Ликбез

Структура стека TCP/IP. Краткая характеристика протоколов

Так как стек TCP/IP был разработан до появления модели взаимодействия открытых систем ISO/OSI, то, хотя он также имеет многоуровневую структуру, соответствие уровней стека TCP/IP уровням модели OSI достаточно условно.

Структура протоколов TCP/IP приведена на рисунке 1. Протоколы TCP/IP делятся на 4 уровня.

Рис. 1. Стек TCP/IP

Самый нижний (уровень IV) соответствует физическому и канальному уровням модели OSI. Этот уровень в протоколах TCP/IP не регламентируется, но поддерживает все популярные стандарты физического и канального уровня: для локальных сетей это Ethernet, Token Ring, FDDI, Fast Ethernet, 100VG-AnyLAN, для глобальных сетей - протоколы соединений "точка-точка" SLIP и PPP, протоколы территориальных сетей с коммутацией пакетов X.25, frame relay. Разработана также специальная спецификация, определяющая использование технологии ATM в качестве транспорта канального уровня. Обычно при появлении новой технологии локальных или глобальных сетей она быстро включается в стек TCP/IP за счет разработки соответствующего RFC, определяющего метод инкапсуляции пакетов IP в ее кадры.

Следующий уровень (уровень III) - это уровень межсетевого взаимодействия, который занимается передачей пакетов с использованием различных транспортных технологий локальных сетей, территориальных сетей, линий специальной связи и т. п.

В качестве основного протокола сетевого уровня (в терминах модели OSI) в стеке используется протокол IP, который изначально проектировался как протокол передачи пакетов в составных сетях, состоящих из большого количества локальных сетей, объединенных как локальными, так и глобальными связями. Поэтому протокол IP хорошо работает в сетях со сложной топологией, рационально используя наличие в них подсистем и экономно расходуя пропускную способность низкоскоростных линий связи. Протокол IP является дейтаграммным протоколом, то есть он не гарантирует доставку пакетов до узла назначения, но старается это сделать.

К уровню межсетевого взаимодействия относятся и все протоколы, связанные с составлением и модификацией таблиц маршрутизации, такие как протоколы сбора маршрутной информации RIP (Routing Internet Protocol) и OSPF (Open Shortest Path First), а также протокол межсетевых управляющих сообщений ICMP (Internet Control Message Protocol). Последний протокол предназначен для обмена информацией об ошибках между маршрутизаторами сети и узлом - источником пакета. С помощью специальных пакетов ICMP сообщается о невозможности доставки пакета, о превышении времени жизни или продолжительности сборки пакета из фрагментов, об аномальных величинах параметров, об изменении маршрута пересылки и типа обслуживания, о состоянии системы и т.п.

Следующий уровень (уровень II) называется основным. На этом уровне функционируют протокол управления передачей TCP (Transmission Control Protocol) и протокол дейтаграмм пользователя UDP (User Datagram Protocol). Протокол TCP обеспечивает надежную передачу сообщений между удаленными прикладными процессами за счет образования виртуальных соединений. Протокол UDP обеспечивает передачу прикладных пакетов дейтаграммным способом, как и IP, и выполняет только функции связующего звена между сетевым протоколом и многочисленными прикладными процессами.

Верхний уровень (уровень I) называется прикладным. За долгие годы использования в сетях различных стран и организаций стек TCP/IP накопил большое количество протоколов и сервисов прикладного уровня. К ним относятся такие широко используемые протоколы, как протокол копирования файлов FTP, протокол эмуляции терминала telnet, почтовый протокол SMTP, используемый в электронной почте сети Internet, гипертекстовые сервисы доступа к удаленной информации, такие как WWW и многие другие. Остановимся несколько подробнее на некоторых из них.

Адресация в IP-сетях
Типы адресов: физический (MAC-адрес), сетевой (IP-адрес) и символьный (DNS-имя)

Каждый компьютер в сети TCP/IP имеет адреса трех уровней:

• Локальный адрес узла, определяемый технологией, с помощью которой построена отдельная сеть, в которую входит данный узел. Для узлов, входящих в локальные сети - это МАС-адрес сетевого адаптера или порта маршрутизатора, например, 11-А0-17-3D-BC-01. Эти адреса назначаются производителями оборудования и являются уникальными адресами, так как управляются централизовано. Для всех существующих технологий локальных сетей МАС-адрес имеет формат 6 байтов: старшие 3 байта - идентификатор фирмы производителя, а младшие 3 байта назначаются уникальным образом самим производителем. Для узлов, входящих в глобальные сети, такие как Х.25 или frame relay, локальный адрес назначается администратором глобальной сети.

• IP-адрес, состоящий из 4 байт, например, 109.26.17.100. Этот адрес используется на сетевом уровне. Он назначается администратором во время конфигурирования компьютеров и маршрутизаторов. IP-адрес состоит из двух частей: номера сети и номера узла. Номер сети может быть выбран администратором произвольно, либо назначен по рекомендации специального подразделения Internet (Network Information Center, NIC), если сеть должна работать как составная часть Internet. Обычно провайдеры услуг Internet получают диапазоны адресов у подразделений NIC, а затем распределяют их между своими абонентами.

Номер узла в протоколе IP назначается независимо от локального адреса узла. Деление IP-адреса на поле номера сети и номера узла - гибкое, и граница между этими полями может устанавливаться весьма произвольно. Узел может входить в несколько IP-сетей. В этом случае узел должен иметь несколько IP-адресов, по числу сетевых связей. Таким образом IP-адрес характеризует не отдельный компьютер или маршрутизатор, а одно сетевое соединение.

• Символьный идентификатор-имя, например, SERV1.IBM.COM. Этот адрес назначается администратором и состоит из нескольких частей, например, имени машины, имени организации, имени домена. Такой адрес, называемый также DNS-именем, используется на прикладном уровне, например, в протоколах FTP или telnet.

Порты

Пакеты, поступающие на транспортный уровень, организуются операционной системой в виде множества очередей к точкам входа различных прикладных процессов. В терминологии TCP/IP такие системные очереди называются портами. Таким образом, адресом назначения, который используется на транспортном уровне, является идентификатор (номер) порта прикладного сервиса. Номер порта, задаваемый транспортным уровнем, в совокупности с номером сети и номером компьютера, задаваемыми сетевым уровнем, однозначно определяют прикладной процесс в сети.

Назначение номеров портов прикладным процессам осуществляется либо централизовано, если эти процессы представляют собой популярные общедоступные сервисы, типа сервиса удаленного доступа к файлам TFTP (Trivial FTP) или сервиса удаленного управления telnet, либо локально для тех сервисов, которые еще не стали столь распространенными, чтобы за ними закреплять стандартные (зарезервированные) номера.

Порты и установление TCP-соединений

В протоколе TCP также, как и в UDP, для связи с прикладными процессами используются порты. Номера портам присваиваются аналогичным образом: имеются стандартные, зарезервированные номера (например, номер 21 закреплен за сервисом FTP, 23 - за telnet), а менее известные приложения пользуются произвольно выбранными локальными номерами.

Однако в протоколе TCP порты используются несколько иным способом. Для организации надежной передачи данных предусматривается установление логического соединения между двумя прикладными процессами. В рамках соединения осуществляется обязательное подтверждение правильности приема для всех переданных сообщений, и при необходимости выполняется повторная передача. Соединение в TCP позволяет вести передачу данных одновременно в обе стороны, то есть полнодуплексную передачу.

Соединение в протоколе TCP идентифицируется парой полных адресов обоих взаимодействующих процессов (оконечных точек). Адрес каждой из оконечных точек включает IP-адрес (номер сети и номер компьютера) и номер порта. Одна оконечная точка может участвовать в нескольких соединениях.

Установление соединения выполняется в следующей последовательности:

• При установлении соединения одна из сторон является инициатором. Она посылает запрос к протоколу TCP на открытие порта для передачи (active open).

• После открытия порта протокол TCP на стороне процесса-инициатора посылает запрос процессу, с которым требуется установить соединение.

• Протокол TCP на приемной стороне открывает порт для приема данных (passive open) и возвращает квитанцию, подтверждающую прием запроса.

• Для того чтобы передача могла вестись в обе стороны, протокол на приемной стороне также открывает порт для передачи (active port) и также передает запрос к противоположной стороне.

• Сторона-инициатор открывает порт для приема и возвращает квитанцию. Соединение считается установленным. Далее происходит обмен данными в рамках данного соединения.

Формат сообщений TCP

Сообщения протокола TCP называются сегментами и состоят из заголовка и блока данных. Заголовок сегмента имеет следующие поля: Порт источника (SOURS PORT) занимает 2 байта, идентифицирует процесс-отправитель; Порт назначения (DESTINATION PORT) занимает 2 байта, идентифицирует процесс-получатель; Последовательный номер (SEQUENCE NUMBER) занимает 4 байта, указывает номер байта, который определяет смещение сегмента относительно потока отправляемых данных; Подтвержденный номер (ACKNOWLEDGEMENT NUMBER) занимает 4 байта, содержит максимальный номер байта в полученном сегменте, увеличенный на единицу; именно это значение используется в качестве квитанции; Длина заголовка (HLEN) занимает 4 бита, указывает длину заголовка сегмента TCP, измеренную в 32-битовых словах. Длина заголовка не фиксирована и может изменяться в зависимости от значений, устанавливаемых в поле Опции; Резерв (RESERVED) занимает 6 битов, поле зарезервировано для последующего использования; Кодовые биты (CODE BITS) занимают 6 битов, содержат служебную информацию о типе данного сегмента, задаваемую установкой в единицу соответствующих бит этого поля: URG - срочное сообщение; ACK - квитанция на принятый сегмент; PSH - запрос на отправку сообщения без ожидания заполнения буфера; RST - запрос на восстановление соединения; SYN - сообщение используемое для синхронизации счетчиков переданных данных при установлении соединения; FIN - признак достижения передающей стороной последнего байта в потоке передаваемых данных. Окно (WINDOW) занимает 2 байта, содержит объявляемое значение размера окна в байтах; Контрольная сумма (CHECKSUM) занимает 2 байта, рассчитывается по сегменту; Указатель срочности (URGENT POINTER) занимает 2 байта, используется совместно с кодовым битом URG, указывает на конец данных, которые необходимо срочно принять, несмотря на переполнение буфера; Опции (OPTIONS) - это поле имеет переменную длину и может вообще отсутствовать, максимальная величина поля 3 байта; используется для решения вспомогательных задач, например, при выборе максимального размера сегмента; Заполнитель (PADDING) может иметь переменную длину, представляет собой фиктивное поле, используемое для доведения размера заголовка до целого числа 32-битовых слов.

Порты TCP/IP подразделяются на следующие три группы:

• Известные порты. Их номера лежат в диапазоне от 0 до 1023, включительно.

• Зарегистрированные порты. Они находятся в диапазоне от 1024 до 49151, включительно.

• Динамические и/или частные порты. Их диапазон от 49152 до 65535, включительно.

Сокеты (ws2_32.dll, msafd.dll, wshtcpip.dll, winsock.dll и т.п.)

TCP/IP соединение устанавливается между двумя сокетами. Сокет вызывающей стороны (клиента) имеет, как правило, номер порта больший 1023, т.е. в диапазоне, не зарезервированном для системного применения или использования большинством хорошо известных сервисов. Номера портов клиентов динамически выделяются системой из свободного пространства при запуске клиента (1024-5000)

Порты с 0 по 1023

0	TCP и UDP		Reserved
1	TCP и UDP	tcpmux	TCP Port Service Multiplexer
7	TCP и UDP	echo	Echo (MS: Простые службы TCP/IP (SimpTcp))
9	TCP и UDP	discard	Discard (MS: Простые службы TCP/IP (SimpTcp))
13	TCP и UDP	daytime	Daytime (RFC 867) (MS: Простые службы TCP/IP (SimpTcp))
17	TCP и UDP	qotd	Quote of the Day (MS: Простые службы TCP/IP (SimpTcp))
19	TCP и UDP	chargen	Character Generator (MS: Простые службы TCP/IP (SimpTcp))
20	TCP и UDP	ftp-data	File Transfer [Default Data] (MS: Служба публикации FTP (MSFtpsvc))
21	TCP и UDP	ftp	File Transfer [Control] (MS: Служба публикации FTP (MSFtpsvc), Служба шлюза уровня приложения (ALG))
22	TCP и UDP	ssh	SSH Remote Login Protocol
23	TCP и UDP	telnet	Telnet (MS: Telnet (TlntSvr))
25	TCP и UDP	smtp	Simple Mail Transfer (MS: Протокол Simple Mail Transfer Protocol (SMTPSVC), Exchange Server)
42	TCP и UDP	nameserver	Host Name Server (MS: Репликация WINS, Служба Windows Internet Name Service (WINS))
43	TCP и UDP	nicname	Who Is
53	TCP и UDP	domain	Domain Name Server (MS: DNS-сервер (DNS), Общий доступ к подключению Интернета/брандмауэр подключения к Интернету (SharedAccess))
63	TCP и UDP	whois++	whois++
66	TCP и UDP	sql*net	Oracle SQL*NET
67	TCP и UDP	bootps	Bootstrap Protocol Server (MS (только UDP): DHCP-сервер (DHCPServer), Общий доступ к подключению Интернета/брандмауэр подключения к Интернету (SharedAccess))
68	TCP и UDP	bootpc	Bootstrap Protocol Client
69	TCP и UDP	tftp	Trivial File Transfer (MS (только UDP): Служба упрощенного FTP-демона (tftpd))
79	TCP и UDP	finger	Finger
80	TCP и UDP	www-http	World Wide Web HTTP (MS (только TCP): Службы Windows Media (WMServer), Служба World Wide Web Publishing (W3SVC), SharePoint Portal Server)
88	TCP и UDP	kerberos	Kerberos (MS: Центр распространения ключей Kerberos (Kdc))
92	TCP и UDP	npp	Network Printing Protocol
110	TCP и UDP	pop3	Post Office Protocol - Version 3 (MS: Служба Microsoft POP3 (POP3SVC), Exchange Server)
119	TCP и UDP	nntp	Network News Transfer Protocol
123	TCP и UDP	ntp	Network Time Protocol (MS (только UDP): Служба времени Windows (W32Time))
135	TCP и UDP	epmap	DCE endpoint resolution (MS (только TCP): Очередь сообщений (msmq), Удаленный вызов процедур (RpcSs), Exchange Server, Службы сертификации (CertSvc), Служба кластера (ClusSvc), Распределенная файловая система (DFS), Отслеживание изменившихся связей (TrkSvr), Координатор распределенных транзакций (MSDTC), Журнал событий (Eventlog), Служба факсов (Fax), Репликация файлов (NtFrs), Локальный администратор безопасности (LSASS), Уведомления внешнего хранилища (Remote_Storage_User_Link), Сервер внешнего хранилища (Remote_Storage_Server), Systems Management Server 2.0, Лицензирование служб терминалов (TermServLicensing), Каталог сеанса служб терминалов (Tssdis))
137	TCP и UDP	netbios-ns	NETBIOS Name Service (MS (только UDP): Обозреватель компьютеров (Browser), Сервер (lanmanserver), Служба Windows Internet Name Service (WINS), Net Logon (Netlogon), Systems Management Server 2.0)
138	TCP и UDP	netbios-dgm	NETBIOS Datagram Service (MS (только UDP): Обозреватель компьютеров (Browser), Служба сообщений (Messenger), Сервер (lanmanserver), Net Logon (Netlogon), Распределенная файловая система (Dfs), Systems Management Server 2.0, Служба учета лицензий (LicenseService))
139	TCP и UDP	netbios-ssn	NETBIOS Session Service (MS (только TCP): Обозреватель компьютеров (Browser), Служба факсов (Fax), Журналы и оповещения производительности (SysmonLog), Диспетчер очереди печати (Spooler), Сервер (lanmanserver), Net Logon (Netlogon), Локатор удаленного вызова процедур (RpcLocator), Распределенная файловая система (Dfs), Systems Management Server 2.0, Служба учета лицензий (LicenseService))
152	TCP и UDP	bftp	Background File Transfer Program
156	TCP и UDP	sqlsrv	SQL Service
161	TCP и UDP	snmp	SNMP (MS: Служба SNMP (SNMP))
162	TCP и UDP	snmptrap	SNMPTRAP (MS: Служба ловушек SNMP (SNMPTRAP))
177	TCP и UDP	xdmcp	X Display Manager Control Protocol
220	TCP и UDP	imap3	Interactive Mail Access Protocol v3
221	TCP и UDP	fln-spx	Berkeley rlogind with SPX auth
222	TCP и UDP	rsh-spx	Berkeley rshd with SPX auth
366	TCP и UDP	odmr	ODMR
389	TCP и UDP	ldap	Lightweight Directory Access Protocol (MS: Локальный администратор безопасности (LSASS), Распределенная файловая система (Dfs))
443	TCP и UDP	https	http protocol over TLS/SSL (MS: HTTP SSL (HTTPFilter), Служба World Wide Web Publishing (W3SVC), SharePoint Portal Server)
444	TCP и UDP	snpp	Simple Network Paging Protocol
445	TCP и UDP	microsoft-ds	Microsoft-DS (MS: Служба факсов (Fax), Диспетчер очереди печати (Spooler), Сервер (lanmanserver), Локатор удаленного вызова процедур (RpcLocator), Распределенная файловая система (Dfs), Служба учета лицензий (LicenseService), Net Logon (Netlogon))
500	TCP и UDP	isakmp	isakmp (MS: Локальный администратор безопасности (LSASS))
514	TCP и UDP	shell	cmd
515	TCP и UDP	printer	spooler (MS: Сервер печати TCP/IP (LPDSVC))
520	TCP	efs	extended file name server
524	TCP и UDP	ncp	NCP
525	TCP и UDP	timed	timeserver
529	TCP и UDP	irc-serv	IRC-SERV
537	TCP и UDP	nmsp	Networked Media Streaming Protocol
546	TCP и UDP	dhcpv6-client	DHCPv6 Client
547	TCP и UDP	dhcpv6-server	DHCPv6 Server
554	TCP и UDP	rtsp	Real Time Stream Control Protocol (MS: Службы Windows Media (WMServer))
556	TCP и UDP	remotefs	rfs server
563	TCP и UDP	nntps	nntp protocol over TLS/SSL (was snntp) (MS: Протокол Network News Transfer Protocol (NntpSvc))
591	TCP и UDP	http-alt	FileMaker, Inc. - HTTP Alternate (see Port 80)
593	TCP и UDP	http-rpc-epmap	HTTP RPC Ep Map (MS: Удаленный вызов процедур (RpcSs), Exchange Server)
631	TCP и UDP	ipp	IPP (Internet Printing Protocol)
636	TCP и UDP	ldaps	ldap protocol over TLS/SSL (was sldap) (MS: Локальный администратор безопасности (LSASS))
639	TCP и UDP	msdp	MSDP
646	TCP и UDP	ldp	LDP
647	TCP и UDP	dhcp-failover	DHCP Failover
648	TCP и UDP	rrp	Registry Registrar Protocol (RRP)
666	TCP и UDP	doom	doom Id Software ))))))))
691	TCP и UDP	msexch-routing	MS Exchange Routing
749	TCP и UDP	kerberos-adm	kerberos administration
750	UDP	kerberos-iv	kerberos version iv
847	TCP и UDP	dhcp-failover2	dhcp-failover 2
888	TCP	cddbp	CD Database Protocol
989	TCP и UDP	ftps-data	ftp protocol, data, over TLS/SSL
990	TCP и UDP	ftps	ftp protocol, control, over TLS/SSL
992	TCP и UDP	telnets	telnet protocol over TLS/SSL
993	TCP и UDP	imaps	imap4 protocol over TLS/SSL (MS: Exchange Server)
994	TCP и UDP	ircs	irc protocol over TLS/SSL
995	TCP и UDP	pop3s	pop3 protocol over TLS/SSL (was spop3) (MS: Exchange Server)

Остальные порты можно найти тут: http://www.windowsfaq.ru/articles/help/ports/part1.html

Технологии фильтрации сетевого трафика в OS семейства Windows:

Технологии фильтрации сетевого трафика в пользовательском режиме:

1) Winsock Layered Service Provider (LSP). Этот метод прекрасно документирован в MSDN и сопровождается неплохим примером (SPI.CPP). К преимуществам стоит отнести то, что позволяет отследить процесс сделавший вызов к библиотеке Windows Sockets. Может быть использовано для решения таких задач как QOS (Quality Of Service), шифрование потоков данных и т.п. Однако не стоит забывать, что TCPIP.SYS может быть вызван, минуя Windows Sockets через TDI (так что метод фактически бесполезен для защиты от вирусов и тому подобного). Так же этот метод абсолютно бесполезен для фильтрации пакетов на маршрутизаторе, так как маршрутизация пакетов осуществляется драйвером протокола TCP/IP (TCPIP.SYS) и не доходит до сокетов. Правда сразу же хочется отметить, что в некоторых случаях она может не доходить и до TCPIP.SYS (подробнее в DDK по ключевому слову FFP).

2) Windows 2000 Packet Filtering Interface. Windows 2000 предоставляет механизм, который позволяет приложению установить набор “filter descriptors”, на основе которых TCP/IP выполняет фильтрацию пакетов. Однако правила фильтрации сильно ограничены (pass/drop на основе IP адресов и портов(диапазонов портов)), и как следует из названия этот способ применим только для Windows 2000 и выше.

3) Подмена Winsock DLL. Этот метод упомянут главным образом в силу исторических причин. Использовать его в настоящее время конечно возможно, но пожалуй неразумно.

4) Глобальный hook всех потенциально опасных функций. В принципе реализуемо, но эта тема затрагивает очень широкий круг вопросов связанных с безопасностью и стабильностью системы.

Технологии фильтрации сетевого трафика в режиме ядра:

1) Kernel-mode sockets filter. Эта технология применима для Windows NT/2000. Основана на перехвате всех вызовов из msafd.dll (самая низкоуровневая user-mode DLL из состава Windows Sockets) к модулю ядра afd.sys (TDI-клиент, kernel-mode часть Windows Sockets). Этот метод заслуживает внимания, но его возможности не намного шире, чем у LSP.

2) TDI-filter. Технология применима как в Windows 9x/ME так и в Windows NT/2000, хотя конкретные реализации сильно отличаются. Пример кода для Windows 9x можно найти в составе примеров к Vireo/Numega VtoolsD. Что касается Windows NT/2000, то в случае TCP/IP фильтрации необходимо перехватывать (используя IoAttachDevice) все вызовы, направленные устройствам (devices) созданным модулем tcpip.sys (\Device\RawIp, \Device\Udp, \Device\Tcp). Однако, как и все вышеперечисленные методы, она подходит только для создания продуктов класса personal firewall, что все-таки является существенным ограничением.

3) NDIS Intermediate Driver. Microsoft предусмотрела этот класс драйверов как раз для нужд подобных нашим, однако их функциональность в операционных системах Windows 98/ME/NT оставляет желать лучшего, а в Windows 95 отсутствует вовсе. В частности они очень неудобны в инсталляции и ля конечного пользователя. Желающие могут изучить NDIS IM FAQ, а так же документацию в DDK.

4) Windows 2000 Filter-Hook Driver. Метод достаточно подробно описан в документации DDK и применим только в Windows 2000 и выше.

5) NDIS Hooking Filter Driver. В кратце методика сводиться к перехвату некоторого подмножества функций NDIS библиотеки, которые в дальнейшем позволяют отследить регистрацию всех протоколов установленных в операционной системе и открытие ими сетевых интерфейсов. Среди преимуществ данного подхода стоит упомянуть легкость инсталляции и прозрачную поддержку Dial-Up интерфейсов, которые в случае intermediate драйвера требуют дополнительных ухищрений.

Собственно фаер (firewall, брандмауэр и т.д.)

Не нарушая общности, предположим что мы используем Agnitum Outpost Firewall.

Что это нам дает?

1. Есть режим "невидимость", и он включен по умолчанию;

2. Экспериментально проверена стабильная работа этого Firewall под SP1 и SP2;

3. Есть автопоиск подсетей - по крайней мере уверенно находится "домашняя" подсеть

4. Настройки объединяются в конфигурации, которые можно сохранять на диске - таким образом можно сделать несколько разных конфигураций и загружать их по мере необходимости

5. Русифицированный интерфейс, ориентированный на пользователя. Интерфейс достаточно хорошо продуман, все понятно с первого взгляда;

6. Встроенный детектор атак. Обнаруживает простые атаки типа сканирования портов, тесты IDS это подтвердили - по крайне мере, сканирование портов он ловит отлично;

7. Показывает список приложений, прослушивающих порты TCP и UDP (с указанием списка портов по каждому приложению и информации о моменте начала прослушивания - полезно для отлова троянских программ и шпионского ПО);

8. Режим обучения удобен для обнаружения троянских программ и визуальной настройки правил - он реализован типовым образом и основан на запросе допустимости операции, производимой приложением. Кроме того, в описании заявлено, что есть защита от внедрения постороннего кода в доверенный процесс;

9. В правилах можно указывать не только имя программы, но и ее параметры - это в ряде случаев полезно;

10. В комплекте содержит ряд плагинов (IDS, средства борьбы с рекламой и т.п.)

11. При удалении процесса outpost.exe происходит блокировка обмена с сетью - это полезная возможность

12. Есть опция слежения за библиотеками процесса - к примеру, при появлении нового BHO в IE выводится сообщение о том, что у процесса IE изменился состав используемых им библиотек;

13. Продуманный просмотрщик протоколов (работает в реальном времени, данные достаточно логично сгруппированы

14. Есть особые настройки для RAW Socket - можно указать, каким приложениям можно их использовать

Но это все реклама.

Теперь о настройках. При установке на вопрос задать изначальные правила посылаем его подальше.

1. Ставим аутпост в режим блокировки (параметры -> политики->блокировать)

2. Настраиваем подсеть (параметры -> системные->настройки сети).Лично я «доверяю» только localhost :-).

3. Настраиваем ICMP (пинги, трейсроуты и т.п.) (параметры -> системные->ICMP). Рекомендую все выключить.

4. Настраиваем режим работы (параметры -> системные->режим работы). Ставим в «режим невидимости».

5. Настраиваем общие правила. (параметры -> системные-> общие правила). Пример:

(Приоритет правил снизу вверх, т.е., нижние перекрываются верхними)

5.1 3 Самых главных рули:

Где протокол Неизвестный протокол
Блокировать эти данные

Где протокол TCP
и где направление Не определено // можно отдельно входящее и исходящее
Блокировать эти данные

Где протокол UDP
и где направление Не определено // можно отдельно входящее и исходящее
Блокировать эти данные

2. Разрешаем ходить на хостел ВСЕМ приложениям (для детальной настройки по приложениям это правило НЕ НАДО засовывать в общие правила!!! Его надо прописывать в параметры->приложения !!!! ):

Где протокол TCP
и где направление Исходящее
и где удаленный адрес hostel.nstu.ru //это если только на хостел
и где удаленный порт HTTP,HTTPS //мало ли, вдруг ssl поднимут?
Разрешить эти данные

5.3. Разрешаем ICQ для приложения Miranda IM:

параметры->приложения->Пользовательский уровень, жмем кнопку «добавить».

Выбираем c:\miranda\miranda32.exe. Появляется окно с правилами. Жмем «создать» и вбиваем:

Где протокол TCP
и где направление Исходящее
и где удаленный порт 5190 //ну-или-что-у-вас-там
Разрешить эти данные

6. Контроль компонентов настраивайте сами, но помните, что если что-то поменяется, то приложению доступа к сети не будет (дома у меня стоит Disabled {параметры->приложения->Компоненты}., на работе -- Enabled)

7. Можно включить DNS-кэш (Параметры –> подключаемые модули-> DNS). В его параметрах рекомендую задать кэш на 300 записей и устаревание записей на неделю.

Если дополнительно включить «Проверять и блокировать неверные DNS-запросы», то некоторые кряк-хак-варез сайты загружаться перестанут :-)

8. Выключаем обновления (если программа не купленная) и новости.

9. Сохраняем конфигурацию

Как считать трафик?

Программой Tmeter. Все очень легко настраивается.

(Набор фильтров->редактировать). Трафик можно объединять в группы, например:

Почта, а в нем smtp и pop3

Инет, а в нем http, https, ftp и т.д и т.п…

Только помните, что надо ставить в «активный режим» тот адаптер, с которого будет сниматься трафик (Разное-> сетевые интерфейсы). При этом, если на вашей машине поднят NAT (включая сюда «общий доступ к подключению»), то будет считаться ТОЛЬКО ТРАФИК НА ВАШУ МАШИНУ, сеть «за ней» участвовать в подсчете не будет!!!

Можно еще снимать статистику программным комплексом MRTG (что я и делаю) {people.ee.ethz.ch/~oetiker/webtools/mrtg/}, но для этого надо немножко знать перл и иметь его {www.activestate.com} у себя на машине.

(c) Leon