Наиболее часто обеспечение сетевой безопасности ассоциируется с применением брандмауэра, однако, как показывает практика, одного только межсетевого экрана недостаточно.
После посвященных этой теме публикаций («Мир ПК», № 3/03, с. 10, 50; № 5/03, с. 11) в редакцию пришло довольно много писем. Чаще всего читатели просили рассказать, из чего должен состоять «джентльменский набор» для комплексной защиты компьютера и как не перестараться с наращиванием вооружения. Стандартный вариант выглядит примерно так: антивирус, специальная программа для проверки на вирусы электронной почты, брандмауэр, утилита для контроля и чистки системы от рекламных модулей. В настоящей публикации даны подробные рекомендации по онлайновому тестированию установленной на ПК защиты.
Кроме того, советуем также обратить внимание на статьи Александра Красоткина: «Иммунитет для Linux» — о пакетной фильтрации трафика на примере программного брандмауэра Iptables для ОС Linux («Мир ПК», № 5/03, с. 11); «Ловушка для злодея» — об имитации уязвимых мест в системе и на отдельном ПК, а также об установке различных капканов и ловушек («Мир ПК», № 4/03, с. 58); «Сканер безопасности Nessus» — еще об одной профилактической мере, обеспечивающей неуязвимость вверенных вам компьютеров («Мир ПК», № 4/03, c. 10); «Обнаружение сетевых атак — Snort» («Мир ПК», № 6/03, c. 10). Эти материалы комплексно дополняют тему сетевой безопасности.
Необходимым и достаточным условием относительной безопасности является установка на ПК набора из брандмауэра, антивируса, дополнительной программы проверки почты на вирусы и утилиты для чистки системы от рекламных модулей.
Среди брандмауэров особенно популярны ZoneAlarm, Agnitum Outpost Firewall, Norton Personal Firewall, среди антивирусных программ — «Антивирус Касперского Personal», Dr.Web, Stop!, Norton Antivirus; наиболее известные утилиты для чистки системы от рекламных модулей — Ad-aware, Spybot и др.
Большинство этих программ я использовал длительное время в довольно интенсивном режиме, так что материала мне удалось накопить достаточно, чтобы сделать выводы о надежности работы программ и отсутствии в них грубых ошибок.
Защитный комплекс (который затем и был тщательно протестирован) я подбирал, исходя из следующих требований:
- надежность;
- функциональность;
- удобство в работе и настройке;
- малый объем потребляемой оперативной памяти и занимаемого места на жестком диске;
- совместимость с ОС и между собой.
«Джентльменский набор»
Таким образом, в мои силы обороны вошли:
- брандмауэр Agnitum Outpost Firewall Pro;
- антивирусная программа Dr.Web for Windows с программой проверки обрабатываемых файлов SpIDer Guard и программой проверки электронной почты SpIDer Mail;
- утилита для чистки системы от рекламных модулей Ad-aware.
Для тестирования созданного защитного комплекса нужны сканеры XSpider и ShadowScan и некоторые дополнительные инструменты.
Рассмотрим повнимательнее все составляющие.
Agnitum Outpost Firewall Pro
Подробно об этом брандмауэре рассказано в статье «Всегда на страже» («Мир ПК», № 3/03, с. 50), упомяну лишь основные его функции и особенности.
Outpost Firewall разрабатывается и поддерживается компанией Agnitum. С первых же версий завоевал внимание пользователей благодаря удобству настройки, наличию различных языков интерфейса (включая русский), высокой надежности защиты и т. д.
![](http://www.osp.ru/data/371/513/1234/064_1.jpg)
Брандмауэр экономичен: объем используемой оперативной памяти и занимаемого места на жестком диске невелик. Программа корректно работает под всеми версиями Windows от 95 до XP.
Удобство при настройке обусловлено главным образом тем, что в Outpost Firewall заранее созданы правила доступа для большинства основных программ, работающих с Интернетом, что избавляет пользователя от излишних хлопот.
![](http://www.osp.ru/data/369/513/1234/064_2.jpg)
Outpost Firewall является первым (для ОС Windows) брандмауэром с открытой архитектурой. Это позволяет подключать к программе дополнительные модули. Некоторые из них поставляются Agnitum вместе с Outpost Firewall; перечислю основные:
- модуль удаления рекламных блоков (баннеров, рейтинговых кнопок и т. д.) при отображении загружаемой из Интернета информации. Удаление происходит не только из браузера, но и из html-писем в почтовом клиенте, из ICQ и т. д. Это позволяет сократить время и объем загрузки информации;
- модуль отключения активных элементов Web - Java-аплетов, Java-сценариев, ActiveX и т. д. Это также позволяет избежать многих хакерских нападений;
- детектор и блокировка атак и др.
Важно, что брандмауэр позволяет отражать очень распространенные сейчас DoS-атаки.
Outpost Firewall выпускается в двух версиях — Pro и Free. Последняя — бесплатная, облегченная, в ней отсутствуют некоторые функции, имеющиеся в Pro-версии.
Единственный замеченный мной недостаток брандмауэра — при сканировании портов в лог-файл выводится информация о нескольких первых просканированных портах; невозможно узнать, на каком порте и когда сканирование было закончено.
Dr.Web 4.29с
Dr.Web обладает всеми базовыми функциями антивирусной программы, занимает небольшой объем на жестком диске и сравнительно мало загружает систему (оперативную память и процессор).
Сам Dr.Web — основа пакета — тестирует на вирусы файлы на жестких дисках и других носителях информации (дискетах, CD-ROM). Программа позволяет исследовать архивы всех главных форматов, ведется подробный журнал. Dr.Web проверяет на вирусы загрузочные секторы, оперативную память и запущенные программы. Существует несколько режимов проверки файлов: всех, только выбранных форматов и по маске. В зависимости от настройки при обнаружении зараженного или подозрительного файла последний может быть удален, перемещен в отдельную папку, переименован или «вылечен». Следует отметить, что в бесплатной версии Dr.Web отсутствует функция «лечения».
Пользователь может самостоятельно устанавливать приоритет проверки — чем он выше, тем анализ качественнее, но и тем большее время затрачивается на исследование. Возможен вывод звуковых сигналов при различных событиях работы программы.
Dr.Web можно обновлять через Интернет; к программе прилагается утилита Dr.Web Sheduler, позволяющая составлять расписание для систематического обновления.
В комплекте также поставляются программы SpIDer Guard и SpIDer Mail, которые являются резидентными, т. е. постоянно находятся в памяти компьютера.
SpIDer Guard перехватывает обращения к файлам и системным областям дисков и «на лету» проверяет их на наличие вирусов. Доступ к объекту разрешается только в том случае, если последний не содержит вирусов, т.е. либо оных в нем не обнаружено, либо удалось их обезвредить.
SpIDer Mail производит подобные действия с файлами, приходящими по электронной почте. Он перехватывает информацию, получаемую от сервера электронной почты, и передает ее почтовой программе (OutlookExpress, TheBat и др.) только после проверки на наличие вирусов.
Для анализа объектов SpIDer использует ту же вирусную базу и то же ядро, что и сам Dr.Web.
Программа имеет русский, английский, немецкий и испанский интерфейсы.
Очистители
Одной из насущных проблем в современном компьютерном мире наряду с нежелательной почтой (спамом) стало внедрение в систему назойливых рекламных модулей. Начало этому кошмару положили сайты порнографического содержания, которые всегда отличались наибольшей рекламной агрессивностью. Со временем эти навязчивые модули стали внедряться вместе с некоторым (чаще бесплатным) ПО. Как правило, такие программы заносят информацию о себе в реестр Windows, причем в настолько запутанном виде, что обнаружить ее «невооруженным глазом» практически невозможно.
Естественно, с распространением этой заразы стали появляться и противоядия, т. е. программы для удаления рекламных модулей и чистки системы и реестра от подобных внедрений.
Ad-aware 6.0
Программа Ad-aware компании Lavasoft — одна из наиболее популярных и часто обновляющихся.
Чистка системы осуществляется следующим образом.
Пользователь вправе выбрать проверку определенных дисков/папок, быструю или полную проверку системы. В ходе ее исследуются процессы, происходящие в памяти, системный реестр, а также файлы на том логическом диске, где расположена ОС. При этом отображается количество проверенных файлов и частей реестра и количество найденных объектов, подлежащих удалению. К числу последних Ad-aware относит и некоторые файлы, оставляемые на жестком диске недавно посещенными Web-сайтами (cookies).
![](http://www.osp.ru/data/375/513/1234/064_3.jpg)
По завершении проверки доступен подробный отчет.
После подтверждения пользователем выбранные файлы помещаются в специальный «карантин» и удаляются из тех папок, где они ранее находились. Карантин-файлы можно уничтожить средствами Ad-aware, когда вы убедитесь, что их изоляция никак не повлияла на работающие программы.
Ad-aware имеет очень гибкие настройки механизма чистки и проверки. Вносить изменения в них рекомендую только опытным и уверенным в себе пользователям.
С сайта разработчика доступен для загрузки пакет языков интерфейса, среди которых и русский. Есть функция обновления через Интернет.
Стандартная версия бесплатна, предлагаются и платные Ad-aware Professional, Ad-aware Plus с расширенными функциями.
Дополнительные инструменты
Разумным дополнением к вышеуказанным средствам можно считать программы для чистки реестра от ненужных фрагментов и жесткого диска от дублирующихся и ненужных файлов (например, EasyCleaner, System Cleaner, jv16 PowerTools, NBG Clean Registry), а также программы для нахождения и удаления «троянов» (Anti-Trojan, Troyan Remover и др.).
![](http://www.osp.ru/data/373/513/1234/064_4.jpg)
Проверка на прочность
Установите ли вы на ПК тот «джентльменский набор», который я рекомендую, или создадите свой собственный комплекс, необходимо будет проверить, насколько эффективна выстроенная вами защита.
Это можно сделать с помощью онлайнового тестирования и специальных программ-сканеров.
Основные поисковые системы Рунета практически не дают никаких ссылок на подобные сервисы, а в мировых (например, Altavista, www.altavista.com) можно найти неплохие варианты.
Вот некоторые ссылки на такие ресурсы:
- http://www.auditmypc.com/ - несколько бесплатных тестов системы, в частности на ошибки в Internet Explorer и некоторых других Windows-приложениях, сканирование портов. Требуется предварительная регистрация.
- http://www.dslreports.com/secureme_go - требуется регистрация, сайт несколько запутанный, результаты высылаются по электронной почте. "Заказ" помещается в очередь, иногда приходится несколько минут ждать начала тестирования.
- Наиболее удобным и полным средством онлайнового тестирования брандмауэра является проверка на сайте http://scan.sygate.com. Здесь много тестов, не нужны ни регистрация, ни какие-либо другие действия.
Свой комплекс я тестировал с помощью онлайновых сервисов scan.sygate.com, www.auditmypc.com, www.dslreports.com/secureme_go и программ XSpider и Shadow Scan.
XSpider 6.50
Программу рекомендую всем, кто хочет проверить систему на безопасность. После регистрации ее можно бесплатно загрузить с сайта www.xspider.ru, размер — 1,25 Мбайт. XSpider имеет русский интерфейс, гибко настраивается, тестирует систему практически на все возможные попытки взлома, атак, проникновения.
![](http://www.osp.ru/data/347/513/1234/064_5.jpg)
Особое внимание до запуска сканирования следует обратить на настройки. XSpider позволяет проводить имитацию различных видов DoS-атак, которые при отсутствии защиты от них могут приводить к зависанию и перезагрузке компьютера. Поэтому проверку рекомендуется проводить отдельно по каждому виду для того, чтобы выяснить, какой именно из видов DoS-атак пропускается системой.
XSpider ведет подробный журнал сканирования, в котором отражаются не только найденные уязвимые места в защите, но и практические методы их устранения.
Кроме этого, если с уязвимостью можно справиться, загрузив с сайта Microsoft соответствующую «заплатку», XSpider указывает точный Web-адрес, где находится нужное обновление.
По степени уязвимости XSpider разделяет «замечания», «предупреждения» и «опасности».
Время сканирования зависит от мощности компьютера, часто наблюдается довольно сильная загрузка процессора, оперативной памяти и длительные обращения к жесткому диску.
Помимо номера открытого порта, XSpider также выводит название программы или системного процесса Windows, который использует этот порт.
Shadow Scan 2.17
Наряду с вышеупомянутой XSpider рекомендую Shadow Scan. Она доступна для загрузки на сайте http://www.safety-lab.com/rus/download.htm, размер — 1,8 Мбайт. В программе присутствуют все основные возможности поиска уязвимых мест в системе. Отдельно можно упомянуть имитацию перебора паролей доступа, сканирование на возможность доступа «троянов», переполнение буфера.
![](http://www.osp.ru/data/345/513/1234/064_6.jpg)
Несмотря на то что программа разработана на Украине, она не имеет ни русского, ни украинского интерфейса.
Бесплатно Shadow Scan работает 15 дней, после чего необходима регистрация. Кроме того, в незарегистрированной версии отображается рекламный блок.
* * *
Помните, что большинство антивирусных программ уже содержат дополнительные модули (либо дополнительные программы) для анализа в режиме реального времени всех обрабатываемых файлов и проверки электронной почты на вирусы. В Norton Antivirus это часть самой программы, в Dr.Web — дополнительные утилиты SpIDer Guard и SpIDer Mail и т. д. Так что, возможно, вам и не понадобится ставить отдельную программу для проверки писем. Ну и помимо достоинств и недостатков каждого продукта при выборе ПО нельзя забывать о корректности взаимодействия и «сосуществования» программ с операционной системой и между собой.
Внимание! Категорически не рекомендуется одновременно устанавливать две программы одного типа — два брандмауэра, два антивируса и т. д.
Как показала практика, они зачастую конфликтуют между собой. Например, при установке на один компьютер Dr.Web и «Антивируса Касперского» часто наблюдается следующее. Так как обе программы получают доступ к обрабатываемым файлам для проверки, Dr.Web замечает «подозрительную активность» за программой «Антивируса Касперского», и наоборот. В результате пользователь наблюдает «битву титанов», что часто приводит к краху операционной системы. Нечто подобное наблюдается и при использовании одновременно двух брандмауэров и т. д.
Даже при наличии грамотно настроенного «джентльменского набора» не следует забывать об основных принципах «сетевой гигиены» — не открывать файлы (особенно исполняемые), пришедшие по электронной почте от неизвестных отправителей; следить за обновлениями установленных программ защиты; иметь загрузочную дискету или CD и т. п..
С автором можно связаться по адресу e-mail: krava@krava.com.ua или ICQ № 18 633 277.
Результаты тестирования «джентльменского набора»
Windows 2000 Pro
Открыты четыре порта из 65 535, при необходимости доступ к ним закрывается средствами Agnitum Outpost Firewall, однако это может повлиять на работу действующих программ.Найдено несколько уязвимых мест, которые устраняются с помощью нужных обновлений, загруженных с сайта Microsoft.
Хорошие результаты тестирования обусловлены, вероятно, не столько качеством брандмауэра, сколько тем фактом, что в Windows 2000 Pro (как системе на базе NT) реализована защита на довольно высоком уровне.
Работа Dr. Web, Spider и Spider Mail нареканий не вызывает, при регулярном обновлении (Dr. Web Sheduler + Dr. Web Update) защита от вирусов достаточно надежна.
При сканировании с имитацией DoS-атак обнаружены два уязвимых места в защите системы, при помощи «заплаток» с сайта Microsoft они закрыты, сбоев в системе при сканировании не замечено.
Windows 98
При тестировании в системах Windows 9х у брандмауэров и других средств защиты больше возможностей проявить себя. Как известно, системы на основе Windows 9x разрабатывались изначально для домашних пользователей, вопросам защиты информации и надежности в них уделялось мало внимания.
Тестирование сервисами онлайнового сканирования портов подтверждает высокую эффективность работы Outpost Firewall, уровень защиты практически такой же, что и в Windows 2000 Pro.
Тестирование программой XSpider без имитации DoS-атак проходит нормально, уязвимые места в защите аналогичны выявленным в Windows 2000 Pro. При попытке сканирования с имитацией DoS-атак происходит сбой в системе, что, по-видимому, вызвано обращением XSpider к плохо защищенным частям Windows 98.
Полезные ссылки
http://www.listsoft.ru/?art=30 — статья Дмитрия Турецкого о борьбе с «троянами».
http://www.void.ru — часто обновляемый сайт с материалами по защите систем.
http://www.viruslist.com — энциклопедия компьютерных вирусов.
http://www.bugtraq.ru — полезная и обширная информация о защите систем.
http://security.nnov.ru — статьи о защите систем