-
Сообщение от
Umnik
- вырубаем IDS и запускаем ххх сканер. Не годится это. Нужно обговорить:
Разве отключение блокировки атакующего это тк уж и вырубание IDS?
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
@ Umnik
Главные условия были установлены такие: ОС по умолчанию + КИС по умолчанию; убираем детектор атак. Ничего не менять в никаких настройках, и посмотреть что выходит. Сам я, к сожалению, участвовать не мог и не могу - Corbina не пропускает меня в сеть когда установлен КИС.
Никто здесь не говорил, что можно с установленным КИСом легко хакнуть систему. Как именно можно бы это сделать уместно обсудить не здесь.
Моя оценка была такая:
Слишком легко собрать информацию о компьютере, где установлен КИС.
Paul
-
Сообщение от
ALEX(XX)
Разве отключение блокировки атакующего это тк уж и вырубание IDS?
Я считаю, что нет. А вот costashu считает обратное. Кто прав?
p2u
Понимаю, но делать что-то нужно. Я не считал комп тестя уязвимым в Сети с настройками КИС по-умолчанию (с включенным IDS, конечно). Но в какой-то момент вышеупомянутый коллега меня заразил сомнениями. Моя попытка пробиться с потенциальной проблемой в ЛК результата не принесла. Там мои сомнения не разделяли. Вот я и хочу успокоится, либо впасть в депрессию (шучу, NAT на новом модеме включил ).
-
Сообщение от
Umnik
Вот я и хочу успокоится
Файрвол должен стоять между вашим компьютером и сетью, иначе он по-любому защищать вас не может. Вывод - это НЕ МОЖЕТ быть программа в системе; это должно быть аппарат. Купите себе раутер, и успокойтесь.
Если это невозможно, то тогда закройте все или почти все возможные порты по моим инструкциям, которые валяются везде по Инету.
Paul
-
Сообщение от
Umnik
Я считаю, что нет. А вот costashu считает обратное. Кто прав?
Простите, облажался. Не правильно понял фразу. Отключение блока не есть отключение IDS. Но топикстартер настаивает на его полном отключении. Т.е. хочет проверить не фаервол целиком, а его важнейшую часть - пакетные правила.
Добавлено через 2 минуты
Сообщение от
p2u
Файрвол должен стоять между вашим компьютером и сетью, иначе он по-любому защищать вас не может. Вывод - это НЕ МОЖЕТ быть программа в системе; это должно быть аппарат. Купите себе раутер, и успокойтесь.
Paul
Паул, Вы невнимательно прочитали мой предыдущий пост
Последний раз редактировалось Umnik; 04.08.2008 в 21:57.
Причина: Добавлено
-
Сообщение от
Umnik
Паул, Вы невнимательно прочитали мой предыдущий пост
Не знаю. Какую часть именно? Я сделал всего общее заявление о том, что я думаю про программные файрволы - они НЕ МОГУТ дать по определению того, что обещают их производители, какой бы ни стоял крутой детектор атак. Так сеть не работает, увы, и так Windows тем более не работает, особенно если ещё и поставить (по умолчанию) всё из Редмонда в 'Доверенные'...
Paul
Последний раз редактировалось XP user; 04.08.2008 в 22:41.
-
Сообщение от
Umnik
Простите, облажался. Не правильно понял фразу. Отключение блока не есть отключение IDS.
Вот, а я как раз просто отключил блокировку атакующего. Сканировал виртуалку. К сожалению, та реальная машина которую я выделил для эксперимента, пока что занята под реализацию другого проекта, но вот-вот освободится. Мне самому интересно проверить на реальной машине.
Left home for a few days and look what happens...
-
-
Сообщение от
supaplex
Попробуйте почитать внимательнее описание уязвимости.
1. Затронутые уязвимостью операционные системы не совместимы с KIS, за прошедшие почти 6 лет с момента обнаружения проблемы многое изменилось.
2. Фаервол KIS использует фильтрацию соединений, даже если переделать KIS под NT 4 он будет отлавливать попытки соединения с FIN флагом.
2. ?
1. ?
я прочитал внимательно
Сообщение от
Umnik
Я сам хочу, чтобы все было хорошо. Но, коллеги, ведь даже методики проверки здесь нет. Каждый тестирует так, как считает правильным. При этом есть только общие наброски - вырубаем IDS и запускаем ххх сканер. Не годится это. Нужно обговорить:
1. Тип соединения
2. Отсутствие любых устройств, которые могу "помочь пользователю"
3. Отсутствие любых программных потенциально-несовместимых фильтров, счетчиков, фаерволов и т.п. Неактивные - это не значит, что не работают. Т.к. есть драйверы и NDIS-фильтры.
4. Настройка KIS. Проверяется не фаервол, а его основная составляющая - пакетные правила по умолчанию.
5. Фактическое использование найденных брешей. Допустим, пользователь выключит IDS или установит p2p-соединение. Как это поможет злоумышленнику? Т.е. хотя бы telnet.
мы все хотим хорошо. Иначе зачем сюда писать? За следующие несколько постов вы здесь выяснили, что именно я отключал. Уточню и я - ВСЁ! Но результаты подаю с отключенной ТОЛЬКО блокировкой атакующего компа. Надеюсь, это корректно
я в своих постах как-раз и пытался предложить и отработать методику проверки фаеров снаружи (не только кис, конечно), тем более что ЛК начала отрицать правомерность существующих онлайн тестов (ссылы давать? ). Давайте уже обсуждать и принимать согласованные решения. Я ЗА. Поэтому, в частности, процитировал ваш пост целиком
какие есть ко мне еще вопросы? Доставьте удовольствие ответить
Последний раз редактировалось costashu; 05.08.2008 в 00:59.
-
Сообщение от
p2u
Не знаю. Какую часть именно? Я сделал всего общее заявление о том, что я думаю про программные файрволы - они НЕ МОГУТ дать по определению того, что обещают их производители, какой бы ни стоял крутой детектор атак. Так сеть не работает, увы, и так Windows тем более не работает, особенно если ещё и поставить (по умолчанию) всё из Редмонда в 'Доверенные'...
Paul
Я там неявно сказал, что уже использую аппаратные средства.
Добавлено через 2 минуты
Сообщение от
costashu
cut
Он-лайн тесты и я ставлю под сомнения. Методики не изменялись уже несколько лет, каждый он-лайн тест говорит свое. Потому доверяю только матусеку в этой области. Ладно, коллега, предлагаю в ближайшее время пересечься в асе и обговорить методику. Как Вы на это смотрите?
Последний раз редактировалось Umnik; 05.08.2008 в 08:50.
Причина: Добавлено
-
Сообщение от
Umnik
Я там неявно сказал, что уже использую аппаратные средства
NAT на новом модеме включил
Пропустил, простите.
Paul
-
Сообщение от
Umnik
Он-лайн тесты и я ставлю под сомнения. Методики не изменялись уже несколько лет, каждый он-лайн тест говорит свое.
за эти годы количество портов не изменилось, как и количество их состояний, не так ли?
Потому доверяю только матусеку в этой области.
мне здается, у него как раз другая область. Хотя онлайн nmap вроде тоже теперь под ним, а?
Ладно, коллега, предлагаю в ближайшее время пересечься в асе и обговорить методику. Как Вы на это смотрите?
лучше здесь. Может получиться методика проверки фаеров снаружи. Хотя дополнительно можно и в асе
-
Сообщение от
costashu
за эти годы количество портов не изменилось, как и количество их состояний, не так ли?
Я не могу сейчас сформулировать претензию. Если получится - отпишу
Сообщение от
costashu
мне здается, у него как раз другая область. Хотя онлайн nmap вроде тоже теперь под ним, а?
Изучу подробнее на досуге.
Сообщение от
costashu
лучше здесь. Может получиться методика проверки фаеров снаружи. Хотя дополнительно можно и в асе
Хорошо.
-
раньше ведь как:
Сканируешь порты, там тебе и ftp и http и нетбиос, коннектишься через десяток проксей в разных часовых поясах, узнаешь, что за приложение, версию, смотришь по базе эксплоитов что есть уязвимого, эксплотируешь и ты внутри
Сейчас уже не так, проникновения через подключение извне по IP и эксплотаця уязвимого приложения даже на серверах встречается редко. Сканирование портов почти ничего не дает, ну открыт тебе netbios в самом лучшем случае если фаервола вообще нет, все равно если пароль не стоит 123 то, увы, все залатали в netbios, подбирайте пароль 10 лет...
Вот и остается только трояна подбросить по почте или еще как-то. И тогда он уже тебе и пароль пришлет, и защиту отключит.
Онлайн тестов которые пытаются подключиться к определенному приложению мало. Которые пытаются эксплотировать еще меньше- слишком специфично.
Сообщение от
Umnik
Я там неявно сказал, что уже использую аппаратные средства.
Он-лайн тесты и я ставлю под сомнения. Методики не изменялись уже несколько лет, каждый он-лайн тест говорит свое. Потому доверяю только матусеку в этой области. Ладно, коллега, предлагаю в ближайшее время пересечься в асе и обговорить методику. Как Вы на это смотрите?
-
Сообщение от
supaplex
раньше ведь как:
Сканируешь порты, там тебе и ftp и http и нетбиос, коннектишься через десяток проксей в разных часовых поясах, узнаешь, что за приложение, версию, смотришь по базе эксплоитов что есть уязвимого, эксплотируешь и ты внутри
Сейчас уже не так, проникновения через подключение извне по IP и эксплотаця уязвимого приложения даже на серверах встречается редко. Сканирование портов почти ничего не дает, ну открыт тебе netbios в самом лучшем случае если фаервола вообще нет, все равно если пароль не стоит 123 то, увы, все залатали в netbios, подбирайте пароль 10 лет...
Вот и остается только трояна подбросить по почте или еще как-то. И тогда он уже тебе и пароль пришлет, и защиту отключит.
Онлайн тестов которые пытаются подключиться к определенному приложению мало. Которые пытаются эксплотировать еще меньше- слишком специфично.
и эти безответственные (говоря очень мягко) заявления делает разработчик ЛК сетевого экрана? Может быть он же автор этого забавного сочинения? - Продукты Лаборатории Касперского версии 2009 и тесты на сайте www.pcflank.com
-
Сообщение от
costashu
А собственно что там забавного, ибо:
1. ну открыт скажем порт 21, и что с того ?! Если его не прослушивает уязвимое приложение, то ничего страшного не случится;
2. Если на ПК юзера подняты такие вещи, как WEB/FTP сервер и т.п., то это уже не ПК юзера, в сервер ... и одно из двух - или нужно остановить потенциально опасные службы, или обеспечивать их защиту особыми средствами
-
-
Сообщение от
supaplex
раньше ведь как:
Сканируешь порты, там тебе и ftp и http и нетбиос, коннектишься через десяток проксей в разных часовых поясах, узнаешь, что за приложение, версию, смотришь по базе эксплоитов что есть уязвимого, эксплотируешь и ты внутри
Сейчас уже не так, проникновения через подключение извне по IP и эксплотаця уязвимого приложения даже на серверах встречается редко. Сканирование портов почти ничего не дает, ну открыт тебе netbios в самом лучшем случае если фаервола вообще нет, все равно если пароль не стоит 123 то, увы, все залатали в netbios, подбирайте пароль 10 лет...
Вот и остается только трояна подбросить по почте или еще как-то. И тогда он уже тебе и пароль пришлет, и защиту отключит.
Онлайн тестов которые пытаются подключиться к определенному приложению мало. Которые пытаются эксплотировать еще меньше- слишком специфично.
А почему бы просто не отбрасывать все пакеты адресованные портам с которыми не работают доверенные приложения? И все будут давольны.
-
-
ну так они и отбрасываются, просто уровнем выше.
Сообщение от
Geser
А почему бы просто не отбрасывать все пакеты адресованные портам с которыми не работают доверенные приложения? И все будут давольны.
-
Сообщение от
costashu
2. ?
1. ?
Сообщение от
costashu
costashu, отбросьте эмоции в сторону и еще раз внимательно прочтите, что Вам написал supaplex. И подумайте над своими словами - вероятно, не следует так активно показывать свою некомпетентность. Иначе Вас перестанут воспринимать всерьез.
Удачи.
-
-
Сообщение от
supaplex
ну так они и отбрасываются, просто уровнем выше.
В смысле уже самой Windows?
-
-
Сообщение от
Зайцев Олег
А собственно что там забавного
это:
Дело в том, что несколько лет назад в сетевых экранах защита была организована на уровне фильтрации пакетов, а перечисленные выше порты использовались хакерами и вирусописателями для проникновения на компьютер пользователя. Это означает, что любая программа (в том числе троянские и прочие вредоносные программы) могла принимать соединение по данному открытому порту.
В настоящее время хакеры и вирусописатели используют отличные от вышеперечисленных порты для проникновения на компьютер пользователя, а сетевые экраны работают в первую очередь на уровне приложений, а в качестве дополнения предоставляется возможность отключать определенные порты на уровне фильтрации пакетов. Таким образом, пользователь при помощи Режима обучения может выбрать сам разрешать или запрещать сетевую активность конкретному приложению и\или вручную запретить все входящие\исходящие пакеты для конкретного порта.
Таким образом, представленные на вебсайте
www.pcflank.com тесты проверяют компьютер только на наличие открытых портов. Причем открытыми, данные тесты "считают" даже те порты, при попытке соединения на которые им возвращается сообщение о том, что порт закрыт. Т.е соединение контролируется сетевым экраном или в данный момент нет приложения, которое принимает соединения на этот порт. Наличие таких "открытых" портов не является показателем уязвимости компьютера в течение последних нескольких лет.
1. ну открыт скажем порт 21, и что с того ?! Если его не прослушивает уязвимое приложение, то ничего страшного не случится;
совершенно справедливо - ничего, если. Это существенное слово
2. Если на ПК юзера подняты такие вещи, как WEB/FTP сервер и т.п., то это уже не ПК юзера, в сервер ... и одно из двух - или нужно остановить потенциально опасные службы, или обеспечивать их защиту особыми средствами
совершенно справедливо. Но почему вы сейчас пишете об этом?
Добавлено через 6 минут
Сообщение от
DVi
costashu, отбросьте эмоции в сторону и еще раз внимательно прочтите, что Вам написал supaplex. И подумайте над своими словами - вероятно, не следует так активно показывать свою некомпетентность. Иначе Вас перестанут воспринимать всерьез.
Удачи.
никаких эмоций. Внимательно прочитал уже много раз, включая указанную статью. Подумал над своими словами несколько раз прежде, чем послать в форум. Поэтому очень прошу вас показать мне (и другим) мою некомпетентность - конечно, убедительным способом. О своей компетентности, кстати, я и не заявлял. Буду только благодарен вам за образование
специальное дополнение - должен сообщить, что последний час не мог открыть страницу форума для ответа. Хотя любые другие страницы открывались исправно, а также приходили уведомления об ответах с этого форума. Спасибо!
Последний раз редактировалось costashu; 06.08.2008 в 14:13.
Причина: Добавлено