Огляд безкоштовного файрвола R-Firewall






Призначення продукту


У цьому огляді ми познайомимося з інтерфейсом і можливостями безкоштовного файрвола R-Firewall. Завантажити його можна з офіційного сайту. Розмір дистрибутива 3,7 мегабайт. Доступна тільки англійська версія. Файрвол призначений для обмеження доступу до комп'ютера по мережі, контролює доступ додатків в мережу і перешкоджає несанкціонованому проникненню зловмисників, а також, до зараження деякими типами вірусів. Безсумнівним плюсом даного продукту є його безоплатність.


Установка


Установка R-Firewall виконується майстром, який задає кілька стандартних запитань. На одному з етапів установки можна вибрати компоненти, які повинні бути встановлені.




Вибір компонентів для установки

На наступному етапі установки файрвол просить вказати підмережа, в якій працює комп'ютер. За умовчанням пропонується значення, прочитане з налаштувань мережевого підключення. Потім майстер установки запропонує список програм, які встановлені на комп'ютері. Для тих програм, які зазначені в списку, будуть автоматично створені правила.




Автоматичне створення правил для додатків

У тестових цілях я зняв позначки з усіх пунктів, тобто, майстер установки файрвола не створив жодного правила для додатків.


Файрвол інтегрується до Центру забезпечення безпеки Windows.




Центр забезпечення безпеки

Після перезавантаження комп'ютера можна приступати до настройки файрвола.


Інтерфейс


Головне вікно програми показано на малюнку нижче.




Головне вікно

На малюнку вище показано вигляд інтерфейсу за замовчуванням. У цьому поданні виводиться мінімальна кількість параметрів у вигляді повзунків, якими можна змінювати рівні безпеки. Перемикання в розширений режим виконується за допомогою пункту меню View – Advanced.




Розширений режим інтерфейсу

Правила та додатки


Після перемикання в розширений режим, першою відкривається вкладка Applications and Rules (Додатки та Правила). Її приклад показаний на малюнку вище. Відразу після установки файрвола створені 3 правила: перше дозволяє обмін даними з довіреними мережами (група Trusted Network, буде описана нижче), друге правило блокує обмін даними з забороненими мережами (Blocked Network), третє – виводить запит до користувача при спробі обміну даними з мережами (або комп'ютерами), які не входять ні в довірену, ні в заборонену групи.


Вище цих трьох правил перебуває група NETBIOS, яка згорнута за замовчуванням і в якій створені правила, що дозволяють встановлення з'єднання між локальним комп'ютером і комп'ютерами (або підмережами), які включені до групи NetBIOS Allowed (NetBIOS дозволений), в обох напрямках.




Група правил NETBIOS

Відразу після установки файрвола до групи NetBIOS Allowed включена підмережа, в якій працює комп'ютер. Як раз для створення цієї групи, майстер установки файрвола ставив питання про IP-адресу комп'ютера. Якщо комп'ютер працює не в локальній мережі, а, наприклад, підключений до інтернету безпосередньо або обстановка в локальній мережі ворожа, то під час установки файрвола не слід взагалі вказувати підмережа комп'ютера. При такій настройці NetBIOS буде заборонений, що сприятливо відіб'ється на безпеці роботи в мережі. Слід врахувати, що якщо буде заборонений NetBIOS-трафік при роботі в локальній мережі, то загальні мережеві ресурси можуть виявитися недоступними.


У правому верхньому куті знаходиться зелена кнопка, натискання на яку приводить до відкриття панелі зі списком визначених правил для вирішення певних сервісів.




Дозвіл певних сервісів

Подвійний клік по наперед визначена правилом у правій панелі додасть його до списку правил. На малюнку вище я додав групу Time Synchronizer, яка дозволяє операційній системі синхронізувати час з джерелами в інтернеті.


При настройці правил слід пам'ятати, що файрвол обробляє їх зверху вниз до першого збігу. Тобто, якщо створити два правила, перше забороняє весь трафік, а друге – дозволяє трафік з певним сервером, то доступ до певного серверу буде закрито, тому що забороняє правило буде знаходитися у списку вище, ніж дозволяє. Порядок правил можна змінювати, використовуючи кнопки зі стрілками на панелі інструментів.


У налаштуванні файрвола є три рівні безпеки: Low, Medium, High. Необхідно пам'ятати, що правила налаштовуються для кожного рівня безпеки окремо, а потім рівень безпеки може бути швидко змінений за допомогою повзунка і файрвол почне застосовувати для фільтрації трафіку правила, які створені для обраного рівня безпеки.


У цьому ж вікні настроюються правила для додатків. На скріншоті вище видно, що файрвол вже створив правило для браузера. Коли нова програма намагається отримати доступ в мережу, файрвол виводить на екран діалогове вікно, приклад якого показаний на малюнку нижче.




Запит на доступ програми в мережу

Відзначивши відповідні пункти в цьому діалозі можна автоматично створити дозволяє або забороняє правило для програми, керуючись яким надалі, файрвол буде припиняти або дозволяти додатком обмінюватися даними з серверами. На мій погляд, в цьому діалоговому вікні не зовсім інформативний висновок IP-адресу сервера, з яким додаток намагається встановити з'єднання. Мені бачиться більш правильним висновок імені сервера, а висновок адреси був би доречний тільки для тих серверів, у яких немає імені.


Коли файрвол виявляє нові модулі або зміна компонентів програми, що раніше вже зверталася в мережу, то він виводить на екран наступне діалогове вікно.




Зафіксовано зміна компонентів додатка

Якщо причина, по якій змінилися компоненти, не ясна, то можна заблокувати мережеву активність програми і просканувати систему антишпигунські і антивірусним програмним забезпеченням.


Передустановки (Presets)


Приклад вкладки Presets (Передустановки) показаний на малюнку нижче.




Вкладка Presets

На цій вкладці перераховано безліч найпоширеніших служб, до яких може знадобитися встановити підключення. Кожен пресет описує протокол і порти, які можуть бути необхідними для роботи з певною службою. Є можливість додавати свої пресети і коригувати створені за замовчуванням. Пресети, пропоновані розробником, дуже загальні, тобто, вони дозволяють встановлювати з'єднання з будь-якими серверами по певних портах і протоколам. Правила можна посилити, створивши зони і вказавши їх у пресете. У кожну зону можна включити певні адреси серверів, на яких працюють служби, наприклад, можна створити зону "Сервера MySQL". Детальніше про зони буде розказано нижче.


Групи портів (Port Groups)


Приклад вкладки показаний нижче.




Вкладка Port Groups

З скріншота зрозуміло призначення цієї вкладки: тут групуються номери портів, які використовуються для роботи з певними послугами. Є можливість створювати свої групи, в яких перераховуються конкретні порти, діапазони портів або можна об'єднати в новій групі кілька існуючих груп. Надалі, можна буде використовувати створені групи при написанні правил, що знімає необхідність перераховувати в кожному полі "Порт" всі порти, які необхідні для налаштування правила.


Зони вузлів (Host Zones)


Приклад вкладки Host Zones (Зони вузлів) показаний нижче.




Вкладка Host Zones

Призначення цієї вкладки аналогічно призначенню Port Groups, з тією лише відмінністю, що тут перераховані вузли, а не порти. У кожного запису можна вказати доменне ім'я, IP-адресу, діапазон адрес, підмережа або згрупувати в новій зоні існуючі вузли. Надалі, при створенні правил файрвола, можна вказувати створені групи вузлів, швидко дозволяючи чи забороняючи роботу з певними серверами одним правилом без необхідності перераховувати кожного разу всі сервери.


З'єднання (Connections)


На вкладці Connections (З'єднання) перераховані всі з'єднання, активні в даний момент.




Вкладка Connections

Фільтр вмісту (Content Filter)


Зовнішній вигляд вкладки зображений на малюнку нижче.




Вкладка Content Filter

У цьому розділі є кілька підрозділів:



  • Ad Blocker (блокіратор реклами) – тут вже перераховані всі найпоширеніші рядки, які використовуються для розміщення на відвідуваних сторінках рекламних матеріалів. У цей же список додані адреси деяких рекламних серверів. Поповнюючи цей список можна позбутися від реклами на відвідуваних сайтах.
  • Ad Picture Blocker (блокіратор графічної реклами) – на цій вкладці можна вказати розміри рекламних зображень (банерів). Завантаження зображень з такими розмірами буде придушуватися файрволом.
  • Host / Active Content Blocker (блокіратор вузлів і активного вмісту) – тут настроюється завантаження активного вмісту з певних сайтів. Можливо змінити налаштування завантаження такого вмісту за замовчуванням для всіх сайтів. Доступні три рівня: заборонити, запитати або дозволити. Застосовуються ці рівні до вузлів (сайтів), cookies, popup, javascript, java applets і activex.
  • Content Filter (фільтр за вмістом) – у цьому списку можна вказати слова, які можуть знаходитися на відвідуваних сторінках і завантаження таких сторінок буде заблокована.
  • Mail Filter (поштовий фільтр) – призначений для установки блокування активного вмісту, який може бути отримано поштою (cookies, popup, javascript, java applets і activex).
  • Log (журнали) – на цій вкладці можна переглянути журнал спрацьовування всіх фільтрів, що буває корисно зробити для тонкої настройки фільтрів або для корекції їх неправильної налаштування.

Кешування DNS-запитів (DNS Cache)


Ця вкладка містить список імен вузлів інтернету (сайтів) з співставленим ним IP-адресою. При зверненні до нового сайту запит дозволяється за допомогою DNS провайдера і файрвол поміщає отриманий відповідь у свою базу. При наступних зверненнях до цього сайту запит дозволяється файрволом, що допомагає скоротити час завантаження сторінок, але в деяких випадках сайт може виявитися недоступний (змінилася запис в DNS).


Детектор атак (Attack Detection)


Приклад вкладки Attack Detection зображений на малюнку нижче.




Вкладка Attack Detection

На вкладці Trusted Hosts (довірені вузли) можна перерахувати список комп'ютерів або вказати підмережі, протоколи і порти, активність на яких не буде розцінюватися як атака, тобто, виключити їх з уваги детектора атак.


На вкладці Port (порт) можна вказати "вага" певного порту. Чим більше його вага, тим пильніше детектор атак буде спостерігати за цим портом і раніше реагувати на можливу атаку.


На вкладці Log (журнал) можна переглянути події, які були зафіксовані детектором атак в ході роботи файрвола.


Тестування R-Firewall


Конфігурація тестового комп'ютера, програмне забезпечення, що використовується при тестуванні



  • Celeron Tualatin 1000A на шині 133, тобто частота процесора 1333 мегагерца.
  • Материнська плата Asus TUSL-2C, BIOS ревізії 1011.
  • 512 мегабайт оперативної пам'яті, що працює на частоті 133 мегагерца.
  • Вінчестер Seagate Barracuda квітня 1980 гігабайт в режимі UDMA5.
  • Windows XP Pro Rus Service Pack 2.
  • 10 мегабітний мережу з двох комп'ютерів.
  • Сканер вразливостей XSpider 7
  • Утиліта для мережевого флуду з ICMP, IGMP, TCP, UDP.
  • Process Explorer від Sysinternals.
  • Утиліта PCAudit2.

Використання програмою пам'яті і завантаження процесора


У ході тестування R-Firewall за допомогою Process Explorer регулярно знімалися показання про обсяг використаної процесом програми пам'яті і про завантаження їм процесора. Результати наведені в таблиці нижче.








































Момент зняття показань

Обсяг використаної пам'яті

Завантаження процесора

Фізична пам'ять (кілобайт)


Віртуальна пам'ять (кілобайт)


Після завантаження ОС, налаштування за замовчуванням, простий


10 412


7 952


0%


Установки за замовчуванням, сканування XSpider


10 316


7 452


0%-8%


Установки за замовчуванням, ICMP-флуд протягом 5 хвилин


12 838


8 508


67%-84%


Установки за замовчуванням, IGMP-флуд протягом 5 хвилин


12 936


8 704


92%-100%


Установки за замовчуванням, SYN-флуд протягом 5 хвилин


12 992


8 644


32%-57%


Установки за замовчуванням, UDP-флуд протягом 5 хвилин


13 080


8 744


4%-100%


Завершити роботу файрвола можна клацнувши правою кнопкою миші по його значку в треї і вибравши Exit. Після закриття файрвол повністю вивантажується з пам'яті і звільняє всі ресурси, які він займав.


Сканування системи сканером вразливостей XSpider


Тестова машина була просканувати сканером вразливостей XSpider 7. Установки файрвола після його встановлення не змінювалися. Підмережа, в якій знаходилася тестова машина під захистом файрвола, була вилучена з групи довірених підмереж.




Результати сканування

Повне сканування всього діапазону портів виявило відкритий порт 445 і вразливість, описану у відповідній статті Бази знань Microsoft.


Під час сканування обсяг зайнятої файрволом пам'яті не змінювався, а завантаження процесора була практично дорівнює нулю.


Он-лайн тест файрвола


Для тестування файрвола на якість контролю їм додатків, які намагаються відправити інформацію в інтернет, була використана утиліта PCAudit2. Ця утиліта пропонує в будь-якому додатку (наприклад, у Блокноті) ввести декілька будь-яких слів або зайти на будь-який сайт, що вимагає авторизації і ввести ім'я користувача і пароль. Утиліта перехоплює дані, що вводяться, робить скріншот з екрану, визначає ім'я користувача, працює в системі, IP-адресу і робить спробу відправити зібрану інформацію на свій сервер. Потім утиліта відкриває з сервера динамічно створену сторінку з відправленими даними та наочно демонструє те, яка інформація може бути отримана хакером, які зламали систему.


Перший запуск PCAudit був виконаний при настройках R-Firewall за замовчуванням. Утиліта перебирала всі працюючі в системі процеси, намагаючись відправити зібрану інформацію на свій сервер від їх імені. Файрвол виявляв спроби вийти в мережу додатків, яким там робити нічого і запитував дія, яку потрібно зробити. У результаті утиліта повідомила про невдачу, що спіткала її при відправленні зібраних даних. Оскільки в повсякденній роботі, швидше за все, для браузера буде створено правило, яке дозволяє йому встановлювати з'єднання з будь-якими серверами, для IE було створено правило, яке дозволяє йому вихід в мережу. Після запуску утиліти, як того і слід було чекати, вона без проблем відправила всю зібрану інформацію на сервер і підтвердила це звітом на сторінці.


Атака на тестову машину по мережі


Для виконання цього тесту була використана утиліта, яка направляє на атакується машину великий потік даних різного типу по різних протоколах. Тест наочно демонструє поведінку файрвола в екстремальних умовах.


Результати тестування наведені в таблиці в розділі Використання програмою пам'яті і завантаження процесора.


ICMP-флуд протягом п'яти хвилин викликав незначне збільшення зайнятої файрволом пам'яті. Завантаження процесора трималася на рівні 70%.


IGMP-флуд викликав практично постійне завантаження процесора до значень, близьких до 100%. Працювати на комп'ютері у час проведення тесту була неможливо. Обсяг використаної пам'яті збільшився незначно.


SYN-флуд слабко позначився на продуктивності комп'ютера, обсяг використаної пам'яті збільшився не на багато.


UDP-флуд викликав завантаження процесора від 6% до 100%, обсяг використаної пам'яті практично не збільшився. Під час проведення тіста було помітно значне падіння продуктивності системи.


Після проведення всіх тестів виявився неприємний баг: я не зміг відкрити головне вікно файрвола. Клацання по значку в треї призвів лише до появи на екрані splash-форми з назвою файрвола, але відкриття головного вікна, яке повинно було з'явитися слідом, я так і не дочекався. Щоб відкрити головне вікно мені довелося завершити процес головного модуля програми за допомогою Process Explorer, а потім запустити його знову з меню Пуск. Ці дії ніяк не відбилися на роботі сервісу файрвола.


Тестування фільтрів вмісту


R-Firewall без проблем справлявся з рекламою на відвідуваних сторінках: мені за весь час проведення тесту не вдалося побачити жодного банера, замість них на сторінках було посилання [AD]. Блокіратор вузлів і активного вмісту також без проблем справлявся з cookies, javascript і так далі. У фільтра вмісту (фільтр за словами на відвідуваних сторінках) виявилася проблема при роботі з кирилицею. Якщо додавання у фільтр слова, написаного латиницею в будь-якому регістрі, завжди приводило до блокування перегляду сторінки (сторінка замінюється написом про спрацьовування фільтру величезним синім шрифтом), то додавання слів, написаних кирилицею, не приводило до спрацьовування фільтру ніколи.


Висновок


Тестування виявило серйозну проблему у вигляді відкритого 445 порту. Якщо на комп'ютері не встановлено оновлення, описане у статті 896422 Бази знань Microsoft, то зловмисник може віддалено виконати на комп'ютері довільний код. Ця проблема зводить нанівець всі переваги R-Firewall перед комерційними продуктами: його повну безкоштовність і скромні системні вимоги.

 

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*