• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья ОБСУЖДЕНИЕ. Брандмауэр Windows vs Agnitum Outpost | Сравнение брандмауэров

Желание написать данную статью возникло у меня после развернувшейся на форуме дискуссии о блокировке фоновой интернет-активности Windows.
Боремся с утечкой трафика на винде.
Укрощение операционных систем семейства Windows.
А тут ещё и какой-то чУвак видео на youTube "подогнал" :)
Брандмауэр Windows vs Agnitum Outpost

Долго не думая, я решила повторить описанный в видео "подвиг".
Установленная в виртуальную машину Windows 10 только благоволила моим желаниям.
Мгновение... и я уже блокирую всю активность виртуальной операционной системы встроенным брандмауэром.

По замыслу, мой эксперимент будет заключаться в следующем:
1. Блокирую весь интернет-трафик виртуальной машины под управлением Windows 10 встроенным брандмауэром.
2. Отслеживаю интернет-активность "блокированной" системы путём прослушивания сетевого соединения анализатором пакетов Wireshark.
3. Теоретически, никакой интернет-активности наблюдаться не должно, ведь первый пункт моего зловещего плана должен гарантировать полный вакуум внутри виртуалки.

Затем повторяю предыдущие шаги, но для контроля активности Windows воспользуюсь сторонним брандмауэром Outpost питерской компании Agnitum. Полученные результаты сравниваю.

uLZrHgtOaLqZXvzeZ75txc7gdkfZV1.png

Нужно отметить, что встроенный брандмауэр Windows - это программа, обладающая неплохим набором функций. При этом программа проста в использовании, что делает общение с ней ещё более привлекательным. Эту энергию, да в нужное русло направить - цены программе не было-бы.
Итак, сетевая активность виртуальной "десятки" теоретически блокирована.
Прежде чем запустить анализатор пакетов на хостовой машине, необходимо узнать имя сетевого интенрфейса, который будет прослушивать Wireshark.

M7Pq5edyIE0PaFeTCm57jzMvbyW9pZ.png

При помощи метода дедукции, с которой до написания этой статьи весь цивилизованный мир был знаком только по сериалу о Шерлоке Холмсе, я определила, что прослушиваемая сеть в моём случае имеет название "Подключение по локальной сети 7".

YsElpdOALiHZsIZrXbnOHTVDTXCc6a.png

9l76ohg2z0ejb3l12Ix9tlKpmkEJPV.png

Именно эту сеть следует прослушивать в хостовой операционке анализатором пакетов.
К сожалению, результаты первой части теста оказались весьма плачевны: встроенный брандмауэр настолько прозрачен, что wireshark зафиксировал интернет активность гостевой системы уже через несколько секунд после начала прослушивания. Причём эта активность представляла собою не что иное, как коннект чистой воды к серверам компании майкрософт по протоколу TCP.

FOJtunLumNwgQJtAfuV1cEohWLOQQa.png

Думаю, что на этом первую часть моего скромного эксперимента можно закончить, ведь тест однозначно указывает на "дырявость" брандмауэра Windows по отношению к "родителю".

Согласно предварительно описанному плану, те же действия необходимо повторить с брадмауэром Outpost от российской компании Agnitum.
Не буду описывать процесс установки упомянутой программы, он интуитивно понятен и не представляет собою ничего сложного: несколько нажатий кнопки "Некст". Вся настройка файерволла в рамках моего эксперимента заключается в полной блокировке интернет активности виртуальной Windows.

P7kpx9mp2o9FwxPn1emVQZ76g497cI.png


Анализ сетевой интернет-активности программой wireshark во втором случае однозначно указывает на всякое её отсутствие. Виртуальная и хостовая машины общаются между собою по протоколам ARP и DHCP:

R91SzVqC4mujYYof2yEprinnFnP7IH.png


Настало время делать сравнительный анализ.
Полная блокировка интернет трафика ...
  • ... Брандмауером Windows нисколько не остановил интернет активность операционки.
  • ... Сторонним брандмауэром Agnitum Outpost полностью блокирует активность гостевой системы.
На этом у меня - ВСЁ.
С вами была Валькирия.
 
Последнее редактирование модератором:

littleV

One Level
15.03.2017
4
0
BIT
0
"Долго не думая, я решила повторить описанный в видео "подвиг"." Но это же просто вырезка кадров из того видоса... Пост в себе никакой новой инфы не несет
 

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
"Долго не думая, я решила повторить описанный в видео "подвиг"." Но это же просто вырезка кадров из того видоса... Пост в себе никакой новой инфы не несет
Не согласен с вами,в теме проанализирована работа брандмауэра Windows, на форум приходят не все с багажом знаний, но и новички которые только делают первые шаги в области защиты информации, им я думаю это информация очень полезна.
 
Ч

Чужой

Пост в себе никакой новой инфы не несет
Точно, не несёт.
Я тоже проверил.
Валькирия, оказывается, всего лишь стенографистка )
Чужие видосы на бумагу ложит и посторонние мысли за свои выдаёт.
 

RaF

One Level
17.06.2017
7
2
BIT
0
Разработка Agnitum Outpost прекращена (поддержка текущих версий до 9 января 2017 года)
Это из википедии
 
V

Valkiria

Разработка Agnitum Outpost прекращена (поддержка текущих версий до 9 января 2017 года)
Да, прекращена. Вероятно, программа сделана настолько хорошо, что и на Win10 работает.
Права на программу проданы Яндексу. К СОЖАЛЕНИЮ. Я думаю, что это - начало конца.
Яндекс без сомнения монетизирует эту программу, нашпигует чем-нибудь и программа перестанет быть привлекательной.
В настоящее время тот факт, что разработка прекращена и программа по-сути является безхозной делает её ещё более привлекательной. Она гарантированно никому ничего не отсылает, никому до неё нет дела )) Работает программа - отлично и без обновлений.
 
  • Нравится
Реакции: arm_n

Bypass

Green Team
02.02.2018
451
579
BIT
0
Уже разоблочил эту видяшку ) где все разложил доступным языком )
Вы НЕ БЛОКИРУЕТЕ ничего в штатном брандмауре ! ведь там в правилах у сервисов майкрософта стоит РАЗРАЩЕНИЕ НА ПОДКЛЮЧЕНИЕ ) ПОЧИСТИТЕ ПРАВИЛА ! НЕ ВВОДИТЕ ЛЮДЕЙ В ЗАБЛУЖДЕНИЯ !
вчера еще дал комментарий на эту тему
https://codeby.net/threads/boremsja-s-utechkoj-trafika-na-vinde.62474/page-3#post-302208
 
Последнее редактирование:
V

Valkiria

Чего ?
Чем на этот раз я тебе не угодила ?

Вы НЕ БЛОКИРУЕТЕ ничего в штатном брандмауре ! ведь там в правилах у сервисов майкрософта стоит РАЗРАЩЕНИЕ НА ПОДКЛЮЧЕНИЕ ) ПОЧИСТИТЕ ПРАВИЛА ! НЕ ВВОДИТЕ ЛЮДЕЙ В ЗАБЛУЖДЕНИЯ !
Вроде-бы всё блокировала.

UY81k1g780RBnC90X6xLczfZvZQ5qZ.png

В этом брандмауэре нужно что-то дополнительно блокировать ?



KSfJ7qhtgruTQ2RtXnbUbhKSGrgKxS.png



Ничего себе брандмауэр ахахаха ))
То есть кнопка "Блокировать всё" на практике ничего не блокирует ? Ахахах ))
То есть, если что-то просочилось, то всегда виноват пользователь - не заблокировал - сам дурак ))
Ахахах - мне нравится такой подход к работе брандмауэра.

Не подскажешь, "Функцию семьи учётных записей майкрософт" блокировать нужно ?
Смотри не ошибись с ответом )0
 
Последнее редактирование модератором:

Bypass

Green Team
02.02.2018
451
579
BIT
0
Залил видяху в облоко на мегу, специально для тебя наслаждайся )



---- Добавлено позже ----

Залил видяху в облоко на мегу, специально для тебя наслаждайся )

 
Последнее редактирование:
A

ANR

Залил видяху в облоко на мегу, специально для тебя наслаждайся )



---- Добавлено позже ----


Залил видяху в облоко на мегу, специально для тебя наслаждайся )


ну как же! у тебя DNS и мультикаст "инфу сливают") а в outposte только пакеты ARP и ничего более...)
ЛОЛ
если человек не понимает, то хоть об стену расшибись ничего не докажешь.
 
  • Нравится
Реакции: Bypass и arm_n

thunder

Green Team
08.12.2016
219
26
BIT
0
Желание написать данную статью возникло у меня после развернувшейся на форуме дискуссии о блокировке фоновой интернет-активности Windows.
Боремся с утечкой трафика на винде.
Укрощение операционных систем семейства Windows.
А тут ещё и какой-то чУвак видео на youTube "подогнал" :)
Брандмауэр Windows vs Agnitum Outpost

Долго не думая, я решила повторить описанный в видео "подвиг".
Установленная в виртуальную машину Windows 10 только благоволила моим желаниям.
Мгновение... и я уже блокирую всю активность виртуальной операционной системы встроенным брандмауэром.

По замыслу, мой эксперимент будет заключаться в следующем:
1. Блокирую весь интернет-трафик виртуальной машины под управлением Windows 10 встроенным брандмауэром.
2. Отслеживаю интернет-активность "блокированной" системы путём прослушивания сетевого соединения анализатором пакетов Wireshark.
3. Теоретически, никакой интернет-активности наблюдаться не должно, ведь первый пункт моего зловещего плана должен гарантировать полный вакуум внутри виртуалки.

Затем повторяю предыдущие шаги, но для контроля активности Windows воспользуюсь сторонним брандмауэром Outpost питерской компании Agnitum. Полученные результаты сравниваю.

uLZrHgtOaLqZXvzeZ75txc7gdkfZV1.png

Нужно отметить, что встроенный брандмауэр Windows - это программа, обладающая неплохим набором функций. При этом программа проста в использовании, что делает общение с ней ещё более привлекательным. Эту энергию, да в нужное русло направить - цены программе не было-бы.
Итак, сетевая активность виртуальной "десятки" теоретически блокирована.
Прежде чем запустить анализатор пакетов на хостовой машине, необходимо узнать имя сетевого интенрфейса, который будет прослушивать Wireshark.

M7Pq5edyIE0PaFeTCm57jzMvbyW9pZ.png

При помощи метода дедукции, с которой до написания этой статьи весь цивилизованный мир был знаком только по сериалу о Шерлоке Холмсе, я определила, что прослушиваемая сеть в моём случае имеет название "Подключение по локальной сети 7".

YsElpdOALiHZsIZrXbnOHTVDTXCc6a.png

9l76ohg2z0ejb3l12Ix9tlKpmkEJPV.png

Именно эту сеть следует прослушивать в хостовой операционке анализатором пакетов.
К сожалению, результаты первой части теста оказались весьма плачевны: встроенный брандмауэр настолько прозрачен, что wireshark зафиксировал интернет активность гостевой системы уже через несколько секунд после начала прослушивания. Причём эта активность представляла собою не что иное, как коннект чистой воды к серверам компании майкрософт по протоколу TCP.

FOJtunLumNwgQJtAfuV1cEohWLOQQa.png

Думаю, что на этом первую часть моего скромного эксперимента можно закончить, ведь тест однозначно указывает на "дырявость" брандмауэра Windows по отношению к "родителю".

Согласно предварительно описанному плану, те же действия необходимо повторить с брадмауэром Outpost от российской компании Agnitum.
Не буду описывать процесс установки упомянутой программы, он интуитивно понятен и не представляет собою ничего сложного: несколько нажатий кнопки "Некст". Вся настройка файерволла в рамках моего эксперимента заключается в полной блокировке интернет активности виртуальной Windows.

P7kpx9mp2o9FwxPn1emVQZ76g497cI.png


Анализ сетевой интернет-активности программой wireshark во втором случае однозначно указывает на всякое её отсутствие. Виртуальная и хостовая машины общаются между собою по протоколам ARP и DHCP:

R91SzVqC4mujYYof2yEprinnFnP7IH.png


Настало время делать сравнительный анализ.
Полная блокировка интернет трафика ...
  • ... Брандмауером Windows нисколько не остановил интернет активность операционки.
  • ... Сторонним брандмауэром Agnitum Outpost полностью блокирует активность гостевой системы.
На этом у меня - ВСЁ.
С вами была Валькирия.

Все это конечно хорошо ....Но есть одно но ) Agnitum Outpost продукт разве сейчас поддерживается ?
 
  • Нравится
Реакции: OldPen

Bypass

Green Team
02.02.2018
451
579
BIT
0
ну как же! у тебя DNS и мультикаст "инфу сливают") а в outposte только пакеты ARP и ничего более...)
ЛОЛ
если человек не понимает, то хоть об стену расшибись ничего не докажешь.

да тут все и так понятно, майкрософт не будет заниматься такой фишкой как обход трафика игнорируя политику своего же файрвола это будет фиаско, да и смысла в этом нет, любой может поставить сторонний софт и накрыть их теневое воровство трафика, ведь проснифать и выявить утечку не составит труда, по умолчанию у них политика в файрволе такая что разрешены все их сервисы и мол все крики насчет того что они шпионят они на это толком ничего не отвечает так знает что весь холивар идет от того что людям попросту лень настраивать файрвол ведь они же дали такую возможность, пользуйся.
Просто такие как мы, гики, начинаем с этим разбираться и настраиваем систему под себя, нас таких мало, в основной массе все по дефолту льют траф. Майкрософту по умолчанию выгодно такие политики чтобы иметь возможность грести траф лопатой, типо ты не кричи браток и руками не махай, прежде настрой правила под себя мы дали тебе такую возможность, пользуйся на здоровье. А тем кто не разбирается или спешит с выводом, высказывается насчет дырявости файрвола и порождают сплетни в интернетах советую - никого не слушать, нужно самому все проверять, только перед проверкой не забыть покурить основы комп сетей и т.п.
Блочить левый траф выгодно так же тем кто имеет лимитированный трафик на моб провайдерах, экономия)
 
Последнее редактирование:
  • Нравится
Реакции: Byblik
A

ANR

да тут все и так понятно, майкрософт не будет заниматься такой фишкой как обход трафика игнорируя политику своего же файрвола это будет фиаско, да и смысла в этом нет, любой может поставить сторонний софт и накрыть их теневое воровство трафика, ведь проснифать и выявить утечку не составит труда, по умолчанию у них политика в файрволе такая что разрешены все их сервисы и мол все крики насчет того что они шпионят они на это толком ничего не отвечает так знает что весь холивар идет от того что людям попросту лень настраивать файрвол ведь они же дали такую возможность, пользуйся.
Просто такие как мы, гики, начинаем с этим разбираться и настраиваем систему под себя, нас таких мало, в основной массе все по дефолту льют траф. Майкрософту по умолчанию выгодно такие политики чтобы иметь возможность грести траф лопатой, типо ты не кричи браток и руками не махай, прежде настрой правила под себя мы дали тебе такую возможность, пользуйся на здоровье. А тем кто не разбирается или спешит с выводом, высказывается насчет дырявости файрвола и порождают сплетни в интернетах советую - никого не слушать, нужно самому все проверять, только перед проверкой не забыть покурить основы комп сетей и т.п.
Блочить левый траф выгодно так же тем кто имеет лимитированный трафик на моб провайдерах, экономия)

я вообще стараюсь поддерживать всякие браузеры, системы и вообще любой софт который собирает статистику, всякие телеметрии, отчеты об ошибках и прочее всегда стараюсь отправлять. в хроме, в лисе и других разных. зачем жить ханжой, все получать бесплатно и не помогать хоть чем то? да, раньше тоже все такое отрубала на корню, (и даже торренты качала и не раздавала) сейчас наоборот стараюсь помогать. жалеть безлимитный траффик чтоли? ну будет там лишний гигабайт всякой телеметрии в месяц и кому от этого хуже? в скором времени возможно прикуплю какой нибудь комп чисто как торрент сервачок и hdd к нему, пусть качают люди..
единственное исключение это конечно если траффик мобильный, в какой нибудь деревне..
 

Bypass

Green Team
02.02.2018
451
579
BIT
0
я вообще стараюсь поддерживать всякие браузеры, системы и вообще любой софт который собирает статистику, всякие телеметрии, отчеты об ошибках и прочее всегда стараюсь отправлять. в хроме, в лисе и других разных. зачем жить ханжой, все получать бесплатно и не помогать хоть чем то? да, раньше тоже все такое отрубала на корню, (и даже торренты качала и не раздавала) сейчас наоборот стараюсь помогать. жалеть безлимитный траффик чтоли? ну будет там лишний гигабайт всякой телеметрии в месяц и кому от этого хуже? в скором времени возможно прикуплю какой нибудь комп чисто как торрент сервачок и hdd к нему, пусть качают люди..
единственное исключение это конечно если траффик мобильный, в какой нибудь деревне..
тут не единственный фактор что мол жадный на трафик, при безопасности и анонимности играет большую роль.
кого то это парит - параноиков, а кого то нет, кому то все равно кто роется в его грязном белье а кому то это не нравиться, выбор есть за каждым.
 
A

ANR

тут не единственный фактор что мол жадный на трафик, при безопасности и анонимности играет большую роль.

ну так выборочно же, не всем подряд же телеметрию разрешать. только программам с хорошей репутацией типа лисы, хрома, отчеты об ошибках в майкрософт, вообще если софт без подлянок и долго им пользуешься, то почему бы и нет.
а анонимность.. для чего нужен впн, тор и пр это обход блокировок и защита от подмены траффика, а не для сокрытия траффика который и так доступен кому угодно. ну ведут по твоему ip статистику и что?) ну бред же
 

Bypass

Green Team
02.02.2018
451
579
BIT
0
ну так выборочно же, не всем подряд же телеметрию разрешать. только программам с хорошей репутацией типа лисы, хрома, отчеты об ошибках в майкрософт, вообще если софт без подлянок и долго им пользуешься, то почему бы и нет.
а анонимность.. для чего нужен впн, тор и пр это обход блокировок и защита от подмены траффика, а не для сокрытия траффика который и так доступен кому угодно. ну ведут по твоему ip статистику и что?) ну бред же
конечно можно разрешать тому в ком уверен, по сути добавив софт в разращенное он уже может собирать статистику и свободно отправлять ее если ты ему конечно не заблокировал адреса куда он ее отправляет.
насчет цепочки ты неправа тор он и сделан для анонимности а впн для безопасность для этого и тор участвует в цепи чтобы создать анонимность, а впн для безопасности.
Почитай тут на форуме для чего именно такая связка. Почему траф не заворачивают тор + впн или тор+впн. А именно впн + тор +впн. Это минимальная цепь можно цепь удлинить во много много раз если прогнать это все через сервера. Не зря профессиональные бот сети размещают в торе это для того чтобы ее не так было просто найти и отключить.
 
Последнее редактирование:
A

ANR

конечно можно разрешать тому в ком уверен, по сути добавив софт в разращенное он уже может собирать статистику и свободно отправлять ее если ты ему конечно не заблокировал адреса куда он ее отправляет.
насчет цепочки ты неправа тор он и сделан для анонимности а впн для безопасность для этого и тор участвует в цепи чтобы создать анонимность, а впн для безопасности.
Почитай тут на форуме для чего именно такая связка. Почему траф не заворачивают тор + впн или тор+впн. А именно впн + тор +впн.

"тор участвует в цепи чтобы создать анонимность, а впн для безопасности" - только если ты эдвард сноуден)
при посещении обычных сайтов, такая безопасность бессмысленна и лишь только создает лишнюю нагрузку на тор и бесплатные серверы впн. смысл в чем? да, если блокировку обойти нужно, врубаешь впн или тор и погнал, а так не вижу смысла.
 

Bypass

Green Team
02.02.2018
451
579
BIT
0
"тор участвует в цепи чтобы создать анонимность, а впн для безопасности" - только если ты эдвард сноуден)
при посещении обычных сайтов, такая безопасность бессмысленна и лишь только создает лишнюю нагрузку на тор и бесплатные серверы впн. смысл в чем? да, если блокировку обойти нужно, врубаешь впн или тор и погнал, а так не вижу смысла.
ну да для тебя нет смысла если ты рассматриваешь эти средства только для обхода блокировок. Я и не говорю чтобы обойти блокировку нужно мутить цепь естествен это ненужно это лишнее. Но у нас тут форум не по обходу блокировок он профильный где обсуждаются анонимность, безопасность, проникновение и т.п.
 
V

Valkiria

ну как же! у тебя DNS и мультикаст "инфу сливают") а в outposte только пакеты ARP и ничего более...)
ЛОЛ
если человек не понимает, то хоть об стену расшибись ничего не докажешь.
Откуда это высокомерие ?
Откуда эта оценка знаний ?
Откуда столько гавна ?

Это всё, что ты можешь сказать в поддержку своих доводов ?
 
Последнее редактирование модератором:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!