Насколько хорошо он защищает от сетевых атак и защищает ли вообще от таких?
06.03.2012 01:02:41
Насколько хорошо он защищает от сетевых атак и защищает ли вообще от таких?
|
|
|
|
06.03.2012 13:19:47
2 Arwed Arwed
Возьми да и проверь. Для начала nmap-ом. На сколько я помню, он не блокирует некоторые системные сервисы винды. Хотя детально не разбирался. |
|
|
|
06.03.2012 13:40:01
Ну, по всякие SYN-FIN, XMass и прочие виды сканирования, которые запросто блокирует по флагам iptables Линуха - он точно не умеет работать.
|
|
|
|
20.03.2012 11:45:10
Если верить информации от Microsoft, то встроенный сервис Windows Firewall определяет паразитный трафик используя не всеми известные общие принципы подозрительной активности, а нечто вроде женской интуиции от мелкомягких. При этом такие сервисные порты как Remote Procedure Call по прежнему остаются открытыми и могут с некоторой вероятностью быть подвержены атаками типа Overflow, etc... Есть конечно режим ручной настройки для некоторого непроприетарного софта.
Изменено: Евгений Шумаков - 20.03.2012 11:45:45
|
|
|
|
26.03.2012 11:06:45
Подключил комп к инету напрямую, без роутера, зашел сюда
Если порт открыт, это ещё не значит, что его атаковать можно? Этот порт должна использовать программа-сервер? Через браузер, аську атака невозможна, потому что это клиенты?
Изменено: Arwed Arwed - 26.03.2012 11:12:03
|
|
|
|
26.03.2012 11:55:54
Arwed Arwed, больше скажу. Даже если фаервол/брандмауэр включен это не значит что порт закрыт. Порт закрыт однозначно только в том случае если на нем ничего не "висит".
Почитайте статьи на тему телекоммуникаций.
Т.е. не всегда открытый порт - это уязвимость. Но надеяться и "расслаблять булки" не стоит. |
|||||||
|
|
04.05.2012 16:48:13
Тут написано
Как я понимаю, сетевая атака возможна через входящий открытый порт, но не через исходящий? |
|
|
|
04.05.2012 19:48:14
Прочитайте на досуге, что делает сетевой стек, получая пакеты на вообще не открытый порт. И прикиньте, что будет, если подобных пакетов будет очень много. Хотя в общем случае Вы правы - большинство атак именно на входящий открытый порт. В отличие от приведенного выше примера, при посылке пакета SYN этот самый сетевой стек ожидает (посылая в ответ ACK) ответ SYN-ACK с другой стороны соединения. Ресурсы все это время "держатся" (до истечения заданного времени). Посылая много пакетов SYN на открытый порт, можно теоретически исчерпать системные ресурсы принимающей стороны. Именно на это была основана древняя (середины 90-х) атака SYN Flood. Но там очень много факторов, да и сейчас во всех современных ОС есть защита от этого.
|
|
|
|
26.05.2012 14:08:19
ХР - это вчерашний день, со всеми вытекающими
|
|
|
|
27.05.2012 16:29:20
И что же именно должно вытечь из того факта, что "XP-вчерашний день"?
|
|
|
|
13.06.2012 19:07:37
Не просто так многие сидят на XP до сих пор! Почитайте эту тему
|
|
|
|
15.06.2012 13:36:07
Arwed Arwed, не спорю с этим утверждением. Но также стоит понимать что жизненный цикл продукта Windows XP подходит к концу. Точнее уже частично завершился. А значит обновлений стало меньше, а дыр открывают все больше. По сему использование Windows XP как host системы _опасно_. Но я лично ее кручу по виртуалкой. Кушает хрюша копейки и приклад который на ней работает тоже не тяжелый. Просто, надежно и безопасно.
P.S. Игры под виртуалкой с хрюшой прекрасно работают. |
|
|
|
15.06.2012 16:36:45
Господа, беда (а может и не беда - это как посмотреть) в том, что найти дрова на новое железо (чаще всего тут ноутбуки отличаются) для XP - бывает довольно непросто. Попросту ввиду того, что те, кто их пишут - поддерживают более новые ОС - Win7, убогую Vista. Но у ХП есть и очень большой плюс (при всех указанных минусах, разумеется) в реалиях нашего государства - меньшая требовательность к аппаратной части. Не секрет ведь, что во многих гос.структурах стоят довольно чахлые компьютеры. Чтобы туда вкорячить Win7 - надо очень сильно постараться (а некотороые конфигурации железа ее просто не потянут). Ну и не надо забывать, что есть еще пока софт, который в Win7 просто не заведется - всякие налоговые отчестности и им подобные архаичные отчетности. Это тоже реалии нашей жизни. А безопасность? Можно за НАТ (роутер) спрятать компьютеры - вот и защита. На 100 процентов не спасет, конечно (остается голова любителей "вконтактов" и прочих подозрительных "одноглазников"), но процентов на 90 - прикроет.
|
|
|
|
16.06.2012 12:51:40
Реально ситуация такая - встроенный брандмауэр это вариант IPFW, НО у него по умолчанию ВСЁ разрешено. Его конечно можно подстроить, правда полностью закрыть им дыры не реально - макет задумки он и в Африке макет. За примерами далеко ходить не надо - даже если в нём поставить правило запрета, то используя вызовы WinAPI его можно просто обойти добавив программу в "исключения брандмауэра Windows" и при этом необходимости в том, чтобы создавать запись в конфигах нет - достаточно просто поменять копию таблиц запрета в памяти, чем кстати часто пользуются инсталляторы и не в меру "общительные" программы от той же Адобе. Сам наблюдал - ребята отключали им автопроверку обновлений чтобы настроенный под техпроцесс данной фирмы софт не терял при обновлении настройки и не менял зависимости, но эти программы либо открывали для себя порты сами, либо находили иные лазейки и с исправностью идиотов тащили обновления после чего у людей возникала куча головной боли с полетевшими настройками и зависимостями - инсталляторы обновлений переписывали библиотеки по принципу "А нам так надо, остальные равняйся на нас!" а другие программы переставали работать в следствии того, что новые общие библиотеки были рассчитаны под новые версии WinAPI и "устаревшие" вызовы из них были удалены либо в лучшем случае заменены заглушками возвращавшими сообщение "Функция не реализована". Это одна сторона медали, а вторая - унаследованное ПО.
За двадцать лет существования платформы WINNT процесс развития WinAPI носил во многом эволюционный характер и новые функции внедрялись параллельно с созданием переходных решений позволявших заказчикам использовать ранее установленное ПО с минимальными модернизациями и естественно, расходами - WINNT изначально проектировалась как бизнес-платформа, но после принятия в Редмонде решения о том, что она должна стать во многом игровой платформой - "любимые" игроманами DOS/Win9x повелели долго жить именно по воле руководства Микрософт "Экономически не выгодно!" в неё стали добавлять новые функции не заботясь о совместимости с накопленным в промышленности ПО - "Игрушки меняются столь часто, что совместимость с унаследованным ПО не требуется!", и как следствие этого наработка системы на отказ (до первого критического сбоя вычислительного комплекса по вине ОС) резко уменьшилась - та же WINNT 3.51 имела данный параметр примерно равный 160 - 163 недели, NT 4.0 уже 52 - 54 недели, а для 2000-й он составил всего 48 - 50 недель, в ХР разработчики учли ошибки допущенные в 2000-й и этот параметр удалось поднять до 76 - 80 недель. А после под предлогом "обеспечения надёжности и защиты от дурака" в Vista переписали модель WinAPI, но убедившись в том, что приложений написанных под неё пока мало оставили механизм совместимости с унаследованным ПО в составе ОС. В Seven - тут я считаю решение принимали не специалисты по архитектуре вычислительных систем, а отдел продаж, было принято "гениальное" решение выкинуть механизм совместимости напрочь. Что и было сделано, но под давлением крупных промышленных заказчиков был сделан реверанс в их сторону - "совместимость" возможна, но путём установки урезанного варианта WinXP в виртуальной машине под старшими редакциями семёрки. Формально если у тебя есть действующая лицензия получить и развернуть ВМ с хозяйством можно, реально M$ честно лукавит - даже имея "Подлинный продукт Микрософт" в трёх знакомых конторах без длительной переписки с Микрософт и обоснования необходимости применения унаследованного ПО вместо навязываемой покупки нового получить нужный инструментарий люди не смогли - типовым приёмом стало "Вы не прошли проверку подлинности разрешающую загрузку и установку данного ПО". Зато предложения от бизнес-партнёров Микрософт купить новые версии их ПО, естественно "по специальным ценам" посыпались как из рога изобилия - как выяснилось "Бизнес-системы созданные для Windows 2000/XP не совместимы с Windows 7 и их доработка или обновление не возможны в следствии произошедших в архитектуре ОС изменений, возможно только резервирование данных, полное удалением старого ПО, развёртывание и настройка нового, миграция данных из резервных копий средствами специального инструментария приобретаемого отдельно." - это выписка из одного из самых вменяемых писем от партнёров Микрософт. Сейчас ситуация такова - ради получения прибыли Микрософт и партнёры сознательно хоронят ХР как техническую платформу - семёрка стоит сколько в пересчёте цены владения на копию? Втрое, если не в четверо дороже, а вложения вендоров в производство ПО и аппаратуру для него возросли незначительно, и если посчитать выручку по принятым в экономике правила, что выручка это разница между рыночной ценой и себестоимостью, и вычесть из неё долю транспорта и торговых посредников, то мы увидим, что абсолютная выручка вендоров в численном выражении возросла на $N за копию/изделие, а в относительном выражении по с равнению с ХР она возросла в несколько раз... И именно потому они и не пишут тех же драйверов под ХР, да и не просто так для некоторых устройств производители выпустили драйвера только под восьмёрку - "Драйвера под более старые версии ОС будут в неопределённом будущем. Извините!", хотя это по моему точно такой же инженерный провал как и Виста - Микрософт и её парнёрам выгодна смена WinAPI т.к. это гарантирует им рост прибылей. |
|
|
|
16.06.2012 13:48:08
Жжуть. Вить, пальцы не устали?
|
|
|
|
17.06.2012 21:13:05
это не так.
а в linux/freebsd имея euid==0 можно модифицировать правила netfilter или ipfw/pf |
|||||
|
|
06.09.2012 23:12:20
-----------------
Изменено: Arwed Arwed - 12.09.2012 00:58:08
|
||||
|
|
|||