» Лучший файрволл firewall

abz
В таком случае файерволами недостойны называться практически 95% всех существующих файерволов. Увы...

Кстати, любители встроенного в ХР файера - обратите внимание на его недостатки в этом обзоре (описан, правда, из SP1)

Цитата:

http://z-oleg.com/secur/fwtest.htm

MamaPapa
Karlsberg
По поводу моего обзора, описанного на http://z-oleg.com/secur/fwtest.htm я хочу заметить один важный момент - Firewall я тестировал в идеальных условиях - чистая свежеустановленная операционка + Firewall. Поэтому судить о стабильной работе Firewall по этому обзору нельзя - условия работы Firewall "тепличные" ... И второй момент - я на все 150% согласен с abz - то, что Firewall виден как обычный процесс и может быть убит (с пропаданием защиты) - это его страшный минус, т.к. очень многие черви и трояны содержат внушительные списки с именами процессов всех распространенных Firewall и антивирусов - при запуске они убивают Firewall.

Oleg_Zaitsev

Цитата:

Firewall виден как обычный процесс и может быть убит

не у всех....

Oleg_Zaitsev
То что процесс виден - стандартное поведение в любой операционной системе, а посему недостатком это вряд-ли можно назвать. Если даже он не виден стандартными средствами, всегда найдется тул показывающий скрытые процессы.
Возможность убить процесс - недостаток большой, и честно говоря я не знаю ничего кроме eTrust из тех кто не дает себя убить (правда, много не проверял) и предлагаю назвать таких поименно, кто знает...
а вообще - почет "знатокам"

ZoneAlarm тоже недает себя убить...

SXP
Конечно не у всех - некоторые Firewall ставят собственный драйвер для фильтрации пакетов - в этом случае их видимый процесс выполняет функции GUI для пользователя и его убиение ничего не меняет. В моих тестах такой "неуязвимостью к убиению" отличались Norton Internet Security 2004, ICF, Sygate Personal Firewall Pro 5.5, Visnetic Firewall 2.2 (у него была даже опция - блокировать весь трафик, если Firewall не запущен или удален), Look n stop personal firewall. У остальных убиение процесса приводило к выключению защиты (я это явно отмечал в моем обзоре) или глюкам. Кстати, ZoneAlarm 4.5.594 мне удавалось прибить с пропаданием защиты - вероятно, в версии 5 они это учли.

Я полагаю всякий уважающий себя ХАКЕР не полезет ко мне.
Ему у меня в компе делать НЕЧЕГО!!!!!
А вот от пацанов я надеюсь SYGATE Fireall меня защитит.
А если пробьют стенку у меня стоит APS, которая должна ЗАОРАТЬ,
сообщив о вторжении.

Могу добавить - Керио 2.1.5 открывает весь траффик, eTrust EZ Firewall 4.5 не убивается.

Oleg_Zaitsev


Цитата:

ZoneAlarm 4.5.594 мне удавалось прибить с пропаданием защиты - вероятно, в версии 5 они это учли.

нет...в Зон аларме это зделали еще в версии 3.0.... а вклычается это так..

по памяти несовсем помню

ZoneAlarm > Overview > Preferences / settings > Protect ZoneAlarm blabla Client.... checkbox

Oleg_Zaitsev
MamaPapa
Вы случайно не друзья в реале?

Люди, сделайте голосование пользователей форума, 77 страниц, а вывод не прочитав, а то и прочитав сделать трудно. Пусть люди голосуют.
А тестирование всяких фирм и журналов часто заказное и необъективное.

andreipoli
Юзай поиск, вроде где-то было голосование.

Добавлено
нашел!
http://forum.ru-board.com/topic.cgi?forum=5&topic=4691&start=240

Добавлено
В шапку добавил

Вопрос:
Какой из firewall-ов, кроме Jetico Personal Firewall, умеет защищать от подставы при Idle сканировании?

crypt77

Цитата:

Idle сканировании

Можно немножко ликбеза по поводу этой фичи? Возможно, у других производителей она просто называется по-другому.

Добавлено
Нашел линк в теме про Jetico: _http://cherepovets-city.ru/insecure/runmap/runmap-idlescan.htm
А какое здесь отличие от любого другого скана с "левого" компьютера?

Добавлено
Ясно, вся хитрость в том чтобы файервол не разрешал посылать RST на SYN+ACK с закрытого порта... Почти уверен, что все нормальные файеры не разрешают. Это про файер на зомби.
А если сканируют открытый файером порт то ни один файер не поможет
Кстати, с номерами пакетов тоже неувязка, имхо. Если на зомби бежит даже маленький трафик, номера не совпадут, так как убегут далеко вперед. И что-то я такое читал, что эти номера не последовательны, начиная вроде с Вин 2к (боюсь ошибиться)

Karlsberg

Цитата:

Ясно, вся хитрость в том чтобы файервол не разрешал посылать RST на SYN+ACK с закрытого порта...

совсем не в этом.

Цитата:

А если сканируют открытый файером порт то ни один файер не поможет

насколько ты понимаешь при Idle сканировании злоумышленник не посылает не одного пакета жертве от своего имени, а посылает их от имени зомби, и настройки тут ни причём. это сканирование можно использовать для двух целей.
1. сканирование портов через подставное лицо (зомби можно выбрать из trusted зоны для жертвы)
2. для определения настроек файера между зомби и жертвой.

Цитата:

Кстати, с номерами пакетов тоже неувязка, имхо. Если на зомби бежит даже маленький трафик, номера не совпадут, так как убегут далеко вперед.

здесь всё нормально. естественно есть некоторые ограничения на трафик зомби.
величина этого трафика напрямую зависит от ширины канала. чем шире канал, тем больше допустимый трафик. попытки делаются несколько раз за максимально короткое время, после этого смотрят на совпадение результатов. на практике всё прекрасно работает, лично проверял.

Цитата:

И что-то я такое читал, что эти номера не последовательны, начиная вроде с Вин 2к

тут позволь с тобой не согласиться. даже если номера не последовательны, то обычно известен алгоритм. соответственно можно предсказать какой номер будет следующим и какой будет через n пакетов.
пример:
1. win2k
[root@crypt hping2]# ./hping2 xxx
HPING xxx (eth0 192.168.1.3): NO FLAGS are set, 40 headers + 0 data bytes
len=46 ip=192.168.1.3 ttl=128 id=47472 sport=0 flags=RA seq=0 win=0 rtt=0.3 ms
len=46 ip=192.168.1.3 ttl=128 id=47474 sport=0 flags=RA seq=1 win=0 rtt=0.4 ms
len=46 ip=192.168.1.3 ttl=128 id=47476 sport=0 flags=RA seq=2 win=0 rtt=0.3 ms
len=46 ip=192.168.1.3 ttl=128 id=47478 sport=0 flags=RA seq=3 win=0 rtt=0.3 ms
len=46 ip=192.168.1.3 ttl=128 id=47480 sport=0 flags=RA seq=4 win=0 rtt=0.3 ms
len=46 ip=192.168.1.3 ttl=128 id=47482 sport=0 flags=RA seq=5 win=0 rtt=0.3 ms
len=46 ip=192.168.1.3 ttl=128 id=47484 sport=0 flags=RA seq=6 win=0 rtt=0.3 ms
2. win2k + JPF (Allow All)
[root@crypt hping2]# ./hping2 yyy
HPING yyy (eth0 192.168.1.4): NO FLAGS are set, 40 headers + 0 data bytes
len=46 ip=192.168.1.4 ttl=128 id=19698 sport=0 flags=RA seq=0 win=0 rtt=0.3 ms
len=46 ip=192.168.1.4 ttl=128 id=58895 sport=0 flags=RA seq=1 win=0 rtt=0.3 ms
len=46 ip=192.168.1.4 ttl=128 id=3718 sport=0 flags=RA seq=2 win=0 rtt=0.3 ms
len=46 ip=192.168.1.4 ttl=128 id=38991 sport=0 flags=RA seq=3 win=0 rtt=0.3 ms
len=46 ip=192.168.1.4 ttl=128 id=14601 sport=0 flags=RA seq=4 win=0 rtt=0.5 ms
len=46 ip=192.168.1.4 ttl=128 id=59343 sport=0 flags=RA seq=5 win=0 rtt=0.3 ms
len=46 ip=192.168.1.4 ttl=128 id=55111 sport=0 flags=RA seq=6 win=0 rtt=0.3 ms

как видишь JPF модифицирует пакеты на предмет ID.

Кстати с помощью этого типа сканирования можно легко просканировать снаружи машины корорые имеют приватные адреса и находятся за гейтом.

crypt77

Цитата:

совсем не в этом

Так, давай притормозим пока... Я хочу понять два момента.
1 - О чем мы говорим - о зомби или о жертве?
2 - Что должен делать файервол чтобы не давать использовать себя как зомби?

Karlsberg

Цитата:

Так, давай притормозим пока... Я хочу понять два момента.

ok

Цитата:

1 - О чем мы говорим - о зомби или о жертве?

о зомби

Цитата:

2 - Что должен делать файервол чтобы не давать использовать себя как зомби?

последовательность IPID должна быть непредсказуемой.
т.е. по любой имеющейся последовательности нельзя вычислить следующий элемент.
Хотя думаю это задача не файервола, а системы, но файер в силах прикрыть эту дырку в системе.

Добавлено

Цитата:

Попробуйте использовать ОС с менее предсказуемой IPID, например, OpenBSD, Solaris или Linux. Так вы обезопасите себя от использования в качестве "зомби".

из _http://cherepovets-city.ru/insecure/runmap/runmap-idlescan.htm

crypt77
Ок, файер на зомби. Насколько я помню, номера пакетов тасует большинство файеров, по крайней мере я это встречал у Сигейта (точно помню) и некоторых других.
Но даже если номера пакетов не меняются файерволом, то использовать комп с файером в качестве зомби имхо не получится потому что он не ответит RST-ом на SYN+ACK, то есть сканер просто не получит ответ.

Karlsberg

Цитата:

Насколько я помню, номера пакетов тасует большинство файеров

не уверен

Цитата:

Но даже если номера пакетов не меняются файерволом, то использовать комп с файером в качестве зомби имхо не получится потому что он не ответит RST-ом на SYN+ACK, то есть сканер просто не получит ответ.

а и ненадо, чтобы он отвечал RST-ом. Необходимо получить любой ответ, например подсоединившись к легальному сервису (SMTP,HTTP,FTP,...)

crypt77
Сейчас все бросятся проверять свои файерволы

Цитата:

а и ненадо, чтобы он отвечал RST-ом. Необходимо получить любой ответ, например подсоединившись к легальному сервису (SMTP,HTTP,FTP,...)

Согласен, если на зомби открыт хоть один порт

Karlsberg

Цитата:

Сейчас все бросятся проверять свои файерволы

было бы очень интерестно взглянуть на результаты.


Цитата:

Согласен, если на зомби открыт хоть один порт

угу.
причём это даже может быть и не UDP или TCP, а любой другой протокол (ICMP, VPN,...), лишь бы зомби откликнулся

Увидел в обсуждении аббревиатуру RST
поэтому и и возник вопрос: кто-нибудь может обьяснить что такое RST attack
вот логи от моего файервола ( Outpost v2.1, в логе заменил только два числа на k,n):

30.08.2004 21:59:11 Port scanned 194.67.k.n TCP (2427, 2425, 2419, 2431, 2430, 2429)
30.08.2004 21:59:11 Rst attack 194.67.k.n -> 194.67.k.n

Поясню что 194.67.k.n - это конкретный IP моего прокси на работе через который я выхожу в интернет из дома по локалке (домашний IP естественно другой)

Результат этой атаки - блокирование аутпостом собственного прокси (и соответсвенно всех внешних соединений) на 30мин (согласно установкам аупоста). Случилось уже дважды за неделю и впервые за полгода.

Раньше такого в логах не наблюдал.

Что же все таки это означает "Rst attack 194.67.k.n -> 194.67.k.n" ?????

Spectr

Цитата:

A TCP Reset attack is a denial of service attack in which the perpetrator attempts to prematurely terminate a victim's active TCP session. This does not present a serious risk for many connections, but could create significant damage and/or disruption if used effectively.

Целый труд на эту тему: _http://www.osvdb.org/reference/SlippingInTheWindow_v1.0.doc (eng)

Spectr, у меня аналогично на домашнем компе один раз было (стоит Usergate), локалхост был блокирован.

Karlsberg

Цитата:

Целый труд на эту тему: _http://www.osvdb.org/reference/SlippingInTheWindow_v1.0.doc

Спасибо большое за ссылку - будет что читать на выходные

Позволю себе еще один чисто практический вопрос - кто атаковал??
Можно ли 100% утверждать по этим логам что атака шла именно с этого IP??
Мог ли этот номер использоваться как зомби ( если я правильно понял предыдущие посты)? Ведь этот IP является Nat+Proxy, за которым сидит целый академический институт (уже с 192.168.*.*)
И мне важно знать сосед ли по институту меня ломал или кто-то со стороны?

...насколько меньше тормозит встроенный файрволл в ХРSP2. На рисунке показана фильтрация входящих и исходящих пакетов при включенном Outpost 2.1, а затем переключении на встроенный файрволл: . Измеряющая программка Du Meter...

Spectr

Цитата:

кто-нибудь может обьяснить что такое RST attack

это когда кто-то левый пытается разорвать твои TCP соединения.
Для успешной реализации этой атаки необходимо видеть трафик жертвы.
т.е. или быть с жертвой в одной локалке или быть гдето на дороге, где идёт трафик жертвы.

Цитата:

Позволю себе еще один чисто практический вопрос - кто атаковал??
Можно ли 100% утверждать по этим логам что атака шла именно с этого IP??

Можно 100% утверждать, что это не этот адрес
т.к. в этой атаке используется технология подстановки(spoofing) обратного адреса. Злоумышленника можно найти по обратному MAC адресу (если он из локальной сети).

А вообще касательно конкретной ситуации на 90% уверен, что это не атака, а ложное срабатывание при неправильной обработке глюков M$.

cornborer

Что следует из этого графика? Кто из этих файрволлов тормозит больше ?

Spectr
а у тебя какая система стоит на машине где крутится proxy?

STNG
Судя из графика скорость DL (download) больше при встроенном файрволле, т.е. он тормозит меньше. Но это ни о чем не говорит, вдруг при этом связь улучшилась. Тогда все так и будет, а тормозят они одинаково.