Фаервол и фильтрация (пространные рассуждения)

← →
antonn © (2010-02-23 01:38) [0]

Поставил себе один антивирус, в котором сразу идет фаервол, пленил красивый интерфейс (и вполне информативный) и закончившаяся лицензия на предыдущий антивирь :)
Но вот выяснилось, что во встроенном фаерволе не привычные правила фильтрации, а фильтрация по группа доверия. Т.е. когда программа хочет в сеть фаервол спрашивает "можли ли допустить программу в сеть"? Если можно то программа добавляется в группу (у которой есть доступ к сети) и дальше обращается к ресурсу. Однако дав доступ к vasya.com программа имеет доступ и на vera.net, т.к. она в группе доверенные.
Помоему это дико неверный подход :(
На подобные взгляды были ответы вроде "а зачем вы пускаете в сеть программу в которой неуверены?" и "а большой процент наших пользователей считают такой подход верным". Но помоему это деградация какая-то, а не улучшения... Сижу теперь как мышка - жую кактус и плачу

← →
Германн © (2010-02-23 01:47) [1]

Никогда не доверял продуктам типа "2 в 1".
Поэтому хоть и имею лицензию на Аутпост, но сразу отказываюсь использовать его антивирусные возможности. Больше доверяю DrWeb"у. (Тоже лицензионному).

← →
antonn © (2010-02-23 01:52) [2]

тот фаервол что был у меня до этого не работает с новыми продуктами фирмы, у которой я взял антивирь :) или так - :(

← →
Германн © (2010-02-23 03:06) [3]

> :) или так - :(

Ну ты уж сам разберись. Так или эдак.
Не маленький, поди.

← →
Игорь Шевченко © (2010-02-23 03:44) [4]

antonn © (23.02.10 01:38)

А сайты там нельзя группировать ?

Насколько я помню, COMODO работает по похожему принципу - если ты выпустил программу в сеть, то она может устанавливать соединения с любым адресом.

← →
boa_kaa © (2010-02-23 09:55) [5]

> Игорь Шевченко © (23.02.10 03:44) [4]

не, когда-то может и было так, а щас примерно так:
Программа XXX запрашивает соединение с удаленным адресом YYY на порт ZZZ

вроде как-то так по-памяти
а дальше список возможных действий, в том числе можно добавить программу и в доверенные.

← →
Virgo_Style © (2010-02-23 12:46) [6]

у Comodo есть несколько режимов запроса.
Может спрашивать "пускать или нет" в целом, может и конкретно для каждого адреса.
Правда, этот момент настраивается не отдельно, а вместе с чем-то другим, что не очень удобно.

Но никто не мешает редактировать уже созданное правило.

← →
antonn © (2010-02-23 14:12) [7]

> Игорь Шевченко © (23.02.10 03:44) [4]
>
> antonn © (23.02.10 01:38)
>
> А сайты там нельзя группировать ?

не-а :)

> boa_kaa © (23.02.10 09:55) [5]
>
> Программа XXX запрашивает соединение с удаленным адресом
> YYY на порт ZZZ

и помоему это должно быть в любом фаерволе, с возможностью "разрешить все" отдельной опцией.
Однако ЛК пошла другим путем, http://forum.kaspersky.com/index.php?showtopic=63188 , и не смотря на аргументированные ответы (в том числе не залетных посетителей) ничего не поменялось :(

← →
wl © (2010-02-24 00:47) [8]

а меня всегда беспокоил такой вопрос: если мы разрешим выйти в интернет любой доверенной программе на Java, то мы автоматически, разрешаем его всем остальных программам на джава, так как EXE файл виртуальной машины уже в доверенных.
так ли дело обстоит на самом деле?
тоже самое с питоном, к примеру.

Не пробывал, снес яву после недавнего пролезания вируса ( http://delphimaster.net/view/15-1261482460/ ).
Но попробывал на php, на сайте есть импорт RSS, запустил обновление, антивирь-фаервол уведомил что Apache.exe желает отправить пакет на rr1.mtu.ru (вообще-то это мой провайдер, а rss я брал с ixbt). Среди выбора - запретить, разрешить, и создать правило (с убогим диалогом, где можно вписать адреса куда апачу можно идти (ручками в tmemo записать надо)). Куда апач ломится ничего не сказано, юзал сокеты самым наглым образом.
Разрешил я пролезть в сеть ему для сбора rss. В итоге любой скрипт выполненый этой копией апача получал полный доступ в сеть.
Если винампу разрешить доступ в сеть (я радио слушаю, например :)), то любой плагин без вопросов сможет пользоваться интернетом. Если скайпу разрешить доступ в сеть, то будешь не только разговаривать, но и быть звеном передачи для других (на gprs это актуально).

следующий хук - Комодо не работает в связке с КИС :)

снос jre для меня не выход, у меня среда разработки на неё завязана (eclipse-клон для разработки под симбиан, называется Carbide.C++)

Ну я попробывал на пхп, в принципе тоже самое только с апачем. На яве тоже должно получиться такое, либо матеря все на свете пытаться создать правило под каждый ресурс на который обращается программа (такого режима как "использовать только созданные правила и блокировать остальное" я в упор не вижу).

после пробы многих файерволлов, пришел к аутпосту, как раз из-за трудности настройки правил итп в онных...

Фаервол и фильтрация (пространные рассуждения) Найти похожие ветки