- Назначение программы, основные функции
- Установка программы
- Интерфейс программы, режимы работ
- Правила фильтрации пакетов
- Правила для приложений
- Журнал работы
- Тестирование файрвола
- Вывод
Назначение программы, основные функции
Kaspersky Anti–Hacker является персональным файрволом и его использование надежно защищает компьютер от проникновения извне, позволяет контролировать поведение установленного на компьютере программного обеспечения, пресекая его несанкционированные попытки отправить данные в сеть. Программа предохраняет компьютер от заражения некоторыми типами вирусов и обеспечивает сохранность файлов от несанкционированного удаления или изменения.
Kaspersky Anti–Hacker позволяет пользователю гибко настраивать правила для приложений и фильтровать пакеты, которыми обменивается компьютер с серверами, расположенными в сети. Детектор атак обнаруживает наиболее распространенные атаки на компьютер и автоматически блокирует атакующего. Режим невидимости делает компьютер под защитой Kaspersky Anti–Hacker невидимым в сети, что затрудняет подготовку и проведение атаки на него. Kaspersky Anti–Hacker контролирует целостность приложений, и если его файлы изменяются, то пользователь будет проинформирован об этом. Все события, происходящие во время работы в сети, протоколируются в журнале работы.
Следует понимать, что Kaspersky Anti–Hacker является файрволом, который контролирует трафик между компьютером и серверами, а не антивирусом. Лишь некоторые типы вирусов и шпионских программ, которые при заражении компьютера загружают из сети свои компоненты или отправляют данные в сеть, могут быть обнаружены при помощи Kaspersky Anti–Hacker. Чтобы надежно защитить компьютер и от вирусов и от взлома рекомендуется пользоваться связкой из Kaspersky Anti–Hacker и Kaspersky Antivirus.
Основные функции Kaspersky Anti–Hacker:
- Контроль сетевой активности всех приложений, установленных на компьютере. При помощи правил определенному приложению можно разрешить доступ только к определенному серверу в сети или разрешить доступ ко всем серверам, а запретить только к одному или нескольким определенным. Таким образом, все приложения, установленные на компьютере, находятся под постоянным контролем и могут обмениваться данными с серверами только после разрешения пользователя.
- Режим невидимости в сети, который обеспечивает файрвол, значительно затрудняет обнаружение компьютера в сети, и, следовательно, осложняет процесс подготовки и проведения атаки на него.
- Фильтрация пакетов обеспечивает контроль над трафиком на более низком уровне, чем уровень приложений. Таким образом, сетевая активность в определенных направлениях может быть пресечена раз и навсегда, вне зависимости от того, какое приложение пытается отправить данные в запрещенных направлениях.
- Kaspersky Anti–Hacker определяет попытки сканирования портов, и блокирует тот хост, с которого производилось сканирование. При помощи сканирования злоумышленник определяет открытые порты и собирает информацию для последующей атаки на компьютер с целью получения полного контроля над ним для последующих незаконных действий в сети от имени взломанного компьютера. Либо, собрав информацию о компьютере–жертве, злоумышленник проводит атаку с целью вывести компьютер из строя или сделать невозможным доступ к нему из сети.
- Файрвол позволяет просматривать список всех установленных соединений с сетью и при необходимости разрывать их.
- Режимы работы программы позволяют контролировать обмен данными приложений с сетью от разрешения любых данных, проходящих в любом направлении, до полного запрещения обмена данными между компьютером и сетью. После установки файрвол работает в режиме обучения, то есть, спрашивает пользователя о каждой попытке приложения выйти в сеть. Пользователь, в зависимости от собственных предпочтений, либо разрешает, либо запрещает обмен данными между компьютером и сетью. Через некоторое время, когда для всех приложений будут созданы правила общения с сетью, файрвол может быть переключен в более строгий режим работы. В этом режиме файрвол контролирует обмен данными между компьютером и сетью на основе существующих правил, а все остальные попытки приложений отправить или получить данные из сети, для которых не было создано правил, блокируются. Переключение режимов работы файрвола производится в два щелчка мыши.
- Файрвол очень гибок в настройках. Если на компьютере под защитой файрвола работают сервисы, которые должны быть доступны из сети, например, www–сервер, то при помощи одного правила доступ к этому сервису может быть предоставлен как всем желающим, так и определенным посетителям.
Установка программы
Программу можно купить у партнеров ЗАО «Лаборатория Касперского», в интернет–магазине OZON или в он–лайн магазине Лаборатории Касперского. Без ключевого файла файрвол работать не будет.
До установки программы нужно отключить встроенный в XP файрвол. Это лучше сделать, когда нет физического соединения с сетью, то есть, надо отключить кабель от сетевой карты. Инсталляция Kaspersky Anti–Hacker при включенном встроенном файрволе Windows XP может вызвать нестабильность системы и сбои в работе. Вышеописанная операция с программой полностью автоматизирована. Запустите файл с дистрибутивом программы. Файлы будут распакованы, и программа установится на компьютер. В течение данного процесса программа запросит ключевой файл. Добавьте ключ. Установка программы будет завершена после перезагрузки компьютера.
Интерфейс программы, режимы работы
После окончания установки в трее появится значок программы 
и на экран будет выведено главное окно, пример которого показан на рисунке ниже.
В главном окне программы, при помощи ползунка, можно изменить текущий уровень безопасности. Возможен выбор следующих режимов:
- Запретить все. При выборе этого режима будет запрещен любой обмен данными между компьютером и сетью. Выбор этого режима аналогичен физическому отключению компьютера от сети.
- Высокий. В этом режиме общение с сетью ограничивается уже созданными правилами. Все попытки обмена данными приложений, для которых не были созданы правила, будут отклонены. Данный режим лучше использовать через продолжительное время, которое файрвол проработал в режиме Средний и для всех приложений, которым нужен доступ в сеть, были созданы правила. Если на компьютер устанавливается приложение, которому нужен доступ в сеть, то нужно временно перевести файрвол в режим Средний или вручную создать правило для нового приложения.
- Средний. При попытке выйти в сеть приложений, для которых еще не было создано правил, файрвол выдаст запрос и попросит указать действие, которое он должен предпринимать при выходе в сеть приложения. Пример запроса будет рассмотрен ниже. С его помощью можно создать правило, которым файрвол будет руководствоваться при последующих попытках приложения выйти в сеть, либо однократно запретить или однократно разрешить приложению обменяться данными с сетью.
- Низкий. В этом режиме файрвол разрешает общение с сетью всех приложений, за исключением тех, для которых созданы запрещающие правила. То есть, если явно не указано, что приложению доступ предоставлен быть не должен, то оно получит доступ в сеть.
- Разрешить все. Выбор этого режима равносилен отключению файрвола. Контроль над сетевой активностью отключается, все приложения получают доступ в сеть, не смотря на созданные правила.
Пункт Режим невидимости предназначен для включения режима работы, в котором файрвол скрывает компьютер в сети. В данном режиме компьютер перестает откликаться на запросы о его существовании в сети. Режим невидимости может быть использован, когда файрвол работает в режиме Высокий, Средний или Низкий. При работе в режиме невидимости инициатором создания соединения с любым сервером в сети может выступать только компьютер под защитой файрвола. Правила фильтрации, разрешающие подключение к определенным сервисам, работающим на компьютере, имеют высший приоритет над режимом невидимости. Таким образом, если на компьютере установлен, например, www–сервер, ожидающий подключения на 80–м порту, то можно создать правило, которое разрешит устанавливать соединения с этим портом и включить режим невидимости. При такой настройке www–сервер будет доступен из сети, но запросы о существовании компьютера в сети (ping) будут игнорироваться.
Рекомендуется после установки, в течение довольно длительного времени, работать в режиме Средний. После того, как для всех приложений будут созданы правила, определяющие их поведение в сети, файрвол можно перевести в режим Высокий. После этого сетевая активность, не описанная правилами, будет молча пресекаться.
Правила фильтрации пакетов
Доступ к окну с настройками правил фильтрации пакетов можно получить из главного окна программы, нажав кнопку 
на панели инструментов или из меню Сервис – Правила фильтрации пакетов. Пример окна с правилами фильтрации пакетов показан на рисунке ниже.
После установки программы в этом списке созданы правила, которые обеспечивают работу в локальной сети. Их можно изменить или удалить, исходя их собственных предпочтений.
Правила выполняются сверху вниз. Файрвол проверяет пакет на соответствие правилу и если оно указывает на действие, которое необходимо выполнить с проходящим пакетом, то действие выполняется. Например, если разрешен обмен пакетами между компьютером с установленным файрволом и 21–м портом хоста 192.168.2.2, а весь остальной трафик между этими компьютерами запрещен, то разрешающее правило должно находиться выше запрещающего.
Приоритет правил фильтрации пакетов выше, чем правил фильтрации приложений. Если запретить отправлять пакеты на определенный сервер в сети правилом фильтрации пакетов, а потом разрешить какому–либо приложению общаться с этим же сервером, то приложение не получит доступа к указанному серверу, так как, пакет будет отвергнут пакетным фильтром.
Правила для приложений
После установки файрвола создаются стандартные правила для некоторых приложений, которые можно просмотреть в окне, вызываемом при помощи Сервис – Правила для приложений. Пример правил, созданных после установки программы, показан на рисунке ниже.
Правила для приложений могут быть созданы как вручную, так и при помощи мастера. Окно мастера создания правил выводится на экран когда файрвол работает в среднем режиме безопасности. При первом обращении приложения в сеть, когда для него еще не созданы правила, откроется окно, показанное ниже.
Файрвол предложит создать правило для приложения на основе стандартного. Если необходимость выхода приложения в сеть сомнительна, то в окне мастера можно нажать кнопку Блокировать однократно. Это приведет к тому, что запрос приложения будет отклонен, но лишь до следующей его попытки выйти в сеть. Если приложение будет работать некорректно, то во время следующей его попытки выйти в сеть на экране снова появится запрос файрвола на создание правила для этого приложения и такой доступ ему может быть предоставлен. Причем, доступ приложению в сеть может быть предоставлен как полный (то есть, ему будет разрешено устанавливать соединения с любыми портами на любых серверах), так и ограниченный, в соответствии с его типом, который файрвол определит автоматически. Предоставление полного доступа или ограниченного производится путем выбора соответствующего значения из поля со списком Разрешить активность приложения в соответствии с его типом. Стандартные типы приложений показаны ниже.
Если во время создания правила для приложения переключатель поставить в положение Запретить любую активность приложения, то файрвол создаст для него запрещающее правило и до момента удаления этого правила приложение не получит доступа в сеть.
Пункт Настроить правило предназначен для создания правила вручную, что требует некоторых специальных знаний, но позволяет более тонко фильтровать активность приложения. Пример окна, в котором производится ручная настройка правила, показан ниже.
На основе поступившего запроса файрвол создает шаблон, который предлагает исправить вручную под свои нужды. В приведенном выше примере, Миранда с локальной машины с порта 3028 попыталась получить доступ к серверу 64.12.161.153 на порт 5190. Поскольку известно, что Миранда, как и любое другое приложение, при следующем сеансе связи с сервером может отправить запрос не с порта 3028, а с любого выше 1023, то имеет смысл при настройке этого правила снять отметку с пункта Локальный порт. Также, известно, что Миранда всегда будет пытаться установить соединение с сервером на порт 5190. Таким образом, после редактирования правило примет вид, показанный на рисунке ниже.
Если нужно изменить, например, адрес сервера, то в Описании правила нужно щелкнуть мышью по выделенному синим цветом параметру и ввести требуемое значение. После того, как условие отредактировано, нужно нажать кнопку Далее и в следующем окне мастера создания правила выбрать действие, которое должен выполнить файрвол, когда правило сработает. После нажатия кнопки Готово правило будет создано.
Журнал работы
События, происходящие во время работы Kaspersky Anti–Hacker, протоколируются в журнале работы. Доступ к журналу можно получить при помощи пункта меню Вид – Журналы или при помощи кнопки на панели инструментов. Образец журнала показан на рисунке ниже.
В каждом созданном правиле можно отметить пункт Занести событие в журнал. В этом случае, при каждом срабатывании правила отметка об этом будет добавляться в журнал работы. По умолчанию в нём фиксируются атаки на компьютер под защитой Kaspersky Anti–Hacker с информацией о типе атаки и адресе, с которого она производилась. Размер журнала указывается в настройках, доступ к которым можно получить при помощи пункта меню Сервис – Параметры – Журналы. Когда размер журнала превышает указанный в настройках, файрвол записывает новые события вместо самых старых.
Тестирование файрвола
Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании
- Celeron Tualatin 1000A на шине 133, т.е. частота процессора 1333 мегагерца.
- Материнская плата Asus TUSL–2C, BIOS ревизии 1011.
- 512 мегабайт оперативной памяти, работающей на частоте 133 мегагерца.
- Винчестер Seagate Barracuda 4 80 гигабайт в режиме UDMA5.
- Windows XP Pro Eng без сервис–пака.
- 10 мегабитная сеть из двух компьютеров.
- Kaspersky Anti–Hacker 1.5.119.
- Internet Explorer 6.0
- Сканер уязвимостей Retina 4.9.206.
- Утилита для сетевого флуда по ICMP, IGMP, TCP, UDP.
Операционная система после установки не оптимизировалась, не устанавливались никакие обновления системы безопасности и сервис–паки. Настройки файрвола были оставлены по умолчанию.
Использование программой памяти и загрузка процессора
Для оценки поведения файрвола в тяжелых условиях, когда машина под его защитой атакована по локальной сети, был выполнен ряд тестов. В ходе атаки на тестовую машину снимались показания об объеме занятой программой памяти и о загрузке процессора.
Момент снятия показаний | Объем занятой памяти | Загрузка процессора | |
Физическая память (килобайт) | Виртуальная память (килобайт) | ||
Первая перезагрузка после установки | 5 744 | 2 916 | 0% |
После сканирования при помощи Retina при выключенном режиме невидимости | 3 288 | 3 528 | 0%–4% |
После сканирования при помощи Retina при включенном режиме невидимости | 3 344 | 4 168 | 0%–5% |
ICMP–флуд в течение 5 минут при включенном режиме невидимости | 3 344 | 4 158 | 0% |
ICMP–флуд в течение 5 минут при выключенном режиме невидимости | 3 864 | 4 156 | 1%–3% |
IGMP–флуд в течение 5 минут при включенном режиме невидимости | 3 864 | 4 156 | 0% |
IGMP–флуд в течение 5 минут при выключенном режиме невидимости | 3 864 | 4 156 | 0% |
SYN–флуд в течение 5 минут при включенном режиме невидимости | 2 772 | 4 156 | 1%–26% |
SYN–флуд в течение 5 минут при выключенном режиме невидимости | 3 308 | 4 232 | 3%–69% |
UDP–флуд в течение 5 минут при включенном режиме невидимости | 3 740 | 4 256 | 2%–6% |
UDP–флуд в течение 5 минут при выключенном режиме невидимости | 3 740 | 4 256 | 2%–6% |
Результаты тестов свидетельствуют об отсутствии утечек памяти и демонстрируют, что даже при атаке по локальной сети, где скорость передачи данных в несколько раз выше, чем при работе в интернете, проблем со снижением производительности компьютера под защитой файрвола нет.
Сканирование системы сканером безопасности Retina
Тестовая машина была просканирована сканером уязвимостей Retina до, и после установки файрвола. Результаты сканирования показаны в таблице ниже.
Название | До установки файрвола | После установки файрвола | Режим невидимости |
Ответ на ping | да | да | нет |
Время ответа | да | да | нет |
Имя домена/рабочей группы | да | нет | нет |
Трассировка маршрута | да | да | нет |
Время жизни пакета | да | да | нет |
Определение версии ОС | да | нет | нет |
Определение даты и времени | да | нет | нет |
Определение MAC–адреса | да | нет | нет |
Открытый порт 135 | да | нет | нет |
Открытый порт 139 | да | нет | нет |
Открытый порт 445 | да | нет | нет |
Доступ к административным общим ресурсам | да | нет | нет |
Результаты сканирования демонстрируют, что установка файрвола закрывает доступ к открытым портам и отключает доступ к административным общим ресурсам. Включение режима невидимости скрывает компьютер в сети, и он перестает откликаться на ping.
Атака на тестовую машину
В ходе тестирования файрвола был выполнен флуд по основным протоколам. Данный тест призван показать поведение файрвола при серьезных нагрузках, которых можно достичь только в локальной сети. По умолчанию, после установки файрвола, включен режим блокировки атакующего хоста на 1 час. Эта функция работает, и при первой же тестовой атаке файрвол запретил все входящие подключения с машины, на которой работала утилита, и с помощью которой производилась атака. Чтобы получить корректные результаты теста, время блокировки атакующего хоста было установлено на 0, но сохранено включенным обнаружение атаки. В ходе тестирования файрвол определял тип атаки, о чем информировал в главном окне программы, пример которого показан ниже.
При атаке на машину под защитой Kaspersky Anti–Hacker загрузка процессора оставалась на приемлемом уровне, а объем использованной программой памяти практически не менялся. Цифры приведены в таблице выше. Самая тяжелая атака по протоколу TCP при отключенном режиме невидимости вызвала загрузку процессора в районе 70%, но эта загрузка не была постоянной, а изменялась от 3% до 69%. Во время этой атаки некоторое замедление скорости работы компьютера было ощутимо, но работу можно было продолжать.
Он–лайн тест файрвола
Для тестирования файрвола на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IP–адрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему.
К сожалению, Kaspersky Anti–Hacker не смог пресечь отправку этих данных. После запуска утилиты файрвол вывел на экран окно мастера создания правил, определив, что Windows Explorer пытается получить доступ в интернет. После создания правила, которое запретило любую активность Windows Explorer, PCAudit2 продолжила свою работу и отправила на сервер собранную информацию. Факт утечки информации был подтвержден открытой затем страницей, где была перечислена вся перехваченная информация и показан скриншот экрана, снятый во время работы утилиты. Тест утечки был повторен с уже созданным правилом, запрещающим обмен любыми данными между Windows Explorer и любыми серверами. К сожалению, результаты теста были вновь негативными, то есть, утилита опять смогла отправить всю собранную информацию на свой сервер.
Вывод
Результаты тестирования файрвола указывают на то, что, в целом, продукт достаточно качественный и обеспечивает барьер между сетью и компьютером. Это подтверждается объемом занимаемой памяти и использованием программой процессора при проведении атаки на компьютер «в лоб». Результаты сканирования подтверждают то, что система под защитой Kaspersky Anti–Hacker защищена от атак с использованием обнаруженных и еще не известных уязвимостей в системных сервисах. Разумный минимализм настроек значительно облегчает работу с файрволом неподготовленного пользователя. В то же время, можно вручную создавать достаточно сложные правила, которые при определенном объеме знаний помогут организовать гибкий контроль над трафиком. Не смотря на все это, он–лайн тестирование показало, что файрвол не достаточно хорошо контролирует приложения. Пользователь должен внимательно следить за запуском приложений, не открывать файлов, полученных из сомнительных источников. В некоторых случаях, выполнить это условие невозможно и при неблагоприятном стечении обстоятельств, с компьютера под защитой файрвола могут быть похищены важные данные.