+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Monitorowanie systemu (https://safegroup.pl/forum-12.html)
+--- Wątek: DefenseWall HIPS (/thread-470.html)
Re: DefenseWall HIPS - polak900 - 26.10.2009
zord napisał(a):Dajmy na to mam keylogera czy robaka w systemie nie wiem o tym instaluje DWFW i programy te dla DW jak by nie istnieją
i robią sobie spokojnie swoje
Przy firewallu oferującym kompleksową ochronę firewall pyta mnie o każdy program który próbuje połączyć się z internetem i wtedy widzę że jakiś dziwny proces próbuje nawiązać połączenie i jest to ostrzeżenie dla mnie że coś może być nie tak
i jak w ogóle sprawdzić czy filtruje połączenia przychodzące jak na stronach testujących mam taki sam wynik z fw dw jak bez niego ?
jeżeli nie będzie takiej ochrony to zostaje przy starej wersji plus OA
Re: DefenseWall HIPS - Creer - 26.10.2009
zord napisał(a):Dajmy na to mam keylogera czy robaka w systemie nie wiem o tym instaluje DWFW i programy te dla DW jak by nie istnieją
i robią sobie spokojnie swoje
Przy firewallu oferującym kompleksową ochronę firewall pyta mnie o każdy program który próbuje połączyć się z internetem i wtedy widzę że jakiś dziwny proces próbuje nawiązać połączenie i jest to ostrzeżenie dla mnie że coś może być nie tak
i jak w ogóle sprawdzić czy filtruje połączenia przychodzące jak na stronach testujących mam taki sam wynik z fw dw jak bez niego ?
DW wysyla monit o pol. wychodzacym w przypadku aplikacji ktora ma status niezaufany. Zaufane aplikacje przy polaczeniu z Internetem nie wysylaja zadnego monitu via DW. Jednakze jest mozliwosc ich recznego zablokowania w sposob ktory opisalem wyzej.
Ochrone polaczen przychodzacych mozesz sprawdzic za pomoca ogolnodostepnych programow np:
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: DefenseWall HIPS - zord - 26.10.2009
Creer widzę że nie rozumiesz o co chodzi według tego co piszesz jak mam szkodnika działającego w systemie i jest on zaufany to sam mam go sobie znaleźć i zablokować mu dostęp do internetu dla mnie jest to co najmniej dziwne
zablokować czy wyświetlić monit przy odpowiedniej konfiguracji potrafi nawet systemowy firewall a dw nie
Re: DefenseWall HIPS - polak900 - 26.10.2009
zord napisał(a):Creer widzę że nie rozumiesz o co chodzi według tego co piszesz jak mam szkodnika działającego w systemie i jest on zaufany to sam mam go sobie znaleźć i zablokować mu dostęp do internetu dla mnie jest to co najmniej dziwne
zablokować czy wyświetlić monit przy odpowiedniej konfiguracji potrafi nawet systemowy firewall a dw nie
dokładnie chodzi o to żeby DW umiał przechwycić połączenie sieciowe zainfekowanego malware systemu
Re: DefenseWall HIPS - Creer - 26.10.2009
zord napisał(a):Creer widzę że nie rozumiesz o co chodzi według tego co piszesz jak mam szkodnika działającego w systemie i jest on zaufany to sam mam go sobie znaleźć i zablokować mu dostęp do internetu dla mnie jest to co najmniej dziwne
zablokować czy wyświetlić monit przy odpowiedniej konfiguracji potrafi nawet systemowy firewall a dw nie
Dokladnie tak, DW monitoruje polaczenia wychodzace tylko niezaufanych procesow , dlatego tez jego instalacja zarowno w wersji HIPS jak i Personal Firewall, powinna byc przeprowadzona na czysty, niezainfekowanysystem.
Re: DefenseWall HIPS - polak900 - 26.10.2009
tylko że nie ma pewności 100% (poza formatem) czy system jest czysty czy nie
przydała by się taka opcja w nowym produkcie która by monitorowała od zainstalowania podejrzane procesy i blokowała sama lub manualnie je.
czy to będzie w nowej wersji?
Re: DefenseWall HIPS - Creer - 26.10.2009
polak900 napisał(a):tylko że nie ma pewności 100% (poza formatem) czy system jest czysty czy nie
przydała by się taka opcja w nowym produkcie która by monitorowała od zainstalowania podejrzane procesy i blokowała sama lub manualnie je.
czy to będzie w nowej wersji?
Analogicznie jak w DW HIPS.
Przeciez DWPF to wersja starego DW HIPS z zaimplementowanym modulem FW plus kilka innych nowosci jak whitelisty, monity z obszarow download, etc.
Funkcja monitorowania podejrzanych procesow o ktora pytasz Polak, jest trudna w implementacji, po pierwsze nalezaloby zadac sobie pytanie czym jest i po czym poznac podejrzany proces, ktory byl wczesniej zainstalowany jako zaufany?... to nie takie proste, mogloby to zrodzic mase problemow z kompatybilnoscia DW z innymi programami, ktore slusznie lub nieslusznie ocenial by jako podejrzane - takie dzialanie zmierza w kierunku blacklist, co nie jest dobrym wyjsciem ze wzgledu na duza liczbe mozliwych FP oraz wymaganych aktualizacji baz... nie tedy droga.
Re: DefenseWall HIPS - zord - 26.10.2009
Creer napisał(a):Przeciez DWPF to wersja starego DW HIPS z zaimplementowanym modulem FW plus kilka innych nowosci jak whitelisty, monity z obszarow download, etc.
ale wychodzi na to że firewall jest niepełnosprawny jeśli nie potrafi monitorować wszystkich programów jeżeli nie postaramy się żeby znalazły się na jego liście...
I czy jest w planach opcja umieszczenia statusu firewalla w centrum akcji/centrum zabezpieczeń czy jednak nie i będziemy widzieć radosne info że firewalla nie ma w systemie ?
Re: DefenseWall HIPS - Creer - 26.10.2009
zord napisał(a):Creer napisał(a):Przeciez DWPF to wersja starego DW HIPS z zaimplementowanym modulem FW plus kilka innych nowosci jak whitelisty, monity z obszarow download, etc.
ale wychodzi na to że firewall jest niepełnosprawny jeśli nie potrafi monitorować wszystkich programów jeżeli nie postaramy się żeby znalazły się na jego liście...
FW wyswietla monit w przypadku pol. wychodzacych od kazdego Niezaufanego procesu - procesy zaufane nie sa monitorowane przez DW poniewaz sa one zaufane tzn pewne - nie ma obawy ze moga byc szkodliwe (oczywiscie sa rozne definicje pliku zaufanego, dla niektorych takim plikiem bedzie np program pobrany z torrentow, lub innych podejrzanych stron, a dla innych - program pobrany ze strony producenta z podpisem cyfrowym, ewentualnie dodatkowa inspekcja pliku poprzez inny program oparty na dzialaniu blacklist).
Tak jak napisalem, analogicznie ma sie sprawa z DW HIPS - chroni on tylko przed procesami uruchomionymi w trybie Niezaufanym - zatem, idac Twoim tokiem rozumowania, jest to rowniez niepelnosprawna aplikacja.
Apropos info statusu FW w systemie - tego nie wiem, zapytam przy okazji Ilye.
Re: DefenseWall HIPS - czullo - 26.10.2009
idac tym tokiem myslenia av ktory nie wylapuje wszystkich wirusow jest niepelnosprawny. DW instaluje sie na czysty i niezainfekowany system. proste. na zawirusowany system instaluje sie dr web
Re: DefenseWall HIPS - zord - 26.10.2009
Jak dla mnie to dziwne jest to jedyny firewall na świecie który nie monitoruje wszystkich programów
Re: DefenseWall HIPS - adam_993 - 26.10.2009
Taki grymas jego.
Re: DefenseWall HIPS - Creer - 26.10.2009
zord napisał(a):Jak dla mnie to dziwne jest to jedyny firewall na świecie który nie monitoruje wszystkich programów
Mialbyc innowacyjny i taki wlasnie jest, ostrzegalem
Re: DefenseWall HIPS - Jurek - 26.10.2009
To jest trochę inne podejście do ochrony, zarówno jeżeli chodzi o HIPS ja i firewall. Mnie się to podoba, szczególnie, gdy dowiedziałem się o monitoringu wszystkich połączeń przychodzących, czego nie ma w GW.
Trzeba zainstalować DW na świeży system lub porządnie go przeskanować (Avira, ESET Online Scanner, MBAM) a potem nie instalować syfu w trybie zaufanym.
Monitorowanie bez przerwy wszystkiego, to klasyczne podejście w firewallu, które zwalnia i przerywa połączenia oraz obciąża komputer.
Re: DefenseWall HIPS - polak900 - 26.10.2009
zapowiada się ciekawy sofcik, jak cena będzie ok to się skuszę
Re: DefenseWall HIPS - zord - 26.10.2009
no to inna hipotetyczna sytuacja instaluje na czysty system pobieram program z niezaufanego żródła (nie piszcie po co na co i dlaczego pobieram i już
) i pierwsza linia obrony HIPS DW ale instalacja nie rusza w trybie niezaufanym
instaluje w trybie zaufanym program zawiera paskudę i w tym momencie powinna zadziałać druga linia obrony czyli firewall ale program jest całkowicie poza kontrolą DW i co w tedy ?
Re: DefenseWall HIPS - Creer - 26.10.2009
zord napisał(a):no to inna hipotetyczna sytuacja instaluje na czysty system pobieram program z niezaufanego żródła (nie piszcie po co na co i dlaczego pobieram i już
i pierwsza linia obrony HIPS DW ale instalacja nie rusza w trybie niezaufanym
instaluje w trybie zaufanym program zawiera paskudę i w tym momencie powinna zadziałać druga linia obrony czyli firewall ale program jest całkowicie poza kontrolą DW i co w tedy ?
Plik pobrany przez aplikacje dzialajacą w trybie Niezaufanym dziedziczy atrybuty po procesie matce, w tym przypadku plik pobrany przez Niezaufana aplikacje rowniez bedzie niezaufany. Wyjatek - plik ktory ma status niezaufany uruchomiony zostanie mimo tego jako zaufany w przypadku gdy:
- plik ten bedzie podpisany cyfrowo i jego nazwa jak ipodpis cyfrowy bedzie zgadzal sie z wbudowana baza (whitelista) w DW.
Innej opcji nie ma - no chyba ze celowo z menu DW wybierzesz uruchom jako zaufany - ale to juz robisz na wlasna odpowiedzialnosc.
Od takich zabaw sa inne programy typu np. SD/Returnil, ISR, lub pozwalajace na calkowita wirtualizacje - VM.
Re: DefenseWall HIPS - zord - 29.10.2009
Dw jest niekompatybilny z sandboxie przy włączonym dw 3 wszystkie instalatory uruchamiają mi się poza piaskownicą mimo że wybieram uruchom w piaskownicy
Niekompatybilny jest też z F-secure działając razem z nim powodował BSOD
Re: DefenseWall HIPS - Meir - 29.10.2009
Czyli bieda panie Creer...DW 2.56 spisuje się znakomicie...a ta nowa wersja-czytając recki-na razie słabiutko...z dużej chmury mały deszcz ?
Re: DefenseWall HIPS - zord - 29.10.2009
Tak bywa jak nie ma publicznych beta testów na gladiators widzę tylko same zachwyty czy tam w ogóle ktoś testuje czy tylko instalują na czystych systemach gdzie nic nie ma ?