Кстати, о безопасности windows

[Troll]

Цитата:

Сообщение от YellowMan

Ни разу не видел Вынь сервер стоящий в Инете и не прикрытый отдельным файрволлом. Стандартный конфиг - Вынь и перед ним какой-нибудь железный Джунипер или для бедных - тот же Линукс.

а я видел. правильно настроенный windows вполне может жить без файрвола. пока не обнаружится очередная уязвимость.
проблема в том, что людей, которые могут правильно настроить windows, можно пересчитать по пальцам.

Цитата:

Сообщение от YellowMan

Я собственно никогда и не спорил что Вынь - это отличный сервер приложений но оно совсем не для того чтобы там запускать какие-нибудь сетевые дела.

но при чём тут вообще сервер? уязвимость, про которую я написал, присутствует и на десктопных версиях, а у них внешний файрвол встречается гораздо реже.

[YellowMan]

Цитата:

но при чём тут вообще сервер? уязвимость, про которую я написал, присутствует и на десктопных версиях, а у них внешний файрвол встречается гораздо реже.

На самом деле - гораздо чаще. Все Вынь установки из магазина для чайника включают в себя активный файрволл, закрученный по самое не балуй. В отличии от сами знаете кого.
В этом и проблема - обычный юзер знает про то что Вынь якобы дырява и защищается как-то: рутером с файрволлом, вайрволлом на машине, в общем делает что-то.
Ему же внушили что Линукс - это безопасно. Поставит себе такой артист Линукс, будет ходить из-под рута и даже подозревать не будет насколько он дыряв. и поятия иметь не будет что внутри системы происходит.

Цитата:

а я видел. правильно настроенный windows вполне может жить без файрвола. пока не обнаружится очередная уязвимость.
проблема в том, что людей, которые могут правильно настроить windows, можно пересчитать по пальцам.

Это не проблема ни разу - правильно настроить Вынь не сложнее чем тот-же Линукс. а то и проще. Надо просто себя заставить - но никто этого не делает, во-первых из-за недоверия а во-вторых из-за того что поставить железный файрволл впереди получается намного дешевле и правильнее.

Вынь - это сервер приложений.
Даже tpc не будет ставить файрволл и Оракл на одну и ту-же машину

[AlexL]

Цитата:

Сообщение от Troll

а фильтрации по протоколам стандартные виндовые файрволлы не обучены

зря на виндовс наезжаешь.. фича называется tcp/ip filtering в свойствах сетевого соединения

[Redwid]

Пользовался убунту два-три дня, подсунули по умолчанию. Потом надоело бороться с ней, попросил заменить на винду.
По ощущениям тормозила силнее чем винда, перерисовку окошек частенко было видно невооруженным глазом.

Давным давно ставил себе дома мандраке 7. Сначало было прикольно, но недописанность многих функций задолбала. Типа выбираешь какой нибудь пункт в меню, а тебе алерт показывают - Мы пока нереализовали эту фичу, но в будущем обязательно реализуем.

[Troll]

Цитата:

Сообщение от AlexL

зря на виндовс наезжаешь.. фича называется tcp/ip filtering в свойствах сетевого соединения

и куда там надо нажать, чтобы зафильтровать RPC?

[Yapi]

Цитата:

Сообщение от Troll

и куда там надо нажать, чтобы зафильтровать RPC?

* Block the following at the firewall:

* UDP ports 135, 137, 138, and 445, and TCP ports 135, 139, 445, and 593

* All unsolicited inbound traffic on ports greater than 1024

* Any other specifically configured RPC port

?

[Troll]

Цитата:

Сообщение от Yapi

* Block the following at the firewall:

* UDP ports 135, 137, 138, and 445, and TCP ports 135, 139, 445, and 593

* All unsolicited inbound traffic on ports greater than 1024

* Any other specifically configured RPC port

?

можно для непонятливого меня ткнуть пальцем в то место, где это надо указывать?

[YellowMan]

Картинко не с файрволла.

[Troll]

Цитата:

Сообщение от YellowMan

Картинко не с файрволла.

кортинко отсюда:

Цитата:

Сообщение от AlexL

зря на виндовс наезжаешь.. фича называется tcp/ip filtering в свойствах сетевого соединения

повторяю вопрос: куда надо нажать, чтобы в windows выполнить вот эти рекомендации?

Цитата:

Сообщение от Yapi

* Block the following at the firewall:

* UDP ports 135, 137, 138, and 445, and TCP ports 135, 139, 445, and 593

* All unsolicited inbound traffic on ports greater than 1024

* Any other specifically configured RPC port

?

я такого места не нашёл.

[Yapi]

Цитата:

Сообщение от Troll

повторяю вопрос: куда надо нажать, чтобы в windows выполнить вот эти рекомендации?

Жать на кнопки телефона - вызвать на дом Преподобного Михаила. Он и заблокирует перечисленные порты средствами встроенного в ХэПэ файрволла (это намек).

[AlexL]

Цитата:

Сообщение от Troll

можно для непонятливого меня ткнуть пальцем в то место, где это надо указывать?

посмотрите здесь

Can I use IPsec to protect remote procedure call (RPC) traffic?

A. Yes. Because the TCP port being used for a RPC communication is usually dynamically determined, you must create IP filters that specify the IP addresses of the communicating computers. However, the RPC traffic for an Active Directory client computer to a domain controller should not be secured.



либо воспользуйтесь советами выше.

[Troll]

Цитата:

Сообщение от AlexL

посмотрите здесь

Can I use IPsec to protect remote procedure call (RPC) traffic?

A. Yes. Because the TCP port being used for a RPC communication is usually dynamically determined, you must create IP filters that specify the IP addresses of the communicating computers. However, the RPC traffic for an Active Directory client computer to a domain controller should not be secured.


либо воспользуйтесь советами выше.

спасибо, но это ответ от другого вопроса.

мой вопрос был в том, как средствами родного файрвола в windows зафильтровать доступ снаружи по протоколу RPC.
а то тут товарищи утверждают, что это возможно, но показать, как именно, - не могут.

[Troll]

Цитата:

Сообщение от Yapi

Жать на кнопки телефона - вызвать на дом Преподобного Михаила. Он и заблокирует перечисленные порты средствами встроенного в ХэПэ файрволла (это намек).

особенно Any other specifically configured RPC port, ага.

[YellowMan]

Саш, точно так-же как заставить, ну к примеру unix nfs работать через файрволлы, ага.

Сначала зажать его на конкретных портах а потом их или разрешить или запретить в файрволле.

[Troll]

Цитата:

Сообщение от YellowMan

Саш, точно так-же как заставить, ну к примеру unix nfs работать через файрволлы, ага.

Сначала зажать его на конкретных портах а потом их или разрешить или запретить в файрволле.

во-первых, не всякий RPC-сервер можно зажать на конкретных портах. RPC использует динамическое выделение портов by design, и это логично, потому что каждый раз вручную конфигурировать программы не всегда удобно.
во-вторых, если речь идёт о десктопе, то обычный юзер этим заниматься уж точно не будет.
Соответственно, фильтровать можно либо обращаясь к местному port mapper'у, и узнавая, использует ли данный порт какой-нибудь зарегистрировавшийся RPC-сервер, либо анализируя потоки данных. но встроенный виндовый файрвол ни того, ни другого делать не умеет. я только об этом.

и с NFS совершенно та же фигня, он тоже основан на RPC, только в сановской версии, а не в майкрософтовской. и тоже может использовать произвольные порты, хотя обычно пытается использовать некоторые известные.