» Jetico Personal Firewall

02-July-2004 release, version 1.0.1.16 beta
The firewall version for Windows 98/ME has got the same functionality as the version for Windows NT/2000/XP has got since v. 1.0.1.5: preventing TCP Ping and TCP Fin inbound scanning attacks, improvement of stateful analysis of network connections and enhancing rules' set in the Optimal Protection configuration
http://www.jetico.com/jpfwall.exe

07-July-2004 release, version 1.0.1.17 beta

The firewall version for Windows 98/ME has got the same functionality as the version for Windows NT/2000/XP has got since v. 1.0.1.5: preventing TCP Ping and TCP Fin inbound scanning attacks, improvement of stateful analysis of network connections and enhancing rules' set in the Optimal Protection configuration. 'FTP Server' set of rules is added to the Optimal Protection configuration. (07-July-2004 release, version 1.0.1.17 beta).

http://www.jetico.com/jpfwall.exe

Подскажите добавли ли там возможность задавать порты для приложений вразнобой, а то там раньше было либо один, либо диапазоном по порядку.

Так, а причем здесь winlogon? запрещаю сетевую активность и инета нету

Цитата:

Так, а причем здесь winlogon? запрещаю сетевую активность и инета нету

В этом Firewall-е доступ к сети (access to network) проверяется иерархически.
т.е. если какому либо приложению запретить доступ к сети, то все его "дети" тоже не будут иметь этого доступа.
Тем самым запретив сетевую активность для winlogon-а, Вы запретили эту активность для всех его потомков.

crypt77

Цитата:

если какому либо приложению запретить доступ к сети, то все его "дети" тоже не будут иметь этого доступа.

Это получается, если я запрещаю explorer.exe и запускаю из него браузер, для которого правила прописаны, то браузер в интернет не идет?

Karlsberg

Цитата:

Это получается, если я запрещаю explorer.exe и запускаю из него браузер, для которого правила прописаны, то браузер в интернет не идет?

Да.
Браузер ведь могут запускать и лезть через него в сеть и "плохие" програмки (трояны/Leak test-ы ).

Добавлено
Karlsberg
если хочешь запретить explorer.exe и чтобы броузер при этом работал, то:
1. разреши acces to network для explorer.exe
2. следующей строчкой запрети всё для explorer.exe
если не сделаешь второго то если explorer.exe решит куда-нибудь сходить тебе зададут конкретный вопрос об этом.

crypt77
Понял, спасибо.

Цитата:

если explorer.exe решит куда-нибудь сходить тебе зададут конкретный вопрос об этом.

А можно сделать так чтоб explorer.exe молча не получал доступ в инет, без всяких вопросов со стороны файервола?

Karlsberg

Цитата:

А можно сделать так чтоб explorer.exe молча не получал доступ в инет, без всяких вопросов со стороны файервола?

смотри выше пункт 1 и 2.
если сделаешь эти два правила то получится именно так как хочешь.

crypt77
Ах, да...
А acces to network надо разрешать для непосредственного parent процесса, все остальные вышестоящие - все равно, правильно?

Karlsberg
Нет.
Насколько я понимаю для всей цепочки.

19-August-2004 release, version 1.0.1.19 beta

Jetico Personal Firewall now detects and prevents the latest outbound attack illustrated by the Surfer leak test . The problem of supporting network cards with hardware generated IP checksums is solved. Minor fixes in the user interface program (like more enhanced reports about errors).

http://www.jetico.com/jpfwall.exe

так Подскажите какой использовать!

Цитата:

так Подскажите какой использовать!

самый свежий

Updated version of Jetico Personal Firewall maintains per-user configurations. Users are able now to restore firewall configuration (see "Revert to factory settings" item in "File" menu). ICMP packets logging fixed. (30-August-2004 release, version 1.0.1.21 beta).

crypt77
Я так понимаю что ты уже с новой версией
У меня вопрос - чтоб установить правила для всех юзеров я должен логиниться под каждого или это можно сделать и с одного аккаунта, например админского?

Karlsberg

Цитата:

Я так понимаю что ты уже с новой версией

угу

Цитата:

У меня вопрос - чтоб установить правила для всех юзеров я должен логиниться под каждого или это можно сделать и с одного аккаунта, например админского?

Можно из под админа.
Есть два варианта.
1. после инсталяции отредактировать "factory default" конфигурацию, которая лежит в "Program Files\Jetico\Jetico Personal Firewall\Config\". При этом когда пользователь залогинится первый раз после инсталяции новой версии, то ему будет скопирована "factory default" конфигурация, в качестве стартовой, которую он в дальнейшем может модифицировать.
2. положить каждому пользователю в "$USERPROFILE/Application Data/Jetico Personal Firewall\1.0\" требуемую конфигурацию.

Замечена интересная особенность.

Машину с установленным Jetico Personal firewall-ом, даже с конфигурацией "Allow All", нельзя(неполучается) использовать как ZOMBIE при Idle сканировании.

Idle Scanning and related IPID games - http://www.insecure.org/nmap/idlescan.html
то же самое но на русском - http://cherepovets-city.ru/insecure/runmap/runmap-idlescan.htm

Jetico Personal Firewall 30-August-2004 release, version 1.0.1.21 beta

Цитата:

Updated version of Jetico Personal Firewall maintains per-user configurations. Users are able now to restore firewall configuration (see "Revert to factory settings" item in "File" menu). ICMP packets logging fixed.

http://www.jetico.com/jpfwall.exe

Прочитал весь топик но так и не увидел конкретных рекомендаций по созданию базовых правил. Файер легкий, но интерфейс для правил очень непривычный, хотя настроек действительно много... Так и не нашел как сказать чтобы все, что я не определил автоматом обрубывало без вопросов. Да и не я один вопросы по настройкам задаю... Если кто-нить может, пособите, расскажите чуть подробнее...

Liberty_2000

Цитата:

Так и не нашел как сказать чтобы все, что я не определил автоматом обрубывало без вопросов.

Так это он делает по умолчанию просто у тебя наверно невключено логирование на это правило. (у меня так было) Я включил лог но потом выключил. Уж очень быстро лог рос. Правило непомню точно но это из роот помоему (просто под рукой фаера нету) и звучит гдето в этом направлении : неразрешить все что невходит в разрешено. Еще повторяю точно непомню но что было так это точно так как боролся с ним чтобы что мне надо разрешал а не что вздумается фаеру по этому по логам и видел что он обрубал. Как настроил, вырубил лог на это правило.

Dieduks
Да речь не только в этом одном правиле... Уж очень хитро они там настройки реализовали... Вот в Visnetic или McAfee Desktop все предельно ясно... Разрешить етим это, тем то, остальное рубить под корень. А тут какие-то деревья непонятные...

Liberty_2000

Цитата:

Уж очень хитро они там настройки реализовали...
А тут какие-то деревья непонятные...

попробую немного пояснить.
У любого правила в качестве вердикта может быть переход на другую таблицу.
Таким образом можно создавать таблицы(шаблоны), на которые можно ссылаться сколько угодно раз. Например, создаёшь таблицу в которой описываешь правила для ослика(eDonkey), а потом в Application Table создаёшь правило для приложения eMule.exe с переходом на таблицу для ослика.

У них существует 4 типа правил:
1. System Protocol Rule - фильтрация по типу протокола на уровне сетевых пакетов.
2. System IP Rule - фильтрация по IP Протоколу на уровне сетевых пакетов.
3. Applicatio Rule - фильтрация по приложениям на высоком (TDI) уровне.
4. Process Attack Rule - фильтрация по различным типам атак на уровне приложений.

Соответственно и четыре правила в root таблице с переходами на соответствующие по типам таблицы.
В Protocols Table и System IP Table обычно лазить не приходится, IMHO там достаточно разумные настройки. Необходимо только с помощью Configuration Wizad-а задать trusted и blocked зоны.
В Process Attack Table тоже можно не лазить, ну если только удалить правило которое было создано после вопроса .
Кстати, насколько я понял правила, которые создаются после вопроса, вставляются непосредственно перед правилом с вопросом(вердикт ask).

Соответственно основное поле деятельности по конфигурации это Application Table.
Вот тут уж можно разгуляться насколько фантазии хватит .

Я например создаю таблицы в которых описываю протоколы (eMule, ICQ, ....), а потом для тех приложений которые используют этот протокол делаю ссылку на соответствующую таблицу. Или создаю таблицу для конкретной программки, и в этой таблице описываю, что можно ей делать, а что нет.

crypt77
Спасибо за простанные пояснения... Первый по-настоящему информативный пост понастройкам в этом топике. ИМХО имеет смысл (если конечно есть время и желание) оформить что-нибудь вроде таблицы, поясняющей какие павила имеют приоритет и как осуществляются переходы по иерархии. Все-таки система настоек очень отличается от других файеров, документация практически нулевая, так что оформить что-нибудь типа небольшой инструкции по настройкам будет далеко не лишним. Тем более продукт выглядит достаточно стабильным и, главное, развивающимся. Ну и бесплатным к тому же.

Liberty_2000

Цитата:

Все-таки система настоек очень отличается от других файеров, документация практически нулевая, так что оформить что-нибудь типа небольшой инструкции по настройкам будет далеко не лишним.

Согласен.
Со временем конечно туговато...
Но постараюсь что нибудь оформить.

ALL
Может быть попытаемся общими усилиями?
А потом подитожим.
Так, что у кого какие вопросы возникают, пишите будем вместе разбираться.

Liberty_2000

Цитата:

Ну и бесплатным к тому же.

Не накаркай

crypt77
Спасибо...

crypt77

Цитата:

Может быть попытаемся общими усилиями?
А потом подитожим.

Я только за. Вот вот счас как раз в VirtualPC на ХР его ставлю и буду мучать

crypt77
Вроде помалу разобрался что к чему....

Вот вопрос остался: за что отвечает
Stateful UDP Inspection и Stateful TCP Inspection и кому ее разрешать. Если выключить, нормальная работа в сети невозможна, с включенной не проходит тест pcAudit2.

Liberty_2000

Цитата:

Вот вопрос остался: за что отвечает
Stateful UDP Inspection и Stateful TCP Inspection и кому ее разрешать

насколько я понимаю когда включен крыжик Stateful Inspection в сетевом правиле, то те пакеты которые подходят под это правило дополнительно проверяются на легальность (ожиданнось) для системы. фактически похоже здесь происходит привязка сетевого уровня к уровню приложений. т.е. если ты что либо разрешил на уровне приложений, то и сетевой уровень будет это пропускать. а все пакеты которые система не ждёт не будут попадать под это правило. лучше конечно все TCP и UDP пакеты проверять на легальность.

Цитата:

Если выключить, нормальная работа в сети невозможна

это зависит от того как ты выключаешь
если ты выключаешь павило(убираешь с него крыжик), то сеть действительно перестанет работать, т.к. тем самым ты запрещаешь весь TCP и UDP трафик (см. последнее правило в System IP Table), а если ты убираешь крыжик "Protocol-specific/Stateful Inspection" внутри правила, то тем самым ты разрешаешь весь TCP и/или UDP трафик. при этом твоя машина перестаёт быть неведимкой в сети и её можно будет например успешно просканировать.

Цитата:

с включенной не проходит тест pcAudit2

по идее это никак не должно влиять на pcAudit2.
попробуй удалить все правила из таблицы "Process Attack Table" кроме "ask" и запустить pcAudit2 заново, и когда файер тебя спросит про pcAudit2 скажи "Block"


Добавлено
проверил.
Stateful Inspection точно не влияет на pcAudit2, по крайней мере у меня.


Добавлено
вообще перед запуском тестов лучше всего делать "Revert to factory settings", если конечно хочешь проверить файер с поставляемой конфигурацией, а не со своей личной.

crypt77

Цитата:

вообще перед запуском тестов лучше всего делать "Revert to factory settings", если конечно хочешь проверить файер с поставляемой конфигурацией, а не со своей личной.

Я так сначала и делал, потом нужные правила которые появились в ask руками рассортировал и ввел как постоянные. А дальше попробовал на пробиваемость. pcAudit2 действительно не зависит от тех двух параметров. Я уже нашел причину: если я свой прокси для доступа в нет ставлю в trusted, то pcAudit2 пробивает фаер. Но это я так понял и должно быть. Там с зоной trusted вроде все сединения разрешены. Теперь вот выкинул из trusted и мучаюсь, как правилами правильно его обрезать. pcAudit2, насколько я понял, пробует выходить в сеть, маскируясь под различные запущенные процессы. Вот тут мне непонятно, если я напр. IE разрешил ходить в нет, а pcAudit2 под него маскируется, то как тогда его обрубить? Получается, я закрою себе нет. А так вроде правила остальные все работают ОК. Вот с этой проблеммой разберусь и настрйка будет завершена. Попробую потом ее выложить, а ыв уж поправие что не так и дополните...