Чего ж всё так печально стало с Jetico в тестах matousecа? http://www.matousec.com/projects/proactive-security-challenge/results.php
Кто-нибудь имеет какие-то мысли по этому поводу?
Кто-нибудь имеет какие-то мысли по этому поводу?
» Jetico Personal Firewall
Den_Klimov
Цитата:
Глянул все не пройденные тесты. То, чего мы все так боимся - возможности конкретной (не теоретической) передачи данных в сеть не обнаружил.
[more=Вот]
FileDel2 - checks whether the tested product protects its files and directories against malicious deletion using a special system call.
По этому и некоторым тестам ниже: в версии 2.1.0.9, улучшили чего то там
, возможно по мотивам этих тестов.
Без админ. прав - не сработает.
Уровень 2.
Autorun20 - checks whether a malicious software can ensure its code to be persistent in the system by installing its DLL as a Windows Explorer's task.
Без админ. прав - не сработает.
Autorun30 - checks whether a malicious software can ensure its code to be persistent in the system by copying itself into the system startup folder.
Без админ. прав - не сработает.
FileMov2 - checks whether the tested product protects its files and directories against malicious renaming using a special feature of the system Session Manager.
HostsBlock - checks whether the tested product protect the system HOSTS file against malicious manipulation.
Без админ. прав - не сработает.
Jumper - checks whether the tested product protects Internet Explorer's settings.
Без админ. прав - не сработает.
RegDel1 - checks whether the tested product protects its registry keys and values against malicious deletion.
Без админ. прав - не сработает.
Wallbreaker4 - checks if it is possible to bypass the tested product using the system AT command. This command can be used to schedule a task that creates a malicious instance of the Internet browser.
Без админ. прав - не сработает.
Уровень 3.
Autorun16 - заменить путь ComSpec в реестре.
Autorun24 - заменить путь к Диспетчеру задач в реестре.
Autorun31 - копировать себя в папку запуска текущего юзера.
И чего дальше? Запускается от туда или нет не сказано.
FileRep1 - подмена файлов продукта другим файлом.
Интересно какой файл был заменён.
RegSet1 - защита продуктом своих значений реестра от злонамеренного повреждения.
Уровень 4.
Autorun6 - подмена оболочки по умолчанию (Explorer'а) на другую.
Что и как и под кем - без подробностей.
Autorun9 - подмена системного приложения, инициирующего переменные среды пользователей (environment).
Что и как и под кем - без подробностей.
Autorun14 - запускается каждый раз при логине текущего юзера.
Опять же не написали, возможна ли запись, или только чтение.
Autorun17 - изменение настроек в реестре, под текущим юзером, командного процессора.
Какие настройки меняют не пишут (м.б. шрифт).
Autorun26 - внедрение dll ставящую перехват в оболочку системы.
Что и как и под кем - без подробностей.
Autorun37 - загрузка приложения, во время процесса начальной загрузки системы.
Что делает приложение не пишут.
FileRep2 - защита продуктом своих файлов, от замены на жёсткие ссылки.
Какие файлы заменили на линки - не пишут.
Inject2 - попытка установки dll в каталоге Internet Explorer с системным именем, находящуюся в зависимостях IE.
Подробностей, что делает dll -нет.
Inject3 - попытка изменив переменные среды, "прицепить" dll с системным именем к IE, находящуюся у него (IE) в зависимостях.
Допустим они изменили одну из переменных PATH, но тогда как минимум, по изменённому пути, должна быть создана папка с исполняемыми файлами.
Keylog1 - попытки получения кодов нажатых пользователем клавиш.
SSS - попытки разлогинить текущего юзера.
Дальше (Уровни 5 - 10) не тестировали. Отсюда и балов маловато.[/more] все не пройденные если интересно.
Цитата:
Кто-нибудь имеет какие-то мысли по этому поводу?
Глянул все не пройденные тесты. То, чего мы все так боимся - возможности конкретной (не теоретической) передачи данных в сеть не обнаружил.
[more=Вот]
FileDel2 - checks whether the tested product protects its files and directories against malicious deletion using a special system call.
По этому и некоторым тестам ниже: в версии 2.1.0.9, улучшили чего то там
, возможно по мотивам этих тестов. Без админ. прав - не сработает.
Уровень 2.
Autorun20 - checks whether a malicious software can ensure its code to be persistent in the system by installing its DLL as a Windows Explorer's task.
Без админ. прав - не сработает.
Autorun30 - checks whether a malicious software can ensure its code to be persistent in the system by copying itself into the system startup folder.
Без админ. прав - не сработает.
FileMov2 - checks whether the tested product protects its files and directories against malicious renaming using a special feature of the system Session Manager.
HostsBlock - checks whether the tested product protect the system HOSTS file against malicious manipulation.
Без админ. прав - не сработает.
Jumper - checks whether the tested product protects Internet Explorer's settings.
Без админ. прав - не сработает.
RegDel1 - checks whether the tested product protects its registry keys and values against malicious deletion.
Без админ. прав - не сработает.
Wallbreaker4 - checks if it is possible to bypass the tested product using the system AT command. This command can be used to schedule a task that creates a malicious instance of the Internet browser.
Без админ. прав - не сработает.
Уровень 3.
Autorun16 - заменить путь ComSpec в реестре.
Autorun24 - заменить путь к Диспетчеру задач в реестре.
Autorun31 - копировать себя в папку запуска текущего юзера.
И чего дальше? Запускается от туда или нет не сказано.
FileRep1 - подмена файлов продукта другим файлом.
Интересно какой файл был заменён.
RegSet1 - защита продуктом своих значений реестра от злонамеренного повреждения.
Уровень 4.
Autorun6 - подмена оболочки по умолчанию (Explorer'а) на другую.
Что и как и под кем - без подробностей.
Autorun9 - подмена системного приложения, инициирующего переменные среды пользователей (environment).
Что и как и под кем - без подробностей.
Autorun14 - запускается каждый раз при логине текущего юзера.
Опять же не написали, возможна ли запись, или только чтение.
Autorun17 - изменение настроек в реестре, под текущим юзером, командного процессора.
Какие настройки меняют не пишут (м.б. шрифт).
Autorun26 - внедрение dll ставящую перехват в оболочку системы.
Что и как и под кем - без подробностей.
Autorun37 - загрузка приложения, во время процесса начальной загрузки системы.
Что делает приложение не пишут.
FileRep2 - защита продуктом своих файлов, от замены на жёсткие ссылки.
Какие файлы заменили на линки - не пишут.
Inject2 - попытка установки dll в каталоге Internet Explorer с системным именем, находящуюся в зависимостях IE.
Подробностей, что делает dll -нет.
Inject3 - попытка изменив переменные среды, "прицепить" dll с системным именем к IE, находящуюся у него (IE) в зависимостях.
Допустим они изменили одну из переменных PATH, но тогда как минимум, по изменённому пути, должна быть создана папка с исполняемыми файлами.
Keylog1 - попытки получения кодов нажатых пользователем клавиш.
SSS - попытки разлогинить текущего юзера.
Дальше (Уровни 5 - 10) не тестировали. Отсюда и балов маловато.[/more] все не пройденные если интересно.
Dimitr1s
То о чём мы с тобой давно говорили - методика тестирования у них не состоятельная, вернее заказная и подгоняется под конкретный заказ. По ней не пройдёт "тестирование" не менее половины корпоративных пакетов - режимы тестирования выбираются произвольно, результаты не поддаются проверке, а интерпретируются в пользу "объективного мнения" тестера и того, кто больше ему заплатит. Я не удивлён таким итогом. Данным тестам в такой ситуации доверять нельзя - тестер я считаю подтасовывает результаты. Такие тесты годятся разве что как приглашение к независимой проверке, но не более того.
То о чём мы с тобой давно говорили - методика тестирования у них не состоятельная, вернее заказная и подгоняется под конкретный заказ. По ней не пройдёт "тестирование" не менее половины корпоративных пакетов - режимы тестирования выбираются произвольно, результаты не поддаются проверке, а интерпретируются в пользу "объективного мнения" тестера и того, кто больше ему заплатит. Я не удивлён таким итогом. Данным тестам в такой ситуации доверять нельзя - тестер я считаю подтасовывает результаты. Такие тесты годятся разве что как приглашение к независимой проверке, но не более того.
Dimitr1s
Просто в сомнениях.. Следует ли заменить HIPS Jetico на какой-то отдельный специализиролванный HIPS-продукт, а Jetico оставить лишь как фаер.. Но ведь на старых машинах ресурсы и память не резиновые (на многих всего по 256 мегабайт оперативы), да и как бы не было конфликтов.. Хотя с другой стороны на старых машинах стоит XP, и в некоторых случаях я там оставлял права админа для рабочего профиля (по необходимости), так что требования к HIPS-у куда серьёзнее. Замкнутый круг.
Вот и размышляю так ли на самом деле дыряв HIPS в Jetico как это с недавних пор малюет matousec. И не следует ли его HIPS заменить.
Я правильно понял, что несмотря на то что некоторые "вредительства" на машине встроенный HIPS Jetico таки допускает, но они всё же никак не позволяют зловреду пробиться в сеть без разрешения пользователя?
-----------
Перешёл на своей машине кстати на 2.1.0.9 для эксперименту. Пока впечатления хорошие, хотя серьёзно не тестил за неимением времени.
Кстати кто уже тестил. Как 2.1.0.9 под Win7 64-битной?
Victor_VG
Цитата:
Вот и хотелось бы такой независимой проверки на версии 2.1.0.9 (раз уж там чего-то исправили). А то из-за matousecа складывается такое впечатление что HIPS у Jetico уже не соответствует нормам безопасности и уровню актуальных угроз. Особенно на фоне других продуктов, всяких комодов и иже с ними.
Просто в сомнениях.. Следует ли заменить HIPS Jetico на какой-то отдельный специализиролванный HIPS-продукт, а Jetico оставить лишь как фаер.. Но ведь на старых машинах ресурсы и память не резиновые (на многих всего по 256 мегабайт оперативы), да и как бы не было конфликтов.. Хотя с другой стороны на старых машинах стоит XP, и в некоторых случаях я там оставлял права админа для рабочего профиля (по необходимости), так что требования к HIPS-у куда серьёзнее. Замкнутый круг.
Вот и размышляю так ли на самом деле дыряв HIPS в Jetico как это с недавних пор малюет matousec. И не следует ли его HIPS заменить.
Я правильно понял, что несмотря на то что некоторые "вредительства" на машине встроенный HIPS Jetico таки допускает, но они всё же никак не позволяют зловреду пробиться в сеть без разрешения пользователя?
-----------
Перешёл на своей машине кстати на 2.1.0.9 для эксперименту. Пока впечатления хорошие, хотя серьёзно не тестил за неимением времени.
Кстати кто уже тестил. Как 2.1.0.9 под Win7 64-битной?
Victor_VG
Цитата:
Такие тесты годятся разве что как приглашение к независимой проверке, но не более того.
Вот и хотелось бы такой независимой проверки на версии 2.1.0.9 (раз уж там чего-то исправили). А то из-за matousecа складывается такое впечатление что HIPS у Jetico уже не соответствует нормам безопасности и уровню актуальных угроз. Особенно на фоне других продуктов, всяких комодов и иже с ними.
Den_Klimov
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Следует ли заменить HIPS Jetico на какой-то отдельный специализиролванный HIPS-продуктПод "отдельный специализированный HIPS-продукт" имеете ввиду шароварную прогу за 10-15 долларов? Тогда вряд ли стоит.
Цитата:
некоторые "вредительства" на машине встроенный HIPS Jetico таки допускаетНу не только Jetico, многие из лидеров чего то допускают. Тут ещё момент - в условиях почти всех тестов, обязателен беспрепятственный запуск самого теста. В реальности, получили бы запрос на запуск и при запрете, с большой долей вероятности, на этом бы вся "зловредная" деятельность закончилась.
Цитата:
но они всё же никак не позволяют зловреду пробиться в сеть без разрешения пользователя?Это не зловреды, а тесты. Все не пройденные Джетикой выше перечислил, утечки данных в сеть среди них нет. Реальные зловреды, под админ. учёткой выносят всё и вся.
Цитата:
Вот и хотелось бы такой независимой проверки на версии 2.1.0.9А их нет независимых и быть не может. Разве что сами для себя устроите.
Цитата:
А то из-за matousecа складывается такое впечатление что HIPS у Jetico уже не соответствует нормам безопасности и уровню актуальных угроз.Тесты к реальным угрозам отношения никакого не имеют. Т.е. ни как не факт, что если Вы поставите лидера по тестам Матусека, не словите тут же окошко с голой тёткой и предложением поделится деньгами.
Den_Klimov
Вот тебе факт что вызывал комод 5:
Цитата:
убрал - всё заработало. Ошибка как выяснилась в порче стека приложений его драйверами с одновременной блокировкой широковещательных адресов на майлслотах. Понятно что эти "тесты" в таком случае проходятся "на ура" - "тест-зловред" просто крэшится, а раз цель тестом не достигнута, то считаем его пройденным. Зачем что-то проверять, если мы видим результат по нашей методике - тест не сработал, а проверять почему нам некогда - заказчик за плечом маячмт, в ухо дышит, ножками сучит, отчёта ждёт, понятно что его продукт лучший в мире..
Что касается методик, то есть конечно профессиональные методики подразумевающие полную проверку брандмауэра в тестовой сети под максимальной нагрузкой. Да вот дома эти испытания не провести - места не хватит, раз, за електричество счета придут мама не горюй, два, и главное достоверность любых измерений на этапе сбора данных обеспечивает статистика по серии измерений дающая среднюю оценку измеряемой величины по всей серии измерений, достаточно большой - обычно не менее 90 - 100 измерений по каждому параметру.
Вот тебе факт что вызывал комод 5:
Цитата:
MSYS-1.0.14 Build:2010-03-17 23:02
Exception: STATUS_ACCESS_VIOLATION at eip=71008BFC
eax=60E95C04 ebx=60E9136C ecx=608B8768 edx=00000720 esi=00000000 edi=60E900D4
ebp=0022FF00 esp=0022FEE8 program=C:\PROGRA~1\GCC\BIN\echo.exe
cs=001B ds=0023 es=0023 fs=003B gs=0000 ss=0023
Stack trace:
Frame Function Args
0022FF00 71008BFC (60E900D4, 00000720, 7C97D600, 7C8021B9)
0022FF50 710045CB (000007FC, FFFFFFFE, 000007CC, 7109C6A4)
0022FF90 71004B65 (00000000, 00000000, 00000006, EC645D04)
0022FFB0 00403EBF (004011B0, 037F0009, 0022FFF0, 7C817067)
0022FFC0 0040103E (504F2F31, 53534E45, 7FFDE000, 8054B6B8)
0022FFF0 7C817067 (00401000, 00000000, 78746341, 00000020)
End of stack trace
убрал - всё заработало. Ошибка как выяснилась в порче стека приложений его драйверами с одновременной блокировкой широковещательных адресов на майлслотах. Понятно что эти "тесты" в таком случае проходятся "на ура" - "тест-зловред" просто крэшится, а раз цель тестом не достигнута, то считаем его пройденным. Зачем что-то проверять, если мы видим результат по нашей методике - тест не сработал, а проверять почему нам некогда - заказчик за плечом маячмт, в ухо дышит, ножками сучит, отчёта ждёт, понятно что его продукт лучший в мире..
Что касается методик, то есть конечно профессиональные методики подразумевающие полную проверку брандмауэра в тестовой сети под максимальной нагрузкой. Да вот дома эти испытания не провести - места не хватит, раз, за електричество счета придут мама не горюй, два
, и главное достоверность любых измерений на этапе сбора данных обеспечивает статистика по серии измерений дающая среднюю оценку измеряемой величины по всей серии измерений, достаточно большой - обычно не менее 90 - 100 измерений по каждому параметру.Мда.. То-то мне интуитивно комод 5 не понравился. Как чувствовал бяку.
Эпопея с незапускающимся файером благополучно разрешилась. Выяснилось, что это была ошибка в JPF, связанная с некорректной обработкой порядка загрузки драйверов. Наиль выслал мне исправленную тестовую версию, с ней всё тут же заработало и продолжает работать после установки Каспера и VMware.
Спасибо всем, кто принимал участие в попытках решить проблему.
Спасибо всем, кто принимал участие в попытках решить проблему.
CaptainFlint
Значит все-таки есть ещё "тёмные пятна", казалось бы всё вычистили и исправили, ан нет.
Значит все-таки есть ещё "тёмные пятна"
, казалось бы всё вычистили и исправили, ан нет.Dimitr1s
Насколько я понял, проблема была не в тёмных пятнах, а в том, что от многочисленных установок и переустановок разных программ у меня в реестре сложилась такая конфигурация порядка загрузки, которую JPF не смог правильно разобрать. Если бы проблема была только в моей системе, то достаточно было бы просто удалить или исправить какой-то ключ, а собирать новый билд не потребовалось бы.
Насколько я понял, проблема была не в тёмных пятнах, а в том, что от многочисленных установок и переустановок разных программ у меня в реестре сложилась такая конфигурация порядка загрузки, которую JPF не смог правильно разобрать. Если бы проблема была только в моей системе, то достаточно было бы просто удалить или исправить какой-то ключ, а собирать новый билд не потребовалось бы.
16-December-2010 | v.2.1.0.10
Changelog:
Hungarian Translation.
Eliminated "Could not connect to firewall server" problem after third-party program installation.
Improved drivers' stability.
Changelog:
Hungarian Translation.
Eliminated "Could not connect to firewall server" problem after third-party program installation.
Improved drivers' stability.
Dimitr1s
XenoZ
Не мог бы вы еще раз выложить "Стандартный набор правил"?
Ссылки из первой части мертвые.
XenoZ
Не мог бы вы еще раз выложить "Стандартный набор правил"?
Ссылки из первой части мертвые.
semenas
Цитата:
Вот, посвежее, на rghost.ru. Небольшие [more=пояснения]
Набор по возможности "жёсткий", с упором на одиночную машину (без шар, серверов и пр.)
Системные файлы: оригинальная XP SP3 + все доступные обновления
svchost.htm - пояснения для svchost.exe
В качестве примера для антивируса (с WebGuard и MailGuard) - правила KAV7
В качестве примера для онлайн игр - Ragnarok Online (Ragexe.exe Ragnarok.exe HSUpdate.exe)
Примерная структура (на примере продуктов Adobe):
Что бы обновить Reader нужно:
1. Включить в сетевой таблице SVCHOST.EXE правила: Microsoft Update (only) и Svchost Web Access
2. Выключить в таблице Deny Conection правило Deny AdobeARM.exe (Reader UP)
Что бы обновить другие прдукты из CS5 нужно:
1. Включить в сетевой таблице SVCHOST.EXE правила: Microsoft Update (only) и Svchost Web Access
2. Выключить в таблице Deny Conection правило Deny Adobe PDapp.exe (Other Adobe UP)
Владельцам легальных лицензий Adobe можно выключить правило: Deny Adobe activate.adobe.com в таблице: Deny Conection
Что бы обновиться с Microsoft Update нужно:
1. Включить в сетевой таблице SVCHOST.EXE правила: Microsoft Update (only) и Svchost Web Access
2. Выключить в сетевой таблице Таблица IP правило: Deny All Fragmented Packet
Естественно, если что то оставить из этой таблицы себе, нужно проверить пути и пересчитать хеш.[/more]
добавил: пароль на архив: ru-board
По поводу быстрой проверки хеша в таблице Контрольные суммы - можно попробовать такой [more=вариант]
Зайти в таблицу Контрольные суммы, вызвать правой кнопкой по колонке "Действие" всплывающее меню и снять все флаги кроме Контрольная сумма
С зажатым SHFT выделить все записи (или только нужные)
Скопировать текст
Дальше, в любом текстовом редакторе (например в AkelPad убрать вертикальным выделением лишнее, убрать завершающие пробелы, и выровнять пробелами отсутствующие контрольные суммы (если такие есть). Вообщем оставить пока только хеш:
Дальше проделать операцию в таблице Контрольные суммы как выше, только скопировать пути приложений:
Обработать в отдельной вкладке текстового редактора как хеш (выше). Оставить только пути:
Дальше, аккуратно, выделить все пути и с помощью вертикальной вставки вставить (совместить) к записям хешей. Убедиться, что всё совпало:
Дальше остаётся путём Поиска/Замены, привести записи к формату .sha (или .sha1).
Делаем Поиск/Замену:
Код: C:\
Цитата:
"Стандартный набор правил"
Вот, посвежее, на rghost.ru. Небольшие [more=пояснения]
Набор по возможности "жёсткий", с упором на одиночную машину (без шар, серверов и пр.)
Системные файлы: оригинальная XP SP3 + все доступные обновления
svchost.htm - пояснения для svchost.exe
В качестве примера для антивируса (с WebGuard и MailGuard) - правила KAV7
В качестве примера для онлайн игр - Ragnarok Online (Ragexe.exe Ragnarok.exe HSUpdate.exe)
Примерная структура (на примере продуктов Adobe):
Что бы обновить Reader нужно:
1. Включить в сетевой таблице SVCHOST.EXE правила: Microsoft Update (only) и Svchost Web Access
2. Выключить в таблице Deny Conection правило Deny AdobeARM.exe (Reader UP)
Что бы обновить другие прдукты из CS5 нужно:
1. Включить в сетевой таблице SVCHOST.EXE правила: Microsoft Update (only) и Svchost Web Access
2. Выключить в таблице Deny Conection правило Deny Adobe PDapp.exe (Other Adobe UP)
Владельцам легальных лицензий Adobe
можно выключить правило: Deny Adobe activate.adobe.com в таблице: Deny Conection Что бы обновиться с Microsoft Update нужно:
1. Включить в сетевой таблице SVCHOST.EXE правила: Microsoft Update (only) и Svchost Web Access
2. Выключить в сетевой таблице Таблица IP правило: Deny All Fragmented Packet
Естественно, если что то оставить из этой таблицы себе, нужно проверить пути и пересчитать хеш.[/more]
добавил: пароль на архив: ru-board
По поводу быстрой проверки хеша в таблице Контрольные суммы - можно попробовать такой [more=вариант]
Зайти в таблицу Контрольные суммы, вызвать правой кнопкой по колонке "Действие" всплывающее меню и снять все флаги кроме Контрольная сумма
С зажатым SHFT выделить все записи (или только нужные)
Скопировать текст
Дальше, в любом текстовом редакторе (например в AkelPad убрать вертикальным выделением лишнее, убрать завершающие пробелы, и выровнять пробелами отсутствующие контрольные суммы (если такие есть). Вообщем оставить пока только хеш:
Дальше проделать операцию в таблице Контрольные суммы как выше, только скопировать пути приложений:
Обработать в отдельной вкладке текстового редактора как хеш (выше). Оставить только пути:
Дальше, аккуратно, выделить все пути и с помощью вертикальной вставки вставить (совместить) к записям хешей. Убедиться, что всё совпало:
Дальше остаётся путём Поиска/Замены, привести записи к формату .sha (или .sha1).
Делаем Поиск/Замену:
Код: C:\
Dimitr1s
Спасибо.
Перехожу на win7х64 ищу нормальный фаервол, комбайны с антивирус+антиспамом+прокси+фаервол и галочкой степень защиты не очень нравяться
C IP таблицей разобрался т.к. сидел на Deerfield VisNetic Firewall, а с приложениями лучше сразу правильную структуру таблиц сделать.
Сейчас настроил все как под аппаратный, чисто по протоколам.
Еще вопрос, как я понимаю алгоритм обработки пакетов следующий:
Входящее соединение:
Network, Ip Table -> Приложения => если найдено подходяшее правило дальнейшиее таблицы не обрабатываются.
Исходящее соединение:
Приложения -> Network, Ip Table => если найдено подходяшее правило дальнейшиее таблицы не обрабатываются.
без учета контрольных сумм и инжекта.
Сори за нубство, 2 дня с ним работаю.
Спасибо.
Перехожу на win7х64 ищу нормальный фаервол, комбайны с антивирус+антиспамом+прокси+фаервол и галочкой степень защиты не очень нравяться
C IP таблицей разобрался т.к. сидел на Deerfield VisNetic Firewall, а с приложениями лучше сразу правильную структуру таблиц сделать.
Сейчас настроил все как под аппаратный, чисто по протоколам.
Еще вопрос, как я понимаю алгоритм обработки пакетов следующий:
Входящее соединение:
Network, Ip Table -> Приложения => если найдено подходяшее правило дальнейшиее таблицы не обрабатываются.
Исходящее соединение:
Приложения -> Network, Ip Table => если найдено подходяшее правило дальнейшиее таблицы не обрабатываются.
без учета контрольных сумм и инжекта.
Сори за нубство, 2 дня с ним работаю.
semenas
Цитата:
Нет не так. Обрабатываются все таблицы (сверху-вниз), приоритет имеет правило расположенное выше. К примеру если разрешите в Приложениях для IE исходящее соединение на удалённый порт 80, а в Ip Table будет запрещающее правило (на удалённый порт 80) - сработает последнее. Тоже касается и правил и внутри отдельных таблиц. Если запретите в таблице для IE исходящее соединение на удалённый порт 80, а сверху окажется общее разрешающее правило (на порт 80) - IE по нему соединится. Поэтому, чем меньше общих правил (без пути к исполняемому файлу), тем лучше. Поэкспериментируйте сами.
Цитата:
...если найдено подходяшее правило дальнейшиее таблицы не обрабатываются.
Нет не так. Обрабатываются все таблицы (сверху-вниз), приоритет имеет правило расположенное выше. К примеру если разрешите в Приложениях для IE исходящее соединение на удалённый порт 80, а в Ip Table будет запрещающее правило (на удалённый порт 80) - сработает последнее. Тоже касается и правил и внутри отдельных таблиц. Если запретите в таблице для IE исходящее соединение на удалённый порт 80, а сверху окажется общее разрешающее правило (на порт 80) - IE по нему соединится. Поэтому, чем меньше общих правил (без пути к исполняемому файлу), тем лучше. Поэкспериментируйте сами.
Dimitr1s
Спасибо, изучу Ваши конфиги и разберусь со временем, за пару дней сложно все понять тем более если работал с фаерволом на подобие аппаратного, где фильтр только по протоколам.
Ссылка на "Стандартный набор правил" мертвая.Нельзя ли заново выложить.Только начал разбираться с Джетикой.
glbus
Перезалил.
Перезалил.
Dimitr1s
Спасибо,буду разбираться.
Спасибо,буду разбираться.
Есть ли у кого-то опыт по установке версии 1.0.1.61 на 7ку SP1?
Помню удалось поставить на 7ку без SP с помощью совместимости, но на SP1 даже не запускается, пишет о несовместимом драйвере и программе.
Помню удалось поставить на 7ку без SP с помощью совместимости, но на SP1 даже не запускается, пишет о несовместимом драйвере и программе.
Установил v.2.1.0.10 на Win7 SP1 в качестве замены ZoneAlarm. Сначала всё работало нормально, через сутки начались проблемы: не запускаются некоторые программы (Ace Utilities, Unlocker, JetAudio), а при запуске Диспетчера Задач всё зависает и 'лечится' только кнопкой Reset. В настройках Jetico запретов на данные программы нет, в журналах событий после перезагрузок - пусто, хотя аудит выставлен на всё. После удаления Jetico проблемы исчезли. Может, кто-нибудь сталкивался с подобным - в чём может быть проблема?
Tridentifer
Цитата:
Следов присутствия ZoneAlarm точно не осталось? Особенно драйверов?
Цитата:
Пару страниц назад делились проблемами со сборками после билда 2.1.0.8. Для начала попробуйте его (2.1.0.8). Здесь можно загрузить все версии.
Цитата:
в журналах событий после перезагрузок - пусто, хотя аудит выставлен на всё
Следов присутствия ZoneAlarm точно не осталось? Особенно драйверов?
Цитата:
Может, кто-нибудь сталкивался с подобным - в чём может быть проблема?
Пару страниц назад делились проблемами со сборками после билда 2.1.0.8. Для начала попробуйте его (2.1.0.8). Здесь можно загрузить все версии.
Dimitr1s
Цитата:
Jetico устанавливался в качестве замены ZoneAlarm на 'чистую' систему.
Цитата:
ОК, на досуге попробую.
Цитата:
Следов присутствия ZoneAlarm точно не осталось? Особенно драйверов?
Jetico устанавливался в качестве замены ZoneAlarm на 'чистую' систему.
Цитата:
Для начала попробуйте его
ОК, на досуге попробую.
Dimitr1s
Ну вот, протестировал с версий 2.1.0.8 до 2.1.0.10. Результат расстроил - после установки v2.1.0.8 и первой перезагрузки Win 7 SP1 не смогла загрузиться, пришлось удалять в 'безопасном режиме'. С v2.1.0.10 осталась та же ситуация - через некоторое время PC зависает и ни на что не реагирует. Очень жаль, т.к. понравился Jetico.
********
P.S. И ещё - странно, но не нашёл, как удалить Jetico v2.1.0.10 из автозапуска. Ключ реестра удаляешь, а он после перезагрузки появляется снова. В настройках вроде опции 'Старт при запуске системы' нет.
Ну вот, протестировал с версий 2.1.0.8 до 2.1.0.10. Результат расстроил - после установки v2.1.0.8 и первой перезагрузки Win 7 SP1 не смогла загрузиться, пришлось удалять в 'безопасном режиме'. С v2.1.0.10 осталась та же ситуация - через некоторое время PC зависает и ни на что не реагирует. Очень жаль, т.к. понравился Jetico.
********
P.S. И ещё - странно, но не нашёл, как удалить Jetico v2.1.0.10 из автозапуска. Ключ реестра удаляешь, а он после перезагрузки появляется снова. В настройках вроде опции 'Старт при запуске системы' нет.
Tridentifer
Цитата:
Возможно расстраивает не Jetico, а что то другое. Давайте попробуем по порядку с версией v2.1.0.8:
Win 7 SP1 - оригинальный образ или сборка? Если сборка, то на этом этапе можно и закончить.
Какой софт, возможно устанавливающий свои перехватчики функций и драйвера на уровне ядра системы установлен? Антивирус, софт типа Punto Switcher, все подобные "хипсы". Как бы то ни было - нужно после установки Jetico, НО ДО перезагрузки системы, внести в исключения антивируса исполняемые файлы (jpf.exe, jpfsrv.exe) и всю директорию Jetico (%ProgramFiles%\Jetico\Jetico Personal Firewall\).
Попробуйте, после установки Jetico, запустить в режиме "Allow all". Потом, после перезагрузки, посмотрите как будет себя "вести". Для этого нужно поступить так:
1. После установки Jetico, но до перезагрузки системы, откройте в тестовом редакторе файл %ProgramFiles%\Jetico\Jetico Personal Firewall\Config\jpfconfig.xml
2. Поиском найдите параметр default="1", он располагается по умолчанию в строке:
<policy name="Optimal Protection" default="1">
3. Удалите его из этой строки и перенесите в строку:
<policy name="Allow all">
То есть было:
<policy name="Allow all">
...
<policy name="Optimal Protection" default="1">
стало:
<policy name="Allow all" default="1">
...
<policy name="Optimal Protection">
4. Сохраните, обязательно в UTF-8 без сигнатуры BOM.
5. Перегрузитесь и посмотрите заработает ли с политикой "Всё разрешено".
Цитата:, тем не менее Вы уверены что параметр реестра удаляется? Всякое бывает . Удалите вручную, через regedit, параметр "JeticoPFStartup" в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и убедитесь что он удалился.
Цитата:
Результат расстроил - после установки v2.1.0.8 и первой перезагрузки Win 7 SP1 не смогла загрузиться, пришлось удалять в 'безопасном режиме'.
Возможно расстраивает не Jetico, а что то другое. Давайте попробуем по порядку с версией v2.1.0.8:
Win 7 SP1 - оригинальный образ или сборка? Если сборка, то на этом этапе можно и закончить.
Какой софт, возможно устанавливающий свои перехватчики функций и драйвера на уровне ядра системы установлен? Антивирус, софт типа Punto Switcher, все подобные "хипсы". Как бы то ни было - нужно после установки Jetico, НО ДО перезагрузки системы, внести в исключения антивируса исполняемые файлы (jpf.exe, jpfsrv.exe) и всю директорию Jetico (%ProgramFiles%\Jetico\Jetico Personal Firewall\).
Попробуйте, после установки Jetico, запустить в режиме "Allow all". Потом, после перезагрузки, посмотрите как будет себя "вести". Для этого нужно поступить так:
1. После установки Jetico, но до перезагрузки системы, откройте в тестовом редакторе файл %ProgramFiles%\Jetico\Jetico Personal Firewall\Config\jpfconfig.xml
2. Поиском найдите параметр default="1", он располагается по умолчанию в строке:
<policy name="Optimal Protection" default="1">
3. Удалите его из этой строки и перенесите в строку:
<policy name="Allow all">
То есть было:
<policy name="Allow all">
...
<policy name="Optimal Protection" default="1">
стало:
<policy name="Allow all" default="1">
...
<policy name="Optimal Protection">
4. Сохраните, обязательно в UTF-8 без сигнатуры BOM.
5. Перегрузитесь и посмотрите заработает ли с политикой "Всё разрешено".
Цитата:
И ещё - странно, но не нашёл, как удалить Jetico v2.1.0.10 из автозапуска. Ключ реестра удаляешь, а он после перезагрузки появляется снова.Они улучшали защиту в версиях 2.1.0.9, 2.1.0.10
, тем не менее Вы уверены что параметр реестра удаляется? Всякое бывает . Удалите вручную, через regedit, параметр "JeticoPFStartup" в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и убедитесь что он удалился.Спасите меня от этой проги.
kortez7
Какая версия Jetico и какая Windows?
Цитата:
Как удаляете? На оф. форуме, разработчик рекомендовал запускать uninstall при включённом сервисе, то есть без выключения фаервола.
Цитата:
Если версия Jetico последняя, то еще есть драйвер bcfsrm.sys.
В дополнение, почистить ключи в:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
Вида:
LEGACY_BC_HASH_F
LEGACY_BC_IP_F
LEGACY_BC_NGN
LEGACY_BC_PAT_F
LEGACY_BC_PRT_F
LEGACY_BC_TDI_F
LEGACY_BCFTDI
добавил:
ещё JT_BCFILTERMP
(могут возникнуть проблемы с правами).
Цитата:
Как удаляете ключи, руками или "чистилкой"?
Какая версия Jetico и какая Windows?
Цитата:
...при попытке удаления BCUninstall.exe повисает.
Как удаляете? На оф. форуме, разработчик рекомендовал запускать uninstall при включённом сервисе, то есть без выключения фаервола.
Цитата:
Пытался чистить по этому руководству: ...
Если версия Jetico последняя, то еще есть драйвер bcfsrm.sys.
В дополнение, почистить ключи в:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
Вида:
LEGACY_BC_HASH_F
LEGACY_BC_IP_F
LEGACY_BC_NGN
LEGACY_BC_PAT_F
LEGACY_BC_PRT_F
LEGACY_BC_TDI_F
LEGACY_BCFTDI
добавил:
ещё JT_BCFILTERMP
(могут возникнуть проблемы с правами).
Цитата:
После чистки...
Как удаляете ключи, руками или "чистилкой"?
kortez7
Удаляется элементарно, а что до сбоя стека - лечится просто- в параметрах TCP/IP [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters] найти Jetico и удалить весь его подключ. Повторить в остальных наборах параметров запуска и перезапустить сеть либо ребутнутся. Сам так не раз делал. После всё работает.
Удаляется элементарно, а что до сбоя стека - лечится просто- в параметрах TCP/IP [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters] найти Jetico и удалить весь его подключ. Повторить в остальных наборах параметров запуска и перезапустить сеть либо ребутнутся. Сам так не раз делал. После всё работает.
Victor_VG
Цитата:
Как можно найти компонент Jetico (bcfilter.sys) в этом ключе, если его там нет?
Цитата:
А многие ключи, где он есть:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\CLSID*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\CLSID*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\CLSID*
должны сброситься на дефолт командой: netsh winsock reset, ибо руками оттуда удалять трудоёмко.
Цитата:
Удаляется элементарно, а что до сбоя стека - лечится просто- в параметрах TCP/IP [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters] найти Jetico и удалить весь его подключ.
Как можно найти компонент Jetico (bcfilter.sys) в этом ключе, если его там нет?
Цитата:
Повторить в остальных наборах параметров запуска и перезапустить сеть либо ребутнутся.
А многие ключи, где он есть:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\CLSID*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\CLSID*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\CLSID*
должны сброситься на дефолт командой: netsh winsock reset, ибо руками оттуда удалять трудоёмко.
Страницы: 123456789101112131415161718192021222324
Предыдущая тема: Форматы, кодеки, снятие и обработка звука, lossless
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.