Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Dynamic Security Agent : Une évaluation

nicM

Par nicM
dans Sécurisation, prévention

 Partager

Messages recommandés

horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)
Prevx 2, avec lequel tu as hésité, est certainement plus facile d'utilisation, en ce qu'il fait tout pour prendre les décisions "à la place de l'utilisateur". DSA reste cependant globalement moins "bruyant" que d'autres HIPS, comme Process Guard, ou SSM par ex, à ce niveau là.
Salut nicM !

 

Sympa de savoir que de plus de monde s'intéresse au HIPS (Host-based Intrusion Prevention System. IPS agissant au niveau d'un poste de travail) et qu'il commence vraiment à en avoir pour tout les goûts et ce indépendamment du niveau et des choix des utilisateurs :P

 

C'est vrai que c'est bien plus efficace de surveiller les processus amis et ennemis plutôt que de simplement de compter sur une base de donnée, base de donnée limitée à la base puisque les mises à jour viennent trop souvent après la découverte d'une nouvelle vérole...

 

Il va de soit qu'un HIDS n'est pas la panacée et doit être installé sur un système sain.

 

Amicalement.

Sacles Godlike Member

Sacles

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

Prevx 2, avec lequel tu as hésité, est certainement plus facile d'utilisation, en ce qu'il fait tout pour prendre les décisions "à la place de l'utilisateur".

Cela dépend du mode choisi:

  • Prevx 2.0 ABC - prévu pour la maison ou l'utilisateur non technique qui veut utiliser la base de données communautaire pour automatiquement détecter les malware et les empêcher de s'exécuter.
  • Prevx 2.0 Pro - prévu pour les utilisateurs avec une certaine connaissance technique qui veulent être alertés de toute activité de malware connu et de programme inconnu, et qui veulent aussi pouvoir décider d'autoriser ou de bloquer chaque activité.
  • Prevx 2.0 Expert - prévu pour les utilisateurs techniques avancés ou les chercheurs qui veulent des alertes pour toute activité de malware et de programme inconnu ou sûr. Ce mode peut générer un nombre important de pop-ups. Il offre la même protection que les autres modes, mais vous permet de contrôler manuellement Prevx 2.0 Lite.

----------------

 

Merci nicM, pour le travail sur DSA. Je l'ai essayé une fois (pas suffisamment à fond sans doute) il il m'avait paru assez "obscure". Il n'est pas exclu que j'y revienne. Pour l'instant, j'en suis à Prevx.

 

Salut.

Modifié par Sacles
nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Bonjour horrus agressor, Sacles,

 

Merci à vous, au fait, pour les commentaires sympas :P

 

Sympa de savoir que de plus de monde s'intéresse au HIPS (Host-based Intrusion Prevention System. IPS agissant au niveau d'un poste de travail) et qu'il commence vraiment à en avoir pour tout les goûts et ce indépendamment du niveau et des choix des utilisateurs

 

C'est vrai que nous assistons en ce moment à un véritable mouvement de fond : Naguère réservés à quelques geeks (il faut bien le dire), les HIPS deviennent de plus en plus un outil commun, c'est-à-dire utilisé - qu'ils le sachent ou non - par une grande partie des utilisateurs de PC.

 

Ca a commencé avec les firewalls, qui se sont perfectionnés graduellement pour faire bonne figure dans les tests de type leaktests, et ayant besoin pour cela de fonctionnalités avancées, autrefois réservées aux HIPS. Kerio a été parmi les premiers, avec son HIPS module, ou encore Outpost, Zone Alarm pro (et ce qu'ils appellent l'OS-firewall"). Comodo en est un bel exemple, aussi.

 

Puis les antivirus ont commencés eux aussi à intégrer ce genre de composants, pour pouvoir bloquer les menaces contre lesquelles ils ne disposent pas de signature : Kaspersky AV avec son PDM, F-Secure 2006, et surtout la version 2007 avec DeepGuard, McAfee Viruscan Plus (et son module "SystemGuards"), Sophos et son "Endpoint Security and Control"), DrWeb 5 est annoncé comme disposant lui aussi d'un tel module.

 

Les anti-spywares s'y collent eux-aussi : Spyware-Terminator a été le premier à intégrer un HIPS. Spyware Doctor s'y met, en ayant racheté Novatix (l'éditeur de CyberHawk) en vue de son intégration dans l'anti-spyware.

 

Au fur et à mesure, chaque internaute installant une suite de sécurité ou un antivirus, puis un firewall séparémment dispose ainsi finalement d'un HIPS : On est bien loin de la confidentialité des HIPS d'il y a encore deux ans :P ...

 

 

 

Une des raisons est que les auteurs de malwares sortent de nouvelles variantes de leurs spywares/trojans trop rapidemment pour que la protection traditionnelle, par détection au travers de base de donnée, ne puisse suivre : La détection et la prévention générique (sans signatures) devient indispensable pour pouvoir "suivre le rythme". Certains éditeurs d'AV ou antispywares avouent dans des articles, souvent sur leurs blogs, que la détection par signature devient de moins en moins viable, à cause de cette rapidité avec laquelle les malwares changent pour éviter la détection : L'analyse et la publication de nouvelles signatures devient quasi-impossible.

 

Les fichiers changent aujourd'hui d'heure en heure, alors qu'auparavant il fallait un ou plusieurs jours pour que les malwares changent suffisemment pour "échapper" à la détection par la signature publiée pour une variante précédente d'un même malware.

 

Cet article illustre bien ceci, mais il est en anglais : http://www.pctools.com/news/view/id/181/

 

 

Ainsi, les HIPS ou assimilés sont appellés à se répandre de plus en plus, et seront probablement un outil "banal" à plus ou moins long terme, comme peuvent l'être un antivirus aujourd'hui, ou un firewall : Tantôt les antivirus ou firewall l'intégrent eux-même, tantôt les HIPS autonomes deviennent plus accessibles et faciles à gérer (cf Prevx, Online Armor, disposant de mode où les décisions sont prises automatiquement, dans la mesure du possible. Ou encore CyberHawk, qui cherche à déterminer si le comportement est susceptible de trahir une intention malicieuse, avant de soumettre un changement système à acceptation. Primary Response SafeConnect marche de manière à peu près identique, lui-aussi) pour les utilisateurs.

 

Evolution intéressante, quoi qu'il en soit :P - on a pas fini d'en parler :P ...

 

 

 

Sacles, oui tu as raison pour Prevx, il a 3 modes séparés, avec une plus ou moins grande interaction avec l'utilisateur. Enfin je disais qu'il fait tout pour "prendre les décisions à la place de l'utilisateur" en ce que c'est globalement la particularité de Prevx, toute versions confondues, par rapport aux HIPS classiques : Même en mode "Expert", il n'offre pas autant de contrôle qu'un HIPS classique; certaines détections ne se font qu'en mode 'heuristic reporting', par ex, et ne permettent pas de choisir OUI ou NON, comme avec d'autres HIPS. Il y a simplement communication du comportement ayant déclenché l'alerte aux serveurs de Prevx. Donc là encore, pas d'intervention requise de l'utilisateur.

 

Bonne fin de soirée,

tim burtonzzzz Mega Power Member

tim burtonzzzz

Posté(e)
Posté(e) (modifié)

Salut

 

 

Interessant votre conversation.

Cependant quid de la stabilité de ces HIPS ? Quid de l'instabilité de Windows avec ces logiciels ?

 

Je pose cette question car par le passé j'ai eu l'occasion de tester Viguard sur mon pc, qui pouvait etre interessant dans le concept, mais qui rendait rapidement mon pc instable ! Obligation de rebooter le pc a la sauvage car blocage total.

J'ai d'ailleurs eu la meme experience avec ProcessGuard Full alors que je n'installais rien de particulier...et ou j'avais laissé la phase d'apprentissage pendant au moins une bonne semaine !

 

J'ai egalement testé Prevx il y a quelques jours, et hop Windows instable (lors d'un scan entier du pc avec Prevx) alors que tres peu de logiciels sont installés, et aucun incompatible avec Prevx style autre HIPS...ou autre antivirus

Modifié par tim burtonzzzz
michte Mega Power Member

michte

Posté(e)
Posté(e)

Salut à tous,

 

J'ai eû quelques souçis dernièrement avec ma nouvelle config :P , et je pense après plusieurs essais, que ces problèmes sont dûs à DSA, voici les symptômes:

 

L'icône de KPF (mon pare-feu pour l'instant, vu que j'arrive pas à me dépatouiller avec Outpost free...) apparait en premier lors du démarrage du PC, vient ensuite une icône pour débrancher un périphérique USB..., puis celle d'Antivir presque simultanément avec DSA, une icône comme quoi je n'ai pas de connection réseau WiFi active..., et quand vient le tour normalement de Spyblocker l'icône du parapluie d'Antivir se referme et s'ouvre aussitôt et l'icône de KPF disparait de la première position pour réapparaitre rapidement avant Spyblocker. Le pare-feu subit donc une micro coupure suite au lancement de DSA dans le systray, je dis que c'est DSA parceque sans lui, rien ne se produit, pourtant dans ses tout premiers jours rien de semblable... :P

 

Cela faisait maintenant cinq jour que je ramai, j'avais rendu mon système instable à force de manips... :P

 

Mais maintenant tout est à peu près rentré dans l'ordre sauf ce problème qui est: que DSA prend le dessus sur KPF et oblige celui-ci à se relancer par la suite.

 

Bon c'est ce que j'ai pu observer, mais ce n'est pas évident de débattre de ça, on à tous une config différente, mais si vous avez des suggestions...

Pour l'instant ça tourne mais je suis passé à côté d'un reformatage, n'ayant pas encore investit dans un logiciel de sauvegarde sérieux...

 

A+

nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

 

tim burtonzzzz,

la stabilité avec ce type de programme, c'est parfois aléatoire : A plus forte raison après désinstallation d'autre programmes similaires, qui peuvent laisser des débris ici et là.

 

J'avais eu le même problème que toi, en essayant Viguard, il y a un an ou deux. Par contre, jamais eu de problèmes avec Process Guard.

 

On doit avoir plus de chances de succès sur un système propre, de préférence fraîchement installé, c'est certain.

 

 

 

Michte,

ton problème peut avoir plusieurs causes. D'une part, est tu sûr qu'il n'y a pas conflit entre Kerio et Spyblocker? (il me semble que celui-ci installe un proxy local?) Sinon, as-tu vérifié le contenu des fenêtres de quarantaine, dans DSA? Histoire de vérifier que des programmes légitimes ne s'y trouvent pas, suite à une fausse manip'

 

Normalemment, lorsque le driver d'un firewall est déjà installé au moment de l'installation de DSA, et que ce driver est incompatible avec celui de DSA, ce dernier est supposé ne pas installer son propre firewall. As-tu déjà eu des alertes de DSA relatives à des connexions?

 

Sinon, je te conseille de cocher les cases "Require User approval for each alert", dans l'interface de DSA : De cette manière, tu as des alertes détaillées (au milieu de l'écran), et non les alertes réduites (dans le coin à droite) qui ne précisent pas ce qui est bloqué (pas pratique du tout, ça, en fait, voire dangereux :P ). D'autant plus que lorsque quelque chose est bloqué par le biais de ces alertes réduites, une règle de blocage est créée.

 

C'est pour cela que tu devrais vérifier le contenu des quarantaines, pour Process Detection, et Application Detection. Peut-être qu'un composant légitime a été bloqué, par erreur, et provoque les problèlmes?

michte Mega Power Member

michte

Posté(e)
Posté(e) (modifié)

Salut nicM,

 

...Normalemment, lorsque le driver d'un firewall est déjà installé au moment de l'installation de DSA, et que ce driver est incompatible avec celui de DSA, ce dernier est supposé ne pas installer son propre firewall. As-tu déjà eu des alertes de DSA relatives aux connexions? Est tu sûr qu'il n'y a pas conflit entre Kerio et Spyblocker? As-tu vérifié le contenu des fenêtres de quarantaine, dans DSA?

Sinon, je te conseille de cocher les cases "Require User approval for each alert", dans l'interface de DSA : De cette manière, tu as des alertes détaillées (au milieu de l'écran), et non les alertes réduites (dans le coin à droite) qui ne précisent pas ce qui est bloqué (pas pratique du tout, ça, en fait, voire dangereux :P ). D'autant plus que lorsque quelque chose est bloqué par le biais de ces alertes réduites, une règle de blocage est créée...

 

En ce qui concerne le pilote du pare-feu de DSA, il semblerai en effet qu'il ne soit pas installé...

Mais j'ai eû des alertes concernant les connexions (je pense que DSA à gardé en mémoire une première installation qui à été supprimée...

En l'absence de DSA je n'ai aucun conflit et mon système est stable (plus de six mois de cohabitation pacifique entre Spyblocker et Kerio)...

Pour l'instant rien en quarantaine, mais lors d'une installation précédente il y en avait (peut-être des programmes sont resté désactivés suite à une désinstall de DSA)...

J'ai appliqué tes conseils pour "Require User approval for each alert".

 

Je précise que depuis ces manips j'avais nettoyé le PC, j'ai recommencé plusieurs fois, et à chaque fois les problèmes au démarrage surviennent quand DSA est installé.

 

A+

Modifié par michte
michte Mega Power Member

michte

Posté(e)
Posté(e) (modifié)

Salut nicM,

 

En fait pour le problème au démarrage, à savoir:

-Une "coupure" de Kerio suite au lancement de DSA dans la barre de lancement, je me demandais si il n'y aurait pas un réglage, et/ou un logiciel qui permettrait de couper toutes connexions le temps pour Kerio de se relancer, et se "stabiliser". :P

 

Dans Kerio il y a une option (cochée chez moi):

-Bloquer toutes les tentatives de connexion entrante pendant le démarrage et l'arrêt du système d'exploitation.

Mais pendant "la mise en place exotique des icônes" je ne peux pas vérifier si il n'y-a éffectivement pas de connexions actives. Peut-être d'ailleurs est-ce à cause de ce blocage temporaire qu'il-y-a une coupure provoquée par DSA sur Kerio... (ça, j'ai pas testé)

 

Pour ma réponse précèdente:

"Mais j'ai eû des alertes concernant les connexions (je pense que DSA à gardé en mémoire une première installation qui à été supprimée..."

Je confonds, je n'ai plus d'alertes connexions mais j'en ai eû quand tout marchait bien (avec le temps je m'embrouille). :P

 

Edit:

 

Et ce qui m'inquiète le plus, se sont les connexions sortantes (j'ai le pare-feu de la LiveBox) pendant ce laps de temps "strange".

Peut-être que le crochetage de DSA sur Kerio n'est pas "supporté" par ce dernier? (là, j'me lâche un peu...)

J'espère que ce problème sera résolu par une MAJ d'un des logiciels, pour l'instant je garde DSA malgré tout, mais le round d'observation est bientôt fini, et j'envisage (après avoir testé plusieurs réglages possibles de mes logs au démarrage) d'essayer un autre log d'ici peu.

 

Edit:

 

J'ai fait un test avec Start Up Delayed pour DSA. J'ai donc fait passer tout mes logiciels et services qui se lancent au démarrage, 8 en tout :P et j'ai retardé de 15 secondes DSA (pour voir si c'était un problème de temps de mise en place de tout mes logs) donc, tout mes logs se lancent normalement, jusqu'au... Lancement de DSA qui "prend la place" de SPF!!! :P

Et, ce même après, que tout les logs soient démarrés, moi comprends pu sinon :P deviens un peu :P voir :P

 

A+

Modifié par michte
nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Bonjour michte,

 

Pour l'instant rien en quarantaine, mais lors d'une installation précédente il y en avait (peut-être des programmes sont resté désactivés suite à une désinstall de DSA)...

 

Hmm, ça complique les choses, dans ce cas... Il n'y a pas de raison que DSA ait gardé ces paramètres, s'il a été correctement désinstallé la première fois. Mais ce qui a pu se passer, c'est que des programmes "légitimes" aient été bloqué par erreur, et qu'un dysfonctionnement en ait résulté pour eux.

 

Sinon, pour Kerio, il faut savoir que ce programme est un peu spécial : Il fait tourner 2 instances de son interface, et c'est ce point qui cause souvent problèmes avec d'autres programmes, cela m'est déjà arrivé aussi.

 

Cependant, il y a de fortes chances pour que ce que tu décris comme un chargement "anarchique" de Kerio ne soit lié qu'au problème de kpfgui.exe, c'est-à-dire cantonné aux chargement des 2 interfaces graphiques : Il n'y a pas d'incidences sur la protection, si c'est le cas :P .

michte Mega Power Member

michte

Posté(e)
Posté(e)

Salut nicM,

 

...Sinon, pour Kerio, il faut savoir que ce programme est un peu spécial : Il fait tourner 2 instances de son interface, et c'est ce point qui cause souvent problèmes avec d'autres programmes, cela m'est déjà arrivé aussi.

Cependant, il y a de fortes chances pour que ce que tu décris comme un chargement "anarchique" de Kerio ne soit lié qu'au problème de kpfgui.exe, c'est-à-dire cantonné aux chargement des 2 interfaces graphiques : Il n'y a pas d'incidences sur la protection, si c'est le cas :P .

 

C'est peut-être en effet à cause de kpfgui.exe et ses deux interfaces graphiques, mais j'avoue que je ne vois pas vraiment comment le savoir, c'est frustrant pour un inquiet comme moi!

Je pense aussi que Kerio est un peu spécial, et j'envisage de tester un autre pare-feu pour "cohabiter" de manière plus pacifique avec DSA. As-tu une piste? Jetico, Comodo? Autre...

 

A+

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...