Огляд персонального файрвола ZoneAlarm Pro 5 – Установка ZoneAlarm (Частина 2)

Захист пошти


Вкладка налаштувань захисту пошти показана на малюнку нижче.




Захист пошти

На цій вкладці налаштувань файрвола налаштовується захист вхідної та вихідної пошти.


За допомогою перемикача Inbound MailSafe Protection можна включити пошук і блокування у вхідній пошті вкладень з певними розширеннями, які перераховані на вкладці Attachments. При отриманні листи з небезпечним вкладенням, ZoneAlarm змінить розширення вкладення на. zlv і при спробі відкрити це вкладення виведе на екран попередження.




Відкриття вкладення

Використовуючи кнопки в цьому вікні можна запустити вкладення, зберегти його на диску, переглянути вміст у Блокноті або відмовитися від відкриття вкладення.


За допомогою перемикача Outbound MailSafe Protection можна включити захист вихідної пошти. Якщо цей захист включена, то ZoneAlarm буде контролювати спроби додатків відправити пошту і виводити на екран відповідні запити. Будь-якому додатку в налаштуваннях контролю додатків можна увімкнути надсилання пошти без запитів.


За допомогою кнопки Advanced можна включити відстеження спроб додатків відправити за короткий проміжок часу велика кількість листів або спроб відправити одного листа великій кількості споживачів. Тут же можна включити перевірку вихідних листів на наявність в них адреси відправника, що відсутній в списку дозволених адрес. Всі ці налаштування дозволяють виявляти і припиняти роботу вірусів, які після зараження комп'ютера використовують його для розсилки своїх копій по пошті.


Анонімність




Анонімність

За допомогою повзунка Cookie Control можна змінювати рівень блокування куків, від максимального, коли блокуються всі куки, до мінімального, коли усі cookies приймаються. Повзунок AdBlocking регулює рівень придушення реклами на відвідуваних сторінках, а перемикач Mobile Code Control включає або відключає виконання скриптів та іншого активного вмісту на відвідуваних сторінках. Кожен з цих модулів може бути додатково налаштований за допомогою кнопки Custom. Блокування реклами налаштувати тонко неможливо, так як відсутній список заблокованих рядків або розмірів зображень.


На вкладці Site List знаходиться постійно поповнюється список сайтів, які були відвідані c хоча б одним включеним модулем забезпечення анонімності. Для кожного з сайтів можна задати індивідуальні налаштування блокування вмісту.


На вкладці Cache Cleaner можна очистити кеш браузера (IE, Netscape) і налаштувати його автоматичне очищення. За допомогою Clean Tracking Cookies можна скористатися он-лайн сканером сайту Zone Labs для пошуку на комп'ютері куків і їх подальшого видалення. За допомогою кнопки Custom можна вибрати об'єкти, які будуть очищатися. Це може бути список останніх відкритих файлів, кошик, папка для тимчасових файлів, історія пошуку, меню Run, Media player-а, фрагменти файлів, збережених Scandisk-му під час перевірки диска, вся історія заповнення полів, рядків адреси браузера і так далі.


ID Lock (захист особистої інформації)


ZoneAlarm надає в розпорядження користувача інструмент, за допомогою якого користувач може забезпечити безпеку особистої інформації, що зберігається на комп'ютері, і захистити її від витоку.




ID Lock

На вкладці myVAULT потрібно додати до списку послідовності символів, які буде захищати ZoneAlarm. Введена захищається послідовність зберігається в зашифрованому за стандартом SHA-1 вигляді. На вкладці Trusted Sites можна додати до списку сайти і задати дія, яка буде виконувати файрвол при спробі відправити на них захищені послідовності (блокувати, дозволити, запитати).


Звіти про роботу


На цій вкладці настроюється система оповіщень та звітів файрвола.




Звіти та оповіщення

За допомогою перемикачів у цьому вікні можна включити або вимкнути ведення звітів про події, що сталися під час роботи файрвола та налаштувати рівень деталізації інформації, записуваної у звіти. Тут ж настроюється рівень важливості подій, про які файрвол буде сповіщати спливаючими повідомленнями.


За допомогою кнопки Advanced можна вибрати певні події, про які файрвол буде повідомляти спливаючими повідомленнями, настроїти вигляд значка в треї, налаштувати створення архівних копій звітів роботи програми, налаштувати їх формат і частоту архівування.


Події, що відбувалися під час роботи файрвола, можна переглянути на вкладці Log Viewer.


Тестування ZoneAlarm Pro


Конфігурація тестового комп'ютера, програмне забезпечення, що використовується при тестуванні



Використання програмою пам'яті і завантаження процесора


У ході тестування ZoneAlarm за допомогою Process Explorer регулярно знімалися показання про обсяг використаної процесами програми пам'яті і про завантаження ними процесора. Результати наведені в таблиці нижче.









































Момент зняття показань

Обсяг використаної пам'яті

Завантаження процесора

Фізична пам'ять (кілобайт)

Віртуальна пам'ять (кілобайт)


Після завантаження ОС, налаштування за замовчуванням


11 872


8 960


0%


Установки за замовчуванням, сканування XSpider 7


11 904


8 977


0%-23%


Установки за замовчуванням, ICMP-флуд протягом 5 хвилин


12 732


9 224


0%-4%


Установки за замовчуванням, IGMP-флуд протягом 5 хвилин


12 736


9 192


0%-17%


Установки за замовчуванням, SYN-флуд протягом 5 хвилин


13 004


9 428


9%-31%


Установки за замовчуванням, UDP-флуд протягом 5 хвилин


12 841


9 107


7%-34%


Вивантажити файрвол можна клацнувши правою кнопкою миші по значку в треї і вибравши з меню пункт Shutdown ZoneAlarm Pro. Файрвол вивантажується з пам'яті повністю.


Сканування системи сканером вразливостей XSpider


Тестова машина була просканувати сканером вразливостей XSpider 7. Установки файрвола були залишені за замовчуванням. Підмережа, в якій знаходилася тестова машина, була включена в зону Інтернет, для якої, за замовчуванням, був обраний Високий (High) рівень захисту. У сканері був обраний профіль Повний, включаючи неотвечающіе хости.


Під час сканування файрвол виводив на екран попередження про блокування доступу до комп'ютера, приклад якого показаний на малюнку нижче.




Попередження

Сканер не зміг виявити присутності тестового комп'ютера в мережі ні за якими ознаками.




Звіт XSider

Он-лайн тест файрвола


Для тестування файрвола на якість контролю їм додатків, які намагаються відправити інформацію в інтернет, була використана утиліта PCAudit2. Ця утиліта пропонує в будь-якому додатку (наприклад, у Блокноті) ввести декілька будь-яких слів або зайти на будь-який сайт, що вимагає авторизації і ввести ім'я користувача і пароль. Утиліта перехоплює дані, що вводяться, робить скріншот з екрану, визначає ім'я користувача, працює в системі, IP-адресу і робить спробу відправити зібрану інформацію на свій сервер. Потім утиліта відкриває з сервера динамічно створену сторінку з відправленими даними та наочно демонструє те, яка інформація може бути отримана хакером, які зламали систему.


Перед тестуванням з допомогою IE був відвіданий ряд сайтів. При відкритті першого сайту файрвол запропонував створити правило, яке дозволяло б браузеру запитувати інформацію з сайтів, що і було зроблено. Рівень контролю програм в ZoneAlarm був залишений за замовчуванням, тобто, в положенні Medium (середній). Потім була запущена утиліта PCAudit2. Вона без проблем перехопила введену інформацію і відправила її на свій сервер, що було підтверджено на сторінці.


Для повторного тестування рівень контролю програм в ZoneAlarm був підвищений до високого (High), в списку компонентів знайдено і вилучено правило, яке дозволяло доступ в мережу тимчасової бібліотеки, створеної PCAudit2.




Компоненти

Після цього утиліта була запущена знову. Файрвол вивів на екран повідомлення про те, що браузер або його компоненти хочуть отримати доступ до мережі.




Змінилися компоненти

Для з'ясування того, що ж за нові компоненти браузера намагаються отримати доступ в мережу, була натиснута кнопка Details.




Додаткова інформація

Файрвол вказав на невідому бібліотеку. Після того, як вікно з додатковою інформацією про змінених компонентах було закрито, доступ в мережу додатком був заблокований (Deny). PCAudit2 початку перебирати всі працюючі додатки, намагаючись від їх імені вийти в інтернет. Файрвол кожну спробу виявляв і виводив на екран повідомлення про зміну компонентів або про спробу вийти в мережу програми, якому там явно робити нічого (текстовий і графічний редактор). На всі запити файрвола про необхідність дозволити доступ було отвечено відмовою (Deny). Після цього утиліта повідомила, що тест пройдено успішно і відправка даних припинено.


Таким чином, ZoneAlarm присікає роботу PCAudit2, якісно і без зайвих повідомлень контролює компоненти і додатки, але робить це лише на високому (High) рівні контролю додатків.


Атака на тестову машину по мережі


Для виконання цього тесту була використана утиліта, яка використовує всю пропускну здатність каналу для направлення на атакується машину великого потоку даних різного типу по різних протоколах. Тест наочно демонструє поведінку файрвола в екстремальних умовах.


У таблиці Використання програмою пам'яті і завантаження процесора наведені результати тесту.


Під час ICMP-флуда обсяг використаної пам'яті збільшився незначно і залишався стабільним протягом всього тесту. Завантаження процесора бпроБільшу частину часу перебувала в районі 1% і лише на самому початку тесту було зафіксовано значення 4%.


IGMP-флуд викликав таку ж незначну завантаження процесора, а обсяг зайнятої файрволом пам'яті протягом всього тесту не змінювався.


TCP-флуд викликав завантаження процесора до значень в 31% і незначне збільшення зайнятої файрволом пам'яті.


UDP-флуд показав такі ж результати, як і попередні тести.


Тестування захисту особистої інформації


Для тестування якості контролю файрволом відправляється особистої інформації в налаштування модуля ID Lock була додана рядок, що містить послідовність 12345qw, яку файрвол повинен був захистити від витоку. Рівень захисту ID Lock був збільшений до високого (High).


При відправці на форум повідомлення, що містить рядок 12345qwerty, рядок була змінена на ******* erty. Аналогічним чином була попереджена спроба відправити захищається рядок поштою. Одержувач побачив у листі лише ******* erty. Відправлення 12345qwerty через Міранду (аналог ICQ) пройшла для ZoneAlarm непоміченою, і одержувач повідомлення побачив 12345qwerty. За інформацією з сайту Zone Labs, перевірка трафіку програм для обміну повідомленнями працює у версії ZoneAlarm Security Suite і IMsecure Pro.


Висновок


Переваги

Недоліки

Посилання


Висновок


Результати тестування говорять про те, що ZoneAlarm надійний файрвол. Він якісно контролює роботу застосувань, відстежуючи зміни їх компонентів, блокує витоку приватної інформації і дозволяє дуже гнучко управляти трафіком, налаштовуючи правила фільтрації. Концепція роздільного управління зонами безпеці (довірені мережі або інтернет) робить можливим працювати у безпечному мережі на мінімальному рівні захисту, а при підключенні до чужої мережі автоматично активізувати максимальний. Кожному з додатком можна роздільно для різних зон безпеки дозволити або заборонити відкривати порти на прослуховування, отримувати доступ в мережу і відправляти пошту. ZoneAlarm займає небагато оперативної пам'яті і при звичайній роботі практично не використовує процесорного часу. Під час тестової атаки на машину під захистом файрвола не було виявлено проблем у його роботі. Перевірка сканером вразливостей підтвердила, що машина під захистом файрвола надійно схована в мережі і доступ до яких-небудь сервісів, які працюють не ній, відсутня. На жаль, з'ясувалося, що ZoneAlarm некоректно відображає кирилицю, але ця неприємність легко усунена за допомогою рекомендації, даної вище.


Дякуємо компанії "Zone Labs" за надану для тестування копію продукту.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*