Перейти к содержанию
Сергей Ильин

Тест фаерволов на защиту от внутренних атак (результаты)

Recommended Posts

Chekm
... если соответствующие настройки все же есть, но никак не влияют на результат (недавний случай в примере с Online Armor), ...

Получив ответ на вопрос, заданный по поводу результата Online Armor, от Копейцева, хмыкнул т.к мои ощущения от использования программы были совсем другие, но промолчал... А сейчас как-то вспомнилось...

Если на вкладке Безопасность расставить галки, то ограничить для приложения можно любой вид деятельности...

http://i29.fastpic.ru/big/2011/0927/43/a24...bda676c7543.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ktotama
Если на вкладке Безопасность расставить галки, то ограничить для приложения можно любой вид деятельности...

http://i29.fastpic.ru/big/2011/0927/43/a24...bda676c7543.jpg

Теоретически предполагается так, а практически - на то и тест, чтобы это показать.

Тотальный алерт-запрет на всё предполагает шквал ложняков - а об их степени тоже хотелось бы иметь наглядное представление в отображении результатов тестирования отдельными пунктами/спец.утилитами.

Вроде как преследуется цель, чтобы проактивная защита спасала, но не парализовала все подряд любые нововведения в системе или даже саму систему и ее бытовые возможности, поэтому критерий максимальных настроек не должен, как предполагается, запрещать все подряд, что "движется и шевелится", а должен быть хоть и максимально жестким, но до определенной разумной степени, не всегда исходить из максимально жестких запретов всего-всего, даже если это позволяет защитная программа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GReY
Это будет уже другой тест. Вот этот

в принципе - да, но там реальные вирусы, а тут тестовые утилиты. просто им нужно создать те же условия, в которых орудуют зловреды

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
Так а сейчас в тесте было не так? Читайте Так что нафига был пост?

А про крестики/галочки - это чтобы букаф больше написать :P

Не ну одно дело галок натыкать, а другое дело настроить.

Сейчас ХИПС и фаеврвол практически во всех продуктов класса IS связаны. Т.е. получается либо тесты "чистого брандмауэра" (тогда больше половины IS можно из теста выкидывать) либо то что было. Кстати, по поводу песочницы в х64 9 (имеется ввиду АВ продукт), назовите мне хоть одну (вопрос ко всем), которая полноценно работает в х64 среде ;) Если крупные вендоры не могут это сделать, то что можно требовать от Рабиновича ;)

Comodo устроит, даже инсталятор есть x64 only :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Comodo устроит, даже инсталятор есть x64 only :)

Это неполноценная песочница :rolleyes: по отношению к примеру песочницы "безопасная среда" в КИС (добавлять процессы/программы в Sandbox в Comodo и полностью изолированная среда -"рабочий стол" в КИС, есть разница?) к слову сказать"безопасная среда в КИС в х64 не работает (только браузеры), потому что Microsoft запретила доступ к ядру всем (PatchGuard), лишив security-вендоров возможности реализовать в своих продуктах часть функционала (проактивных технологий, т.е. хипса). Comodo, что особенный? <_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NVS
Это неполноценная песочница :rolleyes: по отношению к примеру песочницы "безопасная среда" в КИС (добавлять процессы/программы в Sandbox в Comodo и полностью изолированная среда -"рабочий стол" в КИС, есть разница?) к слову сказать"безопасная среда в КИС в х64 не работает (только браузеры), потому что Microsoft запретила доступ к ядру всем (PatchGuard), лишив security-вендоров возможности реализовать в своих продуктах часть функционала (проактивных технологий, т.е. хипса). Comodo, что особенный? <_<

Они так в LK говорят потому-что просто ещё не сделали. Они так всегда отмазывались на x64, а потом делали, например самозащиту и HIPS. :)

Отредактировал NVS
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

Firewall Windows 7 оказался вне тестов, жалко :(

Спасибо за тесты! Очень их ждал

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Они так в LK говорят потому-что просто ещё не сделали. Они так всегда отмазывались на x64, а потом делали, например самозащиту и HIPS. :)

Привет Виталег!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
к слову сказать"безопасная среда в КИС в х64 не работает (только браузеры), потому что Microsoft запретила доступ к ядру всем (PatchGuard), лишив security-вендоров возможности реализовать в своих продуктах часть функционала (проактивных технологий, т.е. хипса). Comodo, что особенный? <_<

Ну тогда спрашивается какую ещё песочницу x64 вам надо?

Браво! Попытка блеснуть знаниями удалась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Firewall Windows 7 оказался вне тестов, жалко :(

Спасибо за тесты! Очень их ждал

Спросите Kopeicev - почему он пишет, что брал MS Security Essentials под видом фаервола :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
Привет Виталег!

Серьёзно САМ ВиталеГ.

Надо срочно задовать вопросы, а то уйдёт :lol:

MS Security Essentials под видом фаервола :)

Что то новое :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Что то новое :facepalm:

Методологию Веталег читать будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Спросите Kopeicev - почему он пишет, что брал MS Security Essentials под видом фаервола :)

С MSE не знаком, но может в ней есть что-то вроде HIPS. Защитник Windows контролирует какие-то изменения в системе, помимо поиска шпионов. По этому поводу интересная получилась бы связка:

1. Изначальная настройка: Брандмауэр Windows 7 (обычный, не настроенный) + Защитник Windows или MSE, как я понял, в тесте будет важен их HIPS - контроль целостности системных настроек + UAC (по умолчанию выставлен на предпоследний уровень)

2. Оптимальная настройка: Брандмауэр Windows 7 в режиме повышенной безопасности + все остальное с более высокими настройками: Защитник Windows (или MSE - если у MSE более лучшая проактивная защита HIPS, чем у защитника) + UAC с максимальным уровнем (наверно не критично, если хакерская утилита не умеет прикидываться пользователем). Тестировать фаервол Windows + MSE и с выключенным UAC, по-моему, неправильно, так как у ISов их контроль целостности важных параметров и папок будет включен.Мне кажется, именно в тестировании средств Windows логично не выключать UAC.

Если правильно понял, то в первом тесте вредоносные программы запускались с системы, а второй будет тестом на защиту от проникновения из Сети и Интернет? Если да, то во второй части второго теста (с максимальными настройками) будет ли в фаерволах запрет входящих соединений (и каких - всех или всех, кроме указанных в правилах) и будут ли включены режимы скрытия компьютера в сети? Фаервол Windows 7 кажется скрывает, также есть опция в Comodo и то ли Outpost, то ли в Online Armor и тд. Отчасти тест будет наподобие теста доступности портов, а отчасти на проникновение через приложение, которое выходит в Интернет или сеть?

В самой Windows 7 также есть настройка сетевого окружения - по умолчанию вроде компьютер не виден в сети. Как будет настроено сетевое окружение, если вообще его настройка на что-то влияет? Наверно возможны другие настройки, которые влияют именно на проникновение из сети. А вот, еще. Как будет тестироваться сеть и Интернет. У выделенного канала есть локальная сеть и собственно VPN - или вирусу (утилитам для тестирования) все равно, через что попадать на компьютер? Будет ли тест атаки через браузер или bittorrent или icq или еще что-то, если да, то браузер будет в песочнице там, где это возможно?

Будет ли тест на заражение сайтами (drive-by)? Если да, браузеры будут настроены по умолчанию? И какие браузеры? Или их настройка заведомо должна быть низкой, чтобы не получилось так, что вирус до фаервола (вернее его HIPS) не дойдет и тест превратится в тест браузеров?

Простите, если написал глупость :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Тестировать фаервол Windows + MSE и с выключенным UAC, по-моему, неправильно, так как у ISов их контроль целостности важных параметров и папок будет включен.Мне кажется, именно в тестировании средств Windows логично не выключать UAC.

В методологии не описано отключение UAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
В методологии не описано отключение UAC.

Вероятно имелся виду ответ на мое высказывание.

Microsoft Windows XP SP3 - становится грустно, для кого эти тесты?
Начали с этой устаревшей ОС как с наиболее проблемной с точки зрения безопасности. Естественно сделаем еще такой же на windows 7, но позже. Кстати забегая в перед там UAC будем отключать, и по опыту тестов на самозащиту результаты на этой ОС будут не так сильно отличаться. Ведь проактивна она или есть или ее нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В методологии не описано отключение UAC. Тестировать фаервол Windows + MSE и с выключенным UAC, по-моему, неправильно, так как у ISов их контроль целостности важных параметров и папок будет включен.Мне кажется, именно в тестировании средств Windows логично не выключать UAC.

А вот тут странно будет. В случае с MS мы типа UAC оставляем, а для всех остальных конфигураций выключаем. Как-то нелогично ИМХО будет. Пом методологии для Windows 7 UAC предлагается отключить чтобы смоделировать более жесткие условия. Ведь UAC может быть отключен или же юзер может скипануть алерт, что многие и делают. А главное, мы тестируем не UAC, а защиту в виде фаервола/антивируса/HIPS.

С другой стороны, соглашусь, что важно показать уровень защиты по дефолту, который обеспечивают штатные средства Microsoft, и с этой позиции UAC выключать было бы как-то неправильно.

Я бы все же во всех случаях отключил UAC.

Будет ли тест на заражение сайтами (drive-by)? Если да, браузеры будут настроены по умолчанию? И какие браузеры? Или их настройка заведомо должна быть низкой, чтобы не получилось так, что вирус до фаервола (вернее его HIPS) не дойдет и тест превратится в тест браузеров?

Это вторая часть теста - защита от внешних атак. Будем такое делать. Уже собираем эксплойты, которые как и в случае с активным заражением будет отражать основные методы и векторы атаки (использовать наиболее популярные уязвимости). Систему будем брать непропатченную конечно, иначе атак не пройдет. Браузер какой брать - это будет зависеть от конкретного эксплойта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
Я бы все же во всех случаях отключил UAC.
Систему будем брать непропатченную конечно, иначе атак не пройдет.

Не, я конечно с вашими доводами согласен, но хочется что-то похожее на настоящее, не какие-то специально созданные условия, а реальную систему, прикрытую каким-либо вендором, и увидеть настоящий процент защищенности. Получается, что мы проверяем компьютер школьника, или блондинки какой-то. :)

Мне кажется, что чем больше практической пользы от теста - тем лучше. А цифры, цифры вторым планом. Вероятно, слишком многого хочу. Но, все-таки, если возможно, то провести тест в двух ракурсах – обновленную и не обновленную.

Кстати, Сергей, вы так и не озвучили, или я что-то пропустил - какая ОС точно будет подвергнута стресс-проверке, очень хотелось увидеть 64бит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Это вторая часть теста - защита от внешних атак. Будем такое делать. Уже собираем эксплойты, которые как и в случае с активным заражением будет отражать основные методы и векторы атаки (использовать наиболее популярные уязвимости). Систему будем брать непропатченную конечно, иначе атак не пройдет. Браузер какой брать - это будет зависеть от конкретного эксплойта.

Вы чего тестить то собираетесь, эй ? Веб-антивирусы или файрволл все же ?

если второе, то простите, какие еще браузеры ?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Вы чего тестить то собираетесь, эй ? Веб-антивирусы или файрволл все же ?

если второе, то простите, какие еще браузеры ?

Точно тебе говорю, фаервол тестят. Еще и коллекцию спама будут гонять - вот MSSE обрадуется с 0%.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
Вы чего тестить то собираетесь, эй ? Веб-антивирусы или файрволл все же ?

если второе, то простите, какие еще браузеры ?

Я так понял, это обыкновенный тест проактивной защиты(именно ее) - на проникновение вредоноса через браузер, на выключение драйвера и тд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
А вот тут странно будет. В случае с MS мы типа UAC оставляем, а для всех остальных конфигураций выключаем. Как-то нелогично ИМХО будет. Пом методологии для Windows 7 UAC предлагается отключить чтобы смоделировать более жесткие условия. Ведь UAC может быть отключен или же юзер может скипануть алерт, что многие и делают. А главное, мы тестируем не UAC, а защиту в виде фаервола/антивируса/HIPS.

С другой стороны, соглашусь, что важно показать уровень защиты по дефолту, который обеспечивают штатные средства Microsoft, и с этой позиции UAC выключать было бы как-то неправильно.

С одной стороны - UAC часть операционной системы, и если ее включить, то для всех, чтобы были равные условия. (однако, другой взгляд ниже)

С другой стороны - UAC это защитная функция. И если ее отключить для всех тестов, то будет нечестно по отношению к тесту системы со встроенными средствами защиты, ведь UAC защитное средство системы. Почему тогда, к примеру, у Comodo не отключить похожий по функции компонент в HIPS (не полностью, а только настройку, по роли похожую на UAC), ведь у некоторых IS его нет и надо создать равные условия. У других IS есть свои подобные блокираторы изменений системных настроек и файлов - они останутся включенными, а блокиратор Windows будет отключен.

С третьей стороны UAC, возможно, будет помогать или мешать проходить тесты ISам. У некоторых ISов нету таких блокиаторов - это их проблема, чего нет, того нет. Им UAC также, возможно, будет помогать или мешать проходить тесты.

Microsoft, если не вру, говорит, что ее средства защиты работают в комплексе. Вопрос: считать ли UAC средством защиты, вернее, элементом этого комплекса защиты?

Я бы все же во всех случаях отключил UAC.

Согласен.)

Возможно, выход - сделать отдельный тест с встроенными средствами + UAC - просто чтобы посмотреть его влияние на защиту. Но этот тест ни с чем официально не сравнивать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
canni2
А вот тут странно будет. В случае с MS мы типа UAC оставляем, а для всех остальных конфигураций выключаем. Как-то нелогично ИМХО будет. Пом методологии для Windows 7 UAC предлагается отключить чтобы смоделировать более жесткие условия. Ведь UAC может быть отключен или же юзер может скипануть алерт, что многие и делают. А главное, мы тестируем не UAC, а защиту в виде фаервола/антивируса/HIPS.

С другой стороны, соглашусь, что важно показать уровень защиты по дефолту, который обеспечивают штатные средства Microsoft, и с этой позиции UAC выключать было бы как-то неправильно.

Я бы все же во всех случаях отключил UAC.

Поскольку UAC входит в состав самой ОС, а тестируются сторонние средства защиты, то отключать обязательно. Так же и с MS, который тоже рассматривается как дополнительное посторонне средство. Просто в данном случае сбивает с толку то, что оба продукта выпущены одним производителем (MS), и хоть они заявляют что всё должно быть в комплексе, на это не нужно обращать внимание, т.к. это разные модули и работают отдельно и независимо друг от друга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik

Так будут тестить файервол или проактивку? Или вообще UAC под лупой разглядывать? Вообще не пойму его каким местом к файерам прилепили, вырубите его и не будет влияния на результаты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Так будут тестить файервол или проактивку? Или вообще UAC под лупой разглядывать? Вообще не пойму его каким местом к файерам прилепили, вырубите его и не будет влияния на результаты.

Идеалогически, я как я писал ваше - это будет тест на пробой защиты извне при помощи эксплойтов. Но есть большая тут проблема, как написал А., эксплойты будут палиться веб-антивирусом. И выключать веб-антивирус будут не факт что верно. Производители сразу скажут, что именно веб-интивирус у них за это отвечает и будут в общем правы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×