Proteçao Baseada em Tabela para Windows

Ver o tópico anterior Ver o tópico seguinte Ir em baixo

Proteçao Baseada em Tabela para Windows

Mensagem  Administrador em Sex Abr 09, 2010 3:22 am

O TCP TABLES possibilita você a criar regras de proteções para seu computador.
As regra são baseadas em conexões permitidas e não permitidas.

Antes de começar o tutorial precisamos relembrar sobre conexões:
Para existir uma conexão entre dois computadores precisa de cinco fatores:

* IP Local (Endereço do computador local)
* Porta Local (Porta de conexão no computador local)
* IP Remoto (Endereço do outro computador)
* Porta Remota (Porta de conexão do outro computador)
* Processos (Programas que criam as conexões)

Com o TCP TABLES você pode mapear e definir quais são suas conexões seguras, e evitar novas conexões não permitidas.
Não é um firewall porque o TCP TABLE atua de forma diferente:

* Você decide o que é confiável ou não antes do problema aparecer
* Não existe bloqueio de porta, desta forma uma porta aparentemente aberta esta protegida internamente pelo TCP TABLE
* O sistema funciona como um RADAR que detecta conexões não permitidas.

O TCP TABLE é uma ferramenta presente na versão 3.X do Insecuritynet

Vamos abrir a ferramenta.
Entre em:
Iniciar --> Defesa --> TCP TABLES

Criando Regras de defesa.
O programa vem com uma regra pré-configurada, que certamente não irá se aplicar á sua necessidade.
Mas vamos visualizar esta regra para que possamos entender a configuração.
Entre em: visualizar regra



Temos tres tipos de permissões:
+B (Bloqueado)
-P (Permitido mas submisso ao restante da tabela)
+P (Permissao total Independente do restante da tabela)



A tabela possui cinco itens:
IP LOCAL , PORTA LOCAL, IP REMOTO, PORTA REMOTA, PROCESSO
Cada item pode estar em dois modos:
MODO OPEN (Todos permitidos mas submisso ao resto da tabela)
MODO CLOSED (Todas bloqueados)

Vamos analizar os cinco itens da tabela:
IP LOCAL
Está no modo OPEN (Todos IPs locais permitidos mas submisso ao resto da tabela)
+P:127.0.0.1 (significa que conexões neste IP tem total permissão independente do resto da tabela)

PORTA LOCAL
Está no modo OPEN (Todas as portas locais permitidas, mas submisso ao resto da tabela)
+B:21 (proibida conexão na porta local 21)
+B:23 (proibida conexão na porta local 23)

IP REMOTO
Está no modo OPEN (Todos IPs Remotos permitidos mas submisso ao resto da tabela)
+B:140.211.167.55 (proibida conexão neste IP)

PORTA REMOTA
Está no modo CLOSED (Todas as portas bloqueadas, exceto as permitidas na tabela)
-P:80 (permitida conexão na porta remota 80 desde que o restante da conexão não seja bloqueado por outro item da tabela)
-P:443 (permitida conexão na porta remota 443 desde que o restante da conexão não seja bloqueado por outro item da tabela)

PROCESSO
Está no modo CLOSED (Todas os processos bloqueados, exceto as permitidas na tabela)
-P firefox.exe (processo permitido desde que o restante da conexão não seja bloqueado por outro item da tabela)
-P telnet.exe (processo permitido desde que o restante da conexão não seja bloqueado por outro item da tabela)
+P:msnmsgr.exe (Permissão total para o Messenger)
+P:System.exe (Permissão total para processos do sistema)

RESUMO DA TABELA
-Conexões no IP LOCAL "127.0.0.1", no processo "msnmsgr.exe" e no processo "System.exe" não serão bloqueados pelo TCP TABLES.
- Todos os processos (exceto os citados acima serão bloqueado pelo TCP TABLE)
- Todas as portas remotas serão bloqueados (exceto a 80 e a 443) serão bloqueadas)
- O IP remoto 140.211.167.55 será bloqueado
- Conexões nas portas locais 21 e 23 serão bloqueadas.
RESUMO DA TABELA

-Conexões no IP LOCAL "127.0.0.1", no processo "msnmsgr.exe" e no processo "System.exe" nao serão bloqueados pelo TCP TABLES.
- Todos os processos (exeto os citados acima serão bloqueado pelo TCP TABLE)
- Todas as portas remotas serão bloqueabos (exeto a 80 e a 443) serão bloqueadas)
- O IP remoto 140.211.167.55 será bloqueado
- Conexoes nas portas locais 21 e 23 serão bloqueadas.

TESTANDO A FERRAMENTA

Na tabela acima temos o IP 140.211.167.55 (este IP corresponde ao site "www.linux.com")
Vamos ativar o TCP TABLES.



Agora vamos abrir o site "www.linux.com" em nosso navegador de internet.



Observe que a conexão foi bloqueada, e o site nao foi aberto.



"O bloqueio do site www.linux.com foi apenas um exemplo técnico, a equipe insecuritynet não é contra a comunidade linux, nós usamos e recomendamos o sistema operacional linux. Inclusive foi a inspiraçao para a desenvolvimento do Insecuritynet."

OUTRO EXEMPLO

Vamos simular um keylogger tentando acessar um servidor SMTP para enviar emails.



Observe que o canexão foi bloqueada:





VISUALISANDO OS LOGs

O TCP TABLES cria um LOG de todos os bloqueios.
Você pode visualizar os LOGs em sua pasta de trabalho...\Meus documentos\Insecuritynet



Observe que todas os dados do bloqueio foram registrados (Inclusive o caminho do executável que tentou criar a conexão)

Podemos associar TCP TABLE á um radar, que localiza conexões não permitidas e as cancela

Nossa tabela padrão pode ser representada com a figura abaixo:

RELEMBRANDO O RESUMO DA TABELA
-Conexões no IP LOCAL "127.0.0.1", no processo "msnmsgr.exe" e no processo "System.exe" não serão bloqueados pelo TCP TABLES.
- Todos os processos (exceto os citados acima serão bloqueadas pelo TCP TABLE)
- Todas as portas remotas serão bloqueados (exceto a 80 e a 443) serão bloqueadas)
- O IP remoto 140.211.167.55 será bloqueado
- Conexões nas portas locais 21 e 23 serão bloqueadas.



EDITANDO SUA PROPRIA REGRA

O exemplo acima foi com uma regra que já vem configurada no software, claro que não se aplica à suas necessidades. A principal característica da ferramenta é que você é quem define o que é seguro e o que não é seguro. Você pode criar suas próprias regras de acordo com a sua necessidade e de acordo com os programas que você usa para conectar a internet.
Para editar basta entrar em “Editar regra”

Selecione uma das opções:
LOCAL IP LOC PORT REM IP REM PORT PROCESS

PERMITINDO UM ITEM

Neste exemplo vamos permitir que conexões na porta remota 25 não seja bloqueada (como foi bloqueada no exemplo acima)

Entre em REM PORT (Porta remota)
Escolha o modo CLOSED (para manter todas as outras portas bloqueadas)



Agora temos duas opções de permissões +P e -P.

+P (Permissao total)
-P (Permissao submissa)

Vamos add com permissão submissa (-P)



Digite a porta.



Observe que a porta foi adicionada na tabela:



Agora vamos criar novamente a conexão:



Observe que não houve bloqueio.



BLOQUEANDO UM ITEM.

Para bloquear um item é necessário que o item esteja no modo aberto, pois no modo fechado já esta bloqueado por padrão.
Neste exemplo vamos bloquear conexões na porta local 1245.

Selecione a opção Porta Local:

LOCAL IP LOC PORT REM IP REM PORT PROCESS

Escolha o modo Aberto "OPEN MODE"
Digite a porta e observe a tabela:


As conexões que utilizarem esta porta (1245) de seu computador serão bloqueadas.

PERMISSSÃO TOTAL PARA UM ITEM.

Em alguns casos é necessário dar permissão total para um item da tabela.
Por exemplo:
O IP local "127.0.0.1" é utilizado pelo navegador.
O Messenger utiliza varias portas aleatórias locais e remotas.

Você pode dar permissão total tanto em "OPEM MODE" como em "CLOSED MODE".
basta você escolher a opção +P
Com esta opção o Item será permitido independente de outro item da tabela estiver bloqueada a conexão.
No exemplo acima bloqueamos a porta local 1245, mas o processo "msnmsgr.exe" esta com permissão +P, isto significa que este processo tem permissão para tudo, inclusive para usar a porta 1245.

DICAS PARA EDIÇAO DE REGRAS

Antes de criar sua regra, faça um relatório de todos os programas que utilizam a internet em seu computador.
Não bloqueie atualizações de seu antivírus.
Mantenha o IP LOCAL em OPEN MODE porque se você possuir IP DINAMICO terá que sempre ficar modificando sua regra.
Mantenha a Porta local em OPEN MODE porque quando você cria um conexão externa sua porta local é aleatória. Use os bloqueios para bloquear possíveis servidores em sem computador.
Mantenha o IP REMOTO em OPEN MODE, pois cada site visitado é um IP remoto diferente, apenas deixe no modo CLOSED se o computador estiver atrás de uma proxy e libere o IP da proxy.
PORTAS REMOTAS E PROCESSOS mantenha no MODO CLOSED e adicione suas permissões, manter este itens abertos pode comprometer a segurança de sua REGRA.

----
Download do Software, Clique aqui
O TCP TABLES é apenas umas das ferramentas do software.

Administrador
Admin

Mensagens : 61
Data de inscrição : 28/07/2009

Ver perfil do usuário http://foruminsecuritynet.forumeiros.com

Voltar ao Topo Ir em baixo

Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo


 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum