Тестирование фаерволов I (подготовка)

[Виталий Я. 859]

Касательно теста фаерволов: извините, но системы а-ля WinXP древнее SP2 нельзя тестировать. Аргументы разумным людям не нужны, надеюсь?

[hitman_007 25]

А список продуктов для теста будет заведомо разглашаться? Зная нежелание тестить бетки, но все же можно просьбу - включить заранее CIS 5 ? Он вроде уже и RC даже.

[Сергей Ильин 1538]

hitman_007, мы сейчас еще на стадии подготовки методики, так как четкого видения как должны правильно тестировать фаеры нет, что показало обсуждение выше.

Я склоняюсь к тому, что нужно докручивать систему Матюшека + писать свои скрипты, которых у него нет.

[GRINDERs 35]

Когда будут результаты тестов фаерволов?

[Сергей Ильин 1538]

Мы сейчас приступаем к разработке своего инструментария для тестов, без этого никак качественно сделать тест не получится.

[GRINDERs 35]

Тест фаерволов будет проводится с настройками по умолчанию? Есть ли список, какие фаерволы включены в тестирование (будут включены)? Особое внимание хотелось бы уделить бесплатным, типа Online Armor Free и т.д.

[Сергей Ильин 1538]

Тест фаерволов будет проводится с настройками по умолчанию?

А вот давайте обсудим, с какими настройками его нужно проводить. И вообще, что считать для фаервола настройками по умолчанию? Это большой вопрос.

[GRINDERs 35]

А вот давайте обсудим, с какими настройками его нужно проводить. И вообще, что считать для фаервола настройками по умолчанию? Это большой вопрос.

Имеется ввиду, что не все пользователи способны грамотно настроить фаер: какие порты закрыть и т.п. По сути очень много людей, которые даже не знают, что такое функция обучения фаервола. Так скажем, домохозяйка хочет чтобы у неё на компе стоял бесплатный АВ и Фаервол, но так чтобы ей ничего не пришлось особо то и делать. Дальше можно уже не продолжать. Я к тому, что меня многие просят поставить им защиту на ПК и чтобы они не парились. По своему опыту таким людям ставлю: Online Armor Free (rus) + AVIRA Personal

Да кст, советы приветствуются

[100500 кило 0]

Как проходят дела в подготовке теста? прошло уже половина февраля, но пока как то глухо. Когда ожидать результатов?

[hitman_007 25]

Как проходят дела в подготовке теста? прошло уже половина февраля, но пока как то глухо. Когда ожидать результатов?

Перечитайте пост 28 .

Это только лишь подготовка, в заголовке указано. Тут пока что рассуждают, как проводить тестирование.

[Сергей Ильин 1538]

Методология теста уже готова, все достаточно подробно описано Как-только пройдет внутреннее обсуждение опубликуем основные ее моменты.

[GRINDERs 35]

Методология теста уже готова, все достаточно подробно описано Как-только пройдет внутреннее обсуждение опубликуем основные ее моменты.

Ждём не дождёмся

Вообще интересно было бы посмотреть как фаеры будут защищать после режима автообучения после запуска всех прог на компе, а потом поставить в режим блокировки и не лазить в ручное управление. И сколько вопросов будет задавать фаер, а то можно чокнуться от них Это как в http://www.anti-malware.ru/hips_test_ring0_2010 похоже будет

[GRINDERs 35]

Что-то снова затишье. Какие новости по поводу теста фаерволов?

[Lias 5]

Скоро на сайте....

январь - нализ рынка средств шифрования и аутентификации в России 2009-2011

февраль - Тест персональных фаерволов

уже март, господа, обновляйте главную страницу... :/

[priv8v 960]

И вообще, что считать для фаервола настройками по умолчанию?

Имхо, данный тест необходим (т.к видна некая тенденция в эту сторону, при отсутствии серьезных тестов и определения что такое все-таки фаервол).

Т.к речь идет о тестировании, то в этом контексте вкладывается следующий смысл: от каких хитрых попыток скачивания/отправки информации в/из сеть(и) защищают такие-то фаерволы и насколько хорошо.

Потому сразу в лоб вопросы:

1. Насколько часто встречаются зловреды с чистыми обходами (т.е без использования одной/нескольких из нижеописанных действий) фаерволов?

2. Нажать кнопочку "да" на алерте это уже не чистый обход. Это уже атака на гуй. Обязан ли фаер защищаться от этого?

3. Все атакующие малваре отпадают - т.к это уже будет тест на самозащиту.

4. Все кто ставит драйвер тоже отпадают? Т.к это уже будет тест на проникновение в ring-0

5. Использование доверенных приложений (браузеров, например) тоже отпадает? Это ведь будет тестирование хипс-компоненты...

6. CreateRemoteThread куда отнесем? Понимаю, что он слегка на ладан дышит, но все-таки, куда его отнести?

7. Редактирование реестра с целью внедрения куда надо зловредной dll это как классифицировать?

8. Файл хостс, шасшаривание?

Если предположить защиту от всего, то получится тестирование "всего ав-комплекса кроме антиспама и антивируса"

[GRINDERs 35]

Здесь кто-нибудь есть? На вопросы не хотите ответить?

[deviss 75]

Имхо, данный тест необходим (т.к видна некая тенденция в эту сторону, при отсутствии серьезных тестов и определения что такое все-таки фаервол).

Т.к речь идет о тестировании, то в этом контексте вкладывается следующий смысл: от каких хитрых попыток скачивания/отправки информации в/из сеть(и) защищают такие-то фаерволы и насколько хорошо.

Потому сразу в лоб вопросы:

1. Насколько часто встречаются зловреды с чистыми обходами (т.е без использования одной/нескольких из нижеописанных действий) фаерволов?

2. Нажать кнопочку "да" на алерте это уже не чистый обход. Это уже атака на гуй. Обязан ли фаер защищаться от этого?

3. Все атакующие малваре отпадают - т.к это уже будет тест на самозащиту.

4. Все кто ставит драйвер тоже отпадают? Т.к это уже будет тест на проникновение в ring-0

5. Использование доверенных приложений (браузеров, например) тоже отпадает? Это ведь будет тестирование хипс-компоненты...

6. CreateRemoteThread куда отнесем? Понимаю, что он слегка на ладан дышит, но все-таки, куда его отнести?

7. Редактирование реестра с целью внедрения куда надо зловредной dll это как классифицировать?

8. Файл хостс, шасшаривание?

Если предположить защиту от всего, то получится тестирование "всего ав-комплекса кроме антиспама и антивируса"

Хорошие вопросы. И некоторые мысли по пунктам (для тех, кто планирует проводить тест):

1. -

2. А правильно ли считать ответ ("да") на алерт файрвола - атакой на гуй? Ведь любой даже самый что ни на есть "лояльный" файрвол что-нибудь, когда-нибудь да должен спросить у пользователя (особенно, если речь идет о контроле приложений). Формально, вроде правильно, но в реальности это нормальное взаимодействие ПО и человека.

3. -

п.4 и 5. На мой взгляд, в некоторых продуктах (по крайней мере в тех, что приходилось встречать на домашней машине) интеграция хипс и фарвола довольно сильна и, отделяя одно от другого, есть риск осуществить тест чуть ли не только пакетного фильтра, что, в свою очередь заметно скажется на результатах - как раз пакетные фильтры наверняка, если не у всех, то у многих - будут работать одинаково хорошо. Думается, что современный файрвол наивно проверять только на контроль портов, когда основной задачей уже давно является именно контроль приложений (а тут опять эта пресловутая хипс вылазит в полный рост).

6. -

7. На мой не сведущий взгляд - предполагаю, что подобная задача присуща зловредам, а это уже работа для антивирусной составляющей.

8. По идее, если не о пакетных фильтрах речь, то защищать hosts файрвол должен. Но вот расшаренные ресурсы: теоретически, если пользователь разрешил доступ к каким-то ресурсам у себя на машине, то файрвол дальше уже не может (и не должен) защищать - как его проверять, здесь речь идет уже больше о самозащите ОС.

В итоге:

1. как методология проведения теста будет учитывать "обучение": будет ли оно предварительно проводиться на "эталонной системе" или "сразу в бой"?

2. А современный файрвол без хипс - файрвол ли, или полноценен ли он?

[priv8v 960]

А правильно ли считать ответ ("да") на алерт файрвола - атакой на гуй? Ведь любой даже самый что ни на есть "лояльный" файрвол что-нибудь, когда-нибудь да должен спросить у пользователя (особенно, если речь идет о контроле приложений). Формально, вроде правильно, но в реальности это нормальное взаимодействие ПО и человека.

Имеется в виду не нажатие человеком кнопки, а малваре. Зловред в цикле ищет нужное по заголовку и/или классу и посылает в него нужное сообщение (нажимает разрешающую кнопку). С современными ав-комплексами (касперский, например) таким простым способом уже давно расправиться не выйдет, но в тесте же не один Касперский

Раньше это было настолько распространено и настолько просто (несколько строк кода), что подобный функционал встраивали даже в крипторы....

[KAOR 5]

Познавательно) В руки попадали комодо и KIS 2011 в Касперском фаервол более прост для юзера и понятен, но не теряет хорошой работоспособности и высокого уровня защиты. Тесты для фаервола прошел норм. (2ip) А вообще ща уже тенденция "все в одном" и многие компании стремятся к развитию комплексных продуктов... ну оно и правильно на мой взгляд)

[Vofres 20]

А вообще ща уже тенденция "все в одном" и многие компании стремятся к развитию комплексных продуктов... ну оно и правильно на мой взгляд)

Ну не знаю. Странная, на мой взгляд, тенденция. Судя по Википедии основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Объясните мне, непосвященному - на кой ляд нужен фаерволл пользователю, который сидит в сети за роутером? Пользователи локальной сети провайдера его даже пингануть не могут, не говоря о прочем. Так зачем?

[priv8v 960]

Объясните мне, непосвященному - на кой ляд нужен фаерволл пользователю, который сидит в сети за роутером? Пользователи локальной сети провайдера его даже пингануть не могут, не говоря о прочем. Так зачем?

А контроль программ? Железный фаервол, это просто кусок железа (под никсами) в который забиты правила что пропуска, а что нет.

[Vofres 20]

А контроль программ? Железный фаервол, это просто кусок железа (под никсами) в который забиты правила что пропуска, а что нет.

Под контролем программ, как я понимаю, понимается не только и не столько конторль доступа программ в сеть (это да, прерогатива фаервола), но и анализ вредоносности или невредоносности поведения ( а вот это уже задача антивируса). Имхо абсолютно неправильно, что эту функцию пихают именно в фаервол.

[deviss 75]

Под контролем программ, как я понимаю, понимается не только и не столько конторль доступа программ в сеть (это да, прерогатива фаервола), но и анализ вредоносности или невредоносности поведения ( а вот это уже задача антивируса). Имхо абсолютно неправильно, что эту функцию пихают именно в фаервол.

По поводу вредоносности, возможно, правильная позиция - это дело антивируса. Но если речь идет о легитимном поведении программ? Например, какое-нибудь легальное приложение, пусть это будет эксель, полезет в сеть: приложение легальное, как бы даже не вредоносное, но по тем или иным причинам пользователю совершенно не нужно, чтобы этот самый эксель лез в сеть. Что делать? Антивирусу же не скажешь, что это зловред (а если скажешь - как работать тогда?) - вот здесь как раз задача файрвола, а именно - контроля программ ибо фильтрация по портам не подойдет.

[GRINDERs 35]

вот здесь как раз задача файрвола, а именно - контроля программ ибо фильтрация по портам не подойдет.

Не только фаервола, достаточно песочницы ибо помещение программ в недоверенные предотвратит заражение системы и эффективность может дойти до 100%, а антивиурс - это всего лишь подстраховка

В тестировании фаеровлов я уверен, что выиграет DefenseWall Personal Firewall, ваще крутая прога с мощной песочницей и минимум запросов. Потом Online Armor - тоже крут, но запросов больше, зато более информативно и кст бесплатно. COMODO уже более проф. продукт, в её песочнице ещё не совсем уверен т.к. раньше не совсем стабильно у меня работала, поэтому и не пользуюсь COMODO

[Виталий Я. 859]

выиграет DefenseWall Personal Firewall

Ага, а на 64-битах порвет всех.