» Jetico Personal Firewall

Проинформирую на всякий случай общественность: Джетика некорректно работает с KIS 2009 (8.0.0.454) (с KAV 2009, скорее всего, тоже, но не проверял) - Джетика, похоже, валит сетевой драйвер продуктов KL 8-й линейки (при этом, не сразу), в результате чего перестаёт функционировать монитор трафика касперского (Веб-антивирус, почтовый антивирус и т.д.). Чтобы тут не расписывать по второму разу проблему, даю ссылку на тему форума KL, где я этот вопрос поднял:
http://forum.kaspersky.com/index.php?showtopic=87718
С KIS 7 (7.0.1.325 c.d.e) такой проблемы не наблюдается.

VN8

Цитата:

Проинформирую на всякий случай общественность: Джетика некорректно работает с KIS 2009

Я Вас об этом, не далее как три страницы назад, проинформировал. Т.к. пробую этот KAV с ранних альфа-версий.

Цитата:

...даю ссылку на тему форума KL...

ИМХО На том форуме, если возраст перевалил за 12-13 лет, полезного вряд ли, что то можно почерпнуть.

Dimitr1s

Цитата:

Я Вас об этом, не далее как три страницы назад, проинформировал. Т.к. пробую этот KAV с ранних альфа-версий.

Да я помню, просто, во-первых, поначалу я проблем не замечал, т.к. локальный проксик Каспера отваливается не сразу, а через какое-то время после старта Каспера, и до этого момента всё работает тип-топ, а, во-вторых:

Цитата:

На одной, при нагрузке возникал "не правильный" трафик, путались пакеты (похоже на Ваш случай), отображались UDP пакеты (которых не было) и т.д. На другой всё вроде бы ни чего, но Джетика при нагрузке регулярно падала, без причин.

это всё-таки, ИМХО, немного не то, что происходило у меня, хотя, в целом, Вы безусловно были правы - у Каспера 8-й линейки с Джетикой есть проблемы.

Есть один вопрос. Кто-нибудь юзает пиринговые клиенты Direct Connect, в частности, StrongDC++? Просто, обнаружил тут, что пока в таблице IP не создать разрешающего правила на входящие пакеты по портам, которые указаны в настройках клиента для прослушки, невозможно получить список расшаренных файлов с интересующей машины, т.к. все входящие пакеты на эти порты блокируются предустановленным в IP-таблице правилом "Block All not Processed Protocol Packets". Это так и должно быть? ИМХО, как то жирно в данной таблице создавать отдельные правила для отдельно взятого приложения. На оффоруме Jetico нашёл только вот такую таблицу для DC:

Ни о каких других правилах там не упоминается.

VN8

Цитата:

...пока в таблице IP не создать разрешающего правила на входящие пакеты по портам... ...все входящие пакеты на эти порты блокируются предустановленным в IP-таблице правилом "Block All not Processed Protocol Packets". Это так и должно быть?

Не должно конечно, но есть. Stateful Inspection в Джетике недоделанная и работает подчас не так как надо, или вообще не работает. Я пиринговые клиенты не пользовал никогда, но мне кажется, это из той же песни. Взять к примеру активный режим по FTP, при имеющимся правиле для приложения: входящие - с 20 порта - разрешить, всё равно все эти пакеты режутся в IP Table, пока тут (в IP Table) не создать отдельное, аналогичное разрешающее правило, дальше ещё веселее, после создания в IP Table правила (входящее - с 20 порта - разрешить) пакеты к приложению идут не через него напрямую, а начинает работать Stateful Inspection и всё идёт своим чередом .
Цитата:

...как то жирно в данной таблице создавать отдельные правила для отдельно взятого приложения

Жирно конечно и не приятно, но пока, на некоторые входящие, видимо придётся так и поступать. К слову сказать, при таком раскладе, порты, для не ожидаемых пакетов с наружи, не видятся открытыми, хоть и криво но Stateful таким образом работает.

Ясно. Касательно опять же StrongDC++, как то можно в Джетике указать протокол TLS? А то я что-то не нахожу данного протокола в списках Джетики.

Задам ещё пару вопросов.
Первый касается настройки DHCP. Настроить то я его вроде настроил, но как-то выглядит это всё не по "классической" схеме: ответ почему-то приходит не от DHCP-сервера, как должно бы быть, а с адреса шлюза, и пока svchost.exe не разрешить получать входящие UDP пакеты на 68-й порт с адреса шлюза, машина к сети не коннектится. Адрес DHCP-сервера вообще в логах не наблюдается. Это нормально?
Второй вопрос касается разрешений для процесса System. Пока у меня стоял KIS 2009, для System приходилось разрешать сообщение по 1110-порту, с переходом на KIS 7 запросы от System по этому порту почему-то пропали, сообщение по порту 19780 я в расчёт не беру, т.к. оно, вроде, безболезненно, без последствий может быть заблокировано. Так вот, с переходом на KIS 7 на текущий момент у меня заблокирована вся сетевая активность для System. Насколько это правильно или стоит разрешить для System какие-то соединения? Пока в логах наблюдаю только отправку UDP-пакетов на 137 и 138 порты и исходящее соединение на порт 19780.

День добрый!
Провёл эксперимент на Leaktest сайта www.pcflank.com и выяснил что при отключенном контроле за "Косвенным доступом" в сеть, Jetica его "заваливает". XenoZ, при включении контроля косвенного доступа, вылетает запрос типа: "приложение PCFlankLeaktest.exe пытается ... используя explorer.exe" и естессно при создании запрещающего правила блокируется и explorer, но утечки данных нет. Видимо всё-таки для максимальной защиты за "Косвенным доступом" надо следить!

zye

Цитата:

Process attack и Indirect access отключены - поставил отдельный HIPS-монитор (к-рый, кстати, работает гораздо четче).

И блочит только то, что нужно, т.е. саму попытку, а не ее последствия.

VN8

Цитата:

...как то можно в Джетике указать протокол TLS?

Для TLS (Transport Layer Security) указывать нужно только порты, т.к. работает он поверх транпортных протоколов (того же TCP), какие для StrongDC++ - Вам виднее. К тому же соединение по TLS, потребует установку сертификатов, скорее всего (я вообще сомневаюсь, что в StrongDC++, это нормально будет работать).

Цитата:

...настройки DHCP

Если коротко, то для XP/Vista - достаточно правила для svchost.exe:
Действие Протокол Событие Приложение Удалённый адрес Локальный порт Удалённый порт

Dimitr1s

Цитата:

Если коротко, то для XP/Vista - достаточно правила для svchost.exe:
Действие Протокол Событие Приложение Удалённый адрес Локальный порт Удалённый порт

VN8

Цитата:

Если везде указать только широковещательные адреса, то конечно всё будет работать...

Про "везде" я ни слова ни когда не писал, а касаемо правила DHCP, как Вы собираетесь его ужесточить? Если IP действительно динамический, и для его получения используется DHCP сервер, процесс выглядит примерно так: с Вашей машины должен уйти широковещательный запрос DHCPDISCOVER (тот самый 255.255.255.255), в качестве Вашего IP адреса стоит 0.0.0.0 (т.к. его нет пока, ну и MAC-адрес само собой). Опять же много нюансов, сколько DHCP серверов, где они, как часто меняются их IP (если они вообше статические). Отсюда и рекомендация такая по этому правилу.

XenoZ, если не секрет, какой "HIPS-монитор" используешь?

Создаю новую политику на основе "Запретить все".
Таблица "Сеть": Запретить все. Уровень лога - Отладка.
Таблицы "Приложение", "Контроль процессов" и "Контрольные суммы": Действие Спросить. Уровень лога - отладка.

Делаю nslookup - проявило активность приложение System. разрешил его. Но все-равно nslookup не отрабатывает. В логи ничего не добавляется.
Куда смотреть?

stlaus

Цитата:

Куда смотреть?

Для nslookup нужно два правила:
Действие Протокол Событие Приложение Удалённый адрес Удалённый порт

06-November-2008 |v.2.0.2.7 update
Changelog:
Italian translation created by Keltoi and Tom.
Japanese translation updated.

Хм... Не густо.

Dimitr1s

Да, я и сам надеялся на большее. Ты не глянул: бинарка доработана или глюки остались "на завтра"?

Victor_VG

Цитата:

Ты не глянул: бинарка доработана или глюки остались "на завтра"?

Сравнивать не с чем, т.к. предшествующий дистрибутив удалил, за ненадобностью. Думаю, только подпись изменили, иначе написали бы обязательно. Пробовать "новинку" не буду, v.2.0.2.6 всем пока устраивает (на редкость стабильная получилась у них).

Dimitr1s

Понял. Самому именно 26-я пришлась по душе. Про 27-ю глянул отзывы, пробовать не стал.

Dimitr1s
Victor_VG
Что за глюки 27-ки, подскажите? У меня, вроде всё работает!

zye
Выше писал уже. При запуске приложений, для которых Контрольная сумма уже подсчитана, выдаётся, что хеш равен - 0000000000000000000000000000000000000000:

Глюком назвать это, мягко будет, правильней наверно - драйвер сломан.
Если подсчёт хеша отключён, то тогда - "вроде всё работает".
Второе: новая нерабочая фича critical system object modification (сродни записи в критические ключи реестра, что тут, что там, ни редактировать список, ни добавить своё значение - не получится), упорно пыталась доказать мне, что критических системных объектов у меня всего два - win.ini и desktop.ini, улыбнуло.
Если Контроль процессов выключен, то и этого, соответственно, не заметно.
Может в "v.2.0.2.7 update" что и поправили, не пробовал (потому что сильно сомневаюсь, что поправили, а время дорого).

Помогите настроить Jetico на корректную работу пожалуйста. Я в файрволлах вообще ничего не смыслю.
1. При включенном файрволле неподключается интернет (ADSL), хотя при установке в мастере конфигурации ADSL был указан как доверенная сеть. При отключении Jetico все подключается.
2. Jetico просто затерроризировал меня запросами о uTorrent. Я и "разрешить навсегда" тыкал, и "шаблон P2P", и даже правило попытался создать, чтобы вообще вопросов об uTorrent у файрволла не возникало - не помогает, спрашивает о каждом ip-адресе, с которого у меня происходит закачка, или которому я раздаю.
3. Если подключить интернет с отключенным Jetico, а затем включить сам файрволл, интернет разрывается.
4. Не подключается к серверу QIP при включенном Jetico.

P.S. Jetico Personal Firewall v2.0.2.7

Altalion
Jetico не годится для начинающих пользователей. Я бы рекомендовал что-нить попроще.

Altalion

Всё работает, да вот надо знать с какого конца редьку есть. GQ полностью прав:

1) Вам стоит использовать что попроще, например Online Armor, Агнитум или им подобный полуавтомат - у них проще управление чем у Jetico/Commodo;
2) Если и ставить Jetico, то версию 2.0.2.6 - в ней ещё не успели наделать столько ошибок как в 2.0.2.7;
3) uTorrent-у правило определяется не шаблоном P2P клиент, а иным набором правил в такой последовательности сверху вниз таблицы (у меня работает):

Таблица Событие Приложение Протокол Действие

Лучше прислушаюсь к вашему совету, и поставлю что-нибудь попроще. Кстати, что можете порекомендовать? Основные критерии: русскоязычность (желательно не корявая, знаю есть проблемы у некоторых файрвоолов) и хорошая реакция на попытки софта проверить лицензионность в интернете. Я как-то глянул в настройки файрволла KIS, и офигел, он оказывается вообще без спроса насоздавал разрешающих правил для ломанного софта.

Altalion

Жёстко блокируют только Commodo/Jetico. Остальные "чудят" кто во что горазд. Агнитум из них в первой тройке, даром что русский. Потому стоит хорошенько настроить Jetico или на худой конец поставить Conmmodo 2.4 - к нему есть официальный русификатор, и он просто так в сеть никого не пустит. Ну и тема по настройкам. Но, эти "стенки" не для новичков. Обе рассчитаны на профессионалов. Потому - хотите надёжность - лучше них никого не нашёл, естественно для Win. На UNIX свои особенности и инструменты.

GQ

Цитата:

Jetico не годится для начинающих пользователей. Я бы рекомендовал что-нить попроще.

Тема актуальная, а ведь, по большому счёту, порекомендовать из нынешнего и нечего... Если только KIS 6.0.2.621 (пока поддерживается), просто и сравнительно надёжно, хотя свои тараканы и у него водятся.
Altalion

Цитата:

При включенном файрволле неподключается интернет... Если подключить интернет с отключенным Jetico, а затем включить сам файрволл, интернет разрывается.

В Jetico, очень удобная и информативная система логов, если включить логи в запрещающих правилах в Таблице IP и в таблице Сеть, при включении сети будет видно, какие соединения блокируются, немного размыслить и создать соответствующие разрешающие правила. Так же обратить внимание на правила для сервиса svchost.exe, если есть запрещающие правила, поступить см. выше.

Цитата:

Jetico просто затерроризировал меня запросами о uTorrent.

Прежде чем разбираться с фаерволлом, всем любителям P2P-клиентов нужно разобраться с самой программой и знать точно, что нужно для нормального её функционала, потом уже правила "копать".
Цитата:

...спрашивает о каждом ip-адресе, с которого у меня происходит закачка, или которому я раздаю.

IP-адреса убрать из правил и оставить порты, по которым работает uTorrent.

Цитата:

Не подключается к серверу QIP при включенном Jetico.

Судя по всему, используется QIP Infium.
Так радуйся, значит твои пароли и переписка ещё принадлежат тебе, а не Ильхаму (© INF). Отключи в настройках QIP'а - Хранить данные на сервере (не на AOL'овском, их в QIP не отключить, а на том который INF'а), и QIP должен нормально работать по правилам:
Действие Протокол Событие Приложение Удалённый адрес Удалённый порт

Altalion

Цитата:

Я как-то глянул в настройки файрволла KIS, и офигел, он оказывается вообще без спроса насоздавал разрешающих правил для ломанного софта.

Восьмой КИС, в принципе, очень неплох, но надо обязательно в нём отключать "режим блондинки", а также для группы Доверенные заменить разрешающие правила на запрашивающие. Тогда всё будет нормально, никого без твоего ведома не пропустит.

Спасибо за советы, поставлю Comodo, он у меня стоял (COMODO Firewall Professiolnal v3.0.25.378) до сноса Windows. Напрягает только то, что разработчики все обещают, но никак не доделают официальный русификатор. А так у меня с ним все работало, программы использовались те же, с которыми были проблемы у Jetico (хотя вернее были проблемы с прямотой моих рук конечно)), которго уже удалил, не по зубам оказался)

Dimitr1s
Установлен QIP., не Infium.

Offtop: если уж нужна функциональность Infium'а, стоит использовать Миранду (ей и пользуюсь, QIP - для сестренки).

Dimitr1s
Это какой фильтр выдаёт у тебя такие вопросы? У меня запрос (с информацией о хеше) фильтром "Контрольные суммы" выдаётся один раз (первый). На всех остальных "окошках" информации о хеше нет.

zye

Цитата:

Это какой фильтр выдаёт у тебя такие вопросы?

Контрольные суммы и выдаёт, какой же ещё и не у меня одного, они знают об этом баге, однако в Changelog'е тишина по этому поводу.

Altalion

Цитата:

Установлен QIP., не Infium.

Обычному QIP'у одного правила достаточно исходяшее -> сервера ICQ:5190, если мне память не изменяет, ну коли удалил уже сабж, то и ладно.
off: Справедливости ради, это Infium пытается использовать функционал Миранды, а не наоборот.

Dimitr1s

С uTorrent я дал свои рабочие правила, И именно потому, что при стандартных (по умолчанию) настройках программа использует случайные порты из диапазона портов, проверка портов в них отключена. Просто у меня система стоит за каскадом брандмауэров, да и uTorrentом я пользуюсь настолько редко, что настраивать его не вижу смыла, равно как и создавать более жёсткие правила для его контроля.