установки влияет на порядок перехвата пакета. В этом каждый легко может убедиться


прошу не слишком сосредоточиваться на этом все таки частном моменте - влияет или нет - а вернуться к подтверждению/опровержению результатов

----------


## DVi

costashu, если сомнению подвергается методология эксперимента, то как можно обсуждать результаты?
Более корректную методологию Вам предложил выше Олег. Вот ее результаты имеет смысл обсуждать.

----------


## costashu

я, как уже и пообещал выше, попробую предложенную _методологию_, скорей всего завтра, но неужели никто совсем уж не хочет повторить мой "эксперимент" для его опровержения?

----------


## zerocorporated

> я, как уже и пообещал выше, попробую предложенную _методологию_, скорей всего завтра, но неужели никто совсем уж не хочет повторить мой "эксперимент" для его опровержения?


Вы тех релизе тестировали или на последней beta версии?

----------


## costashu

я использую связку кис+тМитер все время, начиная еще с кис6 - мне нужно считать трафик. Приведенные выше логи относятся к бета-версиям кис 2009 после сборки 357

----------


## zerocorporated

8.0.0.432 протестировал как Олег говорил.

----------


## costashu

народ, а есть вообще _общепринятый_ способ (или 2) проверки фаерволов _снаружи_? Кроме инетских сканеров. Где можно почитать (англ. подходит)? А то изнутри полно ликтестов, а снаружи?  :Shocked:

----------


## Surfer

Да вроде и онлайн сканеров хватит, но выполнять их нужно при реальном внешнем IP. Без NAT'ов, прокси и т.д.

----------


## XP user

@ *costashu*:

Для того, чтобы правильно оценить ваши результаты мне хотелось бы увидеть:
* Правила, которые вы создали в KIS'e (особенно для виндовских служб)
* Диапазон доверенных адресов + список доверенных приложений (особенно виндовских служб)

Предполагаю, что то, что в Доверенных не будет блокироваться совсем. Поэтому создать любые запрещающие правила для доверенных приложений (тем более в локальной, доверенной среде) не имеет смысла.

P.S.: Тестировать с APS можно, конечно, (могу даже предсказать результат - 100% блокировка входящих) но это НЕ БУДЕТ показателем для поведения KISа насчёт *родных виндовских служб*, часть которой, скорее всего, в Доверенных.
P.S.2: NetBIOS вы полностью не отключили. Geser здесь на форуме описал как надо бы:
http://virusinfo.info/showthread.php?t=4243
На самом деле есть ещё некоторые моменты, но тогда у вас сеть может не работать...

Paul

----------


## costashu

следуя рекомендациям Зайцева, попробовал использовать утилиту *APS*. Сканирую утилитой *nmap*. На сканируемом компе винда хп про сп3, службы по умолчанию, кис 8.0.0.434, автоматический режим, отключена блокировка атакующего хоста, остальное по умолчанию. Другого защитного софта нет и не было. Сетевое подключение Проводная сеть (Ethernet), статус Публичная сеть. Работает утилита APS, в кис я поместил ее в доверенные. Результат сканирования Regular Scan (мак я скрыл):

```
Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-18 19:23 Финляндия (лето)
Initiating ARP Ping Scan at 19:23
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 19:23, 0.50s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 19:23
Completed Parallel DNS resolution of 1 host. at 19:23, 0.58s elapsed
Initiating SYN Stealth Scan at 19:23
Scanning 192.168.0.2 [1715 ports]
Discovered open port 21/tcp on 192.168.0.2
Discovered open port 443/tcp on 192.168.0.2
Discovered open port 23/tcp on 192.168.0.2
Discovered open port 80/tcp on 192.168.0.2
Discovered open port 22/tcp on 192.168.0.2
Discovered open port 25/tcp on 192.168.0.2
Discovered open port 53/tcp on 192.168.0.2
Discovered open port 1234/tcp on 192.168.0.2
Discovered open port 5400/tcp on 192.168.0.2
Discovered open port 6969/tcp on 192.168.0.2
Discovered open port 119/tcp on 192.168.0.2
Discovered open port 43188/tcp on 192.168.0.2
Discovered open port 1024/tcp on 192.168.0.2
Discovered open port 107/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 0 to 5 due to max_successful_tryno increase to 4
Discovered open port 5631/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 5 to 10 due to 11 out of 16 dropped probes since last increase.
Discovered open port 146/tcp on 192.168.0.2
Discovered open port 808/tcp on 192.168.0.2
Discovered open port 8000/tcp on 192.168.0.2
Discovered open port 6667/tcp on 192.168.0.2
Discovered open port 2041/tcp on 192.168.0.2
Discovered open port 50000/tcp on 192.168.0.2
Discovered open port 3128/tcp on 192.168.0.2
Discovered open port 109/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 10 to 20 due to max_successful_tryno increase to 5
Increasing send delay for 192.168.0.2 from 20 to 40 due to max_successful_tryno increase to 6
Increasing send delay for 192.168.0.2 from 40 to 80 due to 11 out of 18 dropped probes since last increase.
Discovered open port 4444/tcp on 192.168.0.2
Discovered open port 3064/tcp on 192.168.0.2
Discovered open port 27374/tcp on 192.168.0.2
Discovered open port 31/tcp on 192.168.0.2
Discovered open port 911/tcp on 192.168.0.2
Discovered open port 1080/tcp on 192.168.0.2
SYN Stealth Scan Timing: About 28.34% done; ETC: 19:24 (0:01:15 remaining)
Discovered open port 565/tcp on 192.168.0.2
Discovered open port 15/tcp on 192.168.0.2
Discovered open port 8080/tcp on 192.168.0.2
Discovered open port 110/tcp on 192.168.0.2
Discovered open port 17300/tcp on 192.168.0.2
Discovered open port 13/tcp on 192.168.0.2
Discovered open port 194/tcp on 192.168.0.2
Discovered open port 5001/tcp on 192.168.0.2
Discovered open port 1999/tcp on 192.168.0.2
Discovered open port 5000/tcp on 192.168.0.2
Discovered open port 81/tcp on 192.168.0.2
Discovered open port 1/tcp on 192.168.0.2
Discovered open port 515/tcp on 192.168.0.2
Discovered open port 6668/tcp on 192.168.0.2
Discovered open port 65301/tcp on 192.168.0.2
Discovered open port 5714/tcp on 192.168.0.2
Discovered open port 3306/tcp on 192.168.0.2
Discovered open port 540/tcp on 192.168.0.2
Discovered open port 6000/tcp on 192.168.0.2
Discovered open port 6670/tcp on 192.168.0.2
Discovered open port 143/tcp on 192.168.0.2
Discovered open port 777/tcp on 192.168.0.2
Discovered open port 1521/tcp on 192.168.0.2
Discovered open port 1025/tcp on 192.168.0.2
Discovered open port 2638/tcp on 192.168.0.2
Discovered open port 512/tcp on 192.168.0.2
Discovered open port 1434/tcp on 192.168.0.2
Discovered open port 5800/tcp on 192.168.0.2
Discovered open port 1433/tcp on 192.168.0.2
Discovered open port 17/tcp on 192.168.0.2
Discovered open port 19/tcp on 192.168.0.2
Discovered open port 12346/tcp on 192.168.0.2
Discovered open port 54320/tcp on 192.168.0.2
Discovered open port 2049/tcp on 192.168.0.2
Discovered open port 44334/tcp on 192.168.0.2
Discovered open port 1512/tcp on 192.168.0.2
Discovered open port 4899/tcp on 192.168.0.2
Discovered open port 513/tcp on 192.168.0.2
Discovered open port 8888/tcp on 192.168.0.2
Discovered open port 5632/tcp on 192.168.0.2
Discovered open port 1526/tcp on 192.168.0.2
SYN Stealth Scan Timing: About 75.22% done; ETC: 19:25 (0:00:35 remaining)
Discovered open port 9/tcp on 192.168.0.2
Discovered open port 1494/tcp on 192.168.0.2
Discovered open port 12345/tcp on 192.168.0.2
Discovered open port 4333/tcp on 192.168.0.2
Discovered open port 31337/tcp on 192.168.0.2
Discovered open port 111/tcp on 192.168.0.2
Discovered open port 20/tcp on 192.168.0.2
Discovered open port 2000/tcp on 192.168.0.2
Discovered open port 6112/tcp on 192.168.0.2
Discovered open port 11/tcp on 192.168.0.2
Discovered open port 16959/tcp on 192.168.0.2
Discovered open port 7/tcp on 192.168.0.2
Discovered open port 6666/tcp on 192.168.0.2
Discovered open port 2600/tcp on 192.168.0.2
Discovered open port 2016/tcp on 192.168.0.2
Discovered open port 1001/tcp on 192.168.0.2
Discovered open port 514/tcp on 192.168.0.2
Discovered open port 1011/tcp on 192.168.0.2
Discovered open port 1012/tcp on 192.168.0.2
Discovered open port 79/tcp on 192.168.0.2
Discovered open port 555/tcp on 192.168.0.2
Completed SYN Stealth Scan at 19:25, 154.98s elapsed (1715 total ports)
Host 192.168.0.2 appears to be up ... good.
Interesting ports on 192.168.0.2:
Not shown: 1617 closed ports
PORT      STATE    SERVICE
1/tcp     open     tcpmux
7/tcp     open     echo
9/tcp     open     discard
11/tcp    open     systat
13/tcp    open     daytime
15/tcp    open     netstat
17/tcp    open     qotd
19/tcp    open     chargen
20/tcp    open     ftp-data
21/tcp    open     ftp
22/tcp    open     ssh
23/tcp    open     telnet
25/tcp    open     smtp
31/tcp    open     msg-auth
53/tcp    open     domain
79/tcp    open     finger
80/tcp    open     http
81/tcp    open     hosts2-ns
107/tcp   open     rtelnet
109/tcp   open     pop2
110/tcp   open     pop3
111/tcp   open     rpcbind
119/tcp   open     nntp
135/tcp   filtered msrpc
137/tcp   filtered netbios-ns
138/tcp   filtered netbios-dgm
139/tcp   filtered netbios-ssn
143/tcp   open     imap
146/tcp   open     iso-tp0
194/tcp   open     irc
443/tcp   open     https
445/tcp   filtered microsoft-ds
512/tcp   open     exec
513/tcp   open     login
514/tcp   open     shell
515/tcp   open     printer
540/tcp   open     uucp
555/tcp   open     dsf
565/tcp   open     whoami
777/tcp   open     unknown
808/tcp   open     ccproxy-http
911/tcp   open     unknown
1001/tcp  open     unknown
1011/tcp  open     unknown
1012/tcp  open     unknown
1024/tcp  open     kdm
1025/tcp  open     NFS-or-IIS
1080/tcp  open     socks
1110/tcp  filtered nfsd-status
1234/tcp  open     hotline
1433/tcp  open     ms-sql-s
1434/tcp  open     ms-sql-m
1494/tcp  open     citrix-ica
1512/tcp  open     wins
1521/tcp  open     oracle
1526/tcp  open     pdap-np
1999/tcp  open     tcp-id-port
2000/tcp  open     callbook
2016/tcp  open     bootserver
2041/tcp  open     interbase
2049/tcp  open     nfs
2600/tcp  open     zebrasrv
2638/tcp  open     sybase
3064/tcp  open     dnet-tstproxy
3128/tcp  open     squid-http
3306/tcp  open     mysql
3389/tcp  filtered ms-term-serv
4333/tcp  open     msql
4444/tcp  open     krb524
4899/tcp  open     radmin
5000/tcp  open     upnp
5001/tcp  open     commplex-link
5400/tcp  open     pcduo-old
5631/tcp  open     pcanywheredata
5632/tcp  open     pcanywherestat
5714/tcp  open     prosharevideo
5800/tcp  open     vnc-http
6000/tcp  open     X11
6112/tcp  open     dtspc
6666/tcp  open     irc
6667/tcp  open     irc
6668/tcp  open     irc
6670/tcp  open     irc
6969/tcp  open     acmsoda
8000/tcp  open     http-alt
8080/tcp  open     http-proxy
8888/tcp  open     sun-answerbook
12345/tcp open     netbus
12346/tcp open     netbus
16959/tcp open     subseven
17300/tcp open     kuang2
27374/tcp open     subseven
31337/tcp open     Elite
43188/tcp open     reachout
44334/tcp open     tinyfw
50000/tcp open     iiimsf
54320/tcp open     bo2k
65301/tcp open     pcanywhere
MAC Address: хх:хх:хх:хх:хх:хх (ххх)

Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 156.532 seconds
           Raw packets sent: 2032 (89.406KB) | Rcvd: 2933 (183.436KB)
```

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

Это сканирование с ПУБЛИЧНОЙ сети?!? Я не пью, но по моему мне надо срочно научиться выпить... 

Paul

----------


## costashu

> Это сканирование с ПУБЛИЧНОЙ сети?!?
> Paul


да
_(учиться никогда не поздно )_

----------


## Зайцев Олег

> Это сканирование с ПУБЛИЧНОЙ сети?!? Я не пью, но по моему мне надо срочно научиться выпить... 
> 
> Paul


Все просто  :Smiley:  "...*Работает утилита APS, в кис я поместил ее в доверенные* ...". Т.е. идет проверка на практике того, что доверенным приложениям можно работать в Инет из под KIS  :Smiley:  Собственно про это есть в FAQ - http://www.z-oleg.com/secur/aps/faq.php

----------


## XP user

> Все просто  "...*Работает утилита APS, в кис я поместил ее в доверенные* ...". Т.е. идет проверка на практике того, что доверенным приложениям можно работать в Инет из под KIS


Я это всё понимаю. Я APS очень люблю, честно, но Виндовских Служб НЕ люблю, а великая часть их тоже в доверенных. Это не есть хорошо, или я что-то не допонимаю?

Paul

----------


## costashu

> великая часть их тоже в доверенных
> Paul


все виндовые службы доверенные (по умолчанию кис)

----------


## XP user

> все виндовые службы доверенные (по умолчанию кис)


Ой... Не увидел, что вы уже ответили на мой вопрос (что-то с таймингом форума). Но это же самоубийство на самом деле?

Paul

----------


## costashu

> Это вы так сами задали, или это настройки по умолчанию в КИСе?
> Paul


это настройки по умолчанию в КИСе. Вручную я изменил статус сети на публичную

----------


## XP user

> это настройки по умолчанию в КИСе. Вручную я изменил статус сети на публичную


Вы не могли бы выложить SysInfo log сканируемой системы? Спасибо.

Paul

----------


## costashu

> Вы не могли бы выложить SysInfo log сканируемой системы?
> Paul


sysinfo.rar

----------


## XP user

> sysinfo.rar


Thanks! Требуется некоторое время на анализ. Ждите ответа. Скорее завтра...
P.S.: Пока я не могу ничего другого сказать кроме: с таким компом я лично не вышел бы в сеть НИКОГДА. Разберёмся в чём дело...
P.S.: Возможно потребуется тоже трейсы для Лаба, но в них я не разбираюсь...

Paul

----------


## costashu

> с таким компом я лично не вышел бы в сеть НИКОГДА
> Paul


да и я не выхожу  :Smiley:  С таким  :Wink: 
Спасибо, буду ждать анализы  :Sad: 

*Добавлено через 11 часов 5 минут*

результат сканирования udp (условия аналогичны предыдущему, команда nmap -v -v -sU 192.168.0.2):

```
Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 08:50 Финляндия (лето)
Initiating ARP Ping Scan at 08:50
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 08:50, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 08:50
Completed Parallel DNS resolution of 1 host. at 08:50, 0.11s elapsed
Initiating UDP Scan at 08:50
Scanning 192.168.0.2 [1488 ports]
Completed UDP Scan at 08:50, 21.36s elapsed (1488 total ports)
Host 192.168.0.2 appears to be up ... good.
Scanned at 2008-07-19 08:50:37 Финляндия (лето) for 22s
Interesting ports on 192.168.0.2:
Not shown: 1461 closed ports
PORT      STATE         SERVICE
19/udp    open|filtered chargen
49/udp    open|filtered tacacs
53/udp    open|filtered domain
69/udp    open|filtered tftp
123/udp   open|filtered ntp
135/udp   open|filtered msrpc
137/udp   open|filtered netbios-ns
138/udp   open|filtered netbios-dgm
139/udp   open|filtered netbios-ssn
161/udp   open|filtered snmp
162/udp   open|filtered snmptrap
445/udp   open|filtered microsoft-ds
456/udp   open|filtered macon
500/udp   open|filtered isakmp
1025/udp  open|filtered blackjack
1349/udp  open|filtered sbook
1433/udp  open|filtered ms-sql-s
1434/udp  open|filtered ms-sql-m
1900/udp  open|filtered upnp
2000/udp  open|filtered callbook
3333/udp  open|filtered dec-notes
3996/udp  open|filtered remoteanything
4000/udp  open|filtered icq
4500/udp  open|filtered sae-urn
5632/udp  open|filtered pcanywherestat
31337/udp open|filtered BackOrifice
54321/udp open|filtered bo2k
MAC Address: хх:хх:хх:хх:хх:хх (ххх)

Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 22.266 seconds
           Raw packets sent: 1843 (51.618KB) | Rcvd: 1462 (81.858KB)
```

----------


## XP user

> да и я не выхожу  С таким 
> Спасибо, буду ждать анализы


Невооружённым глазом пока ещё не обнаружил никаких отклонений от нормы в вашем журнале SysInfo.



> результат сканирования udp [SNIP}


Хочу вас попросить сделать интенсивный скан с nmap *БЕЗ APS*. Причём, есть смысл делать такой скан по всем 65536 портам. Простите, это будет долго, но результаты такого скана того стоят - они покажут, насколько Windows сама себя ведёт как проститутка в вашей конфигурации. 
Комманда для такого скана (елси не ошибаюсь, конечно - у меня nmap нет):


```
nmap -T Aggressive -A -p0-65535 -v 192.168.0.2
```

Можно ещё так: тот же скан, но конкретно tcp connect - то есть:


```
nmap -v -p0-65535 -T Aggressive -sT 192.168.0.2
```

Или tcp SYN - там возможностей куча... Раз вы работаете с nmap, вы разберётесь, я так думаю...

Жду результатов.

Paul

----------


## costashu

> Жду результатов.
> Paul


вот (без APS, команда nmap -v -p0-65535 -T Aggressive -sT 192.168.0.2, то есть соединения по всем портам tcp, строку с маком буду опускать):

```
Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 09:24 Финляндия (лето)
Initiating ARP Ping Scan at 09:24
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 09:24, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 09:24
Completed Parallel DNS resolution of 1 host. at 09:24, 0.58s elapsed
Initiating Connect Scan at 09:24
Scanning 192.168.0.2 [65536 ports]
Discovered open port 21/tcp on 192.168.0.2
Connect Scan Timing: About 1.02% done; ETC: 10:14 (0:48:49 remaining)
Completed Connect Scan at 10:12, 2868.45s elapsed (65536 total ports)
Host 192.168.0.2 appears to be up ... good.
Interesting ports on 192.168.0.2:
Not shown: 65535 filtered ports
PORT   STATE SERVICE
21/tcp open  ftp

Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 2870.062 seconds
           Raw packets sent: 1 (42B) | Rcvd: 1 (42B)
```

сделать по всем udp?

----------


## XP user

> 21/tcp open  ftp


Это следовало бы ожидать - открыт порт 21 TCP. Это результат новой фичы в КИС. Где-то уже обсуждалось.
UDP ОБЯЗАТЕЛЬНО, так как гораздо труднее для любого файрвола...

Paul

----------


## DVi

> Но это же самоубийство на самом деле?
> 
> Paul


Пол, я знаю Ваше отношение к службам Windows, и уважаю Ваше мнение. Однако абсолютное большинство пользователей пользуется этими службами. Цель разработчиков средств информационной безопасности - обеспечить большинству пользователей безопасность без отключения удобств.

Именно поэтому KIS по умолчанию разрешает доверенным приложениям доступ в сеть. Ничто не мешает Вам, как опытному пользователю, изменить это поведение, соответствующим образом настроив KIS и свою операционную систему.

----------


## XP user

> Пол, я знаю Ваше отношение к службам Windows, и уважаю Ваше мнение. Однако абсолютное большинство пользователей пользуется этими службами. Цель разработчиков средств информационной безопасности - обеспечить большинству пользователей безопасность без отключения удобств.
> 
> Именно поэтому KIS по умолчанию разрешает доверенным приложениям доступ в сеть. Ничто не мешает Вам, как опытному пользователю, изменить это поведение, соответствующим образом настроив KIS и свою операционную систему.


 :Smiley: 

Здравствуйте, *DVi*!
Я переживаю за домохозяек и блондинок, для которых продукт c такими настройками по умолчанию был создан, и которые НЕ знают, как отключить то или другое. И, одновременно, я тоже переживаю за доброе имя продукта.  :Smiley: 
P.S.: Мне сейчас на работу - вернусь не скоро...

Paul

----------


## DVi

p2u, все эти службы Windows были созданы "для домохозяек и блондинок", именно их наличие обеспечило популярность операционных систем компании Microsoft. Их отключение приведет к коллапсу - домохозяйки и блондинки просто не смогут пользоваться компьютером без дополнительного обучения.

----------


## costashu

> UDP ОБЯЗАТЕЛЬНО
> Paul


вот (команда nmap -v -v -v -p0-65535 -T Aggressive -sU 192.168.0.2):

```
Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 12:47 Финляндия (лето)
Initiating ARP Ping Scan at 12:47
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 12:47, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:47
Completed Parallel DNS resolution of 1 host. at 12:47, 0.16s elapsed
DNS resolution of 1 IPs took 0.17s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating UDP Scan at 12:47
Scanning 192.168.0.2 [65536 ports]
Increasing send delay for 192.168.0.2 from 0 to 50 due to max_successful_tryno increase to 5
Increasing send delay for 192.168.0.2 from 50 to 100 due to max_successful_tryno increase to 6
UDP Scan Timing: About 2.72% done; ETC: 13:06 (0:17:55 remaining)
Warning: Giving up on port early because retransmission cap hit.
UDP Scan Timing: About 17.74% done; ETC: 14:31 (1:25:34 remaining)
UDP Scan Timing: About 89.14% done; ETC: 14:44 (0:12:40 remaining)
Completed UDP Scan at 14:45, 7033.81s elapsed (65536 total ports)
Host 192.168.0.2 appears to be up ... good.
Scanned at 2008-07-19 12:47:46 Финляндия (лето) for 7035s
Interesting ports on 192.168.0.2:
Not shown: 65527 closed ports
PORT     STATE         SERVICE
123/udp  open|filtered ntp
135/udp  open|filtered msrpc
137/udp  open|filtered netbios-ns
138/udp  open|filtered netbios-dgm
139/udp  open|filtered netbios-ssn
445/udp  open|filtered microsoft-ds
500/udp  open|filtered isakmp
1900/udp open|filtered upnp
4500/udp open|filtered sae-urn

Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 7035.016 seconds
           Raw packets sent: 66145 (1.852MB) | Rcvd: 65567 (3.672MB)
```

----------


## ALEX(XX)

Жесть...

----------


## Geser

Что-то я не понял. Сейчас посмотрел в КИС8. По умолчанию в стенке доступ к локальным сервисам блокируется. У меня просто раутер и один комп, так что не могу проверить. Это правило что, не работает?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## costashu

> Это правило что, не работает?


если я посканирую запрещенные правилами протоколы:порты с запущенным на сканируемом компе wireshark, вас устроят результаты такого наблюдения? Попробую сделать это завтра

----------


## costashu

запустил APS (с несколькими добавленными мной портами для наблюдения) на подключенном к инет компе (подключение Модемное соединение, Публичная сеть) и отключил фаервол в установленном на нем тМитере. Насткойки кис по умолчанию (кроме отключенной блокировки атакующих хостов), автоматический режим. За приблизительно 2.5 часа вышло вот что:

```
Статистика сканирования портов. Статистика сгененирована 19.07.08 17:56:30
Утилита APS, Зайцев О.В.,2004, версия 1.90 от 30.08.2004, http://z-oleg.com/secur/aps.htm

 Атакующий хост: 125.211.198.11 125.211.198.11
  дата/время начала сканирования:     19.07.08 15:29:04
  дата/время последнего сканирования: 19.07.08 16:39:04
  кол-во сканирований:      2
  кол-во подозрений на DoS: 0
  Атаковано портов 2
   1026/UDP кол-во атак = 1, подозрений DoS = 0 
   1027/UDP кол-во атак = 1, подозрений DoS = 0 
 Экспресс-оценка: 
  Сканирование портов : не обнаружено
  Flood портов        : не обнаружен
  DoS атаки           : не обнаружены
-----------------------------------------
 Атакующий хост: 60.222.224.133 60.222.224.133
  дата/время начала сканирования:     19.07.08 15:40:01
  дата/время последнего сканирования: 19.07.08 15:40:01
  кол-во сканирований:      1
  кол-во подозрений на DoS: 0
  Атаковано портов 1
   1026/UDP кол-во атак = 1, подозрений DoS = 0 
 Экспресс-оценка: 
  Сканирование портов : не обнаружено
  Flood портов        : не обнаружен
  DoS атаки           : не обнаружены
-----------------------------------------
 Атакующий хост: 77.52.247.131 MZ32LB4PB4QSY4G
  дата/время начала сканирования:     19.07.08 16:32:28
  дата/время последнего сканирования: 19.07.08 17:55:00
  кол-во сканирований:      828
  кол-во подозрений на DoS: 0
  Атаковано портов 1
   1433/TCP кол-во атак = 828, подозрений DoS = 0  (подозрение на flood)
 Экспресс-оценка: 
  Сканирование портов : не обнаружено
  Flood портов        : обнаружен
  DoS атаки           : не обнаружены
-----------------------------------------
 Атакующий хост: 77.52.231.175 YOUR-JNRI2I3J13
  дата/время начала сканирования:     19.07.08 16:43:05
  дата/время последнего сканирования: 19.07.08 16:53:33
  кол-во сканирований:      188
  кол-во подозрений на DoS: 0
  Атаковано портов 1
   1433/TCP кол-во атак = 188, подозрений DoS = 0  (подозрение на flood)
 Экспресс-оценка: 
  Сканирование портов : не обнаружено
  Flood портов        : обнаружен
  DoS атаки           : не обнаружены
-----------------------------------------
 Атакующий хост: 77.52.232.71 YOUR-JNRI2I3J13
  дата/время начала сканирования:     19.07.08 17:27:39
  дата/время последнего сканирования: 19.07.08 17:55:23
  кол-во сканирований:      1026
  кол-во подозрений на DoS: 0
  Атаковано портов 1
   1433/TCP кол-во атак = 1026, подозрений DoS = 0  (подозрение на flood)
 Экспресс-оценка: 
  Сканирование портов : не обнаружено
  Flood портов        : обнаружен
  DoS атаки           : не обнаружены
-----------------------------------------
```

здесь все логи (6 кб) - LOG.rar

----------


## ALEX(XX)

Решил побаловаться нмапом и я. Взял вмварь, поставил туда ХР СП3 и кучку апдейтов. Поставил КИС2009. Настройки не менял (единственное - отключил блокировку атакера). Никакие нетбиосы не отключал, ИП 192.168.0.25 - режим "публичная сеть"



```
nmap -v -v -v -sT Agressive -PA -PS -P0 -p1-65535 -r -sV -O --osscan-guess 192.168.0.25

Starting Nmap 4.60 ( http://nmap.org ) at 2008-07-19 21:20 EEST
Failed to resolve given hostname/IP: Agressive.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Initiating ARP Ping Scan at 21:20
Scanning 192.168.0.25 [1 port]
Completed ARP Ping Scan at 21:20, 0.02s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 21:20
Completed Parallel DNS resolution of 1 host. at 21:20, 0.02s elapsed
DNS resolution of 1 IPs took 0.02s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating Connect Scan at 21:20
Scanning 192.168.0.25 [65535 ports]
Increasing send delay for 192.168.0.25 from 0 to 5 due to 27 out of 88 dropped probes since last increase.
Increasing send delay for 192.168.0.25 from 5 to 10 due to max_successful_tryno increase to 4
Increasing send delay for 192.168.0.25 from 10 to 20 due to max_successful_tryno increase to 5
Increasing send delay for 192.168.0.25 from 20 to 40 due to max_successful_tryno increase to 6
Connect Scan Timing: About 2.22% done; ETC: 21:42 (0:22:05 remaining)
Increasing send delay for 192.168.0.25 from 40 to 80 due to max_successful_tryno increase to 7
Connect Scan Timing: About 34.27% done; ETC: 22:26 (0:43:24 remaining)
Connect Scan Timing: About 83.90% done; ETC: 22:38 (0:12:40 remaining)
Increasing send delay for 192.168.0.25 from 80 to 160 due to max_successful_tryno increase to 8
Connect Scan Timing: About 93.37% done; ETC: 22:44 (0:05:35 remaining)
Connect Scan Timing: About 96.58% done; ETC: 22:47 (0:02:59 remaining)
Connect Scan Timing: About 98.31% done; ETC: 22:49 (0:01:29 remaining)
Connect Scan Timing: About 99.18% done; ETC: 22:49 (0:00:44 remaining)
Completed Connect Scan at 22:50, 5436.82s elapsed (65535 total ports)
Initiating Service scan at 22:50
Initiating OS detection (try #1) against 192.168.0.25
SCRIPT ENGINE: Initiating script scanning.
Host 192.168.0.25 appears to be up ... good.
Interesting ports on 192.168.0.25:
Not shown: 65527 closed ports
PORT      STATE    SERVICE      VERSION
135/tcp   filtered msrpc
137/tcp   filtered netbios-ns
138/tcp   filtered netbios-dgm
139/tcp   filtered netbios-ssn
445/tcp   filtered microsoft-ds
1110/tcp  filtered nfsd-status
3389/tcp  filtered ms-term-serv
19780/tcp filtered unknown
MAC Address: 00:0C:29:F1:2C:F5 (VMware)
Device type: terminal|general purpose|media device|specialized
Running: HP Windows PocketPC/CE, Microsoft Windows 2003|PocketPC/CE|XP, Microsoft embedded
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint by osscan system #2:
SCAN(V=4.60%D=7/19%OT=%CT=1%CU=37769%PV=Y%DS=1%G=N%M=000C29%TM=48824594%P=x86_64-unknown-linux-gnu)
T5(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
T6(R=Y%DF=N%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)
T7(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
U1(R=Y%DF=N%T=80%TOS=0%IPL=B0%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)
IE(R=N)
Network Distance: 1 hop

Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5438.068 seconds
           Raw packets sent: 13 (1854B) | Rcvd: 5 (338B)
```

*Добавлено через 3 минуты*

Просто быстрый скан, с параметром -sX



```
nmap -v -v -v -sX Agressive -PA -PS -P0 -r -sV -O --osscan-guess 192.168.0.25

Starting Nmap 4.60 ( http://nmap.org ) at 2008-07-19 22:56 EEST
Failed to resolve given hostname/IP: Agressive.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Initiating ARP Ping Scan at 22:56
Scanning 192.168.0.25 [1 port]
Completed ARP Ping Scan at 22:56, 0.02s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 22:56
Completed Parallel DNS resolution of 1 host. at 22:56, 0.09s elapsed
DNS resolution of 1 IPs took 0.09s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating XMAS Scan at 22:56
Scanning 192.168.0.25 [1715 ports]
Completed XMAS Scan at 22:56, 5.75s elapsed (1715 total ports)
Initiating Service scan at 22:56
Scanning 7 services on 192.168.0.25
Completed Service scan at 22:56, 5.00s elapsed (7 services on 1 host)
Initiating OS detection (try #1) against 192.168.0.25
SCRIPT ENGINE: Initiating script scanning.
Host 192.168.0.25 appears to be up ... good.
Interesting ports on 192.168.0.25:
Not shown: 1708 closed ports
PORT     STATE         SERVICE      VERSION
135/tcp  open|filtered msrpc
137/tcp  open|filtered netbios-ns
138/tcp  open|filtered netbios-dgm
139/tcp  open|filtered netbios-ssn
445/tcp  open|filtered microsoft-ds
1110/tcp open|filtered nfsd-status
3389/tcp open|filtered ms-term-serv
MAC Address: 00:0C:29:F1:2C:F5 (VMware)
Device type: terminal|general purpose|media device|specialized
Running: HP Windows PocketPC/CE, Microsoft Windows 2003|PocketPC/CE|XP, Microsoft embedded
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint by osscan system #2:
SCAN(V=4.60%D=7/19%OT=%CT=1%CU=42982%PV=Y%DS=1%G=N%M=000C29%TM=488246F9%P=x86_64-unknown-linux-gnu)
T5(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
T6(R=Y%DF=N%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)
T7(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
U1(R=Y%DF=N%T=80%TOS=0%IPL=B0%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)
IE(R=N)
Network Distance: 1 hop

Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.550 seconds
           Raw packets sent: 1793 (73.054KB) | Rcvd: 1798 (72.058KB)
```

*Добавлено через 1 час 3 минуты*

И быренький скан по UDP
Завтра, если не поленюсь, сделаю полный


```
nmap -v -v -v -sU Agressive -PU -P0 -r -sV -O --osscan-guess 192.168.0.25

Starting Nmap 4.60 ( http://nmap.org ) at 2008-07-19 23:53 EEST
Failed to resolve given hostname/IP: Agressive.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Initiating ARP Ping Scan at 23:53
Scanning 192.168.0.25 [1 port]
Completed ARP Ping Scan at 23:53, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 23:53
Completed Parallel DNS resolution of 1 host. at 23:53, 0.02s elapsed
DNS resolution of 1 IPs took 0.02s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating UDP Scan at 23:53
Scanning 192.168.0.25 [1488 ports]
Increasing send delay for 192.168.0.25 from 0 to 50 due to 13 out of 41 dropped probes since last increase.
Increasing send delay for 192.168.0.25 from 50 to 100 due to 11 out of 28 dropped probes since last increase.
Increasing send delay for 192.168.0.25 from 100 to 200 due to 11 out of 16 dropped probes since last increase.
UDP Scan Timing: About 12.72% done; ETC: 23:57 (0:03:26 remaining)
Stats: 0:03:52 elapsed; 0 hosts completed (1 up), 1 undergoing UDP Scan
UDP Scan Timing: About 79.23% done; ETC: 23:58 (0:01:00 remaining)
Completed UDP Scan at 23:58, 302.34s elapsed (1488 total ports)
Initiating Service scan at 23:58
Scanning 9 services on 192.168.0.25
Discovered open port 123/udp on 192.168.0.25
Discovered open|filtered port 123/udp on 192.168.0.25 is actually open
Service scan Timing: About 22.22% done; ETC: 00:01 (0:02:55 remaining)
Completed Service scan at 23:59, 50.01s elapsed (9 services on 1 host)
Initiating OS detection (try #1) against 192.168.0.25
SCRIPT ENGINE: Initiating script scanning.
Host 192.168.0.25 appears to be up ... good.
Interesting ports on 192.168.0.25:
Not shown: 1479 closed ports
PORT     STATE         SERVICE      VERSION
123/udp  open          ntp          Microsoft NTP
135/udp  open|filtered msrpc
137/udp  open|filtered netbios-ns
138/udp  open|filtered netbios-dgm
139/udp  open|filtered netbios-ssn
445/udp  open|filtered microsoft-ds
500/udp  open|filtered isakmp
1900/udp open|filtered UPnP
4500/udp open|filtered sae-urn
MAC Address: 00:0C:29:F1:2C:F5 (VMware)
Device type: terminal|general purpose|media device|specialized
Running: HP Windows PocketPC/CE, Microsoft Windows 2003|PocketPC/CE|XP, Microsoft embedded
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint by osscan system #2:
SCAN(V=4.60%D=7/19%OT=%CT=%CU=1%PV=Y%DS=1%G=N%M=000C29%TM=48825597%P=x86_64-unknown-linux-gnu)
T5(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
T6(R=Y%DF=N%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)
T7(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
U1(R=Y%DF=N%T=80%TOS=0%IPL=B0%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)
IE(R=N)
Network Distance: 1 hop
Service Info: OS: Windows

Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 353.480 seconds
           Raw packets sent: 1677 (48.446KB) | Rcvd: 1484 (83.162KB)
```

----------


## XP user

Спасибо всем. Для сравнения результатов, однако, хотелось бы видить заранее определённую, единую методику, иначе всё путается. Я предлагаю (для тех, которые имеют такую возможность, конечно, работать не под VM, а на физических компах - результат будет другим. Объяснить этого не могу. 
Далее как описано здесь под 'Утилиты аудита'. Естественно, APS как 'доверенную программу' применять не надо.

P.S.: Сам я участвовать не могу - нет второго комьютера у меня. Мы пытались с локальной сети Corbina сканировать меня, но моего хоста нет ('down' говорит nmap) - полагаю, что это результат моих настроек (я даже маску подсети изменил), потому что я не был 'down'. 
Даже изнутри доступа никуда (см. картинку LanSpy, сделана под админ):


Paul

----------


## ALEX(XX)

> Спасибо всем. Для сравнения результатов, однако, хотелось бы видить заранее определённую, единую методику
> Paul


Смотря что мы хотим в итоге получить. ИМХО, самая простая методика - берём чистую систему (+ апдейты), никаких служб не отключаем, ничего кроме КИС2009 не ставим, КИС дополнительно не настраиваем, всё по дефолту. ИМХО, это самая распространённая ситуация, как тут любят говорить - ПК "домохозяйки"  :Smiley:  Потом берём nmap и натравливаем его на эту машину. У nmap  куча параметров. Что касается моих результатов полученный под ВМ, то поясню некоторые детали: сетевой интерфейс ВМ находился в режие bridged  



> *Bridged* — If your host computer is on an Ethernet network, this is often the easiest way to give your virtual machine access to that network. With bridged networking, the virtual machine appears as an additional computer on the same physical Ethernet network as the host. A virtual machine with bridged networking can transparently use any of the services available on the network to which it is bridged, including file servers, printers, gateways, and so on. Likewise, any physical host or other virtual machine configured with bridged networking can use resources of that virtual machine


хост система у меня OpenSUSE, гостевая - WinXP Pro SP3.
Интерено, что если в первом скане порты filtered, то во втором, (XMAS Scan) порты уже open|filtered

*Добавлено через 22 минуты*

Завтра попаду на работу, не пожалею одну машину на тест

----------


## costashu

> Это правило что, не работает?


сделал. Провел два скана:
1. nmap -T Aggressive -sS -v 192.168.0.2
2. nmap -T Aggressive -sU -v 192.168.0.2
Вот лог вайршарка (94 кб) - nmap-scan.rar

----------


## costashu

> Я предлагаю (для тех, которые имеют такую возможность, конечно) работать не под VM, а на физических компах - результат будет другим.
> Paul


можно, конечно, и через инет, если открытый айпи. Кого посканировать, какой фаер?  :Wink: 




> берём чистую систему (+ апдейты), никаких служб не отключаем, ничего кроме КИС2009 не ставим, КИС дополнительно не настраиваем, всё по дефолту. ИМХО, это самая распространённая ситуация, как тут любят говорить - ПК "домохозяйки"  Потом берём nmap и натравливаем его на эту машину.


у моей домохозяйки я держу почти такую машину  :Smiley:  Есть, конечно, дополнительный софт, не системный. Разве он помешает чистоте опыта? Еще остается вопрос логов ЗА кис - если такая возможность вообще есть

----------


## ALEX(XX)

> Есть, конечно, дополнительный софт, не системный. Разве он помешает чистоте опыта?


Не должон  :Smiley:

----------


## XP user

> Интерено, что если в первом скане порты filtered, то во втором, (XMAS Scan) порты уже open|filtered


Я не исключаю, что КИС таким образом пакеты таких сканов отбрасывает. Из документации по nmap:
http://nmap.org/book/man-port-scanning-basics.html



> open|filtered
> 
>     Nmap places ports in this state when it is unable to determine whether a port is open or filtered. This occurs for scan types in which open ports give no response. The lack of response could also mean that a packet filter dropped the probe or any response it elicited. So Nmap does not know for sure whether the port is open or being filtered. The UDP, IP protocol, FIN, NULL, and Xmas scans classify ports this way.


То есть - nmap'у непонятно, открыт ли порт или нет. Это только говорит хакеру о том, что там, скорее всего, пакетный фильтр установлен. Возможно по другим признакам (какие-то задержки в милисекундах, допустим) можно определить какой именно, и начинать эксплойт против него, но это уже другой вопрос. Ничего плохого о КИСе это само по себе не говорит.  :Smiley: 

Paul

----------


## SDA

На форуме ЛК был задан вопрос http://forum.kaspersky.com/index.php...1&st=0&start=0 ответ получен не был на автора только "наехали", сам бы присоединился к вопросу, но тему уже закрыли. Стало интересно, поддерживаю автора на 100%. Сам года 2 с половиной назад работал в связке 5-го касперкого +Zone Alarm и тоже в журнале Зины атак было немеренно. Особо злостные айпи (просто в локалке, не говоря про инет) блокировал, что перестало хватать места в журнале, приходилось убирать старые и обновлять новые рассадники червей. Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны,  ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?

----------


## ALEX(XX)

> На форуме ЛК был задан вопрос http://forum.kaspersky.com/index.php...1&st=0&start=0 ответ получен не был на автора только "наехали", сам бы присоединился к вопросу, но тему уже закрыли. Стало интересно, поддерживаю автора на 100%. Сам года 2 с половиной назад работал в связке 5-го касперкого +Zone Alarm и тоже в журнале Зины атак было немеренно. Особо злостные айпи (просто в локалке, не говоря про инет) блокировал, что перестало хватать места в журнале, приходилось убирать старые и обновлять новые рассадники червей. Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны, ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?


Во-во. Когда КИС7 стоял, тоже удивлялся. Ну хоть бы кто-нибудь стукнулся. Прикола ради поставил NIS2007, тот частенько сообщал о "звонках в дверь"
А то что тему закрыли, ну это понятно  :Smiley:

----------


## XP user

> На форуме ЛК был задан вопрос http://forum.kaspersky.com/index.php...1&st=0&start=0 ответ получен не был на автора только "наехали", сам бы присоединился к вопросу, но тему уже закрыли. Стало интересно, поддерживаю автора на 100%. Сам года 2 с половиной назад работал в связке 5-го касперкого +Zone Alarm и тоже в журнале Зины атак было немеренно. Особо злостные айпи (просто в локалке, не говоря про инет) блокировал, что перестало хватать места в журнале, приходилось убирать старые и обновлять новые рассадники червей. Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны,  ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?


Прочитал топик. Ответ MiStr частично прадва - ZoneAlarm переборщает, конечно, и, особенно в бесплатной версии играет на страх (возможно в надежде, что будут покупать версю Про, которая 'ещё лучше' ( :Wink: ) - большинство блокируемых 'атак' лишь шум на задном фоне. Но это не значит, что автора надо 'послать' за несостоятельность его вопроса (мы здесь убедились уже в обратном), как некоторые начали делать (MiStr не в счёт - он себя корректно вёл).

Замечание с которым он закрыл топик заставило меня улыбнуться. Цитирую:



> Он задал совершенно нормальный вопрос, который бы и я задал, *если бы не знал истины.*


Так держать! Может переименовать ник в MisteryMan, a?  :Wink: 

Paul

----------


## ALEX(XX)

Наверное КИС - партизан  :Smiley: 

*Добавлено через 1 минуту*




> Так держать! Может переименовать ник в MisteryMan, a? 
> Paul


The truth is out there.... (а точнее - в вине)

----------


## SDA

Paul, у меня стоял ZoneAlarmPro, а "червивые" айпи было видно невооруженным взглядом  :Smiley:  на местном форуме даже тема была - "айпи с которых рассылаются вирусы"  :Smiley:

----------


## XP user

> Paul, у меня стоял ZoneAlarmPro, а "червивые" айпи было видно невооруженным взглядом  на местном форуме даже тема была - "айпи с которых рассылаются вирусы"


Я это понимаю, но что если у ЛК политика такая - 'молча блокировать - меньше знают, лучше спят' (как встроенный файрвол в Windows)? Конечно, я уже годами пытаюсь добываться подробных журналов по умолчанию туда-сюда в файрволе ЛК, как это прекрасно реализовано в Аутпосте, но 'не судьба' так сказать. Я устал. Больше не буду требовать.  :Smiley: 

Paul

----------


## 1205

> Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны,  ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?


У меня примерно за полтора месяца KIS 2009 не заблокировала ни одной атаки. До этого очень недолго  стоял KIS 7-тоже ничего не было (из атак). Как-то странно...Опасные службы я только вчера закрыл (как в книге написано про безопасный интернет, и то не все). Где же атаки? Хотя возможно фаерволл на роутере мне все блокирует, в отчетах очень много таких записей:
Wednesday July 23, 2008 14:21:47  Disassociated: Blocked access attempt from 213.170.115.86:34278 to TCP port 41077
Wednesday July 23, 2008 14:21:50  Disassociated: Blocked access attempt from 213.170.115.86:34278 to TCP port 41077
Wednesday July 23, 2008 14:21:56  Disassociated: Blocked access attempt from 213.170.115.86:34278 to TCP port 41077
Wednesday July 23, 2008 14:26:38  Disassociated: Blocked access attempt from 125.211.198.7:34091 to UDP port 1026
Wednesday July 23, 2008 14:28:11  Disassociated: Blocked access attempt from 222.72.135.40:57587 to UDP port 11244
Wednesday July 23, 2008 14:33:28  Disassociated: Blocked access attempt from 213.170.115.86:33430 to TCP port 41077
Wednesday July 23, 2008 14:33:31  Disassociated: Blocked access attempt from 213.170.115.86:33430 to TCP port 41077
Wednesday July 23, 2008 14:33:37  Disassociated: Blocked access attempt from 213.170.115.86:33430 to TCP port 41077
И подобных записей очень много каждый день. А каспер ничего не блокирует.

----------


## costashu

продолжу о методике тестирования фаеров, и в частности - фаера кис. После многочисленных собственных сканирований предлагаю сканировать порты в два этапа -

1. быстрый скан nmap всех портов tcp и udp. Команда типа
*nmap -T4 (или -T5) -sS -sU -p0-65535 <хосты>*
2. подробный скан nmap интересных портов. Команда типа
*nmap -v -v -T1 (или -T0) -sS (и/или -sU) -sV --reason -p<порты> <хост>*

Проверил, перехватывает ли вайршарк (установленный на сканируемом хосте) трафик до кис, одновременно с ним или после. Я в своем опыте убедился, что после. Привожу результат двух подробных сканирований портов tcp и udp 135-139 для проверки работы правил Local Services (TCP) и Local Services (UDP), о которых я спрашивал в первом посте темы, вместе с логом вайршарка (135-139.rar, 3.5кб).
Команда nmap -sS -sU -sV --reason -p135-139 192.168.0.2

1. правила отключены (сниф со строки 14):

```
PORT    STATE         SERVICE     REASON       VERSION
135/tcp open          msrpc       syn-ack      Microsoft Windows RPC
136/tcp closed        profile     reset
137/tcp closed        netbios-ns  reset
138/tcp closed        netbios-dgm reset
139/tcp open          netbios-ssn syn-ack
135/udp closed        msrpc       port-unreach
136/udp closed        profile     port-unreach
137/udp open          netbios-ns  udp-response Microsoft Windows NT netbios-ssn (workgroup: COSTA)
138/udp open|filtered netbios-dgm no-response
139/udp closed        netbios-ssn port-unreach
```

2. правила включены (сниф со строки 133):

```
PORT    STATE         SERVICE     REASON       VERSION
135/tcp filtered      msrpc       no-response
136/tcp closed        profile     reset
137/tcp filtered      netbios-ns  no-response
138/tcp filtered      netbios-dgm no-response
139/tcp filtered      netbios-ssn no-response
135/udp open|filtered msrpc       no-response
136/udp closed        profile     port-unreach
137/udp open|filtered netbios-ns  no-response 
138/udp open|filtered netbios-dgm no-response 
139/udp open|filtered netbios-ssn no-response
```

Интересно также услышать мнение Олега Зайцева и DVi об этой методике. Желающим предлагаю посканировать порт 123/udp - он открыт _почти_ всегда  :Sad: 

Применять ли APS - вопрос интересный, даже концептуальный. Должен ли фаер прикрывать обычно закрытые порты? Место ли в персональном фаере классическому правилу фаеров запретить всё всем? Я считаю, что должен и место, но я гикнутый и вхожу в "1%" юзеров, на которых ЛК не ориентируется  :Wink:

----------


## XP user

> Применять ли APS - вопрос интересный, даже концептуальный. Должен ли фаер прикрывать обычно закрытые порты? Место ли в персональном фаере классическому правилу фаеров запретить всё всем? Я считаю, что должен и место, но я гикнутый и вхожу в "1%" юзеров, на которых ЛК не ориентируется


Лучше высказать ту же мысл, чем вы - не могу. +1



> Хотя возможно фаерволл на роутере мне все блокирует,


Не 'возможно', а точно. Это по моему и есть записи из раутера нет? КИС, насколько я помню, так не пишет журналы...

Paul

----------


## Geser

> Я это понимаю, но что если у ЛК политика такая - 'молча блокировать - меньше знают, лучше спят' (как встроенный файрвол в Windows)? Конечно, я уже годами пытаюсь добываться подробных журналов по умолчанию туда-сюда в файрволе ЛК, как это прекрасно реализовано в Аутпосте, но 'не судьба' так сказать. Я устал. Больше не буду требовать. 
> 
> Paul


Это точно. Я тоже просил просил сделать нормальные логи, но так и не допросился.

----------


## 1205

> Не 'возможно', а точно. Это по моему и есть записи из раутера нет? КИС, насколько я помню, так не пишет журналы...
> 
> Paul


Да, это оттуда (отчет раутера). И таких записей очень много. Меняются IP и порты. Защита сетевых атак KIS упорно молчит, в его отчетах нет ничего

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> Да, это оттуда (отчет раутера). И таких записей очень много. Меняются IP и порты. Защита сетевых атак KIS упорно молчит, в его отчетах нет ничего


Но за раутером, что вы ожидали? Раутер блокирует уже наверняка - если КИС ещё что-то писал бы, вам пришлось бы выбросить этот раутер из окна...  :Wink: 
Бывают такие файрволы, которые пишут что сам раутер атакует ваш комп. К счастью такого не видать в КИСе....  :Smiley: 

Paul

----------


## polimorf

У кого-нибудь outpost 2009 так же молчит как kis? За все время - 3 года - ни одной атаки, только сканирование портов >_<  Это так хорошо меня outpost прячет или провайдер старается )) ?  Настройки outposta максимальные - выбраны все типы атак. 
Анти-хакер Касперского постояно детектил атаку хелкерн.

----------


## costashu

http://virusinfo.info/showthread.php?t=2507

----------


## XP user

На тестирование КИСа по теме у меня вышел облом. Corbina (мой провайдер) не пропускает меня в  Инет. Пришлось восстановить систему на состояние час назад с помощью Norton GoBack...
Сначала сделал лог GetSysInfo и выложил на сайт парсера во Франции - проблем несовместимости не было обнаружено (а как же иначе - система чиста). Загрузил и установил kis8.0.0.445ru.exe (последнюю версию). Сбоев или синних экранов не было. Всё вроде нормально работала ('You are protected' и всё такое - чувствовал себя как за каменной стеной  :Wink: ), но видимо в аутентикации на Corbina по протоколу L2TP есть загвоздки...  :Sad: 

Paul

----------


## 1205

> но видимо в аутентикации на Corbina по протоколу L2TP есть загвоздки... 
> 
> Paul


У Корбины с L2TP какие-то проблемы. Я как-то настроил через него, интернет вылетал постоянно и скорость меньше стала. Лучше через обычный PPTP...
Corbina L2TP больше года был на стадии тестирования, и наверное так и не дотестировали.

----------


## XP user

> У Корбины с L2TP какие-то проблемы. Я как-то настроил через него, интернет вылетал постоянно и скорость меньше стала. Лучше через обычный PPTP...
> Corbina L2TP больше года был на стадии тестирования, и наверное так и не дотестировали.


Не заметил. У меня всегда нормально работала и сейчас нормально работает; только не с КИС... 
(Конец офф-топа).

Paul

----------


## costashu

кис 8.0.0.445, полный скан портов tcp и udp:

```
Interesting ports on 192.168.0.2:
Not shown: 65098 closed ports, 437 filtered ports
Reason: 65098 resets and 437 no-responses
PORT     STATE SERVICE REASON  VERSION
2869/tcp open  http    syn-ack Microsoft HTTPAPI httpd 1.0 (SSDP/UPnP)
Service Info: OS: Windows

Interesting ports on 192.168.0.2:
Not shown: 65527 closed ports
Reason: 65527 port-unreaches
PORT     STATE         SERVICE      REASON       VERSION
123/udp  open          ntp          udp-response Microsoft NTP
135/udp  open|filtered msrpc        no-response
137/udp  open|filtered netbios-ns   no-response
138/udp  open|filtered netbios-dgm  no-response
139/udp  open|filtered netbios-ssn  no-response
445/udp  open|filtered microsoft-ds no-response
500/udp  open|filtered isakmp       no-response
1900/udp open|filtered upnp         no-response
4500/udp open|filtered sae-urn      no-response
Service Info: OS: Windows
```

----------


## XP user

> *123/udp  open          ntp          udp-response Microsoft NTP*



@ *All*
Думаю, что немаловажно отметить, что открытый порт 123 - достаточно большой риск для безопасности; можно через него с точностью определить ОС и узнать настройки времени данного хоста. Говорить ещё о прямых эксплойтах против службы времени Windows - это уж слишком банально...



> PORT 123 - Information
> Port Number:	123
> TCP / UDP:	UDP
> Delivery:	No
> Protocol / Name:	ntp
> Port Description:	Network Time Protocol. Provides time synch between computers and network systems. Assists in database mgmt, auth schemes, and audit/logging accuracy. Security Concerns: It provides both info and an avenue of attack for intruders. Info gathered can include: system uptime, time since reset, time server pkt, I/O, & memory statistics, and ntp peer list. Further, if a host is susceptible to time altering via ntp, an attacker can: 
> 1) Run replay attacks, using captured OTP and Kerberos tickets before they expire. 
> 2) Stop security-related cron jobs from running or cause them to run at incorrect times. 
> 3) Make system and audit logs unreliable, since time is alterable.
> Virus / Trojan:	No


@ *ЛК*
Порт 123 единственный, где порт сервера и порт клиента - тот же. Известно же уже давно, что ничего кроме подлинных запросов и/или ответов по NTP пропускать на этот порт нельзя?! Разъясните, пожалуйста, плачевный результат.
@ *costashu*:
Это nmap или nessus выдал?

Paul

----------


## costashu

> @ *costashu*:
> Это nmap или nessus выдал?
> Paul


nmap. Подтверждается nessus

----------


## XP user

> nmap. Подтверждается nessus


Спасибо. 
К сожалению придётся блондинкам перекраситься, или стричься налысо...  :Sad: 



> *2869/tcp open  http    syn-ack Microsoft HTTPAPI httpd 1.0 (SSDP/UPnP)*



В добавок: я пропустил ещё порт 2869 в журнале costashu - тоже серьёзный риск. Это же UPnP/SSDP, из любимых векторов атак уже годами. Отличается от порта 123 тем, что можно через него напрямую атаковать память Винды (malformed http requests от атакера из того же сегмента, и всё такое)...

Paul

----------


## costashu

провел скан с помощью nessus (шаровый последний). Открыты те же порты, плюс подозрение на 21/tcp (возможно фалс). Также нессус нашел уязвимость среднего, *оранжевого* уровня тревоги (Medium Severity problem(s) found), а именно:


> *Remote host replies to SYN+FIN*
> 
> Synopsis :
> It may be possible to bypass firewall rules.
> 
> Description :
> The remote host does not discard TCP SYN packets which have
> the FIN flag set.
> Depending on the kind of firewall you are using, an attacker
> ...


вот экспорт результата скана (2.5кб) - nessus-report.rar

----------


## XP user

@ *costashu*

Любая грамотная атака начинается с разведки - сбора всей доступной информации об объекте нападения. Думаю, что мы собрали более, чем достаточно; у вас комп, я сказал бы, прямо умоляет нас атаковать его... Не грубой силой, конечно (это сразу заметно будет), а по-тихоньку. Несколькими malformed пакетиками в день, допустим, или TCP SYN пакетами с FIN флагами против самого файрвола, раз он такие пропускает/не отбрасывает. Потом уже продолжать действовать в обход правил данного файрвола. Нам весело будет; вам не очень...

*Добавлено через 4 часа 24 минуты*

Долго думал, писать или нет, но знаете, что мне больше всего не нравится в данном эксперименте? Целью сканирования является проверка *полноты системы правил фильтрации*. Система предполагает наличие правила обработки по умолчанию; по старым добрым правилам это должно быть 'Запретить Всё Всем'. В KISe такого нет, значит и нет системы. *Любой открытый программой/службой порт становится доступен для атак*. Вот недостаток файрвола KISa, по новой 'идеологии', описанной здесь. (Если ваш IP-адрес прямой, так сказать, то тогда ваш комп будет доступен для атак из ВСЕГО ИНЕТА!)

Paul

----------


## costashu

> @ *costashu*
> вам не очень...
> Paul


это тестовый комп  :Cheesy:

----------


## XP user

> это тестовый комп


Да, да... А теперь представьте себе, что раздают торренты по локалке, например. Это значит, что каждый с прямым IP-адресом будет доступен из Инета. Смеха уже не будет, как вам кажется?  :Wink: 

Paul

----------


## costashu

> Смеха уже не будет
> Paul


смотря кому. У меня торрентов нет  :Stick Out Tongue:

----------


## costashu

посканил нессусом техрелиз кис 8.0.0.454. Результат тот же. И как быть? Уязвимость *средней* серьезности в защитном софте не имеет значения?  :Shocked:

----------


## XP user

> посканил нессусом техрелиз кис 8.0.0.454. Результат тот же. И как быть? Уязвимость *средней* серьезности в защитном софте не имеет значения?


Обычный порядок такой:
Желательно самому написать эксплойт (для убедительности), и передать отчёты производителю продукта. Если производитель продукта не реагирует патчом в разумный срок, и/или ваши попытки связаться с производителем продукта и сообщить ему об уязвимости закончатся неудачей, то тогда уже уведомить общественность.

Paul

----------


## supaplex

Попробуйте почитать внимательнее описание уязвимости.

1. Затронутые уязвимостью операционные системы не совместимы с KIS, за прошедшие почти 6 лет с момента обнаружения проблемы многое изменилось.

2. Фаервол KIS использует фильтрацию соединений, даже если переделать KIS под NT 4 он будет отлавливать попытки соединения с FIN флагом.





> Обычный порядок такой:
> Желательно самому написать эксплойт (для убедительности), и передать отчёты производителю продукта. Если производитель продукта не реагирует патчом в разумный срок, и/или ваши попытки связаться с производителем продукта и сообщить ему об уязвимости закончатся неудачей, то тогда уже уведомить общественность.
> 
> Paul

----------


## Umnik

Я сам хочу, чтобы все было хорошо. Но, коллеги, ведь даже методики проверки здесь нет. Каждый тестирует так, как считает правильным. При этом есть только общие наброски - вырубаем IDS и запускаем ххх сканер. Не годится это. Нужно обговорить:
1. Тип соединения
2. Отсутствие любых устройств, которые могу "помочь пользователю"
3. Отсутствие любых программных потенциально-несовместимых фильтров, счетчиков, фаерволов и т.п. Неактивные - это не значит, что не работают. Т.к. есть драйверы и NDIS-фильтры.
4. Настройка KIS. Проверяется не фаервол, а его основная составляющая - пакетные правила по умолчанию.
5. Фактическое использование найденных брешей. Допустим, пользователь выключит IDS или установит p2p-соединение. Как это поможет злоумышленнику? Т.е. хотя бы telnet.

----------


## ALEX(XX)

> - вырубаем IDS и запускаем ххх сканер. Не годится это. Нужно обговорить:


Разве отключение блокировки атакующего это тк уж и вырубание IDS?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

@ *Umnik*

Главные условия были установлены такие: ОС по умолчанию + КИС по умолчанию; убираем детектор атак. Ничего не менять в никаких настройках, и посмотреть что выходит. Сам я, к сожалению, участвовать не мог и не могу - Corbina не пропускает меня в сеть когда установлен КИС.

Никто здесь не говорил, что можно с установленным КИСом легко хакнуть систему. Как именно можно бы это сделать уместно обсудить не здесь.

Моя оценка была такая: 
Слишком легко собрать информацию о компьютере, где установлен КИС.

Paul

----------


## Umnik

> Разве отключение блокировки атакующего это тк уж и вырубание IDS?


Я считаю, что нет. А вот *costashu* считает обратное. Кто прав?

*p2u*
Понимаю, но делать что-то нужно. Я не считал комп тестя уязвимым в Сети с настройками КИС по-умолчанию (с включенным IDS, конечно). Но в какой-то момент вышеупомянутый коллега меня заразил сомнениями. Моя попытка пробиться с потенциальной проблемой в ЛК результата не принесла. Там мои сомнения не разделяли. Вот я и хочу успокоится, либо впасть в депрессию (шучу, NAT на новом модеме включил  :Smiley: ).

----------


## XP user

> Вот я и хочу успокоится


Файрвол должен стоять между вашим компьютером и сетью, иначе он по-любому защищать вас не может. Вывод - это НЕ  МОЖЕТ быть программа в системе; это должно быть аппарат. Купите себе раутер, и успокойтесь. 
Если это невозможно, то тогда закройте все или почти все возможные порты по моим инструкциям, которые валяются везде по Инету.  :Wink: 

Paul

----------


## Umnik

> Я считаю, что нет. А вот *costashu* считает обратное. Кто прав?


Простите, облажался. Не правильно понял фразу. Отключение блока не есть отключение IDS. Но топикстартер настаивает на его полном отключении. Т.е. хочет проверить не фаервол целиком, а его важнейшую часть - пакетные правила.

*Добавлено через 2 минуты*




> Файрвол должен стоять между вашим компьютером и сетью, иначе он по-любому защищать вас не может. Вывод - это НЕ  МОЖЕТ быть программа в системе; это должно быть аппарат. Купите себе раутер, и успокойтесь.
> Paul


Паул, Вы невнимательно прочитали мой предыдущий пост  :Wink:

----------


## XP user

> Паул, Вы невнимательно прочитали мой предыдущий пост


Не знаю. Какую часть именно? Я сделал всего общее заявление о том, что я думаю про программные файрволы - они НЕ МОГУТ дать по определению того, что обещают их производители, какой бы ни стоял крутой детектор атак. Так сеть не работает, увы, и так Windows тем более не работает, особенно если ещё и поставить (по умолчанию) всё из Редмонда в 'Доверенные'...

Paul

----------


## ALEX(XX)

> Простите, облажался. Не правильно понял фразу. Отключение блока не есть отключение IDS.


Вот, а я как раз просто отключил блокировку атакующего. Сканировал виртуалку. К сожалению, та реальная машина которую я выделил для эксперимента, пока что занята под реализацию другого проекта, но вот-вот освободится. Мне самому интересно проверить на реальной машине.

----------


## costashu

> Попробуйте почитать внимательнее описание уязвимости.
> 
> 1. Затронутые уязвимостью операционные системы не совместимы с KIS, за прошедшие почти 6 лет с момента обнаружения проблемы многое изменилось.
> 
> 2. Фаервол KIS использует фильтрацию соединений, даже если переделать KIS под NT 4 он будет отлавливать попытки соединения с FIN флагом.


2. ?  :Shocked: 
1. ?  :Shocked: 
я прочитал внимательно




> Я сам хочу, чтобы все было хорошо. Но, коллеги, ведь даже методики проверки здесь нет. Каждый тестирует так, как считает правильным. При этом есть только общие наброски - вырубаем IDS и запускаем ххх сканер. Не годится это. Нужно обговорить:
> 1. Тип соединения
> 2. Отсутствие любых устройств, которые могу "помочь пользователю"
> 3. Отсутствие любых программных потенциально-несовместимых фильтров, счетчиков, фаерволов и т.п. Неактивные - это не значит, что не работают. Т.к. есть драйверы и NDIS-фильтры.
> 4. Настройка KIS. Проверяется не фаервол, а его основная составляющая - пакетные правила по умолчанию.
> 5. Фактическое использование найденных брешей. Допустим, пользователь выключит IDS или установит p2p-соединение. Как это поможет злоумышленнику? Т.е. хотя бы telnet.


мы все хотим хорошо. Иначе зачем _сюда_ писать? За следующие несколько постов вы _здесь_ выяснили, что именно я отключал. Уточню и я - ВСЁ! Но результаты подаю с отключенной ТОЛЬКО блокировкой атакующего компа. Надеюсь, это корректно  :Roll Eyes (Sarcastic): 

я в своих постах как-раз и пытался предложить и отработать методику проверки фаеров снаружи (не только кис, конечно), тем более что ЛК начала отрицать правомерность существующих онлайн тестов (ссылы давать?  :Huh: ). Давайте _уже_ обсуждать и принимать согласованные решения. Я ЗА. Поэтому, в частности, процитировал ваш пост целиком

какие есть ко мне еще вопросы? Доставьте удовольствие ответить  :Roll Eyes (Sarcastic):

----------


## Umnik

> Не знаю. Какую часть именно? Я сделал всего общее заявление о том, что я думаю про программные файрволы - они НЕ МОГУТ дать по определению того, что обещают их производители, какой бы ни стоял крутой детектор атак. Так сеть не работает, увы, и так Windows тем более не работает, особенно если ещё и поставить (по умолчанию) всё из Редмонда в 'Доверенные'...
> 
> Paul


Я там неявно сказал, что уже использую аппаратные средства.

*Добавлено через 2 минуты*




> cut


Он-лайн тесты и я ставлю под сомнения. Методики не изменялись уже несколько лет, каждый он-лайн тест говорит свое. Потому доверяю только матусеку в этой области. Ладно, коллега, предлагаю в ближайшее время пересечься в асе и обговорить методику. Как Вы на это смотрите?

----------


## XP user

> Я там неявно сказал, что уже использую аппаратные средства





> NAT на новом модеме включил


Пропустил, простите.  :Wink: 

Paul

----------


## costashu

> Он-лайн тесты и я ставлю под сомнения. Методики не изменялись уже несколько лет, каждый он-лайн тест говорит свое.


за эти годы количество портов не изменилось, как и количество их состояний, не так ли?



> Потому доверяю только матусеку в этой области.


мне здается, у него как раз другая область. Хотя онлайн nmap вроде тоже теперь под ним, а?  :Wink: 



> Ладно, коллега, предлагаю в ближайшее время пересечься в асе и обговорить методику. Как Вы на это смотрите?


лучше здесь. Может получиться методика проверки фаеров снаружи. Хотя _дополнительно_ можно и в асе

----------


## Umnik

> за эти годы количество портов не изменилось, как и количество их состояний, не так ли?


Я не могу сейчас сформулировать претензию. Если получится - отпишу



> мне здается, у него как раз другая область. Хотя онлайн nmap вроде тоже теперь под ним, а?


Изучу подробнее на досуге.



> лучше здесь. Может получиться методика проверки фаеров снаружи. Хотя _дополнительно_ можно и в асе


Хорошо.

----------


## supaplex

раньше ведь как:
Сканируешь порты, там тебе и ftp и http и нетбиос, коннектишься через десяток проксей в разных часовых поясах, узнаешь, что за приложение, версию, смотришь по базе эксплоитов что есть уязвимого, эксплотируешь и ты внутри  :Smiley: 

Сейчас уже не так, проникновения через подключение извне по IP и эксплотаця уязвимого приложения даже на серверах встречается редко. Сканирование портов почти ничего не дает, ну открыт тебе netbios в самом лучшем случае если фаервола вообще нет, все равно если пароль не стоит 123 то, увы, все залатали в netbios, подбирайте пароль 10 лет...

Вот и остается только трояна подбросить по почте или еще как-то. И тогда он уже тебе и пароль пришлет, и защиту отключит.

Онлайн тестов которые пытаются подключиться к определенному приложению мало. Которые пытаются эксплотировать еще меньше- слишком специфично.





> Я там неявно сказал, что уже использую аппаратные средства.
> Он-лайн тесты и я ставлю под сомнения. Методики не изменялись уже несколько лет, каждый он-лайн тест говорит свое. Потому доверяю только матусеку в этой области. Ладно, коллега, предлагаю в ближайшее время пересечься в асе и обговорить методику. Как Вы на это смотрите?

----------


## costashu

> раньше ведь как:
> Сканируешь порты, там тебе и ftp и http и нетбиос, коннектишься через десяток проксей в разных часовых поясах, узнаешь, что за приложение, версию, смотришь по базе эксплоитов что есть уязвимого, эксплотируешь и ты внутри 
> 
> Сейчас уже не так, проникновения через подключение извне по IP и эксплотаця уязвимого приложения даже на серверах встречается редко. Сканирование портов почти ничего не дает, ну открыт тебе netbios в самом лучшем случае если фаервола вообще нет, все равно если пароль не стоит 123 то, увы, все залатали в netbios, подбирайте пароль 10 лет...
> 
> Вот и остается только трояна подбросить по почте или еще как-то. И тогда он уже тебе и пароль пришлет, и защиту отключит.
> 
> Онлайн тестов которые пытаются подключиться к определенному приложению мало. Которые пытаются эксплотировать еще меньше- слишком специфично.


и эти _безответственные_ (говоря _очень_ мягко) заявления делает разработчик ЛК сетевого экрана?  :Shocked:  Может быть он же автор этого _забавного_ сочинения? - Продукты Лаборатории Касперского версии 2009 и тесты на сайте www.pcflank.com

----------


## Зайцев Олег

> и эти _безответственные_ (говоря _очень_ мягко) заявления делает разработчик ЛК сетевого экрана?  Может быть он же автор этого _забавного_ сочинения? - Продукты Лаборатории Касперского версии 2009 и тесты на сайте www.pcflank.com


А собственно что там забавного, ибо:
1. ну открыт скажем порт 21, и что с того ?! Если его не прослушивает уязвимое приложение, то ничего страшного не случится;
2. Если на ПК юзера подняты такие вещи, как WEB/FTP сервер и т.п., то это уже не ПК юзера, в сервер ... и одно из двух - или нужно остановить потенциально опасные службы, или обеспечивать их защиту особыми средствами

----------


## Geser

> раньше ведь как:
> Сканируешь порты, там тебе и ftp и http и нетбиос, коннектишься через десяток проксей в разных часовых поясах, узнаешь, что за приложение, версию, смотришь по базе эксплоитов что есть уязвимого, эксплотируешь и ты внутри 
> 
> Сейчас уже не так, проникновения через подключение извне по IP и эксплотаця уязвимого приложения даже на серверах встречается редко. Сканирование портов почти ничего не дает, ну открыт тебе netbios в самом лучшем случае если фаервола вообще нет, все равно если пароль не стоит 123 то, увы, все залатали в netbios, подбирайте пароль 10 лет...
> 
> Вот и остается только трояна подбросить по почте или еще как-то. И тогда он уже тебе и пароль пришлет, и защиту отключит.
> 
> Онлайн тестов которые пытаются подключиться к определенному приложению мало. Которые пытаются эксплотировать еще меньше- слишком специфично.


А почему бы просто не отбрасывать все пакеты адресованные портам с которыми не работают доверенные приложения? И все будут давольны.

----------


## supaplex

ну так они и отбрасываются, просто уровнем выше.




> А почему бы просто не отбрасывать все пакеты адресованные портам с которыми не работают доверенные приложения? И все будут давольны.

----------


## DVi

> 2. ? 
> 1. ?





> и эти _безответственные_ (говоря _очень_ мягко) заявления делает разработчик ЛК сетевого экрана?  Может быть он же автор этого _забавного_ сочинения? - Продукты Лаборатории Касперского версии 2009 и тесты на сайте www.pcflank.com


*costashu*, отбросьте эмоции в сторону и еще раз внимательно прочтите, что Вам написал *supaplex*. И подумайте над своими словами - вероятно, не следует так активно показывать свою некомпетентность. Иначе Вас перестанут воспринимать всерьез.
Удачи.

----------


## Geser

> ну так они и отбрасываются, просто уровнем выше.


В смысле уже самой Windows?

----------


## costashu

> А собственно что там забавного


это:


> Дело в том, что несколько лет назад в сетевых экранах защита была организована на уровне фильтрации пакетов, а перечисленные выше порты использовались хакерами и вирусописателями для проникновения на компьютер пользователя. Это означает, что любая программа (в том числе троянские и прочие вредоносные программы) могла принимать соединение по данному открытому порту. 
> 
> В настоящее время хакеры и вирусописатели используют отличные от вышеперечисленных порты для проникновения на компьютер пользователя, а сетевые экраны работают в первую очередь на уровне приложений, а в качестве дополнения предоставляется возможность отключать определенные порты на уровне фильтрации пакетов. Таким образом, пользователь при помощи Режима обучения может выбрать сам разрешать или запрещать сетевую активность конкретному приложению и\или вручную запретить все входящие\исходящие пакеты для конкретного порта. 
> 
> Таким образом, представленные на вебсайте www.pcflank.com тесты проверяют компьютер только на наличие открытых портов. Причем открытыми, данные тесты "считают" даже те порты, при попытке соединения на которые им возвращается сообщение о том, что порт закрыт. Т.е соединение контролируется сетевым экраном или в данный момент нет приложения, которое принимает соединения на этот порт. Наличие таких "открытых" портов не является показателем уязвимости компьютера в течение последних нескольких лет.





> 1. ну открыт скажем порт 21, и что с того ?! Если его не прослушивает уязвимое приложение, то ничего страшного не случится;


совершенно справедливо - ничего, _если_. Это существенное слово



> 2. Если на ПК юзера подняты такие вещи, как WEB/FTP сервер и т.п., то это уже не ПК юзера, в сервер ... и одно из двух - или нужно остановить потенциально опасные службы, или обеспечивать их защиту особыми средствами


совершенно справедливо. Но почему вы сейчас пишете об этом?

*Добавлено через 6 минут*




> *costashu*, отбросьте эмоции в сторону и еще раз внимательно прочтите, что Вам написал *supaplex*. И подумайте над своими словами - вероятно, не следует так активно показывать свою некомпетентность. Иначе Вас перестанут воспринимать всерьез.
> Удачи.


никаких эмоций. Внимательно прочитал уже много раз, включая указанную статью. Подумал над своими словами несколько раз прежде, чем послать в форум. Поэтому очень прошу вас показать мне (и другим) мою некомпетентность - конечно, убедительным способом. О своей компетентности, кстати, я и не заявлял. Буду только благодарен вам за образование

_специальное дополнение_ - должен сообщить, что последний час не мог открыть страницу форума для ответа. Хотя любые другие страницы открывались исправно, а также приходили уведомления об ответах с этого форума. Спасибо!

----------


## supaplex

после пакетного KIS фильтра, то что совсем некуда пристроить отбрасывает винда, все что остается KIS фильтрует по приложениям.



> В смысле уже самой Windows?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## DVi

> Поэтому очень прошу вас показать мне (и другим) мою некомпетентность


Об этом уже написали выше в этом топике *supaplex* и *Зайцев Олег*. Просто Вы предпочитаете спорить, а не понять суть задаваемых Вами вопросов и получаемых на них ответов.

*Добавлено через 2 минуты*




> последний час не мог открыть страницу форума для ответа. Хотя любые другие страницы открывались исправно, а также приходили уведомления об ответах с этого форума


Вчера и сегодня форум серьезно глючит. Час назад у меня он вообще не открывался  :Sad: 
Если Вы считаете, что это специально направленная против Вас провокация - "обратитесь в Лигу Наций".

----------


## costashu

> Об этом уже написали выше в этом топике *supaplex* и *Зайцев Олег*. Просто Вы предпочитаете спорить, а не понять суть задаваемых Вами вопросов и получаемых на них ответов.


спорить я давно не люблю, надоело. Пока, увы, вы никак не показали мою некомпетентность, но я еще надеюсь на это. Очень вас прошу, расскажите о сути, которой я не понимаю. Очень хочу понимать



> Вчера и сегодня форум серьезно глючит. Час назад у меня он вообще не открывался 
> Если Вы считаете, что это специально направленная против Вас провокация - "обратитесь в Лигу Наций".


давайте вместе?  :Wink:

----------


## Зайцев Олег

> спорить я давно не люблю, надоело. Пока, увы, вы никак не показали мою некомпетентность, но я еще надеюсь на это. Очень вас прошу, расскажите о сути, которой я не понимаю. Очень хочу понимать
> давайте вместе?


Давайте порассуждаем логически. У нас есть: KIS, юзер и приложения. Предположим для определенности приложением у нас будет WEB сервер MS IIS. В этой ситуации:
1. Является ли MS IIS легитимным приложением ? Да, несомненно является. Следовательно как он выглядит в глазах KIS ? А очень просто "Легитимное приложение производителя, которому мы доверяем". Модифицировано ли оно кем-то или чем-то ? Нет, не модифицировано, и скажем это подтверждается ЭЦП или базой чистых объектов. Следовательно, насколько оправдано подавление обмена по порту 80, который желает прослушивать данное приложение ?! Совершенно неоправдано, иначе у поставившего IIS юзера возникнет вполне резонные вопрос - "а почему такой-сякой злобный KIS задушил работу его любимого WEB сервера, это же легитимное приложение от Microsoft" ?!
2. Рассматриваем обратную ситуацию - если юзер установил и включил IIS, значит он ему зачем-то нужен, и подавление его трафика будет выглядеть как ошибка в работе Firewall - подавление сетевой активности легитимного приложения - это собственно вытекает из п.п. 1
3. некое приложение X, которое не опознано как легитимное, уже не подпадает под логику п.п. 1-2, и далее будет или запрос, или ограничение, и юзеру в конечном итоге придется принять решение, разрешить активность или нет ... 

Теперь рассматриваем задачу с другой точки зрения: раз у юзера есть на ПК FTP/WEB сервера и прочие тому подобные вещи, то это видимо продвинутый юзер, раз он сумел их установить и настроить. А раз так, то видимо он вполне может понять, как наcтроить Firewall. Ведь ничто не мешает ему запретить скажем обмен FTP сервера с внешним миром, если он считает это необходимым - создается правило и проблема решена. 
Наконец взгляд на проблему с третьей точки зрения - возможно, что существует легитимное приложение (и оно следовательно по умолчанию считается доверенным), которому разрешено по умолчанию слушать порты. Оно опасно лишь в том случае, когда оно содержит уязвимости. Но в KIS 2009 специально встроен искатель приложений, содержащих известные уязвимости на основании обновляемой базы - что позволит вовремя обнаружить уязвимое легитимное ПО и просигнализировать об этом пользователю. Это имхо единственно правильное решение, иначе придется блокировать работу всех браузеров включая встроенный, так как в них есть уязвимости - вот зайдет юзер на сайт с эксплоитом, и понеслось ... а так-же блокировать без разбора любой входящий запрос на подключение - а вдруг там эксплоит ...

----------


## costashu

> Давайте порассуждаем логически.


большое спасибо, глубоко мною уважаемый Зайцев Олег!



> 1. Является ли MS IIS легитимным приложением ? Да, несомненно является. Следовательно как он выглядит в глазах KIS ? А очень просто "Легитимное приложение производителя, которому мы доверяем". Модифицировано ли оно кем-то или чем-то ? Нет, не модифицировано, и скажем это подтверждается ЭЦП или базой чистых объектов. Следовательно, насколько оправдано подавление обмена по порту 80, который желает прослушивать данное приложение ?! Совершенно неоправдано, иначе у поставившего IIS юзера возникнет вполне резонные вопрос - "а почему такой-сякой злобный KIS задушил работу его любимого WEB сервера, это же легитимное приложение от Microsoft" ?!
> 2. Рассматриваем обратную ситуацию - если юзер установил и включил IIS, значит он ему зачем-то нужен, и подавление его трафика будет выглядеть как ошибка в работе Firewall - подавление сетевой активности легитимного приложения - это собственно вытекает из п.п. 1


совершенно справедливо, но зачем вы опять пишете о юзерских серверах? Вы думаете, у меня на тестируемом компе стоит сервер ftp на порте 21? Нет. Или что у меня стоит сервер web на порте 2869? Нет. Или что стоит сервер времени на порте 123? Опять же нет



> 3. некое приложение X, которое не опознано как легитимное, уже не подпадает под логику п.п. 1-2, и далее будет или запрос, или ограничение, и юзеру в конечном итоге придется принять решение, разрешить активность или нет ...


в "99%" случаев никаких запросов не будет - автоматический режим с разрешением всего, что не запрещено, то есть бывший минимальный (усложненный хипсом, конечно)



> Теперь рассматриваем задачу с другой точки зрения: раз у юзера есть на ПК FTP/WEB сервера и прочие тому подобные вещи, то это видимо продвинутый юзер, раз он сумел их установить и настроить. А раз так, то видимо он вполне может понять, как наcтроить Firewall. Ведь ничто не мешает ему запретить скажем обмен FTP сервера с внешним миром, если он считает это необходимым - создается правило и проблема решена.


нет серверов



> Наконец взгляд на проблему с третьей точки зрения - возможно, что существует легитимное приложение (и оно следовательно по умолчанию считается доверенным), которому разрешено по умолчанию слушать порты. Оно опасно лишь в том случае, когда оно содержит уязвимости. Но в KIS 2009 специально встроен искатель приложений, содержащих известные уязвимости на основании обновляемой базы - что позволит вовремя обнаружить уязвимое легитимное ПО и просигнализировать об этом пользователю. Это имхо единственно правильное решение, иначе придется блокировать работу всех браузеров включая встроенный, так как в них есть уязвимости - вот зайдет юзер на сайт с эксплоитом, и понеслось ... а так-же блокировать без разбора любой входящий запрос на подключение - а вдруг там эксплоит ...


снова спасибо. Я понимаю, что совершенно не случайно, не как специальная дополнительная фича, без которой можно и обойтись, появился в кис2009 поиск уязвимостей. И что обновление уязвимых приложений не факультативно, как многие все еще надеются, а совершенно обязательно по требованиям безопасности из-за новой "идеологии" сетевого экрана. Есть только один момент - если б уязвимости уже были все известны и обновления их все закрывали, не открывая новые - всем было б счастье

и пожалуйста, что скажете насчет оранжевой уязвимости SYNFIN, обнаруженной нессусом не где нибудь там, а именно в фаерволе кис2009?

----------


## Зайцев Олег

> и пожалуйста, что скажете насчет оранжевой уязвимости SYNFIN, обнаруженной нессусом не где нибудь там, а именно в фаерволе кис2009?


Это не узвимость, а запись в протоколе - не более того. Если сканер портов пишет, что открыт порт, то:
1. Не факт, что там есть какая-то уязвимая служба
2. Не факт, что Firewall KIS даст ее уязвить
Очень часто сканеру показывают несуществующие узявимости - говорить о реальной можно лишь тога, когда тестовый ПК удается реально узвить. Если такое удастся - это будет сигналом для разработчиков Firewall принимать немедленные меры

----------


## costashu

> Это не узвимость, а запись в протоколе - не более того.


я почитал про эту уязвимость где только нашел. Прочитал даже, что для ее использования и эксплойт не нужен



> Если сканер портов пишет, что открыт порт, то:
> 1. Не факт, что там есть какая-то уязвимая служба


конечно, тем более что уязвимость может быть _еще_ неизвестна



> 2. Не факт, что Firewall KIS даст ее уязвить


он _уже_ свое сделал - пакет прошел



> Очень часто сканеру показывают несуществующие узявимости - говорить о реальной можно лишь тога, когда тестовый ПК удается реально узвить. Если такое удастся - это будет сигналом для разработчиков Firewall принимать немедленные меры


может гигиена лучше хирургии?

----------


## Зайцев Олег

> я почитал про эту уязвимость где только нашел. Прочитал даже, что для ее использования и эксплойт не нужен
> конечно, тем более что уязвимость может быть _еще_ неизвестна
> он _уже_ свое сделал - пакет прошел
> может гигиена лучше хирургии?


Если у меня найдется немного времени (я не обещаю, именно "если"), я проведу полигонные испытания Firewall KIS в настройках по умолчанию на "эталонной" лицензионной XP SP2 - у меня для этого есть идеальные условия и отличный полигон, но нет времени. Это позволит поставить все точки на "i" и понять, что там обнаружилось, есть ли реально уязвимость и в чем там проблема. Верить сканеру на самом деле как правило нельзя - обычно подтверждается не более 20-40% из найденных им уязвимостей ... (у меня студенты на дипломе сканеры портов пишут  - и первое, что я им говорю - "не верьте логам сканеров уязвимостей"  :Smiley:  )

----------


## DVi

> что скажете насчет оранжевой уязвимости SYNFIN, обнаруженной нессусом не где нибудь там, а именно в фаерволе кис2009?


1. Уязвимость, обнаруженная в 2002 году в ядрах операционных систем Linux 2.4.19, Solaris 5.8, FreeBSD 4.5 и Windows NT 4.0.
2. В том же году эта уязвимость была устранена патчами этих систем.
3. Ни на одну из этих систем KIS 2009 не встает.

----------


## Зайцев Олег

> 1. Уязвимость, обнаруженная в 2002 году в ядрах операционных систем Linux 2.4.19, Solaris 5.8 и FreeBSD 4.5.


Пара слов в дополнение - я нашел в данном топике лог нексуса - там в логе сканера сказано, что по мнению сканера компьютер отвечает на пакеты с флагами SYN + FIN (что не наказуемо и не является "дырой"), но по мнение сканера возможно это может быть применено для обхода правил Firewall. Т.е. никакой реальной проблемы сканер не видит ...

----------


## costashu

*DVi и Зайцев Олег*
позицию понял. Будем ломать  :Smiley:

----------


## XP user

@ *DVi*, *supaplex* & *Олег* (необязательно в этом порядке  :Wink: ):

Вот что я понял: 'Пока там известных нам уязвимостей нет, можно считать, что файрвол защищает. И как только будут уязвимости, мы здесь тоже не при чём, так что: ребята - всё нормально; пусть сканнер показывает открытые порты.'

У costashu нет серверов. У него в netstat на компе 'слушают' службы винды (следующие компоненты):



> TCP sec:2869
> * C:\WINDOWS\system32\httpapi.dll
> * c:\windows\system32\ssdpsrv.dll
> * C:\WINDOWS\system32\RPCRT4.dll
> * [svchost.exe]
> 
>  UDP sec:ntp
> * c:\windows\system32\WS2_32.dll
> * c:\windows\system32\w32time.dll
> ...


Отчёт netstat (который от него получил по моей просьбе) и отчёты nmap/nessus совпадают. Всё нормально, хотите сказать?
Я это специально спрашиваю, потому что на всех сайтах по безопасности как раз рекомендуют всем отключить особенно SSDP - то, что домохозяйка вряд ли сама сделает. Цель файрвола как я всегда думал - выдать как можно меньше инфы о компе для того, чтобы минимализировать количество атак. Но вы считаете, что нет необходимости маскировать тот факт, что эти службы работают? Я правильно понял?
P.S.: Мне нечего бояться - у меня всё закрыто. Только интересуюсь, и хочу, чтобы все всё поняли. Спасибо заранее за ответы.

Paul

----------


## drongo

Paul, у меня  после отключения ssdp процессор нервничает и прыгает нагрузка в состоянии покоя.

----------


## XP user

> Paul, у меня  после отключения ssdp процессор нервничает и прыгает нагрузка в состоянии покоя.


А как вы её отключили? Universal Plug and Play у вас всё ещё работает, или как?
Когда вы отключаете службы, то тогда надо выйти из Интернета, иначе можно даже BSoD получать...

Paul

----------


## Зайцев Олег

> А в ответ тишина.......... Факт - упрямая вещь.


Фактов пока нет (см. мой пост номер 108). Интересно 
1. воспроизвести данную ситуацию (т.е. убедиться в воспроизводимости), 
2. сканировать ПК не в рамках ЛВС с немаршрутизируемыми адресами (KIS автоматом понимает, что это локальная подсеть - это важно), а воспроизведя ситуацию, когда KIS стоит на ПК с Инет-адресом и его сканируют извне. причем сканируют дважды - до установки KIS и после. 
Вот тогда можно делать выводы ...

----------


## XP user

> Интересно 
> 1. воспроизвести данную ситуацию (т.е. убедиться в воспроизводимости), 
> 2. сканировать ПК не в рамках ЛВС с немаршрутизируемыми адресами (KIS автоматом понимает, что это локальная подсеть - это важно), а воспроизведя ситуацию, когда KIS стоит на ПК с Инет-адресом и его сканируют извне. причем сканируют дважды - до установки KIS и после. 
> Вот тогда можно делать выводы ...


Я пытался - Corbina не пропускает в Инет даже с установленным КИСом...  :Sad: 

Paul

----------


## Зайцев Олег

> Я пытался - Corbina не пропускает в Инет даже с установленным КИСом... 
> Paul


У меня на этот случай есть специальный полигон, воспроизводящий любую мыслимую ситуацию. До выходных я занят одной глобальной задачкой, а вот в выходные устрою испытания

----------


## XP user

> 2. сканировать ПК не в рамках ЛВС с немаршрутизируемыми адресами (KIS автоматом понимает, что это локальная подсеть - это важно)


А как быть с локальной сетью провайдера? Там же тоже не всё сладко. Поставить такие локалки в 'Публичную Сеть' в КИСе не помогает, вы хотите сказать?
Там ходят зловреды и трафик не журнализируется со стороны провайдера...

Paul

----------


## SDA

p2u, в Corbinе есть услуга подключить статический IP адрес, этого достаточно?
 Кстати не понятно, почему разработчики не могли протестировать KIS в "полевых условиях". Кстати Олег, в свое время у тебя был хороший тест фаерволов, и если не ошибаюсь позиция была несколько другая.

----------


## XP user

> p2u, в Corbinе есть услуга подключить статический IP адрес, этого достаточно?


Нет, попробовал. Не пропускает всё равно.

Paul

----------


## SDA

> А как быть с локальной сетью провайдера? Там же тоже не всё сладко. Поставить такие локалки в 'Публичную Сеть' в КИСе не помогает, вы хотите сказать?
> Там ходят зловреды и трафик не журнализируется со стороны провайдера...
> 
> Paul


p2u в моей районной сетке этого хватает, я уже об этом писал. У Зины логи просто "пухли", от сетевых вирусов.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

> p2u, в Corbinе есть услуга подключить статический IP адрес, этого достаточно?
> Кстати не понятно, почему разработчики не могли протестировать KIS в "полевых условиях". Кстати Олег, в свое время у тебя был хороший тест фаерволов, и если не ошибаюсь позиция была несколько другая.


Тогда у меня шел тест на "атаку извне" с минимальной настройкой. KIS тестировался естетственно в различных условиях, поэтому мне очень удивительно, что он вот так вот запросто "все пропускает" - нужно тщательно все проверить, воспроизвести и т.п. Мой полигон воспроизводит ЛВС, сеть провайдера и прямой выход в Инет - так что можно изучить все варианты

----------


## SDA

Ну сейчас тоже речь идет об атаках внешних, т.е. хакер все равно опережает, теоретически нашел уязвимость под приложение (путем сканирования), а KIS "узнал" эту уязвимость, когда под нее подготовили патч.Методы скан, уязвимость, эксплоит, взлом, как были так и остаются.

----------


## XP user

Немного масла ещё в огонь  :Wink: :
В AVZ получите предупреждение если SSDP работает; выглядит это предупреждение примерно вот так:



> 8. Поиск потенциальных уязвимостей:
> >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)


Почему это здесь по комментариям, которые я раньше читал в данной теме вдруг не важно? Именно эта служба обнаруживается nmap/nessus...

Paul

----------


## SDA

Кстати, в той же ZONE, в логах вполне можно определить (и не особо продвинутому юзеру), когда "ломиться" сетевой червь (скан с одного айпи раз .....ть, особенно в локалке), в KIS такая информация отсутствует. Наверное, чтобы не напугать пресловутую домохозяйку.  :Smiley:

----------


## supaplex

По умолчанию, эта служба выключена. Если ее включили, значит если ее задавить фаерволом, то вполне вероятно, что что-то будет работать не так как нужно юзеру. 

Если юзер продвинутый, он сам решит что ему делать, поставить правило для фаервола, запретить службу, забить.

Если юзер не продвинутый, то ничего делать не будет и ничего страшного не произойдет. А вот если у него что-то работать не будет из-за того что мы задавили фаерволом нужную службу, то может все поотключать, а это гораздо опаснее. Часто именно это хакеру и нужно, добиться что-бы пользователь сам отключил защиту.





> Немного масла ещё в огонь :
> В AVZ получите предупреждение если SSDP работает; выглядит это предупреждение примерно вот так:
> 
> Почему это здесь по комментариям, которые я раньше читал в данной теме вдруг не важно? Именно эта служба обнаруживается nmap/nessus...
> 
> Paul

----------


## pig

По умолчанию служба на ручном запуске. И кто-то её при старте системы толкает - я в службах вижу, что она запущена, хотя запуск и ручной.

----------


## ALEX(XX)

> По умолчанию служба на ручном запуске. И кто-то её при старте системы толкает - я в службах вижу, что она запущена, хотя запуск и ручной.


Ага. Работает всё время

----------


## XP user

> По умолчанию, эта служба выключена. Если ее включили, значит если ее задавить фаерволом, то вполне вероятно, что что-то будет работать не так как нужно юзеру.


Предыдущие ораторы уже указали на то, как на самом деле, но для убедительности:
http://www.oszone.net/2568/



> Название службы: SSDPSRV
> Название процесса: svchost.exe
> По умолчанию в Windows XP Home: Вручную
> По умолчанию в Windows XP Pro: Вручную
> *Рекомендуемое значение: Отключена*
> Вход от имени: Локальная служба


Мой (грустный) опыт такой, что то, что в Windows стоит на 'Вручную' на практике работает как раз тогда, когда МЫ это НЕ хотим.



> А вот если у него что-то работать не будет из-за того что мы задавили фаерволом нужную службу, то может все поотключать, а это гораздо опаснее. Часто именно это хакеру и нужно, добиться что-бы пользователь сам отключил защиту.


Мы не говорим просто о 'чём-то'! Каким образом эта потенциально опасная служба связана с защитой, которую 'хакер хочет, чтобы мы отключили?' Из описания явствует:



> Данная служба включает обнаружение UPnP-устройств в домашней сети. Однако, *необходимость данного сервиса в домашних условиях вызывает большое сомнение.*


И теперь ещё другой вопрос:
При выпуске каждого нового патча по службам Интернета сама Майкрософт (которая лучше знает своё барахло, чем мы с вами) пишет следующее предупреждение (то, что многие это не читают - уже не важно):



> На непосредственно подключённых к Интернету системах рекомендуется держать открытыми минимально необходимое количество портов.


Загнули там в Майкрософте, хотите сказать?  :Smiley: 
А как всё-таки быть с 'доверенной' локалкой провайдера, где ситуация временами даже ХУЖЕ, чем в Интернете? Её поставить в 'Публичную Сеть' ничего не даёт, кажется, так как КИС чует разницу, и всё равно доверять будет...

Paul

----------


## bovar

Посмотрел в брандмауэре Висты, кто запускает SSDP (запуск по умолчанию - ручной)
Это обнаружение сети, беспроводные переносные устройства, Инфраструктура одноранговых подключений Windows, Медиаприставка Media Center, Обнаружение сети, Служба общего доступа к сети проигрывателя Windows Media, Служба регистрации имен компьютеров конференц-зала Windows, Удаленный помощник.(SSDP - исходящий и входящий)

----------


## costashu

а еще про порт 2869/tcp смотрим в ХР здеся -

Пуск - Панель управления - Брандмауэр Windows - Исключения - UPnP-инфраструктура - Изменить - TCP 2869 - Изменить область

и убеждаемся, что встроенный виндовый фаер открывает этот порт по умолчанию только для локалки  :Smiley:

----------


## XP user

> Посмотрел в брандмауэре Висты, кто запускает SSDP (запуск по умолчанию - ручной)
> Это обнаружение сети, беспроводные переносные устройства, Инфраструктура одноранговых подключений Windows, Медиаприставка Media Center, Обнаружение сети, Служба общего доступа к сети проигрывателя Windows Media, Служба регистрации имен компьютеров конференц-зала Windows, Удаленный помощник.(SSDP - исходящий и входящий)


Спасибо. Виста совсем другая история - я могу только говорить об XP, система, которая тестировалась здесь. 

Кто её запускает (или от кого она зависит тоже другая история и не относится к данной проблемой). Для данного вопроса (можем мы её отключить или нет?) только важно: какая служба (или какие) от неё зависит? Это на практике только одна: Universal Plug and Play, которая тоже в чёрном списке.  :Wink: 
http://www.oszone.net/display.php?id=2592



> Данная служба обеспечивает поддержку универсальных PnP-устройств узла.
> 
> Название службы: UPNPhost
> Название процесса: svchost.exe
> По умолчанию в Windows XP Home: Вручную
> По умолчанию в Windows XP Pro: Вручную
> *Рекомендуемое значение: Отключена*
> Вход от имени: Локальная служба


Paul

----------


## bovar

> По умолчанию, эта служба выключена.


По умолчанию и в ХР и в Висте она имеет *ручной запуск*. И как видно из сообщений *ALEX(XX)* и *pig* ручной = автоматический.
 Попробовал поработать с остановленной SSDP - так и не заметил потребности в ней. Чему мешает остановка службы?

----------


## costashu

*bovar*
вот здесь хорошо написано

----------


## costashu

чтоб уже как-то логически завершить про _один только_ порт - 2869/tcp - стоит почитать Microsoft Security Bulletin MS07-019 о критической уязвимости именно в UPnP, позволяющей удаленное выполнение кода и закрывать которую рекомендуется немедленно. Исправление есть, но мониторит ли кис хотя бы необходимые (критические) обновления винды? (Я не знаю, так как обновляю. А из-за новой "идеологии" кисового фаера эксперименты проводить опасаюсь.) Немного объясняется эта уязвимость на Shavlik:


> Microsoft Security Bulletin MS07-019
> Vulnerability in Universal Plug and Play Could Allow Remote Code Execution (931261)
> 
> All XP systems are vulnerable, however, the patch is only avaiable for Windows XP SP2
> 
> This is a server-side bug for Windows XP, meaning it can be exploited remotely and no user interaction is required on the XP system.  Any unpatched XP system can be attacked remotely if the attacker can access UDP port 1900 or TCP port 2869.  The attacker could then execute code on that system under the context of LocalService account (which is not quite as good as an admin account)
> 
> Customers should block UDP port 1900 and TCP port 2869 with the XP firewall, or they can disable the Universal Plug and Play service.
> 
> Although there are no reports of current attacks using this vulnerability, Shavlik expects exploit code to surface for this attack very soon.

----------


## Зайцев Олег

Я наконец провел масштабные тесты на полигоне, и удалось установить истину (хочется особо поблагодарить costashu, p2u за насточивость и приведенные аргументы и тесты).  
Вот что было установлено:
1. Описанный выше тест велся идеологически не совсем верно, так как по сути он имитировал не атаку из Интернет, а атаку из ЛВС - т.е. из априори доверенной зоны. Фокус в том, что если KIS ставится в "режиме домохозяйки", то он самонастраивается по умолчанию, не задавая технических вопросов. Это в частности означает, что автоматически опознаются все сети, и они автоматом классифицируются. Сеть с немаршрутизируемыми адресами (типа 192.168.xxx.xxx) классифицируется как локальная сеть, и правила фильтрации пакетов для локальной сети крайне либеральные - почти все разрешено, например, открыты все порты MS, UPNP, разрешен ICMP протокол. Поэтому с логе сканера портов мы видим кучу открытых портов, ничего удивительного в этом нет - таковы правила для локальной сети. Для публичной сети фильтрация намного сильнее, в частности ПК уже не отвечает на пинги из публичной сети и порты MS для нее перекрыты. Соответственно в результате атакующему не удается точно определить тип ОС и не сработает подавляющее большинство эксплоитов
2. В ходе описанных выше опытов при сканированиях отключено противодействие атакам (активное по умолчанию), которое существенно затрудняет уязвление ПК, отключая атакующего и блокируя его на 60 минут. Эта фича  введена специально как раз на тот случай, если атака пойдет из доверенной сети, например ЛВС - в этом случае атакующий будет адаптивно блокироваться, и вероятность ущерба будет ниже
3. Если кроме сканирования портов еще и идентифицировать службы и атаковать их (что я собственно и сделал), то KIS детектирует/блокирует известные ему эксплоиты и атаки, и отражает их. Это еще больше снижает опасность успешной атаки ПК в случае, когда атака идет с доверенного источника. UPNP на XP SP2 мне не удалось уязвить, а вот по MS портам/протоколам я сравнительно успешно атаковал систему (эксплоит поймал KIS). Понятное дело, что в данной ситуации мы получаем проблему, аналогичную сигнатурному детектированием - успешно опознать можно только атаку, описанную базой детектора атак 

Т.е. если резюмировать результаты моих тестов, то речь идет не о уязвимостях Firewall, а о том, что быть может продуктом не совсем верно выбирается зона для определенной сети ("ЛВС", "публичная сеть" и т.п.) и несколько лояльны правила по умолчанию. Угадать тип сети по моему мнению почти невозможно на автомате : а блокировать по умолчанию все по максимуму очень нехорошо - например, если закрыть UPNP в ЛВС, то перестанет работать UPNP оборудование (таковым в частности являются ADSL модемы, и управлять по UPNP ими крайне удобно).  Естественно, что вручную несложно перекрыть все порты, для этого в KIS есть готовые правила - нужно только их активировать для определенной зоны, и компьютер немедленно станет 100% неуязвимым - но это нужно проделать вручную, и понятное дело в случае, если человек точно знает, что ему нужно, а что - нет. В остальном проблема с автоматическим определением типа сети существует, оно детально обсуждается и прорабатывается, в частности принято решение ужесточить правила фильтрации пакетов, применяемые по умолчанию : (в скором времени видимо выйдет патч для этого), кроме того, быть может будут и еще какие-то модификации для повышения степени защиты ПК.

PS: я в свою очередь постараюсь написать на выходных статью о том, как настраивать FW в KIS с картинками и рекомендациями, что и как стоит настроить для того, чтобы 
получить 100% защиту от атак извне - это несложно

----------


## XP user

Спасибо за анализ, *Олег*! Поблагодарил через реп.  :Wink: 

Paul

----------


## costashu

*Зайцев Олег*, благодарю вас за проведенный анализ также и этим сообщением. Спасибо!  :Smiley: 

дополнительно хочу уточнить два момента во избежание недоразумений:


> если KIS ставится в "режиме домохозяйки", то он самонастраивается по умолчанию, не задавая технических вопросов. Это в частности означает, что автоматически опознаются все сети, и они автоматом классифицируются. Сеть с немаршрутизируемыми адресами (типа 192.168.xxx.xxx) классифицируется как локальная сеть


так и было. Но для тестов я изменил в кис тип сети *вручную*. На атакующем компе поставил доверенную, на атакуемом - публичную



> В ходе описанных выше опытов при сканированиях отключено противодействие атакам (активное по умолчанию), которое существенно затрудняет уязвление ПК, отключая атакующего и блокируя его на 60 минут.


так и было. Но хочу подчеркнуть - отключено было *только* блокирование

----------


## ALEX(XX)

> я изменил в кис тип сети *вручную*. На атакующем компе поставил доверенную, на атакуемом - публичную


Я тоже менял с доверенной на публичную на атакуемом

----------


## Palm

Так как насчёт обещаной статьи:



> PS: я в свою очередь постараюсь написать на выходных статью о том, как настраивать FW в KIS с картинками и рекомендациями, что и как стоит настроить для того, чтобы 
> получить 100% защиту от атак извне - это несложно


В этом году увидим?

----------

