В этой статье приведены инструкции как отключить самые распространенные фаеры, простым языком).

Agnitum Outpost

Отличительные признаки: иконка со щитом, или круглая иконка со знаком вопроса или серым знаком "кирпич" рядом с часами.

Как отключить: щелчок правой кнопкой мыши на иконке в трее - политики - режим бездействия (или "отключить").

Kaspersky Internet Security

Выберите компонент Анти-хакер
нажмите левой кнопкой мыши на заголовке панели Анти-хакер
в контекстном меню выбрать СТОП

_____________________________________________________________

Zone Alarm

Отличительные признаки: Синяя буква "Z" в трее, рядом с часами

Как отключить: двойной щелчок по букве "Z", выбрать раздел FireWall, Переместить все ползунки в нижнее положени "off"

_____________________________________________________________

Отличительные признаки: синяя иконка напоминающая глаз рядом с часами

Как отключить:

Персональный файервол – это функция решения ESET NOD32 Smart Security с высокой степенью интеграции, отключение которой не рекомендуется. Однако при необходимости можно открыть все подключения по протоколам TCP и UDP, чтобы разрешить передачу сетевого трафика на компьютер и с него. Для этого выполните приведенные ниже действия.

Примечание. Создание правил, разрешающих передачу всего трафика, рекомендуется только для проведения диагностики и устранения возникающих в системе проблем.

1. Откройте главное окно программы. Для этого щелкните значок в области уведомлений Windows или выберите Пуск - Все программы - ESET - ESET NOD32 Smart Security.

2. Нажмите клавишу F5, чтобы открыть окно «Расширенная настройка» (Advanced Setup). В расположенном слева дереве настройки выберите пункт Персональный файервол (Personal firewall) и затем выберите команду Режим на основе политик (Policy-based mode) в раскрывающемся меню Режим фильтрации (Filtering mode).

3. В дереве настройки выберите Персональный файервол - Правила и зоны (Personal firewall > Rules and zones) и затем нажмите кнопку Настройка... (Setup...) в разделе Редактор зон и правил (Zone and rule editor).

4. Чтобы создать правило, разрешающее передачу всего трафика, нажмите кнопку Создать (New) и введите имя правила, например «Разрешить весь» (Allow All). В поле Направление (Direction) установите значение Оба (Both). В поле Действие (Action) установите значение Разрешить (Allow) и нажмите кнопку ОК. Нажмите кнопку Да (Yes) для подтверждения.

5. Щелкните ссылку Переключатель подробных сведений для всех правил (Toggle detailed view of all rules) и снимите все флажки, за исключением флажка, соответствующего созданному правилу «Разрешить все» (Allow All). Нажмите кнопку ОК, чтобы сохранить изменения.

_____________________________________________________________

Panda Internet Security

Отличительные признаки: Иконка панды в трее Изображение

Как отключить: Двойной щелчок по значку Panda Platinum Internet Security в трее(рядом с часами) открывает окно программы для настройки постоянной защиты компьютера, которое показано ниже:

Снять галочку FireWall Protection - Enable.

Нажать ОК
_____________________________________________________________

Agava Firewall

Отличительные признаки: Иконка зеленой быквы "V" в трее

Как отключить: Двойной щелчок по значку рядом с часами, раздел политики, выбрать "Разрешить все."

_____________________________________________________________

Comodo Firewall

Отличительные признаки: иконка со щитом в трее

Как отключить: Щёлкнув на иконке правой кнопкой, выбирайте открыть. Сразу откроется главное окно программы.

Отключить "сетевой монитор", "монитор приложений", "монитор компонентов" и "анализ поведения приложений"

_____________________________________________________________

Vipnet Personal Firewall

Отличительные признаки: иконка c красными точками в трее рядом с часами

Как отключить: Двойной щелчек на иконке в трее, выбрать раздел "режимы", выбрать режим "4 Пропускать весь IP трафик" .

_____________________________________________________________

Kerio Personal Firewall

Отличительные признаки: Иконка в трее с синим щитом

Как отключить: Щелчок правой кнопки мыши на иконке открывает меню. Выбрать пункт "Disable FireWall", после этого иконка со щитом в трее станет перечеркнутой.

_____________________________________________________________

McAfee Internet Security

Отличительные признаки: Иконка в трее с буквой "M" в красном квадрате

Как отключить: Щелчок правой кнопки мыши на иконке, выбрать personal firewall - "options(настройки)". Нажать на иконку "Security Settings". Выбрать "Security Level" - "Open".
_____________________________________________________________

Norton Internet Security

Отличительные признаки: Желтый круг рядом с часами, перечеркнутый 4 линиями,крест накрест Изображение

Как отключить: Двойной щелчек на иконке открывает меню. Выбрать пункт "Personal Firewall", нажать кнопку "Turn Off"

_____________________________________________________________

Sygate Personal Firewall

Отличительные признаки: Иконка с красно-серыми стрелочками рядом с часами

Как отключить: Двойной щелчок на иконке открывает меню. В меню выбрать пункт "Security", выбрать "Allow all"

_____________________________________________________________

Отличительные признаки: Значек с желтым шлагбаумом рядом с часами

Как отключить: Двойной щелчок на иконке открывает меню, перейти на вкладку "Firewall", cнять галочку "Enable Firewall"

_____________________________________________________________

N-vidia firewall

Как отключить: Для отключения данного фаервола необходимо деинсталировать "Network Access Manager"

Вопрос, как отключить фаервол, некоторым кажется нелогичным. Зачем, казалось бы, отключать его, если он защищает Windows от угроз? Но бывают причины, по которым это бывает нужно сделать.

Зачем отключать фаервол?

Фаервол, или брандмауэр – это специальное средство защиты, которое называют также сетевым экраном. Оно блокирует подозрительную сетевую активность, чтобы не допустить взлома безопасности и проникновения в систему вирусов. Но в некоторых случаях «защитник может и перестараться». Например:

1. Вы подключились к беспроводной сети, которую фаервол счёт подозрительной, и он не позволяет вам нормально работать, а вам очень нужно (настолько нужно, что вопрос безопасности не приоритетен).
2. Сетевая игра или определённый сайт пересылают сведения, и вы точно знаете, что это законно и что это не взлом, но «защитник Windows» с вами не согласен и блокирует доступ.
3. Какая-либо программа (например, торрент-клиент) требует доступа к сети, а фаервол, опять-таки, считает её активность подозрительной. Но вам эта программа очень нужна.

В некоторых случая фаервол может снизить скорость доступа в интернет.

Для таких случаев бывает полезно знать, как отключать фаервол в . Это займёт у вас всего пару минут.

Отключение фаервола Windows

Если вам не приходилось раньше интересоваться, как можно отключить фаервол, то вы убедитесь, что это совсем нетрудно. Итак, вот что нужно сделать:

1. Откройте «Панель управления».
2. Выберите элемент «Брандмауэр Windows». Перед вами откроется окно сведений о том, какие сети подключены и работает ли брандмауэр.
3. Выберите в меню слева команду «Включение и отключение брандмауэра Windows».
4. Установите необходимые параметры безопасности и уведомлений.
5. Нажмите кнопку «ОК» внизу окна.

Готовой! Брандмауэр Windows, как и любой другой компонент, может быть отключён по вашему желанию. Если он мешает вашей работе – совсем не нужно бросаться в Интернет с паническим вопросом о том, как правильно отключить фаервол виндовс. Вы вполне можете самостоятельно справиться со всеми проблемами, чтобы чрезмерно «параноидальный» защитник не мешал вашей нормальной работе в Интернете.

Введение

Kaspersky Anti-Hacker является персональным файрволом и его использование надежно защищает компьютер от проникновения извне, позволяет контролировать поведение установленного на компьютере программного обеспечения, пресекая его несанкционированные попытки отправить данные в сеть, предохраняет от заражения некоторыми типами вирусов и обеспечивает сохранность файлов, хранящихся на компьютере от несанкционированного удаления или изменения.
Kaspersky Anti-Hacker позволяет пользователю гибко настраивать правила для приложений и фильтровать пакеты, которыми обменивается компьютер с серверами, расположенными в сети. Детектор атак обнаруживает наиболее распространенные атаки на компьютер и автоматически блокирует атакующего. Режим невидимости делает компьютер под защитой Kaspersky Anti-Hacker невидимым в сети, что затрудняет подготовку и проведение атаки на него. Kaspersky Anti-Hacker контролирует целостность приложений и если его файлы изменяются, то пользователь будет проинформирован об этом. Все события, происходящие во время работы в сети, протоколируются в журнале работы.
Следует понимать, что Kaspersky Anti-Hacker является файрволом, который контролирует трафик между компьютером и серверами, а не антивирусом. Лишь некоторые типы вирусов и шпионских программ, которые при заражении компьютера загружают из сети свои компоненты или отправляют данные в сеть могут быть обнаружены при помощи Kaspersky Anti-Hacker. Чтобы надежно защитить компьютер и от вирусов и от взлома рекомендуется пользоваться связкой из Kaspersky Anti-Hacker и Kaspersky Antivirus .

Основные функции Kaspersky Anti-Hacker:

• Контроль сетевой активности всех приложений, установленных на компьютере. При помощи правил определенному приложению можно разрешить доступ только к определенному серверу в сети или разрешить доступ ко всем серверам, а запретить только к одному или нескольким определенным. Таким образом, все приложения, установленные на компьютере, находятся под постоянным контролем и могут обмениваться данными с серверами только после разрешения пользователя.
• Режим невидимости в сети, который обеспечивает файрвол, значительно затрудняет обнаружение компьютера в сети, и, следовательно, осложняет процесс подготовки и проведения атаки на него.
• Фильтрация пакетов обеспечивает контроль над трафиком на более низком уровне, чем уровень приложений. Таким образом, сетевая активность в определенных направлениях может быть пресечена раз и навсегда, вне зависимости от того, какое приложение пытается отправить данные в запрещенных направлениях.
• Kaspersky Anti-Hacker определяет попытки сканирования портов, и блокируют тот хост, с которого производилось сканирование. При помощи сканирования злоумышленник определяет открытые порты и собирает информацию для последующей атаки на компьютер с целью получения полного контроля над ним для последующих незаконных действий в сети от имени взломанного компьютера. Либо, собрав информацию о компьютере-жертве, злоумышленник проводит атаку с целью вывести компьютер из строя или сделать невозможным доступ к нему из сети.
• Файрвол позволяет просматривать список всех установленных соединений с сетью и при необходимости разорвать их.
• Режимы работы программы позволяют контролировать обмен данными приложений с сетью от разрешения любых данных, проходящих в любом направлении, до полного запрещения обмена данными между компьютером и сетью. После установки файрвол работает в режиме обучения, то есть, спрашивает пользователя о каждой попытке приложения выйти в сеть. Пользователь, в зависимости от собственных предпочтений, либо разрешает, либо запрещает обмен данными между компьютером и сетью. Через некоторое время, когда для всех приложений будут созданы правила общения с сетью, файрвол может быть переключен в более строгий режим работы. В этом режиме файрвол контролирует обмен данными между компьютером и сетью на основе существующих правил, а все остальные попытки приложений отправить или получить данные из сети, для которых не было создано правил, блокируются. Переключение режимов работы файрвола производится в два щелчка мыши.
• Файрвол очень гибок в настройках. Если на компьютере под защитой файрвола работают сервисы, которые должны быть доступны из сети, например, www-сервер, то при помощи одного правила доступ к этому сервису может быть предоставлен как всем желающим, так и определенным посетителям.

Установка программы

Программу можно купить у партнеров ЗАО «Лаборатория Касперского» , в интернет-магазине OZON или в он-лайн магазине Лаборатории Касперского . Без ключевого файла файрвол работать не будет.

До установки программы нужно отключить встроенный в XP файрвол. Это лучше сделать, когда нет физического соединения с сетью, то есть, нужно отключить кабель от сетевой карты. Установка Kaspersky Anti-Hacker при включенном встроенном файрволе Windows XP может вызвать нестабильность системы и сбои в работе. Установка программы полностью автоматизирована. Запустите файл с дистрибутивом программы. Файлы будут распакованы и программа установится на компьютер. В процессе установки программа запросит ключевой файл. Добавьте ключ. Установка программы будет завершена после перезагрузки компьютера.

Интерфейс программы, режимы работы

После окончания установки в трее появится значок программы и на экран будет выведено главное окно, пример которого показан на рисунке ниже.

В главном окне программы, при помощи ползунка, можно изменить текущий уровень безопасности. Возможен выбор следующих режимов:

• Запретить все . При выборе этого режима будет запрещен любой обмен данными между компьютером и сетью. Выбор этого режима аналогичен физическому отключению компьютера от сети.
• Высокий . В этом режиме общение с сетью ограничивается уже созданными правилами. Все попытки обмена данными приложений, для которых не были созданы правила, будут отклонены. Данный режим лучше использовать через продолжительное время, которое файрвол проработал в режиме Средний и для всех приложений, которым нужен доступ в сеть, были созданы правила. Если на компьютер устанавливается приложение, которому нужен доступ в сеть, то нужно временно перевести файрвол в режим Средний или вручную создать правило для нового приложения.
• Средний . При попытке выйти в сеть приложений, для которых еще не было создано правил, файрвол выдаст запрос и попросит указать действие, которое он должен предпринимать при выходе в сеть приложения. Пример запроса будет рассмотрен ниже. С его помощью можно создать правило, которым файрвол будет руководствоваться при последующих попытках приложения выйти в сеть, либо однократно запретить или однократно разрешить приложению обменяться данными с сетью.
• Низкий . В этом режиме файрвол разрешает общение с сетью всех приложений, за исключением тех, для которых созданы запрещающие правила. То есть, если явно не указано, что приложению доступ предоставлен быть не должен, то оно получит доступ в сеть.
• Разрешить все . Выбор этого режима равносилен отключению файрвола. Контроль над сетевой активностью отключается, все приложения получают доступ в сеть, не смотря на созданные правила.

Пункт Режим невидимости предназначен для включения режима работы, в котором файрвол скрывает компьютер в сети. В данном режиме компьютер перестает откликаться на запросы о его существовании в сети. Режим невидимости может быть использован, когда файрвол работает в режиме Высокий , Средний или Низкий . При работе в режиме невидимости инициатором создания соединения с любым сервером в сети может выступать только компьютер под защитой файрвола. Правила фильтрации, разрешающие подключение к определенным сервисам, работающим на компьютере, имеют высший приоритет над режимом невидимости. Таким образом, если на компьютере установлен, к примеру, www-сервер, ожидающий подключения на 80-м порту, то можно создать правило, которое разрешит устанавливать соединения с этим портом и включить режим невидимости. При такой настройке www-сервер будет доступен из сети, но запросы о существовании компьютера в сети (ping) будут игнорироваться.

Рекомендуется после установки, в течение довольно длительного времени, работать в режиме Средний . После того, как для всех приложений будут созданы правила, определяющие их поведение в сети, файрвол можно перевести в режим Высокий . После этого сетевая активность, не описанная правилами, будет молча пресекаться.

Доступ к окну с настройками правил фильтрации пакетов можно получить из главного окна программы, нажав кнопку на панели инструментов или из меню Сервис - Правила фильтрации пакетов . Пример окна с правилами фильтрации пакетов показан на рисунке ниже.

После установки программы в этом списке созданы правила, которые обеспечивают работу в локальной сети. Их можно изменить или удалить, исходя их собственных предпочтений.

Правила выполняются сверху вниз. Файрвол проверяет пакет на соответствие правилу и если правило указывает на действие, которое необходимо выполнить с проходящим пакетом, то действие выполняется. К примеру, если разрешен обмен пакетами между компьютером с установленным файрволом и 21-м портом хоста 192.168.2.2, а весь остальной трафик между этими компьютерами запрещен, то разрешающее правило должно находится выше запрещающего.

Приоритет правил фильтрации пакетов выше, чем правил фильтрации приложений. Если запретить отправлять пакеты на определенный сервер в сети правилом фильтрации пакетов, а потом разрешить какому-либо приложению общаться с этим же сервером, то приложение не получит доступа к указанному серверу, так как, пакет будет отвергнут пакетным фильтром.

После установки файрвола создаются стандартные правила для некоторых приложений, которые можно просмотреть в окне, вызываемом при помощи Сервис - Правила для приложений . Пример правил, созданных после установки программы показан на рисунке ниже.

Правила для приложений могут быть созданы как вручную, так и при помощи мастера. Окно мастера создания правил выводится на экран когда файрвол работает в среднем режиме безопасности. При первом обращении приложения в сеть, когда для него еще не созданы правила, откроется окно, показанное ниже.

Файрвол предложит создать правило для приложения на основе стандартного. Если необходимость выхода приложения в сеть сомнительна, то в окне мастера можно нажать кнопку Блокировать однократно . Это приведет к тому, что запрос приложения будет отклонен, но лишь до следующей его попытки выйти в сеть. Если приложение будет работать некорректно, то во время следующей его попытки выйти в сеть на экране снова появится запрос файрвола на создание правила для этого приложения и такой доступ ему может быть предоставлен. Причем, доступ приложению в сеть может быть предоставлен как полный, то есть, ему будет разрешено устанавливать соединения с любыми портами на любых серверах, либо ограниченный, в соответствии с его типом, который файрвол определит автоматически. Предоставление полного доступа или ограниченного производится путем выбора соответствующего значения из поля со списком Разрешить активность приложения в соответствии с его типом . Стандартные типы приложений показаны ниже.

Если во время создания правила для приложения переключатель поставить в положение Запретить любую активность приложения , то файрвол создаст для него запрещающее правило и до момента удаления этого правила приложение доступа в сеть не получит.

Пункт Настроить правило предназначен для создания правила вручную, что требует некоторых специальных знаний, но позволяет более тонко фильтровать активность приложения. Пример окна, в котором производится ручная настройка правила, показан ниже.

На основе поступившего запроса файрвол создает шаблон, который предлагает исправить под свои потребности вручную. В приведенном выше примере, Миранда с локальной машины с порта 3028 попыталась получить доступ к серверу 64.12.161.153 на порт 5190. Поскольку известно, что Миранда, как и любое другое приложение, при следующем сеансе связи с сервером может отправить запрос не с порта 3028, а с любого выше 1023, то имеет смысл при настройке этого правила снять отметку с пункта Локальный порт . Также, известно, что Миранда всегда будет пытаться установить соединение с сервером на порт 5190. Таким образом, после редактирования правило примет вид, показанный на рисунке ниже.

Если нужно изменить, например, адрес сервера, то в Описании правила нужно щелкнуть мышью по выделенному синим цветом параметру и ввести требуемое значение. После того, как правило отредактировано, нужно нажать кнопку Далее и в следующем окне мастера создания правила выбрать действие, которое должен выполнить файрвол, когда правило сработает. После нажатия кнопки Готово правило будет создано.

События, происходящие во время работы Kaspersky Anti-Hacker, протоколируются в журнале работы. Доступ к журналу можно получить при помощи пункта меню Вид - Журналы или при помощи кнопки на панели инструментов. Пример журнала показан на рисунке ниже.

В каждом созданном правиле можно отметить пункт Занести событие в журнал . В этом случае, при каждом срабатывании правила отметка об этом будет добавляться в журнал работы. По умолчанию в журнале работы фиксируются атаки на компьютер под защитой Kaspersky Anti-Hacker с информацией о типе атаки и адресе, с которого производилась атака. Размер журнала указывается в настройках, доступ к которым можно получить при помощи пункта меню Сервис - Параметры - Журналы . Когда размер журнала превышает указанный в настройках, файрвол записывает новые события вместо самых старых.

Тестирование файрвола

Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании

• Celeron Tualatin 1000A на шине 133, т.е. частота процессора 1333 мегагерца.
• Материнская плата Asus TUSL-2C, BIOS ревизии 1011.
• 512 мегабайт оперативной памяти, работающей на частоте 133 мегагерца.
• Винчестер Seagate Barracuda 4 80 гигабайт в режиме UDMA5.
• Windows XP Pro Eng без сервис-пака.
• 10 мегабитная сеть из двух компьютеров.
• Kaspersky Anti-Hacker 1.5.119.
• Internet Explorer 6.0
• Сканер уязвимостей Retina 4.9.206.
• Утилита для сетевого флуда по ICMP, IGMP, TCP, UDP.

Операционная система после установки не оптимизировалась, не устанавливались ни какие обновления системы безопасности и сервис-паки. Настройки файрвола были оставлены по умолчанию.

Использование программой памяти и загрузка процессора

Для оценки поведения файрвола в тяжелых условиях, когда машина под его защитой атакована по локальной сети, был выполнен ряд тестов. В ходе атаки на тестовую машину снимались показания об объеме занятой программой памяти и о загрузке процессора.

Момент снятия показаний	Объем занятой памяти
	Физическая память (килобайт)	Виртуальная память (килобайт)
После сканирования при помощи Retina при выключенном режиме невидимости
После сканирования при помощи Retina при включенном режиме невидимости
ICMP-флуд в течение 5 минут при включенном режиме невидимости
ICMP-флуд в течение 5 минут при выключенном режиме невидимости
IGMP-флуд в течение 5 минут при включенном режиме невидимости
IGMP-флуд в течение 5 минут при выключенном режиме невидимости
SYN-флуд в течение 5 минут при включенном режиме невидимости
SYN-флуд в течение 5 минут при выключенном режиме невидимости
UDP-флуд в течение 5 минут при включенном режиме невидимости
UDP-флуд в течение 5 минут при выключенном режиме невидимости

Результаты тестов свидетельствуют об отсутствии утечек памяти и демонстрируют, что даже при атаке по локальной сети, где скорость передачи данных в несколько раз выше, чем при работе в интернете, проблем со снижением производительности компьютера под защитой файрвола нет.

Сканирование системы сканером безопасности Retina

Тестовая машина была просканирована сканером уязвимостей Retina до, и после установки файрвола. Результаты сканирования показаны в таблице ниже.

Название	До установки файрвола	После установки файрвола	Режим невидимости
Ответ на ping
Время ответа
Имя домена/рабочей группы
Трассировка маршрута
Время жизни пакета
Определение версии ОС
Определение даты и времени
Определение MAC-адреса
Открытый порт 135
Открытый порт 139
Открытый порт 445
Доступ к административным общим ресурсам

Результаты сканирования показывают, что установка файрвола закрывает доступ к открытым портам и отключает доступ к административным общим ресурсам. Включение режима невидимости скрывает компьютер в сети, и он перестает откликаться на ping.

Атака на тестовую машину

В ходе тестирования файрвола был выполнен флуд по основным протоколам. Данный тест призван показать поведение файрвола при серьезных нагрузках, которых можно достичь только в локальной сети. По умолчанию, после установки файрвола, включен режим блокировки атакующего хоста на 1 час. Эта функция работает и при первой же тестовой атаке файрвол запретил все входящие подключения с машины, на которой работала утилита, с помощью которой производилась атака. Чтобы получить корректные результаты теста, время блокировки атакующего хоста было установлено на 0, но оставлено включенным обнаружение атаки. В ходе тестирования файрвол определял тип атаки, о чем информировал в главном окне программы, пример которого показан ниже.

При атаке на машину под защитой Kaspersky Anti-Hacker загрузка процессора оставалась на приемлемом уровне, а объем использованной программой памяти практически не менялся. Цифры приведены в таблице выше. Самая тяжелая атака по протоколу TCP при отключенном режиме невидимости вызвала загрузку процессора в районе 70%, но эта загрузка не была постоянной, а изменялась от 3% до 69%. Во время этой атаки некоторое замедление скорости работы компьютера было ощутимо, но работу можно было продолжать.

Он-лайн тест файрвола

Для тестирования файрвола на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IP-адрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему.

К сожалению, Kaspersky Anti-Hacker не смог пресечь отправку этих данных. После запуска утилиты файрвол вывел на экран окно мастера создания правил, определив, что Windows Explorer пытается получить доступ в интернет. После создания правила, которое запретило любую активность Windows Explorer, PCAudit2 продолжила свою работу и отправила на сервер собранную информацию. Факт утечки информации был подтвержден открытой затем страницей, где была перечислена вся перехваченная информация и показан скриншот экрана, снятый во время работы утилиты. Тест утечки был повторен с уже созданным правилом, запрещающим обмен любыми данными между Windows Explorer и любыми серверами. К сожалению, результаты теста были вновь негативными, то есть, утилита опять смогла отправить всю собранную информацию на свой сервер.

Вывод

Результаты тестирования файрвола указывают на то, что, в целом, продукт достаточно качественный и обеспечивает барьер между сетью и компьютером. Это подтверждается объемом занимаемой памяти и использованием программой процессора при проведении атаки на компьютер «в лоб». Результаты сканирования подтверждают то, что система под защитой Kaspersky Anti-Hacker защищена от атак с использованием обнаруженных и еще не известных уязвимостей в системных сервисах. Разумный минимализм настроек значительно облегчает работу с файрволом неподготовленного пользователя. В то же время, можно вручную создавать достаточно сложные правила, которые при определенном объеме знаний помогут организовать гибкий контроль над трафиком. Не смотря на все это, он-лайн тестирование показало, что файрвол не достаточно хорошо контролирует приложения. Пользователь должен внимательно контролировать запуск приложений, не открывать файлов, полученных из сомнительных источников. В некоторых случаях, выполнить это условие невозможно и при неблагоприятном стечении обстоятельств, с компьютера под защитой файрвола могут быть похищены важные данные.

В этом обзоре будут рассмотрены основные функции, настройки персонального файрвола Kaspersky Anti–Hacker 1.5. Будет протестирована скорость работы и надежность, для чего будет смоделирована реальная атака на компьютер, находящийся под защитой Kaspersky Anti–Hacker.

Назначение программы, основные функции

Kaspersky Anti–Hacker является персональным файрволом и его использование надежно защищает компьютер от проникновения извне, позволяет контролировать поведение установленного на компьютере программного обеспечения, пресекая его несанкционированные попытки отправить данные в сеть. Программа предохраняет компьютер от заражения некоторыми типами вирусов и обеспечивает сохранность файлов от несанкционированного удаления или изменения.
Kaspersky Anti–Hacker позволяет пользователю гибко настраивать правила для приложений и фильтровать пакеты, которыми обменивается компьютер с серверами, расположенными в сети. Детектор атак обнаруживает наиболее распространенные атаки на компьютер и автоматически блокирует атакующего. Режим невидимости делает компьютер под защитой Kaspersky Anti–Hacker невидимым в сети, что затрудняет подготовку и проведение атаки на него. Kaspersky Anti–Hacker контролирует целостность приложений, и если его файлы изменяются, то пользователь будет проинформирован об этом. Все события, происходящие во время работы в сети, протоколируются в журнале работы.
Следует понимать, что Kaspersky Anti–Hacker является файрволом, который контролирует трафик между компьютером и серверами, а не антивирусом. Лишь некоторые типы вирусов и шпионских программ, которые при заражении компьютера загружают из сети свои компоненты или отправляют данные в сеть могут быть обнаружены при помощи Kaspersky Anti–Hacker. Чтобы надежно защитить компьютер и от вирусов и от взлома рекомендуется пользоваться связкой из Kaspersky Anti–Hacker и .

Основные функции Kaspersky Anti–Hacker:

• Контроль сетевой активности всех приложений, установленных на компьютере. При помощи правил определенному приложению можно разрешить доступ только к определенному серверу в сети или разрешить доступ ко всем серверам, а запретить только к одному или нескольким определенным. Таким образом, все приложения, установленные на компьютере, находятся под постоянным контролем и могут обмениваться данными с серверами только после разрешения пользователя.
• Режим невидимости в сети, который обеспечивает файрвол, значительно затрудняет обнаружение компьютера в сети, и, следовательно, осложняет процесс подготовки и проведения атаки на него.
• Фильтрация пакетов обеспечивает контроль над трафиком на более низком уровне, чем уровень приложений. Таким образом, сетевая активность в определенных направлениях может быть пресечена раз и навсегда, вне зависимости от того, какое приложение пытается отправить данные в запрещенных направлениях.
• Kaspersky Anti–Hacker определяет попытки сканирования портов, и блокирует тот хост, с которого производилось сканирование. При помощи сканирования злоумышленник определяет открытые порты и собирает информацию для последующей атаки на компьютер с целью получения полного контроля над ним для последующих незаконных действий в сети от имени взломанного компьютера. Либо, собрав информацию о компьютере–жертве, злоумышленник проводит атаку с целью вывести компьютер из строя или сделать невозможным доступ к нему из сети.
• Файрвол позволяет просматривать список всех установленных соединений с сетью и при необходимости разрывать их.
• Режимы работы программы позволяют контролировать обмен данными приложений с сетью от разрешения любых данных, проходящих в любом направлении, до полного запрещения обмена данными между компьютером и сетью. После установки файрвол работает в режиме обучения, то есть, спрашивает пользователя о каждой попытке приложения выйти в сеть. Пользователь, в зависимости от собственных предпочтений, либо разрешает, либо запрещает обмен данными между компьютером и сетью. Через некоторое время, когда для всех приложений будут созданы правила общения с сетью, файрвол может быть переключен в более строгий режим работы. В этом режиме файрвол контролирует обмен данными между компьютером и сетью на основе существующих правил, а все остальные попытки приложений отправить или получить данные из сети, для которых не было создано правил, блокируются. Переключение режимов работы файрвола производится в два щелчка мыши.
• Файрвол очень гибок в настройках. Если на компьютере под защитой файрвола работают сервисы, которые должны быть доступны из сети, например, www–сервер, то при помощи одного правила доступ к этому сервису может быть предоставлен как всем желающим, так и определенным посетителям.

Установка программы

Программу можно купить у , в или в он–лайн магазине Лаборатории Касперского . Без ключевого файла файрвол работать не будет.

До установки программы нужно отключить встроенный в XP файрвол. Это лучше сделать, когда нет физического соединения с сетью, то есть, надо отключить кабель от сетевой карты. Инсталляция Kaspersky Anti–Hacker при включенном встроенном файрволе Windows XP может вызвать нестабильность системы и сбои в работе. Установка программы полностью автоматизирована. Запустите файл с дистрибутивом программы. Файлы будут распакованы и программа установится на компьютер. В процессе установки программа запросит ключевой файл. Добавьте ключ. Установка программы будет завершена после перезагрузки компьютера. Интерфейс программы, режимы работы

После окончания установки в трее появится значок программы и на экран будет выведено главное окно, пример которого показан на рисунке ниже.

В главном окне программы, при помощи ползунка, можно изменить текущий уровень безопасности. Возможен выбор следующих режимов:

• Запретить все . При выборе этого режима будет запрещен любой обмен данными между компьютером и сетью. Выбор этого режима аналогичен физическому отключению компьютера от сети.
• Высокий . В этом режиме общение с сетью ограничивается уже созданными правилами. Все попытки обмена данными приложений, для которых не были созданы правила, будут отклонены. Данный режим лучше использовать через продолжительное время, которое файрвол проработал в режиме Средний и если для всех приложений, которым нужен доступ в сеть, были созданы правила. Если на компьютер устанавливается приложение, которому нужен доступ в сеть, то нужно временно перевести файрвол в режим Средний или вручную создать правило для нового приложения.
• Средний . При попытке выйти в сеть приложений, для которых еще не было создано правил, файрвол выдаст запрос и попросит указать действие, которое он должен предпринимать при выходе в сеть приложения. Пример запроса будет рассмотрен ниже. С его помощью можно создать правило, которым файрвол будет руководствоваться при последующих попытках приложения выйти в сеть, либо однократно запретить или однократно разрешить приложению обменяться данными с сетью.
• Низкий . В этом режиме файрвол разрешает общение с сетью всех приложений, за исключением тех, для которых созданы запрещающие правила. То есть, если явно не указано, что приложению доступ предоставлен быть не должен, то оно получит доступ в сеть.
• Разрешить все . Выбор этого режима равносилен отключению файрвола. Контроль над сетевой активностью отключается, все приложения получают доступ в сеть, не смотря на созданные правила.

Пункт Режим невидимости предназначен для включения режима работы, в котором файрвол скрывает компьютер в сети. В данном режиме компьютер перестает откликаться на запросы о его существовании в сети. Режим невидимости может быть использован, когда файрвол работает в режиме Высокий , Средний или Низкий . При работе в режиме невидимости инициатором создания соединения с любым сервером в сети может выступать только компьютер под защитой файрвола. Правила фильтрации, разрешающие подключение к определенным сервисам, работающим на компьютере, имеют высший приоритет над режимом невидимости. Таким образом, если на компьютере установлен, например, www–сервер, ожидающий подключения на 80–м порту, то можно создать правило, которое разрешит устанавливать соединения с этим портом и включить режим невидимости. При такой настройке www–сервер будет доступен из сети, но запросы о существовании компьютера в сети (ping) будут игнорироваться.

Рекомендуется после установки, в течение довольно длительного времени, работать в режиме Средний . После того, как для всех приложений будут созданы правила, определяющие их поведение в сети, файрвол можно перевести в режим Высокий . После этого сетевая активность, не описанная правилами, будет молча пресекаться.

Доступ к окну с настройками правил фильтрации пакетов можно получить из главного окна программы, нажав кнопку на панели инструментов или из меню Сервис – Правила фильтрации пакетов . Пример окна с правилами фильтрации пакетов показан на рисунке ниже.

После установки программы в этом списке созданы правила, которые обеспечивают работу в локальной сети. Их можно изменить или удалить, исходя их собственных предпочтений.

Правила выполняются сверху вниз. Файрвол проверяет пакет на соответствие правилу и если оно указывает на действие, которое необходимо выполнить с проходящим пакетом, то действие выполняется. Например, если разрешен обмен пакетами между компьютером с установленным файрволом и 21–м портом хоста 192.168.2.2, а весь остальной трафик между этими компьютерами запрещен, то разрешающее правило должно находиться выше запрещающего.

Приоритет правил фильтрации пакетов выше, чем правил фильтрации приложений. Если запретить отправлять пакеты на определенный сервер в сети правилом фильтрации пакетов, а потом разрешить какому–либо приложению общаться с этим же сервером, то приложение не получит доступа к указанному серверу, так как, пакет будет отвергнут пакетным фильтром.

После установки файрвола создаются стандартные правила для некоторых приложений, которые можно просмотреть в окне, вызываемом при помощи Сервис – Правила для приложений . Пример правил, созданных после установки программы показан на рисунке ниже.

Правила для приложений могут быть созданы как вручную, так и при помощи мастера. Окно мастера создания правил выводится на экран когда файрвол работает в среднем режиме безопасности. При первом обращении приложения в сеть, когда для него еще не созданы правила, откроется окно, показанное ниже.

Файрвол предложит создать правило для приложения на основе стандартного. Если необходимость выхода приложения в сеть сомнительна, то в окне мастера можно нажать кнопку Блокировать однократно . Это приведет к тому, что запрос приложения будет отклонен, но лишь до следующей его попытки выйти в сеть. Если приложение будет работать некорректно, то во время следующей его попытки выйти в сеть на экране снова появится запрос файрвола на создание правила для этого приложения и такой доступ ему может быть предоставлен. Причем, доступ приложению в сеть может быть предоставлен как полный (то есть, ему будет разрешено устанавливать соединения с любыми портами на любых серверах), так и ограниченный, в соответствии с его типом, который файрвол определит автоматически. Предоставление полного доступа или ограниченного производится путем выбора соответствующего значения из поля со списком Разрешить активность приложения в соответствии с его типом . Стандартные типы приложений показаны ниже.

Если во время создания правила для приложения переключатель поставить в положение Запретить любую активность приложения , то файрвол создаст для него запрещающее правило и до момента удаления этого правила приложение не получит доступа в сеть.

Пункт Настроить правило предназначен для создания правила вручную, что требует некоторых специальных знаний, но позволяет более тонко фильтровать активность приложения. Пример окна, в котором производится ручная настройка правила, показан ниже.

На основе поступившего запроса файрвол создает шаблон, который предлагает исправить вручную под свои нужды. В приведенном выше примере, Миранда с локальной машины с порта 3028 попыталась получить доступ к серверу 64.12.161.153 на порт 5190. Поскольку известно, что Миранда, как и любое другое приложение, при следующем сеансе связи с сервером может отправить запрос не с порта 3028, а с любого выше 1023, то имеет смысл при настройке этого правила снять отметку с пункта Локальный порт . Также, известно, что Миранда всегда будет пытаться установить соединение с сервером на порт 5190. Таким образом, после редактирования правило примет вид, показанный на рисунке ниже.

Если нужно изменить, например, адрес сервера, то в Описании правила нужно щелкнуть мышью по выделенному синим цветом параметру и ввести требуемое значение. После того, как правило отредактировано, нужно нажать кнопку Далее и в следующем окне мастера создания правила выбрать действие, которое должен выполнить файрвол, когда правило сработает. После нажатия кнопки Готово правило будет создано.

События, происходящие во время работы Kaspersky Anti–Hacker, протоколируются в журнале работы. Доступ к журналу можно получить при помощи пункта меню Вид – Журналы или при помощи кнопки на панели инструментов. Пример журнала показан на рисунке ниже.

В каждом созданном правиле можно отметить пункт Занести событие в журнал . В этом случае, при каждом срабатывании правила отметка об этом будет добавляться в журнал работы. По умолчанию в нем фиксируются атаки на компьютер под защитой Kaspersky Anti–Hacker с информацией о типе атаки и адресе, с которого она производилась. Размер журнала указывается в настройках, доступ к которым можно получить при помощи пункта меню Сервис – Параметры – Журналы . Когда размер журнала превышает указанный в настройках, файрвол записывает новые события вместо самых старых. Тестирование файрвола

Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании

• Celeron Tualatin 1000A на шине 133, т.е. частота процессора 1333 мегагерца.
• Материнская плата Asus TUSL–2C, BIOS ревизии 1011.
• 512 мегабайт оперативной памяти, работающей на частоте 133 мегагерца.
• Винчестер Seagate Barracuda 4 80 гигабайт в режиме UDMA5.
• Windows XP Pro Eng без сервис–пака.
• 10 мегабитная сеть из двух компьютеров.
• Kaspersky Anti–Hacker 1.5.119.
• Internet Explorer 6.0
• Сканер уязвимостей Retina 4.9.206.
• Утилита для сетевого флуда по ICMP, IGMP, TCP, UDP.

Операционная система после установки не оптимизировалась, не устанавливались никакие обновления системы безопасности и сервис–паки. Настройки файрвола были оставлены по умолчанию.

Использование программой памяти и загрузка процессора

Для оценки поведения файрвола в тяжелых условиях, когда машина под его защитой атакована по локальной сети, был выполнен ряд тестов. В ходе атаки на тестовую машину снимались показания об объеме занятой программой памяти и о загрузке процессора.

Момент снятия показаний	Объем занятой памяти
	Физическая память (килобайт)	Виртуальная память (килобайт)
После сканирования при помощи Retina при выключенном режиме невидимости
После сканирования при помощи Retina при включенном режиме невидимости
ICMP–флуд в течение 5 минут при включенном режиме невидимости
ICMP–флуд в течение 5 минут при выключенном режиме невидимости
IGMP–флуд в течение 5 минут при включенном режиме невидимости
IGMP–флуд в течение 5 минут при выключенном режиме невидимости
SYN–флуд в течение 5 минут при включенном режиме невидимости
SYN–флуд в течение 5 минут при выключенном режиме невидимости
UDP–флуд в течение 5 минут при включенном режиме невидимости
UDP–флуд в течение 5 минут при выключенном режиме невидимости

Результаты тестов свидетельствуют об отсутствии утечек памяти и демонстрируют, что даже при атаке по локальной сети, где скорость передачи данных в несколько раз выше, чем при работе в интернете, проблем со снижением производительности компьютера под защитой файрвола нет.

Сканирование системы сканером безопасности Retina

Тестовая машина была просканирована сканером уязвимостей Retina до, и после установки файрвола. Результаты сканирования показаны в таблице ниже.

Результаты сканирования демонстрируют, что установка файрвола закрывает доступ к открытым портам и отключает доступ к административным общим ресурсам. Включение режима невидимости скрывает компьютер в сети, и он перестает откликаться на ping.

Атака на тестовую машину

В ходе тестирования файрвола был выполнен флуд по основным протоколам. Данный тест призван показать поведение файрвола при серьезных нагрузках, которых можно достичь только в локальной сети. По умолчанию, после установки файрвола, включен режим блокировки атакующего хоста на 1 час. Эта функция работает, и при первой же тестовой атаке файрвол запретил все входящие подключения с машины, на которой работала утилита, с помощью которой производилась атака. Чтобы получить корректные результаты теста, время блокировки атакующего хоста было установлено на 0, но сохранено включенным обнаружение атаки. В ходе тестирования файрвол определял тип атаки, о чем информировал в главном окне программы, пример которого показан ниже.

При атаке на машину под защитой Kaspersky Anti–Hacker загрузка процессора оставалась на приемлемом уровне, а объем использованной программой памяти практически не менялся. Цифры приведены в таблице выше. Самая тяжелая атака по протоколу TCP при отключенном режиме невидимости вызвала загрузку процессора в районе 70%, но эта загрузка не была постоянной, а изменялась от 3% до 69%. Во время этой атаки некоторое замедление скорости работы компьютера было ощутимо, но работу можно было продолжать.

Он–лайн тест файрвола

Для тестирования файрвола на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IP–адрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему.

К сожалению, Kaspersky Anti–Hacker не смог пресечь отправку этих данных. После запуска утилиты файрвол вывел на экран окно мастера создания правил, определив, что Windows Explorer пытается получить доступ в интернет. После создания правила, которое запретило любую активность Windows Explorer, PCAudit2 продолжила свою работу и отправила на сервер собранную информацию. Факт утечки информации был подтвержден открытой затем страницей, где была перечислена вся перехваченная информация и показан скриншот экрана, снятый во время работы утилиты. Тест утечки был повторен с уже созданным правилом, запрещающим обмен любыми данными между Windows Explorer и любыми серверами. К сожалению, результаты теста были вновь негативными, то есть, утилита опять смогла отправить всю собранную информацию на свой сервер. Вывод

Результаты тестирования файрвола указывают на то, что, в целом, продукт достаточно качественный и обеспечивает барьер между сетью и компьютером. Это подтверждается объемом занимаемой памяти и использованием программой процессора при проведении атаки на компьютер «в лоб». Результаты сканирования подтверждают то, что система под защитой Kaspersky Anti–Hacker защищена от атак с использованием обнаруженных и еще не известных уязвимостей в системных сервисах. Разумный минимализм настроек значительно облегчает работу с файрволом неподготовленного пользователя. В то же время, можно вручную создавать достаточно сложные правила, которые при определенном объеме знаний помогут организовать гибкий контроль над трафиком. Не смотря на все это, он–лайн тестирование показало, что файрвол не достаточно хорошо контролирует приложения. Пользователь должен внимательно следить за запуском приложений, не открывать файлов, полученных из сомнительных источников. В некоторых случаях, выполнить это условие невозможно и при неблагоприятном стечении обстоятельств, с компьютера под защитой файрвола могут быть похищены важные данные.

Как отключить файрвол и зачем это нужно

Любой компьютер, работающий с ОС Windows, уже оснащен штатным файрволом. Иногда при переустановке программы или операционной системы его приходится на время отключать. Еще чаще причиной отключения встроенного сетевого экрана становится инсталляция другого файрвола, самостоятельного или в составе программы стороннего разработчика.

Для предотвращения конфликта двух файрволов обычно отключают встроенный, совсем удалить его нельзя, а остановить или приостановить работу - можно, если знать, как отключить файрвол. В Windows обычно приходится проделать несколько шагов, нужно не только отключить работу файрвола в его собственных настройках, но и отменить предусмотренный по умолчанию автоматический запуск его службы.

Иногда приходится отключать файрвол в составе программ Internet Security, обычно временно, поскольку он мешает выполнению определенных операций. В Аваст, например, это можно сделать через управление экранами, экран брандмауэра отключается кнопкой Стоп на вкладке Экраны в реальном времени. В Касперском находится иконка файрвола и в контекстном меню выбирается пункт отключить (или слово с аналогичным значением).