Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Jetico Personal Firewall

Модерирует : gyra, Maz

Widok (30-03-2009 18:36): Лимит страниц. Продолжаем здесь.  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

   

lapi



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Jetico Personal Firewall
http://www.jetico.com/jpfirewall.htm
В настоящее время это один из наиболее перспективных и динамично развивающихся персональных брандмауэров. Гигантское количество настроек при правильном и вдумчивом подходе обеспечит потрясающую защиту вашего компьютера.
Однако не надейтесь на лёгкую жизнь - в большинстве случаев Jetico оставит вас один на один с тонкостями сетевых протоколов...
 
Upd: В последнее время новых версий JPF freeware v1.0 не выходит, благо все (или почти все) баги в нем вычистили.
 
Upd2: Внимание! К сожалению, вторая версия программы (JPF2) позиционируется как коммерческая, т.е. не бесплатная.
Тема в варезнике посвящённая второй верии
 
Upd3: Если JPF оказался для вас слишком сложным, попробуйте посмотреть Comodo Firewall.
 
Последняя версия 1.x: 1.0.1.61 (19 июля 2005)
http://www.jetico.com/jpfwall.exe
 
Текущая версия 2.x: 2.0.2.9 (23 марта 2009)
http://www.jetico.com/jpf2setup.exe
 
Русификация версии 1.0.1.61 с установщиком (19 июля 2005):
http://artlonger.narod.ru/jetico.zip (35 кб)
Если что, качать браузером. При обновлении версий ссылка не изменяется.
 
PS: В русской версии прикручено выравнивание столбцов по F12.
 
Базовые настройки брандмауэров.
Правила JPF v1
Обзорная статья+принцип по которому фильтруются пакеты/соединения в таблицах Jetico Personal Firewall v1

Jetico 2: типовые правила для VPN-PPTP и VPN-L2TP...
JPF v2 Правила для сервиса svchost.exe

Всего записей: 163 | Зарегистр. 28-09-2001 | Отправлено: 02:49 06-03-2004 | Исправлено: Dimitr1s, 17:52 23-03-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ

Цитата:
made %parent_event%
Ну так, сделана попытка, путём "того то и того то", ни как не значит что событие совершено. Если запретить, Джетика накидает "бряки" на все зависимые и всё ("a Jetico way" ).
 
regboard

Цитата:
Необязательно, можно запустить IE до этого (не нажимая запуска IE). Эксплоид работает не от того, что пользователь жмёт "Start Internet Explorer", а от дыры в IE, чем собственно и пользуется (передает вводимый текст пользователя).  
Об чём разговор то? На второй Джетике вводимый текст ни куда не передаётся и дело до этого не доходит. А первая часть где пользователь давит кнопку и открывает IE, да, не интересует.
Цитата:
OLE(Object Linking and Embedding)
InternetExplorer.Application.1
{0002DF01-0000-0000-C000-000000000046}
 
xxtp://www.pcflank.com/pcflankleaktest/leak1test.php?ID=
d:\test\release\PCFlankLeaktest.pdb
PCFlank Leaktest - Launching IE
PCFlank Leaktest - Entering custom "test" data
PCFlank Leaktest - Viewing test results

Это к чему?

Цитата:
Либо она есть, либо ее нет. Всякие подуровни не воспринимаю.
Именно на уровне и плюс, в отличии от погрузившихся в зависимость от "рейтинга продаж среди домохозяек", полумёртвых, кисов и аутпостов - перспективы есть.

Цитата:
Кста, у винды тоже есть свой "персональный" фаервол. )  
Если уж на то пошло, могу высказать точку зрения, что вообще все фаерволы, антивирусы и прочие "средства", не ст0ят гроша, являются потенциальными генераторами бсодов и лишней нагрузкой на процессор. "Забитая гвоздями" винда, плюс осторожность, плюс ограниченная учётка - всё что нужно для счастья. Но тема то, про сабж.
 
 
 

Всего записей: 1635 | Зарегистр. 02-07-2006 | Отправлено: 20:40 27-02-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Dimitr1s
Цитата:
made %parent_event%
где %parent_event%
Цитата:
inject dll - application injected dll into networked application's address space
create remote thread - application created thread on behalf of networking application
write to other's memory - application wrote into networked application's memory
inter-process call - application performed inter-process call to networked application
parent process - application started networked application

и речь идет не о попытке, а именно о уже свершившемся событии. Т.е. в случае Indirect Access Джетика не перехватывает попытки, а лишь информирует о том, что уже произошло. Применительно к первому событию, например, Джетика сообщает, что приложение А уже внедрило библиотечку в адресное пространство приложения Б. И блокируется здесь, по сути, не само внедрение, поскольку оно уже свершилось, а работа цепочки при обнаружении данного внедрения.
(Справедливости ради, следует отметить, что подобное поведение было в свое время также замечено на Comodo 2.4 при событии OLE Automation. И, тем не менее, существуют HIPS-мониторы, способные грамотно обрабатывать и блокировать подобные запросы без последствий для других приложений. Странно, почему в Джетике не захотели/не смогли сделать это по-человечески... Здесь на память приходит старый анекдот о том, как реагируют на глюк программист и демомейкер: программист всеми силами пытается глюк исправить, чтобы программа работала, как положено, а демомейкер всеми же силами пытается глюк оптимизировать, чтобы он выглядел красиво...)

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 01:12 28-02-2009
regboard



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Об чём разговор то? На второй Джетике вводимый текст ни куда не передаётся и дело до этого не доходит. А первая часть где пользователь давит кнопку и открывает IE, да, не интересует.

 
В том то и дело что доходит. Если процессу разрешить косвенный доступ, что делает эксплоид дальше Джетику не волнует. Не сработает только при запрете на косвенный доступ. Вот только не надо говорить, что запретив косвенный и есть решение проблемы. )  Ведь многие программы без него не работают.
 
 

Цитата:
OLE(Object Linking and Embedding)
InternetExplorer.Application.1
{0002DF01-0000-0000-C000-000000000046}
 
xxtp://www.pcflank.com/pcflankleaktest/leak1test.php?ID=
d:\test\release\PCFlankLeaktest.pdb
PCFlank Leaktest - Launching IE
PCFlank Leaktest - Entering custom "test" data
PCFlank Leaktest - Viewing test results
 
Это к чему?  

 
Это к тому, что проактивка Джетики должна видеть (если она есть).
 

Всего записей: 219 | Зарегистр. 18-04-2005 | Отправлено: 06:14 28-02-2009 | Исправлено: regboard, 06:24 28-02-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ

Цитата:
и речь идет не о попытке, а именно о уже свершившемся событии. Т.е. в случае Indirect Access Джетика не перехватывает попытки, а лишь информирует о том, что уже произошло.
Давай определим, что ты считаешь свершившимся событием, что "считает" Джетика и что на самом деле происходит. Возьмём выше упомянутый PCFlank Leaktest, загружаем в память, выполняем код до момента введения в строку символов и нажатия "Далее>" (можно заранее посчитать хэш, и открыть IE, чтоб не было лишних запросов), происходит Событие: Leaktest пытается передать набранное в строке, через IE, вызывая системные функции, о чём Джетика уведомляет:
   
(запуск дочерних процессов я пропустил, рассмотрим это событие) Можно взять любой анализатор трафика, если есть сомнения. Если бы ты был прав что: "срабатывает она "по факту", когда уже поздно "пить боржом" и "речь идет не о попытке, а именно о уже свершившемся событии.", должна была бы состояться отправка пакетов на www.pcflank.com:80 через iexplore.exe, т.к. этим событие должно завершится. Однако ни чего подобного не происходит, запрос можно держать сколько угодно долго, ни одного пакета не уйдёт. Отсюда вывод: Событие не свершилось, попытка перехвачена Джетикой.
Если под Событием ты имел ввиду, отправку функции или процедуры к исполняемым файлам или в "чужие" сегменты, то значения не имеет на каком этапе сделать перехват, главное что бы цепочка не продолжилась.

Цитата:
Применительно к первому событию, например, Джетика сообщает, что приложение А уже внедрило библиотечку в адресное пространство приложения Б. И блокируется здесь, по сути, не само внедрение, поскольку оно уже свершилось, а работа цепочки при обнаружении данного внедрения.
Тут замечал, когда загружает, а когда стопит до загрузки (правда на старых версиях, как сейчас надо посмотреть как-нибудь), но опять же при запрещении, происходит останов всех вовлечённых, есть время разобраться без последствий и в сеть точно ни чего не сольётся.
 
Всё это ИМХО конечно.
 
regboard

Цитата:
Если процессу разрешить косвенный доступ, что делает эксплоид дальше Джетику не волнует.

Без комментариев.  

Цитата:
Ведь многие программы без него не работают.
Да большинство вредоносного софта, слить информацию не смогут. Нормальным программам запрещать косвенный доступ не к чему.

Цитата:
Это к тому, что проактивка Джетики должна видеть (если она есть).

Чего она должна здесь увидеть:
Цитата:
OLE(Object Linking and Embedding)
InternetExplorer.Application.1
{0002DF01-0000-0000-C000-000000000046}
 
xxtp://www.pcflank.com/pcflankleaktest/leak1test.php?ID=
d:\test\release\PCFlankLeaktest.pdb
PCFlank Leaktest - Launching IE
PCFlank Leaktest - Entering custom "test" data
PCFlank Leaktest - Viewing test results

если можно подробно?

Всего записей: 1635 | Зарегистр. 02-07-2006 | Отправлено: 06:25 28-02-2009 | Исправлено: Dimitr1s, 06:39 28-02-2009
regboard



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Да большинство вредоносного софта, слить информацию не смогут. Нормальным программам запрещать косвенный доступ не к чему.  

 
Вот, мы и добрались до главного. Откуда такая уверенность в "нормальных программах"? Извините, но у меня уверенности нет, я не телепат.
 
 

Всего записей: 219 | Зарегистр. 18-04-2005 | Отправлено: 06:59 28-02-2009 | Исправлено: regboard, 07:08 28-02-2009
Paul68



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Jetico блокирует службу диспетчера подключений удаленного доступа, а также отказывает в доступе к Администрованию (Ошибка 5). Как это исправить?

Всего записей: 500 | Зарегистр. 08-06-2005 | Отправлено: 11:07 28-02-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Dimitr1s
На русский перевод лучше не опираться, т.к. он, как и в большинстве случаев, кривой. Не выполняет, а выполнила, в данном случае.
Цитата:
Отсюда вывод: Событие не свершилось, попытка перехвачена Джетикой.
Отнюдь. В данном случае Джетика информирует о том, что в цепочке обнаружен посторонний объект и блокирует цепочку до вынесения вердикта. (свершившимся событием я считаю сам факт внедрения)

Цитата:
значения не имеет на каком этапе сделать перехват, главное что бы цепочка не продолжилась.
Как раз здесь мы с тобой и не сходимся.
Цитата:
но опять же при запрещении, происходит останов всех вовлечённых
Некузяво это. Согласен, безопасность от этого не страдает, но метод, к-рым это достигается, мне очень не нравится. Грубо и топорно...
 
 
Добавлено:
Paul68
Удали все запреты в Indirect Access Table и Process Attack Table, и потом внимательно отвечай на запросы.

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 12:18 28-02-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
XenoZ

Цитата:
На русский перевод лучше не опираться, т.к. он, как и в большинстве случаев, кривой. Не выполняет, а выполнила, в данном случае.
Я опираюсь не на перевод, а на то, что происходит с исполняемым кодом. К слову, на английский перевод, можно опираться также как и на русский - оба выполнены Jetico, Inc., Address: Innopoli 2, Tekniikantie 14, 02150 Espoo, Finland, мало ли...

Цитата:
Отнюдь. В данном случае Джетика информирует о том, что в цепочке обнаружен посторонний объект и блокирует цепочку до вынесения вердикта. (свершившимся событием я считаю сам факт внедрения)  
Драйвер оперирует функциями, по мере выполнения кода программы, соответственно пропускает или ставит запрет на дальнейшее выполнение кода после вызова определённой функции и чтение/запись из других сегментов. Выше, в примере, если посмотреть логи Джетики, увидим запрос именно Косвенного доступа (Leaktest'а к IE) и при запрещении, блокировку именно в этот момент, а не при попытке уже IE использовать сетевые функции, как если бы ты был прав. То есть Косвенный доступ не выполнен - а блокирован, иначе блокировались бы уже сетевые функции IE (Сетевая активность). Что касается попутной блокировки исполнения сетевых функций всех вовлечённых процессов, тут уже вопрос - нравится или нет, но к безопасности он отношения не имеет (скорее даже усиливает, в какой то степени ), да и перезапустить Джетику занимает несколько секунд.  
По всем остальным событиям Косвенного доступа, блокировка, при запрете, происходит так же своевременно - выполнить код, содержащий вызов сетевых функций, после запрета обнаруженного Джетикой события, программа не сможет.
 
Paul68
Эта служба запускается svchost.exe (с параметрами), начни смотреть от сюда.

Всего записей: 1635 | Зарегистр. 02-07-2006 | Отправлено: 14:56 28-02-2009
Paul68



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
XenoZ
 
 
Добавлено:
XenoZ

Цитата:
внимательно отвечай на запросы.

Простите, между "разрешить навсегда" и "разрешить по шаблону", что выбирать?

Всего записей: 500 | Зарегистр. 08-06-2005 | Отправлено: 15:11 01-03-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Paul68
Если для приложения есть шаблон (таблица), и правила в нем (ней) устраивают, тогда логичнее выбрать "разрешить по шаблону". А вот разрешать или запрещать - выбирать тебе. Могу лишь сказать, что любой запрет в таблице "Indirect Access", особенно это касается системных процессов, может чревато сказаться на дальнейшей работе системы.
 
Добавлено:
 
All
Кстати, для желающих потеститься на уязвимость, есть такой забавный тестик от Comodo:
http://eu2.download.comodo.com/securitytests/CLT.zip
(естественно, что под Комод он и заточен, но тем не менее...)

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 09:45 02-03-2009 | Исправлено: XenoZ, 12:19 02-03-2009
kovleon

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо.
Разрешил всю активность Акелю. Помогло только после перезагрузки(из-за этого не получалось).

Всего записей: 15 | Зарегистр. 15-12-2008 | Отправлено: 10:09 02-03-2009
fbm

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите кто знает. Как в jetico разрешить прием по сети заданий на печать для принтера?  
 
Для этого сейчас приходится переключать в Protocol Table последнее правило "отклонить все" на правило "разрешить все", что не кажется безопасным.  
Пытался методом подбора разрешать различные протоколы из выпадающей таблицы - все бестолку. Есть возможность задать протокол через его номер, но вот какой именно?
 
Jetico первой версии.

Всего записей: 165 | Зарегистр. 04-02-2006 | Отправлено: 11:02 12-03-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fbm
С машин на какой системе (Windows, UNIX...), не проходят пакеты? Как настроена на них передача (может беспроводная типа Wi-Fi)?
Можно попробовать, для начала, снять Stateful Inspection в правиле Allow ARP requests.
Что в логах на запрещающих правилах в таблицах: Protocols Table, System Internet Zone? Вообще, включение и просмотр логов на запрещающих правилах, решают почти все похожие вопросы.

Всего записей: 1635 | Зарегистр. 02-07-2006 | Отправлено: 13:34 12-03-2009
fbm

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dimitr1s
 
1) Все машины под Windows XP, проводная сеть.  
2) В правиле Allow APR requests (в Protocols Table) я не нашел Stateful Inspection (может не туда смотрел или версия другая)
3) С логами на запрещающих правилах в других таблицах не понятно, чем может помочь, если проблема локализована в Protocols Table. В логах на финальное запрещающее правило в данной таблице пишет, что в момент отправления на печать приходят и уходят пакеты по протоколам 0003 и 0004. Делаю разрешающие правила на протоколы с этими номерами - не работает все равно.
 
Кстати Optimal protection из дефолтных настроек имеет ту же проблему.

Всего записей: 165 | Зарегистр. 04-02-2006 | Отправлено: 19:38 12-03-2009 | Исправлено: fbm, 19:41 12-03-2009
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
fbm
Насколько помню, пакеты сначала проходят System IP Table, а затем уже Protocols Table.
В System IP Table перед последним Continue добавь правило Block and Log, а потом по логу разбери, какие правила нужны.

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 21:37 12-03-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fbm

Цитата:
 С логами на запрещающих правилах в других таблицах не понятно, чем может помочь, если проблема локализована в Protocols Table.
Насколько мне не изменяет память, в первой Джетике, Root разветвляется на: Root -> Protocols Table, а так же и на: Root -> System IP Table -> System Internet Zone. Управлять протоколами (запрещение/разрешение) можно как в Protocols Table, так и в System Internet Zone (в System IP Table тоже кстати). Включая в Protocols Table, снизу, "разрешить всё" тем самым Вы разрешаете все пакеты и до правил в System IP Table -> System Internet Zone дело не доходит. Включая обратно "отклонить все", пакеты проходят и могут резаться в этих таблицах.
Цитата:
В логах на финальное запрещающее правило в данной таблице пишет, что в момент отправления на печать приходят и уходят пакеты по протоколам 0003 и 0004. Делаю разрешающие правила на протоколы с этими номерами - не работает все равно.  
Вероятно имеются ввиду Gateway-to-Gateway (GGP) и инкапсуляция (IP in (over) IP), попробуйте создать, если в первой Джетике это возможно, разрешающие правила по указанным номерам протоколов (3 и 4) в таблице: System Internet Zone. Проверьте ещё не заблокированы ли порты 137-139. Ну и логи смотреть в этой таблице тоже.
Цитата:
В правиле Allow APR requests (в Protocols Table) я не нашел Stateful Inspection (может не туда смотрел или версия другая)
В первой Джетике нет такого?
   
Тогда извиняюсь, под рукой нет первой версии.

Всего записей: 1635 | Зарегистр. 02-07-2006 | Отправлено: 21:38 12-03-2009
Brodjga



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Кстати, для желающих потеститься на уязвимость, есть такой забавный тестик от Comodo:  
http://eu2.download.comodo.com/securitytests/CLT.zip  

 
Я вот проверился на КИС 2009. Результат, надо сказать плачевный. Из 340 пунктов - 130 protected. Остальные - увы! Может это тест такой нехороший. Или...? Кто-нибудь проверял Jetico этим тестом? Отпишитесь пожалуйста.

Всего записей: 178 | Зарегистр. 22-09-2004 | Отправлено: 23:23 12-03-2009 | Исправлено: Brodjga, 23:24 12-03-2009
Dimitr1s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Brodjga
Запустил с админ правами, сеть включена, IE полностью открыт. Всё время жал "запретить однократно":


Ничего нового, удалил...

Всего записей: 1635 | Зарегистр. 02-07-2006 | Отправлено: 00:59 13-03-2009
sergeonic

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!  
Прошу помощи! Необходимо заблокировать доступ одной программы (AMS) на следующие IP:
209.160.77.122
80.68.246.200
83.222.23.166
208.186.130.118
При установке программы, она была занесена в "application trusted zone".
Просьба указать пошагово как заблокировать доступ программы к данным IP.
 
Заранее спасибо!

Всего записей: 2 | Зарегистр. 15-03-2009 | Отправлено: 21:35 15-03-2009
GQ



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
1. Открыть правила файрвола
2. Заблокировать программу.
3. ...
4. PROFIT!
 
 
ЗЫ Извините, не сдержался...

----------
But temporary gearbox gremlins on lap eight were.

Всего записей: 1875 | Зарегистр. 10-12-2001 | Отправлено: 22:11 15-03-2009
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

Компьютерный форум Ru.Board » Компьютеры » Программы » Jetico Personal Firewall
Widok (30-03-2009 18:36): Лимит страниц. Продолжаем здесь.


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru