Комментарии 38
Но то, что использовать штатный фаервол в режиме по умолчанию несколько боязно, по-моему, не подлежит сомнению.
Да нет, вполне подлежит. Мне вот не боязно.
Ничего неожиданного не увидел в статье. Видимо Вы просто давно не смотрели на стандартный фаервол. А вот действительно неожиданный момент: он не блокирует обращения к локалхосту вообще никак, и ни каким правилом или настройкой это не меняется.
Локалхост — доверенная зона, зачем ее блокировать? Считается, что все процессы, запускаемые на машине работают в доверенной зоне. Исходящие соединения тоже доверенная зона. А вот входящие( открытие порта на внешнем интерфейсе для приема входящих соединений ) — это рискованная зона.
Этот принцип используется во многих ОС по умолчанию, в том числе и в роутерах.
Этот принцип используется во многих ОС по умолчанию, в том числе и в роутерах.
Пусть у Вас есть приватная админка/прокся на локалхосте. Вы заходите браузером на некий example.com и он спокойно отдает все, до чего дотянется например. А так можно было бы отдельному приложению разрешить доступ, а остальным бить по рукам.
А tor-клиент, создающий порт на локалхосте, который слушает socks-прокси с выходом через tor?:)
Штатный Windows Firewall по умолчанию работает в таком режиме, что любая программа может начать отсылать данные, о чём пользователь даже не будет проинформирован.
Я вас удивлю, но даже ваш домашний роутер работает точно так же. И файерволлы в десктопных дистрибутивах Linux тоже.
Благодаря этому пользователь не задалбывается запросами от кучи приложений, вместе с тем, он защищён от атаки снаружи (поэтому входящие соединения запрещены по умолчанию). Для тех полутора процентов, кому нужен жесткий контроль, оставлена возможность гибкой настройки.
Отличная статья. +1. Но… вот Вы пишите:
>> Всё, мы можем спать спокойно? Увы, нет. Если бы всё было так просто – уверен, компания Microsoft сразу выбирала бы режим «Блокировать» для всех. Жаль, но всё только начинается.<<
— а что может помешать тому же проникшему на комп трояну так же легко, как Вы это поменяли, вернуть настройку назад с «Блокировать» на «Разрешить (по умолчанию)» ??
>> Всё, мы можем спать спокойно? Увы, нет. Если бы всё было так просто – уверен, компания Microsoft сразу выбирала бы режим «Блокировать» для всех. Жаль, но всё только начинается.<<
— а что может помешать тому же проникшему на комп трояну так же легко, как Вы это поменяли, вернуть настройку назад с «Блокировать» на «Разрешить (по умолчанию)» ??
В случае Outpost — защита настроек. Я видел, как она срабатывает. Но Outpost, увы, несколько лет, как мёртв.
В случае Windows Firewall — сложный вопрос. Надеюсь, отсутствие админских прав, но поручиться не могу. Не проверял.
В случае Windows Firewall — сложный вопрос. Надеюсь, отсутствие админских прав, но поручиться не могу. Не проверял.
Отсутствие админских прав на момент заражения компьютера, как Вы понимаете, ещё не помешало ни одному траяну получить их позднее или просто выполнить свою разрушительную миссию даже независимо от того, какие были настройки в Файерволе на момент заражение компьютера :-)
Полностью согласен. Но хоть от продукции ленивых разработчиков какая-никакая, а защита.
К тому же, та же IDA во времена XP свободно прописывала себя в правила Виндушного Фаервола (но против Outpost была бессильна). Менять ручками было бесполезно — она обновляла их под себя каждый раз. В десятке она сама правила не модифицирует. Как и почему — не знаю, просто вижу.
К тому же, та же IDA во времена XP свободно прописывала себя в правила Виндушного Фаервола (но против Outpost была бессильна). Менять ручками было бесполезно — она обновляла их под себя каждый раз. В десятке она сама правила не модифицирует. Как и почему — не знаю, просто вижу.
помешает отсутствие админских прав
В пресловутом Windows Firewall Control от Malwarebytes так вообще в один клик можно на компьютере пользователя ПОЛНОСТЬЮ отключить всю защиту, включая и файервол, и антивирусный движок Windows Defender, с помощью банального переключения профиля с Medium Filtering (стоит по умолчанию) на No Filtering… — разве это можно назвать более хорошей альтернативой? :-)
В целом — согласен. Но отключить защиту в пару кликов можно и средствами самой Windows. Тут главное — разобраться, может ли это сделать зловредная программа. Если может, то да, это всё ужасно.
Тот же Outpost тоже можно отключить в один клик. Я это часто в последнее время делал — он стал блокировать обновление самой Семёрки при перезагрузке, а поддержки уже не было, починить было уже некому. Выяснил, что надо перегружаться с отключённым Outpost, стал это делать, если Винда просит перезагрузиться ради обновления. Так что эта функция в том или ином виде (антивирус там не отключался, разумеется) есть у всех фаерволов. Вопрос в том, кто имеет к ней доступ.
Тот же Outpost тоже можно отключить в один клик. Я это часто в последнее время делал — он стал блокировать обновление самой Семёрки при перезагрузке, а поддержки уже не было, починить было уже некому. Выяснил, что надо перегружаться с отключённым Outpost, стал это делать, если Винда просит перезагрузиться ради обновления. Так что эта функция в том или ином виде (антивирус там не отключался, разумеется) есть у всех фаерволов. Вопрос в том, кто имеет к ней доступ.
Получается, что для того, чтобы в обычном виндовском Файерволе переключить режим с «Блокировать» на «Разрешить» админские права нужны. А вот чтобы в Windows Firewall Control всю защиту в один клик отключить — так никаких админских прав ненужно.
С Outpost-ом, если Вы не в курсе, был ряд тёмненьких историй, о которых писали в глубинах инета, если поискать на обратной стороне Луны. Аутпост (этот действительно замечательный продукт, мне во всяком случае искренне жалко, что его не стало), иногда странным образом отключался…
С Outpost-ом, если Вы не в курсе, был ряд тёмненьких историй, о которых писали в глубинах инета, если поискать на обратной стороне Луны. Аутпост (этот действительно замечательный продукт, мне во всяком случае искренне жалко, что его не стало), иногда странным образом отключался…
Вы не поверите но любой антивирус можно отключить одним кликом.
Outpost Firewall.
Всё было хорошо, пока производитель этого фаервола не закрылся при странных обстоятельствах.
Яндекс.Браузер купил Agnitum, дабы "использовать технологии защиты в Яндекс.Браузере". Условием покупки было прекращение продаж продуктов Agnitum.
В период с объявления о покупке до момента полного выключения предлагалось навсегда обменять имеющиеся пожизненные лицензии на X-годовую лицензию на Касперского.
Испытываю глубокий негатив к Яндекс.Браузеру с тех пор. Лицензию не менял, и Outpost на семёрке всё ещё работает.
На самом деле, с удовольствием заплатил бы за продукт, который позволяет настраивать Windows Firewall через интерфейс, идентичный Outpost'у.
НЛО прилетело и опубликовало эту надпись здесь
Не совсем. Я открыл, что вопрос «Разрешим сетвую активность приложению?» задаётся только если приложение хочет слушать. А если хочет исключительно отдавать — никакого вопроса не задаётся. Пользователь и не узнает, что у приложения сетевая активность-то есть.
Об этом лучше всегда помнить. А то все привыкли к запросу, и не все знают, что не любое приложение с сетевой активностью породит его… Знание — сила! Это надо знать. Теперь знает больше людай. А что с этим делать — каждый решит сам. Я предложил варианты, хоть и не настаиваю на том, что их обязательно надо использовать.
Об этом лучше всегда помнить. А то все привыкли к запросу, и не все знают, что не любое приложение с сетевой активностью породит его… Знание — сила! Это надо знать. Теперь знает больше людай. А что с этим делать — каждый решит сам. Я предложил варианты, хоть и не настаиваю на том, что их обязательно надо использовать.
Это сделано для общей массы пользователей, для которых всякие там порты и айпи — сродни магической терминологии. Даже если бы был выставлен запрет сетевого доступа по умолчанию, они бы всё равно нажимали «Разрешить», не читая. А тем, кому вопрос интересен, это давно было известно.
А тем, кому вопрос интересен, это давно было известно.
Да, но мне-то не было известно… Значит, есть те, кто тоже считает, что если от ОС никогда не было вопроса про сетевую активность, то не было и активности. Теперь они будут более внимательны и начнут смотреть, откуда можно более детально узнать, есть активность или нет.
Вот я и попытался вывести такой пласт читателей из плена сладких грёз. Привёл конкретный пример программы, которая данные отсылает, а вопросов про неё — не задаётся. Зная об этом, каждый уже сам решит, что делать. Варианты — также приведены в статье (а теперь — и в комментариях под ней)
Могу посоветовать для частных нужд использовать бесплатный файрвол от Comodo. Там есть несколько режимов, в том числе и параноидальный.
Существует еще открытый SimpleWall — www.henrypp.org/product/simplewall
За FirewallControl спасибо. Читал статью с ожиданием что узнаю что то новое, и хабр не подвел :)
Разделяю вашу боль по поводу Outpost. Тоже был от него в восторге, особенно от старых версий, где было в реальном времени и наглядно видно все текущие коннекты\открывающиеся\закрывабщиеся подключения. Очень не хватает этого теперь.
Главная прелесть аутпоста была что он мог заблокировать вообще все что угодно.
В отличии например от каспера, который себя никогда не блокировал. даже если было явное правило.
Поддерживаю вашу паранойю, сам такой же, по этому еще включаю в групповых политиках контроль выполнеия программ, и работаю под бесправным юзером.
Виндовый фаервол начиная с 7 в целом не плох, но да, его надо переключать в режим блокировать все. Возможно вы уже заметили что после этого не работаает даже пинг.
Для себя писал скрипт, который включает FW и добавляет все необходимое.
Разделяю вашу боль по поводу Outpost. Тоже был от него в восторге, особенно от старых версий, где было в реальном времени и наглядно видно все текущие коннекты\открывающиеся\закрывабщиеся подключения. Очень не хватает этого теперь.
Главная прелесть аутпоста была что он мог заблокировать вообще все что угодно.
В отличии например от каспера, который себя никогда не блокировал. даже если было явное правило.
Поддерживаю вашу паранойю, сам такой же, по этому еще включаю в групповых политиках контроль выполнеия программ, и работаю под бесправным юзером.
Виндовый фаервол начиная с 7 в целом не плох, но да, его надо переключать в режим блокировать все. Возможно вы уже заметили что после этого не работаает даже пинг.
Для себя писал скрипт, который включает FW и добавляет все необходимое.
И еще добавлю пару-тройку малоизвестных вещей про встроенный фаирвол. Правда, я довольно давно проверял, где-то на уровне семерки. Возможно, с тех пор что-то изменилось.
Первое. Когда программа открывает порт для входящих соединений, и на экране появляется диалог с вопросом, разрешать или нет, все то время, пока этот диалог висит не отвеченный, порт реально открыт. Закрывается он в тот момент, когда пользователь говорит, «порт не открывать». Вероятно это сделано из соображений, что за то время, пока пользователь думает, злобный хакер много вреда нанести не успеет, а вот если сразу сделать порт закрытым, наивная программа может и сломаться.
Второе. Если программа является сервисом, никакого диалога не появится, система сама примет решение «порт не открывать». Но вот только на обдумывание этого решения у нее уйдет несколько секунд. Выглядит это так: создали слушающий сокет, к нему кто-то приконнектился, данные полетели, а через несколько секунд вдруг неожиданно перестали. Когда с этим сталкиваешься первый раз, отладка занимает некоторое время.
Третье. Если программа говорит bind(), указав нулевой номер порта (т.е., пускай система сама назначит порт автоматически), никакого диалога от фаирвола не появляется, и порт по умолчанию будет открыт. Видимо считается, что поскольку номер порта выделяется более-менее случайно, злобный хакер ни в жизнь его не угадает.
Первое. Когда программа открывает порт для входящих соединений, и на экране появляется диалог с вопросом, разрешать или нет, все то время, пока этот диалог висит не отвеченный, порт реально открыт. Закрывается он в тот момент, когда пользователь говорит, «порт не открывать». Вероятно это сделано из соображений, что за то время, пока пользователь думает, злобный хакер много вреда нанести не успеет, а вот если сразу сделать порт закрытым, наивная программа может и сломаться.
Второе. Если программа является сервисом, никакого диалога не появится, система сама примет решение «порт не открывать». Но вот только на обдумывание этого решения у нее уйдет несколько секунд. Выглядит это так: создали слушающий сокет, к нему кто-то приконнектился, данные полетели, а через несколько секунд вдруг неожиданно перестали. Когда с этим сталкиваешься первый раз, отладка занимает некоторое время.
Третье. Если программа говорит bind(), указав нулевой номер порта (т.е., пускай система сама назначит порт автоматически), никакого диалога от фаирвола не появляется, и порт по умолчанию будет открыт. Видимо считается, что поскольку номер порта выделяется более-менее случайно, злобный хакер ни в жизнь его не угадает.
Из бесплатных есть ZoneAlarm. При этом в комплекте есть антивирус на движке и базах касперского. Но он тормознутый жуть, на слабый ноут лучше не ставить. Хотя если честно в последнее время он какой-то мутный стал. К примеру, свежеустановленная версия с сайта через какое-то время просит обновить программу, при этом предлагает скачать установочный файл с версией меньше чем текущая, так еще и VirusTotal на этот файл ругается что там троян.
Outpost Firewall.
Всё было хорошо, пока производитель этого фаервола не закрылся при странных обстоятельствах.
Это яндексу спасибо надо пожелать. Выше уже отписались.
Я тоже очень долго и мучительно искал альтернативу под винду и пришёл к WFC.
Из ближайших по функционалу к Outpost нашел для себя NetLimiter.
я конечно некрофил :) но у меня Outpost Firewall до сих пор крутится на 10ке. Перебрал штук 5 разных на замену, не зашли :( Буду с Outpost Firewall пока не перестанет работать :)
Что представляет собой сервис All Hardware. Это сайт, на который пользователь заходит, авторизуется и получает список различных плат, физически размещённых на сервере
А где на это можно зайти-посмотреть?
Посмотреть можно здесь: all-hw.com
Как раз совсем недавно открыли доступ для всех желающих (раньше был только по инвайтам), но при входе попросит зарегистрироваться.
Кто попробует, большая просьба – не пожалейте несколько минут, оставьте отзыв, там есть большая кнопка «Leave feedback» для этого :) Каждый отзыв потом читается и перечитывается, чтобы понять куда двигаться дальше.
Как раз совсем недавно открыли доступ для всех желающих (раньше был только по инвайтам), но при входе попросит зарегистрироваться.
Кто попробует, большая просьба – не пожалейте несколько минут, оставьте отзыв, там есть большая кнопка «Leave feedback» для этого :) Каждый отзыв потом читается и перечитывается, чтобы понять куда двигаться дальше.
Большое спасибо за статью!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Неожиданные детали работы Windows Firewall, настроенного по умолчанию. И эксперименты по перенастройке