Персональный межсетевой экран ZyXEL ZyWALL P1

Часть 3: обзор возможностей антивирусной проверки трафика и защиты от сетевых атак



В первой части обзора мы вкратце рассмотрели возможности, а также настройки персонального межсетевого экрана ZyXEL ZyWALL P1. Вторая часть обзора была посвящена тестированию производительности базовых возможностей устройства, а также производительности IPSec VPN-сервера. В третьей, заключительной части, мы рассмотрим возможности устройства, скрывающиеся под аббревиатурой IDP (Intrusion Detection & Prevention — обнаружение и предотвращение вторжений), а также посмотрим, на что способна антивирусная защита устройства.

WEB-интерфейс настройки данных возможностей по своему принципу аналогичен интерфейсу настройки данных возможностей в старших устройствах ZyXEL серии ZyWALL (ZyXEL ZyWALL 5 и ZyXEL ZyWALL 70). Рассмотрим вкратце что к чему…

IDP — Intrusion Detection & Prevention — обнаружение и предотвращение вторжений

Использование возможности обнаружения и предотвращения вторжений (так же, как и возможности антивирусной защиты) вероятно только после регистрации устройства. Данная возможность является дополнительной коммерческой услугой и оплачивается отдельно (лицензируется на определенный срок). Приобретая новый межсетевой экран ZyXEL ZyWALL P1 пользователь получает триал-версии лицензий сроком на 3 месяца для ознакомления с данными возможностями (IDP и Anti-Virus). Срок действия лицензии начинается с момента регистрации устройства.

Обнаружение и предотвращение вторжений (здесь и далее IDP) работает по принципу сравнения пакетов трафика с сигнатурами в базе. При обнаружении данных, характерных для попытки взлома и/или совершения иных «хакерских» деяний, пакет отбрасывается либо закрывается соединение. База сигнатур обновляется через Интернет при условии, что срок лицензии не истек. На момент написания данной части обзора в базе IDP содержалось 1960 сигнатур.

Не следует забывать, что сравнение по сигнатурами — дорогостоящая операция, существенно снижающая производительность устройства.

На скриншоте выше показаны базовые настройки возможности IDP — здесь выбираются параметры трафика, который будет подвергаться проверке на наличие кода, характерного для сетевых атак и других «хакерских» действий.

На вкладке Signature можно ознакомиться со списком атак, имеющихся в базе IDP, и выбрать реакцию на каждую атаку. Также здесь можно произвести поиск по базе IDP.

 

Теперь посмотрим, насколько включение возможности IDP сказывается на производительности устройства (маршрутизация + NAT).

Направление без IDP c IDP
LAN -> WAN 45,61 4,37
WAN -> LAN 51,59 4,39
fdx LAN && WAN 51,24 4,36
fdx LAN -> WAN 25,66 2,19
fdx WAN -> LAN 26,66 2,18

Использование механизма IDP оказывает ~10-кратное снижение производительности устройства. Так что обладателю данного межсетевого экрана придется выбирать между более высокой производительностью и более высокой безопасностью.

Не следует забывать, что база сигнатур IDP содержит только наиболее активные на момент обновления базы данных и не является полной базой от всех известных атак, поэтому ее использование является лишь дополнительной мерой защиты и не заменяет защитное программное обеспечение компьютера, подключенного к данному межсетевому экрану.

Объективной проверки механизма IDP в нашей лаборатории не проводилось по вполне понятным причинам, так что мы воздержимся от заявлений о том, как хорошо или плохо устройство предотвращает вторжения в реальных условиях.

Антивирусная проверка трафика

Рассматриваемый межсетевой экран позволяет осуществлять антивирусную проверку проходящего через него трафика. Возможна проверка трафика, идущего по протоколам SMTP, HTTP, POP3 и FTP — данные протоколы могут передавать файлы, которые в свою очередь могут содержать различный вредоносный код (вирусы, «троянские кони» и др.). Антивирусная защита устройства способна распознать эти вирусы и удалить или повредить инфицированные файлы. Вылечить инфицированные файлы в передаваемом потоке информации — задача практически невозможная. Существенным недостатком данной системы — невозможность проверить на лету электронную почту, передаваемую по протоколу IMAP (из-за специфики этого протокола).

Как и механизм IDP, рассмотренный выше, проверка трафика на содержание вредоносного кода — ресурсоемкая задача, поэтому характеристики скорости в значительной степени снижаются. Если файлы передаются по другим протоколам (помимо четырех вышеперечисленных) — данная антивирусная защита их также не обнаружит.

Также как и IDP, услуга антивирусной проверки трафика приобретается отдельно (лицензируется на определенный срок). Приобретая новое устройство, можно воспользоваться пробной триал-версией сроком на 3 месяца. Данная антивирусная защита не является «панацеей от всех болезней» — база вирусных сигнатур содержит всего 800 (!) вирусов при реальном их количестве более 100 тыс. Антивирусная база обновляется и в антивирусную базу попадают сигнатуры только наиболее распространенных на текущий момент вирусов.

Примечание: более 95% годового экономического ущерба от действий компьютерных вирусов и других вредоносных программ наносится всего лишь несколькими, наиболее опасными из них.

Рассмотрим вкратце настройки антивирусной защиты..

На скриншоте выше включается антивирусная защита (при наличии активной лицензии). Здесь можно также указать, чтобы проверялись файлы-архивы формата ZIP. Здесь же выбираются протоколы, трафик которых будет подвергаться проверке.

Вкладка Signature позволяет просмотреть базу сигнатур вирусов, известных межсетевому экрану. Параметр «Send Windows Message» посылает на компьютер под управлением ОС семейства Windows всплывающее сообщение (такое, как при использовании команды NET SEND), сообщая о вирусной активности. Здесь можно задать различные параметры для различных вредоносных программ.

На скриншоте отчетливо видно, что вирусы подразделяются на подвиды, у некоторых из которых даже совпадают имена. Каждая разновидность занимает отдельное место в базе, так что 800 сигнатур, которые используются в межсетевом экране, реально содержат не так много вирусов. Один только «Mytob» занимает 268 позиций в списке за счет большого количества его разновидностей. Поэтому хоть устройство может отлавливать самые популярные вредоносные программы, «гуляющие» по сети, оно не является полной заменой антивирусным программам, устанавливаемым на рабочие станции пользователей.

Проверим работу антивирусной защиты в действии…

При попытке передать зараженный файл по протоколу FTP в логах устройства отображается следующее сообщение:

При этом если в параметрах сигнатур вирусов стоит галочка «Send Windows Message», а на компьютере-отправителе запущена служба сообщений Windows — выскакивает PopUp-окно следующего вида:

Если установлена галочка Destroy File, инфицированный файл безвозвратно повреждается и его использование более невозможно (требуется дополнительная осторожность, так как можно потерять ценные файлы, которые можно было бы подвергнуть лечению).

Было обнаружено, что в ряде тестов возможно повреждение самих архивных файлов вместо зараженных файлов, содержащихся внутри них.

Объективно произвести замер скорости передачи данных, подвергающихся антивирусной проверке, не представляется возможными, не имея точных сведений о реализации алгоритма работы антивирусной защиты.

Судя по личным наблюдениям, данная антивирусная защита разбирает структуру проверяемых протоколов (HTTP, FTP, SMTP, POP3). Проверке подвергается только та часть данных, в которой может содержаться вредоносный код. Простая передача инфицированного кода с использованием портов TCP, характерных для данных протоколов, не приводит к срабатыванию антивирусной защиты.

Выводы

Если сравнивать данный межсетевой экран с более старшими устройствами ZyXEL серии ZyWALL (ZyWALL 5 и ZyWALL 70), то по понятными причинам оно проигрывает им по производительности и набору возможностей. Тем не менее, возможность обнаружения и предотвращения вторжений (IDP) и возможность антивирусной проверки трафика не являются стандартными для подобного рода оборудования.

Во время тестирования было обнаружено, что возможно повреждение самого архивного файла при «разрушении» зараженного файла, находящегося внутри этого архива. Так как зараженный файл именно повреждается, а не лечится — возможно повреждение файлов с важными данными, которые можно было бы подвергнуть лечению если бы на клиентский компьютер файл попал в целом виде — это следует учитывать, задавая в параметрах антивирусной проверки разрушение зараженных файлов.

При обнаружении зараженного файла устройство может посылать сообщение Windows (при условии запуска на клиентском компьютере службы сообщений Windows), сообщающее об обнаружении вредоносного кода.

Подводя общий итог, можно сказать, что устройство имеет как свои плюсы, так и минусы. Основным плюсом можно назвать именно портативность устройства (предусмотрена возможность питания от порта USB, легкость, малые размеры). Основным недостатком являются проблемы при работе устройства в качестве PPTP-клиента — более подробно об этом мы говорили в первой части обзора, посвященного данному устройству.

Плюсы:

  • Наличие возможности антивирусной проверки трафика
  • Наличие возможности обнаружения и предотвращения вторжений
  • Возможность автоматического обновления антивирусных баз
  • Возможность отправки Windows Message — сообщения на компьютер, принимающий зараженный файл

Минусы:

  • Антивирусная защита портит зараженные файлы
  • Возможна проверка архивов только формата ZIP
  • В ряде случаев наблюдается порча архивов при наличии зараженного файла внутри архива

 

Навигация:

 

Оборудование предоставлено ZyXEL Communications Corporation

 




Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.