Тест персональных IDS/IPS на защиту от атак на уязвимые приложения (июнь 2012) - Страница 5 - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

Тест персональных IDS/IPS на защиту от атак на уязвимые приложения (июнь 2012)

Recommended Posts

Desperado_Troll

Может быть при тестирование Microsoft Security Essentials + Windows Firewall на максимальных настройках стоило бы включить DEP для всех программ и служб?

Тогда результат был бы наверное получше, в частности будет под вопросом прохождение Remote Code Execution эксплойтов эксплуатирующих уязвимости переполнения.

А так получается, что не протестировали одну из главных защит Microsoft от эксплойтов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Может быть при тестирование Microsoft Security Essentials + Windows Firewall на максимальных настройках стоило бы включить DEP для всех программ и служб?

Для всех надо было включить DEP для всех программ и служб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
На примере Комодо Файервола. Тестировщики не видят наличие реакции продукта на Сканирование портов.

Наверное,журнал событий файера найти не смогли :D

Image_221212.png

Обнаружение,блокирование и логирование это канешна же не реакция на сканирование.Нет алерта с ахтунгом-нет обнаружения,крутая методика,чо уж тут :D

post-16520-1339171510_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Обнаружение,блокирование и логирование это канешна же не реакция на сканирование.Нет алерта с ахтунгом-нет обнаружения,крутая методика,чо уж тут

Это уже проходили, говорят - "усё було" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AreYouSure
Странно как-то,в комодо по умолчанию установлено глобальное правило "Бокировать ICMP Входящие из MAC Любой в MAC Любой,где ICMP сообщение:Echo запрос"

хх.хх.29.28 ping statistics ---

packets transmitted 9

received 0

packet loss 100 %

time 8056 ms

Где фэйл-то?

Да вот же он :huh:

scan.png

"На скрине опера хочет принять входящее соединение" от другого компьютера, с которого в онлайне идёт обнаружения хостов сети и сканирование открытых портов.

https://hideme.ru/ports/

"Сканер портов — программное обеспечение, созданное для обнаружения хостов сети, в которых открыт нужный порт или набор портов."

Мне тоже интересно, в Opera & FireFox

61cdd3d7f1617ffbe0fd5b5f31a80d6c.png 04fa59c2f7397453420a107f1003b734.png

алерты видимы?

Входящие соединения для оперы - ничего странного, она использует их для Opera Unite и Торрента. В любом случае, мне что, нужно с открытой оперой сидеть чтобы засечь сканирование? :D

2. "Мастер скрытых портов" - это, грубо говоря, Анти-Сканер портов и их сокрытие, а "закрытие портов" - путём удаления в Файервол\Политики сетевой безопасности\Наборы портов

Закрыть или скрыть - невилика разница, эффект один и тот же - порты не досутпны для всех, и хороших и плохих парней.

Повторюсь: Закрыть\скрыть порты - это не есть хорошо, хорошо - это когда порты открыты, но их нельзя просканировать.

Если нужно, чтобы какая то часть портов была видна в сети, как же тогда защититься от сканирования?

post-19004-1339178630_thumb.png

Отредактировал AreYouSure

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Встречный вопрос. Как вы полагаете, какой процент пользователей Comodo и Outpost "разбираются в настройках" и включают ручками всякие StelthMode и StelthPorts? Хотя бы примерно, экспертную оценку интересно услышать?

Причем тут процент пользователей? Данных нет, но думаю не менее половины.

Речь идет о Вашем тесте. И раз упоминается "режим на максимальных настройках", нужно было и соотвественно настраивать, ничего не забывать. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

А f-Secure используют собственный файервол?

А то с версии 2013 они используют windows firewall с дополнительными фильтрами

Отредактировал RuJN

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
мне что, нужно с открытой оперой сидеть чтобы засечь сканирование? :D

AreYouSure

В реальных, а не приближенных к реальным, условиях сидите на чём хотите :D

Картинки с форума Comodo:

https://ssl.abcd.bz/123/bb.jpg

https://ssl.abcd.bz/123/bc.jpg

Речь шла не об Opera, а о пустяке, не повлиявшем на результаты теста.

Закрыть или скрыть - невилика разница, эффект один и тот же - порты не досутпны для всех, и хороших и плохих парней.

Удалить - не видеть того, чего нет.

Скрыть - не видеть того, что есть.

Почувствуйте разницу, удалите порт Службы со Статусом: Официально

Повторюсь: Закрыть\скрыть порты - это не есть хорошо, хорошо - это когда порты открыты, но их нельзя просканировать.

Если нужно, чтобы какая то часть портов была видна в сети, как же тогда защититься от сканирования?

Повторюсь: Речь шла про невидимые алерты, а не про невидимые портки порты - хорошо или плохо и как защититься от сканирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Причем тут процент пользователей? Данных нет, но думаю не менее половины.

Речь идет о Вашем тесте. И раз упоминается "режим на максимальных настройках", нужно было и соотвественно настраивать, ничего не забывать. )

Тут дело не в забывчивости, а в логике проведения теста и настроек.

Если с настройками "по умолчанию" (стандартными) все понятно. То в "максимальных" настройках все не так однозначно. По некоторым режимам можно дискутировать - включать их или нет. Поэтому в методологии отражения фаерволами внутренних угроз было прописано, цитирую:

"Другими словами – под выставлением максимальных настроек понимается перевод всех доступных из графического интерфейса пользователя значений модулей программы, связанных с детектированием вредоносной файловой или сетевой активности, к наиболее строгому варианту."

Именно эту формулировку использовали и в данном тесте, Т.е. выбирали максимальные опции для проверки/сканирования/..., но не настраивали при помощи мастеров доп. режимы. После теста фаерволов на форуме не было конструктивного обсуждения особенностей настроек продуктов. Предложенную методологию читали эксперты, в том числе и Виталий Я., но от них не было предложений или пожеланий по настройкам.

На это некоторые специалисты (например, Вы) могут справедливо указать на то, что нужно как-то настраивать дополнительные режимы. По моему мнению это конструктивно и для последующих тестов было бы здорово получать пожелания по настройка продуктов от участников форума и экспертов. И только после этого как-то дополнительно настраивать продукты при тестировании. Иначе часть людей может высказать обратную претензию - в неравных условиях одних продуктов перед другими.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АМX

Тест заказной, для хоть какой-то убедительности к Касперскому подтянули Нортон. У таких доморошенных "экспертов" АМ, продукты без IDS показывают, такой -же результат как и продукты у которых IDS она из лучших.

У Касперского IDS морально устаревшая(ещё 5 версий назад), действует сигнатурам, а не по типам отак.

Любой человек может проводить такие липые тестирования хоть каждый день, с любыми нужными для него результатами. На бронзовую медаль Касперский не как не потянет!!!

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Тест заказной, для хоть какой-то убедительности к Касперскому подтянули Нортон. У таких доморошенных "экспертов" АМ, продукты без IDS показывают, такой -же результат как и продукты у которых IDS она из лучших.

Давайте разбираться. С чего вы сделали такие потрясающие выводы:

1. У каких-то продуктов нет IDS

2. У каких-то продуктов IDS один из лучших

Ну первый бог с ним. Очевидно по рекламным листовкам судите, раз не пишут, значит нет. А второе, тоже по рекламе что ли? :) На заборе еще не то может быть написано, а там дрова лежат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Тест заказной, для хоть какой-то убедительности к Касперскому подтянули Нортон. У таких доморошенных "экспертов" АМ, продукты без IDS показывают, такой -же результат как и продукты у которых IDS она из лучших.

У Касперского IDS морально устаревшая(ещё 5 версий назад), действует сигнатурам, а не по типам отак.

Любой человек может проводить такие липые тестирования хоть каждый день, с любыми нужными для него результатами. На бронзовую медаль Касперский не как не потянет!!!

:)

Меня жутко умиляют подобные подкаты. Я не являюсь поклонником продукции ЛК и на моем домашнем ПК стоит другой АВ.

Но объективная реальность такова - в данном тесте Каспер лучше.

Самое интересное, что результаты данного теста легко воспроизводимы. Поставьте себе XP SP3, скачайте все эксплойты и убедитесь в достоверности результатов.

Также всех сомневающихся я все время приглашаю в свою лабораторию, в которой готов продемонстрировать сомневающемся результаты проведенных нами тестов. Пока что приезжал только Сергей Ильин. Это и понятно, легче всего рассуждать о заказном характере работ, чем самому совершить усилия.

P.S. Наша лаборатория провела 3 теста и написала 24 работы для anti-malware и не разу администрация сайта не принуждала нас исправлять или улучшать полученные нами результаты. Поэтому мы с anti-malware и работаем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АМX

Ваша работа сама говорит и показывает за вас. ;)

Я вижу что вы нечего не понимаете, и место вашей работе в корзине - она НЕЧЕГО не стоит, и нечего не НЕСЕТ - Единица вам. Напокупают дипломов в переходе, хотя не важно. Важно то что сколько бы человек не учился, если в голове пусто это навсегда, и наоборот.

Мне бы за такое НУЛЕВОЕ качество стало бы стыдно, а Вы тут ещё и понты кидаете. Нечего что люди над вами смеются и считают вас и вашу лабораторию(не ЛК ли???!) пустым местом?

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

АМX, так все же ответы на мои вопросы будут?

С чего вы сделали такие потрясающие выводы:

1. У каких-то продуктов нет IDS

2. У каких-то продуктов IDS один из лучших

Откуда вы черпаете столь ценную информацию? Может мы тоже будем так делать, тогда и тесты будут не нужны :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

У виталика бывают и нормальные посты, но если они дебильноватые и у него спрашивают подтверждение, он никогда не отвечает по существу, либо игнорирует, либо начинает в ответ писать несвязанную чушь про что-то другое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Ваша работа сама говорит и показывает за вас. ;)

Я вижу что вы нечего не понимаете, и место вашей работе в корзине - она НЕЧЕГО не стоит, и нечего не НЕСЕТ - Единица вам. Напокупают дипломов в переходе, хотя не важно. Важно то что сколько бы человек не учился, если в голове пусто это навсегда, и наоборот.

Мне бы за такое НУЛЕВОЕ качество стало бы стыдно, а Вы тут ещё и понты кидаете. Нечего что люди над вами смеются и считают вас и вашу лабораторию(не ЛК ли???!) пустым местом?

:)

Угу. А Ваше хамство много говорит о Вас. Мама видно не научила Вас, что незнакомым людям грубить не культурно.

Яркие брызги эмоций и остроумия в этом случае должны заменяить содержательную критику к работе.

Наша лаборатория находится в Информационно-аналитическом центре ЮФУ (Южного федерального университета) и никак не связана с так Вами любимой ЛК.

Мое образование (кандидатская степень и два высших образования) и опыт работы позволяют мне делать работы такой и намного более высокой сложности. А Ваши познания о местах покупки дипломов наводят на грустные размышления - совсем у Вас в переходах плохо стало. Крепитесь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Коллеги (обращаюсь ко всем всем участникам форума), давайте стараться объективно подходить к оценке работы нашего портала и в частности к работе специалистов по тестированию. Прошу всех воздерживаться от тенденциозных, предвзятых оценок и суждений, основанных на слухах и сплетнях. Никакой аффилированности и ангажированности в работе AM я не вижу. Портал и тестовая лаборатория АМ независимы от кого бы то ни было, включая антивирусных вендоров. Те, кто обвиняет портал в аффилированности за всю историю его существования ни привели ни одного серьезного доказательства, подтверждающего истинность своих домыслов. Полагаю, что не привели не потому, что поскромничали, а потому что их нет. Для тех, кто желает поупражняться в троллинге, советую обратить внимание на это http://www.anti-malware.ru/forum/index.php...st&p=137929. Я долго терплю, но терпение модератора небесконечно. В один прекрасный момент начнутся баны и другие санкции. Очень не хочу прибегать к суровым мерам, но функции и полномочия модератора обязывают меня к этому.

Естественно, что в процессе подготовки и тестирования могут быть недочеты и ошибки. Не ошибается тот, кто ничего не делает. В этом отношении портал достаточно демократичен: у каждого участника форуме есть возможность внести свои предложения и покритиковать как методологию, так и результаты тестирования. Если есть желание покритиковать, то критикуйте сами тесты по существу, не нужно обвинять портал и инженеров по тестированию в ангажированности, если у вас нет серьезных доказательств этого.

Если посмотреть объективно, не руководствуясь домыслами, то я, лично, прихожу к выводу, что Илье Шабанову удалось собрать команду реально независимых, хорошо теоретически и практически подготовленных профессионалов (не в коем случае не хочу поставить под сомнение профессионализм и объективность предыдущих специалистов по тестированию). Надеюсь, что наш портал будет развивать это перспективное направление как в количественном, так и в качественном отношении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Прошу придерживаться обсуждаемой темы. Вопросы независимости портала и объективности тестов обсуждаются здесь http://www.anti-malware.ru/forum/index.php...st&p=157473

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×