» Лучший файрволл firewall

С некоторых пор сильно разуверился в фаерволах.
В моём случае троян, не распознанный вовремя NIS 2004pro, запускал копии IE с нацеленностью на конкретный сайт и через скрипт на сайте сливал заранее составленный журнал нажатий клавиатуры.
Ну и что? Ни один из фаерволов не распознал бы этот троян/ так как исходящий трафик от IE был открыт...
Подробнее
здесь: http://forum.ixbt.com/topic.cgi?id=24:7612-17#521 и
здесь: http://forum.ixbt.com/topic.cgi?id=24:7612-18#547

Добавлено


Всё-таки мне нравится NPF 2004pro (NIS2004pro).
Одно из достоинств - автоматическое обновление не только анитвирусных баз, но и программных модулей.
Таким образом, не надо без конца скачивать новые версии других фаерволов и переинсталлировать их...

Orlon

Цитата:

Всё-таки мне нравится NPF 2004pro (NIS2004pro)

Цитата:

Всё-таки мне нравится NAV 2004pro (NIS2004pro)

(это из топика "Обзор антивирусов под Windows XP")

Цитата:

С некоторых пор сильно разуверился в фаерволах. В моём случае троян, не распознанный вовремя NIS 2004pro, запускал копии IE с нацеленностью на конкретный сайт и через скрипт на сайте сливал заранее составленный журнал нажатий клавиатуры

Выражаясь простыми понятными словами - дерьмо, но нравится.

Orlon, pion Думаю, вам не стоит ругаться ))). В этом конкретном случае нужна была стенка с контролем запуска приложений другими приложениями (в линуксе это вроде SandBox? или нет?) NISу это не под силу. Вроде бы Kerio Personal Firewall это умеет?

Dervish

Цитата:

Вроде бы Kerio Personal Firewall это умеет?

Умеет-умеет.
Вообще, мне Kerio больше всех понравился.

Опять пошли искать чудо-программу! Нет такой и никогда не будет. В том что троян прошел firewall не виноват. Его дело обеспечить молчание в ответ на любые запросы оттуда куда вы сами не лезите. А если уж вы хотите куда-то зайти - придется что-то посылать и что-то принимать и если приняли заразу - остаётся надеятся что её антивирус опознает. Но и хороший антивирус не справится если это новинка или база данных своевременно не обновляется. А кто хочет посмотреть как его стенка будет себя вести при заходе на зловредное местечко - отчасти это можно смоделировать: на ShieldsUP! есть тест Adaptive IDENT Stealthing Experimentation.

ASteel

Цитата:

Умеет-умеет

Я бы не стал утверждать, что Керио всегда это умеет. Я как-то запускал пс аудит под керио, и враг не прошел. Но потом я чисто из интереса разрешил loopback для всех програм, и под этим делом пс аудит спокойно вылез через оперу. А вот после того, как я вернул все правила обратно, он так и продолжал выходить. Восстановление системы ghost-ом тоже не помогло. Вот такие пироги. Так что, может сегодня он умеет, а завтра забудет, что умеет.

pita
Всем известно, что защита - дело комплексное. Давай откроем другую темку, где обсудим что кроме файервола можно сделать для защиты, а эту оставим чисто для обсуждения файеров. Идет?

All
По поводу Look'n'stop - единственный пока обнаруженный недостаток - это способ переключения правил в запрещен-разрешен. Одного случайного клика мышки достаточно, чтобы убить всю защиту.

SXP : Пройденный этап. Виснетик ничего (ели бы он еще и логи нормально писал...), а вот зоне аларм - гадость та еще.

VirusXr866

Цитата:

зоне аларм - гадость та еще

Почему? Можно поподробнее?

gavana
Цитата:

*образцово настроенные системные правила.............

да... вот если бы ещё их расположение в настройках было по удобнее цены бы ему не было... например в пакетном фильтре в поле Event выставляю any на аутглюк например на все соед. на все порты, а он через некоторое время меня спрашивает дать ли доступ этому самому аутглюку на событие "access to network" или "send datagrams" - после keiro 4х это просто ставит в тупик! Или может "я что-то ступил"!? (Goblin)

ASteel
Цитата:

Вообще, мне Kerio больше всех понравился.

в 5-й к сожалению правила изменили, настройки стали не такими удобными как в 4х - весь пакетный фильтр этим "загадили" на мой взгляд...

Karlsberg
Цитата:

Восстановление системы ghost-ом тоже не помогло.

вот тут можно подробней... этот как это не помогло!? ты хостил систему после установки!? (хотя это конечно не в этот топик..)

Karlsberg
Цитата:

По поводу Look'n'stop - единственный пока обнаруженный недостаток

а по мне так это нормальная ситуация, в никсе так там вобще всё в конфигах прописано - вот и смотри... А вообще хорощий файер, не для новичков конечно, но всё просто, ясно и удобно.... дыр вроде не нашли пока...

VirusXr866
Цитата:

зоне аларм - гадость та еще.

для простых смертных - самое то... одна кнопка и "никаких вопросов"!

VirusXr866

Цитата:

Виснетик ничего (ели бы он еще и логи нормально писал...),

куда уж нормальней то?


Цитата:

вот зоне аларм - гадость та еще.

Как Програм фильтер он самый мощный

SXP


Цитата:

visnetic + ZoneAlarm

Удивительно читать такое от тебя =)

А почему не Kaspersky Anti-Hacker, кстати ? Если уж выбирать "файрволл для чайника", то он, пожалуй, даже получше, чем Zone Alarm.

greenfox

Цитата:

ты хостил систему после установки!?

Ясное дело... Но в чем причина не знаю, сам еще не разобрался.

SXP

Цитата:

Как Програм фильтер он самый мощный

А что значит мощный? Можно определить куда программе можно ходить, а куда нет?

Benchmark

Цитата:

А почему не Kaspersky Anti-Hacker

потому что КАХ слабак еще... его только ламерам и ставить... от мсбласта спасет и троян не пустит... а мне серьёзная защита нужна... вчера вон трояна запустил... АВ монитор выключен был... узнал через пол часа когда кав запустил и тот експлорер убил... дллку хотел убить а зоне аларм дллку так и не пустил.. потом оказалось что crack.exe infected by TrojanDropper.Win32.Bridge

SXP

Цитата:

его только ламерам и ставить...

Цитата:

а мне серьёзная защита нужна...

Цитата:

вчера вон трояна запустил...

Ты когда-нибудь слышал поговорку, что самая уязвимая область в безопасности компьютера находится между стулом и клавиатурой ?

Если ты запускаешь троянов в trusted zone и при этом не в состоянии правильно сконфигурировать правила в файре, то тут уже ничего не поможет.

p.s. Абсолютно ничего личного

Benchmark

Цитата:

Если ты запускаешь троянов в trusted zone

Не всегда же.... тут чистая лень была файл антивирем проверить


Цитата:

и при этом не в состоянии правильно сконфигурировать правила в файре

кто сказал что немогу? троян так и невылез наружу...

Karlsberg

Цитата:

Можно определить куда программе можно ходить, а куда нет?

Jetico - в нём например можно явно задать какому exe-шнику куда(ip, порт, протокол) можно ползти, а куда нет....

Karlsberg

Цитата:

А что значит мощный? Можно определить куда программе можно ходить, а куда нет?

И это тоже.. а вобще мощность - способность фаир вола противостоять разным ухещирениям троянов...

в этом смысле Оутпост самый слабый

SXP
Понял.
greenfox
Да страшно пока Jetico ставить, пусть хотя-бы один релиз выпустят

SXP : 1) Он скидывает все в одну кучу. 2) Нестандартный формат лога 3) Средства просмотра и анализа лога неудобны.

Апп монитор мне особо и не нужен. И сам я далеко не первый файр ковыряю, "большие зеленые кнопки " (c) мне не нужны. Наоборот, гибкость настроек это качество для файрвола имхо обязательное. Так что каспер идет лесом. Вместе с зоне алармом.

VirusXr866
Цитата:

Наоборот, гибкость настроек это качество для файрвола имхо обязательное. Так что каспер идет лесом. Вместе с зоне алармом.

хм... а тем кто "в танке"!? Что им толку от этих гибких настроек!? Так что тут "каждому своё..."

Стимул учиться Те, кто девствительно в танке, и без гибких настроек такое навытворяют... А таким образом можно и обезьяну, которая только порнуху смотреть желает, научить хоть чемунибуть. Уж чего ткнуть чтобы их любимый порносайт загрузился, они какнибудь найдут. Методом тыка например.

Karlsberg

Цитата:

Всем известно, что защита - дело комплексное. Давай откроем другую темку, где обсудим что кроме файервола можно сделать для защиты, а эту оставим чисто для обсуждения файеров. Идет?

я вроде и не обсуждал тут что-то другое а хотел довести до тех кто ещё не понял простую мысль: firewall-ы не защита от троянов не потому что они хорошие или плохие - это не их задача. Кто не верит посмотрите, например на PCFlank: http://www.pcflank.com/art14.htm Цитирую: Firewalls are unable to locate and cure files infected with a virus or Trojan.

VirusXr866
топик немного не про это, ты в чём-то прав в чём-то нет (например так можно сказать и про Ос и про антивирусник) - но как не крути, простым юзерам надо что-н попроще, с одной кнопкой, ну хоть так, для дома так сказать...

pita

Цитата:

http://www.pcflank.com/art14.htm

А что здесь нового сказали?

Цитата:

firewall-ы не защита от троянов

В том числе и от троянов... Не от всех правда, но от подавляющего большинства.

спор про "защиту файеров от троянов" по моему - это спор скорее о правильности настроек фильтров файера... он конечно защищает от троянов, но на более низком уровне, чем антивирусник, на сетевом так сказать, пропускает их далее или нет в зависимости от настроек пакетного фильтра... а они у каждого свои... так что по моему этот спор, какая стенка лучше защищает от троянов - просто бессмысленен...

Karlsberg имхо не прав. Firewall (aka межсетевой экран ака пакетный фильтр) это система контроля доступа к сети. Основная задача - блокировка пакетов НЕ соответствующим установленным правилам. Точка. Она ни от чего не защищает сама по себе. Замок на двери сарая сам по себе чегонить защищает? Нет. Но можно запереть дверь. Но, это еще не значит что не влезут в окно... и т.д. А отбиваться от троянов файром, это тоже самое что смотреть пакеты осциллографом

VirusXr866
Больше половины файерволов сейчас - с функцией контроля приложений. Если его нет, он мне не интересен. Может лет надцать назад они и работали только на сетевом уровне, сейчас нет.

Цитата:

это еще не значит что не влезут в окно

Файер конфигурится на каждый сетевой интерфейс. Они что, по шнуру питания полезут?
Все, хвать офтопить.

Добавлено

Цитата:

А отбиваться от троянов файром

Странно... А мне помогает

Karlsberg

Цитата:

В том числе и от троянов... Не от всех правда, но от подавляющего большинства.

именно от всех и не защищает. Уже когда этот троян на компьютере он может и не даст ему выйти в сеть, но если троян качественный так он прямо и не полезет, а в обсуждаемом случае так и было - вот я и сказал что зря человек на firewall жалуется - он здесь вообще не причем.

VirusXr866
Цитата:

это тоже самое что смотреть пакеты осциллографом

несколько утрировано, но VirusXr866 прав!!!!

greenfox

Цитата:

gavana
Цитата:*образцово настроенные системные правила.............
да... вот если бы ещё их расположение в настройках было по удобнее цены бы ему не было... например в пакетном фильтре в поле Event выставляю any на аутглюк например на все соед. на все порты, а он через некоторое время меня спрашивает дать ли доступ этому самому аутглюку на событие "access to network" или "send datagrams" - после keiro 4х это просто ставит в тупик! Или может "я что-то ступил"!? (Goblin)

есть готовое правило Mail Client,при запросе выбери его в Hahdle as... и все будет пучком.
Jetico просто более тщательно относится к сетевой активности системы и приложений,
что позволяет выявлять все виды внутренних атак(от внешних по умолчанию все настроенно в лучшем виде).

Karlsberg

Цитата:

Да страшно пока Jetico ставить, пусть хотя-бы один релиз выпустят

потестил на всех возможных сайтах и тестах - броня непробиваемая.
Кто предложит еще какие супертесты,милости просим.
Релиз,похоже,на подходе и ,видимо,стоить будет не малых денег,как и все продукты компании.