Да, и вот еще вопрос. 445 порт открыт по умолчанию?

Поставь комодо фаервол. Его интерфейс заменяет весь геморой с настройкой портов/записи/реестра и тд + система мониторит весь трафик и предотвращает атаки

>>2033731
Охуительные истории.

>>2033735
конкретизируй
Комодо лучший фаервол для обычного пользователя уровня ламера и выше, сидящего на окнах

>>2033708 (OP)
Ставлю win7 sp1, отключаю все обновления.
Сижу без обновлений. все пароли, в том числе от платёжных систем хранятся в моих документах в папке пароли.
Все сайты хранят логины, никто не спиздил рубля за всю время, никто ни разу не угнал аккаунт вк.

>>2033756
>никто не спиздил рубля за всю время
>implying кому то всралась эта туалетная бумага

>>2033756
значит уязвимость описанная в оп посте применима к твоей системе

смотря какие порты открыты. на какие то порты эксплоитов просто дохерища и все рабочие, на какие то их единицы и они платные и не работающие и ббваьвыдаьвыщаывав. ну а серьёзно если - комодо реально помогает.

пишет человек с 10 виндой. т.е. я. вухаахах

>>2033708 (OP)
По пунктам

> а) пароль на компе есть
> б) если его нет
> в) если сидишь не из под админа

Не спасет в случае уязвимости. Да ответ - да, может с большой вероятностью. Вывод делаю тупо из прошлого опыта. Из опыта поражения овцеебов Stuxnet'ом. Там ничего не было даже видимого: ты просто открывал проводник, винда пыталась отрендерить иконку из файлика, буфер -> стек переполнялся, происходила инъекция и запуск кода, еще одной уязвимостью повышались привилегии до системных. Точка, ты даже глазом не успевал моргнуть. Вот что такое - умения и знания - крутая работа. Это тебе не порнолокер какой-то.

Но были в истории и массовые вирусы, которые использовали удаленные уязвимости в RPC Windows, массово валили системы тупа сканя адресное пространство Интернета (32 бита всего лишь тогда).
Почему же этого не происходит? Почему же массово у всех не происходит ничего как было в 2003 с известным lsasser и MSBlast?!

Моим долгом как сетевого инженера будет объяснить анону несколько моментов:
1) В большинстве случаев, в связи с нехваткой IPv4 адресов ты сидишь как минимум за одним NAT (своего роутера), подключиться к твоим портам сложно. Только внутри сетки твоей. В большинстве случае еще есть и CGN (Carrier Grade NAT), когда оператор уже вторым заходом производит NAT абонентcких CPE (роутеров).
Так как инициировать TCP-соединение к тебе невозможно, проблема сама отпадает для IPv4.

2) Даже если у тебя есть публично маршрутизируемый IPv4 адрес. Провайдеры очень часто следуют совету, который был выведен с очень печальным опытом - блокировка портов Windows служб для абонентов провайдера и офисов. Любой админ без труда скажет тебе что означают, и какие ассоциации вызывают у него числа 135,139,445, спроси ты у него это хоть с бодуна! Эта практика настолько стандартна, что о ней даже не думают. Это - понятно сразу.

3) Для IPv6 - на роутерах очень часто в фаерволлах по умолчанию включен stateful firewall, которые не даст создать новое соединение со стороны внешней сети к домашней сетке. Даже если нет, сканирование адресного пространства IPv6 (128 бит) 2^128 адресов та еще задача... (успех просто таки гарантирован, ага).

3) Очень часто пользователи отключают прослушку служб Windows RPC и SMB на интерфейсе, снимая галочку как советуют хорошие админы, в разделе "Протоколы и службы" свойств сетевого подключения. Это еще более оптимистично.

Итого - единственная наиболее угроза - твоя домашняя сетка.

Никогда не отключай обновления Шинды, ставь последние патчи. Антивирус на усмотрения, от целевой хорошей атаки он не спасет почти никогда, как и хваленные Cisco ASA. Настоящий взлом - это искусство.

Все же старайся избавляться от Шинды где возможно, и ставить ее за строгим фаерволлом.

Если есть вопросы, пиши используя кнопку "Ответ".

>>2034251
>>2033756
>>2034054

Вот ответ, почему он все равно жив и здоров.

>>2034251
спасибо за инфу

IE не пользовал.
в комп идёт напрямую провод.
аутпост был в режиме РАЗРЕШАТЬ ВСЁ

названия основных частей в корне были qqss77889900.exe и 15321.exe

как в ручную позакрывать порты?

>>2034255
Просто он нода ботнета и косвенно приносит прибыль его хозяину.

>>2039742
> А все эти кривые и тормозные виндовые поделия, по недаразумению называющие себя файрволами, абсолютно не нужны.
Они для удобного контроля сетевой активности на прикладном уровне ващет.

>>2039747
Иди нахуй, долбоеб школьный.
Сети выучи хоть немного.

>>2039742
Двачую адеквата, роутер должен быть на открытой и обновляемой прошивке. Желательно настроить иптейблс. Иначе уязвимость в роутере>уязвимость в винде>винлокер с гомонигрой

>>2040006
Да, лезу в роутер, внезапно!
Делаю iptables -t filter .... и дальше много разных буковок идет, а в конце -j REJECT или -j DROP.
Вот скоро хочу nftables изучить, но тебе не понять.
Мало того, я перед этим еще и трафик этой игрули проанализирую, чтобы сделать выводы.

>>2040038
Как ты будешь идентифицировать одно приложение от другого на сетевом уровне, дурачек? И главное зачем, когда для этого придуман прикладной уровень?

>>2040055
Заебись, ты предлагаешь мне в операционку типа винды вгрузить кусок проприетарного говнокода? Идентификация по L7 возможна, но сука затратна, помни.

>>2040055
И как ты предлагаешь дешево блочить приложение по L7 с нескольких машин без всяких васянофаерволов на конечных узлах? В Linux - есть возможность запускать приложение в netns, в Винде - только говнофаерволлы, которые далеко не всегда спасут, если приложение запускает разные дополнительные процессы.

>>2040070
Рассмотрим также сценарий BYOD-среды, когда машинами ты управлять не можешь.

>>2040038
Ну-ка, ну-ка, покажи конкретные правила, которые блокируют игрую и больше ничего другого.
>>2040067
Так его там всё ядро, этого говнокода, от ещё одного куска ничего особо не изменится.

>>2040075
>Так его там всё ядро, этого говнокода, от ещё одного куска ничего особо не изменится.
Ну да - ну да. Видел я такие вскукареки. Видел как ребята эти дополнительные куски кода исследовали и находили в них strcpy который может переписать кусок за буфером или вне области в куче. Благо там были проверки, которые компилятор и DDK добавил, которые затем вызывали BugCheck (что спасало от пробивания днища в контекст ядра путем аварийной перезагрузки).

Не пиши большей такой херни здесь. Видно сразу, что ты нихера не знаешь в архитектуре операционных систем.

>Ну-ка, ну-ка, покажи конкретные правила, которые блокируют игрую и больше ничего другого.

Если ты хочешь КОНКРЕТНУЮ игру без привязки к порту и транспортному протоколу (TCP/UDP/SCTP/DCCP) в условиях BYOD, то ты либо используешь L7 фильтр, либо гуляешь к чертам. Ты должен сделать запуск приложения на конечному узле для юзера в его пространстве имен сети (netns) и тогда блочить сотрудникам трафик, а в шинде этого не сделать. Сотрудник переименует исполняемый файлик - и твой васянофаервол обосрется - только белый список приложений, что накладно уже. Опять же это не реализуемо в условиях BYOD среды.

>>2040080
>Если ты хочешь КОНКРЕТНУЮ игру, то ты либо используешь L7 фильтр, либо гуляешь к чертам.
Но ты же сам только что сказал, что блокируешь игрулю на роутере >>2040038. У нас что, роутеры по волшебству научились в уровень приложений?

>>2040087
О, мать моя, женщина. Могут! Слыхал про netfilter string match, о netfilter u32 match, о коллекции уже готовых матчей L7 протоколов ? О проекте OpenDPI?

А если слыхал, то знаешь как это накладно.

Потому я РЕДКО страдаю такой херней. Использую тупо легкие матчи, поверь это редко когда приводит к collateral damage.

Игрульки игрульками, а я вот помню как обосанный Керио Винроуте не мог справиться даже с 10мбитами. Со своими разбором пакетов L4+. А ведь серверу еще надо было заниматься делом, а не хуйней.

>>2040109
Вот-вот, BSD-кун. И так со всеми пердподелиями. Если хочешь блочить приложения на шинде своей личной - стандартный фаервол. Если хочешь блочить приложение в офисе где люди носят с собой свои железки - роутер на базе FreeBSD (ipfw) либо на базе Linux (netfilter).

P.S. Люблю бздю!

>>2034251
Такой вопрос -
Комп висит за роутером, к нему нужен доступ по rdp. Открыт порт, проброшен через роутер, статичный ip.

Как опутать всё это колючей проволокой от хакеров-хуякеров?

>>2040070
>>2040080
Ты наркоман или повыебываться решил? ОП спрашивал про сетевую защиту для домашней пекрани на венде блять а не сложного ентырпрайза, где совсем другие инструменты используются. И ты предлагаешь ОПу вместо удобного приложения пердолиться на роутере для каждого приложения с непонятными результатами. Долбоёб или что? Да нет, видимо омежный студентик прочитал пару книжек и решил выебнуться.

>>2040235
> сетевую защиту для домашней пекрани на венде
Можешь не продолжать дальше. Ты соединил в одном предложении несовместимые вещи. </response>

>роутере для каждого приложения с непонятными результатами.
Здесь проиграл. Я здесь для того, чтобы анончики узнали немного больше о работе с сетью, не стоит на меня наезжать. Манямирок любителей всяких Eset и Outpost должен вконце-концов лопнуть, так как я чувствую позор на своей душе, когда люди мне несует херню.

>>2040187
>Комп висит за роутером, к нему нужен доступ по rdp. Открыт порт, проброшен через роутер, статичный ip.

Так парни с campranks получают клиентов. Не делать этого. Особенно на стандартном порте 3389.

Сделать IPsec туннель, гнать трафик до RDP только по IPsec. Как вариант - какой-нибудь OpenVPN может быть альтернативой, но в IPsec я более уверен.
IPsec настраивать сложней немного (нужно настроить IKE, политики и другие штуки), тогда как с OpenVPN все проще и работает он в userspace. Подумай что тебе лучше.
На PPTP, L2TP и прочих аутсайдеров даже не смотри.

>>2033718
На window 7 закрыт, на ХР открыт.
Пользоваться ограниченой учетной записью делов то, потом щас воон какие роутеры домашниие борзые, фильтрацию настроить можно, что ни одна анб не проберёться.

>>2040262
О б!я! А я как-раз с опенвпн дрочусь! :)
В голову не пришло совместить эти технологии! Спасибо!

>>2040292
Всегда пожалуйста.
Порядок действий

1) Скриптами Easy-RSA поднять PKI: скопировать папку в easy-rsa, в копии поменять файлик vars под свои нужды, ./clean-all, . ./vars, ./build-dh (згенерировать параметры Диффи-Хелмана), ./build-ca, ./build-key-server server, ./build-key my_client_anon.vpn.vasyan.local
2) Раздать файлики по машинам. Никому не отдать лишнего! Будет в папке keys (не помню точну).
server.key - приватный ключ сервера (на сервере), ca.crt (публичный ключ ca - везде), ca.key (никуда, только в папке с PKI), server.crt - публичный ключ сервера (сервер), my_client_anon.vpn.vasyan.local.crt (публичный ключ клиента - только одному клиенту), my_client_anon.vpn.vasyan.local.key (приватный ключ клиента - только одному клиенту), dh1024.pem - Параметры Диффи-Хеллмана - на сервере
3) Папку с PKI бэкапим и непроебываем, через нее будет выдача ключей новый клиентам. Процедура: . ./vars, ./build-key my_client_xxx.vasyan.local
4) Создание папки c конфигом и написание конфигурации сервера с забросом туда необходимых файлов из PKI. Смотри мануал.
5) Создание конфига для клиента + переброс ему ca.crt, my_client_anon.vasyan.local.

Советую использовать режим tun (L3-туннелирование, меньше оверхед по MTU) + udp-транспорт (актуально для херовых мобильных сетей, нет TCP-оверхеда) + tls-client + topology subnet + server + cipher типа AES-256-GCM (режим Галуа), auth SHA256 + remote-cert-tls server + pull централизованно маршрутов с сервера + comp-lzo adaptive
6) Настроить на сервере роутинг, в сети решить вопрос с маршрутами. Если VPN идет на твой основной шлюз в сетке - проблем не будет.
7) Настроить firewall

Вопросы можешь писать в тред. Советую запускать OpenVPN на хорошем маршрутизаторе из-за его ограничений. Если есть говнороутеры от TP-Link: хотя бы уровня WR1043ND или ну хоть WR741ND - начни с прошивки их в LEDE, на OpenWRT не смотри - он устарел как говно мамонта. Из микророутеров советую TP-Link Archer C7 либо UniFi EdgeRouter

>>2040262
> , не стоит на меня наезжать.
А в этих сообщениях значит наезда нет?
>>2039758
>>2039801

>>2040315
Слыш, строничку вконтакте взломаеш?))

>>2040376
Это не слова автора >>2040262. Вам два человека указали их отношение к вашим словам после Вашего поста, мсье. Это Интерсеть, будьте готовы к критике.

>>2040398
> Это не слова автора
Это следовало бы указать, не было бы никаких "наездов".
> будьте готовы к критике.
Это не критика это высер обычного двачебыдла. Мсье, вы так и не предложили удобную альтернативу вендовому фаерволу для домашней пекарни. Об абсолютной защите никто и не говорит, поэтому мне непонятны эти слова
> Можешь не продолжать дальше. Ты соединил в одном предложении несовместимые вещи
Свои юзкейсы у этого инструмента есть, не понимаю зачем это отрицать.

Имхо лучше использовать OpenVPN для твоего RDP. Настройка проста как 5 копеек, есть возможность включить сжатие (хотя не знаю даст ли это выигрыш для RDP) и клиенты под все платформы.

А смамое главное нужно быдет открыть лишь один порт для любых сервисов, а на внешнем ойпи не светить RDP.

Плюс удобное прокидывание маршрутов и свои днсов при подключении. Чтоб работало и с виндовым маняднсом.

>>2040315
Спасибо!

А если опенвпн поднять на той машине, к которой нужен рдп доступ? Пробросить опенвпн через роутер и всё?

>>2040491
>
>А если опенвпн поднять на той машине, к которой нужен рдп доступ? Пробросить опенвпн через роутер и всё?

Именно так! RDP будет доступен на интерфейсе VPN-сервера внутри туннеля.

>>2040432
>Это не критика это высер обычного двачебыдла
Что поделаешь. Такой нынче язык в моде: нахуй-захуй без малейшего понимания что эти слова значат.

Отупение молодого поколения на лицо... На лицо и в глаза им матерям...

>>2033738
Комодо сложно назвать фаерволом. Это типичная убогая мокрописька с нелогичными настройками и тонной мусора в комплекте. К тому же свои непосредственные задачи выполняет через жопу. Самый лучший фаер - это родной виндовый.

Купи роутер.
/Тред

>>2041206
Правильно говорить «netfilter».

>>2034251
>
>Но были в истории и массовые вирусы, которые использовали удаленные уязвимости в RPC Windows, массово валили системы тупа сканя адресное пространство Интернета (32 бита всего лишь тогда).

Похоже, история имеет свойство повторятся :-)
Кек. Я предсказал жопу.
Сижу ржу как дебил.

>>2033708 (OP)
>Чистая свежая винда полностью пассивная только с доступом в интернет может быть скомпрометирована?
Любое устройство с доступом в интернет уже не пассивное. Даже kernel.org ломали.

>>2040262
>> сетевую защиту для домашней пекрани на венде
>Можешь не продолжать дальше. Ты соединил в одном предложении несовместимые вещи.
Ах эти экспертные заключения!

Раз уж такая тема пошла: где в шинде сделать так, чтобы любой запуск программы/любое интернет соединение запрашивало доступ у меня? Прям каждое действие.

>>2042511
Перед каждым действием спрашивай разрешения у мамки.

>>2042511
Так это поведение по умолчанию вообще-то. Только учти, что многие приложения при установке добавляют для себя правило в таблицу файрвола (поэтому ты не видишь предупреждения), а могут они это делать потому что инсталяторы обычно запускаются с админскими правами.

>>2042511
> Под рутом не работай. В том числе под виндой. Сделай себе пользовательскую учётку и сиди под ней. А лучше несколько. Например, игровая, порнодрочильная, семейно-фоточная, двачесетевая. Будет неудобно, да. Настрой права так, что из под любой из учёток не сможешь открыть данные соседних. Каким бы хитровыебанным не был вирус, он не пробьётся к твоим фотачкам, если ты сидишь в инете, самой опасной будет эта учётка.
> Я сам сейчас под админом сижу. Чот забеспокоился. Пойду понижу себе права.

>>2042547
Действительно не то, но тоже включил.
>>2042518
Есть такое же для сетевых подключений?
>>2042516
Не буду, вдруг ещё комп заберёт.

Как проверять открытые порты вообще? Стоит роутер, хз как там настраивать блокировку. Надо прописывать исходящий и входящие порты плюс айпи тоже. В 2ip все порты закрыты. В netstat 445 порта нету, но есть 135 порт, которые юзают две системные службы и отключить их невозможно.

>>2033708 (OP)
Закрывай порты 135, 137, 138, 139, 445 в виндузятном Брендмауэре, если не стоит сторонний фаерволл.
Пуск -> панель управления -> Брендмауэр шиндовс -> дополнительные параметры -> правила для входящих подключений -> создать правило... -> для порта -> далее -> поставить галку протокол ТСP, в поле ввести номер порта -> далее -> блокировать подключение -> далее -> вводишь любое имя -> готово
Проделываешь тоже самое для тех же портов ставя галку напротив UDP.

>>2042521
Есть много эксплоитов на повышение привилегий. Может и не спасти.
>>2042892
Не ссы.

* Открываем "Панель управления -> Программы и компоненты - Включение и отключение компонентов Windows". Находим "Поддержка общего доступа к файлам SMB 1.0/CIFS", отключаем.

И всё.

>>2044298
Это для десятой видны. На седьмой надо отключать по другому.

>>2044365
Это верно.
Способов всего три. Для хр, 7 и 8-10.
Про висту не в курсе. Да и кому она нужна?