» Лучший домашний фаерволл firewall - сравниваем и обсуждаем

Ставил несколько раз Jetico. Но всегда вынужден был снести.
Причина такова - конфликтует с HandyCache. При запуске этот прокси-сервер ругается, что порт уже занят 8080). Пытался копаться в настройках Jetico, но так и не нашел решения. Остался на Kerio. Подумываю о Comodo, но на форуме последний релиз ругают.

Outpost имеет проблемы со gzip. Они решаются, но для этого надо в реестр лезть.
Короче для простого юзера Kerio самое то.

Zone alarm ранние версии нравились, но сейчас он слишеком распух.

jlmurat

Цитата:

Zone alarm ранние версии нравились, но сейчас он слишеком распух.

Да еще с русификацией теперь надолго глухо.


Цитата:

Подумываю о Comodo, но на форуме последний релиз ругают

Блин сегодня качаю релиз, зачем не знаю, тоже на Kerio сижу, но всегда хочется что - то новое попробовать

Только что прошел тест на http://probe.hackerwatch.org через Kerio (версия 4.2.3.912)
Все в норме. порты Secure)

То же самое на http://www.pcflank.com/

Так что нужен ли мне Комод?

Добавлено:
rrr777
Тест ShieldsUP! Тоже успешно пройден. Все порты stealth. Мне написали, что моя защищенность необычна для windows based system. Так что Комод качать не буду.
Ага, соединение у меня adsl, внутренний firewall в модеме отключен.
Оставайся на Kerio. Помни: Лучшее враг хорошего, от добра добра не ищут.

jlmurat

Цитата:

Так что нужен ли мне Комод?

Позапускай тесты отсюда http://www.firewallleaktester.com/ а лучше отсюда http://www.matousec.com/downloads/windows-personal-firewall-analysis/ а потом задайся еще раз этим вопросом

jlmurat
Все-таки поддался искушению поставил Комодо, те тесты, что ты описал, тоже прошел удачно, однако мне не хватает настроек (они кажутся мне скудноватыми)
тесты NightHorror не проводил, не любли, те тесты, что качать надо (или я просто разобрался не совсем)


Добавлено:
В + Комодо могу добавить, то чо оперативки стала кушать (система на 3 % в среднем) меньше.. не знаю, что дальшше пока по тэстю..

Добавлено:
Немного поторопился, насчет скудноватых настроек, вроде не так уж и мало, огорчает, меня факт такой, переходиш оперой по какой нибудь ссыле, он выскакивает, соответственно (разр./нет) пока ты читаешь че там написано и думаешь, не успев ткнуть в разрешение, он уже благополучно открывает страничку

Viewgg
В общем вчера меня Outpost расстроил. У нас в сетке увеличивается количиство зараженных компов и все они начинают ломится на наши.
1. Нет возможности забанить входящие соединения по MAC адресу источника.
Outpost просто пишет - пакет на закрытый порт или предлагает в случае перебора нескольких портов забанить IP. Но IP банить нельзя, так как есть вариант, что в следующей сессии ему будет выдан именно этот забаненный адрес (банить на 5 минут бесполезно, потом опять начинается скан нескольких портов на предмет входа)
2.Нельзя запретить именно запуск некоторых DLL, как в Lok'n'Stop.

Добавлено.
В общем - пришлось пользователю сносить Outpost.

NightHorror
jlmurat
http://www.matousec.com/downloads/windows-personal-firewall-analysis/

Скачал оттуда все тэсты нормально - Комодо их прошел, останусь на нем
Единственное (может я не понял конечно), но он регулирует ( в отличие от Керио) только инет и это мне нравится, в свое время пользовался нашим VIPNEt тоже отличный фаер ну уж очень простой пустить-непустить ( в смысле инет) вот практически все, что он может (именно этим наши производители его и нахваливают - типа просто хороший файрвол). Комодо наподобие только с более широкими возможностями. Например Керио я часто отключал при инсталяции чего-либо, ибо он просит разрешения, иногда это приводит к сбою в установке. или при установке той же мыши с USB при перезагрузке прийдется клавой драва ставить, т.к. керио обнаружит, конечно это все может и более проффессионннаалльно (так делают все основные фаеры), но мне по душе когда он вмешивается только когда приложение пытается вылезти. Короче каждому свое...

KUSA
1.О проблемах с Аутпостом лучше писать в топике про Аутпост, там прямо в шапке должна быть ссылка на плагин Superstealth - http://www.outpostfirewall.com/forum/showthread.php?s=&threadid=3037 - это как раз то, что доктор прописал в твоем случае.
2. Я Lok'n'Stop не пробовал, так что что-то не могу оценить возможного счастья, никогда такой задачи не возникало. А нельзя просто прописать правила для приложения, которое эту dll пользует?

CBB

Цитата:

1.О проблемах с Аутпостом лучше писать в топике про Аутпост

Дык, я и не говорю, что есть проблема, просто с точки зрения сравнений - мне нужно банить MAC.
Superstealth - у меня нет информации, что он совместим с 4, последней версией.

Цитата:

2. Я Lok'n'Stop не пробовал, так что что-то не могу оценить возможного счастья

А что мешает попробовать?
Цитата:

А нельзя просто прописать правила для приложения, которое эту dll пользует?

А разве можно запретить?

KUSA

Цитата:

Superstealth - у меня нет информации, что он совместим с 4, последней версией.

Я им не пользуюсь. В топике Аутпоста писали про его работу с 3.5 - значит, должен и с 4 работать.

Цитата:

А разве можно запретить?

Запретить что? dll использовать? Нельзя. Однако даже если приложение после этого каким-то чудом не загнется - это какая-то уж очень вычурная фича для файерволла, просто не могу понять, когда это может понадобиться (т.е. когда то же самое нельзя сделать обычными ограничивающими доступ к сети правилами, либо уж просто грохнув эту dll как класс).

CBB

Цитата:

В топике Аутпоста писали про его работу с 3.5 - значит, должен и с 4 работать.

Нет потверждения - нет пользования. Зачем ставить то, что может нарушить нормальную работу программы?

Цитата:

Запретить что? dll использовать? Нельзя.

Вот я об этом и толкую.

Цитата:

т.е. когда то же самое нельзя сделать обычными ограничивающими доступ к сети правилами, либо уж просто грохнув эту dll как класс).

Есть DLL которые нельзя грохать - удалять, но даже запретив этой DLL доступ в сеть ты не запретишь приложению ее использовать. Запретить можно только принудительно через фаер - например Lok'n'Stop,
Comodo, Sygate итд. Обычному пользователю это не всегда нужно, а мне необходимо.

KUSA

Цитата:

Нет потверждения - нет пользования. Зачем ставить то, что может нарушить нормальную работу программы?

Да работает он, не придирайся, только скачивай по ссылке в варезнике для 3.5. Если уж так боишься - пользуйся штатными средствами: Детектор Атак - Вкладка "Ethernet" - галка "Включить ARP фильтрацию". Это вполне зфаменяет Superstealth - http://www.outpostfirewall.com/forum/showthread.php?t=15061#arp-faq

Цитата:

Есть DLL которые нельзя грохать - удалять, но даже запретив этой DLL доступ в сеть ты не запретишь приложению ее использовать. Запретить можно только принудительно через фаер - например Lok'n'Stop,

Ну вот не понимаю я. Чего ты, собственно, хочешь? Чтоб приложение не ходило в сеть по таким-то протоколам и адресам или чтоб ходило куда угодно, но без именно этой противной dll-ки? Если первое - зачем запрещать dll? Если второе - при чем тут вообще файерволл?

KUSA
А что за dll такая вредная ? Может ее проще просто удалить и все ?
rrr777
Жаль что в Комоде нет возможности создать предустановленные правила. Чтобы при алерте можно было назначить приложению определенную группу правил. Или это все-таки сделано (я смотрел только RC4, финал не видел) ?

KUSA

Цитата:

(банить на 5 минут бесполезно, потом опять начинается скан нескольких портов на предмет входа)

а если весь диапазон ДНСР забанить? Или понятия "мой адрес" там не существует и автоматически накрывается выход в сеть?
CBB

Цитата:

Ну вот не понимаю я. Чего ты, собственно, хочешь? Чтоб приложение не ходило в сеть по таким-то протоколам и адресам или чтоб ходило куда угодно, но без именно этой противной dll-ки? Если первое - зачем запрещать dll?

- представь: присосался некий агент (спайваря) к твоему броузеру. запретить броузеру одить в сеть - сам понимаешь, глупо (назло кондуктору пойду пешком)
Выпускать с компонентой-спайварей - систему жалко -засрется (или еще какие гадости - в зависимости, какая дрянь присосалась). Выход - запретить данной компоненте ходить в сеть.

Цитата:

Если второе - при чем тут вообще файерволл?

Данное есть не менее полезная фича стенки, чем контроль приложений вообще (по моему скромному мнению, без неё контроль приложений вообще имеет мало смысла).

Цитата:

1. Нет возможности забанить входящие соединения по MAC адресу источника

А какой смысл? Пользователь может просто сменить MAC адрес.

Цитата:

Пользователь может просто сменить MAC адрес.

А это как? Я раньше думал, что мак-адрес в сетевуху вшит намертво.

Добавлено:
bredonosec

Цитата:

представь: присосался некий агент (спайваря) к твоему броузеру.

Дык если ты знаешь, что он присосался, то почему бы его тупо не удалить? Зачем такие трудности?

bredonosec

Цитата:

присосался некий агент (спайваря)...Выход - запретить данной компоненте ходить в сеть.

Дык, лучше антиспайварем пройтись. Заодно и другие шпиены подчистятся.

Цитата:

без неё контроль приложений вообще имеет мало смысла

Неа, смысла столько же. Контроль за сетевым (да и прочим доступом) в тех же Керио, Комоде или Джетике ведется для всего процесса в целом, без разделения на отдельные модули.

xdude

Цитата:

Я раньше думал, что мак-адрес в сетевуху вшит намертво

Я раньше тоже так думал. Но времена меняются. Способы можешь узнать Гуглом.

TeXpert

Цитата:

А какой смысл? Пользователь может просто сменить MAC адрес.

это всё-таки юные кулхацкеры не могут, а при динамическом ИПе - вполне себе вариант =))
xdude

Цитата:

это как? Я раньше думал, что мак-адрес в сетевуху вшит намертво.

способы:
1. через реестр
2. маршрутизация
3. софтинкой вроде софт-айса поиграться с драйвером
4.....

Цитата:

Дык если ты знаешь, что он присосался, то почему бы его тупо не удалить?

-
Цитата:

Есть DLL которые нельзя грохать - удалять,

NightHorror

Цитата:

Неа, смысла столько же. Контроль за сетевым (да и прочим доступом) в тех же Керио, Комоде или Джетике ведется для всего процесса в целом, без разделения на отдельные модули.

а связь? Где связь - "вася, петя, вова, маша тоже пользуются тайдом, значит пользовать другие моющие средства смысла нет" - так чтоль? =)))

Потестил Комод. Нашел пару претензий.
1. Слишком часто задает одни и те же вопросы. И даже если мульку ставишь Запомнить мой выбор. Керио и Зона обычно после такой процедуры запоминают и не навязываются.
2. Вешает мне иногда Firefox. То есть проц занят на 100%, делаешь в Комоде разрешить все, сразу загрузка падает ниже 10%. Может, он с Семпроном не дружит?
3. В обшем, решил вернуться на старый добрый Керио.

bredonosec

Цитата:

Цитата:Дык если ты знаешь, что он присосался, то почему бы его тупо не удалить?
-
Цитата:Есть DLL которые нельзя грохать - удалять,

Не бывает так. Это фантастика. Если ты знаешь, что эта dll - вредоносна и что твое приложение без нее прекрасно обходится - ее можно просто прибить, а не запрещать, потому как твоему приложению это без разницы. Причину, по которой ее нельзя прибить я смог придумать только одну - эта dll системная и без нее не могут работать другие приложения, которые у тебя запущены. То есть эта функция нужна пользователям, которые согласны, чтоб за ними шпионили, но хотят сами выбирать приложения, через которые это будет делаться. Мои слабые мозги глубины этого замысла оценить как-то не могут.

TeXpert

Цитата:

А какой смысл? Пользователь может просто сменить MAC адрес.

У большей части провайдеров идет привязка к MAC и его смена невозможна.

xdude

Цитата:

Я раньше думал, что мак-адрес в сетевуху вшит намертво.

Ты правильно думал. Ты меняешь MAC в системе, а не в сетевухе.

CBB

Цитата:

Если ты знаешь, что эта dll - вредоносна и что твое приложение без нее прекрасно обходится - ее можно просто прибить, а не запрещать, потому как твоему приложению это без разницы.

А разве я говорил что они вредоносны?
Просто используя их ты можешь или считать с компа пользователя доб информацию (для чего рекомендую походить по некоторым варезным сайтам), установить расширение для браузера итд. Почему их нельзя удалить - если я пробиваю DLL которое отвечает за установку расширения в браузер, то я не смогу расширить функции браузера. Но мне никто не мешает скачав расширение и установить его, выключив фаер. А при серфинге я эту DLL блокирую.

Цитата:

чтоб за ними шпионили, но хотят сами выбирать приложения, через которые это будет делаться.

Мы говорим о DLL, а не о приложениях. А уж любимого ослика всем приходится использовать - вот поэтому DLL и пробиваем.
Если ты считаешь что DLL лучше удалить - то можешь сам воспользоваться своим советом,
а заодно и раскажешь, как винда стала после этого работать.
Запрет использования DLL для определенного приложения и его удаление из системы-разные понятия. Постарайся это
Цитата:

оценить

.

KUSA

Цитата:

Запрет использования DLL для определенного приложения и его удаление из системы-разные понятия. Постарайся это
Цитата:оценить

Я уже постарался. Собственно, все в чистом виде свелось ко второму варианту из моего поста с предыдужей страницы - есть системная dll, не имеющая никакого (прямого) отношения к сети (т.е. выдающая сведения о системе или помогоющая что-то где-то устанавливать) и ты для некоторых приложений на некоторое время хочешь доступ к ней блокировать. Тогда к твоим цитатам из меня любимого я приведу еще одну одну из того же поста
Цитата:

Если второе - при чем тут вообще файерволл?

То, что у тебя это время совпадает с серфингом, а приложение - сетевое, - это проблемы твоей личной жизни с твоим компьютером. Другие могут захотеть что-то подобное при работе с коммерческими компилляторами или просто даже с вордом (он тоже любит вставлять лишнюю частную информацию в doc файлы). Это задача для менеджера процессов, а не файерволла. Я понимаю - из них можно сделать комбайн, но тогда сравнивать комбайн файерволл + менеджер процессов с просто файерволлом как-то некорректно.

Насчёт MAC-адреса и блокировки, всё-таки: сем не годна ARP-фильтрация OP? Как пишут, она режет все соединения в локальной сети, которые пользователь не инициирует, то есть по идее это даже более универсально, чем блокировка MAC... А сменить действительно проще простого (особенно мне, например - я через собственный маршрутизатор в сеть хожу ), хотя толку-то:

Цитата:

У большей части провайдеров идет привязка к MAC и его смена невозможна.

Блокировка запуска конкретных DLL для определённых приложений - оригинальная функция, не знал о такой! Не исключаю, что вполне полезно... Правда, почему именно фаерволлом реализуется, непонятно.

KUSA

Цитата:

2.Нельзя запретить именно запуск некоторых DLL, как в Lok'n'Stop.

Странная у тебя логика. Выходит, firewall не обязан контролировать содержимое пакетов, а вот загрузку dll -- обязан. Хотя, я так полагаю, ему всё же сетевой стек роднее должен быть.


Цитата:

У большей части провайдеров идет привязка к MAC и его смена невозможна.

Кем? Провайдером? А пользователь всё же может, другое дело, захочет ли.

Добавлено:
Viewgg

Цитата:

Блокировка запуска конкретных DLL для определённых приложений - оригинальная функция, не знал о такой! Не исключаю, что вполне полезно... Правда, почему именно фаерволлом реализуется, непонятно.

Ты-то хоть в этом последователен). Кстати, dll никак не запускаются, а загружаются.

CBB

Цитата:

из них можно сделать комбайн, но тогда сравнивать комбайн файерволл + менеджер процессов с просто файерволлом как-то некорректно.

Абсолютно согласен К тому же, кто может назвать такой комбайн в котором всё сделано не хуже, чем в нескольких специализированных прогах, работающих совместно ? Например, файр + HIPS + антивирь - есть хорошие комбайны с таким функционалом ? Неа, есть только ущербные. И жрущие при этом ресурсов больше, чем три такие проги, одновременно запущенные... Или около того.
Для контроля загрузки библиотек в процессы можно (и лучше) использовать HIPS'ы. Заодно и защита вида AppControl будет лучше, чем в любом фаере. А файрволл все же не должен этим заниматься: ни то ни се получится.

Не знаю, может глупость сморожу, но по-моему блокировка доступа в сеть для отдельных библиотек называется "контроль компонентов", и как продвинутая фича доступна во многих фаерах (по крайней мере, в тех, которые я когда-то пробовал), первое что приходит в голову - Zone Alarm Pro.
Вообще, сам я пользуюсь пакетным фильтром (wipfw) и антивирусником (McAfee Virus Scan), в котором есть возможность блокирования доступа в сеть для отдельных приожений (хотя, за все время пользования я заблокировал только одно, и то чтоб в инет не щемилось постоянно за обновлениями), и считаю, что детект и лечение/удаление всяких троянов и прочих вредоносных программ - это работа не для фаервола, а для антивирусника или Спайваре-адваре-детектора.
Насчет смены мак-адреса - изначально было сказано, что в в локальной сети у многих юзеров заражены компы, и нужно как-то предотвратить заражение своего компьютера, заблокировав доступ на него с зараженных тачек, причем блокировка по айпи при этом не подходит. Так вот я не думаю, что там в локальной сети все поголовно кулхацкеры, которые сами себе позаражали компы червями, и теперь регулярно меняют свои мак-адреса, чтобы и других также заразить. Поэтому в данном случае, думаю, блокировки по мак-адресу будет достаточно.

xdude

Цитата:

Так вот я не думаю, что там в локальной сети все поголовно кулхацкеры, которые сами себе позаражали компы червями, и теперь регулярно меняют свои мак-адреса, чтобы и других также заразить. Поэтому в данном случае, думаю, блокировки по мак-адресу будет достаточно.

А что мешает автору вируса предусмотреть при определённых условиях возможность смены MAC-адреса? Если, скажем, проваливается некоторое количество попыток сканирования?

xdude

Цитата:

блокировка доступа в сеть для отдельных библиотек называется "контроль компонентов" .... в котором есть возможность блокирования доступа в сеть для отдельных приожений

Хотелось бы акцентировать, что речь идет не о блокировке доступа в сеть а о блокировке загрузки библиотек. Доступ в сеть для dll тот же аутпост, если память мне не изменяет, вовсе и не блокирует, есть только возможность запрета загрузки для измененных/новых dll в памяти процесса. При этом он никак не определяет, пытается ли такая dll вызвать сетевые функции или она, скажем, перехватывает ввод с клавиатуры для своих сервисных функций (Punto Switcher например). А фаеры, как и тот, про который ты упомянул, контролируют доступ в сеть для всего приложения.

CBB

Цитата:

То, что у тебя это время совпадает с серфингом, а приложение - сетевое, - это проблемы твоей личной жизни с твоим компьютером. Другие могут захотеть что-то подобное при работе с коммерческими компилляторами или просто даже с вордом (он тоже любит вставлять лишнюю частную информацию в doc файлы). Это задача для менеджера процессов, а не файерволла. Я понимаю - из них можно сделать комбайн, но тогда сравнивать комбайн файерволл + менеджер процессов с просто файерволлом как-то некорректно.

у меня аналогичоне мнение про изыски аутпоста - баннерорезалки, спамофильтры, контроль содержания и прочий мусор к стенке не относятся. А тем не менее этот комбайн почему-то очень популярен. Равно и популярен пакет, позволяющий делать то, что нравится (и нужно) мне. Так может не бум меряться, чей слон - лучший друг норвежского слона? =)))
Viewgg

Цитата:

Насчёт MAC-адреса и блокировки, всё-таки: сем не годна ARP-фильтрация OP? Как пишут, она режет все соединения в локальной сети, которые пользователь не инициирует, то есть по идее это даже более универсально, чем блокировка MAC...

скажем так, это разные вещи У меня есть правила и на арп пакеты, и на мас-пакеты. по масам отдельно баню особо вредных, а арп - перед этим (по порядку обхода) - установка, какие и от кого/куда пускать. (для справки: ты шлешь АРП пакет на гейт, чтоб связаться с инетом или напрямую на комп в локалке того, к кому надо зайти (запрос МАСа по ИПу), оттуда отвечает, и т.д.
Но ежели к тебе надо подсоединяться, то надо и входящие с некоторых пускать. То есть, голый вариант "все блок/все разрешить" недостаточен.

Цитата:

Правда, почему именно фаерволлом реализуется, непонятно.

дык кто контролирует доступ в/из сети? Стена. Знач ей и карты в руки.
TeXpert

Цитата:

Странная у тебя логика. Выходит, firewall не обязан контролировать содержимое пакетов, а вот загрузку dll -- обязан.

- так содержимое проверять на вири должен тот, кто имеет базы вирусные. То есть, антивирь. Конечно, можно в стене это дублировать, но зачем?

Цитата:

У большей части провайдеров идет привязка к MAC и его смена невозможна.

Кем? Провайдером? А пользователь всё же может, другое дело, захочет ли.

- ты не понял.
пример: есть сеть. инет раздается с серва. На серве прописано, что инет получает копм "вася" ип 192,168,0,2 МАС 00-05-55-55-55-55, комп "петя". ип ..0,3 МАС 00-05-55-55-55-66, комп "саша" ип 0,4 МАС 00-05-55-55-55-77....
Если юзер "петя" возжелает сменить свой МАС на другой, незанятый - его просто не пустит в сеть. Смысл?
Если менять сразу пары, то для этого надо сначала сканить сеть в поисках этих пар (что многие провы ооочень не любят и местами даж штрафуют), авторое - стараться не попадать в сети в одно время с обладателем используемого адреса, иначе у него выскочит сообщение об "ошибке" - мол девайс с таким ипом и масом уже есть в сети. Отсюда звонок админу, а тот уж потратит некоторое время, чтоб вычислить и наказать нарушившего.


Цитата:

А что мешает автору вируса предусмотреть при определённых условиях возможность смены MAC-адреса? Если, скажем, проваливается некоторое количество попыток сканирования?

то, что напр, при попытке сменить его регом не происходит ничего (испытывал). Если ввел по пунктам новый, и имеешь интегрировавшуюся на уровень драйверов стенку, то просто ребутнуться нельзя: ОСь не загрузится, не найдет "нужного драйвера" (потому как имя и номер сетевухи в драйвере не совпадают с оными в реестре). А значит, надо в сейв мод зайти, снова отконфигить стену, чтоб она приняла новый МАС/имя компа/.. и только после этого снова перегружаться в обычный режим.
ИМХО, для виря это сложновато будет =))
//последовательность действий проверена опытом///