lapi Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Jetico Personal Firewall http://www.jetico.com/jpfirewall.htm В настоящее время это один из наиболее перспективных и динамично развивающихся персональных брандмауэров. Гигантское количество настроек при правильном и вдумчивом подходе обеспечит потрясающую защиту вашего компьютера. Однако не надейтесь на лёгкую жизнь - в большинстве случаев Jetico оставит вас один на один с тонкостями сетевых протоколов...   Upd: В последнее время новых версий JPF freeware v1.0 не выходит, благо все (или почти все) баги в нем вычистили.   Upd2: Внимание! К сожалению, вторая версия программы (JPF2) позиционируется как коммерческая, т.е. не бесплатная. Тема в варезнике посвящённая второй верии   Upd3: Если JPF оказался для вас слишком сложным, попробуйте посмотреть Comodo Firewall.   Последняя версия 1.x: 1.0.1.61 (19 июля 2005) http://www.jetico.com/jpfwall.exe   Текущая версия 2.x: 2.0.2.9 (23 марта 2009) http://www.jetico.com/jpf2setup.exe   Русификация версии 1.0.1.61 с установщиком (19 июля 2005): http://artlonger.narod.ru/jetico.zip (35 кб) Если что, качать браузером. При обновлении версий ссылка не изменяется.   PS: В русской версии прикручено выравнивание столбцов по F12.   Базовые настройки брандмауэров. Правила JPF v1 Обзорная статья+принцип по которому фильтруются пакеты/соединения в таблицах Jetico Personal Firewall v1 Jetico 2: типовые правила для VPN-PPTP и VPN-L2TP... JPF v2 Правила для сервиса svchost.exe Всего записей: 166 | Зарегистр. 28-09-2001 | Отправлено: 02:49 06-03-2004 | Исправлено: Dimitr1s, 17:52 23-03-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору XenoZ Цитата: made %parent_event% Ну так, сделана попытка, путём "того то и того то", ни как не значит что событие совершено. Если запретить, Джетика накидает "бряки" на все зависимые и всё ("a Jetico way" ).   regboard Цитата: Необязательно, можно запустить IE до этого (не нажимая запуска IE). Эксплоид работает не от того, что пользователь жмёт "Start Internet Explorer", а от дыры в IE, чем собственно и пользуется (передает вводимый текст пользователя).   Об чём разговор то? На второй Джетике вводимый текст ни куда не передаётся и дело до этого не доходит. А первая часть где пользователь давит кнопку и открывает IE, да, не интересует. Цитата: OLE(Object Linking and Embedding) InternetExplorer.Application.1 {0002DF01-0000-0000-C000-000000000046}   xxtp://www.pcflank.com/pcflankleaktest/leak1test.php?ID= d:\test\release\PCFlankLeaktest.pdb PCFlank Leaktest - Launching IE PCFlank Leaktest - Entering custom "test" data PCFlank Leaktest - Viewing test results Это к чему? Цитата: Либо она есть, либо ее нет. Всякие подуровни не воспринимаю. Именно на уровне и плюс, в отличии от погрузившихся в зависимость от "рейтинга продаж среди домохозяек", полумёртвых, кисов и аутпостов - перспективы есть. Цитата: Кста, у винды тоже есть свой "персональный" фаервол. )   Если уж на то пошло, могу высказать точку зрения, что вообще все фаерволы, антивирусы и прочие "средства", не ст0ят гроша, являются потенциальными генераторами бсодов и лишней нагрузкой на процессор. "Забитая гвоздями" винда, плюс осторожность, плюс ограниченная учётка - всё что нужно для счастья. Но тема то, про сабж.       Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 20:40 27-02-2009

XenoZ Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Dimitr1s Цитата: made %parent_event% где %parent_event% Цитата: • inject dll - application injected dll into networked application's address space • create remote thread - application created thread on behalf of networking application • write to other's memory - application wrote into networked application's memory • inter-process call - application performed inter-process call to networked application • parent process - application started networked application и речь идет не о попытке, а именно о уже свершившемся событии. Т.е. в случае Indirect Access Джетика не перехватывает попытки, а лишь информирует о том, что уже произошло. Применительно к первому событию, например, Джетика сообщает, что приложение А уже внедрило библиотечку в адресное пространство приложения Б. И блокируется здесь, по сути, не само внедрение, поскольку оно уже свершилось, а работа цепочки при обнаружении данного внедрения. (Справедливости ради, следует отметить, что подобное поведение было в свое время также замечено на Comodo 2.4 при событии OLE Automation. И, тем не менее, существуют HIPS-мониторы, способные грамотно обрабатывать и блокировать подобные запросы без последствий для других приложений. Странно, почему в Джетике не захотели/не смогли сделать это по-человечески... Здесь на память приходит старый анекдот о том, как реагируют на глюк программист и демомейкер: программист всеми силами пытается глюк исправить, чтобы программа работала, как положено, а демомейкер всеми же силами пытается глюк оптимизировать, чтобы он выглядел красиво...) ---------- А оно мне надо?.. Всего записей: 5478 | Зарегистр. 29-03-2006 | Отправлено: 01:12 28-02-2009

regboard Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Об чём разговор то? На второй Джетике вводимый текст ни куда не передаётся и дело до этого не доходит. А первая часть где пользователь давит кнопку и открывает IE, да, не интересует.   В том то и дело что доходит. Если процессу разрешить косвенный доступ, что делает эксплоид дальше Джетику не волнует. Не сработает только при запрете на косвенный доступ. Вот только не надо говорить, что запретив косвенный и есть решение проблемы. )  Ведь многие программы без него не работают.     Цитата: OLE(Object Linking and Embedding) InternetExplorer.Application.1 {0002DF01-0000-0000-C000-000000000046}   xxtp://www.pcflank.com/pcflankleaktest/leak1test.php?ID= d:\test\release\PCFlankLeaktest.pdb PCFlank Leaktest - Launching IE PCFlank Leaktest - Entering custom "test" data PCFlank Leaktest - Viewing test results   Это к чему?     Это к тому, что проактивка Джетики должна видеть (если она есть).   Всего записей: 220 | Зарегистр. 18-04-2005 | Отправлено: 06:14 28-02-2009 | Исправлено: regboard, 06:24 28-02-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору XenoZ Цитата: и речь идет не о попытке, а именно о уже свершившемся событии. Т.е. в случае Indirect Access Джетика не перехватывает попытки, а лишь информирует о том, что уже произошло. Давай определим, что ты считаешь свершившимся событием, что "считает" Джетика и что на самом деле происходит. Возьмём выше упомянутый PCFlank Leaktest, загружаем в память, выполняем код до момента введения в строку символов и нажатия "Далее>" (можно заранее посчитать хэш, и открыть IE, чтоб не было лишних запросов), происходит Событие: Leaktest пытается передать набранное в строке, через IE, вызывая системные функции, о чём Джетика уведомляет:     (запуск дочерних процессов я пропустил, рассмотрим это событие) Можно взять любой анализатор трафика, если есть сомнения. Если бы ты был прав что: "срабатывает она "по факту", когда уже поздно "пить боржом" и "речь идет не о попытке, а именно о уже свершившемся событии.", должна была бы состояться отправка пакетов на www.pcflank.com:80 через iexplore.exe, т.к. этим событие должно завершится. Однако ни чего подобного не происходит, запрос можно держать сколько угодно долго, ни одного пакета не уйдёт. Отсюда вывод: Событие не свершилось, попытка перехвачена Джетикой. Если под Событием ты имел ввиду, отправку функции или процедуры к исполняемым файлам или в "чужие" сегменты, то значения не имеет на каком этапе сделать перехват, главное что бы цепочка не продолжилась. Цитата: Применительно к первому событию, например, Джетика сообщает, что приложение А уже внедрило библиотечку в адресное пространство приложения Б. И блокируется здесь, по сути, не само внедрение, поскольку оно уже свершилось, а работа цепочки при обнаружении данного внедрения. Тут замечал, когда загружает, а когда стопит до загрузки (правда на старых версиях, как сейчас надо посмотреть как-нибудь), но опять же при запрещении, происходит останов всех вовлечённых, есть время разобраться без последствий и в сеть точно ни чего не сольётся.   Всё это ИМХО конечно.   regboard Цитата: Если процессу разрешить косвенный доступ, что делает эксплоид дальше Джетику не волнует. Без комментариев.   Цитата: Ведь многие программы без него не работают. Да большинство вредоносного софта, слить информацию не смогут. Нормальным программам запрещать косвенный доступ не к чему. Цитата: Это к тому, что проактивка Джетики должна видеть (если она есть). Чего она должна здесь увидеть: Цитата: OLE(Object Linking and Embedding) InternetExplorer.Application.1 {0002DF01-0000-0000-C000-000000000046}   xxtp://www.pcflank.com/pcflankleaktest/leak1test.php?ID= d:\test\release\PCFlankLeaktest.pdb PCFlank Leaktest - Launching IE PCFlank Leaktest - Entering custom "test" data PCFlank Leaktest - Viewing test results если можно подробно? Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 06:25 28-02-2009 | Исправлено: Dimitr1s, 06:39 28-02-2009

regboard Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Да большинство вредоносного софта, слить информацию не смогут. Нормальным программам запрещать косвенный доступ не к чему.     Вот, мы и добрались до главного. Откуда такая уверенность в "нормальных программах"? Извините, но у меня уверенности нет, я не телепат.     Всего записей: 220 | Зарегистр. 18-04-2005 | Отправлено: 06:59 28-02-2009 | Исправлено: regboard, 07:08 28-02-2009

Paul68 Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Jetico блокирует службу диспетчера подключений удаленного доступа, а также отказывает в доступе к Администрованию (Ошибка 5). Как это исправить? Всего записей: 501 | Зарегистр. 08-06-2005 | Отправлено: 11:07 28-02-2009

XenoZ Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Dimitr1s На русский перевод лучше не опираться, т.к. он, как и в большинстве случаев, кривой. Не выполняет, а выполнила, в данном случае. Цитата: Отсюда вывод: Событие не свершилось, попытка перехвачена Джетикой. Отнюдь. В данном случае Джетика информирует о том, что в цепочке обнаружен посторонний объект и блокирует цепочку до вынесения вердикта. (свершившимся событием я считаю сам факт внедрения) Цитата: значения не имеет на каком этапе сделать перехват, главное что бы цепочка не продолжилась. Как раз здесь мы с тобой и не сходимся. Цитата: но опять же при запрещении, происходит останов всех вовлечённых Некузяво это. Согласен, безопасность от этого не страдает, но метод, к-рым это достигается, мне очень не нравится. Грубо и топорно...     Добавлено: Paul68 Удали все запреты в Indirect Access Table и Process Attack Table, и потом внимательно отвечай на запросы. ---------- А оно мне надо?.. Всего записей: 5478 | Зарегистр. 29-03-2006 | Отправлено: 12:18 28-02-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору XenoZ Цитата: На русский перевод лучше не опираться, т.к. он, как и в большинстве случаев, кривой. Не выполняет, а выполнила, в данном случае. Я опираюсь не на перевод, а на то, что происходит с исполняемым кодом. К слову, на английский перевод, можно опираться также как и на русский - оба выполнены Jetico, Inc., Address: Innopoli 2, Tekniikantie 14, 02150 Espoo, Finland, мало ли... Цитата: Отнюдь. В данном случае Джетика информирует о том, что в цепочке обнаружен посторонний объект и блокирует цепочку до вынесения вердикта. (свершившимся событием я считаю сам факт внедрения)   Драйвер оперирует функциями, по мере выполнения кода программы, соответственно пропускает или ставит запрет на дальнейшее выполнение кода после вызова определённой функции и чтение/запись из других сегментов. Выше, в примере, если посмотреть логи Джетики, увидим запрос именно Косвенного доступа (Leaktest'а к IE) и при запрещении, блокировку именно в этот момент, а не при попытке уже IE использовать сетевые функции, как если бы ты был прав. То есть Косвенный доступ не выполнен - а блокирован, иначе блокировались бы уже сетевые функции IE (Сетевая активность). Что касается попутной блокировки исполнения сетевых функций всех вовлечённых процессов, тут уже вопрос - нравится или нет, но к безопасности он отношения не имеет (скорее даже усиливает, в какой то степени ), да и перезапустить Джетику занимает несколько секунд.   По всем остальным событиям Косвенного доступа, блокировка, при запрете, происходит так же своевременно - выполнить код, содержащий вызов сетевых функций, после запрета обнаруженного Джетикой события, программа не сможет.   Paul68 Эта служба запускается svchost.exe (с параметрами), начни смотреть от сюда. Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 14:56 28-02-2009

Paul68 Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору XenoZ     Добавлено: XenoZ Цитата: внимательно отвечай на запросы. Простите, между "разрешить навсегда" и "разрешить по шаблону", что выбирать? Всего записей: 501 | Зарегистр. 08-06-2005 | Отправлено: 15:11 01-03-2009

XenoZ Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paul68 Если для приложения есть шаблон (таблица), и правила в нем (ней) устраивают, тогда логичнее выбрать "разрешить по шаблону". А вот разрешать или запрещать - выбирать тебе. Могу лишь сказать, что любой запрет в таблице "Indirect Access", особенно это касается системных процессов, может чревато сказаться на дальнейшей работе системы.   Добавлено:   All Кстати, для желающих потеститься на уязвимость, есть такой забавный тестик от Comodo: http://eu2.download.comodo.com/securitytests/CLT.zip (естественно, что под Комод он и заточен, но тем не менее...) ---------- А оно мне надо?.. Всего записей: 5478 | Зарегистр. 29-03-2006 | Отправлено: 09:45 02-03-2009 | Исправлено: XenoZ, 12:19 02-03-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fbm С машин на какой системе (Windows, UNIX...), не проходят пакеты? Как настроена на них передача (может беспроводная типа Wi-Fi)? Можно попробовать, для начала, снять Stateful Inspection в правиле Allow ARP requests. Что в логах на запрещающих правилах в таблицах: Protocols Table, System Internet Zone? Вообще, включение и просмотр логов на запрещающих правилах, решают почти все похожие вопросы. Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 13:34 12-03-2009

XenoZ Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору fbm Насколько помню, пакеты сначала проходят System IP Table, а затем уже Protocols Table. В System IP Table перед последним Continue добавь правило Block and Log, а потом по логу разбери, какие правила нужны. ---------- А оно мне надо?.. Всего записей: 5478 | Зарегистр. 29-03-2006 | Отправлено: 21:37 12-03-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fbm Цитата:  С логами на запрещающих правилах в других таблицах не понятно, чем может помочь, если проблема локализована в Protocols Table. Насколько мне не изменяет память, в первой Джетике, Root разветвляется на: Root -> Protocols Table, а так же и на: Root -> System IP Table -> System Internet Zone. Управлять протоколами (запрещение/разрешение) можно как в Protocols Table, так и в System Internet Zone (в System IP Table тоже кстати). Включая в Protocols Table, снизу, "разрешить всё" тем самым Вы разрешаете все пакеты и до правил в System IP Table -> System Internet Zone дело не доходит. Включая обратно "отклонить все", пакеты проходят и могут резаться в этих таблицах. Цитата: В логах на финальное запрещающее правило в данной таблице пишет, что в момент отправления на печать приходят и уходят пакеты по протоколам 0003 и 0004. Делаю разрешающие правила на протоколы с этими номерами - не работает все равно.   Вероятно имеются ввиду Gateway-to-Gateway (GGP) и инкапсуляция (IP in (over) IP), попробуйте создать, если в первой Джетике это возможно, разрешающие правила по указанным номерам протоколов (3 и 4) в таблице: System Internet Zone. Проверьте ещё не заблокированы ли порты 137-139. Ну и логи смотреть в этой таблице тоже. Цитата: В правиле Allow APR requests (в Protocols Table) я не нашел Stateful Inspection (может не туда смотрел или версия другая) В первой Джетике нет такого?     Тогда извиняюсь, под рукой нет первой версии. Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 21:38 12-03-2009

Brodjga Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Кстати, для желающих потеститься на уязвимость, есть такой забавный тестик от Comodo:   http://eu2.download.comodo.com/securitytests/CLT.zip     Я вот проверился на КИС 2009. Результат, надо сказать плачевный. Из 340 пунктов - 130 protected. Остальные - увы! Может это тест такой нехороший. Или...? Кто-нибудь проверял Jetico этим тестом? Отпишитесь пожалуйста. Всего записей: 180 | Зарегистр. 22-09-2004 | Отправлено: 23:23 12-03-2009 | Исправлено: Brodjga, 23:24 12-03-2009

Dimitr1s Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Brodjga Запустил с админ правами, сеть включена, IE полностью открыт. Всё время жал "запретить однократно": Ничего нового, удалил... Всего записей: 1924 | Зарегистр. 02-07-2006 | Отправлено: 00:59 13-03-2009

GQ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1. Открыть правила файрвола 2. Заблокировать программу. 3. ... 4. PROFIT!     ЗЫ Извините, не сдержался... ---------- But temporary gearbox gremlins on lap eight were. Всего записей: 1875 | Зарегистр. 10-12-2001 | Отправлено: 22:11 15-03-2009

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

Компьютерный форум Ru.Board » Компьютеры » Программы » Jetico Personal Firewall

Widok (30-03-2009 18:36): Лимит страниц. Продолжаем здесь.

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование