» Jetico Personal Firewall

Еще непонятки - при кратковременном соединении по дайлапу, инициированном почтовым клиенттом (thebat) обращения svchost к DNS провайдера (81.25.161.2 - 53) режутся правилом, запрещающим DNS к незнакомым серверам и thebat не может проверить почту, хотя правило, разрешающее обращение к name server прописано. При более длительном коннекте система уже знает, что name server = 81.25.161.2 и все (в т.ч. thebat) работает нормально. Т.е. обращение к SMTP происходит раньше, чем определяется name server. Можно с этим как-то бороться иначе, нежели разрешить обращение к порту 53 для любого IP ?

dimzakh

Цитата:

Можно с этим как-то бороться иначе, нежели разрешить обращение к порту 53 для любого IP ?

у меня такой проблемы нет, но попробую предположить в чём тут дело...
похоже JPF перегружает конфигурацию сильно рано после установления связи, когда DNS-ы ещё не успели прописаться. в принципе кнопочка "Reload" должна помочь в этой ситуации, так как все переменные, в т.ч. "name server" определяются в момент загрузки конфигурации.
напиши в саппорт, думаю они быстро поправят это, если конечно это не индивидуальность твоей системы или провайдера...

Я чего-то не допонимаю или правило для приложения, например, "исходящее соединение", не подразумевает автоматом "доступ к сети"? Как-то не кузяво по два правила создавать...

crypt77
у 2-х провайдеров картина идентична. Как вообще система получает все эти установки от провайдера? у меня подозрительно много режется в protocol table (ее дефолтные установки я не трогал). Например что такое IGMP (reject BlockNotProcIP IGMP outgoing packet[мой IP] 224.0.0.22) ?
Саппорт.. это ить не так просто - на инглише внятно сформулировать, в чем дело : ). Посмотрим..

AltSolo

Цитата:

Я чего-то не допонимаю или правило для приложения, например, "исходящее соединение", не подразумевает автоматом "доступ к сети"? Как-то не кузяво по два правила создавать...

правильно понимаешь. access to network - это фактически потенциальная возможность приложения общаться с сетью. и если его не разрешить, то этому приложению и всем тем с которыми оно состоит в "связи" (внедрило dll-ку, поставило хук,.... ) не дадут даже сетевую компоненту (winsock) инициализировать.
dimzakh

Цитата:

у меня подозрительно много режется в protocol table (ее дефолтные установки я не трогал). Например что такое IGMP (reject BlockNotProcIP IGMP outgoing packet[мой IP] 224.0.0.22) ?

насколько я понимаю у тебя стоит сервер и на нём включен протокол динамической маршрутизации(IGMP). а оно тебе надо?

Сервер??? - ничего такого никогда не подразумевалось. Стандартная система, и вроде чистая. Никогда не экспериментировал ни с чем подобным. Можно как-то отследить истоки этого чуда?

upd

домашняя локалка стоит; и встречается вот такое:
rejectBlockNotProcIP IGMP outgoing packet 192.168.1.1 224.0.0.22

вот все, что работает на машине (из процесс эксплорера)

ProcessPIDCPUDescriptionCompany Name
System Idle Process071.21
DPCsn/a15.15Deferred Procedure Calls
Opera.exe33684.55Opera Internet BrowserOpera Software
procexp.exe27803.03Sysinternals Process ExplorerSysinternals
explorer.exe2483.03Windows ExplorerMicrosoft Corporation
System41.52
Interruptsn/a1.52Hardware Interrupts
winlogon.exe608Windows NT Logon ApplicationMicrosoft Corporation
thebat.exe1988The Bat! E-Mail ClientRitlabs S.R.L.
svchost.exe1748Generic Host Process for Win32 ServicesMicrosoft Corporation
svchost.exe948Generic Host Process for Win32 ServicesMicrosoft Corporation
svchost.exe816Generic Host Process for Win32 ServicesMicrosoft Corporation
svchost.exe872Generic Host Process for Win32 ServicesMicrosoft Corporation
svchost.exe1016Generic Host Process for Win32 ServicesMicrosoft Corporation
svchost.exe1128Generic Host Process for Win32 ServicesMicrosoft Corporation
spoolsv.exe1300Spooler SubSystem AppMicrosoft Corporation
smss.exe524Windows NT Session ManagerMicrosoft Corporation
SMAgent.exe1680SoundMAX service agent componentAnalog Devices, Inc.
Skype.exe2764Skype - Free Internet TelephonySkype Technologies S.A.
services.exe652Services and Controller appMicrosoft Corporation
MDM.EXE1580Machine Debug ManagerMicrosoft Corporation
LvAgent.exe444Lingvo LauncherABBYY (BIT Software)
lsass.exe664LSA Shell (Export Version)Microsoft Corporation
Icq.exe2172ICQICQ Inc.
fwsrv.exe560Firewall ServerJetico, Inc.
dmaster.exe588Download MasterWestByte
daemon.exe404Virtual DAEMON ManagerDAEMON'S HOME
ctfmon.exe564CTF LoaderMicrosoft Corporation
csrss.exe584Client Server Runtime ProcessMicrosoft Corporation
avgupsvc.exe1504AVG Update ServiceGRISOFT, s.r.o.
avgcc.exe540AVG Control CenterGRISOFT, s.r.o.
avgamsvr.exe1480AVG Alert ManagerGRISOFT, s.r.o.
AsusProb.exe492
alg.exe412Application Layer Gateway ServiceMicrosoft Corporation
ActiveSMART.exe912Active SMART LauncherAriolic Software (http://www.ariolic.com)
acrotray.exe392AcroTrayAdobe Systems Inc.

dimzakh
есть такая замечательная утилита netsh называется. запускаешь её и вводишь: routing ip igmp uninstall
и всё

crypt77

netsh>routing ip igmp uninstall
Internet Group Management Protocol must be installed first.
Cannot complete this function.

вроде бы он есть, и вроде бы его нет. Чудеса.
ладно, фиг с ним, буду потихоньку разбираться.

dimzakh
у меня та же ситуация возникает при обрыве-восстановлении диалапа, проблема решается проще некуда - в правила для DNS добалены еще два адреса моего провайдера

Tim72

Да, конечно, но в этом изясчества как-то не хватает : ). Я несколько провайдеров использую. Да и они вроде как могут молча DNS IP менять. В общем-то система с name server работает, кайф портят именно эти первые несколько секунд.

upd
Origin 7.5 - не работает (ошибка при запуске), если ему не разрешить хотя бы access to network.

Да, у меня тоже name server не всегда отрабатывает.

Цитата:

Да, у меня тоже name server не всегда отрабатывает.

Дык.. может кто из аксакалов возьмет на себя труд сформулировать проблемку для службы поддержки? вроде как дело должно быть пустяковое, система определенно имеет инфу о правильном DNS на момент ошибки.

Извините, опять вопрос от новичка.
Правильно ли я понял, что JPF нельзя настроить для защиты моей маленькой локалки, выходящей в интернет через ICS от windows XP?
Здесь, на самом деле два вопроса:
1) как настроить JPF для работы с ICS,
2) клиентам ICS надо ставить свой JPF?

А может пошлете другим, более правильным путем?

И еще раз про настройки... Осталась не понятна структура настроек и их зависимось. Тоесть где правильно поместить правило для приложения, что бы оно было в самом низу, перед правилом, которое блокирует по дефалту всю активность которая до него дошла ? Надеюсь понятно написал.... А то в Ask User слишком много всего навалино, хотелось бы упорядочить правила.

Minoz
Я в application table наверху помещаю правила для запросов приложений, безусловно переадресуемых в application blocked zone; затем - те которые accept (впрочем, иногда приложению для нормальной работы приходится accept - acsess to network, и только следующим правилом всю прочую активность перенаправить в blocked zone), а затем - правила для приложений, которым нужно разрешить ту или иную активность (в таком случае лучше для оного приложения создать отдельную табличку, по образцу, например, mail client, и перенаправлять в нее всю активность данного приложения. Внутри такой таблички удобнее писать сложные-хитрые правила, не загромождая application table).

Еще вот вопросик... Сидел я раньше под оутпостом, и он у меня в тряпочку молчал. Тока иногда ругнется что обнаружен скан портов. А вот уже неделя почти под Jetico и лог у меня просто не останавливается.... Постоянно "входящие" "Block All not Processed IP Packets" по разным портам (135 и 445 самые "любимые") Что бы это значило ? Или Jetico меня не "прячет" или отпост "тупил" ?

ЗЫ. Что за ICMP исходящие пакеты и можно по логу найти приложение которое послало этот "пакет" (по TTL там или по ID: ) ?

Добавлено:
Да... И вообще то новая версия вроде вышла...
1.0.1.59 Freeware, 12th May, 2005.
Problem of appearing repeated popup messages fixed. Minor user interface enhancements.

Minoz
135 и 445 это любимые хакерские порты
А вообще надо по логу посмотреть, он у Jetico очень подробный.


Цитата:

Что за ICMP исходящие пакеты и можно по логу найти приложение которое послало этот "пакет" (по TTL там или по ID: ) ?

Вау, это же твой лог Ты бы хоть написал, какие типы-коды у этих ICMP-пакетов. Из боль-мень нужных это время ожидания и недоступность адресата, ну ещё пинг по желанию.

Это только у меня или как?
Раньше борда требовала еще и 8080 порт а сейчас тишина. Прошелся еще по паре сайтов на которых файер запрашивал нестандартные потры ситуация аналогичная. Настройки грузил по умолчанию.

wezir
8080 - прокси
наверное настройки браузера изменились

При создании правила в закладке удаленый\локальный адрес есть "тип адреса". Кое с чем я разобрался, но что имеется под видом "сеть", local address", local network", "broadcast address", 'name server" и ссылки на трустед\блокед зону ?
И можно ли в 1 правиле запритить доступ к нескольким портам типа 135, 139, 445 и т.д. ?

Minoz
trusted-blocked zone - при установке файрволла можно заносить адреса и их диапазоны в группы под названиями tusted и blocked, и использовать эти группы как единое целое для написания правил. Trusted - обычно объявляется локалка и внутрисистемные коммуникации.
broadcast address (255.255.255.255 вроде) - обращение ко всем компьютерам сегмента сети.
name server - переменная, принимающая (при инициализации сети) значение IP DNS сервера.
Остальным не пользуюсь, могу сформулировать не совсем корректно, лучше пусть профи скажут.
Проты - только диапазоны, отдельные значения через запятую пока нельзя (это ранее обсуждалось).

attacker installs system-wide Windows hook - ругается на все практически прилжения. Если создать правило что бы все приложени отсекать, то что из этого выйдет и как скажется на работоспособности ХРюши ?

Minoz

??? - ничего не ругается; точнее - редко, у меня там в правилах штуки 3 разрешения накопилось. Опция рассчитана исключительно на то, чтобы в момент попытки перехвата дать шанс идентифицировать-отловить троян. Ничего хорошего из запрета всего не выйдет, это входит в нормальную функциональность приложений.

В джетико из-за тщательности отслеживания использования приложениями друг друга много хитростей возникает; например, если запрещен доступ к сети файлового менеджера, и из него запускается приложение - этому приложению тоже дорога в сеть будет перекрыта. И даже после того, как файловый менеджер будет закрыт - джетико будет идентифицировать попытки доступа к сети этого приложения как исходящие от файлового менеджера. Так что приходится думать, кому что действительно имеет смысл запрещать.

хз... Ругается на миранду. Делаю запретить, но она продолжает нормально работать. Ругается на експлорер, ругается на таскманаджер, ругается на команду ping и т.д. Так что разницы между разрешением\запрещением я не особо заметил. Хотя некоторые проги после запрета не работают, например тот же ping.

Minoz

Если приложение надежное, заведомо не троян, - зачем запрещать? значит, ему это надо, отвечаешь "разрешить" и забываешь. Если, конечно, не хочешь намеренно урезать функциональность приложения (так это же надо еще знать, зачем и какой он хук устанавливает). А если фиг-знает-что пытается хук сделать - начинаешь с ним разбираться.

Интересная точка зрения:
http://www.fossa.ru/FV/

Цитата:

# ArtLonger:
Jetico Personal Firewall - для Silencer: ты как-то назвал этот файер деревянным. Не расскажешь подробнее, что тебе в нём не глянулось?
(13-05-2005 00:30:38)

# Silencer:
1. Довольно легко прослушивается.
2. Подсистемы практически не контролирует.
3. Не является сетевым экраном.
4. Скриптовые атаки не распознаёт вообще.
5. Длительные пакетные атаки не держит - на 3/4000 пак/сек в течении 10-15 минут можно спокойно перекрыть кислород коннекту.
6. IDS на фильтре веб-контента очень слабый.
(17-05-2005 11:56:57)


# ArtLonger:
Вот это приложил так приложил...
А не пройдёшся по пунктам чуть подробнее? Я не профи, а любитель, без разжёвывания не всё понимаю полностью.
Просто после настройки домашней сети Look 'n' Stop роняет Winlogon со Stop-ошибкой c000021a, пришлось искать альтернативу...
(17-05-2005 16:24:05)


# Silencer:
1. Аудитинг (прослушка). Имеется 2 вида. Первый самый простой, второй поглубже на уровне подсистем с использованием сниффера портов. Есть практически в любом сканере безопасности (Spyder, NNS, NMAP).

2. Подсистемы B, C, D и т.д. - это больше касается больших сетей. Создаётся канал посредством атаки пакетами и расшифровки сигнатуры порта, после этого через дыру пропускается троян или keylogger. Дальше понятно...

3. Ориентирован на контроль программ, а не на фильтрацию сетевой активности - т.е. фактически внутренний второстепенный рубеж.

4. Скриптовые атаки (NetCat, CopyCat) - это скрипты, которыми можно отключить фаер допустим через telnet или внедрив его в web-content. Причём через скриптовые атаки можно сделать практически всё, что хочеться. К счастью, спецов по скриптовым атакам мало.

5. Пакетные атаки (Flooding, Syn Flood) часто можно встретить на FTP серверах, если сервер перегружен то он автоматически начинает скидывать пользователей через флуд-атаку. Но такая атака как правило длиться несколько секунд и как следствие - тебя просто выкидывают с сервака чтобы его разгрузить.
Направленные flood-атаки это уже проблема намного глобальней. Твой IP и его возможный диапозон вносятся в базу данных и тебя начинают бить по всему диапозону частотой от 3-4000 до 10-15000 пакетов в секунду. Это аналог DDOS атаки на сервер, только это привязано к IP. Так же возможен вариант установки на 10-20-100-... машинах скрипта, который без их ведома тоже будет тебя атаковать. На исходящий трафик это не даёт разницы, а вот в интернет ты не выйдешь - только через прокси которые будешь менять и гоняться за ними по сети в поисках рабочих.

6. IDS - Intrusion Detection Systems (системы обнаружения атак) бывают:
NIDS - Network Intrusion Detection Systems
GrIDS - Graph-Based Intrusion Detection System
OIDS - Operational Intrusion Detection Systems
ERIDS - External Routing Intrusion Detection System
Это самые распостранённые, а существуют ещё около 90 IDS. Подробней напишу в своём разделе.
(17-05-2005 17:37:40)

смотреть тут
"Silencer (23 November в 12:36)
Насчёт Jetico,я вообще избегаю прогонять сырые продукты а к тому же ещё бесплатные но решил попробовать просто ради интереса.

Результаты:
Не прошёл тесты на:
аудитинг 1,2
AWF
Thermite
CopyCat
WBreaker
А в общем бы отнёс к среднему уровню,сделал 2 пакетных атаки в 2000 пак/сек,одну он закрыл,на второй умер и утянул за собой конект.
Пока доступна у них бэтка которая ещё сыровата. Final скорее всего будет платный. Но в общем неплохая идея хотя и деревянная."

Осталось тока узнать "Who is Silencer ?"

ArtLonger
это полная чушь!
хотя конечно зависит от кривости рук того, кто конфигурирует.

мои коментарии для конфигурации по умолчанию и последней версии:

Цитата:

1. Аудитинг (прослушка). Имеется 2 вида. Первый самый простой, второй поглубже на уровне подсистем с использованием сниффера портов. Есть практически в любом сканере безопасности (Spyder, NNS, NMAP).
2. Подсистемы B, C, D и т.д. - это больше касается больших сетей. Создаётся канал посредством атаки пакетами и расшифровки сигнатуры порта, после этого через дыру пропускается троян или keylogger. Дальше понятно...

1. все пакеты которые запрещены, в том числе и те которые система не ожидает не попадут к сниферу.
2. JPF не даст вам просто так запустить снифера.
3. человек написавший это не совсем понимает о чём пишет.

Цитата:

3. Ориентирован на контроль программ, а не на фильтрацию сетевой активности - т.е. фактически внутренний второстепенный рубеж.

не так.
у JPF три уровня защиты:
1 - сетевой
2 - уровень прилржения
3 - обнаружение атак на уровне приложений (запись в чужую память, внедрение dll-ки, ...)
причём уровень приложений жёстко связан с сетевым уровнем, соответственно сетевой уровень пропускает только те пакеты которые являются ожидаемымы(разрешёнными) для уровня приложений.

Цитата:

4. Скриптовые атаки (NetCat, CopyCat) - это скрипты, которыми можно отключить фаер допустим через telnet или внедрив его в web-content. Причём через скриптовые атаки можно сделать практически всё, что хочеться. К счастью, спецов по скриптовым атакам мало.

налицо некомпетентность автора этих строк.
NetCat и CopyCat не являются скриптами (если автор понимает, что это такое)
NetCat - arbitrary TCP and UDP connections and listens
CopyCat - LeakTest. Like Thermite, copycat uses direct code injection.

Цитата:

5. Длительные пакетные атаки не держит - на 3/4000 пак/сек в течении 10-15 минут можно спокойно перекрыть кислород коннекту.

не проверял собственноручно цифры.
будет время проверю.

Цитата:

6. IDS на фильтре веб-контента очень слабый.

так его там совсем нету.

интересно сам автор этих строк пробовал JPF?
лично у меня большие сомнения в этом.

crypt77

Цитата:

сам автор этих строк пробовал JPF?

Да, но прошлогоднюю бету.

http://www.fossa.ru/FV/forum/index.php
Милости прошу поскандалить
На меня Silencer не произвёл впечатления некомпетентного человека, но мой уровень знаний на эту тему не позволяет выносить какие-либо суждения (типа disclaimer ).

С тех пор много воды утекло, я еще помню тн времена когда джетико после пары листов логов (ну к примеру у Stateful TCP inspection включал) вываливался за милую душу, а сейчас держит (правда я больше пары часов не держал но думается этого достаточно).