|
|
|||||||||||||||||||||||||||||
|
Тестирование надежности встроенного файрвола Windows XP Service Pack 2Источник: Windowsfaq
В Windows XP появился встроенный файрвол, который должен был защищать подключения к сети компьютера от несанкционированного доступа и заражения некоторыми типами вирусов. По умолчанию встроенный файрвол был отключен и это послужило одной из причин того, что вирусные эпидемии поражали компьютеры с Windows XP, не смотря на то, что операционная система имела инструмент, который должен был предотвратить заражение. Microsoft отреагировала на это обстоятельство, выпустив новый пакет исправлений для Windows XP, который, в том числе, обновлял встроенный файрвол, предоставляя в распоряжение пользователя новую функциональность, и включал файрвол для всех соединений с сетью. Теперь у пользователя есть возможность настроить файрвол под свои нужды и корректировать его поведение при попытках выхода в сеть программного обеспечения. Можно так же задавать исключения из правил, предоставляя возможность определенному программному обеспечению получать доступ в сеть, минуя запрещающие правила файрвола. По умолчанию, файрвол включен для всех соединений с сетью, но по желанию пользователя, для некоторых соединений он может быть отключен. Если на компьютере используется файрвол стороннего производителя, то встроенный файрвол должен быть отключен. Service Pack 2 для Windows XP доступен для загрузки на сайте Microsoft. Если планируется установить пакет исправлений только на одной машине, то имеет смысл воспользоваться сайтом Windows Update , при помощи которого операционная система будет проверена на отсутствие важных исправлений, и будут загружены только необходимые из них. Это позволит уменьшить объем скачиваемой информации и сэкономит время установки обновлений. ИнтерфейсДоступ к настройкам файрвола (брандмауэра) Windows XP Service Pack 2 можно получить при помощи Пуск - Панель управления - брандмауэр Windows . Пример окна с настройками файрвола показан на рисунке ниже.
Настройки файрвола В этом окне можно включить или выключить файрвол для всех соединений с сетью. Пункт Не разрешать исключения активизирует режим работы файрвола, при котором файрвол не выводит на экран оповещений о блокировке и отключает список исключений, который можно задать на следующей вкладке окна управления файрволом.
Настройки файрвола Файрвол разрешает входящие подключения для приложений, перечисленных в этом списке, если они отмечены флажком. Можно разрешить входящие подключения на определенный локальный порт, создав соответствующее правило. На следующей вкладке окна настроек файрвола собраны дополнительные настройки.
Дополнительные настройки файрвола В этом окне можно отключить файрвол для определенного подключения или настроить дополнительные параметры фильтрации для каждого из подключений при помощи кнопки Параметры . В этом же окне настраивается журнал работы файрвола, задаются параметры фильтрации протокола ICMP. При помощи кнопки По умолчанию можно вернуть все настройки файрвола к исходным. Настройка исключенийАвтоматическое создание исключений для приложенийПри запуске на компьютере программы, которая должна прослушивать определенный порт, ожидая подключения к нему из сети, файрвол выведет на экран запрос, пример которого представлен ниже.
Создание правила для приложения Пользователю предоставляется следующий выбор:
Выбор Отложить оптимален, если нет уверенности в том, какое приложение пытается открыть порт, и будет ли система нормально работать после отказа приложению в открытии порта. В принципе, можно заблокировать попытку открытия порта приложением и если выбор будет неверен, то в последствии можно будет исправить автоматически созданное исключение вручную. Создание исключений для приложений вручнуюЕсли приложение, которое должно принимать входящие подключения из сети, заранее известно, то для него можно создать исключение вручную. Для этого нужно открыть окно настройки файрвола и выбрать вкладку Исключения .
Настройки файрвола Чтобы создать исключение нужно нажать кнопку Добавить программу... . откроется окно, пример которого показан ниже.
Выбор программы В этом окне в списке программ перечислены те из них, которые установлены на компьютере. Если программа, которой необходимо разрешить принимать входящие подключения, отсутствует в списке, то при помощи кнопки Обзор можно указать путь к ней. После нажатия кнопки OK исключение будет создано и добавлено в список, где будет отмечено флажком, который говорит о том, что данное правило разрешает указанному приложению открывать порты и ожидать подключения из сети. Если необходимо запретить приложению открывать порты, то флажок следует снять. Создание исключений для портовФайрвол предоставляет возможность открыть любой порт, разрешив, таким образом, устанавливать соединения из сети с сервисом, работающим на открываемом порту. Чтобы открыть порт нужно в окне исключений нажать кнопку Добавить порт... Пример окна для добавления порта в список исключений показан ниже.
Добавление порта В этом окне необходимо указать протокол и номер порта, подключения к которому из сети файрвол не будет блокировать. В поле имя нужно ввести краткое описание причины по которой порт был открыт, чтобы по прошествии времени ненужное правило можно было легко найти и удалить или исправить. Изменение адресов, с которых разрешено устанавливать подключенияПри ручном создании или при редактировании созданного ранее исключения для приложений или порта можно указать диапазон адресов, с которых могут быть установлены подключения к указанному приложению или порту. Для этого предназначена кнопка Изменить область... , при помощи которой открывается окно, показанное ниже.
Изменение области В этом окне можно задать список адресов, подключения с которых будут пропущены файрволом. Есть возможность указать, что подключения необходимо разрешить как с любого адреса, так и со строго определенных. Также, может быть указана подсеть, в которой находится компьютер под защитой файрвола. Дополнительные настройки файрволаДоступ к дополнительным настройкам файрвола можно получить на вкладке Дополнительно главного окна настройки файрвола.
Дополнительные настройки файрвола Тестирование надежностиКонфигурация тестового компьютера, программное обеспечение, используемое при тестировании
После установки Service Pack 2 в настройках файрвола были отключены все исключения, созданные по умолчанию. Использование программой памяти и загрузка процессораДля оценки поведения файрвола в тяжелых условиях, когда машина под его защитой атакована по локальной сети, был выполнен ряд тестов. В ходе атаки на тестовую машину снимались показания об объеме занятой сервисом файрвола памяти и о загрузке им процессора.
Результаты тестов свидетельствуют об отсутствии утечек памяти и демонстрируют, что даже при атаке по локальной сети, где скорость передачи данных в несколько раз выше, чем при работе в интернете, проблем со снижением производительности компьютера под защитой файрвола нет. Во время SYN-флуда загрузка процессора была максимальной, но работу на компьютере можно было продолжать. Сканирование системы сканером безопасности RetinaТестовая машина была просканирована сканером уязвимостей Retina при включенном и выключенном файрволе. Результаты сканирования представлены в таблице ниже.
Результаты сканирования демонстрируют, что включение файрвола закрывает открытые порты и скрывает компьютер в сети. Он-лайн тест файрволаДля тестирования файрвола на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IP-адрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему. Встроенный файрвол Windows XP SP2 не смог пресечь отправку этих данных. Утилита перехватила введенный в Блокноте текст и без каких-либо препятствий и оповещений со стороны файрвола отправила их на свой сервер, что было подтверждено открывшейся страницей со всей собранной информацией. ВыводВстроенный в Windows XP SP2 файрвол достаточно надежен, но контролирует лишь входящие соединения, оставляя без внимания исходящие. Поэтому при использовании для защиты компьютера встроенного файрвола нужно быть очень внимательным при открытии файлов, полученных из сети. Вирус или шпионское программное обеспечение сможет без проблем отправить данные на сервер разработчика и пресечь его работу встроенный файрвол не сможет. С одной стороны, работа, проделанная командой Microsoft над встроенным файрволом, существенна, с другой - отсутствие полного контроля над трафиком ставит под сомнение целесообразность использования встроенного файрвола вообще. Хочется надеяться на то, что Microsoft решится в будущих пакетах исправлений или новых версиях операционной системы расширить функциональные возможности файрвола и он сможет контролировать весь трафик, а не только входящий. Нынешняя версия встроенного файрвола может рассматриваться лишь как универсальное решение для защиты от некоторых типов вирусов и ограничения доступа к сервисам операционной системы. Ссылки по теме
|
|