Обзор персонального файрвола ZoneAlarm Pro 5 - Установка ZoneAlarm (Часть 2) - Программные продукты

Источник: Windowsfaq

Защита почты

Вкладка настроек защиты почты показана на рисунке ниже.

Защита почты

На этой вкладке настроек файрвола настраивается защита входящей и исходящей почты.

При помощи переключателя Inbound MailSafe Protection можно включить поиск и блокирование во входящей почте вложений с определенными расширениями, которые перечислены на вкладке Attachments . При получении письма с небезопасным вложением, ZoneAlarm изменит расширение вложения на .zlv и при попытке открыть это вложение выведет на экран предупреждение.

Открытие вложения

Используя кнопки в этом окне можно запустить вложение, сохранить его на диске, просмотреть содержимое в Блокноте или отказаться от открытия вложения.

При помощи переключателя Outbound MailSafe Protection можно включить защиту исходящей почты. Если эта защита включена, то ZoneAlarm будет контролировать попытки приложений отправить почту и выводить на экран соответствующие запросы. Любому приложению в настройках контроля приложений можно разрешить отправку почты без запросов.

При помощи кнопки Advanced можно включить отслеживание попыток приложений отправить за короткий промежуток времени большое количество писем или попыток отправить одно письмо большому количеству получателей. Здесь же можно включить проверку исходящих писем на наличие в них адреса отправителя, которое отсутствует в списке разрешенных адресов. Все эти настройки позволяют обнаруживать и пресекать работу вирусов, которые после заражения компьютера используют его для рассылки своих копий по почте.

Анонимность

При помощи ползунка Cookie Control можно изменять уровень блокирования куков, от максимального, когда блокируются все куки, до минимального, когда все куки принимаются. Ползунок AdBlocking регулирует уровень подавления рекламы на посещаемых страницах, а переключатель Mobile Code Control включает или отключает исполнение скриптов и другого активного содержимого на посещаемых страницах. Каждый из этих модулей может быть дополнительно настроен при помощи кнопки Custom . Блокирование рекламы настроить тонко невозможно, так как отсутствует список блокируемых строк или размеров изображений.

На вкладке Site List находится постоянно пополняемый список сайтов, которые были посещены c хотя бы одним включенным модулем обеспечения анонимности. Для каждого из сайтов можно задать индивидуальные настройки блокирования содержимого.

На вкладке Cache Cleaner можно очистить кэш браузера (IE, Netscape) и настроить его автоматическую очистку. При помощи Clean Tracking Cookies можно воспользоваться он-лайн сканером сайта Zone Labs для поиска на компьютере куков и их последующего удаления. При помощи кнопки Custom можно выбрать объекты, которые будут очищаться. Это может быть список последних открывавшихся файлов, корзина, папка для временных файлов, история поиска, меню Run, Media player-а, фрагменты файлов, сохраненных Scandisk-ом при проверке диска, вся история заполнения полей, строк адреса браузера и так далее.

ID Lock (защита личной информации)

ZoneAlarm предоставляет в распоряжение пользователя инструмент, с помощью которого пользователь может обеспечить безопасность личной информации, хранящийся на компьютере, и защитить её от утечки.

ID Lock

На вкладке myVAULT нужно добавить в список последовательности символов, которые будет защищать ZoneAlarm. Введенная защищаемая последовательность хранится в зашифрованном по стандарту SHA-1 виде. На вкладке Trusted Sites можно добавить в список сайты и задать действие, которое будет выполнять файрвол при попытке отправить на них защищенные последовательности (блокировать, разрешить, спросить).

Отчеты о работе

На этой вкладке настраивается система оповещений и отчетов файрвола.

Отчеты и оповещения

При помощи переключателей в этом окне можно включить или выключить ведение отчетов о событиях, произошедших во время работы файрвола и настроить уровень детализации информации, записываемой в отчеты. Здесь же настраивается уровень важности событий, о которых файрвол будет оповещать всплывающими сообщениями.

При помощи кнопки Advanced можно выбрать определенные события, о которых файрвол будет уведомлять всплывающими сообщениями, настроить вид значка в трее, настроить создание архивных копий отчетов работы программы, настроить их формат и частоту архивирования.

События, происходившие во время работы файрвола, можно просмотреть на вкладке Log Viewer .

Тестирование ZoneAlarm Pro

Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании

Celeron Tualatin 1000A на шине 133, т.е. частота процессора 1333 мегагерца.
Материнская плата Asus TUSL-2C, BIOS ревизии 1011.
512 мегабайт оперативной памяти, работающей на частоте 133 мегагерца.
Винчестер Seagate Barracuda 4 80 гигабайт в режиме UDMA5.
Windows XP Pro Rus Service Pack 2.
10 мегабитная сеть из двух компьютеров.
Сканер уязвимостей XSpider 7
Утилита для сетевого флуда по ICMP, IGMP, TCP, UDP.
Internet Explorer 6.0.2900.2180.
Outlook Express 6.0.2900.2180.
Почтовый, прокси серверы, выделенная линия для доступа в интернет.
Process Explorer от Sysinternals .
Утилита PCAudit2.

Использование программой памяти и загрузка процессора

В ходе тестирования ZoneAlarm при помощи Process Explorer регулярно снимались показания об объеме занятой процессами программы памяти и о загрузке ими процессора. Результаты приведены в таблице ниже.

Момент снятия показаний	Объем занятой памяти		Загрузка процессора
Момент снятия показаний	Физическая память (килобайт)	Виртуальная память (килобайт)	Загрузка процессора
После загрузки ОС, настройки по умолчанию	11 872	8 960	0%
Настройки по умолчанию, сканирование XSpider 7	11 904	8 977	0%-23%
Настройки по умолчанию, ICMP-флуд в течение 5 минут	12 732	9 224	0%-4%
Настройки по умолчанию, IGMP-флуд в течение 5 минут	12 736	9 192	0%-17%
Настройки по умолчанию, SYN-флуд в течение 5 минут	13 004	9 428	9%-31%
Настройки по умолчанию, UDP-флуд в течение 5 минут	12 841	9 107	7%-34%

Выгрузить файрвол можно щелкнув правой кнопкой мыши по значку в трее и выбрав из меню пункт Shutdown ZoneAlarm Pro . Файрвол выгружается из памяти полностью.

Сканирование системы сканером уязвимостей XSpider

Тестовая машина была просканирована сканером уязвимостей XSpider 7 . Настройки файрвола были оставлены по умолчанию. Подсеть, в которой находилась тестовая машина, была включена в зону Интернет, для которой, по умолчанию, был выбран Высокий ( High ) уровень защиты. В сканере был выбран профиль Полный, включая неотвечающие хосты .

Во время сканирования файрвол выводил на экран предупреждения о блокировке доступа к компьютеру, пример которого показан на рисунке ниже.

Предупреждение

Сканер не смог обнаружить присутствия тестового компьютера в сети ни по каким признакам.

Отчет XSider

Он-лайн тест файрвола

Для тестирования файрвола на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IP-адрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему.

Перед тестированием при помощи IE был посещен ряд сайтов. При открытии первого сайта файрвол предложил создать правило, которое разрешало бы браузеру запрашивать информацию с сайтов, что и было сделано. Уровень контроля программ в ZoneAlarm был оставлен по умолчанию, то есть, в положении Medium (средний). Затем была запущена утилита PCAudit2. Она без проблем перехватила введенную информацию и отправила её на свой сервер, что было подтверждено на открывшейся странице.

Для повторного тестирования уровень контроля программ в ZoneAlarm был повышен до высокого ( High ), в списке компонентов найдено и удалено правило, которое разрешало доступ в сеть временной библиотеки, созданной PCAudit2.

Компоненты

После этого утилита была запущена вновь. Файрвол вывел на экран сообщение о том, что браузер или его компоненты хотят получить доступ в сеть.

Изменились компоненты

Для выяснения того, что же за новые компоненты браузера пытаются получить доступ в сеть, была нажата кнопка Details .

Дополнительная информация

Файрвол указал на неизвестную библиотеку. После того, как окно с дополнительной информацией об изменившихся компонентах было закрыто, доступ в сеть приложению был заблокирован ( Deny ). PCAudit2 начала перебирать все работающие приложения, пытаясь от их имени выйти в интернет. Файрвол каждую попытку обнаруживал и выводил на экран сообщение об изменении компонентов или о попытке выйти в сеть приложения, которому там явно делать нечего (текстовый и графический редактор). На все запросы файрвола о необходимости разрешить доступ было отвечено отказом ( Deny ). После этого утилита сообщила, что тест пройден успешно и отправка данных пресечена.

Таким образом, ZoneAlarm пресекает работу PCAudit2, качественно и без лишних уведомлений контролирует компоненты и приложения, но делает это лишь на высоком ( High ) уровне контроля приложений.

Атака на тестовую машину по сети

Для выполнения этого теста была использована утилита, которая использует всю пропускную способность канала для направления на атакуемую машину большого потока данных различного типа по разным протоколам. Тест наглядно демонстрирует поведение файрвола в экстремальных условиях.

В таблице Использование программой памяти и загрузка процессора приведены результаты теста.

Во время ICMP-флуда объем занятой памяти увеличился незначительно и оставался стабильным на протяжении всего теста. Загрузка процессора большую часть времени находилась в районе 1% и лишь в самом начале теста было зафиксировано значение 4%.

IGMP-флуд вызвал такую же незначительную загрузку процессора, а объем занятой файрволом памяти на протяжении всего теста не изменялся.

TCP-флуд вызвал загрузку процессора до значений в 31% и незначительное увеличение занятой файрволом памяти.

UDP-флуд показал такие же результаты, как и предыдущие тесты.

Тестирование защиты личной информации

Для тестирования качества контроля файрволом отправляемой личной информации в настройки модуля ID Lock была добавлена строка, содержащая последовательность 12345qw, которую файрвол должен был защитить от утечки. Уровень защиты ID Lock был увеличен до высокого ( High ).

При отправке на форум сообщения, содержащего строку 12345qwerty, строка была изменена на *******erty. Аналогичным образом была пресечена попытка отправить защищаемую строку по почте. Получатель увидел в письме лишь *******erty. Отправка 12345qwerty через Миранду (аналог ICQ) прошла для ZoneAlarm незамеченной, и получатель сообщения увидел 12345qwerty. По информации с сайта Zone Labs , проверка трафика программ для обмена сообщениями работает в версии ZoneAlarm Security Suite и IMsecure Pro.

Заключение

Достоинства

Размер дистрибутива 6,34 мегабайта.
Достаточно скромные системные требования (малый объем занятой памяти, не высокая загрузка процессора при серьёзных нагрузках).
Гибкие настройки правил для приложений и для фильтрации пакетов позволяют создавать правила практически любой сложности. Правила могут работать в определенном временном интервале.
Качественный контроль приложений и их компонентов.
Возможность обратиться к базе на сайте Zone Labs для получения описаний распространенных компонентов, приложений и помощи в выборе вариантов ответа на запросы файрвола.
При закрытии ZoneAlarm выгружаются все компоненты файрвола, освобождая все занятые им ранее системные ресурсы.
Продуманный интерфейс, при работе с которым не должно возникнуть затруднений даже у неподготовленного пользователя. В то же время, для продвинутых пользователей, есть возможность создавать правила вручную.
Возможность автоматически включать новые сети в зону Интернета, для которой могут быть настроены строгие правила. Это защитит компьютер неподготовленного пользователя при его работе в чужих сетях и снимет с него необходимость принятия решения о том, в какую зону следует включить новую подсеть при первом подключении к ней.
Для доверенной зоны (например, корпоративной локальной сети пользователя) файрвол может быть выключен при помощи установки низкого ( Low ) уровня защиты. В тоже время, для зоны интернета файрвол может быть включен. Это снимает с пользователя заботу о необходимости включать файрвол при подключении к чужой сети.
Возможность раздельно указывать в правилах для приложений, что приложение может открывать порт на прослушивание и/или только запрашивать информацию с сервера. При помощи правил для приложений можно управлять доступом к открытому порту, разрешая его только с определенных адресов.

Недостатки

Интерфейс, справочная система и сайт ZoneAlarm на английском языке.
Во время работы, когда в путях к компонентам или программам встречается кириллица, ZoneAlarm выводит такой текст в нечитаемом виде. Для решения этой проблемы (достаточно распространенной, которая может быть обнаружена и у другого нелокализованного программного обеспечения) нужно открыть редактор реестра, переместиться к ключу HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\CodePage, найти переменную 1252 и изменить её значение с c_1252.nls на c_1251.nls. После этого необходимо перезагрузить компьютер. Теперь кириллица будет отображаться в ZoneAlarm правильно.
При создании правил и заполнении других полей невозможно переключиться на русскую раскладку. Поэтому все пояснения и комментарии придется вводить на русском в Блокноте, например, и вставлять их в соответствующие поля ZoneAlarm, либо делать пояснения на английском языке.
Нет возможности вручную добавить сайты, строки и размер изображения в настройки модуля подавления рекламы. ZoneAlarm блокирует рекламу на посещаемых сайтах, руководствуясь своими, предопределенными правилами, а они достаточно часто пропускают рекламу. Подавить практически любую рекламу, всё же, можно. Для этого в модуле контроля программ нужно для браузера создать запрещающее правило, в котором указать, что источником может быть любой хост, а получателем - хост с рекламным движком. После этого с посещаемых страниц пропадают оставшиеся баннеры, но на их месте остаются белые прямоугольники размером с баннер, чего нет при работе модуля подавления рекламы ZoneAlarm.

Ссылки

Вывод

Результаты тестирования говорят о том, что ZoneAlarm надежный файрвол. Он качественно контролирует работу приложений, отслеживая изменения их компонентов, блокирует утечки частной информации и позволяет очень гибко управлять трафиком, настраивая правила фильтрации. Концепция раздельного управления зонами безопасности (доверенные сети или интернет) делает возможным работать в безопасной сети на минимальном уровне защиты, а при подключении к чужой сети автоматически активизировать максимальный. Каждому приложению можно раздельно для разных зон безопасности разрешить или запретить открывать порты на прослушивание, получать доступ в сеть и отправлять почту. ZoneAlarm занимает немного оперативной памяти и при обычной работе практически не использует процессорного времени. Во время тестовой атаки на машину под защитой файрвола не было выявлено проблем в его работе. Проверка сканером уязвимостей подтвердила, что машина под защитой файрвола надежно скрыта в сети и доступ к каким-либо сервисам, работающим не ней, отсутствует. К сожалению, выяснилось, что ZoneAlarm некорректно отображает кириллицу, но эта неприятность легко устранима при помощи рекомендации, данной выше.

Благодарим компанию " Zone Labs " за предоставленную для тестирования копию продукта.