ARP-spoofing: старая песня на новый лад

[Виталий Я. 859]

Вчера вышла статья про ARP-атаки, продукт Outpost Firewall Pro 2008 упоминается всуе не раз.

Забавно было узнать, что данная фича только ожидается в следующей версии KIS...

[dr_dizel 385]

Ага. Вспомнили. Сейчас все персональным фаером вылечат не только TCP/UDP, но и ARP тоже и ARP-announcements запретят...

[Виталий Я. 859]

dr_dizel

Интересное девки между строк сплясали... а тут о лечении речь? Вроде о предотвращении всю дорогу автор пел.

[dr_dizel 385]

dr_dizel

...а тут о лечении речь? Вроде о предотвращении всю дорогу автор пел.

Предотвращении чего? Штатного режима работы протокола? Ошибок реализации его стека на конкретном компе? Персональным фаером все косяки архитектуры исправят? Ха!

Разруливать персональным фаером такой локальный протокол, как ARP - последнее дело. Оно конечно хорошо, что такая опция есть, но забота о безопасности локальной сетки - дело админа и его сисек.

А те, у кого разруливается персональным фаером, не купят этот фаер легально.

И зачем вы сделали KIS крайним?..

P.S. Мы обсуждаем ваше сообщение со ссылкой на статью.

[Виталий Я. 859]

dr_dizel, я не старался сделать продукт ЛК крайним. Просто на фоне вопроса сотрудника ЛК к представителю Dr.Web нереализованность этой опции (о чем я в подробностях не знал, а подробных спецификаций продукта KIS на сайте в течение 10 минут поиска не нашел) мне показалась несколько странной.

Про админов молчу. В интересах собственной безопасности для разумного пользователя предусмотрительно прикрыть все слабины, включая безрукость админа. А уж потом "ослаблять узду" по мере понимания, что опасность не так сильна.

[dr_dizel 385]

dr_dizel... Просто на фоне вопроса сотрудника ЛК к представителю Dr.Web ...

ARP просто создан минимум для DDoS-а и максимум для sniff-инга. Но помимо ARP есть же ещё куча атак на TCP и UDP. Ди и тот же самый MiM вполне возможен и при ассиметричном шифровании. А если брать в расчёт, что у Вэба нет фаера, но они всё же внедряют свой продукт, то вырисовывается довольно печальная картина для пользователей.

[Виталий Я. 859]

Интересно, что скажет А. Гостев на этот раз?

[A. 876]

Интересно, что скажет А. Гостев на этот раз?

О чем ? Вы вопрос задать не забыли ?

[Werasy 0]

А если брать в расчёт, что у Вэба нет фаера, но они всё же внедряют свой продукт, то вырисовывается довольно печальная картина для пользователей.

Наверно,всё дело не в отсутствии конкретного фаера в конкретном продукте,а в нежелании всех возиться с настройками фаера поглубже.Есть и бесплатнее фаеры и лучше,но и они стоят далеко не везде.А если кому поставил кто,то тогда с почти безконфликтным "разрешать по умолчанию все выходящие,остальное по умолчанию запрещать".Всё остальное было бы отключено.Эта же настройка равносильна включению простенького фаера,имеющегося,наверно,в любом рутере.За границей это есть негластный стандарт давно уже.Любая домохозяйка,заказывающая DSL с соответственным нардом,получает вышеописанный.Поэтому разницы не делает,кроме как маркетинговой,наличие у некоего продукта почти неиспользуемой фири,кроме с настройками,как описано.Статистику не знаю.Знаю домохозяек.Знаю себя.Фирю отключил,сидя за роутером.Не посчитаешь,сколько вопросов наконец-то не было задано и сколько не надо было перенастраивать.

Долгое время раньше тратил время на доводку фири и на проверку,не она ли конфликтует,если что."Поймал" только один раз.АВ ничего не сказал,так что не знаю.

[dr_dizel 385]

Наверно,всё дело не в отсутствии конкретного фаера в конкретном продукте,а в нежелании всех возиться с настройками фаера поглубже... так что не знаю.

Да. Дело тут не в отсутствии фаера в конкретном продукте, а в наличии потенциальной возможности заливки и запуска на машинах пользователей любого софта, организации кластера по взлому паролей, рассылки спама и т.п. в общем организации какого-нибудь ботнета.

Наличие же фаера в продукте повышает качество защиты. Те проблемы, с которыми вы столкнулись - в организации пользовательского интерфейса, юзабилити и обучаемости системы. Никто не спорит, что качество современных подобных продуктов оставляет желать лучшего. На всё нужно время, деньги, исследования.

Существуют банальные промахи в проектировании сетевых протоколов, баги и фичи конкретных сетевых стеков, да и разнообразные ошибки в программировании сетевых сервисов ОС и прочего ПО не добавляют защищенности компьютеру в сети.

Конечно, фаер - не панацея. Но то, что кто-то способен перепрыгнуть стену огня не означает, что это сможет каждый. Фаер просто снижает риски. Не отказываемся же мы от обычных антивирусов т.к. они обычно не в состоянии поймать вирусы без знания их сигнатуры.

Также не стоит упускать из виду, что совмещение нескольких технологий даёт нам нечто большее, чем просто их сумма. Антивирус + монитор реестра + фаер = что-то большее, чем 3. Тот же веник целиком тяжело сломать, чем по одной хворостинке.

[Виталий Я. 859]

Так выпьем же за комплексные решения, сочетающие firewall, host protection & antivirus!

[Werasy 0]

За отдельные эти тоже.Есть выдающиеся решения из таковых,комбинируются,как хочешь.Только с питьём лучше не баловаться.

[dr_dizel 385]

Предлагаю ввести на форуме кружку пива как смайл.

[ANDYBOND 283]

Также не стоит упускать из виду, что совмещение нескольких технологий даёт нам нечто большее, чем просто их сумма. Антивирус + монитор реестра + фаер = что-то большее, чем 3. Тот же веник целиком тяжело сломать, чем по одной хворостинке.

Но, с точки зрения программной совместимости и аппаратных требований, "веник", комплексное решение не всегда для конечного пользователя лучше, чем набор более специализированных средств.

[dr_dizel 385]

Но, с точки зрения программной совместимости и аппаратных требований, "веник", комплексное решение не всегда для конечного пользователя лучше, чем набор более специализированных средств.

Ну вот что лучше для конечного пользователя: Dr.Web + Outpost или KIS?

[SAlex 0]

Если учитывать название темы и сегодняшний день то outpost.

[Valery Ledovskoy 1082]

Ну вот что лучше для конечного пользователя: Dr.Web + Outpost или KIS?

Смотря что за пользователь и чем занят компьютер. Вопрос весьма неоднозначный.

Я испокон веков использую Dr.Web без файерволла. Ни разу не пожалел.

Но я - это я, конечно.

[Andrey75 0]

Я считаю, что защита компьютера должна начинаться с качественного файерволла.

[Виталий Я. 859]

Если даже вы не сторонник использования "фаервола", используйте, на худой конец, антивирус с поведенческим блокиратором.

[Valery Ledovskoy 1082]

Если даже вы не сторонник использования "фаервола", используйте, на худой конец, антивирус с поведенческим блокиратором.

Это Вы мне? Да не хочу я и не буду. Даже бесплатный не хочу

Даже тот, что в Windows встроен, не хочу, но он пока включён, ибо иногда хочется какое-нить ПО погонять на системе с дефолтными настройками.

Хотя в основном средним (читай, с опытом работы на компьютере менее 5 лет) пользователям советую устанавливать файерволл совместно с Dr.Web. И без чёткого понимания, какое действие к чему может привести без файерволла может быть реально худо.

Но мне тратить ресурсы компьютера на работу "полноценного" файерволла жалко. Ибо ни разу не почувствовал остро его необходимости.

Да, я не среднестатистический пользователь, я порчу статистику, ну так это не моя проблема

Каждому своё.

А вообще эта фраза (если не хотите использовать файерволл, так используйте блокиратор) как-то некузяво смотрится. Примерно как "ну, не хочешь в музыкальную школу, так хоть в бассейне побултыхайся"

... И "что лучше для конечного пользователя" знает только сам пользователь. Самое правильное для него - попробовать установить каждый из доступных продуктов и поработать с ним месяц. Если работать невозможно, то снести раньше окончания месячного срока. И выработать таким образом собственное мнение.

[Виталий Я. 859]

Valery Ledovskoy

да пребудет с Вами сила. Что еще сказать. Вы ж реестр не мониторите, а в связке Outpost Firewall + Dr. Web Antivirus первый содержит двусторонний брандмауэр с защитой от ARP-спуфинга (реализованной из других угроков разве что у AGAVA) и проактивную компоненту Host Protection, где поведенческий блокиратор играет основную роль.

Мониторинг сетевых соединений и защита критических мест системы без HIPS'а уже и смысла не имеет - перед угрозами-то нового ПО и при том, что эвристика антивируса может молчать или фолсить нещадно. Да и одно от другого (блокиратор от фаервола) не отрежешь, в том и соль совета.

[ANDYBOND 283]

Ну вот что лучше для конечного пользователя: Dr.Web + Outpost или KIS?

Считаю, что универсального решения (или ответа) нет. Кому-то лучше KIS, кому-то KIS+OUTPOST, кого-то и Dr.Web+OUTPOST вполне устроит.

[Виталий Я. 859]

кому-то KIS+OUTPOST

BSODогенерацию не провоцируйте плз советами.

Нам и так сапорт заваливают, что 2 фаервола после очередного автоапдейта KIS обычно не любят жить вместе.

А если советовать - так нужно разбираться: Outpost - это Firewall, Antivirus или Security Suite.

[Dexter 20]

Считаю, что универсального решения (или ответа) нет.

Эт точно.

Мне вот и без антивируса за натом уже несколько лет нормально.

Прям шит какой-то для рынка.

И никому я не нужен...Никто не хочет мой комп.

Горе то какое.))

[ANDYBOND 283]

BSODогенерацию не провоцируйте плз советами.

Нам и так сапорт заваливают, что 2 фаервола после очередного автоапдейта KIS обычно не любят жить вместе.

А если советовать - так нужно разбираться: Outpost - это Firewall, Antivirus или Security Suite.

BSODогенерацию не провоцируйте плз советами.

И в мыслях такого не было.

Outpost - это Firewall.