Защитни стени - въпроси, мнения, предимства, недостатъци

[Night_Raven]

О, аз не съм казал, че тестовете са преувеличени, нито че не са верни. Нямам и намерение да го твърдя. Това, което имах предвид, беше, че всъщност наистина донякъде считаш нещата за черно-бели. Хвалиш продукта, който е на първо място и общо взето това е. Хвалиш така, сякаш другите не си струват. Не зная дали мислиш, че не си струват наистина, но така изглежда/звучи по думите ти. Вглъбяваш се много навътре и не гледаш по-голямата картина. Ако гледаме на нещата в черно-бял режим, да, продукт X е по-добър от продукт Y. Ако обаче погледнем на нещата по-глобално виждаме, че разликите не са големи и за един средностатистически потребител всяка една от тези програми ще му свърши добра работа от гледна точка на защита. Не са само програмите в най-най-горната част на класацията, които са добри. Дори Webroot Desktop Firewall според мен предлага една чудесна защита (това е на практика Privatefirewall с логото на Webroot), нищо че в Matousec тя има статут "Poor" и "Not recommended". Дори Mamutu, която е в дъното на първата таблица, предлага една доста прилична защита за един обикновен потребител.

Гледаш на нещата много едностранчиво и не вземаш под внимание и много други фактори, които са също от значение.

Да вземем за пример текущия лидер (Online Armor) и последната в синята зона (Outpost Security Suite). Разликите между тях от гледна точка на защита са на практика каквито са между да речем един автомобил с максимална скорост от да речем 200 Км/ч и друг с 190 Км/ч. Колко хора и в колко ситуации успяват да се възползват от тази максимална скорост? Сложи ги в градски условия и гледай тези максимални скорости от какво значение ще бъдат. Особено в някое софийско задръстване. Или друга гледна точка: обикновен работещ човек има нужда от автомобил да пътува до работа и обратно, т.е. това му е 98% от шофирането. Мислиш ли, че един Mercedes S класа ще е реално по-полезен и ще върши по-добра работа от да речем някое по-скромно автомобилче от по-нисък клас (абстрахирам се за момент от икономия на гориво и др.). В крайна сметка на един човек с по-скромни нужди не му трябва най-доброто/скъпото, за да му е достатъчно да си свърши работата.

[tanganika]

Да прав си виждам нещата черно-бели или ако е гарга да е рошава.Средностатистическия потребител може и с Уиндоуската стена + Аваст или Авира при условие че влиза само в доверени сайтове (въпреки че понякога и те са заразени) но рано или късно ще искат помощ примерно в този форум как да разкарат някой rootkit,примери много.Но тъй като не обичам ограниченията къде да влизам и какво да отварям ми е нужна възможно най-добрата защита,а не мога да коментирам продукт който не съм ползвал например Webroot Desktop Firewall.

Въпреки че Outpost Firewall Free 2009 е на трето място бих я препоръчал на всеки.Инсталирах я преди малко и съм изключително впечатлен от простота (елементарна за настройване от всеки),лекота/ресурси и т.н.,няма за какво да се хвана което да не ми харесва.Като взема предвид резултатите и от теста + подсигуровката и с ProcessGuard дълго време ще търся по-добра защитна комбинация от тази.По време на инсталирането на стената, ProcessGuard спря/предупреди за инсталирането на някакъв Sandbox.

[Night_Raven]

Да прав си виждам нещата черно-бели или ако е гарга да е рошава.Средностатистическия потребител може и с Уиндоуската стена + Аваст или Авира при условие че влиза само в доверени сайтове (въпреки че понякога и те са заразени) но рано или късно ще искат помощ примерно в този форум как да разкарат някой rootkit,примери много.Но тъй като не обичам ограниченията къде да влизам и какво да отварям ми е нужна възможно най-добрата защита,а не мога да коментирам продукт който не съм ползвал например Webroot Desktop Firewall.

Въпреки че Outpost Firewall Free 2009 е на трето място бих я препоръчал на всеки.Инсталирах я преди малко и съм изключително впечатлен от простота (елементарна за настройване от всеки),лекота/ресурси и т.н.,няма за какво да се хвана което да не ми харесва.Като взема предвид резултатите и от теста + подсигуровката и с ProcessGuard дълго време ще търся по-добра защитна комбинация от тази.По време на инсталирането на стената, ProcessGuard спря/предупреди за инсталирането на някакъв Sandbox.

Момент, момент. Не намесвай в случая антивирусни. Говорим конкретно за HIPS програми. Не е нужно да имаш най-доброто и подробното, за да си защитен. Дори един ProcessGuard Free би свършил много добра работа на една доста голяма част от потребителите. Разбира се, че ще има ситуации, в които ProcessGuard ще е недостатъчна, но това няма да са толкова много. Колкото по-нагоре се качваме в подробността на защитата на дадена програма, толкова по-малки са разликите спрямо по-простички програми и толкова по-рядко ще влизат в употреба. Т.е. най-важните неща се намират във всички сносни HIPS програми, които са достатъчни в много ситуации. Някои функции за по-напреднали се намират в по-малко на брой програми, но те са приложими и в по-малко ситуации. Най-детайлните и подробни защитни механизми се намират в много малко програми, но пък те и са още по-рядко приложими.

Представи си врата с една ключалка. Ако вратата е заключена, ще са малко хората, които ще могат да влязат, без да имат ключа. Т.е. това е достатъчно, за да спре повечето хора. Ако добавиш още една ключалка от друг тип, ще намалиш още бройката на тъмните субекти, които биха могли да се вмъкнат в апартамента ти, но като процент разликата между "с ключалка 1" и "с ключалки 1+2" няма да е като разликата между "без ключалка" и "с ключалка 1". Ако добавиш трети тип ключалка, ще получиш още по-висока сигурност, но като процент блокираните бандити ще са още по-малко и от тези, които успя да блокираш при монтирането на втората ключалка. Няма кой знае какъв смисъл човек да се вманиачава да слага примерно 8 ключалки, след като да речем 5 ще са достатъчни, за да го защитят от почти всички бандити. Шансовете да се попадне на бандит, който да преодолее първите 4-5, за да има реална полза от останалите 3-4, са минимални. А ако повечето на брой ключалки означават по-сложна работа с тях, то това не е предимство. По-добре да имаш по-малко на брой ключалки, но да знаеш как да заключваш с тях, отколкото да имаш повече ключалки и да не можеш да си заключиш вратата с тях.

Мисълта ми е, че в повечето случаи и по-прости HIPS програми се оказват достатъчни и няма нужда от по-сложни механизми, ако е реагирано както трябва и навреме.

 

Бих ти казал, че при наличието на Outpost Firewall Free нямаш нужда от ProcessGuard, но надали ще има смисъл и ще продължиш да си мислиш, че се допълват.

[tanganika]

Бих ти казал, че при наличието на Outpost Firewall Free нямаш нужда от ProcessGuard, но надали ще има смисъл и ще продължиш да си мислиш, че се допълват.

Не мога да открия драйверите на Outpost Firewall да се зареждат на ниво kernel.

HIPS-а на Outpost Firewall не следи за изпълняване на rundll32.exe:

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241302299-640.jpg

Това няма ли значение,второстепенно ли е,не представлява ли уязвимост за ОС и програмите ?

[Night_Raven]

Ще е добре да не се изказваш наизуст. Outpost Firewall си "следи за изпълняване на rundll32.exe". Просто не е включена въпросната опция по подразбиране. Защо е така обаче не знам. В настройките на стената иди в Host Protection -> Customize... и сложи отметка на Network-enabled application launch.

Ако и тогава не проработи, допускам, че Outpost Firewall си е създавал вече автоматично правила за ситуацията, които може да се наложи да изтриеш.

[tanganika]

Outpost Firewall си "следи за изпълняване на rundll32.exe". Просто не е включена въпросната опция по подразбиране. Защо е така обаче не знам. В настройките на стената иди в Host Protection -> Customize... и сложи отметка на Network-enabled application launch.

 

Никога не ползвам защитни програми по-подразбиране всичко слагам на макс.

 

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241328480-510.jpg

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241327858-520.jpg

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241327888-170.jpg

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241327916-670.jpg

 

Въпреки всички опити и настройки реакция от Outpost Firewall няма.

[Night_Raven]

При мен има. Постарай се повече.

[tanganika]

Да открих въпросната опция,но въпреки забраната която дадох получих достъп

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241333753-080.jpg

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241333778-980.jpg

При ProcessGuard реакцията е друга

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241333918-780.jpg

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241333943-740.jpg

Защо Outpost Firewall не реагира при команда start - run - regedit ,HIPS-а на ProcessGuard иска разрешение за да продължа.

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241334382-870.jpg

[damto]

Ще е добре да не се изказваш наизуст. Outpost Firewall си "следи за изпълняване на rundll32.exe". Просто не е включена въпросната опция по подразбиране. Защо е така обаче не знам. В настройките на стената иди в Host Protection -> Customize... и сложи отметка на Network-enabled application launch.

Ако и тогава не проработи, допускам, че Outpost Firewall си е създавал вече автоматично правила за ситуацията, които може да се наложи да изтриеш.

 

Най добре според мене да се въстановят настройките в първично положение,да се вдигне нивото като се огледат настройките във втората графа на HOST протекцията и естествено стената да не е в обучаващ режим.

[Night_Raven]

Слава на виртуалните машини...

 

При мен:

 

http://i42.tinypic.com/99e5uq.png

 

http://i40.tinypic.com/24phswm.png

 

 

Може би да трябва да пипнеш и тези неща:

 

http://i41.tinypic.com/semxs1.png

 

и

 

http://i40.tinypic.com/2e4dqgw.png

 

Мислиш ли, че стената щеше да е толкова напред в тестовете на Matousec, ако не можеше да е справи с толкова елементарно нещо?

[tanganika]

Грешката е моя трябвало да направя ето така:

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241368037-130.jpg

 

За разлика от ProcessGuard , Outpost Firewall ми дава свободен достъп до тези настройки,които съм оградил в червено.

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241368185-670.jpg

 

Въпреки даденото разрешение

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241368441-520.jpg

 

Задачата е завършила с неуспех,а стената не реагира по никакъв начин.

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241368503-470.jpg

 

Никаква реакция на Outpost Firewall

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241370096-50.jpg

 

Outpost Firewall не блокира инсталиране на драйвери,което не е много приятно ако попадне някой rootkit на твърдия диск.Поради тази причина все още смятам че ProcessGuard не е излишен и има какво да допълва в защитата на стената.

 

Ситуацията обаче е различна при ProcessGuard въпреки даденото разрешение

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241370234-30.jpg

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241370277-20.jpg

[Night_Raven]

При мен Outpost Firewall Free си реагира при опит да се зареди SysProtDrv.sys:

http://i40.tinypic.com/ibfmee.png

 

След блокиране такъв драйвер не се зарежда и файлът SysProtDrv.sys не се създава в папката с изпълнимия файл на SysProt AntiRootkit. Ако разреша зареждането на драйвера, файлът си се създава.

Т.е. Outpost Firewall Free си засича инсталацията на драйвери без проблеми. Не знам ти какво си човъркал по нея.

Ако шотовете не са достатъчни, ще ти направя и клипче.

[tanganika]

При мен Outpost Firewall Free си реагира при опит да се зареди SysProtDrv.sys:

След блокиране такъв драйвер не се зарежда и файлът SysProtDrv.sys не се създава в папката с изпълнимия файл на SysProt AntiRootkit. Ако разреша зареждането на драйвера, файлът си се създава.

Т.е. Outpost Firewall Free си засича инсталацията на драйвери без проблеми. Не знам ти какво си човъркал по нея.

Ако шотовете не са достатъчни, ще ти направя и клипче.

Да така е Outpost Firewall блокира и инсталацията на драйвери не го бях изтрил от създадените правила (не съм го видял) грешката е моя.

Открих и кои са драйверите на Outpost Firewall които се зареждат на ниво kernel

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241375042-070.jpg

Дали обаче HIPS-а на Outpost Firewall блокира/защитава от подобни атаки/промени,как да я тествам ?

http://www.plaatjesupload.nl/bekijk/2009/05/03/1241375300-170.jpg

[Night_Raven]

Защитава.

Всички нужни тестове и информация ги има на сайта на Matousec. Разгледай различните нива на тестове подробно + тази страница.

[Charmed]

COMODO е перфектна защитна стена за мен. Тази другата не съм я пробвал, но преди него пробвах няколко защитни стени, но въпреки това щом пуснех нета и до 30 мин Windows-а беше вече пострадал и само защото почти не изключвам компютара през ден преинсталипах Windows-а. След COMODO атаките на хакера който ме атакуваше спряха. Ето ви реален пример за него. Чак до толкова другите бяха слаби, че онзи гад си лепеше иконки по декстопа, старт менюто и така на татъка. От както съм с COMODO мога да спя спокойно и да не се стряскам, че компютъра ми ще пострада.

 

ПП:

За да има по голяма защита е хубаво защитната стена да е съчетана със динамичен IP адрес, че статичният и релен е най-лесен за хакване.