Наш журнал следит за всеми изменениями на рынке персональных брандмауэров. Обзоры, тесты и сравнения конкурирующих продуктов регулярно появляются на страницах "Мании". Не могли мы пройти и мимо новой отечественной разработки Kaspersky Anti-Hacker. Хотя конечной версии этого продукта еще нет, есть возможность познакомиться с бета-версией и заранее выяснить, стоит в будущем использовать данную программу или нет. Все-таки такой именитый разработчик...
Делая обзор сетевых экранов в одном из прошлых номеров (статья "Огонь вокруг меня. Тест наиболее популярных брандмауэров", "Мания" №7(58) 2002, статья также доступна по адресу www.igromania.ru/articles/?antix_58), мы сокрушались о том, что не можем представить ни одну отечественную разработку. Теперь этот пробел ликвидирован: "Лаборатория Касперского" — первая российская компания, выпустившая свой персональный брандмауэр. Примечательно также и то, что Kaspersky Anti-Hacker разработан с нуля. Наши разработчики не пошли по проторенному пути многих западных компаний, поглотивших продукцию конкурирующих фирм. Так было, например, с AtGuard. Компания Symantec купила его и стала выпускать под другим названием: Symantec Personal Firewall. Российским программистам пришлось все делать самим, ну а мы, как пользователи, оценим их труд.
Лучше один раз увидеть, чем сто раз услышать.
На подиуме
Kaspersky Anti-Hacker — это персональный сетевой экран (также известен как firewall), защищающий компьютер пользователя от внешней атаки через локальную сеть или интернет, а также от внутренней угрозы, если в систему уже успел пробраться шпион или троянец.
|
В программу интегрирована уникальная технология для контроля над портами компьютера. Благодаря этому защищенная система становится полностью невидимой для нежелательных лиц из внешнего окружения, а хакеры просто теряют объект для атаки, и все их последующие попытки получить доступ к компьютеру обречены на провал. Если в двух словах, то это что-то типа режима Invisible в ICQ или тумана некроманта в Heroes of Might & Magic. Для пользователя сохраняется обычная прозрачность Сети, а для злоумышленника компьютер исчезает с "экрана радара". Если углубиться в технические аспекты, то ваша машина просто перестает реагировать на все входящие запросы (как бы выпадает из виртуального мира). Хакеру просто ничего не останется, как умыть руки и поискать себе другую жертву. Помимо режима "невидимки", сетевой экран может блокировать компьютер обидчика на время, указанное вами в настройках. Но хватит о технологиях — давайте проверим новинку в деле.
Технические особенности
Грузится сетевой экран достаточно быстро и вообще отличается хорошей скоростью реакции на любые ваши действия. При первом запуске программы откроется ее главное окно. В глаза сразу бросается ползунок, регулирующий режимы безопасности. Всего их пять.
Разрешить все — данный вариант равносилен отсутствию сетевого экрана на вашем компьютере.
Низкий — сетевой экран блокирует только те приложения, для которых созданы специальные правила. Все остальные программы работают беспрепятственно. Пользоваться этим режимом целесообразно только в том случае, если вы уверены, что внутренняя угроза доступа к конфиденциальным данным отсутствует.
Средний — брандмауэр уведомляет вас о сетевой активности всех приложений. Это хороший способ сконфигурировать систему безопасности наиболее рационально. Уведомление представляет собой окошко с кнопочками: разрешить или блокировать данное событие однократно, запретить активность приложения полностью, разрешить активность приложения в соответствии с указанным типом (об этом чуть ниже).
Высокий — сетевой экран разрешает доступ к Сети только тем программам, которые указаны с помощью правил. В этом режиме окно обучения не появляется, и все попытки несанкционированных соединений отклоняются жестко и хладнокровно. Этот вариант следует использовать после того, как вы уже
|
Запретить все — firewall полностью блокирует доступ вашей машины к Cети. Компьютер превращается в президентское бомбоубежище, защищенное со всех сторон броней и колючей проволокой. Правда, наружу выйти из бункера тоже нельзя, но такова цена 100% безопасности.
Прежде чем перейти к обсуждению типов приложений, хотелось бы заметить одну особенность. Как вы думаете, что будет, если в ответ на уведомление о сетевой активности какого-либо приложения пользователь просто закроет окно с сообщением? Вроде бы банальная ситуация, которая часто может возникнуть в жизни. А будет вот что: Kaspersky Anti-Hacker однократно блокирует сетевую активность приложения. Очень приятно видеть принцип "безопасность по умолчанию" даже в таких мелочах.
Что же такое типы приложений? Так называются шаблоны правил, уже заложенные в сетевой экран. Справедливости ради следует заметить, что эти шаблоны предусмотрены на все случаи жизни:
1. Просмотр Internet: Internet Explorer, Netscape Navigator, Opera и т.д. Таким программам разрешается работа по протоколам HTTP, HTTPS, FTP и через стандартные proxy-сервера.
2. Передача файлов: Reget, Gozilla, FlashGet, GetRight. Разрешается работа по тем же протоколам.
3. Электронная почта: MS Outlook, MS Outlook Express, The Bat!. Для этих приложений открыты протоколы SMTP, NNTP, POP3, IMAP4.
4. Новости типа Forte Agent. Протоколы SMTP, NNTP.
5. Обмен сообщениями: ICQ, AIM и похожие приложения. Связь идет через стандартные proxy-сервера или напрямую с машиной-собеседником.
6. Конференции: IRC, mIRC и похожие на них. Разрешается стандартная аутентификация пользователей для сетей IRC и доступ к портам IRC-сервера.
7. Бизнес: например, MS NetMeeting. Протоколы HTTP, HTTPS, LDAP и некоторые другие протоколы для работы в локальной сети.
8. Удаленное управление в Telnet. Протоколы Telnet и SSH.
9. Синхронизация времени Timehook. Связь с time- и daytime-серверами.
C настройкой правил ни у кого проблем не возникнет. Kaspersky Anti-Hacker
|
Попасть в окно редактирования правил фильтрации пакетов можно двумя способами. Щелкнуть на тулбаре в основном окне или в меню Сервис/Правила фильтрации пакетов. Перед вами откроется список из нескольких десятков уже существующих правил. Но это не предел — вы можете создавать свои собственные правила. Каждое правило характеризуется протоколом (для которого оно применяется), параметром (характерным для этого протокола) и действием. К примеру, "разрешить взаимодействие по протоколу TCP через порт 88" или "запретить связь по протоколу UDP через порт 113". Но не все протоколы характеризуются портами. Главным параметром протокола ICMP является ICMP-сообщения. В этом случае сетевой экран предложит вам выбор из 10-12 стандартных вариантов. Если быть объективным, то менять настройки в Kaspersky Anti-Hacker очень просто, программа почти все сделает за вас, только направляйте ее активность в нужное русло.
|
Детектор атак
Эта тема так интересна, что ей необходимо уделить целую главу. Что собой представляет детектор атак? О том, что злоумышленника можно блокировать, мы уже рассказывали. Теперь и технология превращения компьютера в невидимку для вас не секрет.
Приковывает к себе внимание то, что Kaspersky Anti-Hacker реагирует только на определенные виды хакерских атак. А именно:
— Атака Ping of death состоит в посылке ICMP-пакета, размер которого превышает допустимое значение в 64 кб. Такая атака может привести к аварийному завершению работы некоторых операционных систем.
— Атака Land заключается в посылке на открытый порт вашего компьютера запроса на установление соединения с самим собой. Атака приводит к зацикливанию машины, в результате чего сильно возрастает загрузка процессора и возможно аварийное завершение работы.
— Сканирование TCP-портов заключается в попытке обнаружить открытые TCP-порты на атакуемом компьютере. Сканирование используется для поиска слабых мест в компьютерной системе и обычно
|
— Сканирование UDP-портов аналогично сканированию TCP-портов и заключается в попытке обнаружить открытые UDP-порты на вашем компьютере. Наличие атаки определяется по количеству UDP-пакетов, отправленных на различные порты компьютера-жертвы за некоторый промежуток времени. Так же как и предыдущая атака, UDP-сканирование обычно предшествует более активным и мощным действиям. Вы можете менять параметры количества портов и времени (смысл такой же, как и в предыдущем случае).
— Атака SYN Flood заключается в отправке жертве большого количества запросов на установку ложного соединения. Система резервирует определенные ресурсы для каждого из таких соединений, в результате чего тратит их полностью и перестает реагировать на другие попытки соединения. Параметры атаки — количество соединений и время — можно конкретизировать или убить предложение полностью.
— Атака UDP Flood заключается в отправке UDP-пакета, который за счет своей структуры бесконечно пересылается от компьютера-жертвы на произвольный доступный компьютеру адрес и обратно. В результате тратятся ресурсы обеих машин и увеличивается нагрузка на канал связи. Параметры атаки — количество UDP-пакетов и время — можно конкретизировать или убить предложение полностью.
— Атака ICMP Flood заключается в отправке на компьютер-жертву большого количества ICMP-пакетов. Это приводит к тому, что машина будет вынуждена отвечать на каждый поступивший пакет, в результате сильно возрастает загрузка процессора. Параметры атаки — количество ICMP-пакетов и время — можно конкретизировать или убить предложение полностью.
Не все коту масленица
Поговорим о недоработках продукта. Больше
|
Спорная ситуация возникла с блокировкой cookies и баннеров. Kaspersky Anti-Hacker совсем не реагирует на cookies, то есть вы не сможете избавиться от этих надоедливых созданий. Тут стоит сделать одну оговорку: по своему предназначению брандмауэр не должен бороться с "печенюшками". Это лишь навороты современности, защита от которых присутствует далеко не в каждом сетевом экране. Вполне возможно, что разработчики из "Лаборатории Касперского" просто не считают cookies достойными внимания своего брандмауэра. А может, их блокировка добавится в следующих версиях.
Баннеры. Они тоже мешают жить: грузят трафик, занимают время и ресурсы. Да и толку в них никакого. Kaspersky Anti-Hacker не может напрямую блокировать рекламу. У него просто нет такой функции. Ее можно организовать косвенно: например, в правилах фильтрации пакетов для IP-протоколов можно устанавливать ограничение на доступ к удаленному серверу. Блокировав адрес linkexchange.ru, вы сможете избавиться почти от всей рекламы в Рунете. А что делать, если вы серфите буржуйские сайты?
Впрочем, с cookies можно бороться и не с помощью брандмауэра, а баннеры — блокировать лишь наполовину.
* * *
|
Так как версия, представленная в обзоре, является beta, то для нас, конечных пользователей, очень важными являются те изменения, которые разработчики собираются внести в этот продукт в будущем. Программисты из "Лаборатории Касперского" поделились с нами своими планами на будущее.
В ближайшее время планируется расширение числа обнаруживаемых и отражаемых хакерских атак, упрощение настройки программы. Особенно это важно для новичков: новая интеллектуальная система анализа установленного ПО и автоматической настройки Kaspersky Anti-Hacker позволит сэкономить им массу времени и нервов.
Важным усовершенствованием является улучшение защиты брандмауэра при работе в агрессивной среде (когда на компьютере уже есть вредоносная программа). Такая защита уже есть: Kaspersky Anti-Hacker блокирует попытки неавторизованных программ завершить его работу. Нужно заметить, что это наиболее уязвимое место любого сетевого экрана. В перспективе планируется интеграция сетевого экрана с антивирусом на функциональном и интерфейсном уровнях.
Уже сейчас программа производит впечатление, несмотря на отсутствие внимания к cookies и баннерам. Радует и небольшая ресурсоемкость программы, хотя ее установочный дистрибутив занимает почти 8 Мб, программа работает быстро, "тормоза" отсутствуют. Если разработчики объединят продукт с легендарным антивирусом, то новый защитный комплекс будет более чем полезен. Не стоит скидывать со счетов также и то, что "Лаборатория Касперского" обеспечивает техническую поддержку 24 часа в сутки (единственная такая компания в России).
Бета-версию программы можно скачать с: ftp://ftp.avp.ru/beta/KAVWindows/KAntiHacker/Russian/KAHacker_rus.exe или взять с нашего компакта.
|