A tűzfal adja a másikat

Írta: BME IK ITSec
2006-01-09 14:30

Integrált biztonság

Napjainkban már az otthoni felhasználók sincsenek biztonságban az internet felől érkező támadásoktól. Az elektronikus levelekben érkező férgek, a megbízhatatlan oldalakon található szkript- és ActiveX-kártevők, trójai programok és telepítőik, kémprogramok, levélszemetek, rootkitek egyre elterjedtebbek, s fenyegetéseik fontossá teszik a különböző védelmi szoftverek használatát. Többé nem lehet szimpla odafigyeléssel és az operációs rendszer frissítgetésével megoldani védelmünket.

Mostanáig jellemzően több szoftver együttesét kellett használni a megfelelő védelem érdekében – tűzfal, vírusirtó, spyware-eltávolító, spamszűrés –, mindezt külön-külön konfigurálni, frissíteni. Az F-secure Internet Security 2006 programja egyszerre tartalmazza mindezeket az opciókat, sőt, plusz szolgáltatásként még tartalomszűrést is lehetővé tesz. Ez jelentősen megkönnyíti a felhasználók életét, így esetleg még az is feltelepíti, akit a több védelmi szoftver összehangolásának nyűge eddig riasztott. Nem véletlen: az átlagos felhasználók alapvetően kényelmi szempontok szerint cselekszenek, s a biztonság csak másodlagos számukra.

Vedd birtokba a gépem

A szoftver telepítése után alapbeállításokkal indul el. Tudnunk kell, hogy minden komponens számára többféle biztonsági szintet adhatunk meg, s ezek a szintek szabják meg, hogy az adott komponensben milyen beállításokat változtathatunk meg, és melyek lesznek az alapbeállítások (létezik mindenhol egyéni szint, melynek révén minden lehetséges beállítást megváltoztathatunk).

[+]

A következőkben részletesen beszámolunk a szoftver védelmi komponenseinek tesztelése során szerzett tapasztalatainkról. Külön vizsgáltuk a kémprogram- és vírusirtó, az internetpajzs-, a spamszűrő és a tartalomszűrő modulokat, valamint a program automatikus frissítési szolgáltatását.

Kémprogram- és vírusirtó

Vitán felül az Internet Security 2006 egyik legerősebb tulajdonsága, hogy minden megtalálható benne, amit egy korszerű víruskeresőnek tudnia kell, talán még több is: valós idejű vírusvédelem, levélszűrés, kézi és ütemezett víruskeresés, kémprogram- (adware, spyware) és rootkitkereső. Víruskeresésénél alapbeállításként csak bizonyos kiterjesztésű fájlok között keres, ezt érdemes lehet az összesre kiterjeszteni, természetesen ez bizonyos mértékű lassulással fog járni – a mai gépeknél ez nem számottevő. Külön lehet állítani az állandó és a kézi keresés opcióit is. Fontos megjegyezni, hogy ismeretlen kiterjesztésnél nem mindig detektálja a vírust, mivel nem mindig ismeri fel pontosan a fájlszerkezetet, de mivel végrehajtás és megnyitás előtt is teszteli a fájlokat – csak akkor, ha a valós idejű vírusvédelem be van kapcsolva –, ekkor már megtalálja a vírusokat. Az Internet Security 2006 természetesen nem csak vírusokat keres, hanem egyéb kártevőket, például trójai programokat is.

Kémprogram- és víruskereső

A vírusirtó komponens nagyon erősen támaszkodik a mintafelismerésre, ennek megfelelően napjában többszöri frissítés is rendelkezésre áll. Ugyanakkor tesztünk során az adatbázisában nem szereplő férgeket, vírusokat, egyéb kártevőket több esetben sem ismerte fel, így a még nem ismert programok ellen a komponens többi részét is igénybe kell vennünk, s egy kicsit jobban oda kell figyelnünk a jelentésekre, s azok értelmezésére, mivel viselkedés alapján továbbra is felfedezhetjük a kártevő jelenlétét a rendszerben (például programindításkor azonnali regisztrációs adatbázis módosítás kísérlet esetén).

Ennek a védelemnek fontos része a rendszerellenőrzés nevű modul, mely a regisztrációs adatbázis változásait figyeli. Azt, hogy pontosan mely kulcsokat is figyelje, mi magunk nem tudjuk állítani, de a fontosabb részeken rajta tartja a szemét, mint például a rendszerindításkor automatikusan elinduló programok listáján. Ez azonban csak akkor van hasznunkra, ha egy programról ténylegesen tudjuk, hogy milyen változtatásokat hajthat végre, valamint ismerjük a különböző kulcsok jelentéseit. Ezzel együtt is ajánlatos a rendszerindítási változásokat, s a kritikus rendszerváltozásokat engedélyhez kötni, míg a többit állíthatjuk csak naplózásra.

Fontos újdonság, hogy immár böngészővédelemmel is el van látva a program, igaz, csupán az Internet Explorer élvezi e védelmet. Ezzel a funkcióval teljesen le tudjuk védeni a böngésző változásait az ActiveX-től kezdve a különböző regisztrációs adatbázis kulcsokig. Azonban ez meg is nehezítheti dolgunkat: a változtatás vagy tiltva van vagy engedélyezve, de kérdéshez nem köthető, így nem kérdezi meg a program, hogy jóváhagyjuk-e az épp aktuális műveletet. Ennek következtében még a kezdőlapot sem tudjuk megváltoztatni. A komponensben található egy kémprogramkereső és -eltávolító funkció, amely azonban még nem tökéletes. A tesztelés során a kontrollcsoportként használt Ad-Aware Personal kereső még talált kémprogramokat az F-Secure munkája végeztével.

A komponens legkiemelkedőbb része, a rootkitkereső és -eltávolító programrész (Blacklight motor) az F-secure újítása – erre méltán lehetnek büszkék a fejlesztők. A tesztelés során nem találtunk olyan működő rootkitet, amelyet ne vett volna észre, legyen szó kernel vagy felhasználói módú, „hooking”, DKOM vagy egyéb technikákat használókról. Természetesen ez a program sem tévedhetetlen, az F-secure maga talált olyan rootkitet, amely képes volt félrevezetni szoftverüket egy darabig (ez a Golden hackerdefender, amely a különböző védelmi szoftvereket mintafelismerés alapján azonosította, s félrevezető információkkal táplálta őket), de a Blacklight így is hatalmas előrelépésnek számít a Windows-felhasználók számára. Főleg, hogy a rootkitkereső béta-változatát külön programként, ingyenesen is letölthetjük a hivatalos oldalról, s használhatjuk. A kémprogram- és a rootkitkereső modul beállításait sem lehet átállítani, módosítani, ezeket legfeljebb a szoftverfrissítésnél az F-Secure változtathatja meg.

Internetpajzs

Az Internet Security 2006 másik kritikus komponense a tűzfal, amely kiegészül egy alkalmazásvezérlési modullal (programindítás, módosítás, internetre csatlakozás engedélyezése), valamint a betöréseket detektáló résszel és védelemmel a tárcsázó programok ellen. Hab a tortán, hogy egy csomaganalizátort is találunk a szoftverben.

A tűzfal beállítása még a kevésbé gyakorlott felhasználók számára is könnyű. Hozzáadhatunk új szabályokat, melyekhez különböző előre definiált protokollokat választhatunk ki, valamint beállíthatjuk, hogy kimenő-bemenő forgalom, esetleg mindkettő felé szűrjön. Ekkor a protokollhoz tartozó alapértelmezett portokat fogja használni a program. Lehetőségünk van a TCP, ICMP, UDP protokollok szerinti port szűrést is végezni. Fontos megjegyezni, hogy ezen szabályok megléte még nem elegendő az üdvösséghez – az alkalmazásvezérlés nagyon fontos pontja a védelemnek. Sajnos alapértelmezésben csak az alkalmazások kapcsolódási ellenőrzése van bekapcsolva, a programmanipulálás és az indítás ellenőrzése nincsen. Ez lehetőséget ad egy kártékony program számára, hogy kifelé kommunikáljon a tűzfal megkerülésével.

Néhány kipróbált módszer ezek közül: a kommunikálni kívánó program elindítja az alapértelmezett böngészőt, majd a memóriában megváltoztatja, mielőtt az végrehajtódna, vagy a már futó böngészőben egy új futási szálat nyit. Jól látható, hogy ez mind a programindítással és -manipulálással függ össze. Ugyanez más, az internetre kimenő programokkal is végrehajtható, ennek kiszűrésére jó, ha ezt a védelmet is bekapcsoljuk.

A tűzfal szolgáltatásai

További említésre méltó dolog, hogy a szoftver nem ad lehetőséget a „port-knocking” alapú kommunikációra, vagyis, hogy figyelőport megnyitása nélkül, csak a hálózati kártyára érkező csomagok alapján képes távoli elérést nyújtani a megfelelő tudás birtokában lévő felhasználók számára. Míg szerverek esetében ez használható egy biztonságosabb távoli menedzsmentre is, addig egy munkaállomás esetében ez a fajta viselkedés egyértelműen pozitívum.

A tárcsázásvezérlés révén szűrhetjük, hogy melyik telefonszámokat hívhatja fel a modemünk. Ez nagyszerű védelem az elmúlt időszakban sok kárt okozó, külföldi számokat hívogató betárcsázó programok ellen.

A betörésdetektáló modul (IDS) szintén elengedhetetlen kelléke egy jó védelmi szoftvernek. Az IDS naplózza és blokkolja a támadásokat, valamint megpróbálja azonosítani a támadás típusát (milyen féreg-viselkedésre utal a hálózati viselkedés, port szkennelés típusa). Ezzel az lehet a baj, hogy egy egyszerű felderítő szkennelést is féregnek hisz. Igen érdekes dolgot tapasztaltunk, amikor a teszt során két külön gépről ugyanolyan típusú szkennelést (Xmas) hajtottunk végre, igen rövid idő alatt. Ekkor a szoftver első esetben figyelmeztetett a jelenségre és naplózta, a másodikat viszont már csak naplózta, ráadásul az első IP-címével.

Az egyik betörési kísérlet nyom nélkül maradt.
[+]

A pajzs utolsó része a csomaganalizátor, mely naplózza a kimenő-beérkező csomagokat az előre beállított időintervallumban. Ellenőrzéskor kiválaszthatjuk a megfelelő naplófájlt, és megtekinthetjük a csomagok listáját, valamint különböző információkat róluk. Viszont sajnos semmilyen szűrést nem lehet végrehajtani a programon belülről, kivéve a nem IP protokollok elrejtését. Külső programmal pedig azért nem tudjuk a naplófájlt elemezni, mert a program saját formátumában tárolja.

Egyéb funkciók, értékelés

Spam- és tartalomszűrés, automatikus frissítés

A levélszemétszűrő modul három szűrési szinttel, valamint engedélyezett és tiltott feladók listájával segít tisztán tartani a postafiókunkat. Sajnos azt, hogy a három szint között működésükben mi a különbség, a program nem árulja el, csak annyit tudunk, hogy elnézőbben vagy szigorúbban irányítja a leveleket a „spam” mappába. A modul nagy előnye, hogy nem csak egy levelezőklienst támogat.

A tartalomszűrés segítségével lehetőségünk van különböző téma szerinti, valamint konkrét címek alapján történő honlapszűrést beállítani. A címlista alapján történő szűrés nem túl hatékony, hiszen bármilyen proxys módszert használva ez a védelem megkerülhető (legegyszerűbben az anonymizer.com-on keresztül történő szörföléssel). A téma szerinti szűrés során 7 kategória közül választhatunk, de ezek beállításait nem tudjuk finomítani, így ez a szűrés túl nagy léptékű és merev – cserébe a proxys módszerek itt nem használhatóak. Egyes honlapok címeit akár egyenként is megadhatjuk az engedélyezési listában, így ezek akkor is elérhetőek lesznek, ha a téma szerinti szűrés miatt ez nem így lenne. A tartalomszűrő ezenkívül listát vezet a szörfözés során meglátogatott webhelyekről, az utolsó látogatás időpontjáról, a látogatások számáról – így igen alkalmas a felhasználó nyomon követésére. Lehetőségünk van az internetelérés idejét is szabályozni, és az egész tartalomszűrést jelszavas védelemmel ellátni. Ez a komponens lényegében jól megoldja a nem kívánt tartalmak kiszűrését, még ha esetenként jóval többet is szűr ki, mint amennyi szükséges.

A szoftver különböző programrészeinek és a program mintaadatbázisainak a frissítéséért az automatikus frissítési modul a felelős. Napjában többször is – átlagosan óránként – ellenőrzi ezek rendelkezésre állását az interneten keresztül. A szerver elérhetetlensége esetén az adatbázist „offline módon” is tudjuk frissíteni, igaz, a letöltendő fsupdate.exe fájl nem kimondottan az Internet Security 2006 számára készül, hanem az Anti-virus for Workstationshöz. Mindazonáltal a program ennek segítségével is megtalálja az új adatbázisban szereplő vírusokat. A frissítőmodul beállításai könnyen kezelhetők, és jól alkalmazkodik a hálózati kapcsolathoz, annak változásaihoz.

Konklúzió

Az Internet Security 2006 viszonylag jól menedzselhető, és nagyfokú védettséget ad a felhasználó számára, vírusdetektálási képessége igen jó az ismert vírusok, kártékony programok ellen. A tűzfal minősége kiváló, a teljes körű védelmet aktiválva az összes teszten átmegy, a pár kisebb működési zavar lényegesen nem befolyásolja a biztonságot. Ami hátránya, hogy egyes esetekben a finomhangolás lehetősége teljesen hiányzik, illetve nem átlátható, hogy pontosan mit is csinál az adott védelmi funkció alatt. Szintén hiányoltuk a központi menedzselés lehetőségét, igaz, ezt egy otthoni felhasználóknak szánt programnak nem lehet a szemére vetni – létezik vállalati verzió, ahol ez rendelkezésre áll.

Sajnos a szoftver fájljai viszonylag sérülékenyek, megfelelően kiválasztott két .dll törlésével a kémprogram- és a rootkitkeresés használhatatlanná vált, minden hibaüzenet nélkül (bár látható volt, hogy valami gond van a működéssel, mivel a tesztek végén „0 vizsgált fájl” jelent meg). További kritikus fájlok törlésével a többi modult is használhatatlanná lehetett tenni, és ekkor a program is jelezte a hibát, de a hiba mibenlétéről nem adott tájékoztatást. Ez igen jó terület lehet a retrovírusok számára.

A program előnyére válik még, hogy a sok támogatott nyelv között a magyar is szerepel. Mindent összevetve az Internet Security 2006-tal igencsak jó szoftvert alkottak az F-Secure-nál, talán egyetlen igazán nagy hibája van: nem ingyenes.

Adamkó Péter

Kapcsolódó cégek:
F-Secure

Azóta történt

Védekezés családosoknak

Bemutatjuk a BitDefender otthoni gépekre szánt internetvédelmi csomagját, az Internet Securityt.

Biztonság 2006-08-15 22
Kaspersky Internet Security: az orosz bicska

Az internetes fenyegetések minden fajtája ellen véd a komplett biztonsági csomag. Bemutatjuk, hogyan.

Biztonság 2006-11-14 64
Az intelligens vírusvédelemé a jövő

A Panda Software magyarországi vezetője a vírusvédelem legújabb kihívásairól.

Biztonság 2007-07-10 5

Előzmények

Értékelte a piac az F-Secure gyorsaságát

Az árbevétel 44 százalékkal nőtt a harmadik negyedévben.

Biztonság 2005-10-28 1
A rootkiteket is elcsípi az F-Secure szoftvere

Ma még nem elterjedt, de rendkívül sunyi az új kórokozótípus.

Biztonság 2005-10-13 0
Védelem a vírus ismerete nélkül?

Termékbemutató írásunkból kiderül, mi teszi a Panda antivírus-programot egyedivé a piacon.

Szoftver 2005-08-19 10
Microsoft-fordulat a kémprogramok terén?

A spyware-cégek akarata előtt még a legnagyobb gyártók is meghajolhatnak. Vajon a Microsoft is?

Biztonság 2005-07-13 101

Percről percre

Motorola Moto G24 Power - hol van az erő?

ma Nagy az aksi, gyenge a hardver, amiből hosszú üzemidőre lehetne következtetni. Tényleg így van?

LG 34GS95QE-B: OLED paneles, ívelt gamer monitor

ph Félmillió forintba kerül az LG új, 240 Hz-es gamer monitora. Megnéztük, mit tud!

Garmin Forerunner 165 - alapozó edzés

ma Leizzadtunk a Garmin legolcsóbb amoledes futóórájával.

MG4 menetpróba

ma Mindenképpen van fantázia az MG4-ben, az alapfeladatokat olcsón kipipálja, de többet akar nyújtani, mint amire képes.

Az MSI RadiX AXE6600 tesztje – router, játékosoknak

ph Az MSI is bejelentkezett a gamer routerek piacára, fő ajánlatuk egy Wi-Fi 6E kompatibilis modell.

Aktív témák