» Jetico Personal Firewall

realister12
Извини пропустил, что первая, первую не пробовал, а на второй bcfilter.sys не активен в драйверах. Вообще проще на чистой системе посмотреть, т.к. искать конфликт на уровне драйверов можно очень долго, простое отключение конфликтных прог, может ни чего не дать, только деинстал и чистка.
Victor_VG

Цитата:

Нормально надо открыть для работы SCM порты TCP и UDP: 135, 138, 139 (только локально! за пределами локальной машины данные порты закрыть!

Зачем локально открывать DCOM, и обрезанный (без 137) NetBIOS, на одиночной машине их как раз и надо зарубить на уровне служб в первую очередь, да и RPC (445) с ними в придачу.

Dimitr1s

Заодно с mailslots и kernel именно это ты и получишь. Просто внимательно почитай Resource Kit Windows 2000 Server. С тех пор ничего не изменилось. У меня где-то должен быть CD-ROM с ним от книги. С год назад попадался на глаза. Интересная вещь, особенно если на ночь читать.

Опыт (его идея целиком твоя): отключаем DCOM, RPC, LSASS, SamSs (не требуются
Цитата:

на одиночной машине их как раз и надо зарубить на уровне служб в первую очередь, да и RPC (445) с ними в придачу

!!!), закрываем порты TCP & UDP 7, 20, 22, 53, 79, 135 - 139, 445, 500 - 550, 1900 пробуем перезагрузится и смотрим что будет...

Ещё можно блокировать Winlogon.exe и NTOSKRNL.EXE - ими пользуются вирусы! А ещё лучше их вообще удалить из системы - от греха подальше и поставить старую-добрую Windows 98... (Это мой братец, закончивший Бауманаку к.т.н. настаивает: "Как? У тебя ни на одном на компьютере нет Windows Vista и ASP Linux? У тебя на одной машине стоит какая то FreeBSD, а на второй машине Sun Solaris? Немедленно снеси их и поставь Windows Vista и ASP Linux! Это единственные операционные системы на свете годные для всех работ!" - а раньше требовал Windows 98 и MS DOS...)

А по поводу bcfilter.sys я уже вроде выше всё как мне кажется подробно расписал. Просто ты его не там контролируешь - смотри его работу по активности Jetico Personal Firewall Network Monitor на своих сетевых соединениях, а здесь система выводит его состояние не точно. "Особенность" данного драйвера.

Victor_VG

Цитата:

закрываем порты TCP & UDP 7, 20, 22, 53, 79, 135 - 139, 445, 500 - 550, 1900 пробуем перезагрузится и смотрим что будет...

У меня всю жизнь, на одиночных машинах все выше указанные Вами порты закрыты на уровне системы, ни когда ни одной проблемы не было, вот например сейчас по UDP открыт один 1026 (клиент DNS) на прослушку.
Цитата:

Опыт (его идея целиком твоя): отключаем DCOM, RPC, LSASS, SamSs (не требуются !!!)

Закрыть порты, ни в коем случае не подразумевает остановить сами службы, тем более DCOM и RPC, (IPSEC (LSASS) - запросто)).
Цитата:

Ещё можно блокировать Winlogon.exe и NTOSKRNL.EXE - ими пользуются вирусы!

Даже нужно, первому дальше Косвенного доступа делать нечего, второй у меня ни разу не просился даже CRC посчитать.
Цитата:

А ещё лучше их удалить вообще из системы - от греха подальше...

По поводу излишней кустомизации, я с Вами полностью согласен , лишнего трогать не надо, сейчас в сети куча "помошников_по_безопасности" с копипастами с _oszone.net за 2000 г., но то что не надо - то не надо, кроме лишнего трафика и загрузки фаера, толку ноль.
Цитата:

А по поводу bcfilter.sys...

У меня нормально работает, от второй версии только положительные эмоции.

Dimitr1s

Вот как раз LSASS (справочный монитор безопасности) останавливать не стоит. Он ничего лишнего не делает, а пользы от него много.

А ядру и не надо CRC считать - за него это NTLDR при запуске делает, и считает он не CRC, а SHA-1 хэш, по нему и проверяет его исправность.

И правильно, зачем какому-то Kerberos V5 пароли проверять. Мы их открытым текстом по сети пошлём, пусть читают.

Да и Winlogon штука не нужная... Он в играх не используется.

Victor_VG

Цитата:

Вот как раз LSASS (справочный монитор безопасности) останавливать не стоит.

Я писал про "Службы IPSEC", которая держит открытый порт. А про "Диспетчер учётных записей безопасности", "Защищённое хранилище" (тот же lsass.exe), я слова не говорил.
Цитата:

Да и Winlogon штука не нужная... Он в играх не используется.

Winlogon штука очень нужная, только в сети ему делать нечего. Я ни останавливать ни удалять ни чего ни призываю, скорее на оборот. А по существу темы: открывать системно на одиночной машине 135, 137 - 139, 445, 1900 порты, посоветовать можно только врагу.

Лан, откатываюсь на первую версию. Роднее она как-то. Тут таблицы чумовые какие-то.

Dimitr1s

Если "замкнуть" соединение на собственный IP, то пакеты не передаются в передатчик, а пересылаются внутри карты из буфера передачи в буфер приёма. Так, что всё будет нормально если разработчики сетевого процессора не напортачили. Это стандартный режим работы карт. Он обязан присутствовать в устройстве по стандарту CCITT X.150. За его не реализацию разработчика по головке не погладят.

Victor_VG
Фаервол может вылететь, глюкануть, не стартовать по каким либо причинам и ещё тысяча вариантов и машина окажется "голой", так что без необходимости их использования, все ненужные порты должны быть закрыты системно, особенно о которых шла речь выше. Спецификации и теории это одно - реальность это другое.

Dimitr1s
нубский вопрос: как "системно" закрыть порты?
(извиняюсь что встреваю в вашу дискуссию)

realister12


Как раз всё верно, это не просто интересно, а важно всем.

Dimitr1s

Конечно можно отключить демоны (службы), но мне кажется это не выход. Я вижу иной вариант: используем в качестве датчика некий процесс-контроллер. Какой не важно, а так как нам важен тот факт, что фиксируется событие открытия недопустимого порта, то его задача тривиально проста - с минимальной задержкой во времени запустить защиту. Реализуемо это и средствами системы - есть такая возможность у SCM как перезапуск аварийно завершившихся демонов. С драйверами дело несколько сложнее, но не критично. Написать соответствующую программу-датчик можно используя либо C, FORT либо ... NSIS. И на последнем это сделать много проще - его язык подобен C, но у него есть куча инструментов которые не сложно приспособить для данной задачи. Просто наш датчик будет сидеть резидентом и ждать события "остановка драйвера". Если в системе инициирован процесс перезапуска/выключения - не делаем ничего, иначе перезапускаем драйвер(а). Поскольку можно "дать" датчику приоритет реального времени он сработает всегда, и важно правильно выбрать интервал опроса, например несколько секунд. Думаю остальное понятно... Проще всего "состряпать" данный "костыль" средствами NSIS + nnCron...

realister12
Есть отличная штука wwdc, закрывает все опасные порты, при этом все важные для работы системы службы, остаются работать. Могу написать как сделать вручную, но эта утилита очень чисто работает, без ошибок.
Victor_VG

Цитата:

Конечно можно отключить демоны (службы), но мне кажется это не выход.

Нет я повторюсь, у меня при всех закрытых портах, все важные для работы системы службы работают (тот же DCOM, RPC и т.д.), в принципе без дополнительных изобретений, для тонкой настройки вполне хватает gpedit.msc, она рулит, а временами так просто педалит. А по поводу служб, согласитесь, многие кроме как абсолютно не нужны, для домашней машины, так и не безопасны просто (типа: NetBIOS через TCP/IP, PnP-устройства, SSDP и т.п. Я не говорю про Удалённый реестр и ему подобные их сам Билли по умолчанию отключил.). Их да останавливать и не мучатся.

Dimitr1s

Не всё так просто, иные программы так не работают, а "сам Билли" человек, и будем честны, по образованию и способу мышления он экономист, по призванию бизнесмен, а в вычислительных системах разбирается как любой начальник - "Стоит, работает, прибыль приносит. Достаточно.", поэтому при всех его человеческих качествах в профессиональной области он для меня не авторитет, и могу точно сказать, что 99% этих советов относятся к так называемой "базовой конфигурации" - это когда всё вроде запускается, а что бы работать надо кошелёк доставать, и не пустой. А что касается данной утилиты, то я знаком с последствиями её работы, и мне они не нравятся. Именно как профессионалу. Лучше уж я на коленке микро-CISCO в сортире спаяю, ей-ей, толку больше будет чем от неё. И последующие затраты на "спасателей" данных под предводительством того же дяди Билли будут на несколько порядков ниже.. Ладно, я курить и займусь второй машиной - надо там FreeBSD ставить - винты сменил, пустые... Советы "гениальной" утилиты у меня "Включить службу Messenger и общайтесь с любым дураком которому этого захочется". Насмешили, аж сигареты уронил с балкона. Пришлось за новой пачкой вертаться.

А как отключить контроль реестра? А то у мну всё виснет, когда показывается окошко с доступом к реестру (((

parovoZZ
В Контроле процессов (Process Attack Table), создаёшь правило, выбираешь Событие -> "Запись в критические ключи реестра" ("critical registry modification"), ставишь Разрешить, поднимаешь на самый верх таблицы. А вообще не дело конечно, поставь на чистую систему или удали конфликтные приложения, виснуть не должно ни чего.

Уже больше года пользуюсь 1.0.1.61. За весь период никаких проблем в работе замечено не было. Есть ли смысл переходить на 2-ю версию? Или, кроме как, более удобного интерфейса ничего не изменилось?
PS Win XP

Цитата:

Или, кроме как, более удобного интерфейса ничего не изменилось?

Мне например он не кажется более удобным, т.к. привык к раннему, коим и пользуюсь.

IDentify, да и к тому же, как я понял, двойка пока еще сыровата.

forser

Переходи, но иные правила придётся переписать. У меня с 2-й никаких проблем нет. Единственное, что приходиться учитывать, это то, что новичкам не знающим тонкостей сетевых протоколов её рекомендовать не стоит. Я своим друзьям так и отвечаю - тем кто хорошо разбирается в сетях - советую Jetico V2, а остальным бесплатный вариант Online Armor. Т.е. ориентируюсь на уровень знаний и умений пользователя. У меня стоит 2.0.1.5 - никаких проблем нет. А все проблемы что я сейчас наблюдаю вызваны исключительно старым оборудованием - на новое пока просто нет денег, приходится чинить то что есть.

Victor_VG

Цитата:

Переходи, но иные правила придётся переписать.

Помнится, первые мнения касательно совместимости 2-й и 1-й версий, говорят о том, что конфиг от 1-й не подходит к 2-й версии. Я так понимаю, его придется переписывать заново... Или предусмотрен какой-то импорт?

Цитата:

А все проблемы что я сейчас наблюдаю вызваны исключительно старым оборудованием

Не совсем понял, что сие значит. Какя взаимосвязь между железом (пусть и старым) и софтом?..

Victor_VG, спрашивая стоит ли переходить, я в первую очередь имел в виду преимущества 2-й версии по сравнению с 1-й. Если кардинальных изменений нет, то и затевать переход на двойку не имеет смысла... имхо...

forser
И изменения и преимущества есть, написаны прямо на сайте разработчиков: New features in Jetico Personal Firewall v.2.

forser

Коли "железо" сбоит, то проблем вылезает много. Причём там, где раньше их и не было. Так что связь тут однозначная. Хотя иногда и не совсем очевидная. Во всяком случае для большинства пользователей.

Victor_VG
Ещё добавить можно, что после части последних обнов от MS, много софта стало работать "не так как раньше", есть подозрения, что у появившихся "фризов" на часть EXE'шников от сюда ноги растут. Хотя разрабов Jetico попинать то же можно, должны следить.

Dimitr1s

Цитата:

Коли "железо" сбоит, то проблем вылезает много.

С конфликтом и т.н. "несовместимостью" железа, еще, пожалуй, соглашусь. А с тем, что железо может, т.с., сбоить, хм..., как-то вызывает сомнение... Возможно, это из-за того, что я просто с этим не сталкивался... Спорить не буду...

Dimitr1s, спасибо, вцелом понятно...

А как насчет импорта конфига от первой версии? Или это не предусмотрено и придется его заново настраивать?

forser
Импорта конфига с первой версии нет, т.к. много изменений, придётся заново создавать.

forser

Может, и не плохо. Особенно винты. У меня из пяти хардов два "висят" на IDE, два на SATA (RAID1) и один на SCSI RAID. А он похоже не очень-то "хочет" работать на COMPAQ RAID, и приводит к сбоям всей дисковой подсистемы в целом. Вероятно, я его сниму - 18 Гб особой "погоды" мне не делают - там только FTP/Web, но их я свободно могу перенести и на вторую машину. Даже лучше будет им под FreeBSD.

Victor_VG

Цитата:

Может, и не плохо.

Даже наоборот - очень хорошо... Но, ессно, не буду загадывать и даже сплюну три раза...

Цитата:

Особенно винты.

Ну, эт отдельный разговор... Винты, CD-ROM`ы, дисководы и пр. комплектующие имеющие механические элементы... их ресурс, к сожалению, не вечен...
Ладно, не буду офтопить, а то уже лезу в совсем другие, т.с., "железные" дебри...

А с переходом на 2-ю Джетику, думаю, повременю... Единственное кардинальное отличие, как я понял, - это возможность ее работы в качестве службы. Но, для меня это не актуально. Остальных принципиальных преимуществ не заметил... Да и, если честно, неохота заново конфиг переделывать...

Хм.. вы это видели?! Firewalls' ratings
Всегда же был в лидерах ... А теперь курит? Странно...

TeeHa1F

Цитата:

Хм.. вы это видели?! Firewalls' ratings

Да после того, как у них Online Armor (FREE) в лидерах оказался , кроме как с улыбкой ихние рейтинги воспринимать нельзя. Пусть, как говорится: "Наблюдают дальше".
P.S. Да ещё Outpost 2008 лидер, пусть себе не для своих же тестов, а на рабочие машины эти фаерволы поставят .

Хм... А еще странно что в тесте не участвовала первая версия...

А никто не желает протестить то что он не прошёл...
Ради интереса... Спецы есть? =)