DefenseWall HIPS

[polak900]

Dajmy na to mam keylogera czy robaka w systemie nie wiem o tym instaluje DWFW i programy te dla DW jak by nie istnieją
i robią sobie spokojnie swoje
Przy firewallu oferującym kompleksową ochronę firewall pyta mnie o każdy program który próbuje połączyć się z internetem i wtedy widzę że jakiś dziwny proces próbuje nawiązać połączenie i jest to ostrzeżenie dla mnie że coś może być nie tak

i jak w ogóle sprawdzić czy filtruje połączenia przychodzące jak na stronach testujących mam taki sam wynik z fw dw jak bez niego ?

jeżeli nie będzie takiej ochrony to zostaje przy starej wersji plus OA

[Creer]

Dajmy na to mam keylogera czy robaka w systemie nie wiem o tym instaluje DWFW i programy te dla DW jak by nie istnieją
i robią sobie spokojnie swoje
Przy firewallu oferującym kompleksową ochronę firewall pyta mnie o każdy program który próbuje połączyć się z internetem i wtedy widzę że jakiś dziwny proces próbuje nawiązać połączenie i jest to ostrzeżenie dla mnie że coś może być nie tak

i jak w ogóle sprawdzić czy filtruje połączenia przychodzące jak na stronach testujących mam taki sam wynik z fw dw jak bez niego ?

DW wysyla monit o pol. wychodzacym w przypadku aplikacji ktora ma status niezaufany. Zaufane aplikacje przy polaczeniu z Internetem nie wysylaja zadnego monitu via DW. Jednakze jest mozliwosc ich recznego zablokowania w sposob ktory opisalem wyzej.
Ochrone polaczen przychodzacych mozesz sprawdzic za pomoca ogolnodostepnych programow np:

[Aby zobaczyć linki, zarejestruj się tutaj]

[zord]

Creer widzę że nie rozumiesz o co chodzi według tego co piszesz jak mam szkodnika działającego w systemie i jest on zaufany to sam mam go sobie znaleźć i zablokować mu dostęp do internetu dla mnie jest to co najmniej dziwne
zablokować czy wyświetlić monit przy odpowiedniej konfiguracji potrafi nawet systemowy firewall a dw nie

[polak900]

Creer widzę że nie rozumiesz o co chodzi według tego co piszesz jak mam szkodnika działającego w systemie i jest on zaufany to sam mam go sobie znaleźć i zablokować mu dostęp do internetu dla mnie jest to co najmniej dziwne
zablokować czy wyświetlić monit przy odpowiedniej konfiguracji potrafi nawet systemowy firewall a dw nie

dokładnie chodzi o to żeby DW umiał przechwycić połączenie sieciowe zainfekowanego malware systemu

[Creer]

Creer widzę że nie rozumiesz o co chodzi według tego co piszesz jak mam szkodnika działającego w systemie i jest on zaufany to sam mam go sobie znaleźć i zablokować mu dostęp do internetu dla mnie jest to co najmniej dziwne
zablokować czy wyświetlić monit przy odpowiedniej konfiguracji potrafi nawet systemowy firewall a dw nie

Dokladnie tak, DW monitoruje polaczenia wychodzace tylko niezaufanych procesow , dlatego tez jego instalacja zarowno w wersji HIPS jak i Personal Firewall, powinna byc przeprowadzona na czysty, niezainfekowanysystem.

[polak900]

tylko że nie ma pewności 100% (poza formatem) czy system jest czysty czy nie
przydała by się taka opcja w nowym produkcie która by monitorowała od zainstalowania podejrzane procesy i blokowała sama lub manualnie je.
czy to będzie w nowej wersji?

[Creer]

tylko że nie ma pewności 100% (poza formatem) czy system jest czysty czy nie
przydała by się taka opcja w nowym produkcie która by monitorowała od zainstalowania podejrzane procesy i blokowała sama lub manualnie je.
czy to będzie w nowej wersji?

Analogicznie jak w DW HIPS.
Przeciez DWPF to wersja starego DW HIPS z zaimplementowanym modulem FW plus kilka innych nowosci jak whitelisty, monity z obszarow download, etc.
Funkcja monitorowania podejrzanych procesow o ktora pytasz Polak, jest trudna w implementacji, po pierwsze nalezaloby zadac sobie pytanie czym jest i po czym poznac podejrzany proces, ktory byl wczesniej zainstalowany jako zaufany?... to nie takie proste, mogloby to zrodzic mase problemow z kompatybilnoscia DW z innymi programami, ktore slusznie lub nieslusznie ocenial by jako podejrzane - takie dzialanie zmierza w kierunku blacklist, co nie jest dobrym wyjsciem ze wzgledu na duza liczbe mozliwych FP oraz wymaganych aktualizacji baz... nie tedy droga.

[zord]

Przeciez DWPF to wersja starego DW HIPS z zaimplementowanym modulem FW plus kilka innych nowosci jak whitelisty, monity z obszarow download, etc.

ale wychodzi na to że firewall jest niepełnosprawny jeśli nie potrafi monitorować wszystkich programów jeżeli nie postaramy się żeby znalazły się na jego liście...

I czy jest w planach opcja umieszczenia statusu firewalla w centrum akcji/centrum zabezpieczeń czy jednak nie i będziemy widzieć radosne info że firewalla nie ma w systemie ?

[Creer]

Przeciez DWPF to wersja starego DW HIPS z zaimplementowanym modulem FW plus kilka innych nowosci jak whitelisty, monity z obszarow download, etc.

ale wychodzi na to że firewall jest niepełnosprawny jeśli nie potrafi monitorować wszystkich programów jeżeli nie postaramy się żeby znalazły się na jego liście...

FW wyswietla monit w przypadku pol. wychodzacych od kazdego Niezaufanego procesu - procesy zaufane nie sa monitorowane przez DW poniewaz sa one zaufane tzn pewne - nie ma obawy ze moga byc szkodliwe (oczywiscie sa rozne definicje pliku zaufanego, dla niektorych takim plikiem bedzie np program pobrany z torrentow, lub innych podejrzanych stron, a dla innych - program pobrany ze strony producenta z podpisem cyfrowym, ewentualnie dodatkowa inspekcja pliku poprzez inny program oparty na dzialaniu blacklist).

Tak jak napisalem, analogicznie ma sie sprawa z DW HIPS - chroni on tylko przed procesami uruchomionymi w trybie Niezaufanym - zatem, idac Twoim tokiem rozumowania, jest to rowniez niepelnosprawna aplikacja.

---

Apropos info statusu FW w systemie - tego nie wiem, zapytam przy okazji Ilye.

[czullo]

idac tym tokiem myslenia av ktory nie wylapuje wszystkich wirusow jest niepelnosprawny. DW instaluje sie na czysty i niezainfekowany system. proste. na zawirusowany system instaluje sie dr web

[zord]

Jak dla mnie to dziwne jest to jedyny firewall na świecie który nie monitoruje wszystkich programów

[adam_993]

Taki grymas jego.

[Creer]

Jak dla mnie to dziwne jest to jedyny firewall na świecie który nie monitoruje wszystkich programów

Mialbyc innowacyjny i taki wlasnie jest, ostrzegalem

[Jurek]

To jest trochę inne podejście do ochrony, zarówno jeżeli chodzi o HIPS ja i firewall. Mnie się to podoba, szczególnie, gdy dowiedziałem się o monitoringu wszystkich połączeń przychodzących, czego nie ma w GW.
Trzeba zainstalować DW na świeży system lub porządnie go przeskanować (Avira, ESET Online Scanner, MBAM) a potem nie instalować syfu w trybie zaufanym.
Monitorowanie bez przerwy wszystkiego, to klasyczne podejście w firewallu, które zwalnia i przerywa połączenia oraz obciąża komputer.

[polak900]

zapowiada się ciekawy sofcik, jak cena będzie ok to się skuszę

[zord]

no to inna hipotetyczna sytuacja instaluje na czysty system pobieram program z niezaufanego żródła (nie piszcie po co na co i dlaczego pobieram i już )
i pierwsza linia obrony HIPS DW ale instalacja nie rusza w trybie niezaufanym
instaluje w trybie zaufanym program zawiera paskudę i w tym momencie powinna zadziałać druga linia obrony czyli firewall ale program jest całkowicie poza kontrolą DW i co w tedy ?

[Creer]

no to inna hipotetyczna sytuacja instaluje na czysty system pobieram program z niezaufanego żródła (nie piszcie po co na co i dlaczego pobieram i już )
i pierwsza linia obrony HIPS DW ale instalacja nie rusza w trybie niezaufanym
instaluje w trybie zaufanym program zawiera paskudę i w tym momencie powinna zadziałać druga linia obrony czyli firewall ale program jest całkowicie poza kontrolą DW i co w tedy ?

Plik pobrany przez aplikacje dzialajacą w trybie Niezaufanym dziedziczy atrybuty po procesie matce, w tym przypadku plik pobrany przez Niezaufana aplikacje rowniez bedzie niezaufany. Wyjatek - plik ktory ma status niezaufany uruchomiony zostanie mimo tego jako zaufany w przypadku gdy:
- plik ten bedzie podpisany cyfrowo i jego nazwa jak ipodpis cyfrowy bedzie zgadzal sie z wbudowana baza (whitelista) w DW.

Innej opcji nie ma - no chyba ze celowo z menu DW wybierzesz uruchom jako zaufany - ale to juz robisz na wlasna odpowiedzialnosc.
Od takich zabaw sa inne programy typu np. SD/Returnil, ISR, lub pozwalajace na calkowita wirtualizacje - VM.

[zord]

Dw jest niekompatybilny z sandboxie przy włączonym dw 3 wszystkie instalatory uruchamiają mi się poza piaskownicą mimo że wybieram uruchom w piaskownicy
Niekompatybilny jest też z F-secure działając razem z nim powodował BSOD

[Meir]

Czyli bieda panie Creer...DW 2.56 spisuje się znakomicie...a ta nowa wersja-czytając recki-na razie słabiutko...z dużej chmury mały deszcz ?

[zord]

Tak bywa jak nie ma publicznych beta testów na gladiators widzę tylko same zachwyty czy tam w ogóle ktoś testuje czy tylko instalują na czystych systemach gdzie nic nie ma ?