Безопасность ПК работающего в локальной сети города

[Банщик]

Добрый вечер. Имеется ПК подключенный к интернету и к локальной сети города. Через сеть постоянно прилетает много всякой заразы(это и отключение звука, 100% загрузка процессора от процесса svchost, вылетали экраны "смерти" и тд) и поэтому приходилось один раз в 3-4 месяца переустанавливать систему. Стоял комплекс ESET NOD32 Smart Security Прочитав статьи на этом форуме я понял что система была не защищена, тем более что работал под админом. Сделав полное форматирование харда я поставил windows xp sp3 original. Создал ограниченную учетную запись, отключил автозапуск со съемных устройств, установил антивирус Avira и Agnitum Outpost Firewall Pro. Так же для повышения безопасности стоит отключит службы. Но при их отключении могут быть проблемы с сетью. А она у меня используется лишь для скачивания и отдачи фильмов, музыки и тд. через программу flylinkdc++; работа ICQ; обновление системы через сеть( провайдер эти услуги предоставляет) ну и все наверно. Какие службы точно нельзя отключать, дабы не нарушить работу с сетью? Как еще ограничить работу учетной записи чтобы еще что не попало? p.s Этот компьютер работает только для скачивания инфы из сети( с помощью вышеуказанной программы) и работы в интернете+ базовые функции(напечатать, распечатать текст). Никакие программы, сетевые игры и тд. уставливаться не будут. Напишите пожалуйста что еще сделать чтобы не ловить всякую дрянь и обезопасить ПК p.p.s Этот комп еще не подключался к сети и не работал в инете, я все еще его готовлю к этому

[9073]

Всё приятель - больше уже ничего сделать нельзя - ты сделал Всё. :) Главное, что ты на верном пути.

Отключение служб.
Давай так, ты их пока не отключай и поработай 3-4 месяца. Если всё ОК - ещё 3-4 и так далее. :)
Я бы вообще этим заниматься не стал. Главное, фиксируй, что отключаешь, чтобы потом локти не кусать. Наглядно тебе могут ответить про отключение те кто это практикует давно.

[light59]

Это читали? http://virusinfo.info/showthread.php?t=37711

[9073]

Да, я читал. Но отключение не практикую. Я бы на месте банщика не стал бы отключать и посмотрел - упадет ОС через 3-4 месяца или нет. Если упадет - тогда можно и службы отключать, и снова понаблюдать. Если снова упадет

[Банщик]

Это читали?

Да, читал, может не внимательно правда, еще раз всю книгу прочту. Спасибо за ответ. Я так понимаю, что Firewall в своей работе будет показывать, с кем моя система и кто с ней хочет соединится через сеть. Если эти адреса мне не известы и они не используются запущенными сетевыми программами, то их можно заблокировать?

[Зайцев Олег]

Да, читал, может не внимательно правда, еще раз всю книгу прочту. Спасибо за ответ. Я так понимаю, что Firewall в своей работе будет показывать, с кем моя система и кто с ней хочет соединится через сеть. Если эти адреса мне не известы и они не используются запущенными сетевыми программами, то их можно заблокировать?

Именно так ... плюс стоит подумать о том, сколько денег на защиту не жаль потратить. Если есть ресурс 1-3 т.р, то можно подумать об аппаратной защите, которая сводит к минимуму задачи Firewall (ему остается только следить за сетевой активностью приложений), и значительно повышает защищенность, так как железка автономна и в отличие от программого Firewall не может быть отключена или повреждена зловредом. Плюс она даст ряд плюсов - возможность подключения к каналу нескольких ПК например.

[priv8v]

Я бы на месте банщика не стал бы отключать и посмотрел - упадет ОС через 3-4 месяца или нет. Если упадет - тогда можно и службы отключать, и снова понаблюдать. Если снова упадет

к чему эти танцы с бубном если все давно уже известно - главное прочитать и применить прямые руки.
в книге и в этой теме уже достаточно написано...

[Банщик]

можно подумать об аппаратной защите, которая сводит к минимуму задачи Firewall

Можно поподробнее об этом или дайте пожалуйста ссылочку где можно почитать. Первый раз слышу об аппаратной защите( в джунглях живу)

[pig]

Сейчас практически любой ADSL-маршрутизатор по совместительству выполняет функции файрвола и NAT.

[Зайцев Олег]

Можно поподробнее об этом или дайте пожалуйста ссылочку где можно почитать. Первый раз слышу об аппаратной защите( в джунглях живу)

Все просто - есть такой приборчик, именуемый "роутер". По виду небольшая коробушка, размером с модем ... у него имеется несколько портов Ethernet, обычно 4+1. 4 порта именуются LAN и предназначены для подключения имующихся в доме потребителей Инет, и один порт WAN - туда включается провод, идущий к провайдеру. В более дорогих моделях кроме этого есть разные навороты - WiFi, порты USB для подключения USB дисков (они становятся доступны по сети) или принтеров (они опять-же становятся доступны через программный принт-сервер) и т.п. Роутер очень несложно устроен, по сути это микрокомпьютер с Linux на борту, вместо процессора у него применяется шустрый контроллер, имеется Flash память для хранения прошивки (как правило 2-32 мб), ОЗУ (2-64 мб) ... Соответственно Linux как известно может отлично решать всякие сетевые задачи (выступать в роли Firewall/NAT в частности). Чтобы его настройка была доступна простому смертному пользователю, разработчики роутеров идут на разные ухищрения - в частности делают простые WEB оболочки для конфигурирования устройства через браузер, нередко с кучей визардов - остается только заполнить нужные параметры отвечая на вопросы визардов, и через 5-15 минут устройство "готово к бою". Средняя цена такого роутера - те самые 1-3 тыс. рублей, делают их все, кому не лень - DLink, ASUS, TRENDnet, Acorp, 3COM. Вот например:
http://www.nix.ru/autocatalog/trendn...P10_24441.html
http://www.nix.ru/autocatalog/d_link...UTP_18000.html
http://www.nix.ru/autocatalog/d_link...DSL_20250.html
Это выборка "от балды" по типу устройства и ценовому диапазону. Устройства данной категории хороши тем, что имеют много фич (базовые - NAT и Firewall, как правило поддержка VPN и виртуальных DMZ, нередко есть разные детекторы атак, считалки трафика и т.п. - все это реализуется программно, поэтому разработчики не скупятся на такие фичи). Это все актуально и для современных xDSL модемов - у них вся разница только в том, что вместо WAN порта у них этот самый xDSL модем стоит.

[Банщик]

Все просто - есть такой приборчик, именуемый "роутер".

Слышал о таком, только думал что он предназначен для подключения имеющихся в доме потребителей к сети. Теперь есть почва, чтобы искать информацию по настройке роутера и разбираться.

[Зайцев Олег]

Слышал о таком, только думал что он предназначен для подключения имеющихся в доме потребителей к сети. Теперь есть почва, чтобы искать информацию по настройке роутера и разбираться.

Именно так и есть - роутеры то разные бывают, соответственно и цели разные. Стоящий на уровне дома роутер или интеллектуальный свитч раздает Инет потребителям в доме, соответственно маленький персональный роутер в квартире - потребителям внутри нее. Причем если думать о покупке такового устройства, то я бы советовал брать с бортовым WiFi - решится сразу три проблемы
1. беспроводное подключение разных девайсов типа КПК, ноутбуков и т.п. (это даст им выход в Инет, доступ к "домашней сети" - т.е. другим устройствам, подключенным к роутеру)
2. Подключение N устройств к одному каналу (соответственно за счет NAT них всех будет один внешний IP, назначенный провайдером)
3. Базовая защита. NAT не позволяет по умолчанию коннектиться к ПК во "внутренней сети", что сразу резко повышает защищенность "внутренней сети", плюс Firewall и разные фичи типа "невидимости", детекторы атак и ботов, считалки трафика ...
Причем под пункты 2-3 попадают как проводные потребители, так и беспроводные, подключенные к роутеру по WiFi. А если дома более одного ПК и есть принтер, то есть резон искать роутер с бортовым принт-сервером, но резко упростит работу с принтером (в частности, не придется включать тот ПК, к которому он подключен для печати)

[Hanson]

а как быть с вариантом когда у провайдера привязка по мак адресу??

[Virtual]

а как быть с вариантом когда у провайдера привязка по мак адресу??

еще лучше вот пусть и привязываются к мак адресу роутера, и нет головной боли при смене железа на компах и ноуте

ЗЫЗЫ да и мак... штука такая знаете ли, ну что хочу то и пишу, короче мак "меняется на раз,два", что в *никсах (самая вероятная операционка в роутере) что в виндах. так что привязка к нему это нонсенс и защита от пионеров.

[Hanson]

да эт понятно что он легко меняется,
тоесть мак по которому я числюсь у порва своего я ставлю на роутер, а на машине меняю его на што угодно, и радуюсь

[9073]

А кто из здесь отвечающих отключил у себя неиспользуемые службы?

[anatol81n]

да эт понятно что он легко меняется,
тоесть мак по которому я числюсь у порва своего я ставлю на роутер, а на машине меняю его на што угодно, и радуюсь

ИМХО лучше попросить прова перепривязать мак

[PavelA]

А кто из здесь отвечающих отключил у себя неиспользуемые службы?

У меня на домашнем много чего отключено. На работе не могу, АД, ... возьми.

[Зайцев Олег]

А кто из здесь отвечающих отключил у себя неиспользуемые службы?

При аппаратном FW и установке апдейтов их можно и не отключать (снаружи никто не подключится из-за NAT, локальные уязвимости маловероятны). А вот ресурсы это может экономить, хотя опять-же, если речь идет от сверхмощном ПК с немерянным объемом память и мощным ЦП, то это капля в море. А вот если система "дохлая", тогда можно получить прирост производительности, загрузив в первую очередь занимаемую ненужными службами память ... соответсвенно и загрузка/завршение системы будет идти шустрее

[priv8v]

А кто из здесь отвечающих отключил у себя неиспользуемые службы?

дома на компах отключено.

А вот ресурсы это может экономить, хотя опять-же, если речь идет от сверхмощном ПК с немерянным объемом память и мощным ЦП, то это капля в море.

ну да. у меня отключено и ради безопасности и ради производительности - когда 10 процессов висят только в списке это приятно (глаз радует) и комп не грузит