онлайн мониторинг исходящего из компа трафика

[Sctricky]

Привет Всем. Хотел бы выслушать мнение участников и руководителей форума по следующему вопросу. Использую NOD32 4-ой версии и отказываться от него не планирую. В то же время понимаю ,что NOD мониторит только входящий трафик. Есть ли возможность дополнить его какой -нибудь утилитой для мониторинга исходящего ( несанкционированного) из компа трафика в режиме онлайн при работе в инете? Лет 10 назад использовал какой-то антивирь ( название не помню , но в его логотипе крутящийся зонтик, по-моему немецкий Anti Vir), так он следил также за исходящим трафиком.
Устанавливать второй антивирус вроде некорректно . Как можно решить эту проблему? Спасибо.

[Sctricky]

Привет еще раз , постараюсь сформулировать свой вопрос более корректно. У меня Windows XP2 и ESET Антивирус NOD32 , таким образом при работе в инете входящий трафик в режиме онлайн мониторят брэндмауер Winows XP и мой антивирус NOD32 , исходящий трафик установленных на компе приложений безконтролен.Вот и ищу программу , скорее всего это будет односторонний файрвол - oneside firewall ,для контроля исходящего трафика. Спасибо.

[Никита Соловьев]

Вам необходим полный контроль исходящих соединений или простой учет отправленных мегабайтов?

[Sctricky]

Уважаемый Nephilim, свой вопрос я задал исключительно в рамках тематики форума (безопасность) . Некоторые виды malware способны несанкционированно выходить в инет и передавать украденные с компьютера пользователя данные.
Вот здесь и нужен онлайн мониторинг попыток приложений и других программ ( в т.ч вредоносных) несанкционированно выйти в инет. С этой задачей мог бы справиться oneside/one direction/outbound firewall, на зарубежных форумах эта тема обсуждается , но интересующего меня ответа я не нашел , предлагается использовать тяжеловесные многофункциональные ( двухсторонние) файрволы , например , Zone Alarm и другие.Вот пожалуй и все.

[antanta]

Sctricky, Если мы говорим об сетевых экранах, то любой из них будет анализировать все пакеты. Фильтр анализирует заголовок пакета, и принимется решение (в соответствии с правилами). Правила же настраиваются пользователем. Например, можно научить пропускать все входящие. Станет ли от этого "легше" в смысле нагрузки на железо - другой вопрос.
Еще более другой вопрос - как анализировать исходящий траф. Украденную инфу можно хитро инкапсулировать в служебные пакеты, защифровать наконец... На всякие такие хитрые штуки есть свои винты с пропеллерами, но и стОят они неслабо. И "целевая аудитория" таких комплексов не столько злодейское ПО, сколько инсайдеры.
То есть, изначально односторонних экранов не бывает. С точки зрения разработчиков логичнее и дешевле (в смысле простоты реализации) бороться с попытками заражения (анализ входящего трафика), чем заниматься разбором исходящего.
Что до продуктов ESET, то там есть проактивка. Наверное, она как-то должна реагировать на создание исходящих подключений, что тоже кагбэ тоже защита. Как на самом деле сделано - не могу знать.

[mrak74]

Уважаемый Sctricky если вы используете просто антивирус NOD32 4-ой версии или Smart Security ? В Eset Smart Security имеется вкладка Журнал персонального файерволла, там всё фиксируется и исходящий и входящий. Дополненительно можно использовать http://support.microsoft.com/kb/837243/ru на просторах интернета к нему есть парсер позволяющий в графической оболочке выводить информацию, единственный минус, периодически нужно чистить логи, накапливаются забивая место на HDD. Также можно воспользоватся утилитой Essential NetTools или стандартной командой netstat

[Sctricky]

Спасибо за советы уважаем. Antanta и mrak74, у меня Антивирус NOD32. Согласен ,что разработчикам логичнее и дешевле бороться априори с входящими угрозами, чем с исходящими и понимаю, что украденная с компа инфо может быть представлена сегодня в любом виде при передаче в инет . Внимательно ознакомлюсь с Essential Net Tools и Port Reporter. Поюзаю зарубежные ресурсы на эту тему , если замечу что-нибудь достойное внимания всех участников форума на эту тему , сообщу обязательно . Удачи. Пока.