размер 210x225, 9.88 kb

Расскажите, пожалуйста, про бесплатные фаерволы, работающие под 64–битной версией семёрки.

На вопрос «а чем тебе не подходит встроенный» могу сразу ответить: в нём нет нормальной блокировки исходящих соединений. «нормальная» значит выскакивал бы попап, спрашивающий пускать ли <…> в интернет с вариантами отвера «да», «нет» и галочкой «запомнить мой выбор». идеальный вариант для меня был бесплатный zonealarm, но он не пашет под семёркой, а их платная версия, что пашет, содержит ещё кучу ненужного говна кроме фаервола.

74 Responses to Расскажите про бесплатные фаерволы

  1. нилпY:

    попробуй комодо

  2. EhzoU:

    Подходящая тема для моего вопроса.

    А нужен ли фаервол если я спрятался за роутером?

  3. BTCOP:

    из соображений паранойи — нужен. а вообще роутер со свежей прошивкой, нормально настроеный — вполне достойная защита.

  4. EhzoU:

    спасибо

  5. Hcolog:

    нилпY: а ты не в курсе, он когда спрашивает пускать или не пускать, суспендит процесс или сразу дропает пакеты?

  6. Hcolog:

    если тебе не важно контролировать исходящие соединения, которые в большинстве случаев разрешены в роутерах, то не очень.

  7. Hcolog:

    перевожу по–русски — он пока я не отвечу запрещает исходящие или приостанавливает программу/трафик, чтобы не приходилось нигде жать «повторить попытку соединения», если я вдруг разрешу.

  8. EhzoU:

    Да у меня их полно, я торренты раздаю.

    Но в целом я понял, из–за роутера на мою машинку вломиться в разы сложней чем если бу у меня был прямой линк.

  9. BTCOP:

    в роутере бегает маленький специализированнный линукс. конечно он не идеален, и иногда (хотя документально я этого не подтвержу) в них находят некритичные дыры. ну должны находить — куда без этого. далее производитель фиксит это новой прошивкой и вуаля. а в целом, если у тебя есть настолько матерый и злобный враг, что порвет роутер, то тебя, я полагаю и файрвол на компе не спасет.

  10. Hcolog:

    ну, я тоже торренты качаю, это не важно. все эти фаерволы контролируют по–умолчанию процессы, т.е. ты разрешил мюторренту быть сервером и заходить в интернет, и всё ок. конкретно по соединению разрешать было бы идиотизмом.
    вломиться снаружи — да, сложнее. но речь не об этом, а о том, как защититься от, скажем, банального угона аськи из–за запуска (случайного или скрытного, скажем, каким–нибудь скриптом) какой–то программы, которая одним пакетом на известный ей адрес вышлет все твои явки и пароли. у меня так два раза чуть не угнали семизнак и почту на гмыле.

  11. нилпY:

    суть установки файрвола еще в том, что кроме входящих атак есть банальные трояны, запустив который, сам ты, в общем, ничем (кроме файрволла) не можешь помешать ему отправить данные твоей кредитной карты или закачать гигабайт–другой вареза для временного хранения. Плюс, иногда удобно поблочить какой–нибудь навязчивый софт, который ну никак не может обойтись без какой–то ненужной деятельности в сети.

  12. нилпY:

    суспендит, не дропает

  13. Hcolog:

    нилпY: спасибо. сейчас буду пробовать.

  14. EhzoU:

    Вот и я так думаю. От дурака — он меня спасает, а если я трахну любимою девочку лучшего в мире хакера, мне и фаервол не поможет.

  15. EhzoU:

    Может я что–то не так делаю, но у меня за кучу лет что я в интернете ни разу не угнали ничего.

    Вирус ловил, было дело, и сильно ловил. С тех пор у меня висит на компьютере бесплатный корбиновский докторвеб. Но мои пароли никто никогда не пиздил.

  16. EhzoU:

    нилпY: Гипотетически — мне страшно. Но, я либо унылый чувак и не хожу куда не надо, либо, в общем у меня так ничего и не угнали.

  17. Hcolog:

    ну что я могу сказать… молодец ты! у меня тоже, к счастью, ничего так и не угнали. а у меня ни разу вирусов не ловил, дальше что? 😉

  18. Hcolog:

    более того, если я сейчас запущу любую вирусную фигню, не использующую какой–нибудь зиродей–эксплойт, про который никто кроме его нашедшего не знает, то его сначала проверит антивирь, потом спросит uac, и если он захочет вдруг в инет, то я его на*** пошлю и сотру к чертям.

  19. EhzoU:

    Я половины из того что ты написал не понял, ну да *** с ним.

  20. нилпY:

    да у меня, в общем–то, тоже ничего никогда не угоняли. Но если ты не параноик, это еще не значит, что за тобой никто не следит. По крайней мере раньше без файрволла я себя чувствовал как без ремня безопасности, к которому привыкаешь, если постоянно пользуешься

  21. Hcolog:

    зиродей–эксплойт — новая дыра в операционке и/или в каком–нибудь вижном её сервисе грубо говоря позволяющая атакующему творить что хочешь с твоей системой. uac — та штука, которая выскакивает каждый раз, когда ты пытаешься выполнить какое–то действие, требующее администраторских привилегий. если ты её не отключил.

  22. Hcolog:

    блять. «вижный» = «важный». у меня такое ощущение, что пора менять клавиатуру. клавиши сука залипают. может ещё и из–за этого меня не понять как следует.

  23. EhzoU:

    нилпY: Я раньше тоже.

    А потом начал играть в игры и иногда, о боже, пользоваться тренерами. Тут я вирусов и нахватал.

    Но теперь у меня несколько компьютеров, все они за роутером и с антивирусами ( на всякий случай). И я как бы не ссу.

  24. Hcolog:

    нилпY: отличная штука. как раз что надо.

  25. EhzoU:

    вирусы, вирусы, паника 🙂

    Это эффект слепого набора, в клавиши не попадаешь.

  26. Hcolog:

    неужели кийгенами не пользуешься? я тут один недавна запустил, не помню уже к чему, к какой–то софтине, делающей из серии фоток панораму. так вот он пытался соединиться с каким–то сраным сайтом на dyndns–домене, в урле был старый заброшенный адрес почты, который я не потёр переходя на thunderbird, плюс пароль. а я с того варезника годами качал без всякой фигни такого плана. никто не застрахован.

  27. Hcolog:

    а я думал эффект половины бокала пива, пролитого на неё пару дней назад. но может ты и прав!

  28. EhzoU:

    ты читал что я написал? Я сказал, что как раз на тренерах к играм вирусов и нахватал, до этого у меня их не было.

  29. Hcolog:

    я тебе пытаюсь сказать, что если пользуешься варезом, то есть очень много всяких крякалок и генераторов ключей, которые ничего не заражают, ничего не стирают, которые даже всё правильно генерируют и ломают, но каждый раз когда ты их запускаешь, они шлют твои пароли на подставной сайт. в экспи чтобы прочитать конфиг какого–нибудь аутлук–экспресса или миранды никаких админских привилегий не надо и антивирь даже не поперхнётся, когда ты запустишь этот кийген.
    не говоря уже о том, что с помощью софтового фаервола гораздо проще запретить фотошопу пройти на сайт его активации, чем с помощью hosts и, тем более, вебморды роутера.

  30. Hcolog:

    может в w7 и надо эти привилегии, но я как–то сомневаюсь, и проверять, честно говоря, не охота.

  31. EhzoU:

    Ну чо, класс. Который год уже мои пороли рассылаются всему интернету и на*** никому не сдались.

    🙂 Чувааак. Я не говорю что это плохо, но у тебя параноя!

  32. EhzoU:

    У меня не 7, у меня на игровом компьютере стоит виста, а на втором xp.

    7 на третьем, и она мне нравится.

  33. Hcolog:

    хахахах, да как угодно, бро! ))

  34. Xuaona:

    Чюваки! Открою вам один небольшой секрет — виндовый файрвол умеет ВСЁ! Просто вы даже не пытались его настроить. Итак!

    Start –> Control Panel –> Administrative Tools –> Local Security Policy –> Windows Firewall with Advanced Security.

    И там ВНЕЗАПНО оказываются ОЯЕБУ сколько настроек!

    P.S. В «домашней» винде часть настроек переехала в Start –> Control Panel –> Administrative Tools –> Windows Firewall with Advanced Security.

  35. ZibiP:

    Я вот тоже думаю перейти с Norton Internet Security на связку виндовый файрвол + свеженький бесплатный антивирус от MS. Файрволы, в принципе, все примерно одинаково работают, и как выше сказал Xuaona, во встроенном необходимые настройки есть.

    Комодо пробовал — очень назойливый и местами глючный, не запоминает назначенные разным приложением правила.

  36. EhzoU:

    я недавно на свеженький–бесплатный перешел, пока доволен

  37. Hcolog:

    опять ты со своим максимализмом, ну ты хоть прочитай что я там в посте написал мелкими буковками. это, несомненно, сложнее, и поэтому их никто не читает тут, но всё же очень важно. их я кстати именно для тебя написал, потому что знал, что ты сюда такое вот напишешь.
    я в курсе, что виндовый фаервол умеет блокировать исходящие соединения. но мне не хочется создавать правила ручками для каждой фигни, которая захочет вдруг в инет, а их на первых порах бывает очень много, пока всех что нужно не разрешишь и не запретишь.

  38. Hcolog:

    потому что в микрософте в очередной раз отказались от этой фишки, посчитав её ненужной. я статью в technet как прочитал, так очень сильно расстроился.
    единственную прогу, которая умеет грамотно настраивать, как мне хочется, виндовый фаервол в семёрке — это windows 7 firewall control. но она, во–первых, сразу дропает соединения, во–вторых, глючная и недоделанная (нельзя к примеру отключить дурацкий звук оповещения о новой проге), и в–третьих, самые вкусные штуки у них в платной версии, которую я в интернете нигде не нашёл пока.

  39. Hcolog:

    единственную прогу, что я увидел,

    она типа как надстройка. но с вышеперечисленными недостатками.

  40. Xuaona:

    чувак, тебя надо по голове стукнуть, чтобы ты перед тем как писать глупости начал ходить туда, куда тебя отправляют?

    размер 414x461, 17.83 kb

  41. Hcolog:

    и что? вырубил комодо, врубил обратно виндовый фаервол, сделал как у тебя, специально поставил flashget, который до этого вообще на системе не стоял, поставил качать файл, и он начал качать. вот просто так начал. ничего нигде, никаких попапов с просьбой разрешить ему качать, я не увидел. хочешь я тебя кое–куда отправлю? нет, серьёзно. я потратил сейчас 20 минут времени просто так, доказывая себе лишний раз то, что я уже и так знаю.

  42. Hcolog:

    да, на всякий случай, я ставил not configured во всех трёх профилях.

  43. Hcolog:

    лол. то есть это и ничего не должно было делать (признаю, что я почти нихуя не понимаю в этих group policies, ибо почти никогда не нужно было. пару раз только запрещал через них запуск программы–попапа от avira antivir).
    но block/allow делают то же самое, что и block/allow Control Panel –> Administrative Tools –> Windows Firewall with Advanced Security. либо интернет есть, и всё подряд работает, либо не работает всё, к чему нет правил, пока я их вручную не создам.
    что я делаю не так?

  44. Lurizerg:

    Это не надстройка, это использование встроенных в сетевой стек средств фильтрации. Вот здесь утверждается что comodo, который тебе уже советовали, тоже использует WFP. Собственно раньше файрволы были убогими и для фильтрации пакетов какого то хера патчили ndis.sys (хотя и были стандартные средства типа того же packet filtering api в XP). Очень радует, что наблюдается постепенный сдвиг в сторону использования стандартных средств (хотя бы потому, что из–за довольно бездумного патчинга в кернелмоде порядка 50% виденных мной багчеков были от файрволов, еще где–то 40 — от антивирусов).

  45. Repein:

    на этой вкладке показана надстройка из локальных политик безопасности. Она влияет лишь на возможность управления Block/Allow из других мест. По умолчанию там как раз и стоит Not configured, и никакого полноценного режима обучения не добавляет.

  46. Hcolog:

    спасибо, что прояснил. я просто начитался их рекламных брошюр, и поэтому подумал, что она действительно использует каким–то боком виндовый фаервол, а на деле просто общий фреймворк.

  47. Xuaona:

    а что тебе надо? Из твоего поста я понял что тебе надо заблочить сеть по–дефолту. Вот пожалста. Блочь! Потом делай правила. Чё не так? Всё так.

  48. Hcolog:

    нет, ты всё–таки не прочитал. ксерокопирую из поста: «нормальная» значит выскакивал бы попап, спрашивающий пускать ли <…> в интернет с вариантами отвера «да», «нет» и галочкой «запомнить мой выбор».
    т.е. нужно чтобы выскакивало такое вот окошко как только какой–то софт, который я ещё не разрешил или не запретил, попытался бы зайти в инет.

  49. Lurizerg:

    Ну, я знаю только один файрвол который для изменения правил требует от юзера подтверждения через UAC — это встроенный Windows Firewall with Advanced Security. Остальные просто показывают окошко на интерактивном десктопе и называют это типа защитой (хотя может они там еще в ядре как то доставку сообщений контроллируют по своему). Одна надежда на MIC/UIPI — но ставить ФВ только для того чтобы проверить integrity level процессов, показывающих эти окошки сильно лень

  50. Xuaona:

    оок, я видимо чего–то не понял. поищи в гугле, я думаю можно сделать.

  51. Hcolog:

    спасибо, мне не надо уже, радуюсь жизни вместе с комодо. а гуглил я и игрался с встроенным фаерволом до того как писать этот пост вообще.

  52. Hcolog:

    да по большому счёту, если какая–то очень злостная малварь «откроет все шлюзы», то максимум что она увидит — это непреодолимый барьер в виде роутера–сервера на линуксе. а вот там добавить правило уже гораздо сложнее. 🙂

  53. Lurizerg:

    Ну вот не скажи. Если запрос на добавление правила (и иконка в трее) показывается приложением с обычным (medium) integrity level–ом, то у тебя защиты НЕТ ВООБЩЕ. И не стоит себя обманывать — ложное чувство защищенности гораздо хуже, чем полная беззащитность. Роутир–на–линуксе тебя ТЕМ БОЛЕЕ не спасет: 80–й исходящий открыт? 25–й исходящий открыт? Уж не думаешь ли ты, что «очень злостной малвари» нужно что нибудь помимо одного из этих портов, чтобы отослать ЛЮБУЮ информацию с твоего компа? Ну а per–process фильтрации на линуксах и так никогда не было, а уж на роутере ее сделать принципиально нельзя, ибо он совершенно не в курсе какие там процессы крутятся на машине, которая выслала пакет.

    В общем настоятельно рекомендую таки найти процесс, который показывает окошко с вопросом о судьбе неизвестного соединения и проверить его IL (тем же process explorer–ом к примеру). Если там что угодно, ниже High, можешь смело сносить — защиты все равно никакой нет. Собственно, по большому счету ты не туда «копаешь», ибо встроенного виндового файрвола действительно более чем достаточно. Лучше разберись с Software Restriction Policies, заведи для браузера и почтовика два отдельных ограниченных аккаунта и пускай эти самые браузер и почтовик не просто каждый под своим аккаунтом, но еще и в low integrity. Я, если что, этого у себя не сделал, но я и не параноик :–)

  54. Hcolog:

    не могу понять зачем ты мне сейчас всё это рассказал, серьёзно. по–умолчанию в виндовом фаерволе и так все исходящие соединения разрешены, а входящие (т.е. когда на моём компе запущен сервер) блокируются, если не разрешены. линуксовый фаервол имеет несколько открытых входящих портов, на которых работают апач, шелл, сендмайл, фтп, вебмин и торренты. больше никаких открытых портов на нём нет, проброс упнп с моего компа запрещён на уровне упнп–демона на роутере. если что надо, я сам захожу в шелл и пишу соотв. команду в iptables. то есть я не могу оказаться более в жопе, чем окажется средний юзер винды со стандартными настройками фаервола. вот это я имел ввиду своим предыдущим комментарием.
    вариант с созданием правил для всего и вся ручками не подходит по многим причинам. во–первых, можно сделать правило криво, как часто бывает в спешке, и что–то будет долго глючить, во–вторых, мне часто нужно разрешить или запретить программе доступ в инет единожды. ну и просто лень создавать правила для трёх десятков программ плюс каждый раз когда ставишь что–то новое.
    и про netfilter в линуксе. это не имеет никакого отношения к делу, но фильтрация по процессам и юзерам там уже давно появилась, и я её успешно использовал для перенаправления всего торрент–трафика от rtorrent на vpn–соединение, которым имел счастье халявно пользоваться три месяца.

  55. Hcolog:

    в смысле никаких открытых входящих портов нет, а исходящий трафик локалки, как и положено, маскарадится и выпускается.

  56. Xuaona:

    мдя, microsoft пошутили… оок, я дурак, я никогда не блочил исходящие.

  57. Hcolog:

    всё же гляну на параметры этого процесса. как найти этот integrity level в процесс эксплорере?

  58. Hcolog:

    нашёл. это новая колонка. medium там. посмотрю может можно повыше сделать где–нибудь в его настройках.

  59. Hcolog:

    это у процесса cfp.exe, который морда, запущенный от explorer.exe. но есть системный процесс cmdagent.exe, очевидно всем заправляющий, с «system». не знаю вообщем, посижу пока на этом, потом посмотрю чо и как. мне кажется, они не настолько идиоты, чтобы не продумать вариант простейшей атаки через оконные сообщения.

  60. Lurizerg:

    Ты какой то странный. «Средний пользователь» не параноик и подавляющее большинство этих самых «средних пользователей» не ставит дополнительные файрволы только для того, чтобы все осталось на том же уровне, что и по дефолту.
    Роутир–на–линуксе НЕ является дополнительной линией обороны, ибо если ты ходишь на блогу, значит у тебя открыт исходящийY0–й порт, а больше «хитрой малвари» ничего не нужно.

    Что же до фильтрации по имени процесса в netfilter–е, так он традиционно поломан.
    //linux.die.net/manY/iptables
    pid, sid and command matching are broken on SMP
    Я не слежу за всеми релизами линукса, но еще год назад в самом популярном дистрибутиве эта фильтрация все еще не работала — это первая ссылка в поиске. Хотя если ты говоришь, что оно работает, то мне легче тебе поверить, чем качать и проверять актуальную версию.

    ЗЫ: Если тебе нравится iptables, ты определенно оценишь jetico personal firewall 2. Но последний раз когда я его пробовал, он глючил как последняя скотина (именно потому, что использовал патчинг ndis–а вместо нормального PF API/WFP). Было это более двух лет назад, так что вполне возможно с тех пор что то и поменялось.

  61. Hcolog:

    да мегаобидно на самом деле, что они не сделали такой вот функционал встроенным. им почему–то кажется, что юзер не может без помощи мегаспециалиста определить давать ли программе freepornvideo.exe, запущенной автораном с заражённой флешки, доступ в интернет.

  62. Hcolog:

    спиздел про pid–match, делал на самом деле по owner. немного переработал скрипт отсюда. вроде работало.

  63. Lurizerg:

    Какой авторан с зараженной флешки? Ты точно использовал флешки в висте/вин7

  64. Hcolog:

    это вариант примитивного сценария, когда запускается что–то, что бы ты не хотел чтобы запускалось. для меня он нелепо звучал и во времена экспи, потому что первым делом отрубал авторан отовсюду, но для многих нет.
    чтобы он звучал менее нелепо и про флешки, можно перефразировать немного иначе. допустим, ты юзаешь портативную версию лисы. после запуска на заражённом компе у знакомого firefox.exe заменяется на что угодно. что происходит когда ты запускаешь файл в следующий раз? правильно! что угодно, в т.ч. слив всей конфиденциальной фигни куда угодно.

  65. Lurizerg:

    Узнать какому процессу принадлежит можно при помощи spy++. Он есть в Visual Studio, где достать его отдельно — не знаю.

  66. Lurizerg:

    «Узнать какому процессу принадлежит ОКНО» конечно же

  67. Hcolog:

    да можно и через тот же процесс эксплорер, через bring window to front нащупать.
    cmdagent.exe — сервис, без окон. cfp.exe — морда, ей принадлежит окно настройки. кому принадлежат окна с вопросом разрешить/запретить — не знаю, походу морде. проверю завтра.

  68. Xuaona:

    ну и что? ты же разрешишь ff портативному в инет лазать (:

  69. Hcolog:

    вот именно, так мне с виндовым фаерволом и наступила бы крышка. а если фаервол грамотный (к примеру, зоналарм так раньше делал — насчёт комода не знаю, надо будет проверить), то он скажет, что файл поменялся с момента предыдущего запуска и спросит заново.

    ну и версий с флешкой тоже может быть тонна. представь себе вариант когда не ты заражён, а к тебе за комп садится клиент (девушка, бабушка, дедушка, и т.п. — вообщем кому не откажешь) с портативным софтом, не обязательно браузером, но которому достув в инет нафиг не нужен.

  70. Hcolog:

    а, да, кстати проверил работоспособность iptables по фильтрации по юзерам и процессам — она действительно поломана на многоядерных системах. но на одноядерном селероне с ubuntu 7.04 работала вполне.

  71. Xuaona:

    у меня для всех остальных включен гостевой акк, мне насрать на то, что они под ним делают (: в любом случае я любого зловреда руками придушу, он и пискнуть не успеет.

  72. Hsaron:

    господа профессионалы, а не подскажете где можно внятно почитать про обсужденное выше, включая тонкости, связанные с настройкой политики безопасности в семерке?

  73. Lurizerg:

    Вот можно немного почитать чего делают профессионалы. Стоит обратить особое внимание на подраздел «Do–It– Implementing Privilege Separation»

  74. Hsaron:

    о! спасибо! похоже это то, что надо

Добавить комментарий

Ваш e-mail не будет опубликован.