Look'n'Stop - pytanie o konfigurację i filozofię działania - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Zapory sieciowe (Firewall'e) (https://safegroup.pl/forum-9.html) +--- Wątek: Look'n'Stop - pytanie o konfigurację i filozofię działania (/thread-2715.html) |
Look'n'Stop - pytanie o konfigurację i filozofię działania - Houdini - 21.02.2011 Witam. Próbuję ogarnąć tego firewalla i w związku z tym mam kilka pytań, widzę że kolega Creer używa więc może coś podpowie. Uruchamiając jakąś aplikację która chce dostępu do internetu wyskakuje okienko o zablokowanie/przepuszczenie. Jeśli kliknę "przepuść" aplikacja zostaje dodana do zakładki filtra aplikacji. Czy to oznacza że ta aplikacja ma nieograniczony dostęp do netu? A jeśli chciałbym pozwolić jej przykładowo na połączenie tylko z konkretnym IP to jak powinienem taką regułę zastosować? Powinienem w zakładce "filtr sieciowy" utworzyć 2 reguły, jedna blokująca aplikację a druga nad nią dopuszczająca w określonej sytuacji? Dobrze kombinuję? Re: Look'n'Stop - pytanie o konfigurację i filozofię działania - Creer - 21.02.2011 Witaj, Houdini napisał(a):Uruchamiając jakąś aplikację która chce dostępu do internetu wyskakuje okienko o zablokowanie/przepuszczenie. Jeśli kliknę "przepuść" aplikacja zostaje dodana do zakładki filtra aplikacji. Czy to oznacza że ta aplikacja ma nieograniczony dostęp do netu? I tak i nie. Look ''n'' Stop nie posiada czegos takiego jak tryb "learning mode" bo... jest on zbedny. Tak jak napisales - gdy klikasz przepusc w pojawiajacym sie monicie o polaczeniu wychodzacym, ktore probuje zrealizowac jakas aplikacja - umozliwiasz jej dostep do Internetu ograniczonytylko i wylacznie regulami zamieszczonymi w zakladce "Internet Filtering". BTW. jest nawet takie powiedzenie dot. LNS: There is no learning mode there are only learning users ;) Houdini napisał(a):A jeśli chciałbym pozwolić jej przykładowo na połączenie tylko z konkretnym IP to jak powinienem taką regułę zastosować?Powinienem w zakładce "filtr sieciowy" utworzyć 2 reguły, jedna blokująca aplikację a druga nad nią dopuszczająca w określonej sytuacji? Dobrze kombinuję? Zakladka "Application Filtering" sluzy glownie ustalaniu regul dla okreslonych aplikacji ktore dzialaja w trybie client mode. Zakladka "Internet Filtering" (dalej okreslane jako IF) i reguly w niej zawarte dotycza wszystkichaplikacji, uslug (zarowno tych dzialajacych w trybie client mode np. przegladarka WWW, jak i tych ktore dzialaja jako serwer - nasluchuja na okreslonych portach np. program typu P2P, Skype, etc...) Filozofia jest taka: nie ufasz aplikacji = nie zezwalasz na dostep do Internetu (stad tez w zakladce "Application Filtering" (dalej okreslane jako AF) brak predefiniowanych regul). Jesli bardzo chcesz z okreslonych powodow nadac restrykcje dla danej aplikacji w zakladce AF musisz kliknac dwukrotnie na nazwie aplikacji dla ktorej chcesz stworzyc ograniczenia i w zaleznosci co chcesz zrobic - masz 4 mozliwosci: - porty ktore chcesz zablokowac/zezwolic dla protokolu TCP, - porty ktore chcesz zablokowac/zezwolic dla protokolu UDP, - IP adres/adresy ktorym chcesz zezwolic/zablokowac dla protokolu TCP, - IP adres/adresy ktorym chcesz zezwolic/zablokowac dla protokolu UDP, Uzywasz ";" jako separatora, "-" aby okreslic zakres portow/adresow oraz "!" w celu zablokowania. Np. aby zablokowac zakres IP 192.168.0.1 az do 192.168.0.100 oraz 192.168.100.100 musisz wprowadzic taki zapis: !192.168.0.1-192.168.0.100;!192.168.100.100 Kazda aplikacja w zakladce AF z jakakolwiek restrykcja (czy to IP czy portow) wyswietla obok po lewej stronie zolte koleczko (normalnie gdy nie ma zadnych restrykcji koleczko jest zielone). Houdini napisał(a):Powinienem w zakładce "filtr sieciowy" utworzyć 2 reguły, jedna blokująca aplikację a druga nad nią dopuszczająca w określonej sytuacji? Dobrze kombinuję? Filtr sieciowy? domyslam sie ze chodzio zakladke Internet Filtering (ach to polskie tlumaczenie ;) ) Odpowiadajac na pytanie - tworzysz zapis w zakladce AF dla danej aplikacji podobny do tego wyzej tylko bez "!" Np: 192.168.100.201 Czyli pozwalaj na polaczenia wychodzace tylko pod IP: 192.168.100.201, inne polaczenia sa odrzucane. Re: Look'n'Stop - pytanie o konfigurację i filozofię działania - Houdini - 21.02.2011 Dzięki wielkie za garść wyjaśnień. Gdy pisałem pierwszego posta nie miałem jeszcze zaptaszkowanego ''Advanced Mode'' w Advanced Options i nie miałem opcji edycji w zakładce aplikacji. Teraz już mi się trochę rozjaśniło Jeszcze mam pytanie odnośnie logów. Czy jest możliwość zobaczenia do jakiej aplikacji jest przypisane zdarzenie z logu? W zakładce z aplikacjami pod prawoklikiem mamy opcję Log->None/Simple/Full, LnS zapisuje gdzieś aktywność danej aplikacji czy wrzuca po prostu do tego zbiorczego loga? Re: Look'n'Stop - pytanie o konfigurację i filozofię działania - Creer - 21.02.2011 You''re welcome :) Houdini napisał(a):Czy jest możliwość zobaczenia do jakiej aplikacji jest przypisane zdarzenie z logu? W zakładce z aplikacjami pod prawoklikiem mamy opcję Log->None/Simple/Full, LnS zapisuje gdzieś aktywność danej aplikacji czy wrzuca po prostu do tego zbiorczego loga? Simple - w logu pojawiaja sie tylkoinformacje o zablokowanych zdarzeniach Full - w logu beda zablokowane i dopuszczone zdarzenia Wszystko jest razem wrzucane do zakladki Log > polaczenia zablokowane maja minus, te ktore sa dopuszczone - plus np. U-60 oznacza zablokowane polaczenie wychodzace, 60 to numer zdarzenia wyswietlonego w logu od uruchomienia systemu D+61 oznacza polaczenie przychodzace ktore zostalo dopuszczone (zadna regula go nie zabronila). Ogolnie logi sa wylaczone domyslnie, ich wlaczenie dla poszczegolnych aplikacji ogranicza sie tylko do diagnostyki - w razie jakichs problemow z aplikacja ktora nie chce sie polaczyc (lub chcemy zobaczyc jakie porty wykorzystuje dana aplikacja). Posiadanie opcji logow dla aplikacji wlaczonej non stop mija sie z celem i moze generowac nieskonczenie dlugie logi oraz niepotrzebnie obciazac system (obciazenie niewielkie ale jednak). Dodano: 21 lut 2011, 2011 19:33 W Opcjach mozesz zdefiniowac zapisywanie logow do pliku. Re: Look'n'Stop - pytanie o konfigurację i filozofię działania - Houdini - 21.02.2011 Jeszcze raz dzięki za informacje Re: Look'n'Stop - pytanie o konfigurację i filozofię działania - Creer - 21.02.2011 Prosze bardzo, obcowanie z tym FW to czysta przyjemnosc, tak samo jak dzielenie sie swoja wiedza z innymi :) Re: Look'n'Stop - pytanie o konfigurację i filozofię działania - Konto usunięte - 08.03.2011 Zainstalowałem u siebie aby przetestować i mam pewne pytanie. Zrobiłem tak: - instalacja bezproblemowa - ustawienie wg. tematu na Wildersach (nie licząc sprawdzania DLLek, bo opcja jest "na szaro" i nie mogę nic tam zmienić) - w ramach powyższego ustawienie rozszerzonej listy reguł + import (WiFi po WPA, FTP) - dodatkowe zmiany wymienione w przyklejonym temacie przez Creera Póki co nie miałem programu, który byłby niezaufany i miałbym mu dać blokowane, tak więc daję na allow i są dla nich stosowane te reguły z zakładki "Internet Filtering". No i pytanie brzmi: to tyle? Jest sens bawić się właśnie w dodatkowe ustawianie, np. tylko wybrane porty dla przeglądarki, czy zupełnie nie ma takiej potrzeby i tylko zezwalać/blokować w zależności od naszego zaufania względem aplikacji? Re: Look'n'Stop - pytanie o konfigurację i filozofię działania - Creer - 08.03.2011 Nie pamietam dokladnie ale wydaje mi sie ze gdzies czytalem ze opcja wykrywania plikow DLL jest wlasnie wylaczona pod architektura 64-bit. Apropos sensu - mozna to rozpatrywac dwojako. Jezeli bierzemy pod uwage aspekt bezpieczenstwa - to tak, takie dzialanie ma sens, poniewaz jest to tzw. hardening w tym przypadku regul dla danej aplikacji. Ograniczasz polaczenia wychodzace w zakladce Application Filtering tylko do tych co do ktorych masz 100% pewnosc, ktore dana zaufana aplikacja wykorzystuje w trakcie dzialania w systemie. (W przypadku reinstalacji systemu/aplikacji, reguly z zakladki Application Filtering - sa zapisywane w pliku lns.reg w katalogu: C:\Users\UserName\AppData\Local\looknstop) - jesli tego pliku tam nie ma, trzeba wlaczyc poprzez zaptaszkowanie checkbox-a opcje "Extra Save" w zakladce Options w LnS. Jezeli bierzemy pod uwage aspekt "out of the box" - czyli gotowosc do dzialania bez zadnych specjalnych dodatkowych ustawien (opcja dla wiekszosci uzytkownikow) to mozemy wyzej opisana czynnosc pominac. Jednak cos za cos. Niby aplikacja/usluga systemowa jest zaufana ale jaka mamy pewnosc ze np w przypadku doprowadzenia do infekcji systemu, malware nie bedzie chcialo za jej pomoca wyslac danych na inny remote port (np SVChost.exe). Naturalnie nie mozna tez popadac w obsesje ale warto wiedziec ze cos takiego moze miec miejsce, szczegolnie w sytuacji gdy linia obrony naszego systemu jest tylko jedna warstwa (z trzech mozliwych) ochronna. Re: Look'n'Stop - pytanie o konfigurację i filozofię działania - Konto usunięte - 08.03.2011 Ok, rozumiem A mam jeszcze pytanko - mam teraz w sumie kilka interfejsów sieciowych: - wifi - z niego najczęściej internet - ethernet - z niego internet tylko sporadycznie - virtualbox 1 - do udostępniania internetu komputerom z vboxa - virtualbox 2 - do bezpośredniego połączenia w wewnętrzną sieć komputerów z vboxa - comodo vpn (gry w sieci ze znajomymi) Program standardowo oznaczył sobie interfejs wifi i tylko on jest w zakładce options zaznaczony. Jak mam rozumieć, tylko na nim jest filtrowanych ruch, tak? Czy warto włączać na inne z wyżej wymienionych? Re: Look'n'Stop - pytanie o konfigurację i filozofię działania - Creer - 13.11.2011 Tak. Tylko jeden interface w danym momencie moze byc wykorzystywany do polaczenia. LnS domyslne (zaznaczona opcja Automatic) wybiera interface sieciowy - przy czym moze czasem sie pomylic. Aby sprawdzic czy wybralismy lub LnS wybral poprawny interface wystarczy wejsc na zakladke Welcome (pierwsza zakladka) i sprawdzic czy adres IP jest poprawny oraz czy w nizej umiejscowionej statystyce "cos" sie dzieje :) Taki zabieg - weryfikacji robimy glownie przy pierwszej instalacji programu oraz przy zmiane sieci/rodzaju polaczenia (kabel/Wifi) aby upewnic sie ze wszystko jest OK. Trzeba na to zwracac szczegolna uwage i pamietac o tym. |