Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Персональный файрвол (сетевой экран), выбор, универсальные настройки
 
Добрый день. Уже давно есть идея зафайерволить рабочие станции пользователей файрволом уровня приложений, написать (скачать) достаточно универсальные правила типа "запретить всё" (за исключением тех портов, которые требуются для работы приложений - например исх. 80,21,443 для браузера, 23 для телнет-клиента и т.п.)

1. Хотелось бы иметь в сетевом экране 2 зоны - локальная сеть и интернет и чтобы наборы правил для двух этих зон отличались. Такое было когда-то реализовано в Kerio Personal Firewall, там можно было запретить любую активность для сети интернет, но разрешить для локалки или задать правила для локалки, например. Какие брэндмауэры сейчас дают возможность настроить политику в таком виде?

2. вместо написания правил самому с отловом всех портов, которые нужны для работы винды с эктив директори, смб, службы сетевой печати и прочих, было бы неплохо иметь сайт, где публикуются настройки к конкретным файрволам, которые можно импортировать, или хотя бы подробно описаны все необходимые службы винды, а также порты различных популярных приложений. настройки для работы по-умолчанию с системными службами не всегда хороши (смб открыт с внешнего интерфейса и т.п.)

есть ли уже решения вышеуказнных проблем или надо всё писать самому и никто нигде не обменивается своими наработками?
 
Судя по тому, что вы написали - вам уровень приложений не нужен. Это раз. А вообще задача поставлена неконкретно. Но всё что вы перечислили тут решается правилами стандартного файерволом Windows (ообенно если брать 2008 сервер и 7-ку для рабочих станций), как на рабочих станциях, так и на шлюзе. Кроме-то - настройки правил для внутренней сети в большинстве случаев подходят по умолчанию. Не перебарщивайте с узурпацией правил - они должны чётко соответствовать решаемым задачам и требованиям политики безопасности в компании.
Конкретизируйте задачу и получите конкретный ответ. А пока для общего развития:

http://support.microsoft.com/kb/832017/ru
http://ru.wikipedia.org/wiki/%D0%A1%D0%BF%D0%B8%D1%81%D0%BE%D0%BA_%D0%BF%D0%BE%D­1%80%D1%82%D0%BE%D0%B2_TCP_%D0%B8_UDP
 
Возможно, я действительно некорректно сформулировал задачу. Задача в том чтобы запретить любую сетевую активность, кроме разрешённой конкретным приложениям. Зачем это необходимо и почему нельзя обойтись уровнем прикладным уровнем (http и прочий SMTP)? Приведу пример из последних. Пользователь с ява машиной у которого разрешён http/https, заходит на сайт с Exploit.Java.CVE ілі Trojan-Downloader.Java.OpenConnection после чего получает пару экзешников, один из которых какойнибудь хттп_реверс шел из метасплойта обфусцированный по самые уши и непродетектированный антивирусом. Дальше вирус имеет возможность беспрепятственно связываться со своим сервером и принимать/передавать что угодно.

Если зафайерволится на уровне приложения, то хттп будет разрешён только экзешникам мозилы/оперы, которые имеют чексумы и задача для вирусописателя усложняется. То же самое касается кучи софта, который собирает отчёты и передаёт разработчику для "улучшения следующих версий".

Что скажете относительно такой постановки вопроса?
 
Агнитум Оутпост
Страницы: 1
Читают тему