Kaspersky Anti-Hacker: защищаем компьютер от атак – THG.RU

Введение

Наша лаборатория продолжает рассматривать программные межсетевые экраны, и на этот раз к нам попал целый программный комплекс по защите компьютера от “Лаборатории Касперского” – Kaspersky Anti-Hacker. Это не только персональный межсетевой экран, но и средство защиты от сетевых атак и несанкционированного доступа к данным извне. Кроме того, программа контролирует и ограничивает попытки отправки данных в Интернет. Комплекс обеспечивает гибкую настройку правил как для приложений, так и для пакетов. Кроме всего прочего, решение содержит встроенный детектор атак, который автоматически обнаруживает наиболее распространённые их виды и блокирует атакующего. В дополнение ко всему, есть режим невидимости, который позволяет скрыть компьютер от злоумышленников, обеспечив тем самым ещё один уровень защиты.

Комплект поставки

“Лаборатория Касперского” предоставила нам коробочную версию Anti-Hacker, поэтому мы получили все преимущества полной версии продукта, включая бумажную документацию. Kaspersky Anti-Hacker поставляется в красивой коробке, выполненной в стиле компании. Внутри можно обнаружить диск с программой, антивирусом, вирусной энциклопедией и документацией в формате PDF, бумажное руководство пользователя и купоны для продления подписки на продукты.

Функциональность

Kaspersky Anti-Hacker устанавливается на компьютеры под управлением ОС Windows 98/ME/NT 4.0/2000/XP. Для работы требуется поддержка TCP/IP и наличие сетевого соединения. При использовании ОС Windows 98/Me/NT 4.0 требуется процессор с тактовой частотой не ниже 133 МГц и не менее 32 Мбайт ОЗУ. Пользователям Windows 2000 потребуется уже 64 Мбайт памяти, а пользователям Windows XP необходимо иметь процессор не ниже Intel Pentium 300 МГц, а также не менее 128 Мбайт ОЗУ. И неважно, какую систему вы используете, вам потребуется 50 Мбайт дискового пространства для установки продукта. Впрочем, для современных компьютеров подобные требования никаких проблем не составят.

Вкратце перечислим основные возможности Kaspersky Anti-Hacker.

• Отслеживание всей сетевой активности TCP/IP для всех приложений на компьютере. При подозрении на несанкционированное действие программа информирует об этом пользователя и блокирует сетевой доступ до ответа.
• Режим невидимости с технологией SmartStealth скрывает компьютер от других пользователей сети, затрудняя атаку извне. Атаковать невидимку гораздо сложнее, чем отчётливо видимую жертву. Однако это вовсе не означает, что доступ в сеть также будет ограничен – режим невидимости не оказывает влияния на работу в Интернете.
• Определение и блокировка наиболее распространённых атак. Обеспечивается благодаря постоянному просмотру содержимого всех входящих и исходящих пакетов.
• Отслеживание попыток сканирования портов и запрещение дальнейшего взаимодействия с атакующим компьютером.
• Просмотр списков всех установленных соединений, открытых портов и активных сетевых приложений. Также можно разорвать нежелательные соединения.
• Пакет позволяет гибко настроить систему защиты, например, фильтрацию желательных и нежелательных сетевых операций, а также настроить детектор атак.
• Предустановки режимов работы позволяют быстро изменять поведение системы в сети. Можно выбрать режим от полного разрешения всей сетевой активности до полного запрета, равноценного физическому отключению от сети. По умолчанию используется “Средний режим” – режим обучения, в котором пользователь, исходя из собственных потребностей, разрешает или запрещает определённую сетевую активность.
• И, конечно же, ведётся протокол событий, причём можно настраивать уровень детализации записи событий в журнал.

Установка

Для тестирования мы использовали компьютер следующей конфигурации:

• процессор AMD Athlon XP 2500+ (ядро Barton);
• системная плата EpoX 8RDA3I PRO на базе nForce2 Ultra 400;
• оперативная память 256 Мбайт;
• жёсткий диск WD 400JB;
• ОС Windows XP.

Дистрибутив программы занимает около 10,5 Мбайт, при установке все действия происходят автоматически, достаточно лишь нажимать кнопку “Далее”, даже регистрационный ключ программа нашла автоматически (конечно, это справедливо только для коробочной версии). Кстати, без ключевого файла Anti-Hacker работать не будет. Для завершения установки необходимо перезагрузить компьютер, после чего Anti-Hacker автоматически запустится.

Режимы работы

О том, что Anti-Hacker запустился и работает, можно узнать по соответствующему значку в трее, щёлкнув по которому, вы увидите главное окно программы.

Главное окно программы

Как видно, центральное место в окне занимает переключатель режимов безопасности, остановимся на каждом из них подробнее. Кстати, в нижней части окна отображается состояние системы, в нашем случае говорится об успешном отражении атаки “Сканирование портов”.

• “Разрешить всё” – другими словами, защита компьютера отключена. Вся сетевая активность разрешена.
• “Низкий” – разрешена сетевая активность всех приложений, кроме явно запрещённых с помощью правил приложений.
• “Средний” – используется механизм обучения, то есть при обнаружении сетевой активности проверяется наличие правила для данного вида и принимается соответствующее решение. Если правило не обнаружено, то программа уведомляет пользователя и предлагает либо создать правило, либо пропустить или блокировать событие однократно.
• “Высокий” – разрешён доступ к сети только приложениям, для которых созданы соответствующие правила. Вся остальная активность блокируется.
• “Запретить всё” – как мы уже упоминали, в этом режиме блокируется вся сетевая активность, что аналогично физическому отключению от сети.

Кроме того, в трёх средних режимах (“Низкий”, “Средний”, “Высокий”) есть возможность активизировать режим невидимости: в нём будет запрещена любая сетевая активность, инициируемая снаружи (кроме явно разрешённой правилами). Режим скрывает компьютер, то есть его не удастся обнаружить извне. В то же время, режим ничуть не ограничивает работу пользователя в сети.

“Лаборатория Касперского” рекомендует сначала в течение некоторого времени поработать в режиме “Средний”, чтобы создать все необходимые правила, после чего переключиться на “Высокий”.

Правила для приложений

В свежеустановленной конфигурации системы уже есть ряд стандартных правил для приложений, разрешающий наиболее необходимые виды сетевого трафика. Все остальные всегда можно создать вручную. Правила работают с приложениями: то есть программам, которые указаны в списке, разрешён доступ в сеть, остальным – нет.

Список правил для приложений по умолчанию

Кроме правил для приложений, в стандартной поставке есть и правила для фильтрации пакетов. Список также не пуст в начальной установке, в нём можно найти необходимые для работы сети правила. Конечно же, этот список можно изменять, исходя из собственных требований. Применение правил выполняется сверху вниз, то есть пакет обрабатывается в соответствии с первым правилом, которое ему удовлетворяет, это означает, что если запрещающее правило установлено выше разрешающего, то пакет будет отброшен, так что следует иметь это в виду и располагать разрешающие правила выше запрещающих.

Список правил для портов по умолчанию

Отметим, что правила фильтрации пакетов имеют приоритет над правилами для приложений. То есть, если в правиле фильтрации пакетов установлен запрет на определённый вид трафика, то никакое правило приложений не сможет его обойти.

Anti-Hacker позволяет достаточно гибко настраивать параметры работы. В разделе “Общие” настраиваются такие параметры, как состояние после старта системы и отображение при атаке.

Общие параметры.

Закладка “Детектор атак” позволяет не только включить или выключить встроенную систему обнаружения атак, но и задать время блокирования атакующего и выбрать виды сетевых атак, которые необходимо обнаруживать.

Параметры детектора атак.

И последняя здесь закладка – “Журналы”. Как понятно из названия, на ней настраивается журналирование. На самом деле функций немного: здесь можно лишь задать очистку журнала при старте программы и указать размер файла журнала.

Параметры журналирования.

Настройка правил

Покажем примеры настройки правил для приложений. Начнём с режима обучения. В качестве примера мы решили установить web-сервер Apache. При запуске приложения, требующего сетевую активность, появляется окно с соответствующим сообщением:

Режим обучения. Программа обнаружила, что сервер Apache пытается принять соединение.

Мы выбрали настройку правила для опытных пользователей, после чего перешли к следующему окну диалога.

Режим обучения. Настраиваем правило.

Здесь нужно указать протокол, в нашем случае протокол HTTP (порт TCP 80), в параметрах можно указать, что правило будет работать для удалённых адресов, однако, поскольку мы применяем правило для локального web-сервера, это нам отмечать не нужно. Нажимаем “Готово”, после чего можем занести событие в журнал или уведомить пользователя.

Режим обучения. Правило готово!

На этом обучение завершено. Можно приступать к следующему этапу – искать очередное приложение, использующее сеть, и повторять сначала.

Приложения

Чтобы создать правила для приложения, следует нажать на соответствующую кнопку или выбрать пункт меню. После чего появится окно со списком правил для приложений. Отметим, что в списке уже присутствует ряд часто используемых приложений.

Создаём правило для приложения. Список правил.

Для создания нового правила следует нажать на кнопку “Создать”. После этого появится окно добавления нового правила. Щёлкая по подсвеченным синим цветом надписям в разделе “Описания правила”, следует выбрать необходимые параметры.

Создаём правило для приложения. Указываем имя приложения.

Создаём правило для приложения. Выбираем условия правила.

В нашем случае мы разрешили соединения для приложения Apache по локальному порту 80. Как видите, никаких проблем при настройке правил для приложений нет.

Порты

Для настройки правил фильтрации пакетов нужно выполнить то же самое, что и для настройки правил приложений, только нажать на кнопку, отвечающую за настройку фильтрации пакетов.

Как и в случае с настройкой правил для приложений, в списке уже есть несколько правил, так что добавим ещё одно, снова для web-сервера Apache.

Создаём правило для порта. Указываем условия.

Выбираем протокол TCP, тип пакета “входящий”, локальный адрес – адрес нашего компьютера, локальный порт 80. Нажимаем “Далее”.

Создаём правило для порта. Всё готово!

В появившемся окне указываем название для правила, в нашем случае Apache, выбираем нужное действие, и жмём “Готово”.

Как видите, настройка правил по портам ничуть не сложнее настройки правил по приложениям, необходимо лишь знать используемый порт.

Тестирование

Для тестирования мы использовали известный сканер уязвимостей Xspider 7. Настройки были оставлены по умолчанию, за исключением времени блокирования атакующего компьютера – оно было установлено в 0 минут, вместо 60 минут по умолчанию. В сканере использовался стандартный профиль. При сканировании Anti-Hacker постоянно выводил сообщение об атаке, указывая её тип, например “Сканирование портов”.

Хорошая новость состоит в том, что сканеру не удалось найти уязвимостей.

Вторым этапом сканирования было использование сетевого сканера безопасности Tenable NeWT Security Scanner. После достаточно продолжительной и кропотливой работы сканер сообщил, что добраться до тестируемого узла можно, и сообщения ICMP Timestrap могут проходить в обе стороны. Риск этого оказался невысоким.

Заключение

“Лаборатория Касперского” представила очередную версию своего персонального брандмауэра, отличающегося удобством и простотой настройки, а также высокой надёжностью. Результаты, полученные при тестировании, подтверждают высокую степень защищённости системы, использующей Anti-Hacker для защиты от атак. Программа имеет достаточно скромный набор настроек, но их будет достаточно для реализации практически любого сценария, причём, с настройкой сможет справиться даже обычный пользователь. Однако следует помнить и то, что межсетевой экран не всегда может гарантировать полную защиту. Поэтому “Лаборатория Касперского” рекомендует использовать этот продукт совместно с, пожалуй, наиболее известным её продуктом – “Антивирусом Касперского”. Мы же, в свою очередь, добавим и то, что независимо от степени защиты, на неё нельзя полагаться на все 100%, но когда она обеспечивает хотя бы 99%, то это уже прекрасный повод для радости и возможность поспать спокойно лишние пару часов.

p.s. Редакция Tom’s Hardware Guide Russia благодарит “Лабораторию Касперского” за предоставленный для тестирования продукт.

Тестирование программы проводилось на платформе AMD. Редакция благодарит Российское представительство AMD за предоставленную платформу.