-
Junior Member
- Вес репутации
- 57
Сообщение от
barsukRed
Мне нравится этот GhostWall FireWall. Воистину проще,наверное,не бывает.
Насколько я понял - это чистый пакетный фильтр без контроля приложений.
Пакетный фильтр + NAT у меня уже встроен железно в ADSL модем.
Этого достаточно, чтоб защититься извне и прикрыть уязвимые службы от Microsoft (хотя лучше их отключать).
Но пакетный фильтр никак не помешает трояну вылезти наружу. Тот просто использует любой открытый порт.
Сообщение от
p2u
И не забудем про всякие библиотеки, которые браузер грузит (Flash Player, к примеру). Они все выходят именно через разрешения браузера, какие бы узкими эти разрешения ни были.
От уязвимостей браузера и его библиотек ничто не спасет. Ну не закрывать же в самом деле доступ в интеренет для браузера!?
Единственный выход который приходит в голову: поставить Линукс на виртуальную машину и с нее ходить в интернет, а для хостовой системы запретить доступ в сеть полностью.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
bqqqaez
От уязвимостей браузера и его библиотек ничто не спасет. Ну не закрывать же в самом деле доступ в интеренет для браузера!?
Я просто хотел умерить ваш энтузиазм немного насчёт хитрых правил файрвола. А так, всё нормально. Слишком волноваться не стоит.
Сообщение от
bqqqaez
Единственный выход который приходит в голову: поставить Линукс на виртуальную машину и с нее ходить в интернет, а для хостовой системы запретить доступ в сеть полностью.
Это пока - система же не так уже популярной ещё. Но и там есть свои проблемы. Я как раз хочу искать в эту сторону, но из того, что я прочитал уже, я ещё не убеждён в том, что у меня защиты будет больше, чем на моей любимой жёстко настроеной Windows XP.
Paul
-
Сообщение от
p2u
но из того, что я прочитал уже, я ещё не убеждён в том, что у меня защиты будет больше, чем на моей любимой жёстко настроеной Windows XP.
Paul
Зато у Вас есть уникальная возможность перелопатить кучу кода и с помощью молотка, зубила и какой-то матери выправить всё, что Вам надо
Left home for a few days and look what happens...
-
-
Сообщение от
bqqqaez
Насколько я понял - это чистый пакетный фильтр без контроля приложений.
Да.
Сообщение от
bqqqaez
Но пакетный фильтр никак не помешает трояну вылезти наружу. Тот просто использует любой открытый порт.
На мой взгляд может помешать. Мне кажется именно пакетный фильтр удобен для пользователя тем, что не дает лишних алертов. По идее зловред должен быть блокирован МОЛЧА если нет разрешающего правила для такого соединения. Но чтобы не уходить в сторону от темы топика, хочу сказать что для идеи организовать защиту системы используя старые версии фаеров, простенький пакетный фильтр подходит неплохо.
-
Сообщение от
barsukRed
Мне кажется именно пакетный фильтр удобен для пользователя тем, что не дает лишних алертов. По идее зловред должен быть блокирован МОЛЧА если нет разрешающего правила для такого соединения.
Вы поняли именно то, что я хотел показать. 'Default Deny' называется.
Почти во всех файрволов есть жёстко программированные разрешения для барахла от Майкрософта. В Kerio такого нет - это имеет огромное значение для обеспечения безопасности.
Сообщение от
barsukRed
Но чтобы не уходить в сторону от темы топика, хочу сказать что для идеи организовать защиту системы используя старые версии фаеров, простенький пакетный фильтр подходит неплохо.
Работа со старыми программами всё же имеет свои недостатки, в первую очередь проблемы несовместимости. Я очень огарчён тем, что нынешние производители таких продуктов отходят от старых, проверенных принципов защиты в пользу всяких недоделанных модулей HIPS c непонятными алертами. Естественно от Майкрософта они вставляют ВСЁ в группу доверенных. Может быть по другому лого MS нельзя получать, не знаю...
Paul
-
Сообщение от
p2u
Работа со старыми программами всё же имеет свои недостатки, в первую очередь проблемы несовместимости.
К сожалению я не смог запустить Sygate PF free(по Вашей ссылке), при первой перезагрузке фаервол выдает ошибку и выгружается. Странно, но мой Sygate PF версии 5.5 работает без проблем... Наверное это именно тот случай, о котором Вы написали. Жалко...
-
Junior Member
- Вес репутации
- 57
Сообщение от
barsukRed
На мой взгляд может помешать. Мне кажется именно пакетный фильтр удобен для пользователя тем, что не дает лишних алертов. По идее зловред должен быть блокирован МОЛЧА если нет разрешающего правила для такого соединения.
А он использует любое разрешающее правило.
Например вылезет наружу по 80 порту. И пакетный фильтр не узнает что это было: то ли браузер полез по страничкам, то ли шпион информацию передает.
А, вот, в Керио есть контроль приложений. Тот сравнит имя процесса, его контрольную сумму и запретит проессу трояна лезть в и-нет.
Как раз Керио оказался для меня золотой серединой. Он не так ограничен как простой пакетный фильтр, но и не перегружен глючными и тормозными HIPSами.
Как раз между двух зол прошел. А то современные средства защиты со своими наворотами порой бывают хуже троянов и вирусов
-
Сообщение от
bqqqaez
А, вот, в Керио есть контроль приложений. Тот сравнит имя процесса, его контрольную сумму и запретит проессу трояна лезть в и-нет.
Самое главное - не задать явно разрещающих правил для IE. Трояны могут отправить ваши пароли своему хозяину через метод 'POST' данных в IE, что не требует никаких явных процессов или изменений хэша. На такие вещи Kerio не рассчитан.
Paul
-
Junior Member
- Вес репутации
- 57
Сообщение от
p2u
Самое главное - не задать явно разрещающих правил для IE. Трояны могут отправить ваши пароли своему хозяину через метод 'POST'
У меня так и сделано: всем продуктам Microsoft отказано в доступе в интернет. IE - браузер по умолчанию. Для него не создано правило в файрволле и, для надежности, прописана левая прокси 127.0.01:139. Пусть туда трояны отправляют пароли
Я и службу обновлений запретил полностью. Для обновления скачиваю сборники комулятивных обновлений и запускаю их вручную.
Все сетевые программы: Опера, ФаерФокс, Фандерберд, Регет, у меня портативные. Чтоб не оставляли путей в реестре. И внес по вашей рекомендации ключики в реестр, чтоб пути в MRU не писались.
Кстати, немного офтопика, Опера даже с включенным ЯваСкриптом ни разу не занесла заражение на компьютер за долгие годы использования в качестве основного браузера.
-
Сообщение от
barsukRed
Неплохой бесплатный фаервол был sygate PF v4.6(последняя free,если не путаю). Очень жаль что в интернете не сыскать больше этой версии. Хотелось бы такой иметь себе...
Ну смотря как искать А файр действительно хорош.
Сообщение от
XP user
Почему бы нет?
Последний Free был 5.6.2808. Его можно грузить
отсюда.
P.S.: Предупреждаю: так как продукт больше не поддерживается, могут быть неустранимые проблемы по совместимости с другими программами. У Sygate защита драйвера - очень сильная, даже до такой степени, что Касперский с ним не справится в борьбе за господство.
Sygate, например, не даст антивируснику сканировать свои папки, и система зависает; только кнопка 'reset' поможет.
P.S.: Описание настроек + базовые примеры создания правил и обьяснения (на русском)
http://rapidshare.com/files/52562917/Sygate.rar
Paul
Паул, огромная Вам благодарность за столь глубокий анализ и хорошее описание. Вот за описанные характеристики этого файра Паулом я его и люблю и ни на какой другой в ближайшее время не хочу переходить
Сообщение от
bqqqaez
О Боже! Сколько же настроек у этого Sygate!
Уж лучше я останусь на Керио. Там все просто: создал правила по приложениям и портам и больше ничего настраивать не надо.
В принципе, от файрволла кроме контроля приложений, создания правил по портам и IP адресам больше ничего и не требуется, imho.
Хм дык в принципе Sygate в большей степени ориентировался на профессионалов, посему и настроек много тонких. Хотя скажу честно юзал и продолжаю юзать Sygate PRO и поэтому про пользовательскую версию ни чего сказать не могу.
-
-
Сообщение от
Jolly Rojer
... принципе Sygate в большей степени ориентировался на профессионалов, посему и настроек много тонких.
А что у него есть такого только для профессионалов? Подробные журналы? А что еще?
-
Сообщение от
barsukRed
А что у него есть такого
только для профессионалов? Подробные журналы? А что еще?
Паул давал конкретные ссылки на этот файрвол, если вам так интересно поищите и почитайте. Там много всего. Заниматся тем что состовлять подробное описание этого файрола не вижу смысла в этой ветке. И это в принципе выходит далеко за ее рамки!
-
-
Сообщение от
Jolly Rojer
Паул давал конкретные ссылки на этот файрвол, если вам так интересно поищите и почитайте. Там много всего. Заниматся тем что состовлять подробное описание этого файрола не вижу смысла в этой ветке. И это в принципе выходит далеко за ее рамки!
Спасибо за совет. Я использую sygate pf постоянно и не считаю что он ориентирован для профессионалов. На это и направлен был мой вопрос. В остальном-ОК.
-
Сообщение от
barsukRed
Спасибо за совет. Я использую sygate pf постоянно и не считаю что он ориентирован для профессионалов. На это и направлен был мой вопрос. В остальном-ОК.
ОФФТОП: в моем посте шла речь именно о Sygate PRO, а не о Sygate PF. А это несколько отличающиеся продукты. И отличие сравниваемых версий Personal и Pro зачастую бывает достаточно ощутимым, как например сравнить KAV6 для домашнего использования и KAV6 for WS.
-
-
Сообщение от
Jolly Rojer
ОФФТОП: в моем посте шла речь именно о Sygate PRO, а не о Sygate PF. А это несколько отличающиеся продукты. И отличие сравниваемых версий Personal и Pro зачастую бывает достаточно ощутимым, как например сравнить KAV6 для домашнего использования и KAV6 for WS.
Хм дык в принципе Sygate в большей степени ориентировался на профессионалов, посему и настроек много тонких.
[offtop]А я имел ввиду sygate personal firewall Pro [/offtop] Теперь понятно.
-
Сообщение от
XP user
Почему бы нет?
Последний Free был 5.6.2808. Его можно грузить
отсюда.
P.S.: Предупреждаю: так как продукт больше не поддерживается, могут быть неустранимые проблемы по совместимости с другими программами. У Sygate защита драйвера - очень сильная, даже до такой степени, что Касперский с ним не справится в борьбе за господство.
Sygate, например, не даст антивируснику сканировать свои папки, и система зависает; только кнопка 'reset' поможет.
Paul
Как ни странно но эта версия почему-то не работает корректно. Но версия 5.0 отлично себя чувствует на XP!!! А главное бесплатная. На всякий случай можно отсюда загрузить.
-
Сообщение от
barsukRed
Как ни странно но эта версия почему-то не работает корректно. Но версия 5.0 отлично себя чувствует на XP!!! А главное бесплатная. На всякий случай можно
отсюда загрузить.
А в чем проявляется некорректность работы Sygate Free? Долгое время пользовался свободной версией, указанной Паулом, сейчас переставил версию Pro. Замечаю, что при увеличении количества правил, медленно начинает работать редактор правил.
-
-
Сообщение от
santy
А в чем проявляется некорректность работы Sygate Free?
Через некоторое время может выгрузится с ошибкой.
Сообщение от
santy
Долгое время пользовался свободной версией, указанной Паулом, сейчас переставил версию Pro. Замечаю, что при увеличении количества правил, медленно начинает работать редактор правил.
А у меня интересное проявляется: при анализе пакетного лога в версии 5.5pro лифт захватывается с двух-трех кликов и тяжело продвигается вверх-вниз. В версии 5.0 все очень легко захватывается и двигается.
-
Сообщение от
barsukRed
Через некоторое время может выгрузится с ошибкой
было такое с free версией, хотя и не часто, с версией pro, гораздо реже бывает, когда надо перестартовать фаер с рабочего стола... не автозагрузился, типа. (но и конфигурация машины заметно изменилась в лучшую сторону...) У меня Sygate работает в паре c EAV 3.0
Сообщение от
barsukRed
А у меня интересное проявляется: при анализе пакетного лога в версии 5.5pro лифт захватывается с двух-трех кликов и тяжело продвигается вверх-вниз. В версии 5.0 все очень легко захватывается и двигается.
нет, такого не наблюдаю... а вот с редактором правил становится неудобно работать... медленно открываются окна, особенно если правило сложное, для нескольких приложений.... похоже, лучше для каждого приложения отдельно писать правила, без комбинирования.
-
-
Сообщение от
santy
У меня Sygate работает в паре c EAV 3.0
А моя мечта все-таки найти старую версию Sygate PF 4.2free... Пока не удается...