Тестирование фаерволов I (подготовка)

[GRINDERs 35]

HIPS - это реальная тема, и должна быть либо в антивирусе, либо в фаерволе либо как отдельный продукт

[sww 486]

А какое отношение имеют подобные пункты к тестированию _фаерволлов_ ?

Наверное потому что кроме тупых ботов на вижуалбейсике есть и те, которые используют дрова для обхода фаерволлов.

Вообще, при пропуске чего-либо в ядро лососнут как фаерволлы (с хипс/без хипс - пофиг), так и любые анти-вирусные продукты.

Ваш К.О.

[Dmitriy K 603]

Хорошому фаерволу просто не нужен HIPS, если он грамотно настроен то он просто убьет все неразрешенные подключения как в сеть так и из сети, и дозволит выходить в сеть тем службам, которые разрешены.

Установите фаервол от dr.web и adobe acrobat. Заблокируйте доступ в сеть модулю обновлений - AdobeARM.exe - и попробуйте обновиться

[SDA 750]

Обязательно, это будет базовый уровень защиты. Предполагаю, что у кого-то могут быть результаты ниже базового

Этот "базовый" уровень (настройка фаервола в усиленном режиме) обойдет многих других именитых с навороченными HIPSами Только для теста надо настроить правильно политики

Если виндовый фаервол будет без соответствующей настройки, то пройдет нормально только :

1. Тестирование базовых функций самозащиты,

2. Тест на отражение типовых внешних атак.

[Сергей Ильин 1538]

Если виндовый фаервол будет без соответствующей настройки, то пройдет нормально только :

Какие именно конкретно нужно сделать настройки и как это можно отразить в методологии? Просто если закручивать гайки, то будет нереально что-то сравнить. Так как у всех все будет по-разному.

[ntuser 70]

Почти все приличные решения, которые действительно пользуются авторитетом среди экспертов и продвинутых юзеров имеют в своем составе "проактив" в виде HIPS.

Среди "экспертов и продвинутых юзеров" пользуется авторитетом построение политики безопасности на уровне операционной системы,

а не так называемое "защитное" ПО, роль которого даже не вторична.

Наверное потому что кроме тупых ботов на вижуалбейсике есть и те, которые используют дрова для обхода фаерволлов.

См. выше про политику безопасности.

При использовании ограниченной учетной записи "те, которые используют дрова для обхода фаерволлов" могут лишь "лососнуть" вместе с драйверами.

Вообще меня всегда просто умиляло это откровенное "облошение населения", когда проводятся некие "тестирования" с _правами администратора_

на неком убого-ограниченном наборе техник, и по результатам выносятся заключения об уровне "защиты" в целом,

создавая иллюзию того, что пользователя, работающего с правами администратора, вроде бы как можно "защищать".

[SDA 750]

Какие именно конкретно нужно сделать настройки и как это можно отразить в методологии? Просто если закручивать гайки, то будет нереально что-то сравнить. Так как у всех все будет по-разному.

Ну особо закручивать не надо чтобы штатный фаер был на равных с именитыми, сделать брандмауэр Windows 7 в режиме повышенной безопасности:

- Все подключения "Публичные", то есть - потенциально опасные. В брандмауэре они перемещаются в "Общий профиль". Там блокируются все входящие, запрещён обмен media-файлами, и т.д.

-"Общий доступ и сетевое обнаружение" всё отключено

- все исходящие соединения, для которых нет явных правил блокируются.

В общем как здесь http://technet.microsoft.com/ru-ru/library...px#BKMK_9"

Установить в методологии этот режим для брандмауэра Windows 7. Тогда будет интересно, будет борьба на равных, без этого режима включать фаер в тест нет никакого смысла.

[Сергей Ильин 1538]

Среди "экспертов и продвинутых юзеров" пользуется авторитетом построение политики безопасности на уровне операционной системы,

а не так называемое "защитное" ПО, роль которого даже не вторична.

Это дома то политики безопасности? Для двух с половиной ноутбуков? Вы ничего не путаете? Не мешайте в кучу корпоративные практики и реалии персонального использования компьютеров.

При использовании ограниченной учетной записи "те, которые используют дрова для обхода фаерволлов" могут лишь "лососнуть" вместе с драйверами.

Многие работают под ограниченными учетками? Примерно такое же % как те, что настраивают антивирус/фаервол ручками.

[sww 486]

При использовании ограниченной учетной записи "те, которые используют дрова для обхода фаерволлов" могут лишь "лососнуть" вместе с драйверами.

Редкостная хрень, впрочем, как обычно.

Рекомендую использовать freebsd или еще какое-либо унылое говно, тогда и "вирусы" не страшны.

Вообще меня всегда просто умиляло это откровенное "облошение населения", когда проводятся некие "тестирования" с _правами администратора_

на неком убого-ограниченном наборе техник, и по результатам выносятся заключения об уровне "защиты" в целом,

создавая иллюзию того, что пользователя, работающего с правами администратора, вроде бы как можно "защищать".

Очень даже можно защищать, т.к. исходим из того, что имеем среди большинства.

[GRINDERs 35]

Если накручивать настройки в фаерах, то тогда не понятно будет что лучше, поэтому нужны дефолтные настроки. Можно просто сделать обучение фаера и после обучения уже проводить тест, чтобы узнать на сколько грамотно могут работать все фаера при одной настройки (чтобы были равные условие для всех), т.е. по дефолту так сказать, а то как сравнивать то. А потом для интереса можно дописать в результате, что было бы если запустить это с такой настройках и т.д.

[ntuser 70]

Редкостная хрень, впрочем, как обычно.

Рекомендую использовать freebsd или еще какое-либо унылое говно, тогда и "вирусы" не страшны.

Очень содержательный набор изречений.

Про "пропуск чего-либо в ядро" под ограниченной учеткой что-нибудь рассказать не желаете?

[Карлсон 0]

Какие именно конкретно нужно сделать настройки и как это можно отразить в методологии?

Можно с дефолтными настройками, а затем с максимальной настройкой фаервола. Интересно знать, с какими настройками фаервол будет лучше обеспечивать защиту. Одному фаерволу достаточно дефолтных настроек, чтобы защита была хорошей, а второму поставь максимальные настройки, но защита будет слабой.

[sww 486]

Про "пропуск чего-либо в ядро" под ограниченной учеткой что-нибудь рассказать не желаете?

А ключи от квартиры где деньги лежат вам не выдать? Или я тут должен проводить элементарный ликбез про уязвимости, повышающие привилегии?

Ликвидация безграмотности

[Killer 55]

пользуется авторитетом построение политики безопасности на уровне операционной системы,

Ерунда какая то. Это как? Патчи ставить что ли? На уровне оси без ПО ничего не намутишь, это будет проходной двор просто. И не играет тут роли под админом или гостем залогинен. В последнее время поплыли куча техник, который как два пальца снимают тот де 64-пачгуард, не говоря уж про повышение привилегий с гостя до кернела.

Интересно знать, с какими настройками фаервол будет лучше обеспечивать защиту.

С теми, которые созданы с приминением мозга Если нет сил настроить фаервол - не ставьте его вообще. Все равно смысла нет.

[ntuser 70]

А ключи от квартиры где деньги лежат вам не выдать? Или я тут должен проводить элементарный ликбез про уязвимости, повышающие привилегии?

Очень содержательный набор изречений №2.

Помимо многозначительных бла-бла: "используют дрова для обхода фаерволлов", "уязвимости, повышающие привилегии",

(и прочей муры из серии: сторонняя "защитная" ересь способна защищать от уязвимостей _операционной системы_) конкретика будет?

[Sansero.ee 121]

И всё же, разработчики не в последнюю очередь стремятся к упрощению процесса установки/настройки своего софта простым смертным пользователем, что положительно сказывается на продажах их продукта. Вкупе с тем, что ~70%(или просто большая часть) пользователей персональных компьютеров не обладают достаточными знаниями даже для простейшей настройки, я не думаю что большая часть ПК в сети сидит на грамотно настроенными файрволами, но довольствуется настройками "из коробки"...

Их и будут тестировать...

[Вадим Волков 176]

Цитата(hitman_007 @ 22.03.2011, 10:30)

Trustport internet security может этот взять?

У него 2% по тесту Матюшека. Что ему ловить в нашем тесте ... чисто для массовки?

В этот тест возможно и нет смысла брать, так как уже есть массовка с такими же результатами - одна треть из тестируемых.

[sww 486]

Очень содержательный набор изречений №2.

Помимо многозначительных бла-бла: "используют дрова для обхода фаерволлов", "уязвимости, повышающие привилегии",

(и прочей муры из серии: сторонняя "защитная" ересь способна защищать от уязвимостей _операционной системы_) конкретика будет?

Не вижу смысла вести диалог с упоротыми троллями у которых ЧСВ выше моего, а знаний 0. Я позорно удаляюсь.

[MORDRED 80]

Мы готовы к старту, сейчас формируется команда тестеров из тех, кто уже дал предварительное согласие, и начинаем.

Огласите пожалуйста, имена тех людей, которые будут принимать непосредственное участие, в проводимом тестировании?

[MORDRED 80]

Зарегистрировался полчаса назад с такого IP адреса, не имеет других сообщений под этой учетной записью и сразу задает такой вопрос....

И что не так?

Я Бываю на разных сайтах, мне знакомы имена и ники некоторых пользователей данного сайта, некоторых вижу на форумах разных вендоров, в связи с этим и задал вопрос. Если портал anti-malware.ru провозглашает себя как: независимый информационно-аналитический центр, то соответственно участие в тестированиях должны принимать также независимые люди, которые не связанные ни с одним из вендоров. На мой взгляд это звучит разумно. У меня такое чувство, что у портала anti-malware.ru нет своего штата людей, которые занимаются проведением тестов. К примеру Копейцев, был на сайте VirusInfo.info еще до его продажи, т.е. еще при Касперском, имеет статус хелпера, и старшего хелпера в 911, а тут принимает участие в проводимых тестах, со стороны как то не очень похоже на независимое тестирование...С таким раскладом можно позвать модератора с форума Dr.Web.

[sww 486]

Каждый просто считает своим долгом высказаться за независимость, как же вы надоели.

С таким раскладом можно позвать модератора с форума Dr.Web.

Зовите.

При желании каждый вендор может перепроверить результаты самостоятельно.

[MORDRED 80]

Каждый просто считает своим долгом высказаться за независимость, как же вы надоели.

Зовите.

При желании каждый вендор может перепроверить результаты самостоятельно.

Согласен могут, но не каждый вендор. Проверить могут те вендоры, которые имеют партнерские отношения с сайтом anti-malware.ru, ведь таким вендором отправляются, помимо отчетов, также архивы тулзы утилиты итд. А другим вендором которые не состоят в партнерстве с сайтом, приходится лососнуть тунца, опираясь лишь на отчет о проводимом тесте.

//

Я также не исключаю тот факт что тулзы и утилиты итд, могут передаваться вендору ЛК еще за долго до проведения тестов. Еще не исключаю тот факт, что anti-malware.ru тянут резину с проведением тестов антивируса, а просто ждут выхода новой версии антивируса касперского, которые те в свою очередь смогут улучшить свой фаервол. Как написано в данной теме, тестирование должно было быть еще в прошлом году, но в силу каких то обстоятельств, тест переносился.

Каждый просто считает своим долгом высказаться за независимость

есессно, хватит людей за дураков держать с вашими "независимыми тестами" которые проводит один из участников бывшего касперского сайта.

[Илья Рабинович 521]

хватит людей за дураков держать

А их никто и не держит, они сами приходят.

[priv8v 960]

Фильм "Место встречи изменить нельзя" - вспоминаем момент, где Шарапов спрашивает что-то типа: "да, что мне от них справку принести, что я у них не работаю?!" (когда его приволокли домой к горбатому и начали гнобить на предмет, что он работает в МУРе).

Такое ощущение, что все тесты должен проводить Илья Рабинович, чтобы все довольны независимостью были...

[priv8v 960]

мне тоже нельзя тесты проводить т.к меня можно подкупить(беру деньги в любой валюте)/запугать (бабой ягой)/накормить вкусной шавермой...