Тестування надійності вбудованого файрвола Windows XP Service Pack 2, Windows, Операційні системи, статті

У Windows XP з’явився вбудований файрвол, який повинен був захищати підключення до мережі комп’ютера від несанкціонованого доступу і зараження деякими типами вірусів. За замовчуванням вбудований файрвол був відключений і це послужило однією з причин того, що вірусні епідемії вражали комп’ютери з Windows XP, не дивлячись на те, що операційна система мала інструмент, який повинен був запобігти зараженню. Microsoft відреагувала на цю обставину, випустивши новий пакет виправлень для Windows XP, який, в тому числі, оновлював вбудований файрвол, надаючи в розпорядження користувача нову функціональність, і включав файрвол для всіх з’єднань з мережею. Тепер у користувача є можливість налаштувати файрвол під свої потреби і коригувати його поведінку при спробах виходу в мережу програмного забезпечення. Можна так само задавати винятки з правил, надаючи можливість певного програмного забезпечення отримувати доступ в мережу, минаючи забороняють правила файрвола. За замовчуванням, файрвол включений для всіх з’єднань з мережею, але за бажанням користувача, для деяких сполук він може бути вимкнено. Якщо на комп’ютері використовується файрвол стороннього виробника, то вбудований файрвол повинен бути відключений.


Service Pack 2 для Windows XP доступний для завантаження на сайті Microsoft. Якщо планується встановити пакет виправлень тільки на одній машині, то має сенс скористатися сайтом Windows Update , За допомогою якого операційна система буде перевірена на відсутність важливих виправлень, і будуть завантажені тільки необхідні з них. Це дозволить зменшити обсяг скачиваемой інформації та заощадить час установки оновлення.


Інтерфейс

Доступ до налаштувань файрвола (брандмауера) Windows XP Service Pack 2 можна отримати за допомогою Пуск – Панель управління – брандмауер Windows. Приклад вікна з настройками файрвола зображений на малюнку нижче.

Додаткові настройки файрвола

  • Параметри мережного підключення – Тут перераховані всі мережеві підключення, які існують на комп’ютері під захистом вбудованого файрвола. Шляхом установки або зняття прапорця навпроти кожного з підключень можна включити або виключити файрвол для кожного з підключень. За допомогою кнопки Параметри можна налаштувати параметри роботи файрвола для кожного з підключень, якщо використовується загальний доступ до цього підключення.
  • Ведення журналу безпеки – За допомогою кнопки Параметри можна налаштувати протоколювання подій, що відбуваються під час роботи файрвола в журналі роботи.
  • Протокол ICMP – Дозволяє настроїти фільтрацію файрволом повідомлень, якими обмінюються по протоколу ICMP. Зокрема, можна заборонити або дозволити відгук комп’ютера на команду ping.
  • Параметри за замовчуванням – Натискання кнопки За замовчуванням повертає всі налаштування файрвола до вихідних.


    Тестування надійності


    Конфігурація тестового комп’ютера, програмне забезпечення, що використовується при тестуванні



    • Celeron Tualatin 1000A на шині 133, тобто частота процесора 1333 мегагерца.
    • Материнська плата Asus TUSL-2C, BIOS ревізії 1011.
    • 512 мегабайт оперативної пам’яті, що працює на частоті 133 мегагерца.
    • Вінчестер Seagate Barracuda 4 80 гігабайт в режимі UDMA5.
    • Windows XP Pro Rus Service Pack 2.
    • 10 мегабітний мережа з двох комп’ютерів.
    • Сканер вразливостей Retina 4.9.206.
    • Утиліта для мережевого флуда по ICMP, IGMP, TCP, UDP.

    Після установки Service Pack 2 в настройках файрвола були відключені всі винятки, створені за замовчуванням.


    Використання програмою пам’яті та завантаження процесора


    Для оцінки поведінки файрвола в важких умовах, коли машина під його захистом атакована по локальній мережі, був виконаний ряд тестів. В ході атаки на тестову машину знімалися показання про обсяг зайнятої сервісом файрвола пам’яті і про завантаження їм процесора.








































    Момент зняття показань


    Обсяг використаної пам’яті


    Завантаження процесора


    Фізична пам’ять (кілобайт)


    Віртуальна пам’ять (кілобайт)


    Після завантаження ОС


    17 100


    11 386


    0%


    Після сканування за допомогою Retina


    17 196


    11 376


    0%-5%


    ICMP-флуд протягом 5 хвилин


    17 292


    11 364


    0%-1%


    IGMP-флуд протягом 5 хвилин


    17 314


    11 402


    10%-25%


    SYN-флуд протягом 5 хвилин


    18 180


    12 248


    10%-100%


    UDP-флуд протягом 5 хвилин


    17 348


    11 420


    0%-31%


    Результати тестів свідчать про відсутність витоків пам’яті і демонструють, що навіть при атаці по локальній мережі, де швидкість передачі даних в кілька разів вище, ніж при роботі в інтернеті, проблем зі зниженням продуктивності комп’ютера під захистом файрвола немає. Під час SYN-флуда завантаження процесора була максимальною, але роботу на комп’ютері можна було продовжувати.


    Сканування системи сканером безпеки Retina


    Тестова машина була просканувала сканером вразливостей Retina при включеному і вимкненому файрвола. Результати сканування представлені в таблиці нижче.



















































    Назва


    Файрвол вимкнений


    Файрвол включений


    Відповідь на ping


    да


    немає


    Час відповіді


    да


    немає


    Ім’я домену / робочої групи


    да


    немає


    Трасування маршруту


    да


    немає


    Час життя пакету


    да


    немає


    Визначення версії ОС


    да


    немає


    Визначення дати і часу


    да


    немає


    Визначення MAC-адреси


    да


    немає


    Відкритий порт 135


    да


    немає


    Відкритий порт 139


    да


    немає


    Відкритий порт 445


    да


    немає


    Результати сканування демонструють, що включення файрвола закриває відкриті порти і приховує комп’ютер в мережі.


    Он-лайн тест файрвола


    Для тестування файрвола на якість контролю їм додатків, які намагаються відправити інформацію в інтернет, була використана утиліта PCAudit2. Ця утиліта пропонує в будь-якому додатку (наприклад, в Блокноті) ввести декілька довільних слів або зайти на будь-який сайт, що вимагає авторизації і ввести ім’я користувача і пароль. Утиліта перехоплює дані, що вводяться, робить скріншот з екрану, визначає ім’я користувача, працюючого в системі, IP-адресу і робить спробу відправити зібрану інформацію на свій сервер. Потім утиліта відкриває з сервера динамічно створену сторінку з відправленими даними та наочно демонструє те, яка інформація може бути отримана хакера, який зламав систему.


    Вбудований файрвол Windows XP SP2 не зміг припинити відправку цих даних. Утиліта перехопила введений в Блокноті текст і без будь-яких перешкод і оповіщень з боку файрвола відправила їх на свій сервер, що було підтверджено відкрилася сторінкою з усієї зібраної інформацією.


  • Висновок


    Вбудований в Windows XP SP2 файрвол досить надійний, але контролює лише вхідні з’єднання, залишаючи без уваги вихідні. Тому при використанні для захисту комп’ютера вбудованого файрвола потрібно бути дуже уважним при відкритті файлів, отриманих з мережі. Вірус або шпигунське програмне забезпечення зможе без проблем відправити дані на сервер розробника і припинити його роботу вбудований файрвол не зможе.


    З одного боку, робота, виконана командою Microsoft над вбудованим файрволом, істотна, з іншого – відсутність повного контролю над трафіком ставить під сумнів доцільність використання вбудованого файрвола взагалі. Хочеться сподіватися на те, що Microsoft вирішиться в майбутніх пакетах виправлень або нових версіях операційної системи розширити функціональні можливості файрвола і він зможе контролювати весь трафік, а не тільки вхідний. Нинішня версія вбудованого файрвола може розглядатися лише як універсальне рішення для захисту від деяких типів вірусів і обмеження доступу до сервісів операційної системи.

    Схожі статті:


    Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

    Коментарів поки що немає.

    Ваш отзыв

    Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

    *

    *