DefenseWall V3

Всем доброго времени суток!

Официально вышла первая бета DefenseWall HIPS & Personal Firewall v3.00.

DefenseWall Personal Firewall- это первый в мире персональный файервол-песочница и инновационной технологией "Адаптивная автоматическая защита".

Редакция Persona Firewall расширяет возможности DefenseWall HIPS, базирующейся на простом разделении прложений на "доверенную" и "недоверенную" зоны. Это то, как должны были выглядеть персональные файерволы ещё десять лет назад, то так и не стали, превратившись в жутких монстроузных уродцев.

Основные преимущества продукта:
[list][*]Отсутствует режим обучения. Полностью.[*]Отсутствует необходимость настраивать порты и типы сокетов [*]Защита от нежелательных перезагрузок[*]Отсутствует необходимость подтверждения контрольных сумм при обновлении ПО.[*]Минимальное по индустрии количество всплывающих окон с вопросами.[/list]

Возможности:

Адаптивная автоматическая защита.
• Для исходящих и входящих подключений нет необходимости в дополнительных настройках чего бы то ни было - просто устанавливай и работай. Как и DefenseWall HIPS, персональный файервол предназначен для обеспечения максимальной защиты простого пользователя с минимальными дополнительными действиями.

Белый список для упрощения установки новых программ.
• Файлы-установщики, подписанные "доверенными" вендорами, запущенные из папок "Областей загрузки" автоматически стартуют в доверенной зоне.

Защита от нежелательных перезагрузок.
• Зловредные приложения могут попытаться инициировать перезагрузку вашего компьютера. DefenseWall предупредит об этом и даст возможность избежать рестарта.

Файервол для подключений к Интернету с компьютера.
• DefenseWall Personal Firewall контролирует недоверенную зону на предмет попыток подключения к Интернету и предупреждает вас в случае, если данная программа не подчиняется уже определённым правилам для файервола. Доверенные процессы могут соединяться с Интернетом, но вы можете создать запретительное правило и для них также.

Фапйервол для входящих подключений.
• DefenseWall Personal Firewall автоматически блокирует "слушающие" порты для доверенных процессов. Таким образом, если вам нужно иметь такие вот процессы в работающем состоянии, устанавливайте их как недоверенные. Для чего так сделано? Если приложение имеет дыры, которые могут быть проэксплуатированы злоумышленниками, то их дальнейшие попытки закрепиться в системе будут блокированы песочницей.

Если компьютер входит в домен, DefenseWall автоматически отрывает 445, 135, 137,138 и 139 порты.

Также, файервло входящих подключений DefenseWall'а поддерживает и ручное управление портами.

Ручное управление портами: стандартные профили для особо профессиональных пользователей.
• Прямое ИНтернет-подключение
• Беспроводное ИНтернет-подключение
• Домашняя локальная сеть.

Профили пред-установлены для кажодго типа подключений, порты в списке закрытых могут быть убраны и добавлены вручную.

Да, и я не забыл упомянуть, что скинирование возвращено назад?

Скачать сожно по этой ссылке
[url]www.softsphere.com/files/DefenseWall_Personal_Firewall_v3_00.exe[/url]

Мелочи, а неприятно :)
1. Основное окно плохо вписывается по высоте в разрешение 1024*600, характерное для нетбуков. Во многих программах диалоговые окна по высоте больше 600 пикселей, и обычно помогает UMPCScrollBarXP, но на окна DefenceWall HIPS та утилита не реагирует.
2. Программа на английском языке, даты в логе имеют американский формат ММ.ДД.ГГГГ - это будет зависеть от языка дистрибутива?

Изменение к лучшему :) Более строгая охрана защищённых файлов от недоверенных процессов. В версии 2.56 можно было запустить командную строку и скомандовать edit ВажныйФайл.txt - файл открывался только для чтения. В версии 3.0 файл не открывается никак :) В логе DefenceWall запись про ntvdm.exe - "Attempt to map section at dangerous address"

При отключении скина веселее с размерами окна не стало.

Есть немного скользкий момент с атрибутом "доверенный". Если недоверенным является exe-файл, то всё понятно. Но к примеру, сам MS Access является доверенным, а mde-файл недоверенный. При двойном щелчке по mde-файлу получаем доверенную Access-программу. С xls-файлами такого не замечено. Хотя трояны на Access, наверно, уже экзотика :)

Обнаружена проблема с наследованием - папка с файлами имеет атрибут Secured, но файлы в ней Non-secured. Видеозапись прилагается.

1. С нетбуками проблема- слишком маленькое разрешение. Потому что мне нужно думать и о 1024х600 и о 1920х1024. И угодить всем не получится. Думаю, что улучшения тут будут, когда вся структура интерфейса будет пересмотрена полностью.

2. Лог- это техническая информация для меня лично. Пользователям туда лезть крайне не рекомендуется.

3. Вот я создаю простой .mdb-файл и ставлю его недоверенным. Запускаю его и MS Access стартует недоверенным. Я что-то делаю не так?

4. Странно. Пытался воспроизвести у себя- всё правильно работает. Эта проблема, она на всех файлах или только на этой папке?

[QUOTE=rav;527121]3. Вот я создаю простой .mdb-файл и ставлю его недоверенным. Запускаю его и MS Access стартует недоверенным.[/QUOTE]Не знаю, насколько это имеет значение, но у меня был mde, а не mdb, и Access Runtime 2007, а не полный MS Access.
[QUOTE]4. Странно. Пытался воспроизвести у себя- всё правильно работает. Эта проблема, она на всех файлах или только на этой папке?[/QUOTE]Это продолжение истории с томом, примонтированным как папка :) Воспроизводится на всех папках в этом томе.

[QUOTE=Oyster;527152]Не знаю, насколько это имеет значение, но у меня был mde, а не mdb, и Access Runtime 2007, а не полный MS Access.[/QUOTE]
А вот это (Access Runtime) уже существенно. Сейчас скачаю и посмотрю.

[QUOTE=Oyster;527152]
Это продолжение истории с томом, примонтированным как папка :) Воспроизводится на всех папках в этом томе.[/QUOTE]
А, ну с этим мне тогда всё понятно. Поддержки таких вот "папок-томов" пока отсутствует, но будет добавлена обязательно в дальнейшем. Пока что мне просто нужно выпускать версию как можно скорее.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 2 минуты[/I][/B][/color][/size]

Всё, с Runtime Access разобрался, спасибо за сообщение о проблеме. С "папками-томами" буду разбираться попозже.

Беглый взгляд (упрощенный режим, Win7 Pro x86):
1) Хотелось бы понять, по какому принципу приложения помещаются в доверенные и недоверенные ? [URL="http://img31.imageshack.us/img31/5313/1122k.png"]Пример.[/URL]
Тестовые билды qip infium и google chrome, не имеющие цифровых подписей, оказались в доверенных, а firefox и utorrent, напротив, имеющие подписи, оказались в недоверенных. utorrent без добавления в исключения вообще отказался работать, firefox и seamonkey работают в недоверенных так же, как и работали.
2) Есть ли возможность переносить приложения в доверенные ? Хотелось бы это делать из того же окна, где они обозначены.
3) На второй вкладке, в чем смысл функции Enable/Disable ? Сделал отключение qip, строчка покраснела, запустил - прекрасно запустилась.
Или я просто что-то не понял в концепции ? :)

1. В эту группу помещаются все те приложения, которые контактируют с потенциально опасным контентом из сети и могут быть атакованы. DefenseWall не может знать всех приложений, которые подпадают под одну из групп недоверенных (браузеры, почтовики, мультимедиа-проигрыватели, P2P, IM, IRC).
2. Удалить из списка недоверенных либо сделать "Disable".
3. Изменения были применены?

1) Понятно. Нашел баг или фичу - если приложение находится в программ файлс, то при запуске помещается в недоверенные, если тоже приложение, например с другого диска и пути, то запускается как доверенное.
2) Понял, а что делает "удалить навсегда" ? То есть это аналогично тому, что приложение больше не будет заноситься в недоверенные ?
3) Разобрался.

[QUOTE=Surfer;533406]1) Понятно. Нашел баг или фичу - если приложение находится в программ файлс, то при запуске помещается в недоверенные, если тоже приложение, например с другого диска и пути, то запускается как доверенное.[/QUOTE]
Просто DefenseWall его не видит по стандартным для него настройкам-путям в реестре.

[QUOTE=Surfer;533406]
2) Понял, а что делает "удалить навсегда" ? То есть это аналогично тому, что приложение больше не будет заноситься в недоверенные ?[/QUOTE]
Убивает файл.

Подскажите, как открыть доступ к файлам в локальной сети без отключения Outbond Firewall Protection? Порты 137-139 (winxp) открыты.
Чем грозит отключение этой функции?

Почему недоступна кнопка добавления порта вручную ? Кстати почему даже для доверенного приложения порты закрыты ?

[QUOTE=rav;533522]Просто DefenseWall его не видит по стандартным для него настройкам-путям в реестре.[/QUOTE]
А это так и задуманно ? Есть какая-то база ? По каким признакам тогда выносится вердикт ?

Кстати, предложение, вместо всплывающего "DefenseWall Personal Firewall 3.0" выводить список недоверенных exe-шников.

[QUOTE=Surfer;536055]Кстати почему даже для доверенного приложения порты закрыты?[/QUOTE]Чтобы не пострадать от уязвимостей в нём, автор писал в первом сообщении темы:[QUOTE]Если приложение имеет дыры, которые могут быть проэксплуатированы злоумышленниками, то их дальнейшие попытки закрепиться в системе будут блокированы песочницей[/QUOTE]
[QUOTE=Surfer;536055]Есть какая-то база ? По каким признакам тогда выносится вердикт ?[/QUOTE]Очень интересный вопрос, особенно если учесть, что программа различает полнофункциональные версии ПО и Runtime-огрызки, устанавливающиеся по тем же путям и с теми же именами. Не уверен, что автор захочет раскрывать своё ноу-хау.

[QUOTE=Oyster;536056]Чтобы не пострадать от уязвимостей в нём, автор писал в первом сообщении темы[/QUOTE]
Ну так проблема в том, что сейчас я не могу открыть нужный порт. Приходится отключать защиту :)

[QUOTE=tokzup;535776]Подскажите, как открыть доступ к файлам в локальной сети без отключения Outbond Firewall Protection?[/QUOTE]
А разве они закрыты? При входе в домен автоматически открываются SMB и NetBIOS порты, всё должно работать нормально. Если нет- нужно послать мне письмо на адрес поддержки, буду исследовать причину.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Surfer;536055]Почему недоступна кнопка добавления порта вручную ? Кстати почему даже для доверенного приложения порты закрыты ?[/QUOTE]
Так работает автоматическая защита.

[QUOTE=Surfer;536055]
А это так и задуманно ? Есть какая-то база ? По каким признакам тогда выносится вердикт ?[/QUOTE]
По признаку доверенности/недоверенности процесса, открывшего слушающий порт.

[QUOTE=Surfer;536055]
Кстати, предложение, вместо всплывающего "DefenseWall Personal Firewall 3.0" выводить список недоверенных exe-шников.[/QUOTE]
Это где такое окно у меня?

[size="1"][color="#666686"][B][I]Добавлено через 50 секунд[/I][/B][/color][/size]

[QUOTE=Surfer;536058]Ну так проблема в том, что сейчас я не могу открыть нужный порт. Приходится отключать защиту[/QUOTE]
Какой именно порт? Чьего приложения?

[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]

[QUOTE=Oyster;536056]Не уверен, что автор захочет раскрывать своё ноу-хау.[/QUOTE]
Всё детально описано в первом посте.

[QUOTE=rav;536550]Всё детально описано в первом посте.[/QUOTE]Там не сказано, как программа различила файл C:\Program Files\Microsoft Office\Office12\msaccess.exe, принадлежащий полному Access и Access Runtime ;) То есть начальные списки недоверенных процессов содержат не только пути к файлам. Что ещё содержат - не выпытываю :) Но ведь у недоверенной программы есть разные версии, а между ними могут быть хотфиксы и сервис-паки - их установка не должна делать программу доверенной. По поводу недоверенности неPE-файлов (документы, рисунки и пр.) - хорошо, программа знает про xls с макросами, но найдутся "активные" форматы других приложений, знать все невозможно. То есть, делая дабл-клик по недоверенному документу, я не уверен на 100%, что редактирующая его программа запустится недоверенной.

[QUOTE=rav;536550]Так работает автоматическая защита.[/QUOTE]
Так в режиме эксперта кнопка добавления порта тоже недоступна, или надо рестартить гуй ?
[QUOTE=rav;536550]Это где такое окно у меня?[/QUOTE]
Не окно, а трей :)
[QUOTE=rav;536550]По признаку доверенности/недоверенности процесса, открывшего слушающий порт. Какой именно порт? Чьего приложения?[/QUOTE]
Вот сейчас utorrent находится в доверенных, однако его порт закрыт.
[QUOTE]An error has occurred!

Port 56742 does not appear to be open.[/QUOTE]
Отключаю inbound protection, порт открыт.
Кстати неплохо для первой беты, комодовский ликтест почти пройден :)
[QUOTE]DefenseWall Peronal Firewall 3.00 beta
330/340
8. Invasion: FileDrop Vulnerable[/QUOTE]

[QUOTE=Surfer;536618]Так в режиме эксперта кнопка добавления порта тоже недоступна, или надо рестартить гуй ?[/QUOTE]
"Expert Mode" распространяется только на HIPS-систему. Для рученой настройки портов есть специальный режим, доступный в окне "Inbound Protection".

[QUOTE=Surfer;536618]
Не окно, а трей[/QUOTE]
А смысл, если прямо на иконке написано количество недоверенных? А список не на всех версиях 2000-й будет работать, да и как часто он нужен будет?

[QUOTE=Surfer;536618]
Вот сейчас utorrent находится в доверенных, однако его порт закрыт.[/QUOTE]
Ну да, всё правильно. Просто у меня всё наоборот- недоверенные работать со своими слушающими порты, доверенные- нет.

[QUOTE=Surfer;536618]
Отключаю inbound protection, порт открыт.[/QUOTE]
А зачем так плохо делать? uTorrent доложен быть в недоверенной зоне как потенциальный источник угрозы. Тогда и порт будет открыт.

[QUOTE=Surfer;536618]
Кстати неплохо для первой беты, комодовский ликтест почти пройден[/QUOTE]
Он не почти, он полностью пройден. FileDrop- это не тест.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[QUOTE=Oyster;536600]Там не сказано, как программа различила файл C:\Program Files\Microsoft Office\Office12\msaccess.exe, принадлежащий полному Access и Access Runtime[/QUOTE]
А он и не должен быть в недоверенных.

[QUOTE=Oyster;536600]
То есть начальные списки недоверенных процессов содержат не только пути к файлам.[/QUOTE]
Нет, там находятся правила нахождения путей к нужному файлу.

[QUOTE=Oyster;536600]
Но ведь у недоверенной программы есть разные версии, а между ними могут быть хотфиксы и сервис-паки - их установка не должна делать программу доверенной.[/QUOTE]
И не делает- в драйвер есть специальные средства контроля таких ситуаций.

[QUOTE=Oyster;536600]
По поводу недоверенности неPE-файлов (документы, рисунки и пр.) - хорошо, программа знает про xls с макросами, но найдутся "активные" форматы других приложений, знать все невозможно. То есть, делая дабл-клик по недоверенному документу, я не уверен на 100%, что редактирующая его программа запустится недоверенной.[/QUOTE]
1. Пограмма ничего не знает про макросы где бы то ни было. Она знает только источник, откуда он пришёл.
2. При двойном щёлчке недоверенный документ MS Office должен открываться в недоверенной зоне. Если этого не происходит, то такое поведение есть предмет для разбирательств и правок.

[QUOTE=rav;536662]"Expert Mode" распространяется только на HIPS-систему. Для рученой настройки портов есть специальный режим, доступный в окне "Inbound Protection".[/QUOTE]
Это понятно, проблема в том, что кнопки недоступны.
[url]http://img692.imageshack.us/img692/6426/111mb.png[/url]
[QUOTE=rav;536662]А смысл, если прямо на иконке написано количество недоверенных? А список не на всех версиях 2000-й будет работать, да и как часто он нужен будет?[/QUOTE]
Для меня, например так будет удобнее, статичная информация думаю никому не интересна, а как называется продукт, все и так знают :)
Мне, например, неудобно открывать гуй и смотреть какие процессы в недоверенных.
Можно опционально конечно сделать, по дефолту сделать как сейчас, на выбор пользователя.
[QUOTE=rav;536662]Ну да, всё правильно. Просто у меня всё наоборот- недоверенные работать со своими слушающими порты, доверенные- нет.[/QUOTE]
Если программа не в доверенных, то появляются проблемы, не смертельные, но очень неприятные, и догататься простому пользователю почему это происходит и кто этому виной, будет довольно сложно, ибо даже алертов никаких не появляется.
Примеры:
Браузеры Firefox, Seamonkey - не ставятся и не отключаются расширения.
QIP - совсем не открываются в дефолтном браузере пришедшие гиперссылки.
[QUOTE=rav;536662]А зачем так плохо делать? uTorrent доложен быть в недоверенной зоне как потенциальный источник угрозы. Тогда и порт будет открыт.[/QUOTE]
В принципе идеологию понял.
[QUOTE=rav;536662]Он не почти, он полностью пройден. FileDrop- это не тест.[/QUOTE]
Ну так маркетологам нужен 100% результат. :D
Еще вопрос и пожелание по гую:
1) Вкладка Untrusted - чем отличается Disable'нутое приложение от добавленного в Excludes ?
2) Добавить на главную форму статусы хипса и обоих файрволов -зеленый Ok или красный Disabled.

[QUOTE=Surfer;537031]Это понятно, проблема в том, что кнопки недоступны.
[URL]http://img692.imageshack.us/img692/6426/111mb.png[/URL]
[/QUOTE]
Надо предварительно выбрать один из профилей в списке 'Manual Protection'.

[QUOTE=Surfer;537031]Это понятно, проблема в том, что кнопки недоступны.[/QUOTE]
Какие кнопки? Это просто названия профилей. Нужно просто выбрать один из них и автоматика выключится.

[QUOTE=Surfer;537031]
Для меня, например так будет удобнее, статичная информация думаю никому не интересна, а как называется продукт, все и так знают[/QUOTE]
Хорошо, я внесу в список и подумаю над этим.

[QUOTE=Surfer;537031]
Примеры:
Браузеры Firefox, Seamonkey - не ставятся и не отключаются расширения.[/QUOTE]
Это нормально, так и должно быть.

[QUOTE=Surfer;537031]
QIP - совсем не открываются в дефолтном браузере пришедшие гиперссылки.[/QUOTE]
А вот это странно. Нужно сделать следующее:
1) Запустить QIP, "Events log"->"Delete all"->"Apply"
2) Воспроизвести проблему.
3) "Events log"->"Export" и получившийся файл закинуть или мне в мыло, или сюда.

[QUOTE=Surfer;537031]
Ну так маркетологам нужен 100% результат.[/QUOTE]
Мне параллельно. Почему я должен заморачиваться на тест, созданный фирмой-конкурентом? Он сделан под продукты Comodo, мои совершенно иные.

[QUOTE=Surfer;537031]
1) Вкладка Untrusted - чем отличается Disable'нутое приложение от добавленного в Excludes ?[/QUOTE]
По функциям- практически ничем.

[QUOTE=Surfer;537031]
2) Добавить на главную форму статусы хипса и обоих файрволов -зеленый Ok или красный Disabled.[/QUOTE]
Куда именно? Да и статусов больше- их всего шесть, вспоминаем комбинаторику.

[QUOTE=rav;537508]Это нормально, так и должно быть.[/QUOTE]
Думаю как минимум 2 варианта решения должно быть, либо пользователя просто уведомляют алертом о том, что установка того-то и того-то заблокирована, либо предлагается некий режим инсталляции, в котором нет таких ограничений, естественно без перезапусков софта.
Второй вариант, имхо, предпочтительней.
[QUOTE=rav;537508]получившийся файл закинуть или мне в мыло.[/QUOTE]
Кинул, пути там конечно жутко нестандартные.
[QUOTE=rav;537508]По функциям- практически ничем.[/QUOTE]
Так а зачем две практически одинаковые функции ? :)
[QUOTE=rav;537508]Куда именно?[/QUOTE]
Я думаю на главную вкладку, тобишь "Stop attack". Это опять же, не столь важное пожелание по гую.

Словил на ноуте серьезный баг с inbound-файрволом, обрывается соединение, по видимому связанно с рубкой GRP-пакетов, это уже 3-ий фаер с проблемами с VPN-подключениями (До этого аналогичные проблемы с Comodo и Windows 7 Firewall Control были). 2 подключения, роутинг через скрипт, с одним тоже вроде обрывает.
Завтра ещё погоняю.

[QUOTE=Surfer;538026]Думаю как минимум 2 варианта решения должно быть, либо пользователя просто уведомляют алертом о том, что установка того-то и того-то заблокирована, либо предлагается некий режим инсталляции, в котором нет таких ограничений, естественно без перезапусков софта.[/QUOTE]
Увеличивает вероятность ошибок.

[QUOTE=Surfer;538026]
Так а зачем две практически одинаковые функции ?[/QUOTE]
Они не одинаковые по методике использования. Можно добавить папку в недоверенные, но исключить файлы в ней. Либо исключить папку на флешке.

[QUOTE=Surfer;538026]
Я думаю на главную вкладку, тобишь "Stop attack". Это опять же, не столь важное пожелание по гую.[/QUOTE]
На самом деле, я серьёзно думаю по поводу вывода статуса отключений отдельных модулей в иконку, но никак не пойму, как же сделать лучше. Слишком много состояний.

[QUOTE=Surfer;538026]
Словил на ноуте серьезный баг с inbound-файрволом, обрывается соединение, по видимому связанно с рубкой GRP-пакетов, это уже 3-ий фаер с проблемами с VPN-подключениями (До этого аналогичные проблемы с Comodo и Windows 7 Firewall Control были). 2 подключения, роутинг через скрипт, с одним тоже вроде обрывает.[/QUOTE]
У меня не рубятся пакеты, только слушающие порты, созданные доверенными процессами. Не думаю, что проблемы именно с файерволами, особенно со встроенным в Windows.

При каждом запуске винамп 5.56 приходится более 30 раз жмакать на кнопку "принять" и ставить галочку "запомнить мой выбор". Это к отсутствию заявленного режима обучения.
Винамп устанавливался до DWPF3.

Не, это так сие поделие (Winamp, я имею в виду) стало работать. Она создаёт динамически (и каждый раз-с разными контрольными суммами!) и затем подгружает кучу dll-лок (даже не подписанных!) с данными, причём зачем-то через LoadLibrary, а не просто как файлы данных. Я уже написал на форуме поддержки своё [URL=http://forums.winamp.com/showthread.php?s=&threadid=315453]"фи!"[/URL], но не уверен, что разработчики отреагируют. В любом случае, все файерволы будуь пищать как ненормальные на подобные извраты кодеров. Советую сменить АМП на что-то более прилично написанное, благо вариантов много.

[QUOTE=rav;538500]Увеличивает вероятность ошибок.[/QUOTE]
А какие варианты есть ?
Если взять абстрактного человека, который установив DW и поняв, что она молча мешает ему его деятельности, может и обидиться. :D
[QUOTE=rav;538500]У меня не рубятся пакеты, только слушающие порты, созданные доверенными процессами. Не думаю, что проблемы именно с файерволами, особенно со встроенным в Windows.[/QUOTE]
Возможно и исходящий тоже мешает, сегодня отключены оба, вылетов нет. Логгирования, которое поможет это отследить нет ?
-----
Пару тестов:
1) [B]Пробиваемость хипса изнутри, переполнение буфера[/B]
[IMG]http://img23.imageshack.us/img23/3645/bufferx.png[/IMG]
Сам тест [URL="http://download.comodo.com/cpf/download/setups/utility/Setup_BOTester_x32.exe"]x32[/URL] , [URL="http://download.comodo.com/cpf/download/setups/utility/Setup_BOTester_x64.exe"]x64[/URL].

2) [B]Пробиваемость изнутри[/B] [url]http://www.pcflank.com/pcflankleaktest.htm[/url]
Тест провален.

3) [B]Пробиваемость файрвола снаружи[/B] ShiledsUP! от [url]https://www.grc.com/[/url]
Все сервисные порты:
[QUOTE]GRC Port Authority Report created on UTC: 2009-12-18 at 23:33:30

Results from scan of ports: 0-1055

0 Ports Open
1050 Ports Closed
6 Ports Stealth
---------------------
1056 Ports Tested

NO PORTS were found to be OPEN.

Ports found to be STEALTH were: 135, 136, 137, 138, 139, 445

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED.[/QUOTE]
Комод и каспер - все порты "stealth".

4) [B]Пробиваемость снаружи[/B] - стелс-тест [url]http://www.pcflank.com/scanner1s.htm[/url]
[QUOTE] Packet' type Status
TCP "ping" non-stealthed
TCP NULL non-stealthed
TCP FIN non-stealthed
TCP XMAS non-stealthed
UDP non-stealthed[/QUOTE]

Не знаю, влияет ли это на результат, но у меня отключены и UAC и брандмауэр.

[QUOTE=Surfer;539091]А какие варианты есть ?[/QUOTE]
По обновлениям самой программы варианты будут, и достаточно скоро. По обновлениям дополнений- только из доверенной зоны.

[QUOTE=Surfer;539091]
Возможно и исходящий тоже мешает, сегодня отключены оба, вылетов нет. Логгирования, которое поможет это отследить нет ?[/QUOTE]
Будет во второй бете.

[QUOTE=Surfer;539091]
Тест провален.[/QUOTE]
Скачал, запустил- всё в порядке.

[QUOTE=Surfer;539091]
Комод и каспер - все порты "stealth".[/QUOTE]
Чисто маркетинговый ход. К безопасности не имеет никакого отношения.

[QUOTE=Surfer;539091]
2) [B]Пробиваемость изнутри[/B] [URL]http://www.pcflank.com/pcflankleaktest.htm[/URL]
Тест провален.
[/QUOTE]
У меня он пройден.
[quote]1) Пробиваемость хипса изнутри, переполнение буфера [/quote]
А этот тест аналогично провален.

[QUOTE=avsdeg;539551]А этот тест аналогично провален.[/QUOTE]
Так это совсем другая штука. DefenseWall не предотвращает атаку, он минимизирует её последствия.

[QUOTE=rav;539378]Будет во второй бете.[/QUOTE]
Ок, жду :)
[QUOTE=rav;539378]Скачал, запустил- всё в порядке.[/QUOTE]
Тогда не понимаю, почему у меня он и Buffer Overflow запускаются как доверенные. В логах про него ничего нет.
[QUOTE=rav;539378]Чисто маркетинговый ход. К безопасности не имеет никакого отношения.[/QUOTE]
Вопрос довольно спорный, например атака xmas реально существует.
Допустим PCflank рекламирует аутпост, а вот грц существует очень давно и ничего не рекомендует вроде.

[QUOTE=Surfer;539869]Ок, жду[/QUOTE]
Вторая бета выложена на сайт.

[QUOTE=Surfer;539869]
Тогда не понимаю, почему у меня он и Buffer Overflow запускаются как доверенные.[/QUOTE]
Какова последовательность запуска PCFlank? Какой режим работы HIPS стоит?

[QUOTE=Surfer;539869]
Вопрос довольно спорный, например атака xmas реально существует.[/QUOTE]
И что это за атака такая?

[QUOTE=Surfer;539869]
Допустим PCflank рекламирует аутпост, а вот грц существует очень давно и ничего не рекомендует вроде.[/QUOTE]
Именно поэтому там на скрытие портов лишь опциональный тест.

[QUOTE=rav;539797]Так это совсем другая штука. DefenseWall не предотвращает атаку, он минимизирует её последствия.[/QUOTE]
Понятно, спасибо.

[QUOTE=rav;540140]Вторая бета выложена на сайт.[/QUOTE]
А можно прямую ссылку на скачивание?

[QUOTE=tokzup;540155]А можно прямую ссылку на скачивание?[/QUOTE]
[URL="http://www.softsphere.com/files/DefenseWall_Personal_Firewall_v3_00.exe"]www.softsphere.com/files/DefenseWall_Personal_Firewall_v3_00.exe[/URL]

[QUOTE=rav;540140]Вторая бета выложена на сайт.
Какова последовательность запуска PCFlank? Какой режим работы HIPS стоит?[/QUOTE]
Да проще некуда, скачал, запустил. Режим по дефолту, ничего не менял.
[QUOTE=rav;540140]И что это за атака такая?
Именно поэтому там на скрытие портов лишь опциональный тест.[/QUOTE]
Не совсем атака, сканирование портов, но тоже вещь неприятная.
Думаю не только мне хочется иметь возможность быть невидимым, а то с помощью нмапа и подобных программ можно будет узнать некоторые подробности о ПК.
А планируется поддержка ICMP ?
Возможность тонкой настройки, например заблокировать хостнейм?

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Новая бага беты 2 видимо
[QUOTE]12.20.2009 21:49:07, module C:\Program Files\uTorrent\utorrent.exe, 3:Attempt to write into the file D:\blahblahblah\101212.mp3 (File )[/QUOTE]
uTorrent пишет нет доступа, в недоверенных.

[QUOTE=Surfer;540306]Да проще некуда, скачал, запустил. Режим по дефолту, ничего не менял.[/QUOTE]
Странно. А что в логах DefenseWall? Тест запускается в недоверенной зоне?

[QUOTE=Surfer;540306]
Думаю не только мне хочется иметь возможность быть невидимым, а то с помощью нмапа и подобных программ можно будет узнать некоторые подробности о ПК.[/QUOTE]
Ну и дальше что? Какое это отношение имеет к защите доверенной зоны песочницы от атак извне?

[QUOTE=Surfer;540306]
А планируется поддержка ICMP ?[/QUOTE]
Что подразумевается под данным термином?

[QUOTE=Surfer;540306]
Возможность тонкой настройки, например заблокировать хостнейм?[/QUOTE]
К защите доверенной зоны песочницы не имеет никакого отношения. Домохозяйка не разберётся в тонкой настройке. Такие вещи вне зоны компетенции программы.

[QUOTE=Surfer;540306]
uTorrent пишет нет доступа, в недоверенных.[/QUOTE]
Ну, значит, нет доступа на модификацию этого файла. Правая кнопка мыши на файле->"DefenseWall"->"File properties". Если написано "Not allowed to be modified by untrusted", то всё правильно.

[QUOTE=rav;540390]Странно. А что в логах DefenseWall? Тест запускается в недоверенной зоне?[/QUOTE]
Запускается двойным кликом с рабочего стола, не попадает почему-то в недоверенную зону, соответственно в логах о тесте ничего. Настройки не менялись.
[QUOTE=rav;540390]Что подразумевается под данным термином?[/QUOTE]
Например заблокировать пинг машины.
[QUOTE=rav;540390]Если написано "Not allowed to be modified by untrusted", то всё правильно.[/QUOTE]
Да, именно так и написано, но что самое странное - когда стояла первая бета, качалось нормально. Настройки не менялись.
--
Кстати, что с логом файрвола ? Где смотреть ?

[QUOTE=Surfer;540466]Запускается двойным кликом с рабочего стола, не попадает почему-то в недоверенную зону, соответственно в логах о тесте ничего. Настройки не менялись.[/QUOTE]
Значит, или экспертный режим, или скачивалось доверенным браузером, или эта зона попала в исключения недоверенных приложений, или была вручную запущена доверенной/перемещена в доверенную зону. Чудес не бывает, недоверенность наследуется.

[QUOTE=Surfer;540466]
Например заблокировать пинг машины.[/QUOTE]
Зачем? Как это относится к защите доверенной зоны песочницы?

[QUOTE=Surfer;540466]
Да, именно так и написано, но что самое странное - когда стояла первая бета, качалось нормально. Настройки не менялись.[/QUOTE]
Чудес не бывает. Значит, что-то изменилось. Но программа не удаляет элементы таких критических списков. Нужно просто изменить статус защиты этого файла.

[QUOTE=Surfer;540466]
Кстати, что с логом файрвола ? Где смотреть ?[/QUOTE]
Там же, где и все остальные логи. Закладка "Events log".