# ArtLonger:
Jetico Personal Firewall - для Silencer: ты как-то назвал этот файер деревянным. Не расскажешь подробнее, что тебе в нём не глянулось?
(13-05-2005 00:30:38)
# Silencer:
1. Довольно легко прослушивается.
2. Подсистемы практически не контролирует.
3. Не является сетевым экраном.
4. Скриптовые атаки не распознаёт вообще.
5. Длительные пакетные атаки не держит - на 3/4000 пак/сек в течении 10-15 минут можно спокойно перекрыть кислород коннекту.
6. IDS на фильтре веб-контента очень слабый.
(17-05-2005 11:56:57)
# ArtLonger:
Вот это приложил так приложил... 
А не пройдёшся по пунктам чуть подробнее? Я не профи, а любитель, без разжёвывания не всё понимаю полностью.
Просто после настройки домашней сети Look 'n' Stop роняет Winlogon со Stop-ошибкой c000021a, пришлось искать альтернативу...
(17-05-2005 16:24:05)
# Silencer:
1. Аудитинг (прослушка). Имеется 2 вида. Первый самый простой, второй поглубже на уровне подсистем с использованием сниффера портов. Есть практически в любом сканере безопасности (Spyder, NNS, NMAP).
2. Подсистемы B, C, D и т.д. - это больше касается больших сетей. Создаётся канал посредством атаки пакетами и расшифровки сигнатуры порта, после этого через дыру пропускается троян или keylogger. Дальше понятно...
3. Ориентирован на контроль программ, а не на фильтрацию сетевой активности - т.е. фактически внутренний второстепенный рубеж.
4. Скриптовые атаки (NetCat, CopyCat) - это скрипты, которыми можно отключить фаер допустим через telnet или внедрив его в web-content. Причём через скриптовые атаки можно сделать практически всё, что хочеться. К счастью, спецов по скриптовым атакам мало.
5. Пакетные атаки (Flooding, Syn Flood) часто можно встретить на FTP серверах, если сервер перегружен то он автоматически начинает скидывать пользователей через флуд-атаку. Но такая атака как правило длиться несколько секунд и как следствие - тебя просто выкидывают с сервака чтобы его разгрузить.
Направленные flood-атаки это уже проблема намного глобальней. Твой IP и его возможный диапозон вносятся в базу данных и тебя начинают бить по всему диапозону частотой от 3-4000 до 10-15000 пакетов в секунду. Это аналог DDOS атаки на сервер, только это привязано к IP. Так же возможен вариант установки на 10-20-100-... машинах скрипта, который без их ведома тоже будет тебя атаковать. На исходящий трафик это не даёт разницы, а вот в интернет ты не выйдешь - только через прокси которые будешь менять и гоняться за ними по сети в поисках рабочих.
6. IDS - Intrusion Detection Systems (системы обнаружения атак) бывают:
NIDS - Network Intrusion Detection Systems
GrIDS - Graph-Based Intrusion Detection System
OIDS - Operational Intrusion Detection Systems
ERIDS - External Routing Intrusion Detection System
Это самые распостранённые, а существуют ещё около 90 IDS. Подробней напишу в своём разделе.
(17-05-2005 17:37:40) |
