Перейти к содержанию
k_w

Помогите выбрать хороший фаервол!

Recommended Posts

k_w

Почти на каждом форуме можно встретить такое сообщение.

Почти на каждом форуме будет примерно такой совет:

"Ставь ... - по тестам на первом месте,+бесплатный."

Очень хочется узнать мнение экспертов,по существующим методикам тестирования.

И насколько определяющим фактором эти результаты должны являться при выборе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Артём

Оутпост, Керио, Комодо. Остально ИМХО не заслуживает внимания. Выбирай на свой вкус!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
Оутпост, Керио, Комодо. Остально ИМХО не заслуживает внимания. Выбирай на свой вкус!

iptables? ipfw? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SAlex

По моему все ликтесты не имеют прямого отношения к надежности фаерволла. Это всего лишь демонстрация возможностей, типа eicar для антивирусов. Прохождение означает лишь то что "необходимый минимум" фаерволл умеет. Вообще как мне представляется если антивирус это в первую очередь сервис, то фаерволл это в первую очередь настройки. Как раз от настроек (зачастую от низкоуровневых правил) зависит надежность защиты. Я пробовал комод, агнитум и online armor. Наиболее удобен для меня оказался агнитум как раз в плане настроек, хотя 6 версия проиграла в этом плане 4 (ну не люблю я интерфейс ради интерфейса). А вообще попробуйте несколько вариантов, удобство понятие субъективное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
По моему все ликтесты не имеют прямого отношения к надежности фаерволла. Это всего лишь демонстрация возможностей, типа eicar для антивирусов. Прохождение означает лишь то что "необходимый минимум" фаерволл умеет.

Необходимый минимум, говорите? =) Посмотрите на результаты лик-тестов...

Вообще как мне представляется если антивирус это в первую очередь сервис, то фаерволл это в первую очередь настройки. Как раз от настроек (зачастую от низкоуровневых правил) зависит надежность защиты.

Если, к примеру, фаерволл не содержит поведенческой компоненты, то как его не настраивай, он будет абсолютно бессилен как против лик-тестов, так и против реальных троянцев, реализующих те же методы... И примеры такие есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

В соседней ветке обсуждается ликтесты файрволов

http://www.anti-malware.ru/phpbb/viewtopic.php?t=3436

Так вот там мало кто блещет что-то. Так что я бы не назвал эти тесты формальными, это явно не аналог VirusBulletin по антивирусам :wink:

Из чистых файрволов я бы рекомендовал:

1. Comodo Firewall Pro

2. Outpost Firewall PRO

3. ZoneAlarm Pro

Первый бесплатный, что делает его явно привлекательнее конкурентов.

В любом случае важную роль играет интерфейс и логика взаимодействия с пользователем. Так что нужно пробовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Говорят новый Jetico очень неплох...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SAlex

Посмотрел на результаты лик тестов. Мнения моего они не изменили, потому как если продукт не может пройти серию стандартных тестов то велики шансы что нестандартные не пройдет и подавно. Кстати по той линке на matousec есть замечательная фраза авторов теста

"If a firewall passes all leak-tests it does not mean it is perfect, bug free or secure in other aspects! However, if a personal firewall fails most of leak-testing techniques, it means that it is insecure."

Про дополнительные модули фаерволла я негативно не высказывался,

просто все эти элементы hips (прошу прощения за возможно неточную формулировку) ИМХО необязательно должны быть привязаны именно к фаеру, каспер давно и достаточно успешно интегрировал проактивную защиту в антивирус. SF вообще полагаются на голый hips. Просто как уже говорилось множесто раз, защита системы это понятие включающее несколько аспектов. И с троянами на первом этапе все таки должен бороться антивирус, потому как бы люди не уповали на все проактивные защиты ничего стабильнее и эффективнее черного листа еще не придумано (чую что сейчас посыпятся мне минусы от любителей сандбоксов).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Посмотрел на результаты лик тестов. Мнения моего они не изменили, потому как если продукт не может пройти серию стандартных тестов то велики шансы что нестандартные не пройдет и подавно.

Ну так вот именно! А вы говорите "По моему все ликтесты не имеют прямого отношения к надежности фаерволла.". Как же не имеют? И потом ещё вы говорите: "Это всего лишь демонстрация возможностей, типа eicar для антивирусов". Как же типа eicar? Обратите внимание сколько продуктов НЕ в состоянии защититься от этих самый лик-тестов! Согласен с Сергеем Ильиным: лик-тесты куда серъёзнее и полезнее, чем eicar и VB...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
k_w

Dmitry Perets

лик-тесты куда серъёзнее и полезнее

а как же побочные эффекты в виде Fake Protection Revealer?

какой процент действующих зловредов всё ещё использует подобные методики обхода ?

на мой взгляд куда серьёзнее и "полезнее" когда выкладывыают статьи про инжект,обход и т.д

p.s.:Прошу прощения за дилетантизм, однако "жужжание" по поводу этого хит-парада на matousec.com,до сих пор не имеет в рунете должной критической оценки.(пока не встречал)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
на мой взгляд куда серьёзнее и "полезнее" когда выкладывыают статьи про инжет,обход и т.д

Так это по сути одно и то же! Представьте, что вам выложили статью про обход user-mode-хуков при помощи вызова VirtualProtect. Это и есть FPR. А затем вам выложили статью про обход тех же хуков, но уже через собственную реализацию VirtualProtect. Это FPR2. Но молиться на лик-тесты, конечно, не нужно. С этим не спорю. Просто потому, что лик-тесты не могут охватить ВСЕХ методов обхода.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SAlex

Я в предыдущем сообщении писал что часть лик тестов тестирует hips - компонент который вендоры могут включать в фаер или нет по своему усмотрению (ну или возможностям).

Я вижу сколько продуктов не могут пройти стандартные тесты. Также еще немало можно убить несколькими кликами мышки. Именно поэтому я не отрицаю ценность тестов фаеров (кстати как и антивирусов) в целом. Только нужно учитывать что большинство тестов не дает объективную оценку продуктам. Опять же говоря про защиту фаерволла, его противодействие "утечкам" как можно это оценивать если не обращать внимание на защищенность продукта от внешнего воздействия вредоносного ПО. Ведь эта проблема актуальна для фаеров не меньше чем для антивирусов.

А в целом лик тесты более показательны (по сравнению с антивирусными) хотя бы по открытости методологии и легкой возможности проверки корректности результатов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Я в предыдущем сообщении писал что часть лик тестов тестирует hips - компонент который вендоры могут включать в фаер или нет по своему усмотрению (ну или возможностям).

Ну конкретно HIPS - да, не обязательно встраивать. Но вот если фаер вообще не будет содержать никакой поведенческой компоненты, то мы получим довольно бессмысленный продукт. Простой таблицы правил сегодня ну никак не достаточно. Только ленивый будет отсылать данные напрямую... А ленивых антивирус и так словит =)

Только нужно учитывать что большинство тестов не дает объективную оценку продуктам. Опять же говоря про защиту фаерволла, его противодействие "утечкам" как можно это оценивать если не обращать внимание на защищенность продукта от внешнего воздействия вредоносного ПО. Ведь эта проблема актуальна для фаеров не меньше чем для антивирусов.

+1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SAlex

На правах частичного оффтопа. Может в рамках следующего теста самозащиты ПО, наряду с антивирусами включить и фаерволлы? Ну хотя бы те которые декларируют надежную самозащиту.

Поведенческая компонента да, безусловно важна, и все более менее крупные вендоры с разной степенью успеха ее пытаются реализовать. Доходит до того, что ставишь антивирус и фаерволл и получаешь "в комплекте" 2 хипса, которые потом частично отключаешь дабы не ловить на каждое подозрительное действие по 2 запроса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Может в рамках следующего теста самозащиты ПО, наряду с антивирусами включить и фаерволлы? Ну хотя бы те которые декларируют надежную самозащиту.

Думаю лучше провести отдельный тест самозащиты фаерволов, чтобы не мешать с антивирусами. Идея интересная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Полностью поддержу идею. Если найдется такой смельчак, то буду только рад :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
k_w
отдельный тест самозащиты фаерволов

поддерживаю.

и хорошо бы провести тест фаерволов по их прямому назначению- на "пролом".

Да и вообще как то больше внимания уделять сей отрасли.

чтобы не мешать с антивирусами.

Сергей, я тут глянул раздел тестов.

Кроме антивирусов за время существования портала что-нибудь тестировалось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SAlex

k_w

Тест на "пролом" это как? Использовать те же лики что и matousec смысла нет так как результат навряд ли будет отличаться. А что можно было бы еще добавить как Вы считаете?

ИМХО еще надо учитывать то, что все методы ведущие в блок сети или бсод имеют в большей степени теоретический интерес в контексте рабочих станций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Кроме антивирусов за время существования портала что-нибудь тестировалось?

Пока нет, но скоро мы это поправим, я уверен. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
k_w
Тест на "пролом" это как?

да это я так, образно.не знаю как.

например так:

p2u

Вот как мне представляется настоящий тест:

- Установим ту же ОС, с теми же обновлениями Майкрософта, с теми же устаревшими ActiveX модулями плееров, мессенджеров, и со всяким другим брахлом в IE, которое там бывает, с включёнными скриптами, и ходим по заранее созданному списку определённых заражённых сайтов. Теперь посмотрим, как себя ведут различные продукты защиты, и самое главное: посмотрим, можно ли устранить ущерб потом. Вот это был бы тест...

Paul

http://forum.kaspersky.com/index.php?showt...mp;#entry431291

вот ещё вспомнил:

http://www.z-oleg.com/secur/articles/fwtest.php

ну если с методиками совсем кисло,обратиться за помощью на wasm.ru,rootkits.ru

например...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SAlex

Мне кажется логичной проверка на устойчивость к флуду. В свое время встречал подобный тест. Организация ситуации была "идеальной". 2 pc через 100мбит соединены напрямую, и производилась попытка ddos, по разным протоколам. К сожалению не могу сейчас найти результаты, но в некоторых случаях fw загружали cpu на 100%. Весьма относительное отражение атаки. В условиях домашнего пк вероятность подобного крайне мала, но результаты были бы интересны. Можно было бы добавить arp в тест.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black Angel

Из фаерволов пробовал многие. Неплох Outpost, но он все время от версии к версии как бы "сыроват". На данный момент меня вполне устраивает KIS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
На данный момент меня вполне устраивает KIS.

Поддерживаю :) Если поиграть с настройками будет защищать не хуже аутпоста :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Максим

Мне кажется логичной проверка на устойчивость к флуду.
Что понимать под флудом? Если на Вас (скорее на Вашего провайдера) натравят бот-нет, то ни какой firewall не поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vitalik
Что понимать под флудом? Если на Вас (скорее на Вашего провайдера) натравят бот-нет, то ни какой firewall не поможет.

Maxim_VInfo

На Vistа 64bit никакие бот-нет не страшны. Как и DoS-атаки. Если есть желание, давайте заранее оговорим время и Вы организуете отаку "Отказ в обслуживании". Я только за.

На Висте другие технологии сети - продвинутые. И их много - поэтому Инет чуть помедленней. Хотя, конечно, невооруженным глазом не увидеть.

Поэтому сторонние фаерволы ставить не надо. Они не поддерживают ничего (технологий новых). Покрайней мере пока. Потомушто миллионы долларов им в разработку не вложить никак. И любой, даже я, обойдет их защиту с закрытыми глазами. Самая хак-устойчивая ОС сейчас - Виста.

Mr. Justice

А можно я писать буду c этого момента очень-очень редко? Я буду слушаться. Я веть не хулиган. Просто такой вот. И русский не специально каверкую. У меня проблемы. Да и с набором на клавиатуре тоже проблемы.

Отредактировал Umnik
корректировал текст

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Зачем эти крайности - хватит и половины команд. Вначале проверяется группа файлов на VT. и только после этого оператор переходит в меню Инфо. и работает. В плане удобства оптимален ? переход от Инфо. к Инфо.  т.е. Есть список файлов. Вошли в инфо... и  последовательно идём:  Инфо > Инфо > Инфо > Инфо > Инфо * * ( с учётом фильтра ) по ходу дела принимая решение считать ли файл проверенным, или удалить. Без всех этих метаний.
    • santy
      согласен, не пользуюсь этим, (удалить только файл, из контекста на полном имени файла) потому наверное и забыл уже. использую только удаление файлов или объектов в контексте Инфо. те, что никак не вписываются в автоскрипт. тогда придется все контекстное меню переносить. например, кто-то захочет проверку на VT/VScan выполнить из Инфо, запретить запуск файла, добавить сигнатуру... и т.д. потому что если удалить сразу файл, то потом уже никак это не сделать.  
    • alamor
      Наугад потыкал на разных файлах, строка в Инфо удалить только сам файл была на всех начиная от системных файлов и заканчивая рассширением браузеров. Так что ваш вывод похоже ошибочен. А прочитать о чём изначально речь не пробовали? Речь как раз про то что это неудобно. Если ещё на одном файле посмотреть ладно, а если хотя бы пять или больше, то уже начинает надоедать туда сюда скакать и ещё после того как вернёшься из Инфо надо смотреть, чтобы случайно на другой строке не кликнуть. Так что наверно оптимальный вариант был бы: 1) Добавить туда по ПКМ список этих команд для тех, кто привык вставлять команды мышкой (вместо того чтобы вернуться в основной список и там ПКМ отдать команду сразу можно будет отдать её из этого окна). 2) Добавить в этом окне поддержку стандартных горячих клавиш удаления и карантина, для тех кто привык вставлять команды горячими клавишами.
    • santy
    • santy
      можно, но только через контекстное меню.  а это все то же дополнительное нажатие ПКМ + еще и стрелку вниз/вверх для выбора элемента меню+ click, так что не факт что это будет проще и быстрее. вообщем рационализация спорная, имхо. можно после просмотра Инфо вернуться в список и использовать уже настроенное меню всевозможных удалений.  
×