Windows XP: Вбудований файрвол (брандмауер) Windows XP Service Pack 2

У цьому огляді будуть розглянуті основні параметри вбудованого брандмауера Windows XP Service Pack 2 і протестована його надійність.

призначення файрволу

У Windows XP з'явився вбудований файрвол, який повинен був захищати підключення до мережі комп'ютера від несанкціонованого доступу і зараження деякими типами вірусів. За замовчуванням вбудований файрвол був відключений і це стало однією з причин того, що вірусні епідемії вражали комп'ютери з Windows XP, не дивлячись на те, що операційна система мала інструмент, який повинен був запобігти зараженню. Microsoft відреагувала на цю обставину, випустивши новий пакет виправлень для Windows XP, який, в тому числі, оновлював вбудований файрвол, надаючи в розпорядження користувача нову функціональність, і включав файрвол для всіх з'єднань з мережею. Тепер у користувача є можливість налаштувати файрвол під свої потреби і коригувати його поведінку при спробах виходу в мережу програмного забезпечення. Можна так само задавати виключення з правил, надаючи можливість певного програмного забезпечення отримувати доступ в мережу, минаючи забороняють правила файрвола. За замовчуванням, файрвол включений для всіх з'єднань з мережею, але за бажанням користувача, для деяких з'єднань він може бути відключений. Якщо на комп'ютері використовується файрвол стороннього виробника, то вбудований файрвол повинен бути відключений.

Установка Service Pack 2 для Windows XP

Service Pack 2 для Windows XP доступний для завантаження на сайті Microsoft. Якщо планується встановити пакет виправлень тільки на одній машині, то має сенс скористатися сайтом Windows Update , за допомогою якого операційна система буде перевірена на відсутність важливих виправлень, і будуть завантажені тільки необхідні з них. Це дозволить зменшити обсяг завантажувати інформацію і заощадить час установки оновлень.

Якщо сервіс-пак планується встановлювати на кілька комп'ютерів, то має сенс завантажити його повну версію .

інтерфейс

Доступ до налаштувань брандмауера (брандмауера) Windows XP Service Pack 2 можна отримати за допомогою Пуск - Панель управління - Брандмауер Windows. Приклад вікна з настройками брандмауера показаний на малюнку нижче.

налаштування файрвола

В цьому вікні можна включити або виключити файрвол для всіх з'єднань з мережею. Пункт Не дозволяти виключення активізує режим роботи файрвола, при якому файрвол не виводить на екран повідомлень про блокування і відключає список винятків, який можна задати на наступній вкладці вікна управління файрволом.

налаштування файрвола

Файрвол дозволяє підключення до вашого комп'ютера для додатків, перерахованих в цьому списку, якщо вони відзначені прапорцем. Можна дозволити вхідні підключення на певний локальний порт, створивши відповідну правило. На наступній вкладці вікна налаштувань файрвола зібрані додаткові налаштування.

Додаткові настройки брандмауера

В цьому вікні можна відключити файрвол для певного підключення або налаштувати додаткові параметри фільтрації для кожного з підключень за допомогою кнопки Параметри. У цьому ж вікні налаштовується журнал роботи файрвола, задаються параметри фільтрації протоколу ICMP. За допомогою кнопки За замовчуванням можна повернути всі налаштування брандмауера до вихідних.

Налаштування виключень

Автоматичне створення виключень для додатків

При запуску на комп'ютері програми, яка повинна прослуховувати певний порт, чекаючи підключення до нього з мережі, файрвол виведе на екран запит, приклад якого наведено нижче.

Створення правила для застосування

Користувачеві надається наступний вибір:

  • Блокувати - додаток, спробував відкрити порт, буде блоковано і підключиться з мережі до цього додатка буде неможливо. У списку винятків брандмауера буде створено правило блокуючу цією програмою.
  • Розблокувати - з додатком буде надана можливість відкрити порт і підключення з мережі до додатка, який відкриває порт, будуть доступні. У список виключень брандмауера буде додано правило, яке буде і надалі дозволяти цьому додатку відкривати порт для очікування вхідних підключень.
  • Відкласти - спроба додатки відкрити порт буде припинена, але виняток створено не буде. При наступній спробі програми відкрити порт буде знову виведений запит, показаний вище.

Вибір Відкласти оптимальний, якщо немає впевненості в тому, яка програма намагається відкрити порт, і чи буде система нормально працювати після відмови з додатком у відкритті порту. В принципі, можна заблокувати спробу відкриття порту додатком і якщо вибір буде невірний, то надалі можна буде виправити автоматично створене виключення вручну.

Створення винятків для додатків вручну

Якщо програма, яка має приймати вхідні підключення з мережі, заздалегідь відомо, то для нього можна створити виняток вручну. Для цього потрібно відкрити вікно налаштування брандмауера і вибрати вкладку Винятки.

налаштування файрвола

Щоб створити виняток потрібно натиснути кнопку Додати програму .... відкриється вікно, приклад якого показаний нижче.

вибір програми

У цьому вікні в списку програм вказано конкретно з них, які встановлені на комп'ютері. Якщо програма, яку необхідно вирішити приймати вхідні підключення, відсутня в списку, то за допомогою кнопки Огляд можна вказати шлях до неї. Після натискання кнопки OK виняток буде створено і додано до списку, де буде зазначено прапорцем, який говорить про те, що дане правило дозволяє зазначеним Додатком відкривати порти і чекати підключення з мережі. Якщо необхідно заборонити додатком відкривати порти, то прапорець слід зняти.

Створення винятків для портів

Файрвол надає можливість відкрити будь-який порт, дозволивши, таким чином, встановлювати з'єднання з мережі з сервісом, працюючим на відкривається порту. Щоб відкрити порт потрібно у вікні винятків натиснути кнопку Додати порт ... Приклад вікна для додавання порту в список виключень показаний нижче.

Додавання порту

У цьому вікні необхідно вказати протокол і номер порту, підключення до якого з мережі файрвол не блокуватиме. У полі прихованого переліку имя потрібно ввести короткий опис причини по якій порт був відкритий, щоб з часом непотрібне правило можна було легко знайти і видалити або виправити.

Зміна адрес, з яких дозволено встановлювати підключення

При ручному створенні або при редагуванні створеного раніше виключення для додатків або порту можна вказати діапазон адрес, з яких можуть бути встановлені підключення до зазначеним Додатком або порту. Для цього призначена кнопка Змінити область ..., за допомогою якої відкривається вікно, показане нижче.

зміна області

В цьому вікні можна задати список адрес, підключення з яких будуть пропущені файрволом. Є можливість вказати, що підключення необхідно вирішити як з будь-якої адреси, так і зі строго визначених. Також, може бути вказана під сіть, в якій знаходиться комп'ютер під захистом брандмауера.

Додаткові настройки брандмауера

Доступ до додаткових налаштувань брандмауера можна отримати на вкладці Додатково головного вікна настройки брандмауера.

Додаткові настройки брандмауера
  • Параметри мережного підключення - тут перераховані всі мережеві підключення, які існують на комп'ютері під захистом вбудованого брандмауера. Шляхом установки або зняття прапорця навпроти кожного з підключень можна включити або виключити файрвол для кожного з підключень. За допомогою кнопки Параметри можна налаштувати параметри роботи брандмауера для кожного з підключень, якщо використовується загальний доступ до цього підключення.
  • Ведення журналу безпеки - за допомогою кнопки Параметри можна налаштувати протоколювання подій, що відбуваються під час роботи файрвола в журналі роботи.
  • Протокол ICMP - дозволяє налаштувати фільтрацію файрволом повідомлень, якими обмінюються по протоколу ICMP. Зокрема, можна заборонити або дозволити відгук комп'ютера на команду ping.
  • Ці параметри - натискання кнопки За замовчуванням повертає всі настройки брандмауера до вихідних.

тестування файрвола

Конфігурація тестового комп'ютера, програмне забезпечення, що використовується при тестуванні

  • Celeron Tualatin 1000A на шині 133, тобто частота процесора 1333 мегагерци.
  • Материнська плата Asus TUSL-2C, BIOS ревізії 1011.
  • 512 мегабайт оперативної пам'яті, що працює на частоті 133 мегагерци.
  • Вінчестер Seagate Barracuda 4 80 гігабайт в режимі UDMA5.
  • Windows XP Pro Rus Service Pack 2.
  • 10 мегабітних мережу з двох комп'ютерів.
  • Сканер вразливостей Retina 4.9.206.
  • Утиліта для мережевого флуда по ICMP, IGMP, TCP, UDP.

Після установки Service Pack 2 в настройках брандмауера були відключені всі винятки, створені за замовчуванням.

Використання програмою пам'яті і завантаження процесора

Для оцінки поведінки файрволу в важких умовах, коли машина під його захистом атакована по локальній мережі, був виконаний ряд тестів. В ході атаки на тестову машину знімалися показання про обсяг використаної сервісом файрволу пам'яті і про завантаження їм процесора.

Момент зняття показань

Обсяг використаної пам'яті

Завантаження процесора

Фізична пам'ять (кілобайт)

Віртуальна пам'ять (кілобайт)

Після завантаження ОС

17 100

11 386

0%

Після сканування за допомогою Retina

17 196

11 376

0% -5%

ICMP-флуд протягом 5 хвилин

17 292

11 364

0% -1%

IGMP-флуд протягом 5 хвилин

17 314

11 402

10% -25%

SYN-флуд протягом 5 хвилин

18 180

12 248

10% -100%

UDP-флуд протягом 5 хвилин

17 348

11 420

0% -31%

Результати тестів свідчать про відсутність витоків пам'яті і демонструють, що навіть при атаці по локальній мережі, де швидкість передачі даних в кілька разів вище, ніж при роботі в інтернеті, проблем зі зниженням продуктивності комп'ютера під захистом брандмауера немає. Під час SYN-флуда завантаження процесора була максимальною, але роботу на комп'ютері можна було продовжувати.

Сканування системи сканером безпеки Retina

Тестова машина була просканувати сканером вразливостей Retina при включеному і вимкненому брандмауера. Результати сканування представлені в таблиці нижче.

Назва

файрвол вимкнений

файрвол включений

Відповідь на ping

да

немає

час відповіді

да

немає

Ім'я домена / робочої групи

да

немає

трасування маршруту

да

немає

Час життя пакету

да

немає

Визначення версії ОС

да

немає

Визначення дати і часу

да

немає

Визначення MAC-адреси

да

немає

Відкритий порт 135

да

немає

Відкритий порт 139

да

немає

Відкритий порт 445

да

немає

Результати сканування демонструють, що включення файрвола закриває відкриті порти і приховує комп'ютер в мережі.

Он-лайн тест файрволу

Для тестування брандмауера на якість контролю їм додатків, які намагаються відправити інформацію в інтернет, була використана утиліта PCAudit2. Ця утиліта пропонує будь-якої програми (наприклад, в Блокноті) ввести декілька довільних слів або зайти на будь-який сайт, який потребує авторизації та ввести ім'я користувача і пароль. Утиліта перехоплює дані, що вводяться, робить скріншот з екрану, визначає ім'я користувача, що працює в системі, IP-адреса і робить спробу відправити зібрану інформацію на свій сервер. Потім утиліта відкриває з сервера динамічно створену сторінку з відправленими даними і наочно демонструє те, яка інформація може бути отримана хакером, які зламали систему.

Вбудований файрвол Windows XP SP2 не зміг припинити відправку цих даних. Утиліта перехопила введений в Блокноті текст і без будь-яких перешкод і сповіщень з боку файрволу відправила їх на свій сервер, що було підтверджено відкрилася сторінкою зі всієї зібраної інформацією.

висновок

Вбудований в Windows XP SP2 файрвол досить надійний, але контролює лише вхідні з'єднання, залишаючи без уваги вихідні. Тому при використанні для захисту комп'ютера вбудованого брандмауера потрібно бути дуже уважним при відкритті файлів, отриманих з мережі. Вірус або шпигунське програмне забезпечення зможе без проблем відправити дані на сервер розробника і припинити його роботу вбудований файрвол не зможе.

З одного боку, робота, виконана командою Microsoft над вбудованим файрволом, істотна, з іншого - відсутність повного контролю над трафіком ставить під сумнів доцільність використання вбудованого брандмауера взагалі. Хочеться сподіватися на те, що Microsoft вирішиться в майбутніх пакетах виправлень або нових версіях операційної системи розширити функціональні можливості файрвола і він зможе контролювати весь трафік, а не тільки входить. Нинішня версія вбудованого брандмауера може розглядатися лише як універсальне рішення для захисту від деяких типів вірусів і обмеження доступу до сервісів операційної системи.