Защита огнем - тест файрволов

Спецвыпуск Xakep, номер #015, стр. 015-086-1

MadDoc (maddoc@real.xakep.ru) и n0ah (noah@real.xakep.ru)

Как известно, лучшая защита - это нападение. Но нельзя же, каждый раз выходя в сеть, вешать все ближайшие сервера - чтобы враг точно не смог подобраться к твоему компу. Гораздо проще защитить свою машину от попыток вторжений с помощью специальных прог. А правильный выбор средств безопасности в сексе... тьфу, в сети, не менее важен, чем правильный выбор средств контрацепции. Поэтому сегодня мы рассмотрим эти программные средства ака файрволы, призванные надежно оградить твой подключенный к Интернету компьютер от внешних атак. Для тестирования на машину была установлена Windows 98 SE, ослик был проапгрейден до 5.5 SP2. Кроме того, был поставлен ftp-сервер (Serv-U, его описание ты найдешь в этом же номере). Сканеры к бою, поехали!

McAfee Personal Firewall

С сайта производителя (www.mcafeee.com) нельзя скачать даже триальную версию - предлагается сразу оформить годовую подписку за каких-то тридцать вечнозеленых. Ну-с, попробуем поюзать...

На выбор предлагается три режима работы - блокировать весь траффик (а зачем тогда в сеть лазить?), пропускать весь траффик (а зачем тогда прогу ставить?) и фильтровать его. Естественно, выбираем последний вариант.

Установив прогу, выходим в нет. По очереди появляются окошки - «программа такая-то просится в сеть, пустить?». Пускаем всех кого надо, попутно настраиваем файрвол на показ самой полной статистики.

В разделе «Unknown Traffic» меня ждал сюрприз - вон сколько попыток соединения было произведено за несколько минут! Все они были автоматически обрублены, а я поехал изучать дальше.

Как видишь, все тоже достаточно подробно. Локальный и удаленный порты, время соединения, количество принятых и посланных байтов.

Следующий тест - запуск двух троянов, любезно предоставленных для тестирования компанией... ээ, увлекся, извини. Обоих файрвол сразу отловил, и в сеть я их не пустил. Начинаем детально разбираться с защитой - запускаем фтп-сервер и просим коллегу рассмотреть мою защиту подробнее. Сначала - простое сканирование портов (с третьего по двадцать седьмой) прогой 7thSphere Port scanner. В сети сканера попался единственный открытый в этом диапазоне порт - 21-ый (на нем висел фтп-сервер Serv-U). Далее в бой пошла 7thSphere Port Fuck. Она использовалась для постоянной бомбардировки фтп-шного порта моей машины - в среднем количество открытых сокетов в единицу времени составляло около 250. То есть Port Fuck постоянно требовал открыть соединение, а моя тачка их постоянно закрывала - в результате все жутко тормозило, но работало.

Далее - следующий уровень безопасности системы. Переписываем Iexplore.exe во временную директорию, а на его место записываем telnet.exe (переименовав его в ыксплорер.еге, соответственно). Тут-то файрвол и облажался по полной. Мало того что без всяких вопросов телнет был пропущен в сеть, так и эксплорер, будучи запущен из нового места, точно так же получил свободный доступ! На скриншоте видно, что в системе появилось два приложения с одинаковым именем, и около одного из них даже стоит значок телнета.