DefenseWall V3

[Surfer]

"Expert Mode" распространяется только на HIPS-систему. Для рученой настройки портов есть специальный режим, доступный в окне "Inbound Protection".

Это понятно, проблема в том, что кнопки недоступны.
http://img692.imageshack.us/img692/6426/111mb.png

А смысл, если прямо на иконке написано количество недоверенных? А список не на всех версиях 2000-й будет работать, да и как часто он нужен будет?

Для меня, например так будет удобнее, статичная информация думаю никому не интересна, а как называется продукт, все и так знают
Мне, например, неудобно открывать гуй и смотреть какие процессы в недоверенных.
Можно опционально конечно сделать, по дефолту сделать как сейчас, на выбор пользователя.

Ну да, всё правильно. Просто у меня всё наоборот- недоверенные работать со своими слушающими порты, доверенные- нет.

Если программа не в доверенных, то появляются проблемы, не смертельные, но очень неприятные, и догататься простому пользователю почему это происходит и кто этому виной, будет довольно сложно, ибо даже алертов никаких не появляется.
Примеры:
Браузеры Firefox, Seamonkey - не ставятся и не отключаются расширения.
QIP - совсем не открываются в дефолтном браузере пришедшие гиперссылки.

А зачем так плохо делать? uTorrent доложен быть в недоверенной зоне как потенциальный источник угрозы. Тогда и порт будет открыт.

В принципе идеологию понял.

Он не почти, он полностью пройден. FileDrop- это не тест.

Ну так маркетологам нужен 100% результат.
Еще вопрос и пожелание по гую:
1) Вкладка Untrusted - чем отличается Disable'нутое приложение от добавленного в Excludes ?
2) Добавить на главную форму статусы хипса и обоих файрволов -зеленый Ok или красный Disabled.

[avsdeg]

Это понятно, проблема в том, что кнопки недоступны.
http://img692.imageshack.us/img692/6426/111mb.png

Надо предварительно выбрать один из профилей в списке 'Manual Protection'.

[rav]

Это понятно, проблема в том, что кнопки недоступны.

Какие кнопки? Это просто названия профилей. Нужно просто выбрать один из них и автоматика выключится.

Для меня, например так будет удобнее, статичная информация думаю никому не интересна, а как называется продукт, все и так знают

Хорошо, я внесу в список и подумаю над этим.

Примеры:
Браузеры Firefox, Seamonkey - не ставятся и не отключаются расширения.

Это нормально, так и должно быть.

QIP - совсем не открываются в дефолтном браузере пришедшие гиперссылки.

А вот это странно. Нужно сделать следующее:
1) Запустить QIP, "Events log"->"Delete all"->"Apply"
2) Воспроизвести проблему.
3) "Events log"->"Export" и получившийся файл закинуть или мне в мыло, или сюда.

Ну так маркетологам нужен 100% результат.

Мне параллельно. Почему я должен заморачиваться на тест, созданный фирмой-конкурентом? Он сделан под продукты Comodo, мои совершенно иные.

1) Вкладка Untrusted - чем отличается Disable'нутое приложение от добавленного в Excludes ?

По функциям- практически ничем.

2) Добавить на главную форму статусы хипса и обоих файрволов -зеленый Ok или красный Disabled.

Куда именно? Да и статусов больше- их всего шесть, вспоминаем комбинаторику.

[Surfer]

Это нормально, так и должно быть.

Думаю как минимум 2 варианта решения должно быть, либо пользователя просто уведомляют алертом о том, что установка того-то и того-то заблокирована, либо предлагается некий режим инсталляции, в котором нет таких ограничений, естественно без перезапусков софта.
Второй вариант, имхо, предпочтительней.

получившийся файл закинуть или мне в мыло.

Кинул, пути там конечно жутко нестандартные.

По функциям- практически ничем.

Так а зачем две практически одинаковые функции ?

Куда именно?

Я думаю на главную вкладку, тобишь "Stop attack". Это опять же, не столь важное пожелание по гую.

Словил на ноуте серьезный баг с inbound-файрволом, обрывается соединение, по видимому связанно с рубкой GRP-пакетов, это уже 3-ий фаер с проблемами с VPN-подключениями (До этого аналогичные проблемы с Comodo и Windows 7 Firewall Control были). 2 подключения, роутинг через скрипт, с одним тоже вроде обрывает.
Завтра ещё погоняю.

[rav]

Думаю как минимум 2 варианта решения должно быть, либо пользователя просто уведомляют алертом о том, что установка того-то и того-то заблокирована, либо предлагается некий режим инсталляции, в котором нет таких ограничений, естественно без перезапусков софта.

Увеличивает вероятность ошибок.

Так а зачем две практически одинаковые функции ?

Они не одинаковые по методике использования. Можно добавить папку в недоверенные, но исключить файлы в ней. Либо исключить папку на флешке.

Я думаю на главную вкладку, тобишь "Stop attack". Это опять же, не столь важное пожелание по гую.

На самом деле, я серьёзно думаю по поводу вывода статуса отключений отдельных модулей в иконку, но никак не пойму, как же сделать лучше. Слишком много состояний.

Словил на ноуте серьезный баг с inbound-файрволом, обрывается соединение, по видимому связанно с рубкой GRP-пакетов, это уже 3-ий фаер с проблемами с VPN-подключениями (До этого аналогичные проблемы с Comodo и Windows 7 Firewall Control были). 2 подключения, роутинг через скрипт, с одним тоже вроде обрывает.

У меня не рубятся пакеты, только слушающие порты, созданные доверенными процессами. Не думаю, что проблемы именно с файерволами, особенно со встроенным в Windows.

[tokzup]

При каждом запуске винамп 5.56 приходится более 30 раз жмакать на кнопку "принять" и ставить галочку "запомнить мой выбор". Это к отсутствию заявленного режима обучения.
Винамп устанавливался до DWPF3.

[rav]

Не, это так сие поделие (Winamp, я имею в виду) стало работать. Она создаёт динамически (и каждый раз-с разными контрольными суммами!) и затем подгружает кучу dll-лок (даже не подписанных!) с данными, причём зачем-то через LoadLibrary, а не просто как файлы данных. Я уже написал на форуме поддержки своё "фи!", но не уверен, что разработчики отреагируют. В любом случае, все файерволы будуь пищать как ненормальные на подобные извраты кодеров. Советую сменить АМП на что-то более прилично написанное, благо вариантов много.

[Surfer]

Увеличивает вероятность ошибок.

А какие варианты есть ?
Если взять абстрактного человека, который установив DW и поняв, что она молча мешает ему его деятельности, может и обидиться.

У меня не рубятся пакеты, только слушающие порты, созданные доверенными процессами. Не думаю, что проблемы именно с файерволами, особенно со встроенным в Windows.

Возможно и исходящий тоже мешает, сегодня отключены оба, вылетов нет. Логгирования, которое поможет это отследить нет ?
-----
Пару тестов:
1) Пробиваемость хипса изнутри, переполнение буфера

Сам тест x32 , x64.

2) Пробиваемость изнутри http://www.pcflank.com/pcflankleaktest.htm
Тест провален.

3) Пробиваемость файрвола снаружи ShiledsUP! от https://www.grc.com/
Все сервисные порты:

GRC Port Authority Report created on UTC: 2009-12-18 at 23:33:30

Results from scan of ports: 0-1055

0 Ports Open
1050 Ports Closed
6 Ports Stealth
---------------------
1056 Ports Tested

NO PORTS were found to be OPEN.

Ports found to be STEALTH were: 135, 136, 137, 138, 139, 445

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED.

Комод и каспер - все порты "stealth".

4) Пробиваемость снаружи - стелс-тест http://www.pcflank.com/scanner1s.htm

Packet' type Status
TCP "ping" non-stealthed
TCP NULL non-stealthed
TCP FIN non-stealthed
TCP XMAS non-stealthed
UDP non-stealthed

Не знаю, влияет ли это на результат, но у меня отключены и UAC и брандмауэр.

[rav]

А какие варианты есть ?

По обновлениям самой программы варианты будут, и достаточно скоро. По обновлениям дополнений- только из доверенной зоны.

Возможно и исходящий тоже мешает, сегодня отключены оба, вылетов нет. Логгирования, которое поможет это отследить нет ?

Будет во второй бете.

Тест провален.

Скачал, запустил- всё в порядке.

Комод и каспер - все порты "stealth".

Чисто маркетинговый ход. К безопасности не имеет никакого отношения.

[avsdeg]

2) Пробиваемость изнутри http://www.pcflank.com/pcflankleaktest.htm
Тест провален.

У меня он пройден.

1) Пробиваемость хипса изнутри, переполнение буфера

А этот тест аналогично провален.

[rav]

А этот тест аналогично провален.

Так это совсем другая штука. DefenseWall не предотвращает атаку, он минимизирует её последствия.

[Surfer]

Будет во второй бете.

Ок, жду

Скачал, запустил- всё в порядке.

Тогда не понимаю, почему у меня он и Buffer Overflow запускаются как доверенные. В логах про него ничего нет.

Чисто маркетинговый ход. К безопасности не имеет никакого отношения.

Вопрос довольно спорный, например атака xmas реально существует.
Допустим PCflank рекламирует аутпост, а вот грц существует очень давно и ничего не рекомендует вроде.

[rav]

Ок, жду

Вторая бета выложена на сайт.

Тогда не понимаю, почему у меня он и Buffer Overflow запускаются как доверенные.

Какова последовательность запуска PCFlank? Какой режим работы HIPS стоит?

Вопрос довольно спорный, например атака xmas реально существует.

И что это за атака такая?

Допустим PCflank рекламирует аутпост, а вот грц существует очень давно и ничего не рекомендует вроде.

Именно поэтому там на скрытие портов лишь опциональный тест.

[avsdeg]

Так это совсем другая штука. DefenseWall не предотвращает атаку, он минимизирует её последствия.

Понятно, спасибо.

[tokzup]

Вторая бета выложена на сайт.

А можно прямую ссылку на скачивание?

[avsdeg]

А можно прямую ссылку на скачивание?

www.softsphere.com/files/DefenseWall_Personal_Firewall_v3_00.exe

[Surfer]

Вторая бета выложена на сайт.
Какова последовательность запуска PCFlank? Какой режим работы HIPS стоит?

Да проще некуда, скачал, запустил. Режим по дефолту, ничего не менял.

И что это за атака такая?
Именно поэтому там на скрытие портов лишь опциональный тест.

Не совсем атака, сканирование портов, но тоже вещь неприятная.
Думаю не только мне хочется иметь возможность быть невидимым, а то с помощью нмапа и подобных программ можно будет узнать некоторые подробности о ПК.
А планируется поддержка ICMP ?
Возможность тонкой настройки, например заблокировать хостнейм?

Добавлено через 8 минут

Новая бага беты 2 видимо

12.20.2009 21:49:07, module C:\Program Files\uTorrent\utorrent.exe, 3:Attempt to write into the file D:\blahblahblah\101212.mp3 (File )

uTorrent пишет нет доступа, в недоверенных.

[rav]

Да проще некуда, скачал, запустил. Режим по дефолту, ничего не менял.

Странно. А что в логах DefenseWall? Тест запускается в недоверенной зоне?

Думаю не только мне хочется иметь возможность быть невидимым, а то с помощью нмапа и подобных программ можно будет узнать некоторые подробности о ПК.

Ну и дальше что? Какое это отношение имеет к защите доверенной зоны песочницы от атак извне?

А планируется поддержка ICMP ?

Что подразумевается под данным термином?

Возможность тонкой настройки, например заблокировать хостнейм?

К защите доверенной зоны песочницы не имеет никакого отношения. Домохозяйка не разберётся в тонкой настройке. Такие вещи вне зоны компетенции программы.

uTorrent пишет нет доступа, в недоверенных.

Ну, значит, нет доступа на модификацию этого файла. Правая кнопка мыши на файле->"DefenseWall"->"File properties". Если написано "Not allowed to be modified by untrusted", то всё правильно.

[Surfer]

Странно. А что в логах DefenseWall? Тест запускается в недоверенной зоне?

Запускается двойным кликом с рабочего стола, не попадает почему-то в недоверенную зону, соответственно в логах о тесте ничего. Настройки не менялись.

Что подразумевается под данным термином?

Например заблокировать пинг машины.

Если написано "Not allowed to be modified by untrusted", то всё правильно.

Да, именно так и написано, но что самое странное - когда стояла первая бета, качалось нормально. Настройки не менялись.
--
Кстати, что с логом файрвола ? Где смотреть ?

[rav]

Запускается двойным кликом с рабочего стола, не попадает почему-то в недоверенную зону, соответственно в логах о тесте ничего. Настройки не менялись.

Значит, или экспертный режим, или скачивалось доверенным браузером, или эта зона попала в исключения недоверенных приложений, или была вручную запущена доверенной/перемещена в доверенную зону. Чудес не бывает, недоверенность наследуется.

Например заблокировать пинг машины.

Зачем? Как это относится к защите доверенной зоны песочницы?

Да, именно так и написано, но что самое странное - когда стояла первая бета, качалось нормально. Настройки не менялись.

Чудес не бывает. Значит, что-то изменилось. Но программа не удаляет элементы таких критических списков. Нужно просто изменить статус защиты этого файла.

Кстати, что с логом файрвола ? Где смотреть ?

Там же, где и все остальные логи. Закладка "Events log".