» McAfee Desktop Firewall

У менять есть три фаервола этой линейки:
McAfee Desktop Firewall 8.0
McAfee Internet Security Suite 7.0
McAfee Personal Firewall Plus 6.0.6014

Объясните плиз какая версия лучше и чем они вообще отличаются?

Interceptor
А почитать ридми в каждой стенки?

Цитата:

McAfee Desktop Firewall 8.0

Описание в шапке. Ставиться на рабочии станции, но можно поставить и на ПК.

Цитата:

McAfee Internet Security Suite 7.0

Это комплекс програм персональной защиты ПК, туда входит McAfee Personal Firewall Plus + McAfee VirusScan Pro и т.д.

Цитата:

McAfee Personal Firewall Plus 6.0.6014

Собственно сам персонал.
Выбирать нужно под себя, под конкретные цели.

Протестировал McAfee Desktop Firewall 8.0 build 493, IDS signature 101 внутренними тестами с http://forum.ru-board.com/topic.cgi?forum=5&topic=0044&start=1360

Тестовая система Windows XP SP2 Eng Corporate, все патчи
Конфигурация файрвола не дефолтовая, но особо не настраивал (еще сравню, возможно).
Полностью заблокировал IE (пользуюсь Firefox)
Разрешение на запуск давал всем, разрешение на hook, пробовал и так и так.

Результаты (+ значит что файрвол выдержал тест)

LeakTest +
TooLeaky +
FireHole +
Yalta - (DNS), + (остальное)
Outbound (установил winpcap, но тест вываливается с ошибкой в середине)
PcAudit +
AWFT + (10/10)
Thermite (для него нужен запущенный IE, который у меня запускать нельзя, так что +, если не используете IE)
Copycat - (этот прорвался и скачал файл)
Mbtest (установил winpcap, но тест вываливается с ошибкой в середине)
WallBreaker +
PCAudit v2 +
ghost +
DNSTester -

Вывод: в общем неплохо, но налицо проблемы со стандартной настройкой - DNS. В стандартных правилах на 53 порт можно отправлять куда угодно, и это есть плохо.

Проблемные тесты: CopyCat, DNSTester, Yalta

Надеюсь, нигде не ошибся

Ambient

Цитата:

В стандартных правилах на 53 порт можно отправлять куда угодно, и это есть плохо. Редактировать это правило он не позволяет.

Погоди, как это не позволяет ? Всё спокойно редактируется и сохраняется. Только что проверял.

Странно. Открываю Firewall Policy. Правила Allow DNS и Allow BOOTP можно только Duplicate. Остальное неактивно. Где грабли?

Добавлено:
Переустановил файр, и все пошло. Наверное последствия экспериментов с другими

Добавлено:
А как защитить DNS? Чтобы вещи, подобные dnstester не могли пробиться в сеть?

Цитата:

А как защитить DNS? Чтобы вещи, подобные dnstester не могли пробиться в сеть?

Я не знаю суть этого эксплита, посему затрудняюсь с конкретными рекомендациями.
Ну например открыть 53-ий порт только на сервера которые сам пропишешь.

Кстати,
Цитата:

PCAudit v2 - (если разрешить ему hook, то пролезает)

А зачем ты ему это разрешал ?

Цитата:

А зачем ты ему это разрешал ?

На мой взгляд, hook не всегда является нелегальной операцией.

Добавлено:
А вообще, это было сказано для полноты картины

Ambient
Цитата:

На мой взгляд, hook не всегда является нелегальной операцией.

Разумеется. Но только если от проверенных приложений.
Просто если разрешать все хуки, то ни один фаерволл подобные тесты не пройдёт.

будем считать, что тест надо было проводить без hook'a, отредактировал таблицу результатов.

Но CopyCat и DNSTester по-прежнему проходят!

Ambient
DNSTester не проверял,а CopyCat действительно проходил. Я в ближайшее время начну 8.5 тестировать, посмотрим что да как...

Как отключить в файрволе всю автоматику? Удалил правила для netbios, уровень правил - custom. Открываю Сетевое Окружение, файр сам создает набор правил System, куда входит и правило, позволяющее обращаться к любому ДНС (53) серверу. Как отключить эту автоматику?

По поводу правильного блокирования ДНС эксплоитов и троянов на базе этой технологии:
http://www.outpostfirewall.com/forum/showthread.php?s=320a3672de400f34b871004cbde489e9&threadid=9858

Связывался с техподдержкой, там долго мучали вопросами, и наконец отшили, мотивировав тем, что это корпоративный продукт, и поддержка мне нужна корпоративная (только по телефону). Но это навело меня на такую мысль - так как файрвол корпоративный, то он должен централизованно управляться, и наверное, восстанавливать базовые правила - это в его конфигурации по-умолчанию, но в любом случае, без центра управления, он не полный, так как способа отключить авто-создание правил я так и не нашел

Ambient
Цитата:

Как отключить в файрволе всю автоматику?

Только через ePO, по идее...

Ambient,

После создания необходимого набора правил, отключить "Learn Mode" при персональном исрользовании.

goose7k
Но при этом и вопросов по созданию новых правил не будет.

Stamir
у MDF есть 2 версии, одна для ePO, другая для одного пользователя.
Скорее всего поставили версию для ePO. По моему дюбой файер имеет стартовый набор правил, отредактировать как надо и все.

goose7k
Знаю я про две версии, и к сожалению автоматика есть в обоих. Лично меня раздражает постоянное самопроизвольное возникновение ветки VPN и ePolicy Orchestrator Agent (и это на не-ePO версии!). Пока я просто убрал с них галочку, сделав их неактивными. Но если удалить, то они снова создаются...

Stamir
а антивирус какой? если VSE, то ePO agent как раз нужен

Возникла проблема с установкой. Запускаю setup, соглашаюсь с лицензией, после чего появляется следующее сообщение и инсталляция прекращается:

To secure communication between various components on your computer, we require certain Microsoft Windows authentication software services which are not currently installed.

В чём проблема, как исправить?

DRON888
Solution ID: NAI29389

https://knowledgemap.nai.com/phpclient/viewKDoc.aspx?externalID=KB_NAI29389&sessionID=anonymous|12030741&sliceID=&docID=KC.KB_NAI29389&url=kb/kb_nai29389.xml&dialogID=12036761&docType=DOC_KnowledgeBase&iterationID=1&docName=Solution ID NAI29389 - Missing AuthenticationSoftwareServices prevent installation of McAfee Desktop Firewall

goose7k
Антивирус Symantec AntiVirus Corporate 9.

Stamir
Понятно, тогда действительно не нужен ePO Agent, но у McAfee, своя точка зрения на весь мир, раз фаер наш, то и антивирус наш.

goose7k
Я устанавливал версию без ePO. Предложенный Вами вариант не подходит, как указал Stamir:

Цитата:

Но при этом и вопросов по созданию новых правил не будет.

Фаер вроде неплохой, но подобная автоматика заставила меня от него отказаться.

Как оказалось, возможно избавится от автоматически созданных правил. Для этого надо сделать их копию, а потом удалить сначала основные правила, а затем копии. После этого правила перестают считаться административным и больше не восстанавливаются.

А можно ли запретить юзерам на локальной XP дисаблить firewall? А то сын увлекается этим...

eeifrs
ePO версию ставь. Через него это по идее можно сделать.

Народ подскажите плз

Я поставил Mcafee Desktop Firewall 8. Теперь изучаю настройки. В связи с этим возникло несколько вопросов.

1) нужно ли создавать правила для svchost.exe ?
2) Что за файл kernel32.dll. Я знаю что он системный. Но что он делает понятия не имею. Его надо пускать?
3) Что такое LSA Shel.
4) Сегодня фаервол поймал атаку с названием SYN Flood. В двух словах что это.

Спасибо

1812
1
2
3
4
Смени брандмауэр, а то наломаешь дровишек!

а где можно почитать, как правильно его настроить?

kvagy
Вообще = то можно , например воспользоваться поиском в форуме . Есть отдельная ветка : http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11375&start=520#lt .