Конфигурация тестового компьютера, программное обеспечение, используемое при тестировании
- Celeron Tualatin 1000A на шине 133, т.е. частота процессора 1333 мегагерца.
- Материнская плата Asus TUSL2C, BIOS ревизии 1011.
- 512 мегабайт оперативной памяти, работающей на частоте 133 мегагерца.
- Винчестер Seagate Barracuda 4 80 гигабайт в режиме UDMA5.
- Windows XP Pro Rus Service Pack 2.
- 10 мегабитная сеть из двух компьютеров.
- Сканер уязвимостей Retina 4.9.206.
- Утилита для сетевого флуда по ICMP, IGMP, TCP, UDP.
После установки Service Pack 2 в настройках файрвола были отключены все исключения, созданные по умолчанию.
Использование программой памяти и загрузка процессора
Для оценки поведения файрвола в тяжелых условиях, когда машина под его защитой атакована по локальной сети, был выполнен ряд тестов. В ходе атаки на тестовую машину снимались показания об объеме занятой сервисом файрвола памяти и о загрузке им процессора.
Момент снятия показаний | Объем занятой памяти | Загрузка процессора |
Физическая память (килобайт) | Виртуальная память (килобайт) |
После загрузки ОС | 17 100 | 11 386 | 0% |
После сканирования при помощи Retina | 17 196 | 11 376 | 0%5% |
ICMPфлуд в течение 5 минут | 17 292 | 11 364 | 0%1% |
IGMPфлуд в течение 5 минут | 17 314 | 11 402 | 10%25% |
SYNфлуд в течение 5 минут | 18 180 | 12 248 | 10%100% |
UDPфлуд в течение 5 минут | 17 348 | 11 420 | 0%31% |
Результаты тестов свидетельствуют об отсутствии утечек памяти и демонстрируют, что даже при атаке по локальной сети, где скорость передачи данных в несколько раз выше, чем при работе в интернете, проблем со снижением производительности компьютера под защитой файрвола нет. Во время SYNфлуда загрузка процессора была максимальной, но работу на компьютере можно было продолжать.
Сканирование системы сканером безопасности Retina
Тестовая машина была просканирована сканером уязвимостей Retina при включенном и выключенном файрволе. Результаты сканирования представлены в таблице ниже.
Название | Файрвол выключен | Файрвол включен |
Ответ на ping | да | нет |
Время ответа | да | нет |
Имя домена/рабочей группы | да | нет |
Трассировка маршрута | да | нет |
Время жизни пакета | да | нет |
Определение версии ОС | да | нет |
Определение даты и времени | да | нет |
Определение MACадреса | да | нет |
Открытый порт 135 | да | нет |
Открытый порт 139 | да | нет |
Открытый порт 445 | да | нет |
Результаты сканирования демонстрируют, что включение файрвола закрывает открытые порты и скрывает компьютер в сети.
Онлайн тест файрвола
Для тестирования файрвола на качество контроля им приложений, пытающихся отправить информацию в интернет, была использована утилита PCAudit2. Эта утилита предлагает в любом приложении (например, в Блокноте) ввести несколько любых слов или зайти на любой сайт, требующий авторизации и ввести имя пользователя и пароль. Утилита перехватывает вводимые данные, делает скриншот с экрана, определяет имя пользователя, работающего в системе, IPадрес и предпринимает попытку отправить собранную информацию на свой сервер. Затем утилита открывает с сервера динамически созданную страницу с отправленными данными и наглядно демонстрирует то, какая информация может быть получена хакером, взломавшим систему.
Встроенный файрвол Windows XP SP2 не смог пресечь отправку этих данных. Утилита перехватила введенный в Блокноте текст и без какихлибо препятствий и оповещений со стороны файрвола отправила их на свой сервер, что было подтверждено открывшейся страницей со всей собранной информацией.