Reguły blokowania
#1
Czy znajdę gdzieś poradnik, którym usługom/procesom systemowym lepiej zablokować dostęp do sieci, a które muszą mieć możliwość połączenia? Szukałam w Google, ale jakoś nic sensownego nie mogę znaleźć. O ile można znaleźć poradniki dotyczące wyłączania zbędnych usług, to w przypadku blokowania połączeń jakoś nic nie znajduję Sad Tych systemowych jest całe mnóstwo i niektóre wydają się łączyć z internetem zupełnie bez potrzeby
Pytałam o to na innym forum i ktoś polecił mi zapytać tutaj, więc się zarejestrowałam. Mam nadzieję, że to odpowiedni dział...
Odpowiedz
#2
Witam. Powiem tak mam zainstalowany program Malware defender - możemy w nim zablokować usługom/procesom systemowym lepiej zablokować dostęp do sieci oraz sprawdzić do kogo jest dany IP. Jak IP prywatne chciało się połączyć z moim komputerem to zawsze daję Blokuj Smile

W tym programie jeżeli chodzi o chrome to : Dozwolony
Svchost.exe to mam blokuj oczywiście najpierw musiałem zezwolić na połączenia z Chrome i aktualizacją systemu.
Wszystkie usługi połączenia mam na : blokuj

I wszystko działa Smile
Odpowiedz
#3
Yyy, sorki ale niewiele z tego zrozumiałam. Nie mam żadnego Malware Defender, Chrome też nie używam. Poza tym jeśli chodzi o programy, które sama zainstalowałam, to wiem co mam z nimi robić. Nie pytam też, czym mam to blokować.
Pytałam o jakiś poradnik albo wykaz usług/procesów systemowych podzielonych na takie, którym trzeba pozwolić na dostęp do sieci, aby nic się nie zepsuło, nie zamulało itp., i takie, które tego dostępu koniecznie mieć nie muszą.
Co do adresów IP, to pojęcia nie mam, które są prywatne i jak to sprawdzić.
Dodam, że używam Evorim Free Firewall, bo jest bardzo prosty w obsłudze i czytelny, a ja się jakoś specjalnie na tym nie znam Tongue
Generalnie to dostałam w prezencie kluczyk na roczną subskrybcję Trend Micro, ale ten pakiet nie ma własnej zapory. Wcześniej używałam ZoneAlarm, ale podczas instalacji Trend Micro kazał mi ją odinstalować, bo twierdził, że jest niekompatybilna. Dlatego zainstalowałam Evorim
@Edycja:
Przykładowo mam takie:

[Aby zobaczyć linki, zarejestruj się tutaj]

- to którym mogę zablokować dostęp do internetu?
Ja tych reguł nie ustawiałam, były domyślnie w zaporze systemowej
Odpowiedz
#4
Reguły dla svchost.exe na które warto zezwolić:

Time service:
Protocol=UDP, Local port=123, Remote port=123

DNS:
Protocol=UDP, Local port=Any, Remote port=53

DHCP:
Protocol=UDP, Local port=68, Remote port=67

Windows update:
Protocol=TCP, Local port=Any, Remote port=80, 443

Dla pseudoprocesu "System" warto zezwolić na ICMP i IGMP (pingowanie).

Resztę można zablokować. Oczywiście wszystko zależy od sytuacji, trzeba to dopasować pod siebie. Ja używam tak jak wyżej poza windows update bo mam wyłączony na co dzień.
w10 - OSArmor + Simplewall
Odpowiedz
#5
@Houdini - dziękuję za odpowiedź (nie dostałam powiadomienia o niej, chociaż mam ustawione). Co do tych protokołów, to w tej zaporze Evorim nic takiego nie ma. Można po prostu zablokować jakąś usługę lub nie.
Czyli mogę zablokować wszystko poza svchost.exe?
Odpowiedz
#6
Chciałaś adresy prywatne - interesuje cię w artykule ostatni akapit Suspicious

[Aby zobaczyć linki, zarejestruj się tutaj]


Houdini podał, zdaje się, najważniejsze usługi systemowe, które muszą być odblokowane. Pamiętaj, też, że zewnętrze oprogramowanie w trakcie instalacji może dodać do systemu usługi, i jak te usługi będą chciały się dobrać do internetu, mogą być widoczne w firewall jako komunikacja svchost.exe. Takie usługi to np. automatyczna aktualizacja oprogramowania w tle.

Także jeśli chcesz się bawić w takie radykalne kroki, jak blokowanie wszystkiego, to miej oko na logi firewalla, czy przypadkiem nie zablokowałaś za dużo. To raczej nie jest zabawa z kategorii odpal i zapomnij...
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#7
Ostatecznie jednak zainstalowałam Comodo Firewall. Ustawiłam sobie, żeby o wszystko pytał i zauważyłam, że svchost.exe chce się łączyć z takimi adresami:
255.255.255.255 UDP port docelowy 67
224.0.0.252 UDP port docelowy 5355
224.0.0.22 IGMP
192.168.0.1 UDP port docelowy 67
169.254.255.255 port docelowy 137
Jeśli zablokuję któryś z tych, co się zaczynają na 224.0.0., to wtedy niektóre strony www nie chcą mi się wczytywać. To normalne? I ogólnie jak zostawię zaznaczone "zapamiętaj" i zablokuję np. 224.0.0.252, to 255.255.255.255 też jest blokowane i to nie tylko dla svchost.exe ale też dla system. Nic z tego nie rozumiem... Sad
Odpowiedz
#8
Do pytania na dole, tak jest to normalne.

[Aby zobaczyć linki, zarejestruj się tutaj]


Proszę bardzo po wyżej możesz doczytać. O tych adresach co piszesz należą do Klasy D i E
Wiec zrozumiesz dlaczego się tak dzieje.
Odpowiedz
#9
Niewiele z tego rozumiem, przyznam że jestem kompletnym laikiem, ale skoro o klasie E napisano tam: "...jej adresy zostały zarezerwowane przez Internet Engineering Task Force (IETF) na potrzeby badawcze i klasa ta nie może być używana w Internecie. Adresy IP sieci klasy E zawarte są w zakresie od 240.0.0.0 do 255.255.255.255", to po co w ogóle svchost.exe łączy mi się z tym 255.255.255.255?
I jeszcze takie pytanie - jeśli nie chcą mi się wczytywać strony i zmienię w regułach aplikacji dla svchost.exe na "zezwlól", to i tak muszę restartować system, aby te strony znów się wczytywały, bo restart przeglądarki czy nawet wyjęcie na chwilę wtyczki z internetu nie pomaga. Dlaczego to tak dziwnie działa?
Odpowiedz
#10
255.255.255.255 to nie jest konkretne urządzenie tylko broadcast.
Przykładowy scenariusz wykorzystania:
Komputer po uruchomieniu nie ma IPv4 na swoich interfejsach sieciowych (kartach sieciowych). Chcąc go dostać może chcieć skorzystać z DHCP, ale nie zna adresu IPv4 usługi DHCP. Wysyła więc pakiet na broadcast. Z podanych informacji można przypuszczać, że serwer DHCP ma adres IPv4 192.168.0.1.
Odpowiedz
#11
OK, obawiam się, że i tak nic z tego nie zrozumiem, bo ani nie jestem informatykiem, ani pojęcia nie mam co to są te wszystkie IPv, DHCP, jakieś maski i inne takie. To może ktoś po prostu podać, jak konkretnie w Comodo Firewall ustawić, aby ten svchost.exe łączył się tylko z tym, co niezbędne do przeglądania stron www i synchronizacji czasu, a wszystko inne blokował? Nie chcę, żeby np. łączył się z jakąś telemetrią MS czy innym badziewiem. Myślałam, że metodą prób i błędów sobie poradzę, ale niestety, cokolwiek zablokuję, to albo wcale nie mam dostępu do sieci albo wczytują się tylko wybrane strony Sad Wiem, że @Houdini już wcześniej podawał, ale pojęcia nie mam jak wprowadzić te ustawienia w Comodo.
Odpowiedz
#12
Niestety, ale prościej niż Houdini to ciężko, podał Ci porty i skojarzone protokoły, które należy zablokować w ustawieniach firewalla i tyle. Obawiam się, że jeżeli pojęcia takie jak IPv4, DHCP, adres MAC czy maska są dla Ciebie obce, narzędzie takie jak Comodo Firewall, działające w trybie białej listy (zezwalaj tylko wybranym) będzie bardziej problemem i będzie sypał w nieskończoność komunikatami z tajemniczą treścią, skutecznie uniemożliwiając przyjemne korzystanie z komputera. Rzeczy, które wymieniłem to podstawy sieci komputerowych, a bez tego nie pójdzie...
Weź pod uwagę dwie rzeczy. Po pierwsze, nie można łatwo, jednym kliknięciem wyłączyć całej 'telemetrii' i śledzenia użytkownika - za dużo biznesów bazuje na tym modelu, żeby komuś zależało to udostępnić. Po drugie, telemetria Windowsa to nie takie zło ostateczne, odinstalowując kilka aktualizacji w Windowsach 7/8/8.1 można pozbyć się jej niemal w całości, a w 10 wyłączyć zewnętrznymi programami. Po trzecie, raczej niż Windowsem przejąłbym się rzeczami, które na Twój temat udostępnia Smartfon, media społecznościowe czy zwykła aktywność w sieci.

Znaczy się, jak się uprzesz, nagram Ci w wolnym czasie filmiki, jak wyklikać te parę opcji w Comodo, ale mam wrażenie, że to gra nie warta świeczki. Smile

PS gdybyś zmieniła zdanie i postanowiła się jednak uparcie dokształcić, przystępny, darmowy kurs o podstawach sieci komputerowych dostępny jest tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#13
Cóż ja mogę rzec, koledzy wyjaśnili wszystko.

Tak jak kolega jeden pisał 255.255.255.255to nic innego jak broadcast. Po prostu karta sieciowa w twoim komputerze pobierała adres IP z router. Ba wspomniane zostało przez ciebie, ze @Houdini podał porty i tam nawet zamieścił port który został podany przez ciebie.

Cytat:I jeszcze takie pytanie - jeśli nie chcą mi się wczytywać strony i zmienię w regułach aplikacji dla svchost.exe na "zezwlól", to i tak muszę restartować system, aby te strony znów się wczytywały, bo restart przeglądarki czy nawet wyjęcie na chwilę wtyczki z internetu nie pomaga. Dlaczego to tak dziwnie działa?

Zapewne comodo Firewall zmienił wpisy w systemie dotyczące wspomnianego ruchu. Lub po prostu sam program potrzebuje restartu by wprowadzić nowe polityki w życie, normalna rzecz.
Zapewne uruchomienie ponownie usługi lub jej zatrzymanie i wystartowanie dotyczące FW od comodo zadziałało by, ale z racji tego jak piszesz dla ciebie bezpieczniejszą opcją jest restart komputera.

Odpowiem jedno, nie ma ogólnego i jednego schematu blokowania danych rzeczy, bo różne rpogramy różne porty wykorzystują.
Ogólne porty które zostały podane i są potrzebne podał jest kolega @Houdini
Dla ciebie najprostsza sprawa było by ustawić firewall tak by blokował wszystkie połączenia przychodzące a połączenia wychodzące by były na zezwalano. Najprostsza reguła dotycząca FW. Jeżeli aplikacja jest zaufana i na twoim komputerze moze się połączyć z internetem i ruch moze wejść.
A dalej po prostu działać i ręcznie zezwalać. Chodź ta telemetria na Windows najmniej bym się martwił.

Zadam jedno pytanie konto na Google masz w Gmail ?
Odpowiedz
#14
(11.04.2018, 19:57)dolar444 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Zadam jedno pytanie konto na Google masz w Gmail ?

Tak, mam konto Google i Gmail, ale nie podałam tam swoich prawdziwych danych. Na fb też mam tylko fikcyjne konto i ogólnie nigdzie w sieci nie podaję swoich prawdziwych danych ani nie wrzucam swoich zdjęć.
Odpowiedz
#15
(11.04.2018, 20:04)izadora napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Tak, mam konto Google i Gmail, ale nie podałam tam swoich prawdziwych danych. Na fb też mam tylko fikcyjne konto i ogólnie nigdzie w sieci nie podaję swoich prawdziwych danych ani nie wrzucam swoich zdjęć.

Nie ważne, ze nie podałaś prawdziwych danych. Dane tak czy siak są zbierane od ciebie. Na jakie strony wchodzisz co przeglądasz.
Zapewne masz jakiegoś adblocka ?
wyłącz go, i zobaczysz jakie reklamy zaczną ci się wyświetlać.
Chyba najprostszy typ w pewnym sensie śledzenia to nic innego jak ciasteczka. Tak wiem, nie wszyscy się zgodzą ze mną. Chodzi mi by użytkownikowi uświadomić, ze telemetria w tym W10 to w pewnym sensie kropla w morzu w porównaniu do tego co robi sam google czy wspomniany FB nawet, że dane są nie prawdziwe.

W sieci nie podajesz, a w Banku podajesz ?
Pewnie, że tak myślisz, że Bank ich nie sprzeda dalej ? Ktos czytał od deski do deski regulamin zakładając konto w Banku ?
Tak wiem wchodzi RODO i wszystko ono zmieni.

Pokazuje tylko, ile informacji wypływa o tobie o których nie wiesz.
Tak samo wspomniany smartfon. GPS używasz ? zapewne tak. Są opcje by wyłączyć śledzenie, a tak czy siak, google szczątkowo je zbiera nawet o tym nie wiedząc.

Wiec, zamiast martwic sie tą telemetrią, pomyślał bym, w jaki sposób mogę uszczelnić swój system by w pewnym sensie mieć nad nim większą kontrole. Bo jeżeli MS będzie chciał zebrać dane, to jak nie jednymi portami i adresami to zbierze je zupełnie inaczej. Bodaj portem 80 który zawsze jest jednak odblokowany Grin
Odpowiedz
#16
Dolar ja w banku się nie zgodziłem na przetwarzanie danych, a pewne banki to wymagają w regulaminie taka ciekawostka Grin
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#17
(11.04.2018, 21:19)Quassar napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Dolar ja w banku się nie zgodziłem na przetwarzanie danych, a pewne banku to wymagają w regulaminie taka ciekawostka Grin

Zgadzam się, teraz mocno wszystko się zmienia przez GDPR/RODO
Ale pamietam swego czasu, że były takie kruczki jak z jedna osobą rozmawiałem Smile
Odpowiedz
#18
Też się zgodzę, że raczej dla laika z sieci komputerowych po prostu zainstalować w Windows 10 programy typu o&o shutup10 i tam powyłączać telemetrię i inne rzeczy. Do tego nie korzystać z konta użytkownika połączonego z kontem Microsoft tylko normalnego, lokalnego konta użytkownika.
I też zgodzę się, że zwykłe surfowanie po necie przeglądarką bez dodatków zwykle zdradza więcej informacji niż telemetria w Windowsie.
Myślę, że Gmail przez IMAP/POP3 w Thunderbirdzie jest w miarę sensowny, bo Google zadeklarowało, że przestaje skanować maile w celu zbierania informacji o preferencjach. Czy rzeczywiście nic nie zbiera - nie wiadomo, ale dla osoby o nieparanoicznym podejściu (a takie musisz mieć jako laik, bo inaczej nic z tego nie wyjdzie) to powinno wystarczyć.
Inne usługi Googla jak np wyszukiwarka albo Youtube jednak ciągle zbierają takie dane i będą zbierać, więc na nie lepiej dużo bardziej uważać.
Odpowiedz
#19
(11.04.2018, 09:52)izadora napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

To może ktoś po prostu podać, jak konkretnie w Comodo Firewall ustawić, aby ten svchost.exe łączył się tylko z tym, co niezbędne do przeglądania stron www i synchronizacji czasu, a wszystko inne blokował?

svchost.exe to systemowy proces. Blokując go zablokujesz... do końca nie wiadomo co, bo takich procesów dla różnych usług w systemie może być uruchomionych kilkadziesiąt w jednym czasie. Nie jest zalecane blokowanie tego.
Odpowiedz
#20
A nie prościej zainstalować Simplewall i ustawić na pracę w trybie "przepuszczaj zezwolone"?. To pozwala blokować wszystkie połączenia spoza aplikacji/procesów na białej liście. Należy również sprawdzić czy wykryte usługi nie wymagają połączenia np. połączenie do zainstalowanej drukarki/skanera.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości