Брандмауэр Windows vs Сторонний Firewall

Игорь · 25-09-10 15:08:52

Plutonium пишет:

А как вам такой сюжет: мы качаем какую-нибудь программку, ставим ее, а вместе с ней в инсталлере сидит маханький троянчик, заботливо добавленный туда третьими лицами.
Троянчик запускается, смотрит пароли на ftp в Total Commander и FileZilla а потом беспрепятственно пересылает их своему создателю. Ну как?

Жизненно. Но учитывая, что главная уязвимость находится в голове пользователя, то, как правило, даже такие комбайны как KIS не помогают. Ничего не мешает этому трояну вырубить фаерволл, либо внедриться в процесс доверенного приложения и выполнить свои деструктивные действия.
Есть, конечно, еще самозащита и проактивная защита, но и это не панацея, особенно если юзер не обладает необходимыми знаниями по системе и сетям, а также работает под админом.
Вот еще интересное мнение:

Клиентские брандмауэры и "театр безопасности"
Многие люди не знали о том, что первый выпуск Windows® XP содержал клиентский брандмауэр. Это и не удивительно, так как по умолчанию брандмауэр был выключен, а включить его можно было, сделав довольно много щелчков мышью. Брандмауэр просто появился, причем достаточно скрытно, при этом не настаивая на своем использовании и не давая руководств по применению. Но он действительно работал. Если бы вы включили этот брандмауэр, то он защитил бы вас от вирусов Nimda, Slammer, Blaster, Sasser, Zotob и любых других попыток передать непрошенный трафик через порт вашей сети. Понимания важность защиты клиента, разработчики пакета обновления 2 (SP2) для Windows XP включили брандмауэр по умолчанию, создали два профиля (Интернет и корпоративная сеть) и интегрировали его с групповыми политиками.
К сожалению, два фактора замедлили восприятие брандмауэра Windows XP SP2: проблемы с приложениями и "театр безопасности". Многие боялись, что брандмауэр помешает правильной работе их приложений. Такое, однако, случалось нечасто, что объясняется принципом работы брандмауэра. Он позволял любому исходящему трафику покинуть компьютер, но при этом блокировал весь входящий трафик, который не являлся ответом на некоторый предыдущий исходящий запрос. Единственный случай, когда такая схема нарушала работу клиентского приложения, — если оно создавало прослушивающий сокет и ожидало получения входящих запросов. Брандмауэр Windows XP обеспечивал простые настройки исключений для программ или портов (но, к сожалению, не с помощью групповой политики).
Большим препятствием являлся "театр безопасности", устраиваемый производителями других клиентских брандмауэров. Некоторые люди полагали, что принципа работы брандмауэра Windows XP, а именно разрешения исходящему трафику беспрепятственно покидать компьютер, для полнофункциональной работы клиентского брандмауэра недостаточно. Аргументом было то, что клиентский брандмауэр должен задерживать весь трафик, входящий и исходящий, до тех пор, пока пользователь не даст явного разрешения.
Давайте разберемся. Здесь возникают два сценария.
-Если вы работаете с правами локального администратора, и ваш компьютер заражен вредоносной программой, то она просто отключит брандмауэр. Вы проиграли.
-Если вы не работаете как локальный администратор, и ваш компьютер заразился вредоносной программой, то эта программа заставит брандмауэр стороннего производителя открыть диалоговое окно, которое содержит иностранный текст (там что-то про порты и IP-адреса) и задает очень серьезный вопрос: "Вы разрешаете это сделать?". Единственным ответом, конечно, будет "Да, да, да, тупой компьютер, и прекрати меня доставать!" И как только этот диалог исчезнет с экрана, исчезнет и ваша безопасность. Или, что еще чаще случается, вредоносная программа просто внедрится в существующий сеанс программы, действия которой уже одобрены, и вы даже не увидите диалогового окна. Вы опять проиграли.
Существует важный постулат безопасности, который необходимо усвоить: защита относится к ресурсу, который вы хотите защитить, а не к тому, от чего вы защищаетесь. Правильный подход — это запустить простой, но эффективный брандмауэр Windows на каждом компьютере вашей организации для защиты каждого компьютера от других компьютеров по всему миру. Если вы пытаетесь заблокировать исходящие подключения от компьютера, безопасность которого уже нарушена, то как вы можете быть уверены, что компьютер делает то, что вы просите? Ответ прост: никак. Исходящая защита — это "театр безопасности", это уловка, которая только создает впечатление улучшения безопасности, при этом не делая ничего для действительного ее улучшения. Вот почему исходящей защиты не было в брандмауэре Windows XP и вот почему ее нет и в брандмауэре Windows Vista™. (Далее я еще остановлюсь на управлении исходящим трафиком в Windows Vista.)

technet.microsoft.com/ru-ru/magazine/20 … ewall.aspx.

DonDublon3 · 25-09-10 15:32:48

Игорь пишет:

-Как насчет исходящего трафика? Не блокирует. Но оно вам и не надо. Если используется чистая система, легальный софт и он настроен, то лишнего исходящего трафика не будет.

А при чем тут легальность софта? легальный софт точно также любит долбиться в инет почем зря, как и нелегальный.

Игорь пишет:

Как простой, интегрированный с системой,

Абсолютно согласен. Этот "брандмауэр" такой же файрволл, как Paint - графический редактор, а Notepad - текстовый редактор. Умеет только базовые вещи, попродвинутее - ищи сторонее.

Svart Testare · 25-09-10 15:46:09

DonDublon3 пишет:

Этот "брандмауэр" такой же файрволл, как Paint - графический редактор, а Notepad - текстовый редактор. Умеет только базовые вещи, попродвинутее - ищи сторонее.

Если бы вы знали о всех возможностях встроенного брандмауэра, то не писали бы такие глупости.
Разберитесь сначала о чём речь, а потом делайте такие смелые заявления.
technet.microsoft.com/en-us/library/cc7 … S.10).aspx
По собственному опыту скажу, что даже без дополнительных настроек встроенный брандмауэр у меня обеспечивает высокую защиту.

Игорь · 25-09-10 16:00:01

DonDublon3
Лично мой набор программ настроен и никуда не долбится. Ну а если прога легальная, то и хрен бы с ней, если, конечно, трафик не экономить. Это я к тому, что некоторые любители вареза не признают брандмауэр в силу того, что последний спокойно пропускает запросы таких программ для проверки своей лицензионности.
Большинство пользователей не разбираются или разбираются недостаточно в устройстве винды и сетей, потому продвинутый фаерволл им вовсе не уперся. Более того, это может навредить. Уж лучше иметь настроенный брандмауэр (ибо предельно прост), чем криво настроенный профессиональный файрволл, которым рулит не спец, но считающий себя таковым, наслушавшись рекомендаций интернетных "спецов" и начитавшись, иной раз, вредных стереотипов. Юзер будет иметь только ложное чувство безопасности и ничего более.

Plutonium · 25-09-10 16:50:01

Игорь пишет:

Ничего не мешает этому трояну вырубить фаерволл

сейчас попытался выкинуть процесс (не оболочку) PC Tools Firewall Plus, так он любезно сообщил: "меня пытаются выкинуть! Позволить? y/n" smile

Игорь пишет:

либо внедриться в процесс доверенного приложения и выполнить свои деструктивные действия.

Процесс "А" пытается получить управление над процессом "Б" Разрешить? y/n
"Бинарный код приложения изменился", принять изменения? y/n

p.s. далеко не все так плохо, дружище smile

Mazzy · 26-09-10 15:10:41

Юзаю Comodo Firewall.. Ибо помимо самого фаерволла этот пакет предлагает хорошую проактивную защиту, что в сумме с уак и мозгами дает возможность спокойно использовать компьютер без наличия антивирусов. Стандартный фаерволл просто не понравился по своей организации, хотя, возможно, он и неплох для начального уровня. Да и вообще..товарищи, пора отвыкать от привычек использовать три антивируса и пять антишпионов=) К счастью, семерка и виста это позволяют. Про Линь вообще молчу=)

Svart Testare · 26-09-10 15:16:33

Plutonium пишет:

сейчас попытался выкинуть процесс (не оболочку) PC Tools Firewall Plus, так он любезно сообщил: "меня пытаются выкинуть! Позволить? y/n"

Никакой троянец не в состоянии «выкинуть» процесс ФВ, который работает в контексте ядра. Так что это сообщение PC Tools-а — коммерческий ход, рассчитанный на простаков smile

Plutonium пишет:

"Бинарный код приложения изменился", принять изменения? y/n

Ояебенею как оно тормозит комп с этими излишествами! Нечто подобное помню есть у Comodo (я им когда-то давно пользовался, до «прозрения» в ненужности всех этих сторонних фаерволов), оно называлось HIPS и существенно снижало производительность.

Mazzy · 26-09-10 15:20:06

Svart Testare, такое действительно есть у комодо. А вот насчет тормозов...Ни разу не замечено. Разве что запускается ЛЮБОЕ приложения на секунду дольше с ним=) Хоть калькулятор, хоть фотошоп, разница в овремени-секунда. Хз чего так.
И, да, Сварт, стандартный фаерволл уже научился не выключатся однострочным батником? big_smile Просто интересно?

Svart Testare · 26-09-10 15:32:35

Mazzy пишет:

стандартный фаерволл уже научился не выключатся однострочным батником

А он и не выключался таким батником в правильно настроенной Windows.
Кстати, у Comodo в прошлом году был бесстыдный прокол — где-то весной они выпустили обновление, которое после установки на Vista моментально загружало процессор на 100% и единственным способом вернуть всё назад была загрузка в безопасном режиме и переустановке всего Comodo (само обновление удалить было нельзя). Про это ещё писали на форуме Comodo и я тогда сам лично наблюдал это безобразие на 2 компах.

Mazzy · 26-09-10 15:40:31

Ну, ошибки действительно бывают, и бывают у всех. Уточнение:правильно настроенная Windows-имеется ввиду под ограниченной учеткой? Если так, то тот же аваст, касперский и комодо выключить нереально ни из-под админа, ни под ограниченной. Что мешало так же сделать МС? Дурацкие проколы, а имидж портит.

Svart Testare · 26-09-10 15:44:35

Mazzy пишет:

Что мешало так же сделать МС?

Из под ограниченной учётной записи вы ничего не выключите — ни встроенный фв, ни антивирус.

Mazzy · 26-09-10 15:50:11

Да нет же, Сварт, вы не вникаете в смысл моих фраз.

Mazzy пишет:

Если так, то тот же аваст, касперский и комодо выключить нереально ни из-под админа, ни под ограниченной. Что мешало так же сделать МС?

Как вообще устроен фаер виндовой? Он хотя бы в кернел-мод работает? Судя по всему в Xp он работал в юзер-моде=) Как оно в семере-не вникал. Все равно не использую встроенный фаер.

petrun · 26-09-10 15:50:50

Svart Testare пишет:

Из под ограниченной учётной записи вы ничего не выключите — ни встроенный фв, ни антивирус.

По по-хорошему надо запрещать его отключение из-под любой учетки.

Отредактировано petrun (26-09-10 15:52:23)

Svart Testare · 26-09-10 16:01:01

Mazzy,
CMDAGENT.EXE нельзя убить и остановить, но его можно запретить (disable) и перезапустить машину.

Mazzy пишет:

Как вообще устроен фаер виндовой? Он хотя бы в кернел-мод работает?

Хорошая шутка! Хихи!
В 7-ке сервис ФВ работает в контексте local service.

petrun пишет:

По по-хорошему надо заперщать его отключение из-под любой учетки.

А управлять фаерволом вы силой мысли будете? Админская учётка на то и админская, чтобы ей не пользовались простые пользователи.

Гареев Станислав · 26-09-10 16:08:32

Svart Testare пишет:

А управлять фаерволом вы силой мысли будете? Админская учётка на то и админская, чтобы ей не пользовались простые пользователи.

Как бы так... наверное.. если получиться то да.

Plutonium · 26-09-10 16:46:11

Svart Testare пишет:

Так что это сообщение PC Tools-а — коммерческий ход, рассчитанный на простаков

ну так как бэ можно понять что в системе появилась не очень дружелюбная софтина, где тут коммерция?

Добавлено спустя 02 мин 57 с:

Svart Testare пишет:

Ояебенею как оно тормозит комп с этими излишествами!

У меня все тип-топ. Излишествами я бы это не назвал, а в Outpos Firewall это реальный адъ ... везде свои глючные длл'ки подвязывает

petrun · 26-09-10 16:50:24

Svart Testare пишет:

А управлять фаерволом вы силой мысли будете? Админская учётка на то и админская, чтобы ей не пользовались простые пользователи.

А управлять фаерволом должен имет ьвозможность один-единственный доверенный бинарник.Который тоже, разумеется, запрещенно перезаписывать.

Svart Testare пишет:

Админская учётка на то и админская, чтобы ей не пользовались простые пользователи.

А уязвимости на повышение привилегий отменили?

Svart Testare · 26-09-10 16:51:28

Plutonium пишет:

ну так как бэ можно понять что в системе появилась не очень дружелюбная софтина

Так вот, учитывая что обеспечение безопасности это всегда комплексный подход, то случайно, вдруг в системе такие софтины появиться не могут.

Добавлено спустя 01 мин 21 с:

petrun пишет:

А уязвимости на повышение привилегий отменили?

Назовите хоть одну работающую.

petrun пишет:

А управлять фаерволом должен имет ьвозможность один-единственный доверенный бинарник.Который тоже, разумеется, запрещенно перезаписывать.

Линукспараною обсуждайте в другом месте.

petrun · 26-09-10 16:57:22

Svart Testare пишет:

Назовите хоть одну работающую.

Широкой публике они становяться доступны, когда их закрывают.Вы же не будете утверждать, что их нет?

Svart Testare пишет:

Линукспараною обсуждайте в другом месте.

Почему сразу паранойя?Стандартный deny all подход.Или вашу фразу следут читать как " в виндовс так нельзя"?

Svart Testare · 26-09-10 17:04:33

petrun пишет:

Широкой публике они становяться доступны, когда их закрывают.Вы же не будете утверждать, что их нет?

Я не буду утверждать, что они есть и представляют реальную угрозу.

petrun пишет:

Стандартный deny all подход.

Эта паранойя — результат нигибкости системы безопасности никсов и невозможности обеспечивать плановое сознательное делегирование прав для пользователей и процессов. В случае с Windows FW всё просто — админ может им управлять, а пользователь не может. И всё — ненужно никакого шапито с «бинарником, который нельзя переписывать». И это работает прекрасно.

petrun · 26-09-10 17:24:36

Svart Testare пишет:

Эта паранойя — результат нигибкости системы безопасности никсов и невозможности обеспечивать плановое сознательное делегирование прав для пользователей и процессов.

Кто вам такую глупость сказал?Конкретные примеры можно?

Svart Testare пишет:

В случае с Windows FW всё просто — админ может им управлять, а пользователь не может.

А в какой системе непривелигированный пользователь может управлять фаейрволом?Вопрос в том, что будет, если атакующий получит админа.
Кстати, могу я в винде дать пользователью возможность настройки опредленных аспектов(не всех сразу) пакетной фильтрации и QoS?

Svart Testare · 26-09-10 17:53:14

petrun пишет:

Конкретные примеры можно?

Изучите устройство системы безопасности Windows:
msdn.microsoft.com/en-us/library/bb625959.aspx
и все глупые вопросы на тему «чья система безопасности гибче — Windows или никсов» отпадут сами собой.

petrun пишет:

Вопрос в том, что будет, если атакующий получит админа.

Админ может менять настройки FW (так по умолчанию). Но получить права админа несанкционированно нереально.

petrun пишет:

возможность настройки опредленных аспектов(не всех сразу) пакетной фильтрации и QoS?

technet.microsoft.com/en-us/library/cc771283.aspx
Только это никому не нужно не на сервере.

Mazzy · 26-09-10 17:57:05

Svart Testare пишет:

Но получить права админа несанкционированно нереально.

Вирусов под Линукс нету.

Svart Testare · 26-09-10 18:00:42

Mazzy пишет:

Вирусов под Линукс нету.

Да, это освещалось в словаре пингвиньего языка smile
— «Под виндоуз есть вирусы!»
Перевод: «Я не знаком с элементарными правилами безопасности».

— «Под линукс нет вирусов!»
Перевод: «Вирусописателям невыгодно писать вирусы именно под мой дистрибутив».

А вообще под линукс есть ботнеты.

petrun · 26-09-10 18:07:13

Svart Testare пишет:

Изучите устройство системы безопасности Windows:
msdn.microsoft.com/en-us/library/bb625959.aspx
и все глупые вопросы на тему «чья система безопасности гибче — Windows или никсов» отпадут сами собой.

Вы застряли в каменном веке?SElinux, по меньшей мере, так же гибок.Конкретный примеры, чего в linux сделать нельзя, приведите, иначе вы просто балабол.

Svart Testare пишет:

Админ может менять настройки FW (так по умолчанию). Но получить права админа несанкционированно нереально.

Бдажен, кто верует.Посмотрите
бюллетени безопасности от самой МС.Повышение привилегий там встречается достаточно часто.
www.microsoft.com/rus/technet/security/ … 0-058.mspx
www.microsoft.com/rus/technet/security/ … 0-032.mspx
Тысячи их)

Svart Testare пишет:

Только это никому не нужно не на сервере.

А мне казалось, что управление полосой пропускаания внутри родительской полосы очень полезно.
Что у нас там рекламируется как многопользовательская система?

Добавлено спустя 01 мин 41 с:

Svart Testare пишет:

А вообще под линукс есть ботнеты.

Это те, которые используют дефолтный пароль в идиотических роутерах?О да, уязвимость.

Отредактировано petrun (26-09-10 18:13:18)

Форум StopLinux

Объявление

#26 25-09-10 15:08:52

Re: Брандмауэр Windows vs Сторонний Firewall

#27 25-09-10 15:32:48

Re: Брандмауэр Windows vs Сторонний Firewall

#28 25-09-10 15:46:09

Re: Брандмауэр Windows vs Сторонний Firewall

#29 25-09-10 16:00:01

Re: Брандмауэр Windows vs Сторонний Firewall

#30 25-09-10 16:50:01

Re: Брандмауэр Windows vs Сторонний Firewall

#31 26-09-10 15:10:41

Re: Брандмауэр Windows vs Сторонний Firewall

#32 26-09-10 15:16:33

Re: Брандмауэр Windows vs Сторонний Firewall

#33 26-09-10 15:20:06

Re: Брандмауэр Windows vs Сторонний Firewall

#34 26-09-10 15:32:35

Re: Брандмауэр Windows vs Сторонний Firewall

#35 26-09-10 15:40:31

Re: Брандмауэр Windows vs Сторонний Firewall

#36 26-09-10 15:44:35

Re: Брандмауэр Windows vs Сторонний Firewall

#37 26-09-10 15:50:11

Re: Брандмауэр Windows vs Сторонний Firewall

#38 26-09-10 15:50:50

Re: Брандмауэр Windows vs Сторонний Firewall

#39 26-09-10 16:01:01

Re: Брандмауэр Windows vs Сторонний Firewall

#40 26-09-10 16:08:32

Re: Брандмауэр Windows vs Сторонний Firewall

#41 26-09-10 16:46:11

Re: Брандмауэр Windows vs Сторонний Firewall

#42 26-09-10 16:50:24

Re: Брандмауэр Windows vs Сторонний Firewall

#43 26-09-10 16:51:28

Re: Брандмауэр Windows vs Сторонний Firewall

#44 26-09-10 16:57:22

Re: Брандмауэр Windows vs Сторонний Firewall

#45 26-09-10 17:04:33

Re: Брандмауэр Windows vs Сторонний Firewall

#46 26-09-10 17:24:36

Re: Брандмауэр Windows vs Сторонний Firewall

#47 26-09-10 17:53:14

Re: Брандмауэр Windows vs Сторонний Firewall

#48 26-09-10 17:57:05

Re: Брандмауэр Windows vs Сторонний Firewall

#49 26-09-10 18:00:42

Re: Брандмауэр Windows vs Сторонний Firewall

#50 26-09-10 18:07:13

Re: Брандмауэр Windows vs Сторонний Firewall

Подвал форума