» Jetico Personal Firewall

guBiegreS

Цитата:

А какие из событий ты назвал бы самым "опасными"

События сами по себе, не могут быть опасными или наоборот. Это всего лишь функции и процедуры с помощью которых приложения общаются с "системой" и между собой, а Джетика лишь информирует и позволяет блокировать или разрешать. А вот с какой целью, эти события инициируются, разрешать или запрещать, в каждом, конкретном случае, решать тебе.
Цитата:

Мне кажеться последние 2 самые безобидные (относительно другим)

Из всех событий в "Контроле процессов" самое "необычное" это - внедрение кода в процесс, встретится может если только сам что то "отлаживаешь". В остальных случаях, хорошего ничего это событие не предвещает.
Цитата:

Например если троян запустит дочерний процесс "opera", он всё равно не сможет открыть соединение так как для этого ещё понадобиться внедрить DLL или изменить код Оперы, я прав?

Смотря какой троян, как написан и какие функции будет использовать. Если сможет себя скрыть (любая, самая навороченная проактивка, всё равно всё не перехватывает), то ничего не надо внедрять и изменять, теоретически всё пройдёт тихо и гладко (но ИМХО конкретно под оперу, такое писать ни кто не будет, с её долей на рынке в районе 1%, тут пока можно спать спокойно). Тут совет один, старый как мир - лучше, ничего сомнительное, на "живой" машине не запускать.

Dimitr1s вот у меня проблема, мой модем подключён к роутеру, роутер делит инет на 2 компа, на одном windows XP SP2 (я на нем работаю) на другом windows Vista, недавно 2-ой был в ремонте, там ему поменяли жёсткий диск и переустановили систему, до ремонта я не ставил на него Jetico так как времени не было времени, но после ремонта решил поставить, как выяснилось сетевая активность в Vista сильно отличается от XP. Например в Xp svchost.exe запрещёна любая активность и всё нормально работает, а в Висте DNS отправляются только через svchost.exe, поэтому приходиться давать ему доступ к DNS.
Но беда не в svchost.exe, в Висте процесс csrss.exe постоянно лезет в сеть (исходящее соединение), запретить ему доступ к сети я не могу так как тогда не работает "общий доступ к файлам", конечно я запретил ему создавать подключение, но мне нужно знать это нормально?
PS: а если нет, то откуда может взяться троян в чистой системе?

guBiegreS
По Джетике то в чём вопрос?
Цитата:

Например в Xp svchost.exe запрещёна любая активность и всё нормально работает

Доступ к ресурсам машины по локальной сети, без активности svchost.exe (NetBIOS, RPC/DCOM) нормальным быть не может.
Цитата:

...а в Висте DNS отправляются только через svchost.exe, поэтому приходиться давать ему доступ к DNS

А если остановить службу DNS-клиент?
Цитата:

в Висте процесс csrss.exe постоянно лезет в сеть (исходящее соединение), запретить ему доступ к сети я не могу так как тогда не работает "общий доступ к файлам", конечно я запретил ему создавать подключение, но мне нужно знать это нормально?

Что такое [more=Csrss.exe]Это часть подсистемы Win32, исполняющаяся в пользовательском режиме (в то время как Win32.sys исполняется в режиме ядра). Csrss означает client/server run-time subsystem (подсистема клиент/сервер времени исполнения) и представляет собой существенную подсистему, которая должна быть запущена всегда. Подсистема csrss отвечает за работу консольных окон, создание и уничтожение потоков и частично за работу 16-разрядной виртуальной среды MS-DOS.[/more]. Куда лезет, на какие IP? В каком каталоге находится (должен в \WINDOWS\system32). Вообще не зная, как у тебя всё организовано и что установлено тяжело сказать. Если есть сомнения то лучше сюда.
Цитата:

откуда может взяться троян в чистой системе?

Откуда угодно, начиная от происхождения самой системы, кончая способом установки (полный формат, только системный диск, был ли отключён сетевой кабель в момент установки и т.п.).

Чёрт лог затёрся, надо было сохранить IP, а теперь вроде тихо никакой активности не наблюдаю.
Dimitr1s спасибо за подсказки))

uTorrent просится на получение пакетов (UDP) с удалённого 192.168.1.1 (мой роутер) и с какого-то левого американского 10.50.9.18 на локальный порт 0.

что это такое, скажите пожалуйста?

kadvlad

Цитата:

(провайдер УкрТелеКом)

Цитата:

и с какого-то левого американского 10.50.9.18

Проверить для начала, не является ли этот ужасный "левый американский" IP, одним из промежуточных шлюзов самого УкрТелеКом. Сделав tracert, к примеру до www.ru, или позвонив в офис.

Dimitr1s

Если он промежуточный, то почему в торрент просится и на порт 0?
Разве правила в вышестоящей таблице IP не должны фильтровать служебные запросы?

У меня для торрента разрешено только:

косвенный доступ к сети
доступ к сети
исходящее соединение на локал. 1025-5000    
входящее соединение, получение пакетов (UDP) на локал. 31248, 50000

kadvlad

Цитата:

Если он промежуточный, то почему в торрент просится и на порт 0?

Шлюз ни куда просится не может, а почему uTorrent запрашивает с него пакеты UDP, тебе видней, как построена сеть и как ты настраивал торрент и роутер, так и работает. Локальный порт 0, означает в данном случае, любой локальный порт (0-65535).
Цитата:

Разве правила в вышестоящей таблице IP не должны фильтровать служебные запросы?

Если создал такие правила в таблице IP, то они и будут срабатывать, если пакет под них не попадает, то срабатывает Stateful Inspection т.к. пакет ожидаемый (в таблице для приложений, созданной для uTorrent) и если тут есть правило "Спросить", соответственно получаешь запрос.
Цитата:

У меня для торрента разрешено только:

Тут это обсуждалось уже, посмотри.

Dimitr1s

спасибо за помощь.

я много страниц форума перечитал... где то в начале встретил и не могу вспомнить.

я просматриваю правила в виде "Flat view" так понятнее.
1.если приходит пакет из сети - тут понятно он идет сверху вниз по таблицам. запретил на верхних(напр. IP) -> дальше он не пойдет.
а если я запускаю программу - она тоже движется сверху вниз по таблицам??в смысле правила ее "просматривают".

2. стоит ли удалить какие-то стандартные таблицы: браузеры, майлы...и т.п.
при запуске скайпа например. он сразу будет тыкаться в "skype" таблицу?...

Ivan Chelovekov

Цитата:

а если я запускаю программу - она тоже движется сверху вниз по таблицам??в смысле правила ее "просматривают".

Сначала проходятся, таблицы проактивки: Контрольные суммы -> Контроль процессов, потом таблица Приложение (Application): Доступ в сеть -> Косвенный доступ в сеть -> Сетевая активность, потом Таблица IP (IP Table) и Сеть (Network). Каждая таблица проходится сверху вниз.
Цитата:

стоит ли удалить какие-то стандартные таблицы: браузеры, майлы...и т.п.
при запуске скайпа например. он сразу будет тыкаться в "skype" таблицу?...

Стоит удалить всё чем не пользуетесь и особенно правила без указанных путей к исполняемым файлам. Поясню на примере: создано в таблице запрещающее правило для IE на удалённый порт 80, если при проходе таблицы Application, сверху вниз, выше окажется разрешающее правило на удалённый:80, без пути до исполняемого файла, то IE по нему выйдет в сеть. Тоже и со Skype и с любым другим приложением, они последовательно, сверху вниз, "проходят" таблицу в поисках соответствующего их запросу правила, если запрещающие/разрешающие правила не найдены, то выдаётся запрос по правилу "Спросить", или в таблице Сетевая активность, или, если указан путь, в соответствующей таблице. Названия таблиц и правил здесь никакого значения не имеют, значение имеет содержание правила и его расположение, ну и естественно если указан путь к исполняемому файлу, воспользоваться им сможет только указанное приложение, если путь не указан - то все.

еще вопросы).

-для примера.
я запускаю торрент, чтото делаю и ЗАКРЫВАЮ его.
в этот момент начинает total commander лезть с правилом о косвенном доступе через торрент. они же никак не связаны!

аналогичные ситуации когда например удаляешь программу и uninstall после удаления всей программы! начинает write to application's memory например того же totala.

идея мне не ясна. таблицы начинают забиваться этими правилами(.

в чем логика?...

2. я совсем не понимаю насчет TCP/UDP statefull. получается, что в принципе пакеты к тому же torrent/или браузеру проходят через это правило.
в случае "непринадлежности" пакета ни к одному из приложений он откинется?

дзенькую.

Ivan Chelovekov
По первому и второму: Даже после выгрузки программы, она какое то время может оставаться в памяти, или куски её кода. Если происходит попытка чтения/записи в эти сегменты, Джетика справедливо об этом информирует.
Цитата:

таблицы начинают забиваться этими правилами(.

А вот это, совсем напрасно. При выборе действия в запросе, есть замечательная кнопочка: Разрешить на этот раз, если ей пользоваться ни одного лишнего правила не будет.
Про Stateful Inspection по-русски, если интересно. В Джетике немногим отличается (не работает с FTP, к примеру ), но принцип тот же.
Цитата:

в случае "непринадлежности" пакета ни к одному из приложений он откинется?

Да.

Насчет разрешить на один раз - это же довольно часто придется кликать(...

Еще вопрос:
многие приложения, Bat, Skype почему то запрашивают доступ к локальному 127.0.0.1.
вроде того "входящее соединение:локальный порт 3322,адрес назначения 127.0.0.1:3323".

Ivan_Chelovekov

Цитата:

Насчет разрешить на один раз - это же довольно часто придется кликать(...

Ну, по крайней мере, когда надоест сотнями плодить в таблицах ненужные, одноразовые правила, а потом их искать и удалять вручную - решение известно.
Цитата:

многие приложения, Bat, Skype почему то запрашивают доступ к локальному 127.0.0.1.

Потому, что многие программы, как и сама Windows, хотят почувствовать себя немного серверными. Localhost нужно разрешать, по запросу (может быть и по UDP и по TCP), иначе программа, если и будет работать, то с большими задержками.

В Outpost'е есть отличный шаблон для localhost:loopback, где условие: локальный порт, совпадает с удалённым, а это практически большинство подобных соединений, жаль в Джетике подобное нельзя задать.

Обнаружен баг: jetico не дружит с drweb 5.0 !
Если установлен jetico и ставится дрвеб, то при запуске быстрой проверки во время установки система уходит в БСОД.

Если же дрвеб уже установлен, то джетика ставится нормально, но при попытке запустить сканер Доктора система, опять таки, в БСОД-е.
Третий вариант. Установлен jetico, ДрВеб не установлен. Запускаю CureIt - система в БСОД-е. Вот так. Для себя решил, что буду пользоваться только консольным сканером.

Gob
сколько памяти на машине? были опыты с drweb 4.44 и winPE на виртуалке, памяти там было ~128(сейчас точно не помню). winPE работала нормально, но стоило запустить drweb рушушило виртуалку.

Коллеги!

Возможно, здесь уже неоднократно задавался подобный вопрос, но осмелюсь еще раз спросить: есть ли смысл переходить с первой стабильной версии (1.0.1.61) на вторую версию? В первую очередь хотелось бы узнать мнение тех, кто использовал первую и перешел на вторую.

DOE_JOHN
Проверял на двух машинах. На 1-й 512, на 2-й 256 Мб.
4.44 стоял на обоих и все было хорошо.
С winpe и виртуалкой не эксперементировал.

Gob
так и говорят, что проблемы с 5 версией доктора. У меня тож синие экраны с ним.

Gob
Цитата:

Обнаружен баг: jetico не дружит с drweb 5.0 !
<...>
Третий вариант. Установлен jetico, ДрВеб не установлен. Запускаю CureIt - система в БСОД-е.

Стоит Jetico v2.0.26+NOD32 v2.70.39+SystemSafetyMonitor v2.0.8.585. Запускаю CureIt 5.0 - работает, BSOD'ов не замечено. Памяти на машине - 1GB.
В Джетике отключены Indirect Access и Process Attack, - функции HIPS выполняет SSM.

Помогите, какое нужно правило, чтобы через прокси Jetico делал проверку на url ? Когда работаю напрямую ( через модем) , то все в порядке.На каждый новый сайт, не записанный в правила сначала Jetico спрашивает разрешение. Как только подключаюсь через прокси , разрешаются все сайты. В таблице Appliction Table -> Ask User стоят 2 строчки: ( привожу в сокращенном виде)

accept access to network iexplorer
ask TCP/IP outbound connection iexplorer 192.168.0.21 ( proxy ip) 3080 ( proxy port)

Какое правило надо добавить, чтобы спрашивал про сайты?

mic537
фильтрация идёт на уровне сетевом и транспортном уровне. Фильтрация на уровне приложений должна настраиваться в прокси, а не в файрволе.

То есть, если, у меня нет доступа к настройкам прокси, то я не смогу запретить доступ к ненужным сайтам? Или все-таки можно через Jetico, но из ответа я не понял как.

mic537
нельзя. Если есть такая задача, ставь свой прокси, коорый будет форвардить на чужой. А в своем прокси делай любый нужные тебе acl'и

По поводу версии JPF 2.0. Аналогично, Dr.Web не дружит с данной версией. Жёсткий и мгновенный перезагруз при попытке запустить сканер вэба. Никакие танцы с бубнами не помогли. Судя по всему не могут поделить область памяти. Можно проверить ицесофтом - но пока руки не доходят. Проблем с первой джетикой не наблюдается.

Хэх, вопрос на засыпку спецам по джетике - как честно настроить джетику дабы не засыпала PCFlankLeaktest ? Вопрос достаточно критичный в отношении общей защиты. Хотя разумеется можно и не делать глупостей, приводящих использованию аналогичных брешей - но сие не есть путь самурая .

RMNLRK

Цитата:

Хэх, вопрос на засыпку спецам по джетике - как честно настроить джетику дабы не засыпала PCFlankLeaktest ? Вопрос достаточно критичный в отношении общей защиты. Хотя разумеется можно и не делать глупостей, приводящих использованию аналогичных брешей - но сие не есть путь самурая .

Настраивать ничего не надо, всё настроено по умолчанию: [more=PCFlank Leaktest]Все настройки по умолчанию:
Запускаем тест. Жмём "Start Internet Explorer". Появляются три запроса:



Можно "зарубить" уже здесь (что на самом деле и произошло бы, если бы их выдало сомнительное приложение), но для чистоты эксперимента, всё разрешаем (тем более создатели теста об этом слёзно просят). Открывается (с нашего разрешения!) окно IE и в тесте появляется строка ввода. Вводим текст:

Жмём далее. Теперь самое интересное: происходит несколько запросов, среди которых нас интересуют собственно два, имеющих прямое отношение к прохождению этого теста:


Если их разрешить имеем отправку данных:
разрешить    Internet Explorer HTTP Conect    TCP/IP    исходящее соединение    C:\Program Files\Internet Explorer\iexplore.exe    0.0.0.0     195.131.4.164 (www.pcflank.com)    1107    80
разрешить    Internet Explorer UDP Conect    TCP/IP    отправка пакетов (UDP)    C:\Program Files\Internet Explorer\iexplore.exe    127.0.0.1    127.0.0.1     1106    1106
разрешить    Internet Explorer UDP Conect    TCP/IP    получение пакетов (UDP)    C:\Program Files\Internet Explorer\iexplore.exe    127.0.0.1    127.0.0.1     1106    1106
разрешить    Internet Explorer HTTP Conect    TCP/IP    отправка данных    C:\Program Files\Internet Explorer\iexplore.exe     127.0.0.1    195.131.4.164 (www.pcflank.com)    1107    80
разрешить    Internet Explorer UDP Conect    TCP/IP    отправка пакетов (UDP)    C:\Program Files\Internet Explorer\iexplore.exe    127.0.0.1    127.0.0.1     1106    1106
разрешить    Internet Explorer UDP Conect    TCP/IP    получение пакетов (UDP)    C:\Program Files\Internet Explorer\iexplore.exe    127.0.0.1    127.0.0.1     1106    1106
Если запретить первый запрос, дальше ничего не происходит, ни какой отправки пакетов не происходит.
Собственно и всё.
[/more]

Dimitr1s: Спасибо. Приведённый вами пример относится ко второму jpf. Я борюсь с первым . Ибо двойка не дружит с вэбом или наоборот .

Например, мои действия при работе с jpf 1.0:
1. Стартую ликтест
2. Стартую из него ослика. Ослик стоит на родном правиле для браузеров. И это нормально(вы же не будете при серфинге контролировать каждый адрес на который обратился браузер) .
3. Получаю исключительно хэшевые эвенты на ликтест
4. Разрешаю их без сохранения до нормального открытия эксплорера. Сам уже прекрасно понимаю, что ликтест свою работу сделал.
5. Набираю тарабарщину в лике.
6. Жму далее, как ни странно - никаких телодвижений со стороны jpf. Ликтест спокойно мне говорит что тест провален.
7. Недоумеваю по поводу происходящего.

Файер должен был завопить сразу после попытки инкапсуляции тарабарщины ликтестом в браузер. Что и произошло в вашем случае при использовании jpf 2.0. Судя по всему - единичка не умеет отслеживать подобные процессы. С чем я себя и поздравляю. Жаль, ищем альтернативу. Если в моих действиях что то неверно - просьба прокомментировать .

RMNLRK

Цитата:

Приведённый вами пример относится ко второму jpf. Я борюсь с первым

Уточнили бы, а то не совсем из сообщения ясно, что было убрано - JPF2 или Dr.Web 5, который судя по мельком прочитанному оф-форуму, пока что стабильно выпадает в "синяки" и сам по себе, без всяких сторонних усилий.
Цитата:

4. Разрешаю их без сохранения до нормального открытия эксплорера. Сам уже прекрасно понимаю, что ликтест свою работу сделал.

Вы, прежде чем запускать тесты, внимательно прочитайте их условия. Тест на "тихую" отправку данных, происходит как раз после:
Цитата:

5. Набираю тарабарщину в лике. 6. Жму далее...

Цитата:

А блокировать очевидный запрос по вашему примеру(когда ослик вообще без правил и естественно jpf его сразу ловит на попытке вылезти в нет) - это не есть честный и жизнеспособный метод.

Опять же, посмотрите внимательно, какие события ловит Джетика 2 в моём примере. Во-первых, для IE есть полный набор правил, во-вторых, при запрете комбинированной зависимости, до "попытки вылезти в нет", дело не доходит, а происходит как раз:
Цитата:

Файер должен был именно после попытки инкапсуляции отсыла тарабарщины завопить.

Цитата:

7. Недоумеваю по поводу происходящего.

Сам первой Джетикой не пользовался, но судя по дате её последнего обновления (19 Июль 2005 г.), ни чего странного не вижу.
Цитата:

Хотелось бы получить именно штатную отработку защиты.

Стараться устанавливать последние версии защитного ПО, в которых учтены "наработки" создателей злонамеренного софта. Какие - выбирайте сами, с учетом совместимости (давайте holy war разводить не будем). Первую Джетику, 2005 г. выпуска к таковым отнести сложно. Если проактивка не отслеживает какие либо процедуры и функции, то увы. Серьёзно же рассматривать чепуху, вроде "заколачивания" IE, не будем т.к. зловред может быть написан под что угодно, проблему это не решит.

Цитата:

Уточнили бы, а то не совсем из сообщения ясно, что было убрано - JPF2 или Dr.Web 5, который судя по мельком прочитанному оф-форуму, пока что стабильно выпадает в "синяки" и сам по себе, без всяких сторонних усилий.

Извиняюсь за неясные моменты. Убран был jpf2. К "Др.Вэб V" у меня нареканий не было вплоть до попытки использовать вторую джетику. Хотя признаю, в проблемах данного сочетания виноват именно антивирь.


Цитата:

Вы, прежде чем запускать тесты, внимательно прочитайте их условия. Тест на "тихую" отправку данных, происходит как раз после:

Описание - описанием... Но вы пытались разобрать что делает ликтест до момента отсыла ?

Цитата:

Опять же, посмотрите внимательно, какие события ловит Джетика 2 в моём примере. Во-первых, для IE есть полный набор правил, во-вторых, при запрете комбинированной зависимости, до "попытки вылезти в нет", дело не доходит, а происходит как раз:

Тут согласен. Данные поспешные моменты были мной исправлены ещё до вашего коммента .

Цитата:

Стараться устанавливать последние версии защитного ПО, в которых учтены "наработки" создателей злонамеренного софта. Какие - выбирайте сами, с учетом совместимости (давайте holy war разводить не будем). Первую джетику, 2005 г. выпуска к таковым отнести сложно. Если проактивка не отслеживает какие либо процедуры и функции, то увы. Серьёзно же рассматривать чепуху, вроде "заколачивания" IE, не будем т.к. зловред может быть написан под что угодно, проблему это не решит.

Полностью согласен со всем сказанным. Собственно это риторика. А по поводу джетики, пока придётся отказаться от использования. Возможно до тех пор пока Данилов не решит проблему совместимости со второй версией jpf. Причём логи после краша не успевают создаться - в чём весь мрак ситуации.
А первая версия уязвима - и я пытался найти возможность убрать эти уязвимости именно в первой версии.

В любом случае спасибо за конструктивный разговор .

Цитата:

6. Жму далее, как ни странно - никаких телодвижений со стороны jpf. Ликтест спокойно мне говорит что тест провален.

И не пытайся. Джетика это фаервол. Проактивная защита символическая (не перехватывает OLE объекты). Для этих целей есть HISP, опять-таки, не все HISP видят OLE.