Результаты проверки фаервола кис 2009 снаружи

[Geser]

Что-то я не понял. Сейчас посмотрел в КИС8. По умолчанию в стенке доступ к локальным сервисам блокируется. У меня просто раутер и один комп, так что не могу проверить. Это правило что, не работает?

[costashu]

Это правило что, не работает?

если я посканирую запрещенные правилами протоколы:порты с запущенным на сканируемом компе wireshark, вас устроят результаты такого наблюдения? Попробую сделать это завтра

[costashu]

запустил APS (с несколькими добавленными мной портами для наблюдения) на подключенном к инет компе (подключение Модемное соединение, Публичная сеть) и отключил фаервол в установленном на нем тМитере. Насткойки кис по умолчанию (кроме отключенной блокировки атакующих хостов), автоматический режим. За приблизительно 2.5 часа вышло вот что:

Код:

Статистика сканирования портов. Статистика сгененирована 19.07.08 17:56:30
Утилита APS, Зайцев О.В.,2004, версия 1.90 от 30.08.2004, http://z-oleg.com/secur/aps.htm

 Атакующий хост: 125.211.198.11 125.211.198.11
  дата/время начала сканирования:     19.07.08 15:29:04
  дата/время последнего сканирования: 19.07.08 16:39:04
  кол-во сканирований:      2
  кол-во подозрений на DoS: 0
  Атаковано портов 2
   1026/UDP кол-во атак = 1, подозрений DoS = 0 
   1027/UDP кол-во атак = 1, подозрений DoS = 0 
 Экспресс-оценка: 
  Сканирование портов : не обнаружено
  Flood портов        : не обнаружен
  DoS атаки           : не обнаружены
-----------------------------------------
 Атакующий хост: 60.222.224.133 60.222.224.133
  дата/время начала сканирования:     19.07.08 15:40:01
  дата/время последнего сканирования: 19.07.08 15:40:01
  кол-во сканирований:      1
  кол-во подозрений на DoS: 0
  Атаковано портов 1
   1026/UDP кол-во атак = 1, подозрений DoS = 0 
 Экспресс-оценка: 
  Сканирование портов : не обнаружено
  Flood портов        : не обнаружен
  DoS атаки           : не обнаружены
-----------------------------------------
 Атакующий хост: 77.52.247.131 MZ32LB4PB4QSY4G
  дата/время начала сканирования:     19.07.08 16:32:28
  дата/время последнего сканирования: 19.07.08 17:55:00
  кол-во сканирований:      828
  кол-во подозрений на DoS: 0
  Атаковано портов 1
   1433/TCP кол-во атак = 828, подозрений DoS = 0  (подозрение на flood)
 Экспресс-оценка: 
  Сканирование портов : не обнаружено
  Flood портов        : обнаружен
  DoS атаки           : не обнаружены
-----------------------------------------
 Атакующий хост: 77.52.231.175 YOUR-JNRI2I3J13
  дата/время начала сканирования:     19.07.08 16:43:05
  дата/время последнего сканирования: 19.07.08 16:53:33
  кол-во сканирований:      188
  кол-во подозрений на DoS: 0
  Атаковано портов 1
   1433/TCP кол-во атак = 188, подозрений DoS = 0  (подозрение на flood)
 Экспресс-оценка: 
  Сканирование портов : не обнаружено
  Flood портов        : обнаружен
  DoS атаки           : не обнаружены
-----------------------------------------
 Атакующий хост: 77.52.232.71 YOUR-JNRI2I3J13
  дата/время начала сканирования:     19.07.08 17:27:39
  дата/время последнего сканирования: 19.07.08 17:55:23
  кол-во сканирований:      1026
  кол-во подозрений на DoS: 0
  Атаковано портов 1
   1433/TCP кол-во атак = 1026, подозрений DoS = 0  (подозрение на flood)
 Экспресс-оценка: 
  Сканирование портов : не обнаружено
  Flood портов        : обнаружен
  DoS атаки           : не обнаружены
-----------------------------------------

здесь все логи (6 кб) - LOG.rar

[ALEX(XX)]

Решил побаловаться нмапом и я. Взял вмварь, поставил туда ХР СП3 и кучку апдейтов. Поставил КИС2009. Настройки не менял (единственное - отключил блокировку атакера). Никакие нетбиосы не отключал, ИП 192.168.0.25 - режим "публичная сеть"

Код:

nmap -v -v -v -sT Agressive -PA -PS -P0 -p1-65535 -r -sV -O --osscan-guess 192.168.0.25

Starting Nmap 4.60 ( http://nmap.org ) at 2008-07-19 21:20 EEST
Failed to resolve given hostname/IP: Agressive.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Initiating ARP Ping Scan at 21:20
Scanning 192.168.0.25 [1 port]
Completed ARP Ping Scan at 21:20, 0.02s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 21:20
Completed Parallel DNS resolution of 1 host. at 21:20, 0.02s elapsed
DNS resolution of 1 IPs took 0.02s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating Connect Scan at 21:20
Scanning 192.168.0.25 [65535 ports]
Increasing send delay for 192.168.0.25 from 0 to 5 due to 27 out of 88 dropped probes since last increase.
Increasing send delay for 192.168.0.25 from 5 to 10 due to max_successful_tryno increase to 4
Increasing send delay for 192.168.0.25 from 10 to 20 due to max_successful_tryno increase to 5
Increasing send delay for 192.168.0.25 from 20 to 40 due to max_successful_tryno increase to 6
Connect Scan Timing: About 2.22% done; ETC: 21:42 (0:22:05 remaining)
Increasing send delay for 192.168.0.25 from 40 to 80 due to max_successful_tryno increase to 7
Connect Scan Timing: About 34.27% done; ETC: 22:26 (0:43:24 remaining)
Connect Scan Timing: About 83.90% done; ETC: 22:38 (0:12:40 remaining)
Increasing send delay for 192.168.0.25 from 80 to 160 due to max_successful_tryno increase to 8
Connect Scan Timing: About 93.37% done; ETC: 22:44 (0:05:35 remaining)
Connect Scan Timing: About 96.58% done; ETC: 22:47 (0:02:59 remaining)
Connect Scan Timing: About 98.31% done; ETC: 22:49 (0:01:29 remaining)
Connect Scan Timing: About 99.18% done; ETC: 22:49 (0:00:44 remaining)
Completed Connect Scan at 22:50, 5436.82s elapsed (65535 total ports)
Initiating Service scan at 22:50
Initiating OS detection (try #1) against 192.168.0.25
SCRIPT ENGINE: Initiating script scanning.
Host 192.168.0.25 appears to be up ... good.
Interesting ports on 192.168.0.25:
Not shown: 65527 closed ports
PORT      STATE    SERVICE      VERSION
135/tcp   filtered msrpc
137/tcp   filtered netbios-ns
138/tcp   filtered netbios-dgm
139/tcp   filtered netbios-ssn
445/tcp   filtered microsoft-ds
1110/tcp  filtered nfsd-status
3389/tcp  filtered ms-term-serv
19780/tcp filtered unknown
MAC Address: 00:0C:29:F1:2C:F5 (VMware)
Device type: terminal|general purpose|media device|specialized
Running: HP Windows PocketPC/CE, Microsoft Windows 2003|PocketPC/CE|XP, Microsoft embedded
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint by osscan system #2:
SCAN(V=4.60%D=7/19%OT=%CT=1%CU=37769%PV=Y%DS=1%G=N%M=000C29%TM=48824594%P=x86_64-unknown-linux-gnu)
T5(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
T6(R=Y%DF=N%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)
T7(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
U1(R=Y%DF=N%T=80%TOS=0%IPL=B0%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)
IE(R=N)
Network Distance: 1 hop

Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5438.068 seconds
           Raw packets sent: 13 (1854B) | Rcvd: 5 (338B)

Добавлено через 3 минуты

Просто быстрый скан, с параметром -sX

Код:

nmap -v -v -v -sX Agressive -PA -PS -P0 -r -sV -O --osscan-guess 192.168.0.25

Starting Nmap 4.60 ( http://nmap.org ) at 2008-07-19 22:56 EEST
Failed to resolve given hostname/IP: Agressive.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Initiating ARP Ping Scan at 22:56
Scanning 192.168.0.25 [1 port]
Completed ARP Ping Scan at 22:56, 0.02s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 22:56
Completed Parallel DNS resolution of 1 host. at 22:56, 0.09s elapsed
DNS resolution of 1 IPs took 0.09s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating XMAS Scan at 22:56
Scanning 192.168.0.25 [1715 ports]
Completed XMAS Scan at 22:56, 5.75s elapsed (1715 total ports)
Initiating Service scan at 22:56
Scanning 7 services on 192.168.0.25
Completed Service scan at 22:56, 5.00s elapsed (7 services on 1 host)
Initiating OS detection (try #1) against 192.168.0.25
SCRIPT ENGINE: Initiating script scanning.
Host 192.168.0.25 appears to be up ... good.
Interesting ports on 192.168.0.25:
Not shown: 1708 closed ports
PORT     STATE         SERVICE      VERSION
135/tcp  open|filtered msrpc
137/tcp  open|filtered netbios-ns
138/tcp  open|filtered netbios-dgm
139/tcp  open|filtered netbios-ssn
445/tcp  open|filtered microsoft-ds
1110/tcp open|filtered nfsd-status
3389/tcp open|filtered ms-term-serv
MAC Address: 00:0C:29:F1:2C:F5 (VMware)
Device type: terminal|general purpose|media device|specialized
Running: HP Windows PocketPC/CE, Microsoft Windows 2003|PocketPC/CE|XP, Microsoft embedded
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint by osscan system #2:
SCAN(V=4.60%D=7/19%OT=%CT=1%CU=42982%PV=Y%DS=1%G=N%M=000C29%TM=488246F9%P=x86_64-unknown-linux-gnu)
T5(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
T6(R=Y%DF=N%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)
T7(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
U1(R=Y%DF=N%T=80%TOS=0%IPL=B0%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)
IE(R=N)
Network Distance: 1 hop

Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.550 seconds
           Raw packets sent: 1793 (73.054KB) | Rcvd: 1798 (72.058KB)

Добавлено через 1 час 3 минуты

И быренький скан по UDP
Завтра, если не поленюсь, сделаю полный

Код:

nmap -v -v -v -sU Agressive -PU -P0 -r -sV -O --osscan-guess 192.168.0.25

Starting Nmap 4.60 ( http://nmap.org ) at 2008-07-19 23:53 EEST
Failed to resolve given hostname/IP: Agressive.  Note that you can't use '/mask' AND '1-4,7,100-' style IP ranges
Initiating ARP Ping Scan at 23:53
Scanning 192.168.0.25 [1 port]
Completed ARP Ping Scan at 23:53, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 23:53
Completed Parallel DNS resolution of 1 host. at 23:53, 0.02s elapsed
DNS resolution of 1 IPs took 0.02s. Mode: Async [#: 2, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
Initiating UDP Scan at 23:53
Scanning 192.168.0.25 [1488 ports]
Increasing send delay for 192.168.0.25 from 0 to 50 due to 13 out of 41 dropped probes since last increase.
Increasing send delay for 192.168.0.25 from 50 to 100 due to 11 out of 28 dropped probes since last increase.
Increasing send delay for 192.168.0.25 from 100 to 200 due to 11 out of 16 dropped probes since last increase.
UDP Scan Timing: About 12.72% done; ETC: 23:57 (0:03:26 remaining)
Stats: 0:03:52 elapsed; 0 hosts completed (1 up), 1 undergoing UDP Scan
UDP Scan Timing: About 79.23% done; ETC: 23:58 (0:01:00 remaining)
Completed UDP Scan at 23:58, 302.34s elapsed (1488 total ports)
Initiating Service scan at 23:58
Scanning 9 services on 192.168.0.25
Discovered open port 123/udp on 192.168.0.25
Discovered open|filtered port 123/udp on 192.168.0.25 is actually open
Service scan Timing: About 22.22% done; ETC: 00:01 (0:02:55 remaining)
Completed Service scan at 23:59, 50.01s elapsed (9 services on 1 host)
Initiating OS detection (try #1) against 192.168.0.25
SCRIPT ENGINE: Initiating script scanning.
Host 192.168.0.25 appears to be up ... good.
Interesting ports on 192.168.0.25:
Not shown: 1479 closed ports
PORT     STATE         SERVICE      VERSION
123/udp  open          ntp          Microsoft NTP
135/udp  open|filtered msrpc
137/udp  open|filtered netbios-ns
138/udp  open|filtered netbios-dgm
139/udp  open|filtered netbios-ssn
445/udp  open|filtered microsoft-ds
500/udp  open|filtered isakmp
1900/udp open|filtered UPnP
4500/udp open|filtered sae-urn
MAC Address: 00:0C:29:F1:2C:F5 (VMware)
Device type: terminal|general purpose|media device|specialized
Running: HP Windows PocketPC/CE, Microsoft Windows 2003|PocketPC/CE|XP, Microsoft embedded
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint by osscan system #2:
SCAN(V=4.60%D=7/19%OT=%CT=%CU=1%PV=Y%DS=1%G=N%M=000C29%TM=48825597%P=x86_64-unknown-linux-gnu)
T5(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
T6(R=Y%DF=N%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)
T7(R=Y%DF=N%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)
U1(R=Y%DF=N%T=80%TOS=0%IPL=B0%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)
IE(R=N)
Network Distance: 1 hop
Service Info: OS: Windows

Read data files from: /usr/share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 353.480 seconds
           Raw packets sent: 1677 (48.446KB) | Rcvd: 1484 (83.162KB)

[XP user]

Спасибо всем. Для сравнения результатов, однако, хотелось бы видить заранее определённую, единую методику, иначе всё путается. Я предлагаю (для тех, которые имеют такую возможность, конечно, работать не под VM, а на физических компах - результат будет другим. Объяснить этого не могу.
Далее как описано здесь под 'Утилиты аудита'. Естественно, APS как 'доверенную программу' применять не надо.

P.S.: Сам я участвовать не могу - нет второго комьютера у меня. Мы пытались с локальной сети Corbina сканировать меня, но моего хоста нет ('down' говорит nmap) - полагаю, что это результат моих настроек (я даже маску подсети изменил), потому что я не был 'down'.
Даже изнутри доступа никуда (см. картинку LanSpy, сделана под админ):


Paul

[ALEX(XX)]

Спасибо всем. Для сравнения результатов, однако, хотелось бы видить заранее определённую, единую методику
Paul

Смотря что мы хотим в итоге получить. ИМХО, самая простая методика - берём чистую систему (+ апдейты), никаких служб не отключаем, ничего кроме КИС2009 не ставим, КИС дополнительно не настраиваем, всё по дефолту. ИМХО, это самая распространённая ситуация, как тут любят говорить - ПК "домохозяйки" Потом берём nmap и натравливаем его на эту машину. У nmap куча параметров. Что касается моих результатов полученный под ВМ, то поясню некоторые детали: сетевой интерфейс ВМ находился в режие bridged

Bridged — If your host computer is on an Ethernet network, this is often the easiest way to give your virtual machine access to that network. With bridged networking, the virtual machine appears as an additional computer on the same physical Ethernet network as the host. A virtual machine with bridged networking can transparently use any of the services available on the network to which it is bridged, including file servers, printers, gateways, and so on. Likewise, any physical host or other virtual machine configured with bridged networking can use resources of that virtual machine

хост система у меня OpenSUSE, гостевая - WinXP Pro SP3.
Интерено, что если в первом скане порты filtered, то во втором, (XMAS Scan) порты уже open|filtered

Добавлено через 22 минуты

Завтра попаду на работу, не пожалею одну машину на тест

[costashu]

Это правило что, не работает?

сделал. Провел два скана:
1. nmap -T Aggressive -sS -v 192.168.0.2
2. nmap -T Aggressive -sU -v 192.168.0.2
Вот лог вайршарка (94 кб) - nmap-scan.rar

[costashu]

Я предлагаю (для тех, которые имеют такую возможность, конечно) работать не под VM, а на физических компах - результат будет другим.
Paul

можно, конечно, и через инет, если открытый айпи. Кого посканировать, какой фаер?

берём чистую систему (+ апдейты), никаких служб не отключаем, ничего кроме КИС2009 не ставим, КИС дополнительно не настраиваем, всё по дефолту. ИМХО, это самая распространённая ситуация, как тут любят говорить - ПК "домохозяйки" Потом берём nmap и натравливаем его на эту машину.

у моей домохозяйки я держу почти такую машину Есть, конечно, дополнительный софт, не системный. Разве он помешает чистоте опыта? Еще остается вопрос логов ЗА кис - если такая возможность вообще есть

[ALEX(XX)]

Есть, конечно, дополнительный софт, не системный. Разве он помешает чистоте опыта?

Не должон

[XP user]

Интерено, что если в первом скане порты filtered, то во втором, (XMAS Scan) порты уже open|filtered

Я не исключаю, что КИС таким образом пакеты таких сканов отбрасывает. Из документации по nmap:
http://nmap.org/book/man-port-scanning-basics.html

open|filtered

Nmap places ports in this state when it is unable to determine whether a port is open or filtered. This occurs for scan types in which open ports give no response. The lack of response could also mean that a packet filter dropped the probe or any response it elicited. So Nmap does not know for sure whether the port is open or being filtered. The UDP, IP protocol, FIN, NULL, and Xmas scans classify ports this way.

То есть - nmap'у непонятно, открыт ли порт или нет. Это только говорит хакеру о том, что там, скорее всего, пакетный фильтр установлен. Возможно по другим признакам (какие-то задержки в милисекундах, допустим) можно определить какой именно, и начинать эксплойт против него, но это уже другой вопрос. Ничего плохого о КИСе это само по себе не говорит.

Paul

[SDA]

На форуме ЛК был задан вопрос http://forum.kaspersky.com/index.php...1&st=0&start=0 ответ получен не был на автора только "наехали", сам бы присоединился к вопросу, но тему уже закрыли. Стало интересно, поддерживаю автора на 100%. Сам года 2 с половиной назад работал в связке 5-го касперкого +Zone Alarm и тоже в журнале Зины атак было немеренно. Особо злостные айпи (просто в локалке, не говоря про инет) блокировал, что перестало хватать места в журнале, приходилось убирать старые и обновлять новые рассадники червей. Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны, ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?

[ALEX(XX)]

На форуме ЛК был задан вопрос http://forum.kaspersky.com/index.php...1&st=0&start=0 ответ получен не был на автора только "наехали", сам бы присоединился к вопросу, но тему уже закрыли. Стало интересно, поддерживаю автора на 100%. Сам года 2 с половиной назад работал в связке 5-го касперкого +Zone Alarm и тоже в журнале Зины атак было немеренно. Особо злостные айпи (просто в локалке, не говоря про инет) блокировал, что перестало хватать места в журнале, приходилось убирать старые и обновлять новые рассадники червей. Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны, ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?

Во-во. Когда КИС7 стоял, тоже удивлялся. Ну хоть бы кто-нибудь стукнулся. Прикола ради поставил NIS2007, тот частенько сообщал о "звонках в дверь"
А то что тему закрыли, ну это понятно

[XP user]

На форуме ЛК был задан вопрос http://forum.kaspersky.com/index.php...1&st=0&start=0 ответ получен не был на автора только "наехали", сам бы присоединился к вопросу, но тему уже закрыли. Стало интересно, поддерживаю автора на 100%. Сам года 2 с половиной назад работал в связке 5-го касперкого +Zone Alarm и тоже в журнале Зины атак было немеренно. Особо злостные айпи (просто в локалке, не говоря про инет) блокировал, что перестало хватать места в журнале, приходилось убирать старые и обновлять новые рассадники червей. Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны, ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?

Прочитал топик. Ответ MiStr частично прадва - ZoneAlarm переборщает, конечно, и, особенно в бесплатной версии играет на страх (возможно в надежде, что будут покупать версю Про, которая 'ещё лучше' () - большинство блокируемых 'атак' лишь шум на задном фоне. Но это не значит, что автора надо 'послать' за несостоятельность его вопроса (мы здесь убедились уже в обратном), как некоторые начали делать (MiStr не в счёт - он себя корректно вёл).

Замечание с которым он закрыл топик заставило меня улыбнуться. Цитирую:

Он задал совершенно нормальный вопрос, который бы и я задал, если бы не знал истины.

Так держать! Может переименовать ник в MisteryMan, a?

Paul

[ALEX(XX)]

Наверное КИС - партизан

Добавлено через 1 минуту

Так держать! Может переименовать ник в MisteryMan, a?
Paul

The truth is out there.... (а точнее - в вине)

[SDA]

Paul, у меня стоял ZoneAlarmPro, а "червивые" айпи было видно невооруженным взглядом на местном форуме даже тема была - "айпи с которых рассылаются вирусы"

[XP user]

Paul, у меня стоял ZoneAlarmPro, а "червивые" айпи было видно невооруженным взглядом на местном форуме даже тема была - "айпи с которых рассылаются вирусы"

Я это понимаю, но что если у ЛК политика такая - 'молча блокировать - меньше знают, лучше спят' (как встроенный файрвол в Windows)? Конечно, я уже годами пытаюсь добываться подробных журналов по умолчанию туда-сюда в файрволе ЛК, как это прекрасно реализовано в Аутпосте, но 'не судьба' так сказать. Я устал. Больше не буду требовать.

Paul

[1205]

Сейчас в отчетах KIS 2009, где то за полтора месяца всего 30 атак, в основном Helkern, которые для обычного компа не страшны, ну и немного сканирований. Спрашивается -сетевые вирусы пропали или Зина блокировала почти все пакеты?

У меня примерно за полтора месяца KIS 2009 не заблокировала ни одной атаки. До этого очень недолго стоял KIS 7-тоже ничего не было (из атак). Как-то странно...Опасные службы я только вчера закрыл (как в книге написано про безопасный интернет, и то не все). Где же атаки? Хотя возможно фаерволл на роутере мне все блокирует, в отчетах очень много таких записей:
Wednesday July 23, 2008 14:21:47 Disassociated: Blocked access attempt from 213.170.115.86:34278 to TCP port 41077
Wednesday July 23, 2008 14:21:50 Disassociated: Blocked access attempt from 213.170.115.86:34278 to TCP port 41077
Wednesday July 23, 2008 14:21:56 Disassociated: Blocked access attempt from 213.170.115.86:34278 to TCP port 41077
Wednesday July 23, 2008 14:26:38 Disassociated: Blocked access attempt from 125.211.198.7:34091 to UDP port 1026
Wednesday July 23, 2008 14:28:11 Disassociated: Blocked access attempt from 222.72.135.40:57587 to UDP port 11244
Wednesday July 23, 2008 14:33:28 Disassociated: Blocked access attempt from 213.170.115.86:33430 to TCP port 41077
Wednesday July 23, 2008 14:33:31 Disassociated: Blocked access attempt from 213.170.115.86:33430 to TCP port 41077
Wednesday July 23, 2008 14:33:37 Disassociated: Blocked access attempt from 213.170.115.86:33430 to TCP port 41077
И подобных записей очень много каждый день. А каспер ничего не блокирует.

[costashu]

продолжу о методике тестирования фаеров, и в частности - фаера кис. После многочисленных собственных сканирований предлагаю сканировать порты в два этапа -

1. быстрый скан nmap всех портов tcp и udp. Команда типа
nmap -T4 (или -T5) -sS -sU -p0-65535 <хосты>
2. подробный скан nmap интересных портов. Команда типа
nmap -v -v -T1 (или -T0) -sS (и/или -sU) -sV --reason -p<порты> <хост>

Проверил, перехватывает ли вайршарк (установленный на сканируемом хосте) трафик до кис, одновременно с ним или после. Я в своем опыте убедился, что после. Привожу результат двух подробных сканирований портов tcp и udp 135-139 для проверки работы правил Local Services (TCP) и Local Services (UDP), о которых я спрашивал в первом посте темы, вместе с логом вайршарка (135-139.rar, 3.5кб).
Команда nmap -sS -sU -sV --reason -p135-139 192.168.0.2

1. правила отключены (сниф со строки 14):

Код:

PORT    STATE         SERVICE     REASON       VERSION
135/tcp open          msrpc       syn-ack      Microsoft Windows RPC
136/tcp closed        profile     reset
137/tcp closed        netbios-ns  reset
138/tcp closed        netbios-dgm reset
139/tcp open          netbios-ssn syn-ack
135/udp closed        msrpc       port-unreach
136/udp closed        profile     port-unreach
137/udp open          netbios-ns  udp-response Microsoft Windows NT netbios-ssn (workgroup: COSTA)
138/udp open|filtered netbios-dgm no-response
139/udp closed        netbios-ssn port-unreach

2. правила включены (сниф со строки 133):

Код:

PORT    STATE         SERVICE     REASON       VERSION
135/tcp filtered      msrpc       no-response
136/tcp closed        profile     reset
137/tcp filtered      netbios-ns  no-response
138/tcp filtered      netbios-dgm no-response
139/tcp filtered      netbios-ssn no-response
135/udp open|filtered msrpc       no-response
136/udp closed        profile     port-unreach
137/udp open|filtered netbios-ns  no-response 
138/udp open|filtered netbios-dgm no-response 
139/udp open|filtered netbios-ssn no-response

Интересно также услышать мнение Олега Зайцева и DVi об этой методике. Желающим предлагаю посканировать порт 123/udp - он открыт почти всегда

Применять ли APS - вопрос интересный, даже концептуальный. Должен ли фаер прикрывать обычно закрытые порты? Место ли в персональном фаере классическому правилу фаеров запретить всё всем? Я считаю, что должен и место, но я гикнутый и вхожу в "1%" юзеров, на которых ЛК не ориентируется

[XP user]

Применять ли APS - вопрос интересный, даже концептуальный. Должен ли фаер прикрывать обычно закрытые порты? Место ли в персональном фаере классическому правилу фаеров запретить всё всем? Я считаю, что должен и место, но я гикнутый и вхожу в "1%" юзеров, на которых ЛК не ориентируется

Лучше высказать ту же мысл, чем вы - не могу. +1

Хотя возможно фаерволл на роутере мне все блокирует,

Не 'возможно', а точно. Это по моему и есть записи из раутера нет? КИС, насколько я помню, так не пишет журналы...

Paul

[Geser]

Я это понимаю, но что если у ЛК политика такая - 'молча блокировать - меньше знают, лучше спят' (как встроенный файрвол в Windows)? Конечно, я уже годами пытаюсь добываться подробных журналов по умолчанию туда-сюда в файрволе ЛК, как это прекрасно реализовано в Аутпосте, но 'не судьба' так сказать. Я устал. Больше не буду требовать.

Paul

Это точно. Я тоже просил просил сделать нормальные логи, но так и не допросился.