» Jetico Personal Firewall

zye

Цитата:

Где почитать?

Официально негде. А здесь, в прошлой теме обсуждали подробно. Поэкспериментируй сам с разными таблицами. Для чистоты эксперимента, нужно включить и смотреть подробные логи и очистить кэш браузера (который по умолчанию).

Цитата:

А таблицу "Сетевой активности" я serega87 и не рекомендовал отключать.

Цитата:

Если уж отключать, то все таблицы "проактивки"

Я про неё и не говорил.

undefined
Цитата:

zyeОтправлено 22-05-2009 09:12 Dimitr1s

Цитата: Так давно проверено, при запрещении, режутся сетевые функции всех вовлечённых процессов. А по нижнему, по умолчанию, правилу "Allow" остальной, не сетевой, код исполнится. Где почитать?

P.S.
А таблицу "Сетевой активности" я serega87 и не рекомендовал отключать.

скажите пож=ста, каким образом делается отключение "Сетевой активности" и обратное включение?

Добавлено:
2-й вопрос. Давайте разберёмся с:
****************
Process attack rule.
Process attack specific parameters.
****************
Кто-нибудь сталкивался с ними?
Как включить эти параметры и настроить их?
В хелпе они описаны, а в настройках нигде не смог отыскать.

101shrek

Цитата:

Если я хочу закрыть все порты какой должен быть диапазон?
Какие порты (входящие и исходящие) можно закрывать, а какие нет?
Как записать правило для входящих соединений? Какие являются опасными?

Цитата:

****************
Process attack rule.
Process attack specific parameters.
****************
Кто-нибудь сталкивался с ними?

Шутим или троллим?

Привет. Dimitr1s!
Сильно проблематичные вопросы?
по первой цитате - в принципе уже кое-что понятно, кроме т.н. "опасных", как их в некоторых публикациях называют, соединений. С исходящими пакетами понятно, их JPF обнаруживает сразу и спрашивает что с ними делать, а вот входящие... Такое впечатление, они как-будто независимы от JPF.
В хелпе я прочёл про Process attack rule.

Цитата:

Process attack rule

Process attack rule is designed to filter out following common used hacker's practices

Running hidden web browser
Application code modification
Injecting malicious code to running applications
Installing global hooks
Common parameters
Rule name - human readable rule description
Action - action to be taken on event if rule will match
Log level - event logging level
Process attack specific parameters
Event - suspicious action type
install global hook
Microsoft Windows operating systems provide so-called hooking mechanism. Application are allowed to install 'hook' function which can intercept some events (mouse actions, keystrokes, etc.) before they reach the target application.

The key point of some hooks is that hook function code must be executed on behalf of other application.

Windows hooking mechanism is widely used both by legal applications and trojans. As soon as trojan installs Windows hook, it can access network via its hook function. Since the hook function can reside in legal process' space (for example, in Explorer.exe process), the user will not realize that network is accessed by the trojan.

create hidden window
Trojan program can run another trusted application with command-line arguments and make the application accessing network. Of course, the user will notice that something is going wrong if he/she sees unexpectedly appeared Internet Explorer's windows. So the trojan program can simply run Internet Explorer's windows in hidden mode.

Jetico Personal Firewall reports about the event, but it should be noted that legal programs often run their modules with hidden windows, for example, when such a module supports icon in the system tray.

write to application's memory
Trojan program can modify memory of another trusted application. Usually trojan replaces contents of memory where legal code of the trusted application resides by the code of the trojan's procedure that accesses network. As soon as the procedure runs, it accesses network so that everything looks like the trusted application itself decides to access network.

create remote thread
When Windows application runs, it may have one or several so-called "threads". Every thread works in parallel with other threads and executes its own code in the context of the application's process.

Windows allows creating of remote threads, i.e. one process can create thread that will work in context of another trusted process. In this case Windows beleives that this trusted process is responsible for everything that the remote thread makes.

Trojan programs can use the technology of remote threads to hide their activity.

modify child process
Trojan program (attacker) can run another trusted application and modify its memory before the process of trusted application will run. Since the trusted process is not running yet, it may be difficult to detect after some time that the trusted application will run the code of trojan program.

direct memory access
Trojan program can harm loaded Windows system modules or running applications by modifying contents of system physical memory. Since the physical memory is common for all the processes running on the computer, such a dangerous program can make any process doing what the trojan program wants. Windows security mechanisms normally does not allow programs to make such a trick, but it is still possible. If Jetico Personal Firewall detects this kind of attack, it definitely means that the reported program is a trojan.

Attacker - application performing suspicious activity. Both path with * and ? wildcards and application groups are allowed.
Application - application suffering from attack. Both path with * and ? wildcards and application groups are allowed.
Some attacks, such as hook installing, affect many applications. In that case Victim values becomes useless
Advanced options dialog
Advanced options control popup message parameters. Advanced button will be enabled if rule action is set to ask.


popup question - question text displayed in popup dialog if the rule matches. Text can include keywords in %keyword% form. Upon display keywords will be replaced by corresponding values if available. Supported keywords:
event - event type
application - path to application executable file
attacker - path to attacker application executable file
misc - additional information
parameters for rule to be created - selected parameters will be checked in the new rule created by popup message if available.

Вопрос в том, что в настройках JPF - я не смог найти их.
Откуда тогда они взялись? Или в русифицированной версии "Process attack rule" отключены?
был бы хелп полностью на русском, я не стал бы задавать эти вопросы.

Может просто подскажете где есть хэлп на русском?

jetico поддерживает port forwarding?

gbas272

Цитата:

jetico поддерживает port forwarding?

Не умеет, не слышал, что б персональный фаерволл под Win умел prerouting делать. Есть порт iptables под Win, взгляни если есть желание. Сам не пользовал и не видел Win-версию, но судя по отзывам, жалкое подобие "правильной" iptables.

101shrek

Цитата:

Сильно проблематичные вопросы?

Вопросы банальные, но программе отношения не имеющие.

Цитата:

Если я хочу закрыть все порты какой должен быть диапазон?

Все порты это как? Если вообще все - отключить сетевое устройство и проблема уйдёт.
Если для определённой программы/сервиса - создать правило с вердиктом "запретить" и указать путь до .exe и расположить выше разрешающих сетевых правил. Обсуждалось много раз.

Цитата:

Какие порты (входящие и исходящие) можно закрывать, а какие нет?

Вам виднее должно быть, какие нужны для используемого софта, сервисов такие порты и открывайте. Читайте документацию по всем установленным используемым службам, сервисам, программам. Не нужные отключите/удалите, тем самым упросив работу фаерволла. Документацию читать непременно официальную, а решения принимать - исключительно самостоятельно, к советчикам только прислушиваться, иначе хорошего не выйдет, по другому никак ИМХО...

Цитата:

по первой цитате - в принципе уже кое-что понятно, кроме т.н. "опасных", как их в некоторых публикациях называют, соединений.

Сетевых соединений, опасных не бывает (в отличии от соединений плотских), все протоколы имеют спецификации, согласно которым и функционируют. Опасными бывают умыслы с которыми их используют. Вопрос опять же банальный и к теме работы программы отношения не имеющий, есть огромное число грамотных статей по сетевой безопасности - ищите, читайте. По существу вопроса ответить сложно, что для одного может быть опасно, для другого крайняя необходимость.

Цитата:

Как записать правило для входящих соединений?

Какой ответ ожидаете - "открыть окно фаерволла двойным шелчком по левой кнопки мыши ... бла бла бла...) - нет, увольте, почитайте прошлую тему для начала, хотя бы бегло.

Цитата:

****************
Process attack rule.
Process attack specific parameters.
****************
Кто-нибудь сталкивался с ними?

Если чем то не нравится google, воспользуйтесь PROMT и узнаете, что Process attack rule - есть правила в таблице "Контроль процессов", а Process attack specific parameters дополнительные параметры этих правил: "запись в память приложения", "внедрение кода в процесс" и т.д. и сталкиваются с ними все ползователи программы. Обсуждали много и подробно.

Цитата:

Может просто подскажете где есть хэлп на русском?

Официального нет и вряд ли будет (не думаю, что столько лицензий продаётся в России, что разработчики примутся переводить справку). Пользуйтесь онлайн переводом, много простых вопросов не возникнет.

Dimitr1s, привет!
Спасибо за довольно развёрнутый ответ. Переводить гуглом пробовал, но перевод получился лишь подстрочный, посему - невнятный. Про Промт-перевод не знал, спасибо за подсказку.
Ну, а то что вопросы, на Ваш взгляд, банальные - это не так уж и плохо - ибо, есть восточная мудрость: "Лучше задать вопрос и почуствовать себя 5 минут дураком, чем промолчать и остаться им на всю жизнь". Для того, ИМХО, и приходим в эту жизнь, чтобы учиться и учить других.

Как убрать из лога постоянные записи "конфигурация изменена…"?

Народ! Хелп!
У мня после установки Jetico PF выше 2.0.2.3 версии выскакивает BSOD!!!
Тоже самое и у бэтки! Как можно пофиксить?

Arregy

Цитата:

Как убрать из лога постоянные записи "конфигурация изменена…"?

Эти не отключаются.
HarDDroN

Цитата:

У мня после установки Jetico PF выше 2.0.2.3 версии выскакивает BSOD!!!

На какую из поддерживаемых систем?

Цитата:

Jetico Personal Firewall works on 32bit and x64 Windows Vista/XP/2003 Server/2000

Dimitr1s
У меня стоит XP SP3 (сборка 2600 от Zver)
Слушай, а может это из-за того что у мня Framework старый? (версия 2)

HarDDroN

Цитата:

а может это из-за того что у мня Framework старый?

.NET Framework к Джетике отношения не имеет, она никакие функции из его библиотек не использует.

Цитата:

У меня стоит XP SP3 (сборка 2600 от Zver)

С этим вряд ли вообще что то нормально будет работать, т.к. многие системные исполняемые файлы (из которых происходит вызов функций драйвером Джетики в том числе) модифицированы. Поставь "заводскую" систему, проблем не будет.
Честно говоря не понимаю смысл ставить на подобные поделки, какой-либо защитный софт. Зачем?

Dimitr1s
Попробую на VMWare, cnc

Есть где нить русский хелп?

Чего-то непонятно почему на том же сайте www.matousec.com висит в тесте версия 2.0.2.8 а не 2.0.2.9, хотя по логу обновлений вроде как исправили баги Empty event in Applcation checksum rules fixed, Improved hash calculation. Или это на их тест особо не влияет? Сам пока еще не обновился с версии 2.0.2.6

Перешел с 1й версии. Обычно сразу все настраиваю за раз и потом убераю галки с "ask" но тут облом: пришлось разрешить всему "indirect access". ИМХО идиотская функция. Как я понял это доступ для программы к другой программе которая подключена в инет. Но зачем "indirect access" уже закрытой проге, или что получается не все программы до конца закрываются? тот же блокнот например. Вобщем если не разрешить этот индирект даже закрытой проге заглючивает связь с инетом вообще и Ctrl+C\V.

И еще для интереса включил лог на все подключения, примерно 10 пунктов и при конекте в инет комп завис сразу, это у всех так?

zzz528

Да Вы переключите интерфейс на русский, сразу станет намного проще. Перевод-то там не самый неудобочитаемый. И ещё, лучше просто удалить конфиги, а потом с нуля всё настроить...

У меня ладно, я часто что-то компилирую-проверяю-тестирую из программ и режим обучения включён постоянно. Мне так удобнее искать ошибки - сразу вижу кто что пытается сделать и где ошибка сидит. Де'фактро для меня это ещё один инструмент контроля системы и тестируемых программ. А у Вас как я понял возникла проблема с тем, что по умолчания 2-ка всё запрещает, и мы разрешаем только то, что нам надо. Просто программы в системе взаимодействуют между собой через механизмы сети. Конкретно - mailslots + TCP/IP +NetBEUI. Т.е. например для открытия файла Блокнот формирует его URL, и обращение происходит в терминах UNC путей, потому и брандмауэр срабатывает на косвенное обращение к сети. Всё логично.

zzz528

Цитата:

Как я понял это доступ для программы к другой программе которая подключена в инет.

Скорее, если в загружаемом коде программы есть вызовы сетевых функций, Джетика справедливо считает и предупреждает, что запускаемая программа может ими воспользоваться в своих целях.
Цитата:

Но зачем "indirect access" уже закрытой проге, или что получается не все программы до конца закрываются? тот же блокнот например.

Да почти все программы, после закрытия оставляют "куски" кода в памяти или свопе, как простой пример запусти Firefox, первый раз старт будет намного дольше последующих. Так что и тут всё логично - есть возможность исполнить код, есть реакция.
Цитата:

Вобщем если не разрешить этот индирект даже закрытой проге заглючивает связь с инетом

Да при запрещении блокируются сетевые функции всех вовлечённых процессов, о чём создатели честно предупреждают и в справке и во всплывающем балуне.
Цитата:

И еще для интереса включил лог на все подключения, примерно 10 пунктов и при конекте в инет комп завис сразу, это у всех так?

С логами проблем никогда не было, попробуй увеличить максимальный размер лог файла - Опции -> Лог -> Макс. размер лог файла КВ - выстави 1024 или 2048 КВ. По умолчанию 512, при бурной сетевой активности и максимальных логах маловато.

Victor_VG

Цитата:

Просто программы в системе взаимодействуют между собой через механизмы сети. Конкретно - mailslots + TCP/IP +NetBEUI.

Это что за система интересно, что программы в ней подобным образом взаимодействуют между собой, не слыхал никогда про такую. У меня к примеру Win и MailSlot не существуют (откуда им взяться), NetBEUI отключён на корню, за полной не надобностью. А программы взаимодействуют путём загрузки кода в секции памяти и вызова нужных функций из библиотек ядра системы. TCP и UDP, да некоторые программы открывают сокеты на внутренний интерфейс (localhost), но немногие и чаще по UDP.
Цитата:

Блокнот формирует его URL, и обращение происходит в терминах UNC путей

Если нет созданных сетевых папок (шар), откуда они (Universal Naming Convention) возьмутся?

Цитата:

У меня ладно, я часто что-то компилирую-проверяю-тестирую из программ и режим обучения включён постоянно. Мне так удобнее искать ошибки - сразу вижу кто что пытается сделать и где ошибка сидит.

Оля_и_IDA_капец. Как бы финны цену не подняли на лицензию до уровня IDA Pro.

у меня джетика не хочет пускать Оперу в и-нет! Я добавил оперу в группу браузеров, даже создал правила для неё, а он не хочет пускать!!! версия 2.0.2.9

HarDDroN
ну попробуй на всех запрещающих правилах включить лог и посмотри по какому блокируется, когда ты пытаешься выйти оперой в интернет. Скорее всего ты запретил какой-либо программе косвенный доступ в сеть.

Dimitr1s

NTOSKRNL.EXE - знакомый файл? А Resource Kit название знакомо? Так что ты просто не обратил внимания на архитектуру системы. Правда, дяди в Редмонде в последние дни могли всё поменять для облегчения запуска игрушек и увеличения прибыли за счёт открытия новых платно-затыкаемых дыр, но, давай об этом в ПМ поговорим - нас в Микрософт не поймут и решат что мы "копаем" под их монополию на истину и научно-техническую новизну....

Victor_VG

Цитата:

NTOSKRNL.EXE - знакомый файл?

Многим знакомый, не только мне. А к чему вопрос?
Цитата:

А Resource Kit название знакомо?

Как минимум, навскидку, названий двадцать resource kit'ов знакомо, начиная от Linux Technical Resource Kit и далее... И что дальше? Причём тут Джетика?
Цитата:

Так что ты просто не обратил внимания на архитектуру системы.

Мне по учёбе и для будущей работы, волей-неволей приходится изучать различные архитектуры, насколько имеющаяся документация позволяет. Но о чём имею слабое представление, стараюсь чепуху всякую не писать.
Цитата:

...нас в Микрософт не поймут и решат что мы "копаем" под их монополию на истину и научно-техническую новизну....

Я под микрософт уже ни чего не копаю, у меня одна "машинка" только дома осталась с этой осью, где всё что было интересно, по возможности, уже раскопано. Так что скорее их научно-техническую новизну потихоньку закапывать нужно, вместе с монополией.

zzz528
indirect access подробно разжеван на офф форуме: http://www.smokey-services.eu/forums/index.php/topic,16175.0.html
но его юзабельность сомнительная... лично я у себя разрешил его всем и забил
не понятно зачем вообще это делалось. (проверять всю цепь процессов, без разбору? на всякий случай? _вдруг_ кто то из них...? :))))

tahomavlz

Цитата:

но его юзабельность сомнительная...

В чём сомнения, опиши если не трудно?
Цитата:

лично я у себя разрешил его всем и забил

Не проще, разрешить приложениям, к которым есть доверие и которым действительно необходим подобный доступ и потом уже забить?
Цитата:

не понятно зачем вообще это делалось.

Ты привёл ссылку, где в общих чертах, разработчик объясняет зачем, сам не прочёл?
Цитата:

(проверять всю цепь процессов, без разбору? на всякий случай? _вдруг_ кто то из них...? )))

Хмм... Ну во первых не всё без разбора, а то что создатели научили, плюс есть выбор какой "Способ косвенного доступа" отслеживать. Во вторых, а как проверять надо? Что б драйвер по своему вкусу проверял что ли? Пока, он "драйвер", не такой умный, как ребята с WASM'а скажем, пусть уж что может то и проверяет. В третьих, от "вдруг_кто то" все неприятности и случаются, система не сама генерирует вредоносный код против себя. Да и потом Джетика позволяет выбрать любой уровень безопасности, все таблицы которые, по мнению, не нужны отключаются одним разрешающим правилом сверху. ИМХО так правильней, чем разрешать всё подряд, не глядя, собирая в таблицу лишние правила.

Цитата:

В чём сомнения, опиши если не трудно?

в том, что все равно придется разрешать его любому работающему процессу, чтобы у всех остальных не заблокировалась сеть. и в том, что я ничего не теряю, если разрешу его всем. ведь есть же process attack. возможно indirect access умеет отлавливать то что не умеет process attack. но если так, то это бред, т.к. сама атака на процесс будет пропущена, и вдруг внезапно всплывет при попытке доступа к сети.

далее...

process attack.. странный. такое ощущение что он просто фолсит. например, если ему верить то у меня почти все процессы требуют повышенные привилегии и управление сервисами.

application checksum. на данный момент неюзабелен. каким образом я должен определить, разрешить или запретить "такой то процесс с таким то хешем"? на офф форуме было толковое предложение

Цитата:

If a checksum already exists and application, etc. is updated, etc. Jetico should popup about the "checksum change" and on request update the current rule and not add a new rule with an other checksum for the same event.

но кажется его проигнорили

вобщем jetico хороший фаервол (наверно даже лучший), но хипс в нем еще доделывать и доделывать

tahomavlz

Цитата:

в том, что все равно придется разрешать его любому работающему процессу, чтобы у всех остальных не заблокировалась сеть.

Ты забыл добавить самое важное: любому доверенному процессу, т.е. такому в котором ты уверен, что он не содержит вредоносный код.
Цитата:

и в том, что я ничего не теряю, если разрешу его всем.

Ну если следовать такой философии, то ничего не потеряешь если отключить проактивку вообще, если нет желания хоть немного разобраться, толку от неё ноль.
Цитата:

ведь есть же process attack. возможно indirect access умеет отлавливать то что не умеет process attack. но если так, то это бред, т.к. сама атака на процесс будет пропущена, и вдруг внезапно всплывет при попытке доступа к сети.

По той ссылке что ты привёл, хоть кратко и расплывчато ответ про различие indirect access и process attack был дан. Попробую объяснить проще своими словами: Возьмём для примера работу приложений через SERVICES.EXE, что бы система нормально работала для SERVICES.EXE приходится разрешать почти все виды доступа. Теперь запустим процесс не имеющий в коде вызовов сетевых функций (соответственно передать с твоей машины он ничего не сможет), но работающий с помощью/через SERVICES.EXE, процесс чистый ты соответственно создаёшь для SERVICES.EXE разрешающие правила с некоторыми (не столь важно какими конкретно) видами доступа. Далее запускается процесс вредоносный имеющий в коде вызов сетевых функций (с целью передать собранную у тебя инфу) и написан он так, что бы отработать помощью/через SERVICES.EXE, по совпадению через те же некоторые функции которые мы разрешили в предыдущем случае для легитимного процесса. Далее произойдёт что: вредоносный процесс должен бы отработать через уже разрешённые для исполнения функции в process attack для SERVICES.EXE, но так как в коде есть вызов сетевых функций сработает indirect access и ты получишь запрос. Как говорится почувствуй разницу. Это я привёл просто как пример, на самом деле всё немного сложнее, но смысл надеюсь ясен.
Цитата:

process attack.. странный. такое ощущение что он просто фолсит. например, если ему верить то у меня почти все процессы требуют повышенные привилегии и управление сервисами.

Абсолютно вменяемый. На самом деле так оно и есть.
Цитата:

application checksum. на данный момент неюзабелен. каким образом я должен определить, разрешить или запретить "такой то процесс с таким то хешем"? на офф форуме было толковое предложение... ...но кажется его проигнорили

Ну и слава богу, что проигнорили. Во первых: эта таблица в первую очередь информативная, по большому счёту тут ни запрещать, ни разрешать ничего не надо. А свою задачу подсчёта хэша выполняет исправно. Во вторых: по поводу предложения авто-обновления хэша уже существующего, ты вдумайся как следует каким образом можно доверять этой процедуре, если сейчас за пять минут "школьник" может подправить ехе.шник и подменить любые данные. Ты скорее всего придёшь к выводу, что доверять можно только программе имеющей цифровую подпись и надо иметь базу данных с оными, регулярно пополняемую и с организованным доступом к ней. Если интересно посмотри как это организовано в КИС и почитай отзывы. Лично мне подобного в Джетике ни как не хотелось бы, да и толку по большому от этого не много (в основном если используешь софт с ЦП, но тогда, опять же, риск подцепить что то и так ничтожен).

Dimitr1s
Я прочитал, что в бэте 2.1 появилась функция Port Scan Detection, однако я что-то не вижу её, не подскажете где она? Где настройки?

HarDDroN
Нет ихние беты я никогда не пробовал, даже на посмотреть . Могу только предположить, что просто добавили в обработку новый критерий для IP пакетов, что то наподобие --limit в iptables, посмотри в таблицах Network и IP Table на предмет правил с новыми ключами.

2 All
Что то мне их новый сайт не очень нравится пока. Упоминание о бесплатной версии исчезло (или не появилось ещё), хотя первое время по старым ссылкам она была, тоже и с бета-версией, changelog'и не понятно где взглянуть. Ладно может не доделали просто, подождём.

Dimitr1s

Факт. Бета перемещена на форум, а там записи от 2007 года, и ссылок нет. Похоже ребята сели в великую лужу с новым дизайном. Ничего нельзя найти.

Dimitr1s
Очень огорчился, после того, как прогнал джетику по тестам pflank:
результаты следующие:



Может подскажете как сделать "stealthed" ?