» Jetico Personal Firewall

Приветствую всех!

Обнаружил не очень приятное свойство Jetico 2.0.2.6 - при выключенном (Shutdown) firewall под сильной нагрузкой на TCP - 500 одновременных попыток соединения к localhost, причем к разным процессам - практически все из них терпят неудачу с connection rejected by remote interface. При удаленном Jetico все соединения устанавливаются успешно, и сам процесс выполняется раз в 5 быстрее.
Понятно, что Jetico - персональный firewall и для такой нагрузки не предназначен, плохо, что полностью выгрузить его нельзя.
В драйверах устройств не Plug and Play целых 7(!) драйверов BC*, являющихся составной частью Jetico. Видимо, и в shutdown-mode они все же дают небольшую задержку при TCP-подключении, и на 500 одновременных попытках это становится заметным.

ZEQUALITY

Цитата:

Обнаружил не очень приятное свойство Jetico 2.0.2.6...

Это свойство обнаруживается с момента появления реестра и его имеют все драйвера загружающиеся с правами системы (из ключа: HKLM\SYSTEM\CurrentControlSet\Enum\Root, к примеру), а не только Джетики. Остановка сервиса, через Shutdown, ни чего не даст, все установленные драйверами хуки (на функции, потоки и т.д.) по прежнему "в деле". Тут только: или полное удаление программы, или отдельно (без удаления, но с выгрузкой из авторана), временное удаление ключей драйверов из реестра с ребутом (с последующим восстановлением, с помощью бэкапа), последнее, при ошибке, грозит невозможностью загрузки . Можно ещё попробовать остановить через Диспетчер устройств, тоже чревато не предсказуемыми последствиями.
Цитата:

...практически все из них терпят неудачу с connection rejected by remote interface.

По видимому речь идёт о проблеме с доступом к БД, при нагрузке, тут персональный фаерволл вряд ли какой подойдёт, обратить внимание на серверные или на "железку".

ZEQUALITY

Dimitr1s уже ответил Вам на этот вопрос. От себя добавлю только, что даже на мощных серверах приложений при выгрузке брандмауера его низкоуровневые драйвера обычно остаются активными. И единственное, что может в такой ситуации решить задачу это только исключительно аппаратный брандмауер. Никакой программный комплекс на рабочей станции серверные задачи не решит. И вдобавок могу предположить что у Вас используется не серверная ОС, а модифицированная рабочая станция. И в такой ситуации могу Вас только отослать почитать теорию операционных систем для того, что бы Вы представили себе разницу между сервером приложений, сетевым шлюзом, сервером ресурсов и рабочей станцией. Поверьте, она есть и никакими изменениями внутренних настроек ОС нивелировать принципиальную разницу в их архитектуре физически не удастся. И если Вы применяете не подходящую ОС для решения не свойственных ей задач, то будьте готовы к любым последствиям своего не продуманного решения. Для каждой задачи есть свои инструменты, а забивать железнодорожный костыль в шпалу чайной ложкой... х-м-м... а Вы каким временем на эту работу располагаете?

Описанная Вами ситуация характерна для серверной архитектуры ядра, и пусть Микрософт для увеличения объёма продаж серверов и снизила волевым решением в варианте для рабочей станции число одновременных сетевых подключений до 10, так её TCP/IP стек в принципе рассчитан на предел в 120 - 130 одновременных подключений, а дальше уже наступает его перегрузка и время ответа ядра системы нелинейно возрастает с ростом нагрузки.

Нужна экономичная по ресурсам система с большой нагрузочной способностью для серверных задач? Тогда обратите внимание на семейство BSD UNIX - FreeBSD/NetBSD/OpenBSD/True 64 UNIX и SUN Solaris. LINUX для такой работы не подойдёт - у этой системы своя, иная область применения, и она рассчитана на в только неё, хотя её и пытаются использовать и где можно, и где нельзя и даже вредно - модно, и работает инстинкт толпы - "Так все делают!", а мозги выключаются. Лучший в такой ситуации для Вас вариант - FreeBSD/OpenBSD в режиме без графического интерфейса для экономии ресурсов сервера. Оптимально использование FreeBSD 7.1, но, этот вопрос не для данного раздела, более того, этот вопрос вообще-то не для этого форума, и даже не для форумов вообще, а для прямой консультации с экспертами по серверам приложений и базам данных и системными аналитиками. Но, будьте готовы если Вы так поступите, платить и хорошие деньги за труд тех экспертов высшей квалификации, которые будут в этом случае решать именно Вашу задачу.

[offtopic]
*нервно посмотрел на свои сервера. бедные, они и не знают, что у них должна быть своя, иная область применения*
[/offtopic]

ZEQUALITY
А, кстати, на включенном в режиме AllowAll ? Не получше?

Доброго времени суток!

Dimitr1s

Цитата:

Это свойство обнаруживается с момента появления реестра и его имеют все драйвера загружающиеся с правами системы (из ключа: HKLM\SYSTEM\CurrentControlSet\Enum\Root, к примеру), а не только Джетики.

Почему я удивился - Outpost 3.5 можно отключить подобным образом, и тест в Shutdown-mode он так не замедляет (хотя драйверов поболе, чем у Jetiсo, будет). У меня еще HIPS (RTD) была установлена (уже удалил), так вот, удаление ее из системы практически не оказало влияние на тест по сравнению с ее остановкой. Так что вопрос все равно остается.
Jetico уже переставлял, не помогло - во время теста ПК занимается непонятно чем, при загрузке в 40-60% (причем, практически вся активность - ядра).


Цитата:

Остановка сервиса, через Shutdown, ни чего не даст, все установленные драйверами хуки (на функции, потоки и т.д.) по прежнему "в деле".

Хм, но хуки разве выгрузить нельзя?


Цитата:

Можно ещё попробовать остановить через Диспетчер устройств, тоже чревато не предсказуемыми последствиями.

Пробовал - "Команда неуместна для данной службы"


Цитата:

По видимому речь идёт о проблеме с доступом к БД

Точно - имитировал попытку одновременного доступа к СУБД.


Цитата:

тут персональный фаерволл вряд ли какой подойдёт, обратить внимание на серверные или на "железку".

Да я то же самое и написал Единственная моя претензия - к полноценности shutdown-mode.

Добавлено:
Victor_VG


Цитата:

От себя добавлю только, что даже на мощных серверах приложений при выгрузке брандмауера его низкоуровневые драйвера обычно остаются активными. И единственное, что может в такой ситуации решить задачу это только исключительно аппаратный брандмауер. Никакой программный комплекс на рабочей станции серверные задачи не решит. И вдобавок могу предположить что у Вас используется не серверная ОС, а модифицированная рабочая станция.

Никак нет, обычная XP. C помощью теста имитирую одновременное подключение 500 пользователей к пустой БД через localhost, и в отсутствие firewall все 500 коннектов успешно устанавливаются. Выше я написал, что для Outpost, который существенно тяжелее Jetico, подобной картины не наблюдалось.


Цитата:

Описанная Вами ситуация характерна для серверной архитектуры ядра, и пусть Микрософт для увеличения объёма продаж серверов и снизила волевым решением в варианте для рабочей станции число одновременных сетевых подключений до 10

Как я понимаю, для несерверных Windows ограничение в 10 подключений не распространяется на TCP/IP подключения.


Цитата:

так её TCP/IP стек в принципе рассчитан на предел в 120 - 130 одновременных подключений, а дальше уже наступает его перегрузка и время ответа ядра системы нелинейно возрастает с ростом нагрузки.

Microsoft заявляет о возможности 200 тысяч TCP-подключений - http://msdn.microsoft.com/en-us/library/ms738551(VS.85).aspx (правда, там не указано, о какой версии идет речь). Проблемы у меня начинались при попытке установить несколько тысяч коннектов - подозреваю, из-за количества свободных TCP-портов между 1024 и 5000. Надо будет поиграться с реестром и попробовать еще раз.
Другое дело, одновременная работа этих подключений, но это уже не относится только к TCP.


Цитата:

Нужна экономичная по ресурсам система с большой нагрузочной способностью для серверных задач?

Спасибо, пока нет.


Цитата:

этот вопрос не для данного раздела, более того, этот вопрос вообще-то не для этого форума, и даже не для форумов вообще, а для прямой консультации с экспертами по серверам приложений и базам данных и системными аналитиками.

Я ни одного системного аналитика даже ни разу не встречал Если подобная задача будет поставлена, то в любом случае, решаться она будет не на таком высоком уровне.
К счастью, пока это исключительно дело интереса.

GQ

Цитата:

А, кстати, на включенном в режиме AllowAll ? Не получше?

К сожалению, все то же самое. Такое ощущение, что при Shutdown Jetico переводит все драйвера в режим Allow All, и выгружает сервис и GUI.

Всем спасибо за советы, надо будет посмотреть другие firewall'ы

ZEQUALITY

Цитата:

Почему я удивился - Outpost 3.5 можно отключить подобным образом, и тест в Shutdown-mode он так не замедляет (хотя драйверов поболе, чем у Jetiсo, будет).

Сравнение OP 3.5 и Jetiсo 2.0.0.6 не имеет ни какого смысла, т.к. и характер и количество перехвата событий - несоизмеримо и количество драйверов тут, роли не играет.
Цитата:

У меня еще HIPS (RTD) была установлена (уже удалил), так вот, удаление ее из системы практически не оказало влияние на тест по сравнению с ее остановкой. Так что вопрос все равно остается.

ИМХО ответ мне кажется в том, что и OP 3.5 и HIPS, который был у Вас установлен, не перехватывали/не могли технически сделать перехват функций, используемых в конкретном, выше описанном случае. Иначе, если события проходили бы через установленный хук, разница по любому была бы заметна.
Цитата:

Хм, но хуки разве выгрузить нельзя?

В чём вопрос? Можно ли самому выгрузить или почему не выгружаются драйвера стандартным способом, при Shutdown? Если второй вариант, то такова задумка разрабов и не только Джетики, а всех средств защитного ПО, и другие ведут себя также, идея по видимому в том, что если "вредителю" удастся завершить сервис, драйвера так просто не выгрузить и защита по прежнему будет действовать.
Цитата:

Единственная моя претензия - к полноценности shutdown-mode.

Выше рассмотрели почему так, решение для защитного ПО наверное как раз полноценное.
Цитата:

Всем спасибо за советы, надо будет посмотреть другие firewall'ы

Тут если найти продукт с возможностью выбора и отказа при установке компонентов проактивки, да так, что б абсолютно не был привязан к остальным компонентам (а то какой-нибудь драйвер, да и встанет "по тихому"), но опять же согласитесь, это получится подобие серверного варианта, коих и так в достатке.

Цитата:

January 30, 2009
Jetico Personal Firewall for Windows
v.2.1.0.1 beta with improved stateful packet
inspection module released.

Есть желающие потестить?

XenoZ
Три драйвера различаются только: bcfilter.sys, bc_ngn.sys, bc_ip_f.sys, остальное кроме ЭЦП и даты побайтно совпадает практически. Вкупе с предупреждением:
Please note: replies to broadcast UDP packets are not recognized in JPF 2.1 beta.
я воздержусь пожалуй .

Друзья,
а не сталкивался ли кто с такой проблемой в v.2.0.2.8.2327:

Случайным образом (закономерности пока не выявлены) вдруг обрубается доступ браузеров в сеть при включённой политике "Оптимальная защита". При этом другие соединения (торренты, фтп, качалки) работают.
Перезагрузка браузера/файрволла/правил файрволла не помогает, только reboot (возможно, и log off — пока не проверял).

Настройки для браузера такие:


Код: разрешить    Разрешить обращения по http     TCP/IP    исходящее соединение    C:\Program Files\Opera\opera.exe    1024-5000    1080, 8080, 80    
разрешить    Разрешить обращения по http     TCP/IP    исходящее соединение    C:\Program Files\Opera\opera.exe    1024-65535    21, 990    
разрешить    TCP/IP    исходящее соединение    C:\Program Files\Opera\opera.exe    1024-5000    110, 995, 443    
разрешить    TCP/IP    исходящее соединение    C:\Program Files\Opera\opera.exe    194.67.23.111    1024-5000    25    
разрешить    TCP/IP    исходящее соединение    C:\Program Files\Opera\opera.exe    72.14.221.111    1024-5000    465    
Клиент DNS (служба доменных имён)    
запретить    C:\Program Files\Opera\opera.exe    

kadvlad
Для начала просмотри таблицу Косвенного доступа на предмет запретов.
Опера, случайно, не 9.63? Был у меня с ней схожий косяк, причем фаер "утверждал", что соединение разрешено. Снес, поставил 9.62 - работает.

Добавлено:
Упс, с номером версии промахнулся, исправил...

XenoZ,
спасибо.

Оpera 10.00.1229
Косвенный доступ разрешён.

Думаешь, с версией билда связано?
Хм, если других решений не найдётся, попробую вернуться на "девятку".

Пока пробую поменять в разрешениях последнюю строку "запретить" на "спросить"; посмотрим..

kadvlad
Цитата:

Косвенный доступ разрешён.

Просмотреть в смысле - все приложения/процессы. Если при работающей Опере у тебя запустится запрещенный процесс, к-рый полезет в Оперу - Опера умрет.

Ааа! Понял.

Сейчас проверил: запускаю приложение, которому запрещён косвенный доступ. Пока оно открыто, Опера выдаёт ошибки соединения. Как только закрываю запретное приложение — Опера опять работает :)

Обычно при косвенном доступе программа просит соединения со всеми активными сетевыми приложениями, поэтому я безболезненно запрещал им это, на всякий случай.

Т.е. выход — разрешать таким приложениям полный "косвенный" доступ, но запрещать "прямой" досуп (или выдавать запрос)?

kadvlad

Цитата:

Т.е. выход — разрешать таким приложениям полный "косвенный" доступ, но запрещать "прямой" досуп (или выдавать запрос)?

Про "Косвенный доступ" пол темы исписано , почитай.
По самой таблице:
Цитата:

запретить C:\Program Files\Opera\opera.exe

Если таблица для браузера заканчивается этим правилом, то не хорошо. Сделать окончание таблицы, так:

(в правиле "Спросить", прописать путь до opera.exe)
Цитата:

разрешить Разрешить обращения по http TCP/IP исходящее соединение C:\Program Files\Opera\opera.exe 1024-65535 21, 990

Если указан только локальный диапазон портов (1024-65535), то это правило работать не будет, т.к. опера работает с FTP, только в пассивном режиме, если разрешить этот диапазон и для удалённых портов, тогда, соответственно, оно "перебьёт" все остальные правила в таблице, с портами, входящими в (1024-65535).
Цитата:

разрешить TCP/IP исходящее соединение C:\Program Files\Opera\opera.exe 72.14.221.111 1024-5000 465

Для Google-почты по SMTP SSL указан IP, а Google IP меняет очень часто , тоже касаемо и обычного SMTP (25 порт) для Mail.ru в четвёртом правиле, редко но тоже меняют. (Это я к тому, если таблица заканчивается правилом "Запретить", а опера будет пытаться проверить почту по несуществующему IP.)
Цитата:

Клиент DNS (служба доменных имён)

Если получение DNS организовано через svchost.exe, правило можно удалить (всё равно в нём ничего не указано, или последнее "Запретить" к нему относится?).

Dimitr1s
спасибо

насчёт косвенного доступа всё читал, потому и решил разрешить его всем известным мне приложениям;
насчёт почтовых серверов тоже ясно, уберу ограничения IP;
насчёт "спросить" для Оперы тоже уже сделал.

Не совсем понял насчёт диапазона портов FTP: для пассивного режима убрать это правило вообще?

Правила для svchost по DNS я не настраивал, у меня через роутер настроено: в сетевых соединениях стоит осн. DNS - 192.168.1.1, дополнительный - 195.5.46.12. (провайдер УкрТелеКом).
Правда, иногда приложения просятся к выходу через 53 порт..

Правила для клиента DNS:

Код: разрешить    Доступ в сеть    доступ к сети, косвенный доступ к сети    
разрешить    TCP    TCP/IP    исходящее соединение    name server    53    
разрешить    UDP    TCP/IP    получение пакетов (UDP), отправка пакетов (UDP)    name server    53    
продолжить    Действие по умолчанию    

kadvlad

Цитата:

насчёт почтовых серверов тоже ясно, уберу ограничения IP

Просто Джетика не работает по имени домена, тут три варианта: если таблица завершается запрещающим правилом, придётся постоянно следить за изменением IP, иначе работать не будет, если предпоследнее правило "Спросить", то соответственно по запросу менять регулярно IP в правиле, или да, убирать IP которые часто меняются (как в Google) из правил.
Цитата:

Не совсем понял насчёт диапазона портов FTP: для пассивного режима убрать это правило вообще?

В Джетике Stateful Inspection не работает с пассивным режимом FTP, тут тоже несколько вариантов:
1. Разрешить весь диапазон (1024-65535) для локальных и удалённых портов, что для браузера не приемлемо в плане безопасности. Как вариант можно прописать в этом правиле IP часто посещаемых FTP, но т.к. IP могут меняться, тоже не очень удобно.
2. Оставить для браузера только 21 порт, и ходить по FTP "вручную" давя "разрешить на этот раз", а основную работу с FTP перекинуть на другую, специализированную софтинку (на Total Commander к примеру) которая в сеть ходит не часто и контролировать проще, ей и разрешить весь диапазон портов.
По DNS: Через роутер или на прямую, приложения запрашивают соединение: или сами (если служба DNS-клиент отключёна), или через svchost.exe (если DNS-клиент работает), или через альтернативный клиент если устанавливался.
Цитата:

Правила для клиента DNS:

какой путь, к какому приложению там прописан? Как бы не было, вот это правило:
Цитата:

разрешить TCP TCP/IP исходящее соединение name server 53

можно убрать, ни разу не встречал реализацию через TCP. В шапке Правила для сервиса svchost.exe, есть правила для DNS.

Dimitr1s

Кажется, я только теперь понял насчёт взаимосвязи клиента DNS и svchost.
В любом случае, должно быть какое-то конкретное приложение, выполняющее функцию "расшифровки" имён, так?

У меня до сих пор везде, где встречалось правило "Клиент DNS", не был указан путь к приложению (оставил, как было прописано по умолчанию при установке):

Теперь мне нужно переделать его согласно Правил из шапки этой темы, прописав путь к svchost в качестве клиента DNS, правильно?

kadvlad

Цитата:

У меня до сих пор везде, где встречалось правило "Клиент DNS", не был указан путь к приложению (оставил, как было прописано по умолчанию при установке)

Судя по скриншоту, используется самое верхнее правило "Клиент DNS", если пути не прописаны, им могут воспользоваться все, плюс ещё дубляж в каждой таблице приложений (толку от этого 0, т.к. всё равно будет использоваться верхняя таблица "Клиент DNS").
Цитата:

Теперь мне нужно переделать его согласно Правил из шапки этой темы, прописав путь к svchost в качестве клиента DNS, правильно?

Нет переделывать существующее не надо, если делать по нормальному, надо удалить подчистую все правила касающиеся DNS и выбрать один из путей:
Первый вариант: через svchost.exe, с помощью службы DNS-клиент. В этом случае требуется один раз создать два правила (а лучше сразу отдельную таблицу, по примеру из шапки) для сервиса svchost.exe. Первым правилом, разрешить получение/отправку пакетов UDP на имеющиеся IP DNS-серверов где удалённый 53'й порт . Вторым (снизу), запретить все остальные пакеты где удалённый 53'й порт.
При этом раскладе, теперь все приложения, будут выполнять DNS-запросы через svchost.exe и создавать больше ни каких правил для DNS не придётся.
Примечания:
И в шапке, и тут подразумевается, что активны правила по умолчанию - разрешающие "слушать" UDP и TCP порты.
Нужно удалить все остальные правила для DNS, включая и в "Таблице IP", если есть.
Некоторым специфичным приложениям, всё же понадобятся собственные правила DNS (пример nslookup.exe)
И наконец проверить, включена ли сама служба DNS-клиент, а то некоторые "зловреды" и поделки (наподобие KAV/KIS 2009) её без спроса отключают.
Второй вариант: Разрешать приложениям напрямую выполнять DNS-запросы. Для этого нужно остановить и отключить службу DNS-клиент, и создавать, описанные выше два DNS-правила, отдельно для каждого приложения, с указанием путей и для появляющихся новых приложений придётся создавать также.
Примечания:
Для фанатов параноидальных настроек безопасности.

Доброго времени суток!

Dimitr1s

Цитата:

ИМХО ответ мне кажется в том, что и OP 3.5 и HIPS, который был у Вас установлен, не перехватывали/не могли технически сделать перехват функций, используемых в конкретном, выше описанном случае. Иначе, если события проходили бы через установленный хук, разница по любому была бы заметна.

Провел ряд тестов, вот впечатления:
1) Продолжительность выполнения тестов для Jetico в режимах Optimal Protection\Shutdown\Allow all различается несущественно.
2) RTD в режиме close all protections отключает часть хуков (но не все!) и тест выполняется раза в 4 быстрее.
При режиме "все включено" тест выполняется существенно быстрее, чем для Jetico. Учитывая, что она так же, как и Jectico, вычисляет контрольные суммы (SHA-1) и контролирует активность приложений, думаю, в HIPS-составляющей Jetico есть недоработка.
3) Jetico + RTD - 500 процессов сервера даже не успевают запуститься.
4) Comodo + RTD - тест выполняется несколько быстрее, чем для Jetico, и все соединения устанавливаются.
5) Comodo + RTD (closed all protections) - сравнимо по быстродействию с запуском на чистой системе.


Цитата:

Тут если найти продукт с возможностью выбора и отказа при установке компонентов проактивки, да так, что б абсолютно не был привязан к остальным компонентам (а то какой-нибудь драйвер, да и встанет "по тихому"), но опять же согласитесь, это получится подобие серверного варианта, коих и так в достатке.

Пока остался на Comodo (CIS 3.5). Правда он "тяжелее", чем Jetico (аж 36 Мб на диске + 36 Мб - repair), cfp.exe - 14 Мб виртуальной, против 5-6 для jpf.exe. С красивостями интерфейса они, конечно, постарались - на мой взгляд, чересчур, а вот со стабильностью проблемы - уже наблюдал BSOD.

Вот если бы дать возможность при установке Jetico отключить Process Attacks и Application checksum... Кстати, если временно изменить тип запуска для драйверов Jetico, чтобы они не загружались при старте системы, то теоретически это не должно вызвать последующих проблем?

А есть ли смысл переходить с первой версии жетики на вторую, на винде ХП?

Можно ли на первой версии настроить безапасность не хуже второй?

ZEQUALITY

Цитата:

Провел ряд тестов, вот впечатления:

Тесты 3, 4, 5, ИМХО ценности не представляют, т.к. при одновременном использовании драйверов с одинаковым функционалом - картина будет не предсказуема. Тут в каждом конкретном случае надо подробно смотреть, каким образом "хучится" последовательность: приложение <-> прослойка (KERNEL32.DLL, USER32.DLL и т.п.) <-> ядро системы, какие функции/процедуры/и т.п. отслеживаются каждым драйвером и каким образом они их "забирают". Иначе при "пересечении" можно получить крайности, начиная от BSOD'а, кончая простой видимостью работы. То есть я хочу сказать, если даже подберёте связку нормально работающую с определённым набором софта, это не значит, что она будет работать при изменении кода какой-нибудь программы или даже компонента. Если есть желание и время (что особо важно ) - экспериментируйте.
Цитата:

Пока остался на Comodo (CIS 3.5). Правда он "тяжелее", чем Jetico (аж 36 Мб на диске + 36 Мб - repair), cfp.exe - 14 Мб виртуальной, против 5-6 для jpf.exe.

Тут смотря что имеете ввиду под "тяжелее". Если по размеру, то да. Если по работе драйверов, то Джетику "легкой" никак не назовёшь, скорее наоборот.
Цитата:

Кстати, если временно изменить тип запуска для драйверов Jetico, чтобы они не загружались при старте системы, то теоретически это не должно вызвать последующих проблем?

Когда, на какой то из прошлых версий, были проблемы (замерзали большие exe'шники от фотошопа и бриджа), отключал, удаляя ключи реестра с драйверами и выключал автозагрузку. Потом восстанавливал - проблем не было (не заметил по крайней мере ).
Добавил: Если имелось ввиду выборочно, отключить часть драйверов, а часть оставить при работающей Джетике, то 100% ничего не выйдет (если исполняемые файлы, "перепишите" только).

Сегодня заметил, что winlogon стал подозрительно себя вести.

Прошёлся несколькими антивир-антишпионами — ничего вредоносного в этом месте не обнаружено.
Привожу выписку из лога. Что это может быть, как думаете?


Код: запретить    TCP/IP    получение данных        C:\WINDOWS\system32\winlogon.exe    192.168.1.15    58.65.232.34 (irc.zief.pl)    2166    80    PID: 1196; Connection: 8E3    
запретить    TCP/IP    исходящее соединение    C:\WINDOWS\system32\winlogon.exe    0.0.0.0        58.65.232.34 (irc.zief.pl)    2147    80    PID: 1196; Connection: 8BD    
запретить    TCP/IP    исходящее соединение    C:\WINDOWS\system32\winlogon.exe    0.0.0.0        211.95.79.6            2167    80    PID: 1196; Connection: 8E5

kadvlad

Цитата:

winlogon.exe... -> ...irc.zief.pl

Вероятность, что машина заражена стремится к 100%. С этим лучше сюда.
Цитата:

uTorrent, USDownloader, Soulseek, Download Master, eMule

Будешь и дальше качать и запускать всякий хлам, факт, что так будет происходить бесконечно.

Цитата:

Будешь и дальше качать и запускать всякий хлам, факт, что так будет происходить бесконечно.

сильно ты так припечалал, lol
за все не скажу, а вот uTorrent, Download Master и eMule - вполне нормальные и нужные программы.

ну, ясное дело — что-то подцепил. потому и спрашиваю.
но дело не в "качать хлам" — пока меня не было, пытались установить какую-то игрушку :/

Но чтобы не уходить от темы файрволла:
скажите, пожалуйста, следует ли изменить что-нибудь в этих настройках?


Код: разрешить    косвенный доступ к сети    System services    
разрешить    Wizard generated rule for Windows system components    косвенный доступ к сети    C:\WINDOWS\system32\smss.exe    
разрешить    Wizard generated rule for Windows system components    косвенный доступ к сети    C:\WINDOWS\system32\mstsc.exe    
разрешить    косвенный доступ к сети    C:\WINDOWS\system32\csrss.exe    
разрешить    косвенный доступ к сети    C:\WINDOWS\System32\svchost.exe    
разрешить    косвенный доступ к сети    C:\WINDOWS\system32\winlogon.exe    
разрешить    косвенный доступ к сети    C:\WINDOWS\system32\smss.exe    
разрешить    косвенный доступ к сети    C:\WINDOWS\system32\userinit.exe    
разрешить    косвенный доступ к сети    C:\WINDOWS\system32\mshta.exe    
разрешить    косвенный доступ к сети    C:\WINDOWS\system32\rundll32.exe    
разрешить    косвенный доступ к сети    C:\WINDOWS\system32\control.exe

GQ

Цитата:

сильно ты так припечалал, lol

Я не про сами клиенты, а про их количество .
kadvlad

Цитата:

...следует ли изменить что-нибудь в этих настройках?

Для системных служб и сервисов, запрещать что то смысла не имеет, если какой то функционал будет затребован - или разрешать запрашиваемое, или, скорее всего, работать не будет. А всё ненужное "отсекается" остановкой самих служб и сервисов в которых нет надобности.
Цитата:

запретить доступ к сети C:\WINDOWS\system32\taskmgr.exe

Вот это напрасно наверно. Он на вкладке "Сеть", статистику отображает, так что может потребоваться.

P.S.
Цитата:

...пока меня не было, пытались установить какую-то игрушку :/

В "NoCD", с нынешними объёмами, сам бог велел дописать что-нибудь, тут ухо надо держать востро .

день добрый.

с сетью вроде поладил.

насчет рядовых программ, которые у многих на ПК: adobe reader, Nero и т.д.
в контроле процессами:
я их объединил в одну группу, разрешил им пользоваться процессами.
но все равно время от времени они спрашивают меня об опциях, которые я им уже разрешил.
или нельзя перечислять все опции в одном правиле? в чем ошибка?

еще вопрос - если в правиле перечислить все опции, или просто установить allow без указания любой - это равносильные правила?

Использую джетику довольно давно, когда только подключился к инету был рад так как город не большой и провайдеров нормальных не было долгое время, хотя радость моя была не долгой, через некоторое время заметил что с компом что-то не то, ну и начал я разбираться с безопасностью на компьютере (ранне я про сетевые атаки не чего не знал), когда дело дошло до фаервола я выбрал самый популярный то биш Outpost Firewall, но на компе не реально было работать, Outpost сильно грузил (Celeron 1700 256 mb), и Jetico Firewall оказался моим спасением.
Хотя использую фаер. довольно давно, не могу сказать что разобрался во всём, особенно не пойму как работает "косвенный доступ к сети" (Indent Access to network), если кто знает помогите, например что значит
http://www.image123.net/fekh4d9qnnndpic.html
это значит что "C:\Program Files\Miranda8\miranda32.exe" может внедрить DLL в любой процесс???

Ivan_Chelovekov

Цитата:

в контроле процессами:
я их объединил в одну группу, разрешил им пользоваться процессами.
но все равно время от времени они спрашивают меня об опциях, которые я им уже разрешил.

Могли изменится пути к исполняемым файлам в результате переустановки или обновления. Не путаешь ли с запросами из других таблиц (Контрольные суммы, Косвенный доступ в сеть)?
Цитата:

...или нельзя перечислять все опции в одном правиле? в чем ошибка?
еще вопрос - если в правиле перечислить все опции, или просто установить allow без указания любой - это равносильные правила?

Можно. Да равносильно если выставить allow и указать только путь (пути) к исполняемому файлу, со снятым флагом "Событие". Единственное, в версии 2.0.2.8 в таблице: Контрольные суммы, если снять все флаги в правиле "Спросить", в запросе не будет указываться событие.

guBiegreS

Цитата:

...особенно не пойму как работает "косвенный доступ к сети"

Вот из первоисточника (то есть прямо из "Справки" к программе):
[more=indirect access to network]
indirect access to network - application does not access netowrking subsystem directly; it forces another application to do all network-related job instead
Indirect access type - type of indirect access to network
inject dll - application injected dll into networked application's address space
create remote thread - application created thread on behalf of networking application
write to other's memory - application wrote into networked application's memory
inter-process call - application performed inter-process call to networked application
parent process - application started networked application[/more] и [more=предупреждение]If you block indirect access to network, it may affect other applications.[/more] тоже не лишним будет.
Цитата:

...например что значит?

Давай коротко рассмотрим на примере плагина IEView: Запущен процесс miranda32.exe, ты открываешь окно чата, Миранда загружает в память исполняемый файл (DLL) плагина ieview.dll, который в свою очередь обращается к части "движка" IE (который так же имеет сетевые функции). Джетика (справедливо) видит в этом, возможную попытку Миранды передать/получить что то в сеть/из сети через IE, с помощью ieview.dll.

Цитата:

Давай коротко рассмотрим на примере плагина IEView: Запущен процесс miranda32.exe, ты открываешь окно чата, Миранда загружает в память исполняемый файл (DLL) плагина ieview.dll, который в свою очередь обращается к части "движка" IE (который так же имеет сетевые функции). Джетика (справедливо) видит в этом, возможную попытку Миранды передать/получить что то в сеть/из сети через IE, с помощью ieview.dll.

то есть если Миранда попытается (вернее плагин) использовать IE для соединения то лог будит таким

внедрение DLL - ..\miranda32.exe - косвенный доступ к сети - PID:x (PID:x ..\IEXPLORE.EXE)

Dimitr1s
А какие из событий ты назвал бы самым "опасными"

Внедрение DLL
Внедрение кода в процесс
Запись в чужую память
Вызов функции из другого процесса
Запуск дочерних процессов

Мне кажеться последние 2 самые безобидные (относительно другим)
Например если троян запустит дочерний процесс "opera", он всё равно не сможет открыть соединение так как для этого ещё понадобиться внедрить DLL или изменить код Оперы, я прав?