Сейчас мы будем лишать девственности Билли возможности утечки нашего трафика на сервера мелкомегких их же оружием.
Всю операцию буду проводить на виртуальной машине, хостовая машина выступит в роли стенда для снифинга и выявление утечки трафика с виртуальной машины.
Запускаем на виртуалке чистую вин 7 или 10.
идем в настройки фаера по пути Панель управления\Система и безопасность\Брандмауэр Windows и приступаем к настройке.
Включаем файрвол если был отключен.
Заходим в свойства, выставляем в вкладках: Профиль домена,Частный профиль,Общий профиль - вход. подключения: Блокировать (по умолчанию)
Исход. подключение: Блокировать
И так во всех 3-х вкладках
Применяем
мы заблокировали абсолютно весь инет трафик
Попробуем запустить браузер и зайти на любую страницу, убедимся что доступ в инет будет закрыт.
Теперь нам нужно решить какие приложения в нашем списке доверенных
мой список короткий
1) Браузер
2) Торернт
3) Месенджер
4) Виртуалбокс
И доступ svhost'y к автоматической коррекции времени на сервер майкрософта.
И так первым делом откроем доступ в инет браузеру:
Жмем в настройках Правила для исходящих соединений > создать правило > для программы > указываем путь до исполняемого файла > разрешить подключение
> Галки оставляем > даем любое имя
Обновляем адрес в браузере получаем доступ
И так с каждой программой которой мы хотим пустить в сеть.
Теперь у нас кроме браузера не один сервис не может вылезти без нашего ведома в инет.
По желанию- разрешим процессу svhost чтобы он мог синхронизироваться с сервером времени.
Добавляем правило и в свойствах настроем следующее пункты:
Путь %SystemRoot%\System32\svchost.exe
Вкладка:Протокол и порты: Тип udp
Cпец порты: 123
Вкладка Область
вносим эти айпишки
216.228.192.69
132.163.96.3
66.199.22.67
Мне хватает этих ip чтобы синхронизировать время, синхронизация идет перебором этих адресов.
Теперь нам нужно убедиться что трафик не пойдет налево, ведь это виндовс он может сам жить своей жизнью. Нужен независимый снифер который будет снифать процесс виртуалки.
Для этого на хостовой машине настроил фильтр захвата трафика только виртуалбокса с сохранением лога каждую секунду.
Перезагрузил виртуалку и стал наблюдать.
После перезагрузки сетевой активности обнаружено не было, зашел на виртуальную систему в браузер и увидел сетевую активность только по тем адресам на которые я попал через браузер.
Закрыл браузер и оставил на сутки под наблюдение.
Вы можете наблюдать месяцами ) я например наблюдаю несколько лет так как у меня есть отдельный стенд под это дело. За два года не было замечено и байта ушедшего дяде Билли.
Какую выгоду мы поимели- Отрезали все шпионские модули, антивирус нам стал ненужен, если даже мы подсадим трой он не достучится, если конечно при запуске вы сами не дадите ему админ прав и он пропишется в правилах.
Файлы подозрительные тестирую на виртуалке если все нормально пересаживать на хостовую.
Обновления на винду раз в полгода скачиваю и ставлю руками.
Что я понял, Винда решето, но в умелых руках и х.. балалайка.
Никогда не доверял антивирусам и файрволам особенно сделанных в России о которых потом пестрят в новостях...
Если моя статейка зайдет следующая будет о том как настроить такую блокировку вместе с впн, что даст нам иммунитет от слива трафика налево при разрыве с впн с помощью штатного файрвола.
Всю операцию буду проводить на виртуальной машине, хостовая машина выступит в роли стенда для снифинга и выявление утечки трафика с виртуальной машины.
Запускаем на виртуалке чистую вин 7 или 10.
идем в настройки фаера по пути Панель управления\Система и безопасность\Брандмауэр Windows и приступаем к настройке.
Включаем файрвол если был отключен.
Заходим в свойства, выставляем в вкладках: Профиль домена,Частный профиль,Общий профиль - вход. подключения: Блокировать (по умолчанию)
Исход. подключение: Блокировать
И так во всех 3-х вкладках
Применяем
мы заблокировали абсолютно весь инет трафик
Попробуем запустить браузер и зайти на любую страницу, убедимся что доступ в инет будет закрыт.
Теперь нам нужно решить какие приложения в нашем списке доверенных
мой список короткий
1) Браузер
2) Торернт
3) Месенджер
4) Виртуалбокс
И доступ svhost'y к автоматической коррекции времени на сервер майкрософта.
И так первым делом откроем доступ в инет браузеру:
Жмем в настройках Правила для исходящих соединений > создать правило > для программы > указываем путь до исполняемого файла > разрешить подключение
> Галки оставляем > даем любое имя
Обновляем адрес в браузере получаем доступ
И так с каждой программой которой мы хотим пустить в сеть.
Теперь у нас кроме браузера не один сервис не может вылезти без нашего ведома в инет.
По желанию- разрешим процессу svhost чтобы он мог синхронизироваться с сервером времени.
Добавляем правило и в свойствах настроем следующее пункты:
Путь %SystemRoot%\System32\svchost.exe
Вкладка:Протокол и порты: Тип udp
Cпец порты: 123
Вкладка Область
вносим эти айпишки
216.228.192.69
132.163.96.3
66.199.22.67
Мне хватает этих ip чтобы синхронизировать время, синхронизация идет перебором этих адресов.
Теперь нам нужно убедиться что трафик не пойдет налево, ведь это виндовс он может сам жить своей жизнью. Нужен независимый снифер который будет снифать процесс виртуалки.
Для этого на хостовой машине настроил фильтр захвата трафика только виртуалбокса с сохранением лога каждую секунду.
Перезагрузил виртуалку и стал наблюдать.
После перезагрузки сетевой активности обнаружено не было, зашел на виртуальную систему в браузер и увидел сетевую активность только по тем адресам на которые я попал через браузер.
Закрыл браузер и оставил на сутки под наблюдение.
Вы можете наблюдать месяцами ) я например наблюдаю несколько лет так как у меня есть отдельный стенд под это дело. За два года не было замечено и байта ушедшего дяде Билли.
Какую выгоду мы поимели- Отрезали все шпионские модули, антивирус нам стал ненужен, если даже мы подсадим трой он не достучится, если конечно при запуске вы сами не дадите ему админ прав и он пропишется в правилах.
Файлы подозрительные тестирую на виртуалке если все нормально пересаживать на хостовую.
Обновления на винду раз в полгода скачиваю и ставлю руками.
Что я понял, Винда решето, но в умелых руках и х.. балалайка.
Никогда не доверял антивирусам и файрволам особенно сделанных в России о которых потом пестрят в новостях...
Если моя статейка зайдет следующая будет о том как настроить такую блокировку вместе с впн, что даст нам иммунитет от слива трафика налево при разрыве с впн с помощью штатного файрвола.
Думаешь, Билли в курсе, что туда понапихали? Зачем оно ему, у него фундаментальный фундик и полный гешефт по жизни, а на подобные процедуры наверняка имеются другие люди. В ссылочках - маны по Windows, правда, древние, но может быть кому-то пригодятся по случаю.