Тестування надійності вбудованого файрвола Windows XP Service Pack 2

У Windows XP з'явився вбудований файрвол, який повинен був захищати підключення до мережі комп'ютера від несанкціонованого доступу та зараження деякими типами вірусів. За замовчуванням вбудований файрвол був відключений і це стало однією з причин того, що вірусні епідемії вражали комп'ютери з Windows XP, не дивлячись на те, що операційна система мала інструмент, який повинен був запобігти зараженню. Microsoft відреагувала на цю обставину, випустивши новий пакет виправлень для Windows XP, який, в тому числі, оновлював вбудований файрвол, надаючи в розпорядження користувача нову функціональність, і включав файрвол для всіх з'єднань з мережею. Тепер у користувача є можливість налаштувати файрвол під свої потреби і коригувати його поведінку при спробах виходу в мережу програмного забезпечення. Можна так само задавати виключення з правил, надаючи можливість певного програмного забезпечення отримувати доступ в мережу, минаючи забороняють правила файрвола. За замовчуванням, файрвол включений для всіх з'єднань з мережею, але за бажанням користувача, для деяких сполук він може бути відключений. Якщо на комп'ютері використовується файрвол стороннього виробника, то вбудований файрвол повинен бути відключений.


Service Pack 2 для Windows XP доступний для завантаження на сайті Microsoft. Якщо планується встановити пакет виправлень тільки на одній машині, то має сенс скористатися сайтом Windows Update, за допомогою якого операційна система буде перевірена на відсутність важливих виправлень, і будуть завантажені тільки необхідні з них. Це дозволить зменшити обсяг скачуваної інформації та заощадить час установки оновлень.


Інтерфейс

Доступ до налаштувань файрвола (брандмауера) Windows XP Service Pack 2 можна отримати за допомогою Пуск – Панель управління – брандмауер Windows. Приклад вікна з настройками файрвола зображений на малюнку нижче.


Установки файрвола

У цьому вікні можна включити або вимкнути файрвол для всіх з'єднань з мережею. Пункт Не дозволяти виключення активізує режим роботи файрвола, при якому файрвол не виводить на екран сповіщень про блокування і відключає список винятків, який можна поставити на наступній вкладці вікна управління файрволом.


Установки файрвола

Файрвол дозволяє вхідні підключення для додатків, перерахованих у цьому списку, якщо вони відзначені прапорцем. Можна дозволити вхідні підключення на певний локальний порт, створивши відповідне правило. На наступній вкладці вікна налаштувань файрвола зібрані додаткові настройки.


Додаткові налаштування файрвола

У цьому вікні можна відключити файрвол для певного підключення або настроїти додаткові параметри фільтрації для кожного з підключень за допомогою кнопки Параметри. У цьому ж вікні налаштовується журнал роботи файрвола, задаються параметри фільтрації протоколу ICMP. За допомогою кнопки За умовчанням можна повернути всі настройки файрвола до вихідних.


Налаштування виключень


Автоматичне створення виключень для додатків


При запуску на комп'ютері програми, яка повинна прослуховувати певний порт, очікуючи підключення до нього з мережі, файрвол виведе на екран запит, приклад якого наведено нижче.




Створення правила для програми

Користувачеві надається наступний вибір:



Вибір Відкласти оптимальний, якщо немає впевненості в тому, яка програма намагається відкрити порт, і чи буде система нормально працювати після відмови додатком у відкритті порту. У принципі, можна заблокувати спробу відкриття порту додатком і якщо вибір буде невірним, то надалі можна буде виправити автоматично створене виняток вручну.


Створення винятків для додатків вручну


Якщо програма, яка повинна приймати вхідні підключення з мережі, заздалегідь відомо, то для нього можна створити виключення вручну. Для цього потрібно відкрити вікно налаштування файрвола і вибрати вкладку Винятки.




Установки файрвола

Щоб створити виключення потрібно натиснути кнопку Додати програму … . відкриється вікно, приклад якого показаний нижче.




Вибір програми

У цьому вікні в списку програм перераховані ті з них, які встановлені на комп'ютері. Якщо програма, якою необхідно дозволити приймати вхідні підключення, відсутній у списку, то за допомогою кнопки Огляд можна вказати шлях до неї. Після натискання кнопки OK виключення буде створено і додано до списку, де буде зазначено прапорцем, який говорить про те, що дане правило дозволяє зазначеним Додатком відкривати порти і чекати підключення з мережі. Якщо необхідно заборонити додатком відкривати порти, то прапорець слід зняти.


Створення винятків для портів


Файрвол надає можливість відкрити будь-який порт, дозволивши, таким чином, встановлювати з'єднання з мережі з сервісом, що працюють на відкривається порту. Щоб відкрити порт потрібно у вікні винятків натиснути кнопку Додати порт … Приклад вікна для додавання порту в список виключень показаний нижче.




Додавання порту

У цьому вікні необхідно вказати протокол і номер порту, підключення до якого з мережі файрвол не буде блокувати. У полі ім'я потрібно ввести короткий опис причини по якій порт був відкритий, щоб по Після часу непотрібне правило можна було легко знайти і видалити або виправити.


Зміна адрес, з яких дозволено встановлювати підключення


При ручному створенні або при редагуванні створеного раніше виключення для застосування чи порту можна вказати діапазон адрес, з яких можуть бути встановлені підключення до зазначеного додатка або порту. Для цього призначена кнопка Змінити область … , За допомогою якої відкривається вікно, показане нижче.




Зміна області

У цьому вікні можна задати список адрес, підключення з яких будуть пропущені файрволом. Є можливість вказати, що підключення необхідно дозволити як з будь-якої адреси, так і зі строго визначених. Також, може бути вказана підмережа, в якій знаходиться комп'ютер під захистом файрвола.


Додаткові налаштування файрвола


Доступ до додаткових налаштувань файрвола можна отримати на вкладці Додатково головного вікна налаштування файрвола.




Додаткові налаштування файрвола

  • Параметри мережного підключення – Тут перераховані всі мережеві підключення, які існують на комп'ютері під захистом вбудованого файрвола. Шляхом встановлення або зняття прапорця навпроти кожного з підключень можна включити або виключити файрвол для кожного з підключень. За допомогою кнопки Параметри можна налаштувати параметри роботи файрвола для кожного з підключень, якщо використовується загальний доступ до цього підключення.
  • Ведення журналу безпеки – За допомогою кнопки Параметри можна налаштувати протоколювання подій, що відбуваються під час роботи файрвола в журналі роботи.
  • Протокол ICMP – Дозволяє настроїти фільтрацію файрволом повідомлень, якими обмінюються по протоколу ICMP. Зокрема, можна заборонити або дозволити відгук комп'ютера на команду ping.
  • Параметри за замовчуванням – Натискання кнопки За умовчанням повертає всі налаштування файрвола до вихідних.


    Тестування надійності


    Конфігурація тестового комп'ютера, програмне забезпечення, що використовується при тестуванні



    • Celeron Tualatin 1000A на шині 133, тобто частота процесора 1333 мегагерца.
    • Материнська плата Asus TUSL-2C, BIOS ревізії 1011.
    • 512 мегабайт оперативної пам'яті, що працює на частоті 133 мегагерца.
    • Вінчестер Seagate Barracuda квітня 1980 гігабайт в режимі UDMA5.
    • Windows XP Pro Rus Service Pack 2.
    • 10 мегабітний мережу з двох комп'ютерів.
    • Сканер вразливостей Retina 4.9.206.
    • Утиліта для мережевого флуду з ICMP, IGMP, TCP, UDP.

    Після установки Service Pack 2 в настройках файрвола були відключені всі винятки, створені за замовчуванням.


    Використання програмою пам'яті і завантаження процесора


    Для оцінки поведінки файрвола у важких умовах, коли машина під його захистом атакована по локальній мережі, був виконаний ряд тестів. У ході атаки на тестову машину знімалися показання про обсяг використаної сервісом файрвола пам'яті і про завантаження їм процесора.








































    Момент зняття показань


    Обсяг використаної пам'яті


    Завантаження процесора


    Фізична пам'ять (кілобайт)


    Віртуальна пам'ять (кілобайт)


    Після завантаження ОС


    17 100


    11 386


    0%


    Після сканування за допомогою Retina


    17 196


    11 376


    0%-5%


    ICMP-флуд протягом 5 хвилин


    17 292


    11 364


    0%-1%


    IGMP-флуд протягом 5 хвилин


    17 314


    11 402


    10%-25%


    SYN-флуд протягом 5 хвилин


    18 180


    12 248


    10%-100%


    UDP-флуд протягом 5 хвилин


    17 348


    11 420


    0%-31%


    Результати тестів свідчать про відсутність витоків пам'яті і демонструють, що навіть при атаці по локальній мережі, де швидкість передачі даних в кілька разів вище, ніж при роботі в інтернеті, проблем зі зниженням продуктивності комп'ютера під захистом файрвола немає. Під час SYN-флуда завантаження процесора була максимальною, але роботу на комп'ютері можна було продовжувати.


    Сканування системи сканером безпеки Retina


    Тестова машина була просканувати сканером вразливостей Retina при включеному і вимкненому брандмауера. Результати сканування представлені в таблиці нижче.



















































    Назва


    Файрвол вимкнений


    Файрвол включений


    Відповідь на ping


    та


    немає


    Час відповіді


    та


    немає


    Ім'я домену / робочої групи


    та


    немає


    Трасування маршруту


    та


    немає


    Час життя пакету


    та


    немає


    Визначення версії ОС


    та


    немає


    Визначення дати і часу


    та


    немає


    Визначення MAC-адреси


    та


    немає


    Відкритий порт 135


    та


    немає


    Відкритий порт 139


    та


    немає


    Відкритий порт 445


    та


    немає


    Результати сканування демонструють, що включення файрвола закриває відкриті порти і приховує комп'ютер в мережі.


    Он-лайн тест файрвола


    Для тестування файрвола на якість контролю їм додатків, які намагаються відправити інформацію в інтернет, була використана утиліта PCAudit2. Ця утиліта пропонує в будь-якому додатку (наприклад, у Блокноті) ввести декілька будь-яких слів або зайти на будь-який сайт, що вимагає авторизації і ввести ім'я користувача і пароль. Утиліта перехоплює дані, що вводяться, робить скріншот з екрану, визначає ім'я користувача, працює в системі, IP-адресу і робить спробу відправити зібрану інформацію на свій сервер. Потім утиліта відкриває з сервера динамічно створену сторінку з відправленими даними та наочно демонструє те, яка інформація може бути отримана хакером, які зламали систему.


    Вбудований файрвол Windows XP SP2 не зміг припинити відправку цих даних. Утиліта перехопила введений в Блокноті текст і без будь-яких перешкод і оповіщень з боку файрвола відправила їх на свій сервер, що було підтверджено відкрилася сторінкою з усією зібраною інформацією.


  • Висновок


    Вбудований в Windows XP SP2 файрвол досить надійний, але контролює лише вхідні з'єднання, залишаючи без уваги вихідні. Тому при використанні для захисту комп'ютера вбудованого файрвола потрібно бути дуже уважним при відкритті файлів, отриманих з мережі. Вірус чи шпигунське програмне забезпечення зможе без проблем відправити дані на сервер розробника і припинити його роботу вбудований файрвол не зможе.


    З одного боку, робота, виконана командою Microsoft над вбудованим файрволом, істотна, з іншого – відсутність повного контролю над трафіком ставить під сумнів доцільність використання вбудованого файрвола взагалі. Хочеться сподіватися на те, що Microsoft вирішиться в майбутніх пакетах виправлень або нових версіях операційної системи розширити функціональні можливості файрвола і він зможе контролювати весь трафік, а не тільки вхідний. Нинішня версія вбудованого файрвола може розглядатися лише як універсальне рішення для захисту від деяких типів вірусів і обмеження доступу до сервісів операційної системи.

    Схожі статті:


    Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

    Коментарів поки що немає.

    Ваш отзыв

    Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

    *

    *