Перейти к содержанию
Сергей Ильин

Тест персональных IDS/IPS на защиту от атак на уязвимые приложения (июнь 2012)

Recommended Posts

Desperado_Troll

Может быть при тестирование Microsoft Security Essentials + Windows Firewall на максимальных настройках стоило бы включить DEP для всех программ и служб?

Тогда результат был бы наверное получше, в частности будет под вопросом прохождение Remote Code Execution эксплойтов эксплуатирующих уязвимости переполнения.

А так получается, что не протестировали одну из главных защит Microsoft от эксплойтов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Может быть при тестирование Microsoft Security Essentials + Windows Firewall на максимальных настройках стоило бы включить DEP для всех программ и служб?

Для всех надо было включить DEP для всех программ и служб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
На примере Комодо Файервола. Тестировщики не видят наличие реакции продукта на Сканирование портов.

Наверное,журнал событий файера найти не смогли :D

Image_221212.png

Обнаружение,блокирование и логирование это канешна же не реакция на сканирование.Нет алерта с ахтунгом-нет обнаружения,крутая методика,чо уж тут :D

post-16520-1339171510_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Обнаружение,блокирование и логирование это канешна же не реакция на сканирование.Нет алерта с ахтунгом-нет обнаружения,крутая методика,чо уж тут

Это уже проходили, говорят - "усё було" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AreYouSure
Странно как-то,в комодо по умолчанию установлено глобальное правило "Бокировать ICMP Входящие из MAC Любой в MAC Любой,где ICMP сообщение:Echo запрос"

хх.хх.29.28 ping statistics ---

packets transmitted 9

received 0

packet loss 100 %

time 8056 ms

Где фэйл-то?

Да вот же он :huh:

scan.png

"На скрине опера хочет принять входящее соединение" от другого компьютера, с которого в онлайне идёт обнаружения хостов сети и сканирование открытых портов.

https://hideme.ru/ports/

"Сканер портов — программное обеспечение, созданное для обнаружения хостов сети, в которых открыт нужный порт или набор портов."

Мне тоже интересно, в Opera & FireFox

61cdd3d7f1617ffbe0fd5b5f31a80d6c.png 04fa59c2f7397453420a107f1003b734.png

алерты видимы?

Входящие соединения для оперы - ничего странного, она использует их для Opera Unite и Торрента. В любом случае, мне что, нужно с открытой оперой сидеть чтобы засечь сканирование? :D

2. "Мастер скрытых портов" - это, грубо говоря, Анти-Сканер портов и их сокрытие, а "закрытие портов" - путём удаления в Файервол\Политики сетевой безопасности\Наборы портов

Закрыть или скрыть - невилика разница, эффект один и тот же - порты не досутпны для всех, и хороших и плохих парней.

Повторюсь: Закрыть\скрыть порты - это не есть хорошо, хорошо - это когда порты открыты, но их нельзя просканировать.

Если нужно, чтобы какая то часть портов была видна в сети, как же тогда защититься от сканирования?

post-19004-1339178630_thumb.png

Отредактировал AreYouSure

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Встречный вопрос. Как вы полагаете, какой процент пользователей Comodo и Outpost "разбираются в настройках" и включают ручками всякие StelthMode и StelthPorts? Хотя бы примерно, экспертную оценку интересно услышать?

Причем тут процент пользователей? Данных нет, но думаю не менее половины.

Речь идет о Вашем тесте. И раз упоминается "режим на максимальных настройках", нужно было и соотвественно настраивать, ничего не забывать. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

А f-Secure используют собственный файервол?

А то с версии 2013 они используют windows firewall с дополнительными фильтрами

Отредактировал RuJN

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
мне что, нужно с открытой оперой сидеть чтобы засечь сканирование? :D

AreYouSure

В реальных, а не приближенных к реальным, условиях сидите на чём хотите :D

Картинки с форума Comodo:

https://ssl.abcd.bz/123/bb.jpg

https://ssl.abcd.bz/123/bc.jpg

Речь шла не об Opera, а о пустяке, не повлиявшем на результаты теста.

Закрыть или скрыть - невилика разница, эффект один и тот же - порты не досутпны для всех, и хороших и плохих парней.

Удалить - не видеть того, чего нет.

Скрыть - не видеть того, что есть.

Почувствуйте разницу, удалите порт Службы со Статусом: Официально

Повторюсь: Закрыть\скрыть порты - это не есть хорошо, хорошо - это когда порты открыты, но их нельзя просканировать.

Если нужно, чтобы какая то часть портов была видна в сети, как же тогда защититься от сканирования?

Повторюсь: Речь шла про невидимые алерты, а не про невидимые портки порты - хорошо или плохо и как защититься от сканирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Причем тут процент пользователей? Данных нет, но думаю не менее половины.

Речь идет о Вашем тесте. И раз упоминается "режим на максимальных настройках", нужно было и соотвественно настраивать, ничего не забывать. )

Тут дело не в забывчивости, а в логике проведения теста и настроек.

Если с настройками "по умолчанию" (стандартными) все понятно. То в "максимальных" настройках все не так однозначно. По некоторым режимам можно дискутировать - включать их или нет. Поэтому в методологии отражения фаерволами внутренних угроз было прописано, цитирую:

"Другими словами – под выставлением максимальных настроек понимается перевод всех доступных из графического интерфейса пользователя значений модулей программы, связанных с детектированием вредоносной файловой или сетевой активности, к наиболее строгому варианту."

Именно эту формулировку использовали и в данном тесте, Т.е. выбирали максимальные опции для проверки/сканирования/..., но не настраивали при помощи мастеров доп. режимы. После теста фаерволов на форуме не было конструктивного обсуждения особенностей настроек продуктов. Предложенную методологию читали эксперты, в том числе и Виталий Я., но от них не было предложений или пожеланий по настройкам.

На это некоторые специалисты (например, Вы) могут справедливо указать на то, что нужно как-то настраивать дополнительные режимы. По моему мнению это конструктивно и для последующих тестов было бы здорово получать пожелания по настройка продуктов от участников форума и экспертов. И только после этого как-то дополнительно настраивать продукты при тестировании. Иначе часть людей может высказать обратную претензию - в неравных условиях одних продуктов перед другими.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АМX

Тест заказной, для хоть какой-то убедительности к Касперскому подтянули Нортон. У таких доморошенных "экспертов" АМ, продукты без IDS показывают, такой -же результат как и продукты у которых IDS она из лучших.

У Касперского IDS морально устаревшая(ещё 5 версий назад), действует сигнатурам, а не по типам отак.

Любой человек может проводить такие липые тестирования хоть каждый день, с любыми нужными для него результатами. На бронзовую медаль Касперский не как не потянет!!!

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Тест заказной, для хоть какой-то убедительности к Касперскому подтянули Нортон. У таких доморошенных "экспертов" АМ, продукты без IDS показывают, такой -же результат как и продукты у которых IDS она из лучших.

Давайте разбираться. С чего вы сделали такие потрясающие выводы:

1. У каких-то продуктов нет IDS

2. У каких-то продуктов IDS один из лучших

Ну первый бог с ним. Очевидно по рекламным листовкам судите, раз не пишут, значит нет. А второе, тоже по рекламе что ли? :) На заборе еще не то может быть написано, а там дрова лежат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Тест заказной, для хоть какой-то убедительности к Касперскому подтянули Нортон. У таких доморошенных "экспертов" АМ, продукты без IDS показывают, такой -же результат как и продукты у которых IDS она из лучших.

У Касперского IDS морально устаревшая(ещё 5 версий назад), действует сигнатурам, а не по типам отак.

Любой человек может проводить такие липые тестирования хоть каждый день, с любыми нужными для него результатами. На бронзовую медаль Касперский не как не потянет!!!

:)

Меня жутко умиляют подобные подкаты. Я не являюсь поклонником продукции ЛК и на моем домашнем ПК стоит другой АВ.

Но объективная реальность такова - в данном тесте Каспер лучше.

Самое интересное, что результаты данного теста легко воспроизводимы. Поставьте себе XP SP3, скачайте все эксплойты и убедитесь в достоверности результатов.

Также всех сомневающихся я все время приглашаю в свою лабораторию, в которой готов продемонстрировать сомневающемся результаты проведенных нами тестов. Пока что приезжал только Сергей Ильин. Это и понятно, легче всего рассуждать о заказном характере работ, чем самому совершить усилия.

P.S. Наша лаборатория провела 3 теста и написала 24 работы для anti-malware и не разу администрация сайта не принуждала нас исправлять или улучшать полученные нами результаты. Поэтому мы с anti-malware и работаем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АМX

Ваша работа сама говорит и показывает за вас. ;)

Я вижу что вы нечего не понимаете, и место вашей работе в корзине - она НЕЧЕГО не стоит, и нечего не НЕСЕТ - Единица вам. Напокупают дипломов в переходе, хотя не важно. Важно то что сколько бы человек не учился, если в голове пусто это навсегда, и наоборот.

Мне бы за такое НУЛЕВОЕ качество стало бы стыдно, а Вы тут ещё и понты кидаете. Нечего что люди над вами смеются и считают вас и вашу лабораторию(не ЛК ли???!) пустым местом?

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

АМX, так все же ответы на мои вопросы будут?

С чего вы сделали такие потрясающие выводы:

1. У каких-то продуктов нет IDS

2. У каких-то продуктов IDS один из лучших

Откуда вы черпаете столь ценную информацию? Может мы тоже будем так делать, тогда и тесты будут не нужны :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

У виталика бывают и нормальные посты, но если они дебильноватые и у него спрашивают подтверждение, он никогда не отвечает по существу, либо игнорирует, либо начинает в ответ писать несвязанную чушь про что-то другое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Ваша работа сама говорит и показывает за вас. ;)

Я вижу что вы нечего не понимаете, и место вашей работе в корзине - она НЕЧЕГО не стоит, и нечего не НЕСЕТ - Единица вам. Напокупают дипломов в переходе, хотя не важно. Важно то что сколько бы человек не учился, если в голове пусто это навсегда, и наоборот.

Мне бы за такое НУЛЕВОЕ качество стало бы стыдно, а Вы тут ещё и понты кидаете. Нечего что люди над вами смеются и считают вас и вашу лабораторию(не ЛК ли???!) пустым местом?

:)

Угу. А Ваше хамство много говорит о Вас. Мама видно не научила Вас, что незнакомым людям грубить не культурно.

Яркие брызги эмоций и остроумия в этом случае должны заменяить содержательную критику к работе.

Наша лаборатория находится в Информационно-аналитическом центре ЮФУ (Южного федерального университета) и никак не связана с так Вами любимой ЛК.

Мое образование (кандидатская степень и два высших образования) и опыт работы позволяют мне делать работы такой и намного более высокой сложности. А Ваши познания о местах покупки дипломов наводят на грустные размышления - совсем у Вас в переходах плохо стало. Крепитесь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Коллеги (обращаюсь ко всем всем участникам форума), давайте стараться объективно подходить к оценке работы нашего портала и в частности к работе специалистов по тестированию. Прошу всех воздерживаться от тенденциозных, предвзятых оценок и суждений, основанных на слухах и сплетнях. Никакой аффилированности и ангажированности в работе AM я не вижу. Портал и тестовая лаборатория АМ независимы от кого бы то ни было, включая антивирусных вендоров. Те, кто обвиняет портал в аффилированности за всю историю его существования ни привели ни одного серьезного доказательства, подтверждающего истинность своих домыслов. Полагаю, что не привели не потому, что поскромничали, а потому что их нет. Для тех, кто желает поупражняться в троллинге, советую обратить внимание на это http://www.anti-malware.ru/forum/index.php...st&p=137929. Я долго терплю, но терпение модератора небесконечно. В один прекрасный момент начнутся баны и другие санкции. Очень не хочу прибегать к суровым мерам, но функции и полномочия модератора обязывают меня к этому.

Естественно, что в процессе подготовки и тестирования могут быть недочеты и ошибки. Не ошибается тот, кто ничего не делает. В этом отношении портал достаточно демократичен: у каждого участника форуме есть возможность внести свои предложения и покритиковать как методологию, так и результаты тестирования. Если есть желание покритиковать, то критикуйте сами тесты по существу, не нужно обвинять портал и инженеров по тестированию в ангажированности, если у вас нет серьезных доказательств этого.

Если посмотреть объективно, не руководствуясь домыслами, то я, лично, прихожу к выводу, что Илье Шабанову удалось собрать команду реально независимых, хорошо теоретически и практически подготовленных профессионалов (не в коем случае не хочу поставить под сомнение профессионализм и объективность предыдущих специалистов по тестированию). Надеюсь, что наш портал будет развивать это перспективное направление как в количественном, так и в качественном отношении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Прошу придерживаться обсуждаемой темы. Вопросы независимости портала и объективности тестов обсуждаются здесь http://www.anti-malware.ru/forum/index.php...st&p=157473

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×