Защитни стени - въпроси, мнения, предимства, недостатъци

[draco_volans]

Ахаааа, tanganika, ахахахахааааа...щом казва......draco_volans, попитай tanganika, аджеба през кой порт комуникира Outpost Firewall....

 

Аз лично не съм се интересувал през кой порт става. Просто не съм обръщал внимание... Все пак понякога (обикновено към обяд), иконата на програмата в трея се променя за кратко (1-2 min max). Като хвърля един поглед на Product Internal Events, виждам че има отбелязано: "12:00:00 News update started; 12:00:34 News update finished". Предполагам, че тогава се комуникира нещо, ако се комуникира... Не съм обръщал внимание в Process Explorer, дали се появява допълнителен процес и кой порт точно ползва... Предполагам, че tanganika знае, тъй като имаше един етап, през който тестваше програмата... За мен това не е особено важно, на фона на достата други неща, които не знам...

[Night_Raven]

Ами от този коментар и следващия.

Тествах ги на виртуална машина и не срещнах описаните проблеми.

[draco_volans]

Тествах ги на виртуална машина и не срещнах описаните проблеми.

 

И аз се надявам да ги няма и да е било нещо инцидентно... Не че скоро ще пробвам стената де, чак на следващия преинстал, но все пак, мълвата за проблеми влие лошо на нагласата ми... Ако някой друг е тествал PrivateFirewall 6.1 + avast! Home на истинака машина, моля също да сподели. Благодаря за отговора Night_Raven.

[avalon72]

И аз се надявам да ги няма и да е било нещо инцидентно... Не че скоро ще пробвам стената де, чак на следващия преинстал, но все пак, мълвата за проблеми влие лошо на нагласата ми... Ако някой друг е тествал PrivateFirewall 6.1 + avast! Home на истинака машина, моля също да сподели. Благодаря за отговора Night_Raven.

Аз! . Тествах преди две-три седмици PrivateFirewall 6.1 + Avast! Antivirus Pro. Нямаше някакво видимо противоречие между тях, докато след 5-6 дни Windows XP Pro SP3 ми изкара съобщение, в което казваше, че аваста му докладвал за остаряла вирусна база-данни. Дотогава не бях обърнал внимание, че е спрял да се ъпдейтва. Уж имаше всички права за достъп до интернет, а ъпдейта му беше спрян от стената явно - не знам какво се беше объркало, допускам че причината е по-скоро в самия уиндоус. Трябваше да го ъпдейтвам ръчно и ставаше, но за какво ми е така, като опцията за автоъпдейт винаги е включена? Не можах да разбера причината и върнах Outpost Firewall Pro - най-новата версия. Тя си работи сега без проблем, но забелязах, че се беше появил известен проблем с предишната Outpost - Spyware Database на главния прозорец светеше в жълто и не можеше да светне в нормалното зелено, въпреки че уж я ъпдейтвах ръчно. Така че ми се струва, че нещо се беше объркало в уиндоуса, но взе че се оправи после - сега пак няма проблеми със стената на Agnitum.

[nikikom]

Някой може ли да обясни Stateful опцията в Outpost Firewall Free 2009? Чел съм някои неща за Stateless и Stateful защитни стени, но доста малко.

Благодаря предварително.

[liver]

Аз! . Тествах преди две-три седмици PrivateFirewall 6.1 + Avast! Antivirus Pro. Нямаше някакво видимо противоречие между тях, докато след 5-6 дни Windows XP Pro SP3 ми изкара съобщение, в което казваше, че аваста му докладвал за остаряла вирусна база-данни. Дотогава не бях обърнал внимание, че е спрял да се ъпдейтва. Уж имаше всички права за достъп до интернет, а ъпдейта му беше спрян от стената явно - не знам какво се беше объркало, допускам че причината е по-скоро в самия уиндоус. Трябваше да го ъпдейтвам ръчно и ставаше, но за какво ми е така, като опцията за автоъпдейт винаги е включена? Не можах да разбера причината и върнах Outpost Firewall Pro - най-новата версия. Тя си работи сега без проблем, но забелязах, че се беше появил известен проблем с предишната Outpost - Spyware Database на главния прозорец светеше в жълто и не можеше да светне в нормалното зелено, въпреки че уж я ъпдейтвах ръчно. Така че ми се струва, че нещо се беше объркало в уиндоуса, но взе че се оправи после - сега пак няма проблеми със стената на Agnitum.

Първо стената ли си инсталирал или антивируса? При мен са активни, само ако инсталирам стената първо, а след това антивируса. При наличие на антивирус, outpost винаги изключва 2-та си модула( web contol\anti-spyware) заради възможен конфликт. Яено се застъпват функциите им...знам ли

[avalon72]

Първо стената ли си инсталирал или антивируса? При мен са активни, само ако инсталирам стената първо, а след това антивируса. При наличие на антивирус, outpost винаги изключва 2-та си модула( web contol\anti-spyware) заради възможен конфликт. Яено се застъпват функциите им...знам ли

Първо мисля, че съм инсталирал антивирусната, но от това не съм забелязал проблеми. Не е имало такива между avast! и Outpost Firewall Pro. Имаше по едно време известни проблеми със самия уиндоус, които оправих и според мен това е било причината. Сега всичко работи както трябва. Удължих му живота - тъкмо му се канех да му резна главата.

[Night_Raven]

Някой може ли да обясни Stateful опцията в Outpost Firewall Free 2009? Чел съм някои неща за Stateless и Stateful защитни стени, но доста малко.

Благодаря предварително.

Stateful Inspection в Outpost Firewall активира е функиция, която активира динамично филтриране на пакетите. Това кара Outpost Firewall да взема позволява или забранява всички следващи вързки от/до всички портове до същия IP адрес, веднъж като даденото правило със Stateful Inspection е било задействано.

Полезно е основно при програми, които ползват една основна връзка за контрол, а останалите й са произволни. Това са основно FTP програми и програми за разговори и комуникация.

[stambet0]

Night_Raven, тъй като забелязах,че ползваш( или си ползвал) Kerio Personal Firewall, би ли ме посъветвал дали правилата, които съм задал, имат нужда от промяна.Реших да премина на нея тъй като е лека и не натоварва системата ми, тъй като си е слабичка. Но тъй като правилата трябва да ги създавам сам и се тревожа да не съм объркал нещо и това да ми коства други проблеми. Ето и шот на сегашните ми настройки:

[Night_Raven]

Хм, явно не ползваш въобще Internet Explorer, защото ако го ползваше, щеше да установиш, че в момента не отваря нищо.

Когато създаваш правила, тяхната поредност е важна. Когато дойде пакет за филтриране, стената трябва да провери всичките си правила, за да види дали въпросният пакет отговаря на някое от тях, за да знае как да постъпи. Тази проверка се извършва отгоре надолу. Например имаш да речем 3 правила за Internet Explorer:

1) да разрешава достъп навън по TCP до порт 80;

2) да разрешава достъпа навън по TCP до порт 443;

3) да забранява всякакъв достъп.

Ситуация №1: искаш да се свържеш до даден сайт по HTTPS (порт 443). Стената получава пакет по TCP, който излиза навън и се е запътил до порт 80. Тръгва по списъка и търси правила за Internet Explorer. Стига до правило 1 и се спира, защото е за същата програма, но то не отговаря на изискванията - посоката и протоколът са същите, но портът е различен. Стената продължава надолу по списъка и достига правило 2, което отговаря точно на изискванията. Стената поглежда какво действие трябва да извърши, вижда, че трябва да позволи заявката, и го прави. В резултат на което ти си отваряш страничката и си щастлив.

Ситуация №2: браузърът прави заявка навън по TCP до порт 3344 (произволно избран порт). Стената получава пакет по TCP, който излиза навън и се е запътил до порт 3344. Тръгва по списъка и търси правила за Internet Explorer. Стига до правило 1 и се спира, защото е за същата програма, но то не отговаря на изискванията - посоката и протоколът са същите, но портът е различен. Стената продължава надолу по списъка и достига правило 2, което също не отговаря на изискванията. Продължава надолу и стига до правило 3, което я кара да филтрира пакета и да блокира връзката.

 

Както си поставил пълно блокиращо правило за IE на първа позиция, стената винаги ще изпълнява първо него и няма да има шанс да достигне до следващите. Така IE никога няма да ти отвори страница.

 

А колкото до останалите правила, ползваш ли DNS Client услугата или си я забранил?

[stambet0]

О, да, не съм погледнал изобщо.Да, от доста време не използвам IE, свикнал съм много с Opera. Благодаря за подробното обяснение, което наистина ми изясни доста от нещата. Впрочем. тъкмо щях да те питам за тази услуга и от каква е нейната задача. Надявам се, че не те натоварвам допълнително, но просто се уча в момента. Потърсих из Интернет информация за тази услуга. Намерих доста статии, но на английски. В голяма степен успявам да ги разбера, но ще се надявам и ти да ми помогнеш, като разясниш някои неща за нея.

[Night_Raven]

Не стана ясно дали е разрешена или забранена.

[stambet0]

Разрешена е.

[Night_Raven]

Тогава...

 

В първото ти правило е редно да зададеш конкретен IP адрес за свързване. Това трябва да е DNS сървърът ти. Ако ползваш рутер, ще е IP адресът му, а ако не ползваш, ще е от доставчика. Освен това това правило трябва да е само за svchost.exe, а не за всяко приложение.

DHCP правилото ти също трябва да посочва само адреса на DHCP сървъра и трябва да е само за svchost.exe. Ако не ползваш DHCP услуги (на доставчик или рутер), а си въвеждаш данните ръчно, можеш дори да забраниш трафика в правилото.

В правилото за LSA Shell (Kerberos) можеш директно да блокираш достъпа, защото ме съмнява да ползваш подобни услуги, но ако ползваш, не го пипай. Ако не си сигурен, можеш просто да махнеш отметката, за да го деактивираш и така ще разбереш, когато се наложи такава връзка.

Правилата до порт 389 за userinit.exe, winlogon.exe и lsass.exe + правилото за lsass.exe до всякакви адреси и портове (над правилото за userinit.exe) могат да са блокиращи, освен ако не ползваш отдалечен достъп през Remote Desktop функцията. Дори можеш да блокираш всякакъв достъп точно на userinit.exe, winlogon.exe, lsass.exe, explorer.exe. Това са файлове, които при един обикновен потребител случай нямат работа из интернет.

Правилото за Microsft-DS е за споделяне на файлове по LAN мрежа. Ако си в такава мрежа, остави правилото. В противен случай можеш да блокираш трафика по него.

За следващото правило бих те ударил през ръцете, ако бях при теб, докато си го създавал. Как можеш дадеш пълен достъп точно на svchost.exe до целия интернет? Веднага трий правилото!

Правилото за SSDP в момента е безсмислено на фона на предното, но след като го премахнеш (предното) вече няма да е. Можеш спокойно да го оставиш така. SSDP не ти трябва. Още по-добре би било дори да спреш съответната услуга в Windows.

Reply from NTC server го остави според мен. Това ти е услугата за сверяване на време (Windows Time), която поне аз считам за полезна. Ако ти се занимава, можеш да установиш към кой точно сървър се свързва svchost за това и да въведеш конкретен IP адрес, но не е задължително.

Правилото за Opera е наред. Може обаче стената да те пита понякога за връзка към друг порт при опит за сваляне от някои FTP сървъри, така че ако искаш, можеш да добавиш и портове 1024-65535 към вече наличните 21, 80 и 443. Не е нужно обаче.

За Skype TCP правилото ти е прекалено хлабаво. Укажи отдалечени портове 80 и 1024-65535, а не всякакви. И измести блокиращото правило за Skype под правилото му за UDP.

Към първото правило за uTorrent можеш да добавиш и порт 443, но не е задължително. Гледам, че входното ти правило е до порт 5554. Това съвпада с моя отворен порт, така че е редно да отбележа, че това входно правило трябва да води до порт съвпадащ с порта, който е указан в самата uTorrent. Т.е. или укажи в uTorrent изрично този порт (ако не си) или промени в стената порта с този от uTorrent.

Изходното UDP правило за uTorrent не е нужно да води и до портове 53 и 80. Може само до 1024-65535.

За Internet Explorer важи това, което казах за Opera.

За ALG можеш да ползваш само 1 правило, което да забранява целия трафик.

Отново имаш ненужно и хлабаво правило за svchost. Трий!

Останалите правила (с изключени на тези за Half-Life) са наред. Можеш да добавиш за всяка една програма и по едно пълно блокиращо правило, както си направил с uTorrent например. Аз обичам да добавям такива, след като вече съм разрешил нужния достъп на дадена програма. Ми, така де, вече има нужния й достъп, следователно не й трябва нищо друго. Само гледай да са след всички разрешаващи правила за съответната програма.

За Half-Life не знам точно как трябва да изглеждат правилата, защото не знам кои портове ползва.

[stambet0]

Много благодаря за обърнатото внимание. Вече не са ми толкова мътни тези неща. Дам, за svchost.exe наистина бях задал "уникално" правило. Следвах съветите ти и направих новите настойки. Отново ти ги пращам да ги видиш, за всеки случай да не съм изтървал нещо.Отново благодаря за помощта.