после пакетного KIS фильтра, то что совсем некуда пристроить отбрасывает винда, все что остается KIS фильтрует по приложениям.
Сообщение от Geser
после пакетного KIS фильтра, то что совсем некуда пристроить отбрасывает винда, все что остается KIS фильтрует по приложениям.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Об этом уже написали выше в этом топике supaplex и Зайцев Олег. Просто Вы предпочитаете спорить, а не понять суть задаваемых Вами вопросов и получаемых на них ответов.
Добавлено через 2 минуты
Вчера и сегодня форум серьезно глючит. Час назад у меня он вообще не открывался
Если Вы считаете, что это специально направленная против Вас провокация - "обратитесь в Лигу Наций".
Последний раз редактировалось DVi; 06.08.2008 в 14:28. Причина: Добавлено
спорить я давно не люблю, надоело. Пока, увы, вы никак не показали мою некомпетентность, но я еще надеюсь на это. Очень вас прошу, расскажите о сути, которой я не понимаю. Очень хочу понимать
давайте вместе?Вчера и сегодня форум серьезно глючит. Час назад у меня он вообще не открывался
Если Вы считаете, что это специально направленная против Вас провокация - "обратитесь в Лигу Наций".
Давайте порассуждаем логически. У нас есть: KIS, юзер и приложения. Предположим для определенности приложением у нас будет WEB сервер MS IIS. В этой ситуации:спорить я давно не люблю, надоело. Пока, увы, вы никак не показали мою некомпетентность, но я еще надеюсь на это. Очень вас прошу, расскажите о сути, которой я не понимаю. Очень хочу понимать
давайте вместе?
1. Является ли MS IIS легитимным приложением ? Да, несомненно является. Следовательно как он выглядит в глазах KIS ? А очень просто "Легитимное приложение производителя, которому мы доверяем". Модифицировано ли оно кем-то или чем-то ? Нет, не модифицировано, и скажем это подтверждается ЭЦП или базой чистых объектов. Следовательно, насколько оправдано подавление обмена по порту 80, который желает прослушивать данное приложение ?! Совершенно неоправдано, иначе у поставившего IIS юзера возникнет вполне резонные вопрос - "а почему такой-сякой злобный KIS задушил работу его любимого WEB сервера, это же легитимное приложение от Microsoft" ?!
2. Рассматриваем обратную ситуацию - если юзер установил и включил IIS, значит он ему зачем-то нужен, и подавление его трафика будет выглядеть как ошибка в работе Firewall - подавление сетевой активности легитимного приложения - это собственно вытекает из п.п. 1
3. некое приложение X, которое не опознано как легитимное, уже не подпадает под логику п.п. 1-2, и далее будет или запрос, или ограничение, и юзеру в конечном итоге придется принять решение, разрешить активность или нет ...
Теперь рассматриваем задачу с другой точки зрения: раз у юзера есть на ПК FTP/WEB сервера и прочие тому подобные вещи, то это видимо продвинутый юзер, раз он сумел их установить и настроить. А раз так, то видимо он вполне может понять, как наcтроить Firewall. Ведь ничто не мешает ему запретить скажем обмен FTP сервера с внешним миром, если он считает это необходимым - создается правило и проблема решена.
Наконец взгляд на проблему с третьей точки зрения - возможно, что существует легитимное приложение (и оно следовательно по умолчанию считается доверенным), которому разрешено по умолчанию слушать порты. Оно опасно лишь в том случае, когда оно содержит уязвимости. Но в KIS 2009 специально встроен искатель приложений, содержащих известные уязвимости на основании обновляемой базы - что позволит вовремя обнаружить уязвимое легитимное ПО и просигнализировать об этом пользователю. Это имхо единственно правильное решение, иначе придется блокировать работу всех браузеров включая встроенный, так как в них есть уязвимости - вот зайдет юзер на сайт с эксплоитом, и понеслось ... а так-же блокировать без разбора любой входящий запрос на подключение - а вдруг там эксплоит ...
большое спасибо, глубоко мною уважаемый Зайцев Олег!
совершенно справедливо, но зачем вы опять пишете о юзерских серверах? Вы думаете, у меня на тестируемом компе стоит сервер ftp на порте 21? Нет. Или что у меня стоит сервер web на порте 2869? Нет. Или что стоит сервер времени на порте 123? Опять же нет1. Является ли MS IIS легитимным приложением ? Да, несомненно является. Следовательно как он выглядит в глазах KIS ? А очень просто "Легитимное приложение производителя, которому мы доверяем". Модифицировано ли оно кем-то или чем-то ? Нет, не модифицировано, и скажем это подтверждается ЭЦП или базой чистых объектов. Следовательно, насколько оправдано подавление обмена по порту 80, который желает прослушивать данное приложение ?! Совершенно неоправдано, иначе у поставившего IIS юзера возникнет вполне резонные вопрос - "а почему такой-сякой злобный KIS задушил работу его любимого WEB сервера, это же легитимное приложение от Microsoft" ?!
2. Рассматриваем обратную ситуацию - если юзер установил и включил IIS, значит он ему зачем-то нужен, и подавление его трафика будет выглядеть как ошибка в работе Firewall - подавление сетевой активности легитимного приложения - это собственно вытекает из п.п. 1
в "99%" случаев никаких запросов не будет - автоматический режим с разрешением всего, что не запрещено, то есть бывший минимальный (усложненный хипсом, конечно)3. некое приложение X, которое не опознано как легитимное, уже не подпадает под логику п.п. 1-2, и далее будет или запрос, или ограничение, и юзеру в конечном итоге придется принять решение, разрешить активность или нет ...
нет серверовТеперь рассматриваем задачу с другой точки зрения: раз у юзера есть на ПК FTP/WEB сервера и прочие тому подобные вещи, то это видимо продвинутый юзер, раз он сумел их установить и настроить. А раз так, то видимо он вполне может понять, как наcтроить Firewall. Ведь ничто не мешает ему запретить скажем обмен FTP сервера с внешним миром, если он считает это необходимым - создается правило и проблема решена.
снова спасибо. Я понимаю, что совершенно не случайно, не как специальная дополнительная фича, без которой можно и обойтись, появился в кис2009 поиск уязвимостей. И что обновление уязвимых приложений не факультативно, как многие все еще надеются, а совершенно обязательно по требованиям безопасности из-за новой "идеологии" сетевого экрана. Есть только один момент - если б уязвимости уже были все известны и обновления их все закрывали, не открывая новые - всем было б счастьеНаконец взгляд на проблему с третьей точки зрения - возможно, что существует легитимное приложение (и оно следовательно по умолчанию считается доверенным), которому разрешено по умолчанию слушать порты. Оно опасно лишь в том случае, когда оно содержит уязвимости. Но в KIS 2009 специально встроен искатель приложений, содержащих известные уязвимости на основании обновляемой базы - что позволит вовремя обнаружить уязвимое легитимное ПО и просигнализировать об этом пользователю. Это имхо единственно правильное решение, иначе придется блокировать работу всех браузеров включая встроенный, так как в них есть уязвимости - вот зайдет юзер на сайт с эксплоитом, и понеслось ... а так-же блокировать без разбора любой входящий запрос на подключение - а вдруг там эксплоит ...
и пожалуйста, что скажете насчет оранжевой уязвимости SYNFIN, обнаруженной нессусом не где нибудь там, а именно в фаерволе кис2009?
Последний раз редактировалось costashu; 06.08.2008 в 16:29.
Это не узвимость, а запись в протоколе - не более того. Если сканер портов пишет, что открыт порт, то:
1. Не факт, что там есть какая-то уязвимая служба
2. Не факт, что Firewall KIS даст ее уязвить
Очень часто сканеру показывают несуществующие узявимости - говорить о реальной можно лишь тога, когда тестовый ПК удается реально узвить. Если такое удастся - это будет сигналом для разработчиков Firewall принимать немедленные меры
я почитал про эту уязвимость где только нашел. Прочитал даже, что для ее использования и эксплойт не нужен
конечно, тем более что уязвимость может быть еще неизвестнаЕсли сканер портов пишет, что открыт порт, то:
1. Не факт, что там есть какая-то уязвимая служба
он уже свое сделал - пакет прошел2. Не факт, что Firewall KIS даст ее уязвить
может гигиена лучше хирургии?Очень часто сканеру показывают несуществующие узявимости - говорить о реальной можно лишь тога, когда тестовый ПК удается реально узвить. Если такое удастся - это будет сигналом для разработчиков Firewall принимать немедленные меры
Если у меня найдется немного времени (я не обещаю, именно "если"), я проведу полигонные испытания Firewall KIS в настройках по умолчанию на "эталонной" лицензионной XP SP2 - у меня для этого есть идеальные условия и отличный полигон, но нет времени. Это позволит поставить все точки на "i" и понять, что там обнаружилось, есть ли реально уязвимость и в чем там проблема. Верить сканеру на самом деле как правило нельзя - обычно подтверждается не более 20-40% из найденных им уязвимостей ... (у меня студенты на дипломе сканеры портов пишут - и первое, что я им говорю - "не верьте логам сканеров уязвимостей")
1. Уязвимость, обнаруженная в 2002 году в ядрах операционных систем Linux 2.4.19, Solaris 5.8, FreeBSD 4.5 и Windows NT 4.0.
2. В том же году эта уязвимость была устранена патчами этих систем.
3. Ни на одну из этих систем KIS 2009 не встает.
Последний раз редактировалось DVi; 06.08.2008 в 17:15.
Пара слов в дополнение - я нашел в данном топике лог нексуса - там в логе сканера сказано, что по мнению сканера компьютер отвечает на пакеты с флагами SYN + FIN (что не наказуемо и не является "дырой"), но по мнение сканера возможно это может быть применено для обхода правил Firewall. Т.е. никакой реальной проблемы сканер не видит ...
DVi и Зайцев Олег
позицию понял. Будем ломать
@ DVi, supaplex & Олег (необязательно в этом порядке
Вот что я понял: 'Пока там известных нам уязвимостей нет, можно считать, что файрвол защищает. И как только будут уязвимости, мы здесь тоже не при чём, так что: ребята - всё нормально; пусть сканнер показывает открытые порты.'
У costashu нет серверов. У него в netstat на компе 'слушают' службы винды (следующие компоненты):
Отчёт netstat (который от него получил по моей просьбе) и отчёты nmap/nessus совпадают. Всё нормально, хотите сказать?TCP sec:2869
* C:\WINDOWS\system32\httpapi.dll
* c:\windows\system32\ssdpsrv.dll
* C:\WINDOWS\system32\RPCRT4.dll
* [svchost.exe]
UDP sec:ntp
* c:\windows\system32\WS2_32.dll
* c:\windows\system32\w32time.dll
* ntdll.dll
* C:\WINDOWS\system32\kernel32.dll
* [svchost.exe]
Я это специально спрашиваю, потому что на всех сайтах по безопасности как раз рекомендуют всем отключить особенно SSDP - то, что домохозяйка вряд ли сама сделает. Цель файрвола как я всегда думал - выдать как можно меньше инфы о компе для того, чтобы минимализировать количество атак. Но вы считаете, что нет необходимости маскировать тот факт, что эти службы работают? Я правильно понял?
P.S.: Мне нечего бояться - у меня всё закрыто. Только интересуюсь, и хочу, чтобы все всё поняли. Спасибо заранее за ответы.
Paul
Последний раз редактировалось XP user; 06.08.2008 в 21:55.
Paul, у меня после отключения ssdp процессор нервничает и прыгает нагрузка в состоянии покоя.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
А как вы её отключили? Universal Plug and Play у вас всё ещё работает, или как?
Когда вы отключаете службы, то тогда надо выйти из Интернета, иначе можно даже BSoD получать...
Paul
Фактов пока нет (см. мой пост номер 108). Интересно
1. воспроизвести данную ситуацию (т.е. убедиться в воспроизводимости),
2. сканировать ПК не в рамках ЛВС с немаршрутизируемыми адресами (KIS автоматом понимает, что это локальная подсеть - это важно), а воспроизведя ситуацию, когда KIS стоит на ПК с Инет-адресом и его сканируют извне. причем сканируют дважды - до установки KIS и после.
Вот тогда можно делать выводы ...
Последний раз редактировалось Зайцев Олег; 06.08.2008 в 20:51.
Я пытался - Corbina не пропускает в Инет даже с установленным КИСом...
Paul
У меня на этот случай есть специальный полигон, воспроизводящий любую мыслимую ситуацию. До выходных я занят одной глобальной задачкой, а вот в выходные устрою испытанияЯ пытался - Corbina не пропускает в Инет даже с установленным КИСом...
Paul
А как быть с локальной сетью провайдера? Там же тоже не всё сладко. Поставить такие локалки в 'Публичную Сеть' в КИСе не помогает, вы хотите сказать?
Там ходят зловреды и трафик не журнализируется со стороны провайдера...
Paul
p2u, в Corbinе есть услуга подключить статический IP адрес, этого достаточно?
Кстати не понятно, почему разработчики не могли протестировать KIS в "полевых условиях". Кстати Олег, в свое время у тебя был хороший тест фаерволов, и если не ошибаюсь позиция была несколько другая.
Нет, попробовал. Не пропускает всё равно.
Paul
Ваши права в разделе
Ответить с цитированием
