Тестирование брандмауэров для конечных пользователей
Norton Internet Security Family Edition 2001
В тестовой лаборатории «КомпьютерПресс» проведено тестирование 22 брандмауэров для конечных пользователей, 7 из которых относятся к категории бесплатных: Zone Alarm, Agnitum Outpost Firewall, eSafe Desktop, Tiny Personal Firewall, Sygate Personal Firewall, WyvernWorks Firewall, Look 'n' Stop Lite, а 15 являются платными: Zone Alarm Pro, Conseal PC Firewall, Jammer, Sphinx PC Firewall, McAfee Personal Firewall, SolidShare (WithGate), Black Ice Defender, Norton Internet Security 2001, Norton Personal Firewall 2001, Norton Internet Security Family Edition 2001, ViPNet DESK Personal Firewall, ViPNet [TermiNET], VirusMD Personal Firewall, NeoWatch Personal Firewall, Privacyware Privatefirewall.
Введение
О существовании хакеров наслышаны все. Однако большинству рядовых пользователей, подключающихся к Интернету с помощью стандартных средств Windows и браузера Internet Explorer (Netscape Navigator), они представляются чем-то далеким и мифическим, поскольку деятельность их тайная и незаметная. И только известие о неведомо куда пропавших десяти часах с Интернет-счета заставляет человека поверить в их реальность.
Но формальной власти в Интернете нет, и жаловаться некому. Не углядел за паролями — сам виноват. Выход один: обезопасить свое рабочее место программами-охранниками. Таких программ существует немало, и, хотя защитить от профессиональных кибербандитов они не способны, их использование на домашнем ПК под управлением Windows 9x в 99% случаев позволит дать отпор злоумышленникам. Сегодня считается естественным применение антивирусных программ — таким же должно стать отношение и к подобным системам защиты ПК в Сети.
Сюда относятся программы класса персональных межсетевых экранов (ПМЭ, брандмауэр, Personal Firewall). Персональный межсетевой экран является универсальным программным средством, обеспечивающим надежную защиту компьютера от несанкционированного доступа к различным информационным ресурсам на нем по протоколу TCP/IP при работе компьютера в локальных или глобальных сетях, например Интернет. Основой программы является драйвер, взаимодействующий непосредственно с драйвером сетевого уровня. Драйвер контролирует весь IP-трафик, поступающий и исходящий из компьютера. Персональный межсетевой экран в большинстве случаев после инсталляции не требует дополнительных настроек и обеспечивает защиту компьютера еще на этапе его загрузки. К компьютерам при установке персонального межсетевого экрана не предъявляется никаких дополнительных требований. Это может быть стационарный или переносной компьютер с операционной системой Windows 95/98/Me/NT/2000 и модемом или сетевой картой.
Брандмауэры контролируют всю сетевую активность ПК, отслеживая состояние портов и попытки подключения к ним из глобальной сети (стремление вредоносных программ проникнуть в локальную Windows-среду), а также фиксируя все программы на ПК, которые без разрешения пытаются выйти в Интернет.
Это может быть как стандартный браузер, так и случайно оказавшаяся на компьютере программа-вирус (например, присланная по электронной почте и запущенная по незнанию), укравшая пароли и передающая их своему создателю.
Обычно ПМЭ распространяются на коммерческой основе. Стоят они, как правило, от 10 до 70 долл. Но бывают и приятные исключения. Некоторые компании из маркетинговых соображений позволяют использовать свои брандмауэры бесплатно — в частном порядке, на домашнем ПК, для некоммерческих целей.
Интересно, что у человека, впервые установившего ПМЭ, вызывает удивление неожиданно большое (с его точки зрения) число попыток пробраться в его скромный ПК из Интернета.
Активность хакеров в значительной мере зависит от провайдера (некоторые компании, предоставляющие доступ в Интернет, запрещают использовать в своих каналах хакерские приложения, выполняющие, например, сканирование портов компьютеров других пользователей).
Для проведения тестирования был собран стенд, состоящий из трех рабочих станций и сервера. На всех рабочих станциях была установлена операционная система Microsoft Windows 2000 Professional SP1, а на сервере — Microsoft Windows 2000 Server. На всех рабочих станциях и сервере устанавливается стек сетевых протоколов TCP/IP. Для объединения рабочих станций в сеть использовались два внешних модема 3Com Courier V.Everything 56K, два концентратора NETGEAR FE516 и мини-АТС AT&T. Первая рабочая станция — атакующий компьютер, подсоединен к серверу через концентратор. Вторая рабочая станция — атакуемый компьютер, на котором и установлен тестируемый брандмауэр. С помощью второго концентратора ко второй рабочей станции подсоединена третья рабочая станция. Само же подключение между сервером и второй рабочей станцией осуществляется с помощью модемов через АТС.
Во избежание некорректной работы, перед установкой каждого тестируемого брандмауэра переустанавливалась и операционная система на второй рабочей станции (рис. 1).
Также мы посчитали логичным разделить тестируемые продукты на две категории и в каждой из них сделать наш выбор: бесплатные брандмауэры (Free) и платные брандмауэры (Shareware).
Все продукты оценивались с точки зрения простоты их применения и способности защищать от наиболее типичных хакерских атак, и большое внимание уделялось процессу сканирования портов, поскольку без сканирования атакующий вообще ничего не может сделать. Так же были предприняты попытки запуска трояна и проведены DOS-атаки (Denial Оf Service — отказ в обслуживании) в отношении каждого тестируемого брандмауэра.
В качестве сканера в тестировании использовался программный продукт — Internet Scanner 6.1 (с X-Press Update 4.9). Теперь несколько слов о том, почему именно мы использовали этот программный продукт в тестировании.
Система Internet Scanner реализует ряд проверок, идентифицирующих уязвимости сетевых сервисов, операционных систем, маршрутизаторов, почтовых и Web-серверов, межсетевых экранов и прикладного программного обеспечения, которые могут быть использованы злоумышленником для проникновения в корпоративную сеть.
Система Internet Scanner может быть использована для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP. Это могут быть как компьютеры, подключенные к локальной или глобальной сети (Internet), так и автономные компьютеры с установленной поддержкой TCP/IP.
Достоинства системы Internet Scanner были по праву оценены более чем 7500 компаниями во всем мире (в том числе и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Наряду с этим данная система имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, система Internet Scanner содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.
2 сентября 1998 года система Internet Scanner получила сертификат Государственной технической комиссии при Президенте РФ №195 и стала первой в России системой анализа защищенности, признанной этой авторитетной в области защиты информации организацией. Сертификация проводилась по техническим условиям (№ 19-98), поскольку руководящий документ, в котором приводились бы требования к средствам анализа защищенности, в настоящий момент не разработан.
Применение сертифицированной системы Internet Scanner дает два преимущества по сравнению с другими аналогичными средствами.
Во-первых, «информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации» (Закон РФ от 25.01.95 «Об информации, информатизации и защите информации», ст.19). Сертификация системы Internet Scanner позволяет применять ее в государственных организациях.
Во-вторых, сертификат выдается по результатам сертификационных испытаний, проводимых независимой испытательной лабораторией, назначаемой Гостехкомиссией России. В процессе испытаний осуществляется большое число тестов, которые гарантируют отсутствие «возможностей» (соответствия Гостехкомиссии России № 195).
В апреле 1999 года система Internet Scanner, как и все остальные продукты компании Internet Security Systems, была сертифицирована на соответствие требованиям перехода к 2000 году.
Хотя есть в этом тестировании определенная доля субъективности (в частности, не тестировался популярный в России AtGuard, поскольку он теперь представляет собой коммерческий продукт, а компания WRQ, его создавшая, более этот брандмауэр не поддерживает и не развивает). Необходимо также отметить, что брандмауэры рассматривались при работе в простой сетевой конфигурации, то есть два ПК, объединенные в локальную сеть.
Персональных брандмауэров на рынке программного обеспечения довольно много, но программы эти в большинстве своем не очень известны, за исключением, пожалуй, уже несколько устаревшего AtGuard. Выбрать есть из чего, но насколько эффективно вы обезопасите с их помощью свои системы от злоумышленников, зависит не только от того, что вы предпочтете, но и от того, как настроите и как будете использовать эту программу.
Выбор редакции
В каждой из категорий мы отметили знаком «Выбор редакции» по два программных продукта.
В категории бесплатных брандмауэров первое и второе место заняли следующие программные продукты: Agnitum Outpost Firewall и Zone Alarm соответственно. На наш взгляд, Agnitum Outpost Firewall интуитивно более понятен простому пользователю, не требует определенных знаний сетевых протоколов и уязвимых мест сети, а также стоит отметить наличие нужных и полезных дополнительных модулей, что и позволило данному брандмауэру занять первое место, в то время как у Zone Alarm дополнительные возможности «зарыты» глубоко в программе.
В категории платных брандмауэров бесспорное первое место занял пакет Symantec — Norton Personal Firewall. Вторым же местом мы отметили Black Ice Defender, который проявил себя в наших тестах проявил себя с наилучшей стороны, хотя и не обладает полнофункциональными и дополнительными возможностями брандмауэра.
Тестируемые продукты
Бесплатные продукты
Zone Alarm
Этот брандмауэр отличается симпатичным дизайном и несложным продуманным интерфейсом. Позволяет блокировать активность любых программ, обращающихся к Windows из Интернета или пытающихся самостоятельно выйти в Сеть с ПК. Достаточно прост в управлении, допускает настройку работы приложений в локальной сети или Интернете (на уровне «разрешить», «запретить», «спросить») и их функционирование в качестве серверов.
Загружается Zone Alarm как обычное Windows-приложение и теоретически не обеспечивает уровня безопасности, подобного Tiny Personal Firewall (см. ниже), но подавляющему большинству пользователей такой уровень и не требуется. При более-менее подозрительной активности программа выдает на экран красивое окошко — либо с информацией о попытке подключения к компьютеру, сообщая IP-адрес удаленной машины и предлагая на своей Web-странице определить провайдера — владельца этого IP-адреса, либо с вопросом — разрешить или запретить определенному приложению работу в Сети.
При постоянной работе с персональным компьютером подобный подход со всплывающим окном более удобен и нагляден, нежели простое протоколирование всего трафика, с которым рядовой пользователь разбираться не станет.
Zone Alarm распознает выполняемые программы и ограничивает их возможности, в частности контролирует пересылку данных из компьютера в Интернет.
Существует две зоны Zone Alarm — локальная и Интернет. В локальной зоне находятся ваш и другие объединенные в сеть компьютеры. Все остальные машины относятся к зоне Интернета. Каждой зоне можно назначить низкий (Low), средний (Medium) и высокий (High) уровни защиты. По умолчанию локальной зоне назначается средний уровень защиты, что позволяет достаточно свободно обмениваться информацией, в том числе совместно работать с файлами в среде Windows. В зоне Интернета действует высокий уровень защиты: запрещено совместное использование файлов, все порты скрыты от внешнего мира, действуют все привилегии, назначенные прикладным программам. На низком уровне действуют только назначенные привилегии.
Для полного блокирования соединений достаточно щелкнуть на пиктограмме «висячий замок» в верхней части интерфейса Zone Alarm. Затем, выбрав окно Pass Lock в разделе Programs, можно разрешить обмен данными для определенных программ. При обнаружении попытки любой прикладной программы установить соединение с внешними миром в этом режиме, Zone Alarm направляет запрос пользователю, таким образом блокируя любые соединения, за исключением специально разрешенных.
Zone Alarm можно порекомендовать массовым пользователям, применяющим для работы в Интернете преимущественно обычные браузеры и почтовые клиенты.
Agnitum Outpost Firewall
Установка программы не вызвала никаких затруднений, за исключением выбора нужного языка. После установки программы и перезапуска системы в системном трее (там, где часики), появляется значок программы в виде знака вопроса в синем круге. Программа работает в режиме обучения, и никакие правила для нее не предусмотрены, но относительно каждого входящего и исходящего соединения программа предложит окно диалога с предложением создать правило для него или совершить единичное действие — пропустить или заблокировать. Правила, которые создаются в этом режиме, немедленно применяются для фильтрации входящего и исходящего трафика. Также в программе предусмотрены еще несколько режимов работы.
Режим блокировки — система блокирует все соединения, для которых явным образом не были определены правила, то есть система работает по принципу: что не разрешено, то запрещено.
Режим полной блокировки — в этом режиме отсекаются все соединения, независимо от того, разрешены они или запрещены. Очень полезен, когда получаешь от кого-нибудь угрозу немедленной атаки.
Режим отключения — программа висит в системном трее и ничего не делает.
Разрешающий режим — разрешены все соединения и весь трафик, который не был явным образом запрещен в правилах.
Режимы легко и быстро меняются пользователем, и в случае необходимости система немедленно начинает действовать в соответствии с новыми правилами работы защиты.
Кроме того, в программе реализованы и дополнительные функции. Брандмауэр поддерживает демилитаризованную зону, то есть возможность создавать IP-лист на весь трафик, и только с этих IP брандмауэр будет пропускать входящие пакеты. Против сканирования портов предусмотрен режим невидимки (Stealth), когда система не отвечает на пинги и не выдает никаких ICMP-сообщений при запросах. В окне настроек имеются варианты поведения при такого рода запросах, которые могут варьироваться. Для удобства и быстроты в систему встроено большое количество стандартных правил, но также можно создать и свои правила. Поддерживаются и дополнительные модули, ряд из которых поставляются с программой и являются стандартными. Модуль «Реклама» позволяет «резать» баннеры и все что на них похоже. «Резка» происходит либо по размеру баннера, либо по ссылке, причем в программе изначально предусмотрены самые распространенные размеры и ссылки, но можно добавить и свои. Фильтр активного содержимого «срезает» запрещенные активные элементы на страничках, полезен для убивания всплывающих окон и т.д. Контроль за содержимым страничек — если не хотите видеть на страницах какое-нибудь нехорошее слово, внесите его сюда и больше никогда с ним не встретитесь. Здесь же предусмотрена блокировка доступа на внесенные в список сайты, но относится это скорее к контролю родителей, которые обеспокоены моральным обликом своих детей. Кэширование DNS помогает быстрее «перемещаться» по Интернету. Детектор атак определяет сканирование, блокирует атаку и анализирует подозрительные действия, а также позволяет определить IP-адрес атакующего.
eSafe Desktop
eSafe Desktop — один из немногих функционально исчерпывающих комплексов, располагает полноценным брандмауэром, антивирусной программой, функциями фильтрации поступающей информации и возможностью отражать нападения других типов, в частности совершаемые с применением сценариев JavaScript и элементов управления ActiveX. В программе eSafe Desktop предусмотрены фильтры информации для отсеивания нежелательных слов и выражений. Кроме того, eSafe Desktop блокирует «троянские» программы и порты, обычно используемые хакерами. Данный инструмент поставляется уже настроенным на отражение многочисленных типичных попыток вторжения, таких, к примеру, как Trojan NetBus.
Пользователь может дополнительно заблокировать конкретные порты для обмена данными с конкретными адресами. Такая возможность настройки конфигурации на основе правил обеспечивает значительную гибкость. Однако у программы есть и серьезный недостаток: ни одно из этих правил не введено в силу в конфигурацию по умолчанию. Кроме того, в исходной конфигурации eSafe Desktop даже не предусмотрен запрет на использование NetBIOS для совместной работы с файлами через Интернет.
Интересная уникальная особенность eSafe Desktop — функция «Песочница» (Sandbox), с помощью которой можно определить, где и как прикладная программа может выполнять манипуляции с файловой системой. Например, вы можете запретить новой программе записывать данные в любой файл вне ее собственного каталога. В режиме обучения «Песочница» (Sandbox) устанавливает правила поведения, отслеживая действия прикладной программы.
С помощью экрана «Администратор» (Administrator) можно накладывать определенные ограничения на операции, которые разрешается выполнять разным пользователям компьютера. Например, можно запретить доступ к функциям eSafe Desktop, накопителям в разделе «Мой компьютер» и даже командам «Выполнить» и «Завершение работы» в меню «Пуск».
Продуманный подход к назначению прав доступа позволит администратору сети задавать различные уровни ограничений для индивидуальных пользователей среды Windows, в зависимости от их потребностей в доступе к документам и программам и степени его доверия к ним. В принятой по умолчанию конфигурации брандмауэра привилегии, как и правила, не действуют, поэтому, прежде чем пользоваться ими, необходимо их назначить.
Как антивирусная программа eSafe Desktop не представляет собой ничего выдающегося, но если вас привлекают иные возможности пакета, то помните, что использование наряду с eSafe Desktop еще одной антивирусной программы не вызовет затруднений. Бесспорно, eSafe Desktop — интересная программа, функционально развитая и не лишенная определенных достоинств, но за исключением функции «Песочница» и возможности назначать привилегии, она ничем не выделяется на фоне конкурирующих продуктов. Поскольку по умолчанию в программе не задействованы лучшие и наиболее привлекательные функции, она вряд ли заинтересует начинающих пользователей. eSafe Desktop распространяется бесплатно, и вы ничем не рискуете, если попробуете поработать с ней. Также стоит отметить наличие русского интерфейса, что поможет лучше разобраться в функциях данного брандмауэра.
Tiny Personal Firewall
Оригинальное в технологическом плане решение — Tiny Personal Firewall — активизируется еще до загрузки Windows, размещаясь между адаптером сетевого интерфейса и ОС, что гарантирует защиту компьютера на низком уровне и на самых ранних стадиях работы. Ни один сетевой сервис принципиально не может активизироваться до начала функционирования этого брандмауэра!
Для его установки не требуется специальных знаний. После инсталляции брандмауэр запускается автоматически, и в дальнейшем при первом обращении любого приложения с локального компьютера к Интернету пользователю будет задан вопрос, следует ли разрешить или запретить доступ к Сети (как и в случае с Zone Alarm).
Браузерам и почтовым клиентам, очевидно, имеет смысл дать постоянное разрешение, чтобы не отвечать на одни и те же вопросы при каждом подключении к Интернету; другие программы можно настроить более тонко. Tiny Personal Firewall обладает гибкими средствами такой настройки. Он позволяет указать для каждого Интернет-приложения набор правил его работы в Интернете — сетевой протокол (TCP, UDP, ICMP), направление передачи данных (в ПК из Сети, из ПК в Сеть), допустимый диапазон используемых портов и IP-адресов удаленного приложения (например, если FTP-клиент всегда обращается к определенному FTP-серверу, то лучше настроить его на конкретный IP-адрес этого сервера), а также способы протоколирования по каждому правилу. Чтобы под видом стандартного приложения в компьютер не закралась вредоносная программа, контролируемое Tiny Personal Firewall приложение снабжается сигнатурой по профилю сообщения 5 (MD5).
Главным недостатком программы можно счесть излишнюю простоту дизайна (на уровне Windows 3.0). Примитивные диалоговые окна, моргающие строки окна состояния, не до конца проработанный интерфейс. Отсутствует справочная система.
Продукт можно посоветовать для применения опытным пользователям, Web-мастерам и дизайнерам, создателям сетевых программ, активно работающим в Интернете.
Sygate Personal Firewall
Тестировалась версия 4.0, но на момент тестирования вышла версия 4.1 beta. Мы же все-таки решили тестировать «проверенную» версию 4.0.
Sygate Personal Firewall поддерживает три режима работы: запретить все соединения (Block All), нормальный режим (Normal) и разрешить все соединения (Allow All). По умолчанию после установки программы установлен нормальный режим работы, что позволяет не сильно вникать в настройки программы. Все приложения определяются на лету и устанавливаются в режим «спросить» (Ask). Для приложений предусмотрено тоже три режима: помимо режима «Спросить» существует еще два — «Разрешить» (Allow) и «Заблокировать» (Block). Приложения также можно настроить вручную, причем предусмотрен режим для более тонкой настройки данного приложения (Advanced Application Configuration). Ведется довольно удобный журнал, который разбит на отдельные группы: охранный журнал (Security Log), системный журнал (System Log), журнал входящего/исходящего трафика (Traffic Log) и журнал пакетной передачи (Packet Log). На каждый из журналов существуют дополнительные фильтры, позволяющие сократить или увеличить выводимую информацию в данных журналах. Предусмотрены следующие фильтры: выводить информацию за один день (1 Days Logs), за три дня (3 Days Logs), за неделю (1 Week Logs), за месяц (1 Month Logs) и наконец, выводить всю существующую информацию (Show All Logs). Брандмауэр, так же как и Outpost Firewall, по умолчанию не выдает никаких IMCP-сообщений, что позволяет оставаться «не заметным» для «хулигана», посылающего пинги в Сеть.
Wyvern Personal Firewall
Персональный брандмауэр фильтрует входящую и исходящую связь на вашем компьютере. Может предупреждать вас о попытках использования ресурсов на вашем компьютере, о которых вы могли не знать, например защищает от NetBus — программы, которая позволяет «подвесить» ваш компьютер.
Для того чтобы защитить свой компьютер с помощью Wyvern Personal Firewall, достаточно щелкнуть на кнопке «Добавить порты» (Add Ports), в результате откроется другое меню, где нужно ввести правильный номер порта, который должен быть защищен от любого сканирования портов. Если вы хотите получить дополнительную информацию и загрузить себе Port Scanner (служит для проверки собственных портов на предмет открытости/закрытости), то вам следует обратиться по следующему адресу: http://www.wyvernworks.homepage.com/. После дополнения портов и включения (Enable Protection) брандмауэр готов к работе, но допускается и отключение защиты (Disable Protection). По сути, он закрывает только указанный спектр портов и никаких других функций в себе не несет. Брандмауэр также предупреждает о несанкционированных попытках подключения к вашему компьютеру. Позволяет определить IP-адрес атакующего. В нашем тесте занял последнее место только из-за малого числа функций, хотя с защитными свойствами справился, и при попытке сканирования и DOS-атаки все было успешно зафиксировано и остановлено. Кроме того, нужно отметить знания сетевых протоколов для внесения в список портов, что тоже не могло не сказаться на итоговом месте данного брандмауэра.
Look’n’Stop Lite
Look’n’Stop позволяет управлять всеми передачами между компьютером и Internet и останавливать все подозрительные пакеты и не доверяемые приложения, пытающиеся подключиться к Internet.
Look’n’Stop обеспечивает два уровня фильтрации. Первый — на сетевом уровне, когда все поступающие и исходящие пакеты отслежены. Второй — на прикладном уровне, когда отконтролированы и все приложения, пытающиеся подключиться к Internet.
Для фильтрации пакетов предусмотрены перестраиваемые правила, которые позволяют определять санкционированные пакеты и пакеты, которые желательно заблокировать. По умолчанию правила, предусмотренные в Look’n’Stop, подходят для стандартного использования соединений с Internet. Этот уровень фильтрации управлялся через закладку Internet Filtering.
Для фильтрации приложений Look’n’Stop поддерживает список разрешенных приложений, подключающихся к Internet. Каждый раз о новой неизвестной попытке установить соединения с Internet вы получаете предупреждение высвечиванием диалогового окна. Затем вы решаете, допускать это новое приложение или нет. Этот уровень фильтрации управляется через закладку Application Filtering. Данная закладка реализована, к сожалению, в платной версии Look’n’Stop 2.01, в версии Lite 1.02 она отсутствует. Это единственное различие между платной и бесплатной версиями.
Закладка Log поддерживает историю событий. Событие — это или блокированный пакет, или блокированное приложение. Можете выбрать то, что вы хотите видеть в протоколе, компонуя Internet Filtering и Application Filtering.
Закладка Welcome предоставляет высокоуровневую информацию о Look’n’Stop и сформирована из четырех частей: «Информация», «Статус», «Статистика» и «О Look’n’Stop».
Информационная часть кратко описывает цель использования Look’n’Stop.
Поле «Статус» информирует о трех важных моментах: галочка «Connected to the Internet» Look’n’Stop автоматически проверяет, подключены ли вы к Internet. В поле IP-address автоматически отображен IP-адрес вашего компьютера (если вы не подключены к Сети, то 127.0.0.1), а также имя вашего компьютера.
Поле «Статистика» в реальном времени отображает данные об активности Look’n’Stop. Безопасность, предусмотренная Look’n’Stop, главным образом доверяется в фильтрацию пакета. Фильтрация пакета в Look’n’Stop является частью внутреннего процесса, который работает на самом низком программном уровне, что обеспечивать максимальную безопасность. Для того чтобы информировать об этой внутренней и невидимой деятельности процесса, в поле «Статистика» отображены четыре счетчика, работающих в реальном времени: количество исходящих отфильтрованных пакетов данных (Filtered packets in uplink), количество входящих отфильтрованных пакетов данных (Filtered packets in downlink), общее число пакетов данных, которые посланы (Total of sent packets), и общее число пакетов данных, которые получены (Total of received packets).
Закладка Application Filtering (только в версии Look’n’Stop 2.01, в версии Look'n'Stop Lite 1.02 отсутствует) регулирует фильтрацию приложений, пытающихся подключиться к Internet. С левой стороны окна отображены текущие открытые приложения. С правой стороны вы определяете, какому приложению разрешено подключаться к Internet, а какое должно быть заблокировано.
Для того чтобы включить фильтрацию, достаточно установить галочку в поле «Application filtering enabled». Если вы хотите добавить или удалить приложение вручную, предусмотрены кнопки «Add» и «Remove».
Когда неизвестное приложение пытается выйти в Сеть (это как раз тот случай, когда после установки Look'n'Stop список еще пуст — все приложения неизвестны), появляется диалоговое окно следующего содержания: разрешить соединение или заблокировать его. В обоих случаях приложение будет добавлено к списку допущенных или заблокированных. Приложение не будет активизировано до тех пор, пока не будет принято решение. Приложения могут отобразить сообщение об ошибке, если программа не получила ответ на вопрос.
Первый столбец Look’n’Stop сообщает, требуется приложению наблюдение или нет. Если не выбрать этот атрибут, приложение будет воспринято как неизвестное: на экране снова появится диалоговое окно разрешения или блокирования данного приложения.
Второй столбец предназначен для разрешения или блокирования приложения. Третий столбец используется для добавления информации в протокол каждый раз, когда приложение пытается подключиться к Internet (независимо от того, какое приложение разрешено). Другой столбец только для чтения: прикладная иконка, прикладное имя и полный прикладной путь. Look’n’Stop также защищает от попытки соединения неизвестного приложения, которое маскируется под известное. Возможно, программа была изменена, а может быть, троянский конь пытается подключиться к Internet. Отметим, что подобное может случиться и при обновлении программного обеспечения. На самом деле программное обновление изменит прикладную программу. При обновлении приложения и появлении диалогового окна разрешайте приложению выход в Сеть, в противном случае блокируйте его.
Закладка Application Filtering отображает установленный список правил. Правила выполняются в порядке, в котором они отображены, сверху вниз. Кнопки «Up» и «Down», расположенные в правой части окна, позволяют модифицировать порядок правил. Кнопка «Add» дает возможность добавлять новые правила, а кнопка Delete — удалять выбранные правила. Для того чтобы редактировать существующие правила, предусмотрен двойной щелчок на правиле или на кнопке «Edit». При этом открывается новое диалоговое окно, которое позволяет определять характеристики правил. Каждое правило может управляться следующими параметрами: правило в силе и временное отключение данного правила без удаления его из списка. Правила позволяют останавливать пакеты. Если один из пакетов данных соответствует правилам, он будет остановлен (то есть отфильтрован) Look’n’Stop. Страница также позволяет просматривать пакеты. Если хотя бы один пакет данных соответствует правилам, он будет отображен Look’n’Stop на Log-закладке. При желании (смотри на закладке Options) диалоговое окно может появляться со звуковым сопровождением. Брандмауэр позволяет сохранять или загружать ранее созданные правила. На закладке присутствует опция, позволяющая активизировать или выключить брандмауэр.
Закладка Log обеспечивает указания в реальном времени в отфильтрованном пакете Look’n’Stop. Пакет может быть отфильтрован или заблокирован (Stop) либо просмотрен (Look) согласно параметрам правил. Каждый отфильтрованный пакет в регистрационном списке прописывается в одну строку. Каждая строка регистрационного списка сформирована из нескольких областей, где каждая область прописывается в один столбец списка. Столбец U/D# сигнализирует об отфильтрованных пакетах, а также об их направлении: U — из ПК в Internet, D — из Internet в ПК. Число «#» около U или D — индекс линии в регистрационном списке. Столбец Date информирует о дате и времени (с ошибкой в одну секунду) входящего или исходящего пакета данных. Столбец Rule (Правила) информирует о названии правил, которые должны быть отфильтрованы. Столбец Type — тип протокола отфильтрованного пакета. Столбец Address (Адрес) информирует о Ethernet- или Internet-адресе. Additional — дополнительный столбец обеспечивает информацию, которая зависит от типа отфильтрованного пакета. Например, это может быть информация о портах передачи пакета для TCP и протоколов UDP. Управляющие кнопки позволяют удалять одну или все строки регистрационного списка, а также демонстрируют детали отфильтрованного пакета. Двойной щелчок в строке регистрационного списка также позволяет просматривать детали отфильтрованного пакета благодаря специальному окну, которое называется Packet’s content (Содержимое пакета). Данное окно содержит важную информацию об отфильтрованном пакете. Это окно главным образом рассчитано на специалистов протокола Internet. Кнопки в виде стрелок позволяют перемещаться между отфильтрованными пакетами, не вызывая это окно снова и снова. В зависимости от типа пакета содержимое отображено на следующем уровне протокола: Ethernet, Internet, TCP, UDP или ICMP.