Доброго времени суток, форумчане.
Обращаюсь к вам как обыкновенный пользователь =)
Для начала краткое описание задействованных приложений:
Установлен CIS: D+ “Чистый ПК”, Фаер - “Безопасный”.
На работе логинюсь на комп доменным пользователем.
На работе в качестве шлюза по умолчанию указан ISA Server 2006
Установлен ISA Firewall Client.
По определённым причинам локальная сеть в офисе НЕ добавлена как “доверенная”.
5.а) Вообще наборы “Мои сетевые зоны”, “Мои наборы портов”, “Заблокированные сетевые зоны” ПУСТЫЕ.
Дома логинюсь как “Администратор” локально. Выход в Инет через ADSL обыковенным NAT-ом
Теперь описание проблемы:
Запускаю в офисе приложение (не важно какое) работающее с Инетом.
Приложение в Сетевых Политиках Безопасности настроено обрабатывать как “Вручную”
Приложение стучит в Инет, но через порт 1745 на ISA Server (это из-за Firewall Client).
Но затем ISA + Firewall Client говорят приложению на каком порту ISA будет слушать приложение для проброса в Инет.
Как следствие, в Сетевых Политиках появляются записи типа “Разрешить TCP с любого адреса на любой адрес порт отправления любой на порт XXXX”, где XXXX - соответственно очередной порт из непривилегированных.
Теперь что “бесит” =) :
Непонятна “максимальность” правила, которое создаётся автоматически. Я бы ещё понял, если б адрес назначения был бы адресом ISA Server, а то ж вообще куда угодно разрешает на этот порт.
При таком задании правила нет разницы между нахождением в офисе или дома. Как следствие дома за НАТом я уже фактически разрешил приложению на тот порт стучать куда угодно.
Надоело вручную вычищать кучу правил по приходу домой.
В силу причин разных подсетей дома и на работе не хочу ставить правил связанных с “блокировать всё” в конце правил для приложения. В конце концов я могу оказаться и в МакДаке через ВайФай и ловить засаду “почему же не пускает”.
Создаваемых правил даже в течение дня много. Они все пишутся в реестр (так ведёт себя CIS) и обработка записи/удаления далека от быстрой.
Теперь что же я хочу:
Чтоб создаваемые правила имели привязку хотя бы к конечному адресу, т.е. правила создаватся автоматом должны типа “Разрешить исходящий адрес/порт любой на порт XXXX на адрес ISA SERVER”
м.б. допишу позднее =)
Жду ответов от сталкивающихся со связкой CIS + ISA Server.
Всю необходимую информацию легко дополню по необходимости.
з.ы. Настройки Фаервола - Настройки Оповещения - всё на максимум , все галки кроме ICS (что логично =) )
Разное - Настройки - УБРАНА галка “показывать всплывающие оповещения”.
Антивирус стоит сканирование по доступу, руткит включен, эвристика уровень высокий.
Фаервол, пользовательская политика, настройка оповещений, везде галочки сняты, политика безопасности, правила для приложений, добавил все приложения, которые мне нужны и куда им можно куда нет, в конце правило, блокировать, ip, входящие исходящие, любой, предопределенные политики убраны все.
Защита (проактивка) параноидальный, галочка блокировать все неизвестные запросы, проактивку желательно пару дней погонять на чистой системе в режиме обучения, или включать когда чето не запускается, и иногда из неопознанных файлов нужные вам программы(файлы) добавлять в доверительные.
И все, ни каких всплывающих окон ни каких проблем , ни вирусов ни троянов, и даже если подцепите, быстро отмониторите, да и не смогут они в инет выйти.
и все замечательно, ну вот вкратце ;D
наверное, фаервол,настройки оповещений, очень высокий, тогда для каждого Ip будут отдельные всплывающие окна, я так понял 88), лучше вручную все, если не хотите, что бы для траяна автоматически правило создавалось >:-D
Мне хотя б интересно почему в авто-создаваемых правилах такая "широта" как Источник адрес/порт - любой, Назначение адрес - любой?
По всей видимости разработчики сделали так, чтобы одним разрешающим/запрещающим правилом обеспечить работу приложения с минимальными алертами, как ориентацию на неопытных пользователей. Что будет, если например, приложение uTorrent будет пытаться стучаться к каждому пиру и выскакивать алерт на создание правила под каждый IP пира? Вот и придумали обобщённые правила в случае разрешения или блокировки, с возможностью, при необходимости, последующей корректировки их впределах нужного диапазона портов, адресов и т.п.
Хотя это конечно в некоторых случаях напрягает и хотелось бы, если алерт выскочил на определённый IP, МАС и порт, то при разрешении/блокировке создавалось именно такое правило для приложения. Вообще неплохо было бы увидеть в последующих версиях CIS простые настройки(по-умолчанию) и кнопку перехода в режим для использования CIS c расширенными функциями(для специалистов), с автоматическим созданием более конкретных правил по алертам.
У меня на работе та же ситуация : доменный пользователь, на “своём” ПК, с правами доступа к определённым зонам локальной корпоративной сети…
Решил вопрос по настройке фаера на своей рабочей станции таким образом:
прологинил фаерволом соединения для system, svchost, mstsc, lsass, winlogon(затем для верности сравнил у сисадмина) диапазон айпишников и портов локалки: DNS, шлюза, доступа к нужным базам данных, рабочим станциям и т.д. и жестко “привязал” их к правилам в фаерволе(только исходящие по определённым айпишникам и портам).
браузерам, почтовому клиенту, скайпу, аське прописал только исходящие согласно предсустановленным правилам, Глобальные же правила загнал в режим “Стелс”
включил фаер в режимы “Безопасный” фаервола и проактивки, активировал песочницу, конфигурация - Proactive security
… вроде всё. До моего компа “табу на вход” даже админу :D, я захожу куда мне нужно согласно своему статусу в корпоративной сети.
Да еще,забыл, одному единственному TeamViewer пришлось задать параметры входящего соединения для удалённого доступа к рабочей машине с домашнего ноута ;).
А дома вообще, поставил CIS и работаю с настройками по умолчанию(в режиме “Стелс” глобальных правил) с выходом в инет по NAT через ADSL-модем, отрубив в железном фаере различные потенциальные лазейки типа Telnet и т.п.
SerB, спасибо за ответ. У меня ситуация сильно напрягает именно тем фактом, что один и тот же комп используется в разных сетях (корп/дом) с разными способами получения доступа.
Собственно, прописать для “офисного” варианта правила не такая уж проблема.
Но “затык” начинается при приходе домой. Из-за NAT-а тоже начинают возникать “неправильные” правила, структурировать которые толком не возможно.
Вариант с Torrent как раз правильно приведён. Хоть входящие исключительно по одному порту принимаются (режется роутером дома и на проксе в офисе), но исходящие по разным портам имеют доступ в Инет.
ИМХО лучшим способом станет запрет создания правил для приложений в автоматическом режиме. Тогда исходящие не будут прописываться… Хотя они так и так не блокируются.
Кстати, возможно у меня затык из-за версии Комодо.
От всех требую полной информации при проблемах, а сам забыл.
Версия COMODO Firewall 3.9.ххххх.509
При этом в “предопределённых” наборах нет ничего. Чисто. Сам не удалал. Так что возможно было кривое обновление с 3.5 на 3.9
Из-за определённых причин не было возможности проставить чисто 5.х версию.
Теперь видимо надо это проделать =)
з.ы. дома стоит на стационарном компе 3.5 - шикарно отрабатывает без проблем =)