» Лучший файрволл firewall

CraVe
22:14 10-11-2004
Цитата:

P.S. Нашёл крякнутый exe шник к Look'n'Stop 205p2, кому надо, стучитесь в ПМ.

Добавлено
Опс, сори, это не exeшник а кряка, но всё равно работает.. сори за офтоп!

С этим в Варезник. Тут постреляют...

abz
Уже там.. а Look 'n' Stop работает вроде исправно, пока нареканий нет ...

Поставил последний Outpost 2.5.370 trial. Тест PCAudit он не проходит (мне уже смешно), если только не запретить Windows Explorer'у ходить в интернет. Но, хотя PCAudit и считает, что скриншот отправлен, на самом деле - ни фига: показать пытается, но не может.

Еще один момент. Outpost - первый из протестированный мне файеров, к-рый отреагировал на tooleaky.exe, а именно сообщил, что эта программа пытается запустить Windows Explorer с подозрительными параметрами в командной строке.

Два промежуточных вывода:

1. Outpost все-таки лучший.
2. Windows Explorer'у не стоит разрешать никакой сетевой активности, потому что это очевидная мишень не только для тестеров, но и для хакеров.

Alois

Цитата:

Тест PCAudit он не проходит (мне уже смешно), если только не запретить Windows Explorer'у ходить в интернет.

У меня проходит. Раза три тестил. Поставь контроль компонентов на максимум.

Alois

Цитата:

Еще один момент. Outpost - первый из протестированный мне файеров, к-рый отреагировал на tooleaky.exe, а именно сообщил, что эта программа пытается запустить Windows Explorer с подозрительными параметрами в командной строке.

Sygate реагирует точно так же, правда параметры строки не пишет... Так что выводы твои преждевременны... (Хочешь, скрин предупреждения Sygate сюда помещу? )

Fregl

Подтверждаю.


Цитата:

Windows Explorer

Process requests an outbound network connection.
One or more components of this application have changed... <...>

c:\windows\system32\wbem
fastprox.dll
wbemcomn.dll
wbemprox.dll
wbemsvc.dll

Вот блин, а я раньше не придавал значения подобным сообщениям

korn32

А хочу! "Выводы" - в смысле, есть мнение, что Sygate надежней?


PS: Мою недавнюю фразу "из протестированный мне файеров" прошу читать как "из протестированных мною файерволов".

Alois

Цитата:

А хочу!

Получай!



Причем эксплореру как таковому разрешено все. А выводы... выводы я не делаю, просто хотел обратить внимание, что Оутпост не единственный достойный внимания

korn32

Ну да, впечатляет. Хотя в тестовой таблице он, если я не ошибаюсь, на 5-м месте. Ну вот еще обзорчик http://www.personal-firewall-software-review.toptenreviews.com/

Помогите новичку!
У меня стоит Outpost 2.5.
Последнее время получаю извещения, что меня сканируют, порт 445.
Я закрыл правилом входящие на этот порт.
Что интересует"товарищей" в этом порте и как это может мне навредить?
Может кто даст информацию?
Спасибо.

Andusha

В официале -Win2k+ Server Message Block

посмотри на _http://isc.sans.org/port_details.php?port=445

плюс табличка http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=11375

Andusha
Закрывать порты по отдельности - очень плохая практика. Закрой всё и открывай только то что действительно нужно. Обязательно проверь закрыты ли они реально (тесты в шапке PCFlank, Sygate, ShieldsUP). Насчёт сканированя: с вероятностью 99.9% никакого сканирования нет. Постоянные напоминания о своей полезности в виде сообщений об атаках это обычная практика для таких "продвинутых" продуктов как Outpost. На всякий случай посмотри свойства своего network connection и если любой протокол кроме Internet Protocol (TCP/IP) enabled - запрети его (если конечно нет особых причин использовать эти протоколы). Ну и желательно так ограничить полномочия своего рабочего account-а чтобы сам не мог под ним устанавливать программы. После этого можешь не обращать внимания на подобные сообщения и даже лучше запретить их (файерволл и антивирус нужны безусловно).

Andusha
pita прав, у меня из-за этого был залет. Закрой все по максимуму, проверься
тестами и открывай только то, что тебе необходимо. На остальное не обращай внимания,
раздражает - убери.

Спасибо всем!
Сменил Outpost на новый ZoneAlarm 5.5.
Там по умолчанию этот 445 и 135 -139 заблокированы на вход.
Проверил порты в PCFlank - невидимы. Сейчас еще настройки интернет протокола выставлю как надо.
Успехов всем!

Andusha
Если новый ZoneAlarm будет работать стабильно, то может это и неплохой выбор, но если начнёт слетать (а с ним это случается), то лучше заменить его на более стабильный. Поскольку сам я использую файерволл от MS встроенный в Windows 2003 (хотя пробовал и ZoneAlarm), от конкретных советов воздержусь, скажу только что судя по отзывам пользователей Sygate и McAfee понадёжнее будут, ну и файерволы от eTrust и TrendMicro тоже качественные. Моё мнение: выбор между этими продуктами - дело вкуса и на безопасность не влияет.

А кто-нибудь проверял последние версии Зоны, Sygate, McAffee на пробиваемость copycat-ом ?

NightHorror

Цитата:

А кто-нибудь проверял последние версии Зоны, Sygate, McAffee на пробиваемость copycat-ом ?

Sygate не проходит тест, последний ZAP - видит copycat и показывает окно с вопросом "чего делать?", если запрещаешь - ZAP тест проходит успешно.

Jetico прошел на "ура" и в который раз подтвердил свою надежность

Цитата:

А кто-нибудь проверял последние версии Зоны, Sygate, McAffee на пробиваемость copycat-ом ?

А как McAfee? И вообще, смущает, что ему уделяют так мало внимания на РуБорде. По отзывам вроде пять баллов, что же не так?

Zimagor, красота интерфейса погоняющая ресурсы :) На этой ноте его я полгода назад и снёс.

kraeved
Ну у Персонала понятно - и у Десктопа тоже?! (Я сам не видел)

Zimagor, хм, я задумался… :) Реплика выше действительно к Personal версии относилась. Глянув скриншоты, понял, что Desktop не ставил.

Почитал о Desktop… пакетное фильтрование, доступ приложений к сети, отражение DoS, хм, попробовать что ли :)

POSTSCRIPTUM
Моя душа плачет от того, что не могу найти отдельно программу для контроля доступа приложений в сеть. Такая фича доселе лишь в файрволах настольных видена, а что ставить в связку, например, c InJoy или Visnetic (то бишь серверными стенами)… :(

kraeved
Да, судя по скринам, Desktop сложно обвинить в навороченном интерфейсе Там 7.5, а последний вроде 8.0, но это роли не играет. Кто-нибудь может что-нить привести в защиту/или наоборот McAfee Desktop Firewall по сравнению с Agnitum Outpost Firewall?

Zimagor
Fast user switching в XP не поддерживается. По крайней мере, не поддерживался еще пару-тройку месяцев назад.

А интересно free версия Outpost мочит Copycat ?

korn32
Liberty_2000
Zimagor

Я почему спросил. Таблица на пробиваемость из шапки (октябрь 2004) говорит, что все протестированные файры копикатом пробиваются . В то же время точно знаю,
что Jetico (сам ей пользуюсь) копикат (и создание remote thread) давно уже держит.
Видимо таблица какая-то лажовая.

NightHorror

Ну так в таблице Jetico версии .21 У меня .31 стоит и держит (правда пришлось при загрузке и тестировании антивирь отключать...)

NightHorror

Цитата:

Видимо таблица какая-то лажовая.

Как я понял, copycat ломает файрволл, если на компе оказывается файлик, указанный в урле (по дефолту http://mc.webm.ru/1.txt)
Так?

NightHorror,
у меня jetico нормально говорит что copycat пытается вставить туда-то и туда-то,такую вот штуку,что предпринимать-позволить аль нет.

Zimagor
Насчет MaAfee Desktop firewall очень приличный файер, но ресурсов требует немало... Много всякого ненужного мне функционала вроде VPN, NAT и т.п. Я его на 2003 сервак ставил, он постоянно ругался на ошибку загрузки какого то процесса, причем ставил я упорно, несколько разных билдов, косяк так и не исправили... Поставил VIsnetic, но там только пакетная фильтрация. Потом появился Jetico и я понял что это то что нужно...

kolakola
Нет. Урл - это тот файл, что копикат пытается скачать.
А делает он это, путем записи в адресное пространство чужого процесса своего кода и передачи ему управления (некий аналог создания удаленного потока, только без создания нового). Т.е. доступ в сеть пытается получить совсем другое приложение.
Это не ломание файра, а маскировка под другое приложение, скажем, под эксплорер, которому, если юзер пользует его, доступ в сеть разрешен.


Добавлено
Jetico рулит !

Добавлено
AnDySs1
Ну да. Только я не помню, держал ли Jetico 1.21 запись кода в чужой процесс или нет.
Однако, почему - то XP -ишный файр там от SP2, а Jetico в частности, старую взяли.
Если мне память не изменяет, когда вышел XP SP2 Jetico уже ловил и создание удаленных потоков и запись в чужое адресное пространство.