» Jetico Personal Firewall

Изменилась сама система тестирования.
Теперь не только leak тесты, но и убийство процесса разными способами и попытки сделать то, что не придусмотренно(а соответственно потенциаяльно опасно). И ввели систему деления на уровни(видимо по уровням угрозы). Если фаер проходит больше 50% в каждом уровне - то он тестируется дальше. Меньше 50% - дальше не идёт.
Джетико валит все тесты на убийство процесса, поэтому на 3-ей уровне он выбывает из тестирования, набрав только 29%, хотя лик-тесты на этих уровнях он проходит все.
Так что тест стал более объективным, чем просто набор лик-тестов

Klajnor
Цитата:

Так что тест стал более объективным, чем просто набор лик-тестов

Зато с "участниками", не пойми что, System Safety и ProSecurity на сетевом/пакетном уровне не работают и с Jetico, ИМХО, сравнивать не корректно. Как их в реальности использовать не понятно, т.к. с любыми известными антивирусами и пакетными фаерволами, имеющими свою проактивку, конфликты будут неизбежны. Да и кому надо ещё кучу драйверов работающих на низком уровне? А для игрушки стоят они очень прилично. Online Armor (FREE), не знаю чего он там у них прошёл, но с Jetico его сравнивать как минимум смешно.
Цитата:

Джетико валит все тесты на убийство процесса

На персональных машинах, (а Jetico и есть чисто персональный фаер) нас убийство процесса вообще ни как волновать не должно, это пусть беспокоит владельцев серверов и машин с удалённым администрированием, а у них другие и решения и цены. ИМХО конкурентов нет пока .

Klajnor

Да это легко правится. Берём nnCron, пишем простую cron-задачу перезапускающую процессы брэндмауера если он неожиданно завершился и всё. Я сам так не раз делал. Банальная задачка. Пример ниже:

Код: #( JPFP_servis_restart
WatchProcStop: "jpfsrv.exe"
Rule: PROC-EXIST: "jpfsrv.exe" NOT
Action:
StartIn: "C:\Program Files\Jetico\Jetico Personal Firewall"
SWHide NormalPriority
AsService
START-APP: C:\Program Files\Jetico\Jetico Personal Firewall\jpfsrv.exe
)#
#( JPFP_restart
NoLog
AsLoggedUser
WatchProcStop: "jpf.exe"
Rule: PROC-EXIST: "jpfsrv.exe"
Action:
StartIn: "C:\Program Files\Jetico\Jetico Personal Firewall"
ShowNormal NormalPriority
START-APP: C:\Program Files\Jetico\Jetico Personal Firewall\jpf.exe
)#

Victor_VG

Цитата:

и немного внимательности!

Всмысле? А если меня за компом сутками нет, а он в OnLine?!

TeeHa1F

Пути и формат Cron-задачи. Если ошибёшься, то не сработает. Надеюсь понятно. Я встречался с ошибками при их записи. Потом долго причины искали - а в cron-таб не смотрели.

Ну nnCron проще своего предка(CronTab). Гуёвый интерфейс позволяет такие задачи вводить довольно быстро и практически без знания формата задач. А при сохранении задачи он предупредит, если путь неверный

Klajnor

Естественно. Но, все мы люди, а людям свойственно ошибаться. Потому и пришлось напомнить о внимательности - поскольку наверное не менее 90% - 95% людей просто скопируют код задач в cron.tab в режиме его редактирования и даже не обратят внимания на пути. Не раз с этим встречался.

Вышла свеженькая v.2.0.2.1, будем пробовать.

Судя по этому

Цитата:

New process attack evens added:
* "control process" produced when an application requests access rights that will allow it to terminate suspend or crash another application;
* "control system services" produced when an application requests access to Service Control Manager.
By monitoring these events Jetico Personal Firewall can effectively defeat attacks modeled by kill, crash, suspend and system shutdown simulator tests.

основные изменения как раз коснулись системы собственной защиты фаервола, так сказать оптимизировали под прохождение тестирования. Видно результаты последнего тестирования их задели. Довольно оперативно доработали.
Ну а остальное мелкие баг-фиксы и улучшение групповых политик.

Dimitr1s
4hex

Судим по пресс-релизам? А я вот подумал, подумал и поставил как обновление на 2.0.1.5. Правда предварительно сделал его резервную копию. Встал, настройки импортировал сам, в новую таблицу. Старая таблица сохранилась. Для упрощения работы перетащил из неё в новую часть ранее созданных правил, накопившийся "мусор" удалил вместе со старой таблицей. Первые впечатления: скорость реакции пакета увеличилась, время запуска программ сократилось, любые обращения к SCM (Service Control Manager (Контроллер Служб и Драйверов, оболочка - services.exe)) и косвенные вызовы программ и отдельных процессов отслеживаются чётко, сеть работает надёжно. Кроме того мне понравилась увеличившаяся точность вывода информации о косвенных вызовах программ и их взаимодействии - раньше такого не было. Загрузка процессора не превышала 1,56% (по данным журнала Sysinternals Process Explorer 11.13) даже во время DDoS атаки сопровождавшейся сериями попыток найти уязвимый порт для установки rootkit-клиента сразу по трём сетевым интерфейсам ("шуточки" местных 10 - 12 летних "ИТ-безопасников" (поймаю - уши надеру) - внезапная проверка конкретной подсети или машины на надёжность защиты и электропрочность оборудования - могут и ~220V в сеть подать - "мы играем"). Предельное использование ОЗУ не превысило 7132 Кб. В предыдущей версии в подобной ситуации пиковое использование ОЗУ достигало 9873 Кб. На основе новых отчётов стало легче принять решение по созданию правил в период обучения. Мои личные первые впечатления после 6 часов испытаний - положительные. Буду смотреть дальше.

Замеченные особенности настройки (?) (раньше я так не делал) - не во всех таблицах возможно групповое перетаскивание правил из старых таблиц методом "Dran&Drop". В таблицах "Косвенный доступ в сеть" правила можно перетаскивать по одному, а в таблицах "Доступ в сеть" - группой, исключение составило правило для ядра системы system - при его попадании в группу выбранных правил операция перетаскивания блокировалась - приёмник становился не доступен.

Victor_VG

Цитата:

Судим по пресс-релизам?

Я сразу, как появилась, поставил. (теперь вот на триале пока ) А я при переустановке самым простым способом пользуюсь: при работе Wizard'а отказываюсь ото всего и вся, а когда установщик просит перезагрузку, заменяю jpfconfig.xml на ранее сохранённый. Плюсы: не создаётся, ни чего лишнего и после ребута не нарываемся на кучу балунов. Первые впечатления то же самые хорошие, на SP3 встала как влитая (Jetico - или влитое), ни каких глюков/багов не замечено. Добавлю: у меня новый мониторинг, заблочил при старте системы загрузку двух служб, интеловских датчиков и звуковой драйвер, как совет пройтись по всем загружаемым с системой службам и заранее создать исключения путём вкл/выкл. К сожалению: часть больших exe'шников по прежнему на долго "замерзают". А так молодцы разрабы, в своей категории впереди всех.

Dimitr1s

Ну, тогда мои извинения тебя за неверную оценку твоего сообщения.

У меня самым большими "тормозоми" является Dreamweaver 9. Сейчас могу отметить факт - время запуска сократилось (с HTML файлом содержащим 50 JavaScript, длинна файла 3,9 Мб - тестовый файл форума для осуществляемой сейчас разработки) с 197 секунд до 62 секунд, GIMP 2.45 с набором плугинов и графическим файлом формата А4 полученным со сканера с разрешением 600 dpi размером около 131 Мб - время запуска снизилось с 98 секунд до 43 секунд, Inkscape 0.46 запускается сама за 14 секунд сейчас, вместо 27 секунд раньше. В качестве измерительного средства использовался спортивный секундомер. Оценочная точность полученных измерений ±1 секунда. Второй причиной замедления запуска является антивирусная проверка исполняемого кода при запуске программ и загрузке объектов.

Victor_VG
У меня не тормозят, фризятся просто секунд на 10-15, причём только из пака Adobe Photoshop CS3, я уже всё что можно перепробовал, как со стороны Jetico так и с другой, ни чего не помогает, только полный uninstall Jetico. Видно драйвер "держит" где то, потому что бред ситуации такой: даже если запущены фотошоп и бридж, открываю из бриджа изображение в фотошоп - тот же фриз 10-15 секунд. Обидно, единственная проблема, я уж и им писал, молчат как партизаны . А вот другая проблема, с фризом при открытии видеофайлов, ушла с этой версией.
Цитата:

Кроме того мне понравилась увеличившаяся точность вывода информации о косвенных вызовах программ и их взаимодействии - раньше такого не было.

Если Вы про балуны, мне не нравятся что то по умолчанию, ни информативность, ни перевод. Я переделал сразу, стали вроде того: 1, 2, 3, всё по лучше. Ещё заметил в этой версии: стала чувствительней к размеру журнала, в связке KAV8 - FF3, при логировании по HTTP, при размере 1024 Кб, вылетала с ошибкой , пока не увеличил.

Dimitr1s

По твоему совету увеличил лог. Поставил 2 Мб. Посмотрим. Да, я про диалоги выбора. К переводу не придираюсь - средств контроля у меня достаточно, главное запросы информативнее. Для меня это важнее. Я и не такого насмотрелся. Здесь хоть не приходится гадать "А что тебе хотели сказать?".

Подскажите в Jetico есть параметр доверительные приложения?Хочу все игры туда внести чтобы он их вообще не обрабатывал.

fen77796
В Контроле процессов, создаёшь новое правило, в качестве Источника угрозы выбираешь путь до exe'шника игры, там же выбираешь Событие и проставляешь все галки, ставишь разрешить. По аналогии, то же самое в Контрольные суммы.

Dimitr1s
Проблема с сетевыми играми,вот я и хочу что бы firewall не контролировал сетевую активность игр.

fen77796
Всё то же самое, только идёшь в Сетевую активность, создаёшь Правило для приложений, ставишь галку в Приложение, в открывшемся окне, указываешь пути к exe'шникам игрушек, в Событие - ничего не ставишь, оставляешь неактивным, выбираешь разрешить, ставишь это правило на верх этой таблицы. Потом проверь разрешения для них, в Доступ к сети и Косвенный доступ к сети. А вообще полный доступ к сети, тем более игрушкам, есть очень не гуд, проще уделить пол часа и настроить соединения для каждой отдельно, по дозволенным (нужным ей) портам и адресам.

Dimitr1s
Все правильно говоришь,у меня все это настроено.
Но приходится отключать во время игры фрагментированные пакеты и разрешать ICMP вход и исход,иначе играть невозможно.

fen77796

Цитата:

Но приходится отключать во время игры фрагментированные пакеты и разрешать ICMP вход и исход,иначе играть невозможно.

На счёт ICMP, они и должны быть разрешены, иначе ни как, создай в Таблице IP пять правил: 1) Исходящий пакет - Протокол ICMP - Тип/код 8 2)3)4) Входящий пакет - Протокол ICMP - Тип/коды - соответственно 0, 3, 11 5) Последним правилом запрети все остальные ICMP Протокол ICMP - Запретить. На счёт Фрагментированных пакетов, тут ни чего не поделаешь, если игра требует отключи правило на время игры, потом желательно включать, т.к. режет много атак и флуда. А совсем исключить из проверки, в Jetico нельзя.

Dimitr1s
Все понял,спасибо за помощь

hi!
чо делать??
ситуация: приложение 3d mark2005, fox it reader, alcohol cmd u gpyrue хотят делать indirect access to network. я запрещаю. в итоге джетика (2.0.2) банит все поползновения всех (почти всех) приложений в инет. если закрыть приложение, то банящее правило продолжает срабатывать.
приходится разрешать (((
во так оно выглядит:
2008-05-08 18:11:32 accept foxit reader indirect access to network D:\Program Files\Fox_it_Reader\FoxitReader.exe PID: n/a (PID: 3548 D:\Program Files\Mozilla Firefox\firefox.exe)

adSka
Вот что сами разрабы пишут, по поводу запрета Косвенного доступа:
Цитата:

If you block indirect access to network, it may affect other applications.

, да и к чему его блокировать? Разрешай спокойно. Если тот же Алкоголь заблокировать нужно напрочь, это в Сетевой активности сделать можно, запрещаешь и кидаешь на верх таблицы правило, а ещё лучше создать отдельную таблицу с запрещёнными прогами и поставить ссылку на неё на самый верх в Сетевой активности (это всё при условии, если выше в Приложении и Спросить пользователя нет общих разрешающих правил).

Dimitr1s
Проблема,значок в трее не светится,уже 2 раза переустанавливал,начинает показывать активность только если перезапустить в ручную.

fen77796
Проверь, когда значок не активен: в диспетчере задач - есть ли процессы: jpf.exe, jpfsrv.exe? В свойствах сетевого подключения - есть ли компонент: Jetico Personal Farewall Network Monitor? Запущена ли служба - Jetico Personal Firewall server? Есть ли в автозагрузке (Пуск - Выполнить - msconfig) - jpf? Какое ещё защитное ПО стоит (Антивирус и.т.п.) - стоят ли jpf.exe, jpfsrv.exe там в доверенных? Какие записи в журнале событий, есть ли ошибки?

Dimitr1s
Все сервисы запущены,в свойствах подключения Jetico Personal Farewall Network Monitor есть,Антивирус и.т.п ничего нет,логи чистые,попробую поставить прошлую версию

Кто-нибудь сталкивался с такой проблемой: при обновлении Jetico каждый раз слетает системный драйвер TCP/IP Protocol Driver (TCPIP.SYS), не загружается и говорит, что устройство не подключено или что-то в этом роде. Приходится восстанавливать систему. Пробовал переустанавливать поверх и чистую установку (с полным удалением предыдущей версии Jetico автоматически и вручную), ничего не помогает. Такой глюк появился, когда перешел с 1.0 версии на версию 2.0 и при каждом обновлении такое происходит. Ставил на виртуалку - идет без проблем на той же версии винды. Сравнивал реестр рабочей машины и машины с глюком - драйвера и сервисы одинаковы. Никак не пойму где собака зарыта.

Flip_Flop

1) Проверь правильность его записи в Реестре:

Код: REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"Tag"=dword:00000005
"ImagePath"=hex(2):73,79,73,74,65,6d,33,32,5c,44,52,49,56,45,52,53,5c,74,63,70, 69,70,2e,73,79,73,00
"DisplayName"="TCP/IP Protocol Driver"
"Group"="PNP_TDI"
"DependOnService"=hex(7):49,50,53,65,63,00,00
"DependOnGroup"=hex(7):00
"Description"="TCP/IP Protocol Driver"

1) Единственное отличие в параметре "Tag"=dword:00000003, но думаю дело не в этом.
2) Систему проверял, вычищал всё.
3) Попробую, может действительно поможет, хотя файл создан при установке новый.
Спасибо за подсказку.

И всё таки я думаю дело в реестре. При копировании на место предварительно сохраненного перед установкой файла SYSTEM (из папки %SystemRoot%\system32\config\) всё начинает работать при тех же настройках Jetico.
Сравнивал реестры до и после установки - разница на 300кб текста - найти проблематично.

Flip_Flop

Параметр 'Tag"=dword:00000003 поставь в значение "0" - это означает что у тебя в системе сбиты зависимости драйверов. Одного этого уже достаточно для дальнейших сбоев.