» Лучший домашний фаерволл firewall - сравниваем и обсуждаем

TeXpert
А что такое
Цитата:

драйверы "низкого" уровня

? Как ты собираешься в драйверах NDIS (только) контролировать сетевую активность приложений ?

Цитата:

Так делать даже Microsoft не рекомендует

Эта фирма много чего не рекомендует. Однако если придерживаться этих рекомендаций ничего путного не выйдет.

Цитата:

Защита должна быть комплексной.

Точно. Как раз совместное использование драйверов в разных частях TCP стека и является комплексной защитой (применительно к файрволлам, без учета проактивной защиты). Или использование нескольких защит с разной функциональностью (фаер + HIPS + AntiSpyware). А два фаера - это не комплексная защита. Это глюк комплексный

NightHorror

Цитата:

А что такое
Цитата:драйверы "низкого" уровня
?

Я пост свой отредактировал.


Цитата:

Однако если придерживаться этих рекомендаций ничего путного не выйдет

Не сказал бы, во всяком случае, нормальные firewall'ы реализованы по рекомендации этой фирмы, через промежуточный NDIS-драйвер.


Цитата:

А два фаера - это не комплексная защита. Это глюк комплексный

Да нет, гоняю несколько месяцев, всё нормалевич).

Добавлено:
NightHorror

Цитата:

Как ты собираешься в драйверах NDIS (только) контролировать сетевую активность приложений ?

Ну зачем так упрощать? И разве я говорил, что NDIS только? Это твои домыслы. В драйверах основа.

TeXpert

Цитата:

во всяком случае, нормальные firewall'ы реализованы по рекомендации этой фирмы, через промежуточный NDIS-драйвер

К твоему сведению встроенный в XP фаер также использует IPfilterDriver. Вернее реализует его. Полагаю, встроенный фаер сделан по "рекомендации" мелкософта ?
А отпост как и многие другие фаеры (джетика напр.) использует перехваты как на уровне NDIS так и на других (IPFilter, TDI, DNSAPI, SDT). Так что с реализацией комплексного подхода у них все в порядке. А "нормальные" фаеры - это не те, что сделаны по рекомендациям. А те, которые защищают. Сравни, например, проактивку, сделанную по "рекомендации" (Windows Defender) и нормальную, сделанную как нерекомендуется делать (System Safety Monitor, ProSecurity HIPS и .пр).

Цитата:

И разве я говорил, что NDIS только? Это твои домыслы.

Домыслы конечно. И вот ты снова говоришь
Цитата:

во всяком случае, нормальные firewall'ы реализованы по рекомендации этой фирмы, через промежуточный NDIS-драйвер.

Из прочитанного можно "домыслить" что "нормальные" фаеры реализуются только через NDIS. Так что извини, сам так пишешь...
И, кстати,
Цитата:

Можно втихаря ходить к производителю на сайт

- это может сделать любой нормальный фаер. И другим фаером, даже при условии совместной работы, ты это не прикроешь.

NightHorror

Цитата:

К твоему сведению встроенный в XP фаер также использует IPfilterDriver

Неправда. Там другой интерфейс, недокументированный.

Цитата:

Полагаю, встроенный фаер сделан по "рекомендации" мелкософта ?

Почитай документацию DDK, если интересно.

А вот то, о чём говорю -- документирован, посмотри, например, тут:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/NetXP_d/hh/NetXp_d/fltrhook_cb402c5c-f5db-498b-8db6-c2994bbf7870.xml.asp

Используя этот механизм, любой более-менее грамотный пользователь сам может простейший firewall написать, но, там же найдёшь уже упоминаемые рекомендации про более серьёзные вещи.


Добавлено:
NightHorror

Цитата:

Из прочитанного можно "домыслить" что "нормальные" фаеры реализуются только через NDIS. Так что извини, сам так пишешь...

Да вроде мы с вами грамотные люди, понимаем, что такое основа реализации. А тут отвлекаемся на мелкие детали).

TeXpert

Цитата:

Неправда. Там другой интерфейс, недокументированный.

Ошибаешься. То, что встроенный фаер может быть использует недокументированный API не исключает использование им документированного.
Глянь, например, здесь http://www.securitylab.ru/analytics/254727.php?PAGEN_1=8&el_id=254727 - про некоторые техничекие детали. Может что прояснишь для себя...

Цитата:

Используя этот механизм, любой более-менее грамотный пользователь сам может простейший firewall написать, но, там же найдёшь уже упоминаемые рекомендации про более серьёзные вещи.

Я тебе лучше ссылку дам: http://www.codeproject.com/internet/drvfltip.asp (чтоб не париться).

Добавлено:

Цитата:

Почитай документацию DDK, если интересно.

Сейчас нету времени чтобы вычитывать там рекомендации по реализации файрволлов...
Повторюсь, что
Цитата:

А "нормальные" фаеры - это не те, что сделаны по рекомендациям. А те, которые защищают.

NightHorror

Цитата:

Ошибаешься. То, что встроенный фаер может быть использует недокументированный API не исключает использование им документированного.
Глянь, например, здесь http://www.securitylab.ru/analytics/254727.php?PAGEN_1=8&el_id=254727 - про некоторые техничекие детали. Может что прояснишь для себя...

Ничего такого там не вижу. А вот то что не ошибаюсь, объясню.
Windows Firewall реализован с помощью интерфейса ловушек брандмауэра (IPFirewallHook). Таких ловушек может быть в системе много, в отличие от
ловушки IP-фильтра, чувствуешь разницу? Первый реализован в IPNat.sys, в то время как второй -- в IPFltDrv.sys. А утверждение автора статьи

Цитата:

Для MS Windows XP и выше контролируется IpFilterDriver – встроенный интерфейс для фильтрации. Между прочим, его использует встроенный фаервол (брандмауэр), входящий в состав ОС начиная с WinXp. Получить более полную информацию можно по адресу – http://microsoft.com

надо проеверить. Microsoft это не утверждает, но главное, более авторитетный автор -- Руссинович (до перехода)).

Цитата:

Я тебе лучше ссылку дам: http://www.codeproject.com/internet/drvfltip.asp (чтоб не париться).

Ты малость опоздал). Я эту ссылку давно знаю, причём открыл, как часто бывает, после того, когда уже разобрался. Если ты бы был внимательнее, заметил бы, что он раскурочил недокументированный как раз интрефейс IPFirewallHook, там же найдёшь ссылку.

Добавлено:
NightHorror

Цитата:

К твоему сведению встроенный в XP фаер также использует IPfilterDriver

Уточню -- он не использует ловушку этого драйвера. А про использование самого драйвера ни Microsoft, ни Руссинович ничего не говорят.

Добавлено:

Цитата:

это может сделать любой нормальный фаер. И другим фаером, даже при условии совместной работы, ты это не прикроешь

А вот это неправда.

TeXpert

Цитата:

Ничего такого там не вижу.

Там по крайней мере есть некоторые техподробности о аутпосте которые ты не знаешь (сам писал
Цитата:

Не утверждаю, что Outpost не реализует также NDIS-драйверы,

- теперь будешь знать )

Цитата:

надо проеверить. Microsoft это не утверждает

Проверяй...

Цитата:

Ты малость опоздал). Я эту ссылку давно знаю ..... он раскурочил недокументированный как раз интрефейс IPFirewallHook

Я и не спешил. Ты ее давно знаешь, но если бы был внимательнее, то заметил бы что раскурочен там не IPFirewallHook а интерфейс IP Filter Driver. И IPFirewallHook не недокументирован, он частично документирован.
ЗЫ: лично мене это обсуждение несколько утомило. Лично мне вообще пофиг какие методы тот или иной фаер юзает: рекомендованные, нерекомендованные, документированные или нет... Был бы фаер хороший... Предлагаю сойтись во мнении что лучший фаер - это комодо версии 5.0. Она выйдет лет года так через два... Там и посмотрим.



Добавлено:

Цитата:

А вот это неправда.

Отослать с NDIS-hook драйвера пакет прямо в сетевуху не может ?

Добавлено:

Цитата:

Уточню -- он не использует ловушку этого драйвера.

Конечно не использует - ее же только одну можно поставить. Тогда бы в API ее бы не было.
Цитата:

А про использование самого драйвера ни Microsoft, ни Руссинович ничего не говорят.

Обсуди тады вопросы лучшей реализации файрволла с Гейтсом и Руссиновичем. Лично я в этом не силен. И вообще, мы офтопим - топик не про реализайию файрволлов.

NightHorror

Цитата:

Не утверждаю, что Outpost не реализует также NDIS-драйверы,
- теперь будешь знать )

Получается, я правильно предположил, ведь в той статье утверждается, что
Цитата:

Основную часть работы по защите компьютера берет на себя filtnt.sys – драйвер режима ядра

А ведь известно, что NDIS-драйверы не являются драйверами режима ядра.


Цитата:

...раскурочен там не IPFirewallHook а интерфейс IP Filter Driver

Не так. Всё же он к другому драйверу цепляется, хотя механизм похожий.
Наверное, в посте выше выразился слишком кратко -- на том же сайте есть другая статья, про интерфейс IPFirewallHook.


Цитата:

...лично мене это обсуждение несколько утомило

Согласен). Мы немного увлеклись.


Цитата:

Предлагаю сойтись во мнении что лучший фаер - это комодо версии 5.0. Она выйдет лет года так через два... Там и посмотрим

Не пробовал). Это ваша команда пишет?


Цитата:

Отослать с NDIS-hook драйвера пакет прямо в сетевуху не может ?

Что означает "прямо в сетвевуху"? Ведь всё пройдёт через драйвер протокола, с одной стороны, и с минипорт-драйвер, с другой. Всё зависит от того, кто сидит ближе к нижнему концу (стека минипорт-драйверов), насколько помню.


Цитата:

И вообще, мы офтопим

Согласен). Благодарю за обсуждение, а ссылка про работу OP всё же интересна, хотя и не совсем внушает доверия.

TeXpert

Цитата:

Не пробовал). Это ваша команда пишет?

Да не Это Comodo Firewall. Про 5-ю версию и два года это шутка

Цитата:

Что означает "прямо в сетвевуху"? ...

Я имел ввиду минипорт для сетевухи. Но не в этом дело: есть же в принципе возможность отослать пакет минуя хуки файрволла если поставишь свой раньше в стеке.

Цитата:

Благодарю за обсуждение

Тебя тоже

NightHorror
Я, возможно, слишком кратко (как часто привык) выразился двумя постами выше.
Я имел в виду эту ссылку, говря про ещё одну ссылку:
http://www.codeproject.com/internet/FwHookDrv.asp

Весьма полезная работа.

KUSA

Цитата:

когда приложения используя API запрос получает доступ к DNS, те получаем DNS туннель.

спасиб, теперь вспомнил эту статью (кажется, по твоей же ссылке читанную )
NightHorror

Цитата:

Фаер не обязан проверять содержимое пакетов - для этого есть антивирусы.

Вроде как это его прямая обязанность! С таким успехом можон сказать, что стена ваще не нужна, достаточно антивиря!
TeXpert

Цитата:

Иметь 2 фаера на компе - нонсенс

Ты жестоко ошибаешься. Защита должна быть комплексной.

мне почему-то кажется, что назначение файера - анализировать и фильтровать пакеты ДО того, как к ним получит доступ кто угодно еще и они смогут принести вред. Как с этой точки зрения можно смотреть на одновременную работу 2 и более стенок? (случай разделения труда, когда один фильтр проверяет второй-третий уровень, а второй фильтр - с 4-го по последний 7й, - разговор отдельный). А когда на тех же уровнях - одно из двух получаем: или второй файер позволяет первому сначала их обрабатывать (тогда на кой нам такой второй?), или идет драка 2 горячих финских парней за право первому обработать пакет. Вплоть до обрушения ОСи.

NightHorror

Цитата:

Можно втихаря ходить к производителю на сайт
- это может сделать любой нормальный фаер. И другим фаером, даже при условии совместной работы, ты это не прикроешь.

- то есть, напр, внесение в банлист ИПа сайта ничего не изменит? Любопытно было бы посмотреть..
А прикрыть - та як нефиг! Беру ихнее доменное имя, втюхиваю в файл hosts со значением ИПа, скажем, 127,0,1,1 (локалхост это не только 0,0,1, а вся 127 подсеть с маской 255,0,0,0) и бум посмотреть, как он найдет свой сайт у меня на компе.

upd.

Цитата:

If you remember, Filter-Hook driver only allows one filter function installed in the system. If one application already uses this functionality, your application doesn't work. With Firewall-Hook driver, you don't have this problem. You can install all filter functions you need. Each filter function has a priority assigned, so the system will call one function after another (in priority order) until a function returns "DROP PACKET". If all functions return "ALLOW PACKET", the packet will be allowed. You can imagine it as a chain of filter functions. This chain is broken when one of them returns "DROP PACKET". The order of each function in the chain is given by its priority value.

- любопытная штука. А ежели появится некая уязвимость в ентом механизме? Позволяющая, скажем, менять приоритеты (дабы сначала пакет обрабатывался вообще не стенкой), или что еще.

bredonosec

Цитата:

Вроде как это его прямая обязанность! С таким успехом можон сказать, что стена ваще не нужна, достаточно антивиря!

Да нет, и тот и тот нужен: антивирь проверяет содержимое пакетов на всякую гадость а стенка (до антивиря) проверяет пакеты на правильность заголовков, на поступление пакетов со всякими запрещенными комбинациями флагов, на поступление пакетов в правильной последовательности и т.д. Стенкой можно закрыть определенные порты, можно проконтролировать/разрешить/запретить определенным приложениям выходить в сеть, отвергнуть часть пакетов для предотвращения сканирования портов ну и в том же духе. Просто стена не должна проверять содержимое пакетов на вирусы - это задача антивиря все таки. И устранять дыры в системе и приложениях не связанные с фильтрацией пакетов тоже не ее задача. Она должна, как бы это правильно выразиться, что то вроде проверять пакеты на соответствие стандарту и, при необходимости, регулировать их поток.

Цитата:

А прикрыть - та як нефиг! Беру ихнее доменное имя, втюхиваю в файл hosts со значением ИПа

А если отсылка идет не на сайт производителя ? А если драйвер сформирует пакет и отправит его по TCP/IP стеку прямиком по IP адресу ? Тут уже hosts не поможет. Опять же, если продвинутый какой-нить трой, встроенный в драйвера файрволла будет сам обращаться к DNS серверу и получать по имени IP ? Нет, ты пойми правильно, я не думаю что производители современных фаеров этим грешат. Хотя Скоблов (основоположник аутпоста) в свое время занимался то ли троянораспространением то ли еще чем то незаконным (давно как то читал подборку статеечек про него, помню уже плохо и неточно). От таких вот производителей конечно можно всякого ожидать в принципе. (Только не надо сразу писать что я начитался желтой прессы и все такое: читал давно, ничего не помню, все перепутал, флеймить не собираюсь ).


Цитата:

любопытная штука. А ежели появится некая уязвимость в ентом механизме?

Любой хук можно снять. Какие то сложнее, какие проще. Если фаер не контролирует не снял ли кто-то его хуки, то после этого он становится слеп. Грамотно написанный трой позволяет обойти любой фаер с уровня ядра. И обойти многие популярные фаеры с пользовательского уровня. А для того, чтобы такой трой не встал в систему и не начал функционировать одного файрволла с антивирем мало - тут еще что-то типа HIPS'a нужно.

bredonosec

Цитата:

мне почему-то кажется, что назначение файера - анализировать и фильтровать пакеты ДО того, как к ним получит доступ кто угодно еще и они смогут принести вред.

слово "кажется" - главное в этом заблуждении. все не так и намного проще чем "кажется". задачи файра для tcp/ip - [не] разрешить соединение. для прочих протоколов - [не] разрешить прохождение пакета. и все.

Цитата:

Как с этой точки зрения можно смотреть на одновременную работу 2 и более стенок? (случай разделения труда, когда один фильтр проверяет второй-третий уровень, а второй фильтр - с 4-го по последний 7й, - разговор отдельный). А когда на тех же уровнях - одно из двух получаем: или второй файер позволяет первому сначала их обрабатывать (тогда на кой нам такой второй?), или идет драка 2 горячих финских парней за право первому обработать пакет. Вплоть до обрушения ОСи.

если firewall работает как простая задача, перехватившая хуки - снять ее - раз плюнуть. в сад.

Цитата:

А прикрыть - та як нефиг! Беру ихнее доменное имя, втюхиваю в файл hosts со значением ИПа, скажем, 127,0,1,1 (локалхост это не только 0,0,1, а вся 127 подсеть с маской 255,0,0,0) и бум посмотреть, как он найдет свой сайт у меня на компе

смешно, но остроумно. а какой ip ты "втюхаешь"? тебе файр в логах его напишет?


Добавлено:
NightHorror

Цитата:

стена не должна проверять содержимое пакетов на вирусы - это задача антивиря все таки.

да.

Цитата:

Просто стена не должна проверять содержимое пакетов на вирусы - это задача антивиря все таки.

если речь про вири - тады без возражений. =)
Подумал, что про именно
Цитата:

пакетов со всякими запрещенными комбинациями флагов, на поступление пакетов в правильной последовательности и т.д

Цитата:

А если отсылка идет не на сайт производителя ?

какой-нибудь монитор сетевой активности - чем не вариант? )) Точные имена искать лень - давно уж окромя встроенного в виснетик журнала ничего не пользую, но не вижу особых проблем, если сомнения в честности производителя, постаивть сторонний логгер рядышком.
Цитата:

А если драйвер сформирует пакет и отправит его по TCP/IP стеку прямиком по IP адресу ? Тут уже hosts не поможет.

мысля крутится насчет маршрутизации - добавить маршрутик специально для данного адреса куда-нить в пятый угол =))
(но пока свободно этим навыком не овладел, и соответственно, проверить не могу, утверждать наверняка не хочу)


Цитата:

Опять же, если продвинутый какой-нить трой, встроенный в драйвера файрволла будет сам обращаться к DNS серверу и получать по имени IP ?

хмм...

Код: [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP\ServiceProvider]
"LocalPriority"=hex:
"HostsPriority"=hex:
"DnsPriority"=hex:
"NetbtPriority"=hex:

TeXpert

Цитата:

Я ведь специально упомянул об осле -- это разве не сервер?

Достаточно, это приложение, а ось. Впрочем, ты и так не ответил ни на один вопрос.
Цитата:

Для пользователя необязательно себе ставить серверную ОС, достаточно ему подхватить какого-нибудь трояна, например, и вот, пожалуйста -- он уже сервер по функциям. И таких ситуации можно много вспомнить -- те же производители, оставляющие backdoor'ы. Антивирусы тут мало помогут, а зачем тогда firewall нужен?

А ты сам до конца осознал, что ты написал? Безопасность портов обеспечить можно, а не оси, при пользовании ослом надо вообще забыть о безопасности и закрыть глаза, и все эти умные антивирусы тебе тоже не помогут, так-же как и NIPS, только модуль контроля за запуском аппликаций иногда что-то отлавливает. Я не злобствую, просто ты должен отличать когда по теме, а то сразу запальцевал со своим 2003...

bredonosec

Цитата:

как для малограмотных можно раскрыть?

Ой, опять шутишь. Я тебе в теме Kerio описывал про работу модуля (см 22 стр Kerio), а это встроенный производителем модуль, который когда собирает пакеты анализирует их на предмет атак, но опять же, известных производителю, например - скан портов, выбивания виндовс медиа плеера итд. Как ты сам понимаешь, большинство из этого - детский сад, достаточно в зарезервированном поле TCP набить какую-нибудь инфу и все эти инструкции на смарку.

NightHorror

Цитата:

Опять же, если продвинутый какой-нить трой, встроенный в драйвера файрволла будет сам обращаться к DNS серверу и получать по имени IP ?

Только если ты сам его поставишь заранее.

KUSA

Цитата:

Достаточно, это приложение, а ось.

Что достаточно? Яснее выражаться можешь?
Но в итоге внятного ответа так и нет.


Цитата:

Безопасность портов обеспечить можно, а не оси, при пользовании ослом надо вообще забыть о безопасности и закрыть глаза

Смелое, однако, заявление.


Цитата:

...и все эти умные антивирусы тебе тоже не помогут, так-же как и NIPS, только модуль контроля за запуском аппликаций иногда что-то отлавливает

Опять соврамши, с чем и поздравляю, я про антивирусы вообще не говорил.


Цитата:

...а то сразу запальцевал со своим 2003...

Какие пальцы, ты о чём? Я вообще про ситуации веду речь, если ты не способен контекст улавливать (ведь пытался же ты встроенные средства защиты с ОС отождествлять?), когда пользователь вынужден открывать какой-нибудь порт. Тут "серверность" ОСи ни при чём.

bredonosec

Цитата:

если речь про вири - тады без возражений. =)

Про них гадов

Цитата:

какой-нибудь монитор сетевой активности - чем не вариант? ))

Незнаю но не думаю что гарантированно поможет. Если только снифать в том же сегменте сети и потом долго анализировать что и куда шло... А на одном компе с фаером - если хуки монитора встанут выше хуков файрволла (тех, которые будут осуществлять отсылку пакетов) - то ничего и не обнаружится.

Цитата:

в параметрах приоритет выставить файлу хостс больший, нежели днс серву

Трой (руткит точнее), к примеру, прочитает IP DNS сервера из реестра и будет прямиком ему отсылать...

Цитата:

тут еще что-то типа HIPS'a нужно. ... как для малограмотных можно раскрыть?

Host Intrusion Prevention System - специализированный программный продукт для поведенческого анализа и контроля активности приложений. То что мы видим в аутпосте или джетике (ну и в других фаерах тоже) как попытки повлиять на адресное пространство/состояние чужих процессов: запись в чужое адр. пр-во, создание удаленных потоков, приостановка/возобновление потоков, установка системных хуков и т.д. Там много способов воздействия. В фаерах реализованы ограниченные функционально зачатки такой защиты (проактивной), но тем не менее они зачастую способны отловить/не дать запуститься трою. Ну а специализированные HIPS'ы - те предназначены для тотального контроля и защиты как приложений так и реестра от потенциально вредоносных действий. Очень хорошие решения - System Safety Monitor и Prosecurity HIPS. На сегодняшний день, с ними и имея голову на плечах возможно полностью застраховаться от заражения компа троем или руткитом. За исключением, возможно, применения против твоего компа какого-нибудь приватного сплоита тонн за 20 килобаксов, использующего малоизвестную уязвимость оси. Ну тут надо заплатками обновляться вовремя.

KUSA

Цитата:

Только если ты сам его поставишь заранее.

Естественно. Если это гипотетический файрволл, созданный для выполнения троянских функций и ты, ессно, не зная этого, его поставишь сам - тут уж... Вспоминается фильм "Сеть" и защитная программа "Привратник"...

KUSA

Цитата:

Я тебе в теме Kerio описывал про работу модуля (см 22 стр Kerio), а это встроенный производителем модуль, который когда собирает пакеты анализирует их на предмет атак, но опять же, известных производителю, например - скан портов, выбивания виндовс медиа плеера итд.

уу... склеротик, я аднака Пасиб, что напомнил ))

Цитата:

достаточно в зарезервированном поле TCP набить какую-нибудь инфу и все эти инструкции на смарку.

сигнатура (контрольная сумма) пакета сравнивается с базовой?
NightHorror

Цитата:

А на одном компе с фаером - если хуки монитора встанут выше хуков файрволла (тех, которые будут осуществлять отсылку пакетов) - то ничего и не обнаружится.

даже так? любопытно. (не спорю, бо не знаю механизма работы такого рода прог)

Цитата:

прочитает IP DNS сервера из реестра

из конфига своего лучше Потому как в реестре и я могу менять строки =)

Цитата:

Очень хорошие решения - System Safety Monitor и Prosecurity HIPS.

для серверов? Или для персоналок тож? Тяжелые?

bredonosec

Цитата:

для серверов? Или для персоналок тож? Тяжелые?

Для персоналок в первую очередь. Нетяжелые - в повседневной работе незаметно (т.е замедление работы в среднем <= ~5%).

NightHorror

Цитата:

Если только снифать в том же сегменте сети и потом долго анализировать что и куда шло... А на одном компе с фаером - если хуки монитора встанут выше хуков файрволла (тех, которые будут осуществлять отсылку пакетов) - то ничего и не обнаружится

Позволь не согласиться. Минипорт-драйвер не отвергнутый пакет в любом случае покажет; вот если он получает исходящий пакет до firewall, а последний его выбросит (заблокирует), то первый об этом не узнает. Соответственно, в таком варианте он ничего не будет знать и о входящих пакетах, заблокированных firewall'ом.

Цитата:

(т.е замедление работы в среднем <= ~5%).

хм.. я думал в метрах винта для раскрытого ПО и метрах занятой памяти в работе. Бо системы и железки у всех разные и что незаметно для одного, может оказаться критичным для другого

bredonosec
На винте ~ 10-12M, в памяти ~10M. Пробовал на машинке Пень3 900МГц/512MB RAM/WinXP SP2 - доп. загрузка незаметна. Можешь сам попробовать. Потом снесешь и все, если что... Проблем с удалением не будет.

TeXpert

Цитата:

Позволь не согласиться...

Хм. А как снифер узнает о пакете посланном в минипорт-драйвер сетевухи если он поставил хуки на MiniportXxx функции позже(т.е. выше) файрволла ? Или, например, если и фаер и снифер хучат NdisXxx функции, только офаер ставит хуки раньше ? Или сниферы по другому принципу пакеты перехватывают ?

NightHorror

Цитата:

Или сниферы по другому принципу пакеты перехватывают ?

Уж точно по-другому. Например, библиотека популярная WinPcap: разработчики на вопрос, можно ли на его базе реализовать firewall, отвечают отрицательно, потому что WinPcap реализован как драйвер протокола, а чтобы иметь возможность изменять пакеты, надо писать промежуточный минипорт-драйвер. Уж-то через них всё проходит. Ведь задача нюхачей -- только слушать, но не обнаруживать себя.


Цитата:

...поставил хуки на MiniportXxx функции

Обычно у меня на всякого рода хуки обострённый нюх, но вот не помню я таких хуков). Хуки уязвимы -- их можно обойти, а в обсуждаемом вопросе есть более надёжные способы, насколько я помню. Хорошие примеры промежуточного минипорт-драйвера есть в DDK.

Цитата:

Если это гипотетический файрволл, созданный для выполнения троянских функций

в тему.. я своими глазами видел на мониторе контактов как ZoneAlarm 6 пытается соединиться при запуске со своими, не помню с кем именно к большому сожалению.
юзаю версию 4.5 , там этого вроде нету. а пятерка у них вроде с глюками, многие ругались на ихнем форуме

TeXpert

Цитата:

Уж точно по-другому ... но вот не помню я таких хуков

С дырами в этой области мине одна дорога - изучать соотв. разделы DDK и примеры. Только момент не выбрать...
Просто 100% достоверно что есть руткиты, создающие неконтролируемый трафик. Незнаю приватные или в паблике доступны. Один разраб руткитов и по совместительству исследователь ядра (ms-rem) даже собирался разработать способ "недоказуемой" отправки пакетов. Не скажу точно что входит в этот термин, но полагаю что-то наподобие маскировки под служебный трафик, создаваемый системой при подключенной сети. Чтобы даже по перехваченным пакетам в сегменте нельзя было бы догадаться что на машине работает руткит. Не знаю удалось ли ему или нет. Я собственно к чему: если руткит способен незаметно отправить пакеты с машины - так значит (чисто теоретически) и файр (да и любой малваре-драйвер) может (если знать как) это сделать.

http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php - тесты на стойкость файерволлов, по результатам которых Comodo признан лучшим, Jetico - на втором месте. Outpost прошел все тесты, кроме одного - на вшивость, т.е. на читерство по отношению к известным тестам, и по этой причине занял не первое, а только 7-е место. Agnitum, ясное дело, возражает.
Сам я пользуюсь Аутпостом и переходить не собираюсь, будь они хоть трижды читеры. Поскольку кроме пробиваемости есть еще одна важная вещь - удобство, без нее работа за компом превратится в вечную настройку файерволла. В том же Комодо нет даже списка открытых портов или общих наборов правил для броузеров, почтовых программ и т.п., так что пока нафиг.

CBB
По результатам других тестов (я уже писал тут где-то) Outpost вообще первый, о чём Agnitum не преминула написать (те, кто загружают в OP новости, знают ).

Цитата:

Поскольку кроме пробиваемости есть еще одна важная вещь - удобство, без нее работа за компом превратится в вечную настройку файерволла.

Вот поэтому Jetico рулит "не на моём компе", как сказал KUSA.

Цитата:

так что пока нафиг

Если рассматривать и с учётом темы денег, как считаете, можно ли назвать Comodo лучшим бесплатным фаером?

Viewgg

Цитата:

По результатам других тестов (я уже писал тут где-то) Outpost вообще первый

Результатам этих других тестов, похоже, следует доверять больше, я уже написал об этом в теме про Комодо.
Цитата:

можно ли назвать Comodo лучшим бесплатным фаером?

У меня лично сей факт сомнений не вызывает. Но это только если учет темы денег проводить без учета темы "Варезник"

CBB

Цитата:

Результатам этих других тестов, похоже, следует доверять больше,

Доверять вообще можно только результатам своих тестов. Благо vmware и все тесты доступны: берешь и тестишь. Потом можно, любопытства ради, сравнить свои результаты с чужими. И улыбнуться

Цитата:

Поскольку кроме пробиваемости есть еще одна важная вещь - удобство, без нее работа за компом превратится в вечную настройку файерволла.

ну как сказать, вечную.. Я свою как настроил года 2 назад - так набор правил и стоит. Ну, раз в полгода бывает, под конкретную задачу правило или 2 сменю/добавлю.
Вероятно, ты имел в виду, что для настройки надо вкопаться в теорию глубоко, тратить на что время просто жаль - с этим вариантом согласиться можно.
время, которое у нас есть - это деньги, которых у нас нет (С)Остап сулейман мария ибрагим.... (короче, сын турецкоподданнного)