» Jetico Personal Firewall

DOE_JOHN
Позравляю!
ArtLonger
обратил внимание,что часто возникают сложности в интерпритации термина access to network.
Может в руссификации его облагородить?

gavana
Дело не в интерпритации термина, а в самом термине. Вот у меня, у PS отключен поиск обновлений, значит в сеть ему не надо. А тут поступает запрос (один из первых) на доступ ему в сеть. Первая реакция что галка в настройках не совсем точно работает или не все попытки PS лезть в сеть отключает. Вердикт - отклонить запрос. Я же сам не хочу пускать PS в сеть. В результате нет сети, хотя локалка работает.
Переводом дело не решится. А если его не ставить? Что страдать от непонимания терминов? Надо что бы сами разработчики пересмотрели эту ситуацию.

Access to network.
It is a general event occured even before the application actually sends or receives some packets to network. At that time the application just loads Windows modules necessary to access network.

Please note also that Jetico Personal Firewall detects trojans that hide their network activity, attempting to access network using trusted applications. For example, trojan program can run trusted Internet Explorer to send data to Internet. The firewall detects such a parent program and reports 'Access to network' event about the program.

gavana

Что дyмают о pyсских пpогpаммистах их западные коллеги?

1. Рyсские пpогpаммисты никогда не читают pyководств и pедко пользyются online подсказкой - они легко понимают новые пpогpаммы, потомy как pанее yже испpобовали все пpогpаммы подобного pода...
здесь
Кстати и не программисты тоже.

gavana
С удовольствием, были бы идеи... Осталось только дождаться 2 версии.

DOE_JOHN
Windows - изначально сетевая система. Даже локально много чего работает, как в сети. Я лично разрешил access to network всем. Возможно это и ухудшит защиту изнутри, но мне важнее защита от атак снаружи.

ArtLonger

Цитата:

Возможно это и ухудшит защиту изнутри, но мне важнее защита от атак снаружи.

Ухудшит. Некоторые тесты (не помню точно, вроде wallbreaker, начинают проходить).
Тут каждый сам решает, как ему лучше

У меня столя аутпост. Не снося его поставил Jetico. Попросил перегрузиться... я отказался.... неперегружая комп сношу аутпост, после чего перегружаюсь... после перегрузки взлетает Jetico настраиваю пару правил... перегружаюсь повторно.

По итогу всех этих действий - у меня винда не видит сеть. в "Управление копмьютером". в списке скрытых девайсвой на драйвере TCPIP стоит желтый флажок (ошибка типа).

При попытке запустить этот драйвер выдает ошибку ("Не обнаружен указанный файл"... перевод приблизительный т.к. не из дома).

Мог ли такое учудить Jetico? Или это просто "счистливаое" стечение обстоятельств.

Сегодня иду переустанавливать винду. Ибо как решения никакого не вижу.

Из подозрительного - могу только сказать что у меня установлен SP2 может из-за него проблемы?

Чего только народ не придумает...
Я бы сказал, после таких манипуляций было бы удивительно, если всё бы заработало.

Ну вот пишу из дома. Уже успешно переинсталил винду. Jetico поставил сразу после установки SP2. Пока полет нормальный.... правда задалбывает запросами. И почему-то постоянно выдает следующее:

Цитата:

Suspicious process activity
attacker installs system-wide windows hook

непонятно что за хуки тут повяляются? Свежая винда, 5 мин как с переинсталла и уже какие-то хуки.

mvgfirst,

Цитата:

правда задалбывает запросами.

потерпи-это временно.

Цитата:

непонятно что за хуки тут повяляются? Свежая винда, 5 мин как с переинсталла и уже какие-то хуки.

А они в комплекте с виндой идут На самом деле это стандартная штука для jetico и спрашивать будет об этих хуках по мере запуска новых программ

Еще вот непонятный факт... я тут в локалке местной. Мастер конфигурирования добавил мою локалку в Tasted Zone (причем совершенно непонятно как и где кроме как в мастере посмотреть что входит в эту зону и как изменить параметры), ну и получается у меня Jetico ловит кучу пакетов на 137 и 445-й порт. Это можно как-то отрубить?
В аутпосте я это вроде как отрубал убирая галку с "NetBios" для своей локальной сети. Как это делается в Jetico.

И вообще как смотреть что входит в какую либо зону? Слжновато все (видать RTFM-ить надо).

Добавлено:

Цитата:

На самом деле это стандартная штука для jetico и спрашивать будет об этих хуках по мере запуска новых программ

Ну и как же тогда различать "комплетные" хуки от вредительских? Как отловить злоумышленника в случае чего?

Кто как складывает правила по таблицам?

Например я сделал таблицу My Application. В нее вставляю таблицы для конкретных приложений, например для Opera

accept     disabled    any    access to network    C:\~\Opera.exe    Hash
Web Browser    Allow Opera    disabled    any    any     C:\~\Opera.exe    Hash

Ну так и для остальных приложений. Постоение правил теперь сводиться к
1 указать доступ к сети для конкретного файла
2 указать таблицы с правилами для этого приложения (web browser, mail client...)

И еще приходиться эти таблицы хранить и в ask user. А то вопросами замучает.

Так нормально? Ничего не упустил?
А еще в ask user сделал таблицу ascess to network и складываю туда соответствующие запросы.

Есть прога The Bee (mail и Icq). Ношу ее на флешке. Каждый раз спрашивает можно ли отправить туда-то или туда-то. Пока не разобрался, то ли это из-за того что прога на флешке и так всегда будет. То ли просто накапливается список ip. Изначально прописал правила из шапки для mail и icq.

DOE_JOHN
Вот какие у меня таблицы:
Код:
Оптимальная защита
Корневая таблица
Приложения
1. Сетевые
2. Пользовательские
Localhost
Антивирус
Браузер
Почтовый клиент
FTP-клиент
ICQ-клиент
MS Office
3. Блокировать
4. Спросить меня
Протоколы: IP
Протоколы: прочие
Процесс-атаки
Allow all
Block all

Только поставил Jetico, вроде все нормально работает и очень нравится как. Хотелось бы только спросить, заранее прошу прощения, я из начинающих, раньше стояла "зона" и она часто блокировала вообще выход в сеть, приходилось ее отключать затем включать, с Jetico таких проблем вроде нет, но почти через каждую минуту появляется запрос на входящую активность sistem, я ее блокирую, если это атаки из сети, то что-то довольно часто, когда зона стояла такого не было. Если можно разъясните дилетанту.

ArtLonger
Видно автора русификации. ) Я ее не ставил. Если не жалко и не секретно можно конфиг на JohnDoe99 (sobaka) rambler.

steelratedzul,

Цитата:

почти через каждую минуту появляется запрос на входящую активность sistem, я ее блокирую,

обозначь как Application Blocked Zone

DOE_JOHN
Смотри в ПМ.

ArtLonger

Цитата:

Лови, поехало.

и мне через ПМ можно?

Интересно, но у меня не сохраняется изменение для лога (размер и удаление старых логов).

А вот странность заметил. При загрузке значок JPF в трее находиться ближе к часам, 2-3 от них. А потом замечаю что он иногда становиться крайним слева. Я так понимаю, что очередность иконок косвенно отражает порядок загрузки програм. Означает ли то что иконка перескакивает левее падение и перезапуск мордочки. Здесь как то писалось что она имеет свойство падать.

kesic

Цитата:

у меня не сохраняется изменение для лога (размер и удаление старых логов).

Всё нормально сохраняется, сейчас проверил. А вот если менять папку логов, то приходится создавать самому, если её нет - иначе выдаёт ошибку.

DOE_JOHN
Не замечал. У меня как становится, там и сидит - если самому не перезапустить, конечно.

ArtLonger
Тогда странно... снимаю галочку удаления старых логов, меняю размер и после нового запуска опять всё на свои места
Кстати, как там с русиком (я отправлял тебе письмо)?

kesic
И я даже ответил. Но 16 февраля никто моих писем не получал Пора валить с хотбокса.


Цитата:

Это умолчальные правила. В комплект русификации не входят т.к. правятся ручками и переименовываются как угодно. Лежат отдельным файлом в \ПапкаJetico\Config\Optimal.bcf - "заводские" настройки, и в \Твойпрофиль\Application Data\Jetico Personal Firewall\1.0\Optimal.bcf - текущие.

rs
Насчёт линков - эта тема и есть лучший ресурс, из попадавшихся мне

А логика у программы простая.
Правила обрабатываются сверху вниз до первого соответствия. Каждая таблица завершается правилом "Продолжить", самое последнее правило - "Отклонить всё".
Доверенные зоны - дело вкуса, но учитывая незашифрованность конфига таких зон... Я им не доверяю
Доступ к сети давать всем сразу или индивидуально - опять же дело вкуса. При общем разрешении несколько страдает защита изнутри, но сильно упрощается процесс настройки. Хотя... Если у вас паранойя, то это не значит, что за вами не следят

Таблицы:
1. Протоколы IP настроить по необходимости - DNS и DHCP-пакеты, Broadcast, пинг, контекстная фильтрация. Тем более, что основное там есть.
2. Прочие протоколы - если нужны. WiFi, к примеру, там в наличии.
3. Процесс-атаки разнести по типам и отслеживать только hook и скрытые окна. Прочее сразу запретить (ну разве что drwtsn32.exe может писать в память и внедрять свой код - на то он и дебаггер).
4. Приложения разнести на
а) сетевые
Прослушивание портов, DNS для svchost.exe, DHCP для svchost.exe и services.exe, NetBIOS/SMB для System.
б) пользовательские
Сделать таблицы для всех типов программ:
Localhost
Антивирус
Браузер
Почтовый клиент
FTP-клиент
ICQ-клиент
MS Office
... и т.п. Набить их всеми нужными портами и адресами. Обкатать, перенося забытое из таблицы "Спросить меня" в таблицы нужных типов приложений. По завершении подпереть каждую правилом "Блокировать всё".
5. Сделать отдельную таблицу "Блокировать всё", куда заносить изначально недостойные Инета программы, не запрещая им тем не менее localhost. Правда если пользовать локальный прокси, придётся изгаляться.
6. Не блочить не прошедшие проверку программы совсем, пусть валятся в таблицу "Спросить меня". При грамотной настройке их будет немного, а отследить странное позволит.
7. Настроить логи. Для наиболее активных типов программ (вроде браузера) потом можно отключить.

ArtLonger
С русиком понятно, но вот лог никак не желает настраиваться (уже и прогу переустанавливал).

Я так понимаю, что Outpost это для тех кто не смог справиться с Jetico?
Понятно что Jetico более гибкий и куда как менее ламерский... Но вот насколько он надёжен (именно надёжен, а не перспективен)?

Я как раз подумываю поменять на рабочих ноутах и лично-домашней персоналке привычный Outpost на что-нибудь маленькое, гибкое и шустрое (даже думал может встроенный в систему брандмауэр до ума довести; говорят, если всё запретить на вход и выход, а потом грамотно кое-что разрешить, то очень даже ничего; пользоваться можно).

На сервер и офисные машины я конечно персональный файрвол ставить не планирую (тут у меня Traffic Inspector рулит), но это не отменяет необходимости в нормальной работе файрвола с локальной сетью, при подключении к ней ноутов юристов и начальства (у Jetico, я так понимаю, с этим проблем нет?).

Короче. То ли это, что мне нужно?

С ходу такой важный вопрос... Поддерживает ли Jetico gzip?
Outpost, к слову, вопреки сложившемуся мнению, вполне даже поддерживает (конечно плагины поотключать надо, да в реестре поковыряться)

Заранее благодарю.

Добавлено:
Меня интересуют в первую очередь личные впечатления.

AnexeR,

Цитата:

Меня интересуют в первую очередь личные впечатления.

на мой взгляд-весьма толковая вещь,и менять на что-либо-не собираюсь

AnexeR

Цитата:

Поддерживает ли Jetico gzip?

Поддерживает.


Цитата:

Но вот насколько он надёжен (именно надёжен, а не перспективен)?

По мнению многих надежнее отпоста. По крайней мере не падает, не глючит, систему и сеть не вешает. Все тесты на пробиваемость изнутри (14 штук + 1) держит.

NightHorror

Цитата:

Поддерживает ли Jetico gzip?
Поддерживает.

Можно чуть подробнее? Вопрос всплывает регулярно, и иметь разжёванный ответ имхо будет весьма полезно.

kesic
Не могу помочь - не налетал на такое.