Тест фаерволов на защиту от внутренних атак (результаты)

[Илья Рабинович 521]

Эксплойты в браузере- это уже, скорее, динамический тест, на самом деле. Поскольку работать будут совсем другие компоненты защиты, нежели чем при атаке через слушающие порты. И тут встаёт хороший вопрос- а насколько эти компоненты относятся именно к файервольному функционалу, а не к антивирусному.

[Tranzit 10]

Хотелось бы увидеть результаты Private firewall. В тестах matousec показал себя достойно+бесплатный.Да и отзывы о продукте положительные.

[Сергей Ильин 1538]

Давайте говорить более детально о будущем тест на внешние атаки. Когда я писал про эксплойты, то я имел в виду такие:

Kido/Conficker/Downadup * NETAPI * MS08-067

CVE: http://cve.mitre.org/cgi-bin/cvename.cgi?name=2008-4250

Sasser * LSASS * MS04-011

CVE: http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0533

Тест должен эмулировать ситуацию, когда машина появляется в сети в пассивном режиме и ее пытается кто-то заразить. Юзер никуда не лезет, страницы не открывает и веб-антивирус тут не при чем получается.

[Илья Рабинович 521]

Ну тогда то, что я говорил:

1. Тест на загрузку уже известных шелкодов.

2. Тест на загрузку уже известных шеллкодов, но с использованием сетевых средств обфускации доставки (например, фрагментация пакетов). Тут, я полагаю, стоит обсудить это со StoneSoft, тему AET они поднимают уже второй год как, думаю, можно посмотреть их инструментарий на предмет возможности использования в тесте.

3. Тест на загрузку неизвестного шелкода (придётся видоизменить его в Метасплойте, но код должен быть рабочим).

[Сергей Ильин 1538]

2. Тест на загрузку уже известных шеллкодов, но с использованием сетевых средств обфускации доставки (например, фрагментация пакетов). Тут, я полагаю, стоит обсудить это со StoneSoft, тему AET они поднимают уже второй год как, думаю, можно посмотреть их инструментарий на предмет возможности использования в тесте.

ИМХО нельзя делать. Так как мы исходим из того, что такие эксплойты реально встречаются в дикой природе, причем в конкретных вредоносах. Т.е. тут суть такая же в составление выборки, как и в тесте на активное заражение.

3. Тест на загрузку неизвестного шелкода (придётся видоизменить его в Метасплойте, но код должен быть рабочим).

Только чисто ради того, чтобы показать кто как качественно работает из вендоров. Есть какая-то практическая ценность?

[Илья Рабинович 521]

ИМХО нельзя делать. Так как мы исходим из того, что такие эксплойты реально встречаются в дикой природе, причем в конкретных вредоносах. Т.е. тут суть такая же в составление выборки, как и в тесте на активное заражение.

Ты помнишь последний доклад человека из StoneSoft? При проходе траффика через маршрутизаторы уже известные шелкоды могут проходить сквозь IPS за счёт дефрагментации пакетов.

Только чисто ради того, чтобы показать кто как качественно работает из вендоров. Есть какая-то практическая ценность?

В общем, только для показа возможностей для целенаправленной атаки.

[A. 875]

Давайте говорить более детально о будущем тест на внешние атаки. Когда я писал про эксплойты, то я имел в виду такие:

Kido/Conficker/Downadup * NETAPI * MS08-067

Sasser * LSASS * MS04-011

и сколько даже такого старья вы наберете ?

[Сергей Ильин 1538]

и сколько даже такого старья вы наберете ?

Пока такого набралось мало, меньше 10 эксплойтов.

[A. 875]

Пока такого набралось мало, меньше 10 эксплойтов.

О том и речь.

И как вы собираетесь тестировать тот же самый MS04-011, например ? На XP без сервис паков, да ?

[andro 30]

Один человек высказал мысль, "провести тестирование на рутките с собственным TCP/IP стэком".

[priv8v 960]

Один человек высказал мысль, "провести тестирование на рутките с собственным TCP/IP стэком"

что это покажет?

[AlexxSun 150]

О том и речь.

И как вы собираетесь тестировать тот же самый MS04-011, например ? На XP без сервис паков, да ?

На XP без сервис-паков не установится большинство антивирусов. Минимальные требования того же KIS - наличие хотя бы SP2.

[A. 875]

Спасибо, Кэп

[Илья Рабинович 521]

Один человек высказал мысль, "провести тестирование на рутките с собственным TCP/IP стэком".

А как, собственно, этот руткит попадёт в систему, если речь идёт о предотвращении его попадания в неё? Да и вообще, при запуске вредоносного ring0-кода защита, можно сказать, полностью скомпрометирована, ибо вредоносный код начинает работать с теми же правами, что и защита.

[~Джон Доу~ 45]

Хотелось бы увидеть результаты Private firewall.

Также хотелось бы увидеть результаты релиза Новой версии Panda Cloud Antivirus с файерволом, конечно если появится такая возможность.

[A. 875]

Также хотелось бы увидеть результаты релиза Новой версии Panda Cloud Antivirus с файерволом, конечно если появится такая возможность.

Вы считаете, что он будет отличаться в лучшую сторону от показателей обычного Panda Internet Security 2011 ?

[~Джон Доу~ 45]

Вы считаете, что он будет отличаться в лучшую сторону от показателей обычного Panda Internet Security 2011 ?

Нет, не считаю, так как я не специалист по настройкам файерволов и тем более по их тестированию, но многое познаётся в сравнении, и в лучшую или худшую сторону будет отличаться обычный файервол платной Panda Internet Security 2011 от "облачного" файервола бесплатной Panda Cloud Antivirus я не знаю, поэтому и "хотелось бы увидеть результаты" и услышать комментарии опытных пользователей и специалистов.

[anip 50]

...в лучшую или худшую сторону будет отличаться обычный файервол платной Panda Internet Security 2011 от "облачного" файервола бесплатной Panda Cloud Antivirus...

А где сказано, что Panda Cloud Antivirus с файерволом будет бесплатна? В настоящий момент ведь есть и платный Panda Cloud Antivirus Pro.

[~Джон Доу~ 45]

А где сказано, что Panda Cloud Antivirus с файерволом будет бесплатна? В настоящий момент ведь есть и платный Panda Cloud Antivirus Pro.

anip

А где сказано, что Panda Cloud Antivirus с файерволом будет & платна?

Может на официальных и локальных сайтах, форума и прочих #чирикалках?

Если действительно интересуетесь, то "Google в помощь" или смиритесь, ибо:

"Пророков нет — не сыщешь днем с огнем, —

Ушли и Магомет, и Заратустра.

Пророков нет в отечестве своем,

Да и в других отечествах — не густо..."

(с) В.С.В.

[~Джон Доу~ 45]

Хотелось бы увидеть результаты Private firewall. В тестах matousec показал себя достойно+бесплатный.Да и отзывы о продукте положительные.

В соседней теме нашел ссылку, где:

"Последние новости

2011-10-07: ответ от ИЭС, Inc, поставщик Privatefirewall, была добавлена.

Естественно, что новые версии продуктов оценка выше, чем старых. На этот раз, однако, только Privatefirewall и CA Internet Security Suite Plus улучшили свои оценки.

(...)

Лучший продукт из сегодняшнего тестирования, таким образом, новый Privatefirewall. Его оценка была улучшена на 7% до отлично, и близок к совершенству, 98%. Хорошая работа."

[anip 50]

А где сказано, что Panda Cloud Antivirus с файерволом будет & платна?

Нигде. Только Вами сказано почему-то что бесплатной:

"облачного" файервола бесплатной Panda Cloud Antivirus

[~Джон Доу~ 45]

Только Вами сказано почему-то что бесплатной:

Да, было сказано, потому-то что PCA BETA без файервола была бесплатной и не BETA осталась бесплатной, аналогично и с PCA с файерволом.

anip, в теме > Тест фаерволов на защиту от внутренних атак — вопросов больше чем ответов.

Разбавим тему риторикой? А затем в оффТопку?

Если Anti-Malware найдёт возможность протестировать "облачный" файервол PCA, так какая разница, платный он или бесплатный?

Что там будет в платном? Тех.поддержка? Она нужна для тестирования?

Исторически отдельные (от Антивирусов) Файерволы были платными? Отдельный Dr.Web Firewall будет платным? На Форуме есть тема про платное~бесплатное ПО для дома~для семьи?

(все вопросы — риторические, мухи — отдельно, а изюм из заплесневелых булочек — отдельно от мух, следовательно — rеsumе — «течение жизни»: ну что будет, то и будет, поживём — хлеб пожуём)

[Александр Соколов 35]

Ещё до того как состояля этот тест Ув. ntoskrnl написал этот пост о другом таком же тесте, где предложил: Хотите ИМХО идеального теста? Легко! Публикуйте ДВА варианта. Вариант настроек по умолчанию и, в соседней колонке, вариант с максимальной защитой. А уж если добавить столбец "рекомендация портала", типа "изменить настройки по умолчанию", "нажать галку такую-то" (ну это когда целый трактат писать не нужно), "выбросить в окно", "сделать ничего нельзя" и т.п., то для конечного пользователя, которого безопасность волнует, а соответствующих знаний по понятным причинам нет, такой тест будет на вес золота. Да, разумеется, это потребует дополнительного времени, но на результаты будут сбегаться посмотреть как на "падающий с дерева лист" И сразу будет видно, какой продукт чего стоит. А что делать сейчас с результатами - непонятно. Как специалист, я могу только пожать плечами, а как "домохозяйка" (естественно, я не имею в виду тех, кто тусуется на том сайте..., как Вы его назвали, не помню, а тех, кто в принципе про данный портал слышал) - только покрыться холодным потом... и что?

P.S. Давайте ещё порассуждаем на тему, как лучше тесты проводить

[Dmitriy K 603]

Отдельный Dr.Web Firewall будет платным?

Покажите, где нашли?

[amid525 67]

Ещё до того как состояля этот тест Ув. ntoskrnl написал этот пост о другом таком же тесте, где предложил: Хотите ИМХО идеального теста? Легко! Публикуйте ДВА варианта. Вариант настроек по умолчанию и, в соседней колонке, вариант с максимальной защитой. А уж если добавить столбец "рекомендация портала", типа "изменить настройки по умолчанию", "нажать галку такую-то" (ну это когда целый трактат писать не нужно), "выбросить в окно", "сделать ничего нельзя" и т.п., то для конечного пользователя, которого безопасность волнует, а соответствующих знаний по понятным причинам нет, такой тест будет на вес золота. Да, разумеется, это потребует дополнительного времени, но на результаты будут сбегаться посмотреть как на "падающий с дерева лист" И сразу будет видно, какой продукт чего стоит. А что делать сейчас с результатами - непонятно. Как специалист, я могу только пожать плечами, а как "домохозяйка" (естественно, я не имею в виду тех, кто тусуется на том сайте..., как Вы его назвали, не помню, а тех, кто в принципе про данный портал слышал) - только покрыться холодным потом... и что?

P.S. Давайте ещё порассуждаем на тему, как лучше тесты проводить

Как лучше, было предложенно. Но надо ли это кому?...