Подготовка теста фаерволов

[dr_dizel 385]

Вот последний раз, когда я ковырял оутпост, то его система правил позволяла в 99% грузить драйвер и понятно, что дальше уже тестировать никакого смысла нет. Стоит ли брать оутпост в тест?

[Agent 55]

Почему бы не включить в список NIS 2009 (как и KIS)

Ну и Zone Alarm Firewall pro?

[dr_dizel 385]

До запуска первого нового приложения, на который не создано правил?

Так обычно всем требуется настройка новых приложений. Но это не так часто. Настроил и порядок. Но тут да - нужно часто работать мозгом.

А что, комбайны запросто засовывают новые программы автоматом в такие зоны, что они либо затихают навсегда, либо чрезмерно могут себя проявить.

[vaber 350]

Вот последний раз, когда я ковырял оутпост, то его система правил позволяла в 99% грузить драйвер и понятно, что дальше уже тестировать никакого смысла нет. Стоит ли брать оутпост в тест?

Это и будет отображено в сравнении, т.к. перед непосредственным использованием набора малвар использовалась обычная утилита, использующая драйвер и создавалось правило на нее. Но стоит отметить - что существуют и другие способы записи в нулевое кольцо, кроме как SCM.

Почему бы не включить в список NIS 2009 (как и KIS)

Ну и Zone Alarm Firewall pro?

NIS не попал, потому как его технология Sonar не работает отдельно от файлового монитора - выключая монитор не работает и Sonar.

ZA не попал, потому как я не могу его использовать в сравнении. Чтобы не было криков о предвзятости.

Так обычно всем требуется настройка новых приложений.

Так есть разница когда пару алертов, а когда пару десятков

[p2u 824]

ZA не попал, потому как я не могу его использовать в сравнении. Чтобы не было криков о предвзятости.

Это жаль, очень жаль - без отца файрволов несерьёзно, конечно. Я думал, что продукт по другим соображениям не участвовал. С меня таких криков не услышите. Вы будете сами тестировать? Помощника нет?

Paul

[Umnik 997]

ZA не попал, потому как я не могу его использовать в сравнении. Чтобы не было криков о предвзятости.

Я уверен, что у активных и старых участников форума не будет сомнения, что ты не стал делать подгон под ZA. А на публике и так будет претензия, ведь АМ куплен ЛК вместе со всеми тестерами и вообще, тестировать тут не умеют.

В общем, я считаю, что зря ты пропускаешь Зону.

[vaber 350]

Вы будете сами тестировать?

Нет, я лишь отобрал образцы. ZA не будет в сравнении, т.к. вроде как где-то в принципах работы портала было запрещено человеку, участвующему в сравнении/тестировании использовать продукт той компании, работником которой он является...

[Agent 55]

Umnik

Аналогично. Без одного из лучших фаерволлов в мире в этом тесте обойтись нельзя.

vaber

Жаль. Очень жаль.

Отредактировал Март 26, 2009 Agent

[p2u 824]

Нет, я лишь отобрал образцы. ZA не будет в сравнении, т.к. вроде как где-то в принципах работы портала было запрещено человеку, участвующему в сравнении/тестировании использовать продукт той компании, работником которой он является...

Думаю, что раз вы сами не тестируете, что Совет Экспертов может в виде исключения как-то смягчить это правило. Я организовал бы голосование по этому поводу, потому что без ZoneAlarm нельзя если он по всем другим параметрам подходит. Или можно его результаты как приложение к сравнению выложить с оговоркой о том, почему так было сделано.

Paul

[Сергей Ильин 1538]

vaber, может все таки включить Зону в тест? Народ просит, ты тем более лично тест не проводишь, как правильно заметил вышел.

[Umnik 997]

Хочу напомнить об этом посте.

[zanuda 35]

Почитал ветку, мысли.

1. (блиц) IMHO Atguard появился раньше ZA? Значит "атец" NIS все же?

2. Плавно утекаем в HIPS и т.п. Кажется, возможная причина - слабые познания проблематики? Так давайте развивать свой уровень.

3. При тестировании firewall я бы сосредоточился на следующих проверках:

а) корректности сетевых правил, что-то мне подсказывает, если копнуть нормально, столько дури можно накопать... А, если правила опасны - то этой не уже решение главной задачи.

б) способы обхода в рамках классического "обмана" (leak/antileak) - это может быть внедрение и другие leak техники.

в) детектировании важных сетевых угроз - ARP spoofing, DNS spoofing и т.п.

г) быть может, в детектировании вторичных сетевых угроз - сканы, DOS атаки.

д) способности защитить браузер со стороны сетевой защиты, конкретно не знаю, но мне кажется блокировка опасных технологий и эксплойтов были бы не только интересными и даже полезными.

е) детектирование подозрительной активности, например активности, свойственной внедренным в систему ботам.

4. Я бы оставил вопросы проникновения в ядро и борьбы против подсистемам firewall для теста самозащиты. Можно только включить такие проверки, но никак не концентрировать на них все внимание, это не главное.

5. Важно отсутствие параноидальности продукта. Никому не нужны алерты на каждом шагу. Такая псевдобезопасность не для реальной жизни. Гляньте на UAC. Таким образом продукты "тупого" параноидального характера должен получить соответствующие оценки.

6. исходя из п.5, нужны тесты обычных (правильных) ситуаций: ставим драйверы, ставим софт, скачиваем обновления - пользователь не должен быть побеспокоен неоправданно лишней навязчивостью.

7. Очень важны настройки по умолчанию. Это продукты не для профи, а для обычных пользователей - обычный пользователь покупает продукт, но

не будет погружаться серьезно в предметную область. Поэтому исследование режима максимальных настроек может иметь интерес больше для профессионалов. Обычный пользователь все же будет использовать, предложенные продуктом настройки.

8. Мне вот все равно, кто тестирует и чей это продукт. Хоть сам свой. Мне важны прозрачность методиики и пригодность отчета к самостоятельной перепроверке результата. Нужна очевидность и прозрачность процесса. Только в таком случае он будет вызывать доверие, а исполнителя - дисциплинировать.

9. Будет полезным начать использовать синтетические самописные тесты, чтобы не беспокоится о сигнатурных движках продуктов. В сообществе профессионалов написать подобные концепты не должно составить труда.

10. Тест на use case. Ставит продукт пользователь ноута, ноут попадает в разные сети. Как сможет проверяемый продукт разрулить ситуацию интелектуально? Или вот, продукт установлен на компьютер в кампусной сети, или как мы называем Ethernet сети оператора - провайдера домашних сетей. Будет ли поведение продукта действительно адекватным в такой подозрительной среде?

Я понимаю, что производители вынуждены лавировать между безопасностью и практичностью. Сложно сделать массовый продукт, гарантирующий защиту приличного уровня. Но стремиться к этому надо и сравнительное тестирование продуктов должно не только выявить рынку разницу возможностей, но и подтолкнуть вендоров к совершенствованию.

Отредактировал Май 19, 2009 zanuda

[Latin 5]

К своему большому сожалению ранее не мог ответить в данной теме, хотя этот вопрос меня очень и очень занимает. И чем больше я читал этот раздел тем больше приходил в уныние от того что здесь написано и с каким умным видом, и при этом искренне, местные "эксперты" это обсуждают.

Если для кого-то это прозвучало обидно, то посмотрите на название темы "Подготовка теста фаерволов. Вы разницу, надеюсь, понимаете.

И к счастью сегодняшнее сообщение от zanuda оставляет надежду, что не все так плохо и, возможно, все-таки будет тест брандмауэров

[vaber 350]

И чем больше я читал этот раздел тем больше приходил в уныние от того что здесь написано и с каким умным видом, и при этом искренне, местные "эксперты" это обсуждают.

Если для кого-то это прозвучало обидно, то посмотрите на название темы "Подготовка теста фаерволов. Вы разницу, надеюсь, понимаете.

Товарищ Эксперт! Сравнительное тестирование было переименовано в "Тест HIPS на предотвращение проникновения в ядро Microsoft Windows",а не фаерволов. Первоначально идея была про тестировать один из компонентов большинства брандмауэров для домашних пользователей - HIPS компоненты. Никто у крупномасштабном сравнении речи не вел. В прочем это было понятно из обсуждения.

[p2u 824]

1. (блиц) IMHO Atguard появился раньше ZA? Значит "атец" NIS все же?

Вот вам ответ на данный вопрос: Who invented the Firewall? (Подсказка: Check Point = ZoneAlarm)

P.S.: ZoneAlarm также был первым, который смог обнаружить ликтест Стива Гибсона; остальные все провалили эту задачу. Можно спорить, конечно, насколько ликтесты играют роль в безопасности, но это тоже фактор когда называют какой-либо продукт 'первым'. Так как тема была изначально 'ликтесты Матушека', я назвал ZoneAlarm 'отцом' всех файрволов...

2. Плавно утекаем в HIPS и т.п. Кажется, возможная причина - слабые познания проблематики?

Да, вряд ли. Это просто легче измерить, производить и воспроизводить, и на HIPS можно хороший маркетинг делать. Так как средний юзер даже не знает элементарные пакетные правила, предмет теста пакетных фильтров становится каким-то 'сухим', абстрактным. И такие атаки вышли немного из моды. Возможно мы увидим в результате данного типа тестов возрождение таких атак...

а) корректности сетевых правил,

А что такое 'корректность'? Для того, чтобы оценить такой фактор надо ещё учитывать тип сети и даже отдельных провайдеров.

Например: Outpost Firewall отлично обнаруживает атаки фрагментированными пакетами (short fragments). НО... Даже если Outpost такие атаки успешно отражает на тестах здесь, для пользователей Corbina пользы от этих результатов не будет, так как при таких настройках и сети не будет вообще (Он блокирует vpn соединение в Corbina, так как он его воспринимает как атака такого типа).

P.S.:

1) Я очень приветствую не-маркетинговые тесты, но боюсь, что если проводить такие тесты как надо, то тогда наступит депресняк не только у маркетологов, но и у самых пользователей.

2) Потом: какие типы атаки будем брать? Несложно написать что-нибудь, от которого защищает тот или иной файрвол, а другие нет - по типам. Будет ли это считаться объективным результатом, или нет?

3) В какой среде мы будем тестировать? Будем делать вид, что Локалка Провайдера (доверенная среда) это на самом деле Интернет (недоверенная среда), или как? Именно атак из Локалки надо бояться если что...

Много вопросов возникают, и спешить с такими тестами не стоит пока не тщательно продумана методология. Могу вам сказать, что я очень, очень интенсивно занимался с такими тестами, и что мой вывод был нерадостным: в последствие я просто отключил 44 службы на XP SP2 и также отключил поддержку разных протоколов системно, так как не хочется ждать того момента, когда защиты не будет.

4) Про браузеры: защита браузеров делается в самом браузере. Если браузер неверно настроен, то тогда и от файрволов/брандмауэров (с отключёнными HIPS и антивирус) защиты ждать не стоит. Как мы его настроим? По умолчанию всё оставить?

5) Такой тест также очень много требует от тестера. Обычно в тестах используется виртуалка, но дело в том, что если не поставить мост, то тогда весь трафик будет всё равно идти туда-сюда, даже если вы в самой виртуалке задали 'Блокировать ВСЁ', и т.д.

6) Чем будем измерить результаты? Со сниффером? Большинство файрволов начинают дуреть если на том же компьютере установить сниффер. Журналам и алертам самого файрвола не стоит доверять в данном типе тестов...

чем больше я читал этот раздел тем больше приходил в уныние от того что здесь написано и с каким умным видом, и при этом искренне, местные "эксперты" это обсуждают.

Название темы придумал не я. Сама тема появилась при обсуждении ликтестов Матушека; модераторы её отделили и дали такое название. Это об 'эксперности' участников или отсутствие её не очень много говорит.

Если для кого-то это прозвучало обидно, то посмотрите на название темы "Подготовка теста фаерволов. Вы разницу, надеюсь, понимаете.

Из того, что вы взяли слово 'эксперты' в кавычках и из-за сарказма в вашем вопросе можно делать вывод, что у вас знания по предмету на уровне? В таком случае предлагаю вам конструктив: дайте всем незнайкам, пожалуйста, хотя бы направление для развития методологии для того, чтобы данный тип тестов имел бы ценность для всего общества.

Paul

[Ego1st 95]

Из того, что вы взяли слово 'эксперты' в кавычках и из-за сарказма в вашем вопросе можно делать вывод, что у вас знания по предмету на уровне? В таком случае предлагаю вам конструктив: дайте всем незнайкам, пожалуйста, хотя бы направление для развития методологии для того, чтобы данный тип тестов имел бы ценность для всего общества.

в действительности тест fw, почти нереально провести из за отсутствия отдельной локальной сети и очень многих остальных факторов.=)

[p2u 824]

в действительности тест fw, почти нереально провести из за отсутствия отдельной локальной сети и очень многих остальных факторов.=)

Конечно. Но даже если была бы такая локальная сеть, которая бы удовлетворяла всем требованиям: такой вид тестирования больше относится к аудиту безопасности (pen testing). Не думаю, что ресурс anti-malware должен за это взяться; можно вызвать смех, во-первых, и во-вторых: это процесс без конца. Сказать, что победитель будет защищать вас на основании результатов таких тестов - очень сомнительно...

P.S.: И даже если взять только беспроводную сеть отдельно, то тогда непростая задача грамотно защищаться от атак, которые в ней бывают: Обнаружение беспроводных атак. Сомневаюсь, что средний чайник с этим справится и что результаты по тестам дадут ему направление в покупке того или иного продукта.

Paul

[Виталий Я. 859]

Например: Outpost Firewall отлично обнаруживает атаки фрагментированными пакетами (short fragments). НО... Даже если Outpost такие атаки успешно отражает на тестах здесь, для пользователей Corbina пользы от этих результатов не будет, так как при таких настройках и сети не будет вообще (Он блокирует vpn соединение в Corbina, так как он его воспринимает как атака такого типа).

- workaround - повысить доверие к vpn серверу корбины, остальные атаки будут так же ловиться.

[p2u 824]

- workaround - повысить доверие к vpn серверу корбины, остальные атаки будут так же ловиться.

I know, I know. Это был только пример того, что результаты таких тестов могут обманывать в зависимости от тип сети. Допустим, что тестеры тестируют с максимальными настройками (минимум доверия), а чайник думают, что так именно надо настроить файрвол везде. Получается несоответствие. Я, например, не доверяю серверу корбины полностью, и лучше отключаю детектор атак или этот тип атак так как у меня атаковать всё равно нечего...

Paul

[Latin 5]

vaber

Сравнительное тестирование было переименовано

Значит я это пропустил и не понял, что это вытекало из обсуждений.

Никто у крупномасштабном сравнении речи не вел

Да, о крупномасштабном не вел, но очень надеялся, что будет тест межсетевых экранов именно от antimalware.ru. Так как даже при всех недочетах это, по крайней мере, в русском сегменте наиболее лучшие тесты.

p2u

что у вас знания по предмету на уровне?

Нет, к сожалению. Именно здесь, на этом ресурсе, я их пополняю.

Ego1st

в действительности тест fw, почти нереально провести из за отсутствия отдельной локальной сети и очень многих остальных факторов.=)

Что вообще? Т.е. нормального теста именно межсетевого экрана мы не получим ни когда? И то, что предложил zanuda не решаемо в принципе.

Ведь многое из этого

[p2u 824]

Т.е. нормального теста именно межсетевого экрана мы не получим ни когда? И то, что предложил zanuda не решаемо в принципе.

К сожалению, на мой взгляд, не решаемо на нужном уровне. Можно, конечно, что-нибудь организвать с примитивными псевдо-атаками и посмотреть, насколько система 'нагревается' , но с безопасностью это не совсем связано. Тесты на 'невидимость' (разные виды сканирования) = самообман. Доказывать здесь, что ни один файрвол нормально не справляется с хитрыми атаками ARP poisoning тоже глупость (так 'защищают', что сети не будет), и т.д. Я не полностью исключаю возможность нормальных тестов, но надо подумать...

Paul

[Ego1st 95]

Что вообще? Т.е. нормального теста именно межсетевого экрана мы не получим ни когда? И то, что предложил zanuda не решаемо в принципе.

ну вообщем и целом да, не стоит забывать что зависит и от того какое железо используется для сети, свитчи, хабы, роутеры и т.д. т.е. результаты могут отличатся при изменении почти любого параметра и смысла в тестировании почти никакого, это не антивирусы на лечении и детект тестировать=)

[Deja_Vu 366]

Отдельная локальная сеть, опять же решается с помощью vmware -))