Вбудований файрвол (брандмауер) Windows XP Service Pack 2
У цьому огляді буде розглянуто основні налаштування вбудованого файрволу Windows XP Service Pack 2 та протестовано його надійність.
Призначення файрвола
У Windows XP з'явився вбудований файрвол, який мав захищати підключення до мережі комп'ютера від несанкціонованого доступу та зараження деякими типами вірусів. За замовчуванням вбудований файрвол був відключений і це послужило однією з причин того, що вірусні епідемії вражали комп'ютери з Windows XP, незважаючи на те, що операційна система мала інструмент, який повинен був запобігти зараженню. Майкрософт відреагувала на цю обставину, випустивши новий пакет виправлень для Windows XP, якою, в тому числі, оновлював вбудований файрвол, надаючи в розпорядження користувача нову функціональність, і включав файрвол для всіх з'єднань з мережею. Тепер користувач має можливість налаштувати файрвол під свої потреби та коригувати його поведінку при спробах виходу в мережу програмного забезпечення. З'явилася можливість задавати винятки із правил, надаючи можливість певному програмному забезпеченню отримувати доступ до мережі, минаючи забороняючі правила файрвола. За промовчанням файрвол включений для всіх з'єднань з мережею, але за бажанням користувача, для деяких з'єднань він може бути вимкнений. Якщо комп'ютер використовується файрвол стороннього виробника, то вбудований файрвол повинен бути вимкнений.
Встановлення Service Pack 2 для Windows XP
Service Pack 2 для Windows XP доступний для завантаження на веб-сайті Microsoft. Якщо планується встановити пакет виправлень тільки на одній машині, то є сенс скористатися сайтом Windows Update, за допомогою якого операційна система буде перевірена на відсутність важливих виправлень і будуть завантажені лише тіїх, які необхідні. Це дозволить зменшити обсяг інформації, що скачується, і заощадить час на встановлення оновлень.
Доступ до параметрів файрвола (брандмауера) Windows XP Service Pack 2 можна отримати за допомогою Пуск – Панель керування – брандмауер Windows. Приклад вікна з налаштуваннями файрвола показаний нижче.
У цьому вікні можна увімкнути або вимкнути файрвол для всіх з'єднань з мережею. Пункт Не дозволяти виключення включає режим роботи файрвола, при якому файрвол не виводить на екран сповіщень про блокування та відключає список винятків, який можна встановити на наступній вкладці вікна керування файрволом.
Файрвол дозволяє вхідні підключення до програм, перелічених у цьому списку, якщо вони позначені прапорцем. Можна дозволити вхідні з'єднання на певний локальний порт, створивши відповідне правило. На наступній вкладці вікна параметрів файрволу зібрано додаткові параметри.
У цьому вікні можна вимкнути файл для певного підключення або налаштувати додаткові параметри фільтрації для кожного з підключень за допомогою кнопки Параметри. У цьому вікні налаштовується журнал роботи файрвола, задаються параметри фільтрації протоколу ICMP. За допомогою кнопки За промовчанням можна повернути всі налаштування файрволу до вихідних.
Налаштування винятків
Автоматичне створення винятків для додатків
При запуску на комп'ютері програми, яка має прослуховувати певний порт, очікуючи підключення до нього з мережі, файрвол виведе на екран запит, приклад якого показано нижче.
Користувачеві надається наступний вибір:
Вибір Відкласти оптимальний, якщо немає впевненості в тому, що за програму намагається відкрити порт, і чи буденормально працювати система після відмови додатку у відкритті порту. В принципі, можна заблокувати спробу відкриття порту програмою і якщо вибір буде невірним, то згодом можна буде виправити автоматично виняток вручну.
Створення винятків для програм вручну
Якщо заздалегідь відомо програму, яка має приймати вхідні підключення з мережі, то для неї можна створити виняток вручну. Для цього потрібно відкрити вікно налаштування файрвола та вибрати вкладку Винятки.
Щоб створити виняток, потрібно натиснути кнопку Додати програму. . відкриється вікно, приклад якого показано нижче.
У цьому вікні у списку програм перелічені програми, встановлені на комп'ютері. Якщо програма, якій потрібно дозволити приймати вхідні підключення, відсутня у списку, за допомогою кнопки Огляд можна вказати шлях до неї. Після натискання кнопки OK виняток буде створено та додано до списку, де буде позначено прапорцем, який говорить про те, що це правило дозволяє вказаній програмі відкривати порти та чекати на підключення з мережі. Якщо потрібно заборонити програмі відкривати порти, прапорець необхідно зняти.
Створення винятків для портів
Файрвол надає можливість відкрити будь-який порт, дозволивши, таким чином, встановлювати з'єднання з мережі з сервісом, що працює на порту, що відкривається. Щоб відкрити порт, потрібно у вікні виключень натиснути кнопку Додати порт. . Приклад вікна додавання порту до списку винятків показано нижче.
У цьому вікні необхідно вказати протокол і номер порту, підключення якого з мережі файрвол не блокуватиме. У полі ім'я потрібно ввести короткий опис причини, за якою порт був відкритий, щоб після закінченняЧасом непотрібне правило можна було легко знайти і видалити або виправити.
Додаткові налаштування файрволу
Додаткові параметри файрволу можна отримати на вкладці Додатково головного вікна налаштування файрволу.
Тестування файрволу
Конфігурація тестового комп'ютера, програмне забезпечення, що використовується під час тестування
Після встановлення Service Pack 2 у налаштуваннях файрвола було вимкнено всі винятки, створені за замовчуванням.
Використання програми пам'яті та завантаження процесора
Для оцінки поведінки файрвола у важких умовах, коли машина під його захистом атакована локальною мережею, було виконано ряд тестів. У ході атаки на тестову машину знімалися свідчення про обсяг зайнятої сервісом файрвола пам'яті та завантаження ним процесора.
| Момент зняття показань | Обсяг зайнятої пам'яті | Завантаження процесора | |
| Фізична пам'ять (кілобайт) | Віртуальна пам'ять (кілобайт) | ||
| Після завантаження ОС | 17 100 | 11 386 | 0% |
| Після сканування за допомогою Retina | 17 196 | 11 376 | 0%-5% |
| ICMP-флуд протягом 5 хвилин | 17 292 | 11 364 | 0%-1% |
| IGMP-флуд протягом 5 хвилин | 17 314 | 11 402 | 10%-25% |
| SYN-флуд протягом 5 хвилин | 18 180 | 12 248 | 10%-100% |
| UDP-флуд протягом 5 хвилин | 17 348 | 11 420 | 0%-31% |
Результати тестів свідчать про відсутність витоків пам'яті та демонструють, що навіть при атаці по локальній мережі, де швидкість передачі даних у кілька разів вища, ніжпри роботі в інтернеті проблем зі зниженням продуктивності комп'ютера під захистом файрвола немає. Під час SYN-флуда завантаження процесора було максимальним, але роботу на комп'ютері можна було продовжувати.
Сканування системи сканером безпеки Retina
Тестова машина була просканована сканером уразливостей Retina при включеному та вимкненому файрволі. Результати сканування відображаються в таблиці нижче.
Результати сканування показують, що включення файрвола закриває відкриті порти та приховує комп'ютер у мережі.
Он-лайн тест файрвола
Вбудований файл Windows XP SP2 не зміг припинити відправлення цих даних. Утиліта перехопила введений у Блокноті текст і без будь-яких перешкод і оповіщень з боку файрвола відправила їх на свій сервер, що було підтверджено сторінкою, що відкрилася, з усією зібраною інформацією.
Вбудований у Windows XP SP2 файрвол досить надійний, але контролює лише вхідні з'єднання, залишаючи поза увагою вихідні. Тому при використанні захисту комп'ютера вбудованого файрвола потрібно бути дуже уважним при відкритті файлів, отриманих з мережі. Вірус або шпигунське програмне забезпечення зможе без проблем відправити дані на сервер розробника і припинити його роботу вбудований файрвол не зможе.
З одного боку, робота, виконана командою Microsoft над вбудованим файрволом, істотна, з іншого – відсутність повного контролю за трафіком ставить під сумнів доцільність використання вбудованого файрвола взагалі. Хочеться сподіватися на те, що Microsoft наважиться в майбутніх пакетах виправлень або нових версіях операційної системи розширити функціональні можливості файрвола і він зможе контролювати весь трафік, а не лише вхідний. Нинішня версія вбудованого файрволуможе розглядатися лише як універсальне рішення для захисту від деяких типів вірусів та обмеження доступу до сервісів операційної системи.