ایمن تر کردن Svchost.EXE و Outpost Pro
سلام دوستان .
با توجه به موقعیتی که الان برای دوستان عزیزمون در پی سی ورلد به وجود اومده من سعی کردم که بعضی
از نکات مهم رو که در مورد این فایروال هست رو بگم.
البته بعضی از تنظیمات قبلا گفته شده و تقریبا اکثر شما با اونا آشنایی کافی رو دارید و من در اینجا سعی میکنم که
تنظیمات گفته شده رو در اینجا تکرار نکنم.
وقتی که شما دارید Outpost Pro رو نصب میکنید یک سری برنامه ها رو به صورت اتوماتیک در لیستی قرار میده که باید
اجازه دسترسی به اینترنت رو داشته باشن. شما هم بگذارید که این کار را انجام دهد. خوبی این کار این است که فایروال
Outpost برنامه هایی رو که مثل موش توی سوراخ سنبه های سیستمتون قایم شدن رو براتون پیدا میکنه و اجازه وصل
شدن به اینترنت رو به اونا میده. اما شما دقیقا بعد از تموم شدن کارش میرید و این برنامه هایی رو که اسمشون رو در
زیر مینویسم برای همیشه بلوک میکنید. اسم این برنامه ها در لیست فایروال بعد از جستجوی اتوماتیک وجود داره.
شما کافیه بعد از تمام شدن کارش یا رستارت کردن سیستمتون به این قسمت مراجعه کنید Option و بعد Application
لیست برنامه هایی که باید برای همیشه بلوک شوند را مینویسم اما افرادی که وارد تر هستند و آشنایی کافی دارند
حتما میدانند که بر حسب نیازشون بعدا میتونند همین برنامه ها رو از لیست بلوک در بیارند.
CONF:EXE , DWWIN:EXE , EXPLORER:EXE , FTP.EXE, MOBSYNC.EXE, MSIMN.EXE, MSTSC, RDPCLIP.EXE ,
REGWIZ.EXE, RUNDLL.EXE, SESSMGR.EXE, TELNET.EXE, WMPLAYER
بلوک کردن برنامه های بالا هیچ اختلالی در کارکرد سیستم و اینترنت شما نخواهد داشت ولی از لحاظ امنیتی من خودم
پیشنهاد میکنم که هر برنامه ای رو که در لیست بالا در سیستم خودتون میبینید برای همیشه بلوک کنید.
بعد از این کار از قسمت تنظیمات فایروال وارد قسمت System شوید و در بخش ICMP بر روی Settings کلیک کنید تا
پنجره ای مانند زیر براتون باز بشه بعد آن دو قسمتی رو که با فلش قرمز نشون دادم رو از تیک در بیارید.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
بعد به قسمت Plugin برید و بر روی Attack Detection یک بار کلیک کنید تا انتخاب بشه بعد بر روی Properties کلیک کنید
و در قسمت Advenced بر روی Edit List کلیک کنید . این قسمت رو چک کنید تا مطمئن شوید که همه گزینه هایی که در
این قسمت وجود داره تیک خوردند. این قسمت مربوط میشه به حملاتی که قرار فایروال آنها رو دفع کنه و جلوشون رو
بگیره . در اینجا شما هر قسمت را از تیک در بیارید یعنی آن را آزاد کرده اید.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
حالا دوباره بر گردید به قسمت Application و Svchost.exe رو پیدا کنید. بر روش کلیک راست کنید و گزینه Modify Rules..
را کلیک کنید تا وارد قسمتی شویم که در آنجا میتوان Svchost.exe را با دادن دستوراتی ایمن تر کرد. وقتی که این
قسمتی را که گفتم کلیک کردید پنجره ای مثل زیر براتون باز میشه .
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
حالا شما بر روی DNS Service UDP Connetction یک بار کلیک کنید تا انتخاب بشه و بعد از سمت راست بر روی
Modify کلیک کنید. این پنجره برای شما باز خواهد شد.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
در پنجره باز شده ای که در بالا می بینید 4 قسمت وجود داره.شما در قسمت 2 تیک کنار Allow it را بر دارید و مثل عکس
بالا Block it و Report it را تیک بزنید. بعد در زیر همین پنجره جلوی اسم این Rule کلمه بلوک را اضافه کنید تا زمانی که
به تنظیمات Svchost نگاه کردید متوجه بشید که چه قسمتی بلوک شده و چه قسمت هایی آزاد هستند.
کلمه dns در بالا همان پورت 53 میباشد.
این کاری که ما در بالا انجام دادیم درست کردن یک Rule بود برای این فایروال. یعنی شما اول در قسمت 1 نوع ارتباط و
پورت را مشخص میکنید و با تیک زدن در کنار هر نوشته به آن دستور میدهد. در قسمت 2 نیز اگر متوجه شده باشید پورتی رو که در قسمت یک تعیین کردید کنترل میکنید . یعنی بهش دستور میدید که بسته باشه و یا آزاد. و یا اینکه هم بسته
باشه و هم اینکه اگر کسی یا برنامه ای خواست از طریق این پورت وصل بشه بهتون خبر بده.
حالا من چند دستور را که در همین تنظیمات Svchost باید دستکاری بشند رو براتون مینویسم و شما همه این پورتها و یا
دستورات را دقیق بخونید و مثل دقیقا همونطور که نوشته شده تغییر بدید.
DNS Client TCP Connection
Where the protocol is TCP
and Where the direction is Outbound
and Where the remote port is domain
در بالا domain همان پورت 53 میباشد.
Block it
and Report it
DCOM Service TCP Connection
Where the protocol is TCP
and Where the direction is Outbound
and Where the remote port is dcom
در بالا dcom همان پورت 135 میباشد.
Block it
and Report it
Time Synchronizer Connection
Where the Protocol is UDP
and Where the remote port is 123
LoopBack به همین پورت 123 گفته میشود.
Block it
and Report it
"SSDP Discovery Service " and " UPnP device Host" Services
Where the protocol is UDP
and Where the remote port is 1900
Block it
and Report it
SSDP legacy event notification
where the protocol is TCP
and Where the direction is Outbound
and Where the remote port is 5000
Block it
and Report it
Microsoft Remote Desktop TCP Connection
Where the protocol is TCP
and Where the direction is Inbound
and Where the remote port is rdp
Block it
incoming UDP activity
Where the protocol is UDP
and Where the direction is Inbound
and Where the local port is 1025 - 1035
Block it
خوب تا اینجاشو امیدوارم که درست انجام داده باشید.تا اینجاش همه Rule ها در تنظیمات Svchost وجود داشتند و
ما فقط کمی آنها را تغییر دادیم.حالا با هم میریم و 3 تا Rule جدید نیز که میبایستی درست بشه رو برای Svchost
درست میکنیم.
اولین Rule را به عکس زیر نگاه کنید و دقیقا مثل بالا عمل کنید و دستورات رو با زدن دکمه New..در سمت راست
بهش بدید.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
حالا این دو تا دستور زیر را نیز مثل بالا وارد کنید.
Block Invound TCP for SVCHOST:EXE to 135
Where the protocol is TCP
and Where the direction is Inbound
and Where the local port is dcom
Block it
And Report it
Block Outbound UDP for Svchost.exe from 135
Where the protocol is UDP
and Where the local port is 135
Block it
در آخر باید دستوراتی که برای SVCHOST درست کردید به شکل زیر در جاهای خودشون نوشته شده باشند.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
خوب تا اینجا دستوراتی بود که ما فقــــــــــط برای Svchost درست کردیم چون این پروسه از ویندوز حملات خیلی زیادی
بر روش انجام میشه بنابراین باید ایمن تر بشه.
اگر شما پورتی را در نظر دارید که نمی خواید بلوک بشه اما میخواهید که نظارت دقیق تری توسط فایروال Outpost بر
روش انجام بشه در آن صورت شما به قسمت Plug-ins رفته و بر روی Attack Detection یک بار کلیک کنید
تا انتخاب شود. بعد از سمت راست بر روی Properties... کلیک کنید در قسمت Vulnerable port بر روی Specify
کلیک کنید و به عکس زیر نگاه کنید و مثل آن عمل کنید.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
به این نکته توجه کنید اگر پورتی را که میخواهید نظارت دقیق تری انجام بشه از پورتهای سیستمتون هست در آن صورت
آن را در قسمت System Port بنویسید. اما اگر پورت مربوط به تروجانی قویی میباشد که از آن برای ورود به سیستم
ها استفاده میکند در آن صورت آن را در قسمت Trojan port بنویسید.
بطور مثال ویروس Blaster از طریق پورت 445 یا همان Microsoft-DS وارد میشود .اگر شما در قسمت Trojan Port همین
پورت را هم به صورت TCP و هم UDP با حساسیت حداقل 8 قرار دهید . در آن صورت به بلاستر یک بای بای بگید.
بقیه تروجانها نیز به همین صورت یعنی کافیه که شما پورت ورود اون تروجان رو بدونید تا اینکه یا از طریق درست کردن
Rule آن پورت را ببندید و یا این روشی که در بالا گفتم کنترل فایروال رو بر اون پورت دقیق تر کنید.
حالا اگر کسی از شما بخواهد که پورتی را کاملا ببندد در آن صورت چی کار باید بکنه...
در این حالت شما از قسمت Option فایروال به قسمت System رفته و در قسمت Global Rules and rawsocket access
بر روی Rules... کلیک کنید و در پنجره ای که جلوتون باز شده بر روی Add کلیک کنید.
حالا من مثلا میخواهم کاری کنم که اگر هر آی پی آدرسی بخواد کوچکترین حرکت ویا کاری بر روی پورت 139 انجام بده
درجا بلوکش کنه و اجازه این کار رو بهش نده. و همچنین به خودم نیز گزارش بده. در این صورت من دستور زیر را انجام میدم.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
خوب تا این جا اگر سوالی داشتید بپرسید.
اگر کسی بخواد واقعا امنینت سیستم خودش رو تا حد نسبتا بالایی حفظ بکنه در آن صورت باید برای تک تک برنامه هایی
که قراره به اینترنت وصل بشن مثل Svchost که تغییر دادیم Rule درست کنه. یعنی برای برنامه مورد نظر باید تعیین
بکنید که اگر خواست مثلا به فلان آدرس وصل بشه اجازه این کار رو داره یا نه. بظور مثال خیلی از سایتهای هک و کرک
تا اینکه واردشون میشی میخوان که از طریق کوکی وارد شده اولش رد شما رو پیدا کنند و بعد از شیوه های دیگه
پورتهای سیستمتون رو سکان کنند تا ببیند که شما چه پورت بازی در سیستمتون دارید. به همین دلیل من پیشنهاد
میکنم که کوکی های خودتون رو ببندید و فقط برای سایتهایی که مطمئن هستید مشکلی ندارند آن را باز بزارید. و دوما
اینکه ارتباط Proxy رو برای همه Bowser های خود ببندید.
برای اینکار در لیست Application بر روی Firefox کلیک راست کنید و Modify Rules را باز کنید.و مانند عکس زیر عمل
کنید. شما این کار را میتوانید با تمام مرورگرهای اینترنتی خود انجام دهید. تا خیالتون از این بابت نیز راحت باشد.
البته کسانی هستند که از ------ استفاده میکنند . در آن صورت شما میتوانید آن مرورگری را که ازش برای ------
دادن استفاده میکنید تغییر نداده و بقیه را بلوک کنید.
البته توضیحات بالا فقط نمونه ای برای انجام دادن دستورات بیشتر بود و این خود شما هستید
که با توجه به نیاز سیستمتون دستورات دیگه ای رو میتونید به این فایروال بدید.
به همین دلیل فعلا تا اینجا کافیه...
موفق باشید.