-
Результаты проверки фаервола кис 2009 снаружи
пытался добиться ответа/реакции на форуме ЛК, но не судьба. Поэтому прошу уважаемых участником этого замечального форума подтвердить/опровергнуть приведенные ниже результаты.
В наличии - винда хп про сп3, кис 2009 с настройками по умолчанию, последний тМитер для подсчета трафика и с включенным собственным фаерволом на внешнем интерфейсе, cdma инет с отключенными нетбиосом и службами шары и клиента сети.
Имеем - фаервол кис 2009 не только пропускает кучу незатребованных пакетов, не закрытых правилами, но и - самое важное! - пропускает пакеты, запрещенные имеющимися в нем правилами Local Services (TCP), Local Services (UDP). Утверждаю так потому, что пакеты эти останавливаются и логируются тМитером. Вот лог фаервола тМитера только за сегодня (айпи у меня динамический в громадном сегменте, потому не закрываю):
Код:
2008-07-13 00:10:27 ACL:0/0 UDP 125.211.198.24:50884 -> 77.52.213.254:1027 len=485
2008-07-13 00:18:04 ACL:0/0 UDP 221.206.121.54:39139 -> 77.52.213.254:1027 len=485
2008-07-13 00:25:47 ACL:0/0 UDP 60.222.224.130:39579 -> 77.52.213.254:1026 len=485
2008-07-13 00:30:33 ACL:0/0 TCP 202.63.156.10:4101 -> 77.52.213.254:23 len=60
2008-07-13 01:40:28 ACL:0/0 TCP 218.27.1.194:18723 -> 77.52.213.254:10000 len=48
2008-07-13 01:45:53 ACL:0/0 UDP 125.211.198.4:34595 -> 77.52.213.254:1027 len=485
2008-07-13 01:53:37 ACL:0/0 UDP 125.211.198.20:33027 -> 77.52.213.254:1026 len=485
2008-07-13 01:53:37 ACL:0/0 UDP 125.211.198.20:33027 -> 77.52.213.254:1027 len=485
2008-07-13 02:38:35 ACL:0/0 UDP 125.211.198.24:45028 -> 77.52.213.254:1026 len=485
2008-07-13 02:59:05 ACL:0/0 TCP 61.160.207.130:6000 -> 77.52.213.254:2967 len=40
2008-07-13 10:36:03 ACL:0/0 2 77.52.204.37 -> 224.0.0.22 len=40
2008-07-13 10:36:04 ACL:0/0 2 77.52.204.37 -> 224.0.0.22 len=40
2008-07-13 10:36:36 ACL:0/0 TCP 72.27.186.20:3317 -> 77.52.204.37:23 len=60
2008-07-13 10:50:17 ACL:0/0 UDP 125.211.198.11:35258 -> 77.52.204.37:1026 len=485
2008-07-13 10:59:28 ACL:0/0 UDP 60.222.231.183:47734 -> 77.52.204.37:1026 len=917
2008-07-13 10:59:28 ACL:0/0 UDP 60.222.231.183:47736 -> 77.52.204.37:1027 len=917
2008-07-13 11:01:02 ACL:0/0 UDP 125.211.198.9:53716 -> 77.52.204.37:1026 len=485
2008-07-13 11:22:31 ACL:0/0 UDP 125.211.198.10:53062 -> 77.52.204.37:1026 len=485
2008-07-13 11:27:43 ACL:0/0 TCP 77.52.225.17:3395 -> 77.52.204.37:1433 len=48
2008-07-13 11:27:46 ACL:0/0 TCP 77.52.225.17:3395 -> 77.52.204.37:1433 len=48
2008-07-13 11:46:12 ACL:0/0 UDP 60.222.224.134:47985 -> 77.52.204.37:1027 len=485
2008-07-13 11:49:36 ACL:0/0 UDP 125.211.198.29:37417 -> 77.52.204.37:1026 len=485
2008-07-13 11:56:06 ACL:0/0 UDP 60.222.224.138:42993 -> 77.52.204.37:1027 len=485
2008-07-13 12:07:59 ACL:0/0 UDP 125.211.198.11:60378 -> 77.52.204.37:1027 len=485
2008-07-13 12:08:33 ACL:0/0 UDP 60.222.224.137:51296 -> 77.52.204.37:1026 len=485
2008-07-13 12:08:33 ACL:0/0 UDP 60.222.224.137:51296 -> 77.52.204.37:1027 len=485
2008-07-13 12:18:12 ACL:0/0 UDP 60.222.224.130:42867 -> 77.52.204.37:1027 len=485
2008-07-13 12:41:11 ACL:0/0 UDP 202.99.172.146:36143 -> 77.52.204.37:1026 len=922
2008-07-13 12:41:11 ACL:0/0 UDP 202.99.172.146:36144 -> 77.52.204.37:1027 len=922
2008-07-13 13:03:33 ACL:0/0 UDP 60.222.224.138:36821 -> 77.52.204.37:1026 len=485
2008-07-13 13:18:44 ACL:0/0 UDP 202.99.172.146:52881 -> 77.52.204.37:1026 len=922
2008-07-13 13:18:44 ACL:0/0 UDP 202.99.172.146:52883 -> 77.52.204.37:1027 len=922
2008-07-13 13:33:56 ACL:0/0 UDP 221.206.121.53:41144 -> 77.52.204.37:1026 len=485
2008-07-13 13:55:20 ACL:0/0 TCP 77.52.207.52:1697 -> 77.52.204.37:1433 len=48
2008-07-13 13:56:26 ACL:0/0 UDP 202.99.172.146:52610 -> 77.52.204.37:1026 len=922
2008-07-13 13:58:36 ACL:0/0 ICMP 80.255.73.19 -> 77.52.204.37 len=56
2008-07-13 13:58:49 ACL:0/0 TCP 202.4.96.22:21008 -> 77.52.204.37:10000 len=48
2008-07-13 13:59:49 ACL:0/0 UDP 125.211.198.4:53957 -> 77.52.204.37:1026 len=485
2008-07-13 13:59:49 ACL:0/0 UDP 125.211.198.4:53959 -> 77.52.204.37:1027 len=485
2008-07-13 14:10:59 ACL:0/0 ICMP 80.255.73.19 -> 77.52.204.37 len=56
2008-07-13 14:25:44 ACL:0/0 2 77.52.204.210 -> 224.0.0.22 len=40
2008-07-13 14:25:45 ACL:0/0 2 77.52.204.210 -> 224.0.0.22 len=40
2008-07-13 14:32:44 ACL:0/0 UDP 221.206.121.10:53498 -> 77.52.204.210:1027 len=485
2008-07-13 14:47:36 ACL:0/0 TCP 67.198.202.130:39995 -> 77.52.204.210:22 len=48
2008-07-13 14:54:24 ACL:0/0 TCP 91.90.20.5:80 -> 77.52.204.210:1837 len=751
2008-07-13 15:08:50 ACL:0/0 UDP 125.211.198.16:40336 -> 77.52.204.210:1027 len=485
2008-07-13 15:12:09 ACL:0/0 TCP 77.52.225.17:3512 -> 77.52.204.210:1433 len=48
2008-07-13 15:12:11 ACL:0/0 TCP 77.52.225.17:3512 -> 77.52.204.210:1433 len=48
2008-07-13 15:12:38 ACL:0/0 UDP 202.99.172.146:46647 -> 77.52.204.210:1027 len=922
2008-07-13 15:12:38 ACL:0/0 UDP 202.99.172.146:46646 -> 77.52.204.210:1026 len=922
2008-07-13 15:22:36 ACL:0/0 UDP 221.206.121.10:38006 -> 77.52.204.210:1026 len=485
2008-07-13 15:26:19 ACL:0/0 TCP 85.121.68.94:3708 -> 77.52.204.210:4899 len=64
2008-07-13 15:28:40 ACL:0/0 TCP 201.8.219.172:3445 -> 77.52.204.210:4899 len=48
2008-07-13 15:43:21 ACL:0/0 TCP 77.37.137.246:4513 -> 77.52.204.210:4899 len=64
2008-07-13 15:44:58 ACL:0/0 TCP 91.126.90.78:1692 -> 77.52.204.210:4899 len=64
2008-07-13 15:47:15 ACL:0/0 UDP 125.211.198.4:59097 -> 77.52.204.210:1027 len=485
2008-07-13 16:00:30 ACL:0/0 UDP 221.206.123.163:33619 -> 77.52.204.210:1026 len=485
2008-07-13 16:00:30 ACL:0/0 UDP 221.206.123.163:33620 -> 77.52.204.210:1027 len=485
2008-07-13 16:03:35 ACL:0/0 UDP 60.222.231.183:45826 -> 77.52.204.210:1026 len=917
2008-07-13 16:11:05 ACL:0/0 UDP 125.211.198.10:34486 -> 77.52.204.210:1027 len=485
2008-07-13 16:34:09 ACL:0/0 TCP 77.52.204.210:3071 -> 195.189.143.140:443 len=40
2008-07-13 16:45:07 ACL:0/0 TCP 98.206.98.153:3597 -> 77.52.204.210:4899 len=64
2008-07-13 16:45:10 ACL:0/0 TCP 98.206.98.153:3597 -> 77.52.204.210:4899 len=64
2008-07-13 16:45:17 ACL:0/0 TCP 98.206.98.153:3597 -> 77.52.204.210:4899 len=64
2008-07-13 16:46:29 ACL:0/0 TCP 77.52.204.210:3257 -> 195.14.47.66:80 len=40
2008-07-13 16:50:29 ACL:0/0 UDP 125.211.198.20:48079 -> 77.52.204.210:1026 len=485
2008-07-13 16:50:29 ACL:0/0 UDP 125.211.198.20:48080 -> 77.52.204.210:1027 len=485
2008-07-13 18:51:44 ACL:0/0 2 77.52.204.210 -> 224.0.0.22 len=40
2008-07-13 18:51:45 ACL:0/0 2 77.52.204.210 -> 224.0.0.22 len=40
2008-07-13 19:09:12 ACL:0/0 UDP 125.211.198.26:38810 -> 77.52.204.210:1027 len=485
2008-07-13 19:14:30 ACL:0/0 UDP 221.206.121.54:39197 -> 77.52.204.210:1026 len=485
2008-07-13 19:14:30 ACL:0/0 UDP 221.206.121.54:39197 -> 77.52.204.210:1027 len=485
2008-07-13 19:19:15 ACL:0/0 TCP 77.52.199.35:4029 -> 77.52.204.210:1433 len=48
2008-07-13 19:31:43 ACL:0/0 TCP 88.152.7.52:4104 -> 77.52.204.210:4899 len=64
2008-07-13 20:02:30 ACL:0/0 UDP 60.222.231.183:54584 -> 77.52.204.210:1026 len=917
2008-07-13 20:02:30 ACL:0/0 UDP 60.222.231.183:54585 -> 77.52.204.210:1027 len=917
2008-07-13 20:04:50 ACL:0/0 UDP 125.211.198.23:33980 -> 77.52.204.210:1026 len=485
2008-07-13 20:05:27 ACL:0/0 TCP 77.52.121.174:4114 -> 77.52.204.210:2967 len=48
2008-07-13 20:05:30 ACL:0/0 TCP 77.52.121.174:4114 -> 77.52.204.210:2967 len=48
2008-07-13 20:07:52 ACL:0/0 UDP 60.222.224.137:41022 -> 77.52.204.210:1026 len=485
2008-07-13 20:12:39 ACL:0/0 TCP 77.52.198.204:3055 -> 77.52.204.210:1433 len=48
2008-07-13 20:12:43 ACL:0/0 TCP 77.52.198.204:3055 -> 77.52.204.210:1433 len=48
2008-07-13 20:24:19 ACL:0/0 UDP 125.211.198.21:36559 -> 77.52.204.210:1027 len=485
2008-07-13 20:44:39 ACL:0/0 TCP 77.245.149.75:3342 -> 77.52.204.210:32000 len=48
2008-07-13 20:55:38 ACL:0/0 UDP 221.206.121.57:42569 -> 77.52.204.210:1026 len=485
2008-07-13 20:55:38 ACL:0/0 UDP 221.206.121.57:42571 -> 77.52.204.210:1027 len=485
2008-07-13 21:01:43 ACL:0/0 UDP 125.211.198.7:48818 -> 77.52.204.210:1026 len=485
2008-07-13 21:01:43 ACL:0/0 UDP 125.211.198.7:48818 -> 77.52.204.210:1027 len=485
2008-07-13 21:12:58 ACL:0/0 UDP 59.44.226.73:6266 -> 77.52.204.210:25772 len=63
2008-07-13 21:13:25 ACL:0/0 UDP 59.44.226.73:6266 -> 77.52.204.210:25772 len=63
2008-07-13 21:18:55 ACL:0/0 UDP 125.211.198.24:51313 -> 77.52.204.210:1027 len=485
(имеющийся архив логов пока вставить в сообщение не могу - нет прав)
Кроме того, пытаясь проверить работу фаервола кис 2009, а именно его правил (для чего пришлось отключить защиту от сетевых атак), провел сканирование с помошью LanSpy своего второго компа (по всем портам), сымитировав по мере возможности у себя дома инет. Вот лог портов:
Код:
TCP порты (2)
21 ftp => File Transfer Protocol
2869 port => Full port Range
UDP порты (9)
123 NTP => Network Time Protocol
135 epmap => DCE endpoint resolution
137 netbios-ns => NetBios Name Service
138 netbios-dgm => NetBios Datagram Service
139 port => Full Port Range
445 microsoft-ds => Microsoft-DS
500 isakmp => Isakmp
1900 ssdp => Simple Service Discovery Protocol
4500 ipsec-nat-t => IPsec NAT-Traversal
Последний раз редактировалось costashu; 13.07.2008 в 23:05.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А в ходе подобных "тестов" у их автора не возникло мысли о том, что одновременная работа двух программных Firewall может привести к совершенно непредсказуемым последствиям ?! Например, откуда уверенность в том, что драйвер TMeter поймает пакет после того, как его пропустит KIS, а не до него (хотя в данном случае вообще будет непредсказуемая ситуация - кто из двух равноправных по сути фильтров трафика первым поймает пакет - загадка). Поэтому если тестировать, то
1. Необходимо деинсталлить все Firewall и иное ПО, активно фильтрующее трафик
2. Применить что-то типа моей утилиты APS - средство, открывающее кучу портов и логирующее успешный коннект к ним. Далее запретить работу скажем по порту X, убедиться, что APS этот порт прослушивает и пробовать подключиться по этому порту извне, применяя скажем telnet. В случае успешного коннекта можно смело говорить о пропуске пакетов
3. Следует помнить, что "домашняя" сеть может считаться доверенной
-
-
уважаемый Зайцев Олег! Примите мои почтения Спасибо, что откликнулись
мысль возникала, и не раз. Потому в начале своего сообщения я и выразил просьбу подтвердить или опровергнуть приведенные результаты. Их легко повторить любому желающему. Необходимое условие - устанавливать тМитер после кис. Я готов попробовать и другие способы, в том числе рекомендованные вами, при первой возможности
Последний раз редактировалось costashu; 13.07.2008 в 23:24.
-
Сообщение от
costashu
уважаемый Зайцев Олег! Примите мои почтения
Спасибо, что откликнулись
мысль возникала, и не раз. Потому в начале своего сообщения я и выразил просьбу подтвердить или опровергнуть приведенные результаты. Их легко повторить любому желающему. Необходимое условие - устанавливать тМитер
после кис. Я готов попробовать и другие способы, в том числе рекомендованные вами, при первой возможности
Для двух приложений, устанавливающих KernelMode драйвера, абсолютно не важно, кто ставился первым, кто последним. Важно, в каком порядке загрузятся их драйвера и какой метод фильтрации трафика они применят. Поэтому повторять опыт с TMeter и любым иным подобным средством смысла нет - именно из-за того, что не ясно, кто из фильтров поймает пакет раньше. Именно поэтому есть смысл в описанном мной опыте - в данном случае проверяется, дошли ли пакеты до прикладной задачи. Если доходят, то с уверенностью в 100% можно говорить, что они пропущены Firewall.
-
-
Сообщение от
costashu
(имеющийся архив логов пока вставить в сообщение не могу - нет прав)
вот закачал сюда логи (197кб, файл Logs.rar)
Добавлено через 10 минут
Сообщение от
Зайцев Олег
Для двух приложений, устанавливающих KernelMode драйвера, абсолютно не важно, кто ставился первым, кто последним. Важно, в каком порядке загрузятся их драйвера и какой метод фильтрации трафика они применят.
конечно, но почему-то в случае с кис и тМитер порядок установки влияет на порядок перехвата пакета. В этом каждый легко может убедиться
Поэтому повторять опыт с TMeter и любым иным подобным средством смысла нет - именно из-за того, что не ясно, кто из фильтров поймает пакет раньше.
1. является ли свидетельством время перехвата пакета? Я включал логирование в запрещающих пакетных правилах кис - для тех же пакетов в логах фаервола тМитера было указано более позднее время
2. если я запрещу в кис пакетным правилом, скажем, входящие на порт 1026, и такие пакеты перестанут логироваться тМитером, будет ли это свидетельством того, что тМитер перехватывает пакеты после кис?
3. есть ли смысл в логировании вайршарком?
Последний раз редактировалось costashu; 14.07.2008 в 00:06.
Причина: Добавлено
-
Здравствуйте.
Я что-то не так прочитал или.. ? Нетбиос у Вас отключен, так ведь? Так почему же они тогда в логе LanSpy видны? Да и вообще, хочу с сожалением отметить, что фаерволлы у Касперского - странная штука - помню, у меня в седьмом КИС в режиме "Блокировать все" трафик шел и отмечался в журнале трафика как ни в чем не бывало.
-
Сообщение от
Kinneas
Нетбиос у Вас отключен, так ведь? Так почему же они тогда в логе LanSpy видны?
и вам здравствовать Я провел серию сканирований с разными настройками. Для приведенного выше лога да, нетбиос поверх tcp в свойствах подключения был выключен и комп после этого перезагружен. Для сравнения логи портов с настройками для локалки:
Код:
TCP порты (8)
21 ftp => File Transfer Protocol
135 epmap => DCE endpoint resolution
139 netbios-ssn => NetBios Session Service
445 microsoft-ds => Microsoft-DS
1044 port => Full port Range
1110 port => Full port Range
2869 port => Full port Range
19780 port => Full port Range
UDP порты (7)
123 NTP => Network Time Protocol
137 netbios-ns => NetBios Name Service
138 netbios-dgm => NetBios Datagram Service
445 microsoft-ds => Microsoft-DS
500 isakmp => Isakmp
1900 ssdp => Simple Service Discovery Protocol
4500 ipsec-nat-t => IPsec NAT-Traversal
Последний раз редактировалось costashu; 14.07.2008 в 00:28.
-
costashu такой вопрос, а антивирус лицензионный? Если не лицензионный и был зарегистрирован кряком а не ключиком ... то может быть и не такое...!
-
-
Даже на forum.kaspersky.com не принято спрашивать о том, лицензионный ли ключ. У costashu ключ Gold beta testers-кий.
-
спасибо, bovar
Сообщение от
Jolly Rojer
costashu такой вопрос, а антивирус лицензионный?
да. Но мы рассматриваем не антивирус - интегрированный пакет интернет безопасности. Он тоже лицензионный
-
Сообщение от
Зайцев Олег
Для двух приложений, устанавливающих KernelMode драйвера, абсолютно не важно, кто ставился первым, кто последним. Важно, в каком порядке загрузятся их драйвера и какой метод фильтрации трафика они применят
Сообщение от
costashu
конечно, но почему-то в случае с кис и тМитер порядок установки влияет на порядок перехвата пакета
costashu, в данном случае Олег более прав, нежели Вы. Порядок загрузки драйверов в общем случае не зависит от порядка установки (если только это не предусмотрено самим разработчиком).
-
-
уважаемый DVi, я тоже люблю теорию, но могу только повторить то, что я уже написал выше -
конечно, но почему-то в случае с кис и тМитер порядок установки влияет на порядок перехвата пакета. В этом каждый легко может убедиться
прошу не слишком сосредоточиваться на этом все таки частном моменте - влияет или нет - а вернуться к подтверждению/опровержению результатов
Последний раз редактировалось costashu; 14.07.2008 в 13:37.
-
costashu, если сомнению подвергается методология эксперимента, то как можно обсуждать результаты?
Более корректную методологию Вам предложил выше Олег. Вот ее результаты имеет смысл обсуждать.
-
-
я, как уже и пообещал выше, попробую предложенную методологию, скорей всего завтра, но неужели никто совсем уж не хочет повторить мой "эксперимент" для его опровержения?
-
Сообщение от
costashu
я, как уже и пообещал
выше, попробую предложенную
методологию, скорей всего завтра, но неужели никто совсем уж не хочет повторить мой "эксперимент" для его опровержения?
Вы тех релизе тестировали или на последней beta версии?
-
-
я использую связку кис+тМитер все время, начиная еще с кис6 - мне нужно считать трафик. Приведенные выше логи относятся к бета-версиям кис 2009 после сборки 357
-
8.0.0.432 протестировал как Олег говорил.
Последний раз редактировалось zerocorporated; 24.11.2008 в 13:48.
-
-
народ, а есть вообще общепринятый способ (или 2) проверки фаерволов снаружи? Кроме инетских сканеров. Где можно почитать (англ. подходит)? А то изнутри полно ликтестов, а снаружи?
-
Да вроде и онлайн сканеров хватит, но выполнять их нужно при реальном внешнем IP. Без NAT'ов, прокси и т.д.
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
-
-
@ costashu:
Для того, чтобы правильно оценить ваши результаты мне хотелось бы увидеть:
* Правила, которые вы создали в KIS'e (особенно для виндовских служб)
* Диапазон доверенных адресов + список доверенных приложений (особенно виндовских служб)
Предполагаю, что то, что в Доверенных не будет блокироваться совсем. Поэтому создать любые запрещающие правила для доверенных приложений (тем более в локальной, доверенной среде) не имеет смысла.
P.S.: Тестировать с APS можно, конечно, (могу даже предсказать результат - 100% блокировка входящих) но это НЕ БУДЕТ показателем для поведения KISа насчёт родных виндовских служб, часть которой, скорее всего, в Доверенных.
P.S.2: NetBIOS вы полностью не отключили. Geser здесь на форуме описал как надо бы:
http://virusinfo.info/showthread.php?t=4243
На самом деле есть ещё некоторые моменты, но тогда у вас сеть может не работать...
Paul
Последний раз редактировалось XP user; 16.07.2008 в 20:18.