Подскажите по безопасности, что еще можно сделать. Дано: комп ХРсп3, две сетевухи, одна в локалку, через другую поднят VPN P2P, в ее конфигурации отключены Клент для сетей и Служба доступа, включена фильтрация TCP\IP где разрешен только порт VPN. Собственно нужна «параноидальная» безопасность, чтобы никто не влез снаружи через эту сетевуху и по возможности не смог вылезти через нее из локалки. Какие будут советы. ( кроме поставить Outpost )

Ну, банальные средства безопасности не забудь, вроде отключения служб "удаленный реестр", "RPC", "телнет"+ включи и настрой встроенный фаервол, хорошо поможет запрет логона администратора по сети и переименование самой учетной записи "Администратор" во что-то другое.

Службы поотключал, встроенный фаервол - глючное фуфло, я для фильтрации классную вещь нашел: http://www.kssware.net/ipfilter.html - просто супер! Особенно учитывая, что к компу будет локальный доступ пользователей. Порекомендуйте путный сканер портов, а то кучу перепробовал - кажут открытые порты даже если кабель из сетевухи выдернуть. Вообще, насколько реально взломать комп зная только подсеть(0-255) в которой он находится(ICMP я отфильтровал).

Не пингом единым IP в сети вычисляется, есть и другие методы. Попробуй такие утилиты как NetView или Lanscope- они собирают информацию о компьютерах в сети, сканеры портов в них тоже есть. И лучше просканить сервер не с него самого, а с другого компьютера в сети.
PS Никто не знает, какую уязвимость обнаружат завтра в сетевых службах ХР... Так что не забудь запретить соединение на все порты, кроме "белого списка" (а в нем оставь только самые необходимые)- это здорово помогало во время эпидемий msblasta и sasser-a до появления патчей от мелкомягких.

Самому не смешно

IgorA
Юмора не понял. Чем плоха фильтрация Винды? Она вроде работает на более низком уровне чем любые стандартные фаерволы. А данная прога существенно расширяет ее возможности.
Silent forest NetView давно не пользовался, т. к. Lanscope получше показалось, но и она работает только по пингу - ничего не видит. Из той же серии сканер LanSpy показывает открытые порты даже при физическом отсутствии соединения, так что доверия ей нет. А сканирую естественно с другого компа.

А встроенный файер, который "глючное фуфло", не на основе этой самой фильтрации работает?
Это сродни ситуации когда говорят IE- глючный браузер и используют Maxthon.

IgorA В "замечательный" встроенный фаер проги САМИ добавляют свои правила, а вот про фильтрацию я такого не слышал. К тому же дополнительный фильтр мало известен, соответственно и методы обхода его не распространены.

ip12345, ты английский хоть немного знаешь?! Тебе же ясно дали понять, что приведённый тобою софт (KSSWare) создан на базе стандартного виндового функционала, с использованием GUI и, разве что, с незначительным расширением функциональности...

-=alex-forewer=- А ты можешь привести реальный способ взлома виндовой фильтрации, о чем я и спрашиваю, или просто пофлудить решил?

Попробуй XSpider - неплохой сканер

vinilla Спасибо. Но вроде со сканерами я разобрался и получается, что самым уязвимым местом стал VPN. Только не знаю что через него можно сделать? Подменить клиента и создать "левый" туннель, но реально ли такое?