-
Защита компьютера от атак извне без firewall
Сейчас справедливо говорят, что для нормальной защиты компьютера обязательно нужен межсетевой экран (firewall)
Это в принципе верно. Однеко если ваша активность в Интернете сводится только к проверке почты и просмотру сайтов, а настройка firewall-а для вас что-то из области научной фантастики, то Вы можете довольно надёжно защитить свой компьютер от атак извне без всякого firewall-а.
Как это сделать?
Очень просто.
Правой кнопкой по My Network Places (Мое сетевое окружение) -> Properties (Свойства) -> правой кнопкой по Local Area Connection (Подключение по локальной сети) -> Properties (Свойства) -> уберите галочку у File and Printer Sharing for Microsoft Networks (Службы доступа к файлам и принтерам сетей Microsoft) -> щёлкните по НАДПИСИ Internet Protocol (TCP/IP) (Протокол Интернета (TCP/IP)) -> Properties (Свойства) -> Advanced (Дополнительно) -> Options (Параметры) -> щёлкните по TCP/IP filtering (Фильтрация TCP/IP) -> Properties (Свойства) -> пометьте в трёх колонках пункты Permit only (Только) -> в колонке TCP Ports (TCP-порты) нажимайте Add (Добавить) и добавляйте один за другим порты: 20, 21, 25, 80, 8080 и 110 -> Ok -> Ok -> Ok -> Ok. Машина попросится перезагрузиться и Вы, естественно, скажете ей ДА! Таким образом Вы закрываете все порты кроме нужных для Вас, и Ваш компьютер станет непробиваем снаружи.
Естественно что при таких настройках не работают P2P клиенты типа Казы и Мула, ICQ и другие программы для обмена сообщениями и т.д. Кое что можно настроить, а кое что - нет. Собственно, из-за ограничений данного метода защиты и созданы межсетевые экраны.
Примечание:
File and Printer Sharing for Microsoft Networks (Службы доступа к файлам и принтерам сетей Microsoft) отвечает за расшарку ресурсов в сети и, если Вы хотите иметь доступ к ресурсам машины через сеть, то этот пункт должен остаться помеченным.
Если у Вас есть локальная сеть - нужно установить протокол IPX/SPX на всех машинах - участниках сети.
- Поясню о портах, которые мы открыли:
80 или 8080 - это порт для HTTP сервиса, то есть, чтобы гулять по интернету, этого достаточно, так же этого достаточно и для HTTP сервера. Если Вы больше ничем не пользуетесь, то больше ничего и не открывайте.
20 и 21 - FTP клиент/сервер. Если Вы лазаете по FTP или предоставляете свою машину как FTP сервер - откройте эти порты. Хотя есть FTP сервера, работающие через другие порты. Это придётся настраивать отдельно, если понадобится.
25 и 110 - почтовый клиент, то есть POP3 и SMTP. Если Вы не пользуетесь почтовой программой, а получаете почту через HTTP сервис, например, заходите на сайт hotmail.com, то и эти порты можете не открывать.
Использованы отрывки из статьи Андрея Девейкина "Интернет-САМБО (самооборона без “оружия”)" http://www.donkeyhot.net/journal/no6/sambo.asp
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Защита компьютера от атак извне без firewall
А как сделать так, наверное, добавить какие-то настройки или порт, чтобы работать с IIS на своем компьютере для разработки веб-приложений?
Или в таком случае необходим firewall?
-
-
Re:Защита компьютера от атак извне без firewall
Сообщение от
Ekaterina
А как сделать так, наверное, добавить какие-то настройки или порт, чтобы работать с IIS на своем компьютере для разработки веб-приложений?
Или в таком случае необходим firewall?
По идее при обращении к localhost описанное выше мешать не должно. Хотя не проверял.
-
-
Re:Защита компьютера от атак извне без firewall
что-то направления там вообще не обсуждаются, ну, если открыть 80й порт, то к IIS коннектиться можно, а вообще выше описывается метод простой защиты для тех, кто не знает, что такое файрвол и не хочет копаться в его навороченной системе настроек. Если вам нужна защита более профессионального уровня, ставьте нормальный файрвол (если вы чувствуете в себе силы его настраивать).
-
-
Full Member
- Вес репутации
- 74
Re:Защита компьютера от атак извне без firewall
Что-то сомневаюсь я, что кто-нибудь, включая самого автора, на самом деле пробовал следовать этим советам: закрыть ВСЕ udp соединения и устремиться в Интернет. Сознайтесь, ведь не проверял реально никто!
-
Re:Защита компьютера от атак извне без firewall
Сообщение от
userr
Что-то сомневаюсь я, что кто-нибудь, включая самого автора, на самом деле пробовал следовать этим советам: закрыть ВСЕ udp соединения и устремиться в Интернет. Сознайтесь, ведь не проверял реально никто!
Я не проверял, но udp не используется при просмотре веб страниц. udp обычно используется для передачи видео/аудио + всякие нестандартные цели.
-
-
Visiting Helper
- Вес репутации
- 76
Re:Защита компютера от атак извне без firewall
Protocols
Permit Only
ni odnogo prototola ne ukazalo... daze (6) - TCP
zna4it posle takih nastroek internet zagnetsa
-
-
Re:Защита компьютера от атак извне без firewall
Сообщение от
Sanja
Protocols
Permit Only
ni odnogo prototola ne ukazalo... daze (6) - TCP
zna4it posle takih nastroek internet zagnetsa
Не, ты плохо смотрел. TCP там разрешены определённые порты. И включи уже транслитер(птичка ниже окна ввода текста)
-
-
Re:Защита компьютера от атак извне без firewall
я вообще не нашел окошко, через которое можно закрывать и открывать порты, подскажите! ???
-
Re:Защита компьютера от атак извне без firewall
Сообщение от
egik
я вообще не нашел окошко, через которое можно закрывать и открывать порты, подскажите! ???
Всё написано. Читай внимательно.
-
-
Re:Защита компьютера от атак извне без firewall
Немного уточню описание в начале темы - для работы в Инет и для FTP кроме портов 80, 21 ... придется открыть порт 53 UDP - через него DNS работает.
-
-
Re:Защита компьютера от атак извне без firewall
не через TCP? в аутпосте два правила на dns - через udp и tcp
одного чела за молчание на echo, провайдер отключал от инета
-
-
Re:Защита компьютера от атак извне без firewall
Сообщение от
maXmo
не через TCP? в аутпосте два правила на dns - через udp и tcp
одного чела за молчание на echo, провайдер отключал от инета
Через UDP - это обычный DNS, через TCP - перенос зоны (обычному юзеру он не нужен). Я бы открыл только порт 53 UDP
-
-
Re:Защита компьютера от атак извне без firewall
Сообщение от
maXmo
одного чела за молчание на echo, провайдер отключал от инета
Я думаю, он таким способом просто активность проверял и отрубал зависшие соединения.
-
-
Re:Защита компьютера от атак извне без firewall
Т.к. выдалась такая возможность, компьютер на работе так и так без "стенки", решил воспользоваться рекомендациями описанными в данной теме.
Компьютер подключён в интернет через сеть.
TCP Ports - выставил 20,21,80;
UDP Ports - Permit All;
IP Protocols - 4.
При такой конфигурации проблем с интернетом не возникло. Пробовал играться с UDP портами, однако ничего путного не вышло. :-[
Может есть у кого идеи, какие UDP порты необходимо оставить открытыми для нормальной работы в интернет? ???
-
-
Re:Защита компьютера от атак извне без firewall
А оставить только 53 пробовал?
-
-
Re:Защита компьютера от атак извне без firewall
Сообщение от
Geser
А оставить только 53 пробовал?
Пробовал, ответ отрицательный - нет интернет соединения :-[
-
-
Re:Защита компьютера от атак извне без firewall
По UDP ваш комп получает DNS. На вашем компьютере исходящий порт может быть в пределах 1024-5000. (Из моей практики). Вот их и надо открыть. А удаленный порт-53.
-
-
Re:Защита компьютера от атак извне без firewall
Сообщение от
Searcher
Пробовал, ответ отрицательный - нет интернет соединения :-[
А прокси нет поблизости. Думаю решилось бы много проблем.
-
-
Re:Защита компьютера от атак извне без firewall
Сообщение от
Grandfather
По UDP ваш комп получает DNS. На вашем компьютере исходящий порт может быть в пределах 1024-5000. (Из моей практики). Вот их и надо открыть. А удаленный порт-53.
Если я ничего не путаю, то все те ограничения, которые я выставляю в TCP/IP Filtering влияют только на входящий трафик, тоесть компу дана команда впускать только по списку, а выпускать всех. Т.о. решение задачи сводится к необходимости открыть нужные UDP порты (53-го ему явно не достаточно).
-