Интересно Более детальная настройка файервола Agnitum для достижения максимальной безопасности

yumpa

Original poster
Member
Сообщения
44
Реакции
41
Посетить сайт
Среди разнообразия ПО, нацеленного на защиту, хочу обратить внимания на этот продукт. Он имеет довольно тонкую настройку и при определенных знаниях пользователя способен показать высокий результат в защите как реальных так и виртуальных машин. Программа на первый взгляд довольно сложна. Для каждой программы нужно прописывать правила. Разумеется, есть так называемый режим «автообучения», который по факту разрешает почти любой исходящий трафик для всех программ. С точки зрения безопасности - это безрассудно и требует ручной правки каждого правила.

Рассмотрим главное окно программы

1.png

Полагаю, в этом окне все понятно. Тут отображается весь трафик, генерируемый приложениями.

Рассмотрим важные настройки программы

- Общее.
В этой вкладке можно указать, как будет загружаться файервол и его служба. Также включить или выключить внутреннюю защиту. Защита служит от несанкционированного отключения службы

2.png

- Конфигурация. Здесь можно сохранить конфигурацию и загрузить

3.png

- ImproveNet. Автоматическое создание всех правил. Полезно при первой установке и при перезагрузке, чтобы собрать всю информацию про активность приложений. Но рекомендуется после выключать

4.png

- Правила для приложений. Самая важная настройка, которая охватывает почти всю сетевую активность всей системы

5.png

Цветовая политика тут довольно проста. Красный цвет – полный запрет, зеленый полное разрешение, желтый – согласно правилам. Если нажать на приложения можно редактировать правила для этого приложения. В вкладке «общее» как раз и настраивается цветовая политика, что показана была на предыдущем скриншоте

5.1.png

Вкладка «anti-leak» настраивает политику разрешения либо запрещения взаимодействия приложения с системой

5.2.png

Нужно понять, каким приложениям нужен выход в интернет, а каким нет. Самое главное приложение svchost.exe. Оно выполняет несколько очень важных функций, днс запросы, время и тд. Например, возьмем opendns, чтобы на него перенаправить трафик, нужно в настройке подключения указать айпи 208.67.220.220 и создать соответствующее правило

6.png

Также при использовании vpn этот процесс использует подключение

7.png 8.png

Также можно поставить галочки и указать айпишники сервера vpn. Замыкающим правилом для этого процесса должно быть обязательно

9.png 10.png

Почти для всех приложений по умолчанию ставим

11.png

Рассмотрим более детально правила для тора. Первое правило будет принимать входящие запросы от приложений

12.png

А второе, предавать трафик тора дальше

13.png

- Настройки брандмауэра. Имеет 5 положений. Самым оптимальным является режим обучения. Этот режим будет всегда предупреждать о том, что требуется делать с приложением, когда оно хочет сделать то, чего нету в правилах.

- Сетевые правила. Рассмотрим низкоуровневые правила

14.png

Суть заключается в полном запрете низкоуровневого трафика как входящего, так и исходящего

15.png 16.png

Сеть с 0.0.0.0 (128.0.0.0) до 128.0.0.0(128.0.0.0) означает любой айпи адрес v4, то есть весь интернет. Правила запрета всегда должны быть в самом низу

17.png 18.png
19.png 20.png

Если требуется разрешить низкоуровневый трафик, то необходимо создать правила выше чем блокирующее, например, пропуск трафика через эту машину. Здесь нужно понимать роутинг трафика, а именно то, что принимает трафик один интерфейс, а передает другой. И теперь задача сильно усложняется, ведь для каждого интерфейса требуется свое правило. Рассмотрим простой случай, где у нас один клиент и один виртуальный роутер, на котором стоит этот файервол. Клиент имеет айпи 192.168.2.3, айпи роутера 192.168.2.2 и 10.20.0.1. Например, клиенту нужно синхронизировать время, для этого он отправляет udp запрос на сервер синхронизации через порт 123. Роутер должен принять эти пакеты

21.png

Передать их на другой интерфейс и отправить дальше

22.png

Сервер обрабатывает запрос и делает ответ, нужно правило, что для принятия этих пакетов

19.png

Далее передать на другой интерфейс и отправить обратно клиенту

24.png

Очень сложно понять какие айпи и куда их писать. С этим легко поможет журнал, находится он в вкладке инструменты => просмотр событий

25.png

Подробное описание всех соединений зависит от настройки.

Что же касаемо icmp, то тут снимем все галочки. Если потребуется пингануть какое-то устройство, то следует оставить несколько галочек на эхо запрос и эхо ответ

26.png

Есть еще так называемые глобальные правила, они распространяются сразу на все приложения. Служит это для экономии времени, если необходимо задать определенное правило сразу всем приложениям

27.png

Есть два варианта написания, до основных правил и после.

- Настройки LAN. Тут нужно удалить всю информацию

28.png
vk.com/id58924119​
 
  • Like
Реакции: Faust_1st и Admin

yumpa

Original poster
Member
Сообщения
44
Реакции
41
Посетить сайт
- Детектор атак. На первый взгляд очень важная функция, так и есть, но она будет часто срабатывать. Поэтому ее не стоит использовать в локальной сети

29.png

Если речь идет о роутере, который подключается к модему либо сама машина имеет внешний айпи, то там нужно выкручивать на максимум. И мониторить вкладку «Заблокированные атаки».

- Anti-leak. Просто замечательная опция. Суть заключается в предупреждении пользователя о действии приложения с последующем выбором разрешении либо запрета этого самого действия. Чем выше выкрутить ползунок, тем тщательней будут контролироваться все приложения

30.png 31.png 32.png

Но не стоит новичку выкрутить на максимум сразу ползунок. Это лишь приведет к ошибкам, ведь сам виндовс даже не сможет нормально загрузится. Поэтому сначала следует воспользоваться авто созданием правил и потом включать на максимум anti-leak. После нескольких перезагрузок можно выключить авто создание правил.

- Журнал. Неотъемлемой составляющей любого файервола являются логи

33.png

Не стоит сразу же выкрутить тут все на максимум (лучше оставить по умолчанию), это приведет к нагрузке на виртуальную машину, а именно на диск. Максимальный уровень регистрации допустим на машинах, которые имею внешний айпи адрес.

Вот собственно и вся настройка этого замечательного файервола. Есть еще версия со встроенным антивирусом так называемым «agnitum internet security». Но полагаю, что она не актуальна, ведь базы уже несколько лет как не обновляются.
vk.com/id58924119​
 
  • Like
Реакции: Faust_1st и Admin
Название темы
Автор Заголовок Раздел Ответы Дата
SMMStats SMMStats.ru - Накрутим везде. Более 2500 SMM услуг по раскрутке. YouTube, TikTok, Instagram, VK, Telegram, Twitter.. Лайки, комментарии, подписчики... Ищу работу. Предлагаю свои услуги. 3
ŘÃϻŻẸŜ Интересно Огромная база для пробива (Более миллиона человек) Анонимность и приватность 3
АнАлЬнАя ЧуПаКаБрА Более 1.5 ГБ Логов Другое 2
T0pDro4eR Более 1200 приватных записей 18+ Полезные статьи 2
Renelio Более 70 полезных инструментов для фронтенд-разработчиков Другие ЯП 0
yumpa Установка и настройка OpenVPN сервера на windows Полезные статьи 2
E Полная настройка Termux Раздача email 0
M Запуск и настройка ngrok Полезные статьи 1
B Установка и настройка Jabber клиента Анонимность и приватность 0
T0pDro4eR [Копипаст] Mirai ботнет (установка-настройка) Раздача dedic/ssh/proxy 2
T0pDro4eR Установка и настройка базовой безопасности TrueCrypt Софт для работы с текстом/Другой софт 0
1 Тонкая настройка Top (выходные ноды) Уязвимости и взлом 1
C Установка и настройка ОС Whonix. Анонимность и приватность 1
S Установка и настройка ОС Whonix Анонимность и приватность 2
mcaff Cythosia v2 настройка и установка Полезные статьи 0

Название темы