CIS + Firewall Client

Доброго времени суток, форумчане.
Обращаюсь к вам как обыкновенный пользователь =)

Для начала краткое описание задействованных приложений:

  1. Установлен CIS: D+ “Чистый ПК”, Фаер - “Безопасный”.
  2. На работе логинюсь на комп доменным пользователем.
  3. На работе в качестве шлюза по умолчанию указан ISA Server 2006
  4. Установлен ISA Firewall Client.
  5. По определённым причинам локальная сеть в офисе НЕ добавлена как “доверенная”.
    5.а) Вообще наборы “Мои сетевые зоны”, “Мои наборы портов”, “Заблокированные сетевые зоны” ПУСТЫЕ.
  6. Дома логинюсь как “Администратор” локально. Выход в Инет через ADSL обыковенным NAT-ом

Теперь описание проблемы:
Запускаю в офисе приложение (не важно какое) работающее с Инетом.
Приложение в Сетевых Политиках Безопасности настроено обрабатывать как “Вручную”
Приложение стучит в Инет, но через порт 1745 на ISA Server (это из-за Firewall Client).
Но затем ISA + Firewall Client говорят приложению на каком порту ISA будет слушать приложение для проброса в Инет.
Как следствие, в Сетевых Политиках появляются записи типа “Разрешить TCP с любого адреса на любой адрес порт отправления любой на порт XXXX”, где XXXX - соответственно очередной порт из непривилегированных.

Теперь что “бесит” =) :

  1. Непонятна “максимальность” правила, которое создаётся автоматически. Я бы ещё понял, если б адрес назначения был бы адресом ISA Server, а то ж вообще куда угодно разрешает на этот порт.
  2. При таком задании правила нет разницы между нахождением в офисе или дома. Как следствие дома за НАТом я уже фактически разрешил приложению на тот порт стучать куда угодно.
  3. Надоело вручную вычищать кучу правил по приходу домой.
  4. В силу причин разных подсетей дома и на работе не хочу ставить правил связанных с “блокировать всё” в конце правил для приложения. В конце концов я могу оказаться и в МакДаке через ВайФай и ловить засаду “почему же не пускает”.
  5. Создаваемых правил даже в течение дня много. Они все пишутся в реестр (так ведёт себя CIS) и обработка записи/удаления далека от быстрой.

Теперь что же я хочу:

  1. Чтоб создаваемые правила имели привязку хотя бы к конечному адресу, т.е. правила создаватся автоматом должны типа “Разрешить исходящий адрес/порт любой на порт XXXX на адрес ISA SERVER”

  2. м.б. допишу позднее =)

Жду ответов от сталкивающихся со связкой CIS + ISA Server.
Всю необходимую информацию легко дополню по необходимости.

з.ы. Настройки Фаервола - Настройки Оповещения - всё на максимум , все галки кроме ICS (что логично =) )
Разное - Настройки - УБРАНА галка “показывать всплывающие оповещения”.

Неужели нет никаких мыслей?

Мне хотя б интересно почему в авто-создаваемых правилах такая “широта” как Источник адрес/порт - любой, Назначение адрес - любой?

Ни че не понял, у меня так:

Антивирус стоит сканирование по доступу, руткит включен, эвристика уровень высокий.

Фаервол, пользовательская политика, настройка оповещений, везде галочки сняты, политика безопасности, правила для приложений, добавил все приложения, которые мне нужны и куда им можно куда нет, в конце правило, блокировать, ip, входящие исходящие, любой, предопределенные политики убраны все.

Защита (проактивка) параноидальный, галочка блокировать все неизвестные запросы, проактивку желательно пару дней погонять на чистой системе в режиме обучения, или включать когда чето не запускается, и иногда из неопознанных файлов нужные вам программы(файлы) добавлять в доверительные.

И все, ни каких всплывающих окон ни каких проблем , ни вирусов ни троянов, и даже если подцепите, быстро отмониторите, да и не смогут они в инет выйти.
и все замечательно, ну вот вкратце ;D :wink: :smiley:

наверное, фаервол,настройки оповещений, очень высокий, тогда для каждого Ip будут отдельные всплывающие окна, я так понял 88), лучше вручную все, если не хотите, что бы для траяна автоматически правило создавалось >:-D

Мне хотя б интересно почему в авто-создаваемых правилах такая "широта" как Источник адрес/порт - любой, Назначение адрес - любой?

По всей видимости разработчики сделали так, чтобы одним разрешающим/запрещающим правилом обеспечить работу приложения с минимальными алертами, как ориентацию на неопытных пользователей. Что будет, если например, приложение uTorrent будет пытаться стучаться к каждому пиру и выскакивать алерт на создание правила под каждый IP пира? Вот и придумали обобщённые правила в случае разрешения или блокировки, с возможностью, при необходимости, последующей корректировки их впределах нужного диапазона портов, адресов и т.п.
Хотя это конечно в некоторых случаях напрягает и хотелось бы, если алерт выскочил на определённый IP, МАС и порт, то при разрешении/блокировке создавалось именно такое правило для приложения. Вообще неплохо было бы увидеть в последующих версиях CIS простые настройки(по-умолчанию) и кнопку перехода в режим для использования CIS c расширенными функциями(для специалистов), с автоматическим созданием более конкретных правил по алертам.

У меня на работе та же ситуация : доменный пользователь, на “своём” ПК, с правами доступа к определённым зонам локальной корпоративной сети…
Решил вопрос по настройке фаера на своей рабочей станции таким образом:

  • прологинил фаерволом соединения для system, svchost, mstsc, lsass, winlogon(затем для верности сравнил у сисадмина) диапазон айпишников и портов локалки: DNS, шлюза, доступа к нужным базам данных, рабочим станциям и т.д. и жестко “привязал” их к правилам в фаерволе(только исходящие по определённым айпишникам и портам).

  • браузерам, почтовому клиенту, скайпу, аське прописал только исходящие согласно предсустановленным правилам, Глобальные же правила загнал в режим “Стелс”

  • включил фаер в режимы “Безопасный” фаервола и проактивки, активировал песочницу, конфигурация - Proactive security

… вроде всё. До моего компа “табу на вход” даже админу :D, я захожу куда мне нужно согласно своему статусу в корпоративной сети.

Да еще,забыл, одному единственному TeamViewer пришлось задать параметры входящего соединения для удалённого доступа к рабочей машине с домашнего ноута ;).

А дома вообще, поставил CIS и работаю с настройками по умолчанию(в режиме “Стелс” глобальных правил) с выходом в инет по NAT через ADSL-модем, отрубив в железном фаере различные потенциальные лазейки типа Telnet и т.п.

SerB, спасибо за ответ. У меня ситуация сильно напрягает именно тем фактом, что один и тот же комп используется в разных сетях (корп/дом) с разными способами получения доступа.
Собственно, прописать для “офисного” варианта правила не такая уж проблема.
Но “затык” начинается при приходе домой. Из-за NAT-а тоже начинают возникать “неправильные” правила, структурировать которые толком не возможно.
Вариант с Torrent как раз правильно приведён. Хоть входящие исключительно по одному порту принимаются (режется роутером дома и на проксе в офисе), но исходящие по разным портам имеют доступ в Инет.

ИМХО лучшим способом станет запрет создания правил для приложений в автоматическом режиме. Тогда исходящие не будут прописываться… Хотя они так и так не блокируются.
Кстати, возможно у меня затык из-за версии Комодо.
От всех требую полной информации при проблемах, а сам забыл.
Версия COMODO Firewall 3.9.ххххх.509
При этом в “предопределённых” наборах нет ничего. Чисто. Сам не удалал. Так что возможно было кривое обновление с 3.5 на 3.9
Из-за определённых причин не было возможности проставить чисто 5.х версию.
Теперь видимо надо это проделать =)

з.ы. дома стоит на стационарном компе 3.5 - шикарно отрабатывает без проблем =)