Jump to content

Firewall + HIPS

Callisto
 Share

Препоръчан пост

isaakhim Новобранец

isaakhim

Публикувано
Публикувано

Направих тестове и с другия сървър. Само с рутера (без софтуерните стени) всички портове бяха stealth, независимо какви настройки му правих. Без рутера с Windows Firewall, също всички портове бяха stealth. С Malware Defender имаше и stealth, но повечето бяха затворени. Разбира се нямаше нито един отворен. Без никаква защитна стена повечето отново бяха затворени, имаше няколко отворени и съвсем малко stealth. След това изтеглих програмата LeakTest, която симулира поведението на хакерски RAT инструмент, който се използва за източване на информация от системата с цел изпращането и публикуването ѝ в интернет. Само Malware Defender се справи с нея, след като ме предупреди за изходяща връзка и аз съответно блокирах. Сигурно и с Windows Firewall ще може да се блокира достъпа до адреса след настройки на стената, но трябва да се знае предварително кой е. Иначе за изходящ трафик си мълчи.

Тези тестове ги направих от чисто любопитство. Целта ми е не да изтъквам предимствата и недостатъците на дадена стена. В крайна сметка мисля, че Malware Defender е насочена основно към HIPS защитата, която като безплатна такава надали има конкуренция. А да не говоря колко е лека откъм използване на ресурси. Стената ѝ спокойно може да се комбинира с Windows Firewall, ако някой толкова държи да е stealth, дори и само заради изходящия трафик.

 

Поздрави на всички! :peace:

Link to comment
Сподели другаде
  • Отговори 1.1k
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

Популярни дни

ТОП потребители в тази тема

Популярни дни

Публикувани изображения

nikikom Новобранец

nikikom

Публикувано
Публикувано
tnn

Компетентни доказателства няма ли да се представят сега тук? Поздрави

 

Не знам какви доказателства искаш, но ако си мислиш, че мотив за подобен тип атаки (DDOS) е липсата на стелт, много се лъжеш.

Link to comment
Сподели другаде
Гост tnn

Гост tnn

Публикувано
Публикувано
Мотивите може да са различни, а за мен е препоръчително портовете да са стелтнати - кое му е параноично или некомпетентно? Повечето хора са на това мнение. Вярно е - и стената на Win XP първоначално ги стелтва, а после не удържа да задържи дълго това. Заедно с Malware Defender вероятно ще е добро решение. Сега обаче съм отново с Online Armor Premium и я намирам подобрена. В началото на тази година Ви досаждах с хвалебствия за OA ++. За предпочитане е май австрийските антивирусни енджини да липсват в реално време. ThreatFire на максимални настройки ми се струва достатъчен.
Link to comment
Сподели другаде
isaakhim Новобранец

isaakhim

Публикувано
Публикувано

Спокойно можеш да спреш стената на Windows-а.

А и компютър с три защитни стени е стил tnn

 

След проведените тестове разбира се, че ще изключа Windows Firewall. При наличие на рутер явно няма смисъл от нея.

Link to comment
Сподели другаде
Night_Raven Ентусиаст

Night_Raven

Публикувано
Публикувано

При наличие на рутер нямаш нужда и от стената на Malware Defender, не само от тази на Windows.

 

Накратко: потребители с хардуерни защитни стени (рутери) нямат практическа полза от софтуерни защитни стени, освен ако не са доста параноични.

Link to comment
Сподели другаде
Гост tnn

Гост tnn

Публикувано
Публикувано

Спокойно можеш да спреш стената на Windows-а.

А и компютър с три защитни стени е стил tnn

Защо така мислиш? Този компютър с Win XP е само с Online Armor Premium при свързване към мрежата чрез прокси. Лаптопът ни е зад рутер и няма друга инсталирана стена освен вградената при Win Vista. Друга не е нужна. Що за стил ми приписваш? Пробвал съм с две защитни стени - ама чак за три нямам спомени. И какво толкова имам да пазя? Да не съм банка! Една стена е достатъчна да ми поддържа стелтнати портовете - наруши ли се това, значи е възникнал пробив и има какво да се изследва и лови за занимавка... Поздрави

Link to comment
Сподели другаде
nikikom Новобранец

nikikom

Публикувано
Публикувано

Лаптопът ни е зад рутер и няма друга инсталирана стена освен вградената при Win Vista. Друга не е нужна.

Е това какво е?

И аз съм зад рутер, но софтуерна стена нямам, рутера даже не ми стелтва портовете при пусната стена.

Link to comment
Сподели другаде
Гост tnn

Гост tnn

Публикувано
Публикувано
Свикнал съм портовете да са стелтнати и не виждам смисъл да изключвам стената на Win. Рутерът ми е Linksys от CISCO и не съм проверявал дали ги стелтва. Проверките чрез външно сканиране ми са достатъчни.
Link to comment
Сподели другаде
nikikom Новобранец

nikikom

Публикувано
Публикувано

Свикнал съм портовете да са стелтнати и не виждам смисъл да изключвам стената на Win. Рутерът ми е Linksys от CISCO и не съм проверявал дали ги стелтва. Проверките чрез външно сканиране ми са достатъчни.

И какво показват проверките чрез външно сканиране?

Link to comment
Сподели другаде
tanganika Новобранец

tanganika

Публикувано
Публикувано

С този рууткит се справят DefenseWall и MalwareDefender.

 

На клипа се вижда  http://www.box.net/shared/qx1l8xxn0a  че единственото което променям в настройките на Malware Defender е да премина от обучаващ в нормален режим.

 

 

Това е рууткита за тези които искат да тестват   http://www.box.net/shared/9lac1q99d5   Паролата на архива е 123

 

 

Странното е че на едната виртуална машина съм спрял ненужни сървиси както е описал Night_Raven в друг форум , та на тази машина програмите Comodo , Outpost Firewall Free , Online Armor Free ме известяват че този рууткит иска достъп до твърдия диск и след като блокирам заявката няма промени по MBR ,но на виртуалната машина на която не съм спирал ненужни сървиси проспиват всичко.

 

Проактивната защита на Касперски се проваля и на двете виртуални машини със и без спрени ненужни сървиси ,  въпреки че настройките съм му ги вдигнал на макс. 

Link to comment
Сподели другаде
Гост tnn

Гост tnn

Публикувано
Публикувано

И какво показват проверките чрез външно сканиране?

Сега отново проверих - всички портове са стелтнати и ме уведомяват, че компютърът е в безопастност. Преди време се е случвало да ми установяват отворен порт от вредоносен код или затворени /видими/ портове - като винаги се посочва точно кои са те. Тогава ти препоръчват разни неща или рекламират конкретни програми. Съзнателно съм стартирал творения за да проследя какви ще ги натворят и кои портове ползват. Преди време ми е било любопитно. За външни сканирания напоследък рядко се сещам.

Link to comment
Сподели другаде
Night_Raven Ентусиаст

Night_Raven

Публикувано
Публикувано

Странното е че на едната виртуална машина съм спрял ненужни сървиси както е описал Night_Raven в друг форум , та на тази машина програмите Comodo , Outpost Firewall Free , Online Armor Free ме известяват че този рууткит иска достъп до твърдия диск и след като блокирам заявката няма промени по MBR ,но на виртуалната машина на която не съм спирал ненужни сървиси проспиват всичко.

Конкретната услуга, която е от значение в случая, е Print Spooler (spoolsv.exe). TDSS използва нея за заразяване. Колкото до въпросните три програми, не мога да се съглася, че всичките "проспиват" опита за заразяване по този начин. Outpost Firewall Free наистина мълчи, ако Print Spooler е вече включена, но Comodo Firewall и Online Armor обаче се справят успешно.

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
 Share
Иди на предишната тема
×
×
  • Създай ново...