Рейтинг межсетевых экранов. Каким брандмауэром Вы пользуетесь?

[aintrust]

...
Outpost -> туповатый ФВ если так рассуждать
...

А как ни рассуждай, но, к примеру, с точки зрения файерволла приложений он вполне туповатый, впрочем это может быть позицией разработчиков: разделить сетевой файерволл и все остальные функции защиты. Да и вообще, строить защиту компьютера только на одном единственном сетевом файерволле абсолютно бесперспективно, это уже даже дети малые понимают.

[aintrust]

пока юзеры будут сидеть под админами, никуда они от спайваря не денутся ))

Пока юзеры будут сидеть под админами (а пока что ничто этому не препятствует, и даже наоборот!), они никуда не денутся от любых видов атак... к сожалению...

[aintrust]

реализация достаточно проста и местами элементарна =)) и даже этим трюком обходится подавляющее большинство современных ФВ. будущее внатуре за системами, контролирующими подгрузку любых драйверов и перехватывающих CreateRemoteThread(), WriteProcessMemory() и прочую байду.

Безусловно... вопрос только в том, должны ли этими "системами, контролирующими подгрузку любых драйверов и перехватывающих... и т.д.", быть фаейрволлы? На самом деле, ответ неоднозначен, как с маркетинговой точки зрения, так и с точки зрения реализации.

[Xen]

Это будут комплексные корпоративные решения.

[aintrust]

Это будут комплексные корпоративные решения.

Хотелось бы, чтобы это было так, чтобы не было никаких конфликтов между отдельными приложениями (модулями) от разных поставщиков... Но, к сожалению, в настоящее время компании, которые собираются писать (или пишут) такие "комплексные решения", как правило специализируются (или специализиролвались до этого) в одной-двух областях компьютерной защиты. Яркий пример этого - новая версия подобного "решения", создаваемого Лабораторией Касперского, т.н. KIS2006. ЛК в основном специализировалась на антивирусной защите (плюс немного на файерволле и антиспаме), в связи с чем сейчас, в процессе написания нового комплексного продукта, испытывает большие трудности, уже приведшие к тому, что процесс разработки сильно затянулся (похоже, уже не менее, чем на полгода), да и, судя по всему, финальный релиз, я уверен, будет содержать большое количество недоработок. И таких примеров, к сожалению, много.

Что в результате? Несмотря на заявляемую "комплексность" решения, все равно сквозит некая однобокость (точнее, гипертрофированность) одних частей (модулей) и недоразвитость других. Грустно...

[Sanja]

Вроде по известной некоторому кругу лиц информации - задержек нету... КИС должен выйти в Сентябре

[aintrust]

Вроде по известной некоторому кругу лиц информации - задержек нету... КИС должен выйти в Сентябре

Какого года, 2006-го, что ли?

Еще даже нет беты, а на календаре 26 августа. По моим сведениям (полученным из официальных источников), выход беты планируется на январь 2006 года, а изначально планировался на июль 2005-го.

edit: Сегодня, 27.08.2005, Николай Гребенников, менеждер продуктов KIS/KAV2006 ЛК, заявил, что предыдущее заявление о выходе беты этих продуктов в январе 2006 года было неверным, и что на самом деле бета ожидается к 1 ноября 2005 года, если, конечно, все будет нормально.

[Geser]

Какого года, 2006-го, что ли?

Еще даже нет беты, а на календаре 26 августа. По моим сведениям (полученным из официальных источников), выход беты планируется на январь 2006 года, а изначально планировался на июль 2005-го.

Пусть лучше наберутся опыта и глюки выловят, и только после этого выпустят продукт. Тормоза и глюки предыдущих версий и так уже привели к тому что половина плюётся услышав слово Касперский
А если КИС будет работать надёжно - будет отличный птодукт. Стенку они вроде подтянули вполне прилично.

[aintrust]

Насчет опыта, глюков и особенно фамилии (и персоны) "Касперский" - вполне согласен, сам такой же! Насчет "отличного продукта" - хотелось бы, конечно, чтобы это было именно так, но пока что (оглядываясь на процесс бета-тестирования) "меня терзают смутные сомнения" в этом, по крайней мере на момент выхода финального релиза. Они действительно пытаются что-то сделать достойное, но, на мой взгляд, пока что их "сильно колбасит" в смысле видения конечного продукта... многовато каких-то неясных шараханий, непродуманных вещей и прочего. Думаю, что к моменту выхода MP1 или MP2 (где-нибудь ближе к концу следующего года) действительно будет на что посмотреть. Впрочем, поживем-увидим.

[SDA]

Кстати по поводу комплексных корпоративных решений, хороший пример 6 версии Zonealarm с ловлей спайваре "В основе ZoneAlarm 6.0 лежит новая технология изучения поведения программ которая не позволит шпионскому ПО обосноваться на компьютере. Вместо того, чтобы периодически сканировать ПК на наличие инфекций уже после того, как они причинили ущерб, ZoneAlarm 6.0 предлагает новый механизм защиты OSFirewall, гарантирующий постоянную безопасность ПК. Этот межсетевой экран (МСЭ) на уровне ядра выявляет подозрительные действия, затрагивающие операционную систему, программы и файлы, и блокирует разрушительные программы. В дополнение к превентивной технологии, ZoneAlarm 6.0 использует новое интеллектуальное решение для борьбы со шпионским ПО, а также динамическую службу с нулевым временем реакции DefenseNet, которая опирается на сообщество из миллионов пользователей ZoneAlarm для заблаговременной защиты от атак нового типа." Глюков и тормозов хоть отбавляй, хотя уже не бэта а релиз. Так что сижу на 5 версии без антивируса, стенка работает прекрасно а антивирусом пользуюсь Каспером, тоже 5. Как говориться "котлеты и мухи отдельно".

[orvman]

Sanja

реализацию показывать небуду

А зря. И на чем же ты тогда опираешься, на простых словах, без реальных фактов?

[Sanja]

1. KIS/KAV beta 1 already relaesed...
2. KIS/KAV beta 2 will be in November
3. теперь все пойдут по этому пути пожоже.. Panda TruPrevent, KAV ProactiveDefense, ZoneAlarm super feature

4. А зря. И на чем же ты тогда опираешься, на простых словах, без реальных фактов?

Мне достаточно того что я ее (реализацию) написал и она работает... я заинтересован в том чтобы ее не блокировали

[aintrust]

1. KIS/KAV beta 1 already relaesed...
2. KIS/KAV beta 2 will be in November
...

Sanja, если вы не в курсе состояния дел с KAV/KIS2006, то, извините, не несите тут откровенную ерунду про какие-то несуществующие беты 1 и 2! Если вы хоть немного умеете читать по-английски и немецки, то посмотрите на ссылки, которые я привел в посте #47 в этой теме! Или просто прочитайте, что вот тут (пост #10) написано! Или возьмите и спросите по-русски непосредственно у Николая Гребенникова (его ник - grnic, впрочем вы и сами все отлично знаете) на форуме бета-тестирования данных продуктов, вот тут!

Ну, ей-богу, вы сами-то верите в то, о чем здесь пишете (это я, в частности, по поводу того, что вы писали пару дней назад, в посте #46, что релиз KIS-а выйдет в сентябре!!!)?

[Sanja]

Зачем мне что-то читать? У меня есть белее надежный канал связи.. как говорится из 1 рук

[aintrust]

Зачем мне что-то читать? У меня есть белее надежный канал связи.. как говорится из 1 рук

No comments...

[orvman]

Sanja

все что на firewallleaktester.net могу зделать copy / paste

Делаю вместо тебя. Не буду описывать все возможности Agnitum Outpost Personal Firewall как фаервола. Скажу вкратце.
Из файла User_Guide_(RU).pdf, скаченного с официального сайта Агнитума.

Outpost Personal Firewall следит за работой не только приложений в целом, но и их компонентов..... Задача функции Контроль компонентов в том, чтобы установить, насколько эти компоненты подлинны и безвредны.

Некоторые сетевые приложения взаимодействуют с сетью не напрямую. Они порождают дочерние процессы, которые действуют от их имени. Это позволяет таким приложениям обходить обычные брандмауэры, так как запущенный таким образом процесс не рассматривается ими как часть приложения и на него не действуют правила безопасности. Более того, этот процесс скрыт от пользователя так что нет возможности следить за его действиями. С одной стороны, эта технология используется обычными приложениями (например, Internet Explorer) для выполнения стандартных операций (таких как проверка наличия обновлений) с более дружественным интерфейсом. С другой, злонамеренные программы могут воспользоваться ей, чтобы украсть личную информацию с компьютера пользователя или совершить другие зловредные действия. Outpost Firewall позволяет Вам контролировать скрытые процессы и процессы, запущенные от имени доверенных приложений, чтобы предотвратить их неподобающие действия.

Некоторые «троянские кони» и вирусы используют сложные технические приемы, позволяющие им изменять код доверенных приложений, запущенных в памяти, и обходить таким образом защиту системы и совершать злонамеренные действия. Эта технология известна как внедрение кода. Outpost Firewall контролирует функции, которые могут быть использованы для внедрения злонамеренного кода в адресное пространство доверенных приложений и таким образом предотвращает все подобные попытки.

Итак, поначитались умных фраз разработчиков. Теперь, что имеем на самом деле. Дело в том, что в принцип работы брандмауэров вообще не входит работа и блок сетевого траффика, вызванного изменением и внедрением посторонних кодов и т.д. на локальной машине с брандмауром. Хотя разработчики многих фаеров ведут усиленную работу в этом направлении.
Вернемся к Outpost. В то же самое время Outpost все-таки позволяет контролировать систему благодаря своим нововведениям, которые в большинстве брандмауров отсутствуют либо появятся вообще еще не скоро.

Теперь тестирование с сайта http://www.firewallleaktester.com
1. Outpost Firewall Pro ver. 2.7.492.5421 (416)
2. Антивирусы естественно отключаем.
3. Настройки ОР жесткие, не буду описывать.
Итог:
Из 15 тестов ОР успешно забанил все 15.
Попытки обхода самые разные, нет смысла перечислять механизмы, это можно почитать на самом сайте для каждого отдельно взятого leak-теста.
Уверен, что не все фаеры пройдут такие тесты. Вот поэтому-то я уже давно сижу на Outpost из-за его нововведений, не свойственных другим фаерам.

Sanja, Что скажешь. Есть еще примеры?

[Sanja]

to ovrman

Вы что издеваетесь?

Я ведь не использую какой либо метод с firewallleaktets... я только говорю что он работает против тех файрваллов что представленны на сайте firewallleaktets.

[orvman]

Я ведь не использую какой либо метод с firewallleaktets

Да не, кое о каких ты говорил. А на том сайте представлены довольно интересные тесты обходов

я только говорю что он работает против тех файрваллов что представленны на сайте

Все правильно, а разве ОР туда не входит?

[Sanja]

>А на том сайте представлены довольно интересные тесты обходов
Я в курсе..

>Все правильно, а разве ОР туда не входит?
Входит.. новыдержки из хелпа не применимы к моей технологии... он ловит инжектирование вобще.. но не ловит в данном случае ибо ловить нечем...

[Зайцев Олег]

По поводу OP могу заметить, что можно написать толстую книгу на тему "Outpost и как с ним бороться" Печально, но это правда - и есть тьма троянов, которые это делают. Не далее как сегодня я колупал зверя Trojan-Spy.Win32.Banker.ek (в семействе их множество, аналоги Trojan-Spy.Win32.Banker.ds, Trojan-Spy.Win32.Banker.md ... - они воруют номера кредиток и представляют огромную опасность для пользователя - так вот они совершенно спокойно обходят OP и практически любой другой Firewall - за счет драйвера в KernelMode + руткита UserMode, который устанавливается драйвером во все процессы в ходе их загрузки. OP, как известно, ловит модификацию кода через WriteProcessMemory, а это далеко не единственный метод внедрения ...
Поэтому, имхо, можно сформулировать общее правило, чтобы предотвратить дальнейший спор: если пользователь с персональным Firewall работает с правами админа, то Firewall элементарно нейтрализовать. Методика проста - можно установить свои драйвера/перехватчики/руткиты и творить с системой в целом и Firewall в частности что угодно. А вот если работа идет из под пользователя с ограниченными правами, то тут другое дело. И многие тесты Firewall заточены именно на попытку обмана Firewall без наличия у процесса прав админа ... это важный момент.