Защита от внутренних атак: тест файрволов
04.05.12Давайте для начала определимся с терминологией и ответим на вопрос — что же такое файрвол? По определению интернет-стандарта [RFC3511] (
Но, с ростом сложности вредоносных программ и хакерских атак, исходные задачи файрвола дополнились новыми функциональными модулями. Уже фактически невозможно представить полноценный файрвол без модуля HIPS (мониторинга системных событий, контроля целостности системы и т.п.).
Главная задача современного файрвола – осуществлять блокировку неавторизованных сетевых коммуникаций (далее атак), подразделяемые на внутренние и внешние. К таковым относятся:
- Внешние атаки на защищённую файрволом систему:
- инициированные хакерами;
- инициированные вредоносным кодом.
- Неавторизованные исходящие сетевые соединения:
- инициированные недоверенными приложениями (вредоносный код);
- инициированные приложениями, сетевая активность которых явным образом запрещена правилами.
Кроме того, фактически исчезли с рынка продукты, которые можно было бы отнести к чистым персональным файрволам в классической формулировке 2003 года. На смену им пришли комплексные продукты защиты персональных компьютеров, в обязательном порядке включающие в себя файрвольный компонент.
В силу наибольшей актуальности мы решили начать сравнительное тестирование файрволов с изучения качества защиты от внутренних атак, исходящих изнутри системы. Тест проводился по следующим направлениям:
- проверка защиты процессов от завершения;
- защита от стандартных внутренних атак;
- тестирование защиты от нестандартных утечек;
- тестирование защиты от нестандартных техник проникновения в режим ядра.
В тестировании принимали участие 22 популярные программы комплексной защиты (класса Internet Security, если в линейке нет, то выбирался сугубо файрвол) от различных производителей актуальных на дату начала тестирования версий продуктов (июль 2011) и работающих на платформе Windows XP SP3:
- Avast! Internet Security 6.0.1203.0
- AVG Internet Security 2011 (10.0.0.1390)
- Avira Premium Security Suite 10.0.0.132
- BitDefender Internet Security 2011 (14.0.28.351)
- Comodo Internet Security 2011 (5.5.64714.1383)
- DefenseWall Personal Firewall 3.12
- Dr.Web Security Space 6.0.1.08010
- Eset Smart Security 4.2 (4.2.71.2)
- F-Secure Internet Security 2011 (1.30.4220.0)
- G DATA Internet Security 2012 (22.0.2.26)
- Jetico Personal Firewall 2.1 (2.1.0.10)
- Kaspersky Internet Security 2012 (12.0.0.374)
- McAfee Internet Security 2011 (11.0.572)
- Microsoft Security Essentials 2.0.657.0 + Windows Firewall (используется связка продуктов)
- Norton Internet Security 2011 (18.1.0.37)
- Online Armor Premium Firewall 5.0.0.1097
- Online Solutions Security Suite 1.5.15307.0
- Outpost Security Suite Pro 7.5 (3720.574.1668.464)
- Panda Internet Security 2011 (16.00.00)
- PC Tools Internet Security 2011 (1.0.0.58)
- Trend Micro Titanium Internet Security 2011 (3.0.0.1303)
- ZoneAlarm Internet Security Suite 2010 (9.3.37.0)
Тест проводился на специально подготовленном стенде под управлением VMware Workstation 7.1.4. Для каждого антивирусного продукта клонировались "чистые" виртуальные машины под операционной системой Windows XP SP3 со всеми установленными обновлениями на момент начала теста.
Тестирование производилось на двух типах настроек: рекомендуемых производителем стандартные (настройки по умолчания) и максимальных. В первом случае использовались рекомендуемые производителей настройки по умолчанию и производились все рекомендуемые программой действия.
Во втором случае в дополнение все настройки, которые были отключены в режиме «по умолчанию», но при этом могли повлиять на исход тестирования, включались и/или приводились в максимальное положение (наиболее строгие настройки). Другими словами – под выставлением максимальных настроек понимается перевод всех доступных из графического интерфейса пользователя настроек всех модулей, связанных с детектированием вредоносной файловой или сетевой активности, к наиболее строгому варианту.
В силу принципиальных отличий DefenseWall от конкурентов по логике своей работы контролируемые им приложения могут запускаться из доверенной (trusted zone) или из недовернной зоны (untrusted zone). Поэтому в данном случае понятие "максимального" или "стандартного" режима настроек применялось к настройкам контроля приложений в недоверенной зоне. Тестовые утилиты при тестировании этого продукта запускались из недоверенной зоны (с внешнего носителя).
|
Анализ результатов теста файрволов на защиту от внутренних атак |
|
Результат работы файрволов по каждому из проверяемых нами в тесте сценарию атак оценивался по следующей схеме: «+» или 1 балл — тест пройден полностью успешно, атака заблокирована автоматически, защитный функционал тестируемой программы не нарушен. «+/-» или 0.5 балла — атака блокируется только при особых обстоятельствах (например, при правильном выборе пользователя нужного действия по запросу тестируемой программы). «-» или 0 баллов — тест провален, атака прошла успешно полностью или частично с выводом из строя функционала защиты. Стоит уточнить важный момент, если в продукте по задумке разработчиков активировался интерактивный режим (ручной режим, режим обучения, параноидальный режим и т.п.), когда на любое действие со стороны той или иной программы выдаётся соответствующий запрос, то, согласно методологии, за это снимается по 0,5 балла. Мы исходим в данном случае из того, что вероятность неверного действия со стороны пользователя многократно возрастает, в связи с чем в реальных условиях атака может легко быть пропущена. Именно поэтому автоматические верные действия со стороны защитной программы должны оцениваться выше. В части тестовых методов, в которых производилась загрузка файла, невозможно автоматически запрещать загрузку т.к. эти методы использует часть легитимных приложений. Однако продукт должен поставить в известность пользователя о том, что производится загрузка файла и предложить возможность отменить её, если это было сделано, то тест считается успешно пройденным (1 балл), в противном случае тест провален (0 баллов). Для подведения итогов все полученные баллы складывались между собой (отдельно для "стандартных" и "максимальных" типов настроек), независимо от уровня сложности (простая модель оценки), в результате чего вычисляется итоговый процент набранных каждым файровлом баллов от максимально возможного. Лучшие из них награждаются при выполнении следующих условий: Если файрвол предотвратил менее 40 % моделируемых внутренних атак, то он считается провалившим тест. |
Тест файрволов проводился по следующим группам внутренних атак, для наглядности разбитых на уровни сложности:
- Базовый уровень сложности (31 вариант атак):
- проверка защиты процессов от завершения (15 вариантов атак);
- защита от стандартных внутренних атак (16 вариантов атак).
- Повышенный уровень сложности (9 вариантов атак):
- тестирование защиты от нестандартных утечек (3 варианта атак);
- тестирование защиты от нестандартных техник проникновения в режим ядра (6 вариантов атак).
Тестирование файрволов проводилось по набору из 40 тестовых кейсов для каждой операционной системы отдельно (подробные результаты по каждому из них можно посмотреть в отчете в формате Excel).
Напомним, что согласно используемой схеме награждения, 1 балл (+) начислялся, если атака заблокирована автоматически, защитный функционал тестируемой программы не нарушен. 0.5 балла (или +/-) — если атака блокируется только при особых обстоятельствах (например, при правильном выборе пользователя нужного действия по запросу тестируемой программы). И, наконец, в случае если атака прошла успешно полностью или частично с выводом из строя функционала защиты, то баллы не начислялись. Максимально возможное количество набранных баллов в данном тесте составило 40.
В таблице 1-2 и на рисунке 1-2 представлены результаты тестирования файрволов отдельно на стандартных и максимальных настройках. Для наглядности результаты для каждого файрвола разбиты на две группы: защита от атак базового уровня сложности и защита от атак повышенного уровня сложности.
Таблица 1: Результаты теста файрволов на стандартных настройках
|
Протестированный продукт |
Атаки базового уровня сложности (макс. 31 балл) |
Атаки повышенного уровня сложности (макс. 9 балл) |
Всего баллов (макс. |
Всего % |
||||
|
Баллы |
% |
% от суммы |
Баллы |
% |
% от суммы |
|||
|
DefenseWall* |
31 |
100% |
77,5% |
9 |
100% |
22,5% |
40 |
100% |
|
Comodo |
30 |
97% |
75% |
9 |
100% |
22,5% |
39 |
98% |
|
Online Armor |
28,5 |
92% |
71,3% |
6,5 |
72% |
16,3% |
35 |
88% |
|
Online Solutions |
Robo User
Web-droid редактор    Не пропустите интересное! Підписывайтесь на наши каналы и читайте анонсы хай-тек новостей, тестов и обзоров в удобном формате! One thought on “Защита от внутренних атак: тест файрволов”Добавить комментарий Читайте також
 Статьи & тесты
18.11.24
Обзор Asus Zenbook S 16 (UM5606): новая волна 
100
 0 
Новый ноутбук Asus Zenbook S 16 выполнен в корпусе из необычного металла, построен на базе свежей платформы AMD, адаптированной для ИИ, и имеет отличную автономность. Расскажем об этом премиальном ноутбуке подробнее Новости
23.11.24 | 09.08
Bugatti W16 Mistral разогнался до 453,91 км/ч и стал самым быстрым родстером в мире автомобиль 
Хотя Bugatti не раскрыла, вносились ли изменения в силовую установку, автомобиль использовал тот же 8.0-литровый W16 двигатель с четырьмя турбинами и мощностью 1600 л.с.
23.11.24 | 06.01
S.T.A.L.K.E.R. 2 купил 1 млн игроков. Игра стала самой популярной на Twitch игры события в Украине статистика 
Украинская студия GSC Game World добилась впечатляющего успеха с игрой S.T.A.L.K.E.R. 2: Heart of Chornobyl, которая за первые два дня после релиза, 20 ноября, разошлась тиражом в 1 миллион копий | |||||||
Комод- лучший.