Un firewall basato su host ha un'API accessibile ad altre applicazioni?

0

Alcune persone sono titubanti nell'usare Windows Firewall perché consentono al software di alterarne lo stato tramite un'API. Il vantaggio di questo è che la configurazione del firewall può essere gestita centralmente in GPO.

D'altro canto, il malware può modificare o modificare le impostazioni di Windows Firewall all'insaputa dell'utente finale.

Qualcuno, fornitore o gruppo di ricerca ha studiato l'impatto e le ramificazioni? Quali sono le tue esperienze con i "firewall programmabili" * e dovrebbero essere utilizzati?

    
posta random65537 12.06.2012 - 18:40
fonte

2 risposte

1

Osservando il problema dall'altra parte - non si tratta solo di presentare un bel volto all'utente. Sebbene non conosca alcuno strumento per MSWindows che adatta il comportamento del firewall, fail2ban è uno strumento di risposta molto comune sui sistemi di tipo Unix. La maggior parte degli attacchi non può essere differenziata dal traffico reale a livello di pacchetto - fail2ban cerca i pattern nei log (più comunemente per ssh ma può essere usato per qualsiasi cosa che possa scrivere log) e applica divieti temporanei.

    
risposta data 13.06.2012 - 11:47
fonte
1

Come con molti controlli di sicurezza, dovrebbero sempre essere considerati parte di una strategia di difesa in profondità. Un firewall personale sulla tua macchina aggiunge protezione utile, ma non dovrebbe essere considerato come l'unica protezione.

(Qui dico firewall personale perché la vulnerabilità che identificate - se il malware infetta una macchina e aumenta il privilegio che può disabilitare / modificare un firewall personale in esecuzione sulla stessa macchina - si applica a tutti questi prodotti, non solo a quello di Microsoft.)

    
risposta data 13.06.2012 - 11:36
fonte

Leggi altre domande sui tag