Перейти к содержанию
Qroxz

Тестирование фаерволов I (подготовка)

Recommended Posts

Виталий Я.

Касательно теста фаерволов: извините, но системы а-ля WinXP древнее SP2 нельзя тестировать. Аргументы разумным людям не нужны, надеюсь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hitman_007

А список продуктов для теста будет заведомо разглашаться? :) Зная нежелание тестить бетки, но все же можно просьбу - включить заранее CIS 5 ? Он вроде уже и RC даже. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

hitman_007, мы сейчас еще на стадии подготовки методики, так как четкого видения как должны правильно тестировать фаеры нет, что показало обсуждение выше.

Я склоняюсь к тому, что нужно докручивать систему Матюшека + писать свои скрипты, которых у него нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GRINDERs

Когда будут результаты тестов фаерволов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Мы сейчас приступаем к разработке своего инструментария для тестов, без этого никак качественно сделать тест не получится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GRINDERs

Тест фаерволов будет проводится с настройками по умолчанию? Есть ли список, какие фаерволы включены в тестирование (будут включены)? Особое внимание хотелось бы уделить бесплатным, типа Online Armor Free и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Тест фаерволов будет проводится с настройками по умолчанию?

А вот давайте обсудим, с какими настройками его нужно проводить. И вообще, что считать для фаервола настройками по умолчанию? Это большой вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GRINDERs
А вот давайте обсудим, с какими настройками его нужно проводить. И вообще, что считать для фаервола настройками по умолчанию? Это большой вопрос.

Имеется ввиду, что не все пользователи способны грамотно настроить фаер: какие порты закрыть и т.п. По сути очень много людей, которые даже не знают, что такое функция обучения фаервола. Так скажем, домохозяйка хочет чтобы у неё на компе стоял бесплатный АВ и Фаервол, но так чтобы ей ничего не пришлось особо то и делать. Дальше можно уже не продолжать. Я к тому, что меня многие просят поставить им защиту на ПК и чтобы они не парились. По своему опыту таким людям ставлю: Online Armor Free (rus) + AVIRA Personal

Да кст, советы приветствуются :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
100500 кило

Как проходят дела в подготовке теста? прошло уже половина февраля, но пока как то глухо. Когда ожидать результатов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hitman_007
Как проходят дела в подготовке теста? прошло уже половина февраля, но пока как то глухо. Когда ожидать результатов?

Перечитайте пост 28 :rolleyes: .

Это только лишь подготовка, в заголовке указано. Тут пока что рассуждают, как проводить тестирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Методология теста уже готова, все достаточно подробно описано ;) Как-только пройдет внутреннее обсуждение опубликуем основные ее моменты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GRINDERs
Методология теста уже готова, все достаточно подробно описано ;) Как-только пройдет внутреннее обсуждение опубликуем основные ее моменты.

Ждём не дождёмся :)

Вообще интересно было бы посмотреть как фаеры будут защищать после режима автообучения после запуска всех прог на компе, а потом поставить в режим блокировки и не лазить в ручное управление. И сколько вопросов будет задавать фаер, а то можно чокнуться от них :) Это как в http://www.anti-malware.ru/hips_test_ring0_2010 похоже будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GRINDERs

Что-то снова затишье. Какие новости по поводу теста фаерволов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lias

Скоро на сайте....

январь - нализ рынка средств шифрования и аутентификации в России 2009-2011

февраль - Тест персональных фаерволов

уже март, господа, обновляйте главную страницу... :/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
И вообще, что считать для фаервола настройками по умолчанию?

Имхо, данный тест необходим (т.к видна некая тенденция в эту сторону, при отсутствии серьезных тестов и определения что такое все-таки фаервол).

Т.к речь идет о тестировании, то в этом контексте вкладывается следующий смысл: от каких хитрых попыток скачивания/отправки информации в/из сеть(и) защищают такие-то фаерволы и насколько хорошо.

Потому сразу в лоб вопросы:

1. Насколько часто встречаются зловреды с чистыми обходами (т.е без использования одной/нескольких из нижеописанных действий) фаерволов? :)

2. Нажать кнопочку "да" на алерте это уже не чистый обход. Это уже атака на гуй. Обязан ли фаер защищаться от этого?

3. Все атакующие малваре отпадают - т.к это уже будет тест на самозащиту.

4. Все кто ставит драйвер тоже отпадают? Т.к это уже будет тест на проникновение в ring-0

5. Использование доверенных приложений (браузеров, например) тоже отпадает? Это ведь будет тестирование хипс-компоненты...

6. CreateRemoteThread куда отнесем? Понимаю, что он слегка на ладан дышит, но все-таки, куда его отнести?

7. Редактирование реестра с целью внедрения куда надо зловредной dll это как классифицировать?

8. Файл хостс, шасшаривание?

Если предположить защиту от всего, то получится тестирование "всего ав-комплекса кроме антиспама и антивируса"

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GRINDERs

Здесь кто-нибудь есть? На вопросы не хотите ответить? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Имхо, данный тест необходим (т.к видна некая тенденция в эту сторону, при отсутствии серьезных тестов и определения что такое все-таки фаервол).

Т.к речь идет о тестировании, то в этом контексте вкладывается следующий смысл: от каких хитрых попыток скачивания/отправки информации в/из сеть(и) защищают такие-то фаерволы и насколько хорошо.

Потому сразу в лоб вопросы:

1. Насколько часто встречаются зловреды с чистыми обходами (т.е без использования одной/нескольких из нижеописанных действий) фаерволов? :)

2. Нажать кнопочку "да" на алерте это уже не чистый обход. Это уже атака на гуй. Обязан ли фаер защищаться от этого?

3. Все атакующие малваре отпадают - т.к это уже будет тест на самозащиту.

4. Все кто ставит драйвер тоже отпадают? Т.к это уже будет тест на проникновение в ring-0

5. Использование доверенных приложений (браузеров, например) тоже отпадает? Это ведь будет тестирование хипс-компоненты...

6. CreateRemoteThread куда отнесем? Понимаю, что он слегка на ладан дышит, но все-таки, куда его отнести?

7. Редактирование реестра с целью внедрения куда надо зловредной dll это как классифицировать?

8. Файл хостс, шасшаривание?

Если предположить защиту от всего, то получится тестирование "всего ав-комплекса кроме антиспама и антивируса"

:)

Хорошие вопросы. И некоторые мысли по пунктам (для тех, кто планирует проводить тест):

1. -

2. А правильно ли считать ответ ("да") на алерт файрвола - атакой на гуй? Ведь любой даже самый что ни на есть "лояльный" файрвол что-нибудь, когда-нибудь да должен спросить у пользователя (особенно, если речь идет о контроле приложений). Формально, вроде правильно, но в реальности это нормальное взаимодействие ПО и человека.

3. -

п.4 и 5. На мой взгляд, в некоторых продуктах (по крайней мере в тех, что приходилось встречать на домашней машине) интеграция хипс и фарвола довольно сильна и, отделяя одно от другого, есть риск осуществить тест чуть ли не только пакетного фильтра, что, в свою очередь заметно скажется на результатах - как раз пакетные фильтры наверняка, если не у всех, то у многих - будут работать одинаково хорошо. Думается, что современный файрвол наивно проверять только на контроль портов, когда основной задачей уже давно является именно контроль приложений (а тут опять эта пресловутая хипс вылазит в полный рост).

6. -

7. На мой не сведущий взгляд - предполагаю, что подобная задача присуща зловредам, а это уже работа для антивирусной составляющей.

8. По идее, если не о пакетных фильтрах речь, то защищать hosts файрвол должен. Но вот расшаренные ресурсы: теоретически, если пользователь разрешил доступ к каким-то ресурсам у себя на машине, то файрвол дальше уже не может (и не должен) защищать - как его проверять, здесь речь идет уже больше о самозащите ОС.

В итоге:

1. как методология проведения теста будет учитывать "обучение": будет ли оно предварительно проводиться на "эталонной системе" или "сразу в бой"?

2. А современный файрвол без хипс - файрвол ли, или полноценен ли он?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
А правильно ли считать ответ ("да") на алерт файрвола - атакой на гуй? Ведь любой даже самый что ни на есть "лояльный" файрвол что-нибудь, когда-нибудь да должен спросить у пользователя (особенно, если речь идет о контроле приложений). Формально, вроде правильно, но в реальности это нормальное взаимодействие ПО и человека.

Имеется в виду не нажатие человеком кнопки, а малваре. Зловред в цикле ищет нужное по заголовку и/или классу и посылает в него нужное сообщение (нажимает разрешающую кнопку). С современными ав-комплексами (касперский, например) таким простым способом уже давно расправиться не выйдет, но в тесте же не один Касперский :)

Раньше это было настолько распространено и настолько просто (несколько строк кода), что подобный функционал встраивали даже в крипторы....

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
KAOR

Познавательно) В руки попадали комодо и KIS 2011 в Касперском фаервол более прост для юзера и понятен, но не теряет хорошой работоспособности и высокого уровня защиты. Тесты для фаервола прошел норм. (2ip) А вообще ща уже тенденция "все в одном" и многие компании стремятся к развитию комплексных продуктов... ну оно и правильно на мой взгляд)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vofres
А вообще ща уже тенденция "все в одном" и многие компании стремятся к развитию комплексных продуктов... ну оно и правильно на мой взгляд)

Ну не знаю. Странная, на мой взгляд, тенденция. Судя по Википедии основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Объясните мне, непосвященному - на кой ляд нужен фаерволл пользователю, который сидит в сети за роутером? Пользователи локальной сети провайдера его даже пингануть не могут, не говоря о прочем. Так зачем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Объясните мне, непосвященному - на кой ляд нужен фаерволл пользователю, который сидит в сети за роутером? Пользователи локальной сети провайдера его даже пингануть не могут, не говоря о прочем. Так зачем?

А контроль программ? Железный фаервол, это просто кусок железа (под никсами) в который забиты правила что пропуска, а что нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Vofres
А контроль программ? Железный фаервол, это просто кусок железа (под никсами) в который забиты правила что пропуска, а что нет.

Под контролем программ, как я понимаю, понимается не только и не столько конторль доступа программ в сеть (это да, прерогатива фаервола), но и анализ вредоносности или невредоносности поведения ( а вот это уже задача антивируса). Имхо абсолютно неправильно, что эту функцию пихают именно в фаервол.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Под контролем программ, как я понимаю, понимается не только и не столько конторль доступа программ в сеть (это да, прерогатива фаервола), но и анализ вредоносности или невредоносности поведения ( а вот это уже задача антивируса). Имхо абсолютно неправильно, что эту функцию пихают именно в фаервол.

По поводу вредоносности, возможно, правильная позиция - это дело антивируса. Но если речь идет о легитимном поведении программ? Например, какое-нибудь легальное приложение, пусть это будет эксель, полезет в сеть: приложение легальное, как бы даже не вредоносное, но по тем или иным причинам пользователю совершенно не нужно, чтобы этот самый эксель лез в сеть. Что делать? Антивирусу же не скажешь, что это зловред (а если скажешь - как работать тогда?) - вот здесь как раз задача файрвола, а именно - контроля программ ибо фильтрация по портам не подойдет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GRINDERs
вот здесь как раз задача файрвола, а именно - контроля программ ибо фильтрация по портам не подойдет.

Не только фаервола, достаточно песочницы ибо помещение программ в недоверенные предотвратит заражение системы и эффективность может дойти до 100%, а антивиурс - это всего лишь подстраховка ;)

В тестировании фаеровлов я уверен, что выиграет DefenseWall Personal Firewall, ваще крутая прога с мощной песочницей и минимум запросов. Потом Online Armor - тоже крут, но запросов больше, зато более информативно и кст бесплатно. COMODO уже более проф. продукт, в её песочнице ещё не совсем уверен т.к. раньше не совсем стабильно у меня работала, поэтому и не пользуюсь COMODO

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
выиграет DefenseWall Personal Firewall

Ага, а на 64-битах порвет всех.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×