Firewall + HIPS

[nikikom]

Здравей Pesho. Първо чистита нова година на теб и на всички потребители на Softvisia.

 

Така написано означава съгласие и го приемам като такова. Аз обаче знам, че "всяко хлапе" не го знае и предполагам, че нещо си се пообъркал в бързината. Съвсем приятелски, когато спориш за нещо не бързай, поогледай и премисли нещата

Отгавора на този въпрос и на останалите от предния ми пост ги зная, нама нужда да одабеляваш текста.

 

когато ъпдейтите са готови и преди сървъра да започне да ги изпраща проверява клиентите му дали са на линия/определихме го с термина "слушат"/. За целта той изпраща SYN пакет към моя компютър/ както и на всички други клиенти/ към порта, който е един и същ за всички. Модула на АВ, отговарящ за ъпдейтването и "слушащ" на въпросния порт, отговаря, като изпраща потвърждение за готовност за осъществяване на връзка с SYN/ACK пакет. Сега внимание! ако в правилата сме задали на въпросното приложение статут ASK,стената ще ни поиска разрешение.Приемаме, че даваме разрешение, отдалечения компютър разбера, че връзката е осъществена и започва да изпраща последващите AСK пакети с ъпдейтите.

 

Мерси за отговора.

Както пишеш, а и изглежда за АВ ти трябва входящ трафик с което не съм 100% сигурен, но да приемем че е така.

 

 

Не знам каква защитна стена ползваш, но тази която ползвам няма статут ASK. А и така ностроена,

едва ли е най-удобно.

За да избегнеш това ежедневно разрешаване можеш да изфилтрираш IP-тата на сърварите, като ги добавиш, като отдалечени в правилата за АВ. Така порта на който слуша АВ ще бъде видим само за тях и не видим/маскиран/стелтнат, както искаш го наричай, за всички останали от интернет.

 

Пример

Пускам HFS (HTTP File Server) на порт 80.

В защитната стена му задавам следните правила

Входящ трафик по TCP протокола, както и локален порт 80.

Не съм филтрирал отдалечените IP.

Ето и снимки

 

http://store.picbg.net/pubpic/A6/FB/8a51ca63ca41a6fb.JPG

 

След това сканирам с http://www.pcflank.com/ и порта е отворен

 

http://store.picbg.net/pubpic/A8/32/f2c2b6417fdea832.JPG

 

След това изфилтрирвам отдалечените IP-та в стената, като давам достъп само на IP 77.77.77.77

 

http://store.picbg.net/pubpic/AB/E2/3797feb3183babe2.JPG

 

и резултата е коренно различен. Порт 80 е стелт, той е видим само за компютъра с IP 77.77.77.77.

 

http://store.picbg.net/pubpic/59/DF/6782da889a7e59df.JPG

 

Какво правим при положение, че ползваш защитна стена при която не можеш да поставяш статут ASK на приложенията които се нуждаят от входящ трафик?

 

Пускаш си FTP сървър и от работа, в другия край на града се опитваш да се свържеш с твоя компютър.

Едва ли можеш да бъдеш на двете места едновременно, така че хем да се опитваш да се свържеш, хем да позволиш достъпа към FTP сървъра от вас, понеже в защитната стена си задал статут ASK.

Това те и питах, как отворен порт в състояние listening /слушане/, може едновременно да е отворен и да се комуникира с него, и хем да е не видим.

 

Защо казвам, че не съм на 100% сигурен, че ти трябва входящ трафик за АВ.

когато ъпдейтите са готови и преди сървъра да започне да ги изпраща проверява клиентите му дали са на линия/определихме го с термина "слушат"/. За целта той изпраща SYN пакет към моя компютър/ както и на всички други клиенти/ към порта, който е един и същ за всички. Модула на АВ, отговарящ за ъпдейтването и "слушащ" на въпросния порт, отговаря, като изпраща потвърждение за готовност за осъществяване на връзка с SYN/ACK пакет. Сега внимание! ако в правилата сме задали на въпросното приложение статут ASK,стената ще ни поиска разрешение.Приемаме, че даваме разрешение, отдалечения компютър разбера, че връзката е осъществена и започва да изпраща последващите AСK пакети с ъпдейтите.

Аз ползвам Kaspersky Anti-Virus For Windows Workstations

Настроен е да се ъпдейтва автоматично, а това са данните от Microsoft Network Monitor

 

http://store.picbg.net/pubpic/11/87/fdf8512a2a961187.JPG

 

Предполагам, че си достатачно грамотен и сам виждаш кой инициализира сесията.

 

 

Представи се, че си във форума и между тебе и S&isia се осъществява комуникация. В този момент аз от моят компютър пускам към тебе портскенер. Нямам

представа каква стена използуваш, но тя ще реагира и ще стелтне портовете ти, а моят скенер ще покаже, че портовете ти са затворени. По всяка вероятност ти няма да видиш това, но то ще е факт. От тук и въпросa, на който трябва да си отговориш сам:

Това действие на твоята защитна стена нарушило ли е по някав начин работа ти във форума?

Ако аз трябва да ти отговоря: Не, по никакъв начин, действието на стената е предприето персонално към мене, защото съм нарушетел. Реално освен

локалните портове отворени към S&isia са ти отворени и някой от "служебните": 123, 135,445,500,1027, 1900,4500. Обобщавам, от моята гледна точка,

важаща и за всеки друг нарушетел, портовете са стелтнати, но реално ти имаш както отворени така и затворени портове и това действие на твоята защитна стена спрямо мене не ти пречи за нормална работа. Ако приемем твърдението, че стелтнатите портове са затворени даже и по "принцип", то тогава не може да се установи комуникация между компютрите.

 

Това е така, но тук стената просто блокира отдалеченото IP. Това е нещо като с правилото което ти казвам да направиш с АВ, но обратното. Вместо порта да е видим само за сървъра и не видим за всички останали, тук порта остава видим за всички но не видим само за нарошителя/сървъра. Стената само прибавя правило за това IP, като го блокира.

 

Ето и пример

 

Отварям порт 80.

Правя теста на http://www.pcflank.com/ и се вижда че порта е отворен. Едни скоби, в правилата на стената на Касперски съм задал входящ трафик.

 

http://store.picbg.net/pubpic/D8/28/76a12b6f4357d828.JPG

 

След това правя теста на http://www.grc.com/ но стената приема сканирането за атака и блокира отдалечения адрес. Порт 80 е стелт, не зависиму че е отворен.

 

http://store.picbg.net/pubpic/57/F2/36f1472c986a57f2.JPG

 

Ето и крайния резултат

 

http://store.picbg.net/pubpic/86/94/fa1eade8e81d8694.JPG

[Pe6o]

http://lh5.ggpht.com/_cYSuz4s_Wwg/S07REGvWOQI/AAAAAAAABQQ/Sgp9i1VhROA/coollogo_com_289541840.gif

Здравей nikikom,

Спорна Нова Година!

Извинявай за закъснелия отговор, но: "забавям но не забравям!"

 

Отгавора на този въпрос и на останалите от предния ми пост ги зная, нама нужда да одабеляваш текста.

Значи има единомислие. Важните неща се одебеляват, така както и имената.

 

Мерси за отговора.

Както пишеш, а и изглежда за АВ ти трябва входящ трафик с което не съм 100% сигурен, но да приемем че е така.

Това е пример и той може да бъде и в обратна последователност, зависи от програмата, но това не променя същността на въпроса. Получаването на

ъпдейтите е входящ трафик. Освен това имаме и двустранни комуникаций по ICMP протокола за локализация. Конкретно визирам Avast.

 

Не знам каква защитна стена ползваш, но тази която ползвам няма статут ASK. А и така ностроена,

едва ли е най-удобно.

За да избегнеш това ежедневно разрешаване можеш да изфилтрираш IP-тата на сърварите, като ги добавиш, като отдалечени в правилата за АВ. Така порта на който слуша АВ ще бъде видим само за тях и не видим/маскиран/стелтнат, както искаш го наричай, за всички останали от интернет.

Неколкократно споменаваш за настройки по IP. Не, че не може, но е безсмислено. Стената няма да допусне неоторизиран достъп на приложение от който и да е адрес. Примерите със скенерите показват това. Например лично/както и много други потребители/ежедневно съм атакуван/PortScan/от китайския сървър: 61.139.105.163 ,но не виждам смисъл да създавам правила за блокиране по IP.

Винаги е по-добре да имаш три възможностти/allow, block, ask/ отколкото две, като последното би могло да бъде оправдано само при наличието на HIPS/евентуално/.

За стена използувам Sygate Persondl Firewall Pro.

 

Пускаш си FTP сървър и от работа, в другия край на града се опитваш да се свържеш с твоя компютър.

Едва ли можеш да бъдеш на двете места едновременно, така че хем да се опитваш да се свържеш, хем да позволиш достъпа към FTP сървъра от вас, понеже в защитната стена си задал статут ASK.

Внимателно с HFS (HTTP File Server). Когато използуваш програмата компютъра ти става сървър и без адекватна защита лесно може да се достигне до директорийте ти.

По отношение на последното изречение ето какви настройки бих използувал:

На домашния компютър, който ще използувам като базов давам следните настройки на защитната стена:

Rule 1:

Block all/ports,hosts,protocols/

Rule 2:

Allow port-80,host-IP на отдалечения компютър от който ще работя,protokol-TCP/или по който ще работя/

На отдалечения настройките са без значение, но естествено стиковани. След приключване на работата разбирасе е нужно да се възстанавят стандартните

настройки, в смисъл тези който нормално използуваме.

Да уточня, че тук става въпрос само за обмен на файлове между два компютъра.

 

Това те и питах, как отворен порт в състояние listening /слушане/, може едновременно да е отворен и да се комуникира с него, и хем да е не видим.

Oбясних го вече, но нали и примерите, който ти даваш показват това.

 

Аз ползвам Kaspersky Anti-Virus For Windows Workstations

Настроен е да се ъпдейтва автоматично, а това са данните от Microsoft Network Monitor

Предполагам, че си достатачно грамотен и сам виждаш кой инициализира сесията.

Ако под достатъчно разбираш средно мога да се съглася. По отношение на инициализирането по горе обясних. Microsoft Network Monitor e програма за анализ на мрежовия трафик от системните администратори обслужващи сървъри и в този смисъл не е удачно използуването и в персоналните компютри. Ако оставим настрана ненужно подробната информация за обикновенния потребител на последния би създала предпоставка за проблем със сигурнастта. Това е така защото при сървъра имаме отворени много конекций, докато при персоналния компютър се стремим да ги ограничим. В някой отношения програмата действа, като байпас на защитната стена и отваря конекций, който нрмално се блокират.

-фрагмент от тест на grc.com

 

http://img682.imageshack.us/img682/5869/firewall52final.jpg

-лога на защитната стена при съвместна работа Firewall+Microsoft Network Monitor

 

http://img682.imageshack.us/img682/549/7final.jpg

-ясно се вижда разграничителната линия между Firewall+Microsoft Network Monitor и само Firewall

 

http://img682.imageshack.us/img682/2143/firewall9afinal.jpg

За финал коментар по снимковия материал от kaldata, който си дал.

Нещо, което не ти е направило впечетление, но не само на тебе, предполагам.

Логично е, че след като достъпа до grc.com след 61 порт е блокиран/много голямя латентност?/,сканирането на последващите портове да се прекрати, но от последната снимка, която даваш, това не се е случило, цикъла на сканирането е продължил, независимо, че имаш индикация за блокиране на атакуващия хост и нормално сканирането приключва с отличен резултат-портовете стелт.

От grc.com прилагат следният трик:

 

http://img682.imageshack.us/img682/5899/firewall47final.jpg

-интерфейса на сайта:4.79.142.192

-сканирането се прехвърля през:4.79.142.206. Стената не отговаря на пакетите,а след 31 порт блокира хоста. Само че grc.com по свой алгоритъм продължава по инерция да сканира нищото и дава резултата през: 4.79.142.202, който не е блокиран, защото няма основание за това.

Това са резултатите от Traffic Log'а, а по долу давам и Security Log'a.

 

http://img682.imageshack.us/img682/9544/firewall62a.jpg

http://lh4.ggpht.com/_cYSuz4s_Wwg/S07OKbQsb_I/AAAAAAAABPw/4vZod-iqhtw/Portscan.gif

Примерите, който давам са от логовете генерирани от защитната стена защото смятам, че така е по пригледно и ясно. Същото може да се види и при стената,която използуваш. За сравнение : Microsoft Network Monitor. Само като видиш броя на фреймовете ти става ясно за изразеното от мене мнение.

 

http://lh3.ggpht.com/_cYSuz4s_Wwg/S09noKtX1uI/AAAAAAAABR0/oeucIyKFqg8/s912/Firewall16final.jpg

http://lh3.ggpht.com/_cYSuz4s_Wwg/S09noFIHVwI/AAAAAAAABR4/j9fgPhHP4oU/s912/Firewall17final.jpg

http://lh4.ggpht.com/_cYSuz4s_Wwg/S09noJG40XI/AAAAAAAABR8/7Q6UBDTFLkg/s912/Firewall18final.jpg

http://lh5.ggpht.com/_cYSuz4s_Wwg/S09noSGo4pI/AAAAAAAABSA/hW50XUcjZvI/s912/Firewall19final.jpg

Забележка:примерите са дадени при изключена защитна стена-компютърът отговаря на пакетите от grc.com. Това е така, защото стената подържа "Intrusion Detection System"+"Driver level protection" и ако са активирани блокира

стартирането на nmnt.sys а с това и действието на M N M/в смисъл, че не се дава възможност на M N M да отговаря на

пакетите от скенера: виж втората картинка отгоре надалу/ .Това може да се приеме и като тест, ако нямаш реакция при работа

с M N M то защитата ти не е достатъчно надежна.Разбира се тук става въпрос за висок клас защита.

 

http://img689.imageshack.us/img689/1480/firewall22final.jpg

http://img689.imageshack.us/img689/5610/firewall23final.jpg

http://img689.imageshack.us/img689/4557/firewall21final.jpg

За финал две картинки с активна защитна стена, но изключени "Intrusion Detection System"+"Driver level protection". Ясно се вижда, че няма отговор на пакетите.

Предполагам знаеш, че за да бъде компютърът ти стелт/правиш разлика между стелт порт и компютър/е необходимо да забраниш комуникацийте по ICMP протокола. Не случайно преди да започне сканирането grc.com прави проверка. Този съвет е малко спорен, но имай впредвид, че този протокол не ползува портове и факта, че имаш напълно блокирани такива за него това е без значение./

 

http://img190.imageshack.us/img190/9448/firewall24final.jpg

http://img190.imageshack.us/img190/6519/firewall25final.jpg

 

http://lh3.ggpht.com/_cYSuz4s_Wwg/SVvtZGLje-I/AAAAAAAAAmE/JHvzYEIfxF8/1AA.gif

http://lh6.ggpht.com/_cYSuz4s_Wwg/SZSAHBFZReI/AAAAAAAAAn0/WGUrzzyp20Y/1b.gif

[mihnev_sz]

Май е доста лепкаво това китайско порталче.

http://mail.sc.cninfo.net/portal/

Ето още един като теб когото е харесало : http://forums.phoenixlabs.org/showthread.php?t=18288

[nikikom]

Здравей Pesho.

 

Стената няма да допусне неоторизиран достъп на приложение от който и да е адрес. Примерите със скенерите показват това. Например лично/както и много други потребители/ежедневно съм атакуван/PortScan/от китайския сървър: 61.139.105.163 ,но не виждам смисъл да създавам правила за блокиране по IP...

 

... Внимателно с HFS (HTTP File Server). Когато използуваш програмата компютъра ти става сървър и без адекватна защита лесно може да се достигне до директорийте ти.

Става на въпрос за стелтнат порт, а не за допускане на неоторизиран достъп.

 

И пак ще го потретя, това се прави от правилата на стената за самото прилажение. Другия начин е ако стената останови атака, примера който дадох.

Ако за HTTP File Server съм създал правило, порта му да е видим само за работния ми компютър на работа,

Неколкократно споменаваш за настройки по IP

той ще бъде стелт за всички останали от интернет, което изключва и допускане на неоторизиран достъп.

 

 

Една стена за да определи една атака, трябва да и е зададено определени методи на атаки, и тя да следи за тях

 

Но човек може да търси й определен порт, и да сканира само него (една машина, един порт). Ако услугата на машината е пусната/порта е отворен, как стената ще разбере, че това е портов скенер, а не опит за легитимна връзка?

 

 

 

Били обяснил малко по-детайлно това

В някой отношения програмата действа, като байпас на защитната стена и отваря конекций, който нрмално се блокират

Както и това

Забележка:примерите са дадени при изключена защитна стена-компютърът отговаря на пакетите от grc.com. Това е така, защото стената подържа "Intrusion Detection System"+"Driver level protection" и ако са активирани блокира

стартирането на nmnt.sys а с това и действието на M N M/в смисъл, че не се дава възможност на M N M да отговаря на

пакетите от скенера: виж втората картинка отгоре надалу/

 

След като стената ти има Intrusion Detection System, би ли пробвал едно сканиране и покажи логовете, за да се види дали IDS ги вписва. Незнам защо, но COMODO не вписва пакетите в лога си, не зависиму, че ги блокира, поне при мен е така .

За разлика от COMODO, Windows Firewall ги вписва.

 

http://store.picbg.net/pubpic/7F/7A/5feb34e59de87f7a.JPG

 

Това е последователността на данните

date time, action, protocol, src-ip, dst-ip, src-port, dst-port, size, tcpflags.

 

От http://www.pcflank.com/ направи Stealth Test-а и виж да ли се вписват.

Може и от http://nmap-online.com/ понеже www.pcflank.com сканира само порт 1

Маркираш Custom scan и в полето въведи

-PN -sA -p 80 xxx.xxx.xxx.xxx

Замени хиксовете с твоето IP и сложи отметка пред I agree with Terms of Service

По тоя начин правиш TCP ping, пращаш TCP пакет с АСК флаг към порт 80.

Понеже пакета е изпратен преди започването на трипосочното ръкостискане, сканиращия се надява стената да не впише пакета в дневника си.

[Pe6o]

Привет nikikom,

 

Но човек може да търси й определен порт, и да сканира само него (една машина, един порт). Ако услугата на машината е пусната/порта е отворен, как стената ще разбере, че това е портов скенер, а не опит за легитимна връзка?

 

Нещо, което ми направи впечетление. Гарантирам ти, че стената ще разбере, въпроса е ти да го разбереш. Подозирам, че знаеш отговора, първо защото е

елементарен и второ боравиш спонятието "флаг".

 

След като стената ти има Intrusion Detection System, би ли пробвал едно сканиране и покажи логовете, за да се види дали IDS ги вписва. Незнам защо, но COMODO не вписва пакетите в лога си, не зависиму, че ги блокира, поне при мен е така .

За разлика от COMODO, Windows Firewall ги вписва.

 

Не е необходимо, защото съм го показал. Ако правилно съм те разбрал става въпрос за следното:

Приемаме, че стената ти подържа Intrusion Detection System и паралелно си включил Microsoft Network Monitor, който записва мрежовият трафик.

Когато стартираш някаква външна/в случая става въпрос за тест/ програма и тя предприеме спрямо компютъра ти действие "port scan" в същият момент M N M стартира драйвера nmnt.sys/NetmonNTDriver-при други ситуаций той е неактивен/ чрез който се следи комуникацията по време на сканирането и обменените пакети се записват в лага на M N M. Веднага Intrusion Detection Systemсъщо се задейства/при мене чрез функциятя Driver level protection/,защото приема това действие за интрузия и блокира драйвера nmnt.sys, а с това и възможността на M N M да индикира обмяна на пакетити между скенера на grc.com

и стената/всъщност няма обмен, защото стената приема, но не отговаря/ Логично в този отрязък от време лога да е празен и ти сам казваш , че при тебе няма нищо.Това не важи за netbios комуникацейте/ARP/, ако не се филтрират за да не правят лога излишно претрупан. Това е механизма, само, че не винаги може да се види.

Още по- логично е ICF да показва всичко, защото не подържа Intrusion Detection System.

 

Това между другото:

Тъй, като стана въпрос за Kaspersky Anti-Virus For Windows Workstations, а и ти си активен в дискусията на тази тема бих те помолил да направиш няколко теста с въпросната програма.

Не я познавам и сигурно няма да я използувам, но така бих добил представа за качествата и.

За целта използвай програмата "process hacker"./препоръчвам ти я/

1.Опитай да терминираш KasperskyAVfWW.

2.Ако програмата е успешно терминирана провери имаш ли връзка към мрежата.Същото важи и за друг вид принудително спиране.

3.Опитай да инжектираш код/Dll инжекция/ в модулите на KasperskyAVfWW. "Process Hacker" подържа това действие. Безопасно е, винаги можеш да изтриеш инжекцията.

3.Тествай с "Antivirus Tester".Линка можеш да го намериш някъде по назад тук. Имай впредвид, че програмата е "убит" вирус.

4.Реален тест на защитата в реално време./RTP/Посети Collectioms от вируси на:"www.vx.netlux.org" и тествай на воля. Важно е кога вирусът е блокиран: приди или след кеширането. По същество това няма значение, но е показател за качеството на модула за защита в реално време.

 

VY 73!

[nikikom]

Здравей Pesho

 

До колкото знам една добра Intrusion Detection System защита, би трябвало да може да впише тези пакети, но незнам, не съм работил с IDS.

 

Имъм едно кратко и бегло ръководство за Snort, в което се пише, че програмата може да работи в три режима

Снифер

Пакетен регистратор

IDS

При това положение едва ли Snort няма да впише пакетите от TCP Ping сканирането.

 

Не е необходимо, защото съм го показал.

В лог-файловете които си показал, не се виждат допълнителни данни от транспортния протокол, като флагове, както съм показъл на снимкато от Windows Firewall

 

Не че е работа на Honeypot програмите да отговарят на първоначално пратен TCP/АСК пакет, но тези които пробвах не реагираха.

[nikikom]

Какво е Honeypot?

Това е инстромент за откриване на пробив и работи на принципа на измамата. Основната му работа е да заблоди нарушителя, като симулира уязвим компютър в мрежата. Така нарушителя ще си мисли че пробива действителна машина, а в действителност ще комуникикира с Honeypot инстромента, като през цялото време неговите действия могат да се записват в дневнеци. По-късно тези дневници се разглеждат и сигнатурите се идентифицират, като по късно се записват в базата от данни и се използват от Intrusion Detection System ( IDS ) за откриване на подобни атаки в бъдеще.

 

Honeypot инстромента може да се използва като порт монитор, измамна система, многопротоколна измамна система и пълна система:

 

Порт монитор. Това е заблуждаваща програма, която създава капан за нарушителя, като му разрешава да установи връзка с порт и след това да я откаже.

 

Измамна система. Honeypot инструментите, използвани като измамни системи, са по-умни от тези, използвани като монитори. Това е така, защото измамната система не само разрешава на нарушителя да се свърже със системата, но също и симулира обккражение, в което нарушителя може да взаимодейства със системата.

 

Многопротоколна измамна система. Тази ситема съдържа няколко протокола, които симулират обкръжението на различни операционни системи. Задачата е да се създаде обкръжение, което е достатачно изкушително за атакато на нарушитела. Например, Honeypot инструмент инсталиран на Windows система, има възможност да симулира UNIX обкръжениу.

 

Пълна система. Пълна система е IDS, работеща с Honeypot инструмент.

 

 

Honeypot инструмент може да го поставите дирекно свързан към интернет, като в защитната стена разрешите входящия трафик към него.

 

Също можете да го поставите и вътре във вашата мрежа, като забраните достъпа от интернет. Така ако имате няколко компютър и някой от тях бъде заразен, и се опитва да зарази и другите, то Honeypot инстромента ще го засече.

 

Сайт за Honeypot инструменти http://www.honeypots.net/honeypots/products

 

Също и Honeypot инструмента APS (Anti Port Scanner) от създателя на AVZ Олег Зайцев http://www.z-oleg.com/secur/aps/

[nikikom]

Outpost Firewall Pro вписва в дневнека си стелт сканиране.

Ето и снимки на TCP/ACK и TCP/FIN сканирането.

 

 

TCP/ACK сканиране към порт 80

 

http://store.picbg.net/pubpic/6A/E7/922b00b973e56ae7.JPG

 

 

TCP/FIN сканиране към порт 80

 

http://store.picbg.net/pubpic/CA/E9/166278d07cbfcae9.JPG

[Pe6o]

Здравей nikikom,

Какъв е този зор за логовете. Показъл съм ти толкова много картинки, все можеш да си избереш някоя. Разбира се това са статични изображения, но ако си толкова любопитен можеш и сам да си направиш тестове и да си обясниш неща, който те интересуват. Предполгам си забелязъл, че за да проиграя една

или друга ситуация ми се налага да свалям нещо от защитната формация, която използувам, което честно не ми се прави от една страна, от друга резултатите са нереални. За логовете: SPF Pro отчита всеки пакет достигнал до нея и го записва в три+1 лога, който дават специфична информация за едно и също нещо в различни варианти. Това е така, защото едно от най-важните неща при създаването на правила е наличието на пригледни и лесно разчитаеми логове. Дадох примери с Trafic и Security логове, а сега и Packet лог за блокировките по правилото 1. Тук препоръчвам и пълна блокировка по IGMP протокола.

 

http://img62.imageshack.us/img62/9836/5final.jpg

 

http://img62.imageshack.us/img62/3444/4final.jpg

 

За Honeypot:

Защитните стени, антивируснете и другите анти програми са защитни и като такива имат пряко отношение към сигурността. Honeypot програмите могат да се оприличат на СРС'сета/специални разузнавателни средства/, но те нямат непосредствено отношение към оперативната сигурност, напротив създават предпоставки за нарушаване в някаква степен на сигурността. Това съм се опитал да обясня, защото Microsoft Network Monitor е една много добра нoneypot програма. Важни препоръки: www.atomicsoftwaresolutions.com/securetips.php

 

http://img62.imageshack.us/img62/5949/2final.jpg

 

Не подлагам на съмнение качествата им, но мисля че нещата се преувеличават. Иначе всички хакери щяха да бъдат разкрити.

Не знам, до колко си запознат с програмата на О. Зайцев, но си спомням, че съм писал нещо за нея доста отдавна. Симпатична,но със същите

минуси за който писах. Може да се използува на тестова машина, но не препоръчвам на работна станция.

Ето и една снимка от архива. Тест на АSP в локална мрежа. Безпогрешна индикация, но винаги отговаря на пакетите, както и всички други подобни програми работещи на този принцип.

 

http://img62.imageshack.us/img62/8830/aspmod2final.jpg

 

За теста, който ми препоръча:

При мене не се получава, което се вижда от снимката. Както си забелязал на картинка в предишен пост стената работи с активирана "Enable stelth mode browsing". Обяснявам: когато стената усети сканиране на портовете по някой от известните методи: SYN,FIN, Normal,NULL....и който подържа тя ги стелтва, но когато установи нещо различно или с по-висока степен на опасност/не мога да бъда конкретен защото нямам представа/ същата преминава

в стелт режим спрямо нарушителя.

 

http://img27.imageshack.us/img27/559/7finalu.jpg

 

ПП:направи ли тестовете?

 

http://img147.imageshack.us/img147/9682/1aaj.gif

http://lh3.ggpht.com/_cYSuz4s_Wwg/SZ3xTfdMpPI/AAAAAAAAAp0/bELwWUeRjLM/NM1AAA.gif

[nikikom]

Здравей Pesho

 

1.Опитай да терминираш KasperskyAVfWW

process hacker, не успява да терминира Kaspersky.

 

 

При мене не се получава, което се вижда от снимката. Както си забелязал на картинка в предишен пост стената работи с активирана "Enable stelth mode browsing". Обяснявам: когато стената усети сканиране на портовете по някой от известните методи: SYN,FIN, Normal,NULL....и който подържа тя ги стелтва, но когато установи нещо различно или с по-висока степен на опасност/не мога да бъда конкретен защото нямам представа/ същата преминава

в стелт режим спрямо нарушителя.

 

http://img27.imageshack.us/img27/559/7finalu.jpg

 

but blocking our ping probes

 

Както и на снимката на която се блокира Echo Request от http://www.grc.com/, така стената ти блокира Echo Request от http://nmap-online.com/.

Nmap по подразбиране пингва всеки адрес предварително от зададената мрежа която ще сканира, така че ако не получи отговор, да не сканира машината напразно.

Но повечето стени блокират Echo Request,а за да се избегне този пинг, и направо да се премине към TCP или UDP сканиране, се поставя -PN

За това ти и предложих да маркираш Custom scan, както да маркираш и I agree with Terms of Service, а в полето да въведeш

-PN -sO XXX.XXX.XXX.XXX

[Pe6o]

Привет nikikom,

Благодаря ти за разясненията, но нали ти обясних действието на стената. Каквото и да правиме теста няма шанс, не бива да го мъчим повече.

Той и самият го изписа: "quitting"

Следващите две снимки са от резултата при сканиране, съгласно дадените указания от тебе. Блокирането по ICMP е активирано.

 

http://img714.imageshack.us/img714/5942/11final.jpg

 

http://img714.imageshack.us/img714/9143/12final.jpg

 

За сигурност блокирането по ICMP изключено.

 

http://img714.imageshack.us/img714/638/14final.jpg

 

Доказателство, че блокирането по ICMP е изключено:

 

http://img714.imageshack.us/img714/2995/15final.jpg

 

Тестовете показани на снимките са правени през Firefox'a. Обикновенно работя с Avant с блокиране на жаба скриптове. При тази ситуация теста не може да се стартира, което е допълнително ниво на сигурност на ниво браузер.

 

http://img714.imageshack.us/img714/3876/16final.jpg

 

Щом Kaspersкy устоява на PH е отлично постижение. Ако искаш продължи с другите.

 

http://img147.imageshack.us/img147/9682/1aaj.gif

http://lh3.ggpht.com/_cYSuz4s_Wwg/SZ3xTfdMpPI/AAAAAAAAAp0/bELwWUeRjLM/NM1AAA.gif

[nikikom]

Здравей Pesho

 

Каквото и да правиме теста няма шанс, не бива да го мъчим повече.

Съгласен. Знам, че теста няма да мине.

 

Просто исках да видя дали стената вписва пакетите.

 

И като край на нашата тема, една малка корекция

Следващите две снимки са от резултата при сканиране, съгласно дадените указания от тебе.

-PN

P голямо.

[Гост tnn]

Някой пробвал ли е съвместно да ползва PrivateFirewall 7.0 FREE и DefenseWall 2.56 от куриозната стогодишна промоция? Така на практика и двете програмки са като безплатни. Сработват се отлично, приемат и антивирусите Нод32,Panda Cloud,Avira Free - но според мен подобна подкрепа е ненужно харчене на системни ресурси.Пробвах ги последователно - нищо не намират и ги деинсталирах. Какво да намерят при програми с подобни превантивни блокирания? PrivateFirewall 7.0 FREE и DefenseWall 2.56 се справят като на шега с доста тестови проверки. Двете заедно са по-леко решение и от Comodo IS 4 Free. Запазвам известно недоверие към DefenseWall 2.56 от тази промоция - обаче засега при мен програмчето на Иля впечатляващо си работи. Вече пет дни се чудя това толкова ли е добро, колкото ми изглежда - накрая реших тук да го споделя и след ден-два да видя мнения и на други пробвали. Защото ми е трудно да повярвам, че подобни програми са и с възможно безплатно ползване. Поздрави

[isaakhim]

Здравейте!

Малко да посъживя темата. Въпросите ми са относно Malware Defender.

 

1. Трябва ли да се правят някакви допълнителни настройки или програмата се справя доста добре с тези по подразбиране? Имам предвид да се въвеждат регистри или файлови разширения, които допълнително да се следят.

2. Защитната стена ще има ли конфликт с вградената на Windows и ако има коя е по-добре да оставя?

3. Коя версия да си изтегля? Malware Defender 2.7.2.0001 или Malware Defender 2.7.2 beta.

 

Операционната ми система е Windows 7 Ultimate x86. Също така съм и зад рутер.

Благодаря предварително!

[Night_Raven]

1. Трябва ли да се правят някакви допълнителни настройки или програмата се справя доста добре с тези по подразбиране? Имам предвид да се въвеждат регистри или файлови разширения, които допълнително да се следят.

Няма голяма нужда от добавяне на допълнителни обекти. Вградените правила по подразбиране са според мен достатъчни за една доста добра защита. Е, не са перфектни и е възможно да има пропуски, но като цяло са доста добри.

 

2. Защитната стена ще има ли конфликт с вградената на Windows и ако има коя е по-добре да оставя?

Не би трябвало да има конфликт. Стената на Malware Defender не е чак толкова подробна и пълна като някои от по-специализираните защитни стени и същото се отнася и за вградената стена в Windows, което ги поставя общо взето на едно ниво, така че остави активна онази, която ти е по-удобна за работа и настройка.

 

3. Коя версия да си изтегля? Malware Defender 2.7.2.0001 или Malware Defender 2.7.2 beta.

2.7.2.0001 e последната версия, но реално погледнато няма и как да изтеглиш 2.7.2 beta, защото линкът е същият като този на 2.7.2.0001. Официалният линк, де.

 

И все пак да напомня, че Malware Defender не е за всеки. Това е една от най-суровите HIPS програми, създавани някога. Няма списък с предварително одобрени приложения (whitelist), какъвто е наличен в други HIPS приложения, няма база от данни други потребители как са реагирали на даден прозорец и т.н.

Не искам да те разубеждавам или нещо подобно, просто да предупредя, че с Malware Defender трябва наистина да знаеш какво правиш.