Защитни стени - въпроси, мнения, предимства, недостатъци

[Pe6o]

Здравей Pesho. Би ли обяснил при какви условея се получава така. Така написано, не мога да се съглася.

Отворен порт може да бъде невидим ако има:

 

Само изходащ трафик - При такова правило защитната стена ще блокира всички входащи пакети към тоя порт, не зависиму, че е отворен. За всички от интеренет, както и за pcflank.com порта ще изглежда невидим.

 

Има изходящ-входящ трафик, но входящия травик се филтрира по IP. Порта ще бъде видим само за оказаното IP в защитната стена и невидим за всички останали, както и за pcflank.com

 

Глобално правило за блокиране на всякакъв входящ трафик. Тук дори и с правило за входящ трафик от всички IP-а, порта ще е невидим за всички, както и за pcflank.com

 

При теб за NOD 32, или в защитната стена е оказано само изходящ трафик от порт 30606 или ако има и входящ, то той е само за определено IP, така че хем да е отворен, хем и невидим.

 

Относно зловреден код, правилата важът и за него.

 

Това са тестове от pcflank.com

Здравей niki.kom,

извинявай за закъснението.

Малко съм объркан от твойте обяснения.

Тук не става въпрос за трафик, употребих думата "слуша", което означава, че дадена програма е отворила даден порт за осъществяване на комуникация с

отдалечен сървър. Oпитах се с пример да обясня, защо не бива да отдаваме голямо значиние на понятието невидим или маскиран порт.В този смисъл е и мнението на Naight Raven изразено по късно в темата.

"Има изходящ-входящ трафик, но входящия трафик се филтрира по IP"

Нормално работещата стена/в смисъл когато няма критична ситуация/не филтрира входящите пакети по IP, а по съдържащите се данни в главата на всеки

преминаващ през нея пакет.Това означава,че стената ще пропусне всички пакети идващи от различни хостове/IP/съдържащи еднакви данни в главата на пакетите. Ако видиш лога на защитната стена, която използуваш ще видиш, че това е така.

Филтрирането на пакетите по критерий/IP,MacAdrs.../се извършва от стени или специализирани програми по т.н. технологиа "Stateful".Ти имаше запитване

в този смисъл.Когато някоя стена използува тази технология/обикновенно като опция, защото това е параноичен защитен модел/тя създава втори защитен слой, който обикновенно се намира в LSP стика и тука се филтрират всички преминали през стената пакети по критерий, напр.IP.

Ако ние сме подали заявка и в отговор Softvisia започне да зарежда страницата си изпращайки съотвените пакети от лога ще забележим, че заедно

през стената са преминали пакетите от Softvisia, така и такива от няколко други IP т.н. съпътващи адреси.Това са банери, реклами, картинки, броячи и

др.,който са част от сайта, но се хостват на друг адрес. Именно това са "жертвите" на "Stateful"а, които се филтрират по IP.

Твърд модел на тази технология предлага програмата "HTTPSupervisor", kоято не пропуска нито един пакет без наше позволение незавидимо от дестинацията.

 

http://img169.imageshack.us/img169/5949/2final.jpg

 

Night Raven от 28.09.09 написа:"Само тези настройки? Не виждам с какво помагат те на правилата на защитната стена."

Естествено, отношението е индиректно.Няма разлика дали ще създадеш правила за svchost.exe или ще дадеш статут на сервизите управлявани от същия файл. Неудобството при първият случай, че правило създадено за определено svchost.exe важи за всичките,докато при второто получаваме по голяма гъвкавост при настройките.

Що се отнася до конкретни настройки в по широк аспект нещата според мене би трябвало да изглеждат така:

 

http://img401.imageshack.us/img401/7611/firewall16final.jpg

 

Задължително блокиране на ntoskrnl.exe

С това се блокира комуникацията през порт 445, но не и работата на ntoskrnl.exe/най-добрият ""HIPS""/

Можем да работим без проблеми с блокиран svchost.exe ,но няма да можем да ползуваме някой сервизи, нпр.автоматичен ъпдейт, сверяване на часовника.

Също така можем да забраним напълно комуникацийте по UDP протокола, със същия ефект.

Бих препоръчал и пълна забраня на комуниацийте по ICMP протокола/ехо запитвания/, защото чрез него някой програми инсталират свой библиотеки без

да можем да контролираме това действие.

 

http://img401.imageshack.us/img401/2689/firewall3final.jpg

 

Когато се пусна новият дизайн на форума в компютрите на всички, който го ползувяме Softvisia инсталира няколко "свой" библиотеки. Това е нормална

процедура, но по принцип този тип комуникация представлява потенциална опасност за сигурността и би трябвало да се контролира.Въпросът ми е:

колко защитни стени хванаха това?

 

http://img401.imageshack.us/img401/5884/firewall11final.jpg

 

В тази връзка активирането на функциятя "Dll Authenticotion"/или нещо подобно ако се подържа от стената/ е задължително.

Използуванета на правила при персоналните защитни стени/за разлика от професиаоналните/ не е препоръчително, защото те са достатъчно добре формулирани по подразбиране. Например правило за блокирането по протоколо IGMP/задължително/ при Comodo е безсмислено,защото е дадено по подразбиране.Никъде не го пише, но трябва да се види от лога.

По въпроса за kill'ването:еталон в това отношение е "Process Hacker".Ако някой може да намери програма, която може да и устой да се обади. От тук и едно от най важните качества на една защитна стена е възможността и да се настройва или конфигурира така, че ако по някакъв начин бъде спряна автоматично да се блокира достъпът до мрежата. Мисля, че Comodo го подържа, но tanganika да провери.

 

http://img201.imageshack.us/img201/8035/newproject.jpg

[tanganika]

Pesho

По въпроса за kill'ването:еталон в това отношение е "Process Hacker".Ако някой може да намери програма, която може да и устой да се обади.От тук и едно от най важните качества на една защитна стена е възможността и да се настройва или конфигурира така, че ако по някакъв начин бъде спряна автоматично да се блокира достъпът до мрежата. Мисля, че Comodo го подържа, но tanganika да провери.

 

Symantec EP 11 ще устои на "Process Hacker" пробвай.Ще успеш да му убиеш процесите но той пак се активира автоматично.Може да се пробваш да му изтриеш и драйверите,аз лично не успях със SysProt.

 

 

И преди съм публикувал снимки как след като убия процесите на Комодо не разрешава достъп на приложение до интернет за което няма създадено правило.

Зловреден код няма да може да се възползва и от приложенията с право на достъп до нета защото HIPS-а му също продължава да спазва вече установените правила т.е. промени не са разрешени.

 

Ето и клип на проведения от мене тест след като убих процесите на Комодо.

http://rapidshare.com/files/291896862/The_very_best_from_COMODO.wmv.html

 

Outpost Firewall също не разрешава достъп до интернет на приложения за които няма правило след като му бъдат kill-нати процесите,но HIPS-а му спира да си върши работата.

[nikikom]

Пример:

В момента съм с NOD 32, който нормално "слуша" на порт 30606, т.е. този порт е отворен. Когато тестваме със скенерите на pcflank защитната стена го "маскира" и той за въпросните скенери става "невидим".По същият начин ако имаме отворен комуникационен порт от зловреден код, то той за pcflank ще е "невидим",както и за нас, но не и за отдалеченият хост с който комуникира.

Тестовете на pcflank не са лоши, но те дават представа за качествата на защитната стена, но не и за оперативната сигурност на системата като цяло.

Здравей Pesho. Имах предвид тази част от текста, която е в червено.

 

Според мен, не може да има комуникация, която да заобикаля защитната стена. Или приложение което се намира в състояние LISTEN, може и да не бъде вписъно в защитната стена, но това не е възвожно за приложение в състояние ESTABLISHED.

 

В този случай, приложението за да комуникира

трябва да е вписано в защитната стена, говоря за Анти-Хакер-а на Касперски, и вече зависи от правилото създадено за него, дали ще бъде маскиран порта за всички,

или през него ще може да осъществява връзка само определено IP.

 

За това казвам, че с това не съм съгласен

По същият начин ако имаме отворен комуникационен порт от зловреден код, то той за pcflank ще е "невидим",както и за нас, но не и за отдалеченият хост с който комуникира.

 

За протокола да спомена състоянията на една TCP връзка.

 

LISTEN. В това състояние устройството чака заявка за установяване на връзка от отдалечено устройство;

 

SYN-SЕNТ. В това състояние устройството е изпратило заявка за установяване на връзка и чака отговор за осъществяването и.

 

SYN-RECEIVED. В това състояние устройството чака потвърждение на неговата заявка за връзка. То вече е получило и изпратило заявка за потвърждение;

 

ESTABLISHED. Това е нормалното състояние на трансфер на данни. То съответства на отворена връзка между две устройства;

 

FIN-WAIT1. Това състояние възниква, когато устройството чака за заявка за приключване на сесията от отдалеченото устройство или за потвърждение на заявката за приключване на сесията, изпратена от него;

 

FIN-WAIT2. Това състояние възниква, когато устройството чака за заявка на приключване на сесията от отдалеченото устройство;

 

CLOSE-WAIT. Това състояние отговаря на времето, през което ТСР връзката чака за заявка за приключване на сесията от приложенията на по-високо ниво;

 

CLOSING. Това състояние възниква, когато устройството чака за потвърждение на заявката за приключване на сесията от отдалеченото устройство;

 

LAST-ACK. Това състояние възниква когато устройството чака за потвърждение на заявката за приключване на сесията изпратена към отдалеченото устройство;

 

TIME-WAIT. Това състояние възниква когато устройството е чакало определен период от време за да се убеди, че отдалеченото устройство е получило потвърждението на неговата заявка за приключване на сесията;

 

CLOSED. По принцип това не е състояние. То дефинира факта, че няма връзка между двете устройства.

[The Graverobber]

ползващите уиндоус 7 могат да комбинират стената с http://www.sphinx-soft.com/Vista/ получава се добра комбинация за контролиране на изходящия трафик

[Pe6o]

Здравей tanganika,

Symantec EP 11 ще устои на "Process Hacker" пробвай.Ще успеш да му убиеш процесите но той пак се активира автоматично.Може да се пробваш да му изтриеш и драйверите,аз лично не успях със SysProt.

Не се приема. Така, както описваш "Process Hacker" е спрял принудително "Symantec EP 11" а това, че се е възстановил е друга работа.По същият начин

ще действа всяко приложение защитавано от SSM/ опцията: задържай процеса в паметта/-ще се възстановява непрекъснато, но няма да бъде работоспособно.

Мисля, че няма да имам проблем с премахването на въпросни драйвъри, затова ще ти дам идея как да го направиш.

Например можеш да използуваш програмата: "The Avenger".Ако след изтриване обекта се възстановява намери вързаните с него записи в регистратурата

и се помъчи да ги премахвеш. Казвам "помъчи", защото съм сигурен, че доста ще трябна да си поиграеш с "permissions'ите.

Конкретно не си спомням, но нещо подробно съм писал тук или във форума на kaldata.

И преди съм публикувал снимки как след като убия процесите на Комодо не разрешава достъп на приложение до интернет за което няма създадено правило.

Зловреден код няма да може да се възползва и от приложенията с право на достъп до нета защото HIPS-а му също продължава да спазва вече установените правила т.е. промени не са разрешени.

Следя форума и знам, че си писал за тези неща, за който имам определени резерви, но тук става въпрос за нещо друго. Когато стената бъде спряна принудително и не бъде прекъсната връзката към мрежата, всеки що годе запознат с някой техники може да влезе в компютърати с "нечисни помисли и непрятни последици". Това, че се блокира достъпа на някой приложения към мрежата в случая няма значение, това е вторично действие. Основното е превенция на входящия трафик.

В тази връзка бяха и мойте два конкретни въпроса за Comodo: при kill'ване блокира ли достъпо до мрежата и контролира ли инсталацията на нови библиотеки.

Здравей nikikom,

Според мен, не може да има комуникация, която да заобикаля защитната стена. Или приложение което се намира в състояние LISTEN, може и да не бъде вписъно в защитната стена, но това не е възвожно за приложение в състояние ESTABLISHED.

Ако правилно тълкувам думата "вписан",като: "приложение намиращо се под контрола на защитнота стена", то всяко приложение със статус "LISTEN" или

някакъв друг задължително са се вписали в защитната стена, защото тя е "софтуерното устройстно" * определящо тези статуси.

И приключвайки с темата: когато показваш снимки с резултатите от тестовете pcflank означава, че стената ти не е настроена правилно.Когато същата

индекира, че някакъв хост извършва сканиране на портовете по някой от известните способи, тя трябва незабавно да блокира двустранният достъп от&до

въпросният хост и по този начин да го поставиш в положение "TarPit"./нещо като "пращане за зелен хайвер"/

Въпроси, който бих искал са уточним: според тебе стената може ли да отваря портове? и през маскиран порт може ли да се осъществява комуникация?

*Похвално е, че си дал разясненията за протокола,като си позволявам една корекция: когато правиш превода /ако не греша от руски/използувай вместо

"устройства" правилното "приложение" или може и "софтуерното устройство", но последното не се връзва с терминологията използувана у нас.

 

http://img201.imageshack.us/img201/8035/newproject.jpg

http://img147.imageshack.us/img147/5963/nm1aa.gif

[tanganika]

Pesho

Не се приема. Така, както описваш "Process Hacker" е спрял принудително "Symantec EP 11" а това, че се е възстановил е друга работа.По същият начин

ще действа всяко приложение защитавано от SSM/ опцията: задържай процеса в паметта/-ще се възстановява непрекъснато, но няма да бъде работоспособно.

Мисля, че няма да имам проблем с премахването на въпросни драйвъри, затова ще ти дам идея как да го направиш.

Например можеш да използуваш програмата: "The Avenger".Ако след изтриване обекта се възстановява намери вързаните с него записи в регистратурата

и се помъчи да ги премахвеш. Казвам "помъчи", защото съм сигурен, че доста ще трябна да си поиграеш с "permissions'ите.

Конкретно не си спомням, но нещо подробно съм писал тук или във форума на kaldata.

 

M-Power писа тук някъде в форума че стойностите на регистрите на Symantec EP 11 са с нулева стойност и унищожаването му е невъзможно.

Pesho

Следя форума и знам, че си писал за тези неща, за който имам определени резерви, но тук става въпрос за нещо друго. Когато стената бъде спряна принудително и не бъде прекъсната връзката към мрежата, всеки що годе запознат с някой техники може да влезе в компютърати с "нечисни помисли и непрятни последици". Това, че се блокира достъпа на някой приложения към мрежата в случая няма значение, това е вторично действие. Основното е превенция на входящия трафик.

В тази връзка бяха и мойте два конкретни въпроса за Comodo: при kill'ване блокира ли достъпо до мрежата и контролира ли инсталацията на нови библиотеки.

Връзката с интернет не е прекъсната но дори и след убиване на процесите му,Комодо продължава да си върши работата на 100%.Ако си гледал клипа който направих се вижда че преминава всички тези тестове https://www.grc.com/x/ne.dll?bh0bkyd2 въпреки че не се виждат активни процеси на Комодо а уиндоуската стена е изключена.

Клипа който направих

The very best from COMODO

 

Ако искаш може да тестваме Комодо в „сурова” среда когато кажеш му убивам процесите,IP 77.77.2.102 е на работния компютър пробвай каквото пожелаеш и за каквото се сетиш,при успех от твоя страна си сменям подписа.

[Night_Raven]

1. Comodo те защитава, защото не си "убил" драйверите й, които всъщност реално изпълняват филтрирането и защитата, а не процесите, които играят ролята на свръзка само, и си задал при неактивен интерфейс да се блокира абсолютно всичко, за което няма правила. Това е поведение тип anti-executable. Може да се постигне и с доста други програми: ProcessGuard, System Safety Monitor, Real-time Defender, Winsonar, Trust-No-Exe, Faronics Anti-Executable и др. Comodo не са открили топлата вода. Тя е открита от други, доста преди от Comodo да са имали представа от света.

2. След като си толкова уверен в Comodo, защо ползваш Sandboxie?

[tanganika]

1. Comodo те защитава, защото не си "убил" драйверите й, които всъщност реално изпълняват филтрирането и защитата, а не процесите, които играят ролята на свръзка само, и си задал при неактивен интерфейс да се блокира абсолютно всичко, за което няма правила. Това е поведение тип anti-executable. Може да се постигне и с доста други програми: ProcessGuard, System Safety Monitor, Real-time Defender, Winsonar, Trust-No-Exe, Faronics Anti-Executable и др. Comodo не са открили топлата вода. Тя е открита от други, доста преди от Comodo да са имали представа от света.

2. След като си толкова уверен в Comodo, защо ползваш Sandboxie?

Да прав си така е,някъде бях обяснявал на никсси че драйверите на Комодо защитават/отговарят за спазване на установените правила а не процесите.При Касперски положението е друго не е нужно да му унищожаваш драйверите достатъчно е да му килнеш процесите или му дадеш изход от иконата в трея „сваля гащите” като оставя ОС на пройзвола на съдбата + предупреждение от уиндоуса че няма включена защитна стена.

Не съм казал че Комодо са отрили топлата вода но от защитните стени само при него трябва да се премахнат драйверите за да бъде спрян т.е. не е достатъчно спирането на процесите му,което го поставя класи над останалите ( много по-труден е за елеминиране ).Не помня да съм задавал правила при неактивен интерфейс да се блокира абсолютно всичко,просто му спрях процесите когато е на параноичен режим от който не излиза никога.

 

Предполагах че ще има такъв въпрос защото в таск менаджера се вижда този процес

http://i38.tinypic.com/1182bv7.jpg

Не я ползвам,но и не мога да я деинсталирам,не откривам начин.

[Night_Raven]

Не помня да съм задавал правила при неактивен интерфейс да се блокира абсолютно всичко,просто му спрях процесите когато е на параноичен режим от който не излиза никога.

Поставил си отметка на тази опция:

http://www.ploader.net/files/bdd43397c5825fdf433cb86c43b54a91.png

 

Тя не е маркирана по подразбиране, а на твоя тест ясно се вижда, че е отметната (0:33 мин.).

 

А Sandboxie си има деинсталация като всяка друга програма.

[tanganika]

Поставил си отметка на тази опция:

http://www.ploader.net/files/bdd43397c5825fdf433cb86c43b54a91.png

 

Тя не е маркирана по подразбиране, а на твоя тест ясно се вижда, че е отметната (0:33 мин.).

 

А Sandboxie си има деинсталация като всяка друга програма.

Да вярно така е не съм обърнал внимание,но за мен е по-важно че се справя за разлика от другите защитни стени.

 

 

Последната версия на Sandboxie няма такава опция.

http://i34.tinypic.com/eskith.jpg

 

Не я откривам и тук

http://i37.tinypic.com/15xlbtc.jpg

http://i35.tinypic.com/2ufq5u9.jpg

Тук също не откривам файла с който да стартирам деинсталирането и.

http://i33.tinypic.com/34gu4g0.jpg

[Night_Raven]

Макар това да не е лоша екстра, не е нещо, което би било от решаващо значение при избора ми на защитна програма. На практика, ако си допуснал гадинката да ти прекрати процеса на защитната програма, то значи общо взето си заслужаваш това, което ще ти се случи.

 

A Sandboxie си има деинсталация. Това ти го гарантирам. Проблемът е в твоя телевизор.

[tanganika]

Макар това да не е лоша екстра, не е нещо, което би било от решаващо значение при избора ми на защитна програма. На практика, ако си допуснал гадинката да ти прекрати процеса на защитната програма, то значи общо взето си заслужаваш това, което ще ти се случи.

 

A Sandboxie си има деинсталация. Това ти го гарантирам. Проблемът е в твоя телевизор.

Не казвам че това трябва да е критерий при избор на защитна стена,всеки си има различни критерии за надеждност и качества.

Дано се случи в близките няколко години,защото на мене ми омръзна да търся тази гадинка която ще матира Комодо скуката е нетърпима.

 

 

Все ще изтърпя Sandboxie и FlexTpe до следващия формат,който за съжаление не се очертава да е скоро.Поздрави

[nikikom]

Здравей Pesho.

 

според тебе стената може ли да отваря портове?

Порта се отваря от приложението или се раздава от операционната система.

 

през маскиран порт може ли да се осъществява комуникация?

Защитна стена която филтрира пакети, може да бъде настроена да не допуска всякакви пакети, освен от определено IP или определен порт, или двете заедно.

Така за всички порта ще е филтриран (не видим/достъпен) освен за определено IP/порт записани в заглавната част на

пакета.

Ако има правило, входящ трафик за Skype на порт 80, но само от отдалечен порт 3333, и без филтър за протокол и IP, то ще може да се свърже само този със Skype, който ползва оказания порт в защитната стена или ползва някое приложение за пренасочване на портове.

 

Така разбирам маскиран порт. Едновременно достъпен за едни и не достъпен за други.

[Night_Raven]

Не казвам че това трябва да е критерий при избор на защитна стена,всеки си има различни критерии за надеждност и качества.

Дано се случи в близките няколко години,защото на мене ми омръзна да търся тази гадинка която ще матира Комодо скуката е нетърпима.

Знаеш ли, мисля си, че си много самоуверен, защото Comodo се справя добре на всеки тест, на който я подложиш. Абстрахираме се от факта, че не е единствената. И си мисля, че в действителност би се заразил, ако започнеш да попадаш на гадинки, за които не знаеш, че са такива. И баба ми би се оправила с преминаване успешно на тестове или блокиране на зловреден код, ако знае, че това, което й предстои да стартира, ще се държи по-определен начин. То тогава е ясно, че ще се дава Block до спукване. Ако обаче се поровиш из интернет, без да отваряш линкове, за които си наясно вече, че са опасни, си мисля, че ще се издъниш. Не Comodo, а ти самият. Тогава би разбрал, че не е само до защитна програма, ами и до задклавиатурно устройство. Докато обаче се занимаваш само с преценени и изолирани тестове, това няма как да ти стане ясно и ще продължиш да си плямпаш само едно и също нещо като развалена плоча.

 

Колкото до FlexType, тя може да бъде премахната и без преинсталация.

[Гост tnn]

Tanganika, пробвал ли си Defense+ на Comodo в самостоятелен режим? Този режим възниква след исталация на Comodo Antivirus и изключване след това на антивируса от настройките му. Проактивната защита си функционира впечатляващо и сама. Може да се комбинира с други защитни стени и антивируси - получават се интересни защитни конгломерати.На мен доста ми хареса варианта с Privatefirewall Free - и с изключен антивирус ми допада повече.Тези остатъци от Sandboxie и FlexTpe защо не ги отстраниш ръчно? Намери ги къде са и ги изтрий. Ако се инатят - има програми за изтриване на защитени файлове. MBAM също е окомплектована с подобен инструмент. Поздрави