Пара слов про windows firewalls
Sep. 1st, 2007 05:31 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
iskatel К сожалению, из-за того, что до сих пор некоторые нужные программы есть только только под винду (поручик, молчать! (с) , приходится дома держать оную. А посему вопрос про нормальный виндовый файрволл был, есть и будет актуальным. Особенно потому, что нормального, обрабатывающего всё вплоть до 7-го уровня файрволла + разрешения для программ и при этом надежного, не создающего проблем и не глючащего просто нет. По сей день, при всем обилии оных. Так что любой выбор - компромисс.
- встроенный файрволл winXP sp2.
Примитивный пакетник с очень ограниченными возможностями.
Приложения контролирует только "в теории". На практике такого контроля нету. Не падает, зато в случае флуда запросто может отъесть 100% процессорного времени. Молча.
- Comodo FW Бесплатный. Зело хвалят на форумах. Призовые места по anti-leak . 2.4.18...
попробовал Комодо. Про интерфейс промолчу, ощущения.. брр. Попсовость. ну да ладно, мы не привередливые.
странность выбора "известных" ему приложений. (есть режим пускать известные проги в сеть без вопросов.) Т.е. по каким признакам они известны - непонятно. И соотв. останутся ли известными и доверенными после прицепления к ним трояна - непонятно тоже.
Правда, это как раз отключаемо.
А дальше хуже.
Пишу для проги правило - выход разрешен по портам a,b,c .. ну вот для почтового клиента 25, 53, 110, 143, 465, 587, 995....
Логично? логично. Но не для Комодо.хлоп! файрволл выдает - попытка соединения на порт 53, днс -запрос! стоит разрешить, и появляется
правило "разрешить всё". убираем, заодно убираем слежение за днс-запросами (есть такой пункт). теперь начинаются вопросы по поводу 110 порта.. то же с ssh клиентом, то же с icq клиентом - вобщем, со всеми программами, для кот. я написал правила, отличные от "разрешить всё"
В общем, если проге разрешить всё - то оно работает. Если нет - начинаются проблемы.
К сожалению, при повторной установке и написании правил... сей файрволл просто упал, при этом трафик мог проходить в обе стороны. Так быть не должно !
Сырой, глючноватый файрволл. Антиутечки ? Ну разве что в тестах..
- Jetico. 1-й бесплатный, 2-й платный, но ломается в помощью 75 -> eb (в 2007-м году! смех.)
чемпион по тестам anti-leak. Заслуженно носит звание самого продвинутого по части возможностей персонального пакетного фильтра для windows.
===================старая заметка про 1-ю Джетику=============
Итак, jetico от 30.12.2004 , 1-й релиз. v. 1.0.1.47
память - жрет мало, 1.5-6.5М + драйвер. Просто отлично.
процессор - мало. Хорошо.
Защиты от прибивания процесса нет.
Функционал, как и ранее , намного превосходит все аналоги -
можно прописывать для приложения разрешение на доступ к сети вообще,
отдельно на входящие и исходящие соединения,
на всё-хост-сеть-протоколы-флаги! Tcp
пакетные правила - отлично по возможностям, обработка фрагментированных
пакетов и вообще по всем флагам, конечно, tcp/udp stateful.
Уникальная возможность для виндового фильтра.
(фрагменты кое-как обрабатывает RRAS,
но то калека по остальным возможностям) .
Нормальные логи.
умеет контролировать локалхост.
Конечно же, контроль при запуске программ из других процессов
(и самих программ по хэшу).
логика построения правил - труднопонимаемая, но можно разобраться.
настройки по умолчанию - кучка лишнего, надо достраивать и чистить.
Итого - настройки по умолчанию неудовлетворительны.
Правила для приложений. Вот тут и начинаются проблемы. Да, возможности отличны -
для приложениЯ можно полностью описать правило разрешения/запрета,
- но, как пример -
при запуске проги atomicsync.exe делаю правило
(вместо предложенного на tcp 37 host x.x.x.x делаю на порт 37 любой хост),
оно отображается в таблице правил, но при след. запросе приложения
в сеть - опять запрос на разрешение - создание правила!
т.е. правило некорректно отрабатывает.
Замечено не 1 раз, увы.
В то же время, бОльшая часть правил отрабатывала нормально.
Это - самый существенный недостаток.
Да, некорректно отрабатываются разрешения для traceroute - по умолчанию
блокировка, необходимо писать доп. правило для пакетов. ТО ли финны
про trace забыли, то ли просто забили.
2-я проблема - зависание приложений при невыдаче им доступа в сеть вообще.
Я понимаю, что это уникальная возможность - не давать приложению работать с
сетью вообще (даже обнаружить!)
, но что-то тут пока недоделано. Причем некоторые процессы сразу и не снимешь,
и не только доморощенным таск манагером. (Примечание. в Джетике 2 то же самое.)
И, наконец, удаление встроенным анинсталлером прошло только со 2-го раза,
с подвисаниями в 1-м случае, после перезагрузки.
Но это я могу считать несущественным.
==================================================================
jetico 2.0.0.34 - 27-31/8/2007
Возможностей еще больше.
Обучаемый фильтр - только по программам, пакеты по протоколам
(как он их понимает) режет молча, пишет - если сделать правило - в лог.
для PPTP понадобилось сделать 5(!!) правил, из исходного ~~ 10 шт. потом урезал до 4.
При этом отмечена некорректность работы tcp/udp stateful для pptp -
пришлось писать отд. правила без stateful .
Потом начались проблемы с приложениями - пускало, делал правила.. хлоп!
перестало пускать вообще.
старая проблема, отмеченая мной в 2004-м, с
"И, наконец, удаление встроенным анинсталлером прошло только со 2-го раза,
с подвисаниями в 1-м случае, после перезагрузки. "
осталась - точно так же ведет себя 2.0.0.34.
сервис убивается без проблем под правами Админа. (что плохо). Могли бы сделать защиту за 3 года развития..
И если логику правил через некоторое время понимаешь, то логику постоянных глюков - нет.
Сыроватый, глючный, труднопонимаемый файрволл. С отличным потенциалом, который так и не довели до ума за последние 4 года.
Kerio personal firewall, ныне Санбелт. 4.22 - Керио, последний 4.5.916 Санбелт.
К Керио были кряки, с Санбелтом это не проходит, там хитрая онлайн проверка. Но и в бесплатном режиме он вполне нормален.
Очень удобен. Написание правил логично и удобно, правила для приложения по портам работают так, как и написаны. Не замечен в создании проблем другим программам класса рипперов.
по тестам anti-leak имеет скромные места в середине, но - уж что имеем.К сожалению, пропускает в сеть приложения после их обновления (те. изменения md5!). - при выключенном Application Behavior Blocking
что крайне плохо. Что интересно - не всегда пропускает. Механизм возникновения такой вот проблемы пока неясен. Глюки-с. Ситуация вопроизводима на 4.5.916.
При включенном Application Behavior Blocking - следит за изменением exe-шника приложения.
Правда, в этом случае слежение работает за всеми приложениями, что запускаешь - но это все ж лучше, чем ничего.
По крайней мере, предупреждение получаешь.
Иногда падает, впрочем, реже других. По отзывам, может часто падать под большой нагрузкой (раз в день и тд.) У меня падал весьма редко. Но я отключал ненужные фильтры типа фильтрации http контента.
Сервис прибить чуть сложнее, но можно. После чего трафик.. спокойно ходит в обе стороны.
Блокировка трафика при старте ОС есть (ну это у многих есть).
В общем, неплохой файрволл. Но стабильность могла бы быть повыше.
Kerio server firewall, заброшенный 2 года назад (1.1.2-1.1.6beta), ныне (по слухам) снова выходящий как sunbelt.
Сделан на основе драйверов от kerio personal. Показал себя очень надежным фильтром - как пакетным, так и по приложениям. Поставил, настроил и забыл. веб-интерфейс, увы, был заточен под ИЕ. Дорог, но были кряки. Тк. серверный, то в принципе не имел всплывающих обучающих окон с вопросами - только логи. 1.1.2 имеет проблемы с win2003serv.sp2 .
Outpost. Популярный, с призовыми местами по anti-leak.
Масса известных приложений с готовыми настройками. И по возможностям хорош.
Вот только падает почаще других, почаще того же Керио-Санбелта. После чего трафик спокойно ходит в обе стороны. Также бывают BSOD.
Увы, конфликтует с многими dvd рипперами и не только с ними, с кот. не имеют проблем ни Керио-Санбелт, ни Комодо - а потому ну его нафиг.
Sygate.
Когда -то был неплохим.. имел отличный контроль приложений. (anti-leak)
потом продан Нортону и более как самостоятельный продукт не развивается.
процессор- 3-5% в состоянии покоя (Даже при отсутствии подключения к сети грузит процессор)... весьма ощутимые тормоза системы. На слабым машинах сильно замедлял работу даже при смешных 100 пакетах/сек - возникал сильный джиттер. (udp, voip звонок, трафик 30 Кбит.)
Были отмечены Бсоды на некот. машинах. В целом все же был весьма стабилен.
Тк. не развивается, то ныне малоинтересен.
Выводы. Если вам нужен высоконадежный пакетный фильтр,
персональные виндовые файрволлы вам этого не дадут . (более стабильны серверные файрволлы типа kerio winroute - но это уже совсем другой уровень, и там нет контроля приложений).
Поставьте отдельный комп с unix, или дешевый аппаратный роутер (сейчас почти все dsl модемы имеют функционал роутера - правда, pptp почти никто из dsl не умеет, pppoe - умеют все) с правильной прошивкой - какая прошивка правильна и стабильна, см. в соотв. форумах. Подсказка - открытость и регулярная обновляемость прошивки (фактически там почти всегда урезанный Linux), возможность залезть прямо в правила iptables помимо веб-морды важны и обычно дают ту самую стабильность и хорошую управляемость.
для гурманов и маньков - недорогой asa-pix (можно Pix-frankenstein на самосборке, но там только 6.3.х), или скромную cisco + FW ios (c ебая б/у будет таки недорого).
Если нужен пакетник + фильтр по приложениям, то это всегда компромисс. Высокой стабильностью тут не пахнет ни у кого, есть очень ненадежные, просто ненадежные и чуть лучше среднего.
Выбирайте под свои требования.
Вариант внешний роутер-файрволл + файрволл на виндовой машине будет оптимальным по защите - даже в случае падения виндового сервиса-файрволла правила по входу и исходу для пакетов на 3-м уровне останутся.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2007-09-01 04:04 pm (UTC)no subject
Date: 2007-09-01 04:09 pm (UTC)ну, про то, что Unix /cisco файрволл намного лучше в качестве пакетника я написал, см. заметку.
А вот аппаратные файрволлы в виде дешевых персональных коробок и dsl модемов далеко не всегда хороши, среди них много откровенного дерьма.
no subject
Date: 2007-09-01 04:13 pm (UTC)no subject
Date: 2007-09-01 04:17 pm (UTC)глючная коробка от того же Длинка и младшая модель cisco Pix - оба в отдельном корпусе, оба аппаратные (разумеется, внутри там своя ОС), но разница огромна.
(правда, для Длинков есть другие прошивки, с ними получше.)
no subject
Date: 2007-09-01 04:27 pm (UTC)Я тебе говорю про технологическое решение - а ты гришь "там много глючного".
no subject
Date: 2007-09-01 04:31 pm (UTC)о каком технологическом решении речь?
no subject
Date: 2007-09-01 04:33 pm (UTC)И если среди тех моделей есть уроды - нам то что? Мы же просто говорим о том, какое решение лучше, а не какая моделька на рынке.
no subject
Date: 2007-09-01 04:39 pm (UTC)Решение на базе Unix может представлять собой как отдельный сервер, так и мини-роутер на флешке вместо дисков. И быть разным по уровню надежности.
------
кстати, заметка-то о виндовых файрволлах, где главное даже не пакетник, а контроль доступа приложений в сеть, и именно с этим связаны большинство проблем.
no subject
Date: 2007-09-01 04:45 pm (UTC)Блин, Я САМ не могу найти как куда-нить попасть там, ищешь по менюшкам куда жать и не понимаешь - где нарисованный интерфейс, а где активный элемент. Убивать таких дезигнеров.