id: Гость   вход   регистрация
текущее время 09:41 29/03/2024
Автор темы: Гость, тема открыта 26/09/2010 09:19 Печать
Категории: инфобезопасность, защита сети
http://www.pgpru.com/Форум/ПрактическаяБезопасность/ФаерволыИПроактивнаяЗащита
создать
просмотр
ссылки

Фаерволы и проактивная защита

Доброго времени суток!
Как определить какие протоколы передачи программа должна использовать в своей работе (с тем чтобы остальные запретить), но при этом если это недоверенная программа неприемлимо её запускать ДО установления в её отношении сетевой политики и политики безопасности?


Хотелось бы узнать каким образом правильно выполнять тонкую и грамотную настройку фаервола Comodo Internet Security. Идентифицировать все используемые приложения как доверенные, думаю, некорректно и небезопасно. Но справочных материалов Comodo совешенно недостаточно для ответов на вопросы, возникающие при настройке.
Например, из журнале проактивной защиты узнаю, что Skype.exe инициировало обращение к физической памяти, а целевой файл cmdagent.exe (то есть один из компонентов фаервола) – подозрительное поведение для VoIP клента. Не является Skype потенциальным (здесь я имею ввиду до поры не проявляющим своих скрытых возможностей) внедрением в систему и общество в целом? Даже если это не так, уважаемый читатель может привести примеры альтернативных VoIP клиентов, которые по его мнению безопасны при условии правильной политики сетевой безопасности и безопасности компьютера?


Также хотелось бы спросить, может ли читатель порекомендовать литературу, охватывающую полный комплекс мер по безопасности персонального компьютера ималой сети, по изложению адаптированной на опытного пользователя, проводящего самостоятельную настройку системы и фаервола?


Заранее спасибо



 
На страницу: 1, 2 След.
Комментарии
— SATtva (26/09/2010 18:49)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
но при этом если это недоверенная программа неприемлимо её запускать ДО установления в её отношении сетевой политики и политики безопасности?

Лол. Недоверенная программа по-хорошему вообще не должна запускаться. Если же это совершенно неизбежно, это необходимо делать в контролируемой ограниченной среде (VM, chroot), где поведение программы не играет роли.
— Гость (26/09/2010 18:58)   <#>
Как определить какие протоколы передачи программа должна использовать в своей работе
Читать документацию на программу и гуглить. Можно запустить программу в виртуальной машине с минмальными привелегиями для работы в сети и потом добавлять эти привелегии до тех пор пока весь функционал программы не заработает.

каким образом правильно выполнять тонкую и грамотную настройку фаервола Comodo Internet Security.
Слова "грамотный" и "Comodo Internet Security" (а также любой проприетарный софт) в одном предложении употребляться не могут. Грамотные на сей день используют один из следующих софтварных файерволлов: Linux iptables и OpenBSD PF (работает во всех BSD-системах). В некоторых случаях при необходимости их заменяют на FreeBSD ipfw или NetBSD IPF. И вообще, /faq/obschie#h46-13.

Не является (ли?) Skype потенциальным (здесь я имею ввиду до поры не проявляющим своих скрытых возможностей) внедрением в систему и общество в целом?
Является. Гуглить skype site:pgpru.com и читать, читать, читать.

уважаемый читатель может привести примеры альтернативных VoIP клиентов, которые по его мнению безопасны при условии правильной политики сетевой безопасности и безопасности компьютера?
Есть много opensource-решений для VoIP. Ну Linphone хотя бы. И заземление есть, типа sipnet.ru. Проблем может возникнуть тут несколько:
  1. В skype используются проприетарные кодеки для кодирования голоса. Эти кодеки защищены лицензиями/патентами и не могут официально быть встроенными в открытый софт. Говорят, что можно извратиться и на коленке сделать сборку с такими кодеками — не пробовал. Т.е. как минимум сторонний клиент будет более требователен к качеству канала связи.
  2. Skype легко обходит большую часть файерволлов, т.к. умеет работать на массе портов/протоколов и маскироваться (хоть и не абсолютно надёжно как Tor) под обычный https на 443ем порту. Поэтому skype (условно) трудно забанить. С другими клиенитами — наоборот, бан лёгкий. Если админ что-то запретил, они уже сами по себе не взлетят, и прийдётся пользователю извращаться самому с туннелями на сторонний хост, чтобы заставить работать VoIP.

Также хотелось бы спросить, может ли читатель порекомендовать литературу, охватывающую полный комплекс мер по безопасности персонального компьютера ималой сети, по изложению адаптированной на опытного пользователя, проводящего самостоятельную настройку системы и фаервола?
Мне такая литература не известна. Частично здесь применим ответ данный в этом faq. Можно даже сказать, что трудно вообразить себе книгу, где безопасность на практическом уровне излагается as is безотносительно ОС и конкретных программ. В то же время, если вы освоите любую вменяемую книгу по профессиональным системам (типа администрирование UNIX/Linux-системы), 99% всех ваших вопросов по безопасности уйдут сами собой, причём не только для конкретной системы, а вообще для любой ОС, т.к. вы начнёте понимать ОС в целом, т.е. как разные её части взаимодействуют между собой. В то же время любая литература по IT устаревает крайне быстро, потому чтобы быть в "тонусе" нужно читать новости по теме из интернета. Если бы вы читали (с вниканием в написанное) pgpru.com хотя бы года 2, вы были бы в курсе почти всего интересного, что происходит, и ни один из вопросов, что вы задали у вас бы не возник, т.к. все они уже многократно обсуждались. В частности, фильтрафция по приложениям — wrong way, см. коммент /comment22082 и весь тот тред (подсказка: фильтровать надо по пользователям, запускающим приложения, а не по самим приложениям).
— Гость (26/09/2010 20:03)   <#>
"Недоверенная программа по-хорошему вообще не должна запускаться"
Любая новая (для Вас) программа считается недоверенной. Вопрос в методах анализа поведения программы (в том числе и вирт. среде) в зависимости от функций, которые она должна выполнять и поиск подозрительных действий с её стороны.


""грамотный" и "Comodo Internet Security" (а также любой проприетарный софт) в одном предложении употребляться не могут"
Это основывается на проведенных экспериментах? Если да, то могли бы Вы ознакомить с ними?


"фильтровать надо по пользователям, запускающим приложения, а не по самим приложениям"

Пользователь может допустить ошибку. Здесь речь идёт об уязвимостях самих приложений и, как следствие, необходимости ограничить и пресечь несанкционированные действия.
Всем спасибо за ответы
— Гость (26/09/2010 20:14)   <#>
Не является (ли?) Skype ... внедрением в ... общество в целом?
У вас какие-то наивные предсавление об обществе. Скорее Skype это некоторая альтернатива, и с ней повсеместно борются конкуренты по внедрению в общество. Например вот недавно в Индии.
— SATtva (26/09/2010 20:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Любая новая (для Вас) программа считается недоверенной. Вопрос в методах анализа поведения программы (в том числе и вирт. среде) в зависимости от функций, которые она должна выполнять и поиск подозрительных действий с её стороны.

Никакое тестирование недоверенной программы не способно выявить потенциально возможную злонамеренную функциональность. Допустим, в VM Вы установили, что ей достаточно открыть порт 80, при этом никаких негативных действий она не совершает, и Вы выпускаете её на волю. Однако, в третью пятницу декабря она внезапно сама соединяется с некоторым сервером, получает с него управляющие команды и сливает всю информацию, которую Вы передаёте ей на обработку.

Ещё раз: никакое функциональное тестирование не может использоваться для оценки безопасности приложения.
— Гость (26/09/2010 20:23)   <#>
Гость (26/09/2010 20:03), цитаты выделяются так:
<[цитата]>
или так:
> цитата
— Geidrow (26/09/2010 20:31)   <#>
"Skype это некоторая альтернатива"
...была таковой ДО того, как оказалась выкупленной eBay.


"никакое функциональное тестирование не может использоваться для оценки безопасности приложения"

Оk. Согласен с тем, что только открытый код позволяет изучить программу, но, если данная программа вообще не должна выходить в сеть (ну зачем сеть медиаплееру – вместо обновления можно вручную загрузить новую версию), то такое поведение необходимо блокировать. Но это слишком простой пример – пытаюсь найти методы и для более сложных случаев.
— Гость (26/09/2010 20:33)   <#>
А никто не и говорит, что это лучшая альтернатива ;)
— Гость (26/09/2010 20:34)   <#>
Вопрос в методах анализа поведения программы (в том числе и вирт. среде) в зависимости от функций, которые она должна выполнять и поиск подозрительных действий с её стороны.
Грамотная настройка системы требует, чтобы всё было относительно безопасно безотносительно зловредности программы. Пользователи ПК делятся на "классы доступа" (назовём их так), и доступ каждого пользователя регулируется настройками системного файерволла.
Это основывается на проведенных экспериментах?
Нет, это уже давно общепризнанный подход. На тему проприетарный софт vs открытый/свободный софт в инете сказано уже так много (и на всех языках), что обсуждение этого вопроса здесь является явным оффтопиком. Где-то в целях проекта (или предыдущих редакциях?) была явно указана нацеленность сайта pgpru.com на открытость и OpenSource ПО. Объяснение тому есть в FAQ'е сайта. Если же, тем не менее, вы хотите полагаться на защиту коммерческих программ с закрытым кодом, то вы обращаетесь не по адресу.

Пользователь может допустить ошибку.
И случайно получить административные привелегии, вскрыв очередной local root? :) Если данному пользователю грамотно запрещено, к примеру, работать с интернетом, или же работать с интернетом в обход VPN, то обойти он это не сможет, какие бы программы он не использовал. Надо думать не в терминах "волшебных программ", а в терминах "взаимодействия между процессами", и тогда всё, что справедливо для конкретных программ будет очевидным следствием и сугубо частным случаем.

У вас какие-то наивные предсавление об обществе.
ТС выразился туманно, но явно видна его обеспокоенность тем, можно ли доверять Skype. Доверять skype нельзя по понятным причинам, и всё с ним связанное уже многократно на форуме и в новостях обсуждалось, ничего нового тут не добавишь.

P.S.: начинаю понимать тех, кто говорил "надо сначала почитать с пол годика сайт, а уже только потом начинать задавать вопросы".
— Гость (26/09/2010 20:36)   <#>
Просто теперь даже у "чайников" есть выбор, кому сливать информацию – местным или глобальным властям.
— Geidrow (26/09/2010 20:38)   <#>
ДО того, как оказалась выкупленной eBay, а впоследствии Silver Lake, Index Ventures, Andreessen Horowitz и Canada Pension Plan
— Гость (26/09/2010 20:48)   <#>
[offtop]
"надо сначала почитать с пол годика сайт, а уже только потом начинать задавать вопросы".
Может с вопрошающих требовать метку времени скриншота страницы с интересующей их темой? :))
[/offtop]
— Гость (26/09/2010 20:58)   <#>
Может с вопрошающих требовать метку времени скриншота страницы с интересующей их темой?
Традиционная система меток времени эту задачу автоматически решать не сможет — понадобится взаимодействие с человеком. Ну и, конечно же. классика: пункты 1 и 2.
— Гость (27/09/2010 16:11)   <#>
требовать метку времени скриншота страницы
Лучше уж мека времени формулировки вопроса. Но таковая мека стоит в шапке темы :) А вот взять за правило отвечать не сразу, чтобы у вопрошающего было время и стимул самому поискать ответ – это мысль!
— Гость (27/09/2010 18:56)   <#>
А вот взять за правило отвечать не сразу, чтобы у вопрошающего было время и стимул самому поискать ответ
Нет уж, мысль — это когда вопрошающий вначале гуглит, а потом спрашивает. pgpru ценится своей realtime'овостью. Иначе будет расценено как умирающий ресурс.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3