» Jetico Personal Firewall

Dimitr1s

Цитата:

Одну назовите хотя бы, по какой я должен открыть свою машину?

Это самый простой способ проверить доступность машины из сети. И отключение этой возможности по умолчанию периодически вызывает мелкие неудобства. (Читай лишние телодвижения при работе в локальной сети.) Согласитесь, нужно бороться с уязвимостями, а не с функциями, которые сами по себе угрозы не представляют.

Цитата:

Каких конкретно?

IDS, роутинг, расширенные критерии (например тот же level). Понятно, что большинству пользователей они не нужны, но могут быть полезны в отдельных случаях. Лично мне не хватает только возможности фильтрации в зависимости от интерфейса.

Цитата:

ИМХО наилучшее решение для домашней машины

Не могу не согласиться. Не так давно переполз на Джетику, на данный момент доволен и надеюсь что продукт будет развиваться. Только очень не хочется, чтобы он пошёл на поводу у маркетинга, как другие платные продукты.

Bladru

Цитата:

Это самый простой способ проверить доступность машины из сети.

Я думаю вряд ли хоть одного пользователя воодушевит возможность проверки его машины на доступность, если ему такого не требуется.
Цитата:

И отключение этой возможности по умолчанию периодически вызывает мелкие неудобства. (Читай лишние телодвижения при работе в локальной сети.)

Желающим порыться в чужом - да, доставит неудобства. Если Вам нужно работать со своими машинами - создайте правило с нужными адресами/диапазонами.
Цитата:

Согласитесь, нужно бороться с уязвимостями, а не с функциями, которые сами по себе угрозы не представляют.

Открыть машину для пинга, без необходимости, представляет самую что ни на есть прямую угрозу. А скрытие машины от лишних глаз и есть прямая борьба с уязвимостями (Если называть уязвимостью дыру для которой пока не выпущен патч. Как пользователь ещё может бороться и для чего ставится костыль-фаерволл кроме как не для ограждения от не нужных пакетов и собственно от любителей "проверять доступность машин из сети").
Цитата:

Понятно, что большинству пользователей они не нужны, но могут быть полезны в отдельных случаях.

В том и дело, что внедрение стоит денег или на собственную разработку или на лицензирование, а если подобное нужно единицам (в этом продукте), стоит ли? Потом я не могу взять в толк зачем, если нужен серверный функционал (проброс портов, фильтрация по интерфейсам, маскарадинг и пр.) ставить не подходящее решение, когда выбор велик?
Цитата:

Только очень не хочется, чтобы он пошёл на поводу у маркетинга, как другие платные продукты.

С ихними темпами (Jetico Inc. Finland), скоро вряд ли такое случится .

HarDDroN

Цитата:

Так и подумал, что "всемогущий" Stateful Inspection режет...

Я там не точно написал впопыхах, исправил, лишние пакеты ICMP порежутся не Stateful а замыкающим таблицу правилом "Запретить необработанные IP пакеты", а лучше под разрешающими правилами для ICMP создать запрещающее все остальные ICMP пакеты и выставить на него лог.

Цитата:

Потом, в случае большой, "враждебной" локалки не забывайте про богатый выбор настройки ARP фильтрации

статическая арп таблица - не?

Цитата:

аргументация "персональный, а не серверный"

оо, это больная тема... как же выбешивает любовь некоторых разработчиков делать отдельно серверные и отдельно десктопные версии, искусственно не совместимые друг с другом...

tahomavlz
Единственное место у них на форуме, где я нашёл разъяснения самого Nail'a - тут. Включи логи, посмотри, всё кристально понятно. В принципе и ARP-Stateful включить достаточно.
Цитата:

оо, это больная тема... как же выбешивает любовь некоторых разработчиков делать отдельно серверные и отдельно десктопные версии, искусственно не совместимые друг с другом...

Ну здрасьте, а деньги? За серверные варианты можно с организаций получать сколько на ум придёт, всё равно никуда не денутся. А если совместить, всё в одном, простые юзеры за дорого покупать не будут, и придётся снижать цену для всех, себе в убыток, т.к. большую разницу за лицензии на один продукт сделать всё равно не выйдет.

Dimitr1s

Цитата:

Потом я не могу взять в толк зачем, если нужен серверный функционал (проброс портов, фильтрация по интерфейсам, маскарадинг и пр.) ставить не подходящее решение, когда выбор велик?

Потому что от "серверного функционала" нужна малая толика, а именно, возможность отличить соединения пришедшие через VPN-шлюз, от соединений из того же IP-диапазона, но пришедших с локального шлюза. При этом нужен контроль приложений и минимальный HIPS.

Цитата:

Желающим порыться в чужом - да, доставит неудобства.

Особенно забавно отключённый по умолчанию ping выглядит при включённой виндовой службе сервера.

Цитата:

Я думаю вряд ли хоть одного пользователя воодушевит возможность проверки его машины на доступность, если ему такого не требуется.

Да, особенно придаст защищенности это юзерам Пете и Васе, которые видят друг друга в чате на локальном сервере, но не могут установить между собой соединение. Само собой, кроме нахождения самой проблемы им предварительно придётся искать, а у кого же из них и где отключен пинг? Особенное, сказачное, удовольствие при этом получает юзер Ваня, у которого пинг разрешён, но найти первых двух лоботрясов он всё равно не может. А сколько лулзов это доставляет, когда кто-то в подсети прописал статический адрес, вместо DHCP, ммм...
Короче говоря, лично меня это заставляло пару раз вспоминать непечатные слова, при том что никаких намерений "рыться в недозволенном" я не имел.
Но, чего-то я на оффтоп скатываюсь. Благо в Джетике пакетный фильтр сделан неплохо, запрещайте хоть полностью ICMP-протокол, если это заставляет чувствовать себя защищённее. Тут каждый сам себе хозяин.

Bladru
Я про банальные и очевидные меры защиты говорю, отвечая в том числе на вопрос про исключение возможности флуда через ICMP, а Вы мне сказки начали рассказывать про Петю и Васю в локалке, которые ничего не понимают и про забавно выглядящий отключённый(?) пинг.
Цитата:

...запрещайте хоть полностью ICMP-протокол, если это заставляет чувствовать себя защищённее. Тут каждый сам себе хозяин.

Я, Вам, запрещать ничего и не предлагал, я ответил на вопрос.

ОГО, топик зашевелился! А то чуть ли не замертвел...

---

Dimitr1s
Спс за разъяснения.

Цитата:

лучше под разрешающими правилами для ICMP создать запрещающее все остальные ICMP пакеты и выставить на него лог.

Так и сделал, ещё когда ваши таблицы рассматривал.

Очень уважаю Джетико, так как он самый настраиваемый до мелочей. Сам я сетевик, и думаю что не смотря на тесты Джетико должен быть на первом месте, естественно при грамотной настройке. Юзал на ХР. Почему-то после установки он зажимал скорость(на speedtest.net вместо 90 Мбит показывал 4-7),наверное в драйвере были проблемы, хотя торрентом качал нормально 10 метров/сек После перехода на с семерку, 2 месяца не ставил ничего и вот узнал о новой версии с офф. поддержкой Win7 и решился на последнюю версию. После перезагрузки вылетело пару вопросов и мертвый вис. Далее ресет и все ок. Начинаю заново создавать правила. Спидтест показывает ОК Единственное что не нравится так это Inderect Access. Если кому-то его запретить, то в инет выхода нет. А в списке создается столько правил, которые надо разрешить, что как-то не уверенно себя чувствуеш.

Мот кто-то объяснит почему при запрете кому-то Inderect Access инет полностью не работает, чего он не запрещает для тех приложений которые косвенно ломятся,при чем ломится не через браузер.
Понятно что если косвенно через браузер, то он режет приложение через которое ломится, хотя по идее должно резать того кто ломится. Для браузера правило то есть, а инета нету

Цитата:

чес говоря хотелось бы увидеть более развёрнутый ответ (у Димитриса хорошо получается, в большей степени от него)

Небольшой пример:

При использовании DHCP отсеивает левые запросы.


Код: reject | DHCP requests (ip address - update) | UDP incoming packet | D 255.255.255.255 | кроме P, S 68 | кроме P, D 67

Desmont

Цитата:

Почему-то после установки он зажимал скорость(на speedtest.net вместо 90 Мбит показывал 4-7),наверное в драйвере были проблемы, хотя торрентом качал нормально 10 метров/сек

Хм...
Заявленная скорость 90 Мбит/c = 11520 Кб
Торрент показывает 10 Мбайт = 10240 Кб
----------------------------------------------------
С учётом, что заявленная скорость редко достигается по ряду причин, где "зажим" то был?
Цитата:

Мот кто-то объяснит почему при запрете кому-то Inderect Access инет полностью не работает, чего он не запрещает для тех приложений которые косвенно ломятся, ведь для браузера правило есть

Недавно обсуждали, несколько страниц назад отсюда и далее.

Dimitr1s
Про 90 я загнул, спидтест 86-89.По разному, бывает и 97 выдает. (Заявленная до 100 Мбит.)
Качаю торрентом 10-10.2 мб/с. iftop - 89-89.4 Мбит, ДУмитер (через свич) - 95.2 Мбит
По поводу speedtest понял что на серваке, настройках сетевухи было сконфигурировано на прием 10 МБит, хотя стояло 100 вул дуплекс, понял что баг в дровах, так как мою сетевуху офф. поддерживает только релиз 7.2 , а установлен 7.0 Бум обновляться
За ссылку спасибо

В реале данных 10240 кбайт и качаю по скорости это 81920 кбит + на каждый 1 Мбит канала приходится ~64 кбит служебного трафика.

89Мбит (91136 кбит)

81920 кбит + (64 кбит*89 Мбит) = 81920+ 5696= 87616.

87616 кбит/1024 байт=85,56 Мбит - всего трафика

5696 кбит/1024 байт=5,56 Мбит - служебного трафика

И того полезного трафика - 80 Мбит при которых я качаю 10 Мбайт/с

Интересная арифметика, я еще так не считал


Добавлено:
К стати заметил что шустрее стали открываться страницы, интересно это из-за драйвера Джетики?


Добавлено:
Dimitr1s
Какой антивирус Вы предпочитаете и почему ?

Desmont
Эхх, какие у вас в России скорости...

Цитата:

К стати заметил что шустрее стали открываться страницы, интересно это из-за драйвера Джетики?

врядли...

Я не из России ...думаю там такая скорость бешеных денег стоит

Desmont

Ладно, не будем оффтопить...

Desmont

Цитата:

К стати заметил что шустрее стали открываться страницы, интересно это из-за драйвера Джетики?

Почитать последние несколько страниц, по поводу стабильности последних двух версий и проверить работает ли вообще сетевой экран.
Цитата:

Какой антивирус Вы предпочитаете и почему ?

[more=off:]Пользуюсь продуктом KAV, не без претензий конечно, но по функционалу равных нет ИМХО. Порядок установки и работы с Джетикой, тоже обсуждали в теме несколько раз.[/more]
HarDDroN

Цитата:

тоже этим интересовался у него...

Публиковать отправленное в личку, без спроса, верх неприличия. Отвечать не нужно.

Просмотрел форум джетико, чето там как то тихо, никто, ничего не пишет, по последней версии, никаких баг репортов, они там живы вообще, или может в другом месте ведутся обсуждения.
Последний пост в теме Jetico PF 2 Final progress: v. 2.1.0.5.2385 - [18-September-2009]

JPF v 2.1.0.5.2385
Changelog since v.2.1.0.4
Stateful inspection engine improved.
Resolved problem with IIS7 incoming connections under Vista or Server 2008.
Process protection enabled for Windows 7.
A table's default action restored after import or clone operations.
Popup dialog now supports empty groups list. jpf.exe crash on popup with empty application groups
"Critical system object modification" event parameters corrected. Jetico does not recognize rule for modifying win.ini
Application accessibility improved.
Romanian translation provided by Mihai Iepure.

Перешел на семерку, а джетико последний с брачком, или может от 18 сентября билд новее? имено в нем есть проблемы?

zet1
читайте топик, Димитрис писал про проблемы в версиях 2.1x

---

Я ошибусь, если скажу, что джетика написана на ассемблере?

HarDDroN

Цитата:

Я ошибусь, если скажу, что джетика написана на ассемблере?

На C/C++. Хотя не исключено, что есть ассемблерные вставки.

Капец, придется сносить 2.1.0.5.2385

При запуске любого exe вылетает BSOD. Сис.- Вин 7

zet1

Цитата:

Просмотрел форум джетико, чето там как то тихо, никто, ничего не пишет, по последней версии, никаких баг репортов, они там живы вообще, или может в другом месте ведутся обсуждения.

Есть предположение, что проще писать в тех. поддержку (tech_support@jetico.com или support@jetico.com), они отвечают на нескольких языках и на русском в том числе. Оф. форум не без странностей , но интересен тем, что встречаются комментарии разработчика (Nail).

CaptainFlint

Цитата:

На C/C++. Хотя не исключено, что есть ассемблерные вставки.

Да на С++, а драйвера на ассемблере.

Desmont

Цитата:

При запуске любого exe вылетает BSOD. Сис.- Вин 7

К слову говоря, если следить за выходами и обновлением версий, запись о поддержке Win 7 появилась на оф. сайте "от балды". При очередном обновлении демо-лицензии в инсталляторе, без изменения остальных файлов (файлы в инсталляторе не отличались ни на байт), просто добавили запись "Windows 7" к поддерживаемым системам. Выводы сами делайте.

Dimitr1s

Цитата:

Да на С++, а драйвера на ассемблере.

Спс. И ещё вопросик - Я хочу сделать так:
Разрешить входящие только на порт торрента, остальные пусть джетика дропает. Все входящие/исходящие режутся последним правилом. Нужно ли мне прописать в Таблице IP разрешающее правило на вх. на порт торрента, или тут Stateful Inspection сам всё делает? (в смысле правило для юТоррента есть, и с.и. его обработает и разрешит входящие при работающем последним правилом)?

Добавлено:
Кстати, уже предлагал Nail'у добавить в джетику IDS. Он сказал, что может быть это будет реализованно в 3 версии. Теперь же я хочу немного подправить своё желание - чтобы IDS проверял только разрешенные коннекты (т.е. все режущиеся правилами соединения не проверял). Стоит ли просить такое?

HarDDroN

Цитата:

Нужно ли мне прописать в Таблице IP разрешающее правило на вх. на порт торрента, или тут Stateful Inspection сам всё делает? ...и разрешит входящие при работающем последним правилом)?

Тут, как никогда, логи рулят. Логика Stateful Inspection, на входящие пакеты, в ихнем исполнении отличается немного от, если так можно назвать, стандарта, и может порезать некоторые соединения, имеющие состояние RELATED (инициированных из уже открытых соединений (ESTABLISHED)). Проверь без дополнительного правила в IP Table, если будут сбои (то есть входящие пакеты на порт торрента будут резаться, как не определённые), тогда да, создавай дополнительное правило. Но и в этом случае, всё равно пакеты после прохождения через это правило, будут обработаны Stateful (но уже с вердиктом разрешить).
Цитата:

Стоит ли просить такое?

А я тут причём? Я тебе уже писал, прежде чем писать и просить что то у разработчика, разберись как следует в сути вопроса и аргументируй потребность конкретно. Иначе с большой вероятностью попадёшь просто-напросто в игнор.

Dimitr1s

В игнор меня точно не поставит =)
Аргумент такой - с IDS безопасность повысится (ИМХО). Тут случай, как с Комодо 2.4 (тогда у него был и пакетный фильтр, и детектор атак). Ладно, намекну ему.
Кстати, я ему вкратце описал проблему с S.I. (имеется ввиду версия 2.1.0.5) - он попросил поставить на Stateful Inspection лог и повторить сканирование. А логи ему скинуть, он проанализирует. У меня такой возможности нет. Если у вас будет время, не могли бы вы всё это проделать и мне в ПМ логи кинуть?

Dimitr1s

Цитата:

а драйвера на ассемблере.

Хм… Открываем bcftdi.sys на просмотр, и видим:

Цитата:

$Id: MEMORY.C,v 1.8 2007-11-06 09:57:00 ser Exp $

Открываем bc_tdi_f.sys:

Цитата:

$Id: tdi_filter.c,v 1.13 2007-08-30 10:18:26 nail Exp $
$Id: bcmemory.c,v 1.2 2007-05-16 05:31:05 nail Exp $
$Id: list.c,v 1.1 2005-11-28 05:04:35 crypt Exp $
$Id: dns.c,v 1.4 2007-08-30 10:18:26 nail Exp $

Хороший, однако, ассемблер.

HarDDroN

Цитата:

У меня такой возможности нет.

Вывод один, что у тебя и Джетики нет, а на нет, как говорится и суда нет.

CaptainFlint
Они все скомпилированы в Visual'e (MSVC), попробуйте декомпилировать, возможно и докопаемся до истины .

добавил: Драйвера в WDK, вообще интересно было бы разобраться поподробней.

Dimitr1s

Цитата:

Они все скомпилированы в Visual'e (MSVC), попробуйте декомпилировать, возможно и докопаемся до истины .

добавил: Драйвера в WDK, вообще интересно было бы разобраться поподробней.

Я, к сожалению, не настолько хорошо разбираюсь в особенностях бинарного кода, выдаваемого разными компиляторами, чтобы по результирующему ассемблерному коду определить использовавшийся компилятор. В WDX входят и сишный компилятор, и ассемблер, так что один только факт использования WDX (отражённый в ресурсе-версии драйверов) мало чем поможет. Наличие явно версионных строковых констант, указанных мной в предыдущем посте, позволяет утверждать, что наверняка в состав исходников драйверов входят C-файлы. Но в них могут быть и ассемблерные вставки, плюс в дополнение к C-файлам могут присутствовать отдельные ассемблерные модули, которые потом просто подлинковываются. Как определить такую ситуацию, я не знаю.
Кроме того, я натравил на PE-файлы Джетики плагин к Total Commander'у, который определяет компилятор по сигнатурам, получил MS Visual C++. Так что, думаю, можно считать основным языком всё-таки C или C++. Разумеется, обмануть такой поверхностный анализ ничего не стоит, но кому оно надо…

CaptainFlint

Цитата:

Как определить такую ситуацию, я не знаю.

Думаю не взглянув на исходник и не возможно точно сказать, поправьте если не так. Я почему так нагло утверждал, во-первых, де-факто старание написать драйвер по возможности на чистом ассемблере - размер/скорость/безглючность. Ну и опять таки, чисто исходя из подозрений размер/функционал +/- 20Кб.
Цитата:

...который определяет компилятор по сигнатурам, получил MS Visual C++

Да, так и есть, сигнатуры Microsoft Visual C++ (MSVC) :

Цитата:

Разумеется, обмануть такой поверхностный анализ ничего не стоит, но кому оно надо…

Ещё плюс система лицензирования, не шарашкина контора всё таки (хочется верить ).

Dimitr1s

Цитата:

Вывод один, что у тебя и Джетики нет, а на нет, как говорится и суда нет.

Вообще-то есть, только не 2.1.х (Пробую 1-ку)
Тем более, что не от себя пишу.
Ладно, если не получится. Сам как-нибудь найду время.

Поставил версию 2.1.0.5. Система ХР Pro SP3. Не запускается файерволл: в диспетчере виден процесс jpfsrv.exe, через несколько минут появляется сообщение "could not connect to firewall server error code 0x80080005". Прочитал практически всю ветку, аналогичной проблемы не нашёл.

trina
Было в 1й части, еще во время бета-теста. Тогда вроде починили:

Цитата:

29-August-2006 version 2.0.0.7 beta released. Changes:
* Firewall startup bugs fixed (error codes 80080005, 80070776).

---

Автор: renatik, Отправлено:13:01 29-08-2006

Плюс на оффоруме есть сообщение об этой ошибке, уже в марте сего года:
Sudden error 0x80080005 upon computer restart
ответа нет до сих пор...

2.1.0.5 работает со странностями, лучше ставь (если есть желание) 2.0.2.6 (хотя, говорят, 2.0.2.9 тоже работает стабильно). Если негде взять - могу залить.