Saule Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 И какие же это способы ? А то тут на днях на меня Saule начала наезжать по поводу многоуровневой защиты. Я наехала не по поводу многоуровневой защиты, а по поводу безтолкового флуда и ваших советов из серии "Выкинь свою прогу, поставь другую, потому что профи..." :( Если вы не собираетесь рассказывать о своей модели многоуровневой защиты, так зачем тогда об этом упоминать? Если вы что-то пишите, то, пожалуйста, пишите по делу. Флудеров, рассуждающих ни о чем, на форуме и так хватает. Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 Во многом согласен с barsukRed но с ключевым замечанием "фаеры - это фигня" не согласен. Файрволлы нужны, от их возможностей зависит многое. Затыкать порты или банить прогу, это уже конкретные вопросы. А фильтр по портам и пакетам нужен в любом случае, для затыкания дырок и вообще.... что касается прог даже если трой попал на рабочую станцию, то персональный фаер может ее просто забанить... тоже меньше проблем, и потом вычистить. Потом многие файрволлы гасят атаки, и не позволяют реагировать ОС, это тоже хорошо, когда атакующий на свою кучу пакетов не получает ничего. Так что файрволлы нужны. Хорошо,давайте по порядку.Представьте открытую дверь Вашей квартиры,поставьте возле нее охранника-жлоба,у него корочки что имеет черный пояс по карате.Вы ему верите? Поставили у двери-значит поверили.А теперь вор. Он Вам корочки не показывал,но имеет разряд по боксу.Оказалось жлоб Вас обманул,корочки он купил на блошином рынке и расчитывал он только на свой грозный вид.Вор его вырубил,и из квартиры все вынес. :( Мораль: не доверяйте жлобам в красивой упаковке,тем более если сами не знаете рукопашного боя(чтобы проверить жлоба-имеет на самом деле он черный пояс или нет!).Закройте дверь плотно,желательно на замок(ОТКЛЮЧИТЕ УЯЗВИМЫЕ СЛУЖБЫ windows!!!) и сделайте так,как советует Saule здесь:Важно знать! - СофтФорум и тогда не надо будет бегать за зверем по всей ОС. Потом многие файрволлы гасят атаки, и не позволяют реагировать ОС, это тоже хорошо, Чьи атаки? Случайное сканирование? От заточенной специально для Вас атаки фаер не спасет! Не помню,кажется в январе на форуме у Касперского периодически сканировался 445 порт,но это же не говорит о злонамерениях! P.S. Хотелось бы, чтобы в фразах о двери и охранниках были проведены правильные аналогии. :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 Потом многие файрволлы гасят атаки, и не позволяют реагировать ОС, это тоже хорошо, Да я имел в виду случайные атаки, а основном но сталкивался и с организованными, с которым приходилось работать "интерактивно" :( Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 Но случайное сканирование не несет агрессии. Это может быть банально плохо работающий ближайший маршрутизатор. :( Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 А так же IP спуффинг, DDoS.... и прочая просто имея ай пи, целенопраленная атака имееет смысл только в том случае, если нужны конкретные данные, чего в большинстве случаев не наблюдается................ Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 А так же IP спуффинг, Вы имеете ввиду IP-Spoofing (Спуфинг или Подмена IP адреса). ? Вы модератор сайта? :) Если нет то взломщику Вы не нужны. Для такое атаки нужно чтобы у Вас были привелегии... DDoS.... и прочая просто имея ай пи, :) Вы же не сервер... Тем более не DNS... :( целенопраленная атака имееет смысл только в том случае, если нужны конкретные данные, чего в большинстве случаев не наблюдается :) Ошибаетесь, атакующему нужен ваш комп,чтобы сделать из него: 1.прокси для себя. 2.Ваши пароли... Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 Интересно, а вы когда нибудь сталкивались с тем , что фаер можно настроить таким образом, что его обойти будет возможность, но равная она буде 1%... А если его обойти , то можно будет положиться на HIPS, конечно не полностью, но...Тем более нужну быть тогда сверх важным человеком, дабы вас так обрабатывали. А если смотреть на вещи с реальной стороны, то фаер спасет и от всякого мусора=) Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 Интересно, а вы когда нибудь сталкивались с тем , что фаер можно настроить таким образом, что его обойти будет возможность, но равная она буде 1%... Прошу Вас,скажите,где Вы взяли такой процент? Нет,с таким процентом я не сталкивался. :) Как зто сказать мягче... Он нереален. Я обосновал свою позицию в постах выше. С удовольствием прочитаю Ваше обоснование. :) Тем более нужну быть тогда сверх важным человеком, дабы вас так обрабатывали. Выше я уже писал про это. А если смотреть на вещи с реальной стороны, то фаер спасет и от всякого мусора=) Про мусор прошу поконкретнее. :) Очень интересно... Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 Обычный HIPS (т.е. несовмещенный с файрволлом) контролирует только межпроцессное взаимодействие. Файрволл же нужен для контроля над сетевыми соединениями, как входящими, так и исходящими. И последнее (сетевые соединения), как может быть связано, так может быть и не связано с первым (контролем межпроцессного взаимодействия). Вирус может не производить никаких действий, которые могут быть засечены HIPS-системой, и при этом спокойно отправлять данные о вашем компьютере в сеть. Да и не обязательно вирус, речь может идти о нормальной программе, которая, к примеру, при своем запуске соединяется со своим сервером для того, чтобы проверить наличие обновлений (как пример: Adobe Acrobat Reader). Согласитесь, о таких вещах всегда полезно знать. Автообновление можно и нужно отключать на уровне самой программы. Считаю очень важно не держать сервисы установленных программ третьих фирм на "авто". Обоснование: программы,скачанные из интернета, могут быть написаны специально для шпионажа(например редактор звука или если хотите-бесплатный ФАЕРВОЛЛ), или доработаны и залиты по новой на сервер.Думаю с этим Вы согласитесь. Поэтому постоянно держать запущенный сервис красивого дифрагментатора очень опасно.Это не паранойя,это здравый смысл. HIPS осуществляет контроль за запуском сервисов. Так-же не пройдет внедренная dll мимо HIPS. Конечно мы считаем что HIPS установлена на незараженную систему. Ссылка на комментарий Поделиться на другие сайты Поделиться
torch777 Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 Под "мусором" я подразумеваю всякого рода сообщения, маскированные под обычные сообщения ОС, всяку выскакивающую муть. Но, конечно, ограничив все сервисы, можно себе позволить и расслабиться, но случись, что фаер скажет:- ага, такая то программа, соед. с тем то , а там смотришь, программка то не твоя! Конечно имея руки и голову можно обойти все включая HIPS, но используя в связке то и то, можно малость расслабиться. А 1%, это еще при случае всех закрытых дыр в OC соответсвенно=) Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 А 1%, это еще при случае всех закрытых дыр в OC соответсвенно=) :) Вы не писатель-фантаст случайно? Если Вы имели ввиду обновления Windows, то-ТАКОГО НЕ БЫВАЕТ! :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 (изменено) barsukRed Я имел в виду как раз корпоративные сервера со статикой. И данные совсем не личные. P.S. А если вы "профи", то почему вместо того чтобы все ругать, не посоветовать нормальную IDS? Вот почему бы Вам этого не сделать? А еще лучше провести анализ IDS-систем и их проблемы/ выгоды/ слабости..... Изменено 10 июня, 2007 пользователем Timba Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 barsukRed Я имел в виду как раз корпоративные сервера со статикой. И данные совсем не личные. :( Эту информацию Вы нигде не публиковали. :) P.S. А если вы "профи", то почему вместо того чтобы все ругать, не посоветовать нормальную IDS? Вот почему бы Вам этого не сделать? А еще лучше провести анализ IDS-систем и их проблемы/ выгоды/ слабости..... :) Вы ошибаетесь,я никого не ругаю,и не говорил что я профи. :) Обратите внимание на смайлики. Мы ведем беседу по теме:"Нужен ли вам фаерволл" и анализ IDS-систем здесь не уместен. А если Вы на что-то обиделись,то прошу извинить.Не хотел. Всегда стараюсь беседовать крайне корректно. :) Честное слово в моих словах нет ничего обидного. Жаль,что Вы так подумали... :) Но от своего мнения не откажусь и готов прочитать обоснованные мнения других. Ибо в споре рождается истина. :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Timba Опубликовано 10 июня, 2007 Жалоба Поделиться Опубликовано 10 июня, 2007 barsukRed нет, не публиковал IDS - если Вы используете ( а по вашим постам так иесть) кинте инфу Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 11 июня, 2007 Жалоба Поделиться Опубликовано 11 июня, 2007 to Timba: Хорошо,если Вам интересно-пишу в личку. :D Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 11 июня, 2007 Жалоба Поделиться Опубликовано 11 июня, 2007 Под "мусором" я подразумеваю всякого рода сообщения, маскированные под обычные сообщения ОС, всяку выскакивающую муть. Но, конечно, ограничив все сервисы, можно себе позволить и расслабиться, но случись, что фаер скажет:- ага, такая то программа, соед. с тем то , а там смотришь, программка то не твоя! Конечно имея руки и голову можно обойти все включая HIPS, но используя в связке то и то, можно малость расслабиться. А 1%, это еще при случае всех закрытых дыр в OC соответсвенно=) Вы не находите, что проще не запустить вирус, чем потом воевать с ним? :D Ссылка на комментарий Поделиться на другие сайты Поделиться
Iomhar Dealgach Опубликовано 11 июня, 2007 Жалоба Поделиться Опубликовано 11 июня, 2007 Вы не находите, что проще не запустить вирус, чем потом воевать с ним? :D Был бы здесь священник - он бы сказал: "Истину глаголешь, сын мой!" :D Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 11 июня, 2007 Жалоба Поделиться Опубликовано 11 июня, 2007 (изменено) Автообновление можно и нужно отключать на уровне самой программы. Считаю очень важно не держать сервисы установленных программ третьих фирм на "авто". Обоснование: программы,скачанные из интернета, могут быть написаны специально для шпионажа(например редактор звука или если хотите-бесплатный ФАЕРВОЛЛ), или доработаны и залиты по новой на сервер.Думаю с этим Вы согласитесь. Интересно каким образом (без включенной фильтрации исходящих соединений) вы определите, делает ли эта программа запросы в сеть или нет. И неужели вы думаете, что каждая из них добросовестно предоставляет возможность отключения автообновлений (тем более, если цель написания этой программы прямым образом связана со шпионажем)? И не важно, установлен ли тип её запуска на авто - вполне достаточно того, что вы изредка будете запускать её вручную. Вы не находите, что проще не запустить вирус, чем потом воевать с ним? :D По поводу проще - никто и не спорит. Но далеко не во всех ситуациях можно понять, что перед вами действительно вирус. Или вы тоже считаете, что файрволл - это фигня? :) Изменено 17 марта, 2011 пользователем Saule Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 11 июня, 2007 Жалоба Поделиться Опубликовано 11 июня, 2007 Интересно каким образом (без включенной фильтрации исходящих соединений) вы определите, делает ли эта программа запросы в сеть или нет. И неужели вы думаете, что каждая из них добросовестно предоставляет возможность отключения автообновлений (тем более, если цель написания этой программы прямым образом связана со шпионажем)? Конечно для каждого случая нужен свой подход и я не стал бы подводить все "под одну гребенку". Для таких программ факт открытия порта крайне желателен и зловред его откроет. Tcpview.exe-для контроля. Вы это мне объясняете? Поверьте, что я то как-раз была в курсе еще за долго до того, как обычные пользователи, вроде вас, начали понемножку узнавать о HIPS-системах :D Всем молодым свойственна вспыльчивость(не обижайтесь на меня) :D Конечно же я Вам верю. :D Только я Вам ничего не объяснял а высказал свою точку зрения. Не нужно было? :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 11 июня, 2007 Жалоба Поделиться Опубликовано 11 июня, 2007 Конечно для каждого случая нужен свой подход и я не стал бы подводить все "под одну гребенку". Для таких программ факт открытия порта крайне желателен и зловред его откроет. Tcpview.exe-для контроля. Tcpview.exe позволяет лишь контролировать, а не блокировать. Всем молодым свойственна вспыльчивость(не обижайтесь на меня) Конечно же я Вам верю. :) Только я Вам ничего не объяснял а высказал свою точку зрения. Не нужно было? :) Речь шла о файрволле, а не о HIPS-системе, поэтому напоминать о контроле за запуском сервисов было не совсем в тему, хотя и выглядело с вашей стороны очень мило (т.к. в любом случае, мне как-то абсолютно по барабану, что и как вы используете или будете использовать в своей системе) :) Ссылка на комментарий Поделиться на другие сайты Поделиться
NickGolovko Опубликовано 11 июня, 2007 Жалоба Поделиться Опубликовано 11 июня, 2007 По поводу проще - никто и не спорит. Но далеко не во всех ситуациях можно понять, что перед вами действительно вирус. Или вы тоже считаете, что файрволл - это фигня? Нет, не фигня. :) Просто если разумно управлять политикой в области приложений, можно работать и без брандмауэра. К сожалению, не у всех есть такая возможность. Тем не менее, если malware уже запущено, наличие брандмауэра может не быть существенно. Вспомните PC Flank Leaktest. Еще один фактор - не каждый вирус, обменивающийся данными с сетью, можно так уж просто контролировать брандмауэром. :) Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 11 июня, 2007 Жалоба Поделиться Опубликовано 11 июня, 2007 Tcpview.exe позволяет лишь контролировать, а не блокировать. А я,с Вашего позволения, и говорил о контроле. Не нужно блокировать то,что не попадет в систему. Речь шла о файрволле, а не о HIPS-системе, поэтому напоминать о контроле за запуском сервисов было не совсем в тему, хотя и выглядело с вашей стороны очень мило (т.к. в любом случае, мне как-то абсолютно по барабану, что и как вы используете или будете использовать в своей системе) :) Уважаемая Saule,Вы конечно внимательно читали мои сообщения и конечно-же обратили внимание на то,что я не рассказывал о своей системе защиты. Я писал,что вожможно построить защиту без фаерволла. :) И наше обсуждение началось с поста №39 (разве нет?)"Обычный HIPS (т.е. несовмещенный с файрволом...." Вот и зашло русло беседы в эту сторону. Я,например,считаю что спор удался. :) Мне было интересно. Только,вот,с чего начали-к тому и пришли. А,вот,с последней Вашей фразой:"мне как-то абсолютно по барабану, что и как вы используете..." Тут позвольте Вам не поверить! Если-бы Вам было "по барабану" что там у пользователей(простых,как я :) ) Вас бы на форуме не было. Я прав? :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Iomhar Dealgach Опубликовано 11 июня, 2007 Жалоба Поделиться Опубликовано 11 июня, 2007 Нам Всем тут, в большей или меньшей мере, не по барабану (ИМХО of course!)!!! Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 11 июня, 2007 Жалоба Поделиться Опубликовано 11 июня, 2007 (изменено) А я,с Вашего позволения, и говорил о контроле. Не нужно блокировать то,что не попадет в систему. В системе уже изначально слишком много того, что обязательно нужно блокировать. И исключить все подобные компоненты из этой системы - не всегда есть возможность. Я писал,что вожможно построить защиту без фаерволла. :) Качественную защиту (как сети, так и отдельного компьютера) без файрволла, к сожалению, не построить. Тем более, многоуровневую. Сможете вы это понять или нет - на самом деле не так уж и важно. Могу лишь в чем-то помочь (именно по этим причинам я есть на форуме) и только в том случае, если эта помощь на самом деле нужна - насильно я делать это не буду :) Изменено 17 марта, 2011 пользователем Saule Ссылка на комментарий Поделиться на другие сайты Поделиться
barsukRed Опубликовано 11 июня, 2007 Жалоба Поделиться Опубликовано 11 июня, 2007 В системе уже изначально слишком много того, что обязательно нужно блокировать. И исключить все подобные компоненты из этой системы - не всегда есть возможность. Не в обиду,для примера,какие компоненты? (Умоляю! Не обижайтесь. Мне,юзеру,страсть как хочется все знать.Поэтому и спрашиваю.) Качественную защиту (как сети, так и отдельного компьютера) без файрволла, к сожалению, не построить. Тем более, многоуровневую. А по поводу отдельного компьютера: если каждый пользователь поймет,что МОЖНО защититься индивидуально без антивирусов и фаерволов-весь этот бизнес (да,да.Именно хороший,доходный бизнес!) по производству антивирусов улетит в "тар-тарары"! Вы ведь сами тоже не особо этому программному обеспечению доверяете! Ведь правда? Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения