——- Кто не задает вопросы — тот не получает ответы
Сообщения: 1114 Благодарности: 4
——- Кто не задает вопросы — тот не получает ответы
Последний раз редактировалось XPurple, 31-01-2006 в 14:34 .
Сообщения: 81 Благодарности: 1
Сообщения: 1114 Благодарности: 4
Если есть MySQL ,я так полагаю, есть в каком то виде *nix 1. Отключите брандмауэр 2. Проверьте на предмет открытых портов с помощью команд: nmap -sT -p ‘1-10000’ ip-address ;покажет открытые tcp-порты nmap -sU -p ‘1-10000’ ip-address ;покажет открытые udp-порты 3. Включите защиту Проверьте этими командами какие порты открыты+доступны при включенной защите. 4. Отсутствуюшие порты — на совести брандмауэра
p.s. Все то же самое , повторюсь, можно сделать с помощью многих программ, в том числе упомянутой ранее netview или штатной командой Мелкомягких «netdiag /v /test:netstat»
p.p.s Воть еще, ранее не упоминул такой момент,говорю сейчас,раз уж начал. Некоторые порты могут создаваться временно(т.е. непостоянно), на время процесса обмена данными. Это касается в основном NetBios-соединений, используемых службой ldap. Это порты 1024-2000 какие-то (Я специально не следил, но примерно в этом диапазоне).
p.p.p.s В юниксе аналогом команды «netdiag /v /test:netstat» можно считать tcpdump без ключа «c», по-моему. Пишу по-памяти , точно не помню. Ну это так, на всякий случай.
——- Кто не задает вопросы — тот не получает ответы
Последний раз редактировалось XPurple, 02-02-2006 в 12:12 .
Совсем недавно я посвятила несколько недель тестированию базы релиз-кандидата (RC) Windows Server 2003 из комплекта Microsoft Small Business Server (SBS) 2003. Одна из задач тестирования состояла в оценке эффективности программного обеспечения RRAS Firewall. Наличие брандмауэра — это новая возможность Windows 2003. В базовом брандмауэре используется расширенная версия аналогичного программного обеспечения, которое Microsoft впервые реализовала в Windows XP. В моей тестовой системе установлено два сетевых адаптера, один для внутренней сети и один — для выхода в Internet. Я активизировала RRAS Basic Firewall для внешнего сетевого адаптера и настроила сервер на работу с входящей и исходящей почтой SMTP, причем разрешила обращения к внутреннему Web-сайту и Remote Web Workplace как со стороны надежных узлов браузеров, так и со стороны ненадежных, а также настроила базовый брандмауэр на работу по протоколам VPN PPTP и Layer Two Tunneling Protocol (L2TP). В прилагаемой к RC документации утверждается, что система открывает следующие порты:
Обмен почтой — порт 25 TCP
Доступ из браузера -TCP порт 80
Защищенный доступ из браузера -TCP порт 443
Соединения по VPN L2TP — UDP порт 1701
Соединения по VPN PPTP -TCP порт 1723
Доступ к Remote Web Workplace -TCP порт 4125
Я провела тестирование брандмауэра с помощью превосходной утилиты сканирования портов Nmapwin, свободно распространяемой в рамках GNU General Public License (GPL). Nmapwin может прозондировать порты TCP и UDP по протоколу Internet Control Message Protocol (ICMP) или без его участия. По умолчанию Nmapwin анализирует только хорошо известные порты от 1 до 1593, но чтобы провести глубокий анализ любого брандмауэра, вам следует просканировать все имеющиеся TCP- и UDP-порты, от 1 до 65000. Я запустила две процедуры сканирования на сетевом адаптере, подключенном к Internet, — одну для портов TCP и одну для портов UDP. Из документации следовало, что брандмауэр допускал бы входящий трафик только через перечисленные выше порты, может быть, еще через несколько, но никак не более чем через 10 TCP-портов и через 3-4 UDP-порта. Каково же было мое удивление, когда сканер TCP доложил, что базовый брандмауэр ответил на 16 TCP-портов и 20 UDP-портов. Вот итоговый список сканирования портов с помощью Nmapwin:
Продолжая исследование, я обнаружила, что в базовом брандмауэре отсутствуют средства регистрации, что само по себе уже исключает возможность корректной работы прикладной программы. Если ваш брандмауэр не выполняет мониторинг активности порта в реальном времени и не ведет никакого журнала, пользователь не сможет установить, не происходит ли в данный момент «прощупывание» системы из внешнего мира, а это означает, что применение брандмауэра попросту теряет смысл. Вот еще несколько интересных результатов проведенного тестирования.
В реализации Basic Firewall ftp-порт 21 оказался доступен, но закрыт; в промышленном стандарте рекомендовано «прятать» этот порт, тем более, когда встроенная служба FTP отключена. (Во время сканирования портов служба FTP была именно отключена.).
Контроллер служб (svchost.exe), который запускает большое число встроенных служб, прослушивает в общей сложности 18 портов (по девять TCP и UDP).
Local Security Authority Service (lsass.exe) прослушивает 14 портов (семь UDP и семь TCP).
Microsoft IIS (inetinfo.exe) прослушивает 13 портов (четыре UDP и девять TCP).
Из приведенного списка открытых портов TCP и UDP со всей очевидностью следует, что термин «basic» в названии брандмауэра полностью соответствует действительности, хотя, возможно, и с некоторым преувеличением. Basic Firewall не подчиняется правилам, принятым для промышленных стандартов — закрыть все порты до тех пор, пока они на самом деле не понадобятся, и спрятать их от прослушивания, если они недоступны. Кроме того, 29 открытых портов UDP — огромное поле деятельности для всевозможных атак.
По результатам проведенного тестирования я категорически не рекомендую устанавливать Basic Firewall для защиты своей сети — установите автономный брандмауэр. Возникает очевидный вопрос — почему разработчики Microsoft включили данное программное обеспечение в состав Windows 2003? Почему столь сложная операционная система оказывается настолько слабой, что касается данного инструмента безопасности? Включение Basic Firewall в состав системы может ввести в заблуждение потенциальных партнеров и заказчиков Microsoft, которые ошибочно полагают, будто данная система способна обеспечить надежную защиту сетевого периметра.
Тем, кто не знаком с Nmapwin, советую зайти на http://www.insecure.org и щелкнуть по ссылке Security Tools в левой части страницы. На странице Security Tools вы найдете описание 75 наиболее важных инструментов в области безопасности для платформ Unix и Windows. Внимательно читая приведенный список, вы обнаружите, что большинство тех же самых инструментов прекрасно поможет злоумышленнику взломать сеть. Все перечисленные инструменты доступны для загрузки. Я рекомендую начать формировать набор средств обеспечения безопасности с утилит Nmapwin и Activeports. Nmapwin идентифицирует открытые порты на брандмауэре или любом другом устройстве, у которого имеется TCP/IP-адрес. Activeports — это программа-монитор реального времени, устанавливающая наличие связи между открытым портом и работающим процессом или приложением. Эти две программы могут помочь идентифицировать уязвимые места брандмауэра и процессы или службы, прослушивающие открытые порты. Такая функциональность позволит обеспечить надежную защиту от взломщиков, которые в своих целях используют весь арсенал утилит, перечисленных на странице Security Tools.
Паула Шерик — Редактор Windows & .NET Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. С ней можно связаться по адресу: paula@winnetmag.com.
Иллюстрированный самоучитель по Microsoft Windows 2003
Брандмауэр подключения к Интернету (Internet Connection Firewall)
С целью обеспечения безопасной работы при работе в открытых сетях (такими, например, как Интернет) непосредственно в составе Windows Server 2003 реализован встроенный брандмауэр подключения к Интернету (Internet Connection Firewall, ICF). Брандмауэр представляет собой службу, осуществляющую фильтрацию пакетов, поступающих через сетевые подключения. Служба пропускает только разрешенные TCP/IP-пакеты и отбрасывает все остальные. Это позволяет оградить компьютер от несанкционированного доступа или различного рода атак из открытых сетей, сохраняя при этом для пользователей возможность работы с требуемой информацией.
Как правило, целесообразно активизировать встроенный брандмауэр для подключения к некоторой открытой сети. Например, его можно активизировать на компьютере, реализующем общий доступ к подключению Интернета (Internet Connection Sharing, ICS). Если корпоративная сеть соединена с открытой сетью через корпоративный брандмауэр, активизация встроенного брандмауэра Windows Server 2003 может оказаться излишней.
Для активизации встроенного брандмауэра необходимо вызвать окно свойств интересующего сетевого подключения. Перейдя на вкладку Advanced (Дополнительно), требуется установить флажок Protect my computer and network by limiting or preventing access to this computer from the Internet (Защитить мой компьютер и сеть, ограничив или предотвратив доступ к этому компьютеру из Интернета) (рис. 12.33).
Нажав кнопку Settings (Параметры), администратор может выполнить настройку встроенного брандмауэра. На вкладке Services (Службы) необходимо определить службы локальной сети, доступ к которым будет разрешен для внешних пользователей (рис. 12.34). По умолчанию администратору предлагается список из 12 служб, описание которых приводится в табл. 12.6. При желании администратор может добавить к списку другие службы, используемые в сети. Чтобы разрешить некоторую службу, необходимо установить флажок перед ее названием. Например, если в локальной сети имеется FTP – или WWW-сервер, доступ к которым необходимо предоставить внешним пользователям, администратор должен установить флажки напротив этих служб. По умолчанию доступ ко всем перечисленным службам запрещен.
Windowsar.ru - компьютеры и периферия 
