Application Control присутствует 
Сравнение файрволов (без флейма!)
|
27.08.2004 12:07:02
|
|
|
|
|
|
27.08.2004 13:21:03
Нету и в помине. |
|||
|
|
|
|
27.08.2004 13:39:51
|
|
|
|
|
|
30.08.2004 15:22:25
Ребят, кто нить пользовал Blink® End-Point Vulnerability Prevention. У меня после 3-4 минут работы его драйвер вызывал ошибку и винда в синий экран уходила
 Не успел его даже оценить. На сайте пишут что, он защищает от ещё неизвестных уязвимостей. Пользуюсь продуктами eeye, очень доволен, а с фаером такой косяк |
|
|
|
|
|
31.08.2004 01:46:51
Рассмотрим первый пример:
I. Что умеет @Guard? A: Следующие вещи: * вырезать баннеры с загружаемых Web-страничек; * в целях экономии ресурсов прекращать дерганье анимированных ГИФов; * препятствовать выполнению JavaScript's, Java Applet's, ActiveX модулей... Если вы захотите, конечно; * препятствовать появлению всплывающих окошек со всякой рекламной ерундой (как, например, на Geocities или Tripod); * не давать серверу, на который вы зашли, узнавать, откуда вы пришли (block refer fields); * не давать серверу узнавать, каким броузером вы пользуетесь; * не давать серверу узнать ваш e-mail адрес (поле from). Или говорить, но не ваш, а к примеру, Билла Гейтса; * контролировать прием Cookies; * отслеживать все соединения, устанавливаемые программами, и решать, разрешать ли эти соединения; * вести подробнейшую статистику и логи по всем вышеперечисленным действиям. ------------------------------------------------------------ ---- В: Утверждают, что @Guard является ускорителем Интернета на 600% Рекламный ход. Такого рода ускорения можно достичь на загрузке сайтов, перегруженных сверх всякой меры рекламой, доходящей порой до 200 Кб и более (варезы, порносайты), за счет вырезания оной. Или пользовать достойные браузеры, например, такие как Mozilla, Mozilla FireFox ------------------------------------------------------------ ---- II. Вот пример, когда я использую самый оптимальный способ для проверки одного фаервола другим: Kerio засек, что сам Outpost без спроса лазит в инет (хотя в нем самом в логах этого не было видно, а поверка обновлений была отключена). Наверное, Outpost таким образом проверяет легитимность пользователя, а страшные предупреждения о недопустимости совместной установки файрволов пишет для того, чтобы никто не обнаружил, какие вещи сам Outpost делает незаметно для пользователя. Вот такое у меня сложилось мнение. ------------------ ------------------------------------------------------------ ---- Многие есно скажут: два файрвола вместе - это глупость! Почему же? Ну проходят пакеты не через один фильтр, а через два. В чем здесь глупость? Кроме того, часто бывает так: hardware + software firewall и никто не считает это глупостью. В принципе, одного конечно достаточно, но только если он надежен и честен. А как это проверить? Вот я и поставила Outpost вместе с Kerio как раз для того, чтобы проверить Outpost на вшивость. -------- ------------------------------------------------------------ ---- III. ZoneAlarm Pro мне совсем не понравился... Систему вешает, постоянно куда-то ломится, получается, что сама софтина меньше в сеть просится, чем фаер. Тут вышел новый Outpost и я решила его попробовать... Настроила его, обучила... перешла в режим Permit/ Deny, серфенгую инет, радуюсь, что так классно баннеры и окошки режет, а потом как бы все обрубилось резко... Броузер перестал странички открывать, FlashGet файлы качать, аська сообщения слать, БАТ мыло снимать. Пинг идёт, tracert тоже. Перерыла все фичи в Аутпосте не помогло... ладно... Пофиксила его снова и такая же фигня. ---------------- ------------------------------------------------------------ ---- ZA Pro + Web Filtering - относительно неплохо (+): всё в одном окне, удобный интерфейс, в сети есть подробный хелп, переведённый на русский, неплохо справляется с баннерами и всплывающими окнами, после некоторой настройки ничего не пропустила, когда тестила тут: Хотела ещё провериться на , но не вышло: говорит отключай файер и выходи из-за прокси, а файер, я то и хотела проверить. (-): после настройки, когда выставляется максимальная защита, часть сайтов не открывается или начинаются глюки с загрузкой части страницы. Проблема решается ручной настройкой исключений для этой страницы в Site List. Для сравнения, на 2-ой комп по очереди ставила Kerio, Tiny, Norman PF, Kaspersky Anti-Hacker, Outpost, VisNetic, Sygate. Norman PF вообще не дал выйти в инет, КАН с дефолтными настройками - решето (по результатам тестов на тех сайтах, что выше), у Kerio, Outpost, Sygate, c дефолтными настройками, примерно одинаковые результаты - по нескольким открытым портам, но для 2-го компа я всё же оставила Sygate. ------------------- ------------------------------------------------------------ ---- У зоналарма мне не понравилась работа с куками, не знаю как сейчас, а когда я его юзала, то в форуме просто невозможно было находиться. ------------------- ------------------------------------------------------------ ---- BlackICE PC Неплохой бранмауер, и логи красочные ведёт, и диаграмму цветную строит. Но опять-таки, тестила его с Tiny Personal Firewall Engine. Tiny сказал, что BlackICE отдаёт неизвестый пакет UDP атакующему. Вопрос: зачем? ------------------- ------------------------------------------------------------ ---- * тут я успешно прошла полный тест на сплойты. Использовала Tiny Personal Firewall Engine 2.0 * тут (дальше по линку "ShieldsUP") результаты тестирования показали 0 открытых портов, использовался тот же фаер. --------------------------------------------------------------------- ------------------------------------------------------------ ---- Вот результаты буржуйских тестов на различные уязвимости фаерволов: FirewallL &nb sp; | LeskTest | Yalta | ToolLeaky | FireHole | ------- ------------------------------------------------------------ ---- Norton Personal | Passed | Failed | Failed | Passed | frw Plus 2004 -------- ------------------------------------------------------------ ---- Sygate Personal | Passed | Failed | Failed | Passed | frw 5.5 &nb sp; -------- ------------------------------------------------------------ ---- McAfee Personal | Passed | Failed | Passed | Passed | frw Plus 2004 -------- ------------------------------------------------------------ ---- ZoneAlarm 4 | Passed | Failed | Failed | Passed | -------- ------------------------------------------------------------ ---- D-Link DI-604 | Failed | Failed | Failed | Failed | ------- ------------------------------------------------------------ ---- Cisco 831 SOHO | Passed |Passed| Failed | Passed | -------- ------------------------------------------------------------ ---- Windiws Firewall | Failed | Failed | Failed | Failed | ------- ------------------------------------------------------------ ---- Bare System | Failed | Failed | Failed | Failed | (No firewall) ------------------------------------------------------------ ----------- |
|
|
|
|
|
31.08.2004 09:10:30
надо написать сводную таблицу опций и возможностей и ставить галочки для каждого FW. Чтобы каждый мог сделать выбор.
|
|
|
|
|
|
31.08.2004 09:43:48
.. и выложить в раздел "Аналитика" в виде статьи.
|
|
|
|
|
|
31.08.2004 09:45:33
Это такие же "дырявые" браузеры и ничего более.
Kerio наверняка ведь сказал куда лазит Outpost ? Или ты за проксей сидишь? Может он просто имя чье-нить ресолвил. Желательно дамп пакета привести. В свое время на одном из халявных серверов (mutinga.chat.ru) был прогон в виде наезда, что один из авторов Outpost () - крутой хакер. Может это происки конкурентов, может еще что-то. Желающие могут прочесть среди сохраненных документов яндекса: utor.htm&text=%E0%ED%E0%F2%EE%EB%E8%E9+%F1%EA%EE%E1%EB%EE%E2 +outpost&dsn=16&d=2287876 Или в поиск по яндексу: "анатолий скоблов outpost".
Достаточно блокировать весь незапрашиваемый трафик. Ты сказала, что будет анализ по реальной работе? Где он? (кроме Outpost) А тесты можно и под VirtualPC запустить. Набрать сканеров уязвимостей и "продалбливать" фаеры с тем же эффектом. Только это к реальной жизни имеет отдаленное отношение. Я уже кидал ссылки, из прочтения которых должно быть ясно, куда идет хакерская мысля.
|
|||||||||||
|
|
|
|
31.08.2004 09:47:21
Уже была на секлабе подобная статья:
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
|
|
|
|
|
|
01.09.2004 11:54:31
Наверное я подведу некоторые итоги обсуждения.
На современном этапе возможностей pfw (описанных в частности в недостаточно для эффективной защиты. Наиболее продвинутые pfw берут на себя задачи реагирования на все запускаемые процессы (программы, сервисы, драйвера) и треды, мониторинг реестра и т.д. По слухам в некоторые будут (или уже?) интегрированы антивирусы. Насколько эти задачи находятся в компетенции pwf ? Ясно только, что pwf - это уже не те "классические" pfw, что были ранее. |
|
|
|
|
|
01.09.2004 12:14:51
Так вот, подводя итоги еще раз
 я хотел бы высказать следующее. Самые крутые на сегодняшний момент pfw это: 1. TINY pro 6 2. kerio 4 (попрошу ногами не бить  ) |
|
|
|
|
|
04.09.2004 14:44:43
Помнится мне кто-то просил мои логи тестирования?
Я думаю этого вам будет достаточно? Коротко и ясно..... Тут лежит форумовский отчёт системный атаки на мой ip за 04.09.04 а также краткий отчёт о прохождении теста на двух бесплатных серверах тестирования по сетевой безопастности. 9 |
|
|
|
|
|
04.09.2004 17:22:50
Детализирую - в силу полного откидывания файрволом внешних
конектов - как такового отчета и нет А вот результат тест файрволов - проведенных мною намедни подопытная система : WIN2003 standart Athlon 2500 (barton), RAM 512M, HDD80WD, nForce 8rda+ realtek8139 ==VisNetic Firewall for Servers 2.x== "+" 1- протстота использования 2-удаленное управление 3-добавление не требует рестарта "-" 1-при изменении - необходимо делать Стоп Старт (не тянет рестарт) фаер 2-рестарт фаера - уничтожает все текушие соединения 3 - Passive ftp Большая Дыра результаты: 53- hping udp flood - при бане ипа - нагрузка 70-80% - при флуде 100% (без фаера - днс - загинаеться с фаером отвечает на запросы) - авто бан - только при скане 443-hping tcp flood -при флуде от 50-80% -при бане 50-75% -автобан флуда в силу того что воспринимался как скан 25 -hping tcp flood -при флуде 60% -при бане 60% -автобан флуда в силу того что воспринимался как скан ==Tiny Firewall Pro 6== "+" 1 - управление доступом на исполнение (программы) 2 - многофункциональность(firewall,IDS,Windows Securty) 3 - добавление удаление изменение - не требует рестарта 4 - привязка проги к портам (возможен секюрный passive фтп) "-" 1 - при добавлении в "IDS IPS" admin панель вылетает 2 - так и не разобрался с динамическими правилами - если есть - и знаете как - дописывайте 53 - hping udp flood - 100 % нагрузки - при бане ипа - 65% средняя нагрузка - после того как забанил ип (правил во время флуда), начал менять порт -цель для флуда - зависла винда... оправилась через 2 минуты после того как отключил флуд - сервер остаеться доступен 443-25и другие tcp порты hping tcp flood -при флуде от 50-80% -при бане 50-75% Kerio - не учавствовал nJoy Firewall™ Personal - был отсеян за нестабильность работы Кто проводил подобные тесты - жду ответа |
|
|
|
|
|
07.09.2004 11:49:13
8Signs Firewall 2.2a - клон VisNetic Firewall
Filseclab Personal Firewall 2.5 - до теста не дошло, странное поведение программы отпугнуло. ТО правила работаеют-то неработают... то работают но не так... и окно которое нельзя раздвинуть - неудобно. x-Wall Series 3.0 a-Wall - непонятный и запутанный - настроить не смог.... - до тестов не дошло |
|
|
|
|
|
20.09.2004 00:54:44
То, что один из авторов аутпоста - крутой хакер, это правда Ведь не крутой хакер вряд-ли сделал бы хороший движек для файрвола.А все остальное - это не происки конкурента, это бред психически здорового человека (у него даже есть справка о снятии с учета в психушке) А куда он лазает без спроса - мне самому интересно. Если, конечно, не новости в основном окошке обновляет или ip-адреса бэкрезолвит для логов. |
|||
|
|
|
|
30.09.2004 01:56:57
И еще оутпост (при юзании в ЛВС) стабильно валил w2k в bsod в режиме запрета. Как выставишь режим запрета, так ч/з 5 мин. - bsod. Точно ошибки уже не помню, но про нее у Руссиновича написано, что это самая распространенная ошибка у начинающих писателей драйверов  Типа в режиме ядра низзя обращаться к страницам памяти, кот. не в ОЗУ лежат. Так штааа... Да и вообще при сравнении с другими он производит впечатление сырого продукта. Это мое личное впечатление. |
|||
|
|
|
|
30.09.2004 02:24:29
Не смешно. Версия-то какая?
Единственная проблема, которая систематически может появляться при блокировке при типе ответа normal (а не stealth) - несовместимость с некоторыми драйверами сетевых карточек при посылке отлупа. Цитирование Русиновича выглядит смешно - драйвер аутпоста проверяет доступность всех страниц, которые ему нужны, перед использованием. Причем все данные у фильтра пакетов при любом раскладе поступают уже зафиксированными в памяти. А код ошибки не будет отличаться ни при обращении к выгруженной странице, ни при затирании памяти или передачи неверного параметра и обращении по неверному указателю из-за этого. |
|
|
|
|
|
18.10.2004 17:51:04
ХЕЗ. Но bsod был - факт. Хотя теперь не актуально. 2.5 вроде вышел? Так там application control есть или нет? |
|||
|
|
|
|
18.10.2004 18:08:36
Для BSOD'ов может быть 1001 причина, Русинович не экстрасенс, не глядя определять источники
application control - это что? Отслеживание неизменности разрешенных приложений? Если да, то оно было как минимум в 2.0 (не помню про 1.0) |
||||
|
|
|
|||
Читают тему