Перейти к содержанию
Сергей Ильин

Тест персональных IDS/IPS на защиту от атак на уязвимые приложения (июнь 2012)

Recommended Posts

Desperado_Troll

Может быть при тестирование Microsoft Security Essentials + Windows Firewall на максимальных настройках стоило бы включить DEP для всех программ и служб?

Тогда результат был бы наверное получше, в частности будет под вопросом прохождение Remote Code Execution эксплойтов эксплуатирующих уязвимости переполнения.

А так получается, что не протестировали одну из главных защит Microsoft от эксплойтов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
Может быть при тестирование Microsoft Security Essentials + Windows Firewall на максимальных настройках стоило бы включить DEP для всех программ и служб?

Для всех надо было включить DEP для всех программ и служб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
newlaid
На примере Комодо Файервола. Тестировщики не видят наличие реакции продукта на Сканирование портов.

Наверное,журнал событий файера найти не смогли :D

Image_221212.png

Обнаружение,блокирование и логирование это канешна же не реакция на сканирование.Нет алерта с ахтунгом-нет обнаружения,крутая методика,чо уж тут :D

post-16520-1339171510_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Обнаружение,блокирование и логирование это канешна же не реакция на сканирование.Нет алерта с ахтунгом-нет обнаружения,крутая методика,чо уж тут

Это уже проходили, говорят - "усё було" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AreYouSure
Странно как-то,в комодо по умолчанию установлено глобальное правило "Бокировать ICMP Входящие из MAC Любой в MAC Любой,где ICMP сообщение:Echo запрос"

хх.хх.29.28 ping statistics ---

packets transmitted 9

received 0

packet loss 100 %

time 8056 ms

Где фэйл-то?

Да вот же он :huh:

scan.png

"На скрине опера хочет принять входящее соединение" от другого компьютера, с которого в онлайне идёт обнаружения хостов сети и сканирование открытых портов.

https://hideme.ru/ports/

"Сканер портов — программное обеспечение, созданное для обнаружения хостов сети, в которых открыт нужный порт или набор портов."

Мне тоже интересно, в Opera & FireFox

61cdd3d7f1617ffbe0fd5b5f31a80d6c.png 04fa59c2f7397453420a107f1003b734.png

алерты видимы?

Входящие соединения для оперы - ничего странного, она использует их для Opera Unite и Торрента. В любом случае, мне что, нужно с открытой оперой сидеть чтобы засечь сканирование? :D

2. "Мастер скрытых портов" - это, грубо говоря, Анти-Сканер портов и их сокрытие, а "закрытие портов" - путём удаления в Файервол\Политики сетевой безопасности\Наборы портов

Закрыть или скрыть - невилика разница, эффект один и тот же - порты не досутпны для всех, и хороших и плохих парней.

Повторюсь: Закрыть\скрыть порты - это не есть хорошо, хорошо - это когда порты открыты, но их нельзя просканировать.

Если нужно, чтобы какая то часть портов была видна в сети, как же тогда защититься от сканирования?

post-19004-1339178630_thumb.png

Отредактировал AreYouSure

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
Встречный вопрос. Как вы полагаете, какой процент пользователей Comodo и Outpost "разбираются в настройках" и включают ручками всякие StelthMode и StelthPorts? Хотя бы примерно, экспертную оценку интересно услышать?

Причем тут процент пользователей? Данных нет, но думаю не менее половины.

Речь идет о Вашем тесте. И раз упоминается "режим на максимальных настройках", нужно было и соотвественно настраивать, ничего не забывать. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

А f-Secure используют собственный файервол?

А то с версии 2013 они используют windows firewall с дополнительными фильтрами

Отредактировал RuJN

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
мне что, нужно с открытой оперой сидеть чтобы засечь сканирование? :D

AreYouSure

В реальных, а не приближенных к реальным, условиях сидите на чём хотите :D

Картинки с форума Comodo:

https://ssl.abcd.bz/123/bb.jpg

https://ssl.abcd.bz/123/bc.jpg

Речь шла не об Opera, а о пустяке, не повлиявшем на результаты теста.

Закрыть или скрыть - невилика разница, эффект один и тот же - порты не досутпны для всех, и хороших и плохих парней.

Удалить - не видеть того, чего нет.

Скрыть - не видеть того, что есть.

Почувствуйте разницу, удалите порт Службы со Статусом: Официально

Повторюсь: Закрыть\скрыть порты - это не есть хорошо, хорошо - это когда порты открыты, но их нельзя просканировать.

Если нужно, чтобы какая то часть портов была видна в сети, как же тогда защититься от сканирования?

Повторюсь: Речь шла про невидимые алерты, а не про невидимые портки порты - хорошо или плохо и как защититься от сканирования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Причем тут процент пользователей? Данных нет, но думаю не менее половины.

Речь идет о Вашем тесте. И раз упоминается "режим на максимальных настройках", нужно было и соотвественно настраивать, ничего не забывать. )

Тут дело не в забывчивости, а в логике проведения теста и настроек.

Если с настройками "по умолчанию" (стандартными) все понятно. То в "максимальных" настройках все не так однозначно. По некоторым режимам можно дискутировать - включать их или нет. Поэтому в методологии отражения фаерволами внутренних угроз было прописано, цитирую:

"Другими словами – под выставлением максимальных настроек понимается перевод всех доступных из графического интерфейса пользователя значений модулей программы, связанных с детектированием вредоносной файловой или сетевой активности, к наиболее строгому варианту."

Именно эту формулировку использовали и в данном тесте, Т.е. выбирали максимальные опции для проверки/сканирования/..., но не настраивали при помощи мастеров доп. режимы. После теста фаерволов на форуме не было конструктивного обсуждения особенностей настроек продуктов. Предложенную методологию читали эксперты, в том числе и Виталий Я., но от них не было предложений или пожеланий по настройкам.

На это некоторые специалисты (например, Вы) могут справедливо указать на то, что нужно как-то настраивать дополнительные режимы. По моему мнению это конструктивно и для последующих тестов было бы здорово получать пожелания по настройка продуктов от участников форума и экспертов. И только после этого как-то дополнительно настраивать продукты при тестировании. Иначе часть людей может высказать обратную претензию - в неравных условиях одних продуктов перед другими.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АМX

Тест заказной, для хоть какой-то убедительности к Касперскому подтянули Нортон. У таких доморошенных "экспертов" АМ, продукты без IDS показывают, такой -же результат как и продукты у которых IDS она из лучших.

У Касперского IDS морально устаревшая(ещё 5 версий назад), действует сигнатурам, а не по типам отак.

Любой человек может проводить такие липые тестирования хоть каждый день, с любыми нужными для него результатами. На бронзовую медаль Касперский не как не потянет!!!

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Тест заказной, для хоть какой-то убедительности к Касперскому подтянули Нортон. У таких доморошенных "экспертов" АМ, продукты без IDS показывают, такой -же результат как и продукты у которых IDS она из лучших.

Давайте разбираться. С чего вы сделали такие потрясающие выводы:

1. У каких-то продуктов нет IDS

2. У каких-то продуктов IDS один из лучших

Ну первый бог с ним. Очевидно по рекламным листовкам судите, раз не пишут, значит нет. А второе, тоже по рекламе что ли? :) На заборе еще не то может быть написано, а там дрова лежат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Тест заказной, для хоть какой-то убедительности к Касперскому подтянули Нортон. У таких доморошенных "экспертов" АМ, продукты без IDS показывают, такой -же результат как и продукты у которых IDS она из лучших.

У Касперского IDS морально устаревшая(ещё 5 версий назад), действует сигнатурам, а не по типам отак.

Любой человек может проводить такие липые тестирования хоть каждый день, с любыми нужными для него результатами. На бронзовую медаль Касперский не как не потянет!!!

:)

Меня жутко умиляют подобные подкаты. Я не являюсь поклонником продукции ЛК и на моем домашнем ПК стоит другой АВ.

Но объективная реальность такова - в данном тесте Каспер лучше.

Самое интересное, что результаты данного теста легко воспроизводимы. Поставьте себе XP SP3, скачайте все эксплойты и убедитесь в достоверности результатов.

Также всех сомневающихся я все время приглашаю в свою лабораторию, в которой готов продемонстрировать сомневающемся результаты проведенных нами тестов. Пока что приезжал только Сергей Ильин. Это и понятно, легче всего рассуждать о заказном характере работ, чем самому совершить усилия.

P.S. Наша лаборатория провела 3 теста и написала 24 работы для anti-malware и не разу администрация сайта не принуждала нас исправлять или улучшать полученные нами результаты. Поэтому мы с anti-malware и работаем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
АМX

Ваша работа сама говорит и показывает за вас. ;)

Я вижу что вы нечего не понимаете, и место вашей работе в корзине - она НЕЧЕГО не стоит, и нечего не НЕСЕТ - Единица вам. Напокупают дипломов в переходе, хотя не важно. Важно то что сколько бы человек не учился, если в голове пусто это навсегда, и наоборот.

Мне бы за такое НУЛЕВОЕ качество стало бы стыдно, а Вы тут ещё и понты кидаете. Нечего что люди над вами смеются и считают вас и вашу лабораторию(не ЛК ли???!) пустым местом?

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

АМX, так все же ответы на мои вопросы будут?

С чего вы сделали такие потрясающие выводы:

1. У каких-то продуктов нет IDS

2. У каких-то продуктов IDS один из лучших

Откуда вы черпаете столь ценную информацию? Может мы тоже будем так делать, тогда и тесты будут не нужны :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

У виталика бывают и нормальные посты, но если они дебильноватые и у него спрашивают подтверждение, он никогда не отвечает по существу, либо игнорирует, либо начинает в ответ писать несвязанную чушь про что-то другое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kartavenko M.V.
Ваша работа сама говорит и показывает за вас. ;)

Я вижу что вы нечего не понимаете, и место вашей работе в корзине - она НЕЧЕГО не стоит, и нечего не НЕСЕТ - Единица вам. Напокупают дипломов в переходе, хотя не важно. Важно то что сколько бы человек не учился, если в голове пусто это навсегда, и наоборот.

Мне бы за такое НУЛЕВОЕ качество стало бы стыдно, а Вы тут ещё и понты кидаете. Нечего что люди над вами смеются и считают вас и вашу лабораторию(не ЛК ли???!) пустым местом?

:)

Угу. А Ваше хамство много говорит о Вас. Мама видно не научила Вас, что незнакомым людям грубить не культурно.

Яркие брызги эмоций и остроумия в этом случае должны заменяить содержательную критику к работе.

Наша лаборатория находится в Информационно-аналитическом центре ЮФУ (Южного федерального университета) и никак не связана с так Вами любимой ЛК.

Мое образование (кандидатская степень и два высших образования) и опыт работы позволяют мне делать работы такой и намного более высокой сложности. А Ваши познания о местах покупки дипломов наводят на грустные размышления - совсем у Вас в переходах плохо стало. Крепитесь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Коллеги (обращаюсь ко всем всем участникам форума), давайте стараться объективно подходить к оценке работы нашего портала и в частности к работе специалистов по тестированию. Прошу всех воздерживаться от тенденциозных, предвзятых оценок и суждений, основанных на слухах и сплетнях. Никакой аффилированности и ангажированности в работе AM я не вижу. Портал и тестовая лаборатория АМ независимы от кого бы то ни было, включая антивирусных вендоров. Те, кто обвиняет портал в аффилированности за всю историю его существования ни привели ни одного серьезного доказательства, подтверждающего истинность своих домыслов. Полагаю, что не привели не потому, что поскромничали, а потому что их нет. Для тех, кто желает поупражняться в троллинге, советую обратить внимание на это http://www.anti-malware.ru/forum/index.php...st&p=137929. Я долго терплю, но терпение модератора небесконечно. В один прекрасный момент начнутся баны и другие санкции. Очень не хочу прибегать к суровым мерам, но функции и полномочия модератора обязывают меня к этому.

Естественно, что в процессе подготовки и тестирования могут быть недочеты и ошибки. Не ошибается тот, кто ничего не делает. В этом отношении портал достаточно демократичен: у каждого участника форуме есть возможность внести свои предложения и покритиковать как методологию, так и результаты тестирования. Если есть желание покритиковать, то критикуйте сами тесты по существу, не нужно обвинять портал и инженеров по тестированию в ангажированности, если у вас нет серьезных доказательств этого.

Если посмотреть объективно, не руководствуясь домыслами, то я, лично, прихожу к выводу, что Илье Шабанову удалось собрать команду реально независимых, хорошо теоретически и практически подготовленных профессионалов (не в коем случае не хочу поставить под сомнение профессионализм и объективность предыдущих специалистов по тестированию). Надеюсь, что наш портал будет развивать это перспективное направление как в количественном, так и в качественном отношении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Прошу придерживаться обсуждаемой темы. Вопросы независимости портала и объективности тестов обсуждаются здесь http://www.anti-malware.ru/forum/index.php...st&p=157473

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • potopa
      Раньше у меня была проблема, где читать новости об авто, поскольку сейчас очень много сайтов, на которых публикуют новости про автомобили. Но недавно я нашел один классный сайт, теперь только на этом сайте читаю автоновости http://avtonovosty1.ru/ . Поскольку только там все свежие и популярные новости. Много кстати интересных статей, так что мужики заходите, найдете что-то интересное.
    • potopa
      А вы изучали когда-нибудь кодекс об административных правонарушениях? Я вот, например, сейчас его изучаю. На данный момент читаю эту статью https://koapru.ru/statja-2.2/ . В ней говорится о формах вины. Рекомендую кстати всем почитать кодекс об административных правонарушениях, там много важной и нужной информации. Лишним точно не будет.
    • Bases
      Готовые базы контактов на любую тематику и гео! Постоянные обновления! Партнерская программа и призы! Переходи, возьми то, что искал давно - @GetBaseBot
    • gromm
      Из меня вообще игрок в казино так себе, я только учусь играть и узнаю разные фишки, как все это состоится и происходит в целом, но для меня было открытием это начать пробовать реально играть на деньги, стала это делать в http://siminform.ru/ Slottica казино официальный сайт. Так как тут выгодные условия и есть много интересных ярки автоматов, которые хотелось протестировать.
    • PR55.RP55
×