DefenseWall V3

Всем доброго времени суток!

Официально вышла первая бета DefenseWall HIPS & Personal Firewall v3.00.

DefenseWall Personal Firewall- это первый в мире персональный файервол-песочница и инновационной технологией "Адаптивная автоматическая защита".

Редакция Persona Firewall расширяет возможности DefenseWall HIPS, базирующейся на простом разделении прложений на "доверенную" и "недоверенную" зоны. Это то, как должны были выглядеть персональные файерволы ещё десять лет назад, то так и не стали, превратившись в жутких монстроузных уродцев.

Основные преимущества продукта:
[list][*]Отсутствует режим обучения. Полностью.[*]Отсутствует необходимость настраивать порты и типы сокетов [*]Защита от нежелательных перезагрузок[*]Отсутствует необходимость подтверждения контрольных сумм при обновлении ПО.[*]Минимальное по индустрии количество всплывающих окон с вопросами.[/list]

Возможности:

Адаптивная автоматическая защита.
• Для исходящих и входящих подключений нет необходимости в дополнительных настройках чего бы то ни было - просто устанавливай и работай. Как и DefenseWall HIPS, персональный файервол предназначен для обеспечения максимальной защиты простого пользователя с минимальными дополнительными действиями.

Белый список для упрощения установки новых программ.
• Файлы-установщики, подписанные "доверенными" вендорами, запущенные из папок "Областей загрузки" автоматически стартуют в доверенной зоне.

Защита от нежелательных перезагрузок.
• Зловредные приложения могут попытаться инициировать перезагрузку вашего компьютера. DefenseWall предупредит об этом и даст возможность избежать рестарта.

Файервол для подключений к Интернету с компьютера.
• DefenseWall Personal Firewall контролирует недоверенную зону на предмет попыток подключения к Интернету и предупреждает вас в случае, если данная программа не подчиняется уже определённым правилам для файервола. Доверенные процессы могут соединяться с Интернетом, но вы можете создать запретительное правило и для них также.

Фапйервол для входящих подключений.
• DefenseWall Personal Firewall автоматически блокирует "слушающие" порты для доверенных процессов. Таким образом, если вам нужно иметь такие вот процессы в работающем состоянии, устанавливайте их как недоверенные. Для чего так сделано? Если приложение имеет дыры, которые могут быть проэксплуатированы злоумышленниками, то их дальнейшие попытки закрепиться в системе будут блокированы песочницей.

Если компьютер входит в домен, DefenseWall автоматически отрывает 445, 135, 137,138 и 139 порты.

Также, файервло входящих подключений DefenseWall'а поддерживает и ручное управление портами.

Ручное управление портами: стандартные профили для особо профессиональных пользователей.
• Прямое ИНтернет-подключение
• Беспроводное ИНтернет-подключение
• Домашняя локальная сеть.

Профили пред-установлены для кажодго типа подключений, порты в списке закрытых могут быть убраны и добавлены вручную.

Да, и я не забыл упомянуть, что скинирование возвращено назад?

Скачать сожно по этой ссылке
[url]www.softsphere.com/files/DefenseWall_Personal_Firewall_v3_00.exe[/url]

Мелочи, а неприятно :)
1. Основное окно плохо вписывается по высоте в разрешение 1024*600, характерное для нетбуков. Во многих программах диалоговые окна по высоте больше 600 пикселей, и обычно помогает UMPCScrollBarXP, но на окна DefenceWall HIPS та утилита не реагирует.
2. Программа на английском языке, даты в логе имеют американский формат ММ.ДД.ГГГГ - это будет зависеть от языка дистрибутива?

Изменение к лучшему :) Более строгая охрана защищённых файлов от недоверенных процессов. В версии 2.56 можно было запустить командную строку и скомандовать edit ВажныйФайл.txt - файл открывался только для чтения. В версии 3.0 файл не открывается никак :) В логе DefenceWall запись про ntvdm.exe - "Attempt to map section at dangerous address"

При отключении скина веселее с размерами окна не стало.

Есть немного скользкий момент с атрибутом "доверенный". Если недоверенным является exe-файл, то всё понятно. Но к примеру, сам MS Access является доверенным, а mde-файл недоверенный. При двойном щелчке по mde-файлу получаем доверенную Access-программу. С xls-файлами такого не замечено. Хотя трояны на Access, наверно, уже экзотика :)

Обнаружена проблема с наследованием - папка с файлами имеет атрибут Secured, но файлы в ней Non-secured. Видеозапись прилагается.

1. С нетбуками проблема- слишком маленькое разрешение. Потому что мне нужно думать и о 1024х600 и о 1920х1024. И угодить всем не получится. Думаю, что улучшения тут будут, когда вся структура интерфейса будет пересмотрена полностью.

2. Лог- это техническая информация для меня лично. Пользователям туда лезть крайне не рекомендуется.

3. Вот я создаю простой .mdb-файл и ставлю его недоверенным. Запускаю его и MS Access стартует недоверенным. Я что-то делаю не так?

4. Странно. Пытался воспроизвести у себя- всё правильно работает. Эта проблема, она на всех файлах или только на этой папке?

[QUOTE=rav;527121]3. Вот я создаю простой .mdb-файл и ставлю его недоверенным. Запускаю его и MS Access стартует недоверенным.[/QUOTE]Не знаю, насколько это имеет значение, но у меня был mde, а не mdb, и Access Runtime 2007, а не полный MS Access.
[QUOTE]4. Странно. Пытался воспроизвести у себя- всё правильно работает. Эта проблема, она на всех файлах или только на этой папке?[/QUOTE]Это продолжение истории с томом, примонтированным как папка :) Воспроизводится на всех папках в этом томе.

[QUOTE=Oyster;527152]Не знаю, насколько это имеет значение, но у меня был mde, а не mdb, и Access Runtime 2007, а не полный MS Access.[/QUOTE]
А вот это (Access Runtime) уже существенно. Сейчас скачаю и посмотрю.

[QUOTE=Oyster;527152]
Это продолжение истории с томом, примонтированным как папка :) Воспроизводится на всех папках в этом томе.[/QUOTE]
А, ну с этим мне тогда всё понятно. Поддержки таких вот "папок-томов" пока отсутствует, но будет добавлена обязательно в дальнейшем. Пока что мне просто нужно выпускать версию как можно скорее.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 2 минуты[/I][/B][/color][/size]

Всё, с Runtime Access разобрался, спасибо за сообщение о проблеме. С "папками-томами" буду разбираться попозже.

Беглый взгляд (упрощенный режим, Win7 Pro x86):
1) Хотелось бы понять, по какому принципу приложения помещаются в доверенные и недоверенные ? [URL="http://img31.imageshack.us/img31/5313/1122k.png"]Пример.[/URL]
Тестовые билды qip infium и google chrome, не имеющие цифровых подписей, оказались в доверенных, а firefox и utorrent, напротив, имеющие подписи, оказались в недоверенных. utorrent без добавления в исключения вообще отказался работать, firefox и seamonkey работают в недоверенных так же, как и работали.
2) Есть ли возможность переносить приложения в доверенные ? Хотелось бы это делать из того же окна, где они обозначены.
3) На второй вкладке, в чем смысл функции Enable/Disable ? Сделал отключение qip, строчка покраснела, запустил - прекрасно запустилась.
Или я просто что-то не понял в концепции ? :)

1. В эту группу помещаются все те приложения, которые контактируют с потенциально опасным контентом из сети и могут быть атакованы. DefenseWall не может знать всех приложений, которые подпадают под одну из групп недоверенных (браузеры, почтовики, мультимедиа-проигрыватели, P2P, IM, IRC).
2. Удалить из списка недоверенных либо сделать "Disable".
3. Изменения были применены?

1) Понятно. Нашел баг или фичу - если приложение находится в программ файлс, то при запуске помещается в недоверенные, если тоже приложение, например с другого диска и пути, то запускается как доверенное.
2) Понял, а что делает "удалить навсегда" ? То есть это аналогично тому, что приложение больше не будет заноситься в недоверенные ?
3) Разобрался.

[QUOTE=Surfer;533406]1) Понятно. Нашел баг или фичу - если приложение находится в программ файлс, то при запуске помещается в недоверенные, если тоже приложение, например с другого диска и пути, то запускается как доверенное.[/QUOTE]
Просто DefenseWall его не видит по стандартным для него настройкам-путям в реестре.

[QUOTE=Surfer;533406]
2) Понял, а что делает "удалить навсегда" ? То есть это аналогично тому, что приложение больше не будет заноситься в недоверенные ?[/QUOTE]
Убивает файл.

Подскажите, как открыть доступ к файлам в локальной сети без отключения Outbond Firewall Protection? Порты 137-139 (winxp) открыты.
Чем грозит отключение этой функции?

Почему недоступна кнопка добавления порта вручную ? Кстати почему даже для доверенного приложения порты закрыты ?

[QUOTE=rav;533522]Просто DefenseWall его не видит по стандартным для него настройкам-путям в реестре.[/QUOTE]
А это так и задуманно ? Есть какая-то база ? По каким признакам тогда выносится вердикт ?

Кстати, предложение, вместо всплывающего "DefenseWall Personal Firewall 3.0" выводить список недоверенных exe-шников.

[QUOTE=Surfer;536055]Кстати почему даже для доверенного приложения порты закрыты?[/QUOTE]Чтобы не пострадать от уязвимостей в нём, автор писал в первом сообщении темы:[QUOTE]Если приложение имеет дыры, которые могут быть проэксплуатированы злоумышленниками, то их дальнейшие попытки закрепиться в системе будут блокированы песочницей[/QUOTE]
[QUOTE=Surfer;536055]Есть какая-то база ? По каким признакам тогда выносится вердикт ?[/QUOTE]Очень интересный вопрос, особенно если учесть, что программа различает полнофункциональные версии ПО и Runtime-огрызки, устанавливающиеся по тем же путям и с теми же именами. Не уверен, что автор захочет раскрывать своё ноу-хау.

[QUOTE=Oyster;536056]Чтобы не пострадать от уязвимостей в нём, автор писал в первом сообщении темы[/QUOTE]
Ну так проблема в том, что сейчас я не могу открыть нужный порт. Приходится отключать защиту :)

[QUOTE=tokzup;535776]Подскажите, как открыть доступ к файлам в локальной сети без отключения Outbond Firewall Protection?[/QUOTE]
А разве они закрыты? При входе в домен автоматически открываются SMB и NetBIOS порты, всё должно работать нормально. Если нет- нужно послать мне письмо на адрес поддержки, буду исследовать причину.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Surfer;536055]Почему недоступна кнопка добавления порта вручную ? Кстати почему даже для доверенного приложения порты закрыты ?[/QUOTE]
Так работает автоматическая защита.

[QUOTE=Surfer;536055]
А это так и задуманно ? Есть какая-то база ? По каким признакам тогда выносится вердикт ?[/QUOTE]
По признаку доверенности/недоверенности процесса, открывшего слушающий порт.

[QUOTE=Surfer;536055]
Кстати, предложение, вместо всплывающего "DefenseWall Personal Firewall 3.0" выводить список недоверенных exe-шников.[/QUOTE]
Это где такое окно у меня?

[size="1"][color="#666686"][B][I]Добавлено через 50 секунд[/I][/B][/color][/size]

[QUOTE=Surfer;536058]Ну так проблема в том, что сейчас я не могу открыть нужный порт. Приходится отключать защиту[/QUOTE]
Какой именно порт? Чьего приложения?

[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]

[QUOTE=Oyster;536056]Не уверен, что автор захочет раскрывать своё ноу-хау.[/QUOTE]
Всё детально описано в первом посте.

[QUOTE=rav;536550]Всё детально описано в первом посте.[/QUOTE]Там не сказано, как программа различила файл C:\Program Files\Microsoft Office\Office12\msaccess.exe, принадлежащий полному Access и Access Runtime ;) То есть начальные списки недоверенных процессов содержат не только пути к файлам. Что ещё содержат - не выпытываю :) Но ведь у недоверенной программы есть разные версии, а между ними могут быть хотфиксы и сервис-паки - их установка не должна делать программу доверенной. По поводу недоверенности неPE-файлов (документы, рисунки и пр.) - хорошо, программа знает про xls с макросами, но найдутся "активные" форматы других приложений, знать все невозможно. То есть, делая дабл-клик по недоверенному документу, я не уверен на 100%, что редактирующая его программа запустится недоверенной.

[QUOTE=rav;536550]Так работает автоматическая защита.[/QUOTE]
Так в режиме эксперта кнопка добавления порта тоже недоступна, или надо рестартить гуй ?
[QUOTE=rav;536550]Это где такое окно у меня?[/QUOTE]
Не окно, а трей :)
[QUOTE=rav;536550]По признаку доверенности/недоверенности процесса, открывшего слушающий порт. Какой именно порт? Чьего приложения?[/QUOTE]
Вот сейчас utorrent находится в доверенных, однако его порт закрыт.
[QUOTE]An error has occurred!

Port 56742 does not appear to be open.[/QUOTE]
Отключаю inbound protection, порт открыт.
Кстати неплохо для первой беты, комодовский ликтест почти пройден :)
[QUOTE]DefenseWall Peronal Firewall 3.00 beta
330/340
8. Invasion: FileDrop Vulnerable[/QUOTE]

[QUOTE=Surfer;536618]Так в режиме эксперта кнопка добавления порта тоже недоступна, или надо рестартить гуй ?[/QUOTE]
"Expert Mode" распространяется только на HIPS-систему. Для рученой настройки портов есть специальный режим, доступный в окне "Inbound Protection".

[QUOTE=Surfer;536618]
Не окно, а трей[/QUOTE]
А смысл, если прямо на иконке написано количество недоверенных? А список не на всех версиях 2000-й будет работать, да и как часто он нужен будет?

[QUOTE=Surfer;536618]
Вот сейчас utorrent находится в доверенных, однако его порт закрыт.[/QUOTE]
Ну да, всё правильно. Просто у меня всё наоборот- недоверенные работать со своими слушающими порты, доверенные- нет.

[QUOTE=Surfer;536618]
Отключаю inbound protection, порт открыт.[/QUOTE]
А зачем так плохо делать? uTorrent доложен быть в недоверенной зоне как потенциальный источник угрозы. Тогда и порт будет открыт.

[QUOTE=Surfer;536618]
Кстати неплохо для первой беты, комодовский ликтест почти пройден[/QUOTE]
Он не почти, он полностью пройден. FileDrop- это не тест.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[QUOTE=Oyster;536600]Там не сказано, как программа различила файл C:\Program Files\Microsoft Office\Office12\msaccess.exe, принадлежащий полному Access и Access Runtime[/QUOTE]
А он и не должен быть в недоверенных.

[QUOTE=Oyster;536600]
То есть начальные списки недоверенных процессов содержат не только пути к файлам.[/QUOTE]
Нет, там находятся правила нахождения путей к нужному файлу.

[QUOTE=Oyster;536600]
Но ведь у недоверенной программы есть разные версии, а между ними могут быть хотфиксы и сервис-паки - их установка не должна делать программу доверенной.[/QUOTE]
И не делает- в драйвер есть специальные средства контроля таких ситуаций.

[QUOTE=Oyster;536600]
По поводу недоверенности неPE-файлов (документы, рисунки и пр.) - хорошо, программа знает про xls с макросами, но найдутся "активные" форматы других приложений, знать все невозможно. То есть, делая дабл-клик по недоверенному документу, я не уверен на 100%, что редактирующая его программа запустится недоверенной.[/QUOTE]
1. Пограмма ничего не знает про макросы где бы то ни было. Она знает только источник, откуда он пришёл.
2. При двойном щёлчке недоверенный документ MS Office должен открываться в недоверенной зоне. Если этого не происходит, то такое поведение есть предмет для разбирательств и правок.