- Назначение продукта
- Установка Sygate Personal Firewall
- Интерфейс
- Тестирование Sygate Personal Firewall
- Вывод
В этом обзоре мы познакомимся с бесплатным файрволом Sygate Personal Firewall. Он свободно распространяется для домашнего использования, но с некоторыми функциональными ограничениями по сравнению с версией Pro, которая стоит 48 долларов. Об отличиях бесплатной версии от полной можно узнать на странице сравнения версий сайта Sygate. Размер дистрибутива 8,8 мегабайт. В этом обзоре будут рассмотрены возможности файрвола, его настройки и интерфейс, а также протестирована его надежность.
К оглавлениюУстановка Sygate Personal Firewall
Установка файрвола выполняется мастером, который задает лишь несколько стандартных вопросов о папке для установки и, спрашивает о согласии с условиями использования программы. По окончании копирования файлов компьютер необходимо перезагрузить.
Файрвол интегрируется в Центр обеспечения безопасности Windows. На рисунке ниже показан Центр обеспечения безопасности Windows до установки файрвола.
По окончании установки файрвола и перезагрузки компьютера сообщение Центра безопасности примет вид, показанный на скриншоте ниже.
После первой загрузки на экран будет выведено приглашение зарегистрировать копию программы на сайте разработчика, от которого можно отказаться и сделать это позже. Регистрация сводится к указанию своего имени и e-mail.
К оглавлениюИнтерфейс
Двойной щелчок мышью по значку в трее открывает главное окно программы.
Главное окно информативно и содержит в виде графиков текущую информацию об использовании канала. Внизу показаны приложения и их режим доступа в сеть (разрешить, запретить или спросить). Режимы для каждого из приложений меняются при помощи правой кнопки мыши. Особенность Sygate Personal Firewall в том, что прямо из главного окна программы можно завершить выполнение процесса. Это бывает полезно при заражении или подозрении на заражение компьютера, когда в сеть просится непонятное приложение. Сетевая активность приложения отмечается синим цветом в списке Running Applications.
Отметка пункта Hide Windows Services приводит к сокрытию из списка работающих приложений сервисов операционной системы, а отметка пункта Hide Broadcast Traffic исключает широковещательные запросы из их фиксации на графиках. Кнопка Show Message Console выводит в нижнюю часть главного окна программы поле, в котором фиксируются события, происходящие во время работы файрвола.
В верхней части главного окна собраны кнопки, которые выполняют наиболее часто используемые функции. Кнопка Block All блокирует весь трафик, что бывает необходимо срочно сделать при подозрении на заражение компьютера для неспешного решения проблемы. Кнопка Applications выводит на экран окно для настройки правил для приложений, которые будут рассмотрены ниже. При помощи кнопки Logs можно просмотреть один из четырёх журналов работы файрвола. Кнопка Security Test открывает в браузере раздел сайта Sygate, с помощью которого можно проверить компьютер на наличие уязвимостей и проконтролировать, таким образом, текущее состояние безопасности. Пользы от такого теста не много, особенно, если машина под защитой файрвола работает в локальной сети, имеет серый адрес и выходит в интернет через прокси-сервер провайдера. Кнопка Help открывает справочную систему, которая очень полная и даёт ответы практически на все вопросы, которые могут возникать у пользователя при работе с файрволом. Все эти функции дублируются соответствующими пунктами меню.
При помощи пункта меню Security или при помощи щелчка правой кнопки мыши по значку файрвола в трее можно выбрать один из трёх режимов работы файрвола: блокировать весь трафик, обычный режим работы, разрешить весь трафик.
При попытке приложения выйти в сеть, если это новое приложение или для него установлен режим «спрашивать», файрвол выводит на экран запрос, пример которого показан на рисунке ниже.
В данном примере в запросе была нажата кнопка Detail для получения информации о том, что за приложение и куда пытается получить доступ. Количество информации о пакете впечатляет: указано абсолютно все, включая его дамп (содержимое).
Управление приложениями
Настройка правил для приложений производится в окне, пример которого показан на рисунке ниже.
В этом окне для каждого приложения можно изменить тип выхода в сеть (разрешить, спросить, блокировать). Нажатие кнопки Advanced открывает окно для тонкой настройки правила для приложения.
Настроек достаточно для создания правила, которое сможет решить практически любую задачу для управления доступом приложения в сеть. Можно указать диапазоны доверенных адресов, с которыми приложение сможет устанавливать соединения, разрешить приложению соединяться или открывать на прослушивание только определённые порты, разрешить ICMP, заблокировать приложение во время включения хранителя экрана и указать временные интервалы, в которых правило будет либо разрешать, либо запрещать общение приложения с сетью.
Настройка правил фильтрации пакетов
При помощи Sygate Personal Firewall достаточно просто настроить фильтр пакетов. Следует помнить о том, что правила в пакетном фильтре применяются к проходящим пакетам сверху вниз и имеют более высокий приоритет над правилами для приложений. Если правилом для приложения разрешить ему бесконтрольно общаться с сетью, а правилом фильтрации пакетов запретить обращаться к любым серверам, то приложение не получит доступа ни к каким ресурсам.
Настроек у каждого правила достаточно много, что позволяет создавать такие правила, которые решат задачу контроля именно так, как это необходимо. В бесплатной персональной версии Sygate Personal Firewall количество правил для фильтрации пакетов ограничено двадцатью.
В настройках каждого из правил фильтрации пакетов можно указать сетевой интерфейс, к которому будет применяться это правило, указать, следует ли активировать или деактивировать правило при запуске хранителя экрана. Нужно или нет собирать информацию о пакетах, к которым было применено данное правило, указать IP адрес, подсеть адресов или MAC-адрес удалённого хоста, выбрать протокол и направление движения пакетов, которые будут обрабатываться этим правилом. Включить и настроить активацию правила по расписанию, создать правило только для одного конкретного или нескольких приложений. Внизу окна настройки фильтра в текстовом виде отображается текущая настройка фильтра при помощи которой очень просто понять, как правило будет фильтровать трафик. Настроек вполне достаточно для создания самого сложного правила.
Дополнительные настройки файрвола
Окно дополнительных настроек файрвола показано ниже. Часть настроек недоступна в бесплатной версии. Такие настройки выделены серым цветом.
На вкладке General (Общие) собраны настройки, которые управляют отображением иконки файрвола в трее, автоматическим запуском файрвола при загрузке системы, блокированием трафика во время работы хранителя экрана, выводом на экран и звуковым оповещением о блокировке сетевой активности. На этой же вкладке можно защитить паролем настройки файрвола. На вкладке Network Neighborhood для каждого сетевого интерфейса можно включить или выключить просмотр и использование общих ресурсов. На вкладке Security практически все настройки недоступны.
На вкладке E-mail Notification можно включить и настроить отправку по почте оповещений об обнаруженных атаках. Вкладка Log позволяет задать размер файла каждого из журналов работы файрвола. Особого внимания заслуживает возможность включения сбора всех пакетов, для которых в соответствующем правиле фильтрации пакетов была включена такая опция, то есть, файрвол может работать как сниффер. На вкладке Updates настраивается обновление файрвола.
Отчёты
Файрвол может сохранять различную информацию о событиях, происходящих во время его работы, в достаточно подробных отчётах. Сохраняемая информация очень полная, вплоть до содержимого проходящих пакетов. На рисунке ниже показан отчёт о безопасности, в котором зафиксированы атаки на компьютер под защитой файрвола.
К оглавлениюТестирование Sygate Personal Firewall
Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании
- Celeron Tualatin 1000A на шине 133, т.е. частота процессора 1333 мегагерца.
- Материнская плата Asus TUSL–2C, BIOS ревизии 1011.
- 512 мегабайт оперативной памяти, работающей на частоте 133 мегагерца.
- Винчестер Seagate Barracuda 4 80 гигабайт в режиме UDMA5.
- Windows XP Pro Rus Service Pack 2.
- 10 мегабитная сеть из двух компьютеров.
- Сканер уязвимостей XSpider 7
- Утилита для сетевого флуда по ICMP, IGMP, TCP, UDP.
- Process Explorer от Sysinternals.
- Утилита PCAudit2.
Использование программой памяти и загрузка процессора
В ходе тестирования Sygate Personal Firewall при помощи Process Explorer регулярно снимались показания об объеме занятой процессом программы памяти и о загрузке им процессора. Результаты приведены в таблице ниже.
| Момент снятия показаний | Объем занятой памяти | Загрузка процессора | |
Физическая память (килобайт) | Виртуальная память (килобайт) | ||
После загрузки ОС, настройки по умолчанию, простой | 8 412 | 12 872 | 2%–6% |
Настройки по умолчанию, сканирование XSpider | 52 836 | 57 144 | 7%–61% |
Настройки по умолчанию, ICMP–флуд в течение 5 минут | 9 308 | 13 060 | 2%–10% |
Настройки по умолчанию, IGMP–флуд в течение 5 минут | 8 488 | 12 880 | 6%–27% |
Настройки по умолчанию, SYN–флуд в течение 5 минут | 14 788 | 18 500 | 100% |
Настройки по умолчанию, UDP–флуд в течение 5 минут | 9 076 | 12 988 | 4%–100% |
Завершить работу файрвола можно щелкнув правой кнопкой мыши по его значку в трее и выбрав Exit. После закрытия файрвол полностью выгружается из памяти и освобождает все ресурсы, которые он занимал.
Сканирование системы сканером уязвимостей XSpider
Тестовая машина была просканирована сканером уязвимостей XSpider 7. Настройки файрвола после его установки не менялись.
Результаты полного сканирования всего диапазона не выявили открытых портов и работающих сервисов, доступных из сети. В тоже время, машина под защитой Sygate Personal Firewall без проблем обращалась к общим ресурсам на других компьютерах в сети.
Во время сканирования сервис файрвола занял в пять раз больше памяти, чем занимал до начала сканирования. Во время сканирования загрузка процессора была периодической, до значений в 61%. После завершения сканирования все занятые файрволом ресурсы были возвращены системе и его сервис занимал на 3 мегабайта оперативной памяти больше, чем сразу после загрузки системы.
Он–лайн тест файрвола
Для тестирования файрвола на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IP–адрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему.
Первый запуск PCAudit был выполнен при настройках Sygate Personal Firewall по умолчанию. Утилита перебирала все работающие в системе процессы, пытаясь отправить собранную информацию на свой сервер от их имени. Файрвол обнаруживал попытки выйти в сеть приложений, которым там делать нечего и запрашивал действие, которое нужно предпринять. В результате утилита сообщила о неудаче, постигшей её при отправке собранных данных. Поскольку в повседневной работе, скорее всего, для браузера будет создано правило, разрешающее ему устанавливать соединения с любыми серверами, для IE было создано правило, разрешающее ему выход в сеть. После запуска утилиты, как того и следовало ожидать, она без проблем отправила всю собранную информацию на сервер и подтвердила это отчётом на открывшейся странице. Для окончательного тестирования качества контроля файрволом приложений, в настройках файрвола была включена опция Enable DLL Authentication. Затем был открыт браузер и посещено несколько сайтов. При посещении первого сайта файрвол выдал сообщение о том, что браузер использует несколько новых библиотек, и предложил обновить информацию о компонентах браузера, либо запретить ему доступ в сеть. Информация была обновлена, а затем посещён ещё ряд сайтов, с целью убедиться в том, что файрвол зафиксировал окончательную конфигурацию браузера. Затем была запущена утилита PCAudit, которая попыталась от лица IE отправить собранные данные на свой сервер. Файрвол зафиксировал эту попытку и вывел на экран запрос, показанный на рисунке ниже.
Таким образом, файрвол контролирует компоненты приложений и уведомляет, если приложение с измененными компонентами пытается получить доступ в сеть.
Атака на тестовую машину по сети
Для выполнения этого теста была использована утилита, которая направляет на атакуемую машину большой поток данных различного типа по разным протоколам. Тест наглядно демонстрирует поведение файрвола в экстремальных условиях.
Результаты тестирования приведены в таблице в разделе Использование программой памяти и загрузка процессора.
ICMP–флуд в течение пяти минут не привел к увеличению памяти, занятой файрволом. Загрузка процессора изменялась от 2% до 10%.
IGMP–флуд аналогично вызвал загрузку процессора до значений в 27% и практически не привел к увеличению объёма занятой сервисом файрвола памяти.
SYN–флуд привел к стабильной загрузке процессора до 100% и парализовал работу на компьютере. Приложения откликались на действия пользователя в течение нескольких секунд. Объём занятой памяти во время флуда увеличился незначительно и по его окончании вернулся практически к прежним значениям.
UDP–флуд вызвал загрузку процессора от 4% до 100%, объем занятой памяти увеличился незначительно. Не смотря на пиковую загрузку до 100% работать на компьютере можно было практически не ощущая снижения производительности.
К оглавлениюВывод
Результаты тестирования говорят о том, что файрвол хорошо контролирует приложения и надежно прикрывает компьютер от посягательств из сети. Правила, как для фильтрации пакетов, так и для приложений, достаточно гибки в настройках и могут решить практически любую задачу по ограничению доступа. Возможность ограничить действие правила по времени в сумме с защитой настроек и закрытия файрвола паролем, поможет, например, ограничить доступ в интернет для ребенка в то время, когда отсутствуют родители. В тоже время, Sygate Personal Firewall без проблем решает любые другие задачи по фильтрации трафика, например, по публикации в сети только определённых сервисов, работающих на компьютере, и сокрытия всей остальной информации о нём. По качеству исполнения и количеству функций файрвол легко может конкурировать с платными аналогами, иногда даже превосходя их в чём-то. Всё это позволяет рекомендовать Sygate Personal Firewall тем, кто не нуждается в каких-то дополнительных функциях, использует антивирус, поставляемый в виде отдельного продукта, и хотел бы использовать легальный, бесплатный и качественный файрвол.
