Известно, что брандмауэр осуществляет разрешение\блокировку необходимых нам всем TCP/UDP/ICMP соединений.
Возникают вопросы:
А работает ли фаерволл полноценно с новыми протоколами? И работает ли с ними вообще?
В журнале можно видеть регистрацию только TCP, UDP и ICMP соединений.
К примеру, у нас в локальной сети альтернативно используется еще и TCPv6 и ICMPv6 протоколы.
(ICMPv6 пакеты шлюза, альтернативный DNS-UDPv6 сервер в локалке, сетевой протокол SNMP)
Все эти пакеты, например фиксировал накрученный аутпост.
Все это регистрировалось, потому что во первых ЧТО ЕСТЬ то ЕСТЬ
В комоде эти пакеты не регистрируються или, по крайней мере не отображаются. Интересно почему?
Разумеется, настроить правила для данных протоколов в комоде возможно, с помощью подставки соответствующих цифр в поле тип протокола…
Однако это не решит проблему “фиксирования” и “регистрации” этой активности.
Хотелось бы ВИДЕТЬ и КОНТРОЛИРОВАТЬ эту активность.
Люди, кто в курсе, подскажите в чем проблема и каким образом это возможно осуществить в комоде.
Вопрос для меня абсолютно новый, но может включение опции “monitor other ndis protocols…” (gui-firewall-advanced-attack detection settings-miscellaneous) изменит ситуацию в лучшую сторону ?
Давно уже пользуюсь комодом. Но вот диву даюсь: ни одной атаки. Работает ли у него система обнаружения атак вообще? Начиная с третьей версии что то тихо как то… Экспериментировал с настройками флуда пакетов. Понижал значения до критических… Ставлю 1 пакет в секунду! И тишина все равно… Причем в журнале тоже тишина.
Сетка у нас славиться таким неприятным делом, как сканирование портов. ПОЧЕМУ ТИШИНА?
И наконец, кривые пакеты - наша сеть не самая лучшая. (:SAD)
Если не ошибаюсь:
на форуме несколько человек говорили об этом, тестировали данные функции фаера. Результаты у них примерно такие же как у Вас: фаер не обнаруживает атаки (даже если он это делает, то пользователю нет возможности об этом узнать). Некоторые говорили, что вторая версия Комодо работает как надо при тех же условиях.
Официального ответа не было.
Экспериментально можно выявить, сканирующие пакеты блокируються, флуд-пакеты также блокируются, блокируются повреждённые пакеты но вот ЭТОГО НЕ ВИДНО.
Возникает интересный вопрос.
Как работает система обнаружения атак?
Например если сильно снизить значение флуда пакетов, то фаервол переходит в чрезвычайный режим блокировки и ограничивает передачу файлов по сети. Экспериментально вычисляю - оптимальное значение 10 пак/10сек, при котором фаерволл не заблокирует передачу файлов.
Создаеться впечатление, что детектирование атаки происходит по самому простому широкому принципу: ограничить скорость приема пакетов. Может ли при таких параметрах фаерволл блокировать различные типы атак?
А что говорят на ангельском форуме?
К слову: я пробовал сканировать систему с комодом и не всегда это было отражено в журнале. Но все варианты в nmap были отражены. И атакующая система успешно блокировалась. Может это так задумывалось для меньшего беспокойства пользователя? Я тоже их не пойму, функционал наворачивают а журнал не чувствительный… Черти что…
Именно поэтому создаются впечатление - скрыть от анализа низкоуровневую работу файрвола (работу других протоколов, процесс детектирования и отражения атак и др.)
Вероятно остается догадываться, что тем самым скрывается концепция пакетного функционирования, например от а анализа хакерами :SMLR
Конечно это удобно для домашних пользователей - поставил и забыл.
Однако доверие к фаерволлу падает - хороший фильтр, но НЕПОНЯТНЫЙ!
Пока ещё нет. Но мысль очень занятная…
Неизвестно чего там разработчики прячут. Может систему удавленного управления хостом или ещё чего… Утверждать не буду (:WIN)
Ставил прогу типа IP-tools, так вот она показывала интересные результаты… есть над чем задуматься…
Однако сейчас пока однозначно говорить не стану, у меня пока мало информации и статистики, но один мой приятель говорил об скрытых пакетах, не отображаемых системой…
Покопаем обязательно. Только бетки закончатся и выпустят релиз, тогда буду скачивать. Сейчас у меня sygate pf стоит в связке с авастом. Тоже кое-что проверяю.
Итак небольшие предварительные результаты работы программы IP-tools. С помощью этой программы я проверял работу фаерволла, параллельно отслеживая его мониторинг.
Вот список прослушиваемых портов различными приложениями по протоколам v6 серии, которые в мониторе фаерволла отсутствовали. Плюс программа увидела пару прослушок по старому протоколу.
Новый протокол TCPv6:
Protocol TCPv6 Local address ::0 port 135 Remote address ::0 port 0 Status LISTENING Process ID svchost.exe:940
Protocol TCPv6 Local address ::0 port 445 Remote address ::0 port 0 Status LISTENING Process ID System:4
Protocol TCPv6 Local address ::0 port 49152 Remote address ::0 port 0 Status LISTENING Process ID wininit.exe:592
Protocol TCPv6 Local address ::0 port 49153 Remote address ::0 port 0 Status LISTENING Process ID svchost.exe:1056
Protocol TCPv6 Local address ::0 port 49154 Remote address ::0 port 0 Status LISTENING Process ID lsass.exe:692
Protocol TCPv6 Local address ::0 port 49155 Remote address ::0 port 0 Status LISTENING Process ID svchost.exe:1180
Protocol TCPv6 Local address ::0 port 49156 Remote address ::0 port 0 Status LISTENING Process ID services.exe:676
Старый протокол UDP:
Protocol UDP Local address 127.0.0.1 port 1900 Remote address 0.0.0.0 port 0 Status LISTENING Process ID svchost.exe:1348
Protocol UDP Local address 127.0.0.1 port 60196 Remote address 0.0.0.0 port 0 Status LISTENING Process ID svchost.exe:1348
Protocol UDP Local address 192.168.49.58 port 1900 Remote address 0.0.0.0 port 0 Status LISTENING Process ID svchost.exe:1348
Новый протокол UDPv6:
Protocol UDPv6 Local address ::1 port 1900 Remote address ::0 port 0 Status LISTENING Process ID svchost.exe:1348
Protocol UDPv6 Local address ::1 port 60195 Remote address ::0 port 0 Status LISTENING Process ID svchost.exe:1348
Это только данные о прослушке портов. В нашей сети активно используеться эти новые протоколы, дублируя и заменяя старые версии TCP\IP v4 При осуществлении привязки к DNS-серверу я получаю сетевое имя. Эти процессы осуществляются по этим протоколам. В локальной сети у нас он также используется.
Еще раз возникает вопрос. Контролирует ли фаерволл новые протоколы? Монитор брандмауэра их не отображает, в журнале об этих соединениях нет никаких сведений.
Windows Vista позволяет использовать данную серию протоколов. В частности при назначении DNS суффиксов при подключении и сопоставления локальных адресов. Сам сервис DNS запросов может осуществляться по этим протоколам. И наконец, глобальные соединения интернета используют эти протоколы!
Многие специалисты признают огромный потенциал будущего протоколов шестой версии. Вскоре весь интернет перейдет на него. Но предупреждают об опасностях. Все возможности этих протоколов до сих пор не использованы. http://www.xakep.ru/post/25192/default.asp
В целях безопасности в своей системе я отключил использование протоколов шестой версии (Wista).
Предварительный вывод - фаерволл свободно пропускает TCPv6\UDPv6 соединения без контроля. Можно не использовать TCPv6, но большинство брандмауэров работают с этим протоколом. А как же комодо… (:SAD)
Можно поставить конечно… Но совсем нет желания ставить старые версии брандмауэра. Новый заплатанный и проработанный CIS меня вполне устраивает. Кроме небольшого нюанса, разумеется. (:WIN)
Очень странное дело… с TCPv6.
Очень жаль если приодеться выбирать другой бесплатный продукт.
Нежелательно это. Могут быть серьезные конфликты в системе. Если однако хочется то поставьте Defense фаерволла на недельку в обучающий режим и добавьте исполняемые файлы касперского в список “My Trusted Software vendors”
А вот Avira - как раз самое то! На двух машинах с комодо (XP SP3 и Vista) работает очень хорошо, не конфликтует с фаерволлом, бесплатен и по тестам хорош.
Также дружит с комодо и Avast. Тоже неплохая бесплатная вещь.
