О фаерволлах. Давить! Или обзор современных антивирусов. Превью всех статей за октябрь

Комментариев не обнаружено

18.10.2006 » О фаерволлах. Это повествование является логическим продолжением статьи об анализе и сравнении антивирусов. Раз уж мы начали вникать в меры по обеспечению безопасности своей локальной системы (или локальной сети) на базе антивирусных средств, то почему бы не изучить этот вопрос досконально. К тому же ныне существующие цифровые угрозы (вирусы, трояны, DOS/DDOS атаки и т.д.) уже так достали, что рядовой пользователь, отвечающий лишь за свою систему, становится параноиком, а что говорить о сисадмине пусть даже сети среднего класса. Статья представлена в стандартной схеме, сперва немного теории (куда же без нее), а затем знакомство, анализ и сравнение существующих на сегодняшний день бастионов. Для начала давайте разберемся, что же такое firewall(огненная стена). Брандмауэры ? это программные или аппаратные средства, предназначенные для защиты сети, а точнее для контроля входящего и исходящего трафика, то бишь информации, во как. Межсетевые экраны в настоящее время ? неотъемлемая часть сетевой безопасности, и вместе с ростом потребности на firewall?ы растет и их количество, причем качество защиты каждого из представителей этих систем прямо пропорционально их типу. Вот мы плавно подошли к классификации бастионов. Вообще, разделение экранов на типы довольно условно, поскольку современные методы контроля трафика не развиваются в одном направлении, а сочетают в себе ряд технологий. Но, в общем и целом можно выделить два основных типа брандмауэров: бастионы пакетного типа и прикладного. Эти firewall?ы (на мой взгляд) ? высший пилотаж, напрямую взаимодействуют с драйвером сетевого устройства, т.е. вырисовывается следующая цепочка (для входящего трафика):

1. пакет данных из физической среды передачи данных (кабель) попадает на определенный device (eth, ppp и т.д.);
2. в обычном случае (без бастиона) дальнейшее направление пакета ? системный сетевой сервис, который в свою очередь передает пакет непосредственно приложению (IE, ICQ, Telnet, Gopher, News и т.д.). В нашем же случае между драйвером и сервисом стоит брандмауэр, который прогоняет пакет через цепочку/таблицу правил, а затем пропускает или не пропускает дальше.
3. Проверка безопасности на стороне приложения, если таковая есть.

А на основе, какой информации принимается решение пропускать пакет или нет? В сетевой системе существуют такие понятия как «порт», своего образа входная/выходная дверь для приложения в сеть, IP адрес машины в сети, протокол сеанса связи и т.д. Всего существует 65355 портов, причем 1024 из них называются «известными» (well known). Известными их называют потому, что на них висят часто встречающиеся службы(web ? 80, ftp ? 21, smtp ? 25, pop ? 110 и т. д.), стандартную распасовку портов по службам можно посмотреть в файле services. Да, информации более чем достаточно: IP адрес, номер порта получателя, протокол(TCP, UDP, ICMP и т.д.), флаги самого пакета(NEW, SYN, SYN/ASK, RST и т.д.), отсюда и гибкость пакетников, можно задать правила фильтрации различной сложности. Но, конфигурирование такого монстра просто геморрой, требует знаний и определенного опыта. Коренным образом отличается от предыдущего. Фактически брандмауэры данного типа предоставляют собой сложную, разветвленную систему, пользовательские или системные приложения находятся под пристальным контролем процесса посредника, который и принимает решение о безопасности исходящего или входящего пакета. Основное отличие от предыдущего типа ? сетевые данные после системного сетевого сервиса (входящий трафик) попадают на фильтр, а он уже думает, что с ними делать, т.е. брандмауэр находится между приложением и системным сервисом. Сложность реализации этого подхода со стороны кодинга, как и с ряда других сторон (Как говорят люди: «Ломается лифт, а не лестница» :-)) очевидна. Плюс такого подхода к реализации firewall?ов ? гибкость управления доступом приложений и к приложениям (особенно, что касается разграничения прав пользователей), зато поиграться с фильтрацией сетевого и транспортного уровня модели OSI уже проблематично. С теорией закончили, теперь немного приземлимся и наметим пользовательские требования, предъявляемые к персональному брандмауэру, сетевые решения (локальная сеть, провайдинг) рассматривать не будем, так как эта тема для отдельной статьи. Во-первых, firewall должен обеспечивать полный контроль всех входящих и исходящих данных. Во-вторых, все, наверное, сталкивались с такими ситуациями: запросы паролей; частые подтверждения/разрешения доступа; ложные тревоги (осечки), все эти вещи приводят лишь к тому, что пользователь отключает часть или, чего хуже, всю защиту. То есть, бастион должен быть абсолютно прозрачен, и не заметен для пользователя в процессе работы (это личное мнение). Что касается функционала, предъявляемых требований чуть больше:

1. Блокировка всех существующих внешних атак:
   1. Смертельный ping;
   2. DOS и DDOS атаки;
   3. фрагментация пакетов;
   4. IP-спуффинг;
   5. Инвентаризация сети;
   6. сканирование портов;
2. Блокировка реверсивных сеансов:
   1. Локальный троян, вирус или что-то еще пытается самостоятельно выползти в интернет ? это даже не атака, а лень и глупость пользователя.
3. Журналирование и система отчетов.
4. Абсолютная прозрачность.

Настало время познакомиться с отдельными представителями этого семейства поближе. Этот межсетевой экран поставляется вместе с Windows XP Professional по умолчанию. Честно говоря, особого доверия к этому бастиону у меня нет, но тем не мене использование его в контексте определенного вида ситуаций вполне оправдано. Представляет собой гибрид пакетника и firewall?а прикладного уровня, точнее это более или менее чистый прикладник в том смысле, что возможности фильтра на основе сетевой информации о пакете(IP, порт, протокол и т.д.) он использует в сочетании с ICS(Internet Conection System) компонентом базовой системы. С одной стороны это очевидный плюс, т.е. весь объем функций по обеспечению фильтрации раскладывается на два компонента ICS и Firewall, а с другой стороны минус, так как оба они являются частью разных подсистем в OS. Присутствие интеллекта в этом брандмауэре я не нашел (видимо разработчики от Microsoft особо не заморачивались вопросом по начальному конфигурированию правил для наиболее используемых служб), т.е. по умолчанию все не запрошенные пакеты из сетевого интерфейса, как и большая часть исходящих данных блокируются. Реализована возможность многоуровневой системы защиты:

1. Low level ? низкий уровень.
2. Medium level ? средний уровень.
3. High level ? высокий уровень.

Отличительной чертой Windows Firewall относящей его к классу прикладных бастионов является групповая политика. Собственно эта черта и очень жирный минус данного межсетевого экрана, дело в том, что групповая политика очень удобна для «одиночных»(xDSL, DialUp) или мобильных(GPRS, x25 и т.д.) пользователей, но стоит только администратору кампуса или любой другой сети на основе LAN применить групповую политику, запрещающую поддержку Internet Connection Firewall в корпоративной сети, как Windows Firewall становится просто повторителем. На мой взгляд, целевая аудитория этого бастиона ? в основном рядовые юзеры (домашнее использование); дружелюбный для пользователя интерфейс делает работу с этим firewall?ом настолько интуитивно понятной, что с ним справится даже ребенок. Если не принимать во внимание кучу модификаций в правилах фильтрации этого брандмауэра, то их по сути всего два типа: разрешить соединение(ALLOW) и запретить(DENY). Фильтрация производится по стандартным параметрам: IP адрес, порт либо протокол ? никаких новых фишек. В ZoneAlarm ведется контроль за наиболее популярными на рабочем столе сервисами: http, mail, программами общения и т.д. Эта возможность реализована практически во всех бастионах, но в ZA она приобретает совсем другой смысл: жесткая фильтрация трафика с http порта с отловом и блокировкой вредоносных скриптов (по базе либо в связке с антивирусом), контроль «печенек», с той же целью производится анализ почтового трафика и ряда других популярных служб. Огромное количество ныне существующих надстроек (анализатор логов, определение IP атакующего с последующим отображением его местоположения на карте мира и т.д.) делают ZoneAlarm все более популярной среди неискушенного круга пользователей. Эта птица высокого полета, причем птица с большой буквы «П» и явно со следами интеллекта. Сразу же после установки, при первом запуске распознает наиболее распространенные программы и автоматически конфигурирует правила доступа к ним. Использование в сочетании с линейкой продуктов от Symantec ставит защиту вашей системы на более высокий уровень. Заложена четырехуровневая система контроля:

1. Automatic ? автоматический режим, полное доверие к анализу и правилам по default?у.
2. Custom ? ручной режим, за настройку и все возможные дыры отвечает сам пользователь.
3. Permit all ? пропускать все, с таким же успехом его(Norton) можно и не ставить.
4. Block all ? блокировать все, в этом случае о провождении времени в сети можно забыть.

Если же вдруг зловредный хакер попытается вас посканить или, чего хуже, пофлудить, Norton даже отвлекать вас не станет (это касается скана), а просто заблокирует доступ компьютеру нападающего, причем со сбором всей доступной информации о нем. И не дай бог ему повторить свои попытки, все равно ничего не получится. Есть еще одна фишка, я, правда, не представляю каким образом она функционирует, но, тем не менее, она присутствует среди профессиональных возможностей Norton?а. Если вдруг, каким-то чудесным образом на вашей машине появился софт с неприкрытыми дырами, то Norton просто не даст ими (дырами) воспользоваться. Простой, как три копейки, как со стороны использования, так и со стороны управления. На полной скорости юзает технологию SandBox, которая позволяет предотвратить доступ и модификацию реестра, препятствует управлению (запуск/останов) сервисами и службами. Так же присутствует многоуровневая (три уровня) система безопасности:

1. Do not bother me ? по аналогии с Norton?ом напоминает Automatic, разрешает весь трафик, не запрещенный правилами по умолчанию.
2. Ask me first ? на этом уровне учитываются все правила фильтрации, а при попытке установления сеанса связи программой, для которых их нет, Tiny Personal о дальнейших действиях спросит вас.
3. Cut me off ? «отруби меня к чертовой бабушке», на этом уровне интернета не видать, как своих ушей.

В более или менее свежих выпусках присутствует возможность фильтрации web и mail ? трафика на наличие всякой электронной нечисти, так сказать, проверка на лету. Причем эта функция реализована на базе движка McAfee антивируса. По функционалу дублирует известных динозавров, растворяя устоявшийся набор своими маленькими, но очень приятными мелочами:

1. Присутствует добротно реализованный ресолвер как аналог системному.
2. Наличие возможности DNS кэширования на узких каналах значительно повышает скорость работы в интернет.
3. Фильтрация рекламы поставленна уж очень хорошо, так что при использовании этого firewall?а о банер-листах можно забыть.

В принципе, все эти фишки в контексте этой статьи нас мало интересуют, а то, что говорят об устойчивости к внешним атакам этого бастиона, немного завышено. Если такие гиганты, как Norton, BlackICE пусть даже PC ? cillin прошли длинный путь от простеньких антивирусов до комплексных пакетов обеспечения безопасности, то, Agnitum ? «вещь в себе», отсюда и все вытекающие проблемы, свойственные «одиноким» брандмауэрам. Не знаю как все, а я испытываю определенную слабость к программному обеспечению этого производителя. Предназначен он по большей части для домашнего использования, это если не затрагивать корпоративные решения. Так как лаборатория Касперского в последнее время всерьез решила отвоевать рынок потребителей у такого монстра как Symantec, то естественно должна по техническим возможностям, если не превосходить, то хотя бы находиться на том же уровне. Так оно и есть. Позволяет ограничить или запретить действия динамических/активных компонентов WEB ? страниц, таких как Java-апплеты, Java-скрипты и ActiveX, которые естественно в полной мере могут использоваться для нанесения вреда или банальной кражи конфиденциальной информации на локальной системе. Так же присутствует возможность фильтрации WEB и MAIL ? трафика, причем проверка ведется как своими средствами, так и в связке с «Касперский Антивирус». Попытки инвентаризации вашей машины также не останутся без внимания, ровно, как и сканирование со флудом. В общем, достойная альтернатива firewall?у от Symantec. Ну и напоследок самое вкусное ? BlackICE. Очень, очень добротный FireWall с рядом функциональных возможностей. Так же, как и Norton с Касперским, старается (нужно заметить, что довольно неплохо старается) получить максимум информации об атакующем. Дистрибутив имеет довольно разросшиеся размеры. Почему? А потому, что в составе BlackICE?а находится огромная база, позволяющая анализировать трафик на предмет характерных для атаки данных, так сказать шаблонов, эта возможность делает из BlackICE?а мини IDS. Неплохо, неплохо. Тоже представляет многоуровневую систему защиты:

1. Paranoid ? ну что скажешь, нет Интернета.
2. Nervous ? особенность в том, что разрешается UDP ? трафик, причем только входящий, а TCP нет.
3. Cautious ? разрешается TCP и UDP входящий трафик, только входящий.
4. Trusting ? Что скажешь, доверие; разрешается все, туда обратно.

В общем, что касается работы, в целом неплохо, хотя есть и недоработки ? нет контроля за доступом к сети прикладного программного обеспечения, а это потенциальная лазейка, хотя и локальная. Помните из математики, «плюс на минус дает минус». К чему это я? Да все к тому же, можно обложиться антивирусными программами, firewall?ами, IDS системами, но если не учесть человеческий фактор как угрозу, толку от такой многоэтажной защиты попросту не будет. В качестве примера, по статистическим данным, в 80% всех проблем, связанных с компьютерной безопасностью, виноваты сами пользователи либо сотрудники (что касается предприятий), действующие или бывшие. Ни для кого не секрет, что в брандмауэрах не реализована возможность запретить легальному пользователю удалить, изменить, передать в интернет конфиденциальную или особо важную информацию(login/password) специальным или случайным образом. Zmc специально для Сиб-комп.ру Критика и дополнения приветствуются. Обсуждение на форуме.