Наиболее часто обеспечение сетевой безопасности ассоциируется с применением брандмауэра, однако, как показывает практика, одного только межсетевого экрана недостаточно.
После посвященных этой теме публикаций («Мир ПК», № 3/03, с. 10, 50; № 5/03, с. 11) в редакцию пришло довольно много писем. Чаще всего читатели просили рассказать, из чего должен состоять «джентльменский набор» для комплексной защиты компьютера и как не перестараться с наращиванием вооружения. Стандартный вариант выглядит примерно так: антивирус, специальная программа для проверки на вирусы электронной почты, брандмауэр, утилита для контроля и чистки системы от рекламных модулей. В настоящей публикации даны подробные рекомендации по онлайновому тестированию установленной на ПК защиты.
Кроме того, советуем также обратить внимание на статьи Александра Красоткина: «Иммунитет для Linux» — о пакетной фильтрации трафика на примере программного брандмауэра Iptables для ОС Linux («Мир ПК», № 5/03, с. 11); «Ловушка для злодея» — об имитации уязвимых мест в системе и на отдельном ПК, а также об установке различных капканов и ловушек («Мир ПК», № 4/03, с. 58); «Сканер безопасности Nessus» — еще об одной профилактической мере, обеспечивающей неуязвимость вверенных вам компьютеров («Мир ПК», № 4/03, c. 10); «Обнаружение сетевых атак — Snort» («Мир ПК», № 6/03, c. 10). Эти материалы комплексно дополняют тему сетевой безопасности.
Необходимым и достаточным условием относительной безопасности является установка на ПК набора из брандмауэра, антивируса, дополнительной программы проверки почты на вирусы и утилиты для чистки системы от рекламных модулей.
Среди брандмауэров особенно популярны ZoneAlarm, Agnitum Outpost Firewall, Norton Personal Firewall, среди антивирусных программ — «Антивирус Касперского Personal», Dr.Web, Stop!, Norton Antivirus; наиболее известные утилиты для чистки системы от рекламных модулей — Ad-aware, Spybot и др.
Большинство этих программ я использовал длительное время в довольно интенсивном режиме, так что материала мне удалось накопить достаточно, чтобы сделать выводы о надежности работы программ и отсутствии в них грубых ошибок.
Защитный комплекс (который затем и был тщательно протестирован) я подбирал, исходя из следующих требований:
- надежность;
- функциональность;
- удобство в работе и настройке;
- малый объем потребляемой оперативной памяти и занимаемого места на жестком диске;
- совместимость с ОС и между собой.
«Джентльменский набор»
Таким образом, в мои силы обороны вошли:
- брандмауэр Agnitum Outpost Firewall Pro;
- антивирусная программа Dr.Web for Windows с программой проверки обрабатываемых файлов SpIDer Guard и программой проверки электронной почты SpIDer Mail;
- утилита для чистки системы от рекламных модулей Ad-aware.
Для тестирования созданного защитного комплекса нужны сканеры XSpider и ShadowScan и некоторые дополнительные инструменты.
Рассмотрим повнимательнее все составляющие.
Agnitum Outpost Firewall Pro
Подробно об этом брандмауэре рассказано в статье «Всегда на страже» («Мир ПК», № 3/03, с. 50), упомяну лишь основные его функции и особенности.
Outpost Firewall разрабатывается и поддерживается компанией Agnitum. С первых же версий завоевал внимание пользователей благодаря удобству настройки, наличию различных языков интерфейса (включая русский), высокой надежности защиты и т. д.
Брандмауэр экономичен: объем используемой оперативной памяти и занимаемого места на жестком диске невелик. Программа корректно работает под всеми версиями Windows от 95 до XP.
Удобство при настройке обусловлено главным образом тем, что в Outpost Firewall заранее созданы правила доступа для большинства основных программ, работающих с Интернетом, что избавляет пользователя от излишних хлопот.
Outpost Firewall является первым (для ОС Windows) брандмауэром с открытой архитектурой. Это позволяет подключать к программе дополнительные модули. Некоторые из них поставляются Agnitum вместе с Outpost Firewall; перечислю основные:
- модуль удаления рекламных блоков (баннеров, рейтинговых кнопок и т. д.) при отображении загружаемой из Интернета информации. Удаление происходит не только из браузера, но и из html-писем в почтовом клиенте, из ICQ и т. д. Это позволяет сократить время и объем загрузки информации;
- модуль отключения активных элементов Web - Java-аплетов, Java-сценариев, ActiveX и т. д. Это также позволяет избежать многих хакерских нападений;
- детектор и блокировка атак и др.
Важно, что брандмауэр позволяет отражать очень распространенные сейчас DoS-атаки.
Outpost Firewall выпускается в двух версиях — Pro и Free. Последняя — бесплатная, облегченная, в ней отсутствуют некоторые функции, имеющиеся в Pro-версии.
Единственный замеченный мной недостаток брандмауэра — при сканировании портов в лог-файл выводится информация о нескольких первых просканированных портах; невозможно узнать, на каком порте и когда сканирование было закончено.
Dr.Web 4.29с
Dr.Web обладает всеми базовыми функциями антивирусной программы, занимает небольшой объем на жестком диске и сравнительно мало загружает систему (оперативную память и процессор).
Сам Dr.Web — основа пакета — тестирует на вирусы файлы на жестких дисках и других носителях информации (дискетах, CD-ROM). Программа позволяет исследовать архивы всех главных форматов, ведется подробный журнал. Dr.Web проверяет на вирусы загрузочные секторы, оперативную память и запущенные программы. Существует несколько режимов проверки файлов: всех, только выбранных форматов и по маске. В зависимости от настройки при обнаружении зараженного или подозрительного файла последний может быть удален, перемещен в отдельную папку, переименован или «вылечен». Следует отметить, что в бесплатной версии Dr.Web отсутствует функция «лечения».
Пользователь может самостоятельно устанавливать приоритет проверки — чем он выше, тем анализ качественнее, но и тем большее время затрачивается на исследование. Возможен вывод звуковых сигналов при различных событиях работы программы.
Dr.Web можно обновлять через Интернет; к программе прилагается утилита Dr.Web Sheduler, позволяющая составлять расписание для систематического обновления.
В комплекте также поставляются программы SpIDer Guard и SpIDer Mail, которые являются резидентными, т. е. постоянно находятся в памяти компьютера.
SpIDer Guard перехватывает обращения к файлам и системным областям дисков и «на лету» проверяет их на наличие вирусов. Доступ к объекту разрешается только в том случае, если последний не содержит вирусов, т.е. либо оных в нем не обнаружено, либо удалось их обезвредить.
SpIDer Mail производит подобные действия с файлами, приходящими по электронной почте. Он перехватывает информацию, получаемую от сервера электронной почты, и передает ее почтовой программе (OutlookExpress, TheBat и др.) только после проверки на наличие вирусов.
Для анализа объектов SpIDer использует ту же вирусную базу и то же ядро, что и сам Dr.Web.
Программа имеет русский, английский, немецкий и испанский интерфейсы.
Очистители
Одной из насущных проблем в современном компьютерном мире наряду с нежелательной почтой (спамом) стало внедрение в систему назойливых рекламных модулей. Начало этому кошмару положили сайты порнографического содержания, которые всегда отличались наибольшей рекламной агрессивностью. Со временем эти навязчивые модули стали внедряться вместе с некоторым (чаще бесплатным) ПО. Как правило, такие программы заносят информацию о себе в реестр Windows, причем в настолько запутанном виде, что обнаружить ее «невооруженным глазом» практически невозможно.
Естественно, с распространением этой заразы стали появляться и противоядия, т. е. программы для удаления рекламных модулей и чистки системы и реестра от подобных внедрений.
Ad-aware 6.0
Программа Ad-aware компании Lavasoft — одна из наиболее популярных и часто обновляющихся.
Чистка системы осуществляется следующим образом.
Пользователь вправе выбрать проверку определенных дисков/папок, быструю или полную проверку системы. В ходе ее исследуются процессы, происходящие в памяти, системный реестр, а также файлы на том логическом диске, где расположена ОС. При этом отображается количество проверенных файлов и частей реестра и количество найденных объектов, подлежащих удалению. К числу последних Ad-aware относит и некоторые файлы, оставляемые на жестком диске недавно посещенными Web-сайтами (cookies).
По завершении проверки доступен подробный отчет.
После подтверждения пользователем выбранные файлы помещаются в специальный «карантин» и удаляются из тех папок, где они ранее находились. Карантин-файлы можно уничтожить средствами Ad-aware, когда вы убедитесь, что их изоляция никак не повлияла на работающие программы.
Ad-aware имеет очень гибкие настройки механизма чистки и проверки. Вносить изменения в них рекомендую только опытным и уверенным в себе пользователям.
С сайта разработчика доступен для загрузки пакет языков интерфейса, среди которых и русский. Есть функция обновления через Интернет.
Стандартная версия бесплатна, предлагаются и платные Ad-aware Professional, Ad-aware Plus с расширенными функциями.
Дополнительные инструменты
Разумным дополнением к вышеуказанным средствам можно считать программы для чистки реестра от ненужных фрагментов и жесткого диска от дублирующихся и ненужных файлов (например, EasyCleaner, System Cleaner, jv16 PowerTools, NBG Clean Registry), а также программы для нахождения и удаления «троянов» (Anti-Trojan, Troyan Remover и др.).
Проверка на прочность
Установите ли вы на ПК тот «джентльменский набор», который я рекомендую, или создадите свой собственный комплекс, необходимо будет проверить, насколько эффективна выстроенная вами защита.
Это можно сделать с помощью онлайнового тестирования и специальных программ-сканеров.
Основные поисковые системы Рунета практически не дают никаких ссылок на подобные сервисы, а в мировых (например, Altavista, www.altavista.com) можно найти неплохие варианты.
Вот некоторые ссылки на такие ресурсы:
- http://www.auditmypc.com/ - несколько бесплатных тестов системы, в частности на ошибки в Internet Explorer и некоторых других Windows-приложениях, сканирование портов. Требуется предварительная регистрация.
- http://www.dslreports.com/secureme_go - требуется регистрация, сайт несколько запутанный, результаты высылаются по электронной почте. "Заказ" помещается в очередь, иногда приходится несколько минут ждать начала тестирования.
- Наиболее удобным и полным средством онлайнового тестирования брандмауэра является проверка на сайте http://scan.sygate.com. Здесь много тестов, не нужны ни регистрация, ни какие-либо другие действия.
Свой комплекс я тестировал с помощью онлайновых сервисов scan.sygate.com, www.auditmypc.com, www.dslreports.com/secureme_go и программ XSpider и Shadow Scan.
XSpider 6.50
Программу рекомендую всем, кто хочет проверить систему на безопасность. После регистрации ее можно бесплатно загрузить с сайта www.xspider.ru, размер — 1,25 Мбайт. XSpider имеет русский интерфейс, гибко настраивается, тестирует систему практически на все возможные попытки взлома, атак, проникновения.
Особое внимание до запуска сканирования следует обратить на настройки. XSpider позволяет проводить имитацию различных видов DoS-атак, которые при отсутствии защиты от них могут приводить к зависанию и перезагрузке компьютера. Поэтому проверку рекомендуется проводить отдельно по каждому виду для того, чтобы выяснить, какой именно из видов DoS-атак пропускается системой.
XSpider ведет подробный журнал сканирования, в котором отражаются не только найденные уязвимые места в защите, но и практические методы их устранения.
Кроме этого, если с уязвимостью можно справиться, загрузив с сайта Microsoft соответствующую «заплатку», XSpider указывает точный Web-адрес, где находится нужное обновление.
По степени уязвимости XSpider разделяет «замечания», «предупреждения» и «опасности».
Время сканирования зависит от мощности компьютера, часто наблюдается довольно сильная загрузка процессора, оперативной памяти и длительные обращения к жесткому диску.
Помимо номера открытого порта, XSpider также выводит название программы или системного процесса Windows, который использует этот порт.
Shadow Scan 2.17
Наряду с вышеупомянутой XSpider рекомендую Shadow Scan. Она доступна для загрузки на сайте http://www.safety-lab.com/rus/download.htm, размер — 1,8 Мбайт. В программе присутствуют все основные возможности поиска уязвимых мест в системе. Отдельно можно упомянуть имитацию перебора паролей доступа, сканирование на возможность доступа «троянов», переполнение буфера.
Несмотря на то что программа разработана на Украине, она не имеет ни русского, ни украинского интерфейса.
Бесплатно Shadow Scan работает 15 дней, после чего необходима регистрация. Кроме того, в незарегистрированной версии отображается рекламный блок.
* * *
Помните, что большинство антивирусных программ уже содержат дополнительные модули (либо дополнительные программы) для анализа в режиме реального времени всех обрабатываемых файлов и проверки электронной почты на вирусы. В Norton Antivirus это часть самой программы, в Dr.Web — дополнительные утилиты SpIDer Guard и SpIDer Mail и т. д. Так что, возможно, вам и не понадобится ставить отдельную программу для проверки писем. Ну и помимо достоинств и недостатков каждого продукта при выборе ПО нельзя забывать о корректности взаимодействия и «сосуществования» программ с операционной системой и между собой.
Внимание! Категорически не рекомендуется одновременно устанавливать две программы одного типа — два брандмауэра, два антивируса и т. д.
Как показала практика, они зачастую конфликтуют между собой. Например, при установке на один компьютер Dr.Web и «Антивируса Касперского» часто наблюдается следующее. Так как обе программы получают доступ к обрабатываемым файлам для проверки, Dr.Web замечает «подозрительную активность» за программой «Антивируса Касперского», и наоборот. В результате пользователь наблюдает «битву титанов», что часто приводит к краху операционной системы. Нечто подобное наблюдается и при использовании одновременно двух брандмауэров и т. д.
Даже при наличии грамотно настроенного «джентльменского набора» не следует забывать об основных принципах «сетевой гигиены» — не открывать файлы (особенно исполняемые), пришедшие по электронной почте от неизвестных отправителей; следить за обновлениями установленных программ защиты; иметь загрузочную дискету или CD и т. п..
С автором можно связаться по адресу e-mail: krava@krava.com.ua или ICQ № 18 633 277.
Результаты тестирования «джентльменского набора»
Windows 2000 Pro
Открыты четыре порта из 65 535, при необходимости доступ к ним закрывается средствами Agnitum Outpost Firewall, однако это может повлиять на работу действующих программ.Найдено несколько уязвимых мест, которые устраняются с помощью нужных обновлений, загруженных с сайта Microsoft.
Хорошие результаты тестирования обусловлены, вероятно, не столько качеством брандмауэра, сколько тем фактом, что в Windows 2000 Pro (как системе на базе NT) реализована защита на довольно высоком уровне.
Работа Dr. Web, Spider и Spider Mail нареканий не вызывает, при регулярном обновлении (Dr. Web Sheduler + Dr. Web Update) защита от вирусов достаточно надежна.
При сканировании с имитацией DoS-атак обнаружены два уязвимых места в защите системы, при помощи «заплаток» с сайта Microsoft они закрыты, сбоев в системе при сканировании не замечено.
Windows 98
При тестировании в системах Windows 9х у брандмауэров и других средств защиты больше возможностей проявить себя. Как известно, системы на основе Windows 9x разрабатывались изначально для домашних пользователей, вопросам защиты информации и надежности в них уделялось мало внимания.
Тестирование сервисами онлайнового сканирования портов подтверждает высокую эффективность работы Outpost Firewall, уровень защиты практически такой же, что и в Windows 2000 Pro.
Тестирование программой XSpider без имитации DoS-атак проходит нормально, уязвимые места в защите аналогичны выявленным в Windows 2000 Pro. При попытке сканирования с имитацией DoS-атак происходит сбой в системе, что, по-видимому, вызвано обращением XSpider к плохо защищенным частям Windows 98.
Полезные ссылки
http://www.listsoft.ru/?art=30 — статья Дмитрия Турецкого о борьбе с «троянами».
http://www.void.ru — часто обновляемый сайт с материалами по защите систем.
http://www.viruslist.com — энциклопедия компьютерных вирусов.
http://www.bugtraq.ru — полезная и обширная информация о защите систем.
http://security.nnov.ru — статьи о защите систем