» Jetico Personal Firewall

Такoй eще вoпрoc:
Интeрнeт Эксплoрeрy для пaссивного дoступа к ftp прихoдитьcя сoздaвaть прaвилo c oткрытыми пoртами в диaпазoне 1024-65535. Кaк этo влияeт нa бeзoпaснoсть ?

Собрал набор правил, он немного шире чем на народе... http://rapidshare.de/files/16726036/Rules.zip.html

Надеюсь поможет начинающим...

Вот двa прaвилa для web browser:
"http connect"    r.p.80        http/ip    any    any    l.p.1024-5000
"ftp passive"     r.p.1024-65536    http/ip    any    any    l.p.1024-5000

Кaкой cмыcл ? чтo нe прoйдeт пo пeрвому прaвилу, прoйдeт пo втoрому, тaк-кaк пeрвoe вхoдит вo втoрoe.

Сoвeтyю прaвилa для прoгрaмм всeгдa сoединяющихcя c oпределeнным сeрвeрoм привязывaть к нeмy (remote address), тaк мoжнo сдeлать нaпримeр для mail client и aнтивирусa.

У меня джетико перестал вообще спрашивать вопросы, пишет в логе block all not processed applications и всё. Вот что в application table:

Application Blocked Zone    disabled    TCP/IP    any    any    Blocked Zone    
Application Trusted Zone    disabled    TCP/IP    any    any    Trusted Zone    
accept    Allow to Listen UDP Ports    disabled    any    listening datagrams    
accept    Allow to Listen TCP Ports    disabled    any    listening port    
accept    Allow DNS requests    disabled    TCP/IP    send datagrams    any    name server    53    
accept    Allow DNS requests    disabled    TCP/IP    receive datagrams    any    name server    53    
System Applications    disabled    any    any    
accept    Allow DNS requests    disabled    TCP/IP    send datagrams    any    name server    53    
Ask User    disabled    any    any    
reject    Block All not Processed Applications    alert    any    any    
continue    Default action    

Что за беда случилась?

В силу подключения домашнего компьютера к локальной сети района возникла необходимость поставить файервол. Быстрый просмотр Интернета показал, что наиболее популярным является оутпост. Скачал, поставил. Всё вроде бы хорошо, но появились две проблемы: 1. Напрочь перестал работать пинг (выдаёт general failure), 2. При передаче файлов на другой домашний компьютер подключённый к другой сетевой карте скорость передачи раз в 10 меньше, чем в обратную сторону. Что интересно такая картина при любой конфигурации оутпоста (даже в режиме всё разрешать) и даже при остановленом его сервисе.

Поскольку мне такая ситуация не подходит начал искать другой файервол. Более детальное исследование интенета показало мне ZoneAlarm, который по ряду причин не смог скачать и поставить, а позже я вышел на Jetico. Немного почитав о нём я решил остановиться на нём и попробовать его в работе. Поставил на нотбук, немного разобрался что к чему. Но, начались проблемы, как только я попробовал подключить нотбук к локальной сети на работе - с нотбука не идут пинги на другие компы, нотбук их не видит и не может зайти на их зашареные ресурсы. Соответсвенно таже ситуация и в обратную сторону. И что самое главное я не смог добиться функционирование сети ни добавив IP адреса сети в трастед зоне, ни переведя файервол в режим Allow All, ни даже сделав его shutdown. Сеть заработала только после того, как я деинсталировал Jetico.

Подскажите, пожалуйста, в чём может быть проблема и что я могу неправильно делать. Может я что-то не понимаю, но, как мне кажется, в режими Разрешать всё файервол не должен бы что-либо блокировать.
_________________________________________
Сегодня опять попробовал поставить джетіку, но теперь при первой же конфигурации добавил локальную сеть в трастед зону. Всё нормально заработало. Выбросил локальную сеть из трастед зоны - нормально начало задавать вопросы и в конце концов удалось настроить файервол, чтобы он заработал. Заметил, правда, что иногда вопросы появляются с опозданием.

Но, в принципе, пока работает, я доволен, будет время - буду исследовать софтинку и смотреть почему у меня раньше возникли проблемы.

Люди, кто-нибyдь eщe пoльзyeтcя этим фaйepвoллoм ? Oтвeтьтe пoжалyйстa нa мoи тpи пoследних вoпрoсa (на этой и 39 странице)

Ребята вопрос может быть немного не в тему. У меня постоянно шли вопросы на разрешение входяшего соединения System и svchost.exe написал два правила на запрет этих соединений, теперь в логах много сообщений о попытках соедениться по портам 135, 445 типа:
03.04.2006 0:57:20.181    отклонить    TCP/IP    разрыв соединения удалённым сервером    C:\WINDOWS\system32\svchost.exe    81.9.71.173    81.9.161.16    135    3048    PID: 772; Connection: FFFFFFFF; Hash: A8C7DBD6 A7FFB7D4 8654602C 8B643485 9A77307D,
03.04.2006 0:55:20.739    отклонить    TCP/IP    разрыв соединения удалённым сервером    System    81.9.71.173    81.9.237.143    445    1152    PID: 4; Connection: FFFFFFFF; Hash: 00000000 00000000 00000000 00000000 00000000. Это меня кто-то сканирует или что, и какие еще можно написато правила для этого случая.

Понемногу разбираясь с jetico застопорился на правилах по умолчанию. Никак не могу понять как проходят пакеты разные таблицы.
1. Согласно принципу заложеному в jetico все правила проверяются по очереди;
2. В конфигурации по умолчанию пакет заходит в Root таблицу, из неё переходит Application table и только пройдя её переходит в System IP table и дальше в другие таблицы.

Но, в конце Application Table, перед правилом выхода, стоит правило блокировать все необработанные пакеты. То есть, по логике, все пакеты, на которые нет правил в Application table должны блокироваться и, соответственно, пакеты не должны попадать в следующие таблицы.

Подскажите, пожалуйста, где я неправ.

Jim27
1) Весьма приближённо, но доходчиво:
IE требует localhost для своей работы, т.к. NT-образные Windows являются ОС, ориентированными на сетевую работу. И многие локальные компоненты в них общаются между собой так, как будто они работают в сети - и используют они для этого естественно localhost.

2) FTP через IE использовать не советую. На безопасность это влияет плохо. Лучше применять для этого специализированные клиенты с отдельными правилами.

3) Как это первое входит во второе? В первом случае удалённый порт 80, во втором - удалённый диапазон 1024-65536. Считать умеем?

HSWT
Полистай тему, не так давно это обсуждалось.

tmeterwant
Нет, не так. В Application table проверяются приложения - правил на пакеты там вообще нет. А пакеты проверяются в таблицах IP и прочих протоколов.

Цитата:

ArtLonger

1) Почему тогда стандартное правило браузера не содержит соответствующей записи?
И если запретить localhost для ie, браузер работает, только очень медленно открывает страницы, с чем это связано, или так только у меня?

2) Вопрос не про IE, любому ftp-клиенту, да и тому же даунлоад менеджеру приходится открывать порты в широком диапазоне: 1024-65535, что мне кажется не безопасно.

3) Ошибся, имеется в виду прокси: 8080-8088, 3128..

Jim27

Цитата:

1) Почему тогда стандартное правило браузера не содержит соответствующей записи?

Вопрос к разрабам.

Цитата:

он работает, только очень медленно открывает страницы, с чем это связано, или так только у меня?

Когда я у своей машины прокалываю шины, она ездит, только очень медленно. С чем это связано, или это только у меня так?


Цитата:

2) Вопрос не про IE

Нет, именно про IE. У него столько дыр, что предоставление ему возможности работы в таком диапазоне портов весьма чревато. Прочие программы в этом плане гораздо безопаснее. Вряд ли троян будет у меня искать именно FileZilla, а вот IE - наверняка.


Цитата:

3) Ошибся, имеется в виду прокси: 8080-8088, 3128.

Тогда конечно, не имеет смысла делать два правила.

странно, это только у меня или .... в мониторе отображаются только входящие пакеты, исходящих как отродясь небывало.

wezir
Именно в мониторе? А логи работают?
(System IP Table > Systen Inernet Zone > All Other Traffic (outgoing packet))

kesic
Активности здесь вообще не наблюдается соответственно логов нет. Странно это.

wezir
Да, странно. Но если в настройках на исходящий траффик стоит disabled, то логов нет именно поэтому. Но что тогда с монитором?

MobyDick
Собрал набор правил, он немного шире чем на народе... http://rapidshare.de/files/16726036/Rules.zip.html

Надеюсь поможет начинающим...

Пролистал весть топик и не нашел правил для прокси сервера, вообще.
Ваимодействие ПО с сервисом итд.
Речь о squid.

Добавлено:
+совершенно непонятно, как жить, если используется vpn соединение
фейса-то, получается, два

Вообщем, если я правильно понял, то нужно запустить еще раз визард и добавить ip vpn сервера как одиночный ip.

Со squid'ом даже и не знаю что делать. Добавил его в trusted zone. Ну и запустил лог по этому правилу.

Проблема.

Установил Jetico. После первой перезагрузки он выдаёт сообщение о том, что изменились свойства адаптера, и надо перезагрузиться, чтобы настройки вступили в силу. Перезагружаюсь. После перезагрузки та же катрина. Программу зациклило на этом этапе.

Предыдущий файрволл снёс корректно. Даже устанавливал и сносил его несколько раз. И реестр после него чистил с разной степенью интенсивности. Это не помогает. Устанавливал и сносил Jetico. И после него реестр чистил - не помогло. Запускал мастер конфигурации (в различных вариациях) - не помогло. Потратил 1/2 дня на эксперименты. Jetico всё равно отказывается работать.

Вообще, Jetico ставилю не в первый раз. Но с таким повведением программы сталкиваюсь впервые.

Пожалуйста, подскажите ГДЕ РЫТЬ?

Кстати, почти в любой таблице пристутствует правило (access to network), где все адреса и все порты разрешены. Направление "исходящие"

Что это?

И если правило, например, для svchost требует добавление создания правила с udp портом, то куда такое правило нужно вносить? "ip-rule" не создать в определенной application table. Там можно создать только application rule.

HeatSink
У меня такая фигня была когда я устанавливал русификатор. Без него все пашет супер

Млин. Как можно решать другие проблемы, обойдя проблему с svchost?

ZONE51

Цитата:

У меня такая фигня была когда я устанавливал русификатор. Без него все пашет супер

Да. Читал я об этом глюке. Сам пользуюсь английской версией (самой свежей). И был крайне удивлён, что такой глюк вылез без русификатора.

Скажу больше, я, помятуя о проблемах с русификацией, попробовал поставить русификацию и после этого снести Jetico. И это не помогло!!!

В общем, за последнее время наупражнялся в сносе и установке файрволлов. И в чистке сиситемы...

Чувствую, что решение может лежать на поверхности. Анализировал реестр. Пока ни к каким выводам не пришёл. Почему Jetico простоянно определяет, что сетевая конфигурация изменилась?!?!? М.б. что-то в реестр не прописывается? Или не так прописывается? Пока не понятно.

Подскажите, пожалуйста, ответ на такой вопрос: как в jetico организовать режим невидимости, как это сделано в оутпосте? Какие именно правила нужно задать в настройках?

tmeterwant
какой в ... режим невидимости, если с svchost никто не знает, что делать!!!

чел экселевскую таблицу выложил, а куда udp порты прописывать в jetico - не сказал...

В какую таблицу?!!!

tmeterwant
Если с настройками не перемудрить, то он уже в этом режиме.
В общем, как это выглядит в Shields UP:

Код: Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

kesic
Нет. О том самом. Спасибо.

Да, народ, классный файрволл. Особенно после Outposta)) Но есть несколько вопросов.
В outpost-e был такой режим "невидимости", как это реализовать здесь?
У меня локальная сеть, для выхода в инет есть проксик. Надо создать правило для исходящего соединения с параметрами проксика? А как же быть со шлюзом?
Можно ли запретить какому-нить приложению запускать дефолтный браузер? Например, QuickTime в инет залезать не может, но прекрасно открывает ссылку в браузере. Как это искоренить?
Можно ли как-то враз и навсегда разрешить Punto создавать hook-и?
Иногда подзависает иконка в трее. Это у всех так?
У меня ещё работает MySQL. Так вот если к нему коннектишься с локального компа, то файрволл на клиента ругается. Но стоит подключиться с удалённого - молчком, что Jetico, что Outpost. Это почему так?

#nmap -sS -P0 x.x.x.x

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-04-11 16:28 MSD
Interesting ports on x.x.x.x:
(The 1670 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn

это с wscntfy.exe/wmiprvse.exe
=================================================

теперь вырубаем все сервисы и затыкаем их в jetico:

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-04-11 16:28 MSD
Interesting ports on x.x.x.x:
(The 1670 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn

========================================

То бишь, ситуейшн эдентичен.

не знаю, что там сайты типа psflanc говорят.

nmap netbios видит в любой вариации. светится, как фонарный столб в глубокой ночи.

Теперь сканим Linux SuSE 10.0 iptables сделанные через YaST. все дефолтно.

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-04-11 16:36 MSD
Interesting ports on x.x.x.x:
(The 1668 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
3128/tcp open squid-http

но там все это нужно. squid нужен. он все равно в петле. не в мире. ака squid addr 127.0.0.1

или вот еще:

nmap -A -T4 x.x.x.x

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-04-11 16:41 MSD
Interesting ports on x.x.x.x:
(The 1670 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn
MAC Address: xx:xx:xx:xx:xx:xx
Device type: general purpose
Running: Microsoft Windows 2003/.NET|NT/2K/XP
OS details: Microsoft Windows 2003 Server or XP SP2
Service Info: OS: Windows

это даже не stealth скан

Теперь снова SuSE Linux. Кстати, ядро старое. Ему, аж, месяц. хотя версия еще старше. 2.6.13-15.8 но пропатченное с SuSE

nmap -A -T4 x.x.x.x

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-04-11 16:56 MSD
Note: Host seems down. If it is really up, but blocking our ping probes, try -P0
Nmap finished: 1 IP address (0 hosts up) scanned in 1.132 seconds

Скан всех машин производился с другой машины. С другой сети.
Вопрос:
К убрать netbios? Ведь, все и так закрыто.
На сколько часто обновляется сам драйвер jetico? (новые релизы самого модуля)
Куда встраивается файер? Он стоит за сетевым интерфейсом? Уже внутри системы или как-то привязан к модулю? То есть, на уровне ядра (модульной его части) ли он? или "так"?

Добавлено:
И еще вопрос. Винда икспи по дефолту врубает свой файер. Что с ним делать до установки jetico?

Сносить или не сносить с сетевого интерфейса?
Нужно ли останавливать еще и сам сервис?

Еще одна интересная деталь:

http://www.jetico.com/index.htm#/jpfirewall.htm

The latest fixes and improvements

........

25. v. 1.0.1.57 Freeware, 29th March, 2005.
Memory leaks fixed. ESP (protocol 50 required by VPN) support added to IP rule. User interface settings are saved correctly now. Scrolling added for firewall rules drag'n'drop.

26. v. 1.0.1.58 Freeware, 7th April, 2005.
Compatibility problem with TCPDump and Hamachi software solved. Main program window state properly saved now.

27. v. 1.0.1.59 Freeware, 12th May, 2005.
Problem of appearing repeated popup messages fixed. Minor user interface enhancements.

28. v. 1.0.1.60 Freeware, 23rd June, 2005.
Problem of compatibility with PC-cillin Internet Security software solved. Minor user interface enhancements.

29. v. 1.0.1.61 Freeware, 19th July, 2005.
Occasional problem of unloading firewall user interface module at shutdown time in Windows NT 4.0 is fixed.

Отсюда видно, что версии активно обновлялись. кипела работа, но затем все приостановилось.
прога хорошая, но, похоже, развитие остановлено.

to dariusii

Можешь теперь всё то же самое, только по-русски?