Сравнительный анализ персональных брандмауэров

Размещено на http://www.allbest.ru/

Федеральное агентство по образованию

ГОУ ВПО Ростовский государственный экономический университет (РИНХ)

Кафедра Экономической информатики и автоматизации управления

Курсовой проект

По дисциплине: «Информационная безопасность»

На тему: «Сравнительный анализ персональных брандмауэров»

Автор проекта:

студент гр. ПИЭZ - 341 А.А. Жук

Руководитель проекта:

ст. преподаватель, к.п.н. В.А. Григоренко

Ростов-на-Дону 2014

Содержание

Введение

1. Общее описание брандмауэров

1.1 Пакетный уровень

1.2 Прикладной уровень

1.3 Уровень соединения

2. Функции брандмауэров

3. Недостатки брандмауэров

3.1 Разрозненность систем защиты

3.2 Отсутствие защиты для нестандартных или новых сетевых сервисов

3.3 Снижение производительности

4. Общие принципы настройки Firewall

5. IDS (Система Выявления Атак)

6. Система контроля целостности ПО и конфигурации

7. Система мониторинга и оповещения о неисправностях

8. Система удаленного администрирования

9. Тестирование Firewall

10. Краткое описание лидеров тестирования

Вывод

Введение

Сеть -- источник полезной и интересной информации. Но Всемирная паутина может быть довольно опасной -- мы постоянно слышим о взломах корпоративных сетей и о краже банковских счетов. Неплохой преградой на пути хакеров являются брандмауэры -- программы, которые блокируют несанкционированную передачу информации по Сети и препятствуют запуску вредоносных программ.

Мало кто сегодня не слышал об угрозах, существующих в виртуальном пространстве. Пока еще остается непреложным тот факт, что компьютер, подсоединенный к сети Интернет, может подвергнуться реальным атакам. К сожалению, нередко встречаются неадекватные или незаконопослушные люди (часто в одном лице), патологически не способные существовать без того, чтобы не портить жизнь другим. Тех из них, которые разбираются в компьютерах и знают, как получить удаленный доступ к файлам, называют хакерами. Чтобы защититься от них, нам прежде всего нужен хороший брандмауэр.

Перечислим основные опасности, существующие в Сети:

1. Приложения-нарушители могут «поселиться» и запускаться на вашем компьютере незаметно для вас (например, ActiveX или Java-апплеты, внедренные в web-страницу, которую вы просматриваете). Эти приложения могут выполнить любую операцию на вашем компьютере, в том числе переслать файлы с вашей частной информацией другим компьютерам или вообще удалить данные из вашей системы. 2. При неправильной настройке системы другие компьютеры могут получить доступ к вашим файлам напрямую, без загрузки специального программного обеспечения. 3. Некоторые виды информации (cookies или referrers) могут быть размещены на вашем компьютере таким образом, что заинтересованные лица смогут следить за вашими действиями в Сети и будут знать о ваших интересах. 4. Троянские кони также представляют угрозу компьютеру. «Троянцы» -- это программы, используемые хакерами, которые раскрывают вашу частную информацию (пароли, реквизиты, номера кредитных карт). Одно из главных различий между «троянцем» и вирусом -- это то, что вирус действует на компьютере автономно, а троянский конь напрямую управляется взломщиком из Сети. 5. Интернет-черви обычно проникают в компьютер вместе с почтой, в виде вложений. Некоторые почтовые программы открывают вложения самостоятельно. Неопытные пользователи, не осознавая угрозы, открывают вложения сами. Если открыть такое послание хотя бы один раз, то выполняющийся «червь» начнет стремительно поражать систему. 6. Масса ненужного трафика в виде баннеров и сообщений снижает пропускную способность компьютера. Хотя эти объекты не могут нанести прямой вред данным, они значительно замедляют скорость соединения, особенно осуществленного посредством телефонной линии. 7. Шпионские программы во многом похожи на «троянцев». Они собирают сведения о ваших интересах (посещаемые сайты, установленное программное обеспечение и т.д.) без вашего ведома и согласия.

В настоящее время большинство локальных вычислительных сетей (ЛВС) подключены к сети Интернет. Однако отсутствие эффективных средств защиты информации в существующих сетевых протоколах приводит к различным нарушениям целостности передаваемых данных. Поэтому расширение спектра и повышение требований к уровню конфиденциальности сетевых приложений обусловливает необходимость использования специальных технических средств разграничения доступа к информационным ресурсам и контроля обмена данными между различными компьютерными сетями.

В качестве таких средств защиты широко применяются межсетевые экраны, называемые в англоязычной литературе firewall.

1. Общее описание брандмауэров

брандмауэр компьютер сетевой firewall

Брандмауэр (firewall, межсетевой экран) -- это система, позволяющая разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения информации из одной части в другую. Брандмауэры представляют собой целый класс систем, порой сопоставимых по сложности с операционной системой. Классифицировать их можно по исполнению: программные, аппаратные и смешанного типа (аппаратно-программного); по компонентной модели: локальные (работающие на одном хосте) и распределенные (distributed firewall). Однако самой «полезной» является классификация с точки зрения уровня, на котором функционируют брандмауэры: пакетный уровень, прикладной, уровень соединения.

Разбивка на уровни является условной, что подразумевает возможность работы отдельно взятого брандмауэра более чем на одном уровне одновременно. Можно сказать, что практически все современные брандмауэры функционируют сразу на нескольких уровнях, стремясь расширить функциональность и максимально использовать преимущества работы по той или иной схеме. Такая технология получила название Stateful Inspection, а брандмауэры, работающие по смешанной схеме, называются Stateful Inspection Firewall.

1.1 Пакетный уровень

Работа на пакетном уровне заключается в фильтрации пакетов. Решение о том, пропускать данный пакет или нет, принимается на основе следующей информации: IP-адреса, номера портов отправителя и получателя, флаги. По сути, задача администратора сводится к составлению простенькой таблицы, на основании которой осуществляется фильтрация.

Преимущества пакетного уровня: низкая стоимость; высокая производительность.

Недостатки: - сложность конфигурирования и поддержки; - отсутствие дополнительных возможностей; - рухнувшая сеть остается открытой (не защищенной); - не защищены от фальсификации IP- и DNS-адреса.

1.2 Прикладной уровень

Фильтрация на уровне пакетов, конечно, очень проста, но нередко ее бывает явно недостаточно. Информации сетевого и транспортного уровня модели OSI иногда не хватает для эффективной работы, что обусловливает существование систем, работающих на самом верхнем уровне -- прикладном. Фактически брандмауэры данного уровня предоставляют собой несколько отдельных подсистем (так называемых application gateways -- серверов прикладного уровня), по числу обслуживаемых сервисов. Между пользовательским процессом и нужным сервисом возникает посредник, пропускающий через себя весь трафик и принимающий в рамках установленной политики безопасности решение о его легитимности. Как правило, современные брандмауэры поддерживают практически весь спектр существующих сервисов -- HTTP, FTP, SMTP, POP3, IMAP, Telnet, Gopher, Wais, Finger, News, -- позволяя либо полностью блокировать тот или иной сервис, либо же ввести некоторые ограничения. Такая схема работы обеспечивает ряд дополнительных возможностей в области безопасности: во-первых, маскируется структура защищаемой сети; во-вторых, появляется возможность более гибко управлять доступом -- например через предоставление разных прав отдельным категориям пользователей и т.д.

Преимущества прикладного уровня: - маскировка защищаемой сети; - широкие возможности (усиленная аутентификация, детальное протоколирование); - рухнувшая сеть остается заблокированной (защищенной).

Недостатки: - высокая стоимость; - низкая производительность.

1.3 Уровень соединения

Шлюз на уровне соединения представляет собой систему, транслирующую соединения вовне. При установлении доступа пользовательский процесс соединяется с брандмауэром, который, в свою очередь, самостоятельно устанавливает соединение с внешним узлом. Во время работы брандмауэр просто копирует входящую/исходящую информацию. По большому счету данный шлюз надо рассматривать не как самостоятельный и самодостаточный механизм, а лишь как специфическое решение некоторых задач (например, для работы с нестандартными протоколами, если необходимо создать систему сбора статистики для какого-то необычного сервиса, предоставить доступ только к определенным внешним адресам, осуществить базовый мониторинг и т. д.).

К сожалению (или к счастью), уже существуют системы, специально предназначенные для обхода такого рода ограничений. Они позволяют общаться посредством ICQ или IRC, использовать FTP и Usenet, забирать почту с внешних серверов POP3 и IMAP (возможность отправки не предоставляется). Способ обхода незатейлив: трафик туннелируется в протокол HTTP (который, как правило, не блокируется), а конвертация происходит на внешних прокси-серверах, которые устанавливают соединения с необходимыми службами по соответствующим протоколам. Такая схема также дополнительно предоставляет следующую возможность: IP-адрес пользователя маскируется, обеспечивая определенную анонимность.

2. Функции брандмауэров

Идеальный персональный брандмауэр должен выполнять шесть функций:

1. Блокировка внешних атак: в идеале брандмауэр должен блокировать все известные типы атак, включая сканирование портов, IP-спуффинг, DoS и DDoS, подбор паролей и пр.

2. Блокировка утечки информации. Даже если вредоносный код проник в компьютер (не обязательно через сеть, а, например, в виде вируса на купленном пиратском CD), брандмауэр должен предотвратить утечку информации, заблокировав вирусу выход в сеть.

3. Контроль приложений Неизбежное наличие открытых дверей (то есть открытых портов) является одним из самых скользких мест в блокировке утечки информации, а один из самых надежных способов воспрепятствовать проникновению вирусов через эти двери -- контроль приложений, запрашивающих разрешение на доступ. Кроме банальной проверки по имени файла, весьма желательна проверка аутентичности приложения.

4. Поддержка зональной защиты Работа в локальной сети часто подразумевает практически полное доверие к локальному контенту. Это открывает уникальные возможности по использованию новейших (и, как правило, потенциально опасных) технологий. В то же время уровень доверия к Интернет - контенту значительно ниже, а значит, необходим дифференцируемый подход к анализу опасности того или иного содержания.

5. Протоколирование и предупреждение брандмауэр должен собирать строго необходимый объем информации. Избыток (равно как и недостаток) сведений недопустим. Возможность настройки файлов регистрации и указания причин для привлечения внимания пользователя приветствуются.

6. Максимально прозрачная работа Эффективность и применяемость системы часто обратно пропорциональны сложности ее настройки, администрирования и сопровождения. Несмотря на традиционный скепсис в отношении «мастеров» (wizards) по настройке и прочих буржуйских штучек, даже опытные администраторы не пренебрегают ими просто в целях экономии времени.

3. Недостатки брандмауэров

Нельзя забывать и об обратной стороне медали, о недостатках, причем не отдельных решений, а всей технологии в целом

3.1 Разрозненность систем защиты

Это одна из самых важных проблем, решить которую пытаются немало поставщиков, но пока без особого успеха. Во многих брандмауэрах отсутствует защита от саботажа со стороны авторизованных пользователей. Этот вопрос можно рассматривать с этической, социальной или любой другой точки зрения, но сути дела это не меняет -- брандмауэры не способны запретить авторизованному пользователю украсть (передать вовне, уничтожить, модифицировать) важную информацию. И хотя уже давно существуют другие решения (например, разграничение доступа и пр.), проблема заключается в разрозненности всех подобных систем, которые по сути должны выполнять одну и ту же функцию. Пока антивирусные программы, системы обнаружения вторжений, разграничения доступа и др. не получат единого центра управления, эффективность каждой из них можно смело делить на два.

3.2 Отсутствие защиты для нестандартных или новых сетевых сервисов

Решением здесь в какой-то мере могут служить шлюзы на уровне соединения или пакетные фильтры, но, как уже говорилось, им недостает гибкости. Конечно, существуют определенные возможности по туннелированию нестандартного трафика, например в HTTP, но этот вариант нельзя назвать удобным сразу по нескольким причинам. Есть множество унаследованных систем, код которых переписать невозможно. Однако оставлять их беззащитными тоже нельзя.

3.3 Снижение производительности

К счастью, подобные вопросы возникают все реже и реже, особенно у частных пользователей, стремящихся защитить свой ПК или небольшую локальную сеть. В то же время крупные локальные сети по-прежнему генерируют столь емкий трафик, что обычными программными (дешевыми или бесплатными) решениями сеть не прикроешь. Аппаратные решения демонстрируют отличную производительность и масштабируемость, но вот цена (порой исчисляемая десятками тысяч долларов) переводит вопросы их применения в совершенно иную плоскость, так что порой максимум возможного -- это выделение специального сервера, «заточенного» исключительно под обслуживание брандмауэра. Естественно, подобное универсальное решение автоматически сказывается на скорости доступа.

4. Общие принципы настройки Firewall

Конфигурация брандмауэра -- предмет достаточно сложный, и обычно все сетевые экраны (брандмауэры) имеют индивидуальную конфигурацию, отражающую специфику работы конкретной информационной системы. Однако здесь следует придерживаться некоторых общих принципов: 1. Следует пропускать сквозь себя только те сервисы, которые необходимы для обеспечения требуемой функциональности информационной системы. 2. Все, что явным образом не разрешено, должно быть запрещено. Это означает, что все службы, не упомянутые при конфигурации брандмауэра, должны быть запрещены. 3. При конфигурации брандмауэров следует вести подробную документацию.

5. IDS (Система Выявления Атак)

Intrusion Detection System (система выявления попыток проникновения) -- комплекс программного обеспечения, который обычно устанавливается на брандмауэр и предназначен для анализа различных событий, происходящих как на самом компьютере с IDS (Host-based IDS), так и в сети вокруг него (Network IDS). Принцип работы host-based IDS основан на анализе журналов событий системы. В основе работы Network IDS лежит анализ сетевого трафика, проходящего через систему. При выявлении события, квалифицируемого IDS как попытка проникновения, ответственному за безопасность системы посылается сообщение об атаке. Одновременно производится запись в журнале атак. Подобное поведение характерно для пассивных IDS. Если же при определенных типах атак система способна производить ряд действий, направленных на отражение атаки, то она относится к активным IDS.

6. Система контроля целостности ПО и конфигурации

Для более жесткого контроля за попытками проникновения в систему используется многоуровневая защита. Одним из таких дополнительных уровней является система контроля целостности программного обеспечения. Она контролирует все программное обеспечение на брандмауэре и присылает отчеты обо всех удаленных, вновь появившихся и изменившихся файлах. Таким образом, при малейшем изменении конфигурации шлюза ответственный за его работу получит подробный отчет о том, что и когда было изменено.

7. Система мониторинга и оповещения о неисправностях

Для максимально быстрого обнаружения неисправностей в компьютерных системах часто применяются системы раннего оповещения о возникающих неисправностях, которые периодически контролируют работоспособность различных сервисов и при любых отклонениях автоматически связываются с обслуживающим систему инженером.

8. Система удаленного администрирования

Системы удаленного администрирования серверов применяются для устранения неисправностей, конфигурирования систем и выполнения различных рутинных задач в локальной сети (или сети Интернет) без необходимости физического доступа к серверу.

9. Тестирование брандмауэров

Далее будет представлена информация по наиболее распространенным брандмауэрам, а также результаты их тестирования на предмет эффективности их работы. Персональный брандмауэр на сегодняшний день является практически обязательным элементом программного обеспечения компьютера, подключенного к интернету. Без него вероятность несанкционированного проникновения на ваш компьютер, попадания на него вирусов, троянов, кражи конфиденциальной информации не просто велика, а близка к 100%, и, скорее всего, ждать такого проникновения не придётся долго. Встроенный брандмауэр Windows имеет очень ограниченные возможности и поэтому есть смысл сразу же его отключить, установив более совершенную защиту. В связи с этим задача выбора брандмауэра для своего компьютера является весьма актуальной. Какой из персональных брандмауэров выбрать? На сегодняшний день имеется немало известных, зарекомендовавших себя продуктов, среди которых можно найти и бесплатные (а большинство платных имеют 30-дневный бесплатный период). Следует заметить, что в настоящее время уже в сильной мере проявилась тенденция, связанная с разработкой программ для комплексной защиты компьютера, т. е. таких, которые выполняют и обычные функции брандмауэра, блокируя несанкционированный доступ к вашему компьютеру извне, и защищают от спама, предупреждают о подозрительных сайтах, ведут борьбу с вирусами и троянами и т. п. Именно такой пакет комплексной защиты, выпущенный одним производителем, является оптимальным выбором. Конечно же, самым главным параметром является надёжность брандмауэра, степень предоставления защиты и способность отражать различные атаки и угрозы. Но этот параметр не является единственным, на который стоит обращать внимание. Немаловажно также удобство пользования брандмауэра, простота настройки параметров, требования к производительности и степень загрузки ресурсов компьютера во время работы. Уровень 1 Продукт должен набрать не менее 50% в тестах на этом уровне, чтобы пройти его. Тесты Autorun1 Тестовый тип: тест автозагрузки Оценка: Отказ - 0 %; Успех - 100 %. Описание: Autorun1 проверяет, может ли вредоносное программное обеспечение сохранять свой код, чтобы быть устойчивым в системе, устанавливая себя в системный реестр так, чтобы Windows Explorer выполнил вредоносное программное обеспечение каждый раз, когда пользователь входит в систему.

Autorun3 Тестовый тип: тест автозагрузки Оценка: Отказ - 0 %; Успех - 100 %. Описание: Autorun3 проверяет, может ли вредоносное программное обеспечение сохранять свой код, чтобы быть устойчивым в системе, устанавливая себя в системный реестр так, чтобы Windows Explorer выполнил вредоносное программное обеспечение каждый раз, когда текущий пользователь входит в систему.

Breakout2 Тестовый тип: тест утечки Оценка: Отказ - 0 %; Успех - 100 %. Описание: Breakout2 проверяет, возможно ли обойти протестированный продукт, используя Active Desktop COM-интерфейс.

Coat Тестовый тип: тест утечки Оценка: Отказ - 0 %; Успех - 100 %. Описание: Coat проверяет, идентифицирует ли протестированный продукт доверяемые процессы должным образом.

ECHOtest Тестовый тип: тест утечки Оценка: Отказ - 0 %; Успех - 100 %. Описание: ECHOtest узнает, фильтрует ли протестированный продукт трафик ICMP.

FileDel2 Тестовый тип: тест самообороны Оценка: По крайней мере один из процессов протестированного продукта или компонентов не загружен, поврежден, ограничен в функционировании, или не работает должным образом после перезагрузки - 0 %; Успех - 100 %. Описание: FileDel2 проверяет, защищает ли протестированный продукт свои файлы и каталоги против злонамеренного удаления, используя специальный системный вызов.

Kill1 Тестовый тип: тест самообороны Оценка: По крайней мере один из целевых процессов или потоков был завершен - 0 %; Успех - 100 %. Описание: Kill1 тестирует, защищает ли протестированный продукт свои процессы от завершения. Если продукт не проходит этот тест, вероятно, что он не реализует механизмы самообороны вообще.

Kill2 Тестовый тип: тест самообороны Оценка: По крайней мере один из целевых процессов или потоков был завершен - 0 %; Успех - 100 %. Описание: Kill2 тестирует, защищает ли протестированный продукт потоки своих процессов от завершения.

Leaktest Тестовый тип: тест утечки Оценка: Отказ - 0 %; Успех - 100 %. Описание: Leaktest узнает, фильтрует ли протестированный продукт исходящий трафик TCP.

Tooleaky Тестовый тип: тест утечки Оценка: Отказ - 0 %; Успех - 100 %. Описание: Tooleaky проверяет, управляет ли протестированный продукт запуском Internet Explorer.

Wallbreaker1 Тестовый тип: тест утечки Оценка: Отказ - 0 %; Успех - 100 %. Описание: Wallbreaker1 проверяет, управляет ли протестированный продукт запуском Windows Explorer.

Yalta Тестовый тип: тест утечки Оценка: Отказ - 0 %; Успех - 100 %. Описание: Yalta проверяет, фильтрует ли протестированный продукт исходящий трафик UDP.

Результаты

10. Краткое описание лидеров тестирования

Comodo Internet Security - бесплатный брандмауэр, разработанный американской компанией. Это комплексное решение, включающее наряду с брандмауэром защиту от троянов и вирусов и другие функции. Программа включает огромное число разнообразных настроек. Платная версия имеет дополнительные функции по защите, оптимизации и настройке ПК и шифровке данных, передаваемых по беспроводным соединениям. Русской версии, к сожалению, нет.

PC Tools Firewall Plus достаточно популярный брандмауэр, полностью бесплатен и проще в настройках и использовании, чем брандмауэр Comodo. Есть русская версия. Интегрированного вируса не содержит, но разработчики рекомендуют использование в комплекте со своим собственным антивирусом. Есть также платный продукт PC Tools Internet Security, в который интегрированы брандмауэр, антивирус и антишпионские функции.

Online Armor Personal Firewall разработан австралийской компанией. Эта программа умеет детектировать попытки вторжения в компьютер извне, контролировать запускаемые пользователем приложения, блокировать вредоносные скрипты и подозрительные расширения для браузера Internet Explorer, а также отслеживать список автоматически запускаемых программ. Кроме этого Online Armor Personal Firewall анализирует входящий/исходящий трафик, измеряет скорость соединения программ с Интернетом и на основе собранной информации способен строить различные графики. Одно из существенных преимуществ - наличие большого числа предустановленных правил для популярных программ, благодаря чему пользователю не придётся отвлекаться. Собственного антивируса нет (существует версия этой программы с антивирусом Касперского). Бесплатная версия несколько уступает коммерческой, но и она заняла вполне достойное место и рекомендуется организаторами теста к использованию. К сожалению, русская версия программы пока отсутствует.

Kaspersky Internet Security 2010 - решение для комплексной защиты компьютера от лидера в области разработки антивирусного ПО - Лаборатории Касперского. Согласно тестам и отзывам пользователей обеспечивает надёжную защиту по многим параметрам (один из лучших как в рейтинге брандмауэров, так и в рейтинге антивирусов, по результатам последних тестов, проведённых Virus Bulletin), при этом прост в использовании и настройке по сравнению с большинством аналогов. По моей оценке, Kaspersky Internet Security 2010 является лучшим решением для большинства пользователей.

Outpost Firewall Pro 2009 российской компании Agnitum - один из наиболее известных брандмауэров (долгое время занимал первое место в рейтинге). Outpost Firewall Pro 2009 - комплексное решение, включающее защиту от вирусов, троянов, шпионских программ, контроль приложений, защиту от спама, блокирование нежелательной рекламы, защиту от посещения нежелательных сайтов и т. п. Одно из самых лучших и надёжных решений.

Jetico Personal Firewall является одним из перспективных брандмауэров, он разработан финской компанией. Брандмауэр обеспечивает хорошую защиту, но достаточно сложен для непродвинутого пользователя. Собственного антивируса нет. Есть русская версия программы.

Вывод

В 2014 году производители брандмауэров значительно улучшили свои продукты. В категорию "отличных" попали 5 брандмауэров, и 2 из них (Outpost и Касперский) - российских разработчиков. В то же время ряд других известных брандмауэров, таких как ZoneAlarm или Norton Internet Security оказались за пределами списка брандмауэров, рекомендуемых к использованию. Среди лидеров есть и бесплатные брандмауэры, однако нужно иметь в виду, что они, несмотря на то, что хорошо исполняют роль брандмауэра, обладают меньшим набором функций, чем платные аналоги.

Размещено на Allbest.ru