¿Debería un cortafuegos basado en host tener una API accesible para otras aplicaciones?

Navega tus respuestas
0

Algunas personas dudan en usar el Firewall de Windows porque permite que el software altere su estado a través de una API. El beneficio de esto es que la configuración del Firewall se puede administrar de forma centralizada en GPO.

Por otra parte, el malware puede cambiar o alterar la configuración del Firewall de Windows sin que el usuario final lo sepa.

¿Alguien, proveedor o incluso grupo de investigación ha estudiado el impacto y las ramificaciones? ¿Cuáles son sus experiencias con los "cortafuegos programables" * y deberían utilizarse?

    
pregunta random65537 12.06.2012 - 18:40
fuente

2 respuestas

1

Mirando el problema desde el otro lado, no se trata solo de presentar una cara bonita al usuario. Aunque no conozco ninguna herramienta para MSWindows que adapte el comportamiento del firewall, fail2ban es una herramienta de respuesta muy dinámica en sistemas de tipo Unix. La mayoría de los ataques no se pueden diferenciar del tráfico genuino a nivel de paquete: fail2ban busca patrones en los registros (más comúnmente para ssh, pero se puede usar para cualquier cosa que pueda escribir registros) y aplica prohibiciones temporales.

    
respondido por el symcbean 13.06.2012 - 11:47
fuente
1

Al igual que con muchos controles de seguridad, siempre deben considerarse como parte de una estrategia de defensa en profundidad. Un firewall personal en su máquina agrega una protección útil, pero no se debe confiar en que sea la única protección.

(Digo firewall personal aquí porque la vulnerabilidad que usted identifica, si el malware infecta una máquina y aumenta los privilegios, puede deshabilitar / modificar un firewall personal que se ejecuta en la misma máquina) se aplica a todos estos productos, no solo al de Microsoft.

    
respondido por el Graham Hill 13.06.2012 - 11:36
fuente

Lea otras preguntas en las etiquetas

SQl Injection MariaDB Recibí un correo electrónico de "alerta de seguridad" de Google sobre un inicio de sesión de un dispositivo desconocido que me gustaría localizar [cerrado]