после пакетного KIS фильтра, то что совсем некуда пристроить отбрасывает винда, все что остается KIS фильтрует по приложениям.
[quote=Geser;264189]В смысле уже самой Windows?[/quote]
Printable View
после пакетного KIS фильтра, то что совсем некуда пристроить отбрасывает винда, все что остается KIS фильтрует по приложениям.
[quote=Geser;264189]В смысле уже самой Windows?[/quote]
[QUOTE=costashu;264197]Поэтому очень прошу вас показать мне (и другим) мою некомпетентность[/QUOTE]
Об этом уже написали выше в этом топике [B]supaplex[/B] и [B]Зайцев Олег[/B]. Просто Вы предпочитаете спорить, а не понять суть задаваемых Вами вопросов и получаемых на них ответов.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=costashu;264197]последний час не мог открыть страницу форума для ответа. Хотя любые другие страницы открывались исправно, а также приходили уведомления об ответах с этого форума[/QUOTE]
Вчера и сегодня форум серьезно глючит. Час назад у меня он вообще не открывался :(
Если Вы считаете, что это специально направленная против Вас провокация - "обратитесь в Лигу Наций".
[QUOTE=DVi;264210]Об этом уже написали выше в этом топике [B]supaplex[/B] и [B]Зайцев Олег[/B]. Просто Вы предпочитаете спорить, а не понять суть задаваемых Вами вопросов и получаемых на них ответов.[/QUOTE]
спорить я давно не люблю, надоело. Пока, увы, вы никак не показали мою некомпетентность, но я еще надеюсь на это. Очень вас прошу, расскажите о сути, которой я не понимаю. Очень хочу понимать
[QUOTE]Вчера и сегодня форум серьезно глючит. Час назад у меня он вообще не открывался :(
Если Вы считаете, что это специально направленная против Вас провокация - "обратитесь в Лигу Наций".[/QUOTE]давайте вместе? ;)
[quote=costashu;264265]спорить я давно не люблю, надоело. Пока, увы, вы никак не показали мою некомпетентность, но я еще надеюсь на это. Очень вас прошу, расскажите о сути, которой я не понимаю. Очень хочу понимать
давайте вместе? ;)[/quote]
Давайте порассуждаем логически. У нас есть: KIS, юзер и приложения. Предположим для определенности приложением у нас будет WEB сервер MS IIS. В этой ситуации:
1. Является ли MS IIS легитимным приложением ? Да, несомненно является. Следовательно как он выглядит в глазах KIS ? А очень просто "Легитимное приложение производителя, которому мы доверяем". Модифицировано ли оно кем-то или чем-то ? Нет, не модифицировано, и скажем это подтверждается ЭЦП или базой чистых объектов. Следовательно, насколько оправдано подавление обмена по порту 80, который желает прослушивать данное приложение ?! Совершенно неоправдано, иначе у поставившего IIS юзера возникнет вполне резонные вопрос - "а почему такой-сякой злобный KIS задушил работу его любимого WEB сервера, это же легитимное приложение от Microsoft" ?!
2. Рассматриваем обратную ситуацию - если юзер установил и включил IIS, значит он ему зачем-то нужен, и подавление его трафика будет выглядеть как ошибка в работе Firewall - подавление сетевой активности легитимного приложения - это собственно вытекает из п.п. 1
3. некое приложение X, которое не опознано как легитимное, уже не подпадает под логику п.п. 1-2, и далее будет или запрос, или ограничение, и юзеру в конечном итоге придется принять решение, разрешить активность или нет ...
Теперь рассматриваем задачу с другой точки зрения: раз у юзера есть на ПК FTP/WEB сервера и прочие тому подобные вещи, то это видимо продвинутый юзер, раз он сумел их установить и настроить. А раз так, то видимо он вполне может понять, как наcтроить Firewall. Ведь ничто не мешает ему запретить скажем обмен FTP сервера с внешним миром, если он считает это необходимым - создается правило и проблема решена.
Наконец взгляд на проблему с третьей точки зрения - возможно, что существует легитимное приложение (и оно следовательно по умолчанию считается доверенным), которому разрешено по умолчанию слушать порты. Оно опасно лишь в том случае, когда оно содержит уязвимости. Но в KIS 2009 специально встроен искатель приложений, содержащих известные уязвимости на основании обновляемой базы - что позволит вовремя обнаружить уязвимое легитимное ПО и просигнализировать об этом пользователю. Это имхо единственно правильное решение, иначе придется блокировать работу всех браузеров включая встроенный, так как в них есть уязвимости - вот зайдет юзер на сайт с эксплоитом, и понеслось ... а так-же блокировать без разбора любой входящий запрос на подключение - а вдруг там эксплоит ...
[QUOTE=Зайцев Олег;264285]Давайте порассуждаем логически.[/QUOTE]
большое спасибо, глубоко мною уважаемый Зайцев Олег!
[QUOTE]1. Является ли MS IIS легитимным приложением ? Да, несомненно является. Следовательно как он выглядит в глазах KIS ? А очень просто "Легитимное приложение производителя, которому мы доверяем". Модифицировано ли оно кем-то или чем-то ? Нет, не модифицировано, и скажем это подтверждается ЭЦП или базой чистых объектов. Следовательно, насколько оправдано подавление обмена по порту 80, который желает прослушивать данное приложение ?! Совершенно неоправдано, иначе у поставившего IIS юзера возникнет вполне резонные вопрос - "а почему такой-сякой злобный KIS задушил работу его любимого WEB сервера, это же легитимное приложение от Microsoft" ?!
2. Рассматриваем обратную ситуацию - если юзер установил и включил IIS, значит он ему зачем-то нужен, и подавление его трафика будет выглядеть как ошибка в работе Firewall - подавление сетевой активности легитимного приложения - это собственно вытекает из п.п. 1[/QUOTE]
совершенно справедливо, но зачем вы опять пишете о юзерских серверах? Вы думаете, у меня на тестируемом компе стоит сервер ftp на порте 21? Нет. Или что у меня стоит сервер web на порте 2869? Нет. Или что стоит сервер времени на порте 123? Опять же нет
[QUOTE]3. некое приложение X, которое не опознано как легитимное, уже не подпадает под логику п.п. 1-2, и далее будет или запрос, или ограничение, и юзеру в конечном итоге придется принять решение, разрешить активность или нет ...[/QUOTE]
в "99%" случаев никаких запросов не будет - автоматический режим с разрешением всего, что не запрещено, то есть бывший минимальный (усложненный хипсом, конечно)
[QUOTE]Теперь рассматриваем задачу с другой точки зрения: раз у юзера есть на ПК FTP/WEB сервера и прочие тому подобные вещи, то это видимо продвинутый юзер, раз он сумел их установить и настроить. А раз так, то видимо он вполне может понять, как наcтроить Firewall. Ведь ничто не мешает ему запретить скажем обмен FTP сервера с внешним миром, если он считает это необходимым - создается правило и проблема решена.[/QUOTE]
нет серверов
[QUOTE]Наконец взгляд на проблему с третьей точки зрения - возможно, что существует легитимное приложение (и оно следовательно по умолчанию считается доверенным), которому разрешено по умолчанию слушать порты. Оно опасно лишь в том случае, когда оно содержит уязвимости. Но в KIS 2009 специально встроен искатель приложений, содержащих известные уязвимости на основании обновляемой базы - что позволит вовремя обнаружить уязвимое легитимное ПО и просигнализировать об этом пользователю. Это имхо единственно правильное решение, иначе придется блокировать работу всех браузеров включая встроенный, так как в них есть уязвимости - вот зайдет юзер на сайт с эксплоитом, и понеслось ... а так-же блокировать без разбора любой входящий запрос на подключение - а вдруг там эксплоит ...[/QUOTE]
снова спасибо. Я понимаю, что совершенно не случайно, не как специальная дополнительная фича, без которой можно и обойтись, появился в кис2009 поиск уязвимостей. И что обновление уязвимых приложений не факультативно, как многие все еще надеются, а совершенно обязательно по требованиям безопасности из-за новой "идеологии" сетевого экрана. Есть только один момент - если б уязвимости уже были все известны и обновления их все закрывали, не открывая новые - всем было б счастье
и пожалуйста, что скажете насчет оранжевой уязвимости SYNFIN, обнаруженной нессусом не где нибудь там, а именно в фаерволе кис2009?
[quote=costashu;264306]
и пожалуйста, что скажете насчет оранжевой уязвимости SYNFIN, обнаруженной нессусом не где нибудь там, а именно в фаерволе кис2009?[/quote]
Это не узвимость, а запись в протоколе - не более того. Если сканер портов пишет, что открыт порт, то:
1. Не факт, что там есть какая-то уязвимая служба
2. Не факт, что Firewall KIS даст ее уязвить
Очень часто сканеру показывают несуществующие узявимости - говорить о реальной можно лишь тога, когда тестовый ПК удается реально узвить. Если такое удастся - это будет сигналом для разработчиков Firewall принимать немедленные меры
[QUOTE=Зайцев Олег;264336]Это не узвимость, а запись в протоколе - не более того.[/QUOTE]я почитал про эту уязвимость где только нашел. Прочитал даже, что для ее использования и эксплойт не нужен
[QUOTE]Если сканер портов пишет, что открыт порт, то:
1. Не факт, что там есть какая-то уязвимая служба[/QUOTE]конечно, тем более что уязвимость может быть [I]еще[/I] неизвестна
[QUOTE]2. Не факт, что Firewall KIS даст ее уязвить[/QUOTE]он [I]уже[/I] свое сделал - пакет прошел
[QUOTE]Очень часто сканеру показывают несуществующие узявимости - говорить о реальной можно лишь тога, когда тестовый ПК удается реально узвить. Если такое удастся - это будет сигналом для разработчиков Firewall принимать немедленные меры[/QUOTE]может гигиена лучше хирургии?
[quote=costashu;264349]я почитал про эту уязвимость где только нашел. Прочитал даже, что для ее использования и эксплойт не нужен
конечно, тем более что уязвимость может быть [I]еще[/I] неизвестна
он [I]уже[/I] свое сделал - пакет прошел
может гигиена лучше хирургии?[/quote]
Если у меня найдется немного времени (я не обещаю, именно "если"), я проведу полигонные испытания Firewall KIS в настройках по умолчанию на "эталонной" лицензионной XP SP2 - у меня для этого есть идеальные условия и отличный полигон, но нет времени. Это позволит поставить все точки на "i" и понять, что там обнаружилось, есть ли реально уязвимость и в чем там проблема. Верить сканеру на самом деле как правило нельзя - обычно подтверждается не более 20-40% из найденных им уязвимостей ... (у меня студенты на дипломе сканеры портов пишут - и первое, что я им говорю - "не верьте логам сканеров уязвимостей" :) )
[QUOTE=costashu;264306]что скажете насчет оранжевой уязвимости SYNFIN, обнаруженной нессусом не где нибудь там, а именно в фаерволе кис2009?[/QUOTE]
1. Уязвимость, обнаруженная в 2002 году в ядрах операционных систем Linux 2.4.19, Solaris 5.8, FreeBSD 4.5 и Windows NT 4.0.
2. В том же году эта уязвимость была устранена патчами этих систем.
3. Ни на одну из этих систем KIS 2009 не встает.
[quote=DVi;264374]1. Уязвимость, обнаруженная в 2002 году в ядрах операционных систем Linux 2.4.19, Solaris 5.8 и FreeBSD 4.5.
[/quote]
Пара слов в дополнение - я нашел в данном топике лог нексуса - там в логе сканера сказано, что по мнению сканера компьютер отвечает на пакеты с флагами SYN + FIN (что не наказуемо и не является "дырой"), но по мнение сканера [U]возможно[/U] это может быть применено для обхода правил Firewall. Т.е. никакой реальной проблемы сканер не видит ...
[B]DVi и Зайцев Олег[/B]
позицию понял. Будем ломать :)
@ [b]DVi[/b], [b]supaplex[/b] & [b]Олег[/b] (необязательно в этом порядке ;)):
Вот что я понял: 'Пока там известных нам уязвимостей нет, можно считать, что файрвол защищает. И как только будут уязвимости, мы здесь тоже не при чём, так что: ребята - всё нормально; пусть сканнер показывает открытые порты.'
У costashu нет серверов. У него в netstat на компе 'слушают' службы винды (следующие компоненты):
[quote]TCP sec:2869
* C:\WINDOWS\system32\httpapi.dll
* c:\windows\system32\ssdpsrv.dll
* C:\WINDOWS\system32\RPCRT4.dll
* [svchost.exe]
UDP sec:ntp
* c:\windows\system32\WS2_32.dll
* c:\windows\system32\w32time.dll
* ntdll.dll
* C:\WINDOWS\system32\kernel32.dll
* [svchost.exe][/quote]
Отчёт netstat (который от него получил по моей просьбе) и отчёты nmap/nessus совпадают. Всё нормально, хотите сказать?
Я это специально спрашиваю, потому что на всех сайтах по безопасности как раз рекомендуют всем отключить особенно SSDP - то, что домохозяйка вряд ли сама сделает. Цель файрвола как я всегда думал - выдать как можно меньше инфы о компе для того, чтобы минимализировать количество атак. Но вы считаете, что нет необходимости маскировать тот факт, что эти службы работают? Я правильно понял?
P.S.: Мне нечего бояться - у меня всё закрыто. Только интересуюсь, и хочу, чтобы все всё поняли. Спасибо заранее за ответы.
Paul
Paul, у меня после отключения ssdp процессор нервничает и прыгает нагрузка в состоянии покоя.
[QUOTE=drongo;264469]Paul, у меня после отключения ssdp процессор нервничает и прыгает нагрузка в состоянии покоя.[/QUOTE]
А как вы её отключили? Universal Plug and Play у вас всё ещё работает, или как?
Когда вы отключаете службы, то тогда надо выйти из Интернета, иначе можно даже BSoD получать...
Paul
[quote=Hu-Long;264482]А в ответ тишина.......... Факт - упрямая вещь.[/quote]
Фактов пока нет (см. мой пост номер 108). Интересно
1. воспроизвести данную ситуацию (т.е. убедиться в воспроизводимости),
2. сканировать ПК не в рамках ЛВС с немаршрутизируемыми адресами (KIS автоматом понимает, что это локальная подсеть - это важно), а воспроизведя ситуацию, когда KIS стоит на ПК с Инет-адресом и его сканируют извне. причем сканируют дважды - до установки KIS и после.
Вот тогда можно делать выводы ...
[QUOTE=Зайцев Олег;264486] Интересно
1. воспроизвести данную ситуацию (т.е. убедиться в воспроизводимости),
2. сканировать ПК не в рамках ЛВС с немаршрутизируемыми адресами (KIS автоматом понимает, что это локальная подсеть - это важно), а воспроизведя ситуацию, когда KIS стоит на ПК с Инет-адресом и его сканируют извне. причем сканируют дважды - до установки KIS и после.
Вот тогда можно делать выводы ...[/QUOTE]
Я пытался - Corbina не пропускает в Инет даже с установленным КИСом... :(
Paul
[quote=p2u;264488]Я пытался - Corbina не пропускает в Инет даже с установленным КИСом... :(
Paul[/quote]
У меня на этот случай есть специальный полигон, воспроизводящий любую мыслимую ситуацию. До выходных я занят одной глобальной задачкой, а вот в выходные устрою испытания
[QUOTE=Зайцев Олег;264486] 2. сканировать ПК не в рамках ЛВС с немаршрутизируемыми адресами (KIS автоматом понимает, что это локальная подсеть - это важно)[/QUOTE]
А как быть с локальной сетью провайдера? Там же тоже не всё сладко. Поставить такие локалки в 'Публичную Сеть' в КИСе не помогает, вы хотите сказать?
Там ходят зловреды и трафик не журнализируется со стороны провайдера...
Paul
p2u, в Corbinе есть услуга подключить статический IP адрес, этого достаточно?
Кстати не понятно, почему разработчики не могли протестировать KIS в "полевых условиях". Кстати Олег, в свое время у тебя был хороший тест фаерволов, и если не ошибаюсь позиция была несколько другая.
[QUOTE=SDA;264491]p2u, в Corbinе есть услуга подключить статический IP адрес, этого достаточно?[/QUOTE]
Нет, попробовал. Не пропускает всё равно.
Paul