PDA

Просмотр полной версии : Рейтинг межсетевых экранов. Каким брандмауэром Вы пользуетесь?



sergey_gum
29.07.2005, 23:22
сабж...

Geser
29.07.2005, 23:59
Долго пользовался Аутостом. Считаю что самый удобный из существующих. Сейчас стоит встроенный в KIS

Iceman
30.07.2005, 00:11
Пользовался честно купленным Аутпостом. Сейчас присматриваюсь к сигейту. КИС не катит в настоящее время.

Algris
30.07.2005, 00:39
С удовольствием пользую ZoneAlarm.
До него довольно долго пользовался Outpost,
но глюки, подлянка с GZIP и некоторая назойливость заставили отказаться от него.

nEtVIL
30.07.2005, 01:05
Outpost, мне нравится в нем удобный интерфейс и возможность подключения доп. модулей. Хороший уровень защиты.

sergey_gum
30.07.2005, 02:23
Я выбрал Outpost из-за русского интерфейса(я инглиш плоховато знаю и ваще меня бесят проги с английским фейсом).

sergey_gum
30.07.2005, 02:30
Я ещё Agava Firewall недавно ставил. В правилах без бутылки не разберёшся.

ALEX(XX)
30.07.2005, 08:52
Раньше был NIS. Хорош, но тяжеловат. Потом Kerio Personal Firewall, а сейчас Outpost

Зайцев Олег
30.07.2005, 10:43
Мне в данном случае хорошо - между мной и Инет несколько аппаратных Firewall :) А так по опыту могу сказать, что для начального уровня хорош встроенный в XP SP2 (его кстати нет в списке) - прост до безобразия и настроки не требует

Geser
30.07.2005, 12:01
Мне в данном случае хорошо - между мной и Инет несколько аппаратных Firewall :) А так по опыту могу сказать, что для начального уровня хорош встроенный в XP SP2 (его кстати нет в списке) - прост до безобразия и настроки не требует
А как же контроль апликаций?:)

Зайцев Олег
30.07.2005, 14:39
А как же контроль апликаций?:)
В случае аппаратного Firewall - с помощью автоматических систем (естественно, с ним не связанных и приенимых только для больших корпоративных сетей), а в случае встроенного в XP SP2 - тут похуже, но на типовые вещи он реагирует и выдает запросы (хотя с тем же Outpost способности встроенного Firewall XP не сравнить).

HATTIFNATTOR
31.07.2005, 11:47
ZoneAlarm. Все в нем устраивает да и привык к нему.

orvman
01.08.2005, 07:07
Agnitum Outpost Firewall - forever. Рулит он сильно и это надо признать. Хотя с тем же успехом надо признать и некоторые глюки программы. Перепробовал кучу фаеров. Зина и Керио понравились, но не более. У остальных вообще совсем все не то, что хотелось бы. Вот поэтому-то и остановился на нем. Куча наворотов, настроек + плагины + контроль компонентов + внутренние настройки Детектора атак и т.д. Еще бы какой-нибудь плагин-антивирусник, работающий в потоках, придумали бы. Вот тогда вообще цены бы не было.

Geser
01.08.2005, 08:19
Еще бы какой-нибудь плагин-антивирусник, работающий в потоках, придумали бы. Вот тогда вообще цены бы не было.
Год назад говорил с гендиректором ДрВеб. Ещ тогда предложил им скооперироваться с Агнитум. Сказал мол уже занято. Правда пока не понятно кем. Может в версии 3 что-то появится.

Shu_b
01.08.2005, 11:01
ISS BlackICE PC Protection

Alex100
01.08.2005, 22:48
Перепробовал почти все, остановился на Sygate, использую уже болеее года (глюков пока не видел в отличе от Оутпоста, хотя Оутпост очень не полх, если б не глюки с локальной сетью..) + DrWEB

RiC
02.08.2005, 00:47
Перепробовал почти все, остановился на Sygate, использую уже болеее года (глюков пока не видел в отличе от Оутпоста, хотя Оутпост очень не полх, если б не глюки с локальной сетью..) + DrWEB

Аналогично, после очередного голубого экрана начал искать альтернативу и наткнулся на Sygate, в принципе доволен, а "рюшки" мне особо не нужны, тем паче из полезных там только кэш DNS да резалка баннеров, 1-я есть в Sygate, а с рекламой Proxomitron справляется не хуже, да и gzip`ом у него проблем нет. В отличии от Outpost`a в Sygate правила можно делать не только для IP адресов, но и для MAC, что позволяет нормально фильтровать любой IP Based траффик, а не только TCP/UDP.
Скажу так для пользователя Outpost хорош, когда становиться нужно что-то больше - увы ква.

Dark_Blaze
03.08.2005, 02:19
Agnitum Outpost Firewall RULE!!!До этого пользовался Нортоновским,ну о качестве не буду говорить,хотя мой знакомый от него просто в восторге,вот тут упоминались глюки Аутпоста,тьфу тьфу тьфу я пока их пачти не имел,один раз что то не то случилось и он что то потtрял(подозреваю что не без помощи из вне)я его переставил и все хорошо.Остальные пока не пробовал надеюсь мне не придется этого делать.

gbo
10.08.2005, 14:35
Сейчас стоит AGAVA Firewall. Какое то время пользовался Outpost, но задолбал его корявый интерфейс и синие экраны. Новым файрволом доволен, есть все что нужно, интерфейс удобный.

Xen
10.08.2005, 23:11
на некоторых машинах стоит wipfw (http://wipfw.sourсeforge.net), а в основном - iptables

nowhere
11.08.2005, 17:27
В случае аппаратного Firewall - с помощью автоматических систем (естественно, с ним не связанных и приенимых только для больших корпоративных сетей)

По своему опыту могу сказать, что качество определения приложений в таких системах оставляет желать лучшего.

чтобы не офтопать, я использую честно купленную тиньку (tiny personal firewall pro)

Xen
11.08.2005, 23:06
Контроль приложений обычно обходится через длл инджектинг разного характера...

dark
12.08.2005, 05:21
outpost лучше нет!!!

vesta
12.08.2005, 10:07
outpost, мне нравится, о другом пока не думаю.

DimaT
12.08.2005, 15:10
ZoneAlarm. Привык к нему.

WakenUp
14.08.2005, 03:24
Были Sygate, ZA(all), BlackIce(all), Look`n`Stop, AGAVA, EZ, ArcaVir, BitDefender,Visnetic, OutPost, AVG, Kaspersky - либо глючат, ругаются с антивирями,много жрут и не любят когда их из автозагрузки убирают, либо дырявые, кроме L`n`S. Сейчас работаю с 8Signs (четкая прога, можно тонко настроить,у меня стоит автоБАН, так она забанила DNSы. Конечно это только фильтр, но крепкий и хорошо затачиваемый.
Хочу попробовать Rising Firewall китайский, но нет в свободной продаже, нигде.

orvman
15.08.2005, 09:22
Были Sygate, ZA(all), BlackIce(all), Look`n`Stop, AGAVA, EZ, ArcaVir, BitDefender,Visnetic, OutPost, AVG, Kaspersky - либо глючат, ругаются с антивирями,много жрут и не любят когда их из автозагрузки убирают Все правильно, а как же они будут контролировать систему и сетевой траффик в реальном режиме времени? И при чем тут автозагрузка? Например, тот же Outpost можно ручками запускать. А прописываются они в автозагрузку специально для того, чтобы защищать всю систему не в процессе входа/выхода пользователя, а на стадии загрузки драйверов и служб Винды для полного сетевого контроля.

либо дырявые, кроме L`n`S. Хе. А откуда такая конкретная инфа?
много жрут А что скажешь насчет Outpost? Тоже много отжирает?

RiC
19.08.2005, 14:28
А что скажешь насчет Outpost? Тоже много отжирает?
На 100 мегабитах ставит колом даже 4-й пень. Память почти не жрёт, а вот процессор только давай.
Чем и удивил Sygate, при том-же копании в содержимом пакетов комп грузит раза в 3 меньше чем Outpost.
Мой комп - P4 2.8 100 Мегабит Full Duplex - прокачка файла соседу -
Outpost - загрузка процессора - 80-100% скорость перекачки - 50/60 мегабит,
Sygate - загрузка процессора - 30-40% скорость перекачки - 70-90 мегабит.

orvman
24.08.2005, 08:36
RiC Элементарно. Берем соседнюю организацию, где я ставил ОР на шлюз.
~40 машин, сетка 100Mbit, свичи естественно, от разных производителей, но не в этом дело. Подсетей нет, сеть стандартная виндовая 192.168.0.0. DHCP на шлюзе на XP. Машины от 98 до XP (серверов типа 2000 или 2003 нет, юниксовых машин тоже, только Винда). Внутренняя сетка юзается интенсивно. Типа 1С и других БД, даже не разбирался какие, каспер, банк-клиент, несколько модемов в локали + ОР на этих машинах, естественно. + выделенка на самом шлюзе. ОР не везде, а только там, где нужно. ~20 станций с ОР. Режимы и политики ОР разные и фоновый тоже есть. На многих машинах есть FUS.
В общем, много можно говорить об этом, я о конфиге сетки, машин и т.д.
Вернемся к шлюзу. Версия ОР 2.5. Тамошний админ уже обновил до 2.7.
Падений и глюков сетки нет. Скорость стабильная. Внешняя и внутренняя локаль работает нормально. Загрузка процессора при одновременном юзании локали + инета (я имею ввиду не только пакеты NAT, но и локальные ресурсы машины-шлюза) на шлюзе 10%. А вот насчет оперативочки на шлюзе, да. При интенсивном юзании возрастает до 50 MB. Если брать во внимание, что ранее у ОР были траблы при интенсивном IGMP-флуде, что приводило к 100% нагрузке процессора и заниманию всей доступной оперативочки, а затем и стабильное падение системы, то это уже давным давно выправили (это потом и стали называть утечкой памяти, уже писал об этом на разных форумах). Так вот. Вернемся к той сетке. В сетке аппаратные части машин самые разные. Начиная от первых пней и заканчивая четвертыми. Ну как?
А теперь вдогонку с чем я сам сталкивался у себя в организации. Там же стоял ОР версии 2.5. Пишу по памяти, т.к. недавно эту машину отдал. Внимание!
Конфигурация следующая:
АМВ-К5-PR100 + 32 MB (SIMM), (были такие лет десять назад) сетка 100Mbit. Кроме 1С, ОР и старого офиса там ничего не стояло. Все работало без проблем! Был лишь тайм-аут с загрузкой ОР при старте винды. (либо с загрузкой офиса, но не об этом речь).
А ты говоришь о четвертом пне...
Повторяю. ОР - это самый неприхотливый фаер. Ставится куда угодно. На любую старую машину.
Теперь, возьмем вторую организацию. Опять виндовый шлюз. ОР 2.6. Все летает на ура. Но не в этом дело. Ты говоришь о скорости перекачки. Хе, в жизнь не поверю в такую разницу. Дело в том, что ОР практически не оказывает влияние на скорость локальной сети, тем более в работе с пакетами NetBios. При правильной настройке, даже и неправильной, разницу в скорости сетки ты не увидишь и не почувствуешь, т.к. она составляет не более 0,5%-1%. Об этом, ты можешь узнать у самих производителей. Есть незначительный тормоз при работе. Но на это влияют уже встроенные модули ОР. Например, при работе по http есть задержки и тайм-ауты при передаче гипертекста, затем его анализа в плагинах и распаковки уже в браузере. Но все это зависит от самих настроек, например, модуля "Интерактивные элементы". А влокали на скорость единственное, что может влиять, это модуль "Детектор атак". Далее. Если в системных настройках ОР стоит галка Нетбиоса на конретный IP или диапазон, а это будет в 99%, то повторяю - на скорость соединения это не влияет. Поясню почему.
Дело в том, что при установке канала связи (надеюсь, этот обычный трехэтапный процесс с сылками на RFC описывать не нужно) ОР делает также поэтапный анализ заголовков пакетов. Когда одна машина ответит другой, что уже готова к установлению канала связи, ОР тупо увидев в заголовке пакета конкретный IP и сравнив его со своими данными, разрешает сеанс связи по этому IP, порту и т.д. (может другими критериями) и далее до полного окончания канала связи (по этим критериям) не оказывает уже никакого влияния на эти пакеты. Надеюсь смысл ясен.
Теперь далее, насчет скорости. Ты не задумываешься о том, что дело может быть еще и в постороннем софте? Например, мониторы системы, реестра, антивирусы, шум сетки и т.д. и т.п. + другой постороний софт на той или другой машине? А обращений других машин к твоей? Например, те же банальные многочисленные броадкасты или обращения по ICMP? (кстати, все неизвестные протоколы и весь ICMP желательно вообще всегда отключать).

P.S.
Напоследок. То, что у меня. Шлюз. протокол NetBios для локальной сети включен.
Конфигурация:
Intel(R) Pentium(R) 4 CPU 2.80GHz
Mainboard : Intel Corporation D865PERL
Installed Memory : 512MB
Microsoft Windows XP Professional Ver 5.01.2600 Service Pack 2
Внутренняя локаль : Realtek RTL8139 Family PCI Fast Ethernet NIC
Выделенная линия : Intel(R) PRO/100 VE Network Connection
Outpost Firewall Pro ver. 2.7.492.5421 (416)
Идет скачка через Total Commander на шлюзе. Пять клиентов на выделенке (инет) качают данные. Посторонний софт, типа монитора KAV, 1с и т.д. и т.п. в расчет не берем.
Загрузка OP - 1%, Общая загрузка процессора машины 7%.
В общем, вот скрин.
Без комментариев.

P.P.S. Что на это скажешь :)

Geser
24.08.2005, 10:25
Кстати, при использовании П2П программ которые постоянно создают кучу соединений отключение ведения лога снижает загрузку процессора, а так же дёрганье диска (как следствие и его продолжительность жизни :))

Granat
24.08.2005, 13:06
Agnitum Outpost Firewall v 2.1. Давно юзаю (с 1.0 начинал), ни разу он меня не подводил ни на работе, ни дома. Для меня важен его удобный интерфейс, особенно в части создания правил для новых прог, которые частенько приходится устанавливать для ознакомления либо тестирования. При этом использую его широкие возможности процентов на 20, не более...

Sanja
24.08.2005, 15:52
Все они фороши для домашних юхверей... но все бесполезны против некоторых методик обхода файрваллов (даже Tiny не спасет ;) )

orvman
25.08.2005, 07:08
Geser
Кстати, при использовании П2П программ которые постоянно создают кучу соединений отключение ведения лога снижает загрузку процессора, а так же дёрганье диска Подтверждаю. Т.к. данные постоянно скидываются в логи на жесткий диск. При интенсивном юзании p2p-приложений, логи вообще лучше отключать, либо править конфиги ОР ручками, типа эту статистику вести, эту не вести, тайм-ауты отображения открытых портов и т.д. и т.п.

Granat старовата версия, недочеты и дыры в ней, например тот же IGMP-флуд, см. мой пост выше. Нет контроля компонентов и другие фичи и нововведения и т.д. и т.п. Но это твое дело.

Sanja
все бесполезны против некоторых методик обхода файрваллов А ну-ка, просвяти меня, недоумка, насчет этого. Какие еще методики? Давай подробности, конкретную инфу. Или есть ссылки на первоисточники и т.д. и т.п.? Потестируем на примере Agnitum Outpost Firewall v2.5.-2.7. А просто говорить можно все, что угодно.

даже Tiny не спасет Видимо, ты его считаешь лучшим, это твое право.

Sanja
25.08.2005, 16:18
Нахождение оригинального адреса функций CreateProcess + WriteProcessMemory -> запуск trusted applicationa -> путь в и-нет свободен

>Видимо, ты его считаешь лучшим, это твое право.
Не в этом дело.. все они перехватывают API.. для контроля инжектирования к примеру.. если вызвать эти API в обход перехватчика.. то все они в пролете..

реализацию показывать небуду.. не в моих интересах что-либо доказывать :)

aintrust
25.08.2005, 21:16
Нахождение оригинального адреса функций CreateProcess + WriteProcessMemory -> запуск trusted applicationa -> путь в и-нет свободен

Да уж, методика... :) И что с того? А если эти сервисы перехвачены файерволлом на уровне ядра, и файерволл не дает вам никакой возможности загрузить собственный kernel-mode драйвер (плюс контролирует методы типа обращения к PhysicalMemory и прочую ерунду подобного рода), тогда как?

На самом деле я вполне могу допустить, что такой метод сработает для каких-нибудь туповатых файерволлов, которые по-прежнему не могут толком пройти ни одного leak-теста, но я уверяю вас - это все очень и очень временно! Сейчас только ленивый не ставит в свой фаейрволл какой-нибудь вариант проактивной/превентивной защиты (даже в горячо любимом народом Оутпосте кое-что появилось, правда до последнего времени обходилось влегкую, т.к. в первую очередь преследовало цель именно прохождения возможно бОльшего количества leak-тестов, а не реальную борьбу с "умными" средствами обхода), в связи с чем в ближайшем времени, полагаю, все "лазейки" такого рода будут закрыты (тем более, что это не очень сложно в реализации).



>Видимо, ты его считаешь лучшим, это твое право.
Не в этом дело.. все они перехватывают API.. для контроля инжектирования к примеру.. если вызвать эти API в обход перехватчика.. то все они в пролете..

"Все они в пролете" - это какие файерволлы конкретно ("огласите, пожалуйста, весь список!" :))?


реализацию показывать небуду.. не в моих интересах что-либо доказывать :)
В реализации этого метода нет большого смысла, ибо, повторюсь, все это настолько временно, что даже не хочется париться на эту тему...

Sanja
25.08.2005, 23:03
1. драйвер для этого ненужен
2. все что на firewallleaktester.net :) могу зделать copy / paste ;)

На самом деле я вполне могу допустить, что такой метод сработает для каких-нибудь туповатых файерволлов,

Outpost -> туповатый ФВ если так рассуждать

Sanja
25.08.2005, 23:05
а вобще... если уж на то пошло - былобы желание - я файрвалл аккуратно из реестра вычещу и после 1 рестарта информация уйдет :)

Xen
25.08.2005, 23:15
реализацию показывать небуду.. не в моих интересах что-либо доказывать

реализация достаточно проста и местами элементарна =)) и даже этим трюком обходится подавляющее большинство современных ФВ. будущее внатуре за системами, контролирующими подгрузку любых драйверов и перехватывающих CreateRemoteThread(), WriteProcessMemory() и прочую байду.

Xen
25.08.2005, 23:16
а вобще... если уж на то пошло - былобы желание - я файрвалл аккуратно из реестра вычещу и после 1 рестарта информация уйдет

пока юзеры будут сидеть под админами, никуда они от спайваря не денутся :)))

Sanja
26.08.2005, 03:16
дык уже перехватывают...

CreateRemoteThread(), WriteProcessMemory() и прочую байду.
:)

aintrust
26.08.2005, 08:35
...
Outpost -> туповатый ФВ если так рассуждать
...

А как ни рассуждай, но, к примеру, с точки зрения файерволла приложений он вполне туповатый, впрочем это может быть позицией разработчиков: разделить сетевой файерволл и все остальные функции защиты. Да и вообще, строить защиту компьютера только на одном единственном сетевом файерволле абсолютно бесперспективно, это уже даже дети малые понимают. :)

aintrust
26.08.2005, 08:41
пока юзеры будут сидеть под админами, никуда они от спайваря не денутся :)))
Пока юзеры будут сидеть под админами (а пока что ничто этому не препятствует, и даже наоборот!), они никуда не денутся от любых видов атак... к сожалению... :(

aintrust
26.08.2005, 08:46
реализация достаточно проста и местами элементарна =)) и даже этим трюком обходится подавляющее большинство современных ФВ. будущее внатуре за системами, контролирующими подгрузку любых драйверов и перехватывающих CreateRemoteThread(), WriteProcessMemory() и прочую байду.
Безусловно... вопрос только в том, должны ли этими "системами, контролирующими подгрузку любых драйверов и перехватывающих... и т.д.", быть фаейрволлы? На самом деле, ответ неоднозначен, как с маркетинговой точки зрения, так и с точки зрения реализации.

Xen
26.08.2005, 13:36
Это будут комплексные корпоративные решения.

aintrust
26.08.2005, 13:59
Это будут комплексные корпоративные решения.
Хотелось бы, чтобы это было так, чтобы не было никаких конфликтов между отдельными приложениями (модулями) от разных поставщиков... Но, к сожалению, в настоящее время компании, которые собираются писать (или пишут) такие "комплексные решения", как правило специализируются (или специализиролвались до этого) в одной-двух областях компьютерной защиты. Яркий пример этого - новая версия подобного "решения", создаваемого Лабораторией Касперского, т.н. KIS2006. ЛК в основном специализировалась на антивирусной защите (плюс немного на файерволле и антиспаме), в связи с чем сейчас, в процессе написания нового комплексного продукта, испытывает большие трудности, уже приведшие к тому, что процесс разработки сильно затянулся (похоже, уже не менее, чем на полгода), да и, судя по всему, финальный релиз, я уверен, будет содержать большое количество недоработок. И таких примеров, к сожалению, много.

Что в результате? Несмотря на заявляемую "комплексность" решения, все равно сквозит некая однобокость (точнее, гипертрофированность) одних частей (модулей) и недоразвитость других. Грустно...

Sanja
26.08.2005, 16:15
Вроде по известной некоторому кругу лиц информации - задержек нету... КИС должен выйти в Сентябре

aintrust
26.08.2005, 16:45
Вроде по известной некоторому кругу лиц информации - задержек нету... КИС должен выйти в Сентябре
Какого года, 2006-го, что ли? :)

Еще даже нет беты, а на календаре 26 августа. По моим сведениям (полученным из официальных источников), выход беты планируется на январь 2006 года, а изначально планировался на июль 2005-го.

edit: Сегодня, 27.08.2005, Николай Гребенников, менеждер продуктов KIS/KAV2006 ЛК, заявил (http://forum.kaspersky.com/index.php?showtopic=4160), что предыдущее заявление (http://forum.kaspersky.com/index.php?showtopic=3947) о выходе беты этих продуктов в январе 2006 года было неверным, и что на самом деле бета ожидается к 1 ноября 2005 года, если, конечно, все будет нормально.

Geser
26.08.2005, 17:18
Какого года, 2006-го, что ли? :)

Еще даже нет беты, а на календаре 26 августа. По моим сведениям (полученным из официальных источников), выход беты планируется на январь 2006 года, а изначально планировался на июль 2005-го.
Пусть лучше наберутся опыта и глюки выловят, и только после этого выпустят продукт. Тормоза и глюки предыдущих версий и так уже привели к тому что половина плюётся услышав слово Касперский :)
А если КИС будет работать надёжно - будет отличный птодукт. Стенку они вроде подтянули вполне прилично.

aintrust
26.08.2005, 18:43
Насчет опыта, глюков и особенно фамилии (и персоны) "Касперский" - вполне согласен, сам такой же! :) Насчет "отличного продукта" - хотелось бы, конечно, чтобы это было именно так, но пока что (оглядываясь на процесс бета-тестирования) "меня терзают смутные сомнения" в этом, по крайней мере на момент выхода финального релиза. Они действительно пытаются что-то сделать достойное, но, на мой взгляд, пока что их "сильно колбасит" в смысле видения конечного продукта... многовато каких-то неясных шараханий, непродуманных вещей и прочего. Думаю, что к моменту выхода MP1 или MP2 (где-нибудь ближе к концу следующего года) действительно будет на что посмотреть. Впрочем, поживем-увидим.

SDA
26.08.2005, 18:55
Кстати по поводу комплексных корпоративных решений, хороший пример 6 версии Zonealarm с ловлей спайваре "В основе ZoneAlarm 6.0 лежит новая технология изучения поведения программ которая не позволит шпионскому ПО обосноваться на компьютере. Вместо того, чтобы периодически сканировать ПК на наличие инфекций уже после того, как они причинили ущерб, ZoneAlarm 6.0 предлагает новый механизм защиты OSFirewall, гарантирующий постоянную безопасность ПК. Этот межсетевой экран (МСЭ) на уровне ядра выявляет подозрительные действия, затрагивающие операционную систему, программы и файлы, и блокирует разрушительные программы. В дополнение к превентивной технологии, ZoneAlarm 6.0 использует новое интеллектуальное решение для борьбы со шпионским ПО, а также динамическую службу с нулевым временем реакции DefenseNet, которая опирается на сообщество из миллионов пользователей ZoneAlarm для заблаговременной защиты от атак нового типа." Глюков и тормозов хоть отбавляй, хотя уже не бэта а релиз. Так что сижу на 5 версии без антивируса, стенка работает прекрасно а антивирусом пользуюсь Каспером, тоже 5. Как говориться "котлеты и мухи отдельно".

orvman
29.08.2005, 08:15
Sanja
реализацию показывать небуду А зря. И на чем же ты тогда опираешься, на простых словах, без реальных фактов?

Sanja
29.08.2005, 18:43
1. KIS/KAV beta 1 already relaesed...
2. KIS/KAV beta 2 will be in November
3. теперь все пойдут по этому пути пожоже.. Panda TruPrevent, KAV ProactiveDefense, ZoneAlarm super feature ;)

4. А зря. И на чем же ты тогда опираешься, на простых словах, без реальных фактов?

Мне достаточно того что я ее (реализацию) написал и она работает... я заинтересован в том чтобы ее не блокировали :)

aintrust
29.08.2005, 21:56
1. KIS/KAV beta 1 already relaesed...
2. KIS/KAV beta 2 will be in November
...

Sanja, если вы не в курсе состояния дел с KAV/KIS2006, то, извините, не несите тут откровенную ерунду про какие-то несуществующие беты 1 и 2! Если вы хоть немного умеете читать по-английски и немецки, то посмотрите на ссылки, которые я привел в посте #47 в этой теме! Или просто прочитайте, что вот тут (пост #10) (http://forum.kaspersky.com/index.php?showtopic=4160) написано! Или возьмите и спросите по-русски непосредственно у Николая Гребенникова (его ник - grnic, впрочем вы и сами все отлично знаете) на форуме бета-тестирования данных продуктов, вот тут (http://forum.kaspersky.com/index.php?showforum=15)!

Ну, ей-богу, вы сами-то верите в то, о чем здесь пишете (это я, в частности, по поводу того, что вы писали пару дней назад, в посте #46, что релиз KIS-а выйдет в сентябре!!!)? :)

Sanja
30.08.2005, 02:12
Зачем мне что-то читать? У меня есть белее надежный канал связи.. как говорится из 1 рук :)

aintrust
30.08.2005, 08:24
Зачем мне что-то читать? У меня есть белее надежный канал связи.. как говорится из 1 рук :)
:) No comments...

orvman
30.08.2005, 09:05
Sanja
все что на firewallleaktester.net могу зделать copy / paste Делаю вместо тебя. Не буду описывать все возможности Agnitum Outpost Personal Firewall как фаервола. Скажу вкратце.
Из файла User_Guide_(RU).pdf, скаченного с официального сайта Агнитума.

Outpost Personal Firewall следит за работой не только приложений в целом, но и их компонентов..... Задача функции Контроль компонентов в том, чтобы установить, насколько эти компоненты подлинны и безвредны.

Некоторые сетевые приложения взаимодействуют с сетью не напрямую. Они порождают дочерние процессы, которые действуют от их имени. Это позволяет таким приложениям обходить обычные брандмауэры, так как запущенный таким образом процесс не рассматривается ими как часть приложения и на него не действуют правила безопасности. Более того, этот процесс скрыт от пользователя так что нет возможности следить за его действиями. С одной стороны, эта технология используется обычными приложениями (например, Internet Explorer) для выполнения стандартных операций (таких как проверка наличия обновлений) с более дружественным интерфейсом. С другой, злонамеренные программы могут воспользоваться ей, чтобы украсть личную информацию с компьютера пользователя или совершить другие зловредные действия. Outpost Firewall позволяет Вам контролировать скрытые процессы и процессы, запущенные от имени доверенных приложений, чтобы предотвратить их неподобающие действия.

Некоторые «троянские кони» и вирусы используют сложные технические приемы, позволяющие им изменять код доверенных приложений, запущенных в памяти, и обходить таким образом защиту системы и совершать злонамеренные действия. Эта технология известна как внедрение кода. Outpost Firewall контролирует функции, которые могут быть использованы для внедрения злонамеренного кода в адресное пространство доверенных приложений и таким образом предотвращает все подобные попытки.
Итак, поначитались умных фраз разработчиков. Теперь, что имеем на самом деле. Дело в том, что в принцип работы брандмауэров вообще не входит работа и блок сетевого траффика, вызванного изменением и внедрением посторонних кодов и т.д. на локальной машине с брандмауром. Хотя разработчики многих фаеров ведут усиленную работу в этом направлении.
Вернемся к Outpost. В то же самое время Outpost все-таки позволяет контролировать систему благодаря своим нововведениям, которые в большинстве брандмауров отсутствуют либо появятся вообще еще не скоро.

Теперь тестирование с сайта http://www.firewallleaktester.com
1. Outpost Firewall Pro ver. 2.7.492.5421 (416)
2. Антивирусы естественно отключаем.
3. Настройки ОР жесткие, не буду описывать.
Итог:
Из 15 тестов ОР успешно забанил все 15.
Попытки обхода самые разные, нет смысла перечислять механизмы, это можно почитать на самом сайте для каждого отдельно взятого leak-теста.
Уверен, что не все фаеры пройдут такие тесты. Вот поэтому-то я уже давно сижу на Outpost из-за его нововведений, не свойственных другим фаерам.

Sanja, Что скажешь. Есть еще примеры?

Sanja
30.08.2005, 21:05
to ovrman

Вы что издеваетесь? :)

Я ведь не использую какой либо метод с firewallleaktets... я только говорю что он работает против тех файрваллов что представленны на сайте firewallleaktets.

orvman
31.08.2005, 06:42
Я ведь не использую какой либо метод с firewallleaktets Да не, кое о каких ты говорил. А на том сайте представлены довольно интересные тесты обходов
я только говорю что он работает против тех файрваллов что представленны на сайте Все правильно, а разве ОР туда не входит?

Sanja
31.08.2005, 19:43
>А на том сайте представлены довольно интересные тесты обходов
Я в курсе.. :)

>Все правильно, а разве ОР туда не входит?
Входит.. новыдержки из хелпа не применимы к моей технологии... он ловит инжектирование вобще.. но не ловит в данном случае ибо ловить нечем...

Зайцев Олег
31.08.2005, 22:44
По поводу OP могу заметить, что можно написать толстую книгу на тему "Outpost и как с ним бороться" :) Печально, но это правда - и есть тьма троянов, которые это делают. Не далее как сегодня я колупал зверя Trojan-Spy.Win32.Banker.ek (в семействе их множество, аналоги Trojan-Spy.Win32.Banker.ds, Trojan-Spy.Win32.Banker.md ... - они воруют номера кредиток и представляют огромную опасность для пользователя - так вот они совершенно спокойно обходят OP и практически любой другой Firewall - за счет драйвера в KernelMode + руткита UserMode, который устанавливается драйвером во все процессы в ходе их загрузки. OP, как известно, ловит модификацию кода через WriteProcessMemory, а это далеко не единственный метод внедрения ...
Поэтому, имхо, можно сформулировать общее правило, чтобы предотвратить дальнейший спор: если пользователь с персональным Firewall работает с правами админа, то Firewall элементарно нейтрализовать. Методика проста - можно установить свои драйвера/перехватчики/руткиты и творить с системой в целом и Firewall в частности что угодно. А вот если работа идет из под пользователя с ограниченными правами, то тут другое дело. И многие тесты Firewall заточены именно на попытку обмана Firewall без наличия у процесса прав админа ... это важный момент.

orvman
01.09.2005, 10:08
Зайцев Олег

По поводу OP могу заметить, что можно написать толстую книгу на тему "Outpost и как с ним бороться" Ты заставил меня улыбнуться и даже посмеяться. Ну да ладно, обсуждать это не будем. Спасибо за тему книги.
за счет драйвера в KernelMode + руткита UserMode, который устанавливается драйвером во все процессы в ходе их загрузки. OP, как известно, ловит модификацию кода через WriteProcessMemory, а это далеко не единственный метод внедрения ...
Я ждал такого высказывания насчет Kernel - это бесспорно так, тут ты в правильную сторону смотришь....
Далее. Ясно дело, что не единственный метод. ОР вообще контролирует весь сетевой трафик, даже банальный localhost:loopback:127.0.0.1 им прибить можно. И ОР работает на самом низком уровне. И также сам ОР и его плагины производят фильтрацию и перехват на уровне TDI и NDIS запросов, что позволяет фильтровать как активность приложений, так и активность системы. Ты, конечно скажешь, что я несу чушь и говорю не про то. Но, то, что в силах ОР - он делает и выдавливает от системы все, что может. Агнитум же не имеет исходников Винды, чтоб и ее еще взять под контроль.
Теперь далее. Трояны есть трояны. Это не leak-тесты. И ты это сам прекрасно понимаешь не хуже меня. Сидит троян + если у него уже есть контроль виндовой системы на уровне ее ядра, либо важных сервисов, например svchost.exe (который отвечает еще за кучу сервисов), то все, хана. Но изменения в системе, даже по логам ОР сделать можно и заподозрить неладное. Много можно говориь насчет этого, не в этом смысл. Трояны - есть трояны, с ними должен работать соответствующий софт...
Теперь самое главное. Внедрение в Kernel... Здесь копать нужно уже в сторону Винды, но т.к. Микрософт до сих пор еще не выложил свои исходники, то это не предоставляется возможным и это не вина ОР., то же самое можно сказать про вообще все фаеры на виндовых системах.
если пользователь с персональным Firewall работает с правами админа, то Firewall элементарно нейтрализовать. Согласен. Агнитум активно работает над этим. В v2.7. ввели новый модуль Gina, контролирующий стандартную виндовую DLL. Конечно, это совсем не то и вряд ли чего они конкретного добьются, т.к. я уже сказал, что дело в исходниках винды и самом принципе работы ее ядра. Но, с другой стороны Агнитум официально работает и тесно (!!!!) сотрудничает именно с Микрософтом и сам Микрософт об этом говорил... И не удивлюсь, что через пару лет вместо стандартного виндового фаера, где нибудь в новой винде, будет стоять встроенный агнитумовский.
Кстати, не слышал про новую Винду (не помню точно), в которой такой вариант не проканает? Успарять не буду, тонкости не знаю - время покажет.
И многие тесты Firewall заточены именно на попытку обмана Firewall без наличия у процесса прав админа ... это важный момент. Согласен.

P.S. Зайцев Олег, а вообще я с тобой во всем согласен. Приятно иметь дело с умным человеком, знающим о чем говорит.
Единственственно, что меня добило, то это твое высказывание насчет ОР:

По поводу OP могу заметить, что можно написать толстую книгу на тему "Outpost и как с ним бороться" Печально, но это правда Дело в том, что я обеими руками за ОР и лучше него я еще не видел. Увижу, потестирую, скажу :) А пока никто меня не переубедит в обратном.
Trojan-Spy.Win32.Banker.ds, Trojan-Spy.Win32.Banker.md ... Слушай, если не трудно, кинь мне рабочие файлики + исходники (если есть). Любопытно. Заранее спасибо.

Зайцев Олег
01.09.2005, 10:19
......
P.S. Зайцев Олег, а вообще я с тобой во всем согласен. Приятно иметь дело с умным человеком, знающим о чем говорит.
Единственственно, что меня добило, то это твое высказывание насчет ОР:
Дело в том, что я обеими руками за ОР и лучше него я еще не видел. Увижу, потестирую, скажу :) А пока никто меня не переубедит в обратном. Слушай, если не трудно, кинь мне рабочие файлики + исходники (если есть). Любопытно. Заранее спасибо.
Просто я пробовал разные методы противодействия Firewall, но никогда не публиковал их - из-за того, что вреда от этого будет намного больше, чем пользы. Aintrust вел кстати аналогичные исследования - интересно послушать и его мнение.
Насчет троянов - исходников у меня их естетсвенно нет, но я могу "подарить" его рабочие образцы для опытов. Напиши мне в ЛС, куда их прислать - я перешлю.

PS: В дополнение - поправка ... "можно написать толстую книгу, как нейтрализовать программный Firewall ..." :) - OP конкретно тут естественно непричем, т.к. если я могу получить права System, тот тут уже не важно, OP там или еще что - при желании его достаточно легко нейтрализовать.

aintrust
01.09.2005, 19:03
Просто я пробовал разные методы противодействия Firewall, но никогда не публиковал их - из-за того, что вреда от этого будет намного больше, чем пользы. Aintrust вел кстати аналогичные исследования - интересно послушать и его мнение.
Насчет троянов - исходников у меня их естетсвенно нет, но я могу "подарить" его рабочие образцы для опытов. Напиши мне в ЛС, куда их прислать - я перешлю.
...

Да, некоторое время назад я исследовал (или, точнее, "расследовал" :))возможности различных файерволлов на предмет противодействия разного рода leak-тестам (как известным, так и работающим по моему собственному сценарию). Даже хотел кое-что опубликовать, но Олег отсоветовал меня это делать - он мне рассказал, как на него слегка "наехали" ребята из Агнитума после того, как он опубликовал сравнительный анализ файерволлов у себя на сайте. Тогда я для себя решил: а зачем мне это надо, ведь "дырки" любого файерволла видны невооруженным глазом, и разработчики прекрасно о них знают, а давать лишний повод размяться "кул-хацкерам" просто нет никакого смысла. В общем, я оставил эту затею... Для себя же сделал неутешительный вывод: практически ни один файерволл из имевшихся на тот момент времени на рынке не мог в полной мере противостоять атаке изнутри. Методы обхода, безусловно, разные (как "умные", так и "тупые"), и в частности, такой достаточно простой, как предлагает Sanja - впрочем, это уже не важно! Важно то, что никакой файерволл не обеспечивает 100% защиты изнутри (да и, зачастую, снаружи!), если вы работаете под Администратором! Такие вот дела... :)

PS. Кстати... по поводу "комплексных" защит (это когда антивирус комплектуется сетевым файерволлом вместе с файерволлом приложений и прочей требухой). Нынешний продукт от Лаборатории Касперского, обсуждавшийся тут накануне, т.н. KIS2006, тоже очень "дыряв", и пока что "обходится" простейшими способами. Неужели и релиз будет таким? Странно это, однако...

Geser
01.09.2005, 19:25
PS. Кстати... по поводу "комплексных" защит (это когда антивирус комплектуется сетевым файерволлом вместе с файерволлом приложений и прочей требухой). Нынешний продукт от Лаборатории Касперского, обсуждавшийся тут накануне, т.н. KIS2006, тоже очень "дыряв", и пока что "обходится" простейшими способами. Неужели и релиз будет таким? Странно это, однако...
Стенка у них не основной продукт, потому, вероятно, не будет образцом надёжности. Хотя жаль.

aintrust
01.09.2005, 22:50
Стенка у них не основной продукт, потому, вероятно, не будет образцом надёжности. Хотя жаль.
Да я даже и не конкретно стенку имею ввиду... Сам продукт в целом, если он в какой-либо из своих компонент уязвим, не может заслуживать доверия в целом. А пока что KAV/KIS2006 уязвим, и не только с точки зрения реализации, но и концептуально.

orvman
02.09.2005, 03:18
"дырки" любого файерволла видны невооруженным глазом, и разработчики прекрасно о них знают, Добавлю. Не всегда видны, но все разработчики, конечно же знают все тонкости и уязвимости своих продуктов, некоторые из которых выявляются уже только в процессе использования, а кое-что просто невозможно исправить из-за самой работы винды, поэтому и приходится всем разработчикам искать обходные пути, которые, в свою очередь не всегда корректные и т.д. и цепляются за другие тонкости и т.д. В итоге - глюки многих программ и т.д.
Даже хотел кое-что опубликовать, но Олег отсоветовал меня это делать - он мне рассказал, как на него слегка "наехали" ребята из Агнитума после того, как он опубликовал сравнительный анализ файерволлов у себя на сайте. Хм. Странно. Пока воздержусь от комментариев. А есть конкретные подробности (как было сказано выше) "наехали"? Интересно. Боюсь, что Олег неправильно все это понял.
А вообще можете опубликовывать. Было б интересно.

aintrust
02.09.2005, 09:50
Добавлю. Не всегда видны, но все разработчики, конечно же знают все тонкости и уязвимости своих продуктов, некоторые из которых выявляются уже только в процессе использования, а кое-что просто невозможно исправить из-за самой работы винды, поэтому и приходится всем разработчикам искать обходные пути, которые, в свою очередь не всегда корректные и т.д. и цепляются за другие тонкости и т.д. В итоге - глюки многих программ и т.д.

Профессионалу-программеру, хотя бы немного знакомому с системным программированием, "дырки" в защите видны практически всегда. Конечно же, "дырки" "дыркам" рознь, и на поиск некоторых надо потратить не один день! Однако большинство методов атак хорошо описаны как в литературе, так и в интернете - просто нужно почаще "лазить" по многочисленным хакерским сайтам и читать, читать, читать... а потом пробовать, пробовать, пробовать. :) Это все базовые вещи, и все об этом знают. Кроме того, если к.-л. команда собирается писать продукт, обеспечивающий защиту к.-л. вида, то кто-то в этой команде должен представлять себе большинство возможных тонкостей (хотя бы на сегодянший день!), а выявлять их в процессе эксплуатации хорошо, конечно, но, увы, бывает поздновато... И уж поверьте, исходники Винды тут не при чем, хотя они в чем-то помогли бы (правда, и хакерам тоже!).

Что касается непосредственно, скажем, Outpost FW, то, как ни неприятно будем вам это слышать, его "защита" от внутренних атак, мягко скажем, примитивна, если не сказать хуже. Как я уже говорил в этой ветке (или я говорил это где-то еще? :)), у меня сложилось впечатление, что вся "защита" Oupost FW была сделана лишь для того, чтобы пройти лик-тесты с общеизвестного сайта и потом выпустить брошюру по этому поводу с гордыми заявлениями типа "мы единственные из файерволлов прошли все лик-тесты с такого-то сайта на 100%!", как будто это является доказательством того, что продукт обеспечивает 100% защиту от внутренних атак! Понимаете... это ведь все маркетинг... продукт-то надо продавать, нужно убеждать пользователей, что он лучший, даже если это не так! Нет, не подумайте, что я считаю Outpost FW плохим файерволлом - нет, все как раз наоборот, как сетевой файерволл он очень даже неплох, но вот что касается остального - то тут еще "надо много работать и работать"!



Хм. Странно. Пока воздержусь от комментариев. А есть конкретные подробности (как было сказано выше) "наехали"? Интересно. Боюсь, что Олег неправильно все это понял.

Подробности - у Олега, если он захочет ими поделиться. :) Насчет "неправильно понял" - ну, что тут сказать, видимо так "объяснили", что понял соответствующим образом.



А вообще можете опубликовывать. Было б интересно.

:) Хорошая фраза (в том смысле, что вы мне предлагаете/разрешаете это сделать)... На самом деле, я полагаю, многим было бы интересно, не только вам, но "слава Герострата" мне не по плечу (или не по карману)... да и неинтересно мне уже это (мне не за это деньги платят!)

SDA
02.09.2005, 10:43
aintrust, хотелось узнать твое мнение по Zonealarm(стенка на которой я сижу, если это не сложно. Просто я в считаю (конечно субъективное мнение), Zonealarm и Outpost FW (я им тоже длительное время пользовался) одни из лучших стенок, хотя вполне, на 100% согласен, что абсолютной защиты нет (вобще то есть, если выдернуть сетевуху), но данные стенки от начинающих кулхацкеров и тупых сетевых червей защищают на 100%.

aintrust
02.09.2005, 11:29
Тут вот какое дело... :) Я не занимаюсь "исследованиями" возможностей сетевых файерволлов с точки зрения атак снаружи (просто мне эта тема не очень интересна), поэтому не буду судить об их возможностях именно с этой точки зрения. Можно, естественно, заняться и этим, но на все нужно время, и много, а со временем - труба... :)

С точки зрения возможности отражения атак изнутри (т.н. leak-тестов) - могу кратко взглянуть, если найду время в субботу (в чем, увы, не очень уверен). В настоящий момент, как я уже говорил, я уже забросил свои изыскания на этот счет, а время идет, и файерволлы активно прогрессируют в этом плане (все стараются переплюнуть друг друга по leak-тестам - "маркетинг, однако"), так что каждый раз нужно смотреть по-новой, чтобы не наговорить лишнего (т.е. чтобы не выдать уже устаревшую инф-цию). Поймите меня правильно: делая какие-то заявления, я стараюсь отвечать за свои слова, поэтому иногда лучше "недо...", чем "пере...". В общем, если смогу посмотреть, то посмотрю... ну, а не смогу - не обессудьте! Результат, естественно, в личку (в PM)...

Да, еще... ZA - субъективно неплохой файерволл. :)

SDA
02.09.2005, 11:34
aintrust! Заранее спасибо!

Geser
02.09.2005, 15:17
Результат, естественно, в личку (в PM)...

Хм, т.е. по Вашему мнению пользователь должен выбирать firewall по внешнему виду, потому что те кто может провести нормальное тестирование боятся его опубликовать. Интересная логика

aintrust
02.09.2005, 16:14
Ну, что тут сказать... Во-первых, действительно объективный обзор (с доказательствами и примерами PoC) требует затраты большого количества времени и сил - а мне сейчас жалко и того, и другого, т.к. я по горло занят другими делами. Во-вторых, SDA попросил меня высказать свое мнение по поводу конкретного FW - я постараюсь сделать это более-менее объективно, как только смогу это сделать (как найду время).

Если же вы хотите, чтобы я что-то написал по поводу ZA (типа смог я его сломать или нет) тут, в этой ветке - так вы так и напишите, только и всего... :)

А про "боятся опубликовать" я не понял... или вы чего-то не поняли...

Geser
02.09.2005, 16:39
Ну, что тут сказать... Во-первых, действительно объективный обзор (с доказательствами и примерами PoC) требует затраты большого количества времени и сил - а мне сейчас жалко и того, и другого, т.к. я по горло занят другими делами. Во-вторых, SDA попросил меня высказать свое мнение по поводу конкретного FW - я постараюсь сделать это более-менее объективно, как только смогу это сделать (как найду время).

Если же вы хотите, чтобы я что-то написал по поводу ZA (типа смог я его сломать или нет) тут, в этой ветке - так вы так и напишите, только и всего... :)

А про "боятся опубликовать" я не понял... или вы чего-то не поняли...
Интересна любая информация. Конечно публиковать PoC не обязательно дабы не попали в плохие руки. Достаточно общего описания, а PoC можно предоставить разработчикам если попросят. Конечно обзор десятка стенок требует времени. А вот сделать сравнительный анализ, скажем ОП и ЗА, особенно если у Вас уже есть наработки не такая трудоёмкая задача, так что если бы Вы могли сделать хотя бы примитивную сравнительную табличку было бы очень полезно.

Xen
02.09.2005, 16:59
Немного улыбнуло упоминание об исходниках винды. У любого нормального драйвер-девелопера имеется "зарелизенный" кусок от Мэйнсофта, куда попал, например, сетевой стек НТ4...

Geser
02.09.2005, 17:40
А вообще, именно публично выложенные ликтесты которые обходят защиту заставляют производителей шевелиться. Хакеры и так знают пути обойти стенку, только не спешат поведать об этом миру, что бы у призводителей был стимул залатывать дыры.

Sanja
02.09.2005, 18:14
>Теперь самое главное. Внедрение в Kernel... Здесь копать нужно уже в сторону Винды, но т.к. Микрософт до сих пор еще не выложил свои исходники, то это не предоставляется возможным и это не вина ОР., то же самое можно сказать про вообще все фаеры на виндовых системах.

Sorry for translit... some fucking problems with keyboard language selection...
Tak vot.. nenado tut duro4ku stroit iz seba.. pla4a o tom, 4to ishodniki windi nedostupni...
U kogo est mozgi u togo i FW norm
primer - Sygate FW
1. nelza ubit iz pod r3 mode :) eto realizovivaetsa elementarno.. no o4en deystvennoe sredstvo protiv 99.99 "cool hackerov" u OP etogo netu.. i ne predviditsa ;)
2. control dostupa driverov k seti :) daze 4erez kmode driver trojan nesmozet viyti v i-net

Sanja
03.09.2005, 19:02
Всех поздравляю... примерную реализацию моего метода вчера выложил Николай gorl в интернете.... Как и ожидолось все подтверждают что обход 100% :)

Daishi
04.09.2005, 13:46
McAfee Desktop лучший по загрузке системы и фейсу :)

хотите ещё лучше ставте Look'n'Stop :)

aintrust
04.09.2005, 16:29
Всех поздравляю... примерную реализацию моего метода вчера выложил Николай gorl в интернете.... Как и ожидолось все подтверждают что обход 100% :)
Так выложите сюда эту "реализацию" посмотреть, если она у вас есть, какой смысл ссылаться на мнение "всех" (кстати, я так и не смог посмотреть ее на http://forum.blacklogic.biz, файл не закачивается) и пугать народ!

Упомянутый вами Николай gorl, кстати, всего лишь навсего простенько "расхучивает" (т.е. восстанавливает в оригиналы) KeServiceDescriptorTable (что умеет и AVZ, к примеру). Я не знаю, как конкретно он это делает, через загрузку k/m драйвера или через доступ к device\physicalmemory (он ссылается на статью 90210, который использует именно такой метод) или еще как-то, но это и не важно, в общем... Если этого не умеет контролировать Outpost FW, то это совсем не значит, что найден "100% обход" всех файерволлов, как вы пишете, не так ли? :)

В общем, ждем-с реализации... вашей ли или чьей-то еще... тем более, что она уже опубликована, как вы сказали! :)

edit: PS. Да... посмотрел опус этого Николая gorl в журнале Хакер... совершенно детская статейка (и название соответствующее, "Абсолютный ноль"), совершенно ничего интересного: сплошное переписывание банальных и давно известных истин типа гейтов в ядро и доступа через physicalmemory... и что, на этом и основан весь "обход" файерволлов??? Если так, то я просто умру со смеху!!! :)

Sanja
04.09.2005, 19:42
http://read-only.ru/def_disable.rar

Sanja
04.09.2005, 19:43
>Упомянутый вами Николай gorl, кстати, всего лишь навсего простенько "расхучивает" (т.е. восстанавливает в оригиналы)

О чем и речь... зечем страдать маразмом.. когда можно банально расхукнуть пол системы :)

Sanja
04.09.2005, 19:45
++
через доступ к device\physicalmemory

RiC
16.09.2005, 08:28
http://read-only.ru/def_disable.rar
Ваш фаер работает, или отсутствует подключение к интернету
Sygate 5.6

drongo
16.09.2005, 10:20
А уменя выше упомянутый оутпост стоит сейчас .Запустил я эту прогу bypas.ехе. Винда выдала ошибку , отправить доклад в мелкософт ;D В этом фишка , или глюк ?

Petr Verbludov
17.02.2006, 23:27
Долго пользовался Аутостом. Считаю что самый удобный из существующих. Сейчас стоит встроенный в KIS
По функциональности Аутпост лучший, и это безспорно, но он всётаки дырявенький.
А на счет надежности - касперский антихакер не пропусти ничего

Sunix
10.04.2006, 18:28
встроенным в винду, ибо перестал видеть разницу, а когда не видно разницы - зачем платить больше? ;)

ps. тесты это конечно хорошо, но ...

orvman
11.04.2006, 02:25
Ваше право. Если провайдер фильтрует порты, то на домашней машине можно юзать, конечно, но все-таки куча открытых портов и ненужный траффик мало кому понравится.

ISO
17.10.2006, 05:57
Проголосовал, увидел рейтинг и понял, что поставил себе самый распространенный файрвол среди посетителей этого форума. Потихоньку начинаю разбираться с настройками.

sergey_gum
18.10.2006, 12:56
Я сейчас вобще сижу без фаервола, т.к. собрал себе сервер и выхожу в инет через него(фаервол там стоит).

Ego1st
18.10.2006, 19:41
а мне и Kisa хватает за глаза..

:-)
18.10.2006, 23:47
Интересная тема , жалко , что "титаны" прекратили беседу
Пользуюсь OutPost по одной простой причине (http://forum.five.mhost.ru/kb2/index.php/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D 1%82%D0%B2%D0%BE_%D0%BF%D0%BE_%D1%81%D0%BE%D0%B7%D 0%B4%D0%B0%D0%BD%D0%B8%D1%8E_%D0%B1%D0%B5%D0%B7%D0 %BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D0%B9_%D0%BA%D0% BE%D0%BD%D1%84%D0%B8%D0%B3%D1%83%D1%80%D0%B0%D1%86 %D0%B8%D0%B8_Outpost)
Ничего более толкового для новичка на русском языке я не нашёл , а найдя это руководство и искать перестал .
(Большущее спасибо переводчикам и авторам)
Кстати вот способ настройки (http://www.cracklab.ru/f/index.php?action=vthread&forum=3&topic=6378&page=1#11) от Ms-Rem:D


Ms-Rem
Я много фаерволлов пересмотрел (практически все доступные), и лучше оутпоста ничего не видел (хотя имхо главным недостатком оутпоста является производительность, так что на сервер ставить не советую). Ну а чтобы никакая зараза фаерволл не обошла, нужно просто никакой заразы не запускать отсюда (http://www.cracklab.ru/f/index.php?action=vthread&forum=2&topic=4590&page=3#29)

Dime3us
19.10.2006, 13:31
а мне и Kisa хватает за глаза..
Тож самое. Кстати неплохо бы добавить его в опрос.

sergey_gum
19.10.2006, 13:38
Ну вобще в KIS входит тот самый Anti-Hacker.

maXmo
23.10.2006, 22:19
Дома - хрюша сп2 без фаера (вообще), реальный ип.
На работе - хрюша сп0, фаер на периметре (все входящие режет, урод).
И тишина...

Dime3us
24.10.2006, 15:35
Ну вобще в KIS входит тот самый Anti-Hacker.Имхо, просто АН, и тот что в KIS это несколько разные вещи. Иначе почему АН считается одним из худших, а KIS наоборот, вполне способен конкурировать с тем-же OutPost?

Max_Novak
28.01.2007, 21:18
Пользуюсь Анти-Хакером встроенным в KIS 6.0

CKYHC
28.01.2007, 23:51
А вот вопрос - нельзя ли сделать редактирование проголосованного?
Ибо даже если ответ правилен на момент голосования - он может исправиться днём позже.
Не говоря уж о ситуации, когда ответ актуален для текущей машины, не являющейся ни основной, ни рабочей.
?

anton_dr
29.01.2007, 01:50
А вот вопрос - нельзя ли сделать редактирование проголосованного?
Нельзя

dark
02.02.2007, 21:50
Outpost РулеЗЗЗЗ :) :) :)

Surfer
03.02.2007, 21:48
ZoneLabs однозначно лучшие в стенках . остальные и рядом не стояли :)

sergey_gum
03.02.2007, 23:38
Уже и фанаты появились...........

Rurik
04.02.2007, 21:04
Попрубуйте АтГуарт, или продукт братьев КИТАЙЦЕВ Жуйсин - прикольно.
При помощи китайского варианта трафик съэкономил

SDA
04.02.2007, 21:24
Фанатам ZoneLabs неплохо бы постится в соответствующий раздел, лишняя инфа по одному из лучших стенок не помешает, да и раздел будет поактивнее.

Surfer
04.02.2007, 22:05
Фанатам ZoneLabs неплохо бы постится в соответствующий раздел, лишняя инфа по одному из лучших стенок не помешает, да и раздел будет поактивнее.

А что писать - проявляет себя только когда нужно , минимум глюков (при условии прямых рук)
Единственное что огорчает - с каждым новым релизом сист. требования всё увеличиваются.

sergey_gum
04.02.2007, 22:45
А что писать - проявляет себя только когда нужно , минимум глюков (при условии прямых рук)
Единственное что огорчает - с каждым новым релизом сист. требования всё увеличиваются.
Ну можно и отзывы хорошие написать, советы по настройке ;)

Max_Novak
06.02.2007, 21:15
Я фанат анти-хакера в составе KIS :)

XP user
27.04.2007, 10:27
Встроенный в XP... :) P.S.: Если у вас много нелицензионного софта, то тогда имеет, может быть, смысл что-нибудь другое установить, потому что файрволы вообще-то блокируют только хорошие программы... ;)

orvman
27.04.2007, 14:09
файрволы вообще-то блокируют только хорошие программы... я думаю йад туд бисилен :)

NickGolovko
27.04.2007, 14:56
Не спешите с выводами ;)

orvman
28.04.2007, 04:20
NickGolovko

Не спешите с выводами Ну тогда поясните, плиз, ламеру.

NickGolovko
28.04.2007, 06:37
Смысл фразы был в том, что брандмауэр в основном перехватывает стандартные способы соединения с сетью - а таковые используют только легитимные приложения, в то время как ни одно толково написанное malware, имеющее своей целью обойти брандмауэр, стандартные техники использовать не будет. Оно будет использовать те, которые брандмауэр перехватывать еще не умеет. ;) Так что Паул не совсем неправ. :)

orvman
28.04.2007, 07:19
NickGolovko, не совсем согласен.

в то время как ни одно толково написанное malware, имеющее своей целью обойти брандмауэр, стандартные техники использовать не будет. Да? Может троян еще и свой новый, доселя неизвестный, протокол использует для этого? Вот именно и юзаются стандартные методы. Есть запрос - идет анализ. Это программа. Простой фаер не может отличить лег. или нелег. софт, просящийся в инет, ему по барабану. Вот поэтому и пошли всякие навороты в послед. время в фаерах - примеры: ZA, KIS, OP и т.д. А для чего? А для того, чтобы определить по различным критериям, что это вообще за запросы такие и т.д. Вот это и называется толково написанное (пусть и зловредное) ПО. А не то, что тупо убить своим кодом определенный фаер, юзая его же уязвимости.

NickGolovko
28.04.2007, 09:20
Ммм..

Я немного не о том. :)

(сразу оговорюсь: я не утверждаю, что нет malware, которое можно блокировать брандмауэром. Поэтому сказал не совсем неправ.)

Есть нестандартные методы отправки данных (не обязательно через уязвимости), которые реализуются либо в leak-тестах, либо в реальном malware. Например, отправка под видом DNS-запроса (никаких новых протоколов) или механизм PC Flank. Или эксплуатация обширных возможностей BITS. :)

XP user
28.04.2007, 12:58
http://www.securityfocus.com/firewalls

maXmo
28.04.2007, 16:52
Например, отправка под видом DNS-запроса (никаких новых протоколов)хм… если на локальный днс-сервер уйдёт плохой пакет под видом днс-запроса, не думаю, что это будет серьёзная брешь в безопасности.

NickGolovko
28.04.2007, 21:41
А вы знаете, что даже ReGet Deluxe может использовать свой DNS сервер (причем еще и не настраиваемый), отличный от используемого вашим подключением? :)

maXmo
29.04.2007, 19:04
может… :) он может попытаться :)

fotorama
22.05.2007, 08:56
раньше аутпостом щас kav Internet Security 6

pig
10.09.2007, 02:02
Самый лучший брандмауэр - аппаратный. С системой не конфликтует :)

maXmo
10.09.2007, 17:39
зато склонен к самодеятельности :)

Макcим
10.09.2007, 18:32
Самый лучший брандмауэр - аппаратный.Даже самого тупого трояна пропустит.

pig
10.09.2007, 19:43
Мне главное, чтобы снаружи не пробивался и систему в синий экран не загонял. А для внутри у меня есть маленькие серые клеточки.

mayas
21.09.2007, 15:54
McAfee Desktop, юзается уже не первый год, надежен как скала, проходит все лик тесты при граматной настройке, бесплатеная пожизненная лицензия.

Sygate еще нравился, жаль умер проект.

Selmanuk
24.09.2007, 11:56
Comodo FireWall Pro

Shu_b
10.12.2007, 13:54
обновим рейтинг
http://virusinfo.info/showthread.php?t=15083