Перейти к содержанию
Виталий Я.

ARP-spoofing: старая песня на новый лад

Recommended Posts

Виталий Я.

Вчера вышла статья про ARP-атаки, продукт Outpost Firewall Pro 2008 упоминается всуе не раз.

Забавно было узнать, что данная фича только ожидается в следующей версии KIS...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Ага. Вспомнили. Сейчас все персональным фаером вылечат не только TCP/UDP, но и ARP тоже и ARP-announcements запретят... :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

dr_dizel

Интересное девки между строк сплясали... а тут о лечении речь? Вроде о предотвращении всю дорогу автор пел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
dr_dizel

...а тут о лечении речь? Вроде о предотвращении всю дорогу автор пел.

Предотвращении чего? Штатного режима работы протокола? Ошибок реализации его стека на конкретном компе? Персональным фаером все косяки архитектуры исправят? Ха!

Разруливать персональным фаером такой локальный протокол, как ARP - последнее дело. Оно конечно хорошо, что такая опция есть, но забота о безопасности локальной сетки - дело админа и его сисек.

А те, у кого разруливается персональным фаером, не купят этот фаер легально.

И зачем вы сделали KIS крайним?..

P.S. Мы обсуждаем ваше сообщение со ссылкой на статью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

dr_dizel, я не старался сделать продукт ЛК крайним. Просто на фоне вопроса сотрудника ЛК к представителю Dr.Web нереализованность этой опции (о чем я в подробностях не знал, а подробных спецификаций продукта KIS на сайте в течение 10 минут поиска не нашел) мне показалась несколько странной.

Про админов молчу. В интересах собственной безопасности для разумного пользователя предусмотрительно прикрыть все слабины, включая безрукость админа. А уж потом "ослаблять узду" по мере понимания, что опасность не так сильна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

ARP просто создан минимум для DDoS-а и максимум для sniff-инга. :D Но помимо ARP есть же ещё куча атак на TCP и UDP. Ди и тот же самый MiM вполне возможен и при ассиметричном шифровании. А если брать в расчёт, что у Вэба нет фаера, но они всё же внедряют свой продукт, то вырисовывается довольно печальная картина для пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Интересно, что скажет А. Гостев на этот раз?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Интересно, что скажет А. Гостев на этот раз?

О чем ? Вы вопрос задать не забыли ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
А если брать в расчёт, что у Вэба нет фаера, но они всё же внедряют свой продукт, то вырисовывается довольно печальная картина для пользователей.

Наверно,всё дело не в отсутствии конкретного фаера в конкретном продукте,а в нежелании всех возиться с настройками фаера поглубже.Есть и бесплатнее фаеры и лучше,но и они стоят далеко не везде.А если кому поставил кто,то тогда с почти безконфликтным "разрешать по умолчанию все выходящие,остальное по умолчанию запрещать".Всё остальное было бы отключено.Эта же настройка равносильна включению простенького фаера,имеющегося,наверно,в любом рутере.За границей это есть негластный стандарт давно уже.Любая домохозяйка,заказывающая DSL с соответственным нардом,получает вышеописанный.Поэтому разницы не делает,кроме как маркетинговой,наличие у некоего продукта почти неиспользуемой фири,кроме с настройками,как описано.Статистику не знаю.Знаю домохозяек.Знаю себя.Фирю отключил,сидя за роутером.Не посчитаешь,сколько вопросов наконец-то не было задано и сколько не надо было перенастраивать.

Долгое время раньше тратил время на доводку фири и на проверку,не она ли конфликтует,если что."Поймал" только один раз.АВ ничего не сказал,так что не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Наверно,всё дело не в отсутствии конкретного фаера в конкретном продукте,а в нежелании всех возиться с настройками фаера поглубже... так что не знаю.

Да. Дело тут не в отсутствии фаера в конкретном продукте, а в наличии потенциальной возможности заливки и запуска на машинах пользователей любого софта, организации кластера по взлому паролей, рассылки спама и т.п. в общем организации какого-нибудь ботнета.

Наличие же фаера в продукте повышает качество защиты. Те проблемы, с которыми вы столкнулись - в организации пользовательского интерфейса, юзабилити и обучаемости системы. Никто не спорит, что качество современных подобных продуктов оставляет желать лучшего. На всё нужно время, деньги, исследования.

Существуют банальные промахи в проектировании сетевых протоколов, баги и фичи конкретных сетевых стеков, да и разнообразные ошибки в программировании сетевых сервисов ОС и прочего ПО не добавляют защищенности компьютеру в сети.

Конечно, фаер - не панацея. Но то, что кто-то способен перепрыгнуть стену огня не означает, что это сможет каждый. Фаер просто снижает риски. Не отказываемся же мы от обычных антивирусов т.к. они обычно не в состоянии поймать вирусы без знания их сигнатуры.

Также не стоит упускать из виду, что совмещение нескольких технологий даёт нам нечто большее, чем просто их сумма. Антивирус + монитор реестра + фаер = что-то большее, чем 3. Тот же веник целиком тяжело сломать, чем по одной хворостинке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Так выпьем же за комплексные решения, сочетающие firewall, host protection & antivirus! B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy

За отдельные эти тоже.Есть выдающиеся решения из таковых,комбинируются,как хочешь.Только с питьём лучше не баловаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Предлагаю ввести на форуме кружку пива как смайл. pivo.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Также не стоит упускать из виду, что совмещение нескольких технологий даёт нам нечто большее, чем просто их сумма. Антивирус + монитор реестра + фаер = что-то большее, чем 3. Тот же веник целиком тяжело сломать, чем по одной хворостинке.

Но, с точки зрения программной совместимости и аппаратных требований, "веник", комплексное решение не всегда для конечного пользователя лучше, чем набор более специализированных средств.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Но, с точки зрения программной совместимости и аппаратных требований, "веник", комплексное решение не всегда для конечного пользователя лучше, чем набор более специализированных средств.

Ну вот что лучше для конечного пользователя: Dr.Web + Outpost или KIS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SAlex

Если учитывать название темы и сегодняшний день то outpost.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ну вот что лучше для конечного пользователя: Dr.Web + Outpost или KIS?

Смотря что за пользователь и чем занят компьютер. Вопрос весьма неоднозначный.

Я испокон веков использую Dr.Web без файерволла. Ни разу не пожалел.

Но я - это я, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrey75

Я считаю, что защита компьютера должна начинаться с качественного файерволла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Если даже вы не сторонник использования "фаервола", используйте, на худой конец, антивирус с поведенческим блокиратором.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Если даже вы не сторонник использования "фаервола", используйте, на худой конец, антивирус с поведенческим блокиратором.

Это Вы мне? Да не хочу я и не буду. Даже бесплатный не хочу :)

Даже тот, что в Windows встроен, не хочу, но он пока включён, ибо иногда хочется какое-нить ПО погонять на системе с дефолтными настройками.

Хотя в основном средним (читай, с опытом работы на компьютере менее 5 лет) пользователям советую устанавливать файерволл совместно с Dr.Web. И без чёткого понимания, какое действие к чему может привести без файерволла может быть реально худо.

Но мне тратить ресурсы компьютера на работу "полноценного" файерволла жалко. Ибо ни разу не почувствовал остро его необходимости.

Да, я не среднестатистический пользователь, я порчу статистику, ну так это не моя проблема :)

Каждому своё.

А вообще эта фраза (если не хотите использовать файерволл, так используйте блокиратор) как-то некузяво смотрится. Примерно как "ну, не хочешь в музыкальную школу, так хоть в бассейне побултыхайся" :)

... И "что лучше для конечного пользователя" знает только сам пользователь. Самое правильное для него - попробовать установить каждый из доступных продуктов и поработать с ним месяц. Если работать невозможно, то снести раньше окончания месячного срока. И выработать таким образом собственное мнение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Valery Ledovskoy

да пребудет с Вами сила. Что еще сказать. Вы ж реестр не мониторите, а в связке Outpost Firewall + Dr. Web Antivirus первый содержит двусторонний брандмауэр с защитой от ARP-спуфинга (реализованной из других угроков разве что у AGAVA) и проактивную компоненту Host Protection, где поведенческий блокиратор играет основную роль.

Мониторинг сетевых соединений и защита критических мест системы без HIPS'а уже и смысла не имеет - перед угрозами-то нового ПО и при том, что эвристика антивируса может молчать или фолсить нещадно. Да и одно от другого (блокиратор от фаервола) не отрежешь, в том и соль совета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Ну вот что лучше для конечного пользователя: Dr.Web + Outpost или KIS?

Считаю, что универсального решения (или ответа) нет. Кому-то лучше KIS, кому-то KIS+OUTPOST, кого-то и Dr.Web+OUTPOST вполне устроит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
кому-то KIS+OUTPOST

BSODогенерацию не провоцируйте плз советами.

Нам и так сапорт заваливают, что 2 фаервола после очередного автоапдейта KIS обычно не любят жить вместе.

А если советовать - так нужно разбираться: Outpost - это Firewall, Antivirus или Security Suite.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Считаю, что универсального решения (или ответа) нет.

Эт точно.

Мне вот и без антивируса за натом уже несколько лет нормально.

Прям шит какой-то для рынка. :)

И никому я не нужен...Никто не хочет мой комп.

Горе то какое.))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
BSODогенерацию не провоцируйте плз советами.

Нам и так сапорт заваливают, что 2 фаервола после очередного автоапдейта KIS обычно не любят жить вместе.

А если советовать - так нужно разбираться: Outpost - это Firewall, Antivirus или Security Suite.

BSODогенерацию не провоцируйте плз советами.

И в мыслях такого не было.

Outpost - это Firewall.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×