По своему опыту могу сказать, что качество определения приложений в таких системах оставляет желать лучшего.Сообщение от Зайцев Олег
чтобы не офтопать, я использую честно купленную тиньку (tiny personal firewall pro)
Outpost
McAfee Desktop
Jetico
Sygate
ZoneAlarm
Norton Internet Security
Personal Firewall Pro
Agava Firewall
Kaspersky Anti-Hacker
PC-cillin Internet Security
Kerio
F-Secure Internet Security
Другое
Не пользуюсь
По своему опыту могу сказать, что качество определения приложений в таких системах оставляет желать лучшего.
чтобы не офтопать, я использую честно купленную тиньку (tiny personal firewall pro)
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Контроль приложений обычно обходится через длл инджектинг разного характера...
outpost лучше нет!!!
outpost, мне нравится, о другом пока не думаю.
ZoneAlarm. Привык к нему.
Были Sygate, ZA(all), BlackIce(all), Look`n`Stop, AGAVA, EZ, ArcaVir, BitDefender,Visnetic, OutPost, AVG, Kaspersky - либо глючат, ругаются с антивирями,много жрут и не любят когда их из автозагрузки убирают, либо дырявые, кроме L`n`S. Сейчас работаю с 8Signs (четкая прога, можно тонко настроить,у меня стоит автоБАН, так она забанила DNSы. Конечно это только фильтр, но крепкий и хорошо затачиваемый.
Хочу попробовать Rising Firewall китайский, но нет в свободной продаже, нигде.
Все правильно, а как же они будут контролировать систему и сетевой траффик в реальном режиме времени? И при чем тут автозагрузка? Например, тот же Outpost можно ручками запускать. А прописываются они в автозагрузку специально для того, чтобы защищать всю систему не в процессе входа/выхода пользователя, а на стадии загрузки драйверов и служб Винды для полного сетевого контроля.Были Sygate, ZA(all), BlackIce(all), Look`n`Stop, AGAVA, EZ, ArcaVir, BitDefender,Visnetic, OutPost, AVG, Kaspersky - либо глючат, ругаются с антивирями,много жрут и не любят когда их из автозагрузки убирают
Хе. А откуда такая конкретная инфа?либо дырявые, кроме L`n`S.А что скажешь насчет Outpost? Тоже много отжирает?много жрут
Неофициальный форум Outpost Firewall http://forum.five.mhost.ru
На 100 мегабитах ставит колом даже 4-й пень. Память почти не жрёт, а вот процессор только давай.
Чем и удивил Sygate, при том-же копании в содержимом пакетов комп грузит раза в 3 меньше чем Outpost.
Мой комп - P4 2.8 100 Мегабит Full Duplex - прокачка файла соседу -
Outpost - загрузка процессора - 80-100% скорость перекачки - 50/60 мегабит,
Sygate - загрузка процессора - 30-40% скорость перекачки - 70-90 мегабит.
Последний раз редактировалось RiC; 19.08.2005 в 14:35.
RiC Элементарно. Берем соседнюю организацию, где я ставил ОР на шлюз.
~40 машин, сетка 100Mbit, свичи естественно, от разных производителей, но не в этом дело. Подсетей нет, сеть стандартная виндовая 192.168.0.0. DHCP на шлюзе на XP. Машины от 98 до XP (серверов типа 2000 или 2003 нет, юниксовых машин тоже, только Винда). Внутренняя сетка юзается интенсивно. Типа 1С и других БД, даже не разбирался какие, каспер, банк-клиент, несколько модемов в локали + ОР на этих машинах, естественно. + выделенка на самом шлюзе. ОР не везде, а только там, где нужно. ~20 станций с ОР. Режимы и политики ОР разные и фоновый тоже есть. На многих машинах есть FUS.
В общем, много можно говорить об этом, я о конфиге сетки, машин и т.д.
Вернемся к шлюзу. Версия ОР 2.5. Тамошний админ уже обновил до 2.7.
Падений и глюков сетки нет. Скорость стабильная. Внешняя и внутренняя локаль работает нормально. Загрузка процессора при одновременном юзании локали + инета (я имею ввиду не только пакеты NAT, но и локальные ресурсы машины-шлюза) на шлюзе 10%. А вот насчет оперативочки на шлюзе, да. При интенсивном юзании возрастает до 50 MB. Если брать во внимание, что ранее у ОР были траблы при интенсивном IGMP-флуде, что приводило к 100% нагрузке процессора и заниманию всей доступной оперативочки, а затем и стабильное падение системы, то это уже давным давно выправили (это потом и стали называть утечкой памяти, уже писал об этом на разных форумах). Так вот. Вернемся к той сетке. В сетке аппаратные части машин самые разные. Начиная от первых пней и заканчивая четвертыми. Ну как?
А теперь вдогонку с чем я сам сталкивался у себя в организации. Там же стоял ОР версии 2.5. Пишу по памяти, т.к. недавно эту машину отдал. Внимание!
Конфигурация следующая:
АМВ-К5-PR100 + 32 MB (SIMM), (были такие лет десять назад) сетка 100Mbit. Кроме 1С, ОР и старого офиса там ничего не стояло. Все работало без проблем! Был лишь тайм-аут с загрузкой ОР при старте винды. (либо с загрузкой офиса, но не об этом речь).
А ты говоришь о четвертом пне...
Повторяю. ОР - это самый неприхотливый фаер. Ставится куда угодно. На любую старую машину.
Теперь, возьмем вторую организацию. Опять виндовый шлюз. ОР 2.6. Все летает на ура. Но не в этом дело. Ты говоришь о скорости перекачки. Хе, в жизнь не поверю в такую разницу. Дело в том, что ОР практически не оказывает влияние на скорость локальной сети, тем более в работе с пакетами NetBios. При правильной настройке, даже и неправильной, разницу в скорости сетки ты не увидишь и не почувствуешь, т.к. она составляет не более 0,5%-1%. Об этом, ты можешь узнать у самих производителей. Есть незначительный тормоз при работе. Но на это влияют уже встроенные модули ОР. Например, при работе по http есть задержки и тайм-ауты при передаче гипертекста, затем его анализа в плагинах и распаковки уже в браузере. Но все это зависит от самих настроек, например, модуля "Интерактивные элементы". А влокали на скорость единственное, что может влиять, это модуль "Детектор атак". Далее. Если в системных настройках ОР стоит галка Нетбиоса на конретный IP или диапазон, а это будет в 99%, то повторяю - на скорость соединения это не влияет. Поясню почему.
Дело в том, что при установке канала связи (надеюсь, этот обычный трехэтапный процесс с сылками на RFC описывать не нужно) ОР делает также поэтапный анализ заголовков пакетов. Когда одна машина ответит другой, что уже готова к установлению канала связи, ОР тупо увидев в заголовке пакета конкретный IP и сравнив его со своими данными, разрешает сеанс связи по этому IP, порту и т.д. (может другими критериями) и далее до полного окончания канала связи (по этим критериям) не оказывает уже никакого влияния на эти пакеты. Надеюсь смысл ясен.
Теперь далее, насчет скорости. Ты не задумываешься о том, что дело может быть еще и в постороннем софте? Например, мониторы системы, реестра, антивирусы, шум сетки и т.д. и т.п. + другой постороний софт на той или другой машине? А обращений других машин к твоей? Например, те же банальные многочисленные броадкасты или обращения по ICMP? (кстати, все неизвестные протоколы и весь ICMP желательно вообще всегда отключать).
P.S.
Напоследок. То, что у меня. Шлюз. протокол NetBios для локальной сети включен.
Конфигурация:
Intel(R) Pentium(R) 4 CPU 2.80GHz
Mainboard : Intel Corporation D865PERL
Installed Memory : 512MB
Microsoft Windows XP Professional Ver 5.01.2600 Service Pack 2
Внутренняя локаль : Realtek RTL8139 Family PCI Fast Ethernet NIC
Выделенная линия : Intel(R) PRO/100 VE Network Connection
Outpost Firewall Pro ver. 2.7.492.5421 (416)
Идет скачка через Total Commander на шлюзе. Пять клиентов на выделенке (инет) качают данные. Посторонний софт, типа монитора KAV, 1с и т.д. и т.п. в расчет не берем.
Загрузка OP - 1%, Общая загрузка процессора машины 7%.
В общем, вот скрин.
Без комментариев.
P.P.S. Что на это скажешь
Неофициальный форум Outpost Firewall http://forum.five.mhost.ru
Кстати, при использовании П2П программ которые постоянно создают кучу соединений отключение ведения лога снижает загрузку процессора, а так же дёрганье диска (как следствие и его продолжительность жизни
Agnitum Outpost Firewall v 2.1. Давно юзаю (с 1.0 начинал), ни разу он меня не подводил ни на работе, ни дома. Для меня важен его удобный интерфейс, особенно в части создания правил для новых прог, которые частенько приходится устанавливать для ознакомления либо тестирования. При этом использую его широкие возможности процентов на 20, не более...
Все они фороши для домашних юхверей... но все бесполезны против некоторых методик обхода файрваллов (даже Tiny не спасет)
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
GeserПодтверждаю. Т.к. данные постоянно скидываются в логи на жесткий диск. При интенсивном юзании p2p-приложений, логи вообще лучше отключать, либо править конфиги ОР ручками, типа эту статистику вести, эту не вести, тайм-ауты отображения открытых портов и т.д. и т.п.Кстати, при использовании П2П программ которые постоянно создают кучу соединений отключение ведения лога снижает загрузку процессора, а так же дёрганье диска
Granat старовата версия, недочеты и дыры в ней, например тот же IGMP-флуд, см. мой пост выше. Нет контроля компонентов и другие фичи и нововведения и т.д. и т.п. Но это твое дело.
SanjaА ну-ка, просвяти меня, недоумка, насчет этого. Какие еще методики? Давай подробности, конкретную инфу. Или есть ссылки на первоисточники и т.д. и т.п.? Потестируем на примере Agnitum Outpost Firewall v2.5.-2.7. А просто говорить можно все, что угодно.все бесполезны против некоторых методик обхода файрваллов
Видимо, ты его считаешь лучшим, это твое право.даже Tiny не спасет
Неофициальный форум Outpost Firewall http://forum.five.mhost.ru
Нахождение оригинального адреса функций CreateProcess + WriteProcessMemory -> запуск trusted applicationa -> путь в и-нет свободен
>Видимо, ты его считаешь лучшим, это твое право.
Не в этом дело.. все они перехватывают API.. для контроля инжектирования к примеру.. если вызвать эти API в обход перехватчика.. то все они в пролете..
реализацию показывать небуду.. не в моих интересах что-либо доказывать
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
Да уж, методика...
На самом деле я вполне могу допустить, что такой метод сработает для каких-нибудь туповатых файерволлов, которые по-прежнему не могут толком пройти ни одного leak-теста, но я уверяю вас - это все очень и очень временно! Сейчас только ленивый не ставит в свой фаейрволл какой-нибудь вариант проактивной/превентивной защиты (даже в горячо любимом народом Оутпосте кое-что появилось, правда до последнего времени обходилось влегкую, т.к. в первую очередь преследовало цель именно прохождения возможно бОльшего количества leak-тестов, а не реальную борьбу с "умными" средствами обхода), в связи с чем в ближайшем времени, полагаю, все "лазейки" такого рода будут закрыты (тем более, что это не очень сложно в реализации).
"Все они в пролете" - это какие файерволлы конкретно ("огласите, пожалуйста, весь список!"
В реализации этого метода нет большого смысла, ибо, повторюсь, все это настолько временно, что даже не хочется париться на эту тему...реализацию показывать небуду.. не в моих интересах что-либо доказывать
1. драйвер для этого ненужен
2. все что на firewallleaktester.net
На самом деле я вполне могу допустить, что такой метод сработает для каких-нибудь туповатых файерволлов,
Outpost -> туповатый ФВ если так рассуждать
Последний раз редактировалось Sanja; 25.08.2005 в 23:14.
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
а вобще... если уж на то пошло - былобы желание - я файрвалл аккуратно из реестра вычещу и после 1 рестарта информация уйдет
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
реализация достаточно проста и местами элементарна =)) и даже этим трюком обходится подавляющее большинство современных ФВ. будущее внатуре за системами, контролирующими подгрузку любых драйверов и перехватывающих CreateRemoteThread(), WriteProcessMemory() и прочую байду.реализацию показывать небуду.. не в моих интересах что-либо доказывать
пока юзеры будут сидеть под админами, никуда они от спайваря не денутсяа вобще... если уж на то пошло - былобы желание - я файрвалл аккуратно из реестра вычещу и после 1 рестарта информация уйдет
дык уже перехватывают...
CreateRemoteThread(), WriteProcessMemory() и прочую байду.
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
Ваши права в разделе
