Хакер №024. Спецвыпуск

       

Хакер №024. Спецвыпуск


ЗАЩИЩАЕМСЯ ПОД WIN



Спецвыпуск Xakep, номер #024, стр. 024-026-4

СТАНДАРТНЫЕ ПРАВИЛА

Начнем с правил для ICQ. По умолчанию выставляются два правила на 4000 UDP порт для связи с сервером, два правила на TCP 1024-65535 порт, пара для посылки и приема почты и правило для работы с HTTP. С первой парой все понятно, раз с сервером ты обязан связаться, то и правило для этого необходимо. Правда, вместо двух можно указать одно, но не указывать направление, то же можно проделать и с клиентским коннектом. А вот правило про HTTP я бы удалил, вместо него более выгодно создать правило про запрет TCP 80 и поднять его в иерархии повыше. Не забудь про icqsrp, ему надо запретить любые действия, для тотальной блокировки баннеров. Таким образом получаем вместо 5 правил всего 3 плюс срезаем баннеры. Лепота!

Стандартное правило для браузеров - тоже не прелесть, например, есть строка PASV FTP, в которой указано, что исходящее соединение разрешено на порты 1024-65535, что полностью перекрывает правило PROXY, то есть одно из них явно лишнее. Если же ты работаешь через проксю и только через нее, то следует оставить единственное разрешенное соединение на твою проксю, а остальное потереть. Меньше будет проверять, значит быстрее будет работать. В противном случае стирай правило про проксики, оно тебе не пригодится. Наиболее грамотно написано стандартное правило для Download manager, в принципе для всяких reget, flashget и прочих менять ничего не надо. Но если тебе досаждают баннеры, то можно запретить обращаться к конкретному серверу, а можно просто включить плуг для кастрации рекламы. Мылер тоже переполнен всем, что только можно. Тут и NNTP, и IMAP, ну, конечно же, есть POP3/SMTP :). Лично я оторвал ему IMAP и NNTP, поскольку для работы с ними использую другие проги, а не свой мылосборник. Стандарты для IRC, FTP, Storage критике не подлежат, поскольку критиковать там, собственно, нечего. Для telnet я все же переделал проверку из двух строк в одну, просто переписав оба порта telnet и ssh в одну строку через запятую. В «синхронизация времени» вроде написано все правильно, но я так и не нашел сервера, где 123 UDP порт был бы нужен для какой-нибудь синхронизации :). Про NetMeeting говорить не буду, в его хелпе по подключению через прокси-сервер описаны все порты, именно они и занесены в список разрешенных. В общем, если ты ставишь стандартные правила, то не поленись и пройдись по ним позже для удаления лишних проверок.

Назад на стр. 024-026-3  Содержание  Вперед на стр. 024-026-5


 

Содержание раздела