Anatoly_Skoblov
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Почитал я оригинал. Повторю то, что запостил на imho.ws один к одному:
С преогромным удовольствием прочитал выдающийся опус VictorVG ... когда
икота прошла, решил ответить.
Сие "творение" содержит 2 очень большие лжи, и много мелких
глупостей. Причем если ложь номер два (про технические подробности работый
файрволов) еще могу списать на банальную некомпетентность, в сочетании с
нелюбопытством и помноженную на манию величия, то вот ложь один (про родство
Agnitum и HP) явно не может быть добросовестным заблуждением. Виктор, зачем Вы
это сочинили? Вы работаете на кого-то в PR-отделе?  .
Теперь детально по тексту:
Ложь номер один:
Цитата:
его разработчики - филиал Европейского отделения Hewlett-Packard Company, во всяком случае так они пишут во всех официальных бумагах и Hewlett-Packard это подтверждает. А эти ребята коль захотят - чёрта по миру без штанов пустят... Это же просто бизнес - не продашь ты, конкуренты
|
Бред от начала и до конца. Agnitum не имеет никакого отношения к HP и поэтому
нигде, ни в одном тескте или высказывании руководства Agnitum'а подобное не
могло проскакивать.
Ложь номер два:
Цитата:
Разница в архитектуре - у Агнитум -протокольная, т.е. работа идёт только по тем протоколам которые ПОДДЕРЖИВАЮТСЯ ЯДРОМ ФРИВАЛА, а у Сайгейт используется метод ФИЛЬТРАЦИИ ПАКЕТОВ, он ПРИНЦИПИАЛЬНО ПРОТОЛЬНО-НЕЗАВИСИМ И ЕГО ТОЧНОСТЬ РАБОТЫ ПРИМЕРНО НА ДВА - ТРИ ПОРЯДКА ВЫШЕ.
...
Разница в том, что протокольно-зависимая система работает через драйвер контролируемого протокола, в отличии от неё, пакетная система контролирует непосредственно трафик на сетевом оборудовании используя как его драйвера, так и собственные низкоуровневые драйвера. Таким образом эта система контролирует ВЕСЬ трафик, а не его часть, как протокольная, для которой предварительным фильтром ЧТО ИМЕННО контролировать служит стек (реализация) протокола. Это и увеличивает надёжность пакетных систем, хотя и значительно усложняет их реализацию.
|
Наукообразный бред.
Открою тайну, про которую можно почитать в открытом описании SDK Outpost
Firewall.
Любые перехватчики (файрволы и не файрволы) сетевого трафика в Windows могут
работать на двух уровнях:
1. уровень прикладного API: код перехватчика "вставляется" между
драйвером TCP/IP и приложением, перехватывая обращения приложений к сетевому
сервису, типа connect(), send() и т.д. Далее это я буду называть "прикладной
уровень"
2. уровеь API сетевого адаптера (NDIS): перехватчик "вставляется" между
драйверами протоколов (TCP/IP, NETBEUI и т.д.) и драйверами сетевых адаптеров,
перехватывая обращения драйверов протоколов к адаптером для посылки и приема
сетевых пакетов. Далее я это буду называть "пакетный уровень".
Вариант 1 реализуется через замену winsock.dll (древняя технология, понятная,
думаю, всем, но позволяющая контролировать лишь трафик win32 приложений) или
через установку перехватчика API более низкого уровн (TDI), для чего необходим
специальный драйвер, и что позволяет контролировать всех сетевых клиентов,
включая драйвера типа NETBIOS over IP.
Вариант 2 реализуется через установку специального Intermediate NDIS driver
(не совместимо с ранними версиями NT 4.0 и Windows 95, оставляет свои следы в
панели управления, в настройках сети, требует переконфигурации при любых
изменениях в конфигурации сети) или через различные полухакерские методы
(красиво названные Pseudo-intermediate NDIS driver на сайте pcausa.com). Эта
технология позволяет перехватывать любые данные от любых протоколов, за
исключением пакетов, передающихся от нашего компьютера к нему же.
Для полноты картины надо еще упомянуть, что, начиная с Windows 2000, MS
добавила новый API для перехвата IP-пакетов и что есть возможность установить
перехватчик внутри Winsock 2.0 (однако эта технология еще более убога, чем
замена winsock, хотя позволяет обойтись без замены DLL).
Так вот. Все, еще раз повторю ВСЕ, а для тех, кто не понял - ВВВВСССССЕЕЕЕЕ
пакетные фильтры для Windows, имеющие правила для разных протоколов, с портами
и адресами, работают на пакетном уровне. Я лично, кроме Outpost, видел еще
@guard (соответственно, и его потомки от Symantec) и BlackICE. На прикладном
уровне работают лишь "псевдофайрволы", позволяющие разрешить или запретить
активность отдельных приложений (у Agnitum есть подобный продукт - Jammer 2.0).
Возможно, к ним и относится первая версия продукта Seagate.
Теперь вернемся к Outpost Firewall. Его пакетный фильтр работает, естественно,
на пакетном уровне, благодаря чему он может фильтровать пакеты любых
протоколов, а не только IP (однако, эта возможность в оболочке пока не
используется). В данном факте может убедиться любой beta-тестер версии 2.0, или
лююой пользователь версии 1.0, у кого остался плагин debug.dll, который
свободно скачивался с сайта Agnitum. Открываете закладку packets в debug,
ставите галочки "Write to log" и "Dump packets" и наблюдаете в логе пакеты
любых протоколов - IP, ARP, IPX, NETBEUI. Если в системе установлены
Intermediate driver'в (например - драйвер ICS в Windows 2000 до SP2 или драйвер
packet scheduler в XP) то Вы увидите, как каждый пакет пережается по цепочке
драйверов, появляясь в логе несколько раз с разными номерами Bind (в случае
ICS там будут порты с адресами меняться).
На этом же уровне работает детектор сканирования и некоторых атак.
Дополнительно к этому, у аутпоста есть перехватчик прикладного API (TDI). Он
обеспечивает генерацию правил пакетного фильтра для приложений и дополнительный
режим "обучения" для исходящих TCP-соединений (остальное "обучение" работает на
пакетном уровне). На этом же уровне работает перехватчик потоковых данных,
который обеспечивает контроль и модификацию прикладных протоколов - HTTP, почта
и т.д.
Цитата:
Если у нас обнаружилось столько дыр и глюков с новым аутпостом, как же его тестировали в течение как минимум полугода?!
|
Сколько "столько" и каких дыр и глюков? Глюков в релизе не так много, а вот
"дыр" за все время было обнаружено крайне мало. Особенон в пакетном фильтре.
Outpost не более глючен, чем любой другой продукт данного класса (не буду
настаивать на 100% безглючности, таких программ не бывает в принципе).
Цитата:
Почему же не выпустили до сих пор никаких исправлений?! Раньше, помню, на первой версии, обновления были довольно часты по началу....
Так и будем сидеть на дыряво-глюкавой версии пока не соизволят через год....или два.... выпустить такую же глюкаво-дырявую версию с номером 3...4... и т.д. ?!...
|
Вторая версия аутпоста вышла чуть больше недели назад. Мы работаем в обычном
режиме. Будут апдейты по мере исправления найденных ошибок.
Цитата:
Почему не привели плагины в соответствие с новым аутпостом? Видимо, никому все это и не надо.
|
О каких плагинах идет речь? Все плагины в поставке должны работать. Плагины
сторонных разработчиков обновятся после того, как эти разработчики сочтут
нужным это сделать. SDK для версии 2.0 лежит на сайте и доступно всем.
Цитата:
Глупые иностранцы и за все это заплатят, а "умным" русским с ворованными сериалами никто не станет помогать.
|
Да, русским с ворованными серийниками не будут помогать. Берите бесплатную
версию или записывайтесь в бета-тестеры
Цитата:
SPF PRO не зря реально требует от 192 Mb ОЗУ и системы не ниже Windows NT4 SP4. Да, он будет работать и на Win9x/ME, но вследствии полного отсутсвия поддержки системы безопасности Windows NT/2000/XP его реальная эффективность составит не более 25- 30%
|
Ни одна из технологий не требует большого количества ресусров для работы.
Ресурсожоркость - это исключительно заслуга криворуких программистов или
немерянной красивости и навороченности оболочки файрвола.
Outpost Firewall работает на 100% как на потомках NT, так и на потомках Windows
95. На Windows 95 original не будет работать контроль изменения DLL и
приложениях, и усе.
Цитата:
А банерорезки есть и от независимых разработчиков, в том числе и бесплатные. Любые комбайны "всё в одном" значительно хуже по реализации своих функций, чем специализированный продукт, т.к. приходится идти на слишком много компромисов при их разработке... Это я твёрдо утверждаю как опытный инженер.
|
"Комбайны все в одном" лучше "сторонних" баннерорезалок хотя бы потому, что
могут работать прозрачно, не требуя настройки прокси в приложениях, за счет
работы в ядре. А так: кто лучше фильтрует, кто хуже - зависит только от
настойчивости программистов. Не буду настаивать, что лучше всех Outpost - тут
уж кому что нравится.
С уважением,
Anatoly Skoblov, разработчик ядра Agnitum Outpost Firewall |
Всего записей: 1 | Зарегистр. 30-05-2003 | Отправлено: 13:26 30-05-2003 | Исправлено: Anatoly_Skoblov, 13:27 30-05-2003 |
|
.gif)
). 