Результаты проверки фаервола кис 2009 снаружи

пытался добиться ответа/реакции на форуме ЛК, но не судьба. Поэтому прошу уважаемых участником этого замечального форума [I]подтвердить/опровергнуть[/I] приведенные ниже результаты.

В наличии - винда хп про сп3, кис 2009 с настройками по умолчанию, последний тМитер для подсчета трафика и с включенным собственным фаерволом на внешнем интерфейсе, cdma инет с отключенными нетбиосом и службами шары и клиента сети.

Имеем - фаервол кис 2009 не только пропускает кучу незатребованных пакетов, не закрытых правилами, но и - [I]самое важное![/I] - пропускает пакеты, запрещенные имеющимися в нем правилами Local Services (TCP), Local Services (UDP). Утверждаю так потому, что пакеты эти останавливаются и логируются тМитером. Вот лог фаервола тМитера только за сегодня (айпи у меня динамический в громадном сегменте, потому не закрываю):[CODE]2008-07-13 00:10:27 ACL:0/0 UDP 125.211.198.24:50884 -> 77.52.213.254:1027 len=485
2008-07-13 00:18:04 ACL:0/0 UDP 221.206.121.54:39139 -> 77.52.213.254:1027 len=485
2008-07-13 00:25:47 ACL:0/0 UDP 60.222.224.130:39579 -> 77.52.213.254:1026 len=485
2008-07-13 00:30:33 ACL:0/0 TCP 202.63.156.10:4101 -> 77.52.213.254:23 len=60
2008-07-13 01:40:28 ACL:0/0 TCP 218.27.1.194:18723 -> 77.52.213.254:10000 len=48
2008-07-13 01:45:53 ACL:0/0 UDP 125.211.198.4:34595 -> 77.52.213.254:1027 len=485
2008-07-13 01:53:37 ACL:0/0 UDP 125.211.198.20:33027 -> 77.52.213.254:1026 len=485
2008-07-13 01:53:37 ACL:0/0 UDP 125.211.198.20:33027 -> 77.52.213.254:1027 len=485
2008-07-13 02:38:35 ACL:0/0 UDP 125.211.198.24:45028 -> 77.52.213.254:1026 len=485
2008-07-13 02:59:05 ACL:0/0 TCP 61.160.207.130:6000 -> 77.52.213.254:2967 len=40
2008-07-13 10:36:03 ACL:0/0 2 77.52.204.37 -> 224.0.0.22 len=40
2008-07-13 10:36:04 ACL:0/0 2 77.52.204.37 -> 224.0.0.22 len=40
2008-07-13 10:36:36 ACL:0/0 TCP 72.27.186.20:3317 -> 77.52.204.37:23 len=60
2008-07-13 10:50:17 ACL:0/0 UDP 125.211.198.11:35258 -> 77.52.204.37:1026 len=485
2008-07-13 10:59:28 ACL:0/0 UDP 60.222.231.183:47734 -> 77.52.204.37:1026 len=917
2008-07-13 10:59:28 ACL:0/0 UDP 60.222.231.183:47736 -> 77.52.204.37:1027 len=917
2008-07-13 11:01:02 ACL:0/0 UDP 125.211.198.9:53716 -> 77.52.204.37:1026 len=485
2008-07-13 11:22:31 ACL:0/0 UDP 125.211.198.10:53062 -> 77.52.204.37:1026 len=485
2008-07-13 11:27:43 ACL:0/0 TCP 77.52.225.17:3395 -> 77.52.204.37:1433 len=48
2008-07-13 11:27:46 ACL:0/0 TCP 77.52.225.17:3395 -> 77.52.204.37:1433 len=48
2008-07-13 11:46:12 ACL:0/0 UDP 60.222.224.134:47985 -> 77.52.204.37:1027 len=485
2008-07-13 11:49:36 ACL:0/0 UDP 125.211.198.29:37417 -> 77.52.204.37:1026 len=485
2008-07-13 11:56:06 ACL:0/0 UDP 60.222.224.138:42993 -> 77.52.204.37:1027 len=485
2008-07-13 12:07:59 ACL:0/0 UDP 125.211.198.11:60378 -> 77.52.204.37:1027 len=485
2008-07-13 12:08:33 ACL:0/0 UDP 60.222.224.137:51296 -> 77.52.204.37:1026 len=485
2008-07-13 12:08:33 ACL:0/0 UDP 60.222.224.137:51296 -> 77.52.204.37:1027 len=485
2008-07-13 12:18:12 ACL:0/0 UDP 60.222.224.130:42867 -> 77.52.204.37:1027 len=485
2008-07-13 12:41:11 ACL:0/0 UDP 202.99.172.146:36143 -> 77.52.204.37:1026 len=922
2008-07-13 12:41:11 ACL:0/0 UDP 202.99.172.146:36144 -> 77.52.204.37:1027 len=922
2008-07-13 13:03:33 ACL:0/0 UDP 60.222.224.138:36821 -> 77.52.204.37:1026 len=485
2008-07-13 13:18:44 ACL:0/0 UDP 202.99.172.146:52881 -> 77.52.204.37:1026 len=922
2008-07-13 13:18:44 ACL:0/0 UDP 202.99.172.146:52883 -> 77.52.204.37:1027 len=922
2008-07-13 13:33:56 ACL:0/0 UDP 221.206.121.53:41144 -> 77.52.204.37:1026 len=485
2008-07-13 13:55:20 ACL:0/0 TCP 77.52.207.52:1697 -> 77.52.204.37:1433 len=48
2008-07-13 13:56:26 ACL:0/0 UDP 202.99.172.146:52610 -> 77.52.204.37:1026 len=922
2008-07-13 13:58:36 ACL:0/0 ICMP 80.255.73.19 -> 77.52.204.37 len=56
2008-07-13 13:58:49 ACL:0/0 TCP 202.4.96.22:21008 -> 77.52.204.37:10000 len=48
2008-07-13 13:59:49 ACL:0/0 UDP 125.211.198.4:53957 -> 77.52.204.37:1026 len=485
2008-07-13 13:59:49 ACL:0/0 UDP 125.211.198.4:53959 -> 77.52.204.37:1027 len=485
2008-07-13 14:10:59 ACL:0/0 ICMP 80.255.73.19 -> 77.52.204.37 len=56
2008-07-13 14:25:44 ACL:0/0 2 77.52.204.210 -> 224.0.0.22 len=40
2008-07-13 14:25:45 ACL:0/0 2 77.52.204.210 -> 224.0.0.22 len=40
2008-07-13 14:32:44 ACL:0/0 UDP 221.206.121.10:53498 -> 77.52.204.210:1027 len=485
2008-07-13 14:47:36 ACL:0/0 TCP 67.198.202.130:39995 -> 77.52.204.210:22 len=48
2008-07-13 14:54:24 ACL:0/0 TCP 91.90.20.5:80 -> 77.52.204.210:1837 len=751
2008-07-13 15:08:50 ACL:0/0 UDP 125.211.198.16:40336 -> 77.52.204.210:1027 len=485
2008-07-13 15:12:09 ACL:0/0 TCP 77.52.225.17:3512 -> 77.52.204.210:1433 len=48
2008-07-13 15:12:11 ACL:0/0 TCP 77.52.225.17:3512 -> 77.52.204.210:1433 len=48
2008-07-13 15:12:38 ACL:0/0 UDP 202.99.172.146:46647 -> 77.52.204.210:1027 len=922
2008-07-13 15:12:38 ACL:0/0 UDP 202.99.172.146:46646 -> 77.52.204.210:1026 len=922
2008-07-13 15:22:36 ACL:0/0 UDP 221.206.121.10:38006 -> 77.52.204.210:1026 len=485
2008-07-13 15:26:19 ACL:0/0 TCP 85.121.68.94:3708 -> 77.52.204.210:4899 len=64
2008-07-13 15:28:40 ACL:0/0 TCP 201.8.219.172:3445 -> 77.52.204.210:4899 len=48
2008-07-13 15:43:21 ACL:0/0 TCP 77.37.137.246:4513 -> 77.52.204.210:4899 len=64
2008-07-13 15:44:58 ACL:0/0 TCP 91.126.90.78:1692 -> 77.52.204.210:4899 len=64
2008-07-13 15:47:15 ACL:0/0 UDP 125.211.198.4:59097 -> 77.52.204.210:1027 len=485
2008-07-13 16:00:30 ACL:0/0 UDP 221.206.123.163:33619 -> 77.52.204.210:1026 len=485
2008-07-13 16:00:30 ACL:0/0 UDP 221.206.123.163:33620 -> 77.52.204.210:1027 len=485
2008-07-13 16:03:35 ACL:0/0 UDP 60.222.231.183:45826 -> 77.52.204.210:1026 len=917
2008-07-13 16:11:05 ACL:0/0 UDP 125.211.198.10:34486 -> 77.52.204.210:1027 len=485
2008-07-13 16:34:09 ACL:0/0 TCP 77.52.204.210:3071 -> 195.189.143.140:443 len=40
2008-07-13 16:45:07 ACL:0/0 TCP 98.206.98.153:3597 -> 77.52.204.210:4899 len=64
2008-07-13 16:45:10 ACL:0/0 TCP 98.206.98.153:3597 -> 77.52.204.210:4899 len=64
2008-07-13 16:45:17 ACL:0/0 TCP 98.206.98.153:3597 -> 77.52.204.210:4899 len=64
2008-07-13 16:46:29 ACL:0/0 TCP 77.52.204.210:3257 -> 195.14.47.66:80 len=40
2008-07-13 16:50:29 ACL:0/0 UDP 125.211.198.20:48079 -> 77.52.204.210:1026 len=485
2008-07-13 16:50:29 ACL:0/0 UDP 125.211.198.20:48080 -> 77.52.204.210:1027 len=485
2008-07-13 18:51:44 ACL:0/0 2 77.52.204.210 -> 224.0.0.22 len=40
2008-07-13 18:51:45 ACL:0/0 2 77.52.204.210 -> 224.0.0.22 len=40
2008-07-13 19:09:12 ACL:0/0 UDP 125.211.198.26:38810 -> 77.52.204.210:1027 len=485
2008-07-13 19:14:30 ACL:0/0 UDP 221.206.121.54:39197 -> 77.52.204.210:1026 len=485
2008-07-13 19:14:30 ACL:0/0 UDP 221.206.121.54:39197 -> 77.52.204.210:1027 len=485
2008-07-13 19:19:15 ACL:0/0 TCP 77.52.199.35:4029 -> 77.52.204.210:1433 len=48
2008-07-13 19:31:43 ACL:0/0 TCP 88.152.7.52:4104 -> 77.52.204.210:4899 len=64
2008-07-13 20:02:30 ACL:0/0 UDP 60.222.231.183:54584 -> 77.52.204.210:1026 len=917
2008-07-13 20:02:30 ACL:0/0 UDP 60.222.231.183:54585 -> 77.52.204.210:1027 len=917
2008-07-13 20:04:50 ACL:0/0 UDP 125.211.198.23:33980 -> 77.52.204.210:1026 len=485
2008-07-13 20:05:27 ACL:0/0 TCP 77.52.121.174:4114 -> 77.52.204.210:2967 len=48
2008-07-13 20:05:30 ACL:0/0 TCP 77.52.121.174:4114 -> 77.52.204.210:2967 len=48
2008-07-13 20:07:52 ACL:0/0 UDP 60.222.224.137:41022 -> 77.52.204.210:1026 len=485
2008-07-13 20:12:39 ACL:0/0 TCP 77.52.198.204:3055 -> 77.52.204.210:1433 len=48
2008-07-13 20:12:43 ACL:0/0 TCP 77.52.198.204:3055 -> 77.52.204.210:1433 len=48
2008-07-13 20:24:19 ACL:0/0 UDP 125.211.198.21:36559 -> 77.52.204.210:1027 len=485
2008-07-13 20:44:39 ACL:0/0 TCP 77.245.149.75:3342 -> 77.52.204.210:32000 len=48
2008-07-13 20:55:38 ACL:0/0 UDP 221.206.121.57:42569 -> 77.52.204.210:1026 len=485
2008-07-13 20:55:38 ACL:0/0 UDP 221.206.121.57:42571 -> 77.52.204.210:1027 len=485
2008-07-13 21:01:43 ACL:0/0 UDP 125.211.198.7:48818 -> 77.52.204.210:1026 len=485
2008-07-13 21:01:43 ACL:0/0 UDP 125.211.198.7:48818 -> 77.52.204.210:1027 len=485
2008-07-13 21:12:58 ACL:0/0 UDP 59.44.226.73:6266 -> 77.52.204.210:25772 len=63
2008-07-13 21:13:25 ACL:0/0 UDP 59.44.226.73:6266 -> 77.52.204.210:25772 len=63
2008-07-13 21:18:55 ACL:0/0 UDP 125.211.198.24:51313 -> 77.52.204.210:1027 len=485[/CODE](имеющийся архив логов пока вставить в сообщение не могу - нет прав)

Кроме того, пытаясь проверить работу фаервола кис 2009, а именно его правил (для чего пришлось отключить защиту от сетевых атак), провел сканирование с помошью LanSpy своего второго компа (по всем портам), сымитировав по мере возможности у себя дома инет. Вот лог портов:[CODE]TCP порты (2)
21 ftp => File Transfer Protocol
2869 port => Full port Range

UDP порты (9)
123 NTP => Network Time Protocol
135 epmap => DCE endpoint resolution
137 netbios-ns => NetBios Name Service
138 netbios-dgm => NetBios Datagram Service
139 port => Full Port Range
445 microsoft-ds => Microsoft-DS
500 isakmp => Isakmp
1900 ssdp => Simple Service Discovery Protocol
4500 ipsec-nat-t => IPsec NAT-Traversal[/CODE]

А в ходе подобных "тестов" у их автора не возникло мысли о том, что одновременная работа двух [U][B]программных[/B][/U] Firewall может привести к совершенно непредсказуемым последствиям ?! Например, откуда уверенность в том, что драйвер TMeter поймает пакет после того, как его пропустит KIS, а не до него (хотя в данном случае вообще будет непредсказуемая ситуация - кто из двух равноправных по сути фильтров трафика первым поймает пакет - загадка). Поэтому если тестировать, то
1. Необходимо деинсталлить все Firewall и иное ПО, активно фильтрующее трафик
2. Применить что-то типа моей утилиты APS - средство, открывающее кучу портов и логирующее успешный коннект к ним. Далее запретить работу скажем по порту X, убедиться, что APS этот порт прослушивает и пробовать подключиться по этому порту извне, применяя скажем telnet. В случае успешного коннекта можно смело говорить о пропуске пакетов
3. Следует помнить, что "домашняя" сеть может считаться доверенной

уважаемый Зайцев Олег! Примите мои почтения :) Спасибо, что откликнулись

мысль возникала, и не раз. Потому в начале своего сообщения я и выразил просьбу подтвердить или опровергнуть приведенные результаты. Их легко повторить любому желающему. Необходимое условие - устанавливать тМитер [I]после[/I] кис. Я готов попробовать и другие способы, в том числе рекомендованные вами, при первой возможности

[quote=costashu;254851]уважаемый Зайцев Олег! Примите мои почтения :) Спасибо, что откликнулись

мысль возникала, и не раз. Потому в начале своего сообщения я и выразил просьбу подтвердить или опровергнуть приведенные результаты. Их легко повторить любому желающему. Необходимое условие - устанавливать тМитер [I]после[/I] кис. Я готов попробовать и другие способы, в том числе рекомендованные вами, при первой возможности[/quote]
Для двух приложений, устанавливающих KernelMode драйвера, абсолютно не важно, кто ставился первым, кто последним. Важно, в каком порядке загрузятся их драйвера и какой метод фильтрации трафика они применят. Поэтому повторять опыт с TMeter и любым иным подобным средством смысла нет - именно из-за того, что не ясно, кто из фильтров поймает пакет раньше. Именно поэтому есть смысл в описанном мной опыте - в данном случае проверяется, дошли ли пакеты до прикладной задачи. Если доходят, то с уверенностью в 100% можно говорить, что они пропущены Firewall.

[QUOTE=costashu;254846](имеющийся архив логов пока вставить в сообщение не могу - нет прав)[/QUOTE]вот закачал [URL="http://www.rapidshare.ru/729360"]сюда[/URL] логи (197кб, файл Logs.rar)

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

[QUOTE=Зайцев Олег;254859]Для двух приложений, устанавливающих KernelMode драйвера, абсолютно не важно, кто ставился первым, кто последним. Важно, в каком порядке загрузятся их драйвера и какой метод фильтрации трафика они применят.[/QUOTE]конечно, но почему-то в случае с кис и тМитер порядок установки влияет на порядок перехвата пакета. В этом каждый легко может убедиться
[QUOTE]Поэтому повторять опыт с TMeter и любым иным подобным средством смысла нет - именно из-за того, что не ясно, кто из фильтров поймает пакет раньше.[/QUOTE]1. является ли свидетельством время перехвата пакета? Я включал логирование в запрещающих пакетных правилах кис - для тех же пакетов в логах фаервола тМитера было указано более позднее время
2. если я запрещу в кис пакетным правилом, скажем, входящие на порт 1026, и такие пакеты перестанут логироваться тМитером, будет ли это свидетельством того, что тМитер перехватывает пакеты после кис?
3. есть ли смысл в логировании вайршарком?

Здравствуйте.

Я что-то не так прочитал или.. ? Нетбиос у Вас отключен, так ведь? Так почему же они тогда в логе LanSpy видны? Да и вообще, хочу с сожалением отметить, что фаерволлы у Касперского - странная штука - помню, у меня в седьмом КИС в режиме "Блокировать все" трафик шел и отмечался в журнале трафика как ни в чем не бывало.

[QUOTE=Kinneas;254876]Нетбиос у Вас отключен, так ведь? Так почему же они тогда в логе LanSpy видны?[/QUOTE]и вам здравствовать :) Я провел [I]серию[/I] сканирований с разными настройками. Для приведенного выше лога да, нетбиос поверх tcp в свойствах подключения был выключен и комп после этого перезагружен. Для сравнения логи портов с настройками для локалки:[CODE]TCP порты (8)
21 ftp => File Transfer Protocol
135 epmap => DCE endpoint resolution
139 netbios-ssn => NetBios Session Service
445 microsoft-ds => Microsoft-DS
1044 port => Full port Range
1110 port => Full port Range
2869 port => Full port Range
19780 port => Full port Range

UDP порты (7)
123 NTP => Network Time Protocol
137 netbios-ns => NetBios Name Service
138 netbios-dgm => NetBios Datagram Service
445 microsoft-ds => Microsoft-DS
500 isakmp => Isakmp
1900 ssdp => Simple Service Discovery Protocol
4500 ipsec-nat-t => IPsec NAT-Traversal[/CODE]

costashu такой вопрос, а антивирус лицензионный? Если не лицензионный и был зарегистрирован кряком а не ключиком ... то может быть и не такое...! :L

Даже на forum.kaspersky.com не принято спрашивать о том, лицензионный ли ключ. У costashu ключ Gold beta testers-кий.

спасибо, bovar

[QUOTE=Jolly Rojer;254929]costashu такой вопрос, а антивирус лицензионный?[/QUOTE]
да. Но мы рассматриваем [I]не антивирус[/I] - интегрированный пакет интернет безопасности. Он тоже лицензионный

[QUOTE=Зайцев Олег;254859]Для двух приложений, устанавливающих KernelMode драйвера, абсолютно не важно, кто ставился первым, кто последним. Важно, в каком порядке загрузятся их драйвера и какой метод фильтрации трафика они применят[/QUOTE]

[QUOTE=costashu;254863]конечно, но почему-то в случае с кис и тМитер порядок установки влияет на порядок перехвата пакета[/QUOTE]

costashu, в данном случае Олег более прав, нежели Вы. Порядок загрузки драйверов в общем случае не зависит от порядка установки (если только это не предусмотрено самим разработчиком).

уважаемый DVi, я тоже люблю теорию, но могу только повторить то, что я уже написал [URL="http://virusinfo.info/showpost.php?p=254863&postcount=5"]выше[/URL] -[QUOTE]конечно, но почему-то в случае с кис и тМитер порядок установки влияет на порядок перехвата пакета. В этом каждый легко может убедиться[/QUOTE]прошу не слишком сосредоточиваться на этом все таки частном моменте - влияет или нет - а вернуться к подтверждению/опровержению результатов

costashu, если сомнению подвергается методология эксперимента, то как можно обсуждать результаты?
Более корректную методологию Вам предложил выше Олег. Вот ее результаты имеет смысл обсуждать.

я, как уже и пообещал [URL="http://virusinfo.info/showpost.php?p=254851&postcount=3"]выше[/URL], попробую предложенную [I]методологию[/I], скорей всего завтра, но неужели никто совсем уж не хочет повторить мой "эксперимент" для его опровержения?

[QUOTE=costashu;255069]я, как уже и пообещал [URL="http://virusinfo.info/showpost.php?p=254851&postcount=3"]выше[/URL], попробую предложенную [I]методологию[/I], скорей всего завтра, но неужели никто совсем уж не хочет повторить мой "эксперимент" для его опровержения?[/QUOTE]

Вы тех релизе тестировали или на последней beta версии?

я использую связку кис+тМитер все время, начиная еще с кис6 - мне нужно считать трафик. Приведенные выше логи относятся к бета-версиям кис 2009 после сборки 357

8.0.0.432 протестировал как Олег говорил.

народ, а есть вообще [I]общепринятый[/I] способ (или 2) проверки фаерволов [I]снаружи[/I]? Кроме инетских сканеров. Где можно почитать (англ. подходит)? А то изнутри полно ликтестов, а снаружи? :O

Да вроде и онлайн сканеров хватит, но выполнять их нужно при реальном внешнем IP. Без NAT'ов, прокси и т.д.

@ [b]costashu[/b]:

Для того, чтобы правильно оценить ваши результаты мне хотелось бы увидеть:
* Правила, которые вы создали в KIS'e (особенно для виндовских служб)
* Диапазон доверенных адресов + список доверенных приложений (особенно виндовских служб)

Предполагаю, что то, что в Доверенных не будет блокироваться совсем. Поэтому создать любые запрещающие правила для доверенных приложений (тем более в локальной, доверенной среде) не имеет смысла.

P.S.: Тестировать с [url=http://www.z-oleg.com/secur/aps/]APS[/url] можно, конечно, (могу даже предсказать результат - 100% блокировка входящих) но это НЕ БУДЕТ показателем для поведения KISа насчёт [b]родных виндовских служб[/b], часть которой, скорее всего, в Доверенных.
P.S.2: NetBIOS вы полностью не отключили. Geser здесь на форуме описал как надо бы:
[url]http://virusinfo.info/showthread.php?t=4243[/url]
На самом деле есть ещё некоторые моменты, но тогда у вас сеть может не работать...

Paul