» Лучший файрволл firewall

greenfox
Глянь в Варезник... седня кейген появился...

на Взоре есть

Цитата:

Если нужен максимально возможный уровень защиты, то лучшее решение наверно
Blink® End-Point Vulnerability Prevention от eEye Digital Security

Поставил... Сильна советская власть.

Расскажите, что в этом Blink® End-Point Vulnerability Prevention от eEye Digital Security такого хорошего ?

Цитата:

В Outpost, насколько я понял, при создании правила можно задать URL вместо IP, но при этом требуется подключение к инету, по введенному URL сразу вычисляется IP

Ага, вычисляется Ip по которому пивязка и идёт , но например в Аське мильён серваков с тем же числом Ip и каждый раз при новом он ОПЯТЬ спрашивает, в итоге на 6ом правиле надоело.

Цитата:

Ага, вычисляется Ip по которому пивязка и идёт , но например в Аське мильён серваков с тем же числом Ip и каждый раз при новом он ОПЯТЬ спрашивает, в итоге на 6ом правиле надоело.

а что там разве нет "разрешить процессу доступ на все ip удалённые" как например в jetico!?

Praetorian

Цитата:

такого хорошего

Всё

Фирма славится крутым секюрити софтом...

Цитата:

Blink® End-Point Vulnerability Prevention

Не устраивайте ажиотаж... 1-я версия хорошей не бывает, посмотрите на комменты там где скачивали - у людей уже проблемы

Karlsberg ,
а что за проблемы ? даже для просмотра коментов - login требуют .

zxcvb
Не ставится, поставилось - не работает, синий экран и т.д.
Сам пока не пробовал, подождем-с...

Karlsberg
у меня работает однако... без бсодов...

neva102502: ну, я так и думал, что в Outpost это просто ресольвер хоста (URL) в IP на этапе создания правила. Может в McAfee это лучше реализовано?

greenfox: конечно, можно. (Даже не знаю файрволов, в которы х нельзя было бы). Вопрос в том, можно ли в правиле вместо удаленного IP задать имя хоста (URL) и как это работает на самом деле.


Добавлено
Как по-русски будет "resolver", "to resolve" ?

SXP
А ты случайно снифер параллельно не запускал? Прошлые поделки этой фирмы вроде лезли проверять серийник, а потом письма провайдеру приходили с жалобами.

Karlsberg
помоему это не эта поделка была...
а запускал и запускаю я почти все от eeye
Iris
SecureIIS
Retina
Blink


Добавлено
estimated

Цитата:

Как по-русски будет "resolver", "to resolve" ?

Преобразовать

SXP
Да, не она. Искал 40 минут, но нашел. Та называлась Visual Route и никакого отношения к eEye не имеет.

Karlsberg

Цитата:

Та называлась Visual Route

Во во... знаем эту штучку... кстати намного круче ее NeoTracePro (McAfee Visual Trace)

и проблем нету ним никаких...

Добавлено
Народ... кто знает энглиш... небойтесь писать в eEye Team с предложениями по блинку...
-----------------------------------------------------------------------------------------------------------

Please add to Blink one more tab... Activity Monitor... where Blink will display application processes activity..

which application what ports listening... what connection established.. e.t.c

like this is implemented in Agnitum Outpot Firewall... or.. Sygate Firewall...

thx


--------------------------------------------------------------------------------
On 7/30/2004 12:03:00 PM eEye Digital Security wrote:

Sounds like an excellent feature to have. We have submitted your enhancement request to product management for consideration.

Thank you

estimated

kerio 2.1.5. был бы идеален, ежлиб не был так уязвим и не падал на xp

dosya: согласен. Я ж говорю, проблем хватает. У меня еще и hibernate не работает. Чувствую, что что-то подобное по концепции/размеру/потреблению ресурсов не найду. Наверное, придется что-то более объемное использовать.
Может, твою связку попробую:

Цитата:

tiny6 + visnetic/8signs
нет тормозов, синергия, пакетница, app detect, reg detect.
Не жизнь, а именины сердца

estimated
говоря о моей связке, виснетиковцы-юзеры считают, что был бы идеальный фаер, если б в нем был application detect.
Я же думаю, что скорее tiny стал бы идеальным, если б работал так с атаками как виснетик. Я там в правилах могу прописать, ежли кто коннектится к такому-то порту, то банить его на столько-то. Или тарпит, тоже полезная вещь. Потому как слишком много у тини хороших функций и легкий, но не умеет делать простых вещей, которые очень нужны на десктоповом компе.
В общем, пока юзеры пишут в 8signs: "сделайте нам апп. детект", я лучше напишу в тинисофтваре: "сделайте ребяты нормальную работу с атаками и будете круче всех".

dosya
А чем Керио 2.1.5 уязвим? Тем что нет детектора атак?

greenfox

Цитата:

а что там разве нет "разрешить процессу доступ на все ip удалённые" как например в jetico!?

Ну это везде есть, но если так ставить, то какой смысл разговаривать о задании правила на основе URL. А зачем это надо было- человек использовал одну прогу, от которой надо было чтоб она заменяла ICQ, а на всё остальное инет ей прикрыть.

для того чтобы рубить по УРЛу... можно чиркнуть сигнатуру в ИДСе... как это можно только в 3 из всех что я видел фаир валлов

Blink
Tiny
InJoy
v Jetico obeshali

neva102502

Цитата:

Ну это везде есть, но если так ставить, то какой смысл разговаривать о задании правила на основе URL.

не скажи... есть проги которым надо дать выход только на определённый ip (или url) - вот тут то эта функция может и сгодиться...

Добавьте в шапку плз там где таблица

[no][tr]Blink® Intrusion Prevention System
[tab]линк
[tab]линк[/no]

XMMS

Цитата:

Добавьте в шапку плз там где таблица

Добавил.
А теперь расскажи об этом ''чуде''.
Сколько юзаешь? Впечатления...

greenfox
Поправка. Мы разговаривали как раз об этом (доступ по Урлу), а у меня спросили есть ли там
Цитата:

"разрешить процессу доступ на все ip удалённые"

что есть полное открытие доступу проги в инет.


Добавлено
и даже то что прога сама переводит url в ip очень плохо, даёт неопытным чувство уверенности в своём правиле(они то думают что по урлу резеть будет), а середнячкам и выше неуверенность и всё (даже если url соответствует только 1 ip, то сейчас милион динамически меняющихся url и тогда тоже не поможет )

neva102502: да, согласен, если URL (точнее: hostname) преобразуется (btw. SXP: спасибо за перевод!)в IP на этапе создания правила, а потом контроль идет только по этому IP - то толку от этого мало.
Насколько мы выяснили, именно так происходит в Outpost.

Другое дело, если файрвол постоянно (скажем, каждые 10 мин.) осуществляет это преобразование и таким образом контролирует актуальный IP.

Но это только пол-дела. Сейчас чрезвычайно распространен виртуальный хостинг. И на одном IP могут висеть сотни/тысячи хостов (разные URL). Как обеспечить, чтобы рубился доступ не на весь этот IP, а только именно на конкретный хост (URL) ?

Может, McAfee на это способен?

А может, кто-то из этих такое может?

Цитата:

Blink
Tiny
InJoy
v Jetico obeshali

Цитата:

Но это только пол-дела. Сейчас чрезвычайно распространен виртуальный хостинг. И на одном IP могут висеть сотни/тысячи хостов (разные URL). Как обеспечить, чтобы рубился доступ не на весь этот IP, а только именно на конкретный хост (URL) ?

тут без настройки прокси (либо шлюзового либо "вшитого" в файер) не обойтись... у меня squid это делает... мне кажется это уже защита другого уровня...

Цитата:

P на этапе создания правила, а потом контроль идет только по этому IP - то толку от этого мало.

интересно, во сколько раз замедлиться работа, если дл якаждого пакета, файеру придётся определять соответствие url-а и ip? Ведь файер оперирует на сетевом уровне, где понятия url не существует... имхо... это уже не его задача - разграничение доступа по урл, а прокси...

Цитата:

Как обеспечить, чтобы рубился доступ не на весь этот IP, а только именно на конкретный хост (URL) ?

Насколько я знаю networking, прога сначала делает что-то типа GetHostByName и получает IP адрес хоста по URL. Запрос проходит по системному ДНС резольверу (или преобразователю адресов )
Потом прога уже открывает соединение на этот IP.
Получается, чтобы сделать фильтрацию на URL, нужно фильтровать ДНС запросы.


Цитата:

интересно, во сколько раз замедлиться работа, если дл якаждого пакета, файеру придётся определять соответствие url-а и ip?

Для каждого пакета это делать не нужно, а только в момент создания соединения

Вот насчет техники мне как раз и хотелось бы узнать, как это делается (какими методами) и как это технически выглядит.

Что есть собственно "прокси"? Причем здесь мы имеем ввиду только локальные прокси - а в этом смысле это тот же файрвол: т.е. фильтр, пропускающий через себя сетевые пакеты (запросы/ответы), фильтруя их при этом по определенным правилам, не так ли?

Насчет замедления работы при преобразовании IP-host-IP: если нормально написан файрвол, то никакого замедления не будет; такого рода запросы делаются постоянно при работе в сети. И поскольку DNS-база кэшируется у провайдера (или даже локально) - то затрачиваемое на это время ничтожно мало. Это так сказать теория.

На практике у меня Kerio 2.1.5 пишет в логи имена хостов (т.е. понятно, что он вычисляет их на основании IP) и при входящем траффике 1000 kbit/s и 100-300 одновременных соединений (eMule in+out) тормозов в сети и в работе файрвола не наблюдается.
(С другой стороны, можно найти файрволы, которые в таких же условиях умудрятся забрать под себя все ресурсы.)

Добавлено
Karlsberg: во-во, насчет техники надо разобраться. Там еще в дело вмешивается обратный DNS-ресольвинг...