Как в одноранговой сети с W2k/XP средствами системы и (или) Norton Personal Firewall 2003 эффективно защититься от нюков?
С настройками NPF по умолчанию проверка показала неэффективность защиты.

С настройками NPF по умолчанию
ну и правильно )) какие порты фаервол защищает по умолчанию? перекрой нужный порт (напрмер 135-138 и 445) посмотри что получится..

Средствами NPF зоблокировал указанные порты + порт 139, но нюк типа RPCNucke по прежнему делает свое дело...:(

BisMark
А вы уверены что заблокировали порты? Как вы в этом убедились?

Guest
Просканировал порты защищаемой машины с помощью известного набора утилит IP-tools v.2.30 локально и из сети (с другого ПК). В результате проверки выяснилось, что моя система "слушает" эти порты, но для другой машины они закрыты (точнее в списке открытых портов при проверке по сети порты 135-139, 445 не значатся).

Может быть стоит тогда сниффером отловить сеанс с нюком и посмотреть что он там творит. Наверняка станет ясно в чем проблема.

Вынужден признать, что из-за того, что не проверил настройки IP-tools на удаленной машине тест на наличие открытых портов 135-139, 445 не выполнялся (в перечне сканируемых их не было). *Поэтому по сети и не определил, что эти порты на самом деле для удаленной машины открыты!!! Прошу извинить, что ввел в заблуждение... Зато получается, что созданное в NPF правило по их блокированию реально не фукционирует?! А вот когда задал в свойствах ТСP/IP фильтрацию портов и указал разрешенные, то сразу увидел желаемый результат, IP-tools показала открытое состояние только разрешенных в фильтре портов. Правда есть одна существенная оговорка: я могу зайти на другую машину, а вот ко мне с неё нет! Так, что пока получается, что во имя собственной безопасности приходится чем-то жертвовать...
Какой-нибудь Sniffer пока не использовал, пробую разобраться с приколами NPF 2003, может есть у кого-нибудь опыт его тонкой настройки - поделитесь чем можете! Почему несмотря на созданное правило порты остаются открытыми. Созданные правила по блокированию нежелательных IP-адресов вроде-бы работают. Все-таки как сохранить функциональность (нормальная работа в локальной сети и в Internet) и заполучить оптимальную защиту, в том числе от тех "неприятностей" о которых шла речь в самом начале поднятой темы? Интересует именно эффективная защита,а поимка нашкодившего - вопрос второго плана, хотя и не последний :biglaugh:

BisMark
можно было поставить рекомендованные MS патчи, я так и сделал - все прокатило.
что до NPF - у тебя могла быть задана trusted network, ну или как она там называется, вообщем сеть, на которую не распространяются заданные правила

Vich

Что касается патчей, то надеюсь вскорости обладать финальным SP2 для XP rus. Относительно "trusted network" в NPF то так оно и есть, т.к. насколько я помню без этого фаер вообще не пускал по сети.
А за подсказку спасибо - проанализирую как с этим быть...

P.S. Попробывал тестово нюкнуть машину Win2000 с установленным SP4 и ничего не вышло!! При этом никакого файрвола на ней не установлено. Похоже заплатки от MS действительно реально работают.


Исправлено: BisMark, 17:07 23-08-2004

Относительно "trusted network" в NPF то так оно и есть, т.к. насколько я помню без этого фаер вообще не пускал по сети
вообщето пускает, просто настраивать экран нужно долше и геморойней... нужно создавать правила для каждого пользователя сетью...

Возник попутный вопрос: кто-нибудь знает как в NPF 2003 сохранить созданные в муках правила для последующего их импорта на другую машину? Явных инструментов для этого не нашел, а простая подмена обнаруженного файла firewall.rul к результату не привела... Неужели только ручками?!