Открытые вопросы любителей

А как вообще можно проверить, ловит Авира вредоносные вещи или нет?
Вообще, по моему мнениею, тест - весьма условное и возможно не объективное оценивание продукта.
По этому тесту Авира далеко не первый:
http://www.matousec.com/projects/firewall-challenge/results.php

Представленный вами тест относиться к комплексному продукту Avira Premium Security Suite 8.1.00.206. Как фаерволл авира не очень хорош. А вот как антивирус - вполне неплохой.

Сравнительные тесты авира очень неплохие:

http://www.1on.ru/2008_06_03/test_populiarnyh_antivirusov_2008_goda.html
http://admin-club.net/index/0-13

А вообще вы правы - все тесты субьективны и не всегда достоверны. Но в любом случае ориентироваться и выбирать ВАМ

Здравствуйте у меня вот странная чтука сделано всё ниже описаным методом (из темы с этого же форума CPF: Прячемся от вездесущего ping’a)… версия CFP 2.4.18.184 рус + Касперский 7 антивирус, виндовс сп3 с набором обновлений, ставил следующим образом сначала касперского потом комод и никакой ругани между ними нет я соответственно разрешился всё что только хочется касперскому =) так вот от пинга ну ни чуточки не скрывает все кому не лень пингуют… в том числе и сам я себя вижу… как поправить сие возможно?

  1. Заходим на закладку “Защита”, далее на “Сетевой Монитор”.
  2. Выделяем верхнее правило, нажимаем правой кнопкой и в контекстном меню выбираем “Добавить Правило” - “Добавить До”
  3. Делаем следующие установки:
    Действие: Блокировать
    Протокол: ICMP
    Направление: В/Из
    Все IP: Любой
    Детали ICMP (Сообщение): Любой
  4. Жмем “ОК”
  5. Выделяем новое правило (оно верхнее теперь), жмем по нему правой кнопкой и выбираем “Добавить Правило” - “Добавить До”
  6. Делаем следующие установки:
    Действие: Разрешать
    Протокол: ICMP
    Направление: Исх.
    Все IP: Любой
    Детали ICMP (Сообщение): ICMP Echo Request
  7. Жмем “ОК”.

Действия 1-4 нужны, чтобы Вас не могли пинговать, 5-7 - чтобы Вы могли пингом пользоваться.

Не совсем понятна работа таблицы Global Rules
Если пакет не попадает под ее правила то он проходит?
Если пакет попадает под разрешающее правило то он все равно пойдет дальше в Application Rules?

Глобальные правила имеют ГЛАВНЫЙ приоритет в политике фаерволла.
Сначала работают правила ГЛОБАЛЬНОЙ политики (правила соединений), затем исполняются правила ЛОКАЛЬНОЙ политики (правила приложений)

В случае если вы неправильно прописали глобальную политику, то локальные правила могут оказаться бесполезными или вообще заблокированными (смотрите логи)

Максимальная конкретизация Глобальной политики по портам и протоколам (принцип исключения ненужного) дает самый лучший эффект.

Также очень важна САМА ПОЛИТИКА ПРАВИЛ. Существует две основные концепции: политика разрешения и политика блокировки. Выбор политики зависит от удобства восприятия правил.

Абсолютное IMHO работы правил:

  1. Если ВХОДЯЩЕЕ соединение:
  • Смотрит Глобал - если есть запрет - досвидос.
    ----------------------- если запрета нет (или есть разрешение) - спускаемся к Аппликэйшену
  • Смотрит Аппликэйшн - если есть разрешение или запрет - соотв.
    ------------------------------ если правила нет - спрашивает/изучает ( в зависимости от режима)
  1. Исходящее соединение:

Если режим Обучения (Train, Safe) - изучает правило (если его ещё нет :wink: )

Если Custom Mode - смотрит Application - если есть запрет - досвидос
-------------------------------------------------------- если есть разрешение - идём к Global
-------------------------------------------------------- если правил нет - спрашивает, а затем только идёт в Global (если разрешили/запомнили)

  • Смотрит Global - если есть разрешение или запрет - соотв. пускает/блочит
    ------------------------- если правила нет - спрашивает действие.

(:CLP)

Хотя опять возник вопрос: Если в Custom Mode ИСХОДЯЩЕЕ соединение прошло по Application, а в Global нету правила на этот случай, то вроде приложение ДОПУСКАЕТСЯ …
К примеру:
Глобал - пустой
Апплик. - есть разрешение е-мэйл клиенту на 25 порт на любой дестин.
Так вот в этом случае:
В Аппл. есть правило на разрешение - значит будет смотреть Глобал.
Т.к. Глобал пуст, то нет ЗАПРЕТА, значит е-мэйл клиент СМОЖЕТ соединиться…
Таким образом (ИСХОДЯЩЕЕ) Глобал БЛОКИРУЕТ в случае блок-правила и РАЗРЕШАЕТ в случае прямого разрешения или отсутствия заперта =)

exproff, если не ошибаюсь, все верно сказано на 100% :-TU

Все логично - нет глобальной политики - гуляй поле…

Получается в глобале эффект имеют только запрещающие правила. Нелогично.

Как насчет stateful inspection? Пакеты идущие после установления коннекта проходят автоматом без контроля?

Надо создать правило пишущее в лог весь мусор гуляющий по сети и не предназначеный никакому приложению. Это лучше сделать в глобале или в мифическом псевдоприложении Windows Operating System? :slight_smile:

Почему? Создать сверху несколько разрешающих КОНКРЕТНЫХ ПРАВИЛ и затем нижестоящее - БЛОКИРОВАТЬ ВСЕ ОСТАЛЬНОЕ. Разве не будет эффекта?

Я имел в виду - если создать какое то запрещающее правило, то оно будет запрещать, а если запрещение поменять на разрешение, то правила как будто и нет :slight_smile:

Такова схема работы правил. При желании и умении все настраиваемо :SMLR

При всем желании не могу придумать для глобала применений кроме блокирования определенных портов\адресов и прочего (пинга например)

Ну на всякий пожарный и там и там. Я так делаю. Вижу нетбиос-пакеты, транзитки и некоторые не запрошенные.

Но не обольщайтесь - лог у фаерволла не все показывает…

Смотрите.
Создаем группы портов. Это раз.
Создаем группы зон. Это два.
Анализируем статистику исходящих и входящих портов/протоколов. Это три.

Затем:

Прописываем в глобале только те протоколы и направления которые нам нужны.
Прописываем в глобале только те вход\вых порты которые нам нужны.
Блокируем все остальное.

То что не показывает - хотя бы блокирует? Хотя может это бред и у меня паранойя после Jetico :slight_smile:

Еще - в детекторе атак галки которые якобы тормозят инет и систему - реально ли тормозят, кто нить проверял?

Блокирует. Сканировали и так и сяк. Минус в том что лог не отображает некоторые протоколы…

Да, немного тормозят. Но у меня на второй старенькой машине при CPU 1300 и 128 Mb вроде ничего. (:WIN)

Вообще, если хотите чтоб фаерволл отбрасывал “кривые” пакеты и левые протоколы - ставьте галки. Сбойные пакеты - основное издевательство программ-аттакеров. Фильтрация кривых пакетов немного притормаживает трафик…

Немного - это насколько? У меня инет 128 кбит :slight_smile: и локалка 100 мбит. И главное чтоб пинг не поднимался (в играх)