vot
1) Сорри.

2) Вот и надо решить, ЧТО ИМЕННО будет тестить. Кстати, почему про Windows только? Предлагается тестить только программные файрволы (большинство посетителей форума аппаратные файрволы в глаза не видели, а там где такие используются, все равно это строго регламентировано), а из програмных - все.

Цена в России - это не критерий, разве что параметр.
Параметры завтра предложу.

Еще раз прошу прощения за тон.

Принято....))))
Да, ещё один вспомнил - WinGate (в четвёртой и пятой версиях есть встроенный firewall).....

vot
vasketsov
Тут простые пользователи про простые файеры читали, а вы перепалку профессиональную устроили. Затеяли бы новую тему. И чайникам меньше шума, и профам - отдельно.

vot
Интересно а кто и каким образом будет тестить? И на овновании чего будут выводы?

Maxvell
Главное начАть, или нАчать... Если очень хочется - всё получится...

vot
Это я понимаю, просто, допустим мы с тобой решили их потестить - у меня вышел один результат, у тебя - другой. У меня одно впечатление о брендмауере, у тебя совсем другое.

Так для того, чтобы получился результат людей должно быть как можно больше, и условия должны быть оговоренны стандартные...

APOSTOL

поддерживаю... надо рассмотреть относительно простые фаеры, которые сможет использовать ЛЮБОЙ пользователь, ознакомившись со справкой по брандмауере.

итак, предлагаю оставить две номинации:
1. Пресональный фаервол.
- OutPost
- ZoneAlarm
- AtGuard
- ...
2. Фаервол для маленькой сети.
- MS ISA
- WinRoute
- ...
или оставим только одну номинацию - "Персональный фаервол", то есть для защиты себя любимого?

по поводу версий... однозначно надо смотреть самую свежую на момент тестирования... это будет правильно :)

ArtemD
однозначно надо смотреть самую свежую на момент тестирования
В том то и дело, что не так все просто. Kerio 2,15 и 3.X - это СОВСЕМ разные вещи.

По поводу номинаций.
Это лишнее потому что задача файрвола в обоих случаях одна и та же, тот же ISA можно поставить и локально. А то что ты имеешь в виду - это работа в режиме шлюза, то есть, фильтрование пакетов для разных сетей, тот же Kerio это умеет, хотя и Personal Firewall считается.

Кстати, WinRoute или WinGate или что-то там еще - здравая идея. Хотя, я с ними не общался, но там Firewall - только для PROXY или вообще всего траффика?

По поводу простоты.
Имхо знать, что такое адрес и порт и какие бывают протоколы - просто необходимо, не знаешь - зови друга пить пиво. Так что возможность настройки исключительно на основе дружелюбных правил не должна отнимать возможность настройки любого типа соединения ручками. То есть, это параметры "Наличие предустановленных правил", "Возможность создания своих правил" и некий критерий тонкости самого правила (это, кстати, основное требование к файрволу, но чаще всего тут они и проигрывают, например, некоторые отдельно управляют всем Netbios-ом, не буду до тестирования раскрывать, что за всеми любимый продукт так делает, если кто еще сам не догадался/напоролся на это).

Тестировать советую на совсем чистой машине, но с заплатками. Без VMWare и аналогичных систем. После тестирования ОДНОГО файрвола система обязательно переставляется.

Я могу предложить свои услуги для тестирования на NT4WKS RUS + SP6a, 2000PRO RUS + SP3 и 2000AS ENG + SP3, XP и выше сейчас нету.

О параметрах давайте думать, что ли. То есть, фактически, что именно будет тестироваться.

Добавлено:

Пример - http://www.agnitum.com/php_scripts/compare.php
Но версия Kerio такая старая, что просто жуть, 3-х версий ни его ни Tiny нет, по остальным видимо тоже старье тестируют.

Потом, вот что еще дошло, глядя на табличку.

Фильтрация веба, кэш днс, запрет ActiveX-ов и контроль за запуском файлов - это все круто, но к непосредственно FIREWALL-у никакого отношения не имеет. Кто-то против и это тоже тестироваться будет? То есть, мы будет тестировать ПРОДУКТЫ (лично мне неясно зачем) или только сами FIREWALL-ы в них (лично я за это)?

Добавлено:

Кстати, кэш DNS есть в самих NT-системах (про остальные не знаю, но думаю, тоже) - в драйвере Tcpip.sys. Так что он нафиг не нужен, а по ресурсам - даже вреден. Это к вопросу о компетентности разработчиков OutPost-a, чья табличка и приведена выше, из их списка только они догадались сделать этот кэш.

Добавлено:

И еще мысль.
В NT системные потоки ядра и все драйвера находятся формально в адресном пространстве псевдопроцесса System. Потому разделять трафик (и, вследствие этого, правила) на системный и для приложений - неправильно. То есть, системный траффик - это траффик для процесса System, и не более. Про другие тестируемые системы (какие еще будут?) можно это утверждать?

Добавлено:

По поводу проверки хэшей для приложений.
1) Практически везде это есть.
2) Это к работе Firewall-а не относится.
3) Это легко обходится внедрением потока в аутентифицированное приложение.
Предлагаю это НЕ УЧИТЫВАТЬ.
Если все же рискнем - не писать ДА/НЕТ, как в табличке выше, а что именно за алгоритм (например, MD5)

По поводу логов. Логи бывают разные.
Но полный лог (данные пакетов) - это большое количество данных, в которых не разобраться без знания протоколов. То есть, имеется в виду лог только соединений?

Под Trusted Zone в разных файерах понимается разное. Либо это доверенная зона без правил (как в OutPost-е), либо просто как одна из зон, для которой также можно создать при необходимости правила (как в Kerio). Второе вроде гибче. Так как?

Еще параметры - какие протоколы фильтруются. Например, Tcp, Udp, Icmp - обычно все, но RawIp, Igmp - тоже желательно.

Ребята, ну куда вас опять понесло???
Давайте с начала?? Что есть firewall??? Дословный перевод - огненая стена (правильно же???). Т.е. эта такая штука, за которой находишься аки за стеной. И не важно один ли это комп или вся сетка. Теперь про разделения - защита сети и защита себя - любимого... Чего то я опять не вижу разницы... Потому как, если ты защищаешь сеть - то автоматом и себя - любимого, и наоборот - можешь на свой вонючий комп установить а-ля CheckPoint (стоимостью в 5000 вечнозелённых (это на одну лицензию, на сотню, например, это будет стоить 20 000) Так что тестить (по моему мнению) надо просто в номинации - firewall. Теперь о том что именно надо тестить...
Давайте отталкиваться от протокольных дел, т.е. протокол глобальной сети???? - правильно - TCP/IP... Какие ещё могут быть вопросы? Т.е. надо определиться, как какой firewall может проводить вивисекцию над стеком протокола на всех семи уровнях (ну или хотя бы пяти)... Или я не прав?
Теперь в отношении WinRoute и WinGate и WinProxy.... Данные проги являются проксями и ничем более (ну может быть за исключением WinGate, потому как он единственный из этого класса программ, на ком можно юзать свой!!!!! VPN, т.е. если определить способ работы в локальной сети по методу авторизации (не по IP) то можно рулить всем)...
Теперь что такое MD5 - это алгоритм шифрования пакетов по методу двойного ассинхронного ключевания... Т.е. первый ключ может быть известен, но алгоритм шифрования - нет, потому как при установки криптозащиты, ты от балды забиваешь некие символы (которые и сам потом не помнишь (обычно 16)) и на их основе он составляет ключи для шифрования, которые с каждой сесией изменяются... Угнать в этом случае сесию ТЕОРЕТИЧЕСКИ можно (при основном условии перехватить самую первую)... Но ежели упустил самую первую, то всё остальное теряет всяческий смысл....
Т.е. как это выглядит в работе... Есть две точки и VPN канал. На обоих точках хранятся два ключа. При установки сессии происходит аутенфикации двух точек происходит сличение этих двух клучей, ура - совпали. Тут же выдаются вторые - рабочие ключи, которые шифруются на основание тех симолов, кторые ты забивал кооооооооогда то настолько давно, что и сам уже не помнишь..... Т.е. как только произошла аутенфикация по первой паре ключей - погнался шифрованный траффик.

Теперь в отношении на чём.... В принципе у меня единственное возвражение вызывает (и очень серъёзное) ServicePack 3 for W2k.
Т.е. уже мною проверенно, при установки в систему ServicePack 3, в системе возникают такие траблы, что приходится переустанавливать..... Кому интересно - могу ответить отдельно...

vot
Кому интересно - могу ответить отдельно
В форуме наверху, если не сложно.
А то я проблем не заметил.

на всех семи уровнях (ну или хотя бы пяти)... Или я не прав?
Не прав. На таком количестве уровней файрволы не работают.
Максимум - 2.

MD5 здесь - проверка хэша для требующего доступа приложения.

Не прав. На таком количестве уровней файрволы не работают.
Максимум - 2.


OSI уровень - 1,2 Канальный Инкапсуляция - Фреймы   Протоколы TCP/IP - Internet, LAN
(Коментарий: - в firewall есть возможность рулить девайсами (этой девайсе можно то, а этой можно это)..

OSI уровень - 3 Сетевой Internet Инкапсуляция - Пакеты
Протоколы TCP/IP - IP
(Эти пакеты пропускать - эти бить)

OSI уровень - 4 Транспортный Инкапсуляция - Сегменты Протоколы TCP/IP - TCP UDP
(Эти пакеты пропускать - эти бить)

OSI уровень - 5 Сессионный Приложения  Инкапсуляция - Данные Протоколы TCP/IP - FTP, TFTP, HTTP, SMTP, DNS, TELNET, SNMP, POP3
(Эти сессии разрешать - эти нет)

OSI уровень - 6 Представления Приложения Инкапсуляция - Данные Протоколы TCP/IP - FTP, TFTP, HTTP, SMTP, DNS, TELNET, SNMP, POP3
(Эти сессии разрешать только с такими условиями)

OSI уровень - 7 Приложение Приложения Инкапсуляция - Данные Протоколы TCP/IP - FTP, TFTP, HTTP, SMTP, DNS, TELNET, SNMP, POP3
(Разрешать этим службам работу или нет)


MD5 здесь - проверка хэша для требующего доступа приложения.
Официальное уложение - что есть MD5 http://www.cis.ohio-state.edu/cs/Services/rfc/rfc-text/rfc1321.txt
Я писал про механизм MD5 применительно к firewall

И последнее, если можно - дай ссылку куда про Service Pack3 написать....

vot
Знание OSI - еще не повод ЭТО писать, ЭТО надо понимать.
Один пример только.
OSI уровень - 7 Приложение Приложения Инкапсуляция - Данные Протоколы TCP/IP - FTP, TFTP, HTTP, SMTP, DNS, TELNET, SNMP, POP3
(Разрешать этим службам работу или нет)
Разрешать приложению доступ или нет - можно определить на ЛЮБОМ уровне, для этого в системе все есть, что за процесс просит доступ - получить можно в драйвере элементарно. С самим приложением, равно как и с библиотеками WinSock, файрвол взаимодействовать не должен, ибо его дело - исключительно СЕТЬ.

Сложность еще в том, что один и тот же системный компонент обычно работает на нескольких уровнях OSI, и вставлять внутрь компонента (например, WinSock) прослойку, чтоб она работала - это самоубийство для компонента и глупо, ибо пишется еще один поставщик, о котором не информируется система (который не заносится в каталог) - и весь труд - нафиг идет.

В действительности, ГДЕ работает правильный Firewall, можно посмотреть здесь http://www.kerio.com/manual/kpf/en/ch01.html#sect-sysreq.
Это и определение, что можно а что нельзя определенному девайсу, и работа по конкретному протоколу, и правила по приложениям.

Из уровней OSI - снизу минус железозависимые, какой нормальный софтовый файер будет работать на физическом уровне? :lol: Потому минимум - 3-й, ниже - никак. Верхние тоже все нафиг, их не надо, все можно и внизу получить.

Вообще, соответствие OSI - не самый лучший критерий проверки Firewall-а. Все, что не между стеком протоколов и драйверами сетевых девайсов, вообще файером называться не может, лучше вообще отказаться от самого рассмотрения OSI.

Писать про SP3 в форум про NT/2000.

Да кто же спорит???? Я модель OSI выложил токмо наглядности для.... Типа, показать, что firewall может вполне работать на любом уровне OSI... Ведь исходный вопрос стоял как??? Правильно!
О параметрах давайте думать, что ли. То есть, фактически, что именно будет тестироваться
Вот ровно поэтому я про модель OSI и упомянул... Ты поддержал, высказавшись
Вообще, соответствие OSI - не самый лучший критерий проверки Firewall-а. Все, что не между стеком протоколов и драйверами сетевых девайсов, вообще файером называться не может, лучше вообще отказаться от самого рассмотрения OSI.
Т.е. немножко начала вырисовываться т-е-н-д-е-н-ц-и-я однако...
Вот сообща выведем, что принять - и дальше пойдём..
Про Service Pack 3 - пойду выкладывать сразу после этого топика (написано уже).... Выложил про Service Pack 3 (но чего то особой реакции не наблюдается)


Исправлено: vot, 18:14 11-01-2003

А что народ может сказать по этому поводу??????????????
http://www.paoloiorio.it/backstealth.htm


Что реакции вообще на эту ссылку не будет, или просто сказать нечего?????


Исправлено: vot, 18:16 11-01-2003

Похоже на последнюю ссылку народу и сказать нечего. Поэтому вопрос о тестировании похоже, что отпадает... Потому как очень много продуктов, согласно последней ссылке, идёт в утиль...

Аналогично, любой Firewall обламывается, если поток внедрять в IE, а он аутентифицирован на доступ OUT / TCP / PORT80 / ANYADDRESS. Тут уже никто не сможет помочь. то есть, это общая проблема файрволов, ограничения способа идентификации субъекта правообладания доступа :).
А можно и по другому подойти, например так: не уверен - не запускай. Внедрение кода в системный процесс возможно с привилегиями отладки, не сидя под админом, таких прав не будет. Так что, не так и страшен этот черт...

У меня Agnitum Outpost Firewall Pro ver. 1.0.1817.1645
Собственно, после запуска теста получил:

BACKSTEALTH 1.1 Security Test (C) 2002 Paolo Iorio
This utility can bypass your Personal Firewall protection and download
a file from (www.pc-facile.com/security/backstealth.txt) only for demonstration.
This file is saved into your hard disk into: C:\retrieve.dat file.
ALSO IF YOU HAVE AN INSTALLED FIREWALL, BACKSTEALTH WORKS!!!!
Downloaded from http://piorio.supereva.it/
continue?
[ Дa ][ Heт ]

Ну согласился.
Получил ответ:

BACKSTEALTH 1.1 Security Test --- (C) 2002 Paolo Iorio
Search Sygate Personal Firewall Pro ...
Sygate Personal Firewall Pro not running
Search McAfee Personal Firewall ...
McAfee Personal Firewall not running
Search Tiny Personal Firewall ...
Tiny Personal Firewall not running
Search Norton Internet Security 2002 ...
Norton Internet Security 2002 not running
Search Kerio Personal Firewall ...
Kerio Personal Firewall not running

BACKSTEALTH can't find any firewall.
Please check if your firewall is supported.  [ ОК ]

Ну и всё.
Никакого файла  от www.pc-facile.com/security/backstealth.txt  в  C:\retrieve.dat  он мне не поместил. Точнее, вообще в И-нет не полез. Может, я что не так сделал?

Ну вы чего опять, пацаны??? Это же не троян... Это программулина которая позволяет прокалывать стенки... Вы, это, внимательней читайте что ли...

vot
1) сейчас будем разбираться, что такое троян. уж лучше не надо.
2) эта программулина - не критерий, я написал почему.

Короче, получается как у Михалкова в басне, не можем решить, как строить мост. Потому предлагаю обсуждать только по списку тестируемых параметров, в виде требований.