Как победить ликтесты со старым файрволом

[bqqqaez]

Мне нравится этот GhostWall FireWall. Воистину проще,наверное,не бывает.

Насколько я понял - это чистый пакетный фильтр без контроля приложений.
Пакетный фильтр + NAT у меня уже встроен железно в ADSL модем.
Этого достаточно, чтоб защититься извне и прикрыть уязвимые службы от Microsoft (хотя лучше их отключать).
Но пакетный фильтр никак не помешает трояну вылезти наружу. Тот просто использует любой открытый порт.

И не забудем про всякие библиотеки, которые браузер грузит (Flash Player, к примеру). Они все выходят именно через разрешения браузера, какие бы узкими эти разрешения ни были.

От уязвимостей браузера и его библиотек ничто не спасет. Ну не закрывать же в самом деле доступ в интеренет для браузера!?
Единственный выход который приходит в голову: поставить Линукс на виртуальную машину и с нее ходить в интернет, а для хостовой системы запретить доступ в сеть полностью.

[XP user]

От уязвимостей браузера и его библиотек ничто не спасет. Ну не закрывать же в самом деле доступ в интеренет для браузера!?

Я просто хотел умерить ваш энтузиазм немного насчёт хитрых правил файрвола. А так, всё нормально. Слишком волноваться не стоит.

Единственный выход который приходит в голову: поставить Линукс на виртуальную машину и с нее ходить в интернет, а для хостовой системы запретить доступ в сеть полностью.

Это пока - система же не так уже популярной ещё. Но и там есть свои проблемы. Я как раз хочу искать в эту сторону, но из того, что я прочитал уже, я ещё не убеждён в том, что у меня защиты будет больше, чем на моей любимой жёстко настроеной Windows XP.

Paul

[ALEX(XX)]

но из того, что я прочитал уже, я ещё не убеждён в том, что у меня защиты будет больше, чем на моей любимой жёстко настроеной Windows XP.

Paul

Зато у Вас есть уникальная возможность перелопатить кучу кода и с помощью молотка, зубила и какой-то матери выправить всё, что Вам надо

[barsukRed]

Насколько я понял - это чистый пакетный фильтр без контроля приложений.

Да.

Но пакетный фильтр никак не помешает трояну вылезти наружу. Тот просто использует любой открытый порт.

На мой взгляд может помешать. Мне кажется именно пакетный фильтр удобен для пользователя тем, что не дает лишних алертов. По идее зловред должен быть блокирован МОЛЧА если нет разрешающего правила для такого соединения. Но чтобы не уходить в сторону от темы топика, хочу сказать что для идеи организовать защиту системы используя старые версии фаеров, простенький пакетный фильтр подходит неплохо.

[XP user]

Мне кажется именно пакетный фильтр удобен для пользователя тем, что не дает лишних алертов. По идее зловред должен быть блокирован МОЛЧА если нет разрешающего правила для такого соединения.

Вы поняли именно то, что я хотел показать. 'Default Deny' называется.
Почти во всех файрволов есть жёстко программированные разрешения для барахла от Майкрософта. В Kerio такого нет - это имеет огромное значение для обеспечения безопасности.

Но чтобы не уходить в сторону от темы топика, хочу сказать что для идеи организовать защиту системы используя старые версии фаеров, простенький пакетный фильтр подходит неплохо.

Работа со старыми программами всё же имеет свои недостатки, в первую очередь проблемы несовместимости. Я очень огарчён тем, что нынешние производители таких продуктов отходят от старых, проверенных принципов защиты в пользу всяких недоделанных модулей HIPS c непонятными алертами. Естественно от Майкрософта они вставляют ВСЁ в группу доверенных. Может быть по другому лого MS нельзя получать, не знаю...

Paul

[barsukRed]

Работа со старыми программами всё же имеет свои недостатки, в первую очередь проблемы несовместимости.

К сожалению я не смог запустить Sygate PF free(по Вашей ссылке), при первой перезагрузке фаервол выдает ошибку и выгружается. Странно, но мой Sygate PF версии 5.5 работает без проблем... Наверное это именно тот случай, о котором Вы написали. Жалко...

[bqqqaez]

На мой взгляд может помешать. Мне кажется именно пакетный фильтр удобен для пользователя тем, что не дает лишних алертов. По идее зловред должен быть блокирован МОЛЧА если нет разрешающего правила для такого соединения.

А он использует любое разрешающее правило.
Например вылезет наружу по 80 порту. И пакетный фильтр не узнает что это было: то ли браузер полез по страничкам, то ли шпион информацию передает.
А, вот, в Керио есть контроль приложений. Тот сравнит имя процесса, его контрольную сумму и запретит проессу трояна лезть в и-нет.

Как раз Керио оказался для меня золотой серединой. Он не так ограничен как простой пакетный фильтр, но и не перегружен глючными и тормозными HIPSами.
Как раз между двух зол прошел. А то современные средства защиты со своими наворотами порой бывают хуже троянов и вирусов

[XP user]

А, вот, в Керио есть контроль приложений. Тот сравнит имя процесса, его контрольную сумму и запретит проессу трояна лезть в и-нет.

Самое главное - не задать явно разрещающих правил для IE. Трояны могут отправить ваши пароли своему хозяину через метод 'POST' данных в IE, что не требует никаких явных процессов или изменений хэша. На такие вещи Kerio не рассчитан.

Paul

[bqqqaez]

Самое главное - не задать явно разрещающих правил для IE. Трояны могут отправить ваши пароли своему хозяину через метод 'POST'

У меня так и сделано: всем продуктам Microsoft отказано в доступе в интернет. IE - браузер по умолчанию. Для него не создано правило в файрволле и, для надежности, прописана левая прокси 127.0.01:139. Пусть туда трояны отправляют пароли
Я и службу обновлений запретил полностью. Для обновления скачиваю сборники комулятивных обновлений и запускаю их вручную.
Все сетевые программы: Опера, ФаерФокс, Фандерберд, Регет, у меня портативные. Чтоб не оставляли путей в реестре. И внес по вашей рекомендации ключики в реестр, чтоб пути в MRU не писались.

Кстати, немного офтопика, Опера даже с включенным ЯваСкриптом ни разу не занесла заражение на компьютер за долгие годы использования в качестве основного браузера.

[Jolly Rojer]

Неплохой бесплатный фаервол был sygate PF v4.6(последняя free,если не путаю). Очень жаль что в интернете не сыскать больше этой версии. Хотелось бы такой иметь себе...

Ну смотря как искать А файр действительно хорош.

Почему бы нет?
Последний Free был 5.6.2808. Его можно грузить отсюда.
P.S.: Предупреждаю: так как продукт больше не поддерживается, могут быть неустранимые проблемы по совместимости с другими программами. У Sygate защита драйвера - очень сильная, даже до такой степени, что Касперский с ним не справится в борьбе за господство.
Sygate, например, не даст антивируснику сканировать свои папки, и система зависает; только кнопка 'reset' поможет.

P.S.: Описание настроек + базовые примеры создания правил и обьяснения (на русском)
http://rapidshare.com/files/52562917/Sygate.rar

Paul

Паул, огромная Вам благодарность за столь глубокий анализ и хорошее описание. Вот за описанные характеристики этого файра Паулом я его и люблю и ни на какой другой в ближайшее время не хочу переходить

О Боже! Сколько же настроек у этого Sygate!
Уж лучше я останусь на Керио. Там все просто: создал правила по приложениям и портам и больше ничего настраивать не надо.
В принципе, от файрволла кроме контроля приложений, создания правил по портам и IP адресам больше ничего и не требуется, imho.

Хм дык в принципе Sygate в большей степени ориентировался на профессионалов, посему и настроек много тонких. Хотя скажу честно юзал и продолжаю юзать Sygate PRO и поэтому про пользовательскую версию ни чего сказать не могу.

[barsukRed]

... принципе Sygate в большей степени ориентировался на профессионалов, посему и настроек много тонких.

А что у него есть такого только для профессионалов? Подробные журналы? А что еще?

[Jolly Rojer]

А что у него есть такого только для профессионалов? Подробные журналы? А что еще?

Паул давал конкретные ссылки на этот файрвол, если вам так интересно поищите и почитайте. Там много всего. Заниматся тем что состовлять подробное описание этого файрола не вижу смысла в этой ветке. И это в принципе выходит далеко за ее рамки!

[barsukRed]

Паул давал конкретные ссылки на этот файрвол, если вам так интересно поищите и почитайте. Там много всего. Заниматся тем что состовлять подробное описание этого файрола не вижу смысла в этой ветке. И это в принципе выходит далеко за ее рамки!

Спасибо за совет. Я использую sygate pf постоянно и не считаю что он ориентирован для профессионалов. На это и направлен был мой вопрос. В остальном-ОК.

[Jolly Rojer]

Спасибо за совет. Я использую sygate pf постоянно и не считаю что он ориентирован для профессионалов. На это и направлен был мой вопрос. В остальном-ОК.

ОФФТОП: в моем посте шла речь именно о Sygate PRO, а не о Sygate PF. А это несколько отличающиеся продукты. И отличие сравниваемых версий Personal и Pro зачастую бывает достаточно ощутимым, как например сравнить KAV6 для домашнего использования и KAV6 for WS.

[barsukRed]

ОФФТОП: в моем посте шла речь именно о Sygate PRO, а не о Sygate PF. А это несколько отличающиеся продукты. И отличие сравниваемых версий Personal и Pro зачастую бывает достаточно ощутимым, как например сравнить KAV6 для домашнего использования и KAV6 for WS.

Хм дык в принципе Sygate в большей степени ориентировался на профессионалов, посему и настроек много тонких.

[offtop]А я имел ввиду sygate personal firewall Pro [/offtop] Теперь понятно.

[barsukRed]

Почему бы нет?
Последний Free был 5.6.2808. Его можно грузить отсюда.
P.S.: Предупреждаю: так как продукт больше не поддерживается, могут быть неустранимые проблемы по совместимости с другими программами. У Sygate защита драйвера - очень сильная, даже до такой степени, что Касперский с ним не справится в борьбе за господство.
Sygate, например, не даст антивируснику сканировать свои папки, и система зависает; только кнопка 'reset' поможет.
Paul

Как ни странно но эта версия почему-то не работает корректно. Но версия 5.0 отлично себя чувствует на XP!!! А главное бесплатная. На всякий случай можно отсюда загрузить.

[santy]

Как ни странно но эта версия почему-то не работает корректно. Но версия 5.0 отлично себя чувствует на XP!!! А главное бесплатная. На всякий случай можно отсюда загрузить.

А в чем проявляется некорректность работы Sygate Free? Долгое время пользовался свободной версией, указанной Паулом, сейчас переставил версию Pro. Замечаю, что при увеличении количества правил, медленно начинает работать редактор правил.

[barsukRed]

А в чем проявляется некорректность работы Sygate Free?

Через некоторое время может выгрузится с ошибкой.

Долгое время пользовался свободной версией, указанной Паулом, сейчас переставил версию Pro. Замечаю, что при увеличении количества правил, медленно начинает работать редактор правил.

А у меня интересное проявляется: при анализе пакетного лога в версии 5.5pro лифт захватывается с двух-трех кликов и тяжело продвигается вверх-вниз. В версии 5.0 все очень легко захватывается и двигается.

[santy]

Через некоторое время может выгрузится с ошибкой

было такое с free версией, хотя и не часто, с версией pro, гораздо реже бывает, когда надо перестартовать фаер с рабочего стола... не автозагрузился, типа. (но и конфигурация машины заметно изменилась в лучшую сторону...) У меня Sygate работает в паре c EAV 3.0

А у меня интересное проявляется: при анализе пакетного лога в версии 5.5pro лифт захватывается с двух-трех кликов и тяжело продвигается вверх-вниз. В версии 5.0 все очень легко захватывается и двигается.

нет, такого не наблюдаю... а вот с редактором правил становится неудобно работать... медленно открываются окна, особенно если правило сложное, для нескольких приложений.... похоже, лучше для каждого приложения отдельно писать правила, без комбинирования.

[barsukRed]

У меня Sygate работает в паре c EAV 3.0

А моя мечта все-таки найти старую версию Sygate PF 4.2free... Пока не удается...