статьи

Бесплатный фаерволл-ловушка APS – установка, настройка, использование

Доброго времени суток дорогие читатели. Наконец-то я сел продолжить статью про APS (которую многие так долго и упорно требовали по средством формы обратной связи ;) ) и готов представить её Вам.

защита от взлома

Для тех кто еще не знает что за APS такое и с чем его едят настоятельно рекомендую ознакомиться с первой статьей под названием "Защита портов" ибо не ознакомившись с оной Вы рискуете не понять о чем пойдет речь т.к. в данном материале предполагается, что Вы уже установили программу, представляете зачем она нужна, имеете фаервол и готовы заняться непосредственной её настройкой, а так же вниканием в суть и принципы работы.
Собственно, поехали.

Настройка APS для Вашей безопасности

В первую очередь программу надо настроить. Жмем "Сервис" - "Настройка" и, собственно, приступаем.

Переходим в "Общие" - "Интерфейс". Устанавливаем там всё по Вашему вкусу или в соответствии со скриншотом ниже (увеличение по клику).

Идем дальше.

Если Вы обычный пользователь, то, думаю, Вам не нужны никакие оповещения по сети\email или запись в syslog, а посему снимите галочки в соответствующих пунктах в разделе настроек "Оповещение". Тоже самое касается отчетов в разделе настроек "Отчеты" и протоколирования в разделе - кто бы мог подумать :) - "Протоколирование".

Теперь переходим к настройкам имитации сервисов, но перед этим небольшой вагончик полезной теории, касающейся принципов работы.

Теория и принципы работы APS

В главном окне программы есть такая вот табличка:

Что это за табличка?  Это список портов и названия вредоносного (не везде, но в большинстве своём) обеспечения (база данных). APS же в свою очередь наблюдает за портами и следит есть ли конкретная гадость использующая конкретный порт или не атакуется ли какой-нибудь порт (например, наиболее любимый хакерами 21-ый порт FTP-сервера) каким-нибудь гадким хакером Пупкиным. Проще говоря, принцип работы программы основан на прослушивании этих самых портов, описанных в базе данных. База данных содержит краткое описание каждого порта - краткие описания содержат или названия использующих порт вирусов, или название стандартного сервиса, которому этот порт соответствует. При обнаружении попытки подключения к прослушиваемому порту программа фиксирует факт подключения в протоколе, анализирует полученные после подключения данные и для некоторых сервисов передает так называемый баннер - некоторый набор текстовых или бинарных данных, передаваемых реальным сервисом после подключения, т.е. симулирует отклик и таким образом защищает Ваш компьютер и реальной атаки не получается. На имитации остановимся подробнее.

Группа параметров "Имитация сервисов" содержит настройки - чего бы Вы думали? :) , правильно, -  системы имитации сервисов. Система имитации может быть выключена (по умолчанию частично оно так и есть) и в этом случае APS не производит активного взаимодействия с атакующим и немедленно разрывает соединение с ним. При включении системы имитации APS может передавать атакующему описанные в базе портов блоки данных, которые содержат типовые отклики имитируемых сервисов (т.е., скажем, кто-то пытается пробиться на FTP-сервер на 21-ом порту, программа это видит и выходит на связь, передавая отклик аля "я вот FTP-сервер, да, я тут, я работаю, на те Вам отклик", а в этот момент реальный FTP радуется своей жизни). Кроме того, можно включить и настроить режим передачи случайных данных - наличие в ответе APS случайной информации вводит в заблуждение сканеры сетевой безопасности, затрудняет и замедляет их работу. Кроме того, в настройках имитации сервисов TCP можно настроить режим удержания соединения - по умолчанию соединение разрывается сразу после завершения обмена с атакующим, но оно может удерживаться, что еще более существенно замедляет работу некоторых сканеров сетевой безопасности. Таким образом у Вас появляется тележка времени дабы сконфигурировать системы безопасности (в пользовательском случае - это фаервол) так, чтобы никто с атакующего адреса к Вам не пробрался.

Фактически APS является ловушкой и средством конфигурирования и тестирования систем безопасности. Да, программа умеет блокировать работу сетевых червей и Backdoor модулей. Да, APS умеет разрывать соединения, подпихивать левые данные и тд и тп. Но! Не путайте APS с фаерволом. Таки APS - это средство контроля за безопасностью, а не сама безопасность (кстати можете взглянуть на Сертифицированные ФСТЭК России средства защиты). Чтобы было понятнее - есть охранник у магазина, а есть дядя Вася, которому поручено следить за качеством работы этого охранника. Так вот попутно дядя Вася (раз уж он контролирует охранника, то должен знать кое что о принципах его работы, о безопасности, о типах угрозы и тд и тп) может отваживать левых личностей подальше от магазина и говорить охраннику, что мол этого дядьку не пускать - он пытался разбить витрину, но я отнял у него кирпич и, если он вдруг придет еще раз - стреляй на поражение.  Однако, если убрать охранника и оставить дядю Васю одного результаты будут плачевными ибо дядя Вася не имеет соответствующей квалификации, а точнее имеет другую специальность, а еще точнее попросту не для того предназначен.

Подробнее о том зачем нужен APS читаем в прошлой статье.

Ладно, с теорией и принципами работы, будем считать, разобрались.

Заканчиваем настройку APS

Возвращаюсь к настройкам имитации сервисов. Дабы не заниматься набором лишних букв просто выставляйте все так как указано на скриншотах (увеличение по клику).

Сервисы TCP:

Сервисы UDP:

С настройками будем считать покончено. Переходим к последнему этапу.

"Горим! *паника*" или что делать при тревоге

Спокойствие, только спокойствие (с).

Как Вы наверное поняли речь пойдет о том, что же делать, когда APS выявил атаку на порт или использование порта каким-нибудь вирусом\червем. О подобном событии программа салютует восклицательным знаком в трее (там где часы) или всплыванием из оного (если Вы включили сие в настройках).

И так, что, собственно, делать.

Во-первых, не надо паниковать. Какой-то там вирус или хакер пупкин - это просто мелочи жизни, причем легко устранимые.
Во-вторых.. Во-вторых, всё просто:

  • Смотрим что происходит, т.е. определяем кто творит злодеяния: вирус\троян\червь или хакер пупкин лезет к нам из вне. Выявляем подробности, мол что за порт, что за гадость, откуда, зачем почему и тд и тп.
  • Далее по обстоятельствам.
    Если это хакер\кто-то\что-то еще ломиться из вне, то смотрим лог (т.е. то куда он, собственно, записывает все данные об атаках и тд и тп) фаервола и выясняем заблокировал ли он атаку. Если нет, то берем адрес с которого ломятся (адрес указывается APS-ом при атаке и в статистике) и добавляем этот адрес в черный список. Если да, то все равно поступаем аналогичным образом (на всякий пожарный :) ). Как вариант можно просто закрыть порт по средством все того же фаервола. Тонкости закрывания портов и блокировки адресов специфичны для каждого фаервола, т.е. описать настройки (куда тыкать) я не могу чисто физически. Если что - спрашивайте, что вспомню - подскажу.
    Если это кто-то от нас, т.е. где-то на компьютере уже есть троян\вирус\червь и он использует порт для своих злодеяний, то с помощью фаервола закрываем порт или запрещаем работать конкретной гадости (если она представляет собой exe-файл), а потом сканируемся на вирусы, spyware и тд и тп, находим заразу и устраняем её.
  • Универсальное решение - это отключить интернет и потом устранять проблему в тишине и покое.

Всё. Думали сложно? Ничего подобного.
Еще раз повторюсь, что наличие нормального фаервола обязательно. О том, что такое фаервол и зачем он нужен я писал в статье "Защищаемся от хакеров, червей и прочей шушеры".

Послесловие

Вот такие пироги.

Это не последняя статья в цикле по защите и безопасности в сетях и интернете. Есть еще много мыслей о статьях на эту тему как совсем простого уровня, так и посложнее.

Если есть вопросы, если что-то не получается или хотите дополнить - пишите или оставляйте комментарии.

Оценить —

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(2 голоса, в среднем: 5 из 5)
ул. Тверская, вл. 19 Россия, Москва (916) 174-8226
Темы:  , , ,

Комментарии к статье

  1. Как вариант можно просто закрыть порт по средством все того же фаерволла/
    Подскажи: у меня фаерволл Zone Alarm, как в нем закрыть порт???

  2. Ответить
    ромарио

    Здравствуйте. Подскажите , пожалуйста. Почему сбрасываются все настройки связанные с этой программой после её выключения? Постоянно придется настраивать по Вашей схеме? :-(

  3. Ответить
    Руслан

    Здравствуйте . Подскажите пожалуйста я установил и настроил APS , при подключению к интернету он сигнализирует что атака с моего компьютера через 80 порт. Как сделать чтоб не атаковал сам себя ?

    • Это типовой отклик, скорее всего есть смысл просто проигнорировать, если конечно Вы уверены в том, что компьютер чист от посторонних вредоносных программ.

  4. Здравствуйте ув. Андрей. У меня фаервол Comodo Firewall. Подскажите пожалуйста как в нем блокировать адрес вредоносного IP? И как закрыть порт?

  5. Андрей, приветствую и благодарю за статью. Давно вы тут не отписывались но всё же спрошу. У меня беда другая. При запуске программа не открывается. В процессах она появляется, это точно. Но открыть её никак не могу. В трее её нет. Что это может быть? У меня 7ка ФВ- ЗонАларм, Антивирь - Авира. Но им та вроде всё открыл.. Хотя.. кто знает.. Но процесс то открывается. Заранее благодарю.
    Руслан а Вам наверное надо просто отключить мониторинг этого порта в APS

    • Всё, разобрался сам :)

      • > Lio Tims
        Вы, конечно, молодец. Но было бы неплохо, если бы еще и написали, что вы сделали,чтобы заработало :)

  6. Ha, я уж и не помню, что я там сделал. По моему я всячески почистил компьютер и заново после перезагрузки его поставил, включил. Не уверен, но кажется более ничего не делал :) Вот, столкнулся с проблемой тут что и многие другие. Пишет атаку на 80ый порт. В доп сведениях пишет имя моего компьютера, а в описании "HTTP-Web сервер". Я так понимаю что это ложная тревога и надо мне тоже прослушку порта убирать.

  7. Андрей, подскажите пожалуйста. Порт 6969. Описание гласит что по нему рвётся троян GateCrusher. У меня Zone alarm стоит (он уже совсем другой по интерфейсу, в сравнении с тем что вы тут описывали, смотрел). Посмотрел что он там блокировал по логам, так вот в то же время что и атака была, он заблочил чего то там, но там указано было что блокировка по UDP протоколу, а APS у меня запищал в TCP протоколах, в UDP - тишина. Так вот я не могу там найти где порты блокировать. Только блокировку по айпи адресу вижу где создавать. Если можете, дайте совет..

  8. 7 лет захожу на этот сайт.Полезный,доходчивый.Толковый сайт.7 лет не знал головной боли-)Благодаря сайту и самому себе(самому умному из чайников)Ловил изредка трояны,раз в 2 года,ну и мелочёвку всякую раз в год.Я так сладко спал все эти года..и тут поставил АРS.Третьи сутки меня "бомбят" вредители и враги.Они хуже моей тёщи.Всё познаётся в сравнении,я теперь люблю тёщу.Спасибо Вам Андрей за возрождение этого доброго чувства в отдельном индивидууме-)Я дальнобойщик,я даже в рейс не пошел,сижу у монитора и отслеживаю атаки,монтировку приготовил.-)Конечно понимаю что и раньше"бомбили" хитрованы всякие,но как было спокойно этого не знать.Атакующий хост: 81.89.48.239 81.89.48.239.vnet.sk Атакующий хост: 95.240.153.253 host253-153-static.240-95-b.business.telecomitalia.it Атакующий хост: 203.131.229.112 UBUNTU10-64 Атакующий хост: 216.240.136.95 unassigned.calpop.com Это капля в море, что с ними делать?Просто стало любопытно.Вред взаимно возможно причинить?Очень хочется... Спасибо за сайт,очень полезный.

    • Благодарю, извините за долгий ответ.
      Судя по написанному, атакует пораженный компьютер или паразитный трафик. Если стоит еще и фаерволл, то поводов для паники нет.

  9. Добрый день, Андрей!
    БлагоДарю зато, что Делитесь Весьма Сильной и Бесплатной Утилитой, как это!!!
    БлагоДарю за Отличное и краткое руководство по Настройке этой Утилиты!!!

    Единственное но!?
    Антивирусник: spyware с какого сайта лучше скачать, что ниже я даю!?
    1. Ссылка: https://www.superantispyware.com/index.html
    2. Ссылка: https://www.pcrx.com/ru/
    БлагоДарю за ответ!

    Андрей!
    Пусть этот день пройдёт для Вас в Радости, в Творчестве и в Приятной Атмосфере!!!
    Пусть на Вашем Пути Встречаются БлагоДарные, ЖизнеРадостные Люди!!!

    С Истинными Мыслями и Пожеланием к Вам!!
    Майя – radost2534… … …

    • В принципе любой, я бы рекомендовал всё таки что-то из того, о чем есть статьи, вроде Spybot'а и тому подобного.
      Спасибо за сказанное.

  10. Я проверил защиту портов фаерволла при установленной програмке апс,так столько красных квадратов(открытых не защищенных портов) показало при проверке,что я перестал ее юзать(это программка столько их по на открывала.).Хотя она показала скорей всего(я не считал кол-во)прально кол-во атакованных портов и сайт откуда велось сканирование,но почему они не защищены,вот что меня насторожило(хотя в настройках я выставил разрывать соединение),вдруг они находятся открыты так постоянно в инете,(тогда защита фаера оказывается не эффиктивной)и без сканирования.

    • APS по факту не является фаерволлом - это ловушка. Она эмулирует открытые порты, эмулирует отклик, но делает это случайными данными и тп. И служит, по факту, проверкой как раз фаерволла, а не чистым защитником в прямом смысле слова.

  11. Хорошая программа, я себе скачал поставил, надеюсь она загрузку ОС не сильно тормозит. А то обычно программы в автозагрузке увеличивают время загрузки ОС. Я если честно не люблю разные продукты, например антивирус другой фирмы а фаервол еще какой-то другой. Поэтому предпочитаю секьюрити, комплексную защиту так сказать. Разные продукты актуально если у антивируса нет фаервола или пользуютесь бесплатными, например аваст + комодо. Автор у меня такой вопрос к вам а у есет смарт секьюрити норм фаервол? А то у меня стоит уже давно этот антивирь проблем не было. сегодня правда блокировал адрес какой-то при запуске браузера, почистил куки и историю проблема осталась. Взял отключил плагин визуальные закладки, смотрю при запуске без этого плагина, есет не блокирует адрес, сразу понял что дело в плагине. Скачал Malwarebytes Anti-Malware Free, вешает 20 мб, обновил базы. просканировал компьютер и проблема решилась.

    • Благодарю за отзыв. Да, как ловушка, APS достаточно легок и позволяет заниматься мониторингом и прочим.

  12. Ответить
    эдуард

    получено такое сообщение: Атакующий хост: 192.168.1.1 my.router
    дата/время начала сканирования: 13.02.2015 10:35:54
    дата/время последнего сканирования: 13.02.2015 10:35:54
    кол-во сканирований: 1
    кол-во подозрений на DoS: 0
    Атаковано портов 1
    515/TCP кол-во атак = 1, подозрений DoS = 0
    Экспресс-оценка:
    Сканирование портов : не обнаружено
    Flood портов : не обнаружен
    DoS атаки : не обнаружены Что нужно делать?

    • Ничего, всё в норме.

      • Ответить
        Эдуард

        В самой программе какие меры нужно предпринять если красным цветом выделена какая либо строка порта и звучит сигнал тревоги?

        • В самой программе в общем-то никаких. Действия стоит предпренимать в фаерволле.

  13. Ответить
    Андрей

    Бредовая прога, закрыл порты WWDC и LanSafety, комп в сети не виден, а при APS как на ладоне, т.е. хочешь развлекаться - никто тебя не видит, это твоё, гостей долго ждать не придётся. Эта прога для охотников [APS как ловушка], а народ ведётся.

  14. https://zismo.biz/topic/544011-?-akspay-—-ezhednevnaia-razdacha-akkauntov-vkontakte-?/page-13

    Уважаемый Андрей, у меня (и, судя по всему, не только у меня) с этой прогой творится какая-то ерунда, я вообще ничего не могу понять

    1.Сразу же после первого запуска начала визжать каждую минуту, показывает реальные зарубежные адреса атакующих (правда, во всех случаях "сканирование портов: не обнаружено flood портов: не обнаружено")
    НО! Речь идёт о рядовом домашнем компьютере, подключённом, ессно, через NAT - ну не будет же пров каждому клиенту выделять свой ip-шник! Возникает закономерный вопрос каким образом вся эта гадость вообще может пробиваться ко мне извне?

    2.В моём брандмауэре отключены все правила для входящих соединений, иными словами, они запрещены в принципе. Необходимости более тонкой настройки на данный момент нет. Имеет ли смысл добавлять в исключения APS, которая после этого тут же начинает подавать сигналы?

    • Ответить
      Андрей

      1. Про сто это говорит о том, что творится в сети. И если будут открыты порты (в Windows по умолчанию) и гости не званные точно будут, для этого и нужен фаервол - не закрыл но под контролем держишь. APS из любопытства или неверия, что в сети творится запустил и ужаснулся иль умилился.
      2. Брандмауэр служебные программы Windows неблокирует они свои родные. Запусти WWDC и увидишь. Если собираешся вычеслять кто, что, где, откуда то добавь APS в исключения, у него своя защита как понятно есть.

  15. Ответить
    XuTpbluXaH

    Гыы просканировал на разрекламированном здесь 2ip.ru порты при включенном APS с ловушкми, бедняга первый раз вообще захлебнулся, ошибку выдал )) на второй раз сказал, что мне конец - открыто более 20ти портов, надо срочно перекрывать (а все это время я наблюдал в APS как ко мне ломится некий тип с "188.40.35.183 2ip.ru" по 10ку портов, забавно было). После отключил APS, просканировал там же, и мне сообщили, что ZoneAlarm молодец и все перекрыто, вот так вот )) Так что не смотря на кучу атак в день, до 30ки и более, я спокоен. Хотя жизнь она такая, рано или поздно что-нибудь из нового пролезет. Сонику огромное спасибо за статьи!

  16. Здравствуйте. У меня частенько бывает, что срабатывает сигнал тревоги и в отчете об атаке указывается ip localhost 127.0.0.1 и имя моего компьютера. Почему это происходил и что это значит?

    • Приветствую. Это, в общем-то нормально

  17. Ответить
    Виктория

    Сервер Telnet постоянно атакует!!
    Атакующий хост: 14.171.72.241 static.vnpt.vn
    дата/время начала сканирования: 03.08.2016 11:06:49
    дата/время последнего сканирования: 03.08.2016 11:06:49
    кол-во сканирований: 1
    кол-во подозрений на DoS: 0
    Атаковано портов 1
    23/TCP кол-во атак = 1, подозрений DoS = 0
    Экспресс-оценка:
    Сканирование портов : не обнаружено
    Flood портов : не обнаружен
    DoS атаки : не обнаружены
    Что нужно делать после этого? Что такое фаерволл и где его найти? Как заблокировать атаку?

* - комментарии могут появляться не сразу (или попасть в спам)