Перейти к содержанию
Qroxz

Тестирование фаерволов I (подготовка)

Recommended Posts

GRINDERs

HIPS - это реальная тема, и должна быть либо в антивирусе, либо в фаерволе либо как отдельный продукт

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А какое отношение имеют подобные пункты к тестированию _фаерволлов_ ?

Наверное потому что кроме тупых ботов на вижуалбейсике есть и те, которые используют дрова для обхода фаерволлов.

Вообще, при пропуске чего-либо в ядро лососнут как фаерволлы (с хипс/без хипс - пофиг), так и любые анти-вирусные продукты.

Ваш К.О.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Хорошому фаерволу просто не нужен HIPS, если он грамотно настроен то он просто убьет все неразрешенные подключения как в сеть так и из сети, и дозволит выходить в сеть тем службам, которые разрешены.

Установите фаервол от dr.web и adobe acrobat. Заблокируйте доступ в сеть модулю обновлений - AdobeARM.exe - и попробуйте обновиться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Обязательно, это будет базовый уровень защиты. Предполагаю, что у кого-то могут быть результаты ниже базового :lol:

Этот "базовый" уровень (настройка фаервола в усиленном режиме) обойдет многих других именитых с навороченными HIPSами :lol: Только для теста надо настроить правильно политики :rolleyes:

Если виндовый фаервол будет без соответствующей настройки, то пройдет нормально только :

1. Тестирование базовых функций самозащиты,

2. Тест на отражение типовых внешних атак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Если виндовый фаервол будет без соответствующей настройки, то пройдет нормально только :

Какие именно конкретно нужно сделать настройки и как это можно отразить в методологии? Просто если закручивать гайки, то будет нереально что-то сравнить. Так как у всех все будет по-разному.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
Почти все приличные решения, которые действительно пользуются авторитетом среди экспертов и продвинутых юзеров имеют в своем составе "проактив" в виде HIPS.

Среди "экспертов и продвинутых юзеров" пользуется авторитетом построение политики безопасности на уровне операционной системы,

а не так называемое "защитное" ПО, роль которого даже не вторична.

Наверное потому что кроме тупых ботов на вижуалбейсике есть и те, которые используют дрова для обхода фаерволлов.

См. выше про политику безопасности.

При использовании ограниченной учетной записи "те, которые используют дрова для обхода фаерволлов" могут лишь "лососнуть" вместе с драйверами.

Вообще меня всегда просто умиляло это откровенное "облошение населения", когда проводятся некие "тестирования" с _правами администратора_

на неком убого-ограниченном наборе техник, и по результатам выносятся заключения об уровне "защиты" в целом,

создавая иллюзию того, что пользователя, работающего с правами администратора, вроде бы как можно "защищать".

  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Какие именно конкретно нужно сделать настройки и как это можно отразить в методологии? Просто если закручивать гайки, то будет нереально что-то сравнить. Так как у всех все будет по-разному.

Ну особо закручивать не надо :rolleyes: чтобы штатный фаер был на равных с именитыми, сделать брандмауэр Windows 7 в режиме повышенной безопасности:

- Все подключения "Публичные", то есть - потенциально опасные. В брандмауэре они перемещаются в "Общий профиль". Там блокируются все входящие, запрещён обмен media-файлами, и т.д.

-"Общий доступ и сетевое обнаружение" всё отключено

- все исходящие соединения, для которых нет явных правил блокируются.

В общем как здесь http://technet.microsoft.com/ru-ru/library...px#BKMK_9"

Установить в методологии этот режим для брандмауэра Windows 7. Тогда будет интересно, будет борьба на равных, без этого режима включать фаер в тест нет никакого смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Среди "экспертов и продвинутых юзеров" пользуется авторитетом построение политики безопасности на уровне операционной системы,

а не так называемое "защитное" ПО, роль которого даже не вторична.

Это дома то политики безопасности? Для двух с половиной ноутбуков? Вы ничего не путаете? Не мешайте в кучу корпоративные практики и реалии персонального использования компьютеров.

При использовании ограниченной учетной записи "те, которые используют дрова для обхода фаерволлов" могут лишь "лососнуть" вместе с драйверами.

Многие работают под ограниченными учетками? Примерно такое же % как те, что настраивают антивирус/фаервол ручками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
При использовании ограниченной учетной записи "те, которые используют дрова для обхода фаерволлов" могут лишь "лососнуть" вместе с драйверами.

Редкостная хрень, впрочем, как обычно.

Рекомендую использовать freebsd или еще какое-либо унылое говно, тогда и "вирусы" не страшны.

Вообще меня всегда просто умиляло это откровенное "облошение населения", когда проводятся некие "тестирования" с _правами администратора_

на неком убого-ограниченном наборе техник, и по результатам выносятся заключения об уровне "защиты" в целом,

создавая иллюзию того, что пользователя, работающего с правами администратора, вроде бы как можно "защищать".

Очень даже можно защищать, т.к. исходим из того, что имеем среди большинства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GRINDERs

Если накручивать настройки в фаерах, то тогда не понятно будет что лучше, поэтому нужны дефолтные настроки. Можно просто сделать обучение фаера и после обучения уже проводить тест, чтобы узнать на сколько грамотно могут работать все фаера при одной настройки (чтобы были равные условие для всех), т.е. по дефолту так сказать, а то как сравнивать то. А потом для интереса можно дописать в результате, что было бы если запустить это с такой настройках и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
Редкостная хрень, впрочем, как обычно.

Рекомендую использовать freebsd или еще какое-либо унылое говно, тогда и "вирусы" не страшны.

Очень содержательный набор изречений.

Про "пропуск чего-либо в ядро" под ограниченной учеткой что-нибудь рассказать не желаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Карлсон
Какие именно конкретно нужно сделать настройки и как это можно отразить в методологии?

Можно с дефолтными настройками, а затем с максимальной настройкой фаервола. Интересно знать, с какими настройками фаервол будет лучше обеспечивать защиту. Одному фаерволу достаточно дефолтных настроек, чтобы защита была хорошей, а второму поставь максимальные настройки, но защита будет слабой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Про "пропуск чего-либо в ядро" под ограниченной учеткой что-нибудь рассказать не желаете?

А ключи от квартиры где деньги лежат вам не выдать? Или я тут должен проводить элементарный ликбез про уязвимости, повышающие привилегии?

Ликвидация безграмотности

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer
пользуется авторитетом построение политики безопасности на уровне операционной системы,

Ерунда какая то. Это как? Патчи ставить что ли?:) На уровне оси без ПО ничего не намутишь, это будет проходной двор просто. И не играет тут роли под админом или гостем залогинен. В последнее время поплыли куча техник, который как два пальца снимают тот де 64-пачгуард, не говоря уж про повышение привилегий с гостя до кернела.

Интересно знать, с какими настройками фаервол будет лучше обеспечивать защиту.

С теми, которые созданы с приминением мозга:) Если нет сил настроить фаервол - не ставьте его вообще. Все равно смысла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
А ключи от квартиры где деньги лежат вам не выдать? Или я тут должен проводить элементарный ликбез про уязвимости, повышающие привилегии?

Очень содержательный набор изречений №2.

Помимо многозначительных бла-бла: "используют дрова для обхода фаерволлов", "уязвимости, повышающие привилегии",

(и прочей муры из серии: сторонняя "защитная" ересь способна защищать от уязвимостей _операционной системы_) конкретика будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sansero.ee

И всё же, разработчики не в последнюю очередь стремятся к упрощению процесса установки/настройки своего софта простым смертным пользователем, что положительно сказывается на продажах их продукта. Вкупе с тем, что ~70%(или просто большая часть) пользователей персональных компьютеров не обладают достаточными знаниями даже для простейшей настройки, я не думаю что большая часть ПК в сети сидит на грамотно настроенными файрволами, но довольствуется настройками "из коробки"...

Их и будут тестировать...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков
Цитата(hitman_007 @ 22.03.2011, 10:30)

Trustport internet security может этот взять?

У него 2% по тесту Матюшека. Что ему ловить в нашем тесте ... чисто для массовки?

В этот тест возможно и нет смысла брать, так как уже есть массовка с такими же результатами - одна треть из тестируемых. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Очень содержательный набор изречений №2.

Помимо многозначительных бла-бла: "используют дрова для обхода фаерволлов", "уязвимости, повышающие привилегии",

(и прочей муры из серии: сторонняя "защитная" ересь способна защищать от уязвимостей _операционной системы_) конкретика будет?

Не вижу смысла вести диалог с упоротыми троллями у которых ЧСВ выше моего, а знаний 0. Я позорно удаляюсь.

  • Upvote 5
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED
Мы готовы к старту, сейчас формируется команда тестеров из тех, кто уже дал предварительное согласие, и начинаем.

Огласите пожалуйста, имена тех людей, которые будут принимать непосредственное участие, в проводимом тестировании?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED
Зарегистрировался полчаса назад с такого IP адреса, не имеет других сообщений под этой учетной записью и сразу задает такой вопрос....

И что не так?

Я Бываю на разных сайтах, мне знакомы имена и ники некоторых пользователей данного сайта, некоторых вижу на форумах разных вендоров, в связи с этим и задал вопрос. Если портал anti-malware.ru провозглашает себя как: независимый информационно-аналитический центр, то соответственно участие в тестированиях должны принимать также независимые люди, которые не связанные ни с одним из вендоров. На мой взгляд это звучит разумно. У меня такое чувство, что у портала anti-malware.ru нет своего штата людей, которые занимаются проведением тестов. К примеру Копейцев, был на сайте VirusInfo.info еще до его продажи, т.е. еще при Касперском, имеет статус хелпера, и старшего хелпера в 911, а тут принимает участие в проводимых тестах, со стороны как то не очень похоже на независимое тестирование...С таким раскладом можно позвать модератора с форума Dr.Web.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Каждый просто считает своим долгом высказаться за независимость, как же вы надоели.

С таким раскладом можно позвать модератора с форума Dr.Web.

Зовите.

При желании каждый вендор может перепроверить результаты самостоятельно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED
Каждый просто считает своим долгом высказаться за независимость, как же вы надоели.

Зовите.

При желании каждый вендор может перепроверить результаты самостоятельно.

Согласен могут, но не каждый вендор. Проверить могут те вендоры, которые имеют партнерские отношения с сайтом anti-malware.ru, ведь таким вендором отправляются, помимо отчетов, также архивы тулзы утилиты итд. А другим вендором которые не состоят в партнерстве с сайтом, приходится лососнуть тунца, опираясь лишь на отчет о проводимом тесте.

//

Я также не исключаю тот факт что тулзы и утилиты итд, могут передаваться вендору ЛК еще за долго до проведения тестов. Еще не исключаю тот факт, что anti-malware.ru тянут резину с проведением тестов антивируса, а просто ждут выхода новой версии антивируса касперского, которые те в свою очередь смогут улучшить свой фаервол. Как написано в данной теме, тестирование должно было быть еще в прошлом году, но в силу каких то обстоятельств, тест переносился.

Каждый просто считает своим долгом высказаться за независимость

есессно, хватит людей за дураков держать с вашими "независимыми тестами" которые проводит один из участников бывшего касперского сайта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
хватит людей за дураков держать

А их никто и не держит, они сами приходят. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Фильм "Место встречи изменить нельзя" - вспоминаем момент, где Шарапов спрашивает что-то типа: "да, что мне от них справку принести, что я у них не работаю?!" (когда его приволокли домой к горбатому и начали гнобить на предмет, что он работает в МУРе).

Такое ощущение, что все тесты должен проводить Илья Рабинович, чтобы все довольны независимостью были...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

мне тоже нельзя тесты проводить т.к меня можно подкупить(беру деньги в любой валюте)/запугать (бабой ягой)/накормить вкусной шавермой...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×