# Форум на русском языке  > Решения по информационной безопасности  > Межсетевые экраны (firewall)  >  Как победить ликтесты со старым файрволом

## XP user

* Для тех, кто не знает, что такое ликтесты: они измеряют эффективность файрвола в предотвращении утечки персональной информации через фильтры исходящего трафика...

Заново нашёл для себя самый последний бесплатный в серии Kerio (2.1.5), старый файрвол (9 мая 2003 г.), который когда-то считался самым лучшим. И не зря надо сказать. Всякие HIPSы, про-активки, и прочие современные прелести отсутствуют в нём, но если правильно настроить, то тогда это всё даже не требуется. Очень жаль, что Sunbelt его потом купила и испортила. 


Сначала покажу несколько скриншотов этого файрвола. Как он смотрится в трее:

 
fig.1: Tray Icon


В Диспетчере задач самый лёгкий файрвол, который я видел; не грузит систему совсем, даже при атаках:  

 
fig.2: System Resources


Когда дважды щёлкаете на значок в трее появится обзор соединений:  

 
fig.3: Current Traffic


Логи выглядят так (то есть - если вы задаёте, чтобы он журнализировал трафик по правилам):

 
fig.4: Traffic Log 


А как его настроить? Для этого нужно правой кнопкой мыши щёлкать на значок в трее и выбрать 'Administration'. Так как я в настройках задал, чтобы Kerio защищал мои настройки паролем (да, это он тоже умеет!), получаю окошко следующего вида:  

 
fig.5: Admin Password


Введём километровый пароль ( :Wink: ) и открывается консоль администрирования (так как я не люблю алертов типа 'что делать?', я сначала задал правила, и потом поставил на 'Deny Unknown' (запретить неизвестные - то есть, любой трафик не по заданным правилам/программам):  

    
fig.6: Protection Level; fig.7: Authentication Settings; fig.8: Log Settings; fig.9: Hash List


Для того, чтобы настроить правила, в картинке fig.6 нажимаем на 'Advanced' - Открывается такое окно (Там на самом   деле по умолчанию глобальные правила для всех. Я их все удалил и создал свои):  


fig.10: Rules


Как вы видите, правила весьма жёстко заданы - Любой трафик разрешается только если к нему привязана заданная в   правилах программа. Всё остальное блокируется без вопросов, только показывается алерт о том, что было блокировано.   Важно тоже отметить, что DNS никогда глобально разрешать не следует. Правила для IE не заданы - даже блокирующее   правило не требуется. Это очень хороший знак - это значит, что в Kerio 2.1.5 нет 'пасхальных яиц' (секретных или жёстко   запрограммированных правил) в виде разрешённых по умолчанию программ. Kerio 2.1.5 лишь - честный фильтр пакетов, не больше.  


Ещё 2 картинки интерфейса:  

  
fig.11: Microsoft Networking Rules disabled; fig.12: NoDNS+Startup 


Теперь переходим к результатам по ликтестам. С Matousec я скачал целый набор ликтестов в одном архиве.   Тестировались все без исключения: AWFT, BITStester, Breakout, Breakout2, Coat, CopyCat, CPIL, CPILSuite, DNStest,   DNStester, FireHole, Ghost, Jumper, LeakTest, OSfwbypass, pcAudit, pcAudit2, PCFlank, Runner, Surfer, Thermite, TooLeaky,   Wallbreaker, YALTA и ZAbypass. Я даже переименовал некоторые, чтобы проверить, не узнает ли Kerio их по именам -   нет (смотрите картинку fig.9: Hash List - там переименованный LeakTest в Firefox, но MD5 хэш другой).  При тестировании я даже снял прокси с IE на удалённый адрес 0.0.0.0, иначе можно почти все ликтесты даже проходить без файрвола если IE браузер по умолчанию (после тестирования я, естественно, поставил прокси обратно, так как бывают вещи похитрее, чем ликтесты):  

 
fig. 13: NoProxy 


На что расчитывают эти ликтесты? 
* Комп уже заражён 
* IE доступен 
* Вы пользуетесь своим браузером по умолчанию  

Не одного из этих предположений ко мне относится - Я это по моему ещё нигде не говорил, но у меня браузер по умолчанию - IE! Но это не значит, что им надо пользоваться. Наоборот - у меня, как я уже не раз говорил, IE стоит на прокси. Фактически каждое соединение с ним попадает 'в никуда'.  
Ещё про аргумент '(не)удобство': то, что вы не польуетесь браузером по умолчанию, это только в самом начале немного непривычно, но вы быстро привыкаете. И если речь идёт о безопасности, то тогда следует отметить, что на ссылках полученных через   почту, ICQ, и т.д. по любому НИКОГДА нажать не надо - их надо копировать и вставить в адресную строку браузера по вкусу, а желательно не браузера по умолчанию.


Ладно, хватить болтать - какие результаты я получил с ликтестами? Kerio 2.1.5 ВСЕ тесты успешно прошёл - ВСЁ блокировал. Даже pcAudit2, который злоупотребляет ВСЁ, что весит на данный момент в Диспетчере Задач (у меня там специально Firefox был) не прошёл. Предполагаю, что никому не интересно посмотреть на логи в красном.  


Интересно был с PCFlank - тест, видимо криво написан. Давайте посмотрим как это было:  

  
  
fig.14 PCFlank Launch; fig.15 p2u text; fig.16: Kerio Alert; fig.17: Failed 

Картинка 14: Запустил. 
Картинка 15: Ввёл передаваемый текст: 'p2u testing from 87.240.15.1'. 
Картинка 16: Kerio показывает, что он блокировал. 
Картинка 17: PCFlank говорит, что файрвол провалил тест. Предлагает нажать на ссылку   (что мы, конечно же, никогда не делаем), или копировать ссылку в адресную строку браузера (какой браузер - не   указано). 


Я копировал ссылку в Firefox, мой браузер по умолчанию (в моей голове, не в системе!) и что мы видем? Там   ничего не передано!  

 
fig. 18: Test Result (?!?) 


Надеюсь, что вам понравилось. Продолжение проекта, возможно, следует...  

P.S.: Желающим протестировать этого 'старика', вот ссылка:
http://download.oldversion.com/keriopf215.exe

Paul

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## SDA

Paul! Если не трудно и есть время, у меня просьба - протести последний ZoneAlarm Pro, я с него "слез" почти 2,5 года назад (да и тестировать не на чем), но по привычке по нему ветку веду. Без всяких спайваре и если можно без проактивки. Кстати, в Зину вроде поставили модуль песочницы браузера - Forcefield, любопытно. В свое время был моим любимым фаерволом, да и самым первым с которым я познакомился.

----------


## XP user

> Paul! Если не трудно и есть время, у меня просьба - протести последний ZoneAlarm Pro, я с него "слез" почти 2,5 года назад (да и тестировать не на чем), но по привычке по нему ветку веду. Без всяких спайваре и если можно без проактивки. Кстати, в Зину вроде поставили модуль песочницы браузера - Forcefield, любопытно. В свое время был моим любимым фаерволом, да и самым первым с которым я познакомился.


ОК. Если есть результаты, куда их поместить? Или вам передать в личку?

P.S.: Говорю именно 'если есть'. Недавно хотел тестировать бесплатный, и он не встал - он какую-то службу требовал, которой у меня уже нет (удалил), он какой-то модуль не мог сунуть в IE (это у меня всё очень жёстко ограничено), и т.д. К счастью до синнего экрана не доходило...

Paul

----------


## SDA

Paul можно и ветку ZoneAlarm поместить. Может он модуль Forcefield в IE пихал? Кстати платный работает 30 дней, потом превращается в бесплатный (обрезанный). Если 7 не пойдет могу сбросить в личку ссылки на 6 версию.

----------


## vau2008

to *p2u*

Чуть не пропустил! Отличная работа, *p2u*:
файервол в "чистом виде" = просто "честный" фильтр пакетов.

В результате: _все ликтесты от Matousec ПРОЙДЕНЫ программой 2003 (!!!) года_... - если бы этот результат оказался опубликованным, и _Kerio v2.1.5 FREE_ появился в первых строках итоговой таблицы тестирования на сайте данного именитого тестера, многим стало бы ясно, что "*ничего не ясно*".

А действительно, в чем причина успеха этого эксперимента? Почему бесплатная программа 5-летней давности в тестах Matousec легко обходит большинство современных "защитников", выбранных для тестирования?

На мой взгляд, составляющих успеха в данном случае (как и во многих других, увы) всего ДВЕ, и обе они нетипичны для сегодняшнего состояния дел:

1. *Хороший инструмент - программа.*
Под определением "хороший" здесь понимается наличие у инструмента следующих качеств:

- _Оптимальный для решаемой задачи функционал_: "необходимый и достаточный" набор умений файервола:
  * настраиваемая фильтрация пакетов;
  * контроль приложений (с проверкой по MD5);
  * простота настроек (для "обычного" пользователя);
  * защита настроек паролем;
  * информативный журнал.
Концепция данного файервола: "монофункционал" - вместо "мультифункционала" современных изделий.

- _См. описание программы_ от *p2u* (выше).

- _Отсутствие скрытого функционала_ - тех самых "пасхальных яиц", о которых пользователь может лишь догадываться, а вот "трояностроители" знакомы с ними (и способами их обхода!) напрямую. "Хороший" инструмент должен быть "честным": понятным, предсказуемым и "прозрачным" для пользователя - именно этого качества сильно недостает многим современным защитным приложениям.

2. *Грамотный пользователь.*
Для решения задачи "выкопать яму" (не котлован!  :Smiley: ) пользователь должен знать, что для этого применяется инструмент типа "лопата", и иметь представления о том, как ею пользоваться (хотя бы в теории): уметь найти ручку лопаты, ухватиться за эту ручку обеими руками, направить лезвие в сторону грунта (правильно его сориентировав) и т.д.

В данном случае "яму копал" *p2u*, имеющий на форуме статус: "Project Participant" (Участник Проекта) - многим понятно, что он умеет не только "_выкапывать_", но и "_закапывать_" - эффективно используя при этом не только "лопату"!
Увы, подготовка и опыт *p2u* недоступны большинству реальных пользователей. Но, с другой стороны:
Для полноценной работы с хорошим "бытовым" инструментом от пользователя нельзя требовать знаний на уровне эксперта!
 
Настройка (конфигурирование) файервола была и остаётся одним из самых узких мест в практике использования защиты этого типа, предоставляя пользователю возможность проявить по максимуму пресловутый "человеческий фактор" и самолично организовать набор дыр в защите.

Однако, не всё так мрачно: *p2u* показал на примере хорошего (хоть и не нового) инструмента, что такие качества, как:
- "монофункционал" файервола,
- и "прозрачность" его же
помогают:
- значительно облегчить участь пользователя,
- снизить риски конфигурирования,
- в итоге - поднять как качество защиты, так и надежность файервола (а заодно и его положение в рейтингах и тестированиях, кстати).

Конечно, _Kerio v2.1.5_ "проспал" 5 лет и не знаком с новинками "взлома" и "обхода", появившимися за эти годы.
Я думаю, что многие пользователи (но не производители!) были бы приятно удивлены, если подобный продукт "нашёлся" бы среди программ сегодняшнего дня - и обладал при этом качествами Free и Update.  :Smiley: 

*Огромная благодарность p2u!* У меня (как и у многих) остается катастрофически мало времени для практического исследования многих аспектов защиты, и эксперименты *p2u* (особенно в стиле Extreme) многим помогают быстро сориентироваться в нынешних реалиях и грамотно выстроить защиту системы.

P.S.
Отлично сказано *p2u*:
"Kerio (2.1.5), старый файрвол (9 мая 2003 г.), который когда-то считался самым лучшим. И не зря надо сказать. Всякие HIPSы, про-активки, и прочие современные прелести отсутствуют в нём, но если правильно настроить, то тогда это всё даже не требуется."
Коротко и ясно. А что же требуется? - см. выше!

P.P.S.
К слову: попутно статья p2u дает ответы ещё на пару актуальных для многих "обычных" пользователей вопросов:
1. _Что такое "правильный файервол", и что он должен уметь - практический пример._
2. _Как настроить файервол и сделать это правильно.
_

----------


## Kinneas

Черт побери, вот это файрволл! Ничего ненужного, никаких там "супер-интеллектуальных-само-настраивающихся" (совершенно бесполезных) правил, отличный (судя по скринам) журнал, кстати - в каком виде он хранится на диске? В общем, это - то как я вижу идеальный (ладно, идеального ничего нет - максимально приближенный к идеалу) файрволл.. HIPS и тому подобное, при правильно настроенной системе, действительно не очень-то и требуется. Если бы не пользовался КИС, поставил бы обязательно (в паре с КИС ставить, естественно не буду.. сами знаете почему).

И, спрашивается, куда идет развитие защитного ПО? И идет ли вообще?




> Для полноценной работы с хорошим "бытовым" инструментом от пользователя нельзя требовать знаний на уровне эксперта!


Знаете, не люблю цитировать без контекста, но тем не менее..
Так вот, знаний может быть требовать действительно и нельзя, да вот только продукты, позиционирующиеся, как продукты "простые и удобные в использовании" и как продукты "для простого пользователя" при работе с настройками включенными по умолчанию особой защиты и не дают.. Первый пришедший в голову пример - Касперский, установленный в режиме "не-эксперт" (к сожалению, точно не помню название - переустанавливал давно, в общем, в неинтерактивном режиме), если я не ошибаюсь, включает сетевой экран в режиме "разрешено все, что не запрещено". А что запрещено? Да ничего, конечно, не будет же "простой" пользователь создавать запрещающие правила? И от чего же это защищает? 

Поэтому я склонен считать, что файрволл - это не "бытовой" инструмент для "простого пользователя", а инструмент для пользователя, хотя бы чуть-чуть понимающего, что он делает.

----------


## severny

Я, конечно, попробую этот продукт. Но сегодня для меня было полезным открытием поставить IE, которым не пользуешься, браузером по умолчанию, да еще завернуть его на несуществующий прокси. *P2u*, спасибо.
Ну и не открывать прямые ссылки, предлагаемые прогами разного рода, а копировать их в "свой" браузер. Лениво будет иногда правда  :Smiley:

----------


## kRaIT

> Надеюсь, что вам понравилось. Продолжение проекта, возможно, следует...


Конечно понравилось, спасибо за проделанную работу.
Кстати, движок этого фаера чем-то смахивает на Сигейтовский. 
Удивительно, что старые продукты оказываются куда более лучше и эффективнее, чем новые.

----------


## amistad-dm

> самый последний бесплатный в серии Kerio (2.1.5), старый файрвол (9 мая 2003 г.), который когда-то считался самым лучшим.


супер, то что надо, обязательно попобую :Smiley:

----------


## vau2008

to *Kinneas*

_...продукты, позиционирующиеся, как продукты "простые и удобные в использовании" и как продукты "для простого пользователя" при работе с настройками включенными по умолчанию особой защиты и не дают.._ 

Всё правильно: это мы все и наблюдаем на сегодняшнем рынке защитных продуктов (и не только файерволов) - но это тенденция производителей и беда реализации ими данного принципа, а не ущебность самого принципа! Главное - не *ЧТО*, а *КАК*  :Smiley: !

_файрволл - это не "бытовой" инструмент для "простого пользователя", а инструмент для пользователя, хотя бы чуть-чуть понимающего, что он делает._

Можно, конечно, гордиться своими знаниями, опытом и пониманием, но на что же Вы обрекаете"простых пользователей"? Если сейчас наскоро припомнить: ведь это все наши дети, жены, родители, знакомые, коллеги и пр. - в данную категорию "простых" попадает абсолютное большинство реальных пользователей, а предлагать им пройти даже краткий "К_урс молодого бойца_" по защите и безопасности информации - вряд ли такое решение окажется разумным. К сожалению, много раз убеждался в неэффективности подобного "решения убеждением" на практике!  :Smiley:  Поэтому и не теряю оптимизма и надежды обнаружить на сегодняшнем горизонте реальный, современный, надежный и честный файервол.

Про файерволы, кстати: своё мнение об эксперименте *p2u* над _Kerio_ я изложил (чуть повыше) - но меня привлек не столько сам продукт, сколько подход к качеству, области поиска и детальности исследования файерволов (в частности) автора данной темы.

----------


## redwhiterus

Статья замечательная, тольо замечу от себя что если права админа есть, то через диспетчер задач без проблем убивается :Smiley:

----------


## vau2008

to *redwhiterus*




> Статья замечательная, тольо замечу от себя что если права админа есть, то через диспетчер задач без проблем убивается


"...через диспетчер задач без проблем убивается" не только этот фаер, и не только фаеры - если говорить про защиту.

Статья не призывает всех срочно сменить свой файервол на релиз _Kerio_ 2005 года - это "лабораторная" демонстрация просто _честного_ подхода производителя к выпуску просто _честного_ (=качественного) изделия - а не вороха "погремушек", названных словом "файервол" и снабженных 100%-ми "гарантиями" и обещаниями защиты.
Ну, а если продолжить это обсуждение в ключе: "Что бы мы хотели улучшить в _Kerio_" - получится (включая Ваше пожелание укрепить самозащиту) портрет того самого продукта, которого так не хватает в реальности, и главное пожелание к которому - чтобы он действительно выполнял основную задачу файервола.

----------


## redwhiterus

> Статья не призывает всех срочно сменить свой файервол на релиз Kerio 2005 года - это "лабораторная" демонстрация просто честного подхода производителя к выпуску просто честного (=качественного) изделия - а не вороха "погремушек", названных словом "файервол" и снабженных 100%-ми "гарантиями" и обещаниями защиты.


об этом и не говорилось



> Ну, а если продолжить это обсуждение в ключе: "Что бы мы хотели улучшить в Kerio" - получится (включая Ваше пожелание укрепить самозащиту) портрет того самого продукта, которого так не хватает в реальности, и главное пожелание к которому - чтобы он действительно выполнял основную задачу файервола.


Несколько иной ключ, я просто упомянул о личных наблюдения, так как в статье нашел много интересного и читал с удовольствием, но об этом не упоминалось, а фактор важный имхо

----------


## AVE

Хм, а почему выбран именно 2.1.5 а не 4.2.2? Чем обусловлен выбор именно этой версии?

----------


## Kinneas

Я полагаю, что, из-за того, что, со слов p2u, это - "самый последний бесплатный в серии Kerio файрвол".

----------


## vau2008

to *AVE*
_почему выбран именно 2.1.5 а не 4.2.2? Чем обусловлен выбор именно этой версии?_

В самом начале *p2u* поясняет свой выбор:
_...Sunbelt его потом купила и испортила._

Версия "4.2.2" - ведь это про "_Sunbelt Kerio Personal Firewall_"?
Вообще, мне импонирует уважение p2u к бесплатной защите пользователя и его, кстати, неустанные поиски в этом направлении.

----------


## Surfer

санбелт вроде купила его когда уже была 6 версия, если не ошибаюсь.
http://www.oldversion.com/program.php?n=keriopf
---
Офф: Мне интересно, как ликтесты пройдёт CoreForce  :Smiley:

----------


## redwhiterus

> санбелт вроде купила его когда уже была 6 версия, если не ошибаюсь.
> http://www.oldversion.com/program.php?n=keriopf


6 версии PF в природе нет!

----------


## Catkin

В системном логе периодически появляются вот такие записи.
http://ipicture.ru/uploads/080723/5045/5Ptwq3U5LV.png
http://ipicture.ru/uploads/080723/5045/G02z0zyToa.png 
Что делать?

----------


## XP user

> В системном логе периодически появляются вот такие записи.
> http://ipicture.ru/uploads/080723/5045/5Ptwq3U5LV.png
> http://ipicture.ru/uploads/080723/5045/G02z0zyToa.png 
> Что делать?


Думаю, что Kerio несовместим с одной или более других программ на вашем компьютере если эти сообщения повторно появляются. Вы должны удалить программу и потом отдельно проверять, удалился ли драйвер. Это можно проверить вот так:
Правой кнопкой мыши на Мой Компьютер - Свойства - Оборудование - Диспетчер Устройств. Во вкладке 'Вид' отметить 'Показать скрытые устройства'. В разделе 'драйвера не Plug and Play надо искать этот драйвер fwd (по моему он отмечен как Kerio firewall driver) или как он там называется. Нажать 'удалить'. На предупреждение о перезагрузке согласиться (ОК). Также очистить папку Kerio в Program Files. 

Paul

----------


## Myxa_beer

Спасибо за статью.  Я как раз нахожусь в поиске оптимального firewall на свой компьютер. Поставил OutpostFirewall. Не нравиться он мне :1) Интуитивно не понятен. 2)Мой старенький Celeron1000 вешает не слабо. 
 Сегодня буду ставить Kerio.  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> Сегодня буду ставить Kerio.


Хочу всё-таки предупредить - *я не вызываю всем поставить этот файрвол!* 
Тема была написана для того, чтобы доказать, что можно проходить ликтесты другим образом - *прошу тестить эту идею*, а не выбрать старенький Kerio для вашей защиты. 
Дело в том, что у этого файрвола есть свои недостатки - например: он плохо справляется с фрагметированными пакетами. Это значит, что хакер *может* пробиться если хочет.

Paul

----------


## Myxa_beer

Хорошо, тогда может подскажите оптимальный firewall? Я читал, что Comodo очень неплохой продукт - и тесты отсюда доказывают это. Почитал форумы, но там каждый хвалит свое  :Smiley:

----------


## XP user

> Хорошо, тогда может подскажите оптимальный firewall?


Да, Comodo - неплохой выбор.

Paul

----------


## polimorf

Или outpost  :Wink:

----------


## XP user

> Или outpost


В сообщении 21 Myxa_beer уже описал свой опыт с Outpost'ом.  :Wink: 

Paul

----------


## Ego1st

Прочитал статью Паула, хотел бы всех заранее предупредить что 70% ликтестов Паул прошел не из-за firewall'a а из-за настроек своей системы при которых не все могу сидеть в том числе и я долго не выдержал=))
Это я так на всякий случай сказал, что бы знали, а то я смотрю все сразу бросились его качать=)

----------


## bqqqaez

Хороший фаервол и, главное, бесплатный для домашнего использования.
Вот только правила на скриншоте от p2u показались чуть странными.
Локальные порты, для безопасности, лучше назначать в диапазоне выше системных, т.е. 1024-65535
Не пойму, что страшного произойдет, если сделать одно правило DNS для всех приложений:
DNS UDP(Both) [1024-65535] [Any address]:[53] Any application

----------


## XP user

> Вот только правила на скриншоте от p2u показались чуть странными.
> Локальные порты, для безопасности, лучше назначать в диапазоне выше системных, т.е. 1024-65535


Зачем, если сама Windows начинает отчёт опять с порта 1024 как только ваш браузер закрыл порт 4999/5000? Многие трояны очень любят высокие порты. Порты надо делать доступными только по требованиям программ у вас на компе.
P.S.: По моему на Висте, например, исходящие DNS-запросы, производимые процессом *svchost.exe*, осуществляются даже не с портов 1024-4999, а с портов 49152-65535, но ему предпочтительно вообще выходить никуда не надо, и одновременно блокировать его тоже не стоит - службу DNS Client надо отключить, и всё. Программы должны САМИ делать DNS запросы.



> Не пойму, что страшного произойдет, если сделать одно правило DNS для всех приложений:
> DNS UDP(Both) [1024-65535] [Any address]:[53] Any application


Дело в том, что некоторые трояны могут выдать свои действия как DNS запрос. Система (и часто программа защиты на ней) обманывается и Трояны вылезают. 
P.S.: Боюсь, что с таким правилом вы не пройдёте DNS tester если у вас нет программы HIPS.

Paul

----------


## barsukRed

Неплохой бесплатный фаервол был sygate PF v4.6(последняя free,если не путаю). Очень жаль что в интернете не сыскать больше этой версии. Хотелось бы такой иметь себе...

----------


## XP user

> Неплохой бесплатный фаервол был sygate PF v4.6(последняя free,если не путаю). Очень жаль что в интернете не сыскать больше этой версии. Хотелось бы такой иметь себе...


Почему бы нет?
Последний Free был 5.6.2808. Его можно грузить отсюда.
P.S.: Предупреждаю: так как продукт больше не поддерживается, могут быть неустранимые проблемы по совместимости с другими программами. У Sygate защита драйвера - очень сильная, даже до такой степени, что Касперский с ним не справится в борьбе за господство.  :Smiley:  
Sygate, например, не даст антивируснику сканировать свои папки, и система зависает; только кнопка 'reset' поможет.

P.S.: Описание настроек + базовые примеры создания правил и обьяснения (на русском)
http://rapidshare.com/files/52562917/Sygate.rar

Paul

----------


## bqqqaez

> Зачем, если сама Windows начинает отчёт опять с порта 1024


Из параноидальных соображений  :Cheesy: 
Понятно, что Windows, будет назначать локальные порты для соединения выше 1024, но вреда не будет если диапазон локальных портов жестко прописать. мало ли, а вдруг в будущем какая-нибудь специфическая уязвимость возникнет? 

У меня даже у почтового клиента прописан IP адрес mail-сервера. Нефик Фандерберду куда попало лазать  :Smiley: 




> Порты надо делать доступными только по требованиям программ у вас на компе.
> Дело в том, что некоторые трояны могут выдать свои действия как DNS запрос.


Аха! Я понял свою ошибку: любой открытый для всех порт можно использовать как транспорт для тоянчиков.
Исправил правила.




> Последний Free был 5.6.2808. Его можно грузить отсюда.
> P.S.: Предупреждаю: так как продукт больше не поддерживается, могут быть неустранимые проблемы по совместимости с другими программами. У Sygate защита драйвера - очень сильная


О Боже! Сколько же настроек у этого Sygate!
Уж лучше я останусь на Керио. Там все просто: создал правила по приложениям и портам и больше ничего настраивать не надо.
В принципе, от файрволла кроме контроля приложений, создания правил по портам и IP адресам больше ничего и не требуется, imho.

----------


## XP user

> Из параноидальных соображений 
> Понятно, что Windows, будет назначать локальные порты для соединения выше 1024, *но вреда не будет если диапазон локальных портов жестко прописать*. мало ли, а вдруг в будущем какая-нибудь специфическая уязвимость возникнет?


Ну?  :Wink:  Именно из-за этого у меня диапазон доступных портов жёстко прописан; не 1024-65535, как вы предлагаете, а более узкий: 1024-4999. Договорились? Только в картинке с правилами Kerio для данного эксперимента это не указано (там стоит 'All' для локальных портов), так как такие параметры не совсем относятся к ликтестам...  :Wink: 

Я даже в своё время, когда я ещё тестировал для Комодо повесил свои настройки на форум по просьбе одного из участников:

Share Your Settings

Профиль я там сам удалил, так что контактировать меня там не удаётся. Найти другие сообщение можно.  :Wink: 

Paul

----------


## bqqqaez

Кстати, хочу сказать спасибо тебе p2u!

Долго мучался выбором файрволла.
Outpost оказался слишком тормозным со своими HIPSами, и глючным до синих экранов смерти.

У других фарволлов встретил не понятный, не дружественный интерфейс. Черт возьми, что может означать опция 'защита netbios'? Сложно догадаться.

Хотелось простой инструмент в котором можно создавать правила и ничего лишнего. И такой инструмент нашелся благодаря этому топику.

----------


## barsukRed

> Почему бы нет?
> Последний Free был 5.6.2808. Его можно грузить отсюда.
> P.S.: Предупреждаю: так как продукт больше не поддерживается, могут быть неустранимые проблемы по совместимости с другими программами. У Sygate защита драйвера - очень сильная, даже до такой степени, что Касперский с ним не справится в борьбе за господство.  
> Sygate, например, не даст антивируснику сканировать свои папки, и система зависает; только кнопка 'reset' поможет.
> 
> P.S.: Описание настроек + базовые примеры создания правил и обьяснения (на русском)
> http://rapidshare.com/files/52562917/Sygate.rar
> 
> Paul


Спасибо большое, Паул, за ссылочку. У меня постоянно стоит версия 5.5 PRO сборки 2710. К сожалению платная версия. Очень хорошо чувствует себя с free антивирусами. Никогда не имел проблем. А в интернете попадались только сборки с подлинкованой рекламой. Попробую Ваш.

*Добавлено через 8 минут*




> Хотелось простой инструмент в котором можно создавать правила и ничего лишнего. И такой инструмент нашелся благодаря этому топику.


Имхо,конечно,но на мой взгляд использовать очень старые фаерволы-некоторый риск. Происходит постоянное обновление системных и др драйверов а фаер обновить нельзя по понятным причинам. Могут возникать проблемы в работе...

----------


## bqqqaez

> Происходит постоянное обновление системных и др драйверов а фаер обновить нельзя по понятным причинам. Могут возникать проблемы в работе...


Без проблем работало на XP SP2. После наката SP3 также отлично работает.
Вот на Vista сетевой стек поменяли и там с Kerio не то что проблемы будут - вообще работать не будет.

Вот это проблема. Вдруг придется купить какой-нибудь ноутбук с предустановленной Vista и снова начнуться поиски идеального файрвола. Хочется простого и легкого фаера с контролем приложений и пакетным фильтром. Без всяких тормозных и глючных HIPSов и проативок.




> Прочитал статью Паула, хотел бы всех заранее предупредить что 70% ликтестов Паул прошел не из-за firewall'a а из-за настроек своей системы при которых не все могу сидеть в том числе и я долго не выдержал=))


Держу пари, что в чистой системе без настроек результат был бы аналогичным.
Дело не в твиках системы, а в тех, грамотно созданных, правилах, что видны на скриншотах. А файрволл оказался лишь подходящим инструментом в умелых руках.

----------


## barsukRed

> Хочется простого и легкого фаера с контролем приложений и пакетным фильтром. Без всяких тормозных и глючных HIPSов и проативок.


Мне нравится этот GhostWall FireWall 1.150 от http://www.ghostsecurity.com/index.php?page=ghostwall. Воистину проще,наверное,не бывает.  :Smiley:

----------


## XP user

> Держу пари, что в чистой системе без настроек результат был бы аналогичным.
> Дело не в твиках системы, а в тех, грамотно созданных, правилах, что видны на скриншотах. А файрволл оказался лишь подходящим инструментом в умелых руках.


А здесь с Ego1st'ом спорить не стоит; он - прав. Есть вещи похитрее, чем ликтесты. Настройки системы - основное. Если закрыть все 'слушающие' порты, например, тогда уже имеет смысл файрвол поставить от атак извне. Если так НЕ делать, то тогда защиты от вашего файрвола может не быть при эксплойтах. И не забудем про всякие библиотеки, которые браузер грузит (Flash Player, к примеру). Они все выходят именно через разрешения браузера, какие бы узкими эти разрешения ни были. В этом как раз доказательство о том, что хорошие результаты на ликтестах дают ЛОЖНОЕ ощущение защищённости.

Paul

----------


## barsukRed

> И не забудем про всякие библиотеки, которые браузер грузит (Flash Player, к примеру). Они все выходят именно через разрешения браузера, какие бы узкими они ни были. 
> Paul


Возможно,такие вещи можно регулировать с помощью мониторов компонентов(как в комоде 2.*). Но насколько эффективно это можно делать? Имхо,наверное для пользователя такой контроль будет несколько "геморойным"...

----------


## XP user

> Возможно,такие вещи можно регулировать с помощью мониторов компонентов(как в комоде 2.*). Но насколько эффективно это можно делать? Имхо,наверное для пользователя такой контроль будет несколько "геморойным"...


А вы попробуйте держать Flash Player под контроль, даже с монитором компонентов - если не отключить или удалить его, вам это вряд ли удастся. Так программёры задумали...  :Smiley: 

Paul

----------


## bqqqaez

> Мне нравится этот GhostWall FireWall. Воистину проще,наверное,не бывает.


Насколько я понял - это чистый пакетный фильтр без контроля приложений.
Пакетный фильтр + NAT у меня уже встроен железно в ADSL модем.
Этого достаточно, чтоб защититься извне и прикрыть уязвимые службы от Microsoft (хотя лучше их отключать).
Но пакетный фильтр никак не помешает трояну вылезти наружу. Тот просто использует любой открытый порт.




> И не забудем про всякие библиотеки, которые браузер грузит (Flash Player, к примеру). Они все выходят именно через разрешения браузера, какие бы узкими эти разрешения ни были.


От уязвимостей браузера и его библиотек ничто не спасет. Ну не закрывать же в самом деле доступ в интеренет для браузера!?
Единственный выход который приходит в голову: поставить Линукс на виртуальную машину и с нее ходить в интернет, а для хостовой системы запретить доступ в сеть полностью.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## XP user

> От уязвимостей браузера и его библиотек ничто не спасет. Ну не закрывать же в самом деле доступ в интеренет для браузера!?


Я просто хотел умерить ваш энтузиазм немного насчёт хитрых правил файрвола. А так, всё нормально. Слишком волноваться не стоит.  :Smiley: 



> Единственный выход который приходит в голову: поставить Линукс на виртуальную машину и с нее ходить в интернет, а для хостовой системы запретить доступ в сеть полностью.


Это пока - система же не так уже популярной ещё. Но и там есть свои проблемы. Я как раз хочу искать в эту сторону, но из того, что я прочитал уже, я ещё не убеждён в том, что у меня защиты будет больше, чем на моей любимой жёстко настроеной Windows XP.  :Smiley: 

Paul

----------


## ALEX(XX)

> но из того, что я прочитал уже, я ещё не убеждён в том, что у меня защиты будет больше, чем на моей любимой жёстко настроеной Windows XP. 
> 
> Paul


 Зато у Вас есть уникальная возможность перелопатить кучу кода и с помощью молотка, зубила и какой-то матери выправить всё, что Вам надо  :Cheesy:

----------


## barsukRed

> Насколько я понял - это чистый пакетный фильтр без контроля приложений.


 Да.  


> Но пакетный фильтр никак не помешает трояну вылезти наружу. Тот просто использует любой открытый порт.


 На мой взгляд может помешать. Мне кажется именно пакетный фильтр удобен для пользователя тем, что не дает лишних алертов. По идее зловред должен быть блокирован МОЛЧА если нет разрешающего правила для такого соединения.   Но чтобы не уходить в сторону от темы топика, хочу сказать что для идеи организовать защиту системы используя старые версии фаеров, простенький пакетный фильтр подходит неплохо.

----------


## XP user

> Мне кажется именно пакетный фильтр удобен для пользователя тем, что не дает лишних алертов. По идее *зловред должен быть блокирован МОЛЧА если нет разрешающего правила для такого соединения*.


Вы поняли именно то, что я хотел показать. 'Default Deny' называется.  :Smiley:  
Почти во всех файрволов есть жёстко программированные разрешения для барахла от Майкрософта. В Kerio такого нет - это имеет огромное значение для обеспечения безопасности.



> Но чтобы не уходить в сторону от темы топика, хочу сказать что для идеи организовать защиту системы используя старые версии фаеров, простенький пакетный фильтр подходит неплохо.


Работа со старыми программами всё же имеет свои недостатки, в первую очередь проблемы несовместимости. Я очень огарчён тем, что нынешние производители таких продуктов отходят от старых, проверенных принципов защиты в пользу всяких недоделанных модулей HIPS c непонятными алертами. Естественно от Майкрософта они вставляют ВСЁ в группу доверенных. Может быть по другому лого MS нельзя получать, не знаю...  :Roll Eyes (Sarcastic): 

Paul

----------


## barsukRed

> Работа со старыми программами всё же имеет свои недостатки, в первую очередь проблемы несовместимости.


К сожалению я не смог запустить Sygate PF free(по Вашей ссылке), при первой перезагрузке фаервол выдает ошибку и выгружается. Странно, но мой Sygate PF версии 5.5 работает без проблем... Наверное это именно тот случай, о котором Вы написали. Жалко...

----------


## bqqqaez

> На мой взгляд может помешать. Мне кажется именно пакетный фильтр удобен для пользователя тем, что не дает лишних алертов. По идее зловред должен быть блокирован МОЛЧА если нет разрешающего правила для такого соединения.


А он использует любое разрешающее правило.
Например вылезет наружу по 80 порту. И пакетный фильтр не узнает что это было: то ли браузер полез по страничкам, то ли шпион информацию передает.
А, вот, в Керио есть контроль приложений. Тот сравнит имя процесса, его контрольную сумму и запретит проессу трояна лезть в и-нет.

Как раз Керио оказался для меня золотой серединой. Он не так ограничен как простой пакетный фильтр, но и не перегружен глючными и тормозными HIPSами.
Как раз между двух зол прошел. А то современные средства защиты со своими наворотами порой бывают хуже троянов и вирусов  :Wink:

----------


## XP user

> А, вот, в Керио есть контроль приложений. Тот сравнит имя процесса, его контрольную сумму и запретит проессу трояна лезть в и-нет.


Самое главное - не задать явно разрещающих правил для IE. Трояны могут отправить ваши пароли своему хозяину через метод 'POST' данных в IE, что не требует никаких явных процессов или изменений хэша. На такие вещи Kerio не рассчитан.  :Smiley: 

Paul

----------


## bqqqaez

> Самое главное - не задать явно разрещающих правил для IE. Трояны могут отправить ваши пароли своему хозяину через метод 'POST'


У меня так и сделано: всем продуктам Microsoft отказано в доступе в интернет. IE - браузер по умолчанию. Для него не создано правило в файрволле и, для надежности, прописана левая прокси 127.0.01:139. Пусть туда трояны отправляют пароли  :Cheesy: 
Я и службу обновлений запретил полностью. Для обновления скачиваю сборники комулятивных обновлений и запускаю их вручную.
Все сетевые программы: Опера,  ФаерФокс, Фандерберд, Регет, у меня портативные. Чтоб не оставляли путей в реестре. И внес по вашей рекомендации ключики в реестр, чтоб пути в MRU не писались.

Кстати, немного офтопика, Опера даже с включенным ЯваСкриптом ни разу не занесла заражение на компьютер за долгие годы использования в качестве основного браузера.

----------


## Jolly Rojer

> Неплохой бесплатный фаервол был sygate PF v4.6(последняя free,если не путаю). Очень жаль что в интернете не сыскать больше этой версии. Хотелось бы такой иметь себе...


Ну смотря как искать  :Wink:  А файр действительно хорош.




> Почему бы нет?
> Последний Free был 5.6.2808. Его можно грузить отсюда.
> P.S.: Предупреждаю: так как продукт больше не поддерживается, могут быть неустранимые проблемы по совместимости с другими программами. У Sygate защита драйвера - очень сильная, даже до такой степени, что Касперский с ним не справится в борьбе за господство.  
> Sygate, например, не даст антивируснику сканировать свои папки, и система зависает; только кнопка 'reset' поможет.
> 
> P.S.: Описание настроек + базовые примеры создания правил и обьяснения (на русском)
> http://rapidshare.com/files/52562917/Sygate.rar
> 
> Paul


Паул, огромная Вам благодарность за столь глубокий анализ и хорошее описание. Вот за описанные характеристики этого файра Паулом я его и люблю и ни на какой другой в ближайшее время не хочу переходить  :Smiley: 




> О Боже! Сколько же настроек у этого Sygate!
> Уж лучше я останусь на Керио. Там все просто: создал правила по приложениям и портам и больше ничего настраивать не надо.
> В принципе, от файрволла кроме контроля приложений, создания правил по портам и IP адресам больше ничего и не требуется, imho.


Хм дык в принципе Sygate в большей степени ориентировался на профессионалов, посему и настроек много тонких. Хотя скажу честно юзал и продолжаю юзать Sygate PRO и поэтому про пользовательскую версию ни чего сказать не могу.

----------


## barsukRed

> ... принципе Sygate в большей степени ориентировался на профессионалов, посему и настроек много тонких.


А что у него есть такого только для профессионалов? Подробные журналы? А что еще?  :Smiley:

----------


## Jolly Rojer

> А что у него есть такого только для профессионалов? Подробные журналы? А что еще?


Паул давал конкретные ссылки на этот файрвол, если вам так интересно поищите и почитайте. Там много всего. Заниматся тем что состовлять подробное описание этого файрола не вижу смысла в этой ветке. И это в принципе выходит далеко за ее рамки!

----------


## barsukRed

> Паул давал конкретные ссылки на этот файрвол, если вам так интересно поищите и почитайте. Там много всего. Заниматся тем что состовлять подробное описание этого файрола не вижу смысла в этой ветке. И это в принципе выходит далеко за ее рамки!


Спасибо за совет. Я использую sygate pf постоянно и не считаю что он ориентирован для профессионалов. На это и направлен был мой вопрос. В остальном-ОК.  :Smiley:

----------


## Jolly Rojer

> Спасибо за совет. Я использую sygate pf постоянно и не считаю что он ориентирован для профессионалов. На это и направлен был мой вопрос. В остальном-ОК.


ОФФТОП: в моем посте шла речь именно о Sygate PRO, а не о Sygate PF. А это несколько отличающиеся продукты. И отличие сравниваемых версий Personal и Pro зачастую бывает достаточно ощутимым,  как например сравнить KAV6 для домашнего использования и KAV6 for WS.

----------


## barsukRed

> ОФФТОП: в моем посте шла речь именно о Sygate PRO, а не о Sygate PF. А это несколько отличающиеся продукты. И отличие сравниваемых версий Personal и Pro зачастую бывает достаточно ощутимым,  как например сравнить KAV6 для домашнего использования и KAV6 for WS.





> Хм дык в принципе Sygate в большей степени ориентировался на профессионалов, посему и настроек много тонких.


  [offtop]А я имел ввиду sygate personal firewall Pro [/offtop] Теперь понятно.

----------


## barsukRed

> Почему бы нет?
> Последний Free был 5.6.2808. Его можно грузить отсюда.
> P.S.: Предупреждаю: так как продукт больше не поддерживается, могут быть неустранимые проблемы по совместимости с другими программами. У Sygate защита драйвера - очень сильная, даже до такой степени, что Касперский с ним не справится в борьбе за господство.  
> Sygate, например, не даст антивируснику сканировать свои папки, и система зависает; только кнопка 'reset' поможет.
> Paul


Как ни странно но эта версия почему-то не работает корректно. Но  версия 5.0 отлично себя чувствует на XP!!! А главное бесплатная. На всякий случай можно отсюда загрузить.

----------


## santy

> Как ни странно но эта версия почему-то не работает корректно. Но  версия 5.0 отлично себя чувствует на XP!!! А главное бесплатная. На всякий случай можно отсюда загрузить.


А в чем проявляется некорректность работы Sygate Free? Долгое время пользовался свободной версией, указанной Паулом, сейчас переставил версию Pro. Замечаю, что при увеличении  количества правил, медленно начинает работать редактор правил.

----------


## barsukRed

> А в чем проявляется некорректность работы Sygate Free?


Через некоторое время может выгрузится с ошибкой. 



> Долгое время пользовался свободной версией, указанной Паулом, сейчас переставил версию Pro. Замечаю, что при увеличении  количества правил, медленно начинает работать редактор правил.


А у меня интересное проявляется: при анализе пакетного лога в версии 5.5pro лифт захватывается с двух-трех кликов и тяжело продвигается вверх-вниз. В версии 5.0 все очень легко захватывается и двигается.

----------


## santy

> Через некоторое время может выгрузится с ошибкой


было такое с free версией, хотя и не часто, с версией pro, гораздо реже бывает, когда надо перестартовать фаер с рабочего стола... не автозагрузился, типа. (но и конфигурация машины заметно изменилась в лучшую сторону...) У меня Sygate работает в паре c EAV 3.0




> А у меня интересное проявляется: при анализе пакетного лога в версии 5.5pro лифт захватывается с двух-трех кликов и тяжело продвигается вверх-вниз. В версии 5.0 все очень легко захватывается и двигается.


нет, такого не наблюдаю... а вот с редактором правил становится неудобно работать... медленно открываются окна, особенно если правило сложное, для нескольких приложений.... похоже, лучше для каждого приложения отдельно писать правила, без комбинирования.

----------


## barsukRed

> У меня Sygate работает в паре c EAV 3.0


А моя мечта все-таки найти старую версию Sygate PF 4.2free... Пока не удается...   :Smiley:

----------


## santy

> А моя мечта все-таки найти старую версию Sygate PF 4.2free... Пока не удается...


Хорошая мечта, назад в будущее.  :Smiley: . Судя по тому, что в 5.0 free очень легко работает редактор правил (и приложения хорошо комбинируются, и правила легко передвигаются), 4.2 free вообще идеально работает.  :Smiley: .

А в 5.0 (ставил на вирт.машину с EAV 3.0 с целью проверки работы редактора правил), такие же детальные логи работы, как и версии pro выше? Чем отличаются пакетные логи (оказывается, они у меня были отключены) от логов траффика?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## barsukRed

> Чем отличаются пакетные логи (оказывается, они у меня были отключены) от логов траффика?


Поля *Packet Decode* и *Packet Dump*

----------


## santy

"Free Download SyGate 4.2.1
NAT based Internet sharing software. It runs on Win95/98/NT for analog,ISDN,etc"

здесь.
http://www.brothersoft.com/sygate-download-5596.html

Имеет ли это какое-то отношение к Sygate 4.2 free?

----------


## barsukRed

> "Free Download SyGate 4.2.1
> NAT based Internet sharing software. It runs on Win95/98/NT for analog,ISDN,etc"
> 
> здесь.
> http://www.brothersoft.com/sygate-download-5596.html
> 
> Имеет ли это какое-то отношение к Sygate 4.2 free?


Спасибо,большое за ссылки. Я достал раритетный sygate 4.2 Со мной поделился один пользователь своими запасами. :Smiley:  Если Вам надо-в личку скину ссылочку. 
На мой взгляд со старым sygate вполне можно проходить лик-тесты.

----------


## santy

> На мой взгляд со старым sygate вполне можно проходить лик-тесты.


По настройкам VPN в Sygate - с большим опозданием отвечаю. Удаление Advanced rules и прохождение авторизации в интерактивном режиме проходит (ваш совет. Спасибо.), но еще круче работают правила VPN  в advanced rules (с помощью Паула)




> Allow Applications configurations
> 1. Select tools
> 2. Select Advanced Rules
> 3. Select Add
> 4. Select Applications
> 5. Check NTOSKRNL.EXE, tcp/ip
> 6. Click OK when done
> 
> TCP ports Configuration
> ...

----------


## barsukRed

Да,совершенно верно. Правила в *advanced rules* делают настройки более тонкими, а это очень хорошо. *advanced rules*-это как в comodo сетевой монитор. Удобный пакетный фильтр.  :Smiley:

----------


## brag

Спасибо, Paul!
Попробовал и остановился на нем.

----------

