• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Более детальная настройка файервола Agnitum для достижения максимальной безопасности

yumpa

Участник
Сообщения
41
Реакции
21
0 руб.
Среди разнообразия ПО, нацеленного на защиту, хочу обратить внимания на этот продукт. Он имеет довольно тонкую настройку и при определенных знаниях пользователя способен показать высокий результат в защите как реальных так и виртуальных машин. Программа на первый взгляд довольно сложна. Для каждой программы нужно прописывать правила. Разумеется, есть так называемый режим «автообучения», который по факту разрешает почти любой исходящий трафик для всех программ. С точки зрения безопасности - это безрассудно и требует ручной правки каждого правила.

Рассмотрим главное окно программы

1.png

Полагаю, в этом окне все понятно. Тут отображается весь трафик, генерируемый приложениями.

Рассмотрим важные настройки программы

- Общее.
В этой вкладке можно указать, как будет загружаться файервол и его служба. Также включить или выключить внутреннюю защиту. Защита служит от несанкционированного отключения службы

2.png

- Конфигурация. Здесь можно сохранить конфигурацию и загрузить

3.png

- ImproveNet. Автоматическое создание всех правил. Полезно при первой установке и при перезагрузке, чтобы собрать всю информацию про активность приложений. Но рекомендуется после выключать

4.png

- Правила для приложений. Самая важная настройка, которая охватывает почти всю сетевую активность всей системы

5.png

Цветовая политика тут довольно проста. Красный цвет – полный запрет, зеленый полное разрешение, желтый – согласно правилам. Если нажать на приложения можно редактировать правила для этого приложения. В вкладке «общее» как раз и настраивается цветовая политика, что показана была на предыдущем скриншоте

5.1.png

Вкладка «anti-leak» настраивает политику разрешения либо запрещения взаимодействия приложения с системой

5.2.png

Нужно понять, каким приложениям нужен выход в интернет, а каким нет. Самое главное приложение svchost.exe. Оно выполняет несколько очень важных функций, днс запросы, время и тд. Например, возьмем opendns, чтобы на него перенаправить трафик, нужно в настройке подключения указать айпи 208.67.220.220 и создать соответствующее правило

6.png

Также при использовании vpn этот процесс использует подключение

7.png 8.png

Также можно поставить галочки и указать айпишники сервера vpn. Замыкающим правилом для этого процесса должно быть обязательно

9.png 10.png

Почти для всех приложений по умолчанию ставим

11.png

Рассмотрим более детально правила для тора. Первое правило будет принимать входящие запросы от приложений

12.png

А второе, предавать трафик тора дальше

13.png

- Настройки брандмауэра. Имеет 5 положений. Самым оптимальным является режим обучения. Этот режим будет всегда предупреждать о том, что требуется делать с приложением, когда оно хочет сделать то, чего нету в правилах.

- Сетевые правила. Рассмотрим низкоуровневые правила

14.png

Суть заключается в полном запрете низкоуровневого трафика как входящего, так и исходящего

15.png 16.png

Сеть с 0.0.0.0 (128.0.0.0) до 128.0.0.0(128.0.0.0) означает любой айпи адрес v4, то есть весь интернет. Правила запрета всегда должны быть в самом низу

17.png 18.png
19.png 20.png

Если требуется разрешить низкоуровневый трафик, то необходимо создать правила выше чем блокирующее, например, пропуск трафика через эту машину. Здесь нужно понимать роутинг трафика, а именно то, что принимает трафик один интерфейс, а передает другой. И теперь задача сильно усложняется, ведь для каждого интерфейса требуется свое правило. Рассмотрим простой случай, где у нас один клиент и один виртуальный роутер, на котором стоит этот файервол. Клиент имеет айпи 192.168.2.3, айпи роутера 192.168.2.2 и 10.20.0.1. Например, клиенту нужно синхронизировать время, для этого он отправляет udp запрос на сервер синхронизации через порт 123. Роутер должен принять эти пакеты

21.png

Передать их на другой интерфейс и отправить дальше

22.png

Сервер обрабатывает запрос и делает ответ, нужно правило, что для принятия этих пакетов

23.png

Далее передать на другой интерфейс и отправить обратно клиенту

24.png

Очень сложно понять какие айпи и куда их писать. С этим легко поможет журнал, находится он в вкладке инструменты => просмотр событий

25.png

Подробное описание всех соединений зависит от настройки.

Что же касаемо icmp, то тут снимем все галочки. Если потребуется пингануть какое-то устройство, то следует оставить несколько галочек на эхо запрос и эхо ответ

26.png

Есть еще так называемые глобальные правила, они распространяются сразу на все приложения. Служит это для экономии времени, если необходимо задать определенное правило сразу всем приложениям

27.png

Есть два варианта написания, до основных правил и после.

- Настройки LAN. Тут нужно удалить всю информацию

28.png

- Детектор атак.
На первый взгляд очень важная функция, так и есть, но она будет часто срабатывать. Поэтому ее не стоит использовать в локальной сети

29.png

Если речь идет о роутере, который подключается к модему либо сама машина имеет внешний айпи, то там нужно выкручивать на максимум. И мониторить вкладку «Заблокированные атаки».

- Anti-leak. Просто замечательная опция. Суть заключается в предупреждении пользователя о действии приложения с последующем выбором разрешении либо запрета этого самого действия. Чем выше выкрутить ползунок, тем тщательней будут контролироваться все приложения

30.png 31.png 32.png

Но не стоит новичку выкрутить на максимум сразу ползунок. Это лишь приведет к ошибкам, ведь сам виндовс даже не сможет нормально загрузится. Поэтому сначала следует воспользоваться авто созданием правил и потом включать на максимум anti-leak. После нескольких перезагрузок можно выключить авто создание правил.

- Журнал. Неотъемлемой составляющей любого файервола являются логи

33.png

Не стоит сразу же выкрутить тут все на максимум (лучше оставить по умолчанию), это приведет к нагрузке на виртуальную машину, а именно на диск. Максимальный уровень регистрации допустим на машинах, которые имею внешний айпи адрес.

Вот собственно и вся настройка этого замечательного файервола. Есть еще версия со встроенным антивирусом так называемым «agnitum internet security». Но полагаю, что она не актуальна, ведь базы уже несколько лет как не обновляются.
 
Сверху Снизу