Смотрящий
Отправлено 21 Декабрь 2016 - 16:02
домашний файервол на защите сети... да, это сильно.Файер у разработчиков Доктора не получает того внимания, которого заслуживает. А ведь он, по сути, единственный инструмент на пути утекающей с ПК инфы.У нас, тоже, "комбайн", если что, просто у нас сеялка, веялка и жатка, например, могут отстёгиваться.
межсетевой экран с разделением доступа тут нужен. ставить файервол в сети на каждой комп, не имеет ни какого смысла.
The Master
Отправлено 21 Декабрь 2016 - 18:42
Файер у разработчиков Доктора не получает того внимания, которого заслуживает. А ведь он, по сути, единственный инструмент на пути утекающей с ПК инфы.домашний файервол на защите сети... да, это сильно.
Вот я и говорю, не цените вы файер. Его роль на порядок выше, чем у Гейта. Чего стоят все троянчики, если обломить им выход в сеть?
Смотрящий
Отправлено 21 Декабрь 2016 - 19:04
мы и не планируем изобретать межсетевой экран. это другой продукт и сегмент. выход в сеть можно обломить и гейтом, если они конечно свой tcp не поднимают. в свете будущих тенденций, гейт, файер, все едино, один драйверВот я и говорю, не цените вы файер. Его роль на порядок выше, чем у Гейта. Чего стоят все троянчики, если обломить им выход в сеть?домашний файервол на защите сети... да, это сильно.Файер у разработчиков Доктора не получает того внимания, которого заслуживает. А ведь он, по сути, единственный инструмент на пути утекающей с ПК инфы.
The Master
Отправлено 21 Декабрь 2016 - 19:49
мы и не планируем изобретать межсетевой экран. это другой продукт и сегмент. выход в сеть можно обломить и гейтом, если они конечно свой tcp не поднимают. в свете будущих тенденций, гейт, файер, все едино, один драйвер
Не то. Смотрим для zero-day - в первом приближении всю вирусню можно разделить на три категории:
1. Нарушает / изменяет работу ОС и программ - с этим должна бороться превентивка, эвристики и сама ОС.
2. Повреждает пользовательские данные - должен быть удобоваримый механизм защиты пользователських данных.
3. Похищение информации (паролей, ключей, денег, файлов) - с этим может бороться только файер. Но... Вот тут то как раз дыра. А ведь этих сусликов даже поймать вирлабу проблематично - он сделал свое дело и самоуничтожился. И глобальные межсетевые экраны тут ничего не сделают, они неповоротливы.
Гейт - это вообще бонус, защищающий разве что неокрепшую детскую психику. А с учетом SSL он вообще превращается в фикцию. Зачем призрак отца Гамлета скрещивать с файером?
Файер нужно развивать - ему тоже нужен свой эвристик, свои доверенные, свои режимы работы, чтоб не нужно было быть сетевым гуру для работы с ним. Нужны и свои журналы, чтоб пользователь мог проанализировать кто ходил, куда ходил и что сливал.
А ничего этого нет - ушли пароли / деньги / документы и даже следов не найдешь.
Смотрящий
Отправлено 21 Декабрь 2016 - 20:02
The Master
Отправлено 21 Декабрь 2016 - 20:20
DLP это не более чем модное слово. кому нужно сопрут все что было и все будут хлопать ушами. что тыт будешь анализировать в файере когда там идет отсылка неизвестного набора байт?
Ни байты, а сам факт подключения сомнительного софта в сеть. И эта "сомнительность" должна анализироваться.
Простенький примерчик:
Имя: svchosts.exe или типа того. Фейса нет.
Алгоритм:
1. Хук 13.
2. GetForegroundWindow, GetWindowText, if (Text == "IE") ...
3. GetDC(0);
4. Отправили и все keypress и картинку.
5. По команде с сервера самоуничтожились.
Сработает? И кто его сейчас реально может остановить? Огроменный навороченный АВ комплекс сядет в лужу?
Смотрящий
Отправлено 21 Декабрь 2016 - 21:43
Сообщение было изменено Konstantin Yudin: 21 Декабрь 2016 - 21:44
The Master
Отправлено 21 Декабрь 2016 - 22:19
На файервол у меня большие планы, но не в классическом его виде.
У нынешнего файера есть свои большие плюсы, которые очень хотелось бы оставить как недефолтную опцию:
1. Возможности юзера по управлению доступом приложений к сети, блокировке протоколов, IP, портов.
2. Интерактив. Сетевой эвристик в этом режиме должен ограничиваться рекомендациями.
3. Реалтайм монитор сетевой активности.
Это все сейчас есть, хотя и не очень юзабельно сделано, но оно весьма полезно.
И не хотелось бы, чтоб файер стал как в ЛенКоме 6.04, там файер - полное порно.
Может скрыть все это? Не слишком много инфы для паблика и гугла? 
Сообщение было изменено SergSG: 21 Декабрь 2016 - 22:20
Hr. Schreibikus
Отправлено 22 Декабрь 2016 - 12:50
И глобальные межсетевые экраны тут ничего не сделают, они неповоротливы.
Откуда такой вывод?
Нет ничего надежней и эффективней, чем шлюз на входе/выходе сети.
Персональный fw работает на том же ПК, который может быть взорван изнутри, является и мишенью и источником, одновременно.
Драйвер стартует лишь одним из первых, что там еще крутится, одному System известно.
Если есть возможность дистанцироваться от эпицентра поражения, то так и следует делать, имхо.
Опять же, накладываются ограничения и особенности ОС, к которой вы привязаны. Завтра M$ придумает еще что-нибудь и превратится персональный fw в погремушку)
Единственное, может быть, действительно полезное, на практике, применение персонального fw внутри сети, это если ПК червивый, то, есть какой--то шанс ограничить расползание внутри сети.
Ну и пресловутое централизованное управление фаерволом. Чем дальше ПК от админа, тем дольше до него ехать. Вы же не сможете за 15 сек подтвердить на каждой из 1к станций, что да, хост видите, сохранить настройки/правила.
ужны и свои журналы, чтоб пользователь мог проанализировать кто ходил, куда ходил и что сливал.А ничего этого нет - ушли пароли / деньги / документы и даже следов не найдешь.
От этого фаерволл, любой, точно не спасет и не поможет.
The Master
Отправлено 22 Декабрь 2016 - 15:41
И глобальные межсетевые экраны тут ничего не сделают, они неповоротливы.Откуда такой вывод?
Нет ничего надежней и эффективней, чем шлюз на входе/выходе сети.
Персональный fw работает на том же ПК, который может быть взорван изнутри, является и мишенью и источником, одновременно.
Драйвер стартует лишь одним из первых, что там еще крутится, одному System известно.
Если есть возможность дистанцироваться от эпицентра поражения, то так и следует делать, имхо.
Опять же, накладываются ограничения и особенности ОС, к которой вы привязаны. Завтра M$ придумает еще что-нибудь и превратится персональный fw в погремушку)
Единственное, может быть, действительно полезное, на практике, применение персонального fw внутри сети, это если ПК червивый, то, есть какой--то шанс ограничить расползание внутри сети.
Ну и пресловутое централизованное управление фаерволом. Чем дальше ПК от админа, тем дольше до него ехать. Вы же не сможете за 15 сек подтвердить на каждой из 1к станций, что да, хост видите, сохранить настройки/правила.
Однокнопочного варианта нет по любому. Хотя не очень понятно как шлюз сможет фильтровать утечку информации, но одно другому не мешает - шлюз шлюзом, файер файером. У каждого свои задачи и свои минусы. Плюс, внутри самой локалки чудеса никто не отменял.
"Централизованное управление фаерволом" подразумевает предустановку определенных фиксированных ограничений и правил, но никак не диалоговый вариант по каждому запросу файера. Админу, разве что, должна идти статистика о походах в сеть сомнительного софта.
нужны и свои журналы, чтоб пользователь мог проанализировать кто ходил, куда ходил и что сливал.А ничего этого нет - ушли пароли / деньги / документы и даже следов не найдешь.
От этого фаерволл, любой, точно не спасет и не поможет.
Если он все уже пропустил, то конечно не поможет. Но хоть отследить можно будет чего и куда ходило.
Доктор фиксирует в логи вагоны всякой лабудени "на всяки случай", а сетевые подключения мимо проходят.
Hr. Schreibikus
Отправлено 22 Декабрь 2016 - 16:10
"Централизованное управление фаерволом" подразумевает предустановку определенных фиксированных ограничений и правил
Вот на этом, лично, пару раз попадал. Когда решали задать безобидное, на первый взгляд, правило, и, вуаля, после его применения, хост переставал быть доступен. Хорошо, что в каждом из случаев, кто-то был рядом) Хотя, фича то, конечно, может пригодиться, в общем случае, пару раз.
Но хоть отследить можно будет чего и куда ходило.
В условия тотального послесноуденовского ssl -- эта информация будет малоинформативна, если, не целиком бесполезна.
Модный и беспощадный DLP, как раз предполагает установку агентов на каждый ПК, чтобы разнюхивать малейшие колебания, от линии партии, пользователя еще до сети.
The Master
Отправлено 22 Декабрь 2016 - 18:41
"Централизованное управление фаерволом" подразумевает предустановку определенных фиксированных ограничений и правил
Вот на этом, лично, пару раз попадал. Когда решали задать безобидное, на первый взгляд, правило, и, вуаля, после его применения, хост переставал быть доступен. Хорошо, что в каждом из случаев, кто-то был рядом) Хотя, фича то, конечно, может пригодиться, в общем случае, пару раз.
Несерьезно. Если кто то когда то на чем то наломался, это ничего не значит. Пригодитя это или нет зависит от политики безопасности конторы. Сейчас трудно об этом говорить, поскольку такого функционала просто нет.
Но хоть отследить можно будет чего и куда ходило.
В условия тотального послесноуденовского ssl -- эта информация будет малоинформативна, если, не целиком бесполезна.Но хоть отследить можно будет чего и куда ходило.
Модный и беспощадный DLP, как раз предполагает установку агентов на каждый ПК, чтобы разнюхивать малейшие колебания, от линии партии, пользователя еще до сети.
SSL тут не при чем. SSL сделал бессмысленным Гейт и всю проверку трафика. Сам факт, что приложение "xxx.exe ходит ежедневно в сеть на IP yyy и отправляет nnn байт" может кое о чем сказать, а иногда и помочь.
DPL - это просто хотелка. Искусственный интелект угадывающий линию партии или желания юзера? Да. Было бы не плохо. Только в обозримом будущем нереально.
Сообщение было изменено SergSG: 22 Декабрь 2016 - 18:42
Advanced Member
Отправлено 23 Декабрь 2016 - 09:47
SergSG, наболело с файером
"Централизованное управление фаерволом" подразумевает предустановку определенных фиксированных ограничений и правил, но никак не диалоговый вариант по каждому запросу файера. Админу, разве что, должна идти статистика о походах в сеть сомнительного софта.
ИМХО в корпоративе это утопия.. реализация должна быть в железки на аппаратном уровне, иначе анализатор трафика winshark вам в помощь
мой девиз - служение злу, как у котика..
The Master
Отправлено 23 Декабрь 2016 - 15:18
"Централизованное управление фаерволом" подразумевает предустановку определенных фиксированных ограничений и правил, но никак не диалоговый вариант по каждому запросу файера. Админу, разве что, должна идти статистика о походах в сеть сомнительного софта.ИМХО в корпоративе это утопия.. реализация должна быть в железки на аппаратном уровне, иначе анализатор трафика winshark вам в помощь
Угу. И железку поставить возле каждого ПК.
SergSG, наболело с файером
С файером все нормально. Только развивать нужно. Жизнь меняется.
Сообщение было изменено SergSG: 23 Декабрь 2016 - 15:20
Advanced Member
Отправлено 23 Декабрь 2016 - 15:32
И железку поставить возле каждого ПК.
ну зачем же так 
одной на всех хватит 
мой девиз - служение злу, как у котика..
The Master
Отправлено 23 Декабрь 2016 - 18:23
И железку поставить возле каждого ПК.ну зачем же так
Понятно. Вам это не нужно, значит не нужно никому.
По ходу, все это объясняет, почему данные с легкостью уплывают, причем сами, а юзеры черти чем занимаются - есть универсальная железка / шлюз / межсетевой экран, которая защищает сразу всех и от всего. Ну, а если что, можно покричать о таргетированной аттаке на фирму злобных хакеров. Из 10-Б.
Advanced Member
Отправлено 24 Декабрь 2016 - 18:20
SergSG, нет, совсем не так. объективно говоря, для корпоратива есть много механизмов защиты данных, и наличие брандмауэра не убережет от кражи личных данных, это и не его прерогатива. ИМХО аппаратный брандмауэр это единственное верное решение в корпоративном секторе, да и управляется легко, к тому же удалённо. в докторе вроде отказались от брандмауэра для корпоратива, или нет ?
мой девиз - служение злу, как у котика..
0 пользователей, 0 гостей, 0 скрытых
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
