تاپیک اختصاصی فایروال Kerio

[Cracki]

با سلام
دوستان عزيز
من حدود يك هفته غيبت داشتم

در اين يك هفته خيلي بلاها سرم اومد
خواهشا كمك كنيد
--------------------------------------------
با وجود كريو و كسپر ابديت و تنطيم شده
توسط يكي از دوستان روسي هك شدم
جوري ترتيبمو دادكه خودم كف كردم

دو تا از درايوام كلن ارور ميدم و باز نميشن
با ريكاوري هم برنگشتن نميدونم چه كار كرده

تو يكيشون اصلا چيزي نيست تو اون يكي هم
هر چي هست ارور ميده و باز نميشه
--------------------------------------------
هيچگونه پيامي از كريو و كسپر بلند نشده
خواهشا كمك كنيد اطلاعاتمو از دست ندم
--------------------------------------------
هم اكنون نياز مند ياري سبزتان هستيم

بدرود

سلام دوست عزیز.

ابی جان به نظر من هک شدن سیستم هر کسی توسط شخص دیگه ای دلایل زیادی میتونه داشته
باشه و در اینجا فایروال و آنتی ویروس فقط یک قسمت از این دلایل است.

به فرض مثال اگر کسی مسائل امنیتی رو رعایت نکنه و فایلی ناشناخته ای رو از کسی بگیره خوب در آن
صورت فایروال چه کاری میتونه انجام بده.

یا مثلا اگر در سایتی کدهای Java Script و یا از همه خطرناکتر Activex Script قرار داده شده باشه و شما
اینها رو توسط فایرول خود بلوک نکرده باشی خوب معلومه که هر شخص سودجویی میتونه با اجرای یک کد
ساده به سیستم شما نفوذ کنه.

حتی خود سازنده فایروال و یا آنتی ویروسها شما رو تشویق به بستن کدهای اضافه و جلوگیری کردن از اجرای
آنها میکنه ولی متاسفانه خیلی از ما این مسائل رو نادیده گرفته و یا زیاد به آنها اهمیت نمیدهیم از کنارشون عبور
میکنیم و خودمون رو با داشتن فایرولی مثل کریو گول میزنیم.

البته نه اینکه کریو فایروال مناسبی نباشه. اتفاقا خیلی هم خوبه ولی بدون تنظیمات و دستوراتی که باید براش
نوشته بشه به هیچ دردی نمیخوره و به همین دلیله که خیلی از دوستان دیگه ما شاهد بلوک کردن حملاتی توسط
آنتی ویروس کاسپرسکای بودند . این تنظیماتی که من بهش اشاره کردم رو در یک فرصت مناسب دیگه توضیح میدم
اما الان تنها کمکی که میتونیم بهت بکنم اینه که از لحاظ امنیتی چند نکته مهم رو که همیشه باعث هک شدن سیستم
میشه رو میگم.

یکی از مهمترین کارهایی که باید بکنی اینه که NetBios رو در سیستم خودت غیر فعال کنی.
متاسفانه در سیستمهای عامل مایکروسافت همیشه NetBios باز بوده و این شما هستید که باید به صورت دستی
این بخش رو غیر فعال کنید. اگر این قسمت باز باشه طرف فقــــــــط با داشتن IP آدرس شما و یک پورت باز در سیستم
خیلی راحت میتونه وارد بشه و هر کاری که دلش بخواد انجام بده.

برای بستن و از کار انداختن این بخش شما طبق عکسهایی در پایین قرار دادم عمل کنید.یعنی دقیقا به بخشی برید که
در عکس نشان دادم . ولی چون ویندوز من سوئدی هستش بنابراین عبارت انگلیسی آن را نمیتونم بگم ولی با فلش
قرمز رنگ نشون دادم.

به قسمت Network خود رفته و وارد تنظیمات آن شوید و این دو قسمتی رو که در عکس پایین نشون دادم
از تیک در بیارید و بعد مراحل بعدی رو انجام دهید.



بعدا در پنجره باز شده بر روی Advanced کلیک کنید و آن قسمتی رو که اشاره کردم تیک بزنید و بعد همه
پنجره ها رو OK کنید.



اقدام بعدی شما برای بستن راه نفوذ به سیستمتون بستن این پورتهایی است که در پایین اشاره میکنم و شما
این کار رو با فایروال خود باید انجام دهید . یعنی دقیقا باید این پورتها در سیستم شما بسته باشند.

445, 123, 1900,137/139,

هر چند که پورتهای دیگه نیز باید بسته باشند ولی این 4 پورتی رو که در بالا اشاره کردم توسط فایروال کریو بسته
نمیشوند و این شما هستید که شخصا باید برای بستن آنها وارد عمل شوید.

اگر شما وارد آن قسمت از فایروال شوید که پورتهای باز سیستمتون رو نشون میده دقیقا خواهید دید که این پورتها
کاملا باز میباشند. و شما باید با ایجاد کردن Rule برای تک تک پورتها اقدام کنید.

اگر برای بستن پورتهای باز سیستمتون دچار مشکل شدید به این عکس زیر نگاه کنید و دقیقا همین Rule ها رو که
در داخل خط قرمز قرار گرفتند بر روی فایر وال خود ایجاد کنید.



اگر به مشکلی بر خورد کردید بعدا بگید که بیشتر توضیح بدم.

[ebilove]

با سلام

عزيز نميدونم چطور ازتون تشكر كنم
به خاطر اطاعات خوبتون ممنونم
----------------------------------
نظر خودتون رو در مورد اين
pcaudit
كه توسط خودتون معرفي شد رو تا چه حد قبول داريد
منظورم اينه كه تا چه حد در انتخاب وتست فايروال ميتونه كمك كنه

بدرود

[Hossein_Bahal]

ممنون میشم کرک kerio personal firewall نسخه 4.2.2 رو در اختیار من قرار بدید .

[Amir_P30]

اقدام بعدی شما برای بستن راه نفوذ به سیستمتون بستن این پورتهایی است که در پایین اشاره میکنم و شما
این کار رو با فایروال خود باید انجام دهید . یعنی دقیقا باید این پورتها در سیستم شما بسته باشند.

445, 123, 1900,137/139,

هر چند که پورتهای دیگه نیز باید بسته باشند ولی این 4 پورتی رو که در بالا اشاره کردم توسط فایروال کریو بسته
نمیشوند و این شما هستید که شخصا باید برای بستن آنها وارد عمل شوید.

اگر شما وارد آن قسمت از فایروال شوید که پورتهای باز سیستمتون رو نشون میده دقیقا خواهید دید که این پورتها
کاملا باز میباشند. و شما باید با ایجاد کردن Rule برای تک تک پورتها اقدام کنید.

اگر برای بستن پورتهای باز سیستمتون دچار مشکل شدید به این عکس زیر نگاه کنید و دقیقا همین Rule ها رو که
در داخل خط قرمز قرار گرفتند بر روی فایر وال خود ایجاد کنید.



اگر به مشکلی بر خورد کردید بعدا بگید که بیشتر توضیح بدم.

كركي جان اگه ميشه يه مقدار جامع تر در مورد نحوه وارد كردن اين رول ها توضيح بده لطفا (مثال بزن)

از كجا بايد اين پورت ها رو بست؟
توي كريو كه هيچچ جاش شماره پورت رو نمي نويسه

[RONN!E]

اینم از شانس من
یه نفر توی تاپیک معرفی نرم افزارهای معروف لینک دانلود kerio رو داده بودید (باور کنید)
بعد از دانلود 21MB تازه فهمیدم kerio personal firewall نیست وKerio WinRoute Firewall است.
اصلا چرا در مجموعه کوانتوم این فایروال رو نذاشتن
خیلی حالم گرفته شد

[pishy]

كركي جان اگه ميشه يه مقدار جامع تر در مورد نحوه وارد كردن اين رول ها توضيح بده لطفا (مثال بزن)

از كجا بايد اين پورت ها رو بست؟
توي كريو كه هيچچ جاش شماره پورت رو نمي نويسه

اين سئوال تاييد ميشه ... گير كردم يكي بياد كمك!

[ebilove]

سلام
منظور كركي جان اينجاست



روي كليدي كه مشخص شده بزنيد به همون صحفه اي كه كركي گفته ميريد

========ويرايش======

اينم كرك تست شده

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[pishy]

ابی لاو جان ممنون من به قسمتی که فرمودید رفتم فرمانهارو درست یا غلط ایجاد کردم همونطور که این پایین می بینی اما چند تا مشکل هست یکی اینکه از فرمان 4 به بعد دیگر قبول نمی کنه و خطای زیر رو می ده
و ذیگه اینکه فرمانهايي كه port rangeدارن رو باید از قسمت local اضافه کنم؟؟ اگه می شه این قسمت رو برام توضیح بده که عددها رو از کدوم قسمت وارد کنم و چرا پیام خطا داده .... و گزارش پورتهای باز رو در کجای کریو می تونم ببینم ؟ مرسی

[Cracki]

سلام امیر جان و دوستان دیگه .

من الان Outpost pro رو بر روی سیستمم نصب کردم . امشب کریو رو نصب خواهم کرد و بعدا در مورد طرز ایجاد کردن Rule
و بستن پورتها توضیح خواهم داد.

پس فعلا تا بعد ...

[Cracki]

سلام دوستان شرمنده کمی دیر شد.

قبل از اینکه نحوه درست کردن Rule رو در کریو توضیح بدم چند تنظیم مهم رو در کریو میگم که به امنیت بیشتر شما در
اینترنت کمک بسیاری میکنه.

قبلا نحوه غیر فعال کردن NetBios را از طریق خود ویندوز توضیح دادم . اما این کار به تنهایی کافی نبوده و شما باید از
خود فایروال نیز این قسمت را ببندید.
برای بستن این قسمت شما وارد بخش Application در فایروال کریو شوید و مطابق عکس زیر عمل کنید.



دومین قسمتی که شما باید آن را نیز غیر فعال کنید 2 گزینه در بخش Network Security میباشد که برای این کار نیز
دقیقا مانند عکس زیر این 2 قسمت را Deny کنید.



و سومین قسمت و مهمی که باید کمی آن تقییر دهید مربوط به اجرا کردن برنامه ها توسط Svchost.exe است .
در فایروال کریو به Svchost.exe اجازه کامل داده شده که هر فایلی را که بخواهد اجرا کند. خیلی از تروجانها از این
بخش استفاده کرده و از طریق برنامه های دیگه ای که در سیستمتون نصبه اطلاعات فرستاده و یا دریافت میکنند. پس
شما بهتره که فایروال خود را طوری تنظیم کنید که هر وقت برنامه ای خواست از طریق یک برنامه دیگه اجرا شود
فایروال کریو به شما خبر داده و منتظر عکس العمل شما باشد که چه دستوری به آن میدهید.

پس برای این منظور نیز شما اول وارد قسمت Intrusions شوید و بعد در قسمت Enable Application Behavior Blocking
بر روی Advanced کلیک کرده و مطابق عکس زیر Svchost.exe را در حالت Ask که به معنی پرسیدن است قرار دهید.



و اما برای بستن پورتهای باز سیستمتون که با ایجاد کردن Rule انجام میشود چه باید کرد.
برای این منظور اول شما وارد قسمت Application شده و همانطور که یکی از دوستان نیز قبلا اشاره کردند بر روی
Packet Filter کلیک کنید تا پنجره ای مانند عکس زیر براتون باز بشه.



برای ایجاد کردن یک Rule شما باید بر روی Add کلیک کرده تا وارد آن قسمت شوید.
برای بهتر متوجه شدن این بخش من در اینجا یک دستور را مینویسم و بعد با هم میریم و این دستور را در فایروال کریو
ایجاد میکنیم.

Description: Block High Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 5000
Last port number: 65535
Remote Address Type: Any
Port type: Any
Action DENY

این دستوری رو که در بالا میبینید برای بستن پورتهایی است که تروجانهای قوی از طریق آن وارد میشوند.
برای ایجاد کردن این Rule همانطور که در بالا نیز اشره کردم شما بر روی Add کلیک کنید تا پنجره زیر براتون باز بشه.



حالا مطابق عکسی که در بالا میبینید دستوری را که در بالا نوشتم را جاهاشون رو پیدا کنید و در فایروال خود دقیقا
همین کار را انجام دهید.

در قسمت Protocol شما بر روی Add در سمت چپ آن کلیک کنید و یک بار TCP را Add کنید و یک بار هم UDP و مطابق
عکس باید هر دو نوع ارتباط اینترنتی وارد شده باشند.

اگر به دستوری که در بالا نوشتم دقت کنید میبینید که این عبارت نوشته شده ..

First port number: 5000
Last port number: 65535

این دو پورت دقیقا بعد از Local App: Any نوشته شده یعنی مربوط به قسمت Local که کامپیوتر شما باشد است.
برای قرار دادن این پورتها اول در قسمت Local از سمت چپ بر روی Add کلیک کرده و Add Port Range را انتخاب کنید
تا پنجره ای مانند عکس پایین براتون باز بشه . و دقیقا پورت 5000 و پورت 65535 را در جاهایی که نوشتم وارد کنید.



دستور یا فرمان بعدی نوشته شده ...

Remote Address Type: Any
Port type: Any

کلمه Any در عبارت بالا به این منظور است که شما نباید در قسمت Remote Address چیزی را وارد کنید

حالا اگر مانند عکس بالا عمل کنید و مثالی که برای وارد کردن این فرمان در فایروال آوردم عمل کرده باشید در دستورات
بعدی که وارد میکنید دچار مشکل نخواهید شد.

حالا من چندین دستور ایجاد کردن Rule را در پایین مینویسم و شما نیز این Rule ها رو مانند بالا در جاهای خودشون وارد
میکنید . اگر به مشکلی بر خورد کردید عکسی از نوع وارد کردن آن بگیرید تا بهتون بگم که درست وارد کردید یا نه.

بستن NetBios

Rule >> 1

Description: Block Inbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Incoming
Port type: Port/Range
First Port: 137
Last Port: 139
Local App.: Any
Remote Address Type: Any
Port type: Any
Action DENY

=========================================

Rule >>> 2

Description: Block Outbound NetBIOS TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Outgoing
Local Port: Any
Local App.: Any
Remote Address Type: Any
Port type: Port/Range
First Port: 137
Last Port: 139
Action DENY

************************************************** ******

بستن پورت 445 یا همان Microsoft-DS

Description: Microsoft-DS Blocked
Protocol: Any
Direction:incoming
Local Port: 445
Remote Address: Any
Port Type: Any
Action: DENY

************************************************** ******
بستن پورت 1900

Description: Block Port 1900
Application: Any
Protocol: TCP
Direction: incoming
Local Port: 1900
Remote Address: Any
Port Type: Any
Action: DENY

************************************************** *****
بستن پورت 135 که همان epmap نامیده میشود.

Description: epmap Blocked
Protocol: Any
Direction: incoming
Local Port: 135
Remote Address : Any
Port type: Any
Action: DENY

************************************************** *****

High Trojan Port Blocking

Description: Block High Trojan Ports TCP UDP (Notify)
Protocol: TCP and UDP
Direction: Both
Port type: Port/range
Local App.: Any
First port number: 5000
Last port number: 65535
Remote Address Type: Any
Port type: Any
Action DENY

************************************************** ****
کسانی که دنبال دستورات بیشتری برای بالا بردن امنیت سیستم خود میباشند بهشون پیشنهاد میکنم که به انجمن
خود فایروال کریو مراجعه کنند . در آنجا بیشتر در این مورد توضیح داده شده. البته اگر به مشکل خاصی برخورد کردید
میتونید بپرسید که من نیز در فرصت مناسب بتونم کمکی کرده باشم.

Kerio Forums

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

امیدوارم که این توضیحات بدردتون خورده باشه .
موفق باشید.