Сравнение межсетевых экранов ZoneAlarm и GlassWire

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное автономное образовательное учреждение высшего образования

«Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики»

Факультет: Безопасности информационных технологий

Кафедра: Проектирования и безопасности компьютерных систем

Направление (специальность): 10.03.01 Информационная безопасность

КУРСОВАЯ РАБОТА

По дисциплине: «Программно-аппаратные средства защиты информации»

На тему: «Сравнение межсетевых экранов ZoneAlarm и GlassWire»

Оглавление

• Введение
• Глава 1. Общие положения
• 1.1 Основные термины и принцип работы
• 1.2 Официальные документы
• Глава 2. Методика сравнения
• 2.1 Описание методики
• 2.2 Расчет комплексного критерия
• Глава 3. Межсетевой экран GlassWire
• 3.1 Основные возможности GlassWire
• 3.2 Тестирование
• Вывод
• Глава 4. Межсетевой экран ZoneAlarm Firewall 2019
• 4.1 Основные возможности программы
• 4.2 Тестирование
• Вывод
• Глава 5. Сравнение возможностей ПО
• Заключение
• Список использованной литературы
• Приложение
• Введение
• На сегодняшний день Интернет распространился практически повсеместно, но немногие знают, что в умелых руках он может стать средством кражи и искажения информации. Для ее защиты на уровне компьютерных сетей используются межсетевые экраны, который предотвращает вторжение из внешней сети, изменение информации и ее утечку. Актуальным вопросом является способы защиты информации межсетевых экранов, а также способы их настройки, которые играют большую роль при создании политик безопасности и минимизации «человеческого фактора».
• Цель данной работы - проведение комплексного анализа персональных межсетевых экранов GlassWire и ZoneAlarm.
• Данная цель достигается с помощью решения следующих задач:

· Ознакомиться с данными межсетевыми экранами;

· Проанализировать существующие критерии оценки защищенности МЭ;

· Создать комплексную методику оценивания защищенности МЭ;

· Оценить МЭ по методике;

· Сравнить результаты.

Методика сравнения и оценивания разрабатывается на базе существующих руководящих документов ФСТЭК и руководящего документа государственной технической комиссии.

В качестве межсетевых экранов для анализа выбраны следующие версии МЭ: Ideco UTM 7.7.4 и ZoneAlarm Free Firewall 2019.

Глава 1. Общие положения

1.1 Основные термины и принцип работы

Межсетевой экран (МЭ) - это средство защиты информации, осуществляющее анализ и фильтрацию проходящих через него сетевых пакетов, т.е. производящее экранирование. В зависимости от установленных правил, МЭ пропускает или уничтожает пакеты, разрешая или запрещая таким образом сетевые соединения. МЭ является классическим средством защиты периметра компьютерной сети: он устанавливается на границе между внутренней (защищаемой) и внешней (потенциально опасной) сетями и контролирует соединения между узлами этих сетей.

Как уже было отмечено, фильтрация производится на основании правил. Наиболее безопасным при формировании правил для МЭ считается подход "запрещено все, что явно не разрешено". В этом случае, сетевой пакет проверяется на соответствие разрешающим правилам, а если таковых не найдется - отбрасывается. Но в некоторых случаях применяется и обратный принцип: "разрешено все, что явно не запрещено". Тогда проверка производится на соответствие запрещающим правилам и, если таких не будет найдено, пакет будет пропущен.

Межсетевой экран может строиться с помощью экранирующих агентов, которые обеспечивают установление соединения между субъектом и объектом, а затем пересылают информацию, осуществляя контроль и/или регистрацию. Использование экранирующих агентов позволяет предоставить дополнительную защитную функцию - сокрытие от субъекта истинного объекта. В то же время, субъекту кажется, что он непосредственно взаимодействует с объектом. Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от неконтролируемой и потенциально враждебной внешней.

Сетевая модель OSI(open system interconnection) - Посредством данной модели различные сетевые устройства могут взаимодействовать друг с другом. Модель определяет различные уровни взаимодействия систем. Каждый уровень выполняет определённые функции при таком взаимодействии.

Правила фильтрации - перечень условий по которым с использованием заданных критериев фильтрации осуществляется разрешение или запрещение дальнейшей передачи пакетов (данных) и перечень действий, производимых МЭ по регистрации и/или осуществлению дополнительных защитных функций.

Фильтрацию можно производить на разных уровнях эталонной модели сетевого взаимодействия OSI. По этому признаку МЭ делятся на следующие классы:

- экранирующий маршрутизатор;

- экранирующий транспорт (шлюз сеансового уровня);

- экранирующий шлюз (шлюз прикладного уровня).

Сетевые адреса - адресные данные, идентифицирующие субъекты и объекты и используемые протоколом сетевого уровня модели международной организации по стандартизации взаимодействия открытых систем (ISO OSI). Сетевой протокол выполняет управление коммуникационными ресурсами, маршрутизацию пакетов, их компоновку для передачи в сети.

Экранирующий маршрутизатор (или пакетный фильтр) функционирует на сетевом уровне модели OSI, но для выполнения проверок может использовать информацию и из заголовков протоколов транспортного уровня. Соответственно, фильтрация может производиться по ip-адресам отправителя и получателя и по ТСР и UDP портам. Такие МЭ отличает высокая производительность и относительная простота - функциональностью пакетных фильтров обладают сейчас даже наиболее простые и недорогие аппаратные маршрутизаторы. В то же время, они не защищают от многих атак, например, связанных с подменой участников соединений.

Шлюз сеансового уровня работает на сеансовом уровне модели OSI и также может контролировать информацию сетевого и транспортного уровней. Соответственно, в дополнение к перечисленным выше возможностям, подобный МЭ может контролировать процесс установки соединения и проводить проверку проходящих пакетов на принадлежность разрешенным соединениям.

Шлюз прикладного уровня может анализировать пакеты на всех уровнях модели OSI от сетевого до прикладного, что обеспечивает наиболее высокий уровень защиты. В дополнение к ранее перечисленным, появляются такие возможности, как аутентификация пользователей, анализ команд протоколов прикладного уровня, проверка передаваемых данных (на наличие компьютерных вирусов, соответствие политике безопасности) и т.д.

Критерии фильтрации - параметры, атрибуты, характеристики, на основе которых осуществляется разрешение или запрещение дальнейшей передачи пакета (данных) в соответствии с заданными правилами разграничения доступа (правилами фильтрации). В качестве таких параметров могут использоваться служебные поля пакетов (данных), содержащие сетевые адреса, идентификаторы, адреса интерфейсов, портов и другие значимые данные, а также внешние характеристики, например, временные, частотные характеристики, объем данных и т.п.

Трансляция адреса - функция МЭ, скрывающая внутренние адреса объектов (субъектов) от внешних субъектов.

Транспортные адреса - адресные данные, идентифицирующие субъекты и объекты. Протоколы транспортного уровня обеспечивают создание и функционирование логических каналов между программами (процессами, пользователями ) в различных узлах сети, управляют потоками информации между портами, осуществляют компоновку пакетов о запросах и ответах.

Порт -- натуральное число, записываемое в заголовках протоколов транспортного уровня модели OSI. Используется для определения процесса-получателя пакета в пределах одного хоста. Если на хосте какой-либо процесс постоянно использует один номер порта говорят, что порт является «открытым». Термины «открытый порт» и «закрытый порт» (заблокированный) используются, когда речь идёт о фильтрации сетевого трафика.

1.2 Официальные документы

В 1997 году был принят Руководящий документ Гостехкомиссии при Президенте РФ "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ устанавливает пять классов защищенности межсетевого экрана, каждый из которых характеризуется определенной минимальной совокупностью требований по защите информации. Далее они будут представлены в обобщенном виде.

Таблица 1 - Требования к межсетевым экранам

Показатели защищенности	Классы защищенности
	5	4	3	2	1
Управление доступом (фильтрация данных и трансляция адресов)	+	+	+	+	=
Идентификация и аутентификация	-	-	+	=	+
Регистрация	-	+	+	+	=
Администрирование: идентификация и аутентификация	+	=	+	+	+
Администрирование: регистрация	+	+	+	=	=
Администрирование: простота использования	=	=	+	=	+
Целостность	+	=	+	+	+
Восстановление	+	=	=	+	+
Тестирование	+	+	+	+	+
Руководство администратора защиты	+	=	=	=	=
Тестовая документация	+	+	+	+	+
Конструкторская (проектная) документация	+	=	+	=	+

В данной таблице принятые следующие условные обозначения:

«-» - данный показатель не используется в текущем классе защищенности;

«+» - к показателю добавляются новые функции, отличающие данный класс от предыдущего;

«=» - по текущему показателю данный класс схож с предыдущим.

Подробное описание данных требований для каждого класса в отдельности представлено в приложении 2.

Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.

В 1998 году был разработан еще один документ: "Временные требования к устройствам типа межсетевой экран». Согласно данному документу установлено 5 классов защищенности межсетевого экрана, которые применяются для защиты информации в автоматизированных системах, содержащих криптографические средства.

А с 2016 года вступили в силу требования законодательства по сертификации межсетевых экранов. Таким образом, если в сети предприятия осуществляется работа с персональными данными, то требуется установить межсетевой экран, сертифицированный Федеральной службой по экспортному контролю (ФСТЭК). Также с 2017 приказом ФСТЭК России внесены изменения в Требования о защите информации, предусматривающие необходимость применения в государственных информационных системах межсетевых экранов.

Согласно Информационному сообщению «Об утверждении методических документов, содержащих профили защиты межсетевых экранов» от 12 сентября 2016 г. N 240/24/4278 разработаны Профили защиты типов:

межсетевой экран уровня сети (тип «А») - межсетевой экран, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Межсетевые экраны типа «А» могут иметь только программно-техническое исполнение;

межсетевой экран уровня логических границ сети (тип «Б») - межсетевой экран, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы. Межсетевые экраны типа «Б» могут иметь программное или программно-техническое исполнение;

межсетевой экран уровня узла (тип «В») - межсетевой экран, применяемый на узле (хосте) информационной системы. Межсетевые экраны типа «В» могут иметь только программное исполнение и устанавливаются на мобильных или стационарных технических средствах конкретного узла информационной системы;

межсетевой экран уровня веб-сервера (тип «Г») - межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;

межсетевой экран уровня промышленной сети (тип «Д») - межсетевой экран, применяемый в автоматизированной системе управления технологическими или производственными процессами. Межсетевые экраны типа «Д» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).

Таблица 2. Типы атрибутов безопасности субъектов

Субъекты	Атрибуты
отправитель	сетевой адрес узла отправителя,
получатель	сетевой адрес узла получателя,

Таблица 3. Типы атрибутов безопасности информации

Типы информации	Атрибуты
сетевой трафик	сетевой протокол, который используется для взаимодействия, направление пакета (входящий/ исходящий), транспортный протокол, который используется для взаимодействия, порты источника и получателя в рамках сеанса (сессии), разрешенные/запрещенные протоколы прикладного уровня
команды	разрешенные/запрещенные;
мобильный код	разрешенный/запрещенный
прикладное ПО (приложения)	разрешенное/ запрещенное

Глава 2. Методика сравнения

2.1 Описание методики

Методика сравнения представляет разделение критериев оценивания на 2 группы: нефункциональные функциональные критерии.

Нефункциональные критерии - это параметры, показывающие удобство межсетевого экрана при эксплуатации. Рассматривается также возможность ошибки из-за «человеческого фактора» при использовании межсетевого экрана. К ним относятся: процесс установки, интерфейс, а также техническая документация к МЭ.

Функциональные критерии - параметры, показывающие эффективность работы программы, а также корректность выполнения задач по защите информации от несанкционированного доступа. Все функциональные критерии разделены на базовые группы:

· Идентификация и аутентификация - проверка подлинности пользователей и исполняемых действий;

· Защита данных пользователя - фильтрация всей переносимой информации, фильтрация на основе правил атрибутов, контроль портов, маскирование сети, преобразование сетевых адресов:

1. Проверка фильтрации трафика реализуется с помощью 2ip firewall tester - программы сайта 2ip.ru, которая проверяет, происходит ли на самом деле фильтрация трафика выбранным межсетевым экраном. При установленном интернет-соединении нажимаем на единственную кнопку `test”. Программа произведет попытку установки связи с сервером сайта. Установленный межсетевой экран должен запросить разрешение на выход в интернет данной программе или же автоматически отклонить его, в зависимости от настроек;

2. Проверка фишинга будет осуществляться путем входа на поддельные сайты и их проверки;

3. Zenmap - программа, сканирующая порты машины пользователя, и показывающая открытые, если есть такие;

4. SYN-flood - dos атака машины;

5. Трансляция сетевого адреса - скрытие адреса атакуемой машины, а также топологии всей сети;

6. Обнаружение вирусов - детектирование «троянов» и других вирусов.

· Управление безопасностью - модификацию, отключение и включение может делать только администратор, создание различных ролей;

· Защита функций безопасности - тестирование, восстановление, предупреждение об угрозах, согласованность с другим ПО, противодействие атакам на МЭ;

· Влияние на производительность.

2.2 Расчет комплексного критерия

Система оценивания включает в себя соответствие критерия уровню важности по отношению к пользовательской безопасности.

Функциональные и нефункциональные критерии имеют степень важности как в своей группе, так и в совокупности. Результатом оценивания совокупности критериев будет являться комплексный критерий.

Таблица 4. Составляющие комплексного критерия оценки

Название критерия	Степень важности, %
Нефункциональные критерии
Процесс установки	3,5
Интерфейс	7
Техническая документация	11
Всего	21,5
Функциональные критерии
Идентификация и аутентификация	13,5
Защита данных пользователя	35
Управление безопасностью	8
Защита функций безопасности	15
Влияние на производительность	7
Всего	78,5
ИТОГО	100

Расчет комплексного критерия оценки представляет из себя алгоритм из 3 шагов:

1) Расчет комплексного критерия нефункциональных параметров:

,

где х_i - соответствие нефункциональному критерию, X_i - удельный вес нефункционального критерия.

2) Расчет комплексного критерия функциональных параметров:

,

где: х_i - соответствие функциональному критерию, X_i - удельный вес функционального критерия.

3) Расчет комплексного критерия оценки:

/

Таким образом, можно реализовать комплексную систему оценивания и сравнения межсетевых экранов, где каждый МЭ выступает в качестве объекта оценки со своими особенностями в реализации.

Глава 3. Межсетевой экран GlassWire

GlassWire - монитор сетевой безопасности и межсетевой экран для контроля вашей сети. Инструмент защищает компьютер, наглядно представляя сетевую активность на удобном графике и помогая выявлять необычное поведение вредоносных программ в Интернете.

После того, как необычная сетевая активность будет обнаружена, вы мгновенно будете предупреждены с подробной информацией, так чтобы сразу принять меры и защитить ваш компьютер, конфиденциальность и важные данные.

3.1 Основные возможности GlassWire

· Сетевой монитор:

Визуализация текущей и предыдущей сетевой активность по типу трафика, приложениям и географическому местоположению на простом в использовании графике. GlassWire позволяет увидеть, какие приложения отправляют данные в Интернет, и показывает вам с каким хостом идет соединение. Инструмент сетевой безопасности для Windows также определяет: домены или IP-адреса, известные угрозы, изменения системных сетевых файлов, необычные изменения в приложениях, ARP-спуфинг , изменения в составе участников сети.

· Дополнительная защита для антивируса

Приложение GlassWire работает совместно с вашим основным антивирусом, не заменяя его возможностей. Инструмент предоставляет дополнительную защиту и работает с большинством антивирусных программ для проверки файлов на необычное поведение. GlassWire является второй линией защиты, разработчики рекомендуют всегда использовать отдельный антивирус вместе с GlassWire.

3.2 Тестирование

В процессе тестирования будет использоваться виртуальная машина на операционной системе Windows 7 Ultimate SP1 1.7GHz со следующими параметрами

Рисунок 1 - Параметры рабочей машины

Процесс установки

Для установки межсетевого экрана GlassWire требуется скачать установщик с сайта и запустить его. Никаких дополнительных настроек делать не требуется

Рисунок 2- Установка межсетевого экрана

Интерфейс

Программа понятна и удобна, на главном экране представлен график исходящего и входящего трафика в реальном времени.

Рисунок 3 - Интерфейс программы. Главный экран

Рисунок 4- Экран программы, показывающий детальную информацию

Техническая поддержка

Техническая поддержка представлена в виде краткого гайда пользователю, предназначенного для ознакомления с межсетевым экраном и первоначальной настройкой. Также, если возникают вопросы, их можно задать на форуме.



Рисунок 5- Раздел "Help" на сайте GlassWire.com

Идентификация и аутентификация никак не реализована;

Защита данных пользователя

1. Проверка фильтрации - тестирование показало, что при режиме «ask to connect” программа позволяет отклонить или одобрить подключение

Рисунок 6- Тестирование фильтрации трафика

2. Фишинг можно заблокировать, только если полностью блокировать исходящий и входящий трафик

3. Zenmap - сканирование в режиме “block all” делает порты невидимыми для потусторонних подключений, а режим “ask for connection” выдал открытые порты, а также информацию о нашей системе;

4. Трансляция сетевого адреса - данная функция не поддерживается;

5. Обнаружение вирусов - детектирование «троянов» и других вирусов не представляется возможным, так как данный межсетевой экран не имеет сборки antivirus+firewall.

Рисунок 7 - Результаты сканирования межсетевого экрана в режиме "Block all"

Рисунок 8- Результаты сканирования межсетевого экрана в режиме "ask for connection"

Управление безопасностью

Межсетевой экран GlassWire представляет из себя персональную программу и управление безопасностью реализовано централизованно, но нет идентификации и аутентификации, также можно организовать удаленный доступ

Защита функций безопасности

GlassWire никак себя не защищает. Вирус, внедрённый в персональный компьютер, может полностью снести данный межсетевой экран

Рисунок 9-Настройка удаленного доступа по IP

Влияние на производительность

В обычном режиме межсетевой экран использует только 10% центрального процессора и 25-30 МБ оперативной памяти

Функционал данной программы представляет некоторые функции защиты от внутренних и внешних воздействий. Данный МЭ не поддерживает аутентификацию и идентификацию пользователей, а также создание ролей для пользователей, т.к. программа является не профессиональным средством. МЭ не соответствует большинству критериев.

Таким образом, можно сделать вывод, что межсетевой экран Glasswire отвечает критериям безопасности случае, а отсутствие аутентификации и идентификации делает межсетевой экран уязвимым.



Рисунок 10- Влияние на производительность

Глава 4. Межсетевой экран ZoneAlarm Firewall 2019

ZoneAlarm -- межсетевой экран, первоначально разработанный Zone Labs, которая была приобретена в марте 2004 года Check Point Software Technologies. Ранее ZoneAlarm был известен как Zone Labs, но использование этого названия сейчас сокращается.

4.1 Основные возможности программы

Firewall -- Проактивная защита от входящих, выходящих и программных нападений, оставаясь невидимым для хакеров.

· Inbound & Outbound -- отслеживание и блокирование интернет-угроз.

· Full Stealth Mode -- режим полной невидимости (одним из инструментов невидимости является запрет на ICMP-эхо-ответ).

· Kill Controls -- мгновенное отключение вредоносных программ.

Anti-Spyware -- позволяет автоматически предотвращать, блокировать, и удалять шпионское программное обеспечение.

· Spy Site Blocking -- предотвращает случайные посещения и вредоносные передачи со шпионских сайтов.

· Kernel-Level Spyware Prevention -- защита на уровне операционной системы.

· Hourly Signature Updates -- почасовые обновления.

· Inbound and Outbound MailSafe -- проверка подозрительных вложений к почтовым сообщениям.

Total ID Theft Protection -- предотвращение краж личных данных.

· PC-Based ID Protection -- блокирует, удаляет или отключает программы, предназначенные для кражи личных данных.

Root & Boot Protection -- защита операционной системы от руткитов и других атак.

· Operating System Firewall (OSFirewall ™) -- постоянная защита от вирусов и программ-шпионов, руткитов, а также от угроз ядру.

· Early Boot Protection -- защита операционной системы при запуске.

Additional Layers -- интеграция нескольких слоёв современной защиты для повышения безопасности.

· Wireless PC Protection -- защита компьютера подключённого к беспроводной сети.

· Privacy Protection -- управление и блокировка всплывающих окон, куки, а также кэш-памятью.

· SmartDefense Service -- обеспечивает в реальном времени обновления безопасности и более быстрое реагирование на угрозы.

ZoneAlarm разделяет сеть на две зоны - локальную, включая компьютер пользователя и компьютеры локальной сети и зону Интернет. Разделение на зоны позволяет определить правила безопасности (режимы ограничений) в каждой зоне (табл. 9).

Таблица 5. Режимы ограничений

Уровень безопасности	Зона
	Интернет	Локальная
Low	Internet Lock блокирует только трафик приложений. Разрешен Интернет доступ к сервисам Windows, разделяемым файловым и принтерным ресурсам Серверные приложения локального компьютера видны из Интернет Разрешен трафик в/из Интернет	Internet Lock блокирует только трафик приложений. Разрешен Интернет доступ к сервисам Windows, разделяемым файловым и принтерным ресурсам Серверные приложения локального компьютера видны из Интернет
Medium	Internet Lock блокирует весь трафик; блокируется Интернет доступ к сервисам Windows, разделяемым файловым принтерным ресурсам, компьютер и его прикладные серверы видны в сети Интернет	Internet Lock блокирует весь трафик приложений; в локальной сети разрешен доступ к сервисам Windows, разделяемым файловым и принтерным ресурсам; Компьютер и его прикладные северы видны в локальной сети
High	Internet Lock блокирует весь трафик; блокируется Интернет доступ к сервисам Windows, разделяемым файловым принтерным ресурсам; Режим невидимки: МЭ скрывает все порты, не используемые программами	Internet Lock блокирует весь трафик; блокируется в локальной сети доступ к сервисам Windows, разделяемым файловым принтерным ресурсам; Режим невидимки: МЭ скрывает все порты, не используемые программами

4.2 Тестирование

Тестирование будет проводиться на виртуальной машине Windows 7 Ultimate SP1. Используемый браузер: Internet Explorer 11

Рисунок 11- Сетевые параметры виртуальной машины

Установка ZoneAlarm Free Firewall достаточно простая, без дополнительных настроек. Она не занимает много времени.

Рисунок 12- Процесс установки ZoneAlarm Firewall 2019

Программа не имеет русификации, поэтому все функции представлены на английском языке, что в некоторых случаях затрудняет или замедляет работу. Во вкладке “advanced settings” представлены дополнительные правила для режимов защиты “high” и “medium”

Рисунок 13- Демонстрация интерфейса ZoneAlarm Firewall 2019

По всем вопросам можно обратиться на сайт в раздел “Support”. На данной вкладке присутствуют часто задаваемые вопросы, также можно написать в чат специалистам. Весь текст также на английском. В предложенной тех.поддержке совсем не было информации по настройке межсетевого экрана, что, конечно же, является огромным минусом.

Рисунок 14-Техническая поддержка на сайте ZoneAlarm Firewall 2019

В настройках можно задать пароль, который будет запрашиваться при изменении настроек программы. Так, например, если мы зайдя в программу, захотим изменить настройки или выключить межсетевой экран, то программа запросит пароль, который мы ввели ранее.

Рисунок 15-Установка пароля на программу ZoneAlarm Firewall 2019

Рисунок 16-Запрос пароля при отключении межсетевого экрана

Защита данных пользователя

1. 2ip test - Программа прошла данный тест. При нажатии на кнопку “test” в правом нижнем углу вылезло уведомление о запросе на подключение к стороннему серверу.

Рисунок 17 - Тестирование при помощи программы 2ip Firewall Tester

Рисунок 18 - Результаты теста

Рисунок 19- Вход на фишинговый сайт

2. Проверка фишинговых сайтов реализована только посредством установки браузера Google Chrome. В моем опыте этого не предусмотрено, поэтому не засчитано

3. Zenmap - межсетевой экран при высокой степени защиты закрыл все порты, то есть для сторонних сервисов они недоступны, однако присутствует некоторая информация обоперационной системе

Рисунок 20 - Результаты теста zenmap

Рисунок 21-Результаты программы zenmap в виде диаграммы

4. Трансляция сетевых адресов - данная функция не представлена в межсетевом экране ZoneAlarm Firewall 2019.

5. Обнаружение вирусов - данная версия программы дает возможность также проверять входящую информацию на зловредные программы. Однако, как показывают тесты, не все зловреды были найдены.

Рисунок 22- Общая информация про архив с вирусами

Управление безопасностью

Любой пользователь, использующий данный межсетевой экран является администратором. Единственное отличие в том, что человек, знающий пароль, может менять настройки безопасности. В ZoneAlarm Firewall реализовано разграничение доступа к внешней сети посредством добавления групп пользователей с определенными IP-адресами. Для данных групп реализовано правило “запретить” , то есть запрещается все, кроме заданного правила или “разрешить” - обратное правило.

Рисунок 23- Разграничение доступа группе users по протоколу ICMP

Рисунок 24- Выбор диапазон IP-адресов для группы пользователей

Защита функций безопасности

Межсетевой экран позволяет проводить аудит сетевой деятельности через журнал, а также выгружая log-файлы. Доступно 5 ГБ данных для резервного копирования информации, а также настроек.

Рисунок 25- Список правил доступа к внешней сети

Рисунок 26-Журнал, показывающий полную информацию об исходящем или входящем трафике, на какой порт он приходит

Влияние на производительность

Тесты были проведены в 2 режимах: сканирование вирусов и в обычном режиме, когда никаких процессов не запущено. В первом режиме загрузка центрального процессора задачами ZoneAlarm Firewall составляет 30-90%, а объем занимаемой оперативной памяти -150-160 МБ. Во втором случае процессы ZoneAlarm Firewall затрачивают 6-10% центрального процессора и 120-130 МБ оперативной памяти.

Рисунок 27 - Производительность при сканировании вирусов

Рисунок 28-Производительность при нормальном режиме работы

В данной главе были рассмотрены основные особенности программы ZoneAlarm Firewall 2019 и произведены тесты на соответствие выполняемым функциям. Использование данного межсетевого экрана приемлемо для персонального пользования или создания защищаемой сети небольшой организации. Для улучшения продукта необходим уделить внимание реализации запрета на вход и использование фишинговых сайтов.

Глава 5. Сравнение возможностей ПО

Таблица 6. Итоговые результаты сравнения МЭ

Название критерия	GlassWire	ZoneAlarm Firewall	Макс. значение, %
Нефункциональные критерии
Процесс установки	3,5	3,5	3,5
Интерфейс	5	5	7
Техническая документация	3	5	11
Всего	11,5	13,5	21,5
Функциональные критерии
Идентификация и аутентификация	0	8	13,5
Защита данных пользователя	12	25	35
Управление безопасностью	2	6	8
Защита функций безопасности	5	12	15
Влияние на производительность	7	7	7
Всего	26	58	78,5
ИТОГО	37,5	71,5	100

Расчет комплексных критериев для МЭ GlassWire:; Расчет комплексных критериев для МЭ ZoneAlarm Firewall: ;

Заключение

В ходе курсовой работы была разработана методика сравнения межсетевых экранов на основе двух групп критериев: нефункциональные и функциональные. Проведено тестирование и сравнение двух межсетевых экранов: GlassWire и ZoneAlarm Firewall+Antivirus.

По результатам сравнения можно сказать, что межсетевой экран ZoneAlarm Firewall+Antivirus более надежен с точки зрения защиты функций безопасности и защиты данных пользоателя. Комплексный критерий для этого продукта составил 71,5%.

Разработанная методика представляет логически правильные критерии.

В заключение можно сказать, что межсетевые экраны являются хорошим инструментом защиты сети при правильных настройках, а также дополнительно установленных инструментов безопасности, например, антивирус.

межсетевой экран информация программа

Список использованной литературы

1. Межсетевое экранирование. Теория и практика защиты внешнего периметра / Лебедь С.В. - М.: "Издательство МГТУ им. Н.Э. Баумана", 2002. - 304 с.

2. Оглтри Т. Firewalls. Практическое применение межсетевых экранов / Т. Оглтри -- М.: ДМК-Пресс, 2008 .-- 408 с. : ил. -- (Защита и администрирование) -- пер. с англ.

3. Фаронов А. Е. Основы информационной безопасности при работе на компьютере. -- ИНТУИТ, 2016. -- 155 с.

4. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. -- ИНФРА-М, 2011. -- 416 с.

Приложение 1. Требование по защите информации от НСД для АС

1. Подсистема управления доступом

1.1. Идентификация, проверка подлинности и контроль доступа субъектов:

в систему

к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ

к программам

к томам, каталогам, файлам, записям, полям записей

1.2. Управление потоками информации

2. Подсистема регистрации и учета

2.1. Регистрация и учет:

входа (выхода) субъектов доступа в (из) систему (узел сети)

выдачи печатных (графических) выходных документов

запуска (завершения) программ и процессов (заданий, задач)

доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи

доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей

изменения полномочий субъектов доступа

создаваемых защищаемых объектов доступа

2.2. Учет носителей информации

2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей

2.4. Сигнализация попыток нарушения защиты

3. Криптографическая подсистема

3.1. Шифрование конфиденциальной информации

3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах

3.3. Использование аттестованных (сертифицированных) криптографических средств

4. Подсистема обеспечения целостности

4.1. Обеспечение целостности программных средств и обрабатываемой информации

4.2. Физическая охрана средств вычислительной техники и носителей информации

4.3. Наличие администратора (службы) защиты информации в АС

4.4. Периодическое тестирование СЗИ НСД

4.5. Наличие средств восстановления СЗИ НСД

4.6. Использование сертифицированных средств защиты

Приложение 2. Описание требований к каждому классу МЭ

1. Требования к пятому классу защищенности МЭ.

1.1. Управление доступом.

МЭ должен обеспечивать фильтрацию на сетевом уровне. Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.

1.2. Администрирование: идентификация и аутентификация.

МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия.

1.3. Администрирование: регистрация.

МЭ должен обеспечивать регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова. Регистрация выхода из системы не проводится в моменты аппаратурного отключения МЭ. В параметрах регистрации указываются: - дата, время и код регистрируемого события; - результат попытки осуществления регистрируемого события - успешная или неуспешная; - идентификатор администратора МЭ, предъявленный при попытке осуществления регистрируемого события.

1.4. Целостность.

МЭ должен содержать средства контроля за целостностью своей программной и информационной части.

1.5. Восстановление.

МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ.

1.6. Тестирование.

В МЭ должна обеспечиваться возможность регламентного тестирования: - реализации правил фильтрации (см. п. 1.1); - процесса идентификации и аутентификации администратора МЭ (см. п. 1.2); - процесса регистрации действий администратора МЭ (см. п. 1.3.); - процесса контроля за целостностью программной и информационной части МЭ (см. п.1.4); - процедуры восстановления (см. п. 1.5.).

1.7. Руководство администратора МЭ.

Документ содержит: - описание контролируемых функций МЭ; - руководство по настройке и конфигурированию МЭ; - описание старта МЭ и процедур проверки правильности старта; - руководство по процедуре восстановления.

1.8. Тестовая документация.

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 2.2.6), и результаты тестирования.

1.9. Конструкторская (проектная) документация.

Должна содержать: - общую схему МЭ; - общее описание принципов работы МЭ; - описание правил фильтрации; - описание средств и процесса идентификации и аутентификации; - описание средств и процесса регистрации; - описание средств и процесса контроля за целостностью программной и информационной части МЭ; - описание процедуры восстановления свойств МЭ.

2. Требования к четвертому классу защищенности МЭ.

2.1. Управление доступом.

Данные требования полностью включают аналогичные требования пятого класса (п.1.1). Дополнительно МЭ должен обеспечивать: - фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств; - фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов; - фильтрацию с учетом любых значимых полей сетевых пакетов.

2.2. Регистрация.

МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.

2.3. Администрирование: идентификация и аутентификация.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п.1.2).

2.4. Администрирование: регистрация.

Данные требования включают аналогичные требования пятого класса (п.1.3). 6 Дополнительно МЭ должен обеспечивать регистрацию запуска программ и процессов (заданий, задач).

2.5. Целостность.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п.1.4).

2.6. Восстановление.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п.1.5).

2.7. Тестирование. В МЭ должна обеспечиваться возможность регламентного тестирования: - реализации правил фильтрации (см. п. 2.1); - процесса регистрации (см. п. 2.2); - процесса идентификации и аутентификации администратора МЭ (см. п. 2.3); - процесса регистрации действий администратора МЭ (см. п. 2.4); - процесса контроля за целостностью программной и информационной части МЭ (см. п.2.5); - процедуры восстановления (см. п. 2.6).

2.8. Руководство администратора МЭ.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п. 1.7).

2.9. Тестовая документация.

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 2.7), и результаты тестирования.

2.10. Конструкторская (проектная) документация.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п. 1.9) по составу документации.

3. Требования к третьему классу

За данные требования полностью включают аналогичные требования четвертого класса (п. 2.1). Дополнительно МЭ должен обеспечивать: - фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, по крайней мере, учитываются транспортные адреса отправителя и получателя; - фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по крайней мере, учитываются прикладные адреса отправителя и получателя; - фильтрацию с учетом даты/времени.

3.2. Идентификация и аутентификация.

МЭ должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.

3.3. Регистрация.

Данные требования включают аналогичные требования четвертого класса (п.2.2). Дополнительно МЭ должен обеспечивать: - регистрацию и учет запросов на установление виртуальных соединений; - локальную сигнализацию попыток нарушения правил фильтрации.

3.4. Администрирование: идентификация и аутентификация.

Данные требования включают аналогичные требования пятого класса (п.1.2). Дополнительно МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах администратора МЭ на доступ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.

3.5. Администрирование: регистрация.

Данные требования полностью включают аналогичные требования четвертого класса (п.2.4). Дополнительно МЭ должен обеспечивать регистрацию действия администратора МЭ по изменению правил фильтрации.

3.6. Администрирование: простота использования.

Многокомпонентный МЭ должен обеспечивать возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.

3.7. Целостность.

Данные требования полностью включают аналогичные требования пятого класса (п.1.4). Дополнительно должен обеспечиваться контроль целостности программной и информационной части МЭ по контрольным суммам.

3.8. Восстановление.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п.1.5).

3.9. Тестирование.

В МЭ должна обеспечиваться возможность регламентного тестирования - реализации правил фильтрации (см. п. 3.1); - процесса регистрации (см. п. 3.3); - процесса идентификации и аутентификации запросов (см. п. 3.2); - процесса идентификации и аутентификации администратора МЭ (см. п. 3.4); - процесса регистрации действий администратора МЭ (см. п. 3.5); - процесса контроля за целостностью программной и информационной части МЭ (см. п. 3.7); - процедуры восстановления (см. п. 3.8.).

3.10. Руководство администратора МЭ.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п.1.7).

3.11. Тестовая документация.

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 3.9), и результаты тестирования.

3.12. Конструкторская (проектная) документация.

Данные требования полностью включают аналогичные требования пятого класса (п. 1.9) по составу документации. Дополнительно документация должна содержать описание средств и процесса централизованного управления компонентами МЭ.

4. Требования ко второму классу защищенности МЭ.

4.1. Управление доступом.

Данные требования включают аналогичные требования третьего класса (п.2.4.1). Дополнительно МЭ должен обеспечивать: - возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети; - возможность трансляции сетевых адресов.

4.2. Идентификация и аутентификация.

Данные требования полностью совпадают с аналогичными требованиями третьего класса (п.3.2).

4.3. Регистрация.

Данные требования включают аналогичные требования третьего класса (п.2.4.3). Дополнительно МЭ должен обеспечивать: - дистанционную сигнализацию попыток нарушения правил фильтрации; - регистрацию и учет запрашиваемых сервисов прикладного уровня; - программируемую реакцию на события в МЭ.

4.4. Администрирование: идентификация и аутентификация.

МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю временного действия. МЭ должен препятствовать доступу 10 неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах на доступ администратора МЭ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.

4.5. Администрирование: регистрация.

Данные требования полностью совпадают с аналогичными требованиями третьего класса (п.3.5).

4.6. Администрирование: простота использования.

Данные требования полностью совпадают с аналогичными требованиями третьего класса (п.3.6).

4.7. Целостность.

МЭ должен содержать средства контроля за целостностью своей программной и информационной части по контрольным суммам как в процессе загрузки, так и динамически.

4.8. Восстановление.

МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать оперативное восстановление свойств МЭ.

4.9. Тестирование.

В МЭ должна обеспечиваться возможность регламентного тестирования - реализации правил фильтрации (см. п. 4.1); - процесса идентификации и аутентификации (см. п. 4.2); - процесса регистрации (см. п. 4.3); - процесса идентификации и аутентификации администратора МЭ (см. п. 4.4); - процесса регистрации действий администратора МЭ (см. п. 4.5); - процесса контроля за целостностью программной и информационной части МЭ (см. п. 4.7); - процедуры восстановления (см. п. 4.8).

4.10. Руководство администратора МЭ.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п.1.7).

1.11. Тестовая документация.

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 4.9), и результаты тестирования.

2.5.12. Конструкторская (проектная) документация.

Данные требования полностью совпадают с аналогичными требованиями третьего класса (п. 3.12) по составу документации.

5. Требования к первому классу защищенности МЭ.

5.1. Управление доступом.

Данные требования полностью совпадают с аналогичными требованиями второго класса (п.4.1).

5.2. Идентификация и аутентификация.

Данные требования полностью включают аналогичные требования второго класса (п.4.2). Дополнительно МЭ должен обеспечивать идентификацию и аутентификацию всех субъектов прикладного уровня.

5.3. Регистрация.

Данные требования полностью совпадают с аналогичными требованиями второго класса (п.4.3).

5.4. Администрирование: идентификация и аутентификация.

МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия. МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах на доступ администратора МЭ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.

5.5. Администрирование: регистрация.

Данные требования полностью совпадают с аналогичными требованиями третьего класса (п.3.5).

5.6. Администрирование: простота использования.

Многокомпонентный МЭ должен обеспечивать возможность централизованного управления своими компонентами, в том числе, конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации. Должен быть предусмотрен графический интерфейс для управления МЭ.

5.7. Целостность.

МЭ должен содержать средства контроля за целостностью своей программной и информационной части по контрольным суммам аттестованного алгоритма как в процессе загрузки, так и динамически.

5.8. Восстановление.

Данные требования полностью совпадают с аналогичными требованиями второго класса (п.4.8).

5.9. Тестирование.

В МЭ должна обеспечиваться возможность регламентного тестирования: - реализации правил фильтрации (см. п. 5.1); - процесса идентификации и аутентификации (см. п. 5.2); - процесса регистрации (см. п. 5.3); - процесса идентификации и аутентификации администратора МЭ (см. п. 5.4); - процесса регистрации действий администратора МЭ (см. п. 5.5); - процесса централизованного управления компонентами МЭ и графический интерфейс для управления МЭ (см. п. 5.6); - процесса контроля за целостностью программной и информационной части МЭ (см. п. 5.7); - процедуры восстановления (см. п. 5.8).

5.10. Руководство администратора МЭ.

Данные требования полностью совпадают с аналогичными требованиями пятого класса (п.1.7).

.11. Тестовая документация.

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 5.9), и результаты тестирования.

5.12. Конструкторская (проектная) документация. Данные требования полностью включают аналогичные требования третьего класса (п. 5.12) по составу документации. Дополнительно документация должна содержать описание графического интерфейса для управления МЭ.

Размещено на Allbest.ru