» Лучший файрволл firewall

NightHorror
с 21 не работал- не знаю (валила систему на диалапе), а .23 проходила нормально .Сейчас сижу на .31 (последняя .40 опять периодически рубит систему - причем дефект падения наблюдается и на хрюше честной с СП2 (на буке) и на win2k - и опять на диалапе -просто в какой-то момент комп выключается. .31 работает на ура и устраивает на 100%. )



Цитата:

Jetico рулит !

(даже не смотря на проблемы с .40 версей)

Пы.Сы. Еще бы в корпоративном варианте нечто аналогичное .....

NightHorror


Цитата:

Таблица на пробиваемость из шапки (октябрь 2004) говорит, что все протестированные файры копикатом пробиваются . В то же время точно знаю,
что Jetico (сам ей пользуюсь) копикат (и создание remote thread) давно уже держит.
Видимо таблица какая-то лажовая.

Специально запустил тест. Сначала у меня BitDefender детектировал его как вирус Virtool.Breaker.SN (пришлось отключить), потом Outpost 2.5.370 четко блокировал его при попытке модифицировать память атакуемого процесса:


Цитата:

Process network access blocked. COPYCAT.EXE modified memory of MSIMN.EXE

Так что Jetico не оригинален

Цитата:

Видимо таблица какая-то лажовая.

при тестировании автор сайта разрешал все события не связанные напрямую с сетевой активностью(DLL injection, memory modification, ....) - это его методика тестирования.
поэтому данная таблица не полностью соответствует действительности.
при тестировании файерволов с полной функциональностью, у многих из них результаты будут совсем иными.


Добавлено
там под таблицей даже пояснение есть:

Цитата:

These results does NOT show the ranking of the overall firewall features, but only of a single component, the outbound application filtering. If you want to know how to do the tests yourself or if you want to understand the results, read the PDF document below

crypt77


Цитата:

при тестировании автор сайта разрешал все события не связанные напрямую с сетевой активностью(DLL injection, memory modification, ....) - это его методика тестирования

И в чем сммысл такого тестирования?

AnDySs1

Цитата:

И в чем сммысл такого тестирования?

этот вопрос скорее не ко мне, а к составителю этой таблицы.
Возможно при таком подходе его "любимый" файервол выглядит лучше остальных.

Цитата:

These results does NOT show the ranking of the overall firewall features, but only of a single component, the outbound application filtering

здесь написано, что это результаты тестирования лишь ОДНОЙ компоненты(outbound application filtering) файервола, а НЕ всех его функций. По видимому автор считает, что всё остальное это не дело файервола.

Добавлено
К примеру если у Jetico отключить компоненту "Process Attack Detection", то как раз и получим, те результаты которые опубликованы в таблице.

Добавлено
Считаю, что данная сводная таблица имеет лишь академический интерес. Т.к. в ней приведены результаты тестирования "кострированных" файерволов. И на практике я бы не стал на неё опираться.

А как будем win32 системы защищать при угрозе реверсивного трояна, который транспорт svchost'a использует на разрешенных портах? Статья.

crypt77
Разобрался в нюансах что считать прохождением теста -
Вытащил anti-leaktest-guide.pdf , и вот что там написано


Цитата:

Pass: A sucseefull pass will be an alert from the firewall telling you that Copycat.exe is trying to access the network and should ask you to allow it or to block it. To warn the user only because there is a memory modification (without any network event ) is not a pass

то есть, появление только сообщения, что copycat пытается модифицировать память, без запроса на сетевую активность не является прохождением теста.

Так что при такой трактовке получается, что файер не проходит тест

kraeved
ну тут ничего нового.....
с Jetico этот фокус не проходит.
на эту тему уже давно LeakTest есть, DNStester называется.

Добавлено
AnDySs1

Цитата:

то есть, появление только сообщения, что copycat пытается модифицировать память, без запроса на сетевую активность не является прохождением теста.

Так что при такой трактовке получается, что файер не проходит тест

угу.
а обзови разработчик это событие как "доступ к сети" и тест будет пройден...

AnDySs1

Цитата:

то есть, появление только сообщения, что copycat пытается модифицировать память, без запроса на сетевую активность не является прохождением теста.

А в случае с копикатом запроса на сетевую активность самого копиката быть и не должно: в сеть будет стучаться другое приложение.

Добавлено
Alois

Цитата:

Так что Jetico не оригинален

Но у Jetico эта фича раньше появилась

Добавлено
AnDySs1

Цитата:

(даже не смотря на проблемы с .40 версей)

У меня стоит на 3-х машинах WXP SP2 версия 40 и все нормально, ни зависонов ни вырубонов. И софта на них стоит немало (это по поводу конфликтов). Так что проблемы растут не из Jetico, во всяком случае не из-за явных глюков в ней.

NightHorror


Цитата:

А в случае с копикатом запроса на сетевую активность самого копиката быть и не должно: в сеть будет стучаться другое приложение.

Это по нашему скромному менению-выдал файер запрос на нештатную активность приложения -(модификацию памяти напр ) -тест пройден. А автор теста хотел чтоб фаер написал именно про сетевую активность
_http://www.firewallleaktester.com/docs/anti-leaktest-guide.pdf


Цитата:

У меня стоит на 3-х машинах WXP SP2 версия 40 и все нормально, ни зависонов ни вырубонов. И софта на них стоит немало (это по поводу конфликтов). Так что проблемы растут не из Jetico, во всяком случае не из-за явных глюков в ней.

У меня тоже не на одной стоит . И проблема была именно в конфликте именно 40 версии с другим софтом на НЕКОТОРЫХ машинах (в том числе нортон антивир 2005 и симантек коорпоратив бизнес пак ,IBM ACESS connector, secretmaker) Фишка то в том, что на 40 падает, при откате на 31 -работает При переходе на 41RC ТОЖЕ работает

AnDySs1

Цитата:

У меня тоже не на одной стоит . И проблема была именно в конфликте именно 40 версии с другим софтом на НЕКОТОРЫХ машинах ...

Мне просто повезло.


Цитата:

Это по нашему скромному менению-выдал файер запрос на нештатную активность приложения -(модификацию памяти напр )

Выдачей сообщения от файра дело не ограничивается. Если запретить модификацию памяти, то и copycat говорит, что не может скачать файлик. Что и является критерием прохождения теста на него.

Давеча опять попробовал Look'n'Stop. С момента последнего знакомства глюков сильно поубавилось и работается с ним вполне спокойно. Вот только интерфейс по прежнему вызывающе уродлив. И ещё интересно - защита файла правил считается авторами излишней? Простой текстовый файл, заменить его своим с правилом "можно всё" нет проблем - и при перезагрузке получаем отключённый файервол...
Я чего-то не понимаю?

ЧТо то судя по сводной таблице Jetico не рулит
Все таки Outpost надежнее.

Тесты (dll-инъекция и т.п.) - это хорошо, но я что-то не очень понимаю идеологию защиты "компонентов".

Ну вот, предположим, фаерволл сообшает, мол, дескать такой-то компонент был изменен и просится в интернет. При этом делаются ссылки на какие-то невнятные dll из системной директории. Ну хорошо, если я только что поставил что-то новое (хотя связь все равно не ясна, например, поставил PGP, так просто все ходуны в интернет "изменились"). А если не поставил? Или поставил, но засомневался, а нет ли в этом новом вредоносного кода (да хоть в том же PGP)?

В случае Аутпоста, предлагается один вариант защиты: блокировать компонент до следующего его запуска. Но если я блокирую, то "компонент" ака приложение само не попадет в интернет. А надо. И что же предполагается я должен делать? Переставлять данное приложение?

Где лекарство, блин?

Keep3r
А где сводная таблица на 24 ноября, в которой отражены тесты Jetico 1.042RC ???

Alois



Цитата:

В случае Аутпоста, предлагается один вариант защиты: блокировать компонент до следующего его запуска. Но если я блокирую, то "компонент" ака приложение само не попадет в интернет. А надо. И что же предполагается я должен делать? Переставлять данное приложение?
Где лекарство, блин?

Вот поэтому я и ушел на Jetico, где вариантов настройки правил достаточное количество


Цитата:

Ну хорошо, если я только что поставил что-то новое (хотя связь все равно не ясна, например, поставил PGP, так просто все ходуны в интернет "изменились"). А если не поставил? Или поставил, но засомневался, а нет ли в этом новом вредоносного кода (да хоть в том же PGP)?

PS. рецепт. применять регулярно
Берем рабочую систему. создаем ее образ. запускаем виртуал_пс. грузим образ. ставим новую программу , лезем в инет смотрим . тестим. выключаем питание.

AnDySs1

Вообще-то примерно так и делаю. "Образ" текущей ОС в вирт. PC я создавать не умею, но делаю бекап системного раздела с помощью TrueImage перед установкой каждой новой программы. Поэтому откат - не проблема.

"Что-то система странно себя повела после этого сайта/запуска экзешника" - говорю я себе иногда. 3 минуты - и я снова в прошлом.

Но мой вопрос остается в силе. Потому что можно тогда уж можно просто построить систему, к-рая каждый раз запускается с нуля (в манере PE Win). А значит в пень все фаерволлы и антивирусы.

...Когда-то я разработал "оригинальную" корпоративную концепцию, к-рая называется "ничто не защищено". Или "Добро пожаловать, хакеры". Она была основана на таких посылках:

1. Защита всегда мешает подзащитным.
2. Хакеру скучно, если нет преград, а ламер не навредит.
3. Не защищаясь, я как бы говорю: "Нет здесь ничего ценного!".

Эксперимент удался: за примерно полтора года в фолдер мелкомягкого вебсервера (уже не помню версию) было нафигачено извне порядка 60 мегабайт эксплоитов. Ну и что же? Ни одного падения сервера, забивки канала, утраты данных, подмены заглавной веб-страницы не было. Ну, видимо, какие-то студенты получили некое самоудовлетворение. Бекап (учитывая обстоятельства) делался особенно усердно (с возможностью отката на любой день из последней недели), но ни разу не пригодился. Утечки информации всегда происходили исключительно из-за человеческого фактора. Равно как и потери данных - только из-за отказа хардвере...

Но вернемся к домашним десктопам под фаерволлом и антивирусом. Очень они похожи на "комнату с решетками на окнах и с колючей проволокой на потолке". Цитата из последнего спец-выпуска журнала Хакер, посвященного защите Виндов. Там настойчиво предлагается не сидеть на домашнем компе под админским эккаунтом. Я попытался. Легче вообще не сидеть за компом

Неоднократно читал про стратегию защиты: запрещено все, что не разрешено. Ну понятно, это порты и права приложений. (Кстати, где такая опция в фаерволле: запрещаю все порты, кроме вот этих??) Но в случае dll-инъекции и такая политика не работает: вот тебе скриншот декстопа и захват клавиатуры. Что еще скрывать-то? Какой смысл во всякой защите, если от такой простой вещи нет лекарства? Если, запустив ЛЮБУЮ программу, ты не можешь быть уверен, что не передаешь интимную информацию о своей системе?

Аутпост кричит, и нажимаешь "разрешить", потому что нет других идей, и времени нет на откат. Дверь открыта, и смешат решетки на окнах.

Цитата:

Я чего-то не понимаю?

никто не понимает, зачем с ней как с писаной торбой носиться, с LnS.


Цитата:

Цитата из последнего спец-выпуска журнала Хакер, посвященного защите Виндов. Там настойчиво предлагается не сидеть на домашнем компе под админским эккаунтом. Я попытался.

это патология. на свежий воздух пора

Alois

Цитата:

(Кстати, где такая опция в фаерволле: запрещаю все порты, кроме вот этих??)

ну так можо создать правило на уровне, например,system protocol rule и открыть нужный порт а остальную активность reject


Цитата:

Потому что можно тогда уж можно просто построить систему, к-рая каждый раз запускается с нуля (в манере PE Win). А значит в пень все фаерволлы и антивирусы.

вот оно, решение Или для конечного пользователя выход в инет через удаленный терминал, в котором кроме BOOT ROM ничего нет . И пусть голова болит у провайдера

P.S. а Jetico таки опять упал после петькиного живого обновления(SAV corp) не через
локальный сервер, а через инет....

Alois

Цитата:

Но вернемся к домашним десктопам под фаерволлом и антивирусом. Очень они похожи на "комнату с решетками на окнах и с колючей проволокой на потолке". Цитата из последнего спец-выпуска журнала Хакер, посвященного защите Виндов. Там настойчиво предлагается не сидеть на домашнем компе под админским эккаунтом. Я попытался. Легче вообще не сидеть за компом

Немножко права доступа поправить - и усё Уже полтора года - полет нормальный.

Keep3r

Цитата:

ЧТо то судя по сводной таблице Jetico не рулит

На эту лажовую таблицу можно не ориентироваться. Некорректная она слишком.

Alois

Цитата:

Там настойчиво предлагается не сидеть на домашнем компе под админским эккаунтом. Я попытался. Легче вообще не сидеть за компом

Правильно рекомендуют. Незначительные неудобства от этого есть только в необходимости логинится админом при установке программ (да и то это видимо в Windows Server 2003 как у меня, в XP в большинстве случаев достаточно полномочий power user - и это очень плохо), но риск нарваться на очень большие неприятности снижается на порядок. Я бы добавил что в XP надо самому настроить свой рабочий account сильно урезав полномочия по сравнению с power user.

народ, а какой файрвол лучше подходит для сервера? (Win2003)

Цитата:

народ, а какой файрвол лучше подходит для сервера? (Win2003)

Я пока на Tiny остановился. Правда, у меня Win2K server. Можно было бы керио ставить, но я к вингейту привык, на винроутер менять не захотел.

Gimmi
Встроеный от MS вполне сойдёт, если конечно большой локальной сети нет.

А ISA не подойдёт для сервера? для локалки-то....

а аутпост как вам? в чем его недостатки как серверный файрвол?

Gimmi

Цитата:

а аутпост как вам? в чем его недостатки как серверный файрвол?

Он валит систему с hyperthreading.

ALL
Тут такой вопросец возник.
Все, я думаю, знают и помнят AtGuard 3.22. В своё время один из лутьших. Теперь, конечно немного устарел. Так вот вопрос. НАСКОЛЬКО он марально устарел? Т.е. какова его надёжность теперь? Я знаю что некоторых функций, имеющихся у новых фаерволов, у него нет. Но в общем комплексе?
Поясняю. Люди старшего, ну СТАРОГО, поколения очень трудно воспринемают новшевства. У человека о котором идёт речь, уже давно стоит атгвард, он превосходно знает как его настраивать в случае перестановки. Стот ли мне браться за неблагодарное дело переубеждения его, чтоб поставить оутпост, например? Надо учитывать не только "оутпост круче, значиит ставь", но и отсутствие свободного времени и неспособность адаптироваться к новому. Банальная привычка.

grey_goose

Цитата:

Т.е. какова его надёжность теперь?

0

Добавлено
пояснаю.. любым лик тестом обходится.. любым трояном убивается

SXP
Хреново. Спасибо.
ALL
Ещё какие мнения есть?

Добавлено

Цитата:

любым трояном убивается

Угум. Это изнутри. Когда "оне уже тута", а с наружи?