 |
|
|
|
Защищаем систему с помощью Outpost Security Suite
Защищаем систему с помощью Outpost Security Suite Домашние компьютеры и одиночные рабочие станции подвергаются различным атакам не меньше, чем корпоративные серверы и сетевое оборудование. Поэтому для их защиты тоже требуются комплексные решения, такие как Outpost Security Suite. Постановка задачи Межсетевой экран, антивирусная система, средства предотвращения вторжения, антиспам – все эти компоненты являются на сегодняшний день неотъемлемой частью системы безопасности для домашних компьютеров и рабочих станций, не находящихся под контролем корпоративных средств защиты. Сейчас многие компании, специализирующиеся на разработке антивирусных приложений, а также средств безопасности, предлагают на рынке свои решения. Как правило, все эти решения содержат в себе полный набор средств защиты, необходимых для обеспечения неуязвимости персонального компьютера. Сегодня я расскажу о новом продукте компании Agnitum – Outpost Security Suite Pro, о функционале данного приложения, его достоинствах и недостатках. Получить испытательную версию данной программы вы можете по адресу [1]. Требования к системе Прежде чем начать описание возможностей Outpost Security Suite Pro, скажу несколько слов о том, какие аппаратные требования предъявляют приложения к системе пользователя. По информации с сайта производителя, поддерживаются следующие платформы: Windows 2003 Server (x86 и x64 версии), XP (x86 и x64 версии), 2000 Professional. В качестве тестовой системы я использовал Windows XP SP2, думаю, большинство потенциальных пользователей данной программы будут разворачивать ее на рабочих станциях под управлением именно Windows XP. Отсутствие Vista в списке поддерживаемых операционных систем меня особо не удивило, так как не секрет, что многие компании-разработчики сознательно не указывают в списках поддерживаемых продуктов эту операционную систему, так как опасаются за надежность функционирования своих продуктов. К тому же существует мнение, что Microsoft сознательно осложняет интеграцию продуктов, связанных с безопасностью, со своей новой операционной системой, для того, чтобы пользователи применяли для защиты только продукты от MS. Однако, по словам разработчиков, Agnitum Outpost Security Suite Pro 2008 для Vista сейчас находится в финальной стадии публичного бета-тестирования. Так как в состав Outpost Security Suite Pro входят компоненты для работы с электронной почтой на стороне клиента, в связи с этим приводится следующий список: Microsoft Outlook Express, Microsoft Outlook 2000, 2002, 2003 и 2007. Как видите, поддерживаются только почтовые клиенты от Microsoft. Это не слишком хорошо, так как всё больше пользователей применяют программное обеспечение с открытым кодом, и отсутствие поддержки таких приложений в дальнейшем может сказаться на востребованности программы. При этом список поддерживаемых почтовых протоколов стандартен: POP3, SMTP, IMAP. Аппаратные требования вполне приемлемые: процессор с частотой 450 МГц или выше (включая поддержку многоядерных процессоров), 256 Мб оперативной памяти, 100 Мб свободного дискового пространства. Установка Разработчики настоятельно рекомендуют удалить с рабочей станции антивирусные продукты и межсетевые экраны от других производителей. Однако мне удалось добиться совместной работы Outpost Security Suite с Symantec Client Security. Правда, межсетевой экран, входящий в состав продукта от Symantec, лучше все-таки отключить. Итак, тем, кто уже знаком с продуктами семейства Outpost (к примеру, с их межсетевыми экранами), процесс установки Outpost Security Suite Pro покажется знакомым. После запуска у вас появляется окно мастера, в котором вам предлагается выбрать уровень безопасности (см. рис. 1).
Рисунок 1. Выбор уровня безопасности Как видно, нам предлагается три возможных уровня: повышенный, обычный и низкий. Обычно выбор уровня защищенности делается между повышенным и обычным, и определяется, как правило, уровнем владения компьютером того пользователя, который постоянно использует данную машину. То есть на машине системного администратора лучше использовать повышенный уровень, так как админ в состоянии грамотно реагировать на те сообщения, которые будет выдавать программа в процессе работы и настраивать ее соответствующим образом. А вот, например, генеральному директору вряд ли понравится большое количество непонятных сообщений на его ноутбуке, поэтому такому пользователю лучше ограничиться обычным уровнем защиты с дополнительными настройками, о которых я расскажу чуть позже. Следующим шагом после выбора уровня защиты является конфигурация модуля «Антивирус+Антишпион». Необходимо настроить уровень постоянной защиты системы. Можно проверять файлы только при запуске или при каждом обращении. Если у вас мощный компьютер, и вы хотите настроить повышенный уровень безопасности, то лучше выбрать второй вариант. Далее, если вы желаете ускорить процесс сканирования, рекомендуется включить технологию SmartScan. Она значительно увеличивает скорость работы модуля, кэшируя результаты проверки неизменившихся файлов и папок до следующего обновления баз вирусов и шпионского по, что дает многократное ускорение при повторной проверке ПК в течение одного дня. Это поможет снизить нагрузку на производительность системы, но будьте осторожны, возможны ложные срабатывания средств по борьбе с руткитами (антируткитов) на скрытые файлы. Далее, открывается окно автоматического создания правил. Здесь вы можете либо разрешить автоматическое создание правил при запросе действия, или же использовать предустановленные правила для предустановленных приложений (см. рис. 2).
Рисунок 2. Настройка создания правил По собственному опыту работы с межсетевыми экранами Agnitum и другими могу сказать, что второго режима вам будет явно недостаточно. Всегда найдется какое-либо специфическое приложение, готового шаблона для которого не окажется в базе межсетевого экрана. Поэтому рекомендую выбрать первый режим. Далее будет осуществлен поиск сетей и создана база контроля компонентов. В следующем окне необходимо завершить настройку конфигурации. Нажав кнопку «Дополнительно», можно произвести специальные настройки, в частности, указать приложения, которым разрешен или запрещен выход в сеть, указать режимы работы Outpost и других компонент. Это меню настройки в полном составе сохранилось от прежних версий межсетевого экрана Agnitum Outpost. Сохраняем конфигурацию, нажав «Finish». Как и принято для подобных приложений, для активации настроек Outpost Security требует перезагрузки системы. После перезагрузки в правом нижнем углу экрана должен появиться значок Outpost Security. Нажав на него, мы попадаем в окно администрирования программы. В левой части окна располагается набор инструментов для мониторинга. Рассмотрим эти инструменты более подробно. Мониторинг и статистика В разделе «My Internet» вы можете наблюдать сетевую активность, количество открытых портов, используемые протоколы, также статистику по разрешенным и запрещенным соединениям, как открытым, так и закрытым. Следующим разделом являются «Plug-Ins». Здесь уже можно отметить все преимущества Outpost Security Suite перед предыдущими версиями, являвшимися, по сути, лишь межсетевыми экранами с некоторыми дополнениями. В разделе «Active Content» можно наблюдать статистику по блокированию различных активных компонентов, таких как всплывающие окна, ActiveX-сценарии, JavaScript, VBScript и другие. В разделе «Ads» можно наблюдать статистику по блокировке рекламы. В разделе «Anti-Malware» находится статистика по обнаруженным вредоносным приложениям, также и информация о версиях антивирусных баз. Здесь же можно запустить проверку диска на вирусы. В разделе «Anti-Spam» приводится статистика по почтовым сообщениям. При этом отдельно фигурируют сообщения, признанные как легальная почта, подозрительные и признанные спамом. Также здесь можно видеть состояние словарей, отдельно для спама и отдельно для легальных сообщений. Раздел «Attack Detection» также перешел из предыдущих версий межсетевого экрана. В нем вы можете видеть информацию о том, кто, когда и каким образом пытался атаковать вашу систему. Раздел «Content» содержит статистику о блокировании содержимого веб-сайтов. И, наконец, раздел «DNS Cache» содержит информацию о сохраненных DNS-запросах. Итак, мы рассмотрели мониторинг основных компонент, теперь поговорим о настройках. Для этого необходимо зайти в меню «Параметры». Содержимое этого раздела вы уже видели при установке системы. Рассмотрим подробнее последний раздел «Модули». В свойствах плагина «Интерактивные элементы» вы можете настроить фильтрацию определенных активных компонент. При этом возможны три действия: разрешено, запрос, запрещено. Здесь можно также настроить список исключений. А вот плагин «Реклама» располагает более интересным функционалом. Здесь можно задавать слова, по которым признавать тот или иной сайт рекламной страницей и блокировать ее. Также можно блокировать картинки по их размерам. Естественно, все эти свойства можно изменять, добавлять и удалять нужные слова и размеры картинок. Также есть возможность экспорта и импорта этих настроек. Средства защиты от вредоносного кода Особого внимания заслуживает плагин «Антивирус+Антишпион (Anti-Malware)». Фактически данная компонента Outpost Security Suite является системой антивирусной защиты и не только. В закладке «Общие» мы видим основные настройки двух опций «Malware Сканер» и «Постоянная защита». Достаточно стандартные для антивирусов настройки: проверять ли файл при каждом обращении или только при запуске и какое действие выполнять при обнаружении вредоносного кода. В закладке «Личные данные» можно настроить блокирование отправки конфиденциальных данных: паролей и номеров кредитных карт. Формат этих конфиденциальных данных никак не ограничивается, так что вполне можно фильтровать и другие важные для бизнеса данные, такие как имена документов, файлов и т. п. Чуть позже я расскажу о результатах тестирования работы этой и других компонентов на практике. В следующей закладке «Почта» мы можем определить настройки сканирования почтового трафика. Рекомендую сканировать как входящую, так и исходящую почту. Также можно настроить фильтрацию прикрепленных файлов, например, запретить пересылку файлов определенного типа. Наконец, в закладке «Дополнительно» можно настроить расписание для проведения полного сканирования, файлы и папки, которые можно исключить. Также в этом разделе можно настроить защиту критических компонентов системы, таких как компоненты браузера Internet Explorer, WinLogon и другие. Данная защита представляет собой контроль целостности данных компонентов. Плагин «Антиспам» не содержит в себе каких-либо настроек, так как они осуществляются непосредственно в почтовом клиенте. На этом перечисление компонентов Outpost Security Pro можно считать завершенным. Теперь самое время посмотреть продукт в реальных условиях. Проверяем на прочность В качестве тестовой площадки я использовал Windows XP с установленным Service Pack 2. Тестировать функционал межсетевого экрана смысла особого нет, так как межсетевые экраны Outpost и так хорошо известны и имеют непререкаемую репутацию в мире файрволов. Поэтому я буду тестировать лишь новые компоненты – «Антивирус+Антишпион» и «Антиспам». Для тестирования антивируса воспользуемся тестовой сигнатурой eicar.com [2]. Это фрагмент кода, который по договоренности все антивирусные компании используют для проверки вирусных сканеров (см. рис. 3).
Рисунок 3. Обнаружение вредоносного кода Как и следовало ожидать, данный «вирус» был успешно обнаружен и заблокирован при первой же попытке обращения. Конечно, по такому простому тесту нельзя судить о том, насколько хорошо Outpost обнаруживает настоящий вредоносный код, но по крайней мере мы убедились в работоспособности компонентов антивируса. Следующий тест – это предотвращение утечки конфиденциальных данных пользователя. В качестве примера я указал в настройках некое число, якобы являющееся номером кредитной карты, и решил попробовать отправить этот номер через веб-интерфейс бесплатной почтовой службы. Не секрет, что некоторые простенькие сценарии на VBScript именно так и поступают, собирают конфиденциальную информацию на локальном диске и затем, открыв в невидимом режиме браузер, с помощью заранее запрограммированных кодов клавиш осуществляют отправку писем с этими данными. И вот что у меня получилось (см. рис. 4).
Рисунок 4. Обнаружение попытки отправки конфиденциальных данных Но на этом я не стал останавливаться, у HTTP есть два метода передачи данных GET и POST. В примере с бесплатной почтой был метод POST. В случае с GET мы передаем данные в формате: «http://site.ru/index.php?id=12345». Для примера я взял любой файл на все том же сервере и попробовал передать ему в качестве параметра все тот же номер кредитной карты в виде: «index.php?id=…» (то, что у этого сценария нет такой переменной или она имеет другой формат, в данном случае совершенно не важно, так как Outpost должен перехватить эти данные раньше, чем они достигнут сервера). Outpost также перехватил попытку отправки этих данных. К слову, когда некоторое время назад я тестировал продукт одного довольно известного российского разработчика, также предназначенный для перехвата попыток отправки конфиденциальных данных, эта программа почему-то не определяла данные, переданные методом GET. И, наконец, третья попытка имитировать утечку данных – через протокол SMTP. Попробуем передать тот же пресловутый номер в теле письма, замаскировав его с двух сторон набором бессмысленных символов. Сообщение также перехвачено. Я немного изменил тест, разместив номер кредитной карты в текстовом файле, который прикрепил к письму. Outpost также обнаружил утечку. Последний тест – я заархивировал текстовый файл с номером в ZIP-архив (без пароля). И вот тут-то мне удалось беспрепятственно отправить конфиденциальные данные. Конечно, строго говоря, мы можем средствами того же Outpost запретить отправку файлов с расширением ZIP, но это не совсем то. Так что авторам есть над чем поработать. Еще один тест я провел с фильтром вложений. Я включил фильтрацию для файлов с расширением ZIP, но изменил расширение ZIP-файла на TXT и в таком виде попытался отправить письмо. Файл был успешно отправлен. Конечно, такой тест не совсем корректен, так как в настройках программы ясно указано «расширение», а не «тип» файла, но сейчас многие антивирусные программы умеют различать типы файлов не только по расширениям, но и по содержимому, так авторам следовало бы проработать такую возможность фильтрации файлов. Например, как это реализовано во многих антивирусных системах, где можно настроить, как обрабатывать архивы: файлы какого объема сканировать, а какие сразу отправлять в карантин или удалять и так далее. Защита от спама Следующим тестом будет проверка защиты от нежелательных рассылок – спама. Вообще к системам защиты от спама, установленным на клиенте, я отношусь не слишком хорошо. Дело в том, что, как правило, такие решения обладают слабыми механизмами определения спама, производят только контекстный анализ и нуждаются в постоянном обучении. Но посмотрим, на что способен Outpost Security Suite. Для настройки фильтра нежелательной почты необходимо его сначала обучить. Предложение произвести это обучение появляется при каждом запуске почтового клиента. Далее появляется мастер, с помощью которого мы можем указать папки, в которых должны сохраняться письма, относящиеся к «хорошей» почте. Затем мастер произведет сканирование данных папок. По результатам сканирования создаются правила распознавания нежелательных почтовых рассылок. Следует отметить, что эта возможность недоступна без использования Outpost Security Suite . Также можно создавать эти правила вручную по различным критериям: имя отправителя и получателя, тема, содержимое письма и так далее. Есть возможность составления белых и черных списков, что тоже бывает очень полезно при работе (см. рис. 5).
Рисунок 5. Настройки фильтра нежелательной почты После выполнения необходимых настроек я провел несколько тестов. Фильтр нежелательной почты с базовыми настройками показал себя очень неплохо. Хорошо фильтровался русскоязычный текстовый спам, также хорошие результаты были и по англоязычному спаму. Однако фильтрация нежелательных сообщений в PDF-формате оставляет желать лучшего. Увеличение уровня чувствительности фильтрации привело к тому, что некоторые сообщения из «хорошей» почты были помечены как спам. В целом механизм фильтрации нежелательной почты оставил хорошее впечатление. Но хотелось бы пожелать авторам программы в будущих версиях внести некоторые доработки. В частности, было бы очень неплохо классифицировать нежелательные рассылки по типам. Например, сделать отдельные настройки для спама экономической тематики, отдельно для различных финансовых пирамид и так далее. Для многих компаний это было бы удобно, так как некоторым необходимо получать по почте различные предложения о покупке или продаже чего-либо от различных отправителей. Не слишком хорошо будет, если все подобные сообщения будут по умолчанию сыпаться в спам. Тем более сейчас практически все системы защиты от нежелательной почты имеют подобные настройки для классификации спама. Заключение Подведем итоги. Outpost Security Suite является достаточно мощной системой защиты рабочих станций и домашних компьютеров от различных угроз. Ключевым элементом Outpost Security Suite является хорошо зарекомендовавший себя межсетевой экран. Антивирусные и антишпионские компоненты, средства защиты от утечки информации, а также система фильтрации нежелательной почты также хорошо функционируют, хотя и имеют некоторые недостатки, которые, я надеюсь, будут устранены в дальнейшем.
|
Андрей Бирюков
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
