» Jetico Personal Firewall

Liberty_2000

Цитата:

Я уже нашел причину: если я свой прокси для доступа в нет ставлю в trusted, то pcAudit2 пробивает фаер. Но это я так понял и должно быть.

судя по тому как работает pcAudit2, так не должно быть. у меня он обрубается по другому критерию.
pcAudit2 использует технику "DLL injection", и ловится он у меня ещё до того когда пытается куда-либо пойти. ловит его "Process attack" похоже в момент когда он пытается сделать "DLL injection", мне вылетает окошко:

Direction: windows hooking
Attacker: c:\pcaudit2(4.0.0.0).exe
Description: Suspicious process activity
Configuration Table: Process Attack Table

жмёшь Block и всё.

Цитата:

Direction: windows hooking
Attacker: c:\pcaudit2(4.0.0.0).exe
Description: Suspicious process activity
Configuration Table: Process Attack Table

жмёшь Block и всё.

У меня точно также.

Есть вопрос,в какой-то теме на него отвечали немогу найти.
Если выставить правило для Оперы-web browser,то при подключении к соксу опять запрашивает разрешение,если trusted app,то больше неспрашивает,что нужно подкорректировать?

los2

Цитата:

Если выставить правило для Оперы-web browser,то при подключении к соксу опять запрашивает разрешение,если trusted app,то больше неспрашивает,что нужно подкорректировать?

когда спрашивает сказать Allow this activity и сохранить конфигурацию.
потом можешь переложить созданное правило в таблицу web browser (и опять сохранить конфигурацию ).

crypt77,
а есть ли принципиальная разница в данном случае между web browser и trusted app?
Соксы часто меняются-твой совет для подходит для этого случая?

los2

Цитата:

а есть ли принципиальная разница в данном случае между web browser и trusted app

если ты не используешь оперу без сокса, то объявлять её web browser-ом не имеет смысла. объявляя её trusted app, ты разрешаешь ей делать всё, что ни есть правильно.

Цитата:

Соксы часто меняются-твой совет для подходит для этого случая?

на каждый новый сокс, файер будет задавать тебе ровно один вопрос, IMHO это можно пережить.
можно например создать правило для оперы, в котором разрешить ей outbound connect на любой хост на порт 1080. А если у тебя все адреса соксов известны то есть ещё один очень хитрый способ. если есть интерес могу рассказать.

crypt77,
интерес есть,

Цитата:

можно например создать правило для оперы, в котором разрешить ей outbound connect на любой хост на порт 1080.

может есть смысл разрешить outbound connect на любой порт и хост?

Опять же если для оперы trusted apps можно пережить ,то для эксплорера как-то нехочется.

los2

Цитата:

интерес есть

хорошо, ну это уже из разряда хакерства
когда я смотрел как они хранят конфигурацию, то наткнулся на интересный текстовый файл под названием settings.xml. это xml файл в котором они хранят адреса для trusted и blocked зон(в ранних версиях он был более информативен ). так вот если в группу IP_ADDRESS добавить следующие:
<var id="Socks Servers">
<value>127.0.0.1 1080</value>
<value>192.168.1.10 1080</value>
<value>192.168.55.7 1081</value>
</var>

то присоздании правила в качесиве Local или Remote адреса можно будет выбрать "Socks Servers" и тогда на целую кучу адресов можно создавать всего одно правило. похоже они припрятали эту фичу на будущие
полная аналогия с Trusted и Blocked зонами.

Добавлено

Цитата:

может есть смысл разрешить outbound connect на любой порт и хост?

нет

Цитата:

Опять же если для оперы trusted apps можно пережить ,то для эксплорера как-то нехочется

угу

crypt77,


Цитата:

на каждый новый сокс, файер будет задавать тебе ровно один вопрос, IMHO это можно пережить

пока придется остановиться на этом,т.к. диапазон портов для соксов очень широк и приходиться менять соксы по причине недолговечности.

los2

Цитата:

пока придется остановиться на этом,т.к. диапазон портов для соксов очень широк и приходиться менять соксы по причине недолговечности.

ну тогда не забывай убивать правила для протухших соксов, чтобы не засорять конфигурацию.

crypt77,
логично нужно будет убивать,кстати если метод описанный тобой работает-это прокол в
безопасности файера.Если добавят защиту паролем для администрирования,а это оставят,то будет казус.

los2

Цитата:

Если добавят защиту паролем для администрирования,а это оставят,то будет казус.

это точно
поживём - увидим.



Добавлено
думаю, что они скорее всего всё зашифруют(это их конёк) или подпись поставят, тогда фиг чего ручками поравишь.
вон у них лицензия для BestCrypt-а тоже текстовый файл с подписью......
попробуй подправь её...

crypt77

Цитата:

судя по тому как работает pcAudit2, так не должно быть. у меня он обрубается по другому критерию.
pcAudit2 использует технику "DLL injection", и ловится он у меня ещё до того когда пытается куда-либо пойти. ловит его "Process attack" похоже в момент когда он пытается сделать "DLL injection", мне вылетает окошко:

Direction: windows hooking
Attacker: c:\pcaudit2(4.0.0.0).exe
Description: Suspicious process activity
Configuration Table: Process Attack Table

жмёшь Block и всё.

У меня по умолчанию все неразрешенное - reject. pcAudit4.0.0.0 нормально проходит, все ок, а вот новый http://www.firewallleaktester.com/leaks/pcaudit2.exe пробивает...

Liberty_2000,
скачал
http://www.firewallleaktester.com/leaks/pcaudit2.exe
SHA 339CCFF67459D557E335449F59AB36A1E01D44EC
запустил
windows hooking-block
в результате окошко
pcaudit2
Unexpected problems и т.д. с созданием лога pcaudit.log
если не блокировать то тест проходит.
OS WinXP Pro
правила-спрашивать все,что не разрешено.

los2
Где именно ты поставил это правило? В Process Attack Table?

Добавлено
Ведь что получается. Этот тест выходит в сеть от имени одного из запущенных процессов. Я включил отслеживание траффика и вот: сначала тупо пробует лезть експлорер, все класно блокируется, пока не доходит до браузера, который в нет ходить должен. Через него и идет передача данных. Тест не пройден.

Добавлено
Сейчас вот проверил: вышел из браузера и запустил тест. Все ОК - pcAudit заблокирован. Значит дело в браузере... Кто что посоветует?

Liberty_2000
скачал. результат такой же как и у los2.

Цитата:

Где именно ты поставил это правило? В Process Attack Table?

у меня оно стоит в Process Attack Table (изначально было).

Цитата:

Ведь что получается. Этот тест выходит в сеть от имени одного из запущенных процессов. Я включил отслеживание траффика и вот: сначала тупо пробует лезть експлорер, все класно блокируется, пока не доходит до браузера, который в нет ходить должен.

всё правильно, за исключением того, что в сеть от имени другого приложения он сможет пойти только после того как сумеет "всунуть" свою DLL-ку этому приложению. в твоём случае похоже он это сделать сумел.

Цитата:

Сейчас вот проверил: вышел из браузера и запустил тест. Все ОК - pcAudit заблокирован. Значит дело в браузере... Кто что посоветует?

возможно всё дело в "чистоте" эксперимента. скорее всего по ходу тестирования ты хоть раз позволил pcAudit-у вставить сдою DLL-у в другие приложения и она там осталась. а после того как ты закрыл свой браузер, больше не осталось приложений с "имплантантом" которым можно ходить в сеть.

crypt77

Цитата:

возможно всё дело в "чистоте" эксперимента. скорее всего по ходу тестирования ты хоть раз позволил pcAudit-у вставить сдою DLL-у в другие приложения и она там осталась. а после того как ты закрыл свой браузер, больше не осталось приложений с "имплантантом" которым можно ходить в сеть.

Т.е. теоретически если я переинсталю браузер и запущу тест опять, все должно быть ОК? Кстати начал притормаживать и-нет.... Даже при allow all. Сейчас пітаюсь віяснить почему....

Liberty_2000,

Цитата:

доходит до браузера, который в нет ходить должен

должен,но сам,а у тебя его запускает pcaudit что и должно отображаться при запросе.
Переустанавливать что-либо смысла неимеет.

los2
Так нет у меня правила в Process Attack Table кроме как спрашивать про все нет... А ничего и не спрашивают. Просто идет передача данных. тест не пройден.

Liberty_2000

Цитата:

Т.е. теоретически если я переинсталю браузер и запущу тест опять, все должно быть ОК?

переставлять точно не нужно, максиум перегрузиться.

Цитата:

Так нет у меня правила в Process Attack Table кроме как спрашивать про все нет... А ничего и не спрашивают. Просто идет передача данных. тест не пройден.

Странно..... Напиши на support@jetico.com, и опиши ситуацию. интерестно, что они на это ответят.
А ты пробовал pcAudit2 с их конфигурацией?

crypt77

Цитата:

А ты пробовал pcAudit2 с их конфигурацией?

В смысле с заводской? Да, пробовал. Не пробивает, спрашивает выпускать ли MyIE2 в нет. если подтверждаю, то ситуация аналогичная.

Цитата:

переставлять точно не нужно, максиум перегрузиться.

А вот это дельное замечание. Счас попробую. Дело в том что я менял правила, но не перегружался.... Возможно это решение...

Liberty_2000

Цитата:

В смысле с заводской? Да, пробовал. Не пробивает, спрашивает выпускать ли MyIE2 в нет. если подтверждаю, то ситуация аналогичная.

это значит пробивает.
пиши в саппорт.


Добавлено
кстати, а какая у тебя система и какой сервиспак?

crypt77

У меня -то же самое.

Ru_Beroid
а какая система?

Пардон повторюсь, но с диапазоном портов или хотя бы с их перечислением все так же глухо? Все так же надо создавать правила под отдельные порты? или any?

wezir

Цитата:

Пардон повторюсь, но с диапазоном портов или хотя бы с их перечислением все так же глухо? Все так же надо создавать правила под отдельные порты? или any?

насколько я помню, диапазоны портов всегда можно было вводить. по крайней мере сейчас точно можно. для примера посмотри таблицу "Bit Torrent Client"

crypt77
Чур меня, чур. Вот что значит оутпостом пользоватся на протяжении двух лет Спасибо.
Может еще на пару вопросов просветите? Какая разница между привмлами размещенными в корне table aplikation и ask user. В моем понимании первое это вроде системных правил в оутпосте а второе вроде привил на текущую сессию. Так? И тогда второй вопрос, если я все ask user правила приложений которыми постоянно пользуюсь перенесу в корень Applikation Table, ничего страшного не случится? Благодарствую.

wezir

Цитата:

Какая разница между привмлами размещенными в корне table aplikation и ask user.

никакой.

Цитата:

В моем понимании первое это вроде системных правил в оутпосте а второе вроде привил на текущую сессию. Так?

так. таблица "ask user" похоже создана для свалки правил которые создаются автоматически при ответе на вопрос.

Цитата:

И тогда второй вопрос, если я все ask user правила приложений которыми постоянно пользуюсь перенесу в корень Applikation Table, ничего страшного не случится?

от этого даже лучше станет. главное их поставить перед правилом со ссылкой на таблицу ask user. лично я регулярно разгрибаю таблицу ask user.

Попробовал LeakTest http://www.firewallleaktester.com/leaktest11.htm (WallBreaker)
1-ый и 3-ий тесты проваливаются, на во 2-ом все нормально.

Если запрещаю explorer.exe access to network тот 1 и 3 тоже блокируются... Вот собственно какие будут советы?

GiV
попробуй почистить кэш эксплорера.
у меня был такой эффект. эксплорер то хитрый....

crypt77

Цитата:

кстати, а какая у тебя система и какой сервиспак?

У меня 2003 сервер со всеми возможными фиксами.
Сейчас сделаю последний эксперимент: обновлю браузер (MyIE2) и наново с листа поставлю фаер. И сразу потестирую. Если пробьет - тогда остается суппорт . Ну и временный отказ от этой стенки. Буду пробовать Tiny6. Аутпост ксати тоже пробивает...