PDA

Просмотр полной версии : APS



Mikhail
01.05.2007, 23:52
А что, APS больше ни кто не пользуется?

barsukRed
02.07.2007, 21:57
Решил проверить надежность фаервола COMODO с помощью APS. На вкладке
*порты TCP* в статусе значится *порт занят другой программой*.Это понятно,фаервол занял.На вкладке *порты UDP*значится *ведется наблюдение*. Это получается фаервол не занимает эти порты? Просканил комп с помощью XSpider-а.Во время сканирования APS реагирует на 7 UDP портов, а в отчете XSpider говорит что все нормально. Получается что COMODO пропускает через себя атаку XSpider? Честно говоря я в растерянности, может что не так сделал? Никто с этим не сталкивался? :)

Макcим
02.07.2007, 22:46
Получается что COMODO пропускает через себя атаку XSpider?Я так полагаю, атака и сканирование портов разные понятия для меня и для COMODO. :) У меня был похожий случай с Касперским. Попробуйте в COMODO создать правило для блокирования всех входящих подключений. У меня после такого правила APS ни чего не ловил и я его благополучно удалил за ненадобностью :)

barsukRed
03.07.2007, 08:09
Попробуйте в COMODO создать правило для блокирования всех входящих подключений.
Такое правило в COMODO создается по умолчанию. А для xspider я заретил
все в фаере а для ptxscan разрешил все. Меня больше интересует,почеиу на вкладках "порты TCP" и "порты UDP" разные значения. И почему APS реагирует, а не должен. :)

Зайцев Олег
03.07.2007, 08:24
Такое правило в COMODO создается по умолчанию. А для xspider я заретил
все в фаере а для ptxscan разрешил все. Меня больше интересует,почеиу на вкладках "порты TCP" и "порты UDP" разные значения. И почему APS реагирует, а не должен. :)
XSpider надеюсь запускался с другого ПК подсети ?

Макcим
03.07.2007, 12:43
Меня больше интересует,почему на вкладках "порты TCP" и "порты UDP" разные значения.Потому, что это разные протоколы. Разницу между ними понимаете?

barsukRed
03.07.2007, 14:14
XSpider надеюсь запускался с другого ПК подсети ?

Нет,с этого же пк.Я ввел 127.0.0.1

Добавлено через 3 минуты

Потому, что это разные протоколы. Разницу между ними понимаете?

На вкладке *порты TCP* в статусе значится *порт занят другой программой*.Это понятно,фаервол занял.На вкладке *порты UDP*значится *ведется наблюдение*. Получается APS не ведет наблюдение портов TCP? Или фаер не отслеживает порты UDP?

Макcим
03.07.2007, 15:21
На вкладке *порты TCP* в статусе значится *порт занят другой программой*.Такой статус на всех портах что ли?
На вкладке *порты UDP*значится *ведется наблюдение*.Это нормально.

Зайцев Олег
03.07.2007, 15:48
Нет,с этого же пк.Я ввел 127.0.0.1

Добавлено через 3 минуты


На вкладке *порты TCP* в статусе значится *порт занят другой программой*.Это понятно,фаервол занял.На вкладке *порты UDP*значится *ведется наблюдение*. Получается APS не ведет наблюдение портов TCP? Или фаер не отслеживает порты UDP?
В ходе проверки Firewall нельзя сканировать свой собственный ПК с него-же !! Сканирование должно вестись с другого ПК (Firewall вообще может пропускать весь "внутренний" трафик и будет в этом совершенно прав ... скан "самого себя изнутри" аналогичен запиранию кошки на кухне вместе с мясом с целью проверки эффективности кухонной двери с точки зрения недопущения кошек на кухню :) Вот поэтому APS и реагирует. Почему он не может открыть порты TCP - неясно, в случае других Firewall это срабатывает - видимо COMODO блокирует открытие портов на прослушку, если это запрещено правилами. На самом деле это совершенно необязательно - если Firewall блокирует пакеты по определенному порту, то прослушивает этот порт приложение или нет - не важно ...

barsukRed
03.07.2007, 18:13
Такой статус на всех портах что ли?.
Именно так.На всех портах TCP такой статус. А на всех портах UDP значится *ведется наблюдение*. Запрещающее входящее правило в фаере одинаково для TCP и UDP портов, а на поверку в обеих вкладках статусы разные. Попробую я другой фаервол и посмотрю что будет... Я вот только одного не могу понять,правило одинаково для обеих TCP и UDP портов,значит и статус их во вкладках APS должен быть одинаков... Либо *ведется наблюдение* либо *порт занят другой программой*...

Добавлено через 15 минут

В ходе проверки Firewall нельзя сканировать свой собственный ПК с него-же !! Сканирование должно вестись с другого ПК
Если я правильно Вас понял,то нельзя сканировать свой кромп для проверки фаервола. А если его выгрузить,то сканировать самого себя можно на предмет наличия уязвимых мест? К некоторым сканерам в их описании приводится пример такого применения.

Зайцев Олег
03.07.2007, 18:18
Если я правильно Вас понял,то нельзя сканировать свой кромп для проверки фаервола. А если его выгрузить,то сканировать самого себя можно на предмет наличия уязвимых мест?
Сканировать всегда нужно "со стороны", т.е. с другого ПК. Для тестирования сканера уязвимостей можно сканернуть себя локально, равно как и для обнаружения на своем ПК уязвимых с точки зрения сканера настроек и служб. Но не более того ...

barsukRed
03.07.2007, 19:03
Сканировать всегда нужно "со стороны", т.е. с другого ПК. Для тестирования сканера уязвимостей можно сканернуть себя локально, равно как и для обнаружения на своем ПК уязвимых с точки зрения сканера настроек и служб. Но не более того ...

Все понял,большое спасибо,Олег. :)

latin
09.07.2007, 05:48
Сканировать всегда нужно "со стороны", т.е. с другого ПК. Для тестирования сканера уязвимостей можно сканернуть себя локально, равно как и для обнаружения на своем ПК уязвимых с точки зрения сканера настроек и служб. Но не более того ...Для проверки файрволлов и прочих брешей можно использовать виртуальные машины организовав между ними и хостом (физическим ПК) сетевое подключение. Например, ВМваре позволяет создать любой тип сетевого взаимодействия.
На одном из форумов обсуждается подобный вопрос, по ссылке от туда я и заглянул сюда.

Jolly Rojer
11.07.2007, 11:22
Для проверки файрволлов и прочих брешей можно использовать виртуальные машины организовав между ними и хостом (физическим ПК) сетевое подключение. Например, ВМваре позволяет создать любой тип сетевого взаимодействия.
На одном из форумов обсуждается подобный вопрос, по ссылке от туда я и заглянул сюда.

В принципе можно, но какой смысл тратить кучу времени на развертывание всего этого? Гораздо проще воткнуть в сеть блокнот оснащенный по полному боевому арсеналу и посканить машину... времени займет 2 минуты на загрузку софта и подключение к сетке ;) Если времени много то можно баловаться и с виртуальной машиной... у меня его к сожалению не оч много, так что для меня лично такое решение не подходит.

latin
30.10.2007, 10:55
Jolly Rojer

В принципе можно, но какой смысл тратить кучу времени на развертывание всего этогоВремени? Да примерно столько же сколько на установку всего боекомплекта и его настройку на другой машине, а может и меньше.

Adanedhel
27.11.2008, 07:57
Outpost запрашивает создание правил для APS,причем спрашивает разрешение на прослушивание кучи портов. Нужно запретить все или разрешить? Не пойму,на сайте сказано правил создавать не надо.

NRA
27.11.2008, 16:59
Не создавать РАЗРЕШАЮЩИХ правил --> запретить любую активность.

Хотя всё зависит от Вашей цели:
- для контроля рутера/фаера - всё запретить и если коннект есть -фтопку такой фаер и/или правила

- для режима "приманки" (honeypot) можно и разрешить с соответствующими настройками - некоторые сканнеры/снифферы жестоко глючат и падают от интерпретации ответа из случайного набора символов ;)