» Jetico Personal Firewall

Dimitr1s

Цитата:

В каком вопросе? Песочницы в Джетике нет.

В вопросе сравнения HIPS-возможностей Джетики с со специализированными HIPS
вроде дефенсвола. Думал, может найдется человек, который моежт сказать, мол, если захотите ограничется в качестве хипса джетикой, то сможете достичь таких и таких-то целей, но придется обойдись без того-то и того-то (например без песочницы)


Цитата:

А какие то дефенсы копать в этой теме не резон.

дефенс просто пример специализированного хипса, с которым можно было бы сравнить.

defensewall это как раз и есть голая песочница.. ни прав процессам раздать, ничё. только "доверенное\недоверенное".
обьективно можно сказать что у жетики в правилах нельзя задать "цели" кроме процессов (т.е. "защищаемые" файлы и ветки реестра только встроенные). остальное - вопрос личного удобства. и еще не помешает скачать и погонять тесты хипсов, более известные как "тесты фаерволов":))) (ssts матусика, clt комода)

groomly

Цитата:

В вопросе сравнения HIPS-возможностей Джетики с со специализированными HIPS
вроде дефенсвола.

Не смеши людей, я уже писал, что специализированные средства защиты стоят очень приличных денег, требуют квалифицированной настройки и поддержки специалиста, сама система защиты построена на регулярно обновляемых правилах, сигнатурах и скриптах для установки и эксплуатации которых нужны минимальные технические знания как хостовых систем(ы), так и собственно угроз от которых требуется защита. То что ты привёл в пример, является одной из десятков шароварных поделок, коих сейчас тьма и толку от них по большому счёту никакого (попробуй, к примеру, в дефенсволле переместить не доверенный файл в другую директорию и он запустится как доверенный). Всё что предлагают подобные творения с лихвой решается средствами самой системы (разграничение прав, логирование, групповые политики и т.п.), Джетика же отличается от подобных творений наличием неплохо продуманным, очень гибким сетевым экраном, плюс отличным детектом запускаемых приложений и процессов. И ещё: самое главное отличие от конкурентов, мне лично понравилось, что за время использования, Джетика, ни разу не вызвала критическую ошибку с завершением работы системы (BSOD).
Цитата:

Думал, может найдется человек, который моежт сказать, мол, если захотите ограничется в качестве хипса джетикой, то сможете достичь таких и таких-то целей, но придется обойдись без того-то и того-то (например без песочницы)

Так ты цели определи для начала, они у всех разные, мне к примеру встроенная песочница даром не нужна, во первых: не сижу под учёткой администратора и не запускаю что попадя не разобравшись, во вторых: для совсем сомнительных экспериментов подключаю отдельный диск, т.к. при грамотно написанном сценарии/исполняемом файле не спасёт, ни песочница, ни любой хипс.
Цитата:

дефенс просто пример специализированного хипса, с которым можно было бы сравнить.

В твоём примере, сравнивать нечего.

tahomavlz

Цитата:

остальное - вопрос личного удобства.

И я про тоже . Если кому то не нравится интерфейс и реализация функционала, это ни как не относится, собственно, к защите предоставляемой программой.

Цитата:

Джетика, ни разу не вызвала критическую ошибку с завершением работы системы (BSOD)

а у меня вызывала. в 2.0.2.3 кажется версии. в следующий исправили, но сломали что то другое. и теперь это норма почти в каждой новой версии. не повезло мне как то с жетикой.

Цитата:

Если кому то не нравится интерфейс и реализация функционала, это ни как не относится, собственно, к защите предоставляемой программой.

я имел в виду, что при выборе такого софта прежде всего стоит исходить из удобства и собственных ощущений, а не пытаться найти 100% защиту.

Dimitr1s
Очень странный случай у меня. Поставил 2.0.2.9 на ХР SP3. Правила поставил, которыми уже давно пользуюсь. Но в инет меня джетика не пускала. Поставил на логирование последнее блокирующее все необработанные пакеты, смотрю - блочит пакеты с DNS сервака. Создал правило (раньше это было излишним). Опять пытаюсь выйти в инет. И снова неудача. Смотрю логи - блочит входящие с DNS сервака на мой IP. Опять же создал правило. К инету вроде подцепился, но этим дело не кончилось. Стал мне блочить исходящие Mail.Ru Агента (на порт 2041-2042), хотя для него правила созданы! И на 80 тоже блочил. Пока что удалил его... Не подскажите в чём причина?

tahomavlz

Цитата:

а у меня вызывала. в 2.0.2.3 кажется версии. в следующий исправили, но сломали что то другое. и теперь это норма почти в каждой новой версии.

Отдебажить нужно, какой драйвер вызывает BSOD, зачем мучиться.
Цитата:

я имел в виду, что при выборе такого софта прежде всего стоит исходить из удобства и собственных ощущений, а не пытаться найти 100% защиту.

Не соглашусь, если исходить из удобства, то как раз это приведёт к шароварным поделкам с удобным интерфейсом и сомнительным функционалом (а то и с деструктивным). Исходить в первую очередь нужно от адекватности защиты для конкретной машины, ну а во вторую - "степень защиты, потребляемые ресурсы, совместимость с установленным софтом". Удобство на последнем месте должно быть в подобном софте ИМХО.
Когда выйдет 100%_защита, на следующий день появятся мануалы+примеры как её обойти.

HarDDroN

Цитата:

К инету вроде подцепился, но этим дело не кончилось.

Как это вроде? Соединение или есть или нет.
Цитата:

Правила поставил, которыми уже давно пользуюсь... ...блочит пакеты с DNS сервака

Если прописаны и свой IP и IP сервера, проверить не изменились ли (временно, на проведение работ у провайдера к примеру, всякое бывает). Как вариант убрать IP из правила, выставить лог и проверить. Ещё, давно был описан баг, когда при определённых обстоятельствах не корректно подцепляется правило с "name server"
Цитата:

Стал мне блочить исходящие Mail.Ru Агента (на порт 2041-2042), хотя для него правила созданы! И на 80 тоже блочил.

Тоже самое, если прописан IP mail.ru попробовать убрать, mail.ru редко, но может изменить. Опять же, логи рулят.

Dimitr1s
Ничего такого не было. Всё в порядке, свежепоставленный (чисто ради проверки) комодо с точно такими же правилами адекватно реагирует.

Цитата:

Удобство на последнем месте должно быть в подобном софте ИМХО.

Ну, это утверждение очень неконкретное. Для меня, например, джетика и iptables куда удобнее интерфейса того же аутпоста или комодо. Но, тут именно про фаерволл, а не про HIPS.

Цитата:

Отдебажить нужно, какой драйвер вызывает BSOD, зачем мучиться.

SPTD, например, BSOD вызывает. Но это известно разработчикам.

HarDDroN

Цитата:

...свежепоставленный (чисто ради проверки) комодо...

Если на "живой" системе устраиваешь эксперименты с установкой/удалением разных комодов и пр., то удивлять неполадки с сетью тебя не должны, учись руками вычищать все следы, в таком случае.

Bladru

Цитата:

Ну, это утверждение очень неконкретное. Для меня, например, джетика и iptables куда удобнее интерфейса того же аутпоста или комодо.

Я никогда не писал, что Джетика не удобна, а скорее, всегда отстаиваю обратное. Я утверждал, что при выборе защитной программы руководствоваться одним удобством нельзя.
А при чём здесь сравнение "удобства" iptables, управляющегося с помощью консоли с правами root'a и собственного интерфейса не имеющего, я что то не понял. Набрать sudo[pass из десятка символов] iptables -L -v -n быстрее получается, чем щёлкнуть по иконке аутпоста в трее что ли?
Цитата:

SPTD, например, BSOD вызывает. Но это известно разработчикам.

Собственно сам драйвер (его присутствие) SPTD, BSOD не вызывает, BSOD вызывает попытка использования его функционала. Да, давно уже известно, так что вряд ли это вариант у tahomavlz. Проще анализировать дамп падения, если есть сомнения в причине.

Dimitr1s
вычищать-то я вычищаю. (Во-первых удаляю прогой Uninstall Tool, которая потом ищет следы в реестре и удаляет, во-вторых RegCleaner рулит=). Кстати, пользуюсь COMODO SecureDNS (156.154.70.25, 156.154.71.25 - не менялось ничего)

Dimitr1s

Цитата:

А при чём здесь сравнение "удобства" iptables, управляющегося с помощью консоли с правами root'a и собственного интерфейса не имеющего, я что то не понял.

Ну, iptables — это и есть интерфейс к netfilter. А сравнение к тому, что кто-то понимает под удобством большой функционал и быстрый доступ к нему, а кто-то простоту в освоении. Расстаться с мнением о "удобстве на последнем месте" очень просто, если предложить ту же джетику среднестатистическому юзеру. Он с ней просто не станет разбираться, в то время как от "шароварных поделок" получит хоть какую-то минимальную защиту. Но это бессмысленный разговор, т.к. ни к каким полезным выводам он не приведёт.

Dimitr1s, если не сложно, можно какой-нибудь итог по Stateful Inspection в джетике? Как работает, и в какой версии её сломали? А то, как я понял из темы, она работает не совсем ожидаемым образом и делает ещё что-то, кроме отслеживания пакетов в рамках уже разрешённых соединений.

Цитата:

Для меня, например, джетика и iptables куда удобнее интерфейса того же аутпоста или комодо. Но, тут именно про фаерволл, а не про HIPS.

+1

Цитата:

и в какой версии её сломали?

в моем случае ее сломали в 2.1.0.4. ибо в некоторых ситуациях ответы на исходящие коннекты перестали браться правилом stateful.

Цитата:

Отдебажить нужно

а каким образом отдебажить "почему при запуске некоторого софта система впадает в ступор на несколько секунд и при этом шурша винтом сьедают весь проц Interrupts, DPCs и процесс того самого софта"?

HarDDroN

Цитата:

(Во-первых удаляю прогой Uninstall Tool, которая потом ищет следы в реестре и удаляет, во-вторых RegCleaner рулит=)

Понятно, на этом дискуссию можно и закончить.

Bladru

Цитата:

Ну, iptables — это и есть интерфейс к netfilter.

Мне прекрасно известно, что есть iptables, и поэтому поинтересовался Вашим мнением, цитирую : "Для меня, например, джетика и iptables куда удобнее интерфейса того же аутпоста или комодо", как и чем консольная утилита, к тому же для управления требующая некоторых специфичных познаний, может быть удобней гуйного аутпоста к примеру.
Цитата:

А сравнение к тому, что кто-то понимает под удобством большой функционал и быстрый доступ к нему, а кто-то простоту в освоении.

Так уже яснее и правильно, но не пойму сути, что Вы рекомендуете, процитирую:
Цитата:

Расстаться с мнением о "удобстве на последнем месте" очень просто, если предложить ту же джетику среднестатистическому юзеру. Он с ней просто не станет разбираться, в то время как от "шароварных поделок" получит хоть какую-то минимальную защиту.

Не разбираться ни в чём и поставить хоть что то. Это тупик, который рано или поздно приведёт пользователя (разговор о персональных пользователях) к большим затратам и большим потерям, времени в том числе.
Цитата:

...если не сложно, можно какой-нибудь итог по Stateful Inspection в джетике? Как работает, и в какой версии её сломали?

За всех не могу сказать, но у меня в двух последних версиях (2.1.0.4, 2.1.0.5), Stateful не заработала совсем. Win XP (лицензия) SP3 + все, на данный момент обновления. Проще говоря, баг = нет сетевого экрана. v. 2.0.2.9 работает отлично, без нареканий.

Dimitr1s

Цитата:

Понятно, на этом дискуссию можно и закончить

можно не заканчивать, можно еще чтонить человеку в голову вдолбить, чтобы чистил
например, очистка свободного места ccleaner

andrew1692
я это всё делал
Dimitr1s
Неужели ничего нельзя сделать? (если только не формат Ц и переуст винды).
Если так, то ничего... Скоро на новый ПК перееду, надеюсь там проблем не будет...

tahomavlz

Цитата:

а каким образом отдебажить "почему при запуске некоторого софта система впадает в ступор на несколько секунд и при этом шурша винтом сьедают весь проц Interrupts, DPCs и процесс того самого софта"?

Установить какой именно исполняемый файл вызывает проблему (не факт что основной exe'шник), попробуй, если у тебя не Win 7, RATTV3 для надёжности можно совместно с Kernrate из комплекта. Когда установишь проблемный файл, вызывающий фриз, попробуй снять с него подсчёт Контрольных сумм для начала - убрав в правиле флаг "контрольная сумма", можно и в Контроле процессов снять в правиле флаг "Событие". Если не поможет, писать в саппорт гневные письма, с точным указанием проблемы. Они, кстати, хорошо реагируют. Если софт не специфичный, глядишь и исправят.

HarDDroN

Цитата:

Неужели ничего нельзя сделать?

С чем? В чём проблема? В Джетике, может в "Comodo Secure DNS", последствие "super"_clean'еров, которые не могут удалять ключи пользователя SYSTEM, хотя рапортуют об обратном. Ты на все вопросы и советы отвечаешь: "поставил комодо, там всё в порядке". Удачи.

Dimitr1s
Вы совсем ничего не поняли. Проблема в джетике. Условия были такие же, какие и сейчас и всё работало. И потом вдруг...

Добавлено:
Кстати, насчёт проблемы с Stateful Inspection в 2.1.0.4(5) Наиль написал...
[more]В JPF "Stateful Inspection" - всего лишь признак
корректности пакета
и принадлежности его к разрешённому "соединению". Пропускать или не пропускать
пакет решает набор разных правил.
Давайте разберёмся в ситуации. Включите лог на правилах, проверяющих Stateful и
просканируйте порты. Потом проанализируем результат.[/more]

ну вот мой пример - mirc. 2 коннекта - исходящий на 6667 и входящий на 113. через пару сек после начала первого - сервер лезет ко мне на этот самый 113 порт. после этого, пакеты принадлежащие первому коннекту уже не проходят по stateful. если отключить этот "идент"(113) - всё ок.

tahomavlz
Со 113 портом у них всегда так было и у них на форуме давно писали, и здесь обсуждали, они назвали это фичей. Это ладно, создал запрещающее правило в IP Table и забыл. Я даже для примера, посмотреть, не нашёл ни одного identd-сервака использующего эту фичу, если только IRC некоторые остались.
У меня вообще на последней версии Stateful Inspection не работает и анализировать нечего, пропускает ВСЁ, что на прямую не запрещено правилами в IP Table. Вместо того чтобы отбрасывать не ожидаемые пакеты (выполнить действие DROP), пропускает в систему. При скане, в логах соответственно:
Входящий неожидаемый (SYN) от сервера (должен отброситься действием DROP), но Stateful не работает и пакет пропускается (ACCEPT).
Система отвечает серверу:
Исходящий ответ (SYN/ACK) серверу на принятый пакет, Stateful тоже пропускает (ACCEPT).
В IP Table получается ситуация: Всё разрешено, что не запрещено, а попросту говоря, сетевого экрана нет. У меня так в последних двух версиях. Пример как это выглядит со сканера, приводил.
У них на форуме давно есть подобная тема, но вялая какая то, там уже никто не пишет похоже.

Цитата:

Со 113 портом у них всегда так было

у меня до 2.1 работало нормально
вообще единственная версия в которой ничего не глючило - 1.0.1.61 :))

А как у Джетики с блокировкой флуда (TCP/UDP/ICMP)?

Цитата:

А как у Джетики с блокировкой флуда (TCP/UDP/ICMP)?

Все нормально у Джетики с "блокировкой флуда". xD

regboard
чес говоря хотелось бы увидеть более развёрнутый ответ (у Димитриса хорошо получается, в большей степени от него)

HarDDroN

Цитата:

А как у Джетики с блокировкой флуда (TCP/UDP/ICMP)?

Если речь про правила типа limit, то по-моему их просто нет.

Цитата:

А как у Джетики с блокировкой флуда (TCP/UDP/ICMP)

ICMP:
По умолчанию нет разрешающих правил для ICMP,
ни для ответа на [more=ping]
Событие: Исходящий пакет
Протокол: ICMP
Тип/код ICMP: 0

Событие: Входящий пакет
Протокол: ICMP
Тип/код ICMP: 8[/more],
ни для ответа на [more=tracert]
Событие: Исходящий пакет
Протокол: ICMP
Тип/код ICMP: 3

Событие: Исходящий пакет
Протокол: ICMP
Тип/код ICMP: 11[/more].
Соответственно флуд по ICMP, режется нижним правилом запрещающим не обработанные IP пакеты.

TCP/UDP:
Bladru

Цитата:

Если речь про правила типа limit, то по-моему их просто нет.

Limit не правило, а критерий. Джетика ПЕРСОНАЛЬНЫЙ фаерволл со Stateful Inspection. Зачем персональному фаерволлу со Stateful, критерий limit?

Все не ожидаемые пакеты, режет Stateful, плюс как дополнительная защита, запрещающие правила по умолчанию:
Контрольная сумма не верна
Пакет фрагментирован (в последних версиях убрали по моему)
Защита от NULL scan
Защита от Xmas scan
Если кто то пытается использовать персональный фаерволл на сервере, или открывает шары на "весь инет", то это его проблемы.

tahomavlz

Цитата:

у меня до 2.1 работало нормально

Значит не замечал просто, со 113 портом на всех версиях споры были.

Dimitr1s

Цитата:

Зачем персональному фаерволлу со Stateful, критерий limit?

Не знаю. HarDDroN спросил — я ответил. Или есть ещё какая-то защита от флуда по тому же ICMP?

Dimitr1s
Спс за ответ. Так и подумал, что "всемогущий" Stateful Inspection режет...
А если разрешающие правила, как таковы, есть?

Bladru
HarDDroN

Цитата:

Или есть ещё какая-то защита от флуда по тому же ICMP?

Так разрешающих правил по умолчанию и нет, позволяющих зафлудить по ICMP.
Цитата:

А если разрешающие правила, как таковы, есть?

Как таковых их нет по умолчанию, а если возникнет необходимость создать (к примеру: другу шары открыть, требование провайдера) для определённых IP/диапазонов IP, то если хоть раз открыть правило, можно увидеть параметры:
Адрес отправителя
Адрес получателя
Контрольная сумма
Фрагментация
И даже TTL (предельно допустимое время пребывания дейтаграммы в системе в секундах/хопах)
Разруливайте как угодно, чтоб любители по DDoS'ить остались в стороне.
Другой вариант, если нужно открыть пинг и трасерт для всех - читай, Джетика фаерволл персональный а не серверный.

добавил: Потом, в случае большой, "враждебной" локалки не забывайте про богатый выбор настройки ARP фильтрации (only in Джетика ).

Dimitr1s

Цитата:

Другой вариант, если нужно открыть пинг и трасерт для всех - читай, Джетика фаерволл персональный а не серверный.

Можно я не соглашусь? Во-первых аргументация "персональный, а не серверный" прокатывала с транзитными пакетами и IDS, а пинг-то чем "серверность" заслужил? Во-вторых, блокировать пинг без весомой на то причины — очень грязный метод защиты от потенциальных атак. В-третьих, учитывая, что таблицы HIPS, контроля приложений и, собственно, пакетного фильтра разделены, ничто не мешает при появлении необходимой функциональности (и возможности выбирать устанавливаемые компоненты) использовать последний на сервере, разве нет? Ну и в-четвёртых, не понятно, отчего Вы так упорно оправдываете отутствие различных функций в Джетике? Ну нет и нет. Насколько я понял, к разработчикам Вы не относитесь, чтобы так ревностно защищать продукт.

Bladru

Цитата:

Насколько я понял, к разработчикам Вы не относитесь, чтобы так ревностно защищать продукт.

Я пользуюсь этим продуктом, пока никто не привёл ни одного вразумительного довода, почему бы этого не делать. ИМХО наилучшее решение для домашней машины, плюс нет попыток что то собрать/отправить/загрузить/проверить, что в наше время само по себе большая редкость.
Цитата:

Ну и в-четвёртых, не понятно, отчего Вы так упорно оправдываете отутствие различных функций в Джетике?

Каких конкретно? Или это опять из разряда: "Имею смутное представление для чего это, но у других есть." или "Мне так не удобно, поэтому срочно надо менять."?
Цитата:

Во-первых аргументация "персональный, а не серверный" прокатывала с транзитными пакетами и IDS, а пинг-то чем "серверность" заслужил?

Персональный не в кавычках, а так и есть, зачем не нужный функционал. На счёт пинга, извините, но это lol, зачем разрешать пинговать, "открывать", персональную машину. Для отдельных случаев, запросто и безопасно, выше описал как. Пинг и трасировки "от нас", работают по правилам по умолчанию.
Цитата:

Во-вторых, блокировать пинг без весомой на то причины...

Одну назовите хотя бы, по какой я должен открыть свою машину?
Цитата:

...— очень грязный метод защиты от потенциальных атак.

Извините, чепуха какая то.
Цитата:

В-третьих, учитывая, что таблицы HIPS, контроля приложений и, собственно, пакетного фильтра разделены, ничто не мешает при появлении необходимой функциональности (и возможности выбирать устанавливаемые компоненты) использовать последний на сервере, разве нет?

А зачем? Есть много не плохих серверных решений. А потом выборочной установки нет, драйвера по любому "захучат" системные функции, производительности серверу это ни как не прибавит.