Лаборатория БЭСМ

!! Мы работаем С 11 до 19 часов ежедневный день, кроме СУББОТЫ и ВОСКРЕСЕНЬЯ !!

Персональный файрвол ZoneAlarm Pro 5

Персональный файрвол ZoneAlarm Pro 5.5

ZoneAlarm Pro является персональным файрволом и предназначен для обороны компьютера от различного рода угроз при работе в интернете и в локальных сетях. ZoneAlarm ограничивает доступ к компьютеру из сети и позволяет контролировать доступ в сеть программного обеспечения, обыкновенного на компьютере. Помимо этого, он может контролировать исходящие известные и пресекать отправку худой информации по почте или через web-интерфейс. ZoneAlarm контролирует входящую и исходящую почту. Во входящей почте он может переименовывать потенциально непрочные вложения и помещать их на карантин. Число исходящей почты может быть ограничено для предотвращения массовых рассылок при заражении компьютера почтовыми червями, что в сумме с контролем за добавлениями препятствует работе червей. Файрвол может удалять с посещаемых страниц рекламу, экономя трафик и уменьшая время загрузки страниц. Блокировка скриптов и активного содержимого поможет предотвратить заражение компьютера при посещении определенных веб-сайтов.

Приобрести продукт можно на сайте Zone Labs.

Установка ZoneAlarm

После запуска файла установки ZoneAlarm необходимо ввести свое имя и почтовый адрес, на который могут приходить известия об обновлениях продукта и новости. ZoneAlarm необходимо зарегистрировать на сайте ZoneLabs.

Затем необходимо принять положения лицензионного соединения. После этого файлы ZoneAlarm будут скопированы и на заключительном этапе установки нужно ответить на несколько уроков мастера.

По окончании установки можно запустить ZoneAlarm. На экран будет выведено окно менеджера лицензий, образчик которого показан ниже.

Нажав кнопку Buy Now можно перейти в он-лайн лабаз Zone Labs для покупки продукта. Щелкнув по ссылке To begin or continue your trial, click here можно начать использовать ZoneAlarm в демонстрационном строе. Если продукт был приобретен ранее, то при помощи заключительного посредника меню можно ввести регистрационный источник.

После этого будет открыто окно, в котором рассказывается об основных настройках и законах работы ZoneAlarm. Образец этого окна показан ниже.

Настройка ZoneAlarm после первого запуска выполняется мастером, первое окно которого представлено ниже.

В этом окне предлагается определить, в любой сети в известный момент находится компьютер, и любой уровень обороны должен применяться при нахождении компьютера в этой сети. После того, как отбор сделан, откроется главное окно программы.

Интерфейс

Главное окно ZoneAlarm продемонстрировано ниже.

На этой вкладке собрана статистика работы файрвола, информация и нем и всеобщие настройки. В всеобщих настройках можно сменить колер интерфейса, защитить настройки файрвола лозунгом, выбрать вид его запуска, сохранить резервную копию настроек и так далее.

В верхней части окна показаны значки активных добавлений, и при помощи щелчка мыши по желтому замку можно оперативно заблокировать их доступ в сеть. Левее показана зона, в какой в известный момент работает компьютер. При помощи красной конки Stop можно заблокировать весь трафик.

Настройки файрвола

Образчик вкладки настроек файрвола показан на рисунке ниже.

При помощи ползунков можно изменить уровень обороны для каждой из зон. От максимального, когда запрещены входящие объединения и компьютер скрыт в сети, до минимального, когда файрвол отключен. При помощи кнопки Custom можно тонко настроить ежедневный из уровней обороны.

Кнопка Advanced открывает окно, показанное ниже.

В неких компаниях помощники обязаны использовать для выхода в интернет ZoneAlarm. В этом инциденте, отметив посредник Automatically check the gateway for security enforcement, можно включить авторизацию ZoneAlarm на шлюзе. Если у заказчика не установлен ZoneAlarm, то в доступе к интернету через корпоративный шлюз ему будет отказано.

Группа настроек Internet Connection Sharing предназначена для настройки ZoneAlarm при использовании ICS (Internet Connection Sharing, всеобщий доступ к подключению). This is a client of an ICS/NAT указывает ZoneAlarm на то, что он работает на компьютере, который является заказчиком ICS, а This computer is an ICS/NAT gateway - на то, что компьютер под обороной ZoneAlarm сам является шлюзом. Использование ZoneAlarm на заказчиках и на шлюзе позволяет перенаправлять события, происходящие на шлюзе, на компьютер заказчика.

Группа настроек General Settings позволяет настроить расширенные параметры обороны, а переключатель Network Setting предназначен для отбора вида реакции файрвола на работу в новой сети (занести небывалую подсеть в доверенную зону или в зону интернета или вывести мастер для ручного определения зоны новой подсети).

На вкладке Zones (зоны) можно добавить в список адреса, диапазоны адресов или подсети и указать, в любой зоне находятся эти компьютеры: в доверенной (Trusted) или в запрещенной (Blocked). Исходя из этих определений, объединения с этими компьютерами либо можно будет устанавливать, либо нет.

На вкладке Expert можно вручную создать начала фильтрации пакетов. Настройки правил очень упругие. Можно указать отправителей, получателей, протоколы, порты, ранг (начала с меньшим рангом обрабатываются раньше), можно включить или выключить начало, выбрать вид (блокирующее или разрешающее), указать временной диапазон, в котором начало будет работать, выбрать вид извещения о срабатывании начала (вывод известия на экран и/или запись в лог или ничего). Для получателей, отправителей, протоколов и времени работы начала можно создать группу, какую потом можно будет использовать в иных началах. Подобным ликом, настроек вполне достаточно для изделия начала фильтрации пакетов сложности, причем, одним началом можно настроить работу добавления, которое использует для работы в сети несколько протоколов (TCP, UDP), несколько портов и может устанавливать объединения с несколькими серверами в некие определенные промежутки времени. Подобная гибкость настроек, в сумме с возможностью сохранить вместе с началом его изображение, позволит сократить число правил для изображения работы большого числа добавлений и облегчить работу с началами.

Настройки контроля программ

Просмотреть и настроить контроль над доступом добавлений и их компонентов в сеть можно на вкладке Program Control, образчик какой показан на рисунке ниже.

При помощи ползунка Program Control можно менять уровень контроля над доступом программ в сеть, а также уровень контроля над компонентами программ. На максимальном уровне, при попытке добавления выйти в сеть, будет выдаваться запрос о разрешении доступа и будет включен контроль компонентов. Этот уровень рекомендуется включать лишь после длительной работы в строе Medium, когда уже созданы начала для большинства часто используемых добавлений.

Настройка AlertAdvisor предназначена для отправки запросов на сервер Zone Labs для получения дополнительной информации о программе, какая пытается выйти в интернет. Если есть препятствия при отборе деяния, которое должен выполнить файрвол с запросом программы на доступ в интернет (Allow, Deny), то можно передвинуть ползунок в расположение Manual. Теперь при нажатии кнопки More Info в запросе файрвола, будет открыта страница на сервере Zone Labs, на какой будут даны рекомендации о том, что ответить на запрос файрвола. Положением работы этой опции является разрешающее начало на доступ браузера в сеть. Если ползунок AlertAdvisor переместить в расположение Automatic, то файрвол запросит с сервера Zone Labs информацию о добавлении, и если программа будет найдена в базе известных, то файрвол автоматически разрешит или запретит ее доступ в сеть.

Настройка Automatic Lock позволяет заблокировать работу добавлений в интернете при длительной неактивности пользователя. Дополнительные настройки этой опции можно просмотреть или изменить, нажав кнопку Custom.

Образчик вкладки Programs (программы) показан ниже.

Для ежедневного добавления, перечисленного в этом списке, есть возможность определить уровень доступа в сеть. Причем, уровень доступа задается раздельно при работе в доверенных сетях или в интернете. Для ежедневного добавления можно разрешить, запретить или задать вывод запроса при попытке выйти в сеть, открыть порт на прослушивание или отправить почту. Заключительный столбец с изваянием замка предоставляет программе доступ в сеть даже когда для всех добавлений доступ в сеть закрыт при помощи большого замка в верхней части ежедневного окна файрвола.

При работе с этой вкладкой были обнаружены трудности с кириллицей. Задача достаточно стандартная и о методе ее решения речь пойдет ниже.

Выделив добавление в списке и нажав кнопку Options, можно изменить уровень доступа добавления в сеть. На вкладке Expert Rules можно настроить доступ добавления в сеть определенным ликом.

Начала для добавлений создаются по аналогии с фильтром пакетов. Настройки очень упругие и позволяют в одном начале указать сколь угодно затейливую конфигурацию доступа добавления в сеть.

Вкладка Components показана на рисунке ниже.

На этой вкладке перечислены компоненты добавлений, за какими файрвол наблюдает. По мерке работы с файрволом этот список будет увеличиваться. Нажав кнопку More Info можно обратиться к базе компонентов на сервере Zone Labs, и если изображение компонента в базе будет обнаружено, то ознакомиться с его изображением, исходя из которого, решить, предоставлять компоненту доступ в сеть или нет.

Мониторинг за положением антивируса

ZoneAlarm может следить за положением антивируса. Эта функция дублирует подобную Очага обеспечения безопасности Windows и поэтому особенного барыша не представляет.

К оглавлению

Оборона почты

Вкладка настроек обороны почты показана на рисунке ниже.

На этой вкладке настроек файрвола настраивается оборона входящей и исходящей почты.

При помощи переключателя Inbound MailSafe Protection можно включить поиск и блокирование во входящей почте вложений с определенными расширениями, которые перечислены на вкладке Attachments. При получении послания с небезопасным вложением, ZoneAlarm изменит расширение вложения на .zlv и при попытке открыть это вложение выведет на экран предостережение.

Используя кнопки в этом окне можно запустить вложение, сохранить его на диске, просмотреть содержимое в Блокноте или отказаться от изобретения вложения.

При помощи переключателя Outbound MailSafe Protection можно включить оборону исходящей почты. Если эта оборона включена, то ZoneAlarm будет контролировать попытки добавлений отправить почту и выводить на экран заслуженные запросы. добавлению в настройках контроля добавлений можно разрешить отправку почты без запросов.

При помощи кнопки Advanced можно включить отслеживание попыток добавлений отправить за малый промежуток времени большое число писем или попыток отправить одно послание большому числу получателей. Здесь же можно включить проверку исходящих писем на наличие в них адреса отправителя, которое отсутствует в списке разрешенных адресов. Все эти настройки позволяют обнаруживать и пресекать работу вирусов, которые после заражения компьютера используют его для рассылки своих копий по почте.

Анонимность

При помощи ползунка Cookie Control можно изменять уровень блокирования куков, от максимального, когда блокируются все куки, до минимального, когда все куки принимаются. Ползунок AdBlocking регулирует уровень подавления рекламы на посещаемых страницах, а переключатель Mobile Code Control включает или отключает исполнение скриптов и другого активного содержимого на посещаемых страницах. Ежедневный из этих модулей может быть дополнительно настроен при помощи кнопки Custom. Блокирование рекламы настроить тонко невозможно, так как отсутствует список блокируемых линий или размеров изваяний.

На вкладке Site List находится постоянно пополняемый список сайтов, которые были посещены c хотя бы одним включенным модулем обеспечения анонимности. Для ежедневного из сайтов можно задать личные настройки блокирования содержимого.

На вкладке Cache Cleaner можно очистить кэш браузера (IE, Netscape) и настроить его автоматическую очистку. При помощи Clean Tracking Cookies можно воспользоваться он-лайн сканером сайта Zone Labs для поиска на компьютере куков и их будущего удаления. При помощи кнопки Custom выбираются объекты, которые будут очищаться. Это может быть список заключительных открывавшихся файлов, корзина, папка для скоротечных файлов, история поиска, меню Run, Media player-а, фрагменты файлов, сохраненных Scandisk-ом при проверке диска, вся история заполнения полей, линий адреса браузера и так далее.

ID Lock (оборона личной информации)

ZoneAlarm предоставляет в распоряжение пользователя снаряд, с помощью которого пользователь способен обеспечить безопасность личной информации, хранящийся на компьютере, и защитить ее от утечки.

На вкладке myVAULT нужно добавить в список последовательности знаков, которые будет защищать ZoneAlarm. Введенная защищаемая последовательность хранится в зашифрованном по стандарту SHA-1 лике. На вкладке Trusted Sites можно добавить в список сайты и задать деяние, которое будет выполнять файрвол при попытке отправить на них защищенные последовательности (блокировать, разрешить, спросить).

Отчеты о работе

На этой вкладке настраивается система извещений и отчетов файрвола.

При помощи переключателей в этом окне можно включить или выключить ведение отчетов о событиях, произошедших во время работы файрвола и настроить уровень детализации информации, записываемой в отчеты. Здесь же настраивается уровень важности событий, о каких файрвол будет оповещать всплывающими известиями.

При помощи кнопки Advanced можно выбрать определенные события, о каких файрвол будет уведомлять всплывающими известиями, настроить лик значка в трее, настроить изделие архивных копий отчетов работы программы, настроить их формат и частоту архивирования.

События, происходившие во время работы файрвола, можно просмотреть на вкладке Log Viewer.

Тестирование ZoneAlarm Pro

Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании

• Celeron Tualatin 1000A на раме 133, т.е. частота процессора 1333 мегагерца.
• Материнская плата Asus TUSL-2C, BIOS ревизии 1011.
• 512 мегабайт оперативной памяти, работающей на частоте 133 мегагерца.
• Винчестер Seagate Barracuda 4 80 гигабайт в строе UDMA5.
• Windows XP Pro Rus Service Pack 2.
• 10 мегабитная сеть из двух компьютеров.
• Сканер уязвимостей
• Утилита для сетевого флуда по ICMP, IGMP, TCP, UDP.
• Internet Explorer 6.0.2900.2180.
• Outlook Express 6.0.2900.2180.
• Почтовый, прокси серверы, выделенная неудача для доступа в интернет.
• Process Explorer от .
• Утилита PCAudit2.

Использование программой памяти и загрузка процессора

В ходе тестирования ZoneAlarm при помощи Process Explorer регулярно снимались известия об объеме занятой спорами программы памяти и о загрузке ими процессора. Результаты приведены в таблице ниже.

Выгрузить файрвол можно щелкнув правой кнопкой мыши по значку в трее и выбрав из меню посредник Shutdown ZoneAlarm Pro. Файрвол выгружается из памяти полностью.

Сканирование системы сканером уязвимостей XSpider

Тестовая машина была просканирована сканером уязвимостей XSpider 7. Настройки файрвола были оставлены по умолчанию. Подсеть, в какой находилась тестовая машина, была включена в зону Интернет, для какой, по умолчанию, был выбран Возвышенный (High) уровень обороны. В сканере был выбран профиль Исполненный, включая неотвечающие хосты.

Во время сканирования файрвол выводил на экран предостережения о блокировке доступа к компьютеру, образчик которого представлен ниже.

Сканер ни по каким знакам не смог обнаружить присутствия тестового компьютера в сети.

Он-лайн тест файрвола

Для тестирования файрвола на свойство контроля им добавлений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в добавлении (например, в Блокноте) ввести несколько выражений или зайти на сайт, требующий авторизации и ввести имя пользователя и лозунг. Утилита перехватывает вводимые известные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IP-адрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными известными и наглядно демонстрирует то, любая информация может быть получена хакером, взломавшим систему.

Перед тестированием при помощи IE был посещен строй сайтов. При изобретении первого сайта файрвол предложил создать начало, которое разрешало бы браузеру запрашивать информацию с сайтов, что и было сделано. Уровень контроля программ в ZoneAlarm был оставлен по умолчанию, то есть, в расположении Medium (средний). Затем была запущена утилита PCAudit2. Она без задач перехватила введенную информацию и отправила ее на свой сервер, что было подтверждено на открывшейся странице.

Для повторного тестирования уровень контроля программ в ZoneAlarm был повышен до возвышенного (High), в списке компонентов найдено и удалено начало, которое разрешало доступ в сеть временной библиотеки, созданной PCAudit2.

После этого утилита была запущена вновь. Файрвол вывел на экран известие о том, что браузер или его компоненты хотят получить доступ в сеть.

Для выяснения того, что же за небывалые компоненты браузера пытаются получить доступ в сеть, была нажата кнопка Details.

Файрвол указал на безызвестную библиотеку. После того, как окно с дополнительной информацией об изменившихся компонентах было закрыто, доступ в сеть добавлению был заблокирован (Deny). PCAudit2 начинания перебирать все работающие добавления, пытаясь от их имени выйти в интернет. Файрвол ежедневную попытку обнаруживал и выводил на экран известие об изменении компонентов или о попытке выйти в сеть добавления, которому там явно делать нечего (текстовый и графический редактор). На все запросы файрвола о необходимости разрешить доступ было отвечено отказом (Deny). После этого утилита сообщила, что тест пройден успешно и отправка известных пресечена.

Подобным ликом, ZoneAlarm пресекает работу PCAudit2, качественно и без излишних известий контролирует компоненты и добавления, но делает это лишь на возвышенном (High) уровне контроля добавлений.

Атака на тестовую машину по сети

Для выполнения этого теста была использована утилита, какая использует всю пропускную способность канала для веяния на атакуемую машину большого потока известных разного вида по различным протоколам. Тест наглядно демонстрирует поведение файрвола в экстремальных положениях.

В таблице "Использование программой памяти и загрузка процессора" приведены результаты теста.

Во время ICMP-флуда объем занятой памяти увеличился незначительно и оставался стабильным на протяжении всего теста. Загрузка процессора большую часть времени находилась в районе 1% и лишь в настоящем начинании теста было зафиксировано значение 4%.

IGMP-флуд вызвал подобную же малую загрузку процессора, а объем занятой файрволом памяти на протяжении всего теста не изменялся.

TCP-флуд вызвал загрузку процессора до значений в 31% и незначительное увеличение занятой файрволом памяти.

UDP-флуд показал подобные же результаты, как и прежние тесты.

Тестирование обороны личной информации

Для тестирования свойства контроля файрволом отправляемой личной информации в настройки модуля ID Lock была добавлена линия, содержащая последовательность 12345qw, какую файрвол должен был защитить от утечки. Уровень обороны ID Lock был увеличен до возвышенного (High).

При отправке на форум известия, содержащего линию 12345qwerty, линия была изменена на *******erty. Подобным ликом была пресечена попытка отправить защищаемую линию по почте. Получатель увидел в послании лишь *******erty. Отправка 12345qwerty через Миранду (аналог ICQ) прошла для ZoneAlarm незамеченной, и получатель известия увидел 12345qwerty. По информации с сайта Zone Labs, проверка трафика программ для спора известиями работает в версии ZoneAlarm Security Suite и IMsecure Pro.

Мнение

Значения

• Размер дистрибутива 6,34 мегабайта.
• Достаточно воздержанные системные домогательства (маленький объем занятой памяти, не возвышенная загрузка процессора при серьезных нагрузках).
• Упругие настройки правил для добавлений и для фильтрации пакетов позволяют создавать начала дельно сложности. Начала могут работать в определенном скоротечном интервале.
• Качественный контроль добавлений и их компонентов.
• Возможность обратиться к базе на сайте Zone Labs для получения изображений распространенных компонентов, добавлений и помощи в отборе вариантов отзыва на запросы файрвола.
• При закрытии ZoneAlarm выгружаются все компоненты файрвола, освобождая все занятые им ранее системные доходы.
• Продуманный интерфейс, при работе с которым не должно возникнуть препятствий даже у неподготовленного пользователя. В то же время, для продвинутых пользователей, есть возможность создавать начала вручную.
• Возможность автоматически включать небывалые сети в зону Интернета, для какой могут быть настроены взыскательные начала. Это защитит компьютер неподготовленного пользователя при его работе в чужих сетях и снимет с него необходимость принятия решения о том, в любую зону следует включить небывалую подсеть при первом подключении к ней.
• Для доверенной зоны (например, корпоративной локальной сети пользователя) файрвол может быть выключен при помощи установки малорослого (Low) уровня обороны. В тоже время, для зоны интернета файрвол может быть включен. Это снимает с пользователя заботу о необходимости включать файрвол при подключении к чужой сети.
• Возможность раздельно указывать в началах для добавлений, что добавление может открывать порт на прослушивание и/или только запрашивать информацию с сервера. При помощи правил для добавлений можно управлять доступом к отверстому порту, разрешая его только с определенных адресов.

Недостатки

• Интерфейс, справочная система и сайт ZoneAlarm на английском диалекте.
• Во время работы, когда в путях к компонентам или программам встречается кириллица, ZoneAlarm выводит такой текст в нечитаемом лике. Для решения этой задачи (достаточно распространенной, какая может быть обнаружена и у другого нелокализованного программного обеспечения) нужно открыть редактор реестра, переместиться к источнику HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\CodePage, найти переменную 1252 и изменить ее значение с c_1252.nls на c_1251.nls. После этого необходимо перезагрузить компьютер. Теперь кириллица будет отображаться в ZoneAlarm правильно.
• При изделии правил и заполнении иных полей невозможно переключиться на русскую раскладку. Поэтому все объяснения и комментарии придется вводить на русском в Блокноте, например, и вставлять их в заслуженные поля ZoneAlarm, либо делать объяснения на английском диалекте.
• Нет возможности вручную добавить сайты, черты и размер изваяния в настройки модуля подавления рекламы. ZoneAlarm блокирует рекламу на посещаемых сайтах, руководствуясь своими, предопределенными началами, а они достаточно часто пропускают рекламу. Подавить дельно рекламу, все же, можно. Для этого в модуле контроля программ нужно для браузера создать запрещающее начало, в котором указать, что родником может быть хост, а получателем - хост с рекламным движком. После этого с посещаемых страниц пропадают оставшиеся баннеры, но на их пространстве остаются светлые прямоугольники размером с баннер, чего нет при работе модуля подавления рекламы ZoneAlarm.

Ссылки

• Платы и он-лайн покупка ZoneAlarm Pro на сайте Zone Labs
• Загрузка 15-ти дневной ознакомительной версии

Вывод

Результаты тестирования говорят о том, что ZoneAlarm надежный файрвол. Он качественно контролирует работу добавлений, отслеживая изменения их компонентов, блокирует утечки частной информации и позволяет очень гибко управлять трафиком, настраивая начала фильтрации. Концепция раздельного управления зонами безопасности (доверенные сети или интернет) делает возможной работу в безопасной сети на минимальном уровне обороны, а при подключении к чужой сети автоматически активизировать максимальный. Ежедневному добавлению можно раздельно для различных зон безопасности разрешить или запретить открывать порты на прослушивание, получать доступ в сеть и отправлять почту. ZoneAlarm занимает немного оперативной памяти и при обычной работе дельно не использует процессорного времени. Во время тестовой атаки на машину под обороной файрвола не было выявлено задач в его работе. Проверка сканером уязвимостей подтвердила, что машина под обороной файрвола надежно скрыта в сети и доступ к каким-либо сервисам, работающим не в ней, отсутствует. К раскаянию, выяснилось, что ZoneAlarm некорректно отображает кириллицу, но эта неприятность легко устранима при помощи рекомендации, данной выше.