Результаты проверки фаервола кис 2009 снаружи

[ALEX(XX)]

- вырубаем IDS и запускаем ххх сканер. Не годится это. Нужно обговорить:

Разве отключение блокировки атакующего это тк уж и вырубание IDS?

[XP user]

@ Umnik

Главные условия были установлены такие: ОС по умолчанию + КИС по умолчанию; убираем детектор атак. Ничего не менять в никаких настройках, и посмотреть что выходит. Сам я, к сожалению, участвовать не мог и не могу - Corbina не пропускает меня в сеть когда установлен КИС.

Никто здесь не говорил, что можно с установленным КИСом легко хакнуть систему. Как именно можно бы это сделать уместно обсудить не здесь.

Моя оценка была такая:
Слишком легко собрать информацию о компьютере, где установлен КИС.

Paul

[Umnik]

Разве отключение блокировки атакующего это тк уж и вырубание IDS?

Я считаю, что нет. А вот costashu считает обратное. Кто прав?

p2u
Понимаю, но делать что-то нужно. Я не считал комп тестя уязвимым в Сети с настройками КИС по-умолчанию (с включенным IDS, конечно). Но в какой-то момент вышеупомянутый коллега меня заразил сомнениями. Моя попытка пробиться с потенциальной проблемой в ЛК результата не принесла. Там мои сомнения не разделяли. Вот я и хочу успокоится, либо впасть в депрессию (шучу, NAT на новом модеме включил ).

[XP user]

Вот я и хочу успокоится

Файрвол должен стоять между вашим компьютером и сетью, иначе он по-любому защищать вас не может. Вывод - это НЕ МОЖЕТ быть программа в системе; это должно быть аппарат. Купите себе раутер, и успокойтесь.
Если это невозможно, то тогда закройте все или почти все возможные порты по моим инструкциям, которые валяются везде по Инету.

Paul

[Umnik]

Я считаю, что нет. А вот costashu считает обратное. Кто прав?

Простите, облажался. Не правильно понял фразу. Отключение блока не есть отключение IDS. Но топикстартер настаивает на его полном отключении. Т.е. хочет проверить не фаервол целиком, а его важнейшую часть - пакетные правила.

Добавлено через 2 минуты

Файрвол должен стоять между вашим компьютером и сетью, иначе он по-любому защищать вас не может. Вывод - это НЕ МОЖЕТ быть программа в системе; это должно быть аппарат. Купите себе раутер, и успокойтесь.
Paul

Паул, Вы невнимательно прочитали мой предыдущий пост

[XP user]

Паул, Вы невнимательно прочитали мой предыдущий пост

Не знаю. Какую часть именно? Я сделал всего общее заявление о том, что я думаю про программные файрволы - они НЕ МОГУТ дать по определению того, что обещают их производители, какой бы ни стоял крутой детектор атак. Так сеть не работает, увы, и так Windows тем более не работает, особенно если ещё и поставить (по умолчанию) всё из Редмонда в 'Доверенные'...

Paul

[ALEX(XX)]

Простите, облажался. Не правильно понял фразу. Отключение блока не есть отключение IDS.

Вот, а я как раз просто отключил блокировку атакующего. Сканировал виртуалку. К сожалению, та реальная машина которую я выделил для эксперимента, пока что занята под реализацию другого проекта, но вот-вот освободится. Мне самому интересно проверить на реальной машине.

[costashu]

Попробуйте почитать внимательнее описание уязвимости.

1. Затронутые уязвимостью операционные системы не совместимы с KIS, за прошедшие почти 6 лет с момента обнаружения проблемы многое изменилось.

2. Фаервол KIS использует фильтрацию соединений, даже если переделать KIS под NT 4 он будет отлавливать попытки соединения с FIN флагом.

2. ?
1. ?
я прочитал внимательно

Я сам хочу, чтобы все было хорошо. Но, коллеги, ведь даже методики проверки здесь нет. Каждый тестирует так, как считает правильным. При этом есть только общие наброски - вырубаем IDS и запускаем ххх сканер. Не годится это. Нужно обговорить:
1. Тип соединения
2. Отсутствие любых устройств, которые могу "помочь пользователю"
3. Отсутствие любых программных потенциально-несовместимых фильтров, счетчиков, фаерволов и т.п. Неактивные - это не значит, что не работают. Т.к. есть драйверы и NDIS-фильтры.
4. Настройка KIS. Проверяется не фаервол, а его основная составляющая - пакетные правила по умолчанию.
5. Фактическое использование найденных брешей. Допустим, пользователь выключит IDS или установит p2p-соединение. Как это поможет злоумышленнику? Т.е. хотя бы telnet.

мы все хотим хорошо. Иначе зачем сюда писать? За следующие несколько постов вы здесь выяснили, что именно я отключал. Уточню и я - ВСЁ! Но результаты подаю с отключенной ТОЛЬКО блокировкой атакующего компа. Надеюсь, это корректно

я в своих постах как-раз и пытался предложить и отработать методику проверки фаеров снаружи (не только кис, конечно), тем более что ЛК начала отрицать правомерность существующих онлайн тестов (ссылы давать? ). Давайте уже обсуждать и принимать согласованные решения. Я ЗА. Поэтому, в частности, процитировал ваш пост целиком

какие есть ко мне еще вопросы? Доставьте удовольствие ответить

[Umnik]

Не знаю. Какую часть именно? Я сделал всего общее заявление о том, что я думаю про программные файрволы - они НЕ МОГУТ дать по определению того, что обещают их производители, какой бы ни стоял крутой детектор атак. Так сеть не работает, увы, и так Windows тем более не работает, особенно если ещё и поставить (по умолчанию) всё из Редмонда в 'Доверенные'...

Paul

Я там неявно сказал, что уже использую аппаратные средства.

Добавлено через 2 минуты

cut

Он-лайн тесты и я ставлю под сомнения. Методики не изменялись уже несколько лет, каждый он-лайн тест говорит свое. Потому доверяю только матусеку в этой области. Ладно, коллега, предлагаю в ближайшее время пересечься в асе и обговорить методику. Как Вы на это смотрите?

[XP user]

Я там неявно сказал, что уже использую аппаратные средства

NAT на новом модеме включил

Пропустил, простите.

Paul

[costashu]

Он-лайн тесты и я ставлю под сомнения. Методики не изменялись уже несколько лет, каждый он-лайн тест говорит свое.

за эти годы количество портов не изменилось, как и количество их состояний, не так ли?

Потому доверяю только матусеку в этой области.

мне здается, у него как раз другая область. Хотя онлайн nmap вроде тоже теперь под ним, а?

Ладно, коллега, предлагаю в ближайшее время пересечься в асе и обговорить методику. Как Вы на это смотрите?

лучше здесь. Может получиться методика проверки фаеров снаружи. Хотя дополнительно можно и в асе

[Umnik]

за эти годы количество портов не изменилось, как и количество их состояний, не так ли?

Я не могу сейчас сформулировать претензию. Если получится - отпишу

мне здается, у него как раз другая область. Хотя онлайн nmap вроде тоже теперь под ним, а?

Изучу подробнее на досуге.

лучше здесь. Может получиться методика проверки фаеров снаружи. Хотя дополнительно можно и в асе

Хорошо.

[supaplex]

раньше ведь как:
Сканируешь порты, там тебе и ftp и http и нетбиос, коннектишься через десяток проксей в разных часовых поясах, узнаешь, что за приложение, версию, смотришь по базе эксплоитов что есть уязвимого, эксплотируешь и ты внутри

Сейчас уже не так, проникновения через подключение извне по IP и эксплотаця уязвимого приложения даже на серверах встречается редко. Сканирование портов почти ничего не дает, ну открыт тебе netbios в самом лучшем случае если фаервола вообще нет, все равно если пароль не стоит 123 то, увы, все залатали в netbios, подбирайте пароль 10 лет...

Вот и остается только трояна подбросить по почте или еще как-то. И тогда он уже тебе и пароль пришлет, и защиту отключит.

Онлайн тестов которые пытаются подключиться к определенному приложению мало. Которые пытаются эксплотировать еще меньше- слишком специфично.

Я там неявно сказал, что уже использую аппаратные средства.
Он-лайн тесты и я ставлю под сомнения. Методики не изменялись уже несколько лет, каждый он-лайн тест говорит свое. Потому доверяю только матусеку в этой области. Ладно, коллега, предлагаю в ближайшее время пересечься в асе и обговорить методику. Как Вы на это смотрите?

[costashu]

раньше ведь как:
Сканируешь порты, там тебе и ftp и http и нетбиос, коннектишься через десяток проксей в разных часовых поясах, узнаешь, что за приложение, версию, смотришь по базе эксплоитов что есть уязвимого, эксплотируешь и ты внутри

Сейчас уже не так, проникновения через подключение извне по IP и эксплотаця уязвимого приложения даже на серверах встречается редко. Сканирование портов почти ничего не дает, ну открыт тебе netbios в самом лучшем случае если фаервола вообще нет, все равно если пароль не стоит 123 то, увы, все залатали в netbios, подбирайте пароль 10 лет...

Вот и остается только трояна подбросить по почте или еще как-то. И тогда он уже тебе и пароль пришлет, и защиту отключит.

Онлайн тестов которые пытаются подключиться к определенному приложению мало. Которые пытаются эксплотировать еще меньше- слишком специфично.

и эти безответственные (говоря очень мягко) заявления делает разработчик ЛК сетевого экрана? Может быть он же автор этого забавного сочинения? - Продукты Лаборатории Касперского версии 2009 и тесты на сайте www.pcflank.com

[Зайцев Олег]

и эти безответственные (говоря очень мягко) заявления делает разработчик ЛК сетевого экрана? Может быть он же автор этого забавного сочинения? - Продукты Лаборатории Касперского версии 2009 и тесты на сайте www.pcflank.com

А собственно что там забавного, ибо:
1. ну открыт скажем порт 21, и что с того ?! Если его не прослушивает уязвимое приложение, то ничего страшного не случится;
2. Если на ПК юзера подняты такие вещи, как WEB/FTP сервер и т.п., то это уже не ПК юзера, в сервер ... и одно из двух - или нужно остановить потенциально опасные службы, или обеспечивать их защиту особыми средствами

[Geser]

раньше ведь как:
Сканируешь порты, там тебе и ftp и http и нетбиос, коннектишься через десяток проксей в разных часовых поясах, узнаешь, что за приложение, версию, смотришь по базе эксплоитов что есть уязвимого, эксплотируешь и ты внутри

Сейчас уже не так, проникновения через подключение извне по IP и эксплотаця уязвимого приложения даже на серверах встречается редко. Сканирование портов почти ничего не дает, ну открыт тебе netbios в самом лучшем случае если фаервола вообще нет, все равно если пароль не стоит 123 то, увы, все залатали в netbios, подбирайте пароль 10 лет...

Вот и остается только трояна подбросить по почте или еще как-то. И тогда он уже тебе и пароль пришлет, и защиту отключит.

Онлайн тестов которые пытаются подключиться к определенному приложению мало. Которые пытаются эксплотировать еще меньше- слишком специфично.

А почему бы просто не отбрасывать все пакеты адресованные портам с которыми не работают доверенные приложения? И все будут давольны.

[supaplex]

ну так они и отбрасываются, просто уровнем выше.

А почему бы просто не отбрасывать все пакеты адресованные портам с которыми не работают доверенные приложения? И все будут давольны.

[DVi]

2. ?
1. ?

и эти безответственные (говоря очень мягко) заявления делает разработчик ЛК сетевого экрана? Может быть он же автор этого забавного сочинения? - Продукты Лаборатории Касперского версии 2009 и тесты на сайте www.pcflank.com

costashu, отбросьте эмоции в сторону и еще раз внимательно прочтите, что Вам написал supaplex. И подумайте над своими словами - вероятно, не следует так активно показывать свою некомпетентность. Иначе Вас перестанут воспринимать всерьез.
Удачи.

[Geser]

ну так они и отбрасываются, просто уровнем выше.

В смысле уже самой Windows?

[costashu]

А собственно что там забавного

это:

Дело в том, что несколько лет назад в сетевых экранах защита была организована на уровне фильтрации пакетов, а перечисленные выше порты использовались хакерами и вирусописателями для проникновения на компьютер пользователя. Это означает, что любая программа (в том числе троянские и прочие вредоносные программы) могла принимать соединение по данному открытому порту.

В настоящее время хакеры и вирусописатели используют отличные от вышеперечисленных порты для проникновения на компьютер пользователя, а сетевые экраны работают в первую очередь на уровне приложений, а в качестве дополнения предоставляется возможность отключать определенные порты на уровне фильтрации пакетов. Таким образом, пользователь при помощи Режима обучения может выбрать сам разрешать или запрещать сетевую активность конкретному приложению и\или вручную запретить все входящие\исходящие пакеты для конкретного порта.

Таким образом, представленные на вебсайте www.pcflank.com тесты проверяют компьютер только на наличие открытых портов. Причем открытыми, данные тесты "считают" даже те порты, при попытке соединения на которые им возвращается сообщение о том, что порт закрыт. Т.е соединение контролируется сетевым экраном или в данный момент нет приложения, которое принимает соединения на этот порт. Наличие таких "открытых" портов не является показателем уязвимости компьютера в течение последних нескольких лет.

1. ну открыт скажем порт 21, и что с того ?! Если его не прослушивает уязвимое приложение, то ничего страшного не случится;

совершенно справедливо - ничего, если. Это существенное слово

2. Если на ПК юзера подняты такие вещи, как WEB/FTP сервер и т.п., то это уже не ПК юзера, в сервер ... и одно из двух - или нужно остановить потенциально опасные службы, или обеспечивать их защиту особыми средствами

совершенно справедливо. Но почему вы сейчас пишете об этом?

Добавлено через 6 минут

costashu, отбросьте эмоции в сторону и еще раз внимательно прочтите, что Вам написал supaplex. И подумайте над своими словами - вероятно, не следует так активно показывать свою некомпетентность. Иначе Вас перестанут воспринимать всерьез.
Удачи.

никаких эмоций. Внимательно прочитал уже много раз, включая указанную статью. Подумал над своими словами несколько раз прежде, чем послать в форум. Поэтому очень прошу вас показать мне (и другим) мою некомпетентность - конечно, убедительным способом. О своей компетентности, кстати, я и не заявлял. Буду только благодарен вам за образование

специальное дополнение - должен сообщить, что последний час не мог открыть страницу форума для ответа. Хотя любые другие страницы открывались исправно, а также приходили уведомления об ответах с этого форума. Спасибо!