Автор Тема: Kerio Server Firewall  (Прочитано 2168 раз)

0 Пользователей и 1 Гость просматривают эту тему.

MC

  • Гость
#0: 18 Декабря 2004, 10:30:18
Хочу поделиться с согражданами и прочими тем фактом, что Kerio Server Firewall есть из 15-16 рассмотренных во всех позах файрволлов - самый толковый. Есть работа с портами на входящий, исходящий, с приложениями по портам и просто application hardening. Скорость работы высокая - на пиковой нагрузке грузит проц мой 1900+ на 11 процентов, трафик вообще не задерживает. Пока что лучше всех.

В общем, все плюсы Sygate и Kerio в одном флаконе :)

Тру-ля-ля!!!

  • Гость
#1: 18 Декабря 2004, 11:06:48
Самый толковый firewall-это linux + NAT.Мощность процессора особого значения не имеет.

MC

  • Гость
#2: 18 Декабря 2004, 11:56:03
Знал, что первым ответом будет этот :)) Самые умные - впереди планеты всей! Я говорю о домашнем файрволле, а если вы работаете на *nix`ах дома, что ж - дело ваше, можно про win-решения и не читать/писать. :)

http://www.compulenta.ru/2003/9/12/41956/
http://gs.spylog.ru/r/?reportId=13&categoryId=1 - очень советую, поучительно

Еще раз напомню, что я говорю о ДОМЕ! Подразумевающем чуть продвинутого юзера, типа меня (у меня тоже на втором винте стоит Альт Мастер 2.4, но пальцы гнуть - это не дело), который может читать по-английски - может малость настроить KSF.

И, вообще, прошу не поднимать вопросы линуха - обсуждаем файрволлы для винды.

Тру-ля-ля!!!

  • Гость
#3: 18 Декабря 2004, 12:47:50
О майн гот! .) Присутствие \"Server\" в названии продукта меня смутило.Ну под винды так под винды.Где то в компютерре кааца была заметка о сроке жизни в чистом и-нете непропатчанной винды.Интересно, а после sp2 время увеличилось намного? .)

 вася

  • Гость
#4: 18 Декабря 2004, 14:31:17
ыла заметка о сроке жизни в чистом и-нете непропатчанной винды
---------------------
х.з. чего там в заметках было.
практика: стоит win2k sp4 + winroute firewall. стоит год.  без проблем. комп перезагружается только если липиздричество отрубают. за прокси большая сетка. канал - постоянная выделенка, прямой ip+dns+сайт и всякие он-лайн приблуды.
живем и не потеем по *nix.

MC

  • Гость
#5: 18 Декабря 2004, 19:25:38
Вася, простой винрут именно тем и пЛох, что не поддерживает настройку по каждому приложению. А ServerFirewall поддерживает.

 вася

  • Гость
#6: 19 Декабря 2004, 13:09:26
во - первых если уж зашло обсуждение kerio, то думаю никаким оффтопом не будет считаться пост о его старшем брате winroute. особенно учитывая, что фаервольный движок у них один.
а во вторых - кому как.  тебе программа нужна for resonal use only ;), а мне для локалки.
и как следтсвие опция фильтрации по приложению для межсетевого экрана нах не нужна.
так что фразу \"тем и пЛох\"  для объективности картины  стоило разбавить припиской \"в моем конкретном случае\".


Тру-ля-ля!!!

  • Гость
#7: 19 Декабря 2004, 15:33:39
Что за зайт-то, василий ? :)

Господа, я может чего то не понимаю.Проясните.Одно дело,когда сидишь в чистом и-нете,покупая его у прова.Тогда тема поймать трояна или словить тот же mydoom дело достаточно быстрого времени,и предохранатся надо.Ну а когда выходишь, скажем по диал-апу из из своей защищенной сети,тогда другое дело.Вы о каком случае речь ведете ?Если о первом,тогда хочу спросить что именно подразумевается \"в настройке по каждому приложению\" у firewall-a? Это к примеру подключился ты к сети,попутно запустил NU а они опа - и на сементек полезли.И kerio это дело чует, так? ну так вроде тот же Zone Alarm так же реагирует.Или соль в другом ?

MC

  • Гость
#8: 19 Декабря 2004, 16:45:43
вася, наверное ServerFirewall постарше будет WinRoute, если не по возрасту, так по умишку :)

Тема ServerFirewallа в том...

Короче, простой керио, который винрут, позволяет настраивать так: пущать-непущать, в какую сторону, какой сервис, хосты с обеих сторон, ну и его лановые приколы: nat, portmapping и пр. Прокси еще. И считалка.

ZoneAlarm, Outpost, Sygate, McAfee позволяют контролировать приложения, крича, что такое и такое приложение полезло туда и туда. Но они не рулят. По разным причинам, но все ж керио-таки признали лидером в области защиты ПиСей.

А вот Kerio ServerFirewall разрешает как контролировать трафик на основе правил а-ля WinRoute, так и учитывать в правилах, какое приложение-процесс в нем участвует. И этим он хорош. Этим он мне напоминает отличный файрвол для никсов - snort. Но еще и домой годится при этом всем.

 вася

  • Гость
#9: 20 Декабря 2004, 08:06:13
2 Тру-ля-ля!!!: MC ведет речь о сугубо личной тачке вытащенной в и-нет. Я о межсетевом экране, для средней фирмы. Соответственно он нахваливает kerio server firewall, а я kerio winroute firewall.

Что за зайт-то, василий ? :)
-------------
не думаю, что было бы разумным устраивать тут показательные выступления из серии \"а ну как хлопцы, заломайте\". сайт не мой, а конторский, а выражаю я свое humble opinion.

Бунтарь

  • Глобальный модератор
  • *****
  • Сообщений: 7488
    • Просмотр профиля
    • http://dvphoenix.ru
#10: 20 Декабря 2004, 08:56:40
Ребята не ссорьтесь. :-)
ЛУчше аппаратного нет все равно. Взять тот же Cisco Pix 501, стоимостью около 500 бакинских рублей - намного лучше всяких там керио да и стоимость владения намного меньше чем полноценной машиной, а скорость работы намного лучше. К тому же будет и dhcp сервер :-)
Если ставить программные файрволы, тогда уж что нить *nix`овое, а не на винде.

MC

  • Гость
#11: 20 Декабря 2004, 09:24:45
Бунтарь, сейчас сбегаю куплю за 500 баксов домой аппаратный файрволл, и никакой гад больше не утащит мои пароли на инет! :)

Вася, соглашусь с тобой, локалкой (на винде!) рулить лучше при помощи WinRoute.

kot

  • Гость
#12: 20 Декабря 2004, 09:28:14
To Бунтарь, от тебя никто другого мнения и не ждал ;-)

Тру-ля-ля!!!

  • Гость
#13: 20 Декабря 2004, 10:03:17
2 MC
Ну вообще-то SNORT как бы больше сниффер и мониторинг,нежели firewall.)И я вот хочу попутно прояснить.А что даёт это дело как \"контролировать трафик на основе правил а-ля WinRoute, так и учитывать в правилах, какое приложение-процесс в нем участвует\".Ну я понимаю,что вот можно задать какое-то правило для NU типа забить ему выход на сайт семантека, так? Ну а для меня-конечного юзера, не пофиг ли, как это будет сделано-динамически тем же ZA или OUTPOST,которые это дело прочекают в реальном времени.В чем попс-то ?...

2 вася
а кто-то разве говорил что будем ломать?не надо боятся.Просто интересно.Да и дизайн хаять не будем.Ну раз вы такой стеснительный, то ладно.

 fluf

  • Гость
#14: 20 Декабря 2004, 10:42:23
тем же ZA или OUTPOST
---------------
или старым добрым малюткой AtGuard-ом, с клеймом \"проверено временем\"
;)

MC

  • Гость
#15: 20 Декабря 2004, 12:51:03
2 Тру-ля-ля!!!
Ну пожалуй как snort = IDS. Вроде как файрвол это тоже IDS, только с превентивной функцией. В ZoneAlarm и Outpost можно поставить по умолчанию полную блокировку, но я читал где-то, что их защита ломается в секунды, вот и все дела. Плюс они имхо неудобно настраиваются, чего не скажешь про KSF (ну это имхо)

AtGuard, спору нет :)

Похухоль

  • ***
  • Сообщений: 9744
    • Просмотр профиля
#16: 20 Декабря 2004, 13:01:25
а можно линки и кряки что б по инету не шариться, раз нахваливаете то видимо есть

fluf

  • ***
  • Сообщений: 7127
    • Просмотр профиля
    • http://forum.amur.ru
#17: 20 Декабря 2004, 13:16:01
kerio по логике на kerio.com валяется
лекарства - kerio точка cjb точка net косая index-rus точка хтмл (если сайт еще живой, а то его прикрывают раз в месяц)

а @guard - х.з.
если лень искать - могу по почте скинуть (v3.2 - 1.7Mb).

Тру-ля-ля!!!

  • Гость
#18: 20 Декабря 2004, 13:21:16
Я снова не совсем понимаю.)
Intrusion Detection System (IDS) по моему imho все же не есть равно брандмауэр/firewall в той степени , в какой на них возлагаются их функции.Брандмауэр тупо пропускает то-то и не пропускает другое.IDS следит за трфиком и при обнаружении подозрительной с его точки зрения ситуации реагирует,иногда динамически перестраивая правила firewall-a.Т.е. в unix это в общем-то разные процессы.А в $win я так понимаю это шампунь и кондиционер в одном флаконе...А где это написано что \" защита ZA & OP ломается в секунды\" а то ребята из их команд на такие дела как бы обидятся...

Ну и эта , тогда где взять KSF с рабочим кряком.Для сравнения...

fluf

  • ***
  • Сообщений: 7127
    • Просмотр профиля
    • http://forum.amur.ru
#19: 20 Декабря 2004, 13:47:40
А где это написано что \" защита ZA & OP ломается в секунды\"
------------
ломается, не ломается, но изнутри прибить любого из этой гвардии (включая и @guard) пара пустяков.
FindWindow() и TerminateProcess () и всего делов.
т.е. если _грамотный_ троян _уже_ прокрался в систему, то ....... :(

Тру-ля-ля!!!

  • Гость
#20: 20 Декабря 2004, 14:02:41
\"т.е. если _грамотный_ троян _уже_ прокрался в систему, то ....... :(\"

В таком случае ситуация теряет смысл, потому как грамотному трояну, работающему на кольце системы, и имеющему свою базу брандмауэров не все ли одно что гасить:ZA,OP,KSF.)

Автор , как я понимаю,говорит о  большей непробиваемости KSF по сравнению с ZA при попытках взлома извне...Или я опять чего то не понимаю ? ...

fluf

  • ***
  • Сообщений: 7127
    • Просмотр профиля
    • http://forum.amur.ru
#21: 20 Декабря 2004, 15:25:25
интересная ссылка на он-лайн тесты для вашего фаервола:
http://www.pcflank.com/about.htm

попсово конечно, но местами интересно.
особенно некие Exploits Test и Advanced Port Scanner

МС

  • Гость
#22: 20 Декабря 2004, 18:39:10
Что пишет яндекс?

\"Брандмауэр - программный и/или аппаратный барьер между двумя сетями, позволяющий устанавливать только авторизованные межсетевые соединения. Брандмауэр защищает соединяемую с Интернет корпоративную сеть от проникновения извне и исключает возможность доступа к конфиденциальной информации.\"

\"Файрвол - программа или компьютер, используемые для защиты корпоративных компьютерных сетей от несанкционированного доступа. Основной принцип работы файрвола заключается в явном определении того, какие ресурсы корпоративной сети могут быть доступны снаружи. В предельном случае всеми ресурсами можно пользоваться только изнутри корпоративной сети.\"

Дальше поехали. IDS - это вроде как система _обнаружения_ вторжений. Согласен. Но она также объединяет под собой и IPS - систему предотвращения вторжений. Чем как раз и является файрвол.

Да-да! Я имею в виду именно относительную слабость ZA и OP по сравнению с KSF. А еще в KSF есть application hardening - так что FindWindow + TerminateProcess тут не покатят. Разве что отрубить его как сервис в плане покопаться в реестре, чтоб он на следующей загрузке просто не загрузился, да подменить его своим файлом... Но это уже из разряда Вселенского Зла ;)

---- http://www.pcflank.com/review_zapro3.htm ----
ZoneAlarm Firewall Pro is suitable for both seasoned network experts and inexperienced users. Novice users will appreciate the simple interface that lets them switch between security levels with ease. I liked my experience with ZoneAlarm and was impressed with it generally, but its excessive use of memory and CPU resources prevented it from topping my list. For those of us wanting a balanced firewall with the same or better functionality than ZoneAlarm, or who wants to conserve system resources, I still recommend Kerio or Outpost Firewall.
----

Outpost не проходит тест на Firehole...

Короче, как мне казалось с самого начала, файрвол - дело вкуса :)

Статист

  • ***
  • Сообщений: 7310
    • Просмотр профиля
#23: 20 Декабря 2004, 23:42:34
Помучал я своего Аутпоста ( сборки 2.5.369.4608 (369) ) - вроде пока полет нормальный, практически все сервисы уверяют меня что дырок нет, однако этот маленький поганец firehole все изгадил. Шмыганул через ИЕ и был таков, Аутпост даже не пикнул ... Будем думать ... :-(

MC

  • Гость
#24: 21 Декабря 2004, 07:01:06
Господа корифеи, я тут подметил для себя страннейшую вещь ;) Оказывается (!) snort есть и под винду. Попробую потестить на локалке и через сервисы, отпишу. Если что, http://www.snort.org/dl/binaries/win32/

Статист

  • ***
  • Сообщений: 7310
    • Просмотр профиля
#25: 21 Декабря 2004, 07:45:59
После настройки правил для приложений (IE) - мой Аутпост гордо вытянув средний палец правой руки послал куда подальше этот FIREHOLE ... Успокоившись на этом я лег спать ...

Похухоль

  • ***
  • Сообщений: 9744
    • Просмотр профиля
#26: 21 Декабря 2004, 09:40:38
это что за файрвол такой... весь трафик ему баниш а в расшаренную папку любой в сети зайти может :( + неотключаемые правила суслогов и апдейтов... безобразие на!!

если кто знает как с этим боротся объяните, а пока фг/рм =8)

Статист

  • ***
  • Сообщений: 7310
    • Просмотр профиля
#27: 21 Декабря 2004, 10:07:27
Судя по всему у тебя локалка находится в доверенных адресах ... Я сам Керио не пользуюсь - однако если провести аналогии так оно и получается ... В Аутпосте это делается просто ...

Похухоль

  • ***
  • Сообщений: 9744
    • Просмотр профиля
#28: 21 Декабря 2004, 14:47:21
Судя по всему у тебя локалка находится в доверенных адресах

=====

там нет таких штук..

MC

  • Гость
#29: 21 Декабря 2004, 15:06:06
А кто-нибудь пробовал ZoneAlarm + VisualZone Report Utility. Как она? Надо бы скооперироваться и попробовать симулировать хак, посмотреть на результаты трассировки. Интересно :)

 вася

  • Гость
#30: 21 Декабря 2004, 15:17:10
я не знаю чего там интересного творит  ZoneAlarm  с друзьями, но, что значит \"симулировать хак,\"?
раскрой мысль?
хоца шоб снаружи по всем портам простучали, да всякие эксплойты понатравливали?


Статист

  • ***
  • Сообщений: 7310
    • Просмотр профиля
#31: 21 Декабря 2004, 15:18:21
То Похухоль:

 Я же говорю - я с Керио не работал, просто провел аналогию ...

 Мой файрволл - Аутпост !!!

fluf 

  • Гость
#32: 05 Января 2005, 13:00:44
разгребая старые букмарки наткнулся на интересную ссылку, описывающию обход защиты в персональных фаерволах. например так:
------- cut
 Программа, эмулируя нажатия кнопок и клики мышью может управлять фаерволлом без ведома пользователя. Фактически, любой троян, или червь, в котором реализована данная функция, может легко обойти персональный фаервол. Уязвимые продукты: ZoneAlarm / ZoneAlarm Pro (версия 4.5.538.001 и младше), Kerio (все версии), Agnitium Outpost Firewall (все версии), Kaspersky Anti-Hacker (все версии), Norton Personal Firewall (все версии), Panda Platinum Internet Security (все версии), Omniquad Personal Firewall (все версии).
---------- cut -------------

оригинал статьи:
http://www.securityfocus.com/archive/1/385930/2004-12-31/2005-01-06/0
и практически о том же русский вариант:
http://www.security.nnov.ru/advisories/bypassing.asp


Статист

  • ***
  • Сообщений: 7310
    • Просмотр профиля
#33: 05 Января 2005, 13:26:43
Однако та же статья есть на:
 
 www.securitylab.ru

 читал-читал ... Что делать ??? А ничего я так думаю ... Я лично буду ждать следующего релиза Агнитума ...

MC

  • Гость
#34: 07 Января 2005, 16:35:47
Скоро, где-то числа 5 февраля, мне в руки попадет матплата DFI LANPARTY UT nF3 250Gb с интегрированным в чипсет аппаратно-программным файрволлом. Потестить его как следует, может он и неплох? :) В инете еще немного инфы по этому делу, разве что http://www.icsalabs.com/services/lab_reports/NVIDIA_nForce_Networking_Controller_Public_Report.pdf

 

kompas