Ru-Board.club
← Вернуться в раздел «Программы»

» Jetico Personal Firewall

Автор: NightHorror
Дата сообщения: 20.02.2006 19:48
ArtLonger

Цитата:
Можно чуть подробнее? Вопрос всплывает регулярно, и иметь разжёванный ответ имхо будет весьма полезно.

Разжеванный наверное не дам, потому как не спец по зипованному трафику
Имеется ввиду, что для своей работы она не запрещает серверу отдавать gzip'ованные страницы браузеру. Джетика не фильтрует баннеры и не ловит ad/spyware. Соответственно, какой трафик через нее идет (гзипованный или нет) ей по барабану
Собственно вопрос о поддержке gzip'a возникает обычно с теми прогами, которые реализуют функции баннерорезки. Например, Аутпост или AdMuncher. Оба они для своей нормальной работы требуют выключения gzip.
Примерно так.
Автор: AnexeR
Дата сообщения: 21.02.2006 02:42

Цитата:
По крайней мере не падает, не глючит, систему и сеть не вешает.

Насколько я вижу по ранним постам, раньше было не так.
И Отпост, к слову, тоже не вешает.

Всех благодарю за ясные конкретные ответы.
Рад что мои оптимистичные предположения подтвердились...

Присоединяюсь к вашему сообществу.
Поначалу пользы от меня не будет, факт.
Одни вопросы и замечания...

Но потихоньку, с вашей и божьей помощью, надеюсь раздуплить систему настройки и особенности работы этого необычного файрвола.

Если всё будет ОК, то писать буду редко. А если не фен-шуй, часто.
--------------------------
К слову, тут в Киеве только один из знакомых сисопов отозвался о Jetico положительно... В том плане, что "юзать можно, но по-первах сложно". Остальные знакомые которые "пробовали" утверждают, что снесли его сразу после того как увидали вкладку конфигурации.

Мои первые впечатления точно подтверждают эти слова. После многолетнего юзанья Отпоста, глаза разбегаются в разные стороны, а взгляд теряется в бесчисленных "закромах родины". Если бы не предварительное знакомство с доступной инфой, то никогда бы не поверил, что тут что-то можно настроить не допустив ни одной ошибки.

Впрочем, у первого взгляда всегда диоптрии велики. Второй всё-же поточнее будет.
Автор: kesic
Дата сообщения: 21.02.2006 05:19
ArtLonger
Эх, дело было в правах доступа к определённым веткам реестра... чего это я сразу недодумкал...
Автор: Seva I
Дата сообщения: 21.02.2006 16:53
В версии, скачанной с оффсайта, в about пишется версия 1.0.1.59(должно быть по идее 1.0.1.61). Дистрибутив от 19 июля(как надо), но русификатор тож ругается. Это нормально? глюк разработчиков?
Автор: NightHorror
Дата сообщения: 21.02.2006 17:05
AnexeR

Цитата:
И Отпост, к слову, тоже не вешает.

У меня он тоже, когда стоял, не вешал ни сеть, ни систему. Но если почитать топик по отпосту, можно увидеть у многих массу проблем, связанных с непредсказуемым поведением этого фаера. В том числе падения в синяк и зависоны. Имхо, кому как повезет


Цитата:
юзать можно, но по-первах сложно


Цитата:
снесли его сразу после того как увидали вкладку конфигурации.

Как верно заметил кто-то, тут надо просто привыкнуть немного. А потом будешь жить и радоваться

Seva I

Цитата:
Это нормально? глюк разработчиков?

Не глюк и не нормально. Должно писаться 1.0.1.61. По крайней мере в инсталляторе, скачанном еще сразу после выхода финала пишется правильная версия. Покопайся у себя. Если не получится - могу выложить на рапиду инсталляху.
Автор: Minoz
Дата сообщения: 21.02.2006 18:51
Да все нормально качается... Интерфейс и в правду не очень, хотя идея хороша, но реализация не очень.

ЗЫ. Jetico тоже может в синий экран падать, что он мне щас и продемонстрировал
Автор: ArtLonger
Дата сообщения: 21.02.2006 19:12
Minoz
Любая программа может падать в синий экран. Другое дело, что Джетико делает это крайне редко.
Автор: Minoz
Дата сообщения: 21.02.2006 19:53
Кароче... У меня тут вопросик. Типа у меня IE и он лазиет в инет по типу 127,0,0,1:80;445=>ANY:80;443. Но в фаере есть возможность IE поставить переадресацию к web browser, где прописанны правила. Теперь я лезу на FTP... Мне опять придется прописывать ручками или можно еще IE приписать к FTP клиент ? Какая там вообще иерархия правил....
И еще, что за Stateful TCP Inspection без которого не работают DNS запросы ?

ЗЫ. Слишком много запутанных правил.... И почему он постоянно по "доступ к сети", хотя сети то нет.
Автор: rs
Дата сообщения: 21.02.2006 21:44
ArtLonger
вроде бы немного разобрался с программой - начинает нравиться всё больше и больше
очень стройная и логичная программа
без концептуального перегруза

не подскажешь - если в DrWeb выключено автообновление, можно ли ему полностью закрыть сетевую активность, включая access to network? - не повлияет это на работоспособность антивируса?

Добавлено:
NightHorror

Цитата:
Все тесты на пробиваемость изнутри (14 штук + 1) держит.

какие тесты конкретно?
линк?

Добавлено:
почему не сработало правило из "заводских настроек":

accept    Allow DNS requests    disabled    TCP/IP    send datagrams    any    name server    53    

и в режиме обучения пришлось добавить:

accept    disabled    TCP/IP    send datagrams    C:\WINDOWS\system32\svchost.exe    any    192.168.1.3    any    53    
Автор: NightHorror
Дата сообщения: 22.02.2006 00:43
rs

Цитата:
какие тесты конкретно?

http://www.firewallleaktester.com/leaktest1.htm
Там даже не 14, а 15 тестов. Плюс еще одним проверялся. От известного "обходильщика" всяких защит ms-rem'a. FireFuck оригинальное название теста

Добавлено:
Minoz

Цитата:
Jetico тоже может в синий экран падать, что он мне щас и продемонстрировал

Тут зависит уже от индивидуальных настроек системы/установленного софта/и т.п.
У меня по крайней мере за последние полгода ни разу не было синяка по вине джетики.
Хотя стоит много чего всякого.
Автор: AnexeR
Дата сообщения: 22.02.2006 04:07
Ну вот и всё...
Мои худшие опасения подтвердились.
Jetico мне не светит. "Фулл контроль, ё моё!"
Хотя, вобщем-то закономерно, если подумать.

К слову, система настройки мне понравилась. Всегда тяготел к сложно-гибким логическим конструкторам позволяющим реализовать всё что угодно. Однако, на самом деле, это мало кому может понравиться. Обычно наоборот, люди от такого шарахаются как чумные.
Ну да ладно. Не понравилось другое.

Не понравился конечно возникший после установки феерверк запросов. Но мы же не шилом деланые... понимаю что нужно настроить всё чин чином...
Так что попервах счастье мне это не омрачало...
Но всё моё счастье длилось ровно до того момента, пока я не понял... Этот фейерверк окончательно не прекратится никогда! Буквально никогда!
Что на этом феерверке стоит и держится вся программа! Подразумевая почему-то, что без него лишь "мрак отсутствия защиты".
Попал я однако...
А ведь казалось счастье так близко!

"Да, он хорош, но"...
Короче говоря, от чего бежал к тому и пришёл.
Не понимаю я всех этих "контролей компонентов и скрытых процессов" интегрируемых почему-то в файрволы (как будто антивирусные мониторы у нас уже отменили).
В Jetico же система "перестраховки страхующих" достигла своего "апогея апофиоза".
Собственно говоря, данный файрволл изначально был построен на такой параноидальной системе перестраховки (причём без каких-либо поблажек пользователю), что пользоваться им нормальный "дикий юзверь" не сможет под страхом смертной казни, даже если будет работать "на всём готовом" (учитывая что в Jetico понятие "всё готовое" самое что ни на есть относительное).
Насколько я вижу, вопрос этот уже неоднократно поднимался в данной теме (чересчур мягким образом). Но все почему-то молчаливо соглашались с тем, что "безопасность требует жертв"...
Так вот "друзі мої", ТАКИХ жертв никакая безопасность на самом деле НЕ ТРЕБУЕТ!

Объясню свою позицию. И начну издалека.
Меня, если честно, сильно удивляет по жизни столь популярная в последние годы идея, что любая программа должна уметь всё. Ну просто буквально ВСЁ!
Причём прямые функции программы разработчиков интересуют всё меньше и меньше. Ведь крутость программы, по сегодняшним меркам, определяется лишь количеством навешанных на неё "дополнительных функций". По мнению многих разработчиков любая программа кроме своих прямых обязанностей положенных ей "по уставу", просто таки обязана ещё уметь "сварить кофе и подать его в постель, принести тапочки и сводить в туалет, застелить постель и приготовить ужин, положить в рот и разжевать", а встроенная баннерорезалка, так это вообще святое. Ну а уж если какие-либо функции хотя бы косвенно пересекаются с её прямыми обязанностями, то уж это-то она просто обязана уметь "сразу как только"!
Мне всегда казались странным попытки создателей "мультикомбайнов на все случаи жизни" совместить несовместимое. Нельзя и глупо уметь всё! Ты никогда не будешь одинаково хорошо уметь ВСЁ!
Но факт на лице. Идеи эти всё более и более популяризуются среди програмёров. И далеко не всегда реализуясь в виде "правильной" модульной структуры, а зачастую просто встраиваясь в код самой программы.

Пожалуй, тот же Отпост ещё можно назвать более-менее удачной реализацией такого мультикомбайна. Но лишь более-менее.
Самый главный и приятный козырь этого мультикомбайна состоит в модульной структуре всего лишнего что на него навешивается. А это значит, что всё лишнее (включая контроль компонентов) можно легко отключить. Это значит, что "лёгким движением руки брюки превращаются... в элегантные шорты", коими они и являлись по своей изначальной задумке. И это несомненный плюс, который превращает странный мультикомбайн в нормальный файрволл.

Попробую объяснить "к чему это" на живом примере.
Вы никогда не обращали внимание, что самые "пробивные" тесты "пробиваемости файрволов" требуют отключать антивирусный монитор? То есть вырубить его на фиг! Как будто бы его в природе и не существует, а есть только данный конкретный файрволл, который и будет трудиться на благо родины пытаясь обьять необъятное и предотвратить неизбежное.
Меня это всегда просто умиляло. В таких случаях я говорил "щас" и посылал предлагающих подальше!
И далеко не один я.

Умные люди прекрасно знают, что файрвол это только часть системы безопасности, и что никакой фаер, точно так как и антивирь, как бы он ни был хорош, никак не панацея "сам по себе". Что они лишь часть единого целого, обзываемого "системой безопасности".
Но для чего-же тогда эти странные тесты просят делать то, что ни в коем случае делать нельзя?
Ответ прост. Всё дело как раз в той самой попытке "объять необъятное", когда дело одной программы одновременно пытются сделать делом другой.
Сейчас мне наверное начнут объяснять про "здоровую параною" и что тут "лучше перебздеть два раза, чем недобздеть один".
Но ведь в том-то и дело что параноя НИКОГДА не бывает здоровой. Она или есть, или её нет.

Конечно это имхо и вы можете закидать меня камнями, но я всегда считал и считаю, что лучше иметь два достаточно совершенных инструмента, каждый из которых совершенно работает только в своей области, и которые самой природой предназначены работать в паре. Чем два которые пытаются переплюнуть друг друга (кто первым) в дублирующей функциональности, и при этом только премерзко усложняют работу пользователя.

Для меня наличие в фаере любых контролей компонентов,процессов, надоедающих постоянной "эмуляцией полезной деятельности" означают только одно. Его разработчики почему-то посчитали, что я не смогу выбрать достаточно надёжный и нормальный антивирь с хорошим эвристическим анализатором и нормально-пополняемыми базами, который бы не отвлекал меня глупыми вопросами, а надёжно делал своё полезное дело.
Надо ли говорить, что я в корне не согласен с разработчиками?
Думаю не надо.

Это я всё к тому, что сама идея фаера Jetico состоит как раз в том, что:

В мире почему-то не осталось антивирусов, а любой запускаемый на вашей машине процесс/программа это без сомнения "та ещё гадость" которую стоит душить в зародыше, не позволяя ей, не то что самой обратится куда-то, но даже только допустить мысль о такой возможности (в буквальном смысле)... И даже не позволяя мысли допустить о возможности допустить саму мысль о том, что "можно хотя бы попробовать присобачиться к какому-то процессу, который может допустить такую мысль"!
Да уж... Параноя высший класс!
Неудивительно что он проходит все тесты даже без антивир-монитора.

Мне особенно понравилась эта параноидальная идея Jetico, что программа имеющая полноценный сетевой доступ не будет работать до тех пор, пока для программы из которой она запущена не установлена "возможность хотя бы допускать саму мысль о какой-либо возможности какой-либо сетевой активности". И на самом-то деле это касается ВСЕХ программ, которые имеют хоть какое-то отношение к "имеющей полноценный сетевой доступ" программе. Многие удивятся, как много всяких программ "имеет такое отношение".

Но всё-бы ничего... Некоторые оптимисты тут утверждали даже, что "через месяц активной работы такие вопросы прекратятся даже для самых корявых случаев."
Только маленькое уточнение с моей стороны...
По истечению этого "месяца" вы не должны делать НИЧЕГО! Буквально ни-че-го!
А ежели вы решите что можно "как всегда", то очень скоро поймёте что это совсем не так, и спокойная жизнь вам не грозит. Уж про такие вещи как установка/обновление софта можете точно забыть.
И не дай бог вам что-то изменить! Jetico так обрадуется любой перемене, что не примнёт засыпать вас вопросами, которые вряд ли скоро прекратятся (на это не надейтесь, друзья мои).
В общем, "фул контроль" вам обеспечен. Причём настолько "фул", что небо в овчинку покажется, а жить ещё долго не захочется.

--------------------------
Короче говоря, я просто не смогу использовать данный фаер нигде кроме как на своей домашней машинке (да и там не захочу, если честно).
После тихого незаметного Отпоста, с отключенным контролем компонентов и скрытых процессов, Jetico у моих юзверей вызовит тихий приступ благоговейного ужаса, который быстро закончится тем, что меня сначала повесят а потом четвертуют. В лучшем случае просто расстреляют "за измену родине".
Представляю, как я буду объяснять разному "высокому начальству", что за странные окошечки с непонятными угрозами и компьютерными матюками начали выскакивать у них на любимых ноутах. Думаю, что в даном случае все мои долгие объяснения, что "так надо, в этом и весь кайф" что "Отпост редиска, а Jetico рулез" не будут оценены должным образом. Вердикт будет однозначен и вобщем-то вполне справедлив - "Убрать эту гадость"!

Хотя, как я уже и писал, Jetico хорош сам по себе...
Просто, ну нельзя же файрвол рассматривать как "вещь в себе".
Как минимум есть ещё машина, антивирь и юзверя (которые должны всё-таки нормально работать, а не пугаться, отвечая на "всякие непонятные вопросики").

Вердикт простой.
Jetico - ПЕРСОНАЛЬНЫЙ фаер.
Причём настолько "персональный", что персоналий способных его юзать без неприятных для своего психического здоровья последствий нужно искать "долго и нудно".
Не сомневаюсь, что те кто тут "отмечается" как раз наиболее стойкие экземпляры рода человеческого. Потому как "просто так, всякий встречный" работать с Jetico навряд ли сможет. Хотя бы потому, что администрировать и работать, в данном конкретном случае, синонимы.
Автор: Minoz
Дата сообщения: 22.02.2006 07:03
AnexeR
Попробуй протопорт.... Мож понравится
Автор: kesic
Дата сообщения: 22.02.2006 07:55
AnexeR
Это было сугубо ИМХО.
Для настройки программы, мне почему-то, понадобилось дня два-три а не - "не прекратится никогда! Буквально никогда!"
На самом деле механизм настройки Jetico довольно прост и не требует никаких жертв (достаточно заглянуть в саму справку от разрабов).
Да и контроль компонентов тут связан именно с работой "стенки", на то она и стенка...
В оющем, всё на месте (ещё её флудом так и не свалил, как оутпост в своё время...)
Автор: ArtLonger
Дата сообщения: 22.02.2006 08:15
rs

Цитата:
если в DrWeb выключено автообновление, можно ли ему полностью закрыть сетевую активность, включая access to network? - не повлияет это на работоспособность антивируса?

Конкретно с ним дела не имел, но насколько знаком с другими антивирусами, им обязательно нужен access to network и localhost.


Цитата:
почему не сработало правило из "заводских настроек"

Одна из ошибок Jetico - не всегда понимает name server. На такой случай можно явно прописать свои DNS.
Автор: DOE_JOHN
Дата сообщения: 22.02.2006 08:38
rs
ArtLonger
Могу сказать по поводу drweb то что у меня. Стоит 4.33 в трее висит spider автообновление отключено и до сих пор jetico не спросил о access to network для него.
Автор: kesic
Дата сообщения: 22.02.2006 11:23
Я смотрю, в последнее время DoDу нравится сканить UDP. Имеет ли смысл сделать правила на определённый диапазон IP?
Автор: AnexeR
Дата сообщения: 22.02.2006 16:38
kesic

Ну-ну, буде. Jetico в защите не нуждается. Фаер хорош, но это не умаляет его главного недостатка, который вместе с тем является и главным достоинством.
И думаю, ты прекрасно понял, что я имел в виду. И моё имхо вполне обосновано.

Имелось в виду, что процесс настройки Jetico не прекратится на самом деле никогда. И если тебе подвезло закончить его за два дня, то это ещё не значит что ты его полностью и окончательно настроил. Ты настроил его лишь на данный текущий момент, для данной текущей ситуации, на данной текущей машине. И только.
Однако мы ведь не живём в статичном мире где стоит только одна большая машина и один крутой фаер (почему-то без антивируса).
Стоит только хоть что-то изменить, и...
"Наша пісня гарна нова, починаєм її знову"...

А ведь это только одна машина, которую тебе без сомнений хватит сил отадминистрировать по полной программе в любой ситуации...
А представь, что у тебя таких машин, ну хоть... Да что там 100/50, да хотя бы с десяток.
Ты даже не представляешь как сразу кардинально поменяется твоё мировозрение на такие вещи.

А теперь представь, что ты таки настроил (не в ущерб безопасности) на всех этих машинах Jetico. Уж не знаю как ты это сделал на ВСЕХ машинах и сколько человекочасов времени у тебя это забрало. Но... Будем считать что ты это каким-то образом сделал, тебе хватило мужества и терпения. Настал твой звёздный час, ты молодец!
И что ты теперь будешь делать?
Правильно!
Теперь ты сделаешь образы системных разделов всех этих машин, и будешь молится, что-бы не дай бог какой-то глупый юзверь не вздумал чегой-то поменять/установить на своей машине!

Знаешь с чего начинается мой рабочий день?
С того, что я раздаю людям по сетке созданные вот этими вот "рабочими руками" автоустанавливаемые в два клика модинг-сборки тех или иных софтинок.
Как правило это просто обновления уже установленного. Реже новый софт.
Да это тяжёло делать. Но это куда как легче, чем самостоятельно устанавливать, а потом конфигурировать на каждой машине одни и те же программы (этим я занимаюсь только один раз, при установке на машину системы).
А теперь представь себе всю радость Jetico, когда глупый юзверь установит/переустановит себе в два клика, ну скажем хотя бы только две мои сборочки. К примеру, MyIE2 или Maxthon, ну и для полноты картины Keyboard Ninja (автопереключатель языков).
Ты искренне готов поверить что у юзверя в момент не случится сердечный приступ?
Как ты думаешь куда он побежит? Уточняя вопрос, к кому?!
А тперь предстваь что ВСЕ мои юзверя, после очередной моей утренней "раздачи словнов" побегут ко мне "ругаться матом"!
Ну как? Прочувствовал момент?
И как тебе моё имхо?!

И то что ты или я можем пользовать (читай, постоянно администрировать на одной машине) этот фаер, то это ещё не значит что это могут делать другие. Поверь обычному юзверю, не семи пядей во лбу юзать его не под силу. Именно потому что юзать в данном случае означает именно "постоянно администрировать". А я же просто не смогу настроить ему "всё раз и навсегда", чтобы "всегда работало без вопросов". Хотя бы просто потому что абсолютно идентичных или абсолютно статичных машин в нашем постоянно меняющемся софтовом мире не бывает.
И в этом с моей точки зрение и есть самое больное место фаера.
Уж больно он "персональный" дружище. Администрировать его хотя бы на нескольких машинах в нашем изменчивом (а отнюдь не статичном) мире просто нереально.
Автор: NightHorror
Дата сообщения: 22.02.2006 16:50
AnexeR

Цитата:
Не понимаю я всех этих "контролей компонентов и скрытых процессов" интегрируемых почему-то в файрволы (как будто антивирусные мониторы у нас уже отменили).

Вот насчет этого ты не прав. Есть масса троянов, которые антивири не ловят. И в этом случае на первом рубеже защиты как раз стоит контроль попыток записи в чужое адресное пространство, создание удаленных потоков и внедрение всяких dll. Антивири такое не контролируют, и это как раз необходимая функция ПЕРСОНАЛЬНОГО фаера, в отличие от, например, корпоративного. И запрос на правило в джетике выдается только в первый раз при запуске приложения, потом она работает тихо и мирно.
Автор: AnexeR
Дата сообщения: 22.02.2006 17:02
Minoz
Протопорт говоришь...
А я вот слыал что протопорт глючный и нестабильный.
Может ты меня разубедишь? Тода погляжу что за зверь.

Сейчас пока что подумываю о том чтобы вернуться на старый добрый Outpost Free 1.0.1817. Никаких тебе контролей компонентов, всё лишнее можно поотключать, а экономия живого веса по сравнению с третьим Отпостом более тринадцати мегабайт.
Правда, непонятно как сейчас с надёжностью у него. Всё-же старенький уже. Но говорят, что с теперешним DrWeb-ом рулит только так.
Не знаю, не знаю... потестить бы надо.
Может кто что скажет по этому поводу?

Но идея пока привлекает. Такой маленький, что можно на каждой машине ставить, а не только на ноутах. Да и на ноутах у меня (почти всех) всего по 256 метров, каждый байт на счету. Потому собственно и на Jetico я глаз положил.
Конечно на некоторых особо-персональных машинах Outpost по жизни "вылетает систему в BSOD". Но лично я видимо отношусь к тем счастливчикам "у кого на любой машине рулит".
Автор: ArtLonger
Дата сообщения: 22.02.2006 17:31
AnexeR
< Бурные и продолжительные аплодисменты в партере, крики "Браво!", "Бис!". На галёрке гоготание и свист, временами оттуда прилетают тухлые помидоры...>

Получил искреннее удовольствие от чтения этого опуса - такого количества эмоциональной чепухи мне давно не попадалось. Не примите это за попытку обидеть, просто очень уж разительно описанное Вами отличается от моих повседневных реалий.

Оказывается, что в соревновании комбайнов Outpost проиграл! Друг мой, в отличие от Outpost'a сам по себе Jetico ничего (повторяю - ничего) не может. Правило "Allow all" - вот его нормальное состояние, а всё прочее - правила, просто правила, ничего кроме правил...

Сколько возмущения по поводу контроля процессов, mamma mia! А убрать это правило никак нельзя, да? Нормальный и надёжный антивирус вполне справится, а случаи, когда он прозяпывает свеженький с иголочки вирус (благополучно отлавливаемый файерволлом совсем по другим критериям) мы не будем принимать во внимание, ибо паранойя.

Ну и конечно разрешить сетевой доступ всем программам религия не позволяет. Мы будем рассказывать сказки о девятом вале вопросов, требований и напоминаний, делающих невозможной работу на компьютере... Дорогой мой, вы, наверное, сильно удивитесь, но грамотно настроенный файерволл вообще ничего не спрашивает! У меня как дома, так и на работе используются незакрытые таблицы - о любом свежем событии будет задан вопрос. Так вот дома вопросов я не видел уже несколько месяцев, а на работе от силы раз в неделю что спросит - и преимущественно по поводу моих же экспериментов. И это при очень активной сетевой жизни моей конторы. А у тех, кто не копенгаген, все таблицы подпёрты правилами "Block all" - и можно им только то, что админ разрешил. Какие вопросы, о чём Вы, мон шер? Юзер что-то поменял? Это вряд-ли, но даже если у него получилось - гарантирую Вам, в нашей конторе он больше этого делать не будет. Материально невыгодно .

А уж для совсем запущенных случаев Jetico можно настроить в подобии "серверного" режима, и не контролировать программы вовсе - только сетевые ресурсы.

Но в одном Вы правы, это совсем не простой в использовании файерволл, и рекомендовать его начинающему пользователю будет большой неосторожностью. Только при чём тут психическое здоровье? Для моего, к примеру, гораздо опаснее всё лучше пользователя знающий и чрезвычайно упрямый Outpost...

PS: Интересно, а есть тут люди, пережившие на второй версии Outpost'а переход на летнее (или зимнее) время? Чрезвычайно волнующее было событие, Фредди Крюгер отдыхает...
Автор: AnexeR
Дата сообщения: 22.02.2006 18:08
NightHorror


Цитата:
Вот насчет этого ты не прав. Есть масса троянов, которые антивири не ловят. И в этом случае на первом рубеже защиты как раз стоит контроль попыток записи в чужое адресное пространство, создание удаленных потоков и внедрение всяких dll. Антивири такое не контролируют, и это как раз необходимая функция ПЕРСОНАЛЬНОГО фаера, в отличие от, например, корпоративного.


Практика показывает что это не совсем так. Наверняка есть трояны и вирусы которых не ловит определённый КОНКРЕТНЫЙ антивирь. В конце концов даже самый лучший антивирь не может гарантировать абсолюнтую защиту. Это факт.
Но дело не в этом. А в правильной оценке рисков.
Хороший антивирь, с хорошим эвристическим анализатором и не менее хорошими и часто-пополняемыми базами, который сложно обмануть, вследствии того что он просто раздупляет большинство даже самых сложных "обманок", может обеспечить для машины защиту скажем так, достаточно близкую к абсолютной, снизив реальные риски до уровня не более несколько сотых от процента. И самое смешное, что такие сейчас есть. Не касперский, к сожалению, его относительно легко обмануть (хотя серьёзные обманки крайне редко встречаются). К слову, от большинства так называемых "антивирусов" панацеей является элементарная упаковка "гадости" любым хитрожопым упаковщиком, даже без перестановок кода. Так что к выбору антивируса стоит подходить с большим вниманием).

И хотя теоретически ты конечно же абсолютно прав, когда говоришь что контроль файрволла в теории обеспечивает дополнительный (пишешь "первый", но в действительности второй после антивира) рубеж защиты. Но давай посмотрим как же в действительности работает, к примеру, контроль компонентов и процессов в том же Отпосте.
Юзверу задают вопросы, и это естественно. Файрволл персональный и мы просто обязаны персонально отвечать на эти вопросы. И юзверь естественно отвечает.
И как же ты думаешь он отвечает?
Он отвечает OK! ВСЕГДА!
И если какая-то гадость "вдруг чего". Отпост конечно скажет юзверю. А юзверь нажмёт OK!
Вот так и работает эта байда. То есть, "второй уровень защиты" как бы есть (в теории), а на практике юзверь всегда выбирает OK!

Реальная работа контроля компонентов даже на моей сисопской машине показала свою сомнительную полезность. Два года я юзал 2.x версии Отпоста со всеми включённым контролями (типа "безопасность дороже спокойствия"). Плагины были отключены все, кроме DNS, и Атаки. Паралельно стоял DrWeb с дополнительными базами. Это сейчас он "рулит везде", а тогда отслеживание ряда угроз ещё только тестировалось и доп.базы необходимо было устанавливать отдельно. Да и сами базы обновлялись отнюдь не по нескольку раз на дню, как теперь. Хотя и тогда по совкупности обстоятельств он явно рулил и какой антивирь использовать у меня сомнений не было.

Короче, результаты таковы. Через меня за всё это время прошло огромное кол-во всякой гадости, причём чуть не каждый второй/третий обзывался "троян".
Как же ты думаешь мне помог этот "второй рубеж защиты"?
Да никак!
Всё отлавливалось и тихо "лечилось" в соответствии с настройками Веб-ом. В конце-концов это именно его работа и Отпост оказывался не при делах.
Но зато "фул-контроль" Отпоста показал себя во всей красе. В течении всего этого времени, я на своей изменчивой системе терпеливо щёлкал OK, пытаясь как-то примириться с постоянными изменениями. Весь прикол в том, что это случалось настолько часто, что стало отработанным до автоматизма. Такая штука называется "рефлекс павлова". И выработанная с годами, она в любом случае не позволит среагировать как-либо иначе на любой вопрос Отпоста. Так что в том случае, если бы, несмотря на "теорию вероятности" ДрВеб что-либо пропустил, Отпост бы мне просто ничем не помог. И это не смотря на все мучения и бесчисленное уже число нажатых OK. Обидно, однако.

Но если в Отпосте енто всё ещё можно отключить, то по поводу параноидальной системы Jetico я лучше вежливо промолчу. Вот уж воистину из всех персональных это САМЫЙ "персональный" файрволл.


Цитата:
И запрос на правило в джетике выдается только в первый раз при запуске приложения, потом она работает тихо и мирно.


Твоими бы устами...

Добавлено:
ArtLonger

Цитата:
Получил искреннее удовольствие от чтения этого опуса - такого количества эмоциональной чепухи мне давно не попадалось.


Я такой.
Только почему сразу чепуха?
Эмоциональная? Да.
Преувеличенная? Да.
Но правда.

Спасибо за расширенный и не менее эмоциональный ответ.
Это "навело меня на размышления"...

Вероятно я продолжу тестирование, так как сам по себе фаер мне понравился, и возможно всё-же я буду использовать его "лично для себя".
Просто я не уверен, а точнее уверен, что его невозможно настроить таким образом чтобы обеспечивая нормальную защиту, полностью защитить юзверя от каких-либо вопросов без дальнейшей блокировки доступа тех или иных софтинок.

Дело в том, что юзверя у меня люди относительно самостоятельные (особенно юристы и высокое начальство на ноутах), но отнюдь не настолько. Сидят под правами опыт-пользователя, а то и админа. Сборки мои они устанавливают/переустанвливают очень часто (мне этим заниматся не с руки), да и своё что-нибудь да прилупят. А если учесть что у меня юзверей этих "реально много", то сам поймёшь почему я вдруг "такой эмоциональный".
Потому я эмоционален, что Jetico мне реально понравился, а использовать я его, судя по первым впечатлениям, не смогу (смотри выше).


Цитата:
Но в одном Вы правы, это совсем не простой в использовании файерволл, и рекомендовать его начинающему пользователю будет большой неосторожностью.


Об том и речь.
Обидно, млин!
Автор: rs
Дата сообщения: 22.02.2006 19:10
есть ли синтаксическая конструкция для задания группы адресов типа 192.168.1.* в одном правиле?
Автор: NightHorror
Дата сообщения: 22.02.2006 19:13
AnexeR

Цитата:
Наверняка есть трояны и вирусы которых не ловит определённый КОНКРЕТНЫЙ антивирь

Достаточно легко делаются трояны которые не ловят ВСЕ антивири с последними базами.

Цитата:
(пишешь "первый", но в действительности второй после антивира)

Если антивирь не ловит, то первый

Цитата:
а на практике юзверь всегда выбирает OK!

Да, увы. Но это беда не связанная с какой-либо защитой вообще. В смысле, тут ничто не поможет, только правка мозгов.

Цитата:
Как же ты думаешь мне помог этот "второй рубеж защиты"?

У тебя в это время отпост стоял, насколько я понял. Тот же ms-rem говорит, что это один из самых дырявых фаеров. А ему можно верить.

Цитата:
то по поводу параноидальной системы Jetico я лучше вежливо промолчу.

Не так много способ существует, чтобы с ring 3 обойти джетику. А вообще, по своей машине смотрю, она очень редко сейчас задает вопросы. Как правило при инсталляции/запуске нового софта. Одним словом - совершенно не достает.
Конечно, выбор фаера остается за конкретным юзером исходя из его взглядов. Конечно джетика в принципе фаер не для новичков/тех кто впервые фаер видит (я без перехода на личности, в общем и в целом).

А будущее защит вообще не за антивирусами, т.к. они всегда отстают от троянописателей. Тут нужен именно контроль активности процессов вместе с контролем сетевой, т.к. только так можно отловить новые трои/вири. Сейчас уже активно начинают внедрять превентивные защиты типа Safe'n'Sec или ПроАктив от Интернет Секьюрити касперского. Эти две наиболее мощные из боле-менее известных.


Автор: ArtLonger
Дата сообщения: 22.02.2006 19:29
rs
Тип адреса - сеть, IP-адрес 192.168.1.0, маска 255.255.255.0

AnexeR


NightHorror
- Поступил пациент с черепной травмой.
- Доктор, с черепно-мозговой...
- Нету там мозга!
Автор: AnexeR
Дата сообщения: 22.02.2006 19:34
NightHorror

Самое смешное, что я практически во всём с тобой согласен.

Единственное, про Отпост сказать что это "один из самых дырявых фаеров" я бы не смог.

С Отпостом на самом деле не всё так однозначно.
Тут всё от настроек зависит. Как настроишь, так типа и поедешь.
Что говорить если у него даже Allow Loopback по умолчанию включён (локальные проксики ау). Но ведь никто не запрещает его отключить.
Нет тут нельзя так однозначно говорить.
Проходимость тестов однозначно свидетельствует, что тут всё от настроек Отпоста зависит (именно, что как настроешь так и пройдёшь). Настроишь соответственно и будет тебе "один из самых надёжных". Несоответственно настроишь - будет "типа дырявый".

Добавлено:
ArtLonger

Цитата:
- Нету там мозга!


А вот и есть.
Автор: NightHorror
Дата сообщения: 22.02.2006 19:44
AnexeR

Цитата:
Самое смешное, что я практически во всём с тобой согласен.



Цитата:
Единственное, про Отпост сказать что это "один из самых дырявых фаеров" я бы не смог.


Цитата:
Проходимость тестов однозначно свидетельствует, что тут всё от настроек Отпоста зависит (именно, что как настроешь так и пройдёшь). Настроишь соответственно и будет тебе "один из самых надёжных". Несоответственно настроишь - будет "типа дырявый".

Я не про тесты. Тесты хороши, конечно, Но они эмулируют лишь стандартную троянскую активность. То, что отпост один из самых дырявых фаеров говорил чел, специализирующийся на обходах всяких антивирей, фаеров и превентивных защит. Как с ринг 3, так и с ринг 0. Ему можно верить. Джетика, конечно, тоже пробивается. Да по большому счету, ничто до конца не защищает
Автор: rs
Дата сообщения: 22.02.2006 19:46
AnexeR
интересный ты...


а поставить галку ПРИНЯТЬ (ACCEPT) ровно на одно правило проверки подозрительной активности - не судьба было? чем посты такие длинные писать-то...


и получишь просто фаер... правда без бонуса антитрояньего.. ну так сам того желаешь..


Добавлено:
ArtLonger

Цитата:
Тип адреса - сеть, IP-адрес 192.168.1.0, маска 255.255.255.0

не сработало

у меня для DNS два адреса 192.168.1.2 и 192.168.1.3 - как только я их удалил и вставил предложенное - всплыло AskMe - т.е. не проехало

а еще кажется где-то встречались такие конструкции 16(192.168.1.0/24) - где написано как их понимать?
Автор: AnexeR
Дата сообщения: 22.02.2006 21:28
rs

Ну вот. Сразу подкалывать. Я ж только учусь.
Лучше б выложили настройки свои готовенькие.
А то много вас тут умных, а я один.

Добавлено:
Кстати про конструкции для группы адресов меня тоже сильно интересует.

И исчо, правильная безопасная настройка для работы с локальным прокси. Чтобы "всякий любой гадость" на моей машине не мог бы через localhost мой прокси юзать "за так".

Да вобщем-то меня всё интересует.
Выложили бы свои настройки хлопцы.
Просто жуть как интересно!

Добавлено:
Ребя я не понял...
Что за байда?
Сервиса (службы) нет...
Это что-же любая редиска мне может Jetico "на так" выбить?!
Процесс замочил и твори что хочу?

И какая тогда разница между "Выход" и "Остановить". Если всё-равно сервиса нет?

Или это я чегой-то недогоняю...
Автор: NightHorror
Дата сообщения: 22.02.2006 22:05
rs

Цитата:
где-то встречались такие конструкции 16(192.168.1.0/24) - где написано как их понимать?

Это другой способ задать сеть и маску: цифры после слэша - количество бит, отведенных под маску сети, начиная слева. Т.е. 192.168.1.0/24 - cеть 192.168.1.0, маска 255.255.255.0
Автор: ArtLonger
Дата сообщения: 22.02.2006 22:06
rs
Не, DNS так не работает - ему или name server (тогда он сам подхватит, но изредка бывают глюки), или конкретный адрес.

192.168.1.0/24 - то же что и 192.168.1.0/255.255.255.0
192.168.0.0/16 - то же что и 192.168.0.0/255.255.0.0
и т.п.


AnexeR
Обычный localhost требует порты 1024-5000, редко выше (у меня вот антивирус на 18000 сидит). Оформляй это отдельной таблицей, а локальному прокси дай младший порт - его и нужно будет контролировать особо.

Службы нет. Есть драйвер. И "на так" это ой как не выбивается. Максимум можно интерфейс положить...

Цитата:
какая тогда разница между "Выход" и "Остановить".
Ай-яй-яй. Справку читать всё-таки бывает полезно

Exit / Выход - terminates Jetico Personal Firewall user interface functions. Network protection level will not change.
Shutdown Firewall / Остановить - stops firewall protection service.

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: pcInternet Patrol


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.