Winroute.ru

[Ион]

Kerio Personal Firewall. Win 2000. TS,SQL, Usergate
Недавно кто-то подключился ко мне сервер на TCP 1433 на процесс SQL (вот можно почитать[открыть ссылку] ) - враг был отрублен наповал . Начал разбираться подробно , как настроен Firwall (в основном настраивал человек , который был до меня). Так вот , что на мой взгляд интересное обнаружил и что можно улучшить. Было правило , которое запрещало все входящие подключения на системные порты 1-1024. Вот здесь вопрос : почему только на системные ? Ведь оптимальнее , по моему , ПОСЛЕДНИМ правилом запретить ВХОДЯЩИЕ подключения на ВСЕ порты 1-65535 , а если надо какие-то из них открыть , напирмер , чтобы по TS подключаться - то сделать для этого специальное правило, (которое просто ставим ПЕРЕД правилом , запрещающим все входящие подключения) , разрешающее подключение на 3389 с определенного IP (и если еще что-то подобное надо будет разрешить - то с поомощью спец. правил разрешаем). На мой взгляд , такая настройка более разумна и безопасна , чем было до этого. Сделал так позавчера на двух серверах - все работает хорошо , проблем нет. В логах - много обрубленных попыток подключения именно не на ситемные порты , а например на 1026 LSAS.exe и др. - т.е. данная настройка работает и очень , на мой взгляд , полезна. Кстати , если бы так было с самого начала настроено - то враг бы не смог и к SQL подключиться на 1433 порт.
Вопрос : Что в такой настройке может быть плохого/ неудачного (на админском форуме поднял примерно такой вопрос - сначала раздался смех , но по делу так никто ничего и не сказал - почему так может быть плохо никто не знает и реального примера , при каких сервисах или конфигурации сервера это могло бы быть плохо - никто не смог привести) ? Почему предыдущий сисадмин закрыл только 1-1024 ? Хочется разобраться поглубже. Спасибо заранее большое всем откликнувшимся.

[pogan]

Потому что предыдущий сисадмин был дебилом. Или навесил на все порты троянов. Разумеется надо все запретить вообще, а открыть лишь то, что недо.