Look'n'Stop - pytanie o konfigurację i filozofię działania

[Houdini]

Witam. Próbuję ogarnąć tego firewalla i w związku z tym mam kilka pytań, widzę że kolega Creer używa więc może coś podpowie.

Uruchamiając jakąś aplikację która chce dostępu do internetu wyskakuje okienko o zablokowanie/przepuszczenie. Jeśli kliknę "przepuść" aplikacja zostaje dodana do zakładki filtra aplikacji. Czy to oznacza że ta aplikacja ma nieograniczony dostęp do netu? A jeśli chciałbym pozwolić jej przykładowo na połączenie tylko z konkretnym IP to jak powinienem taką regułę zastosować?
Powinienem w zakładce "filtr sieciowy" utworzyć 2 reguły, jedna blokująca aplikację a druga nad nią dopuszczająca w określonej sytuacji? Dobrze kombinuję?

[Creer]

Witaj,

Uruchamiając jakąś aplikację która chce dostępu do internetu wyskakuje okienko o zablokowanie/przepuszczenie. Jeśli kliknę "przepuść" aplikacja zostaje dodana do zakładki filtra aplikacji. Czy to oznacza że ta aplikacja ma nieograniczony dostęp do netu?

I tak i nie. Look ''n'' Stop nie posiada czegos takiego jak tryb "learning mode" bo... jest on zbedny. Tak jak napisales - gdy klikasz przepusc w pojawiajacym sie monicie o polaczeniu wychodzacym, ktore probuje zrealizowac jakas aplikacja - umozliwiasz jej dostep do Internetu ograniczonytylko i wylacznie regulami zamieszczonymi w zakladce "Internet Filtering".
BTW. jest nawet takie powiedzenie dot. LNS: There is no learning mode there are only learning users ;)

A jeśli chciałbym pozwolić jej przykładowo na połączenie tylko z konkretnym IP to jak powinienem taką regułę zastosować?Powinienem w zakładce "filtr sieciowy" utworzyć 2 reguły, jedna blokująca aplikację a druga nad nią dopuszczająca w określonej sytuacji? Dobrze kombinuję?

Zakladka "Application Filtering" sluzy glownie ustalaniu regul dla okreslonych aplikacji ktore dzialaja w trybie client mode.
Zakladka "Internet Filtering" (dalej okreslane jako IF) i reguly w niej zawarte dotycza wszystkichaplikacji, uslug (zarowno tych dzialajacych w trybie client mode np. przegladarka WWW, jak i tych ktore dzialaja jako serwer - nasluchuja na okreslonych portach np. program typu P2P, Skype, etc...)
Filozofia jest taka: nie ufasz aplikacji = nie zezwalasz na dostep do Internetu (stad tez w zakladce "Application Filtering" (dalej okreslane jako AF) brak predefiniowanych regul). Jesli bardzo chcesz z okreslonych powodow nadac restrykcje dla danej aplikacji w zakladce AF musisz kliknac dwukrotnie na nazwie aplikacji dla ktorej chcesz stworzyc ograniczenia i w zaleznosci co chcesz zrobic - masz 4 mozliwosci:
- porty ktore chcesz zablokowac/zezwolic dla protokolu TCP,
- porty ktore chcesz zablokowac/zezwolic dla protokolu UDP,
- IP adres/adresy ktorym chcesz zezwolic/zablokowac dla protokolu TCP,
- IP adres/adresy ktorym chcesz zezwolic/zablokowac dla protokolu UDP,
Uzywasz ";" jako separatora, "-" aby okreslic zakres portow/adresow oraz "!" w celu zablokowania.
Np. aby zablokowac zakres IP 192.168.0.1 az do 192.168.0.100 oraz 192.168.100.100 musisz wprowadzic taki zapis:
!192.168.0.1-192.168.0.100;!192.168.100.100
Kazda aplikacja w zakladce AF z jakakolwiek restrykcja (czy to IP czy portow) wyswietla obok po lewej stronie zolte koleczko (normalnie gdy nie ma zadnych restrykcji koleczko jest zielone).

Powinienem w zakładce "filtr sieciowy" utworzyć 2 reguły, jedna blokująca aplikację a druga nad nią dopuszczająca w określonej sytuacji? Dobrze kombinuję?

Filtr sieciowy? domyslam sie ze chodzio zakladke Internet Filtering (ach to polskie tlumaczenie ;) )
Odpowiadajac na pytanie - tworzysz zapis w zakladce AF dla danej aplikacji podobny do tego wyzej tylko bez "!"
Np: 192.168.100.201
Czyli pozwalaj na polaczenia wychodzace tylko pod IP: 192.168.100.201, inne polaczenia sa odrzucane.

[Houdini]

Dzięki wielkie za garść wyjaśnień. Gdy pisałem pierwszego posta nie miałem jeszcze zaptaszkowanego ''Advanced Mode'' w Advanced Options i nie miałem opcji edycji w zakładce aplikacji. Teraz już mi się trochę rozjaśniło
Jeszcze mam pytanie odnośnie logów. Czy jest możliwość zobaczenia do jakiej aplikacji jest przypisane zdarzenie z logu? W zakładce z aplikacjami pod prawoklikiem mamy opcję Log->None/Simple/Full, LnS zapisuje gdzieś aktywność danej aplikacji czy wrzuca po prostu do tego zbiorczego loga?

[Creer]

You''re welcome :)

Czy jest możliwość zobaczenia do jakiej aplikacji jest przypisane zdarzenie z logu? W zakładce z aplikacjami pod prawoklikiem mamy opcję Log->None/Simple/Full, LnS zapisuje gdzieś aktywność danej aplikacji czy wrzuca po prostu do tego zbiorczego loga?

Simple - w logu pojawiaja sie tylkoinformacje o zablokowanych zdarzeniach
Full - w logu beda zablokowane i dopuszczone zdarzenia

Wszystko jest razem wrzucane do zakladki Log > polaczenia zablokowane maja minus, te ktore sa dopuszczone - plus np.
U-60 oznacza zablokowane polaczenie wychodzace, 60 to numer zdarzenia wyswietlonego w logu od uruchomienia systemu
D+61 oznacza polaczenie przychodzace ktore zostalo dopuszczone (zadna regula go nie zabronila).

Ogolnie logi sa wylaczone domyslnie, ich wlaczenie dla poszczegolnych aplikacji ogranicza sie tylko do diagnostyki - w razie jakichs problemow z aplikacja ktora nie chce sie polaczyc (lub chcemy zobaczyc jakie porty wykorzystuje dana aplikacja). Posiadanie opcji logow dla aplikacji wlaczonej non stop mija sie z celem i moze generowac nieskonczenie dlugie logi oraz niepotrzebnie obciazac system (obciazenie niewielkie ale jednak).

---

Dodano: 21 lut 2011, 2011 19:33

W Opcjach mozesz zdefiniowac zapisywanie logow do pliku.

[Houdini]

Jeszcze raz dzięki za informacje

[Creer]

Prosze bardzo, obcowanie z tym FW to czysta przyjemnosc, tak samo jak dzielenie sie swoja wiedza z innymi :)

[Konto usunięte]

Zainstalowałem u siebie aby przetestować i mam pewne pytanie. Zrobiłem tak:
- instalacja bezproblemowa
- ustawienie wg. tematu na Wildersach (nie licząc sprawdzania DLLek, bo opcja jest "na szaro" i nie mogę nic tam zmienić)
- w ramach powyższego ustawienie rozszerzonej listy reguł + import (WiFi po WPA, FTP)
- dodatkowe zmiany wymienione w przyklejonym temacie przez Creera

Póki co nie miałem programu, który byłby niezaufany i miałbym mu dać blokowane, tak więc daję na allow i są dla nich stosowane te reguły z zakładki "Internet Filtering".

No i pytanie brzmi: to tyle?
Jest sens bawić się właśnie w dodatkowe ustawianie, np. tylko wybrane porty dla przeglądarki, czy zupełnie nie ma takiej potrzeby i tylko zezwalać/blokować w zależności od naszego zaufania względem aplikacji?

[Creer]

Nie pamietam dokladnie ale wydaje mi sie ze gdzies czytalem ze opcja wykrywania plikow DLL jest wlasnie wylaczona pod architektura 64-bit.

Apropos sensu - mozna to rozpatrywac dwojako.
Jezeli bierzemy pod uwage aspekt bezpieczenstwa - to tak, takie dzialanie ma sens, poniewaz jest to tzw. hardening w tym przypadku regul dla danej aplikacji. Ograniczasz polaczenia wychodzace w zakladce Application Filtering tylko do tych co do ktorych masz 100% pewnosc, ktore dana zaufana aplikacja wykorzystuje w trakcie dzialania w systemie.
(W przypadku reinstalacji systemu/aplikacji, reguly z zakladki Application Filtering - sa zapisywane w pliku lns.reg w katalogu: C:\Users\UserName\AppData\Local\looknstop) - jesli tego pliku tam nie ma, trzeba wlaczyc poprzez zaptaszkowanie checkbox-a opcje "Extra Save" w zakladce Options w LnS.

Jezeli bierzemy pod uwage aspekt "out of the box" - czyli gotowosc do dzialania bez zadnych specjalnych dodatkowych ustawien (opcja dla wiekszosci uzytkownikow) to mozemy wyzej opisana czynnosc pominac. Jednak cos za cos. Niby aplikacja/usluga systemowa jest zaufana ale jaka mamy pewnosc ze np w przypadku doprowadzenia do infekcji systemu, malware nie bedzie chcialo za jej pomoca wyslac danych na inny remote port (np SVChost.exe). Naturalnie nie mozna tez popadac w obsesje ale warto wiedziec ze cos takiego moze miec miejsce, szczegolnie w sytuacji gdy linia obrony naszego systemu jest tylko jedna warstwa (z trzech mozliwych) ochronna.

[Konto usunięte]

Ok, rozumiem
A mam jeszcze pytanko - mam teraz w sumie kilka interfejsów sieciowych:
- wifi - z niego najczęściej internet
- ethernet - z niego internet tylko sporadycznie
- virtualbox 1 - do udostępniania internetu komputerom z vboxa
- virtualbox 2 - do bezpośredniego połączenia w wewnętrzną sieć komputerów z vboxa
- comodo vpn (gry w sieci ze znajomymi)

Program standardowo oznaczył sobie interfejs wifi i tylko on jest w zakładce options zaznaczony. Jak mam rozumieć, tylko na nim jest filtrowanych ruch, tak?
Czy warto włączać na inne z wyżej wymienionych?

[Creer]

Tak.
Tylko jeden interface w danym momencie moze byc wykorzystywany do polaczenia. LnS domyslne (zaznaczona opcja Automatic) wybiera interface sieciowy - przy czym moze czasem sie pomylic. Aby sprawdzic czy wybralismy lub LnS wybral poprawny interface wystarczy wejsc na zakladke Welcome (pierwsza zakladka) i sprawdzic czy adres IP jest poprawny oraz czy w nizej umiejscowionej statystyce "cos" sie dzieje :)
Taki zabieg - weryfikacji robimy glownie przy pierwszej instalacji programu oraz przy zmiane sieci/rodzaju polaczenia (kabel/Wifi) aby upewnic sie ze wszystko jest OK. Trzeba na to zwracac szczegolna uwage i pamietac o tym.