Firewall + HIPS

[liver]

Странно! Аз мога 100 пъти да инсталирам и деинсталирам PCTools без никакъв проблем. Със сигурност имаш "нещо", което и пречи. При мен преди време имаше подобен проблем със Касперски- нещеше да се инсталира. Все даваше, че открива присъствието на McAfee, а нея отдава я нямаше и беше почистено тотално всичко. В същото време всякакви други антивируси се инсталирахваха без проблем. така, че със сигурност имаш някакви процеси, които не и допадат!

между другото- доволен ли си от Outpost Free, товари ли процесор, РАМ?

Двата процеса на outpost firewall pro заемат 44мб общо.op_mon-3600kb\acs.exe-41400kb.На cpu показва винаги 0%.Kато настройки съм ги оставил на дефолт,тъй като все още не знам,ако дам allow на някой процес изцяло,дори той бил и безопасен сам по себе си,не знам той каква дупка може да отвори сигурността и затова така.Например за всяка програма като скайп,vista rainbar,tv players ме пита по няколко пъти какво да направи +няколко допълнителни опции.То е ясно,че са читави програми,но при освобождаване на някоя оттях,не знам каква дупка ще отвори в сигурността.Струва ми се,че трудно е не да се научи как да се ползва един firewall,то си е програма като всяка,пише си всичко,а да се знаят процесите на уина и програмите до най-малка подробност.Всеки процес,който се стартира за какво отговаря и освобождаването му какво може да отвори като дупки в сигурността.Както и сървисите.Спирането или пускането на някой каво запушва или отваря и т.н.

[The Graverobber]

имах подобен проблем - преди известно време си бях инсталирал аваст и след премахването му беше останал ключ в регистратурата, които трябваше да изтрия ръчно (никоя почистваща програма не успя да го махне) и едва тогава съобщението при инсталацията на нод за съществуваща вече програма се махна. виж в регедит може да е останал такъв ключ и да прави проблем

[S235]

Двата процеса на outpost firewall pro заемат 44мб общо.op_mon-3600kb\acs.exe-41400kb.На cpu показва винаги 0%.Kато настройки съм ги оставил на дефолт,тъй като все още не знам,ако дам allow на някой процес изцяло,дори той бил и безопасен сам по себе си,не знам той каква дупка може да отвори сигурността и затова така.Например за всяка програма като скайп,vista rainbar,tv players ме пита по няколко пъти какво да направи +няколко допълнителни опции.То е ясно,че са читави програми,но при освобождаване на някоя оттях,не знам каква дупка ще отвори в сигурността.Струва ми се,че трудно е не да се научи как да се ползва един firewall,то си е програма като всяка,пише си всичко,а да се знаят процесите на уина и програмите до най-малка подробност.Всеки процес,който се стартира за какво отговаря и освобождаването му какво може да отвори като дупки в сигурността.Както и сървисите.Спирането или пускането на някой каво запушва или отваря и т.н.

Мен две неща ме спират да пробвам Oytpost Free:

1. Мисля, че е тежка, каквито бяха предните платени версии на програмата. Много се нервя, когато програма за защита ми "тежи".

2. Липсата на руски интерфейс. От английския доста неща не разбирам какво пише,а това не е приемливо, а и не ми се занимава изобщо с английски.

Значи казваш- не се усеща забавяне на системата? все ми се струва, че с тази програма май не е съвсем така!

[liver]

имах подобен проблем - преди известно време си бях инсталирал аваст и след премахването му беше останал ключ в регистратурата, които трябваше да изтрия ръчно (никоя почистваща програма не успя да го махне) и едва тогава съобщението при инсталацията на нод за съществуваща вече програма се махна. виж в регедит може да е останал такъв ключ и да прави проблем

Пробвал съм и това.Също и като първа програма съм я слагал,а не след деинсталация на друга такава

S235 Оutpost-а си има и руски.Ето http://www.pic-bg.net/files/btswra3cxct7yotww3pfhby8cmn1eve5fbikxnkd_thumb.jpg

За тежка...нямам голяма база за сравнение.Никога не съм ползвал допълнителен firеwall и не съм запознат.С изключение на comodo и pctools,но това не се смята-първата я ползвах точно 30 минути.Бавеше малко зареждането на страниците и отварянето на приложения,а аз съм свикнал да нямам време да примигна като се опитам да отворя нещо,а не да чакам.За втората,по-горе казах защо.И така...

[S235]

S235 Оutpost-а си има и руски.

Хм? за новата Free версията ли ми говориш? мисля, че точно тя- няма.

[Night_Raven]

Безплатната версия на Outpost Firewall е само в английски вариант.

[liver]

http://www.pic-bg.net/files/8pv9gq1nd6iodhl9jax6xqltmrjftxmd5h7fcqop_thumb.jpg Доста често ми излизат подобни събщения от skype.Не ми е ясно за какво става въпрос.Ако им дам достъп дали е рисковано,а ако ги отрежа да не ми блокират нещо на скайп.Някой,ако може да ми обясни.Също да поясня,че като инсталирах скайпа не му разреших да инсталира,онази глупост с екстрите,която до колкото знам,освен че яде ресурси,е дупка в сигурността.

[tanganika]

http://www.pic-bg.net/files/8pv9gq1nd6iodhl9jax6xqltmrjftxmd5h7fcqop_thumb.jpg Доста често ми излизат подобни събщения от skype.Не ми е ясно за какво става въпрос.Ако им дам достъп дали е рисковано,а ако ги отрежа да не ми блокират нещо на скайп.Някой,ако може да ми обясни.Също да поясня,че като инсталирах скайпа не му разреших да инсталира,онази глупост с екстрите,която до колкото знам,освен че яде ресурси,е дупка в сигурността.

Оставяш стената да си създаде правилата и след това блокираш/ограничаваш всичко това.

 

http://www.plaatjesupload.nl/bekijk/2009/05/11/1242058961-210.jpg

 

Същото може да направиш с браузъра и с доста други приложения които имат достъп до нета.Експерементирай,ако блокираш нещо триеш правилото и започваш отново.

[liver]

Оставяш стената да си създаде правилата и след това блокираш/ограничаваш всичко това.

 

http://www.plaatjesupload.nl/bekijk/2009/05/11/1242058961-210.jpg

 

Същото може да направиш с браузъра и с доста други приложения които имат достъп до нета.Експерементирай,ако блокираш нещо триеш правилото и започваш отново.

До колкото разбирам,това е функция,която предотвратява изтичането на данни.Засега работят след като им зададох block на всичко в anti-leak(скайпа и операта)..Пълната версия има доста неща за настройване.

[damto]

Никой не те и кара да ги търпиш. Аз съм честен и откровен. Мразя хора, които се вглъбяват в нещо и го хвалят/защитават, без да се интересуват доколко реално добро е, сякаш то е единственото качествено нещо в категорията си и всички останали продукти са боклуци. Такива хора често прибягват до по-остри коментари и лични нападки към фенове на други продукти. Това е пълна липса на обективност, а такава пристрастност според мен няма място в деликатна сфера, каквато е сигурността на една компютърна система.

 

Да си прочел тук някъде,че аз хваля ползваният от мене продукт,както ти казваш цитирам:

 

Мразя хора, които се вглъбяват в нещо и го хвалят/защитават, без да се интересуват доколко реално добро е, сякаш то е единственото качествено нещо в категорията си и всички останали продукти са боклуци.

 

Според прочетено твое чнение е добър продукт редом с този на Есет.

 

Да си видял някой да напада ползваният от хиляди хора продукт и да го нарича как ли не...пак цитирам:

 

Не се препоръчва ползването само на HIPS поради финансови изгоди за Kaspersky Lab.

Ти би ли рязал клона на който седиш ?

Малко по-надолу беше написано че е възможно и само с HIPS,но потребителя трябва да е наясно с материята,а всяко нещо си има цена.

Касперски има HIPS,но не е от най-добрите на 9-то място в тестовете на „matousec” ако обаче го сравнявам с този на AntiHook и ProcessGuard отива на още по-ниско ниво.

Не оплювам Касперски само ме дразни арогантното поведение на касперци,които се опитват да убедят ползвателите че продукта им е мислещ (сигурно си вярват че може и шах да играе).Дори и частично автоматизираните защитни програми са мнооого по-лесни за заобикаляне от зловредния код.

 

Не друг,а касперски пречи на правилното функциониране на инсталираните програми и ОС.

А платените Касперски и ESET пищят на умряло за ъпдейтите на уиндоус,защото сами не могат да се справят.

Тя дава отговор,но не категоричен и начинаещ потребител ще се обърка във вземането на решение.Опитали са се Руснаците да направят нещо но не са го докарали докрай,напълно нормално.

То оставаше и това да се вземе предвид дали имат конфликт с други програми и Касперски отива още по-надолу,защото само на него му пречи дефрагментирането на диска или чистенето на регистрите,като това му поведение в никакъв случай не повишава нивото на сигурност.

Интересно защо стената на Kaspersky Internet Security 2009 8.0.0.506 в тестовете на „matousec” се представя по-зле от предишната версия?Още на първо ниво се проваля на две места ECHOtest и Kill2.Лично за мене това говори лошо за програмата вместо да вдигат нивото на защита те го занижават,оправят един проблем създават два нови.

Това ли са им традициите на Kaspersky Lab ?

 

Нещо да Ви направи впечатление? Например тенденционното нападане от страна На форумец затова,че не харесва даден продукт?

 

Моя беше грешката,че писах за OA,че е "тъпа стена" но питам беше ли грешка от твоя страна да търпиш подобни изказвания на Танганайка? Или към член на форум,с който имате някакви отношения без значение какви отношението е различно?

 

Успех

[Pe6o]

Behaviour blocker-ите следят за общо взето същите неща, за които следят и HIPS програмите. Разликата е, че първите реагират автоматично (или поне това е идеята), докато вторите питат потребителя. Наличието на behaviour blocker и HIPS едновременно може да доведе до конфликти и проблеми. Също както не трябва да има повече от една антивирусна и защитна стена, не бива да има и две пргорами, които са HIPS базирани.

http://img227.imageshack.us/img227/3745/anigif2ku0.gif

Приемам горното като формален отговор. Пишеш неща, който смятам за невярни или неточно интерпретирани, затова правя следните корекций.

N&R: "Behaviour blocker-ите не следят за общо взето същите неща, за които следят и HIPS програмите".

1.Следят различни неща обединени в едно-защита от вредители. В предишни включвания визуално съм показал това, само трябва да се види.

Може да се види и при теста: "Clt" на Comodo /http://personalfirewall.comodo.com/cltinfo.html/

/Ако не се лъжа го няма при "matousec"/

Със зелено е означено действието на HIPS/SSM/-теста блокиран.

С червено е означено действието на B&b/ThreatFire/-теста също е блокиран, но е давано разрешение, в противен случай програмата ще изтрие инсталацията на теста.

http://img228.imageshack.us/img228/6123/svforum3final.jpg

http://img228.imageshack.us/img228/6572/svforum34final.jpg

http://img228.imageshack.us/img228/130/svforum6final.jpg

Тук се вижда Dll инжекцията на ThreatFire в модулите на теста.

http://img523.imageshack.us/img523/1194/svforum7.jpg

N&R:"Разликата е, че първите реагират автоматично (или поне това е идеята), докато вторите питат потребителя".

2.И двата типа програми питат потребителя. Няма разлика, всички прогрми реагират автоматично по начин зададен им от разработчиците. Повечето програми са от типа "самообучаващи" се. Това значи, че притежават опций за запомняне на дадено действие на потребителя и впоследствие не

питат за него. По този начин можем да сведем до минимум запитванията.

N&R: "Наличието на behaviour blocker и HIPS едновременно може да доведе до конфликти и проблеми".

3.Няма как, защото работят на различни принципи.Даже е препоръчително едновременното им използуване.

Принципът на действие на B&b програми/за HIPS беше писано вече/се основава на изпълнение на зададени правила:

http://img216.imageshack.us/img216/9409/svforum1final.jpg

+ инжектиране на код/Dll инжекция/ в модулите на дадено приложение чрез който го контролират:

http://img216.imageshack.us/img216/3594/svforum2final.jpg

Това действие е индентично с това на нормалните защитни стени/тези без HIPS/при контрол на изходяшия трафик на ниво приложение/програма/.Що се отнася до правилата те са дело на разработчиците и по това програмите се различават. Някой от тях предлагат опция за създаване на собствени правила, но това е по трудна работа. Не смятам за удачен съвета: "Settings>Sensitivity Level...".Намалявайки приоритета ние премахваме част

от правилата по които програмата работи. Вярно, че запитванията намаляват, но с това и защитните функций, като при най-ниското ниво практически

елеминираме правилата и остава само Dll инжекцията, т.е. имаме си половин защитна стена.

N&R:"Също както не трябва да има повече от една антивирусна..."

4.Може да използуваме няколко, но правилото е "само една с резидентен модул."

N&R: "не бива да има и две програми, които са HIPS базирани".

5.Правилно,но нищо не пречи и да са повече от една, като тук правилото е "но само една стартираща се заедно със старта на ОС".

Показал съм това.

Тъй като тук говорим за защита,стени, AV-няма абсолютна сигурност.

Пример: "Spoolserver 32" при мене реално блокира NOD 32, но под прицел са и защитните стени.

http://img220.imageshack.us/img220/9931/2aafinal.jpg

 

http://img523.imageshack.us/img523/3782/3dtextcommandera.gif

 

http://img147.imageshack.us/img147/5963/nm1aa.gif

[Гост tnn]

KIS 8.0.0.506 си работеше добре - но пак го заместих с Panda Cloud Antivirus Beta Free + PC Tools Firewall Plus Free + ThreatFire Free. Знаете ли защо? Не заради проблем с търсене на ключове из разни странни сайтове - точно там дори ми е най-интересно- като всеки увлечен на тема защита. Искам да проверя има ли безплатна комбинация на сродно или дори с по-добро ниво на справяне. Наличието на behaviour blocker и HIPS едновременно e много сериозно предимство, когато те са разработени за съвместно ползване. Даже са безплатни при този ми избор. Трябва ми още време - все пак съпоставям с един от най-добрите платени интегрирани пакети. Поздрави

[Night_Raven]

@tanganika & liver: автоматичното създаване на правила и след това ръчното блокиране на всичко работи в повечето случаи, но е възможно да има проблеми с някои програми, за които се създадат непълни правила в началото. Затова е по-добре да се обучи програмата ръчно. Досадно е и изисква познания за работата на операционната система, но е по-добро решение. Алтернатива е да се постави стената в обучаващ режим (learning mode) и да се извършат колкото се може повече дейности в следващите часове/дни от тези дейности, които по принцип се извършват на компютъра, за да може програмата да види точно какво се прави на системата в ежедневието и да си създаде нужните правила за това.

 

@nikssi: изказвнията на tanganika не нарушават с нищо правилата на форума. Няма причина да се трият. Да, изказванията му са пристрастни и остри, но това не ги прави годни за триене, така че затова ги "търпя". Не мога да започна да трия мнения, в които някой изказва своето мнение, което не съвпада с твоето. Чувстваш се обиден, защото си в противоположния лагер и всяка лоша дума за обичания от теб продукт се усеща по-силно.

Твоите отговори/коментари на практика не са реално по-меки от неговите в общия случай. Да ги считам и тях за нападения?

 

@Pesho:

1. Напротив. Както HIPS, така и behaviour blocker програмите са си host intrusion prevention базирани. Това, че подхождат по различен начин, не ги прави различни. Достатъчно е да се погледнат възможностите им и коя какво блокира и засича, за да се види, че и двете програми уведомяват потребителя при едни и същи събития. ThreatFire просто има някакви дефиниции, които му позволяват да реагира, когато е сигурна, че дадената дейност е зловредна. Т.е. в такъв случай ще реагира, без да пита потребителя. Т.е. те са донякъде самостоятелни. Класическите HIPS програми питат абсолютно винаги и за всичко, защото те разчитат изцяло на потребителя за това как да реагират.

2. Общо взето го отговорих вече.

3. Не, не работят на различни принципи.

Ти казваш:

Принципът на действие на B&b програми/за HIPS беше писано вече/се основава на изпълнение на зададени правила:

А как мислиш действат HIPS програмите? Те също работят на базата на изградени правила кое, как и кога да разрешават.

Определено не е препоръчително едновременното им използване.

Обикновените стени не инжектират dll-и в други процеси. Най-обикновените стени имат за задача да филтрират мрежовите пакети. Това е. Инжектирането на някакъв техен код в друг процес значи, че са повече от базови стени, т.е. че имат някакви HIPS механизмир, пък били те и минимални.

Смъкването на Sensitivity level не намаля защитата. Просто определя в какви ситуации програмата да пита потребителя и в какви ситуации да преценява сама. На най-висока чувствителност на практика получаваш почти класическа HIPS програма, защото ще пита за всяка една активност, за която не е 100% сигурна, че е зловредна.

Т.е. ThreatFire ще продължи да си засича всичко, което си засича. Разликата е дали ще питя потребителя как да реагира или ще преценява това сама.

[tanganika]

Може и две HIPS програми на едно място.

http://www.plaatjesupload.nl/bekijk/2009/05/12/1242080631-430.jpg

 

Но ми прави впечатление че при тази комбинация всяко ново действие първо минава през ProcessGuard.

http://www.plaatjesupload.nl/bekijk/2009/05/12/1242081185-220.jpg

 

http://www.plaatjesupload.nl/bekijk/2009/05/12/1242081211-710.jpg

 

Разработчиците на ProcessGuard подчертават че продукта им няма функции на стена,но допълва/подсигурява работата на защитните стени и антивирусните програми.

liver

До колкото разбирам,това е функция,която предотвратява изтичането на данни.Засега работят след като им зададох block на всичко в anti-leak(скайпа и операта)..Пълната версия има доста неща за настройване.

Блокирането на тези заявления по-скоро спира зловредния код който е заобиколил защитата и чрез доверени приложения се опитва да се възползва от други доверени приложения с крайна цел шпионаж.Блокирането на всички тези заявления е вид втора линия на защита,която я има и при Online Armor Free.

Например когато искаш да стартираш нова торент задача но си блокирал заявленията

http://www.plaatjesupload.nl/bekijk/2009/05/12/1242084211-20.jpg

 

Това е резултата когато друго приложение се опита да се възползва от торент клиента независимо дали е вирус или не.

 

http://www.plaatjesupload.nl/bekijk/2009/05/12/1242084347-270.jpg

 

Ако промениш това заявление по този начин и стартираш нова торент задача стената ще ти зададе въпрос преди да си създаде правило

 

http://www.plaatjesupload.nl/bekijk/2009/05/12/1242084828-290.jpg

 

Nikssi,без модераторското покровителство/подкрепа не можеш ли да се справяш ?

Night_Raven е прав че потребителя до известна степен прилича на защитния софтуер който ползва или му е фен.Comodo Internet Security няма нужда от подпирачки за да се справя със заплахите в нета,а Касперски пищи като ощипана мома за ъпдейти на уина и ползваните програми които трябва да защитава

[Night_Raven]

Може и две HIPS програми на едно място.

За моженето - може. Просто не е желателно/препоръчително.

 

 

Разработчиците на ProcessGuard подчертават че продукта им няма функции на стена,но допълва/подсигурява работата на защитните стени и антивирусните програми.

Да, ако въпросната стена не съдържа в себе си HIPS модул. Ако съдържа такъв, то няма смисъл от ProcessGuard.