Борьба с рекламой, новостями, обновлениями, активациями, и пр. блокировкой IP серверов c помощью политики безопасности IP.

25.07.2011

Не знаю, кому как, а меня уже достали все современные приложения. Сейчас они все так и норовят подключиться к какому то серверу для того чтобы слить рекламу, новости, обновления, проверить активацию, и пр. Как только подключился к Интернету, так тут же попёр трафик, которого не просили. Есть конечно утилиты (брандмаузеры или файрволлы, слова являются синонимами) для ограничения сетевой активности, некоторые очень даже хорошие. Но что делать, если таких утилит нет, а нужно как то защититься от всего этого непрошеного трафика?

Решение есть. Штатные средства Windows позволяют блокировать определенные IP, доменные имена, и даже целые подсети. Подчеркиваю, что речь идет не о штатном брандмаузере Windows, а политике безопасности IP. Штатном брандмаузер Windows - это вообще убожество. Когда он только появился, то он стал втихаря блокировать всё подряд, и без разбору, и полезные (нужные) программы, и вредные. Был совершено не управляемым. И все столкнулись с тем, что почему то перестало работать все то, что должно работать. Позже к нему прикрутили настройки чтобы можно было добавлять исключения, т.е. программы, которые не нужно блокировать. После этого его роль вообще потеряла всякий смысл. Дело в том , что эти настройки никак не защищены, и любая программа, как полезная, так и вредоносная, может добавить себя в исключения, и пользоваться сетью невзирая на этот брандмаузер.

Ладно, немного отвлекся. Значит задача стоит такая: заблокировать определенные серверы, с которых сливается реклама, новости, обновления, на которые отправляется какая то недокументированная информация для проверки активации или еще чего (не документировано же) , и пр. Чтобы ни одно приложение не могло тайно этого делать, без разрешения. Если нужно, то позволить одноразово это сделать. Брандмаузера - нет, зато есть политика безопасности  IP на "Локальный компьютер". Её нужно создать, настроить, и включить. Она будет полностью блокировать определенные IP, а для одноразового разрешения доступа по этим IP, её нужно отключить на время, дать возможность определенным приложениям пообщаться с сервером, а потом опять включить.

В принципе это не та сложно. Находится здесь: "Панель управления" -> "Администрирование" -> "Локальная политика безопасности". В окошке увидите папку "Политики безопасности IP на Локальный компьютер". Она содержит три предустановленные по умолчанию политики, но все они отключены. Включить можно только одну из них. Но ни одна из них не будет выполнять нужную нам задачу. Поэтому нужно создать новую.

Создание новой политики: Выделяете папку "Политики безопасности IP на Локальный компьютер". Правой кнопкой мыши вызываете контекстное меню или в основном меню "Действие" выбираете пункт "Создать политику безопасности IP". Появится мастер создания политик. Там ничего не нужно настраивать, все оставляете по умолчанию, со всем соглашаетесь, и щелкаете "Дальше". Единственное что имеет смысл сделать, это дать внятное название этой политики и описание, что можно будет сделать а первом окошке мастера. Например: Название - Антиреклама, Описание - Блокировка рекламных серверов. Самим же потом будет проще ориентироваться.

Пока политика пустая, она содержит только правило по умолчанию, и не содержит фильтров IP, к которым нужно применять эти правила. Для примера рассмотрим Adobe DreamWeaver CS4, который лезет на три сервера активации, и что то туда отправляет / получает.

СерверIP
activate.adobe.com192.150.18.108
activate-sea.adobe.com192.150.22.40
activate-sjc0.adobe.com192.150.14.69

Создание новых правил и фильтров: В меню "Действия" выбираете свойства или просто дважды щелкаете по новой политике. Появится окошко свойств политики со списком фильтров. Нажимаете кнопку "Добавить", и появляется мастер правил безопасности.

Все оставляете по умолчанию, со всем соглашаетесь.

  • "Это правило не определяет туннель",
  • "Все сетевые подключения",
  • "Стандарт службы каталогов",

До тех пор, пока не доберетесь до окошка со списками фильтров.

В нем пока только два предустановленных фильтра.
"Полный ICMP трафик" и "Полный IP тарфик".

Будем делать новый. Для этого нажимаете кнопку "Добавить". В поле "Имя" пишите "Adobe DreamWeaver CS4", в поле  "Описание" - "серверы активации".

Теперь добавляем IP, опять кнопка "Добавить", и снова мастер.
Кнопка "Далее",

  • Адрес источника пакетов - Мой IP адрес
  • Адрес назначения - Определённый IP, записываете первый IP из таблицы. Но здесь есть у вас есть возможность  кроме IP выбрать доменное имя, подсеть, и пр. В данном примере использован Определенный IP.
  • Тип протокола - "Любой"
  • В свойствах на закладке "Описание" имеет смысл добавить доменное имя сервера.

И так три раза (для всех серверов). В конечном итоге фильтр будет состоять из трех IP серверов активации.

Можно конечно в один фильтр загнать IP для разных продуктов. Но, я думаю, что если создавать для каждого продукта свой фильтр, то это будет удобнее. Тогда разрешать / блокировать можно будет избирательно, сняв / установив флажки соответствующих фильтров.

Фильтр создан,  нажимаете кнопку "OK". Осталось установить действие фильтра, что он должен делать по отношению к определенным IP.

Теперь нажимаете "Далее", и попадаете на страницу "Действия фильтра". Здесь предустановленны три действия.

  • Запрос безопасности
  • Разрешить
  • Требуется безопасность

Что они означают прочитаете в описании. А вот действие "Блокировать" не предустановленно. Его нужно создать.

Всё совершенно аналогично. Кнопка "Добавить", мастер настройки действий фильтра", поле "Имя" заполняете - "Блокировать". На странице "Общие свойства действий фильтра" устанавливаете флажок блокировать.

В последствии действие "блокировать" не нужно будет создавать, оно уже будет в списке.

В дальнейшем все свойства можно проверять или изменять, воспользовавшись кнопкой "изменить.

На этом создание политики и фильтра закончено. Осталось её задействовать. Меню "действие" - "Назначить".

Назначена может быть только одна политика, либо ни одной.  Когда понадобится дополнительный фильтр, для другого приложения, то не нужно создавать еще одну политику. В уже существующую политику можно добавить новый фильтр. Включать / выключать фильтры можно установив / сняв флажки на соответствующем фильтре.

На первый взгляд, все очень сложно. Но это нет так. Потом, чтобы расширить политику достаточно открыть существующую, создать новый фильтр и заполнить его. Назначить действие "блокировать", которое уже есть. Вот и все дела.

А как узнавать на какие серверы какие приложения стучится? Да это вопрос. Можно например воспользоваться Outpost Firewall Pro. Это очень хороший брандмаузер. Спросите, а зачем тогда вся эта каша с политиками, если все-таки нужен брандмаузер? Очень просто. Производитесь дает бесплатно пользоваться своим брандмаузером 30 дней. Это время можно использовать для сбора информации о всяких подозрительных действиях со стороны приложений. По истечении тестового периода брандмаузер удаляется, а информация остается. Её можно использовать для создания фильтров, которые будут блокировать доступ по нежелательным IP для всех приложений. Единственное, что нужно сделать, это настроить Outpost. Отключить автоматическое обучение, т.е. он при обнаружении попыток какого то приложения подключения к сети должен спрашивать, какое правило создать. Удалить все предустановленные правила для известных приложений, потому что обычно - разрешать все. Не создавать правила для приложений по шаблонам известных приложений. Другими словами, каждая доступа в сеть должна быть зафиксирована с удаленным адресом. Когда он спрашивает "создать правило? Отвечайте - Другое. Если удаленный адрес подозрительный, т.е. вы не совершали каких то действий. чтобы приложение заглянуло на этот адрес, то ставьте - Блокировать", а это адрес или IP записывайте в черный список.

Так же обращайте пристальное внимание, если приложение пытается прослушать порт. Номер этого порта записывайте в черный список, его тоже можно будет вставить в фильтр (там есть настройки для портов). Дело в том, что если приложение пытается прослушивать порт, то это значит, что этим приложением можно управлять извне. Кто то подключается через этот порт к приложению работающему на вашем компьютере. Что будет дальше - обычно никому неизвестно, кроме авторов приложения. Оно может получать какие то команды и выполнять их. Чтобы лишить возможность управлять вашим компьютером извне нужно заблокировать на вашем компьютере эти подозрительные порты.

Здесь скоро будет список серверов, на которые тайно стучаться всякого рода приложения. Пополнять его смогут все желающие.

ПродуктсерверIPпортназначение
Windows XPmpa.one.microsoft.com131.107.115.40443проверка подлинности
Windows XPmpa.one.microsoft.com65.55.28.12443проверка подлинности
Windows Vista / Sevensls.microsoft.com65.55.52.62443проверка подлинности
Windows Vista / Sevenvalidation.sls.microsoft.com65.55.52.62443проверка подлинности
Adobe DreamWeaver CS5activate.adobe.com192.150.16.108 активация
Adobe DreamWeaver CS5activate-sea.adobe.com192.150.22.40 активация
Adobe DreamWeaver CS5activate-sjc0.adobe.com192.150.14.69 активация
Adobepractivate.adobe.com192.150.16.54 активация
Adobeereg.adobe.com192.150.16.103 активация
Adobeactivate.wip3.adobe.com192.150.18.63 активация
Adobe3dns-3.adobe.com192.150.14.21 активация
Adobe3dns-2.adobe.com192.150.22.22 активация
Adobeadobe-dns.adobe.com192.150.11.30 активация
Adobeadobe-dns-2.adobe.com192.150.17.247 активация
Adobeadobe-dns-3.adobe.com192.150.22.30 активация
Adobeereg.wip3.adobe.com192.150.18.63 активация
Adobewwis-dubc1-vip60.adobe.com192.150.8.60 активация
Adobeadobeereg.com207.66.2.10 активация