» Jetico Personal Firewall

XenoZ

Цитата:

А что у тебя за хрень в правилах?

Это Stateful Inspection по русски. Трогать не надо.

HarDDroN
Поставь назад 2.0.2.9 и будет всё нормально. В последних бетах как была у некоторых проблемма с невидимостью так и осталась. ИМХО Рановато 2.1.0.4 в релиз записали.
добавил: Если нет нужды получать рассылки и не смотришь IP TV в кривом исполнении можно выкинуть третье снизу правило разрешающее broadcast.

Jarikk
Цитата:

а это есть stateful inspection, для анализа ожидаемых пакетов

Епть!.. Никогда бы не подумал... Оригинальный перевод, однако...

Jarikk

Цитата:

а это есть stateful inspection, для анализа ожидаемых пакетов

Не так, через эти правила, если включены, проходят все пакеты.

XenoZ
Это ладно, в последней версии на такой перевод натолкнулся: "Hints"="Приметы"

Dimitr1s
спс, но у меня не сохранилась версия 2.0.2.9
Можешь залить куда-нить и ссылку в личку? (кстати, можешь мне свои настройки в личку скинуть (в .xml), а я их под себя подкорректирую)

Dimitr1s

Цитата:

Не так, через эти правила, если включены, проходят все пакеты.

ммм... а я то думал все по-другому.Если стоит в правиле "Разрешить" и галка "Stateful Inspection", то будет разрешено движение пакетов, прошедших проверку.
Stateful Packet Inspection - Фильтрация пакетов на основе данных о состоянии соединения. (Википедия ) . Т.е., русскими словами, все правила выше запрещают/разрешают соединения на указанные порты/адреса без проверки, далее вступает в действие анализ. Примененяя stateful проверку, фаервол отслеживает открытые соединения и разрешает прохождение только того трафика, который либо соответствует существующему соединению, либо открывает новое соединение, если пакеты не нарушают спецификацию TCP/IP, что часто используется в злонамеренных операциях. Или я не правильно думаю?

HarDDroN

Цитата:

Можешь залить куда-нить и ссылку в личку?

Отправил.

Цитата:

кстати, можешь мне свои настройки в личку скинуть (в .xml), а я их под себя подкорректирую

Общий принцип построения таблиц выкладывал: здесь. Посмотри если не понятно чего, пиши.

Jarikk
В посте выше ты не точно выразился: "для анализа ожидаемых пакетов", правильнее, для анализа всех адресованных пакетов по этим протоколам, анализируются все пакеты, а не только ожидаемые. А на счёт реализации в исполнении Джетики, то косяки некоторые есть. Попробуй создать правило (для браузера или FTP клиента) разрешающее входящие поправил: с 20 порта и скачать что либо в активном режиме. Пакеты будут резаться, хотя попадают под ожидаемые. В тоже время пакеты на 113 порт (Authentication Service / Identification Protocol) пропускаются, хотя они не ожидаемые. Про FTP в пассивном режиме, это уже много раз писали. Так что под классическое описание из Википедии, как бы тоже не совсем подходит .

Dimitr1s
большое спс! (и за джетику, и за настройки)! Вы будете смеяться, но я только узнал, что можно в Сетевой активности ссылаться на другие таблицы! (увидел это у вас - для каждой проги своя таблица) - всё рассорторовал. Красота! Все по полочкам-ящичкам разложено. Так же взял конфиг XenoZa и позаимствовал оттуда парочку правил для IP Tables, а из вашей для приложений! Ещё раз спасибо.

тогда так - а это есть stateful inspection, для анализа на ожидаемость пакетов

Цитата:

Попробуй создать правило (для браузера или FTP клиента) разрешающее входящие на 20 порт и скачать что либо в активном режиме. Пакеты будут резаться, хотя попадают под ожидаемые.

ну получается, что "ожидаемые" они только для нас, потому как по самой проверке Stateful все правильно. В активном режиме клиент соединяется по TCP/IP с сервером через "произвольный порт", а получает ответ уже через "произвольный порт + 1". Собственно это и не ожидаемо для фаервола. Вообще с точки зрения stateful inspection это наверное и правльно, хотя можно было бы и исправить разработчикам, не знаю как там в других фаерволах обстоят дела с данной проверкой

Jarikk
Я впопыхах не правильно написал, не на 20 порт, а, конечно же, с удалённого 20'ого порта, исправил.
Цитата:

ну получается, что "ожидаемые" они только для нас, потому как по самой проверке Stateful все правильно.

Ну почему для нас, в случае с FTP, что в активном, что в пассивном режиме, ответы сервера на пакеты инициированного нами соединения, имеют признак RELATED (то есть они инициированы из уже установленного нами соединения, имеющего признак ESTABLISHED) и должны проходить проверку Stateful, так что ИМХО совсем не правильно.
Цитата:

В активном режиме клиент соединяется по TCP/IP с сервером через "произвольный порт", а получает ответ уже через "произвольный порт + 1". Собственно это и не ожидаемо для фаервола.

Вопрос не в том какой наш порт, есть правило для приложения, разрешающее входящие пакеты с удалённого порта 20, пакет ожидаемый, Stateful Джетики его режет, тут косяк на лицо. Кстати, по UDP, неправильная работа Stateful тоже есть, разработчики знают но исправлять не спешат что то .
Цитата:

хотя можно было бы и исправить разработчикам, не знаю как там в других фаерволах обстоят дела с данной проверкой

Если с оглядкой на оутпост, то по FTP, его Stateful всегда отрабатывала правильно, как и надо. Исправить бы давно не мешало бы, но им (разрабам) видимо тесты матусека покоя не дают, появляются всё новые так же не доделанные фичи, лишь бы местечко в таблице по выше, ну да ладно - коммерция... $

может кто нить поможет мне c переводом? Хочу написать разрабам (кстати, это сюда? - support@jetico.com)
Написать хочу следующее:
Здравствуйте, я пользователь Jetico Personal Firewall 2, и у меня есть несколько вопросов.
1. Будет ли присутсвовать в следующих версиях IDS или детектор атак [пусть хотя бы в журнале пишется, без алертов]?
2. Будет ли в Jetico PF такая функция - Block all traffic while the service is not loaded (блокировать весь трафик, если сервис фаера не загружен) и ещё Блокировать неизвестные запросы, когда фаер отключен (как у комодо - получается, если трояну всё же удастся "задушить" фаер, толку от этого никакого - его действия будут заблокированы)
З.Ы.: на Windows 7 я не могу запретить другим приложениям доступ к процессам Jetico. Прошу исправить.
Заранее спасибо, и за такой великолепный фаервол тоже.
Вот мой перевод:
Hello, I'm Jetico Personal Firewall 2 user, and i have some questions.
1. Will you add IDS, attack detection [at least protocoling in the log, no alert] in the next versions?
2. Will the Jetico PF have functions like those - "Block all traffic while the service is not loaded" and "Block unknown requests when the firewall is disabled (if troyan blocked Jetico, his actions will be blocked)
P.S.: On Windows 7, I can't deny other applications's access to the Jetico's processes. Please fix it.
Thanks in advance, and for such a wonderful firewall too.
Правильно? Если что не так, исправьте меня ^_^

Ну чё молчим?

HarDDroN

1. Will you attend in the following versions of IDS or attack detection (though at least in the log is written, with no alert)
2. Will Jetico PF has functions - "Block all traffic while the service is not loaded" and "Block unknown requests when the firewall is disabled (if trojan blocked Jetico, his actions is blocking)
3. I can not prevent other applications access to the Jetico's processes in Windows 7. Please fix it.

Desmont
thank you very much

2 ALL
какие правила для System можно прописать?

У меня jetico работает под обычной учетной записью,в контроле доступа все выключено,а то некоторые друзья пытаются устанавливать,запускать программы,естественно jetico не дает, что мне и нужно,но ехешники тех программ что они запускают висят в диспетчере задач,так и должно быть?

Внимание знатоков! Помогите, пож-ста, разобраться!
Работаю на JPF. До недавнего времени всё было ОК.
2 дня наза обнаруживаю в Programs Files две новые для меня замписи. В "Установке и удалении программ" две новые маленькие проги, которые мне нах не нужны никогда не были. Удалил их, при проверке антивирусом - сказал что инчего плохого не обнаружено.
Однако, как они самоустановились - для меня вопрос 1-й.
Вопрос (для меня) 2-й - почему JPF не предупредил об этом (ведь это обычная процедура)?

Подскажите пож-ста, в JPF имеется парольная защита настроек? (Почему-то не смог нигде её найти.)
Process attack rule (может быть это "Контроль процессов"?)
Где создаётся (как пишется понятно) это правило для JPF в Оптимальной защите?
В подменю "создать" Оптимальной защиты, ненашёл правил реакции на процесс атаки.
Кто-нить пользуется этой фишкой?
Потом: что за режимы такие - в Фильтрах приложений - "насквозь" и "остановить обучение"?

101shrek
А у двух маленьких прог существует какое-нибудь название, или они никак не называются? А то это вполне может оказаться чем-то вроде visual c redistributable или еще что-то подобное...

HarDDroN

Цитата:

какие правила для System можно прописать?

Какие позволяет создать Джетика, такие и можно. (Какой вопрос, такой ответ.)
Ну а если конкретнее, под абстрактным "System", объединены в общем-то сервисы, службы, драйвера работающие на уровне ядра системы. Соответственно, тебе самому виднее должно быть - какие используешь, для таких и создавай по запросу. Или конкретней спрашивай.
Если от System "вдруг" появляются запросы типа на "china.ch", то естественно лечится.

fen77796

Цитата:

У меня jetico работает под обычной учетной записью

Обычной какой? Если под юзверьской, то к чему изобретать велосипед? Все подобные вопросы (установка, запуск программ) разруливаются средствами самой системы из под учётки админа.

101shrek

Цитата:

Подскажите пож-ста, в JPF имеется парольная защита настроек? (Почему-то не смог нигде её найти.)

Нет, есть "Контроль доступа", где от имени администратора можно ограничить доступ для пользователей и групп.
Цитата:

Process attack rule (может быть это "Контроль процессов"?)
Где создаётся (как пишется понятно) это правило для JPF в Оптимальной защите?
В подменю "создать" Оптимальной защиты, ненашёл правил реакции на процесс атаки.
Кто-нить пользуется этой фишкой?

Что-то с памятью моей стало... (© Роберт Иванович Рождественский)

Цитата:

101shrek писал 21:54 24-05-2009
2-й вопрос. Давайте разберёмся с:
****************
Process attack rule.
Process attack specific parameters.
****************
Кто-нибудь сталкивался с ними?

Цитата:

Dimitr1s ответил 03:09 28-05-2009
Process attack rule - есть правила в таблице "Контроль процессов", а Process attack specific parameters дополнительные параметры этих правил: "запись в память приложения", "внедрение кода в процесс" и т.д. и сталкиваются с ними все пользователи программы. Обсуждали много и подробно.

Цитата:

Потом: что за режимы такие - в Фильтрах приложений - "насквозь" и "остановить обучение"?

"Насквозь" - наверно подразумевается "разрешить всё", реализуется, если память не изменяет, включением аналогичного правила вверху таблицы.
"Остановить обучение" - подразумевается так, как написано, реализуется отключением правила "Спросить" внизу таблицы и вопросы задаваться из этой таблицы больше не будут (соответственно и правила создаваться тоже), таблица будет работать только по уже имеющимся правилам.
Почему наверное? Потому что я давно избавился от этих режимов, т.к. они глючили всегда, да и ненужны по большому счёту.

Dimitr1s
я имею ввиду какие правила для System у вас. Просто вроде вначале System никуда не просилась, но недавно появился запрос - Обрыв с удалённого конца (затем IP) с 445 порта. Я естесственно режектнул.
2 ALL
В ответ на вопрос "Будет ли в Джетике IDS?" Nail Kaipov (Jetico Support Team) ответил так:

Цитата:

> 1. Я имею ввиду Network Intrusion Detect System (хочу как у
> Outpost, обнаруживала различные атаки (но не обязательно, чтобы окошко всплывало).
> Хотя я понимаю что правилами могу закрыть себя от множества атак.

В нынешней версии идентифицировать
какую-нибудь последовательность событий
как
атаку проблематично, потому что события (и
правила) тщательно изолированы друг от
друга. Это может быть сделано в версии 3
наряду с более улучшенным мониторингом
приложений.

HarDDroN

Цитата:

я имею ввиду какие правила для System у вас.

У меня в "Сетевой активности" для System только одно правило: исходящее на localhost:1110, по нему работает драйвер KAV. Больше ничего нет. Но по правилам для системных сервисов и служб, равняться на других нельзя. Всё зависит как машина используется (локальная сеть, шары, удалённый доступ и пр.).
Цитата:

но недавно появился запрос - Обрыв с удалённого конца (затем IP) с 445 порта. Я естесственно режектнул.

Если есть локалка и к машине разрешён доступ, то нормальное явление. Если ничего подобного нет, разбирайся и отключай в первую очередь ненужные сервисы и компоненты, организуй безопасность в первую очередь средствами самой системы, потом только прикрывай фаерволом, ибо он только костыль.

Цитата:

Nail Kaipov ответил так: Это может быть сделано в версии 3

Ну времени ещё предостаточно нормально попользоваться, пока Джетико начнёт превращаться в очередной комбайн и попадёт под uninstall, особенно зная ихние темпы.

Dimitr1s

Цитата:

Джетико начнёт превращаться в очередной комбайн и попадёт под uninstall

Все рано и поздно станут комбаинами , ну думаю финны не будут торопиться, иначе давно бы сбацали антивирус и песочницу, и сделали бы SS.

Цитата:

разбирайся и отключай в первую очередь ненужные сервисы и компоненты, организуй безопасность в первую очередь средствами самой системы, потом только прикрывай фаерволом, ибо он только костыль.

это я ещё перед установкой антивируса и фаервола сделал. Почитал здесь. Кстати рекомендую почитать про фаерволы и антивирусы на этом же форуме.

P.S.: тут другу ставил аутпост (сам попросил, мол не шарит в этом). В режиме обучения как известно создаёт правила сам. Вот я и подумал - не взять ли парочку-другую правил из Оутпоста? (у меня просто ещё не для всех приложениях есть правила). Просто у агнитума оч грамотные правила (например соединения сковь антивирус [у меня пока нод], через его порты - я не знал какие правила для антивиря вообще нужно прописать)
Вот примерчик - как вы думаете они приемлемы для джетики?

Добавлено:
Извиняюсь, поправил ссылки.
Dimitr1s, проверьте личку я вам мессагу кинул

HarDDroN

Цитата:

Почитал здесь. Кстати рекомендую почитать про... на этом же форуме.

Я бы в свою очередь настоятельно рекомендовал не тратить время на чтение всякой мути из таких же мутных источников, а изучить основы работы сети и хотя бы основы работы системы и исполняемых файлов. Есть много грамотных статей и описаний, и из первоисточников, и от заслуживающих уважения людей, стоит только немного поискать.
Цитата:

Вот примерчик... как вы думаете они приемлемы для джетики?

Для Джетики мало что не приемлемо . Можно так:
Действие Протокол Событие Приложение Удалённый адрес Удалённый порт

Dimitr1s
c нода я уже пересел=)
причём ещё вчера (ДО вашего письма), не покажите правила для KAV (9.0 - работает на 7 отлично, вроде говорят что единственная линейка, работающая под Win7). Кстати пора мне обзавестись приличным хипсом (у джетики пока не тянет до топовых HIPS) - чтобы отключить хипсу в джетике нужно удалить таблицу Контроль процессов или убрать правило спросить?

HarDDroN

Цитата:

чтобы отключить хипсу в джетике нужно удалить таблицу

поставь в верху правило резрешить

Jarikk
вы меня не поняли - я хочу вместо хипса джетики исользовать другой, более профессиональный, а
Цитата:

поставь в верху правило резрешить

он попросту всё разрешать будет

HarDDroN
Другого способа отключить таблицу (а значит и HISP) нет!

HarDDroN
В главном окне для Indirect access table и Process attack table переключатель - в положение bypass.
Как там перевели на русский в Джетике - не знаю.

XenoZ
спс, в русской версии это - Косвенный доступ в сеть и Контроль процессов в режим насквозь.

HarDDroN

Цитата:

не покажите правила для KAV

Поиском не пробовал пользоваться?
Цитата:

9.0 - работает на 7 отлично, вроде говорят что единственная линейка, работающая под Win7

"вроде говорят" - серьёзный аргумент.
Цитата:

у джетики пока не тянет до топовых HIPS

На топовый HIPS, придётся серьёзно потратится (до нескольких тысяч у.е. и на специалиста поддержки вдобавок), если твоя информация того стоит - то разумно. Или ты про топ "с того форума"?
Цитата:

чтобы отключить хипсу в джетике нужно удалить таблицу Контроль процессов или убрать правило спросить?

Что бы совсем отключить, не получится ни как, ни возможности выгрузить драйвер, ни выборочной установки в Джетике нет. Отсюда вывод - последствия работы двух драйверов (а если + антивирус, трёх), со схожим функционалом на уровне ядра системы - непредсказуемы. А так чтоб снизить возможность конфликта, кроме того что посоветовали выше нужно "убить" и Контрольные суммы, а если HIPS контролирует доступ программ в сеть, то и таблицу Доступ в сеть заодно.

Добрый день!
Хотел бы узнать на сколько уменьшается пропускная способность при использовании фаерволов, в частности Джетико, все таки брандмауэры являются потенциально узким местом , так как все соединения должны проходить через него и в некоторых случаях им изучаются.
ПИСИ: раньше юзал Джитику когда стояла ХП, перешел на ВИН 7 и думаю что встроенного с головой хватает, так как теперь он умеет фильтровать входящий трафик.