ARP-spoofing: старая песня на новый лад - Тесты и сравнения - Форумы Anti-Malware.ru Перейти к содержанию
Виталий Я.

ARP-spoofing: старая песня на новый лад

Recommended Posts

Виталий Я.

Вчера вышла статья про ARP-атаки, продукт Outpost Firewall Pro 2008 упоминается всуе не раз.

Забавно было узнать, что данная фича только ожидается в следующей версии KIS...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Ага. Вспомнили. Сейчас все персональным фаером вылечат не только TCP/UDP, но и ARP тоже и ARP-announcements запретят... :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

dr_dizel

Интересное девки между строк сплясали... а тут о лечении речь? Вроде о предотвращении всю дорогу автор пел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
dr_dizel

...а тут о лечении речь? Вроде о предотвращении всю дорогу автор пел.

Предотвращении чего? Штатного режима работы протокола? Ошибок реализации его стека на конкретном компе? Персональным фаером все косяки архитектуры исправят? Ха!

Разруливать персональным фаером такой локальный протокол, как ARP - последнее дело. Оно конечно хорошо, что такая опция есть, но забота о безопасности локальной сетки - дело админа и его сисек.

А те, у кого разруливается персональным фаером, не купят этот фаер легально.

И зачем вы сделали KIS крайним?..

P.S. Мы обсуждаем ваше сообщение со ссылкой на статью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

dr_dizel, я не старался сделать продукт ЛК крайним. Просто на фоне вопроса сотрудника ЛК к представителю Dr.Web нереализованность этой опции (о чем я в подробностях не знал, а подробных спецификаций продукта KIS на сайте в течение 10 минут поиска не нашел) мне показалась несколько странной.

Про админов молчу. В интересах собственной безопасности для разумного пользователя предусмотрительно прикрыть все слабины, включая безрукость админа. А уж потом "ослаблять узду" по мере понимания, что опасность не так сильна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

ARP просто создан минимум для DDoS-а и максимум для sniff-инга. :D Но помимо ARP есть же ещё куча атак на TCP и UDP. Ди и тот же самый MiM вполне возможен и при ассиметричном шифровании. А если брать в расчёт, что у Вэба нет фаера, но они всё же внедряют свой продукт, то вырисовывается довольно печальная картина для пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Интересно, что скажет А. Гостев на этот раз?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Интересно, что скажет А. Гостев на этот раз?

О чем ? Вы вопрос задать не забыли ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
А если брать в расчёт, что у Вэба нет фаера, но они всё же внедряют свой продукт, то вырисовывается довольно печальная картина для пользователей.

Наверно,всё дело не в отсутствии конкретного фаера в конкретном продукте,а в нежелании всех возиться с настройками фаера поглубже.Есть и бесплатнее фаеры и лучше,но и они стоят далеко не везде.А если кому поставил кто,то тогда с почти безконфликтным "разрешать по умолчанию все выходящие,остальное по умолчанию запрещать".Всё остальное было бы отключено.Эта же настройка равносильна включению простенького фаера,имеющегося,наверно,в любом рутере.За границей это есть негластный стандарт давно уже.Любая домохозяйка,заказывающая DSL с соответственным нардом,получает вышеописанный.Поэтому разницы не делает,кроме как маркетинговой,наличие у некоего продукта почти неиспользуемой фири,кроме с настройками,как описано.Статистику не знаю.Знаю домохозяек.Знаю себя.Фирю отключил,сидя за роутером.Не посчитаешь,сколько вопросов наконец-то не было задано и сколько не надо было перенастраивать.

Долгое время раньше тратил время на доводку фири и на проверку,не она ли конфликтует,если что."Поймал" только один раз.АВ ничего не сказал,так что не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Наверно,всё дело не в отсутствии конкретного фаера в конкретном продукте,а в нежелании всех возиться с настройками фаера поглубже... так что не знаю.

Да. Дело тут не в отсутствии фаера в конкретном продукте, а в наличии потенциальной возможности заливки и запуска на машинах пользователей любого софта, организации кластера по взлому паролей, рассылки спама и т.п. в общем организации какого-нибудь ботнета.

Наличие же фаера в продукте повышает качество защиты. Те проблемы, с которыми вы столкнулись - в организации пользовательского интерфейса, юзабилити и обучаемости системы. Никто не спорит, что качество современных подобных продуктов оставляет желать лучшего. На всё нужно время, деньги, исследования.

Существуют банальные промахи в проектировании сетевых протоколов, баги и фичи конкретных сетевых стеков, да и разнообразные ошибки в программировании сетевых сервисов ОС и прочего ПО не добавляют защищенности компьютеру в сети.

Конечно, фаер - не панацея. Но то, что кто-то способен перепрыгнуть стену огня не означает, что это сможет каждый. Фаер просто снижает риски. Не отказываемся же мы от обычных антивирусов т.к. они обычно не в состоянии поймать вирусы без знания их сигнатуры.

Также не стоит упускать из виду, что совмещение нескольких технологий даёт нам нечто большее, чем просто их сумма. Антивирус + монитор реестра + фаер = что-то большее, чем 3. Тот же веник целиком тяжело сломать, чем по одной хворостинке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Так выпьем же за комплексные решения, сочетающие firewall, host protection & antivirus! B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy

За отдельные эти тоже.Есть выдающиеся решения из таковых,комбинируются,как хочешь.Только с питьём лучше не баловаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Предлагаю ввести на форуме кружку пива как смайл. pivo.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Также не стоит упускать из виду, что совмещение нескольких технологий даёт нам нечто большее, чем просто их сумма. Антивирус + монитор реестра + фаер = что-то большее, чем 3. Тот же веник целиком тяжело сломать, чем по одной хворостинке.

Но, с точки зрения программной совместимости и аппаратных требований, "веник", комплексное решение не всегда для конечного пользователя лучше, чем набор более специализированных средств.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Но, с точки зрения программной совместимости и аппаратных требований, "веник", комплексное решение не всегда для конечного пользователя лучше, чем набор более специализированных средств.

Ну вот что лучше для конечного пользователя: Dr.Web + Outpost или KIS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SAlex

Если учитывать название темы и сегодняшний день то outpost.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ну вот что лучше для конечного пользователя: Dr.Web + Outpost или KIS?

Смотря что за пользователь и чем занят компьютер. Вопрос весьма неоднозначный.

Я испокон веков использую Dr.Web без файерволла. Ни разу не пожалел.

Но я - это я, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrey75

Я считаю, что защита компьютера должна начинаться с качественного файерволла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Если даже вы не сторонник использования "фаервола", используйте, на худой конец, антивирус с поведенческим блокиратором.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Если даже вы не сторонник использования "фаервола", используйте, на худой конец, антивирус с поведенческим блокиратором.

Это Вы мне? Да не хочу я и не буду. Даже бесплатный не хочу :)

Даже тот, что в Windows встроен, не хочу, но он пока включён, ибо иногда хочется какое-нить ПО погонять на системе с дефолтными настройками.

Хотя в основном средним (читай, с опытом работы на компьютере менее 5 лет) пользователям советую устанавливать файерволл совместно с Dr.Web. И без чёткого понимания, какое действие к чему может привести без файерволла может быть реально худо.

Но мне тратить ресурсы компьютера на работу "полноценного" файерволла жалко. Ибо ни разу не почувствовал остро его необходимости.

Да, я не среднестатистический пользователь, я порчу статистику, ну так это не моя проблема :)

Каждому своё.

А вообще эта фраза (если не хотите использовать файерволл, так используйте блокиратор) как-то некузяво смотрится. Примерно как "ну, не хочешь в музыкальную школу, так хоть в бассейне побултыхайся" :)

... И "что лучше для конечного пользователя" знает только сам пользователь. Самое правильное для него - попробовать установить каждый из доступных продуктов и поработать с ним месяц. Если работать невозможно, то снести раньше окончания месячного срока. И выработать таким образом собственное мнение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Valery Ledovskoy

да пребудет с Вами сила. Что еще сказать. Вы ж реестр не мониторите, а в связке Outpost Firewall + Dr. Web Antivirus первый содержит двусторонний брандмауэр с защитой от ARP-спуфинга (реализованной из других угроков разве что у AGAVA) и проактивную компоненту Host Protection, где поведенческий блокиратор играет основную роль.

Мониторинг сетевых соединений и защита критических мест системы без HIPS'а уже и смысла не имеет - перед угрозами-то нового ПО и при том, что эвристика антивируса может молчать или фолсить нещадно. Да и одно от другого (блокиратор от фаервола) не отрежешь, в том и соль совета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Ну вот что лучше для конечного пользователя: Dr.Web + Outpost или KIS?

Считаю, что универсального решения (или ответа) нет. Кому-то лучше KIS, кому-то KIS+OUTPOST, кого-то и Dr.Web+OUTPOST вполне устроит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
кому-то KIS+OUTPOST

BSODогенерацию не провоцируйте плз советами.

Нам и так сапорт заваливают, что 2 фаервола после очередного автоапдейта KIS обычно не любят жить вместе.

А если советовать - так нужно разбираться: Outpost - это Firewall, Antivirus или Security Suite.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Считаю, что универсального решения (или ответа) нет.

Эт точно.

Мне вот и без антивируса за натом уже несколько лет нормально.

Прям шит какой-то для рынка. :)

И никому я не нужен...Никто не хочет мой комп.

Горе то какое.))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
BSODогенерацию не провоцируйте плз советами.

Нам и так сапорт заваливают, что 2 фаервола после очередного автоапдейта KIS обычно не любят жить вместе.

А если советовать - так нужно разбираться: Outpost - это Firewall, Antivirus или Security Suite.

BSODогенерацию не провоцируйте плз советами.

И в мыслях такого не было.

Outpost - это Firewall.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
    • PR55.RP55
      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
×