Сообщения: 81
Благодарности: 1

Сообщения: 1114
Благодарности: 5

Если есть MySQL ,я так полагаю, есть в каком то виде *nix
1. Отключите брандмауэр
2. Проверьте на предмет открытых портов с помощью команд:
nmap -sT -p ‘1-10000’ ip-address ;покажет открытые tcp-порты
nmap -sU -p ‘1-10000’ ip-address ;покажет открытые udp-порты
3. Включите защиту
Проверьте этими командами какие порты открыты+доступны при включенной защите.
4. Отсутствуюшие порты — на совести брандмауэра

p.s. Все то же самое , повторюсь, можно сделать с помощью многих программ, в том числе упомянутой ранее netview или штатной командой Мелкомягких «netdiag /v /test:netstat»

p.p.s Воть еще, ранее не упоминул такой момент,говорю сейчас,раз уж начал.
Некоторые порты могут создаваться временно(т.е. непостоянно), на время процесса обмена данными. Это касается в основном NetBios-соединений, используемых службой ldap. Это порты 1024-2000 какие-то (Я специально не следил, но примерно в этом диапазоне).

p.p.p.s В юниксе аналогом команды «netdiag /v /test:netstat» можно считать tcpdump без ключа «c», по-моему. Пишу по-памяти , точно не помню. Ну это так, на всякий случай.

——-
Кто не задает вопросы — тот не получает ответы

Последний раз редактировалось XPurple, 02-02-2006 в 12:12 .

Профиль | Отправить PM | Цитировать

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

Конфигурация службы для профиля Domain:
Режим Настройка Имя
——————————————————————-
Enable Нет Общий доступ к файлам и принтерам
Enable Нет Дистанционное управление рабочим столом

Конфигурация разрешенных программ для профиля Domain:
Режим Имя / Программа
——————————————————————-
Enable C:\WINDOWS\system32\lsass.exe / C:\WINDOWS\system32\lsass.exe
Enable C:\WINDOWS\system32\ntfrs.exe / C:\WINDOWS\system32\ntfrs.exe
Enable C:\WINDOWS\system32\scshost.exe / C:\WINDOWS\system32\scshost.exe

Конфигурация порта для профиля Domain:
Порт Протокол Режим Имя
——————————————————————-
53 TCP Enable Порт 53 TCP
88 TCP Enable Порт 88 TCP
135 TCP Enable Порт 135 TCP
137 TCP Enable Порт 137 TCP
389 TCP Enable Порт 389 TCP
464 TCP Enable Порт 464 TCP
636 TCP Enable Порт 636 TCP
3268 TCP Enable Порт 3268 TCP
3269 TCP Enable Порт 3269 TCP
53 UDP Enable Порт 53 UDP
67 UDP Enable Порт 67 UDP
88 UDP Enable Порт 88 UDP
123 UDP Enable Порт 123 UDP
389 UDP Enable Порт 389 UDP
464 UDP Enable Порт 464 UDP
139 TCP Enable Порт 139 TCP
445 TCP Enable Порт 445 TCP
137 UDP Enable Порт 137 UDP
138 UDP Enable Порт 138 UDP
3389 TCP Enable Порт 3389 TCP

Конфигурация ICMP для профиля Domain:
Режим Тип Описание
——————————————————————-
Enable 8 Разрешать запрос входящего эха

Windows firewall on windows 2003

Профиль | Отправить PM | Цитировать

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

Сообщения: 1070
Благодарности: 17

PRUHA
После установки на Windows Server 2003 Пакета исправлений SP1 — появляется возможность установки на систему дополнительного компанента — Мастера настройки безопасности (scw.exe)
Специальный файл справки по этому компоненту появляется даже на рабочем столе.

Кроме множества действий по конфигурации безопасности он также выполняет настройку брандмауэра для сетевой карты. Даже если ваша система является контроллером домена.

вот пример его настроек брандмауэра для контроллера домена (примерная конфигурация):

Конфигурация службы для профиля Domain:
Режим Настройка Имя
——————————————————————-
Enable Нет Общий доступ к файлам и принтерам
Enable Нет Дистанционное управление рабочим столом

Конфигурация разрешенных программ для профиля Domain:
Режим Имя / Программа
——————————————————————-
Enable C:\WINDOWS\system32\lsass.exe / C:\WINDOWS\system32\lsass.exe
Enable C:\WINDOWS\system32\ntfrs.exe / C:\WINDOWS\system32\ntfrs.exe
Enable C:\WINDOWS\system32\scshost.exe / C:\WINDOWS\system32\scshost.exe

Конфигурация порта для профиля Domain:
Порт Протокол Режим Имя
——————————————————————-
53 TCP Enable Порт 53 TCP
88 TCP Enable Порт 88 TCP
135 TCP Enable Порт 135 TCP
137 TCP Enable Порт 137 TCP
389 TCP Enable Порт 389 TCP
464 TCP Enable Порт 464 TCP
636 TCP Enable Порт 636 TCP
3268 TCP Enable Порт 3268 TCP
3269 TCP Enable Порт 3269 TCP
53 UDP Enable Порт 53 UDP
67 UDP Enable Порт 67 UDP
88 UDP Enable Порт 88 UDP
123 UDP Enable Порт 123 UDP
389 UDP Enable Порт 389 UDP
464 UDP Enable Порт 464 UDP
139 TCP Enable Порт 139 TCP
445 TCP Enable Порт 445 TCP
137 UDP Enable Порт 137 UDP
138 UDP Enable Порт 138 UDP
3389 TCP Enable Порт 3389 TCP

Конфигурация ICMP для профиля Domain:
Режим Тип Описание
——————————————————————-
Enable 8 Разрешать запрос входящего эха

Насколько хорош базовый брандмауэр Windows 2003?

Совсем недавно я посвятила несколько недель тестированию базы релиз-кандидата (RC) Windows Server 2003 из комплекта Microsoft Small Business Server (SBS) 2003. Одна из задач тестирования состояла в оценке эффективности программного обеспечения RRAS Firewall. Наличие брандмауэра — это новая возможность Windows 2003. В базовом брандмауэре используется расширенная версия аналогичного программного обеспечения, которое Microsoft впервые реализовала в Windows XP. В моей тестовой системе установлено два сетевых адаптера, один для внутренней сети и один — для выхода в Internet. Я активизировала RRAS Basic Firewall для внешнего сетевого адаптера и настроила сервер на работу с входящей и исходящей почтой SMTP, причем разрешила обращения к внутреннему Web-сайту и Remote Web Workplace как со стороны надежных узлов браузеров, так и со стороны ненадежных, а также настроила базовый брандмауэр на работу по протоколам VPN PPTP и Layer Two Tunneling Protocol (L2TP). В прилагаемой к RC документации утверждается, что система открывает следующие порты:

Обмен почтой — порт 25 TCP

Доступ из браузера -TCP порт 80

Защищенный доступ из браузера -TCP порт 443

Соединения по VPN L2TP — UDP порт 1701

Соединения по VPN PPTP -TCP порт 1723

Доступ к Remote Web Workplace -TCP порт 4125

Я провела тестирование брандмауэра с помощью превосходной утилиты сканирования портов Nmapwin, свободно распространяемой в рамках GNU General Public License (GPL). Nmapwin может прозондировать порты TCP и UDP по протоколу Internet Control Message Protocol (ICMP) или без его участия. По умолчанию Nmapwin анализирует только хорошо известные порты от 1 до 1593, но чтобы провести глубокий анализ любого брандмауэра, вам следует просканировать все имеющиеся TCP- и UDP-порты, от 1 до 65000. Я запустила две процедуры сканирования на сетевом адаптере, подключенном к Internet, — одну для портов TCP и одну для портов UDP. Из документации следовало, что брандмауэр допускал бы входящий трафик только через перечисленные выше порты, может быть, еще через несколько, но никак не более чем через 10 TCP-портов и через 3-4 UDP-порта. Каково же было мое удивление, когда сканер TCP доложил, что базовый брандмауэр ответил на 16 TCP-портов и 20 UDP-портов. Вот итоговый список сканирования портов с помощью Nmapwin:

Продолжая исследование, я обнаружила, что в базовом брандмауэре отсутствуют средства регистрации, что само по себе уже исключает возможность корректной работы прикладной программы. Если ваш брандмауэр не выполняет мониторинг активности порта в реальном времени и не ведет никакого журнала, пользователь не сможет установить, не происходит ли в данный момент «прощупывание» системы из внешнего мира, а это означает, что применение брандмауэра попросту теряет смысл. Вот еще несколько интересных результатов проведенного тестирования.

В реализации Basic Firewall ftp-порт 21 оказался доступен, но закрыт; в промышленном стандарте рекомендовано «прятать» этот порт, тем более, когда встроенная служба FTP отключена. (Во время сканирования портов служба FTP была именно отключена.).

Контроллер служб (svchost.exe), который запускает большое число встроенных служб, прослушивает в общей сложности 18 портов (по девять TCP и UDP).

Local Security Authority Service (lsass.exe) прослушивает 14 портов (семь UDP и семь TCP).

Microsoft IIS (inetinfo.exe) прослушивает 13 портов (четыре UDP и девять TCP).

Из приведенного списка открытых портов TCP и UDP со всей очевидностью следует, что термин «basic» в названии брандмауэра полностью соответствует действительности, хотя, возможно, и с некоторым преувеличением. Basic Firewall не подчиняется правилам, принятым для промышленных стандартов — закрыть все порты до тех пор, пока они на самом деле не понадобятся, и спрятать их от прослушивания, если они недоступны. Кроме того, 29 открытых портов UDP — огромное поле деятельности для всевозможных атак.

По результатам проведенного тестирования я категорически не рекомендую устанавливать Basic Firewall для защиты своей сети — установите автономный брандмауэр. Возникает очевидный вопрос — почему разработчики Microsoft включили данное программное обеспечение в состав Windows 2003? Почему столь сложная операционная система оказывается настолько слабой, что касается данного инструмента безопасности? Включение Basic Firewall в состав системы может ввести в заблуждение потенциальных партнеров и заказчиков Microsoft, которые ошибочно полагают, будто данная система способна обеспечить надежную защиту сетевого периметра.

Тем, кто не знаком с Nmapwin, советую зайти на http://www.insecure.org и щелкнуть по ссылке Security Tools в левой части страницы. На странице Security Tools вы найдете описание 75 наиболее важных инструментов в области безопасности для платформ Unix и Windows. Внимательно читая приведенный список, вы обнаружите, что большинство тех же самых инструментов прекрасно поможет злоумышленнику взломать сеть. Все перечисленные инструменты доступны для загрузки. Я рекомендую начать формировать набор средств обеспечения безопасности с утилит Nmapwin и Activeports. Nmapwin идентифицирует открытые порты на брандмауэре или любом другом устройстве, у которого имеется TCP/IP-адрес. Activeports — это программа-монитор реального времени, устанавливающая наличие связи между открытым портом и работающим процессом или приложением. Эти две программы могут помочь идентифицировать уязвимые места брандмауэра и процессы или службы, прослушивающие открытые порты. Такая функциональность позволит обеспечить надежную защиту от взломщиков, которые в своих целях используют весь арсенал утилит, перечисленных на странице Security Tools.

Паула Шерик — Редактор Windows & .NET Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. С ней можно связаться по адресу: paula@winnetmag.com.

Поделитесь материалом с коллегами и друзьями