Результаты проверки фаервола кис 2009 снаружи

[costashu]

следуя рекомендациям Зайцева, попробовал использовать утилиту APS. Сканирую утилитой nmap. На сканируемом компе винда хп про сп3, службы по умолчанию, кис 8.0.0.434, автоматический режим, отключена блокировка атакующего хоста, остальное по умолчанию. Другого защитного софта нет и не было. Сетевое подключение Проводная сеть (Ethernet), статус Публичная сеть. Работает утилита APS, в кис я поместил ее в доверенные. Результат сканирования Regular Scan (мак я скрыл):

Код:

Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-18 19:23 Финляндия (лето)
Initiating ARP Ping Scan at 19:23
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 19:23, 0.50s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 19:23
Completed Parallel DNS resolution of 1 host. at 19:23, 0.58s elapsed
Initiating SYN Stealth Scan at 19:23
Scanning 192.168.0.2 [1715 ports]
Discovered open port 21/tcp on 192.168.0.2
Discovered open port 443/tcp on 192.168.0.2
Discovered open port 23/tcp on 192.168.0.2
Discovered open port 80/tcp on 192.168.0.2
Discovered open port 22/tcp on 192.168.0.2
Discovered open port 25/tcp on 192.168.0.2
Discovered open port 53/tcp on 192.168.0.2
Discovered open port 1234/tcp on 192.168.0.2
Discovered open port 5400/tcp on 192.168.0.2
Discovered open port 6969/tcp on 192.168.0.2
Discovered open port 119/tcp on 192.168.0.2
Discovered open port 43188/tcp on 192.168.0.2
Discovered open port 1024/tcp on 192.168.0.2
Discovered open port 107/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 0 to 5 due to max_successful_tryno increase to 4
Discovered open port 5631/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 5 to 10 due to 11 out of 16 dropped probes since last increase.
Discovered open port 146/tcp on 192.168.0.2
Discovered open port 808/tcp on 192.168.0.2
Discovered open port 8000/tcp on 192.168.0.2
Discovered open port 6667/tcp on 192.168.0.2
Discovered open port 2041/tcp on 192.168.0.2
Discovered open port 50000/tcp on 192.168.0.2
Discovered open port 3128/tcp on 192.168.0.2
Discovered open port 109/tcp on 192.168.0.2
Increasing send delay for 192.168.0.2 from 10 to 20 due to max_successful_tryno increase to 5
Increasing send delay for 192.168.0.2 from 20 to 40 due to max_successful_tryno increase to 6
Increasing send delay for 192.168.0.2 from 40 to 80 due to 11 out of 18 dropped probes since last increase.
Discovered open port 4444/tcp on 192.168.0.2
Discovered open port 3064/tcp on 192.168.0.2
Discovered open port 27374/tcp on 192.168.0.2
Discovered open port 31/tcp on 192.168.0.2
Discovered open port 911/tcp on 192.168.0.2
Discovered open port 1080/tcp on 192.168.0.2
SYN Stealth Scan Timing: About 28.34% done; ETC: 19:24 (0:01:15 remaining)
Discovered open port 565/tcp on 192.168.0.2
Discovered open port 15/tcp on 192.168.0.2
Discovered open port 8080/tcp on 192.168.0.2
Discovered open port 110/tcp on 192.168.0.2
Discovered open port 17300/tcp on 192.168.0.2
Discovered open port 13/tcp on 192.168.0.2
Discovered open port 194/tcp on 192.168.0.2
Discovered open port 5001/tcp on 192.168.0.2
Discovered open port 1999/tcp on 192.168.0.2
Discovered open port 5000/tcp on 192.168.0.2
Discovered open port 81/tcp on 192.168.0.2
Discovered open port 1/tcp on 192.168.0.2
Discovered open port 515/tcp on 192.168.0.2
Discovered open port 6668/tcp on 192.168.0.2
Discovered open port 65301/tcp on 192.168.0.2
Discovered open port 5714/tcp on 192.168.0.2
Discovered open port 3306/tcp on 192.168.0.2
Discovered open port 540/tcp on 192.168.0.2
Discovered open port 6000/tcp on 192.168.0.2
Discovered open port 6670/tcp on 192.168.0.2
Discovered open port 143/tcp on 192.168.0.2
Discovered open port 777/tcp on 192.168.0.2
Discovered open port 1521/tcp on 192.168.0.2
Discovered open port 1025/tcp on 192.168.0.2
Discovered open port 2638/tcp on 192.168.0.2
Discovered open port 512/tcp on 192.168.0.2
Discovered open port 1434/tcp on 192.168.0.2
Discovered open port 5800/tcp on 192.168.0.2
Discovered open port 1433/tcp on 192.168.0.2
Discovered open port 17/tcp on 192.168.0.2
Discovered open port 19/tcp on 192.168.0.2
Discovered open port 12346/tcp on 192.168.0.2
Discovered open port 54320/tcp on 192.168.0.2
Discovered open port 2049/tcp on 192.168.0.2
Discovered open port 44334/tcp on 192.168.0.2
Discovered open port 1512/tcp on 192.168.0.2
Discovered open port 4899/tcp on 192.168.0.2
Discovered open port 513/tcp on 192.168.0.2
Discovered open port 8888/tcp on 192.168.0.2
Discovered open port 5632/tcp on 192.168.0.2
Discovered open port 1526/tcp on 192.168.0.2
SYN Stealth Scan Timing: About 75.22% done; ETC: 19:25 (0:00:35 remaining)
Discovered open port 9/tcp on 192.168.0.2
Discovered open port 1494/tcp on 192.168.0.2
Discovered open port 12345/tcp on 192.168.0.2
Discovered open port 4333/tcp on 192.168.0.2
Discovered open port 31337/tcp on 192.168.0.2
Discovered open port 111/tcp on 192.168.0.2
Discovered open port 20/tcp on 192.168.0.2
Discovered open port 2000/tcp on 192.168.0.2
Discovered open port 6112/tcp on 192.168.0.2
Discovered open port 11/tcp on 192.168.0.2
Discovered open port 16959/tcp on 192.168.0.2
Discovered open port 7/tcp on 192.168.0.2
Discovered open port 6666/tcp on 192.168.0.2
Discovered open port 2600/tcp on 192.168.0.2
Discovered open port 2016/tcp on 192.168.0.2
Discovered open port 1001/tcp on 192.168.0.2
Discovered open port 514/tcp on 192.168.0.2
Discovered open port 1011/tcp on 192.168.0.2
Discovered open port 1012/tcp on 192.168.0.2
Discovered open port 79/tcp on 192.168.0.2
Discovered open port 555/tcp on 192.168.0.2
Completed SYN Stealth Scan at 19:25, 154.98s elapsed (1715 total ports)
Host 192.168.0.2 appears to be up ... good.
Interesting ports on 192.168.0.2:
Not shown: 1617 closed ports
PORT      STATE    SERVICE
1/tcp     open     tcpmux
7/tcp     open     echo
9/tcp     open     discard
11/tcp    open     systat
13/tcp    open     daytime
15/tcp    open     netstat
17/tcp    open     qotd
19/tcp    open     chargen
20/tcp    open     ftp-data
21/tcp    open     ftp
22/tcp    open     ssh
23/tcp    open     telnet
25/tcp    open     smtp
31/tcp    open     msg-auth
53/tcp    open     domain
79/tcp    open     finger
80/tcp    open     http
81/tcp    open     hosts2-ns
107/tcp   open     rtelnet
109/tcp   open     pop2
110/tcp   open     pop3
111/tcp   open     rpcbind
119/tcp   open     nntp
135/tcp   filtered msrpc
137/tcp   filtered netbios-ns
138/tcp   filtered netbios-dgm
139/tcp   filtered netbios-ssn
143/tcp   open     imap
146/tcp   open     iso-tp0
194/tcp   open     irc
443/tcp   open     https
445/tcp   filtered microsoft-ds
512/tcp   open     exec
513/tcp   open     login
514/tcp   open     shell
515/tcp   open     printer
540/tcp   open     uucp
555/tcp   open     dsf
565/tcp   open     whoami
777/tcp   open     unknown
808/tcp   open     ccproxy-http
911/tcp   open     unknown
1001/tcp  open     unknown
1011/tcp  open     unknown
1012/tcp  open     unknown
1024/tcp  open     kdm
1025/tcp  open     NFS-or-IIS
1080/tcp  open     socks
1110/tcp  filtered nfsd-status
1234/tcp  open     hotline
1433/tcp  open     ms-sql-s
1434/tcp  open     ms-sql-m
1494/tcp  open     citrix-ica
1512/tcp  open     wins
1521/tcp  open     oracle
1526/tcp  open     pdap-np
1999/tcp  open     tcp-id-port
2000/tcp  open     callbook
2016/tcp  open     bootserver
2041/tcp  open     interbase
2049/tcp  open     nfs
2600/tcp  open     zebrasrv
2638/tcp  open     sybase
3064/tcp  open     dnet-tstproxy
3128/tcp  open     squid-http
3306/tcp  open     mysql
3389/tcp  filtered ms-term-serv
4333/tcp  open     msql
4444/tcp  open     krb524
4899/tcp  open     radmin
5000/tcp  open     upnp
5001/tcp  open     commplex-link
5400/tcp  open     pcduo-old
5631/tcp  open     pcanywheredata
5632/tcp  open     pcanywherestat
5714/tcp  open     prosharevideo
5800/tcp  open     vnc-http
6000/tcp  open     X11
6112/tcp  open     dtspc
6666/tcp  open     irc
6667/tcp  open     irc
6668/tcp  open     irc
6670/tcp  open     irc
6969/tcp  open     acmsoda
8000/tcp  open     http-alt
8080/tcp  open     http-proxy
8888/tcp  open     sun-answerbook
12345/tcp open     netbus
12346/tcp open     netbus
16959/tcp open     subseven
17300/tcp open     kuang2
27374/tcp open     subseven
31337/tcp open     Elite
43188/tcp open     reachout
44334/tcp open     tinyfw
50000/tcp open     iiimsf
54320/tcp open     bo2k
65301/tcp open     pcanywhere
MAC Address: хх:хх:хх:хх:хх:хх (ххх)

Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 156.532 seconds
           Raw packets sent: 2032 (89.406KB) | Rcvd: 2933 (183.436KB)

[XP user]

Это сканирование с ПУБЛИЧНОЙ сети?!? Я не пью, но по моему мне надо срочно научиться выпить...

Paul

[costashu]

Это сканирование с ПУБЛИЧНОЙ сети?!?
Paul

да
(учиться никогда не поздно )

[Зайцев Олег]

Это сканирование с ПУБЛИЧНОЙ сети?!? Я не пью, но по моему мне надо срочно научиться выпить...

Paul

Все просто "...Работает утилита APS, в кис я поместил ее в доверенные ...". Т.е. идет проверка на практике того, что доверенным приложениям можно работать в Инет из под KIS Собственно про это есть в FAQ - http://www.z-oleg.com/secur/aps/faq.php

[XP user]

Все просто "...Работает утилита APS, в кис я поместил ее в доверенные ...". Т.е. идет проверка на практике того, что доверенным приложениям можно работать в Инет из под KIS

Я это всё понимаю. Я APS очень люблю, честно, но Виндовских Служб НЕ люблю, а великая часть их тоже в доверенных. Это не есть хорошо, или я что-то не допонимаю?

Paul

[costashu]

великая часть их тоже в доверенных
Paul

все виндовые службы доверенные (по умолчанию кис)

[XP user]

все виндовые службы доверенные (по умолчанию кис)

Ой... Не увидел, что вы уже ответили на мой вопрос (что-то с таймингом форума). Но это же самоубийство на самом деле?

Paul

[costashu]

Это вы так сами задали, или это настройки по умолчанию в КИСе?
Paul

это настройки по умолчанию в КИСе. Вручную я изменил статус сети на публичную

[XP user]

это настройки по умолчанию в КИСе. Вручную я изменил статус сети на публичную

Вы не могли бы выложить SysInfo log сканируемой системы? Спасибо.

Paul

[costashu]

Вы не могли бы выложить SysInfo log сканируемой системы?
Paul

sysinfo.rar

[XP user]

sysinfo.rar

Thanks! Требуется некоторое время на анализ. Ждите ответа. Скорее завтра...
P.S.: Пока я не могу ничего другого сказать кроме: с таким компом я лично не вышел бы в сеть НИКОГДА. Разберёмся в чём дело...
P.S.: Возможно потребуется тоже трейсы для Лаба, но в них я не разбираюсь...

Paul

[costashu]

с таким компом я лично не вышел бы в сеть НИКОГДА
Paul

да и я не выхожу С таким
Спасибо, буду ждать анализы

Добавлено через 11 часов 5 минут

результат сканирования udp (условия аналогичны предыдущему, команда nmap -v -v -sU 192.168.0.2):

Код:

Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 08:50 Финляндия (лето)
Initiating ARP Ping Scan at 08:50
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 08:50, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 08:50
Completed Parallel DNS resolution of 1 host. at 08:50, 0.11s elapsed
Initiating UDP Scan at 08:50
Scanning 192.168.0.2 [1488 ports]
Completed UDP Scan at 08:50, 21.36s elapsed (1488 total ports)
Host 192.168.0.2 appears to be up ... good.
Scanned at 2008-07-19 08:50:37 Финляндия (лето) for 22s
Interesting ports on 192.168.0.2:
Not shown: 1461 closed ports
PORT      STATE         SERVICE
19/udp    open|filtered chargen
49/udp    open|filtered tacacs
53/udp    open|filtered domain
69/udp    open|filtered tftp
123/udp   open|filtered ntp
135/udp   open|filtered msrpc
137/udp   open|filtered netbios-ns
138/udp   open|filtered netbios-dgm
139/udp   open|filtered netbios-ssn
161/udp   open|filtered snmp
162/udp   open|filtered snmptrap
445/udp   open|filtered microsoft-ds
456/udp   open|filtered macon
500/udp   open|filtered isakmp
1025/udp  open|filtered blackjack
1349/udp  open|filtered sbook
1433/udp  open|filtered ms-sql-s
1434/udp  open|filtered ms-sql-m
1900/udp  open|filtered upnp
2000/udp  open|filtered callbook
3333/udp  open|filtered dec-notes
3996/udp  open|filtered remoteanything
4000/udp  open|filtered icq
4500/udp  open|filtered sae-urn
5632/udp  open|filtered pcanywherestat
31337/udp open|filtered BackOrifice
54321/udp open|filtered bo2k
MAC Address: хх:хх:хх:хх:хх:хх (ххх)

Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 22.266 seconds
           Raw packets sent: 1843 (51.618KB) | Rcvd: 1462 (81.858KB)

[XP user]

да и я не выхожу С таким
Спасибо, буду ждать анализы

Невооружённым глазом пока ещё не обнаружил никаких отклонений от нормы в вашем журнале SysInfo.

результат сканирования udp [SNIP}

Хочу вас попросить сделать интенсивный скан с nmap БЕЗ APS. Причём, есть смысл делать такой скан по всем 65536 портам. Простите, это будет долго, но результаты такого скана того стоят - они покажут, насколько Windows сама себя ведёт как проститутка в вашей конфигурации.
Комманда для такого скана (елси не ошибаюсь, конечно - у меня nmap нет):

Код:

nmap -T Aggressive -A -p0-65535 -v 192.168.0.2

Можно ещё так: тот же скан, но конкретно tcp connect - то есть:

Код:

nmap -v -p0-65535 -T Aggressive -sT 192.168.0.2

Или tcp SYN - там возможностей куча... Раз вы работаете с nmap, вы разберётесь, я так думаю...

Жду результатов.

Paul

[costashu]

Жду результатов.
Paul

вот (без APS, команда nmap -v -p0-65535 -T Aggressive -sT 192.168.0.2, то есть соединения по всем портам tcp, строку с маком буду опускать):

Код:

Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 09:24 Финляндия (лето)
Initiating ARP Ping Scan at 09:24
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 09:24, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 09:24
Completed Parallel DNS resolution of 1 host. at 09:24, 0.58s elapsed
Initiating Connect Scan at 09:24
Scanning 192.168.0.2 [65536 ports]
Discovered open port 21/tcp on 192.168.0.2
Connect Scan Timing: About 1.02% done; ETC: 10:14 (0:48:49 remaining)
Completed Connect Scan at 10:12, 2868.45s elapsed (65536 total ports)
Host 192.168.0.2 appears to be up ... good.
Interesting ports on 192.168.0.2:
Not shown: 65535 filtered ports
PORT   STATE SERVICE
21/tcp open  ftp

Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 2870.062 seconds
           Raw packets sent: 1 (42B) | Rcvd: 1 (42B)

сделать по всем udp?

[XP user]

21/tcp open ftp

Это следовало бы ожидать - открыт порт 21 TCP. Это результат новой фичы в КИС. Где-то уже обсуждалось.
UDP ОБЯЗАТЕЛЬНО, так как гораздо труднее для любого файрвола...

Paul

[DVi]

Но это же самоубийство на самом деле?

Paul

Пол, я знаю Ваше отношение к службам Windows, и уважаю Ваше мнение. Однако абсолютное большинство пользователей пользуется этими службами. Цель разработчиков средств информационной безопасности - обеспечить большинству пользователей безопасность без отключения удобств.

Именно поэтому KIS по умолчанию разрешает доверенным приложениям доступ в сеть. Ничто не мешает Вам, как опытному пользователю, изменить это поведение, соответствующим образом настроив KIS и свою операционную систему.

[XP user]

Пол, я знаю Ваше отношение к службам Windows, и уважаю Ваше мнение. Однако абсолютное большинство пользователей пользуется этими службами. Цель разработчиков средств информационной безопасности - обеспечить большинству пользователей безопасность без отключения удобств.

Именно поэтому KIS по умолчанию разрешает доверенным приложениям доступ в сеть. Ничто не мешает Вам, как опытному пользователю, изменить это поведение, соответствующим образом настроив KIS и свою операционную систему.

Здравствуйте, DVi!
Я переживаю за домохозяек и блондинок, для которых продукт c такими настройками по умолчанию был создан, и которые НЕ знают, как отключить то или другое. И, одновременно, я тоже переживаю за доброе имя продукта.
P.S.: Мне сейчас на работу - вернусь не скоро...

Paul

[DVi]

p2u, все эти службы Windows были созданы "для домохозяек и блондинок", именно их наличие обеспечило популярность операционных систем компании Microsoft. Их отключение приведет к коллапсу - домохозяйки и блондинки просто не смогут пользоваться компьютером без дополнительного обучения.

[costashu]

UDP ОБЯЗАТЕЛЬНО
Paul

вот (команда nmap -v -v -v -p0-65535 -T Aggressive -sU 192.168.0.2):

Код:

Starting Nmap 4.68 ( http://nmap.org ) at 2008-07-19 12:47 Финляндия (лето)
Initiating ARP Ping Scan at 12:47
Scanning 192.168.0.2 [1 port]
Completed ARP Ping Scan at 12:47, 0.47s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:47
Completed Parallel DNS resolution of 1 host. at 12:47, 0.16s elapsed
DNS resolution of 1 IPs took 0.17s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating UDP Scan at 12:47
Scanning 192.168.0.2 [65536 ports]
Increasing send delay for 192.168.0.2 from 0 to 50 due to max_successful_tryno increase to 5
Increasing send delay for 192.168.0.2 from 50 to 100 due to max_successful_tryno increase to 6
UDP Scan Timing: About 2.72% done; ETC: 13:06 (0:17:55 remaining)
Warning: Giving up on port early because retransmission cap hit.
UDP Scan Timing: About 17.74% done; ETC: 14:31 (1:25:34 remaining)
UDP Scan Timing: About 89.14% done; ETC: 14:44 (0:12:40 remaining)
Completed UDP Scan at 14:45, 7033.81s elapsed (65536 total ports)
Host 192.168.0.2 appears to be up ... good.
Scanned at 2008-07-19 12:47:46 Финляндия (лето) for 7035s
Interesting ports on 192.168.0.2:
Not shown: 65527 closed ports
PORT     STATE         SERVICE
123/udp  open|filtered ntp
135/udp  open|filtered msrpc
137/udp  open|filtered netbios-ns
138/udp  open|filtered netbios-dgm
139/udp  open|filtered netbios-ssn
445/udp  open|filtered microsoft-ds
500/udp  open|filtered isakmp
1900/udp open|filtered upnp
4500/udp open|filtered sae-urn

Read data files from: C:\Program Files\Nmap
Nmap done: 1 IP address (1 host up) scanned in 7035.016 seconds
           Raw packets sent: 66145 (1.852MB) | Rcvd: 65567 (3.672MB)

[ALEX(XX)]

Жесть...