А он защищает от сетевых атак разве? Мне с ним глубоко работать не пришлось (к счастью, или к несчастью). Но то, что я видел - всего лишь простенькая блокировка различного вида сетевых пакетов по портам. Обычно народ использует более продвинутые "файрволлы". Аутпосты всякие, Комоды и прочие КИСы.

Ну, по всякие SYN-FIN, XMass и прочие виды сканирования, которые запросто блокирует по флагам iptables Линуха - он точно не умеет работать.

Так отож! Сам проверял nmap-ом в режиме обычного SYN сканирования.

Arwed Arwed, больше скажу. Даже если фаервол/брандмауэр включен это не значит что порт закрыт. Порт закрыт однозначно только в том случае если на нем ничего не "висит".
Почитайте статьи на тему телекоммуникаций.

Это определяется тем, что "висит" на этом порту.

Список портов и за кем они закреплены: ru.wikipedia.org

Возможна и еще как возможна. Клиент или сервер не важно. Оно "висит" на порту и является программой. А значит атака возможна. Подчеркну, что _возможна_, а не однозначно уязвимо. Не путайте вероятность и возможность с однозначностью, которая зависит от множества факторов, вплоть до "фазы луны" и "шаманистости бубна" у админа.

Т.е. не всегда открытый порт - это уязвимость. Но надеяться и "расслаблять булки" не стоит.

Прочитайте на досуге, что делает сетевой стек, получая пакеты на вообще не открытый порт. И прикиньте, что будет, если подобных пакетов будет очень много. Хотя в общем случае Вы правы - большинство атак именно на входящий открытый порт. В отличие от приведенного выше примера, при посылке пакета SYN этот самый сетевой стек ожидает (посылая в ответ ACK) ответ SYN-ACK с другой стороны соединения. Ресурсы все это время "держатся" (до истечения заданного времени). Посылая много пакетов SYN на открытый порт, можно теоретически исчерпать системные ресурсы принимающей стороны. Именно на это была основана древняя (середины 90-х) атака SYN Flood. Но там очень много факторов, да и сейчас во всех современных ОС есть защита от этого.

И что же именно должно вытечь из того факта, что "XP-вчерашний день"?

Arwed Arwed, не спорю с этим утверждением. Но также стоит понимать что жизненный цикл продукта Windows XP подходит к концу. Точнее уже частично завершился. А значит обновлений стало меньше, а дыр открывают все больше. По сему использование Windows XP как host системы _опасно_. Но я лично ее кручу по виртуалкой. Кушает хрюша копейки и приклад который на ней работает тоже не тяжелый. Просто, надежно и безопасно.
P.S. Игры под виртуалкой с хрюшой прекрасно работают.

Реально ситуация такая - встроенный брандмауэр это вариант IPFW, НО у него по умолчанию ВСЁ разрешено. Его конечно можно подстроить, правда полностью закрыть им дыры не реально - макет задумки он и в Африке макет. За примерами далеко ходить не надо - даже если в нём поставить правило запрета, то используя вызовы WinAPI его можно просто обойти добавив программу в "исключения брандмауэра Windows" и при этом необходимости в том, чтобы создавать запись в конфигах нет - достаточно просто поменять копию таблиц запрета в памяти, чем кстати часто пользуются инсталляторы и не в меру "общительные" программы от той же Адобе. Сам наблюдал - ребята отключали им автопроверку обновлений чтобы настроенный под техпроцесс данной фирмы софт не терял при обновлении настройки и не менял зависимости, но эти программы либо открывали для себя порты сами, либо находили иные лазейки и с исправностью идиотов тащили обновления после чего у людей возникала куча головной боли с полетевшими настройками и зависимостями - инсталляторы обновлений переписывали библиотеки по принципу "А нам так надо, остальные равняйся на нас!" а другие программы переставали работать в следствии того, что новые общие библиотеки были рассчитаны под новые версии WinAPI и "устаревшие" вызовы из них были удалены либо в лучшем случае заменены заглушками возвращавшими сообщение "Функция не реализована". Это одна сторона медали, а вторая - унаследованное ПО.

За двадцать лет существования платформы WINNT процесс развития WinAPI носил во многом эволюционный характер и новые функции внедрялись параллельно с созданием переходных решений позволявших заказчикам использовать ранее установленное ПО с минимальными модернизациями и естественно, расходами - WINNT изначально проектировалась как бизнес-платформа, но после принятия в Редмонде решения о том, что она должна стать во многом игровой платформой - "любимые" игроманами DOS/Win9x повелели долго жить именно по воле руководства Микрософт "Экономически не выгодно!" в неё стали добавлять новые функции не заботясь о совместимости с накопленным в промышленности ПО - "Игрушки меняются столь часто, что совместимость с унаследованным ПО не требуется!", и как следствие этого наработка системы на отказ (до первого критического сбоя вычислительного комплекса по вине ОС) резко уменьшилась - та же WINNT 3.51 имела данный параметр примерно равный 160 - 163 недели, NT 4.0 уже 52 - 54 недели, а для 2000-й он составил всего 48 - 50 недель, в ХР разработчики учли ошибки допущенные в 2000-й и этот параметр удалось поднять до 76 - 80 недель.

А после под предлогом "обеспечения надёжности и защиты от дурака" в Vista переписали модель WinAPI, но убедившись в том, что приложений написанных под неё пока мало оставили механизм совместимости с унаследованным ПО в составе ОС. В Seven - тут я считаю решение принимали не специалисты по архитектуре вычислительных систем, а отдел продаж, было принято "гениальное" решение выкинуть механизм совместимости напрочь. Что и было сделано, но под давлением крупных промышленных заказчиков был сделан реверанс в их сторону - "совместимость" возможна, но путём установки урезанного варианта WinXP в виртуальной машине под старшими редакциями семёрки. Формально если у тебя есть действующая лицензия получить и развернуть ВМ с хозяйством можно, реально M$ честно лукавит - даже имея "Подлинный продукт Микрософт" в трёх знакомых конторах без длительной переписки с Микрософт и обоснования необходимости применения унаследованного ПО вместо навязываемой покупки нового получить нужный инструментарий люди не смогли - типовым приёмом стало "Вы не прошли проверку подлинности разрешающую загрузку и установку данного ПО". Зато предложения от бизнес-партнёров Микрософт купить новые версии их ПО, естественно "по специальным ценам" посыпались как из рога изобилия - как выяснилось "Бизнес-системы созданные для Windows 2000/XP не совместимы с Windows 7 и их доработка или обновление не возможны в следствии произошедших в архитектуре ОС изменений, возможно только резервирование данных, полное удалением старого ПО, развёртывание и настройка нового, миграция данных из резервных копий средствами специального инструментария приобретаемого отдельно." - это выписка из одного из самых вменяемых писем от партнёров Микрософт.

Сейчас ситуация такова - ради получения прибыли Микрософт и партнёры сознательно хоронят ХР как техническую платформу - семёрка стоит сколько в пересчёте цены владения на копию? Втрое, если не в четверо дороже, а вложения вендоров в производство ПО и аппаратуру для него возросли незначительно, и если посчитать выручку по принятым в экономике правила, что выручка это разница между рыночной ценой и себестоимостью, и вычесть из неё долю транспорта и торговых посредников, то мы увидим, что абсолютная выручка вендоров в численном выражении возросла на $N за копию/изделие, а в относительном выражении по с равнению с ХР она возросла в несколько раз...

И именно потому они и не пишут тех же драйверов под ХР, да и не просто так для некоторых устройств производители выпустили драйвера только под восьмёрку - "Драйвера под более старые версии ОС будут в неопределённом будущем. Извините!", хотя это по моему точно такой же инженерный провал как и Виста - Микрософт и её парнёрам выгодна смена WinAPI т.к. это гарантирует им рост прибылей.

это не так.


а в linux/freebsd имея euid==0 можно модифицировать правила netfilter или ipfw/pf