PDA

Просмотр полной версии : Как закрыть дыру ICMP



NikolayFirsov
18.04.2008, 06:50
Здраствуйте, подскажите как через реестр или через KIS 8.x закрыть дыру, которая показана на рисунке?

ALEX(XX)
18.04.2008, 08:21
Здраствуйте, подскажите как через реестр или через KIS 8.x закрыть дыру, которая показана на рисунке?
Там же русским по-белому сказано "установите обновление от производителя". Даже ссылку на сайт майкрософт дали

XP user
18.04.2008, 08:32
Здраствуйте, подскажите как через реестр или через KIS 8.x закрыть дыру, которая показана на рисунке?
Здравствуйте!

Жаль, что вы даже не указали точную версию своей ОС. Теперь надо гадать.
Речь идёт о критическом обновлении Майкрософта KB 893066 (=MS05-019):
http://www.microsoft.com/technet/security/Bulletin/MS05-019.mspx
XSpider дал вам эту ссылку уже. Нажать на неё, крутить страницу вниз, выбрать свою ОС (надеюсь XP SP2) и нажать Download.

Дам пример для русской версии XP SP2 32-bit (если у вас другая версия и другой язык, поменяйте соответственно!):
Ищем XP SP2, нажимаем 'Download the Update'. Попадаем сюда:
http://www.microsoft.com/downloads/details.aspx?FamilyId=81049A86-6F39-4A27-A643-391262785CF3&displaylang=en
Там надо язык менять (change language). Поменяем на 'Russian', нажимаем 'Change', и попадаем сюда:
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=81049a86-6f39-4a27-a643-391262785cf3
Нажимаем 'Загрузить' и всё. Если эта ссылка не работает, надо нажать на эту:
http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=ru&SrcCategoryId=&SrcFamilyId=81049a86-6f39-4a27-a643-391262785cf3&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2 f3%2fb%2fb%2f3bb13129-7119-4956-bca9-250f5e279ea1%2fWindowsXP-KB893066-v2-x86-RUS.exe
Скачаем, и потом вручную установим как программу.

P.S.: ИМЕЙТЕ В ВИДУ, ЧТО ФАЙРВОЛ ОТ ЭТОГО НЕ СПАСЁТ!

Paul

Зайцев Олег
18.04.2008, 09:32
Здраствуйте, подскажите как через реестр или через KIS 8.x закрыть дыру, которая показана на рисунке?
Можно не заниматься ерундой ... на картинке видны адреса 192.168.*** - это адреса локальной сети, адреса данного диапазона специально выделены для ЛВС и не маршрутизируются в Интернет, поэтому собственно от кого защищаться ?! От ICMP атаки с компьютера соседа ?

XP user
18.04.2008, 10:28
Можно не заниматься ерундой ... на картинке видны адреса 192.168.*** - это адреса локальной сети, адреса данного диапазона специально выделены для ЛВС и не маршрутизируются в Интернет, поэтому собственно от кого защищаться ?! От ICMP атаки с компьютера соседа ?
Локалки бывают разные, Олег. Причём в локалке может находиться пользователь не из этой локалки - у нас в Centel (ныне qwerty) было такое. Он всех нафлудил с ICMP и ARP пока я не сообщил провайдеру, что находятся два идентичных мак-адреса в этой локалке... Не зря я отделился от этой локалки...
P.S.: Потом заражённых компов с ботами там тоже куча, и локалки обычно не мониторятся по этому предмету...
Именно поэтому считаю, что в 'ДОВЕРЕННОЙ' среде (локалка от провайдера почти всегда автоматически такой является) нужны все заплатки без исключения если это только не ваши собственные компы, которым можно действительно доверять.

Paul

NikolayFirsov
18.04.2008, 14:11
Ну без всяких обновлений.
1) Либо через реестр, как-нибудь отключить ICMP?
2) Либо через Фильтрация TCP/IP? (свойства протокола TCP/IP => Дополнительно=> параметры=>свойства)
3) Либо сетевым экраном от KIS 7-8.x

ОЛЕГ.У нас на работе сотрудники могут своровать информацию, или загасить сервер, из-за этого нада как-то закрыть.

Зайцев Олег
18.04.2008, 15:04
Ну без всяких обновлений.
1) Либо через реестр, как-нибудь отключить ICMP?
2) Либо через Фильтрация TCP/IP? (свойства протокола TCP/IP => Дополнительно=> параметры=>свойства)
3) Либо сетевым экраном от KIS 7-8.x

ОЛЕГ.У нас на работе сотрудники могут своровать информацию, или загасить сервер, из-за этого нада как-то закрыть.
От таких сотрудников хорошо помогае IDS, например SNORT - регистрация атаки + показательное увольнение или жестокое наказание намного эффективнее, чем защита от внутренних сетевых угроз ... в данном случае борьба с ICMP ерунда - эта атака тут капля в море - на картинке показано например, что что открыты порты MS - это означает, что любой ПК можно зафлудить насмерть - это же скоростная ЛВС, в это нет ничего сложного... тем более что сотрудники явно имеют некий доступ к ПК друг-друга и к серверу.
Если говорить конкретно про уязвимость ICMP - тут можно:
1. Поставить все заплатки безопасности, это закроет известные узявимости, что уже хорошо
2. в KIS проследить, не влючен ли режим считать довренным локальную сеть. Если включен - отключить. Там еще есть птичка режима невидимости - это хорошо помогает
3. в сетевом экране KIS, в настройках, "Правила для пакетов", там по умолчанию в 7-ке к примеру 4 разрешительных правила для ICMP. Можно в принципе создать единое запретительное правило для ICMP - блокировать все ICMP запросы и от всех, и поместить это правило первым. Это заблоикрует весь ICMP трафик. Посторное сканирование XSpider должно показать, что на подобной машине "уязвимость" пропадет, но это не факт. XSpider может делать косвенный вывод об этом

XP user
18.04.2008, 15:13
Можно в принципе создать единое запретительное правило для ICMP - блокировать все ICMP запросы и от всех, и поместить это правило первым. Это заблоикрует весь ICMP трафик.
Дополнение @ NikolayFirsov: Зоны в KIS7 имеют приоритет над пакетными правилами - такие правила не будут работать если локалка в Доверенной Зоне. При выборе такого статуса будет разрешена любая сетевая активность. Даже если установлен уровень Максимальной защиты и созданы запрещающие правила, они не будут действовать для удалённых компьютеров доверенной зоны.

Paul

NikolayFirsov
21.04.2008, 09:26
Как закрыть дыру что показано на рисунке про ICMP без всяких обновлений?
1) Либо через реестр, как-нибудь отключить ICMP?
2) Либо через Фильтрация TCP/IP? (свойства протокола TCP/IP => Дополнительно=> параметры=>свойства)

Numb
21.04.2008, 11:12
Как закрыть дыру что показано на рисунке про ICMP без всяких обновлений?
1) Либо через реестр, как-нибудь отключить ICMP?
2) Либо через Фильтрация TCP/IP? (свойства протокола TCP/IP => Дополнительно=> параметры=>свойства) Если стоит задача просто отключить ICMP - через политики безопасности IP создайте правило типа "Адрес источника" - "Любой IP-адрес"; "Адрес назначения" - "мой IP-адрес" http://i011.radikal.ru/0804/8e/66d77fcfd1a5.jpg
, тип протокола выберите "ICMP".
http://i017.radikal.ru/0804/3e/337041b008ca.jpg
Действие фильтра укажите - "блокировка".
http://i009.radikal.ru/0804/b7/792e5ad590a7.jpg
Применение такой политики должно полностью блокировать активность протокола ICMP. Но правильнее, по-моему, поставить критические обновления, а не искать обходных путей.

NikolayFirsov
22.04.2008, 08:13
Это через IPSEC?
Так она же дырявая, из за неё открываются два порта 500 и 4500, я XSpader'ом сканировал, и увидел что дыряваяя.... рекомендую отключить эту службу....
Надо как то через Фильтрацию TCP/IP протокола научиться

maXmo
22.04.2008, 12:50
Есть ещё какой-то ICF, ну или заткнуть в кисе соотв. порты. А через фильтрацию IP не получится, не тот протокол.

NikolayFirsov
08.05.2008, 06:49
ещё советы будут? дайте пожауйста

NikolayFirsov
01.08.2008, 11:19
Ну всяко есть в реестре ключи по закрыванию/откллючению протокола ICMP (мне так кажеться..)
ну подскажите как через реестр...?

ananas
07.08.2008, 04:32
NikolayFirsov, у меня в файерволле создано правило: блокировать все вх/исх ICMP запросы отклика для всех IP. Как я понимаю, это и есть т.н. режим невидимости.
она же дырявая, из за неё открываются два портаЛюбая сетевая служба дырявая по определению - дырка/дверь/вход-выход/порт. И у Вас, и у меня есть дырки, через которые мы пишем в этот форум. Ну давайте их закроем.
могут своровать информациюCкажите, пож., кто знает, какую можно своровать информацию по ICMP? Скрыться от пинга - знаю. А еще?

Наверное, и сам автор уже забыл про эту тему.