PDA

Просмотр полной версии : Сравнительные тесты межсетевых экранов (Firewall)



Geser
16.09.2004, 20:52
Читать тута: http://www.firewallleaktester.com/tests.php

XP user
18.11.2007, 21:37
Другой тест файрволов, но совсем с другими результатами можно увидеть здесь (http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php).

Почему результаты отличаются? У Matousec каждый продукт получает зелёную галочку за прохождение теста с настройками по умолчанию (125 баллов), и синую галочку за прохождение с настройками максимальной защиты (100 баллов). Результаты складываются. Поэтому отчёт баллов получается немного другой. Потом, файрволы, которые пытаются проходить тест с помощью хуков (захват) с третьего кольца (User mode hooks) наказываются, так как такой тип защиты считается несерьёзным... Paul

Black Angel
14.01.2008, 10:24
По ссылке в первом посте: там старые результаты, что-то давно их не обновляют.

tnn
20.05.2008, 14:35
Обновляют - смотрите http://www.matousec.com/projects/firewall-challenge/results.php

Firza
20.05.2008, 21:38
Непонятно, почему в этих тестах участвуют только firewalls для Windows, и почему их качества определяется только по leak tests. А раз уж на то пошло, что главный показатель качества firewall, это прохождение leak tests, то где тогда leak tests на MacOS, Linux, *BSD?

Rampant
21.05.2008, 09:15
А что, у Касперского такой крутой фаер?

ALEX(XX)
21.05.2008, 09:33
Тестам от matousec можно доверять

aleksdem
21.05.2008, 14:23
Интересно, почему файервол KIS2009 (техрелиз) такой беспомощный. Элементарный тест ( http://2ip.ru/firewalltest.php ) не проходит при подмене имени, во время старта системы вообще все исходящие соединения выпускает наружу ( в частности, по протоколу IGMP) не смотря на созданные запрещающие правила. У семерки такая мощь (по приведенным выше результатам, "которым можно доверять"), а с применением революционных технологий в 2009-ой версии такая неудача?

Rampant
21.05.2008, 15:08
А я что то сомневаюсь, что KIS настолько силён, что может возглавлять подобные тесты.

Гриша
21.05.2008, 15:13
@aleksdem

Ваша ссылка не работает :)

aleksdem
21.05.2008, 15:18
@aleksdem

Ваша ссылка не работает :)

Поправил. Да этот факт давным-давно известен, в том числе и разработчикам.

Гриша
21.05.2008, 16:24
И как это у вас KIS 2009 проваливает этот тест?Запускаете эту байду,она помещается в доверенные,т.к. имеет цифровую подпись,соответственно ей по дефолту из группы "Доверенные" разрешена любая сетевая активность,переносите ее в "Слабые ограничения",выключаете режим "Домохозяйки",запускаете файл,получаете алерт,создаете такое правило как у меня и смотрите результат:)

aleksdem
21.05.2008, 16:50
И как это у вас KIS 2009 проваливает этот тест?

А теперь переименуйте "эту байду" в то, что имеет у Вас доступ в интернет. Да на сайте ж все описано. Или почитайте обсуждение на форуме ЛК:
http://forum.kaspersky.com/index.php?showtopic=68776&pid=632866&mode=threaded&start=

Rampant
21.05.2008, 16:51
Ребят, а как эти тесты проводят, мне например непонятно, почему в прошлых тестах Online Armor Personal Firewall, занимал первую строчку, а сейчас 4, он что стал хуже? или метод тестирования изменился?

SDA
21.05.2008, 17:06
на форуме ЛК:
"На форуме уже не первый раз пишут о том что сетевой экран проваливает тест от 2ip.ru, так вот, после очередного обновления программа детектится как Trojan.Win32.Agent.mbi. Ложное срабатывание.
Тему закройте, пожалуйста." Из топика на форуме ЛК я не делаю вывод, что тест провален, Гриша показал, что тест пройден.

Гриша
21.05.2008, 17:06
Вы смотрели мои скриншоты?обсуждения как такового я там не увидел,а честно сказать,если что-то переименовавать,подсовывать,подкручивать,обойти можно все что угодно :)я для себя попробовал этот тест,результат вам показал,а то что мне говорят "слева" мне по барабану;)

aleksdem
21.05.2008, 17:39
на форуме ЛК:
"На форуме уже не первый раз пишут о том что сетевой экран проваливает тест от 2ip.ru, так вот, после очередного обновления программа детектится как Trojan.Win32.Agent.mbi. Ложное срабатывание.
Тему закройте, пожалуйста." Из топика на форуме ЛК я не делаю вывод, что тест провален, Гриша показал, что тест пройден.
Тест заключается в том, что если "запрещенное" приложение переименовать в "разрешенное" (например в Internet Explorer), фаервол не должени выпустить его в интернет. Не мне Вам объяснять, что это один из фокусов зловредов. KIS2009 этот тест проваливает. Попробуйте сами. Гриша глубоко ошибается в своих выводах и суждениях.

Гриша
21.05.2008, 17:41
Если что-то переименовавать,подсовывать,подкручивать,обойти можно все что угодно.

aleksdem
21.05.2008, 17:56
Если что-то переименовавать,подсовывать,подкручивать,обойти можно все что угодно.
Причем тут "подкручивать"? Это такой тест! Его проходят без проблем COMODO, Avira, Eset, Outpost и масса других менее распространенных фаерволов. KIS2009, повторяю, его не проходит. И не только его:
http://www.pcflank.com/pcflankleaktest.htm

Гриша
21.05.2008, 18:00
Я поговорил насчет вашего теста с человеком из ЛК,вот его ответ:


Программа "проходит" КИСа по одной простой причине - мы занесли ее в доверенные.
Мы сказали, КИСу, чтобы он разрешал любую активность этой программы


Довольны?А вы знаете что этот тест можно пройти без фаерволла,он не работает через прокси :) и еще,подделайте md5 у любого теста, и сдалайте так, чтобы md5 ликтеста совпал с md5 оригинального iexplore из состава скажем XP x86 SP2 (русский) и посмотрите результат :)

aleksdem
21.05.2008, 18:37
Я поговорил насчет вашего теста с человеком из ЛК,вот его ответ:

Во-первых, это не мой тест, а общепринятый.
Во-вторых, какая разница, куда это приложение записал KIS - я ему запретил выход в интернет. Представте, что свою зловредную программу злоумышленник назовет, ну скажем, Windows Media Player, и что, KIS разрешит ей все, что разрешено настоящему WMP?
Я не думаю, что кто-то из работников ЛК мог ответить что-то подобное, так как это вообще полный абсурд.

Гриша
21.05.2008, 18:42
Не хотите не верьте,KIS заносит в группу "Доверенные" не по названию файла а по наличию копирайта или известного хеша.

drongo
21.05.2008, 18:42
А зачем заносить такую программу в доверенные? Честно сказать, я не понял в чём соль

aleksdem
21.05.2008, 18:42
подделайте md5 у любого теста, и сдалайте так, чтобы md5 ликтеста совпал с md5 оригинального iexplore из состава скажем XP x86 SP2 (русский) и посмотрите результат :)
Вы хотите сказать, что преименовывая тестовую программу в IE Вы делаете её md5 идентичной настоящему IE?

Гриша
21.05.2008, 18:44
При чем тут переименовка файла и изменения md5?Вы думаете я не понимаю о чем я говорю?

aleksdem
21.05.2008, 18:47
А зачем заносить такую программу в доверенные? Честно сказать, я не понял в чём соль
Да глупость это все. Во-первых, никто никуда эту тестовую программу не заносил.
Во-вторых, какое это вообще имеет отношение к работе фаервола, если пользователем создано запрещающее правило на выход этого приложения в интернет?

Добавлено через 1 минуту


При чем тут переименовка файла и изменения md5?Вы думаете я не понимаю о чем я говорю?
Нет, я как раз думаю, что всех остальных ВЫ считаете полными дилетантами.

Гриша
21.05.2008, 18:48
@
drongo

Прикол тут в том что,запускаем этот файл,делаем для него запрещающее правило,как показано у меня на скриншотах,затем переименовываем его,во что-нибудь что имеет доступ в интернет и фаер KIS 2009 его пропускает:)

Добавлено через 1 минуту


Нет, я как раз думаю, что всех остальных ВЫ считаете полными дилетантами.

Я ни кого не считаю дилентантами,мы с вами пытаемся разобраться с этим тестом и все :)

drongo
21.05.2008, 18:59
Теперь ясно ;)
Ну тогда по моему не доработка разработчика. Фаэр перед разрешением выхода в сеть должен проверять полный путь к файлу,кроме цифровой подписи/ копирайту и имени . И если программа проситься (которую уже раньше добавили в доверенные) из другого места- обязан быть алерт.Если его нет, плохо.

Гриша
21.05.2008, 19:02
Да глупость это все. Во-первых, никто никуда эту тестовую программу не заносил?

Когда вы запускаете первый раз любой exe файл KIS 2009 заносит его в ту или иную группу,этот попадает в "Доверенные" по известному хешу.

aleksdem
21.05.2008, 19:07
Теперь ясно ;)
Ну тогда по моему не доработка разработчика. Фаэр перед разрешением выхода в сеть должен проверять полный путь к файлу,кроме цифровой подписи и имени. И если программа проситься (которую уже раньше добавили в доверенные) из другого места- обязан быть алерт.Если его нет, плохо.

Спасибо. А я думал опять будет Грише "спасибо" и KIS-а хороший..:)

Добавлено через 3 минуты



Да глупость это все. Во-первых, никто никуда эту тестовую программу не заносил?

Когда вы запускаете первый раз любой exe файл KIS 2009 заносит его в ту или иную группу,этот попадает в "Доверенные" по известному хешу.
Повторюсь, если даже это так, то причем тут работа фаервола после моего запрещающего правила на выход в интернет этого "доверенного приложения"?

Гриша
21.05.2008, 19:07
Ладно закроем наш спор :)но KIS хороший и тесты он проходит;)после того как мы сделали этот файл недоверенным и запретили ему выход в инет,переименовывать его можно во что угодно хеш при этом не меняется и он снова попадает в "Доверенные" с разрешением сетевой активности,и в правилах фильтрации он стоит дважды только с разными именами,одному запрещено со старым именем выход в интернет,а с новым именем разрешен.

aleksdem
21.05.2008, 19:12
Ладно закроем наш спор :)но KIS хороший и тесты он проходит;)

Это Ваше личное мнение. Мое диаметрально противоположное: KIS2009 (техрелиз) - плохой. Одна из немаловажных причин такого вывода - непрохождение элементарных тестов его фаерволом.;)
Всем удачи.

Maratka
21.05.2008, 19:18
Во-первых, это не мой тест, а общепринятый.
Во-вторых, какая разница, куда это приложение записал KIS - я ему запретил выход в интернет. Представте, что свою зловредную программу злоумышленник назовет, ну скажем, Windows Media Player, и что, KIS разрешит ей все, что разрешено настоящему WMP?
Я не думаю, что кто-то из работников ЛК мог ответить что-то подобное, так как это вообще полный абсурд.

Если под "общепринятым" тестом имеется в виду
http://2ip.ru/files/FireWallTest.exe
то я не очень понимаю, почему я прохожу этот тест вполне успешно при ВЫГРУЖЕННОМ КИС8...

Думаю как будет минутка - проверю этот тест при ДЕИНСТАЛЛИРОВАНОМ КИСе ;)

**************
А если серьезно (хотя все что выше я написал - вполне серьезно!) - то именно эта программа у нас занесена в базу доверенных.
Уточняю - в базе доверенных находится не "FireWallTest.exe", и не
http://2ip.ru/files/FireWallTest.exe (под которым через 15 минут может находиться все что угодно.

В базу доверенных занесен хеш программы.
Соответсвенно, переименование/перенос программы в другой каталог не изменяет отношение КИСа к ней.
Однако, изменение ЛЮБОГО байта в программе немедленно приводит к пересчету ее рейтинга, и занесения ее в зависимости от рейтинга в одну из трех оставшихся групп.

В случае, если программа попадет в группу "слабоограниченных"- на доступ в сеть будет алерт, если попадет в "недоверенные" - потеряет право на все, включая даже собственно запуск

drongo
21.05.2008, 19:30
кис хороший- установки по умолчанию оставляют желать лучшего в плане безопасности.;)
По умолчанию есть определённый белый список программ который уже есть в кис.
В этом есть как положительные стороны (в плане снизить количество алертов для обычного юзера) так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)
Поэтому я лично никогда не пользовался данной палочкой-облегчалочкой ни в каком фаэрволе.С другой стороны, не все такие как я ;) Часто бывает, пользователь не знает что у него за программы водятся которые в инет лезут- а так сразу узнает ;)
В любом случае, по моему путь надо проверять как дополнительную меру.

Maratka
21.05.2008, 19:34
В этом есть как положительные стороны (в плане снизить количество алертов для обычного юзера) так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)


Опишите как это сделать пожалуйста...

Alex_Goodwin
21.05.2008, 19:36
так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)


Это простите как? Как вы собираетесь подменить хэш, если он уникален? Вы знаете по какой методике КИСа их считает?

drongo
21.05.2008, 19:51
Ребята, лично я не знаю. Уверен, что тот кто знает не будет об этом трепаться. Как пример лишь упомяну- историю про md5- тоже говорили, что подделать нельзя- а оказалось можно.
Поэтому прошу принять это во внимание и как дополнительную меру проверять отдельно полный путь, в дополнение. КИС ведь позиционируется как комплексная защита, поэтому по моему должен не только охранять сами файлы, но и контролировать их местоположение на диске.

Maratka
21.05.2008, 19:52
В этом есть как положительные стороны (в плане снизить количество алертов для обычного юзера) так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)




Ребята, лично я не знаю. Уверен, что тот кто знает не будет об этом трепаться. Как пример лишь упомяну- историю про md5- тоже говорили, что подделать нельзя- а оказалось можно.


А можно попросить линку, где почитать?

drongo
21.05.2008, 20:19
А можно попросить линку, где почитать?

про md5 давно писали, например http://news.zdnet.co.uk/security/0,1000000189,39163876,00.htm
Именно про кис- не видел, но это пока :)
Лучше по моему предпринимать какие-то меры до того как, чем потом.

aleksdem
21.05.2008, 20:40
А если серьезно (хотя все что выше я написал - вполне серьезно!) - то именно эта программа у нас занесена в базу доверенных.
Уточняю - в базе доверенных находится не "FireWallTest.exe", и не
http://2ip.ru/files/FireWallTest.exe (под которым через 15 минут может находиться все что угодно.

В базу доверенных занесен хеш программы.
Соответсвенно, переименование/перенос программы в другой каталог не изменяет отношение КИСа к ней.
Однако, изменение ЛЮБОГО байта в программе немедленно приводит к пересчету ее рейтинга, и занесения ее в зависимости от рейтинга в одну из трех оставшихся групп.

В случае, если программа попадет в группу "слабоограниченных"- на доступ в сеть будет алерт, если попадет в "недоверенные" - потеряет право на все, включая даже собственно запуск
Почему, в этом случае, фаер спрашивает, выпустить прогу в интернет или нет, если она действует под своим именем, и без всяких вопросов (не в режиме "домохозяйки"), без всяких алертов мгновенно выпускает её в интернет, переименованную, скажем, в IE? (Если, конечно, IE разрешен выход).

Гриша
21.05.2008, 21:30
Если выключить режим "Домохозяйки" то алертов будет очень много даже на те программы которые есть в "Доверенных",а если они попадают в слабые ограничения то тогда тем более,Кис постоянно что-то будет спрашивать это зависит от настроек,вот например смотрите если настройки таковы(скриншот) Кис выдает 3 алерта только при запуске программы+1 когда она пытается соединиться с интернетом

aleksdem
22.05.2008, 09:10
Если выключить режим "Домохозяйки" то алертов будет очень много даже на те программы которые есть в "Доверенных",а если они попадают в слабые ограничения то тогда тем более,Кис постоянно что-то будет спрашивать это зависит от настроек,вот например смотрите если настройки таковы(скриншот) Кис выдает 3 алерта только при запуске программы+1 когда она пытается соединиться с интернетом
Прошу прощения, но я совершенно не понял, что и кому Вы хотели сказать этим сообщением. Какое отношение все это имеет к обсуждаемому вопросу?

Гриша
22.05.2008, 09:35
Марат писал,


В случае, если программа попадет в группу "слабоограниченных"- на доступ в сеть будет алерт, если попадет в "недоверенные" - потеряет право на все, включая даже собственно запуск

Ваш вопрос:


Почему, в этом случае, фаер спрашивает, выпустить прогу в интернет или нет, если она действует под своим именем

Или я вас неправильно понял,что вы конкретно хотите узнать?

aleksdem
22.05.2008, 09:57
Прикол тут в том что,запускаем этот файл,делаем для него запрещающее правило,как показано у меня на скриншотах,затем переименовываем его,во что-нибудь что имеет доступ в интернет и фаер KIS 2009 его пропускает:)


Я привел цитату из Вашего более раннего сообщения с той целью, чтобы напомнить всем, что Вы прекрасно понимаете, в чем проблема. А предидущим сообщением об алертах KIS в режиме домохозяйки Вы просто морочите людям голову (Уж не обессудьте за резкость).
А у достопотченного Maratka я спрашивал, почему KIS выпускает в интернет тестовую программу (занесенную, по его словам, ЛК в доверенные) только после соответствующего алерта с вопрсом, а переименованную в IE - мгновенно без всяких алертов. Причем, даже если секундой ранее було создано запрещающее правило для этой тестовой программы. (Правда, не переименованной). Все это происходит при любых настройках KIS2009. Надеюсь, теперь мой вопрос для Вас более понятен.

Гриша
22.05.2008, 10:03
А предидущим сообщением об алертах KIS в режиме домохозяйки Вы просто морочите людям голову (Уж не обессудьте за резкость).

Покажите мне мое сообщение в котором я утверждал что алерты есть в режиме "Домохозяйки"?


А у достопотченного Maratka я спрашивал, почему KIS выпускает в интернет тестовую программу (занесенную, по его словам, ЛК в доверенные) только после соответствующего алерта с вопрсом, а переименованную в IE - мгновенно без всяких алертов.

Она есть в базе "Доверенных",вы мне скажите у вас KIS 2009 установлен?Тогда я вам объясню что нужно сделать,чтобы понять что этот тест лажа.

aleksdem
22.05.2008, 10:12
Если выключить режим "Домохозяйки" то алертов будет очень много

Это Вы писали? Какое отношение к проваленному KIS2009 тесту или моему вопросу это имеет отношение?

Добавлено через 2 минуты


вы мне скажите у вас KIS 2009 установлен?Тогда я вам объясню что нужно сделать,чтобы понять что этот тест лажа.

Был бы Вам очень признателен.:)

Гриша
22.05.2008, 10:14
Ваше построение вопросов меня убивает,вы мне ответьте на один вопрос,у вас KIS 2009 установлен?или вы это все говорите с чужих слов?

aleksdem
22.05.2008, 10:17
Ваше построение вопросов меня убивает,вы мне ответьте на один вопрос,у вас KIS 2009 установлен?или вы это все говорите с чужих слов?
Конечно установлен. И старайтесь не "убивать" своими ответами.;)

Гриша
22.05.2008, 10:38
Объясню вам последний раз:)

1.Смотрите есть программа FireWallTest.exe(ее кеш известен Кису),мы запускаем ее,она автоматически попадает в "Доверенные" с разрешением любой сетевой активности,чтобы воспроизвести тест мы передвигаем ее в "Слабые ограничения" и отключаем режим "Домохозяйки",запускаем FireWallTest.exe получаем алерт на соединение с сетью,делаем запрещающее правило на исходящий поток на конкретный ip по 53 порту,все заблокировали,ТЕСТ ПРОЙДЕН.

2.Я пeреименовываю FirewallTest.exe в avz.exe(у нее есть доступ в интернет),но от смены названия хеш не меняется,при повторном запуске,программа опять попадает в "Доверенные" только не с именем FireWallTest.exe,а с именем avz.exe(смотрите скриншот),то есть ей опять разрешен выход в Интернет,то есть у нас для одного и того же приложения есть разные правила,одно из них в "Доверенных" другое в "Слабых ограничениях",если потом avz.exe преименовать в FireWallTest.exe то доступ будет запрещен опять и будет надпись Тест пройден:)

Опять я бред несу?:)То есть из этого теста можно сделать только один вывод,что нужно сказать разработчикам,что если мы сменили имя(а хеш нам известен),не нужно повторно помещать программу в какую-либо группу,чтобы не было таких двусторонних правил,которые возникают при смене имени доверенного приложения,дело тут не в сетевом экране а в HIPS.

Разобрались?:)

aleksdem
22.05.2008, 10:51
Уважаемый Гриша. Вы читали, то что написали? Вы или издеваетесь, или это что-то другое. Что только стоит " опять будет надпись Тест пройден". Повторяю сотый раз: после переименования тестовой программы (в Вашем случае в avz.exe) при запуске она мгновенно устанавливает сетевое соединение! В этом может убедиться каждый, кто внимательно выполнит данный тест:
http://www.2ip.ru./firewalltest.php
Убедительно прошу Вас больше на мои вопросы не отвечать.

Гриша
22.05.2008, 10:58
Вы мне скажите вы читать умеете?пункт 2 читайте внимательно,я даже запятые там расставил,вы не понимаете элементарного:(

aleksdem
22.05.2008, 11:12
2.Я пeреименовываю FirewallTest.exe в avz.exe(у нее есть доступ в интернет),но от смены названия хеш не меняется,при повторном запуске,программа опять попадает в "Доверенные" только не с именем FireWallTest.exe,а с именем avz.exe(смотрите скриншот),то есть ей опять разрешен выход в Интернет,то есть у нас для одного и того же приложения есть разные правила,одно из них в "Доверенных" другое в "Слабых ограничениях",если потом avz.exe преименовать в FireWallTest.exe то доступ будет запрещен опять и будет надпись Тест пройден:)

Опять я бред несу?:)То есть из этого теста можно сделать только один вывод,что нужно сказать разработчикам,что если мы сменили имя(а хеш нам известен),не нужно повторно помещать программу в какую-либо группу,чтобы не было таких двусторонних правил,которые возникают при смене имени доверенного приложения,дело тут не в сетевом экране а в HIPS.

Разобрались?:)

Гриша, Вы вот пишете:"от названия хеш не меняется... то есть ей опять разрешен выход в Интернет". А ведь только-что Вы ей (этому хешу:)) запретили выход в Инет (Вы же пишете в пункте 1 "Тест пройден"). Мало того, несмотря на распределение HIPS- ом тестовой программы в группу доверенных, в первом случае алерт обязательно есть. А во втором (под именем avz и с тем же хешем) мгновенный доступ в инет. Каое-же здесь "опять разрешен выход"? Не "опять", а впервые. Вы поняли, в чем Ваша ошибка?

Я бы, в принципе, мог объяснить почему это происходит. Но я почти уверен, что разработчики и сами прекрасно знают причину, ну а пользователей (кроме нас с Вами), это мало интересует.:)

Гриша
22.05.2008, 11:17
А ведь только-что Вы ей (этому хешу) запретили выход в Инет

Все верно с этим не спорю:)дело в том что запрещающее правило создается в сетевом экране,а когда мы этот тест переименовали,HIPS его опять задвигает в "Доверенные" и в сетевом экране появляется опять это же приложение только там ему все разрешено и тест KIS проваливает:)

То есть из этого теста можно сделать только один вывод,что нужно сказать разработчикам,что если мы сменили имя(а хеш нам известен),не нужно повторно помещать программу в какую-либо группу,чтобы не было таких двусторонних правил,которые возникают при смене имени доверенного приложения,дело тут не в сетевом экране а в HIPS.

aleksdem
22.05.2008, 11:29
Все верно с этим не спорю:)дело в том что запрещающее правило создается в сетевом экране,а когда мы этот тест переименовали HIPS его опять задвигает в "Доверенные" и в сетевом экране появляется опять это же приложение только там ему все разрешено и тест KIS проваливает:)

То есть из этого теста можно сделать только один вывод,что нужно сказать разработчикам,что если мы сменили имя(а хеш нам известен),не нужно повторно помещать программу в какую-либо группу,чтобы не было таких двусторонних правил,которые возникают при смене имени доверенного приложения,дело тут не в сетевом экране а в HIPS.
Слава Богу! Наконец Вы поняли. Только "сказать разработчикам" - вряд ли поможет. Проблема здесь гораздо глубже. Несмотря на наличие сетевого фильтра у KIS2009 львиная доля функций фаервола в этой программе возложена именно на HIPS. Отсюда и неразбериха с правилами, и трудности в настройках, и проваленные тесты. Это мое личное мнение, конечно, но было бы гораздо функционалнее разделить полностью "Правила для приложений" и "Сетевые правила для приложений". То есть, котлеты отдельно, а мухи отдельно. Я прекрасно понимаю, насколько это усложнило бы задачу разработчикам ЛК, но и такая работа с сетью, как сейчас - тоже не выход.

Rene-gad
22.05.2008, 11:29
Уважаемые господа,
прежде, чем вы подерётесь, проведите следующий эксперимент: Отключите ненужные вам службы и удалите ваши файрволы - этим вы повысите безопасность вашей системы и высвободите ресурсы ПК для чего-нибудь Полезного.

Гриша
22.05.2008, 11:31
Я передам это разработчикам,тестерам,всем кому надо;)только в "проваленности" теста сетевой экран не виноват,это HIPS мудрит,мир?:D

aleksdem
22.05.2008, 11:38
Я передам это разработчикам тестерам всем кому надо;)только в "проваленности" теста сетевой экран не виноват,это HIPS мудрит,мир?:D
Да мир, конечно.:) И, конечно, виноват HIPS. Фактически, он не дает выполнять свои функции фаерволу. Для меня это понятно изначально, а вот разработчикам, рано или поздно, эти проблемы решать придеться.

Гриша
22.05.2008, 11:40
Ну наконец-то решили :)

Moderated:

Topic closed:D

aleksdem
22.05.2008, 11:44
Отключите ненужные вам службы и удалите ваши файрволы - этим вы повысите безопасность вашей системы и высвободите ресурсы ПК для чего-нибудь Полезного.
Давно зделано, а на теститовочной машине просто проверяем достоверность новых рекламных акций в виде "революционных технологий".:)

Гриша
22.05.2008, 11:47
Не забывайте это техрелиз и в нем еще есть баги,многие уже исправлены :)А технологии действительно "Революционные":)

Rene-gad:Не подскажете как отключить ненужные службы?:D

SDA
22.05.2008, 14:05
Приятно смотреть на концовку спора :) Кстати, а зачем изобретать велосипед, к примеру в том же ZoneAlarmPro "мухи" - правила фаервола отдельно, "котлеты"- проактивка отдельно и такие функции, когда сам выбираешь какие адреса блокировать, причем на постоянной основе (а не час, два, хотя это можно оставить параллельно), при анализе логов (в KIS по сравнению с ZoneAlarmPro информативность логов на мой взгляд никакая), потом куда то пропал стелс-режим (хотя понятно, что 100% невидимости нет, но тем не менее, для тупого сетевого червя сойдет). Такой же принцип Аутпоста, а журнал у него по информативности еще лучше, чем у Зины, по крайней мере был, последние версии не видел. В общем режим домохозяйки в фаерволе должен присутствовать с режимом продвинутого пользователя.

Maratka
22.05.2008, 14:17
Я передам это разработчикам,тестерам,всем кому надо;)только в "проваленности" теста сетевой экран не виноват,это HIPS мудрит,мир?:D


Я либо катастрофически не улавливаю суть обсуждаемого, либо я единственный человек на земле, у кого почему то с КИСом проблем нет... ;)

Смотрим скриншоты... Что еще нужно для счастья? ;)

p.s.
если вдруг скины не видны - значит я с движком форума все борюсь, и побороть пока не смог ;)

aleksdem
22.05.2008, 14:49
Я либо катастрофически не улавливаю суть обсуждаемого, либо я единственный человек на земле, у кого почему то с КИСом проблем нет... ;)

Нет, это не катастрофа:). Думаю, это из-за хронической занятости. Выберите свободную минутку и внимательно выполните (полностью) этот тест:
http://www.2ip.ru./firewalltest.php
Простите, но я уже устал обьяснять, да и другие дела тоже есть.

Гриша
22.05.2008, 15:20
@
aleksdem

Я не знаю как вам уже объяснить,что дело тут в известном хеше для KIS:)

Скачайте этот тест из моего аттача,он немного изменен и Кис его теперь больше не знает,отключите режим "Домохозяйки" и пробуйте пройти тест:)
Переименование хоть в хрен_собачий.exe вам не поможет:)

Гриша
22.05.2008, 15:25
Можете еще вот этот попробывать и посмотрите на его индекс опасности:)

aleksdem
22.05.2008, 15:34
Скачайте этот тест из моего аттача,он немного изменен и Кис его теперь больше не знает,отключите режим "Домохозяйки" и пробуйте пройти тест:)
Переименование хоть в хрен_собачий.exe вам не поможет:)
Гриша, что с Вами? А как же "мир" и Ваше совсем недавнее согласие со мной? Или поступила другая команда? Ребята, мне за Вас стыдно. Получить вышевыложенные скриншеты есть тысяча способов. (Удалить IE из правил, например. Или "немного изменить" тестовую программу, как Вы предлагаете.)
Это дело не меняет. У всех (кроме Maratka) KIS2009 на сегодняшний день этот тест не проходит. Если разработчики уберут эту тестовую программу из базы доверенных, ситуация, наверное, изменится.

Гриша
22.05.2008, 15:45
Мир Миром :) Я согласился с вами лишь в том что,алертов нет,если KIS знает хеш,я дал вам два образца этого теста,в одном изменен копирайт вместо 2007 года поставлен 2008,во втором случае исходный файл не менялся его просто упаковали пакером соответственно хеш теперь KIS не знает:)

Скриншоты которые показал Марат не совсем то что нам нужно,у него оба файла стоят в "Слабых ограничениях" потому и алерты есть,попробуйте два моих образца и вы сами увидите результат :)

Вы мне говорите поступила другая "команда" вы меня за кого тут держите за робота что ли?

Maratka
22.05.2008, 16:04
Это дело не меняет. У всех (кроме Maratka) KIS2009 на сегодняшний день этот тест не проходит. Если разработчики уберут эту тестовую программу из базы доверенных, ситуация, наверное, изменится.

Вопрос как я понимаю в другом: Предназначенна ли на СЕГОДНЯ (учитывая нахождение программы в группе довереннных) эта тестовая тулза для тестирования КИС8 или нет?
;)

Ибо начался весь сыр-бор с соощения:


Интересно, почему файервол KIS2009 (техрелиз) такой беспомощный. Элементарный тест ( http://2ip.ru/firewalltest.php ) не проходит при подмене имени, во время старта системы вообще все исходящие соединения выпускает наружу ( в частности, по протоколу IGMP) не смотря на созданные запрещающие правила. У семерки такая мощь (по приведенным выше результатам, "которым можно доверять"), а с применением революционных технологий в 2009-ой версии такая неудача?


Гриша приложил 2 слегка переделанных программки...

Попробуйте на первой из них (где изменен (c) 2007 на (c) 2008, и других изменений нет провалить тест.

aleksdem
22.05.2008, 16:44
Вопрос как я понимаю в другом: Предназначенна ли на СЕГОДНЯ (учитывая нахождение программы в группе довереннных) эта тестовая тулза для тестирования КИС8 или нет?

Я не спорю, наверное KIS2009 имеет какие-то достоинства. Но чтобы не происходило таких ляпсусов со всем известными тестами, может проще убрать эту тестовую программку из базы доверенных у KIS и все дела? Кстати, а зачем её туда поместили?

Maratka
22.05.2008, 16:51
Я не спорю, наверное KIS2009 имеет какие-то достоинства. Но чтобы не происходило таких ляпсусов со всем известными тестами, может проще убрать эту тестовую программку из базы доверенных у KIS и все дела? Кстати, а зачем её туда поместили?

А вот это правильный вопрос ;)
Уберем...

aleksdem
22.05.2008, 16:55
А вот это правильный вопрос ;)
Уберем...

Ну что же, значит я не зря потратил время и нервы...

Гриша
22.05.2008, 16:56
Вы попробуйте те программки,которые я приложил,это вот и есть как бы имитация того,что этот тест убрали из доверенной базы KIS :)

aleksdem
22.05.2008, 17:27
Вы попробуйте те программки,которые я приложил,это вот и есть как бы имитация того,что этот тест убрали из доверенной базы KIS :)
Давал себе слово не разговаривать с Вами из-за "переменчивости" Вашей позиции, ну да ладно..
Я перепробовал подобных программок кучу и могу смело сказать, что не всегда реакция KIS2009 адекватна. Конечно, при переименовании в какую-нибудь доверенную алерт с вопросом на выход в интернет выскакивает. Но я ведь не знаю всех "способностей" вышезамученной тестовой программки или какого-нибудь новейшего троянчика? Кто мог предположить, что вся проблема лишь в размещении её в доверенные в базе KIS?(Будем надеяться:)).

Maratka
22.05.2008, 17:34
Ну так показывайте примеры...
нужны программы, описание (что она делает), реакция КИСа на нее, и в каком режиме КИС находится...

всех то дел ;)

Гриша
22.05.2008, 17:39
Давал себе слово не разговаривать с Вами из-за "переменчивости" Вашей позиции, ну да ладно..

Я вам как раз объяснял,что тест находится в белом списке:)А вы этого просто не понимали,да я согласен с вами пока он в базе доверенных приложений,KIS его проваливает,я с этим и не спорил:)я пытался вам объяснить причину "провала" теста и все:)

Объясните подробнее про троянчика?

aleksdem
22.05.2008, 17:58
Ну так показывайте примеры...
нужны программы, описание (что она делает), реакция КИСа на нее, и в каком режиме КИС находится...

всех то дел ;)
Да нет уж. Вам очевидное показываешь - вместо благодарности за возможность устранить серьезный( в первую очередь маркетинговый) недостаток, - два дня ногами пинаете. Как я Вам докажу, что KIS, например, при старте системы не успевает заблокировать запрещенные мною исходящие соединения системы с провайдером ( что-то там с маршрутизацией связано) по протоколу IGMP и канал после этого медленно но уверенно забивается мусором в виде битых пакетов..
Да и предостаточно у Вас бетатестеров, которые уже в общей сумме не мене 100 - а страниц багов техрелиза описали. Работы у Вас непочатый край.;) Удачи.

Добавлено через 9 минут


А вы этого просто не понимали,да я согласен с вами пока он в базе доверенных приложений,KIS его проваливает,я с этим и не спорил:)я пытался вам объяснить причину "провала" теста и все:)

А я и сейчас не понимаю, кто и зачем засунул всем известную тестовую программу в доверенные в базу KIS. Это что, намеренна провокация против ЛК? Вам ведь тоже в голову это не пришло, пока Maratka не сказал? И до момента выяснени причины (будем считать) Вы просто утверждали, что KIS тест проходит...

Гриша
22.05.2008, 18:05
Вам ведь тоже в голову это не пришло, пока Maratka не сказал?

Я уже вам это до Марата говорил,возможно вы упустили это http://virusinfo.info/showpost.php?p=229860&postcount=29

Насчет зачем засунули в доверенную базу я не знаю :)

aleksdem
22.05.2008, 18:25
Я поговорил насчет вашего теста с человеком из ЛК
Может это и не Марат был, но разговор то состоялся... А теперь почитайте то, что Вы писали до этого момента...

И последнее. Даже если дейтвительно какой-то "провокатор" внес тестовую программу в базу доверенных (а не доверять Марату у меня нет оснований), все-равно поведение KIS2009, согласитесь, неадекватно. Программа, работающая под Администратором, не в режиме "домохозяйки" пользователя должно слушаться и после явной запрещающей команды устанавливать сетевое соединение (благодаря известному хешу) - это есть неправильно...

Гриша
22.05.2008, 18:30
Почитал,я и до этого писал что она попадает в доверенные,Марат сказал что ее уберут из нее,все больше не будем спорить:)

aleksdem
02.06.2008, 19:08
Марат сказал что ее уберут из нее,все больше не будем спорить:)
Поставил сегодня бету KIS 8.0.0.402. Действительно, изменения есть. Теперь выше обсуждаемую тестовую программу он просто мгновенно выпускает в интернет. Без всяких вопросов. Без всяких переименований.

Гриша
02.06.2008, 20:21
Программа по-прежнему в "Доверенном" списке...

SDA
02.06.2008, 20:30
Надо убрать из базы доверенных у KIS и эту тестовую программу http://virusinfo.info/showthread.php?t=23758 , а вообще сколько тестовых программ внесено в доверенные :O

aleksdem
02.06.2008, 21:05
А может от греха убрать вообще эту базу. Оптом. С HIPS- ом вместе. И заняться усовершенствованием фаервола с антивирусом.;)

Гриша
02.06.2008, 21:09
От какого греха?только из-за этих глупых тестов?

SDA
02.06.2008, 21:13
HIPS убирать не надо, просто отделить его от фаервола, который будет кричать на любые службы и программы, но тогда домохозяйке надо будет советовать, что-то другое, типа Panda Internet Security 2008 :)

aleksdem
02.06.2008, 22:40
От какого греха?только из-за этих глупых тестов?

Нет. Не из-за глупых тестов. А из-за привычки выпускать в интеренет что-попало.

ananas
10.06.2008, 06:21
Нет. Не из-за глупых тестов. А из-за привычки выпускать в интеренет что-попало.+1 :).
нормальные файерволы этот тест проходят без проблем, в т.ч. аутпост.

Гриша
10.06.2008, 09:18
-100

Многим понятно почему KIS "заваливает" тест,а вот некоторым вероятно нет:(

ananas
10.06.2008, 13:59
совершенно верно. я задал этот вопрос первоисточнику. жду ответа.
http://forum.kaspersky.com/index.php?showtopic=72244

Добавлено через 1 час 39 минут

тест пройден.
не смею советовать ЛК, как им проводить свою политику в этом направлении.
прошу прощения за отнятое время. :)

dark_side
10.06.2008, 23:58
Кто посоветует неплохой фаервол для локальной сети.... а то Касперский не справляется даж если прописываем блокируемый АйПи... Оно всё равно пролезает... ГГГгг... повторяю: Для локалки)))

Гриша
11.06.2008, 00:00
http://virusinfo.info/showthread.php?t=3721

zerocorporated
11.06.2008, 15:22
Кто посоветует неплохой фаервол для локальной сети.... а то Касперский не справляется даж если прописываем блокируемый АйПи... Оно всё равно пролезает... ГГГгг... повторяю: Для локалки)))

Вероятная причина:
В настройках сетевого экрана -> зоны -> для вашей сетевой платы установлен режим "Локальная сеть" переведите на "Интернет" (Возможны проблемы с доступоп с других ПК из локалки)

Правила для приложений у файервола настроены как попало...

dark_side
12.06.2008, 21:04
Вероятная причина:
В настройках сетевого экрана -> зоны -> для вашей сетевой платы установлен режим "Локальная сеть" переведите на "Интернет" (Возможны проблемы с доступоп с других ПК из локалки)

Правила для приложений у файервола настроены как попало...


Если бы надо было отрубить локалку, то проще коннэт вытащить.... у нас несколько компов в общей сети и надо просто отрубить доступ чужих, вот в чём вопрос... в интернет мы и так ходим... не через локалку...

zerocorporated
13.06.2008, 08:27
Если бы надо было отрубить локалку, то проще коннэт вытащить.... у нас несколько компов в общей сети и надо просто отрубить доступ чужих, вот в чём вопрос... в интернет мы и так ходим... не через локалку...

ОК. Зайдите в настройки Касперского -> "Сетевой экран" -> потом сверху будет кнопка "Настройки" -> перейдите во вкладку "Правила для пакетов" -> "Добавить" -> поставьте галочку "Удаленный IP-адрес" -> нажмите "укажите IP адрес" -> в поле "IP-адрес/символьное имя" введите нужный IP адрес -> нажмите на кнопку "Добавить" -> потом нажмите "ОК" -> Нужно теперь нажать на "Разрешить" чтоб правило стало запрещающим -> потом жать "OK"

Это правило было для TCP протокола. Желательно ещё одно такое же сделать для UDP протокола.

Выходить из настроек нажимая "ОК". Вот теперь тот ПК врятли в вам подключится.

zatoiti
10.08.2008, 23:52
о чём речь?.. у мну киса 8.0.0.357 прекрасно проходит ваш оригинальный FireWallTest ( http://www.2ip.ru./firewalltest.php )..
правда интерактивный режим.. да и все настройки выставлены ручками и практически всё на максимуме..
зы к тому + спайбот + спайваебластер + базы достаточно часто обновляца (вручную - ну вот люблю контроль:) ) + периодически проверяюцо системные и кисовские логи + 1-2 раза/нед. полные проверки кисой и спайботом на полных оборотах + все лишние(не пользуемые ни системой ни мной) службы и процессы убиты + политикака безопасности винды ужесточена..
есибь ищо и винду обновлял да, главное, не на руте(админе) сидел - цены бы небыло)))))))) .. скжете параноик, - другой бы спорил, я не стану)).. как грица "кто на шо училса"..

ззыж не, ну может в режиме "по умолчанию" КИСа и КАВ - хня ; и ноды и прочие авиры его обходят (не пользовал - не знаю, т.е в режиме по умолчанию).. а умело заточенным - им нет равных в своих категориях .. т.е в абсолютной категории для клиентского ПК, а не в относительной по соотношению производительностей антивирь/система - это вопрос к зализяке)..

jerkol
20.06.2010, 09:50
Если файевол его провалил (про 2ip) надо смю настройки. Может он в режиме оьучения или выключен или все пропускает по настройкам!!!!!!!!!!!

ARIGON
17.04.2012, 21:59
Читать тута: http://www.firewallleaktester.com/tests.php
сайт не работает:rtfm:

Ilya Shabanov
20.04.2012, 14:38
Есть вот такое тест на защиту от внутренних атак
http://www.anti-malware.ru/firewall_test_outbound_protection_2011

Очень скоро на anti-malware.ru выйдет тест на защиту и от внешних атак, когда компьютер попадает в сети и атакуется, находясь в пассивном режиме.

Вообще тема старая и по ней хорошо видно, как изменилось значение и смысл firewall. Сейчас firewall это не банальный контроль портов и набор правила для контроля трафика. Его значение сильно сместилось в сторону IPS, поэтому у выбирать нужно сильный IPS.

Не важно что порт какой-то открыт. Его может использовать легитимное приложения с критической уязвимостью, что позволит успешно атаковать систему и перехватить ее контроль. Поэтому реально важно, пройдет ли атака или нет, как сработает IPS.

Петр 1
28.11.2014, 00:33
Здравствуйте. Прочитал тему бесплатные файерволы, сравнительные тесты межсетевых экранов и Как работает сеть и что такое межсетевой экран (firewall)... В итог понял, что вещь нужная, но какую поставить мне, как совершенно не понимающему в этом?

Никита Соловьев
28.11.2014, 21:32
В итог понял, что вещь нужная, но какую поставить мне, как совершенно не понимающему в этом?
Какую операционную систему и антивирус Вы используете?

Петр 1
28.11.2014, 23:02
Какую операционную систему и антивирус Вы используете?

Win 7 SP 1, Avast Free

Никита Соловьев
29.11.2014, 00:16
В целом, если Ваша система регулярно получает обновления, включенного встроенного брандмауэра и бесплатного Avast будет достаточно для защиты от большинства угроз при обычном посещении веб-сайтов.
Если же обстоятельства располагают к применению более серьёзной защиты, то лучше всего - интегрированное решение. Среди лидеров в этой области Norton Internet Security (в настоящее время он продается как подписка на соотв. продукт). Вы также можете рассмотреть варианты других крупных производителей антивирусного ПО, руководствуясь информацией из этого (http://virusinfo.info/forumdisplay.php?f=39) раздела.

Ещё раз хочу подчеркнуть необходимость регулярного обновления операционной системы, невыполнение этого пункта сильно снижает эффективность любой защиты.

Петр 1
29.11.2014, 02:17
Последний вопрос)
как и где проверить нуждается ли моя ОС в обновлении? наверное совсем все не сложно, если загуглить*и попытаться разобраться самому, но просто облегчите пожалуйста задачу)
Спасибо большое за помощь.

Никита Соловьев
29.11.2014, 21:13
как и где проверить нуждается ли моя ОС в обновлении?
Пуск - все программы - центр обновления. Следует предупредить, что обновление систем, активированных пиратским способом может вызвать проблемы.

Петр 1
01.12.2014, 20:53
Спасибо большое) висело 7 обновлений)