# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  Защита компьютера от атак извне без firewall

## Geser

Сейчас справедливо говорят, что для нормальной защиты компьютера обязательно нужен межсетевой экран (firewall)
Это в принципе верно. Однеко если ваша активность в Интернете сводится только к проверке почты и просмотру сайтов, а настройка firewall-а для вас что-то из области научной фантастики, то Вы можете довольно надёжно защитить свой компьютер от атак извне без всякого firewall-а.
Как это сделать?
Очень просто.

Правой кнопкой по My Network Places (Мое сетевое окружение) -> Properties (Свойства) -> правой кнопкой по Local Area Connection (Подключение по локальной сети) -> Properties (Свойства) -> уберите галочку у File and Printer Sharing for Microsoft Networks (Службы доступа к файлам и принтерам сетей Microsoft) -> щёлкните по НАДПИСИ Internet Protocol (TCP/IP) (Протокол Интернета (TCP/IP)) -> Properties (Свойства) -> Advanced (Дополнительно) -> Options (Параметры) -> щёлкните по TCP/IP filtering (Фильтрация TCP/IP) -> Properties (Свойства) -> пометьте в трёх колонках пункты Permit only (Только) -> в колонке TCP Ports (TCP-порты) нажимайте Add (Добавить) и добавляйте один за другим порты: 20, 21, 25, 80, 8080 и 110 -> Ok -> Ok -> Ok -> Ok. Машина попросится перезагрузиться и Вы, естественно, скажете ей ДА! Таким образом Вы закрываете все порты кроме нужных для Вас, и Ваш компьютер станет непробиваем снаружи.

Естественно что при таких настройках не работают P2P клиенты типа Казы и Мула, ICQ и другие программы для обмена сообщениями и т.д. Кое что можно настроить, а кое что - нет. Собственно, из-за ограничений данного метода защиты и созданы межсетевые экраны.

Примечание: 
      File and Printer Sharing for Microsoft Networks (Службы доступа к файлам и принтерам сетей Microsoft) отвечает за расшарку ресурсов в сети и, если Вы хотите иметь доступ к ресурсам машины через сеть, то этот пункт должен остаться помеченным. 
      Если у Вас есть локальная сеть - нужно установить протокол IPX/SPX на всех машинах - участниках сети.
   - Поясню о портах, которые мы открыли: 
      80 или 8080 - это порт для HTTP сервиса, то есть, чтобы гулять по интернету, этого достаточно, так же этого достаточно и для HTTP сервера. Если Вы больше ничем не пользуетесь, то больше ничего и не открывайте. 
      20 и 21 - FTP клиент/сервер. Если Вы лазаете по FTP или предоставляете свою машину как FTP сервер - откройте эти порты. Хотя есть FTP сервера, работающие через другие порты. Это придётся настраивать отдельно, если понадобится. 
      25 и 110 - почтовый клиент, то есть POP3 и SMTP. Если Вы не пользуетесь почтовой программой, а получаете почту через HTTP сервис, например, заходите на сайт hotmail.com, то и эти порты можете не открывать. 

Использованы отрывки из статьи Андрея Девейкина "Интернет-САМБО (самооборона без “оружия”)" http://www.donkeyhot.net/journal/no6/sambo.asp

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

А как сделать так, наверное, добавить какие-то настройки или порт, чтобы работать с IIS на своем компьютере для разработки веб-приложений?
Или в таком случае необходим firewall?

----------


## Geser

> А как сделать так, наверное, добавить какие-то настройки или порт, чтобы работать с IIS на своем компьютере для разработки веб-приложений?
> Или в таком случае необходим firewall?


По идее при обращении к localhost описанное выше мешать не должно. Хотя не проверял.

----------


## maXmo

что-то направления там вообще не обсуждаются, ну, если открыть 80й порт, то к IIS коннектиться можно, а вообще выше описывается метод простой защиты для тех, кто не знает, что такое файрвол и не хочет копаться в его навороченной системе настроек. Если вам нужна защита более профессионального уровня, ставьте нормальный файрвол (если вы чувствуете в себе силы его настраивать).

----------


## userr

Что-то сомневаюсь я, что кто-нибудь, включая самого автора, на самом деле пробовал следовать этим советам: закрыть ВСЕ udp соединения и устремиться в Интернет. Сознайтесь, ведь не проверял реально никто!  :Smiley:

----------


## Geser

> Что-то сомневаюсь я, что кто-нибудь, включая самого автора, на самом деле пробовал следовать этим советам: закрыть ВСЕ udp соединения и устремиться в Интернет. Сознайтесь, ведь не проверял реально никто!


Я не проверял, но udp не используется при просмотре веб страниц. udp обычно используется для передачи видео/аудио + всякие нестандартные цели.

----------


## Sanja

Protocols

Permit Only

ni odnogo prototola ne ukazalo... daze (6) - TCP

zna4it posle takih nastroek internet zagnetsa  :Wink:

----------


## Geser

> Protocols
> 
> Permit Only
> 
> ni odnogo prototola ne ukazalo... daze (6) - TCP
> 
> zna4it posle takih nastroek internet zagnetsa


Не, ты плохо смотрел. TCP там разрешены определённые порты. И включи уже транслитер(птичка ниже окна ввода текста)   :Wink:

----------


## egik

я вообще не нашел окошко, через которое можно закрывать и открывать порты, подскажите!  ???

----------


## Geser

> я вообще не нашел окошко, через которое можно закрывать и открывать порты, подскажите!  ???


Всё написано. Читай внимательно.

----------


## Зайцев Олег

Немного уточню описание в начале темы - для работы в Инет и для FTP кроме портов 80, 21 ...   придется открыть порт 53 UDP - через него DNS работает.

----------


## maXmo

не через TCP? в аутпосте два правила на dns - через udp и tcp
одного чела за молчание на echo, провайдер отключал от инета  :Wink:

----------


## Зайцев Олег

> не через TCP? в аутпосте два правила на dns - через udp и tcp
> одного чела за молчание на echo, провайдер отключал от инета


Через UDP - это обычный DNS, через TCP - перенос зоны (обычному юзеру он не нужен). Я бы открыл только порт 53 UDP

----------


## pig

> одного чела за молчание на echo, провайдер отключал от инета


Я думаю, он таким способом просто активность проверял и отрубал зависшие соединения.

----------


## Searcher

Т.к. выдалась такая возможность, компьютер на работе так и так без "стенки", решил воспользоваться рекомендациями описанными в данной теме.

Компьютер подключён в интернет через сеть.

TCP Ports - выставил 20,21,80;
UDP Ports - Permit All;
IP Protocols - 4.

При такой конфигурации проблем с интернетом не возникло.   :Smiley: Пробовал играться с UDP портами, однако ничего путного не вышло. :-[

Может есть у кого идеи, какие UDP порты необходимо оставить открытыми для нормальной работы в интернет? ???

----------


## Geser

А оставить только 53 пробовал?

----------


## Searcher

> А оставить только 53 пробовал?


Пробовал, ответ отрицательный - нет интернет соединения  :-[

----------


## Grandfather

По UDP ваш комп получает DNS. На вашем компьютере исходящий порт может быть в пределах 1024-5000. (Из моей практики). Вот их и надо открыть. А удаленный порт-53.

----------


## Geser

> Пробовал, ответ отрицательный - нет интернет соединения  :-[


А прокси нет поблизости. Думаю решилось бы много проблем.

----------


## Searcher

> По UDP ваш комп получает DNS. На вашем компьютере исходящий порт может быть в пределах 1024-5000. (Из моей практики). Вот их и надо открыть. А удаленный порт-53.


Если я ничего не путаю, то все те ограничения, которые я выставляю в TCP/IP Filtering влияют только на входящий трафик, тоесть компу дана команда впускать только по списку, а выпускать всех. Т.о. решение задачи сводится к необходимости открыть нужные UDP порты (53-го ему явно не достаточно).

----------


## Searcher

> А прокси нет поблизости. Думаю решилось бы много проблем.


А чем прокси может помочь?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Grandfather

Проблема в следующем: приложение запрашивает DNS по некоторому порту из указанного диапазона и получает ответ от сервера по ТОМУ ЖЕ САМОМУ порту. поэтому если строго говорить мы вынуждены открывать по UDP порты 1024-4096 в обе стороны.
При настройке файерволлов надо поставить удаленным адресом  только к ваш DNS сервер а локальный адрес поставит только ваш собственный. Это будет довольно жесткое правило по DNS.  ( Еще более жестко можно  разрешить работу только определенным вами приложениям, например только IE )

----------


## Geser

> А чем прокси может помочь?


Тогда он будет заниматься получением DNS, и можно будет UDP вообще не открывать. Я думаю... не проверял.

----------

