Сравнительные тесты межсетевых экранов (Firewall)

Читать тута: [url]http://www.firewallleaktester.com/tests.php[/url]

Другой тест файрволов, но совсем с другими результатами можно увидеть [URL="http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php"]здесь[/URL].

Почему результаты отличаются? У Matousec каждый продукт получает зелёную галочку за прохождение теста с настройками по умолчанию (125 баллов), и синую галочку за прохождение с настройками максимальной защиты (100 баллов). Результаты складываются. Поэтому отчёт баллов получается немного другой. Потом, файрволы, которые пытаются проходить тест с помощью хуков (захват) с третьего кольца (User mode hooks) наказываются, так как такой тип защиты считается несерьёзным... Paul

По ссылке в первом посте: там старые результаты, что-то давно их не обновляют.

Обновляют - смотрите [url]http://www.matousec.com/projects/firewall-challenge/results.php[/url]

Непонятно, почему в этих тестах участвуют только [i]firewalls[/i] для Windows, и почему их качества определяется только по [i]leak tests[/i]. А раз уж на то пошло, что главный показатель качества [i]firewall[/i], это прохождение [i]leak tests[/i], то где тогда [i]leak tests[/i] на MacOS, Linux, *BSD?

А что, у Касперского такой крутой фаер?

Тестам от matousec можно доверять

Интересно, почему файервол KIS2009 (техрелиз) такой беспомощный. Элементарный тест ( [url]http://2ip.ru/firewalltest.php[/url] ) не проходит при подмене имени, во время старта системы вообще все исходящие соединения выпускает наружу ( в частности, по протоколу IGMP) не смотря на созданные запрещающие правила. У семерки такая мощь (по приведенным выше результатам, "которым можно доверять"), а с применением революционных технологий в 2009-ой версии такая неудача?

А я что то сомневаюсь, что KIS настолько силён, что может возглавлять подобные тесты.

@aleksdem

Ваша ссылка не работает :)

[QUOTE=Гриша;229712]@aleksdem

Ваша ссылка не работает :)[/QUOTE]

Поправил. Да этот факт давным-давно известен, в том числе и разработчикам.

И как это у вас KIS 2009 проваливает этот тест?Запускаете эту байду,она помещается в доверенные,т.к. имеет цифровую подпись,соответственно ей по дефолту из группы "Доверенные" разрешена любая сетевая активность,переносите ее в "Слабые ограничения",выключаете режим "Домохозяйки",запускаете файл,получаете алерт,создаете такое правило как у меня и смотрите результат:)

[QUOTE=Гриша;229762]И как это у вас KIS 2009 проваливает этот тест?[/QUOTE]

А теперь переименуйте "эту байду" в то, что имеет у Вас доступ в интернет. Да на сайте ж все описано. Или почитайте обсуждение на форуме ЛК:
[url]http://forum.kaspersky.com/index.php?showtopic=68776&pid=632866&mode=threaded&start=[/url]

Ребят, а как эти тесты проводят, мне например непонятно, почему в прошлых тестах Online Armor Personal Firewall, занимал первую строчку, а сейчас 4, он что стал хуже? или метод тестирования изменился?

на форуме ЛК:
"На форуме уже не первый раз пишут о том что сетевой экран проваливает тест от 2ip.ru, так вот, после очередного обновления программа детектится как Trojan.Win32.Agent.mbi. Ложное срабатывание.
Тему закройте, пожалуйста." Из топика на форуме ЛК я не делаю вывод, что тест провален, Гриша показал, что тест пройден.

Вы смотрели мои скриншоты?обсуждения как такового я там не увидел,а честно сказать,если что-то переименовавать,подсовывать,подкручивать,обойти можно все что угодно :)я для себя попробовал этот тест,результат вам показал,а то что мне говорят "слева" мне по барабану;)

[QUOTE=SDA;229802]на форуме ЛК:
"На форуме уже не первый раз пишут о том что сетевой экран проваливает тест от 2ip.ru, так вот, после очередного обновления программа детектится как Trojan.Win32.Agent.mbi. Ложное срабатывание.
Тему закройте, пожалуйста." Из топика на форуме ЛК я не делаю вывод, что тест провален, Гриша показал, что тест пройден.[/QUOTE]
Тест заключается в том, что если "запрещенное" приложение переименовать в "разрешенное" (например в Internet Explorer), фаервол не должени выпустить его в интернет. Не мне Вам объяснять, что это один из фокусов зловредов. KIS2009 этот тест проваливает. Попробуйте сами. Гриша глубоко ошибается в своих выводах и суждениях.

Если что-то переименовавать,подсовывать,подкручивать,обойти можно все что угодно.

[QUOTE=Гриша;229828]Если что-то переименовавать,подсовывать,подкручивать,обойти можно все что угодно.[/QUOTE]
Причем тут "подкручивать"? Это такой тест! Его проходят без проблем COMODO, Avira, Eset, Outpost и масса других менее распространенных фаерволов. KIS2009, повторяю, его не проходит. И не только его:
[url]http://www.pcflank.com/pcflankleaktest.htm[/url]

Я поговорил насчет вашего теста с человеком из ЛК,вот его ответ:

[QUOTE]Программа "проходит" КИСа по одной простой причине - мы занесли ее в доверенные.
Мы сказали, КИСу, чтобы он разрешал любую активность этой программы
[/QUOTE]

Довольны?А вы знаете что этот тест можно пройти без фаерволла,он не работает через прокси :) и еще,подделайте md5 у любого теста, и сдалайте так, чтобы md5 ликтеста совпал с md5 оригинального iexplore из состава скажем XP x86 SP2 (русский) и посмотрите результат :)

[QUOTE=Гриша;229833]Я поговорил насчет вашего теста с человеком из ЛК,вот его ответ:
[/QUOTE]
Во-первых, это не мой тест, а общепринятый.
Во-вторых, какая разница, куда это приложение записал KIS - я ему запретил выход в интернет. Представте, что свою зловредную программу злоумышленник назовет, ну скажем, Windows Media Player, и что, KIS разрешит ей все, что разрешено настоящему WMP?
Я не думаю, что кто-то из работников ЛК мог ответить что-то подобное, так как это вообще полный абсурд.

Не хотите не верьте,KIS заносит в группу "Доверенные" не по названию файла а по наличию копирайта или известного хеша.

А зачем заносить такую программу в доверенные? Честно сказать, я не понял в чём соль

[QUOTE=Гриша;229833]подделайте md5 у любого теста, и сдалайте так, чтобы md5 ликтеста совпал с md5 оригинального iexplore из состава скажем XP x86 SP2 (русский) и посмотрите результат :)[/QUOTE]
Вы хотите сказать, что преименовывая тестовую программу в IE Вы делаете её md5 идентичной настоящему IE?

При чем тут переименовка файла и изменения md5?Вы думаете я не понимаю о чем я говорю?

[QUOTE=drongo;229850]А зачем заносить такую программу в доверенные? Честно сказать, я не понял в чём соль[/QUOTE]
Да глупость это все. Во-первых, никто никуда эту тестовую программу не заносил.
Во-вторых, какое это вообще имеет отношение к работе фаервола, если пользователем создано запрещающее правило на выход этого приложения в интернет?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=Гриша;229852]При чем тут переименовка файла и изменения md5?Вы думаете я не понимаю о чем я говорю?[/QUOTE]
Нет, я как раз думаю, что всех остальных ВЫ считаете полными дилетантами.

@
[B]drongo[/B]

Прикол тут в том что,запускаем этот файл,делаем для него запрещающее правило,как показано у меня на скриншотах,затем переименовываем его,во что-нибудь что имеет доступ в интернет и фаер KIS 2009 его пропускает:)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[CODE]Нет, я как раз думаю, что всех остальных ВЫ считаете полными дилетантами.[/CODE]

Я ни кого не считаю дилентантами,мы с вами пытаемся разобраться с этим тестом и все :)

Теперь ясно ;)
Ну тогда по моему не доработка разработчика. Фаэр перед разрешением выхода в сеть должен проверять полный путь к файлу,кроме цифровой подписи/ копирайту и имени . И если программа проситься (которую уже раньше добавили в доверенные) из другого места- обязан быть алерт.Если его нет, плохо.

[CODE]Да глупость это все. Во-первых, никто никуда эту тестовую программу не заносил?[/CODE]

Когда вы запускаете первый раз любой exe файл KIS 2009 заносит его в ту или иную группу,этот попадает в "Доверенные" по известному хешу.

[QUOTE=drongo;229858]Теперь ясно ;)
Ну тогда по моему не доработка разработчика. Фаэр перед разрешением выхода в сеть должен проверять полный путь к файлу,кроме цифровой подписи и имени. И если программа проситься (которую уже раньше добавили в доверенные) из другого места- обязан быть алерт.Если его нет, плохо.[/QUOTE]

Спасибо. А я думал опять будет Грише "спасибо" и KIS-а хороший..:)

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=Гриша;229860][CODE]Да глупость это все. Во-первых, никто никуда эту тестовую программу не заносил?[/CODE]

Когда вы запускаете первый раз любой exe файл KIS 2009 заносит его в ту или иную группу,этот попадает в "Доверенные" по известному хешу.[/QUOTE]
Повторюсь, если даже это так, то причем тут работа фаервола после моего запрещающего правила на выход в интернет этого "доверенного приложения"?

Ладно закроем наш спор :)но KIS хороший и тесты он проходит;)после того как мы сделали этот файл недоверенным и запретили ему выход в инет,переименовывать его можно во что угодно хеш при этом не меняется и он снова попадает в "Доверенные" с разрешением сетевой активности,и в правилах фильтрации он стоит дважды только с разными именами,одному запрещено со старым именем выход в интернет,а с новым именем разрешен.

[QUOTE=Гриша;229865]Ладно закроем наш спор :)но KIS хороший и тесты он проходит;)[/QUOTE]

Это Ваше личное мнение. Мое диаметрально противоположное: KIS2009 (техрелиз) - плохой. Одна из немаловажных причин такого вывода - непрохождение элементарных тестов его фаерволом.;)
Всем удачи.

[quote=aleksdem;229847]Во-первых, это не мой тест, а общепринятый.
Во-вторых, какая разница, куда это приложение записал KIS - я ему запретил выход в интернет. Представте, что свою зловредную программу злоумышленник назовет, ну скажем, Windows Media Player, и что, KIS разрешит ей все, что разрешено настоящему WMP?
Я не думаю, что кто-то из работников ЛК мог ответить что-то подобное, так как это вообще полный абсурд.[/quote]

Если под "общепринятым" тестом имеется в виду
[URL]http://2ip.ru/files/FireWallTest.exe[/URL]
то я не очень понимаю, почему я прохожу этот тест вполне успешно при ВЫГРУЖЕННОМ КИС8...

Думаю как будет минутка - проверю этот тест при ДЕИНСТАЛЛИРОВАНОМ КИСе ;)

**************
А если серьезно (хотя все что выше я написал - вполне серьезно!) - то именно эта программа у нас занесена в базу доверенных.
Уточняю - в базе доверенных находится не "FireWallTest.exe", и не
[URL]http://2ip.ru/files/FireWallTest.exe[/URL] (под которым через 15 минут может находиться все что угодно.

В базу доверенных занесен хеш программы.
Соответсвенно, переименование/перенос программы в другой каталог не изменяет отношение КИСа к ней.
Однако, изменение ЛЮБОГО байта в программе немедленно приводит к пересчету ее рейтинга, и занесения ее в зависимости от рейтинга в одну из трех оставшихся групп.

В случае, если программа попадет в группу "слабоограниченных"- на доступ в сеть будет алерт, если попадет в "недоверенные" - потеряет право на все, включая даже собственно запуск

кис хороший- установки по умолчанию оставляют желать лучшего в плане безопасности.;)
По умолчанию есть определённый белый список программ который уже есть в кис.
В этом есть как положительные стороны (в плане снизить количество алертов для обычного юзера) так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)
Поэтому я лично никогда не пользовался данной палочкой-облегчалочкой ни в каком фаэрволе.С другой стороны, не все такие как я ;) Часто бывает, пользователь не знает что у него за программы водятся которые в инет лезут- а так сразу узнает ;)
В любом случае, по моему путь надо проверять как дополнительную меру.

[quote=drongo;229872]В этом есть как положительные стороны (в плане снизить количество алертов для обычного юзера) так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)
[/quote]

Опишите как это сделать пожалуйста...

[QUOTE=drongo;229872] так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)
[/QUOTE]

Это простите как? Как вы собираетесь подменить хэш, если он уникален? Вы знаете по какой методике КИСа их считает?

Ребята, лично я не знаю. Уверен, что тот кто знает не будет об этом трепаться. Как пример лишь упомяну- историю про md5- тоже говорили, что подделать нельзя- а оказалось можно.
Поэтому прошу принять это во внимание и как дополнительную меру проверять отдельно полный путь, в дополнение. КИС ведь позиционируется как комплексная защита, поэтому по моему должен не только охранять сами файлы, но и контролировать их местоположение на диске.

[quote=drongo;229872]В этом есть как положительные стороны (в плане снизить количество алертов для обычного юзера) так и отрицательные ( собственно теоретически можно подделать трояна под какую-нибудь программу из этого списка)
[/quote]


[quote=drongo;229879]Ребята, лично я не знаю. Уверен, что тот кто знает не будет об этом трепаться. Как пример лишь упомяну- историю про md5- тоже говорили, что подделать нельзя- а оказалось можно.
[/quote]

А можно попросить линку, где почитать?

[quote=Maratka;229881]А можно попросить линку, где почитать?[/quote]

про md5 давно писали, например [url]http://news.zdnet.co.uk/security/0,1000000189,39163876,00.htm[/url]
Именно про кис- не видел, но это пока :)
Лучше по моему предпринимать какие-то меры до того как, чем потом.

[QUOTE=Maratka;229868]
А если серьезно (хотя все что выше я написал - вполне серьезно!) - то именно эта программа у нас занесена в базу доверенных.
Уточняю - в базе доверенных находится не "FireWallTest.exe", и не
[URL]http://2ip.ru/files/FireWallTest.exe[/URL] (под которым через 15 минут может находиться все что угодно.

В базу доверенных занесен хеш программы.
Соответсвенно, переименование/перенос программы в другой каталог не изменяет отношение КИСа к ней.
Однако, изменение ЛЮБОГО байта в программе немедленно приводит к пересчету ее рейтинга, и занесения ее в зависимости от рейтинга в одну из трех оставшихся групп.

В случае, если программа попадет в группу "слабоограниченных"- на доступ в сеть будет алерт, если попадет в "недоверенные" - потеряет право на все, включая даже собственно запуск[/QUOTE]
Почему, в этом случае, фаер спрашивает, выпустить прогу в интернет или нет, если она действует под своим именем, и без всяких вопросов (не в режиме "домохозяйки"), без всяких алертов мгновенно выпускает её в интернет, переименованную, скажем, в IE? (Если, конечно, IE разрешен выход).