Agnitum Outpost vs Kerio?

[carcass]

Не ми е ясно едно, всеки казва че е настройл въпросната програма така, че при тестовете който съм посочил по-горе порт 80 е затворен и всичко му показва зелено. Да но както писах, на мен ми дава че въпросният порт е отворен. Много от вас казват, че проблема е до настройката на програмата и аз за това питам, дали някой може и иска да обясни как става, че порта да е затворен. Извинявам се, но ми стана доста любопитно и преди време пак питах и никой не ми отговори и за това питам пак.



А за паранойчен, KOKOSH извинявай, но не съм, по-скоро съм любопитн и за неща които не са ми ясни питам и ще продължавам да питам.[:D]

[KOKOSH]

ПараноИчен се пише. Ох, добре, отвори един ДОС промпт и пиши:



netstat -an



Ще ти върне всеки порт който е отворен и всяка конекция която е осъществена. На мен лично ми е по удобно да гледам в Outpost --> Open Ports, пише си даже и приложението което е заело съответния порт. Като не те кефи, десен бутон с мишката върху него --> Create Rule и му забрани достъпа. При нас 70% от оплакванията "аре, защо нямаме нет, втори ден чакаме" са заради некадърно настроен firewall и последвалата интервенция от задклавиатурното устройство, демек, отрязали са си сами главите.



btw, Carcass е хубава група, тача си ги още

[ru-boy]

http://www.sysinternals.com/ntw2k/source/tcpview.shtml

[carcass]

След като дълго се обсъждаше Outpost Firewall Pro, реших да сложа един тест на въпросната програма. Може много от вас да са го чели, но може и много да не са. Този тест би могъл да помогне в избора на Firewall. Ще ме извинявате, но текста е на руски и не ми се занимаваше да го превеждам, а и си мисля че повечето хоря няма да имат проблем с това.



Тест Outpost Firewall Pro ver. 2.5.370.4626



Сегодня мы проведем очередной поединок между троянами-шпионами и файерволами. Это будет более серьезный тест на пробиваемость изнутри файерволов. Более серьезный, чем несколько примитивных тестов проводимых нами ранее. И сейчас вы в этом убедитесь... От имени шпионов-троянов будет выступать утилита AWFT 3.1.



Не волнуйтесь, это не троян и не шпион, это демонстрационный образец, использующий технологии троянов. А как иначе проверить файерволл? Только в условиях приближенных к реальным. Если у вас на компьютере постоянно работает включенный антивирусный монитор, то для чистоты эксперимента проведите соревнования несколько раз: первый раз с отключенным антивирусным монитором, а второй раз с включенным (авось монитор-антивирусник где-то и подстрахует ваш файервол).



Итак, как мы уже говорили, со стороны троянов-шпионов выступает утилита утилита AWFT 3.1. Со стороны файерволов в вашем случае будет выступать ваш файервол, установленный на вашей машине (вот его и тестируйте). Автор этой статьи использовал для тестирования наиболее популярный на сегодняшний день в Рунете файервол Outpost Firewall Pro ver. 2.5.370.4626 (370). На сегодняшний день в борьбе за лидерство, Outpost Firewall Pro пожалуй чуть-чуть обходит предыдущего лидера ZoneAlarm Pro.



Итак, трояны против файервола-лидера, использующего сегодня все передовые технологии защиты. Сразу оговорюсь, что используется файервол "правильный, лицензионный, скачанный с сайта производителя. Настройки оставлены по умолчанию (политика безопасности файервола: в режиме обучения).



Итак, утилита AWFT ... Расшифровывается, как Atelier Web Firewall Tester. Имеет триальную лицензию (работы утилиты ограничена 10 запусками - вам для тестирования хватит этого с головой!). Кстати, мой антивирус в скаченном файле ничего не нашел подозрительного, не заподозрил внутри файлика никаких троянских технологий. Что и говорить, внутренности сего псевдотроянского механизм сделаны весьма добротно.



Обратите внимание, на устаревшей Windows 98 не запустится. И во время тестирования нужно будет соединение с интернетом.



Итак, скачиваем утилиту AWFT 3.1. На всякий случай, если будут проблемы со скачиванием или захотите подробнее почитать об этой программе, то вот производитель: http://www.atelierweb.com/awft/



Итак, инсталлируем и запускаем AWFT 3.1 (разумеется ваш фаерволл и соединение с интернетом также должны уже быть запущены).



Итак, начинаем...

ТЕСТ1

Вроде все готово: файервол запущен и работает в реальном режиме, интернет подключен, утилита AWFT также запущена. На всякий случай, для чистоты эксперимента, в утилите AWFT изменяем адрес загружаемой страницы:



Страница успешо загрузилась в окно программы AWFT, а файерволл Outpost Firewall Pro ver. 2.5.370.4626 даже не шелохнулся Использован прием с загрузкой скрытой копии браузера и перед запуском браузера патчится-изменяется память.



ТЕСТ 2:

Как предупреждают авторы утилиты - это старый и давно известный трюк. Outpost Firewall Pro ver. 2.5.370.4626 немедленно реагирует. Первым вылетает грозное сообщение: сетевой доступ для explorer.exe блокирован, так как его область памяти была изменена другим процессом.

Блокируется доступ к сети для браузера, а затем появляется еще одно окно, предлагающее пользователю принять дальнейшее решение

Выбираем блокирование... И закрываем окно браузера. Для продолжения тестов нам понадобится новое свежее окно.



Тест 3



Фаервол не выдает никаких предостережений, а просто молча блокирует. В окне утилиты AWFT, на счету файервола появляется уже 2 очка.

2 : 1 в пользу фаервола... Правда обольщаться не стоит, третий тест - это тоже старый известный трюк.



Тест 4



Аналогичен первому тесту с запуском скрытой копии браузера и пропатчиванием памяти перед его запуском. На этот раз браузер запускается через Windows Explorer. Outpost Firewall Pro ver. 2.5.370.4626 опять прохлопал ушами и пропустил информацию с компьютера наружу.



Счет становится 2 : 2



Тест 5



Тут есть особенность. Сейчас утилита AWFT будет пытаться дурить нас на ходу, во время серфинга. Нужно запустить браузер, загрузить в него какой-то (любой сайт) и немного подвигать мышью. Затем нажимаем в окне AWFT кнопку пятого теста. И что?

С нашего компьютера и без нашего ведома отправляется наружу запрос и в качестве доказательства несостоятельности нашего файервола, в окно утилиты AWFT нагло загрузилась тестовая страница... В данном тесте AWFT выполняет эвристический поиск установленного у вас на компьютере (или в сети) разрешенного программного обеспечения, имеющего доступ к Internet через порт 80, затем запускает копию разрешенной программы и перед самым запуском патчит память занимаемую этой программой (т.е. AWFT запускает и саму себя в памяти разрешенной программы). Весьма сложный тест для файерволла. Outpost Firewall Pro ver. 2.5.370.4626 проваливается на этом тесте.

За этот тест AWFT начислила себе сразу 3 очка. Итак, трояны лидируют со счетом 5 : 2



Тест 6



Последний тест AWFT. Аналогичен предыдущему пятому тесту. Используется тот же прием с эвристическим поиском установленного софта, имеющего право выходить наружу через порт 80. Только способ взлома сейчас изменен - используется пользовательский запрос. Попутно с этим AWFT пытается прилепить к браузеру хиджек, т.е. левый скрытный тулбар.

Для правильного прохождения теста нужно запустить браузер, загрузить в него какой-то (любой сайт) и немного подвигать мышью. Затем нажимаем в окне AWFT кнопку шестого теста. Что на этот раз?



На этот раз Outpost Firewall Pro ver. 2.5.370.4626 среагировал четко: действия утилиты AWFT были немедленно заблокированы. Поскольку тест считается сложным, то файерволл также получил 3 балла за этот тест.



Итоги:



5 : 5. Веселого мало... Разработчики теста AWFT советуют для начала пройти все тесты с теми настройками файервола, которые используются на вашей машине. Затем, в случае неудач, измените настройки файервола на самые жесткие - и снова пройдите все тесты. В крайнем случае, если проблемы с безопасностью остаются, то подумайте о смене файервола на другой.

Дополнительно также можете провести тестирование и с включенным антивирусным монитором вашего антивируса.

[grossmaul]

Ам, първо здрасти на всички от мен!

Второ(сори ако въпросът ми е тривиален)-не е ли по важно коя програма използва даден порт, а не кой порт се използва? Ако човек затвори всички портове(порт 80 пък защо да се затваря, неми е яно), то тогава не се ли получава малко като телефон, който не е включен в мрежата?

[kakarot]

А защо на мен с Zone Alarm всочко ми е зелено?

С безплатната версия съм и незнам дали има настройки. Освен че ме пита какво да пропуска ако усети нова програма, друго несъм пипал

[mikk]

http://www.kaldata.com/articles.php?action=show&id=54

[ru-boy]

За да се орентирате горе-долу в обстановката със "огнените" стени, но не вярвайте много и на тази таблица и данните.



http://www.firewallleaktester.com/tests.htm