» Jetico Personal Firewall

NightHorror
На 1.0.1.58 вроде пока нет такого.

Цитата:

после переименования дефолтового правила.

Файла правил или названия в дереве конфигурации? Дерево я переименовывал...

Решил сегодня приобщиться к данному изделию (раньше юзал Аутпост, потом Керио, после этого долго сидел под виндовым файрволом).
Философия создания политик прикольная - на адаптацию, по-моему, надо много времени :( Боюсь, что не выдержу.
Потихоньку накапливаются вопросы.
1. Прогам, в которых я уверен я даю правило "Application Trusted Zone". Это правильно?
2. С eMule немного непонятно - сделал для неро папку - разрешил ему все, что он хочет, но в логе все равно есть записи "reject" по ословому порту. При этом осел работает без проблем (по крайней мере я их не вижу). В чем петрушка?
3. Еще вопрос - Постоянно идут запросы ТСР с порта 1136 на мой 5000. Не нашел кто это ломится. Тоже самое с 1580 на мой 6101. Кто-нибудь знает что за прога эти порты пытается юзать?

Попытался для осла прописать четкие правила - прописал жестко локальные порты, удаленные - любые. Все равно лажа - файрвол спрашивает разрешения для осла. Если локально делаю - "любой порт", тогда все работает без проблем. Странно как-то

BedolagaNET

Цитата:

1. Прогам, в которых я уверен я даю правило "Application Trusted Zone". Это правильно?

Нет. К примеру программа может заразиться вирусом, а ты об этом не узнаешь.

Цитата:

2. С eMule немного непонятно

Не хватает информации. По любой проге могут быть события нескольких типов, имеет смысл некоторое время на вопросы по ней отвечать согласием, а потом расширять диапазоны типовых значений. Как правило локальные порты это 1024-5000, значения удалённых портов можно уточнить в теме Настройка персональных файерволов (firewall rules)

Цитата:

3. Еще вопрос - Постоянно идут запросы ТСР с порта

А ты в локалке или на модеме? Если IP динамический, это могут быть хвосты Р2Р-клиентов типа того же мула...

ArtLonger,

Цитата:

Нет. К примеру программа может заразиться вирусом, а ты об этом не узнаешь.

более правильно-программа может быть заражена вирусом до установки jetico,так как если она будет заражена после,то jetico добросовестно оповестит что программа x хочет
куда-то там выйти,для этого там и hash

ArtLonger
По первому вопросу. Ок. Пропишу роли для всех прог.


Цитата:

А ты в локалке или на модеме? Если IP динамический, это могут быть хвосты Р2Р-клиентов типа того же мула...

Не понял я этого момента. Типа какие-то клиенты ищут у меня мула по неправильному порту?
Подключение - кабель. IP в теории динамический, но на практике - статический.

ArtLonger
Файла правил. Переименовал Optimal Protection и тут-то все и началось.

los2

Цитата:

более правильно-программа может быть заражена вирусом до установки jetico

Это уже проблема пользователя . Я исхожу из соображений установки файера на чистую систему.

BedolagaNET

Цитата:

Не понял я этого момента. Типа какие-то клиенты ищут у меня мула по неправильному порту?

Ну из таких клиентов не только мул есть... А если текущий IP ранее использовался на машине с Р2Р-клиентом, то на этот адрес ещё некоторое время могут идти запросы.

Цитата:

Подключение - кабель. IP в теории динамический, но на практике - статический.

А вот тут я не понял. Так какой же? Может тебя банально сканят стратежные соседи по локалке...

NightHorror

Цитата:

Переименовал Optimal Protection и тут-то все и началось.

Во-во, аналогично. Только это не файл, а его название в дереве правил. Сам файл - optimal.bсf.

ArtLonger
У меня подключение - кабельный модем. За статический ИП не плачу, но на практике он менялся последний раз полтора года назад :)

Природу периодических отлупов по ослиному порту я так и не понял, но судя по всему ослу это особо не мешает - как качал, так и качает. Так что - спишем на издержки производства.

Но организация настроек все равно странная какая-то... Мне кажется, что как в Керио - каждой проге прописывается четкое правило - проще и удобней. Но, деваться некуда, будем адаптироваться :)

ArtLonger,

Цитата:

Я исхожу из соображений установки файера на чистую систему

В таком случае если iexplore.exe в app trusted zone,то при его заражении и последующем выходе jpf скажет что iexplore.exe hash XXXXXXX хочет туда-то и туда-то.

BedolagaNET

Цитата:

2. С eMule немного непонятно - сделал для неро папку - разрешил ему все, что он хочет, но в логе все равно есть записи "reject" по ословому порту. При этом осел работает без проблем (по крайней мере я их не вижу). В чем петрушка?

Это происходит тогда когда приложение(осёл) уже закрыло соединение, а пакеты всё ещё идут на это соединение. Т.е. JPF видит, что эти пакеты уже никто не ждёт и поэтому блокирует их.

Цитата:

3. Еще вопрос - Постоянно идут запросы ТСР с порта 1136 на мой 5000. Не нашел кто это ломится. Тоже самое с 1580 на мой 6101. Кто-нибудь знает что за прога эти порты пытается юзать?

всё очень просто. тебя пытаются ломать, либо вирусы, либо целенаправлено.
5000 - Windows Universal plug and play service (UPNP). ХР имеет в этом месте дырку, которую активно используют всякие вирусы, например червь Bobax. Так же на этот порт часто садятся трояны, например Bubbel Trojan.
6101 - SynchroNet-rtc, Veritas Agent Browser for Backup Exec. так же имеет дырку.

С портом 5000 что-то не могу врубиться в происходящее. В логе, в поле Destination Address, указан не мой IP. Это как это? И при чем тут тогда я?
Кстати, все что идет ко мне на порт 5000 исходит, идет с компа, который живет в моей подсети, с порта 1861.
Может это какая-то провайдерская системная штука?

los2

Цитата:

В таком случае если iexplore.exe в app trusted zone, то при его заражении и последующем выходе jpf скажет что iexplore.exe hash XXXXXXX хочет туда-то и туда-то.

Ты мне объясняешь, как будто я этого не знаю...
Но с учётом абсолютной открытости settings.xml я встроенными зонами не пользуюсь. Лучше несколько правил для этого сделать.

PS: iexplore.exe в app trusted zone
A? О-о-о... У-у-у!!!


BedolagaNET
Port 1861 tcp/udp - LeCroy VICP. Uses lecroy-vicp service.
http://www.webtropy.com/articles/tcp-udp-port.asp?port=1500&udp=2850
Ещё: http://seclists.org/lists/incidents/2000/Feb/0049.html

Сканят тебя похоже. Повод поговорить с провайдером...

BedolagaNET

Цитата:

С портом 5000 что-то не могу врубиться в происходящее. В логе, в поле Destination Address, указан не мой IP. Это как это? И при чем тут тогда я?
Кстати, все что идет ко мне на порт 5000 исходит, идет с компа, который живет в моей подсети

варианты:
1. у тебя карточка в promisc моде. т.е. в режиме подслушивания.
2. твой сосед поставил твой адрес в качестве default gateway
3. намеренно посылаются пакеты не на твой IP, но на твой МАС адрес.

ArtLonger

Цитата:

PS: iexplore.exe в app trusted zone

юмор поддерживаю-но это был просто пример.

Цитата:

Ты мне объясняешь, как будто я этого не знаю...

BedolagaNET
спрашивает

Цитата:

. Прогам, в которых я уверен я даю правило "Application Trusted Zone". Это правильно?

твой ответ

Цитата:

Нет. К примеру программа может заразиться вирусом, а ты об этом не узнаешь.

los2
Теперь понял. Впредь надо будет тщательней читать собственные посты.
Ну а если BHO? Ведь программе в доверенной зоне можно почти всё...

ArtLonger,
Безусловно,ты -прав.К выбору программ для доверенной зоны нужно подходить тщательно.Я просто хотел сказать что в случае изменения программы ранее находящейся
в доверенной зоне, для jpf это будет "новая" программа,т.к. контрольная сумма отличается.И наверное было бы удобнее,если jpf оповещала,что программа изменилась,но они выбрали такой способ

crypt77

Цитата:

у тебя карточка в promisc моде. т.е. в режиме подслушивания

Поясни пожалуйста что это такое и как с этим бороться, и надо ли бороться.

Цитата:

твой сосед поставил твой адрес в качестве default gateway

сомневаюсь, что это кому-то интересно... Зачем?

Цитата:

намеренно посылаются пакеты не на твой IP, но на твой МАС адрес.

уж как-то продолжительно и слишком целенаправлено.

Поставил на домашней машине (диал-ар) на выходные - посмотреть "что за зверь?"...
очень понравился, особенно - возможность создания вложенных таблиц и "лампочки", но есть и замечания...
не хватает:

1) процедуры "проверить изменившиеся приложения" (чек апдейтед апликейшен)
с возможностью подтвердить изменения "hash-ей"...
2) возможности включить/выключить "лампочку" для выбранных правил
а именно, для действия "продолжить", которое реально сигнализирует о возврате из подтаблицы, и при анализе работы сложных вложенных структур только мешает...
3) возможности подсветить все таблицы, в которых упоминается заданное приложение...

я этих возможностей не нашел, или их действительно нет, и стоит написать в саппорт?

los2


Tim72
Пункты 1 и 3 - увы...
А насчёт второго не очень понял.

Tim72,
по первому пункту,имея ввиду нечто подобное,я им как-то писал-ответа так и не получил..

ArtLonger

Цитата:

А насчёт второго

При создании правил можно указать, писать ли в лог при срабатывании данного правила...
я бы хотел, что бы (по аналогии) была такая же возможность по управлению лампочкой (моргать ли лампочке, при срабатывании правила)
Зачем это нужно?


как видишь, "горит лампочка" - напротив "Blocked User-Applications", сигнализируя о блокировании каких то приложений, хотя на самом деле ни чего не блокируется - срабатывает команда "Продолжить", являющаяся на самом деле командой "возврата" из подтаблицы...
Кстати, спасибо за качественный перевод
los2
т.е. писать не стоит?

Я в данный момент, просто пытаюсь определится с фаерволом (год назад перелез с Kerio 2.15 на Outpost, который уже достал), из претендентов осталось два Jetico и Tiny, в последнем такая фишка (чек апдейтед апликейшен) имется - очень удобно...

BedolagaNET

Цитата:

Поясни пожалуйста что это такое и как с этим бороться, и надо ли бороться.

В нормальном режиме карточка принимает только те пакеты у которых в качестве МАС адреса получателя стоит её собственный или широковещательный адрес. эта фильтрация происходит на уровне железа. но так же у карточки есть возможность отключить совсем фильтрацию по МАС адресу, тогда она принимает ВСЕ пакеты которые видит независимо от адреса получателя. в этот режим карточку вводят различные сетевые анализаторы, сниферы, трояны,.....

Цитата:

сомневаюсь, что это кому-то интересно... Зачем?

например по ошибке.

Tim72

Цитата:

как видишь, "горит лампочка" - напротив "Blocked User-Applications", сигнализируя о блокировании каких то приложений, хотя на самом деле ни чего не блокируется - срабатывает команда "Продолжить", являющаяся на самом деле командой "возврата" из подтаблицы...

В данном случае это не команда возврата из подтаблицы, а информация о том, что некий пакет прошёл данную таблицу насквозь и поехал дальше. И это имхо правильно - ты получаешь информацию о нём до тех пор, пока он не дойдёт до соответствующего правила или не будет заблокирован.

PS: По Tiny я видел слишком много нареканий на стабильность...

Tim72,

Цитата:

т.е. писать не стоит?

думаю стоит,такая примочка не помешала бы.

Цитата:

из претендентов осталось два Jetico и Tiny

как видишь,многие в этой теме свой выбор уже сделали
Просто jpf не совсем привычный,но меня устраивает.

Господа, помогите разобраться немного, плиз.

Имеется сервак с двумя сетевыми интерфейсами.
1ый - 192,168,1,101 смотрит в локалку
2о1 - 192,168,2,2 собсна сюда (в инет) и смотрит

В доверенной зоне прописано: 192,168,1,0/24
Правильно ли я описал адреса локалки?

Далее. Хочу, чтобы все внутренние события по локальной карте jetico не контролировал. Для этого в Application Trusted Zone создал правило:
вердикт - принять
приложение - не указано
событие - все
протоколы - все
локальный адрес - Trusted Zone
порты - все
удалённый адрес - Trusted Zone
порты - все

Достаточно ли этого? Или ещё что-то надо прописать? Или я вообще сделал непозволительную вещь с точки зрения безопасности?

Спасибо.



Добавлено:
да кстати ещё:
подсчёт трафика на вкладке приложения сбрасывается ли при остановке jetico, вылете его, ребуте тачки.
Я всё ищу прогу, которая считала бы трафик по приложения и ещё и по хостам. может что подскажите?

MoRoZ

Цитата:

В доверенной зоне прописано: 192,168,1,0/24
Правильно ли я описал адреса локалки?

правильно, если у тебя маска совпадает. т.е. в твоём случае 255.255.255.0

Цитата:

Достаточно ли этого? Или ещё что-то надо прописать? Или я вообще сделал непозволительную вещь с точки зрения безопасности?

если хочешь, чтобы этот сервер работал как маршрутизатор для твоеё локалки, то недостаточно. дело в том, что JPF имеет привязку сетевого уровня к уровню приложений. соответственно по умолчанию весь транзитный трафик будет блокироваться, так как никакое приложение не заявляло о том, что ему нужен этот трафик.
как сделать:
1. берём конфигурацию по умолчанию.
2. добовляем 192.168.1.0/24 в trasted zone (это у тебя уже сделано)
3. идём в таблицу "System Internet Zone" и перед правилом "Stateful UDP Inspection" создаём два своих правила:
1) verdict: accept
event: incoming packet
protocol: any
source: any
destination: 192.168.1.0/24
2) verdict: accept
event: outgoing packet
protocol: any
source: 192.168.1.0/24
destination: any
4. сохраняем конфигурацию

а если у тебя на сервере ICS, то тогда немного сложнее и менее безопасно.

Странно: получается, что я разрешаю входящие от всех (в том числе и из интернета) в мою сеть и исходящие из сети в интернет, то есть полная прозрачность фаера. Или тут работает какая-то особенность таблицы System Internet Zone?

ICS нет - стоит WinGate

MoRoZ

Цитата:

Странно: получается, что я разрешаю входящие от всех (в том числе и из интернета) в мою сеть и исходящие из сети в интернет, то есть полная прозрачность фаера. Или тут работает какая-то особенность таблицы System Internet Zone?

возможно я неправильно понял, что ты хотел.
Данная конфигурация разрешит маршрутизацию для твоей локальной сети почти без ограничений(см. начало таблицы "System Internet Zone"). Если хочешь ввести ограничения то вводи их до этих двух правил. А вообще JPF - это персональный файрвол и его конфигурация по умолчанию немного не приспособлена для сервера.

Если ты отчётливо понимаешь, что и как у тебя работает (должно работать), то создай свою конфигурацию в соответствии с твоими требованиям, в которой не будет правил типа "ask user". т.к. на сервере несколько неудобно отвечать на вопросы файрвола.

Я хотел ничем не ограничивать сетевой интерфейс, который смотрит в локалку. А контролировать (исходящие, входящие) по интерфейсу смотрящему в инет, то бишь по 192,168,2,2. Не получается ли с такими настройками, что этот самая карта, смотрящая в инет, становится полностью прозрачна?
А что такое System Internet Zonе вообще? Где вы взяли инфу по этому?

И ещё: странные какие-то логи получаются. Пакет отвергнут, написано входящий, адрес источника мой адрес (192,168,2,2) целевой адрес в инете(например pop.list.ru). Так получается же он исходящий: от меня в мир. Как же так, меня это прям всего превращает в один знак вопроса. Поясните пожалуйста.
Спасибо.

Да, кстати. Если делать правило из информации лога. Адрес источника - это локальный адрес, а целевой - удалённый адрес. Так чтоль? Или это зависит от направления?

MoRoZ

Цитата:

Я хотел ничем не ограничивать сетевой интерфейс, который смотрит в локалку. А контролировать (исходящие, входящие) по интерфейсу смотрящему в инет, то бишь по 192,168,2,2. Не получается ли с такими настройками, что этот самая карта, смотрящая в инет, становится полностью прозрачна?

при этих настройках ваш сервер становится прозрачным для вашей локальной сети, но сам сервер остаётся защищён.

Цитата:

А что такое System Internet Zonе вообще? Где вы взяли инфу по этому?

А вы на конфигурацию когда-нибудь смотрели в целом? Вы понимаете как JPF работает?
Почитайте документацию, или возможно это вам, чтонибудь прояснит: http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11193&start=52

Цитата:

И ещё: странные какие-то логи получаются. Пакет отвергнут, написано входящий, адрес источника мой адрес (192,168,2,2) целевой адрес в инете(например pop.list.ru). Так получается же он исходящий: от меня в мир. Как же так, меня это прям всего превращает в один знак вопроса. Поясните пожалуйста.

А вы знаете как ваш wingate настроен и как он при этом работает? Судя по тому что вы пишите у вас либо proxy либо NAT (ICS). Разберитесь пожалуйста в том как у вас всё настроено и как работает (должно работать), а потом исходя из конкретной ситуации и с пониманием дела задайте конкретный вопрос.