Статья ОБСУЖДЕНИЕ. Брандмауэр Windows vs Agnitum Outpost | Сравнение брандмауэров

Желание написать данную статью возникло у меня после развернувшейся на форуме дискуссии о блокировке фоновой интернет-активности Windows.
Боремся с утечкой трафика на винде.
Укрощение операционных систем семейства Windows.
А тут ещё и какой-то чУвак видео на youTube "подогнал"

Брандмауэр Windows vs Agnitum Outpost ​

Долго не думая, я решила повторить описанный в видео "подвиг".
Установленная в виртуальную машину Windows 10 только благоволила моим желаниям.
Мгновение... и я уже блокирую всю активность виртуальной операционной системы встроенным брандмауэром.

По замыслу, мой эксперимент будет заключаться в следующем:
1. Блокирую весь интернет-трафик виртуальной машины под управлением Windows 10 встроенным брандмауэром.
2. Отслеживаю интернет-активность "блокированной" системы путём прослушивания сетевого соединения анализатором пакетов Wireshark.
3. Теоретически, никакой интернет-активности наблюдаться не должно, ведь первый пункт моего зловещего плана должен гарантировать полный вакуум внутри виртуалки.
Затем повторяю предыдущие шаги, но для контроля активности Windows воспользуюсь сторонним брандмауэром Outpost питерской компании Agnitum. Полученные результаты сравниваю.

Нужно отметить, что встроенный брандмауэр Windows - это программа, обладающая неплохим набором функций. При этом программа проста в использовании, что делает общение с ней ещё более привлекательным. Эту энергию, да в нужное русло направить - цены программе не было-бы.
Итак, сетевая активность виртуальной "десятки" теоретически блокирована.
Прежде чем запустить анализатор пакетов на хостовой машине, необходимо узнать имя сетевого интенрфейса, который будет прослушивать Wireshark.

При помощи метода дедукции, с которой до написания этой статьи весь цивилизованный мир был знаком только по сериалу о Шерлоке Холмсе, я определила, что прослушиваемая сеть в моём случае имеет название "Подключение по локальной сети 7".

Именно эту сеть следует прослушивать в хостовой операционке анализатором пакетов.
К сожалению, результаты первой части теста оказались весьма плачевны: встроенный брандмауэр настолько прозрачен, что wireshark зафиксировал интернет активность гостевой системы уже через несколько секунд после начала прослушивания. Причём эта активность представляла собою не что иное, как коннект чистой воды к серверам компании майкрософт по протоколу TCP.

Думаю, что на этом первую часть моего скромного эксперимента можно закончить, ведь тест однозначно указывает на "дырявость" брандмауэра Windows по отношению к "родителю".

Согласно предварительно описанному плану, те же действия необходимо повторить с брадмауэром Outpost от российской компании Agnitum.
Не буду описывать процесс установки упомянутой программы, он интуитивно понятен и не представляет собою ничего сложного: несколько нажатий кнопки "Некст". Вся настройка файерволла в рамках моего эксперимента заключается в полной блокировке интернет активности виртуальной Windows.

Анализ сетевой интернет-активности программой wireshark во втором случае однозначно указывает на всякое её отсутствие. Виртуальная и хостовая машины общаются между собою по протоколам ARP и DHCP:

Настало время делать сравнительный анализ.
Полная блокировка интернет трафика ...

• ... Брандмауером Windows нисколько не остановил интернет активность операционки.
• ... Сторонним брандмауэром Agnitum Outpost полностью блокирует активность гостевой системы.

На этом у меня - ВСЁ.
С вами была Валькирия.

 

[Timofejj]

Valkiria, спасибо за этот тест. Очень и очень жаль что этот замечательный firewall так многими незаслуженно забыт. Я много лет им пользуюсь и у меня только позитивные моменты в отношении него. На данный момент просто не представляю что-бы без него делал.
Многие могут возразить мол устарел и не опенсорс, но вот пожалуй это считаю исключением из правил. Да и какие тут нужны обновления? Антишпион? Как сетевой защите он мало нужен и его при желании можно заменить другим. Все правила настраиваются вручную, автоматику отключаю полностью. Много раз, чисто для себя устраивал тест на виртуальной системе и пропусков он не давал, в отличие от других. Даже контроль утечек он проходит с более высокой оценкой чем тот-же Comodo Firewall.
Единственное хочу некоторых предупредить что он требует грамотного подхода к себе. Так как в противном случае при не правильных настройках (особенно правил к svchosts.exe) может привести к остановке RPC (на Vista и новее, XP это не касается), что приводит к отключению планировщика и всех зависящих служб. Такой симптом проявляется в виде пропадания языковой панели из трея.
Я в своё время собрал приличную коллекцию их продукции и некоторых материалов относящихся к Agnitum. Не знаю можно-ли здесь выкладывать ссылку на майл-облако, но если кому нужны многие версии этой фирмы загляните на рубоард в тему про Agnitum Outpost. В шапке есть моя ссылка. Всё подлинное, с ЦП.

 

[Valkiria]

Не знаю можно-ли здесь выкладывать ссылку на майл облако

Ссылки на облако Маил не противоречат правилам форума.
Если есть чем поделиться - все будут только рады , ИМХО ))

 

[Timofejj]

Архив продуктов фирмы Agnitum, включая Outpost и всё что к нему относится. Возможно чего-то нет, но это всё что успел сохранить.

Ссылка скрыта от гостей

 

[Valkiria]

Архив продуктов фирмы Agnitum, включая Outpost и всё что к нему относится. Возможно чего-то нет, но это всё что успел сохранить.

За такой набор компания Agnitum у тебя в моральном долгу ))
Внушительно.


Эту ссылку надо-бы в шапку темы поместить.

 

[Timofejj]

Произошла «перетрубация» по не зависящим от меня причинам и ссылка изменилась на дистрибутивы Agnitum:

Ссылка скрыта от гостей

 

[kozloff73737]

Valkiria, а как бороться с блокировкой "транзитных пакетов"?

 

[Timofejj]

kozloff73737, попробуйте это:
Настройки->Сетевые правила->Системные правила->Низкоуровневые правила->Добавить:
В пункте 1 ставим 2 галочки: «Где тип IP-протокола», «Где удаленный адрес».
В пункте 3 ставим: «Где протокол IP»; И типа IP-протокола - выбираем из списка: 1, 6 и 17 (ICMP, TCP, UDP); «И удаленный адрес»: пишем нужное.
Отдельно, сюда-же добавляем правило и для локального адреса:
В пункте 1 ставим 2 галочки: «Где тип IP-протокола», «Где локальный адрес».
В пункте 3 ставим: «Где протокол IP»; И типа IP-протокола - выбираем из списка: 1, 6 и 17 (ICMP, TCP, UDP); «И локальный адрес»: пишем нужное.
Какие IP прописать можно посмотреть в логе «Журнал пакетов» (сообщение «Блокировать транзитные пакеты»). Там-же можно увидеть каким протоколам нужно прописать разрешение.

 

[kozloff73737]

эти правила прописаны. пишет "Пакет отвергнут OUT UDP 192.168.1.100 51518 192.168.1.1 53 Блокировать транзитные пакеты 192.168.1.1:53 192.168.1.100:51518 OUT, UDP"

 

[Timofejj]

Мне на данный момент трудно промоделировать эту ситуацию. Тогда можно сделать так. Создадим ещё одно правило там-же:
В пункте 1 ставим 2 галочки: «Где тип IP-протокола», «Где удаленный адрес», «Где локальный адрес.
В пункте 3 ставим: «Где протокол IP»; И типа IP-протокола - выбираем из списка: 1, 6 и 17 (ICMP, TCP, UDP); «И удаленный адрес»: Макро-адрес->LOCAL_NETWORK; «И локальный адрес»: Макро-адрес->LOCAL_NETWORK

 

[Timofejj]

Попробовал создать список блокировки IP телеметрии/обновлений на основе WindowsSpyBlocke. Список можно использовать не только на Windows 10, но и на других. В архиве 3 листа как и в WindowsSpyBlocke, есть так-же смешанные листы. Градация по типу не моя, а принадлежит WindowsSpyBlocker:

data/<type>/winX/spy.txt Блокирует Windows Spy / Телеметрию
data/<type>/winX/update.txt Блокирование обновления Windows
data/<type>/winX/extra.txt Блокирование приложений сторонних производителей

Список "extra" назвал как "Application" и сказать "по-чесноку" он у меня вызывает сомнения. Дело в том что он глушит Skype и некоторые элементы с сайта Microsoft. Тем кто им пользуется он будет противопоказан. И мне самому его смыcл не понятен.

Возможно что он требует рихтовки. Но опять же повторюсь список не мой и основан на WindowsSpyBlocker. Я только собрал это в формат для Outpost. Кроме-того там есть градация и по ОС: 10, 7 и 8.1. Но последнее считаю абсурдным и делить не вижу смысла. Хочу напомнить что в окне программы при импорте списка IP, список заменяется новым, но не дополняется. Поэтому если кто хочет сделать свой нужно смешать их в блокноте. Пусть никого не пугают строки типа: 104.210.212.243-104.210.212.243. Так как такой формат необходим в самом Outpost для выражения одиночных IP. Хочу обратить внимание и на то что у многих доменов есть не только адреса в диапазоне IPv4, но и в диапазоне IPv6. Поэтому, касаемо IPv6 нужно подумать что можно предпринять средствами Outpost.

Ссылка скрыта от гостей

 

[windows.firewall]

Windows firewall удобно настраивается и работает хорошо, на win 10 не в курсе, так как там свои правила работают шпиЁнские. На счёт удобства (когда в agnitum просто туча правил непонятных), вот лень, чтоли удалить все правила в windows firewall (нажать на одно из правил, нажать ctrl+A и удалить все правила) а потом уже блокировать, ни один трафик удаленный не пройдет. Ни один человек не сможет доказать, что при таком раскладе windows, что то отправляет, даже параноик со стажем такой чуши не скажет. Насчет этого agnitum, он вообще пропускал трафик программы, хотя было отключено правило, автоматического разрешения доверенных разработчиков (или как там он это называет), вот какой это firewall после этого?! С заблокированным полностью firewall как интересно работать, agnitum сам выбирает программы которые пускать, хотя я никаких разрешений не давал, только установил программу, а он уже дал разрешение.

Не сторонник windows firewall, не сторонник agnitum (хотя по началу он мне понравился). У windows firewall есть косяки, он может отключится, либо его могут отключить программы с правами админа, от этого не нашел защиту. Ни тот, ни другой не могу советовать, так как agnitum слишком тяжело настраивается (даже с уровнем знаний) для нормального человека его нельзя советовать, так как трафик либо будет протекать, либо вообще никто не получит доступ к сети интернет))

Ставьте другой софт, из известных например можно comodo firewall, вот он точно не пропускает лишний трафик.

 

[Bypass]

comodo firewall.

зато он отлично сливает тарф на свои сервера.
если ты не можешь подчинить себе шинду
самое эффективное средство это роутер с правильно настроенным файрволом
Например Soekris net6501. Можно воткнуть в виде платы mini-PCI, можно прикупить отдельное устройство и включить в Ethernet порт.
В коробочке 4 гигабитных порта, два USB (можно воткнуть 3G модем), операционная система pfSense на базе FreeBSD.

Известный сайт Wikileaks поделился очередными секретными данными. Новая утечка, получившая кодовое наименование «Vault 7» («Убежище 7»), проливает свет на программы, через которые различные спецслужбы следят и собирают данные.
В утечке представлен список программ, а также методов и инструментов работы с программным обеспечением, благодаря которым в разведовательном агентстве ЦРУ способны собирать данные и записи о конкретных людях со всего мира.

Список программ, через которые в ЦРУ могут собирать данные:
Avast
Clam
AVNorton
Kaspersky
AviraESET
McAfee
Zone Alarm
F-Secure
AVG
Rising
Bitdefender
Zemana Antilogger empty
EMET (Enhanced Mitigation Experience Toolkit)
Malwarebytes Anti-Malware
Panda Security
Trend Micro
Symantec
Comodo
Microsoft Security Essentials
GDATA

ИМХО 99% уверен, в агнитуме тоже есть закладочка на прощанье.

 

[Mitistofel]

OMG. У меня как раз стоит "Malwarebytes Anti-Exploit" and "Malwarebytes Anti-Rootkit". Они значит тоже сливают инфу, раз "Malwarebytes Anti-Malware" сливает )

 

[ANR]

зато он отлично сливает тарф на свои сервера.
если ты не можешь подчинить себе шинду
самое эффективное средство это роутер с правильно настроенным файрволом
Например Soekris net6501. Можно воткнуть в виде платы mini-PCI, можно прикупить отдельное устройство и включить в Ethernet порт.
В коробочке 4 гигабитных порта, два USB (можно воткнуть 3G модем), операционная система pfSense на базе FreeBSD.

Известный сайт Wikileaks поделился очередными секретными данными. Новая утечка, получившая кодовое наименование «Vault 7» («Убежище 7»), проливает свет на программы, через которые различные спецслужбы следят и собирают данные.
В утечке представлен список программ, а также методов и инструментов работы с программным обеспечением, благодаря которым в разведовательном агентстве ЦРУ способны собирать данные и записи о конкретных людях со всего мира.

Список программ, через которые в ЦРУ могут собирать данные:
Avast
Clam
AVNorton
Kaspersky
AviraESET
McAfee
Zone Alarm
F-Secure
AVG
Rising
Bitdefender
Zemana Antilogger empty
EMET (Enhanced Mitigation Experience Toolkit)
Malwarebytes Anti-Malware
Panda Security
Trend Micro
Symantec
Comodo
Microsoft Security Essentials
GDATA

ИМХО 99% уверен, в агнитуме тоже есть закладочка на прощанье.

дай пожалуйста пруф желательно на Wikileaks

 

[Bypass]

дай пожалуйста пруф желательно на Wikileaks

Ссылка скрыта от гостей

p.s
В рассекреченных документах сообщается “Основные пользователи Comodo - клинические параноики, многие из которых не спешили обновиться даже до 6.X версии. Это какой-то позор, потому что продукт содержит просто огромную дыру в безопасности. Если бы такая дыра была на дорожном покрытии, то преодолеть ее можно было только грузовиком с огромными колесами”.
Comodo отреагировала на данную публикацию. В сообщении электронной почты представитель компании сообщает: “Самые страшные вещи не сообщаются ЦРУ, потому что они связаны с самим ЦРУ.

“Лаборатория Касперского” является одной из самой крупной компании в антивирусной индустрии с общей аудиторией более 400 миллионов пользователей.
Компания моментально отреагировала на публикацию WikiLeaks. Уязвимости, которые использовались агентством, уже устранены в антивирусах компании.
ага - старые закрыли, новые закладки открыли.


ИМХО это еще только то что разрешено знать в массе. То что можно было выкинуть в паблик по чей то указке.
А сколько там еще новых "приват зеродэев" наклепали за прошедший год, одному ЦРУ известно.

 

[Mitistofel]

Ссылка скрыта от гостей

p.s
В рассекреченных документах сообщается “Основные пользователи Comodo - клинические параноики, многие из которых не спешили обновиться даже до 6.X версии. Это какой-то позор, потому что продукт содержит просто огромную дыру в безопасности. Если бы такая дыра была на дорожном покрытии, то преодолеть ее можно было только грузовиком с огромными колесами”.
Comodo отреагировала на данную публикацию. В сообщении электронной почты представитель компании сообщает: “Самые страшные вещи не сообщаются ЦРУ, потому что они связаны с самим ЦРУ.

“Лаборатория Касперского” является одной из самой крупной компании в антивирусной индустрии с общей аудиторией более 400 миллионов пользователей.
Компания моментально отреагировала на публикацию WikiLeaks. Уязвимости, которые использовались агентством, уже устранены в антивирусах компании.
ага - старые закрыли, новые закладки открыли.


ИМХО это еще только то что разрешено знать в массе. То что можно было выкинуть в паблик по чей то указке.
А сколько там еще новых "приват зеродэев" наклепали за прошедший год, одному ЦРУ известно.

Ты молодец, постоянно "держишь руку на пульсе". И других держишь в тонусе, и делаешь аккуратнее )

"Malwarebytes Anti-Exploit" and "Malwarebytes Anti-Rootkit" - эти программами лучше не пользоваться?

 

[Bypass]

Ты молодец, постоянно "держишь руку на пульсе". И других держишь в тонусе, и делаешь аккуратнее )

"Malwarebytes Anti-Exploit" and "Malwarebytes Anti-Rootkit" - эти программами лучше не пользоваться?

Это громко сказано я еще долек до совершенства )
По себе скажу я вообще не пользуюсь сторонними средствами "защиты" - настраиваю систему так чтобы без моего ведома не одного пука не было.
Предпочитаю следить за всем сам, по мере своих знаний и возможностей конечно, чем доверять это все мутным програмулинам, особенно с закрытом кодом.

Malwarebytes Anti-Exploit - как сканер нормальная тулза. Просканил раз в месяц, удалил.
За несколько лет жизни без АВ периодически прогоняю разные сканеры в том числе и Malwarebytes все чисто в системе.
Что дает понять и без ав жизнь возможна, если следовать определенным правилам. Сканеры лучше всего юзать в лайве с чеком измененных файлов ( я делал себе такой скрипт он берет хеши всех файлов которые есть в системе, после работы сканера, проверяет изменились ли где хеши если все ровно то хорошо, если будут измененные он показывает какие файлы и восстанавливает из бекапа, такой мини антивирус получился ), мало ли сканер бекдорчик оставит.

 

[Mitistofel]

По себе скажу я вообще не пользуюсь сторонними средствами "защиты" - настраиваю систему так чтобы без моего ведома не одного пука не было.
Предпочитаю следить за всем сам, по мере своих знаний и возможностей конечно, чем доверять это все мутным програмулинам, особенно с закрытом кодом.

Видишь, я ещё не сталкивался с такой информацией, о настройке защиты в ручную. Поэтому использую ПО, которые рекомендуют, разбирающиеся по моему мнению люди...

Malwarebytes Anti-Exploit - как сканер нормальная тулза. Просканил раз в месяц, удалил.

А если не удалять, а просто не включать? Я вот с "Касперским" так и делаю, или так нельзя?

 

[Достоевский Ф.М.]

Видишь, я ещё не сталкивался с такой информацией, о настройке защиты в ручную. Поэтому использую ПО, которые рекомендуют, разбирающиеся по моему мнению люди...

А если не удалять, а просто не включать? Я вот с "Касперским" так и делаю, или так нельзя?

Не спрашивай. Просто установи wireshark и самостоятельно контролируй свою систему.
Отслеживая пакеты, ты сможешь ответить на свои вопросы и опыта наберёшься.
Ответ на твои вопросы звучит так:
С Касперским так нельзя.

 

[Mitistofel]

Не спрашивай. Просто установи wireshark и самостоятельно контролируй свою систему.
Отслеживая пакеты, ты сможешь ответить на свои вопросы и опыта наберёшься.
Ответ на твои вопросы звучит так:
С Касперским так нельзя.

Слышал уже где то подобные советы про "wireshark". Если много людей об этом говорит, значит в этом есть что то стоящее...
Надо будет попрактиковать это дело...
У меня так то "wireshark" установлен, просто я не слежу за ним...

А с "Касперским" я скорее всего буду делать так - буду его устанавлить, обновляться по полной, проверять ПК без доступа к интернету, и сразу же удалять... И так по кругу...