Anatoly_Skoblov
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Почитал я оригинал. Повторю то, что запостил на imho.ws один к одному: С преогромным удовольствием прочитал выдающийся опус VictorVG ... когда икота прошла, решил ответить. Сие "творение" содержит 2 очень большие лжи, и много мелких глупостей. Причем если ложь номер два (про технические подробности работый файрволов) еще могу списать на банальную некомпетентность, в сочетании с нелюбопытством и помноженную на манию величия, то вот ложь один (про родство Agnitum и HP) явно не может быть добросовестным заблуждением. Виктор, зачем Вы это сочинили? Вы работаете на кого-то в PR-отделе? . Теперь детально по тексту: Ложь номер один: Цитата: его разработчики - филиал Европейского отделения Hewlett-Packard Company, во всяком случае так они пишут во всех официальных бумагах и Hewlett-Packard это подтверждает. А эти ребята коль захотят - чёрта по миру без штанов пустят... Это же просто бизнес - не продашь ты, конкуренты | Бред от начала и до конца. Agnitum не имеет никакого отношения к HP и поэтому нигде, ни в одном тескте или высказывании руководства Agnitum'а подобное не могло проскакивать. Ложь номер два: Цитата: Разница в архитектуре - у Агнитум -протокольная, т.е. работа идёт только по тем протоколам которые ПОДДЕРЖИВАЮТСЯ ЯДРОМ ФРИВАЛА, а у Сайгейт используется метод ФИЛЬТРАЦИИ ПАКЕТОВ, он ПРИНЦИПИАЛЬНО ПРОТОЛЬНО-НЕЗАВИСИМ И ЕГО ТОЧНОСТЬ РАБОТЫ ПРИМЕРНО НА ДВА - ТРИ ПОРЯДКА ВЫШЕ. ... Разница в том, что протокольно-зависимая система работает через драйвер контролируемого протокола, в отличии от неё, пакетная система контролирует непосредственно трафик на сетевом оборудовании используя как его драйвера, так и собственные низкоуровневые драйвера. Таким образом эта система контролирует ВЕСЬ трафик, а не его часть, как протокольная, для которой предварительным фильтром ЧТО ИМЕННО контролировать служит стек (реализация) протокола. Это и увеличивает надёжность пакетных систем, хотя и значительно усложняет их реализацию. | Наукообразный бред. Открою тайну, про которую можно почитать в открытом описании SDK Outpost Firewall. Любые перехватчики (файрволы и не файрволы) сетевого трафика в Windows могут работать на двух уровнях: 1. уровень прикладного API: код перехватчика "вставляется" между драйвером TCP/IP и приложением, перехватывая обращения приложений к сетевому сервису, типа connect(), send() и т.д. Далее это я буду называть "прикладной уровень" 2. уровеь API сетевого адаптера (NDIS): перехватчик "вставляется" между драйверами протоколов (TCP/IP, NETBEUI и т.д.) и драйверами сетевых адаптеров, перехватывая обращения драйверов протоколов к адаптером для посылки и приема сетевых пакетов. Далее я это буду называть "пакетный уровень". Вариант 1 реализуется через замену winsock.dll (древняя технология, понятная, думаю, всем, но позволяющая контролировать лишь трафик win32 приложений) или через установку перехватчика API более низкого уровн (TDI), для чего необходим специальный драйвер, и что позволяет контролировать всех сетевых клиентов, включая драйвера типа NETBIOS over IP. Вариант 2 реализуется через установку специального Intermediate NDIS driver (не совместимо с ранними версиями NT 4.0 и Windows 95, оставляет свои следы в панели управления, в настройках сети, требует переконфигурации при любых изменениях в конфигурации сети) или через различные полухакерские методы (красиво названные Pseudo-intermediate NDIS driver на сайте pcausa.com). Эта технология позволяет перехватывать любые данные от любых протоколов, за исключением пакетов, передающихся от нашего компьютера к нему же. Для полноты картины надо еще упомянуть, что, начиная с Windows 2000, MS добавила новый API для перехвата IP-пакетов и что есть возможность установить перехватчик внутри Winsock 2.0 (однако эта технология еще более убога, чем замена winsock, хотя позволяет обойтись без замены DLL). Так вот. Все, еще раз повторю ВСЕ, а для тех, кто не понял - ВВВВСССССЕЕЕЕЕ пакетные фильтры для Windows, имеющие правила для разных протоколов, с портами и адресами, работают на пакетном уровне. Я лично, кроме Outpost, видел еще @guard (соответственно, и его потомки от Symantec) и BlackICE. На прикладном уровне работают лишь "псевдофайрволы", позволяющие разрешить или запретить активность отдельных приложений (у Agnitum есть подобный продукт - Jammer 2.0). Возможно, к ним и относится первая версия продукта Seagate. Теперь вернемся к Outpost Firewall. Его пакетный фильтр работает, естественно, на пакетном уровне, благодаря чему он может фильтровать пакеты любых протоколов, а не только IP (однако, эта возможность в оболочке пока не используется). В данном факте может убедиться любой beta-тестер версии 2.0, или лююой пользователь версии 1.0, у кого остался плагин debug.dll, который свободно скачивался с сайта Agnitum. Открываете закладку packets в debug, ставите галочки "Write to log" и "Dump packets" и наблюдаете в логе пакеты любых протоколов - IP, ARP, IPX, NETBEUI. Если в системе установлены Intermediate driver'в (например - драйвер ICS в Windows 2000 до SP2 или драйвер packet scheduler в XP) то Вы увидите, как каждый пакет пережается по цепочке драйверов, появляясь в логе несколько раз с разными номерами Bind (в случае ICS там будут порты с адресами меняться). На этом же уровне работает детектор сканирования и некоторых атак. Дополнительно к этому, у аутпоста есть перехватчик прикладного API (TDI). Он обеспечивает генерацию правил пакетного фильтра для приложений и дополнительный режим "обучения" для исходящих TCP-соединений (остальное "обучение" работает на пакетном уровне). На этом же уровне работает перехватчик потоковых данных, который обеспечивает контроль и модификацию прикладных протоколов - HTTP, почта и т.д. Цитата: Если у нас обнаружилось столько дыр и глюков с новым аутпостом, как же его тестировали в течение как минимум полугода?! | Сколько "столько" и каких дыр и глюков? Глюков в релизе не так много, а вот "дыр" за все время было обнаружено крайне мало. Особенон в пакетном фильтре. Outpost не более глючен, чем любой другой продукт данного класса (не буду настаивать на 100% безглючности, таких программ не бывает в принципе). Цитата: Почему же не выпустили до сих пор никаких исправлений?! Раньше, помню, на первой версии, обновления были довольно часты по началу.... Так и будем сидеть на дыряво-глюкавой версии пока не соизволят через год....или два.... выпустить такую же глюкаво-дырявую версию с номером 3...4... и т.д. ?!... | Вторая версия аутпоста вышла чуть больше недели назад. Мы работаем в обычном режиме. Будут апдейты по мере исправления найденных ошибок. Цитата: Почему не привели плагины в соответствие с новым аутпостом? Видимо, никому все это и не надо. | О каких плагинах идет речь? Все плагины в поставке должны работать. Плагины сторонных разработчиков обновятся после того, как эти разработчики сочтут нужным это сделать. SDK для версии 2.0 лежит на сайте и доступно всем. Цитата: Глупые иностранцы и за все это заплатят, а "умным" русским с ворованными сериалами никто не станет помогать. | Да, русским с ворованными серийниками не будут помогать. Берите бесплатную версию или записывайтесь в бета-тестеры Цитата: SPF PRO не зря реально требует от 192 Mb ОЗУ и системы не ниже Windows NT4 SP4. Да, он будет работать и на Win9x/ME, но вследствии полного отсутсвия поддержки системы безопасности Windows NT/2000/XP его реальная эффективность составит не более 25- 30% | Ни одна из технологий не требует большого количества ресусров для работы. Ресурсожоркость - это исключительно заслуга криворуких программистов или немерянной красивости и навороченности оболочки файрвола. Outpost Firewall работает на 100% как на потомках NT, так и на потомках Windows 95. На Windows 95 original не будет работать контроль изменения DLL и приложениях, и усе. Цитата: А банерорезки есть и от независимых разработчиков, в том числе и бесплатные. Любые комбайны "всё в одном" значительно хуже по реализации своих функций, чем специализированный продукт, т.к. приходится идти на слишком много компромисов при их разработке... Это я твёрдо утверждаю как опытный инженер. | "Комбайны все в одном" лучше "сторонних" баннерорезалок хотя бы потому, что могут работать прозрачно, не требуя настройки прокси в приложениях, за счет работы в ядре. А так: кто лучше фильтрует, кто хуже - зависит только от настойчивости программистов. Не буду настаивать, что лучше всех Outpost - тут уж кому что нравится. С уважением, Anatoly Skoblov, разработчик ядра Agnitum Outpost Firewall | Всего записей: 1 | Зарегистр. 30-05-2003 | Отправлено: 13:26 30-05-2003 | Исправлено: Anatoly_Skoblov, 13:27 30-05-2003 |
|