Фаерволы и проактивная защита
Доброго времени суток!
Как определить какие протоколы передачи программа должна использовать в своей работе (с тем чтобы остальные запретить), но при этом если это недоверенная программа неприемлимо её запускать ДО установления в её отношении сетевой политики и политики безопасности?
Хотелось бы узнать каким образом правильно выполнять тонкую и грамотную настройку фаервола Comodo Internet Security. Идентифицировать все используемые приложения как доверенные, думаю, некорректно и небезопасно. Но справочных материалов Comodo совешенно недостаточно для ответов на вопросы, возникающие при настройке.
Например, из журнале проактивной защиты узнаю, что Skype.exe инициировало обращение к физической памяти, а целевой файл cmdagent.exe (то есть один из компонентов фаервола) – подозрительное поведение для VoIP клента. Не является Skype потенциальным (здесь я имею ввиду до поры не проявляющим своих скрытых возможностей) внедрением в систему и общество в целом? Даже если это не так, уважаемый читатель может привести примеры альтернативных VoIP клиентов, которые по его мнению безопасны при условии правильной политики сетевой безопасности и безопасности компьютера?
Также хотелось бы спросить, может ли читатель порекомендовать литературу, охватывающую полный комплекс мер по безопасности персонального компьютера ималой сети, по изложению адаптированной на опытного пользователя, проводящего самостоятельную настройку системы и фаервола?
Заранее спасибо
комментариев: 11558 документов: 1036 редакций: 4118
Лол. Недоверенная программа по-хорошему вообще не должна запускаться. Если же это совершенно неизбежно, это необходимо делать в контролируемой ограниченной среде (VM, chroot), где поведение программы не играет роли.
Слова "грамотный" и "Comodo Internet Security" (а также любой проприетарный софт) в одном предложении употребляться не могут. Грамотные на сей день используют один из следующих софтварных файерволлов: Linux iptables и OpenBSD PF (работает во всех BSD-системах). В некоторых случаях при необходимости их заменяют на FreeBSD ipfw или NetBSD IPF. И вообще, /faq/obschie#h46-13.
Является. Гуглить skype site:pgpru.com и читать, читать, читать.
Есть много opensource-решений для VoIP. Ну Linphone хотя бы. И заземление есть, типа sipnet.ru. Проблем может возникнуть тут несколько:
Мне такая литература не известна. Частично здесь применим ответ данный в этом faq. Можно даже сказать, что трудно вообразить себе книгу, где безопасность на практическом уровне излагается as is безотносительно ОС и конкретных программ. В то же время, если вы освоите любую вменяемую книгу по профессиональным системам (типа администрирование UNIX/Linux-системы), 99% всех ваших вопросов по безопасности уйдут сами собой, причём не только для конкретной системы, а вообще для любой ОС, т.к. вы начнёте понимать ОС в целом, т.е. как разные её части взаимодействуют между собой. В то же время любая литература по IT устаревает крайне быстро, потому чтобы быть в "тонусе" нужно читать новости по теме из интернета. Если бы вы читали (с вниканием в написанное) pgpru.com хотя бы года 2, вы были бы в курсе почти всего интересного, что происходит, и ни один из вопросов, что вы задали у вас бы не возник, т.к. все они уже многократно обсуждались. В частности, фильтрафция по приложениям — wrong way, см. коммент /comment22082 и весь тот тред (подсказка: фильтровать надо по пользователям, запускающим приложения, а не по самим приложениям).
Любая новая (для Вас) программа считается недоверенной. Вопрос в методах анализа поведения программы (в том числе и вирт. среде) в зависимости от функций, которые она должна выполнять и поиск подозрительных действий с её стороны.
""грамотный" и "Comodo Internet Security" (а также любой проприетарный софт) в одном предложении употребляться не могут"
Это основывается на проведенных экспериментах? Если да, то могли бы Вы ознакомить с ними?
"фильтровать надо по пользователям, запускающим приложения, а не по самим приложениям"
Пользователь может допустить ошибку. Здесь речь идёт об уязвимостях самих приложений и, как следствие, необходимости ограничить и пресечь несанкционированные действия.
Всем спасибо за ответы
комментариев: 11558 документов: 1036 редакций: 4118
Никакое тестирование недоверенной программы не способно выявить потенциально возможную злонамеренную функциональность. Допустим, в VM Вы установили, что ей достаточно открыть порт 80, при этом никаких негативных действий она не совершает, и Вы выпускаете её на волю. Однако, в третью пятницу декабря она внезапно сама соединяется с некоторым сервером, получает с него управляющие команды и сливает всю информацию, которую Вы передаёте ей на обработку.
Ещё раз: никакое функциональное тестирование не может использоваться для оценки безопасности приложения.
<[цитата]>
или так:
> цитата
...была таковой ДО того, как оказалась выкупленной eBay.
"никакое функциональное тестирование не может использоваться для оценки безопасности приложения"
Оk. Согласен с тем, что только открытый код позволяет изучить программу, но, если данная программа вообще не должна выходить в сеть (ну зачем сеть медиаплееру – вместо обновления можно вручную загрузить новую версию), то такое поведение необходимо блокировать. Но это слишком простой пример – пытаюсь найти методы и для более сложных случаев.
И случайно получить административные привелегии, вскрыв очередной local root? :) Если данному пользователю грамотно запрещено, к примеру, работать с интернетом, или же работать с интернетом в обход VPN, то обойти он это не сможет, какие бы программы он не использовал. Надо думать не в терминах "волшебных программ", а в терминах "взаимодействия между процессами", и тогда всё, что справедливо для конкретных программ будет очевидным следствием и сугубо частным случаем.
ТС выразился туманно, но явно видна его обеспокоенность тем, можно ли доверять Skype. Доверять skype нельзя по понятным причинам, и всё с ним связанное уже многократно на форуме и в новостях обсуждалось, ничего нового тут не добавишь.
P.S.: начинаю понимать тех, кто говорил "надо сначала почитать с пол годика сайт, а уже только потом начинать задавать вопросы".
[/offtop]