Российские компании, которые ведут высокотехнологичные проекты, почти незаметны из-за блеска рекламы своих зарубежных коллег. Тем не менее они вызывают искренний интерес как умением оставаться на плаву в сложившихся экономических условия, так и конкурентоспособностью своих разработок. Рассмотрение нескольких из них и будет темой данной статьи. В ней мы познакомимся с «джентльменским набором» для работы в Интернете компании «Агава»: брандмауэром, парой спам-фильтров и поисковиком программ-шпионов.

Сетевой брандмауэр AGAVA Firewall (AGFW) позволяет комплексно контролировать сетевую активность защищаемой системы — от фильтрации транслируемых по сети данных и их анализа до доступа к ней системных и пользовательских приложений. Логика его работы проста и следует канонам персональной сетевой защиты. Когда какая-либо программа впервые запрашивает доступ к Сети, то брандмауэр, блокировав ее исполнение, выясняет у пользователя, разрешается ли ей совершать подобные действия. Сохранив ответ, в дальнейшем он сам контролирует программу, не запрашивая пользователя. Но как только поведение программы или же один из ее компонентов изменятся, брандмауэр вновь заблокирует сетевую активность приложения до тех пор, пока не получит указание от пользователя.

AGAVA Firewall — журнал событий

Администрирование AGFW значительно облегчает набор предустановленных правил, описывающих активность наиболее часто используемых прикладных и системных приложений. Текущие правила фильтрации приведены в меню брандмауэра (раздел «Политики»). В подраздел «Приложения» отнесены правила для пользовательских программ. Подраздел «Системные» содержит правила фильтрации для сетевых сервисов ОС. А подраздел «Глобальные» включает правила фильтрации, применяемые одновременно как к системным, так и к пользовательским задачам.

Разумной мерой предосторожности было бы по завершении первоначальной настройки брандмауэра отключить неиспользуемые системные и глобальные правила фильтрации. Ведь если не стоит задача подключения к удаленной частной сети, то не требуется и соответствующее правило (Allow PPTP Control Connections), разрешающее подобные соединения. С «параноидальной» точки зрения, глобальные и системные правила приводят к потенциальной уязвимости системы, поскольку не контролируют целостность программ с подобной активностью. Но прежде чем отключать правила, следует четко разобраться, что действительно необходимо для работы системы, а что нет.

Среди различных функций AGFW следует отметить механизм защиты от подмены MAC-адресов, предотвращающий появление сетевого «посредника». При удачной атаке такой «посредник», пропуская весь трафик через себя, получает полный доступ к передаваемой информации и может взламывать шифрованные каналы связи.

Защита от внедрения фальшивых MAC-адресов не исключает возможность перехвата трафика сторонним клиентом сети. Но решение этой задачи находится уже вне компетенции персональных средств защиты.

В целом работа с брандмаэуром оставила приятное впечатление. Управление программы не усложнено. Интерфейс логичен и удобен. Пожалуй, лишь одно показалось слегка неудобным — фильтр HTML («Расширения файервола» ? «Фильтр WWW» ? «Настройки»), задающий блокировку скриптов, всплывающих окон и т.п., применяется сразу ко всем интернет-ресурсам, не внесенным в список исключений. Было бы гораздо сподручнее, если бы возможно было устанавливать индивидуальные ограничения для различных ресурсов.

Результаты проверки брандмауэра на «прочность» оказались средними, но он получил отличную оценку за отражение сетевых атак. Например, при установке режима «невидимка» («Адаптеры» ? «Имя сетевого интерфейса») все тесты ресурса PC Flank (Stealf Test) подтвердили надежность защиты системы. Но с проверкой брандмауэра на предотвращение несанкционированной утечки данных не все прошло так же блестяще. Тесты проницаемости AWFT, Ghost, Thermite, CopyCat, PCAudit2 выявили его уязвимость. Нельзя назвать удовлетворительной и способность блокировать скрипты, включенные в html-страницы. Последнее упущение может привести к несанкционированному запуску программы на компьютере клиента. К сожалению, по этим параметрам АGFW уступает аналогичным средствам персональной сетевой защиты, представленным компаниями Agnitum (Outpost Firewall Pro) и Zone Labs (ZoneAlarm PRO), оставаясь вполне конкурентоспособным по иным характеристикам и более дешевым.

Описанные бреши в защите брандмауэра AGFW отчасти прикрывает другая разработка компании «Агава» — AGAVA AntiSpy, предназначенная для поиска и устранения «шпионов» (spyware), попавших на компьютер пользователя. Причем разыскиваются не только сами вредоносные или потенциально вредоносные объекты, но и оставляемые ими характерные следы. Стоит учесть, что категория spyware включает широкий спектр программ: от «троянских коней», через сетевые коммуникации предоставляющих злоумышленникам неограниченный доступ к управлению пораженным компьютером, до модулей, собирающих строго ограниченную информацию о работе пользователя и установленных им добровольно, например, вместе с каким-либо свободно распространяемым ПО.

AGAVA AntiSpy — отчет о поиске

Окончательное решение по удалению объекта, подозрительного с точки зрения AGAVA AntiSpy, оставлено за пользователем. AntiSpy сначала сообщит об обнаружении и даст краткую характеристику и оценку потенциальной опасности, а потом предложит либо удалить программу, либо поместить ее в карантин (в данном случае возможно последующее восстановление), либо внести в белый список, чтобы исключить из области проверки AGAVA AntiSpy.

Отмечу также, что брандмауэр и поисковик «шпионов» компании «Агава», используемые для сетевой защиты, обязательно должны дополняться антивирусной программой.

Комплексная защита — аксиома компьютерной безопасности. Но учтите, что никакие ухищрения разработчиков не заменят наличия у пользователей здравого смысла. К сожалению, большинство случаев заражения вызвано элементарной непредусмотрительностью: отсутствие брандмауэра при работе в Интернете, запуск исполняемых файлов, полученных из непроверенных источников, отсутствие необходимых обновлений — «заплаток» для ОС и прикладных программ.

После угрозы сетевых нападений следующим по значимости подарком Пандоры обитателям Интернета является спам. Непрошенные рекламные объявления крадут деньги, заставляя оплачивать паразитный трафик, и время, уходящее на разборку корреспонденции. Устранение спама — задача, выходящая за рамки возможностей обычных клиентов Интернета, но есть способы хотя бы отчасти смягчить последствия данной проблемы, в частности, с помощью AGAVA SpamProtexx — программного фильтра электронных писем. Он проводит словарный анализ содержания корреспонденции и изучает ответы пользователя, чтобы собрать данные о частоте употребления различных слов в обычных и «спаммерских» письмах. Каждое новое сообщение оценивается с точки зрения полученных статистических данных, после чего фильтр трактует письмо либо как «нормальное» и пропускает его в неизмененном виде, либо как «спаммерское» и добавляет в его заголовок специальную метку. При ее наличии письмо можно обрабатывать штатными средствами почтовых программ, сортирующими входящую корреспонденцию.

AGAVA SpamProtexx — первоначальная настройка

AGAVA SpamProtexx поддерживает работу по протоколам POP3, IMAP, SMTP. Автоматически определяется и поддерживается криптографическая защита передаваемых по ним данных.

Примененный в SpamProtexx метод анализа и оценки корреспонденции, основанный на алгоритме Байеса, относится к контентным способам фильтрации, в настоящее время наиболее эффективным для борьбы со спамом.

Этот же метод фильтрации корреспонденции используется в еще одном продукте компании «Агава» — антиспам-модуле AGAVA SpamProtexx для почтового клиента The Bat!.

Статистика работы антиспам-модуля для The Bat!

Интересно, что SpamProtexx не требует изменения настроек почтового клиента в отличие, например, от SpamPal (хотя там изменения и минимальны, они все же есть). Работая на уровне прикладных сетевых протоколов, SpamProtexx на лету перехватывает соединения с почтовым сервером, что делает его универсальным инструментом для любой почтовой программы.


Наш словарик

Агава (Agave L.) — растение из семейства амариллисовых, класса односемянодомных, многолетнее, родина — теплые страны Америки (Энциклопедический словарь Брокгауза и Ефрона)

Агава (′Ayaúη,′Aya′βη) — в греческой мифологии дочь Кадма и Гармонии, мать Пенфея (энциклопедия «Мифы народов мира»)

Агау (самоназвание — агав), группа кушитских народов в Эфиопии и Эритрее (Российский энциклопедический словарь)

Тест проницаемости (leak test) — проверяет способность брандмауэра предотвратить несанкционированную сетевую передачу информации с защищаемой компьютерной системы. Применяемые в тестах методы обхода сетевой защиты взяты из реально существующих троянских программ или же являются экспериментальными, пока еще не нашедшими широкого применения. Коллекция наиболее известных программ-тестов проницаемости представлена на интернет-ресурсе проекта FirewallLeakTester.


Список упоминаемых проектов и ресурсов

«Агава» http://www.agava.ru

AGFW http://www.agfirewall.ru

Agava AntiSpy http://www.antispy.ru

Agava SpamProtexx http://www.spamprotexx.ru

FirewallLeakTester http://www.firewallleaktester.com

Outpost Firewall Pro http://www.agnitum.ru

PC Flank http://www.pcflank.com

SpamPal http://www.spampal.org

The Bat! http://www.ritlabs.com/ru

ZoneAlarm PRO http://www.zonelabs.com


Дополнительные возможности Agava Firewall

  • Фильтрация вложений в e-mail-корреспонденции.
  • Кэширование DNS-записей.
  • Детектирование сетевых нападений с возможностью установки автоматической блокировки атакующего.
  • Фильтрация WWW-объектов (блокировка баннеров, всплывающих окон, нежелательных интернет-ресурсов, flash-роликов и т.п.).
2293