Neonka.ru

• Назначение фаервола
• Установка Service Pack 2 для Windows XP
• Интерфейс
• Настройка исключений
  • Автоматическое создание исключений для приложений
  • Создание исключений для приложений вручную
  • Создание исключений для портов
  • Изменение адресов, с которых разрешено устанавливать подключения
• Дополнительные настройки фаервола
• Тестирование фаервола
  • Конфигурация тестового компьютера
  • Использование программой памяти и загрузка процессора
  • Сканирование системы сканером безопасности Retina
  • Он–лайн тест фаервола
• Вывод

Назначение фаервола

В
Windows XP появился встроенный фаервол, который должен был защищать
подключения к сети компьютера от несанкционированного доступа и
заражения некоторыми типами вирусов. По умолчанию встроенный фаервол
был отключен и это послужило одной из причин того, что вирусные
эпидемии поражали компьютеры с Windows XP, не смотря на то, что
операционная система имела инструмент, который должен был предотвратить
заражение. Microsoft отреагировала на это обстоятельство, выпустив
новый пакет исправлений для Windows XP, которой, в том числе, обновлял
встроенный фаервол, предоставляя в распоряжение пользователя новую
функциональность, и включал фаервол для всех соединений с сетью. Теперь
у пользователя есть возможность настроить фаервол под свои нужды и
корректировать его поведение при попытках выхода в сеть программного
обеспечения. Появилась возможность задавать исключения из правил,
предоставляя возможность определенному программному обеспечению
получать доступ в сеть, минуя запрещающие правила фаервола. По
умолчанию, фаервол включен для всех соединений с сетью, но по желанию
пользователя, для некоторых соединений он может быть отключен. Если на
компьютере используется фаервол стороннего производителя, то встроенный
фаервол должен быть отключен.

Установка Service Pack 2 для Windows XP

Service
Pack 2 для Windows XP доступен для загрузки на сайте Microsoft. Если
планируется установить пакет исправлений только на одной машине, то
имеет смысл воспользоваться сайтом Windows Update,
при помощи которого операционная система будет проверена на отсутствие
важных исправлений и будут загружены только те из них, которые
необходимы. Это позволит уменьшить объем скачиваемой информации и
сэкономит время на установку обновлений.

Если сервис–пак планируется устанавливать на несколько компьютеров, то имеет смысл загрузить его полную версию.

Интерфейс

Доступ к настройкам фаервола (брандмауэра) Windows XP Service Pack 2 можно получить при помощи Пуск – Панель управления – брандмауэр Windows. Пример окна с настройками фаервола показан на рисунке ниже.

В этом окне можно включить или выключить фаервол для всех соединений с сетью. Пункт Не разрешать исключения

включает режим работы фаервола, при котором фаервол не выводит на экран
оповещений о блокировке и отключает список исключений, который можно
задать на следующей вкладке окна управления фаерволом.

фаервол
разрешает входящие подключения для приложений, перечисленных в этом
списке, если они отмечены флажком. Можно разрешить входящие подключения
на определенный локальный порт, создав соответствующее правило. На
следующей вкладке окна настроек фаервола собраны дополнительные
настройки.

В
этом окне можно отключить фаервол для определенного подключения или
настроить дополнительные параметры фильтрации для каждого из
подключений при помощи кнопки Параметры. В этом же окне настраивается журнал работы фаервола, задаются параметры фильтрации протокола ICMP. При помощи кнопки По умолчанию можно вернуть все настройки фаервола к исходным.

Настройка исключений

Автоматическое создание исключений для приложений

При
запуске на компьютере программы, которая должна прослушивать
определенный порт, ожидая подключения к нему из сети, фаервол выведет
на экран запрос, пример которого показан ниже.

Пользователю предоставляется следующий выбор:

• Блокировать
  – приложение, попытавшееся открыть порт, будет блокировано и
  подключится из сети к этому приложению будет невозможно. В списке
  исключений фаервола будет создано правило блокирующее это приложение.
• Разблокировать – приложению будет
  предоставлена возможность открыть порт и подключения из сети к
  приложению, открывшему порт, будут доступны. В список исключений
  фаервола будет добавлено правило, которое будет и впредь разрешать
  этому приложению открывать порт для ожидания входящих подключений.
• Отложить – попытка приложения открыть порт
  будет пресечена, но исключение создано не будет. При следующей попытке
  приложения открыть порт будет вновь выведен запрос, показанный выше.

Выбор Отложить
оптимален, если нет уверенности в том, что за приложение пытается
открыть порт, и будет ли нормально работать система после отказа
приложению в открытии порта. В принципе, можно заблокировать попытку
открытия порта приложением и если выбор будет неверен, то в последствии
можно будет исправить автоматически созданное исключение вручную.

Создание исключений для приложений вручную

Если
заранее известно приложение, которое должно принимать входящие
подключения из сети, то для него можно создать исключение вручную. Для
этого нужно открыть окно настройки фаервола и выбрать вкладку Исключения.

Чтобы создать исключение нужно нажать кнопку Добавить программу.... откроется окно, пример которого показан ниже.

В
этом окне в списке программ перечислены те программы, которые
установлены на компьютере. Если программа, которой необходимо разрешить
принимать входящие подключения, отсутствует в списке, то при помощи
кнопки Обзор можно указать путь к ней. После нажатия кнопки OK
исключение будет создано и добавлено в список, где будет отмечено
флажком, который говорит о том, что данное правило разрешает указанному
приложению открывать порты и ожидать подключения из сети. Если
необходимо запретить приложению открывать порты, то флажок необходимо
снять.

Создание исключений для портов

фаервол
предоставляет возможность открыть любой порт, разрешив, таким образом,
устанавливать соединения из сети с сервисом, работающем на открываемом
порту. Чтобы открыть порт нужно в окне исключений нажать кнопку Добавить порт.... Пример окна для добавления порта в список исключений показан ниже.

В
этом окне необходимо указать протокол и номер порта, подключения к
которому из сети фаервол не будет блокировать. В поле имя нужно ввести
краткое описание причины по которой порт был открыт, чтобы по
прошествии времени ненужное правило можно было легко найти и удалить
или исправить.

Изменение адресов, с которых разрешено устанавливать подключения

При
ручном создании или при редактировании созданного ранее исключения для
приложений или порта можно указать диапазон адресов, с которых могут
быть установлены подключения к указанному приложению или порту. Для
этого предназначена кнопка Изменить область..., при помощи которой открывается окно, показанное ниже.

В
этом окне можно задать список адресов, подключения с которых будут
пропущены фаерволом. Есть возможность указать, что подключения
необходимо разрешить как с любого адреса, так и со строго определенных.
Также, может быть указана подсеть, в которой находится компьютер под
защитой фаервола.

Дополнительные настройки фаервола

Доступ к дополнительным настройкам фаервола можно получить на вкладке Дополнительно главного окна настройки фаервола.

• Параметры сетевого подключения
  – здесь перечислены все сетевые подключения, которые существуют на
  компьютере под защитой встроенного фаервола. Путем установки или снятия
  флажка напротив каждого из подключений можно включить или выключить
  фаервол для каждого из подключений. При помощи кнопки Параметры можно настроить параметры работы фаервола для каждого из подключений, если используется общий доступ к этому подключению.
• Ведение журнала безопасности – при помощи кнопки Параметры можно настроить протоколирование событий, происходящих во время работы фаервола в журнале работы.
• Протокол ICMP

  – позволяет настроить фильтрацию фаерволом сообщений, которыми
  обмениваются по протоколу ICMP. В частности, можно запретить или
  разрешить отклик компьютера на команду ping.

• Параметры по умолчанию – нажатие кнопки По умолчанию возвращает все настройки фаервола к исходным.

Тестирование фаервола

Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании

• Celeron Tualatin 1000A на шине 133, т.е. частота процессора 1333 мегагерца.
• Материнская плата Asus TUSL–2C, BIOS ревизии 1011.
• 512 мегабайт оперативной памяти, работающей на частоте 133 мегагерца.
• Винчестер Seagate Barracuda 4 80 гигабайт в режиме UDMA5.
• Windows XP Pro Rus Service Pack 2.
• 10 мегабитная сеть из двух компьютеров.
• Сканер уязвимостей Retina 4.9.206.
• Утилита для сетевого флуда по ICMP, IGMP, TCP, UDP.

После установки Service Pack 2 в настройках фаервола были отключены все исключения, созданные по умолчанию.

Использование программой памяти и загрузка процессора

Для
оценки поведения фаервола в тяжелых условиях, когда машина под его
защитой атакована по локальной сети, был выполнен ряд тестов. В ходе
атаки на тестовую машину снимались показания об объеме занятой сервисом
фаервола памяти и о загрузке им процессора.

Момент снятия показаний	Объем занятой памяти		Загрузка процессора
	Физическая память (килобайт)	Виртуальная память (килобайт)
После загрузки ОС	17 100	11 386	0%
После сканирования при помощи Retina	17 196	11 376	0%–5%
ICMP–флуд в течение 5 минут	17 292	11 364	0%–1%
IGMP–флуд в течение 5 минут	17 314	11 402	10%–25%
SYN–флуд в течение 5 минут	18 180	12 248	10%–100%
UDP–флуд в течение 5 минут	17 348	11 420	0%–31%

Результаты
тестов свидетельствуют об отсутствии утечек памяти и демонстрируют, что
даже при атаке по локальной сети, где скорость передачи данных в
несколько раз выше, чем при работе в интернете, проблем со снижением
производительности компьютера под защитой фаервола нет. Во время
SYN–флуда загрузка процессора была максимальной, но работу на
компьютере можно было продолжать.

Сканирование системы сканером безопасности Retina

Тестовая
машина была просканирована сканером уязвимостей Retina при включенном и
выключенном фаерволе. Результаты сканирования показаны в таблице ниже.

Название	фаервол выключен	фаервол включен
Ответ на ping	да	нет
Время ответа	да	нет
Имя домена/рабочей группы	да	нет
Трассировка маршрута	да	нет
Время жизни пакета	да	нет
Определение версии ОС	да	нет
Определение даты и времени	да	нет
Определение MAC–адреса	да	нет
Открытый порт 135	да	нет
Открытый порт 139	да	нет
Открытый порт 445	да	нет

Результаты сканирования демонстрируют, что включение фаервола закрывает открытые порты и скрывает компьютер в сети.

Он–лайн тест фаервола

Для
тестирования фаервола на качество контроля им приложений, пытающихся
отправить информацию в интернет, была использована утилита PCAudit2.
Эта утилита предлагает в любом приложении (например, в Блокноте) ввести
несколько любых слов или зайти на любой сайт, требующий авторизации и
ввести имя пользователя и пароль. Утилита перехватывает вводимые
данные, делает скриншот с экрана, определяет имя пользователя,
работающего в системе, IP–адрес и предпринимает попытку отправить
собранную информацию на свой сервер. Затем утилита открывает с сервера
динамически созданную страницу с отправленными данными и наглядно
демонстрирует то, какая информация может быть получена хакером,
взломавшим систему.

Встроенный фаервол Windows XP SP2 не смог пресечь
отправку этих данных. Утилита перехватила введенный в Блокноте текст и
без каких–либо препятствий и оповещений со стороны фаервола отправила
их на свой сервер, что было подтверждено открывшейся страницей со всей
собранной информацией.

Вывод

Встроенный
в Windows XP SP2 фаервол достаточно надежен, но контролирует лишь
входящие соединения, оставляя без внимания исходящие. Поэтому при
использовании для защиты компьютера встроенного фаервола нужно быть
очень внимательным при открытии файлов, полученных из сети. Вирус или
шпионское программное обеспечение сможет без проблем отправить данные
на сервер разработчика и пресечь его работу встроенный фаервол не
сможет.

С одной стороны, работа, проделанная командой
Microsoft над встроенным фаерволом, существенна, с другой – отсутствие
полного контроля над трафиком ставит под сомнение целесообразность
использования встроенного фаервола вообще. Хочется надеяться на то, что
Microsoft решится в будущих пакетах исправлений или новых версиях
операционной системы расширить функциональные возможности фаервола и он
сможет контролировать весь трафик, а не только входящий. Нынешняя
версия встроенного фаервола может рассматриваться лишь как
универсальное решение для защиты от некоторых типов вирусов и
ограничения доступа к сервисам операционной системы.

Источник: http://www.ixbt.com, 01.10.2004