Firewall + HIPS

[Night_Raven]

Сравнявайки Dynamic Security Agent и Comodo Firewall не откривам разлика в натоварването на ОС въпреки че Комодо съм го комбинирал с Аваст а Dynamic Security Agent съм го ползвал самостоятелно.

На по-мощни системи може и да не се усеща толкова, но на по-старички компютри е различно.

[Гост tnn]

Програмата може ли да се комбинира с всички антивируси? Вероятно е в отличен синхрон само с някои от тях. Какво ли ще стане, ако я сложа заедно с някой тежковъоръжен и преокомплектован азиатец? Дали ще се сработи примерно с Jiangmin Antivirus ? http://global.jiangmin.com/ Пак се замислям за напълно непозната защитна комбинация - защото подобни комбинации осигуряват известно предимство пред творците на вредоносен код. Поздрави

[tanganika]

На по-мощни системи може и да не се усеща толкова, но на по-старички компютри е различно.

Работния компютър е с 1,8 GH процесор + 2 GB RAM и като цяло не е добра конфигурация ( лаптоп ментак ).

[Night_Raven]

Доколкото знам Privatefirewall се разбира добре с всички известни антивирусни програми, но не мога да кажа нищо по-конкретно, защото аз такива не използвам.

[tanganika]

На домашния компютър инсталирах Privatefirewall и съм на мнение че е много пъти по-сложна/трудна за ползване от Comodo,Online Armor,Outpost и PC Tools Firewall за обикновен потребител.За да се извлече максимума от стената на Privatefirewall ( не от HIPS-а ) са нужни много познания.

Дори в режим Safe Mode процесите на Privatefirewall и Outpost Firewall Pro не са активни/няма ги никакви т.е. не защитават ОС. А каква защита ще осигуряват след като се стартират толкова късно нямам представа,като се има предвид какви рууткитчета има.

[Гост tnn]

Tanganika, стремиш се стената всичко да свърши по възможност, а това може да е задача на подбран антивирус заедно с нея.PC Tools Firewall Free ,според мен си е най-удачна за обикновен потребител, който примерно не желае да се задълбочава. Outpost Firewall Free също работи добре в автоматичен режим и не досажда. Досажданията с въпроси и съобщения отблъскват доста ползватели, които нямат време или не желаят да разсъждават задълбочено за сигурността на компютъра си. Поздрави

[Night_Raven]

На домашния компютър инсталирах Privatefirewall и съм на мнение че е много пъти по-сложна/трудна за ползване от Comodo,Online Armor,Outpost и PC Tools Firewall за обикновен потребител.За да се извлече максимума от стената на Privatefirewall ( не от HIPS-а ) са нужни много познания.

Дори в режим Safe Mode процесите на Privatefirewall и Outpost Firewall Pro не са активни/няма ги никакви т.е. не защитават ОС. А каква защита ще осигуряват след като се стартират толкова късно нямам представа,като се има предвид какви рууткитчета има.

И понеже Online Armor е много лесна за работа и настройка, правилата ти бяха толкова рехави, и недодялани, че ако изключеше HIPS механизмите, и слон можеше да се провре между тях?

 

Всяка стена изисква доста познания, ако ще се настройва както трябва. Не става въпрос само за ориентирането в интерфейса, а и за знанието за кои програми какви правила да се създадат, което е всъщност по-сложното нещо.

А това за Safe Mode и рууткитите са невалидни аргументи. Не е особено нужно да има защита в Safe Mode, защото под него рууткити по принцип също не са активни. И все пак HIPS е средство за предотвратяване на зараза, а не за чистене/лекуване. Т.е. ако ползваш HIPS и си наясно как да го ползваш, не трябва да се стига въобще до компрометиране на Safe Mode и инсталация на рууткита. Иначе казано, ако си бил невнимателен и разсеян, за да допуснеш рууткита да се инсталира, така ти се пада.

[tanganika]

Tanganika, стремиш се стената всичко да свърши по възможност, а това може да е задача на подбран антивирус заедно с нея.PC Tools Firewall Free ,според мен си е най-удачна за обикновен потребител, който примерно не желае да се задълбочава. Outpost Firewall Free също работи добре в автоматичен режим и не досажда. Досажданията с въпроси и съобщения отблъскват доста ползватели, които нямат време или не желаят да разсъждават задълбочено за сигурността на компютъра си. Поздрави

Антивирусни като например Аваст,Касперски,NOD32 също спят в режим Safe Mode каква работа ще вършат,как да им имам доверие ? Комодо задава не повече въпроси от PC Tools и Outpost Firewall.

Говориме принципно коя какво ниво на защита осигурява,не е задължително да се ползват от всеки.Поздрави

 

Night_Raven

И понеже Online Armor е много лесна за работа и настройка, правилата ти бяха толкова рехави, и недодялани, че колкото със стена, толкова и без стена?

 

Не случайно ползвам Комодо,предоставя много повече възможности за настройки.

 

Night_Raven

Всяка стена изисква доста познания, ако ще се настройва както трябва. Не става въпрос само за ориентирането в интерфейса, а и за знанието за кои програми какви правила да се създадат, което е всъщност по-сложното нещо.

 

Масовия потребител няма представа коя програма кой порт ползва и какви правила да създаде.Докато при Outpost,Online Armor и PC Tools Firewall има зададени глобални правила за програмите с достъп до интернет,което е по-добре от нищо.

 

Night_Raven

А това за Safe Mode и рууткитите са невалидни аргументи. Не е особено нужно да има защита в Safe Mode, защото под него рууткити по принцип също не са активни. И все пак HIPS е средство за предотвратяване на зараза, а не за чистене/лекуване. Т.е. ако ползваш HIPS и си наясно как да го ползваш, не трябва да се стига въобще до компрометиране на Safe Mode и инсталация на рууткита. Иначе казано, ако си бил невнимателен и разсеян, за да допуснеш рууткита да се инсталира, така ти се пада.

 

Искаш да кажеш че няма рууткити които се активират преди Safe Mode ли ? Или че рууткита може да се инсталира само когато е активна и ОС ?

С каква цел тогава са направили Комодо да се стартира толкова рано ?

[Night_Raven]

Не случайно ползвам Комодо,предоставя много повече възможности за настройки.

Настройки на какво? Откъм филтрация на пакети на Online Armor не й липсва нищо.

 

 

Масовия потребител няма представа коя програма кой порт ползва и какви правила да създаде.Докато при Outpost,Online Armor и PC Tools Firewall има зададени глобални правила за програмите с достъп до интернет,което е по-добре от нищо.

Тези правила са доста рехави всичките. То е и донякъде разбираемо, защото се цели съвместимост.

 

 

Искаш да кажеш че няма рууткити които се активират преди Safe Mode ли ? Или че рууткита може да се инсталира само когато е активна и ОС ?

С каква цел тогава са направили Комодо да се стартира толкова рано ?

Как така преди Safe Mode? Ти наясно ли си въобще за какво говориш?

За да се инсталира рууткит той трябва да си инсталира драйверчето, да си постави файлчетата в нужните папки и да си добави записи в регистратурата. Ако това бъде блокирано, той не може да се инсталира и - следователно - не може да се активира. Не виждам какъв е проблемът.

[tanganika]

Night_Raven

Настройки на какво? Откъм филтрация на пакети на Online Armor не й липсва нищо.

На всичко + опциите които притежава само Комодо.

Night_Raven

Тези правила са доста рехави всичките. То е и донякъде разбираемо, защото се цели съвместимост.

Може би разчитат на HIPS-а да компенсира рехавите правила,защото 99 % от потребителите не могат да направят настройките на стената.

Night_Raven

Как така преди Safe Mode? Ти наясно ли си въобще за какво говориш?

За да се инсталира рууткит той трябва да си инсталира драйверчето, да си постави файлчетата в нужните папки и да си добави записи в регистратурата. Ако това бъде блокирано, той не може да се инсталира и - следователно - не може да се активира. Не виждам какъв е проблемът.

Рууткита не може ли да си инсталира драйвера,да си постави файлове в необходимите папки и да си добави записи в регистратурата преди да се е стартирал HIPS-а ?

И все пак каква е целта да направят Комодо да се стартира толкова рано ?

[Night_Raven]

На всичко + опциите които притежава само Комодо.

Наличието на повече настройки не значи по-добра програма. Просто значи... повече настройки. Това може да е приятно за по-опитни потребители и/или такива, които обожават да човъркат навсякъде, но за по-неопитни и средностатистически проблеми това е по-скоро минус. А и както вече казах, повече опции не значи по-качествена защита.

 

Може би разчитат на HIPS-а да компенсира рехавите правила,защото 99 % от потребителите не могат да направят настройките на стената.

Е, много ясно, че е така. Аз съм го казвал и друг път (само не помня в коя тема). При това положение, защо Privatefirewall да не е толкова добра, при положение, че дори и стената й да се настройва трудно, HIPS-ът й е доста лесен и ефективен?

 

 

Рууткита не може ли да си инсталира драйвера,да си постави файлове в необходимите папки и да си добави записи в регистратурата преди да се е стартирал HIPS-а ?

И все пак каква е целта да направят Комодо да се стартира толкова рано ?

Невъзможни неща общо взето няма, но за да се стигне дотам, пак трябва да се мине през нормално работещо състояние на системата, а там на пост е HIPS-ът. Стига той да е добър и потребителят да е нащрек и да не клика каквото му падне, може да блокира всякакви директни и индиректни инсталации на подобни заплахи. То нали точно това е идеята - да се предотврати каквото и да било заразяване по принцип, да се смачка още в зародиш, да не му се дава шанс да направи абсолютно нищо. Зловредният код според мен няма изгода да се стреми да заобиколи HIPS, защото това е по-трудният начин за влизане. По-лесният е да залъже потребителя, че е важено да му се даде достъп (social engineering). Доста по-лесно е да залъжеш разсеян/незапознат потребител, отколкото да се мъчиш да пробиеш HIPS защита. Една от причините е разнообразието на HIPS програмите. Това, което неутрализира една програма, може да не неутрализира друга. Понеже създаването на код, който да заобикаля всички налични на пазара HIPS програми е нещо много, много трудно, защо да не се премине към много по-слабото звено във веригата за сигурност - потребителят? Колкото и подробен и добър да е даден HIPS механизъм, ако потребителят разреши достъп на зловредния код, то каква полза от иначе толков добрия HIPS?

Колко рано се стартира Comodo не знам/помня. Ако е наистина рано, то е може би от максимализъм - да се изпревари конкуренцията във всяко едно отношение. Това по принцип не е лош стремеж, стига да не се забравят и други важни неща, но и не е нещо, което е от решаващо значение. Категорично по-добре е HIPS програмата да е балансирана (да не е тежка, да е лесна за работа, да е стабилна, да не конфликтира с други приложения и др.), отколкото да речем да предлага невероятна защита, но да се дъни в други неща.

[S235]

Night_Raven, ти би ли се наел да направиш едно кратко ревю, със оптимални настройки на Private Firewall?

[Night_Raven]

По принцип идеята не е лоша, но не мога да обещая нищо, защото имам и други неща за вършене и довършване. Ще видим, де, може и да успея да драсна нещо.

[tanganika]

Night_Raven,вероятно съм надценил възможностите на рууткитите спрямо добрите HIPS програми.Изглежда поради тази причина един от създателите на невидими рууткити заявява че ако обичаме твърдия диск на компютъра си,да не ползваме подобни програми.Разбира се той е Руснак.

 

 

Tnn,nikssi,mihnev ще излезе че пак съм прав и няма нищо зловредно в инсталационния файл на Комодо + предположението ми че антивирусните които го подозират всъщност виждат рууткитоподобните възможности на Комодо.Способността му да заключва файлове за API повиквания е като задачата на рууткита да прекъсва и пренасочва всяко API повикване в негова полза. Открих го съвсем случайно благодарение на това приложение за борба със зловреден код.

 

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2009/07/31 22:59
Program Version:		Version 1.3.3.0
Windows Version:		Windows XP SP3
==================================================

Hidden/Locked Files
-------------------
Path: C:\Documents and Settings\Administrator\Desktop\SCDWriter.exe
Status: Locked to the Windows API!

http://i25.tinypic.com/107orq9.jpg

[Night_Raven]

Тези думи на не знам кой руснак съм ги чувал и друг път. За жалост не знам кой го е казал това, какъв е бил той и в какъв контекст го е казал.