روش شناسی آزمون

آزمایش بر روی یک رایانه شخصی آزمایشی که دارای مجوز Windows XP با SP1 نصب شده بود انجام شد (تست تحت شرایط ایده آل - "سیستم عامل + فایروال" انجام شد تا تأثیر سایر برنامه ها بر خلوص آزمایش حذف شود). ابزار APS به عنوان شاخصی برای دسترسی موفق به خدمات استفاده شد. موارد زیر به عنوان ابزار تأثیر خارجی استفاده شد:

• اسکنر XSpider 6.5 و 7.0
• اسکنر امنیتی شبکه شبکیه چشم 4.9
• چندین اسکنر از طراحی من

علاوه بر این، sniffer CommView 4.1 (به عنوان ابزار نظارتی برای ترافیک شبکهو به عنوان ابزاری برای تولید و ارسال بسته هایی با تخلفات مختلف در ساختار). به اصطلاح. سیلاب از انواع رایج، ابزارهای کاربردی برای شبیه سازی تروجان ها.

در کامپیوتر آزمایشی، IE 6 به عنوان وسیله ای برای دسترسی به شبکه و اینترنت استفاده شد. Outlook Express 6، TheBat 1.60، MSN Messenger 6.1. علاوه بر آنها، شبیه سازهای تروجان ها و تروجان های واقعی / درهای پشتی مجموعه من در آزمایش شرکت کردند (به ویژه، Backdoor.Antilam، Backdoor.AutoSpy، Backdoor.Death، Backdoor.SubSeven، Backdoor.Netbus، Backdoor.BO2K)، شبکه / ویروس های ایمیل (I-Worm.Badtrans، I-Worm.NetSky، I-Worm.Sircam، I-Worm.Mydoom، I-Worm.MSBlast)، دانلود کننده های TrojanDownloader (به ویژه TrojanDownloader.IstBar) و اجزای جاسوسی SpyWare. وظیفه اصلی آزمایش ها تلاش برای نگاه کردن به فایروال از دید کاربر، برای یادداشت نقاط قوت و ضعف آن از دیدگاه من بود.

Kerio Technologies WinRoute Pro نسخه 4.2.5

نصب و حذف نصب:
بدون مشکل می گذرد.
نصب با تنظیمات "پیش فرض"، بدون قوانین - فقط NAT کار می کند. شبکه - بدون مشکل، نتایج اسکن - APS وضعیت هشدار را نشان نمی دهد، اسکنر فکر می کند که همه پورت ها بسته هستند. Winroute خود آلارم صادر نمی کند و واقعیت اسکن را به صورت بصری شناسایی نمی کند.

Outpost Firewall Pro 2.1 Build 303.4009 (314)

نصب و حذف نصب:
نصب تحت XP بدون مشکل انجام می شود، در هنگام راه اندازی، حالت یادگیری روشن می شود.

ZoneLabs ZoneAlarm Pro with Web Filtering 4.5.594.000 - فایروال شخصی

نصب و حذف نصب:
در طول نصب، XP هنگام تلاش برای شروع پس از نصب قطع شد. بعد از راه اندازی مجدد همه چیز خوب کار کرد.

AtGuard 3.22>

نصب و حذف نصب:
نصب و حذف مشکلی ایجاد نمی کند

مزایای:

1. فایروال از نظر اندازه کوچک است، از نظر رابط راه حل جالبی دارد - به شکل یک پانل قرار داده شده در بالای صفحه نمایش ساخته شده است.

معایب و ویژگی ها:

1. آسیب پذیر در حالت یادگیری - از لحظه ای که درخواست ایجاد یک قانون صادر می شود تا زمانی که ایجاد شود، بسته ها را در هر دو جهت ارسال می کند.
2. هنگام ترسیم مجدد ویندوز، رابط کاربری کمی مشکل دارد

مجموع امتیاز:
فایروال ساده، اما کاملا کاربردی

فایروال شخصی Kerio 4

نصب و حذف نصب:
نصب بدون مشکل انجام می شود، حذف "تمیز" است - پس از حذف هیچ مشکلی مشاهده نشد.

نورتون امنیت اینترنت 2004 (NIS)

نصب و حذف نصب: نصب مشکلی ایجاد نمی کند، اما از همه نصاب های تحلیل شده، سنگین ترین است.

فایروال اتصال به اینترنت، ICF - داخلی دیوار آتش ویندوز XP

نصب و حذف نصب: نصب لازم نیست، است به معنی منظم xp. در تنظیمات فعال شده است آداپتور شبکه. به طور پیش فرض، ICF در حالت حداکثر امنیتی عمل می کند و (این نتیجه مشاهدات من است) اصل عملکرد آن به شرح زیر است - درخواست های برنامه به بیرون منتشر می شوند و فقط بسته هایی که در پاسخ به درخواست های من آمده اند در خارج دریافت می شوند ( مکاتبات درخواست-پاسخ به وضوح در قالب یک جدول پویا نگهداری می شود). بنابراین، هنگام اسکن پورت‌ها روی رایانه‌ای که ICF فعال است، یک پورت باز وجود ندارد (این منطقی است - بسته‌های اسکنر پورت نادیده گرفته نمی‌شوند، زیرا کسی آنها را درخواست نکرده است). وضعیت مشابه با انواع مختلف "nukes" بر اساس ارسال بسته های غیر استاندارد است.

فایروال اتصال به اینترنت، ICF - فایروال داخلی در Windows XP SP2

نصب و حذف نصب: نیازی به نصب نیست، این یک ابزار XP معمولی است (در بسته به روز رسانی SP2 برای XP گنجانده شده است). فعال کردن در تنظیمات آداپتور شبکه انجام می شود. لازم به ذکر است که هنگام نصب SP2 یا هنگام نصب XP با SP2 یکپارچه، علاوه بر فایروال، یک مرکز امنیتی نیز در سیستم ظاهر می شود که می تواند تنظیمات ICF را نشان دهد.

Sygate Personal Firewall Pro 5.5 build 2525

نصب و حذف نصب:

ISS BlackIce 3.6.cci

نصب و حذف نصب: نصب برنامه و حذف آن بدون مشکل انجام می شود، اما در حین نصب خطایی در کتابخانه ikernel رخ می دهد. همین خطا در هنگام حذف نصب رخ داد. بروز این خطا بر روند نصب و حذف برنامه تاثیری ندارد. نصب کننده نیازی به راه اندازی مجدد سیستم نداشت که برای فایروال غیرعادی است

فایروال Visnetic 2.2

نصب و حذف نصب: نصب برنامه و حذف آن بدون مشکل پیش می رود. پس از نصب نیاز به راه اندازی مجدد است.

به فایروال شخصی n stop 2.05 نگاه کنید

نصب و حذف نصب: نصب برنامه و حذف آن بدون مشکل پیش می رود. پس از نصب نیاز به راه اندازی مجدد است. درایور خود را نصب می کند تا کار کند.

Kaspersky AntiHacker 1.5

نصب و حذف نصب: نصب برنامه و حذف آن بدون مشکل پیش می رود. پس از نصب نیاز به راه اندازی مجدد است.

Tiny Personal Firewall Pro 6.0

نصب و حذف نصب:
نصب برنامه و حذف آن بدون مشکل پیش می رود. پس از نصب نیاز به راه اندازی مجدد است.

McAfee Personal Firewall Plus 6.0 Build 6014

نصب و حذف نصب:
نصب برنامه و حذف آن بدون مشکل پیش می رود. پس از نصب نیاز به راه اندازی مجدد است.

R-Firewall 1.0 Build 43

نصب و حذف نصب:
نصب برنامه و حذف آن بدون مشکل پیش می رود. اندازه کیت توزیع کوچک است (3.8 مگابایت)، می توانید ترکیب محصول را سفارشی کنید. کار کاملاً پایدار است ، هیچ خرابی و یخ آشکاری در رایانه شخصی مرجع مشاهده نشد

نتیجه گیری و نتیجه گیری کلی

بنابراین، بیایید نتایج آزمایش ها را جمع بندی کنیم. در واقع، آزمایش‌ها ایده‌های نظری من را در مورد وضعیت مشکل تأیید کردند:

1. فایروال باید پیکربندی شود. همه فایروال های آزمایش شده به خوبی کار می کردند، اما فقط پس از پیکربندی (آموزش، ایجاد تنظیمات به صورت دستی - مهم نیست). استفاده از یک فایروال پیکربندی نشده می‌تواند آسیب بیشتری نسبت به سود داشته باشد (بسته‌های خطرناک را از بین می‌برد و برعکس، برنامه‌های مفید را تداخل می‌کند).
2. بعد از تنظیمات فایروالو IDS باید تست شود- این نیز یک نتیجه گیری نسبتاً واضح است، اما با این وجود مهم است. اولین قدمی که برای ایجاد یک تستر برداشتم، ابزار APS بود. دو مورد دیگر باقی مانده است - یک شبیه ساز تروجان (یعنی ابزاری که تلاش های ایمن را برای کاربر انجام می دهد تا فایروال را از داخل بشکند (البته حملات توسط پایگاه داده توصیف می شوند و با دستور انجام می شوند. کاربر تحت کنترل او)، که به شما امکان می دهد فایروال واکنش و IDS را مشاهده کنید) و ابزاری برای اسکن پورت اکسپرس و حملات اولیه (در واقع، APS دقیقا برعکس است - آنها می توانند یک پایگاه پورت مشترک داشته باشند). من در حال توسعه این ابزارها هستم - حضور آنها در زرادخانه کاربر امکان نوعی "کنترل ابزاری" را فراهم می کند.
3. فایروال شخصی در برابر بدافزارهایی که از زمینه بدافزارهای مفید اجرا می شوند آسیب پذیر است.نتیجه گیری - حداقل با پنل های مختلف "چپ" و سایر BHO از مرورگر و ایمیل!! قبل از نصب هر پلاگین، پنل، برنامه افزودنی و غیره. باید ده بار در مورد ضرورت آنها فکر کنید، زیرا. آنها فرآیندهای سیستم عامل مجزا نیستند و از متن برنامه والد اجرا می شوند. تروجان به راحتی توسط فایروال شخصی شناسایی می شود - "می بیند" که برخی از فرآیندها (مثلا bo2k.exe) در تلاش برای شروع گوش دادن به پورت xxxxx یا برقراری ارتباط با یک میزبان خاص است - یک درخواست اعتبار صادر می شود، کاربر شروع به شروع به شنیدن می کند. نوع "bo2k.exe" چیست و Backdoor گرفتار می شود. اما اگر برنامه تروجان از بستر مرورگر کار می کرد، تقریباً مطمئناً هیچ کس به دسترسی مرورگر به اینترنت توجه نمی کرد. چنین تروجان هایی وجود دارند، نزدیک ترین مثال TrojanDownloader.IstBar است - دقیقاً به عنوان یک نوار اینترنت اکسپلورر نصب می شود (طبیعاً در فرآیندها و یا در لیست autorun نیست).
4. بسیاری از فایروال های شخصی به عنوان فرآیندهای سیستم عامل قابل مشاهده هستند و می توانند توسط یک ویروس متوقف شوند.نتیجه گیری - کار فایروال باید نظارت شود و خاتمه ناگهانی آن می تواند به عنوان سیگنالی باشد که ویروس به رایانه شخصی نفوذ کرده است.
5. برخی از فایروال ها (مانند Kerio) امکان کنترل از راه دور را فراهم می کنند- تابع کنترل از راه دورباید یا غیرفعال باشد یا با رمز عبور محافظت شود.

فایروال (دیوار آتش) تنظیمات ویندوز در حصول اطمینان از امنیت رایانه و داده های ذخیره شده روی آن هنگام کار بر روی اینترنت و شبکه های محلی بسیار مهم است. عملیات پیکربندی فایروال با استفاده از روش های استاندارد ویندوز انجام می شود و نیازی به خاصی ندارد دانش کامپیوتر.

دستورالعمل

برای تماس با منوی اصلی سیستم، دکمه "شروع" را فشار دهید و به آیتم "کنترل پنل" بروید.

پیوند "Windows Firewall" را باز کنید و کادر "Enable (Recommended)" را در برگه "General" علامت بزنید تا فایروال شروع شود.

برای غیرفعال کردن هشدارهای مسدود کردن و جلوگیری از ایجاد لیست استثناها، کادر «اجازه ندهید استثناها» را علامت بزنید.

به تب "Exceptions" بروید و کادرهای بررسی را در فیلدهای برنامه هایی که می خواهید به اتصالات ورودی اجازه دهید اعمال کنید.

برای غیرفعال کردن فایروال برای اتصال و تنظیمات خاص، روی تب "Advanced" کلیک کنید گزینه های اضافیفیلتر کردن پروتکل ICMP

برای بازیابی تنظیمات اصلی فایروال، روی دکمه "پیش فرض" کلیک کنید.

هنگامی که برنامه ای را اجرا می کنید که منتظر اتصال به یک پورت خاص برای دسترسی به شبکه است، از ایجاد خودکار استثناهای برنامه استفاده کنید.

روی دکمه "Block" در پنجره "Windows Security Alert" کلیک کنید تا به طور کامل از اتصال برنامه انتخاب شده به شبکه جلوگیری کنید.

بر روی دکمه "Unblock" کلیک کنید تا قانونی ایجاد شود که به برنامه انتخاب شده اجازه می دهد به شبکه متصل شود.

برای رد کردن اتصال در این زمان، روی دکمه Suspend کلیک کنید.

به تب "Exceptions" برگردید و روی دکمه "Add Program" کلیک کنید تا قانونی ایجاد کنید که به برنامه انتخاب شده اجازه دسترسی به شبکه را می دهد، در صورتی که از قبل مشخص شده باشد که این امر ضروری است.

روی دکمه "افزودن پورت" کلیک کنید تا یک قانون اتصال از شبکه با سرویسی که روی این پورت اجرا می شود ایجاد کنید.

روی دکمه Change Realm کلیک کنید تا محدوده آدرس هایی را که می توان از طریق آنها به برنامه یا پورت مشخص شده ارتباط برقرار کرد، تنظیم کنید.

روی تب Advanced کلیک کنید و چک باکس ها را در قسمت اتصالات شبکه در قسمت تنظیمات اتصالات شبکه اعمال کنید تا سرویس فایروال برای هر یک از آنها فعال شود.

آزمایش مقایسه ای 21 فایروال محبوب برای کیفیت محافظت در برابر حملاتی که از داخل سیستم وارد می شود. در این آزمایش، حفاظت روی 64 ابزار آزمایشی که مخصوصاً برای آن توسعه داده شده بود، آزمایش شد که محافظت از فرآیندها در برابر خاتمه، محافظت در برابر حملات داخلی استاندارد، محافظت در برابر نشت های غیر استاندارد و محافظت در برابر تکنیک های نفوذ در حالت غیر استاندارد هسته را بررسی می کردند.

در کنار آنتی ویروس، فایروال یکی از اجزای اصلی امنیت کامپیوتر است. با این حال، بر خلاف آنتی ویروس ها، آزمایش های عینی عملکرد فایروال به ندرت انجام می شود. ما سعی کردیم با انجام آزمایشی از فایروال ها در سال های 2011 و 2012 برای محافظت در برابر حملات داخلی و آزمایش IDS / IPS شخصی برای محافظت در برابر حملات به برنامه های آسیب پذیر، این شکاف را برطرف کنیم. امسال تصمیم گرفتیم لیست روش های مورد استفاده را گسترش دهیم و تست فایروال را برای محافظت در برابر حملات داخلی تکرار کنیم تا ببینیم نتایج محصولات محبوب در طول زمان گذشته در این معیار چگونه تغییر کرده است.

هدف این تست چیست یا فایروال چه وظایفی را انجام می دهد؟ طبق تعریف استاندارد اینترنت [RFC3511] (2003)، فایروال سیستمی است که عملکردهای فیلتر کردن بسته های شبکه را مطابق با قوانین مشخص شده به منظور تمایز ترافیک بین بخش های شبکه پیاده سازی می کند. با این حال، با افزایش پیچیدگی بدافزارها و حملات هکرها، وظایف اصلی فایروال با جدید تکمیل شد ماژول های کاربردی. تصور یک فایروال تمام عیار بدون ماژول HIPS (نظارت رویداد سیستم، کنترل یکپارچگی سیستم و غیره) عملاً غیرممکن است.

وظیفه اصلی یک فایروال مدرن مسدود کردن ارتباطات شبکه غیرمجاز (از این پس به عنوان حملات شناخته می شود) است که به داخلی و خارجی تقسیم می شود. این شامل:

حملات خارجی به سیستم محافظت شده با فایروال:

• آغاز شده توسط هکرها؛
• توسط کد مخرب آغاز شده است.

• توسط برنامه های غیر قابل اعتماد (کد مخرب) آغاز شده است.
• توسط برنامه هایی که فعالیت شبکه آنها به صراحت توسط قوانین ممنوع شده است، آغاز شده است.

علاوه بر این، محصولاتی که می‌توانستند به عنوان فایروال‌های شخصی خالص در فرمول کلاسیک 2003 طبقه‌بندی شوند، عملاً از بازار ناپدید شده‌اند. آنها با محصولات پیچیده حفاظت از رایانه شخصی جایگزین شدند که لزوماً شامل یک بخش فایروال است.

تست دیوار آتش برای محافظت در برابر حملات خارجی شامل مطالعه کیفیت محافظت در برابر حملاتی است که از داخل سیستم وارد می شود. این آزمون در زمینه های زیر انجام شد:

1. بررسی حفاظت از فرآیندها در برابر خاتمه
2. محافظت در برابر حملات داخلی استاندارد
3. تست حفاظت در برابر نشت های غیر استاندارد.
4. تست محافظت در برابر تکنیک‌های نفوذ غیر استاندارد در حالت هسته.

در مقایسه با آزمایش قبلی، تعداد حملات مورد استفاده به طور قابل توجهی افزایش یافته است - از 40 به 64. سیستم عاملی که محصولات آزمایش شده باید از آن محافظت کنند نیز تغییر کرده است. در تست قبلی ویندوز XP و در این تست ویندوز 7 x32 بود. آزمایش مشابهی برای سیستم عامل Windows 7 x64 نیز برای پایان سال برنامه ریزی شده است.

معرفی

21 نفر در تست شرکت کردند برنامه محبوب حفاظت همه جانبه(از کلاس امنیت اینترنت، اگر چنین محصولی در خط وجود نداشته باشد، یک فایروال صرفا انتخاب شده است) از تولید کنندگان مختلف به روز از تاریخ شروع آزمایش محصول (مه 2013) و در حال اجرا است پلتفرم ویندوز 7 ایکس32 :

1. آواست! امنیت اینترنت (8.0.1488).
2. AVG Internet Security (2013.0.3272).
3. Avira Internet Security (13.0.0.3499).
4. Bitdefender Internet Security (16.29.0.1830).
5. Comodo Internet Security (6.1.276867.2813).
6. فضای امنیتی Dr.Web (8.0).
7. Eset امنیت هوشمند (6.0.316.0).
8. F-Secure Internet Security (1.77 بیلد 243).
9. G DATA Internet Security (1.0.13113.239).
10. فایروال شخصی Jetico (2.0).
11. Kaspersky Internet Security (13.0.1.4190(g).
12. McAfee Internet Security (11.6.507).
13. Kingsoft Internet Security (2009.05.07.70).
14. Microsoft Security Essentials (4.2.223.0) + فایروال ویندوز.
15. Norton Internet Security (20.3.0.36).
16. فایروال آنلاین Armor Premium (6.0.0.1736).
17. Outpost Security Suite Pro (8.0 (4164.639.1856).
18. Panda Internet Security (18.01.01).
19. PC Tools Internet Security (9.1.0.2900).
20. Trend Micro Titanium Internet Security (6.0.1215).
21. TrustPort Internet Security (2013 (13.0.9.5102).

قبل از شروع آزمون، محیط آزمون آماده شد. برای انجام این کار، Windows 7 Enterprise SP1 x86 بر روی یک رایانه تمیز با تمام به روز رسانی های موجود در آن زمان و همچنین نرم افزار اضافی مورد نیاز برای آزمایش نصب شد.

آزمایش بر روی دو نوع تنظیمات انجام شد: استاندارد توصیه شده توسط سازنده (تنظیمات پیش فرض) و حداکثر. در حالت اول از تنظیمات پیش فرض توصیه شده توسط سازندگان استفاده شد و تمامی اقدامات توصیه شده توسط برنامه انجام شد.

در مورد دوم، علاوه بر این، تمام تنظیماتی که در حالت «پیش‌فرض» غیرفعال شده بودند، اما در عین حال می‌توانستند بر نتیجه آزمایش تأثیر بگذارند، فعال شدند و/یا به حداکثر موقعیت (سخت‌ترین تنظیمات) رسیدند. به عبارت دیگر، تنظیم حداکثر تنظیمات به معنای انتقال تمام تنظیمات موجود است رابط کاربری گرافیکیتنظیمات کاربر برای همه ماژول های مربوط به شناسایی فایل های مخرب یا فعالیت شبکه به دقیق ترین گزینه.

تست فایروال بر روی گروه های زیر از حملات داخلی انجام شد که برای وضوح به سطوح دشواری تقسیم شدند:

1. سطح دشواری اولیه (56 گزینه حمله):

1. بررسی محافظت از فرآیندها در برابر خاتمه (41 نوع حمله).
2. محافظت در برابر حملات داخلی استاندارد (15 نوع حمله).

2. افزایش سطح دشواری (8 گزینه حمله):

1. تست حفاظت در برابر نشت های غیر استاندارد (3 نوع حمله).
2. تست حفاظت در برابر تکنیک های غیر استاندارد برای نفوذ به حالت هسته (5 نوع حمله).

شما می توانید شرح مفصلی از تمام روش های حمله مورد استفاده در تست را در روش تست پیدا کنید.

بررسی فایروال ها برای محافظت در برابر حملات داخلی

به یاد بیاورید که با توجه به طرح پاداش استفاده شده، اگر حمله به طور خودکار مسدود شود، 1 امتیاز (+) تعلق می گیرد، عملکرد محافظتی برنامه تحت آزمایش نقض نمی شود. 0.5 امتیاز (یا +/-) - اگر حمله فقط در شرایط خاص مسدود شود (مثلاً وقتی انتخاب صحیحکاربر اقدام مورد نظر به درخواست برنامه تحت آزمایش). و در نهایت، اگر حمله به طور کامل یا جزئی با شکست عملکرد محافظت موفقیت آمیز بود، هیچ امتیازی تعلق نمی گرفت. حداکثر امتیاز ممکن در این آزمون 64 بود.

جدول 1-2 و شکل 1-2 نتایج آزمایش فایروال ها را به طور جداگانه بر روی استاندارد و حداکثر تنظیمات. برای وضوح، نتایج برای هر فایروال به دو گروه تقسیم می شود: محافظت در برابر حملات با سطح اولیه پیچیدگی و محافظت در برابر حملات. سطح پیشرفتهمشکلات

جدول 1: نتایج تست فایروال برای stdولیتنظیمات سفارشی

محصول تست شده							مجموع امتیازات (حداکثر 64)	جمع %
	نکته ها	%	% از مجموع	نکته ها	%	% از مجموع
کومودو	53	95%	82,8%	6	75%	9,4%	59	92%
زره آنلاین	50	89%	78,1%	7,5	94%	11,7%	57,5	90%
نورتون	45	80%	70,3%	6	75%	9,4%	51	80%
جتیکو	46	82%	71,9%	4,5	56%	7,0%	50,5	79%
پایگاه	45	80%	70,3%	2,5	31%	3,9%	47,5	74%
ترند میکرو	42	75%	65,6%	3	38%	4,7%	45	70%
کسپرسکی	42	75%	65,6%	2,5	31%	3,9%	44,5	70%
دکتر وب	42,5	76%	66,4%	2	25%	3,1%	44,5	70%
بندر اعتماد	43	77%	67,2%	0,5	6%	0,8%	43,5	68%
G DATA	42	75%	65,6%	1	13%	1,6%	43	67%
Avast	41	73%	64,1%	1	13%	1,6%	42	66%
Eset	41	73%	64,1%	1	13%	1,6%	42	66%
بیت دیفندر	41	73%	64,1%	1	13%	1,6%	42	66%
AVG	41	73%	64,1%	0	0%	0,0%	41	64%
مک آفی	41	73%	64,1%	0	0%	0,0%	41	64%
ابزار کامپیوتر	41	73%	64,1%	0	0%	0,0%	41	64%
آویرا	40	71%	62,5%	0	0%	0,0%	40	63%
مایکروسافت	40	71%	62,5%	0	0%	0,0%	40	63%
F-Secure	31,5	56%	49,2%	1	13%	1,6%	32,5	51%
پاندا	30	54%	46,9%	0	0%	0,0%	30	47%
شاه نرم	27	48%	42,2%	1	13%	1,6%	28	44%

شکل 1: نتایج تست فایروال در تنظیمات استاندارد

محافظت در برابر حملات داخلی در تنظیمات توصیه شده توسط سازنده، چیزهای زیادی را برای شما به ارمغان می آورد. تنها سه فایروال قادر به غلبه بر آستانه 80٪ در تنظیمات استاندارد بودند - اینها Comodo، Online Armor و Norton هستند. Jetico (79%) و Outpost (74%) بسیار نزدیک به آنها هستند. نتایج سایر فایروال ها به طور قابل توجهی بدتر بود.

در مقایسه با نتایج آزمون قبلی، همه رهبران خود را تایید کردند نتایج بالا، فقط حرکات کوچکی در گروه پیشرو وجود داشت، به عنوان مثال، Outpost و Jetico موقعیت های خود را تغییر دادند. تنها شگفتی این بود محصول نورتونکه در آخرین آزمون نتیجه 45 درصدی را نشان داد و در انتهای جدول قرار گرفت و در این آزمون با 80 درصد جایگاه سوم را به خود اختصاص داد.

نتایج به‌دست‌آمده به این دلیل است که بسیاری از تولیدکنندگان تنظیمات پیش‌فرض را به گونه‌ای تنظیم می‌کنند که تعداد پیام‌هایی را که کاربر باید به آنها پاسخ دهد کاهش می‌دهد. این توسط نتایج آزمایش تأیید می شود - در تنظیمات استاندارد، فایروال ها فقط در 5.4٪ از حملات از کاربران سؤال می کردند و در حداکثر تنظیمات - در 9.2٪ از حملات. با این حال، این بر کیفیت محافظت تأثیر می گذارد، که در شرایطی که یک برنامه مخرب اقدامات کاملاً قانونی را در سیستم تقلید/انجام می دهد، سکوت می کند.

باید به دو قاعده هم توجه کنید. اولاً، درصد پیشگیری از انواع حملات پیچیده به طور کلی بدتر از حملات سطح اولیه پیچیدگی است. بیش از نیمی از این حملات تنها توسط چهار محصول - Comodo، Online Armor، Norton و Jetico رد شدند. چهار محصول دیگر وارد گروه مرزی شدند و از 25٪ تا 38٪ چنین حملاتی را رد کردند - اینها Outpost، Trend Micro، Kaspersky و Dr.Web هستند. تمام محصولات دیگر بیش از یک حمله پیچیده را منحرف نکردند. ثانیاً، شاخص های دفع حملات اساسی بهبود یافته است. اگر در تست قبلی 11 محصول (50%) کمتر از 50% حملات را رد کرده بودند، در این تست فقط 3 (14%) چنین محصولی وجود دارد.

جدول 2: نتایج تست فایروال در حداکثر تنظیمات

محصول تست شده	حملات سطح اولیه پیچیدگی (حداکثر 56 امتیاز)			حملات پیشرفته (حداکثر 8 امتیاز)			مجموع امتیازات (حداکثر 64)	جمع %
	نکته ها	%	% از مجموع	نکته ها	%	% از مجموع
کومودو	56	100%	87,5%	8	100%	12,5%	64	100%
بیت دیفندر	56	100%	87,5%	8	100%	12,5%	64	100%
زره آنلاین	53	95%	82,8%	8	100%	12,5%	61	95%
کسپرسکی	53	95%	82,8%	7	88%	10,9%	60	94%
نورتون	50,5	90%	78,9%	8	100%	12,5%	58,5	91%
ابزار کامپیوتر	49,5	88%	77,3%	5,5	69%	8,6%	55	86%
پایگاه	49	88%	76,6%	5,5	69%	8,6%	54,5	85%
Eset	49	88%	76,6%	5,5	69%	8,6%	54,5	85%
دکتر وب	46,5	83%	72,7%	5	63%	7,8%	51,5	80%
جتیکو	46	82%	71,9%	4,5	56%	7,0%	50,5	79%
ترند میکرو	43	77%	67,2%	3	38%	4,7%	46	72%
بندر اعتماد	43	77%	67,2%	2,5	31%	3,9%	45,5	71%
G DATA	42	75%	65,6%	3	38%	4,7%	45	70%
آویرا	41,5	74%	64,8%	2	25%	3,1%	43,5	68%
Avast	41	73%	64,1%	1,5	19%	2,3%	42,5	66%
AVG	41	73%	64,1%	0	0%	0,0%	41	64%
مک آفی	41	73%	64,1%	0	0%	0,0%	41	64%
مایکروسافت	40	71%	62,5%	0	0%	0,0%	40	63%
F-Secure	31,5	56%	49,2%	1	13%	1,6%	32,5	51%
پاندا	30	54%	46,9%	0	0%	0,0%	30	47%
شاه نرم	27	48%	42,2%	1	13%	1,6%	28	44%

شکل 2: نتایج تست فایروال در حداکثر تنظیمات

با فعال بودن حداکثر تنظیمات، کیفیت محافظت در برابر حملات داخلی در بسیاری از فایروال های آزمایش شده به طور قابل توجهی بهبود یافت. این امر به ویژه در دهقانان قوی متوسط ​​قابل توجه است. تمامی لیدرهای آزمون قبلی در این آزمون نیز نتایج بالایی از خود نشان دادند. از تغییرات، قابل ذکر است محصول Bitdefender که در کنار کومودو نتیجه 100 درصدی را نشان داد و محصول نورتون که به گروه پیشرو منتقل شد.

نتایج تعدادی از محصولات در تنظیمات استاندارد و حداکثر یکسان بود. این به این دلیل است که این محصولات تنظیماتی ندارند که بتواند روی نتایج آزمایش ما تأثیر بگذارد.

مقایسه کیفیت حفاظت در تنظیمات استاندارد و حداکثر

مطابق با منطق این تست، نتایج یک محصول مشابه را با آن جمع یا میانگین نخواهیم کرد تنظیمات مختلف. در مقابل، ما می خواهیم آنها را با هم مقایسه کنیم و بسته به تنظیمات مورد استفاده، تفاوت های قابل توجهی در کیفیت محافظت از محصولات آزمایش شده نشان دهیم.

برای وضوح، نتایج نهایی تست فایروال را با تنظیمات استاندارد و حداکثر در جدول 3 و شکل 3 ارائه می کنیم.

جدول 3: خلاصه نتایج تست فایروال در تنظیمات استاندارد و حداکثر

تولید - محصول	تنظیمات استاندارد	حداکثر تنظیمات
کومودو	92%	100%
زره آنلاین	90%	95%
نورتون	80%	91%
جتیکو	79%	79%
پایگاه	74%	85%
ترند میکرو	70%	72%
کسپرسکی	70%	94%
دکتر وب	70%	80%
بندر اعتماد	68%	71%
G DATA	67%	70%
Avast	66%	66%
Eset	66%	85%
بیت دیفندر	66%	100%
AVG	64%	64%
مک آفی	64%	64%
ابزار کامپیوتر	64%	86%
آویرا	63%	68%
مایکروسافت	63%	63%
F-Secure	51%	51%
پاندا	47%	47%
شاه نرم	44%	44%

شکل 3: خلاصه نتایج تست فایروال در تنظیمات استاندارد و حداکثر

شکل 3 به وضوح تفاوت نتایج تست را بسته به تنظیمات انتخاب شده نشان می دهد.

اول، تنها دو محصول - Comodo و آنلاین زره نشان می دهد نزدیک به حداکثر کاراییحفاظت، هم در تنظیمات استاندارد و هم در حداکثر تنظیمات.

ثانیا، هنگام تغییر تنظیمات استاندارد پیشنهادی توسط سازنده، برخی از محصولات به طور قابل توجهی نشان داده می شوند بهترین سطححفاظت. این به وضوح در محصولاتی مانند Bitdefender، Kaspersky، Eset، F-Secure و PC Tools دیده می شود.

ثالثاً، همانطور که در بالا ذکر شد، برخی از محصولات آزمایش شده اصلاً تنظیماتی ندارند که به هیچ وجه می تواند بر نتایج آزمایش تأثیر بگذارد. بنابراین، نتایج آنها بر روی انواع تنظیمات در این تست یکسان است. این گروه شامل Jetico، Avast، AVG، McAffe، F-Secure، Panda، Kingsoft و Microsoft است.

امتیاز نهایی موقعیت هایی را در نظر نمی گیرد که حمله دفع شده است، اما مشکلاتی در رابط کاربری محصولات وجود دارد. در بیشتر موارد، مشکلات مربوط به "پرواز کردن" رابط برای مدت کوتاهی (از 2 تا 10 ثانیه) یا تا بوت بعدی سیستم عامل بود. اگرچه محصولات همچنان در صورت بروز مشکلات رابط کاربری محافظت می کنند، وجود چنین مشکلاتی به طور ذهنی منفی تلقی می شود و می تواند بر ترجیحات محصول تأثیر بگذارد. تعداد مشکلات رابط کاربری در جدول 3 و شکل 3 ارائه شده است. خطاهای رخ داده در هنگام حملات سطح 1 مورد ارزیابی قرار گرفتند که تعداد کل آنها 41 است.

جدول 4: تعداد مشکلات رابط کاربری در تنظیمات استاندارد و حداکثر

محصول تست شده	تنظیمات استاندارد		حداکثر تنظیمات
	تعداد اشتباهات	%	تعداد اشتباهات	%
مک آفی	34	83%	34	83%
مایکروسافت	33	80%	33	80%
شاه نرم	20	49%	20	49%
F-Secure	19	46%	19	46%
پاندا	17	41%	17	41%
جتیکو	16	39%	16	39%
ابزار کامپیوتر	13	32%	13	32%
ترند میکرو	12	29%	12	29%
AVG	10	24%	9	22%
بندر اعتماد	9	22%	9	22%
G DATA	9	22%	9	22%
بیت دیفندر	8	20%	8	20%
نورتون	6	15%	6	15%
Avast	5	12%	5	12%
پایگاه	5	12%	5	12%
Eset	5	12%	4	10%
کومودو	5	12%	0	0%
آویرا	2	5%	2	5%
دکتر وب	2	5%	2	5%
کسپرسکی	1	2%	1	2%
زره آنلاین	1	2%	1	2%

شکل 4: تعداد مشکلات رابط کاربری در تنظیمات استاندارد و حداکثر

نتایج نشان می دهد که محصولات مک آفی و مایکروسافت در اکثر حملات (بیش از 80 درصد) مشکلات رابط کاربری داشتند. این را می توان یک سطح غیر قابل قبول نامید، زیرا. تقریباً هر حمله ای که با موفقیت دفع شود منجر به مشکلاتی می شود. نتایج نسبتا ضعیف، از 30٪ تا 50٪، توسط Kingsoft، F-Secure، Panda، Jetico و PC Tools نشان داده شده است. هنگام استفاده از آنها، هر 2-3 حمله منجر به مشکلاتی در رابط می شود. تعدادی از محصولات از 10% تا 30% نتایج را نشان می دهند که می توان آن را رضایت بخش نامید. نتایج خوبمحصولات Avira، Dr.Web، Kaspersky و Online Armor را نشان داد که در محدوده 2% تا 5% حملات مشکل داشتند. تنها محصولی که هرگز هیچ مشکلی در رابط کاربری نداشت Comodo در حداکثر تنظیمات بود که یک نتیجه عالی است. با این حال، با تنظیمات استاندارد، نتیجه Comodo بدتر می شود (12%)، که نشان می دهد استفاده از این محصول نیاز به آگاهی از پیکربندی آن دارد.

نتایج نهایی آزمون و جوایز

درست مانند تست قبلی، ما نتایج یک محصول مشابه را با تنظیمات مختلف میانگین نگرفتیم، بلکه آنها را به طور مستقل در نظر گرفتیم. بنابراین، هر یک از محصولات آزمایش شده می تواند دو جایزه دریافت کند، یکی برای هر نوع تنظیم.

مطابق با طرح پاداش، بهترین فایروال ها جوایزی را دریافت می کنند که تنظیمات استفاده شده را نشان می دهد، جدول 4 را ببینید.

جدول 5: نتایج نهایی تست فایروال در تنظیمات استاندارد و حداکثر

محصول تست شده	گزینه تنظیمات	پیشگیری از حمله [%]		جمع [%]	جایزه
		پایه سطح دشواری	افزایش سطح دشواری
کومودو	حداکثر	100%	100%	100%	فایروال پلاتینیوم خروجی جایزه حفاظت
بیت دیفندر	حداکثر	100%	100%	100%
زره آنلاین	حداکثر	95%	100%	95%	فایروال طلایی خروجی جایزه حفاظت
کسپرسکی	حداکثر	95%	88%	94%
کومودو	استاندارد	95%	75%	92%
نورتون	حداکثر	90%	100%	91%
زره آنلاین	استاندارد	89%	94%	90%
ابزار کامپیوتر	حداکثر	88%	69%	86%
پایگاه	حداکثر	88%	69%	85%
Eset	حداکثر	88%	69%	85%
نورتون	استاندارد	80%	75%	80%
دکتر وب	حداکثر	83%	63%	80%
جتیکو	حداکثر	82%	56%	79%	فایروال نقره ای خروجی جایزه حفاظت
جتیکو	استاندارد	82%	56%	79%
پایگاه	استاندارد	80%	31%	74%
ترند میکرو	حداکثر	77%	38%	72%
بندر اعتماد	حداکثر	77%	31%	71%
ترند میکرو	استاندارد	75%	38%	70%
کسپرسکی	استاندارد	75%	31%	70%
دکتر وب	استاندارد	76%	25%	70%
G DATA	حداکثر	75%	38%	70%
بندر اعتماد	استاندارد	77%	6%	68%	فایروال برنزی خروجی جایزه حفاظت
آویرا	حداکثر	74%	25%	68%
G DATA	استاندارد	75%	13%	67%
Avast	حداکثر	73%	19%	66%
Avast	استاندارد	73%	13%	66%
Eset	استاندارد	73%	13%	66%
بیت دیفندر	استاندارد	73%	13%	66%
AVG	حداکثر	73%	0%	64%
AVG	استاندارد	73%	0%	64%
مک آفی	حداکثر	73%	0%	64%
مک آفی	استاندارد	73%	0%	64%
ابزار کامپیوتر	استاندارد	73%	0%	64%
مایکروسافت	حداکثر	71%	0%	63%
مایکروسافت	استاندارد	71%	0%	63%
آویرا	استاندارد	71%	0%	63%
F-Secure	حداکثر	56%	13%	51%	بدون پاداش
F-Secure	استاندارد	56%	13%	51%
پاندا	حداکثر	54%	0%	47%
پاندا	استاندارد	54%	0%	47%
شاه نرم	حداکثر	48%	13%	44%
شاه نرم	استاندارد	48%	13%	44%

فایروال های Comodo و Bitdefender بهترین نتایج را در این تست نشان دادند و در حداکثر تنظیمات 100% امتیاز گرفتند. این دو محصول جایزه دریافت می کنند پلاتیندیواره آتشخروجیحفاظتجایزه.

فایروال های برنده جایزه Online Armor، Kaspersky، Comodo، Norton، PC Tools، Outpost، Eset و Dr.Web نیز نتایج بسیار بالایی را در آزمایش نشان دادند (بیش از 80٪). طلادیواره آتشخروجیحفاظتجایزه. لازم به ذکر است که Comodo دریافت کرد این جایزهدر تنظیمات استاندارد، Online Armor و Norton در تنظیمات استاندارد و حداکثر، و بقیه - فقط در حداکثر تنظیمات.

بعدی در لیست، گروهی متشکل از هفت فایروال است که امتیاز آنها بین 60 تا 70 درصد است. اینها Outpost، Kaspersky و Dr.Web در تنظیمات استاندارد هستند. TrustPort و G DATA در حداکثر تنظیمات، و همچنین Jetico و Trend Micro به طور همزمان در تنظیمات استاندارد و حداکثر. همه آنها پاداش می گیرند

یک گروه به اندازه کافی بزرگ از محصولات که در محدوده 60٪ تا 70٪ قرار می گیرند جایزه دریافت می کنند. لازم به ذکر است که محصولات Eset و Bitdefender در تنظیمات استاندارد، که در حداکثر تنظیمات قادر به دفع تعداد قابل توجهی از حملات بودند.

می توانید با دانلود نتایج آزمون با فرمت مایکروسافت اکسل با نتایج دقیق آزمون آشنا شده و از صحت محاسبات نهایی اطمینان حاصل کنید.

شعبانوف ایلیا، مدیر سایت شریک:

"من از این واقعیت بسیار خوشحال شدم که بسیاری از تولید کنندگان به طور قابل توجهی محافظت فعال در برابر حملات داخلی و دفاع شخصی را در محصولات خود بهبود بخشیده اند. ما حتی مجبور شدیم در طرح جایزه تجدید نظر کنیم تا سطح الزامات را بالا ببریم. امتیاز کمتر از 51% اکنون یک شکست کامل در نظر گرفته می شود.

Bitdefender که بطور پارانوئیدی تمام 100% حملات را دفع کرد، Eset و Dr.Web با حداکثر تنظیمات به ترتیب 85% تا 80% و همچنین آزمایش‌های TrustPort تازه وارد ما را شگفت زده کرد. "گروه طلایی" محصولات بر اساس نتایج این تست شامل فایروال های Comodo، Norton و Online Armor بود که در تنظیمات استاندارد و حداکثر امتیاز بیش از 80 درصد را کسب کردند. نتایج به طور مداوم بالا در تست های مربوط به دفاع پیشگیرانه توسط Kaspersky، Outpost، PC Tools نشان داده شد.

با این حال، در مورد تعدادی از محصولات آزمایش شده، منطق تنظیم تنظیمات استاندارد مشخص نیست. در نتیجه، سطح حفاظت برای اکثر کاربرانی که عادت به استفاده از حفاظت با تنظیمات استاندارد دارند، به طور قابل توجهی دست کم گرفته می شود. این در درجه اول برای محصولات Bitdefender، Kaspersky، Eset و PC Tools اعمال می شود.

کارتاونکو میخائیل، رئیس سایت آزمایشگاه آزمایش:

با در نظر گرفتن این تست به عنوان ادامه آزمایش مشابه قبلی، می توان چندین روند و مشکلات عمده در عملکرد فایروال ها را شناسایی کرد.

ابتدا، به طور متوسط، اکثر محصولات نتایج بهتری نسبت به 1.5 سال پیش نشان دادند، اما آنها این کار را عمدتاً با دفع ساده‌ترین حملات سطح 1 انجام دادند. حملات پیچیده تر فقط برای طیف محدودی از محصولات "خیلی سخت" است.

ثانیا، حتی اگر محافظت از فرآیندها در برابر خاتمه (1 سطح حملات) کار کند، رابط کاربری در بسیاری از محصولات خراب می شود. این کاربر را در موقعیت ناراحت کننده ای قرار می دهد که در آن متوجه نمی شود که آیا محافظ کار می کند یا خیر.

ثالثاً شکاف نسبتاً زیادی در عملکرد فایروال ها در تنظیمات استاندارد و حداکثر وجود دارد. در نتیجه، سطح قابل قبولی از حفاظت اغلب تنها توسط کاربران با تجربه ای که می دانند و می توانند فایروال ها را به درستی پیکربندی کنند، به دست می آید.

بنابراین، این آزمایش نقاط "درد" فایروال های مدرن را نشان داد که راه حل آنها می تواند محافظت از آنها را بهبود بخشد.

این بخش روزانه به روز می شود. نسخه های همیشه به روز بهترین برنامه های رایگان برای استفاده روزمره در بخش برنامه های ضروری. تقریباً هر چیزی که نیاز دارید وجود دارد کار روزانه. شروع به حذف تدریجی کنید نسخه های دزدی دریاییبه نفع آنالوگ های رایگان راحت تر و کاربردی تر. اگر هنوز از چت ما استفاده نمی کنید، اکیداً به شما توصیه می کنیم که با آن آشنا شوید. در آنجا دوستان جدید زیادی پیدا خواهید کرد. علاوه بر این، این سریعترین و راه موثربا مدیران پروژه تماس بگیرید بخش به روز رسانی آنتی ویروس به کار خود ادامه می دهد - همیشه به روز رسانی رایگان برای Dr Web و NOD. وقت نکردی چیزی بخوانی؟ محتوای کامل تیکر را می توانید در این لینک مشاهده کنید.

رایگان فایروال کومودو. تست، نتیجه گیری

فایروال Comodo در عمل

پس از نصب و پیکربندی Comodo در سینی پنهان شد و شروع به آزار من با سوالات خود کرد. در روز اول، من با تمام فایروال و حالت های دفاعی فعال بازی کردم و در نهایت آن را ساکت کردم. هیچ ترمزی پس از ظهور آن در سیستم آن یافت نشد. به طور کلی، کار با فایروال Comodo بسیار آسان و راحت بود. رابط پنجره اصلی بسیار ساده و آموزنده است:

اما مجبور شدم به پیمایش در تنظیمات فایروال و محافظت فعال عادت کنم - همیشه نمی توان به سرعت مورد مناسب را پیدا کرد. فکر کنم با گذشت زمان بگذره

چند روز پس از نصب فایروال Comodo، تصمیم گرفتم کمی آن را آزمایش کنم.

تست شماره 1. تست آنلاین

هنگامی که بر روی دکمه "تست" کلیک می کنید، برنامه سعی می کند با سرور سایت ارتباط برقرار کند.

از آنجایی که Comodo Firewall هنوز این ابزار را نمی شناسد، هنگامی که برای اولین بار سعی کرد به اینترنت نفوذ کند، یک واکنش فوری با محافظت فعال و فایروال دنبال شد:

در هر دو مورد، من روی بلوک کلیک کردم و تأییدیه قبولی آزمون را دریافت کردم:

سپس نام فایل را تغییر دادم FireWallTest.exeکه در opera.exeو فایل استاندارد Opera را با آن جایگزین کرد. بنابراین، من سعی کردم فایروال Comodo را فریب دهم، که قبلاً این مرورگر را به خوبی می شناسد و دائماً آن را به طور خودکار در اینترنت منتشر می کند. کومودو به راه اندازی اپرای "جعلی" از توتال به شرح زیر واکنش نشان داد:

پس از دریافت مجوز من برای راه اندازی یک بار، فایروال به من در مورد تلاش برای دسترسی به Opera در اینترنت هشدار داد:

معلوم می‌شود که هر برنامه‌ای که قوانین آن قبلاً وجود دارد، اگر فایل اجرایی جایگزین شود، بدون اطلاع من نمی‌تواند به اینترنت دسترسی پیدا کند. به نظر می رسد همه چیز خوب است، اما نکته اینجاست: رنگ قسمت بالای پنجره هشدار به شدت وضعیت بستگی دارد. اگر Comodo رویداد را بحرانی ارزیابی کند، رنگ قرمز خواهد بود، اگر رویداد کمتر خطرناک باشد - زرد. در مورد من، کومودو موقعیت شبیه سازی شده را خطرناک ندانست و "زرد" را روشن کرد. علاوه بر این، به جای عبارت «فایل اجرایی opera.exeشناسایی نشد" ترجیح می دهم ببینم که "تغییری در پارامترهای فایل وجود دارد opera.exe". بنابراین آنها هشدار می دهند موقعیت های مشابهبرای مثال، ماشین‌های برداشت از Kaspersky و Eset. علاوه بر این، کاربر یک پنجره هشدار با رنگ قرمز می بیند که بلافاصله باعث می شود به وضعیت توجه کنید. و یک هشدار از Comodo می تواند به سادگی توسط کاربر به دلیل تاکید ناکافی بر رویداد جاری نادیده گرفته شود.

جایگزینی فایل اپرا تنها بخشی از نقشه حیله گر من بود. قربانی بعدی بود اینترنت اکسپلورر 6، که در سیستم عامل ادغام شده است، و بنابراین، iexplore.exeرا می توان یک فایل سیستمی کامل در نظر گرفت. چه تعجبی داشتم وقتی که در سکوت کامل کومودو، پنجره ای در مورد شکست آزمون دیدم:

ظاهراً یک قانون اضافی ایجاد شد، من تصمیم گرفتم و وارد دیوار آتش و سیاست های دفاعی پیشگیرانه شدم. بعد از حدود 15 دقیقه حفاری در اطراف، من تنها تصمیم درست را گرفتم - نصب مجدد Comodo. زودتر گفته شود. با خروج از حالت های عملیاتی پیش فرض، آزمایش را با جایگزینی تکرار کردم iexplore.exe. هنگامی که از توتال راه اندازی شد، حفاظت پیشگیرانه کار کرد، مانند مورد Opera:

در اینجا باید یک انحراف غزلی کوچک انجام دهیم. واقعیت این است که وقتی فایل اجرایی IE جایگزین می شود، سیستم فایل اصلی را در عرض 4-8 ثانیه بازیابی می کند. iexplore.exe. در این راستا، نتایج آزمایش من به این بستگی داشت که آیا فایل جایگزین شده زمان برای ضربه زدن به اینترنت دارد یا خیر.

در صورتی که من موفق به انجام تمام دستکاری ها قبل از بازیابی explore.exe می شوم، موارد زیر اتفاق می افتد. با اجازه من برای یک بار اجرا explore.exe، Total ابزار FireWallTest را راه اندازی می کند، من "Test" را فشار می دهم، Defens + حفاظت پیشگیرانه یک هشدار صادر می کند:

اگر اجازه دهیم (به عنوان یک آزمایش) - فایروال کار می کند:

ما زمان داریم که روی "Block" کلیک کنیم - آزمون گذرانده شده است، ابزار به اینترنت سر نخورد. اما اگر iexplore.exeقبل از فشار دادن دکمه قفل بازیابی شد - هیچ چیز به انتخاب شما بستگی ندارد - ابزار به طور خودکار در لحظه بازیابی فایل اصلی به اینترنت دسترسی پیدا می کند.

همین امر در مورد کار دفاع پیشگیرانه نیز صدق می کند: اگر وقت ندارید قبل از بازیابی دستور بلاک کنید. explore.exe- ابزار به طور خودکار به اینترنت دسترسی پیدا می کند.

پس از بازی کافی با اینترنت اکسپلورر جعلی، اولین شکست آزمایش را به یاد آوردم، زمانی که Comodo سکوت کرد و فایل "چپ" را در اینترنت منتشر کرد. پس از نصب مجدد Comodo، Defence+ و فایروال را در حالت یادگیری قرار دادم و IE را راه اندازی کردم. بعد از آن حالت های پیش فرض را برگرداندم و تست را تکرار کردم. کومودو دوباره بی سر و صدا شکستش داد...

تست شماره 3. دوئل

تحت تأثیر نتایج آزمایش قبلی، جستجو کردم ویژگی های اضافیبرای تست Comodo و در نهایت ابزار AWFT را پیدا کرد.

این برنامه رفتار تروجان‌ها را شبیه‌سازی می‌کند و شامل یک سری از شش آزمایش است که روش‌های مختلف دسترسی غیرمجاز به شبکه را نشان می‌دهد، که محافظت از فایروال را دور می‌زند. در بین این تست ها، هم روش های قدیمی تقلب فایروال ها و هم روش های مدرن تری وجود دارد. برای هر آزمونی که با موفقیت گذرانده شود، فایروال تعداد معینی امتیاز دریافت می کند. در صورت عدم موفقیت در آزمون، امتیاز به AWFT تعلق می گیرد. حداکثر تعداد امتیاز ده است.

این ابزار اشتراک‌افزار است که به 10 راه‌اندازی محدود می‌شود. در بالای پنجره برنامه دکمه هایی وجود دارد که تست های مربوطه را راه اندازی می کنند، در پایین سایتی که AWFT از آن عبور می کند و نتیجه دوئل بین فایروال و ابزار مفید وجود دارد. دکمه Reset Points برای بازنشانی نقاط انباشته استفاده می شود.

در هر صورت تصمیم گرفتم آدرس سایت را به آدرس خودم تغییر دهم.

آزمایش با روشن بودن فایروال Comodo و Defence+، اجرای Opera و خاموش شدن مانیتور Avira انجام شد.

در تست اول، ترفندی با بارگذاری یک کپی مخفی مرورگر و وصله کردن حافظه قبل از راه اندازی آن استفاده شد.

وقتی روی دکمه تست کلیک کردم، یک پنجره خطا ظاهر شد:

پس از بستن این پنجره، Сomodo با یک پنجره درخواست به تست پاسخ داد، وقتی دکمه Block را زدید، AWFT پس از کمی فکر اولین امتیاز را به فایروال داد.

به گفته توسعه دهندگان این ابزار، تست شماره 2 یک ترفند قدیمی و شناخته شده است. Comodo دوباره با یک پنجره درخواست پاسخ می دهد و دوباره یک امتیاز می گیرد.

تست شماره 3 نیز از یک ترفند قدیمی استفاده می کند. Comodo فقط بی سر و صدا آن را مسدود می کند، ظاهراً این ترفند واقعاً شناخته شده است.

تست شماره 4 مشابه آزمایش اول است، یک کپی مخفی از مرورگر را اجرا می کند و قبل از راه اندازی حافظه را اصلاح می کند. فایروال هیچ هشداری صادر نکرد، اما پس از مکثی کوتاه امتیاز دیگری به دست آورد.

در طول تست های پنجم و ششم، باید به مرورگر بروید و کمی گشت و گذار کنید (من فقط صفحه بارگذاری شده در مرورگر را رفرش کردم).

در تست شماره 5، ابزار یک جستجوی اکتشافی برای نرم افزار مجاز نصب شده بر روی رایانه (یا روی شبکه) که از طریق پورت 80 به اینترنت دسترسی دارد، انجام می دهد، سپس یک نسخه از برنامه مجاز را راه اندازی می کند و درست قبل از راه اندازی، حافظه را اصلاح می کند. اشغال شده توسط این برنامه (یعنی AWFT خود را در حافظه برنامه مجاز راه اندازی می کند). کومودو در سکوت آزمون را پشت سر گذاشت و برای آن 3 امتیاز فوق العاده دریافت کرد.

تست شماره 6 مشابه آزمون پنجم قبلی است. از همین روش برای جستجوی اکتشافی برای نرم افزار نصب شده استفاده می شود که حق خروج از پورت 80 را دارد. اکنون فقط روش هک تغییر کرده است - درخواست کاربر استفاده می شود. علاوه بر این، AWFT در تلاش است تا نوار ابزار مخفی سمت چپ را به مرورگر بچسباند. با باز شدن اپرا، این پنجره ظاهر می شود:

در لحظه ای که من این درخواست کاربر را تایید کردم، Comodo درخواست خود را صادر کرد، ابزار دوباره مسدود شد و فایروال 3 امتیاز اعتبار دریافت کرد.

نتیجه دوئل 10 بر 0 به سود کومودو است. با تکرار تست ها با اینترنت اکسپلورر باز همین نتیجه را گرفتم.

نتیجه

با وجود برخی مزه ناخوشایند در روح من پس از آزمایش فایروال، من همچنان Comodo Internet Security را برای استفاده خانگی توصیه می کنم، اما فقط به عنوان یک فایروال. و به آن افراد باهوشی که توصیه می کنند دفاع پیشگیرانه را غیرفعال کنید، در هیچ موردی گوش ندهید! فقط با استفاده از Defence+ این فایروال واقعاً رایانه شما را ایمن نگه می دارد. چیزی که واقعاً نباید از آن استفاده کنید آنتی ویروس Comodo است. نه تنها به خوبی از آن عبور می کند، بلکه در به روز رسانی آن با مشکلاتی روبرو خواهید شد - پایگاه داده های بسیار حجیمی دارد. علاوه بر این، عملکرد سیستم را تحت تأثیر قرار می دهد. فقط برای من در یک جفت فایروال Comodo و Avira Antivir Personal عالی کار کرد.

در حین کار با فایروال هیچ ترمز و ایرادی در سیستم پیدا نکردم. فعلاً نظراتم را در مورد نتایج آزمایشم برای خودم نگه می دارم، دوست دارم نظرات شما را گوش کنم.

در حین نوشتن قسمت پایانی این مقاله، با نتایج آزمایش فایروال اخیر توسط آزمایشگاه Matousec مواجه شدم. Comodo Internet Security تنها فایروال با امتیاز 100% بود (به انجمن فایروال مراجعه کنید). خب من انتخابم را کردم... و شما؟

جوانب مثبت (صریح):
توزیع رایگان،
وجود پایگاه داده برنامه های خود؛
وجود حفاظت فعال (دفاع +)؛
سهولت نصب و پیکربندی اولیه؛
پنجره خلاصه بسیار آموزنده و راحت؛

جوانب مثبت (مشکوک):
وجود چندین حالت کار؛

معایب (بدیهی):
حالت نصب آزاردهنده؛
جایگزینی فایل اجرایی توسط دفاع پیشگیرانه به عنوان یک رویداد حیاتی تعریف نمی شود.

منفی (مشکوک):
رک و پوست کنده آنتی ویروس ناموفق

این مقاله دوم نحوه حل مشکلات مربوط به فیلتر بسته را شرح می دهد. به جای بازیگران میز تمام شدهدر قالب روش های "مشکل" - "راه حل" یک رویکرد سیستماتیک برای حل مشکلات به وجود آمده ارائه می شود.

این مقاله دوم (در یک سری از سه مقاله) نحوه عیب یابی مشکلات فیلتر بسته را شرح می دهد. به جای آوردن جدول تمام شده در قالب "مشکل" - "راه حل"، روش های یک رویکرد سیستماتیک برای حل مشکلات به وجود آمده ارائه می شود.

معرفی

فیلتر بسته، سیاست فیلترینگ را با دور زدن مجموعه قوانین اجرا می کند و بر این اساس، بسته ها را مسدود یا ارسال می کند. این فصل توضیح می‌دهد که چگونه می‌توان بررسی کرد که خط‌مشی فیلترینگ به درستی اجرا شده است و چگونه می‌توان خطاها را در صورت عدم اجرای آن پیدا کرد.

به طور کلی در این فصل به مقایسه کار نوشتن مجموعه قوانین فیلترینگ با برنامه نویسی می پردازیم. اگر مهارت برنامه نویسی ندارید، این مقایسه به نظر شما کار را پیچیده تر می کند. اما نوشتن قوانین به خودی خود به مدرک علوم کامپیوتر یا تجربه برنامه نویسی نیاز ندارد، اینطور است؟

پاسخ منفی است، احتمالاً به آن نیاز ندارید. زبان مورد استفاده برای پیکربندی فیلتر بسته به گونه ای ساخته شده است که شبیه زبان های انسانی باشد. مثلا:

مسدود کردن همه

تمام حالت حفظ شود

پروتو tcp را به هر پورت www keep state ارسال کنید

در واقع، برای اینکه بفهمید این مجموعه چه کاری انجام می دهد یا حتی با استفاده از شهود، سیاست فیلترینگ مشابهی را بنویسید، نیازی به داشتن یک برنامه نویس در این نزدیکی ندارید. حتی احتمال زیادی وجود دارد که مجموعه ای از قوانین فیلتر ایجاد شده در این ظاهر، اقداماتی را که نویسنده آن در ذهن داشته است انجام دهد.

متأسفانه رایانه‌ها فقط کاری را انجام می‌دهند که شما از آن‌ها می‌خواهید، نه آنچه شما می‌خواهید انجام دهند. بدتر از اون، در صورت وجود چنین تفاوتی نمی توانند مطلوب را از واقعی تشخیص دهند. بنابراین، اگر رایانه کاری را که می‌خواهید به درستی انجام نمی‌دهد، حتی اگر فکر می‌کنید دستورالعمل‌ها را به وضوح توضیح داده‌اید، این شما هستید که تفاوت‌ها را پیدا کرده و دستورالعمل‌ها را تغییر دهید. و از آنجایی که این یک مشکل رایج در برنامه نویسی است، می توانیم ببینیم برنامه نویسان چگونه با آن برخورد می کنند. در اینجا معلوم می‌شود که مهارت‌ها و روش‌های مورد استفاده برای آزمایش و اشکال‌زدایی برنامه‌ها و قوانین فیلتر کردن بسیار مشابه هستند. و با این حال در اینجا برای درک مفاهیم آزمایش و اشکال زدایی نیازی به دانش هیچ زبان برنامه نویسی ندارید.

سیاست فیلترینگ خوب

خط مشی فیلتر، مشخصات غیررسمی چیزی است که ما از فایروال می خواهیم. از سوی دیگر، مجموعه ای از قوانین، اجرای یک مشخصات، مجموعه ای از دستورالعمل های استاندارد، برنامه ای است که توسط یک ماشین اجرا می شود. بر این اساس، برای نوشتن یک برنامه، باید مشخص کنید که چه کاری باید انجام دهد.

بنابراین، اولین قدم در پیکربندی فایروال این است که به طور غیررسمی مشخص کنیم که چه چیزی باید به دست آید. چه اتصالاتی باید مسدود یا مجاز باشد؟

یک مثال خواهد بود:

سه شبکه وجود دارد که باید توسط فایروال از یکدیگر جدا شوند. هر گونه اتصال از یک شبکه به شبکه دیگر از طریق فایروال انجام می شود. فایروال دارای 3 رابط است که هر کدام به شبکه مربوطه متصل هستند:

$ext_if - به شبکه خارجی.

$dmz_if - DMZ با سرورها.

$lan_if - شبکه محلی با ایستگاه های کاری.

هاست های روی LAN باید آزادانه به هر میزبانی در DMZ یا شبکه خارجی متصل شوند.

سرورهای موجود در DMZ باید آزادانه به هاست های موجود در شبکه خارجی متصل شوند. میزبان های شبکه خارجی فقط می توانند به سرورهای زیر در DMZ متصل شوند:

وب سرور 10.1.1.1 پورت 80

سرور پست 10.2.2.2 پورت 25

همه اتصالات دیگر باید ممنوع شود (به عنوان مثال، از ماشین های موجود در شبکه خارجی به ماشین های روی LAN).

این سیاست به طور غیر رسمی بیان می شود تا هر خواننده بتواند آن را درک کند. باید آنقدر خاص باشد که خواننده بتواند به راحتی پاسخ‌هایی را برای این سؤال فرموله کند که «آیا اتصال از میزبان X به میزبان Y باید به صورت ورودی (یا خروجی) در رابط Z ارسال شود؟». اگر به مواردی فکر می کنید که خط مشی شما این الزام را برآورده نمی کند، پس به وضوح تعریف نشده است.

خط‌مشی‌های «مه‌آلود» مانند «فقط به موارد ضروری اجازه می‌دهند» یا «حمله‌های مسدود» باید روشن شوند، در غیر این صورت نمی‌توانید آنها را اجرا یا آزمایش کنید. همانطور که در توسعه نرم افزار، وظایف رسمی ضعیف به ندرت منجر به پیاده سازی موجه یا صحیح می شود. ("چرا نمی روی و شروع به نوشتن کد نمی کنی در حالی که من متوجه می شوم مشتری به چه چیزی نیاز دارد").

مجموعه قوانینی که سیاست را اجرا می کند

مجموعه قوانین به صورت یک فایل متنی حاوی جملات به زبان رسمی نوشته می شود. همچنین منبعپردازش شده و توسط کامپایلر به دستورالعمل های کد ماشین ترجمه می شود، مجموعه قوانین "منبع" توسط pfctl پردازش می شود و نتیجه توسط pf در هسته تفسیر می شود.

هنگامی که کد منبع قوانین رسمی زبان را نقض می کند، تجزیه کننده یک خطای نحوی را گزارش می دهد و از پردازش بیشتر فایل خودداری می کند. این خطا یک خطای زمان کامپایل است و معمولاً به سرعت رفع می شود. هنگامی که pfctl نمی تواند فایل مجموعه قوانین شما را تجزیه کند، خطی را که خطا پیدا کرده است و یک پیام کم و بیش آموزنده که نمی تواند آن را تجزیه کند چاپ می کند. تا زمانی که کل فایل بدون پردازش شود تک خطا، pfctl مجموعه قوانین قبلی را در هسته تغییر نمی دهد. و از آنجایی که فایل حاوی یک یا چند خطای نحوی است، "برنامه ای" وجود نخواهد داشت که pf بتواند آن را اجرا کند.

نوع دوم خطا "خطاهای زمان اجرا" نامیده می شود زیرا زمانی رخ می دهد که یک برنامه صحیح از نظر نحوی با موفقیت کامپایل و اجرا شود. که در مورد کلی، در زبان های برنامه نویسی، زمانی که یک برنامه تقسیم بر صفر را انجام می دهد، سعی می کند به مناطق نامعتبر حافظه دسترسی پیدا کند یا حافظه اش تمام شود، این اتفاق می افتد. اما از آنجایی که مجموعه قوانین فقط به طور مبهم به عملکرد زبان های برنامه نویسی شباهت دارد، بیشتر این خطاها در هنگام اعمال قوانین نمی توانند رخ دهند، به عنوان مثال، قوانین نمی توانند به اصطلاح باعث ایجاد چنین خطاهایی شوند. "قطع سیستم"، همانطور که برنامه های معمولی انجام می دهند. با این حال، مجموعه ای از قوانین ممکن است باعث شود خطاهای مشابه، به صورت مسدود کردن یا بالعکس، ارسال بسته هایی که با خط مشی مطابقت ندارند. گاهی اوقات به این خطای منطقی می گویند، خطایی که باعث استثنا و توقف نمی شود، بلکه به سادگی نتایج نادرستی ایجاد می کند.

بنابراین، قبل از اینکه بتوانیم بررسی کنیم که فایروال تا چه اندازه سیاست امنیتی ما را اجرا می کند، ابتدا باید مجموعه قوانین را با موفقیت بارگذاری کنیم.

خطاهای آنالیزور

خطاهای تجزیه کننده هنگام تلاش برای بارگذاری لیستی از قوانین با استفاده از pfctl رخ می دهد، به عنوان مثال:

# pfctl-f/و غیره/pf.conf

/ و غیره/pf.conf:3:نحوخطا

این پیام نشان می دهد که در خط 3 فایل /etc/pf.conf یک خطای نحوی وجود دارد و pfctl قادر به بارگذاری قوانین نیست. مجموعه موجود در هسته تغییر نکرده است، مانند قبل از بارگذاری یک هسته جدید باقی می ماند.

انواع مختلفی از خطاها توسط pfctl وجود دارد. برای شروع کار با pfctl، فقط باید آنها را با دقت بخوانید. این امکان وجود دارد که همه قسمت های پیام بلافاصله معنای خود را برای شما آشکار نکنند، اما خواندن همه آنها ضروری است، زیرا. بعداً درک اینکه چه اشتباهی رخ داده است را آسان تر می کند. اگر پیام حاوی بخشی از فرم "filename:number:text" باشد، به خطی با شماره مربوطه در فایل مشخص شده اشاره دارد.

مرحله بعدی این است که با استفاده از یک ویرایشگر متن به خط خروجی نگاه کنید (در vi می توانید با تایپ 3G در حالت بیپ به خط 3 بروید) یا مانند این:

# cat -n /etc/pf.conf

1 int_if = "fxp 0"

2 بلوک همه

3 در $int_if inet all keep state از بین می روند

inet را در $int_if همه حالت حفظ کنید

مشکل می تواند یک اشتباه تایپی ساده باشد، مانند این مورد ("نگه داشتن" به جای "نگه داشتن"). پس از رفع مشکل، فایل را دوباره بارگیری کنید:

# pfctl-f/و غیره/pf.conf

/ و غیره/pf.conf:3:نحوخطا

# head -n 3 /etc/pf.conf | دم -n 1

inet را در $int_if تمام نگه دارید

اکنون همه کلمات کلیدی صحیح هستند، اما با بررسی دقیق تر، متوجه می شویم که قرار دادن کلمه کلیدی "inet" قبل از "on $int_if" اشتباه است. این نشان می دهد که یک خط می تواند بیش از یک خطا داشته باشد. Pfctl یک پیام در مورد اولین خطای که پیدا می کند چاپ می کند و اجرا نمی شود. اگر همان شماره خط در طول اجرای دوم ایجاد شده باشد، باز هم خطاهایی در آن وجود دارد یا موارد قبلی به درستی حذف نشده اند.

کلمات کلیدی نادرست قرار داده شده نیز یک اشتباه رایج هستند. این را می توان با مقایسه قانون با نحو مرجع BNF در انتهای فایل راهنمای man pf.conf(5) مشاهده کرد که شامل:

pf-rule= action [("in" | "out") ]

[ "ورود" | "log-all" ] [ "سریع"]

["روشن" ifspec] [مسیر] [af] [protospec]

میزبان ها [filteropt-list]

ifspec = ([ "!" ] interface-name) | "("لیست رابط")"

af="inet" | "inet6"

یعنی چی کلمه کلیدی"inet" باید "on $int_if" را دنبال کند

بیایید آن را درست کنیم و دوباره امتحان کنیم:

# pfctl-f/و غیره/pf.conf

/ و غیره/pf.conf:3:نحوخطا

# head -n 3 /etc/pf.conf | دم -n 1

در $int_if inet همه حالت حفظ شود

اکنون هیچ خطای آشکاری وجود ندارد. اما ما نمی توانیم تمام جزئیات مرتبط را ببینیم! رشته به ماکرو $inf_if بستگی دارد. چه چیزی می تواند سوء تفاهم شود؟

# pfctl -vf /etc/pf.conf

int_if = "fxp 0"

بلوک همه را رها کنید

/etc/pf.conf:3: خطای نحوی

پس از تصحیح اشتباه تایپی "fxp 0" به "fxp0" دوباره امتحان کنید:

# pfctl-f/و غیره/pf.conf

عدم وجود پیام نشان می دهد که فایل با موفقیت بارگذاری شده است.

در برخی موارد، pfctl ممکن است پیام های خطای خاص تری نسبت به "خطای نحو" تولید کند:

# pfctl -f /etc/pf.conf

/etc/pf.conf:3: پورت فقط برای tcp/udp اعمال می شود

/etc/pf.conf:3: قانون پرش به دلیل خطا

/etc/pf.conf:3: قانون به هیچ ترکیب معتبری گسترش می یابد

# head -n 3 /etc/pf.conf | دم -n 1

از $int_if برای پورت ssh نگه داشتن وضعیت عبور کنید

خط اول پیام خطا آموزنده ترین خط از بقیه است. در این مورد، مشکل این است که قانون، تعیین پورت، پروتکل - tcp یا udp را مشخص نمی کند.

در موارد نادر، pfctl به دلیل وجود کاراکترهای غیرچاپ یا فضاهای غیر ضروری در یک فایل دلسرد می شود، چنین خطاهایی بدون پردازش فایل خاص به راحتی قابل تشخیص نیستند:

# pfctl -f /etc/pf.conf

/etc/pf.conf:2: فضای خالی بعد از \

/etc/pf.conf:2: خطای نحوی

# cat -ent /etc/pf.conf

1 بلوک همه $

2 در gem0 از هر به هر \ $

3 ^ ایکیپدولت $

مشکل در اینجا کاراکتر فاصله است، بعد از "بک اسلش" اما قبل از پایان خط دوم، که با علامت "$" در خروجی cat -e نشان داده شده است.

پس از اینکه مجموعه قوانین با موفقیت بارگذاری شد، ایده خوبی است که به نتیجه نگاه کنید:

$ cat /etc/pf.conf

مسدود کردن همه

# پاس از هر یک به هر \

از 10.1.2.3 به هر کدام منتقل کنید

$ pfctl -f /etc/pf.conf

$ pfctl-sr

مسدود کردنرها کردنهمه

علامت معکوس در انتهای خط نظر در واقع به این معنی است که خط نظر در زیر ادامه خواهد داشت.

گسترش لیست های محصور شده در بریس های فرفری () می تواند نتیجه ای ایجاد کند که ممکن است شما را شگفت زده کند و در عین حال مجموعه قوانین پردازش شده توسط تحلیلگر را نشان دهد:

$ cat /etc/pf.conf

عبور از (!10.1.2.3، !10.2.3.4) به هر

$ pfctl -nvf /etc/pf.conf

عبور inet از ! 10.1.2.3 به هر

عبور inet از ! 10.2.3.4بههر

نکته جالب اینجاست که عبارت "( !10.1.2.3, !10.2.3.4 )" به معنای "همه آدرس ها به جز 10.1.2.3 و 10.2.3.4" نخواهد بود، خود عبارت گسترش یافته به معنای مطابقت با هر آدرس ممکن است.

شما باید مجموعه قوانین خود را پس از ایجاد تغییرات دائمی بارگیری مجدد کنید تا مطمئن شوید که pfctl نیز می تواند آن را هنگام راه اندازی مجدد دستگاه بارگیری کند. در OpenBSD، اسکریپت راه‌اندازی rc در /etc/rc ابتدا مجموعه کوچکی از قوانین پیش‌فرض را بارگیری می‌کند که تمام ترافیک را به جز آنچه در مرحله بوت مورد نیاز است (مانند dhcp یا ntp) مسدود می‌کند. اگر اسکریپت نتواند مجموعه قوانین واقعی را از /etc/pf.conf بارگیری کند به دلیل خطاهای نحوی که قبل از راه‌اندازی مجدد دستگاه بدون بررسی ایجاد شده است، مجموعه قوانین پیش‌فرض فعال باقی می‌ماند. خوشبختانه، اتصالات ssh ورودی در این مجموعه مجاز است، بنابراین مشکل از راه دور قابل حل است.

آزمایش کردن

از آنجایی که ما یک خط مشی بسیار دقیق تعریف شده داریم و مجموعه ای از قوانین که باید آن را اجرا کنند، اصطلاح تست در مورد ما به معنای انطباق مجموعه حاصل با یک خط مشی معین است.

تنها دو راه برای اعمال نادرست قوانین وجود دارد: مسدود کردن اتصالاتی که باید مجاز باشند و بالعکس، عبور از آن اتصالاتی که باید مسدود شوند.

آزمایش در حالت کلی حاکی از یک رویکرد سیستماتیک به خلق منظم است انواع مختلفاتصالات آزمایش همه ترکیبات منبع/مقصد ممکن و پورت های مربوطه در رابط ها، به عنوان امکان پذیر نیست فایروال از نظر تئوری می تواند با آن برخورد کند مقدار زیادیچنین ترکیباتی اطمینان از صحت اولیه مجموعه ای از قوانین را می توان تنها برای مدت بسیار زیادی تضمین کرد موارد ساده. در عمل، بهترین راه حل ایجاد لیستی از اتصالات آزمایشی بر اساس خط مشی امنیتی است، به طوری که هر آیتم خط مشی تحت تأثیر قرار گیرد. بنابراین، برای خط مشی مثال ما، لیست تست ها به صورت زیر خواهد بود:

اتصال از LAN به DMZ (باید نادیده گرفته شود)

از LAN به شبکه خارجی (باید نادیده گرفته شود)

از DMZ به LAN (باید مسدود شود)

از DMZ به شبکه خارجی (باید نادیده گرفته شود)

از شبکه خارجی در DMZ تا 10.1.1.1 در پورت 80 (باید از آن گذشت)

از شبکه خارجی به DMZ تا 10.1.1.1 در پورت 25 (باید مسدود شود)

از شبکه خارجی به DMZ تا 10.2.2.2 در پورت 80 (باید مسدود شود)

از شبکه خارجی در DMZ تا 10.2.2.2 در پورت 25 (باید از آن گذشت)

از شبکه خارجی به LAN (باید مسدود شود)

نتیجه مورد انتظار باید قبل از آزمایش در این لیست تعریف شود.

ممکن است عجیب به نظر برسد، اما هدف هر آزمایش یافتن اشکال در اجرای مجموعه ای از قوانین فایروال است، نه صرفاً عدم وجود آنها. و هدف نهایی این فرآیند ایجاد مجموعه‌ای از قوانین بدون خطا است، بنابراین اگر فکر می‌کنید احتمال وجود خطا وجود دارد، بهتر است آنها را بیابید تا از دست دادن. و اگر نقش یک آزمایشگر را بر عهده بگیرید، باید یک سبک تفکر مخرب را در پیش بگیرید و سعی کنید محدودیت های فایروال را دور بزنید. و تنها این واقعیت که محدودیت ها نمی توانند شکسته شوند، به تأییدی منطقی تبدیل می شود که مجموعه قوانین حاوی خطا نیست.

اتصالات TCP و UDP را می توان با nc بررسی کرد. nc را می توان هم به عنوان سمت کلاینت و هم به عنوان سمت سرور (با استفاده از گزینه -l) استفاده کرد. و برای درخواست‌ها و پاسخ‌های ICMP، بهترین مشتریبرای بررسی پینگ خواهد شد.

برای بررسی اینکه آیا اتصال مسدود شده است، می توانید از هر وسیله ای استفاده کنید که سعی می کند با سرور ارتباط برقرار کند.

با استفاده از ابزارهایی از مجموعه پورت ها، مانند nmap، می توانید به راحتی بسیاری از پورت ها را حتی در هاست های متعدد اسکن کنید. اگر نتایج کاملاً واضح نیستند، به راحتی به صفحه مرد نگاهی بیندازید. برای مثال، برای یک پورت TCP، زمانی که nmap یک RST از pf دریافت می‌کند، اسکنر «فیلتر نشده» را برمی‌گرداند. همچنین، pf نصب شده روی همان دستگاه اسکنر می تواند بر عملکرد صحیح nmap تأثیر بگذارد.

ابزارهای پیچیده‌تر اسکن ممکن است شامل امکاناتی برای تولید بسته‌های IP تکه‌تکه یا نامعتبر باشند.

برای بررسی اینکه فیلتر از اتصالات مشخص شده در خط مشی عبور می کند، بهترین روش این است که با استفاده از برنامه هایی که متعاقباً توسط کلاینت ها استفاده خواهند شد، بررسی کنید. بنابراین، بررسی عبور اتصالات http از ماشین های مختلف کلاینت سرور وب و همچنین از مرورگرهای مختلفو نمونه مطالب مختلفبهتر از تأیید ایجاد یک جلسه TCP برای nc است که به عنوان backend عمل می کند. عوامل مختلفی مانند سیستم عامل میزبان نیز می توانند باعث ایجاد خطا شوند - مشکلات مربوط به مقیاس بندی پنجره TCP یا پاسخ های TCP SACK بین سیستم عامل های خاص.

هنگامی که مورد آزمایشی بعدی قبول می شود، نتایج آن ممکن است همیشه یکسان نباشد. اتصال ممکن است در طول برقراری اتصال قطع شود، در صورتی که فایروال RST را برگرداند. ایجاد یک اتصال به سادگی می تواند به پایان برسد. اتصال می تواند به طور کامل برقرار شود، کار کند، اما پس از مدتی قطع شود یا قطع شود. اتصال ممکن است برقرار باشد، اما توان عملیاتی یا تأخیر ممکن است متفاوت از حد انتظار، بالاتر یا کمتر باشد (در صورتی که از AltQ برای محدود کردن پهنای باند استفاده می‌کنید).

طبق نتایج مورد انتظار، علاوه بر پرش/مسدود کردن اتصال، می‌توان به ثبت شدن بسته‌ها، نحوه پخش، مسیریابی و افزایش شمارنده‌های لازم در صورت لزوم توجه کرد. اگر این جنبه ها برای شما مهم هستند، باید در روش تست نیز گنجانده شوند.

خط مشی شما ممکن است شامل الزامات مربوط به عملکرد، پاسخ اضافه بار، تحمل خطا باشد. و ممکن است نیاز به آزمایش های جداگانه داشته باشند. اگر در حال راه‌اندازی یک سیستم تحمل‌پذیر خطا با استفاده از CARP هستید، احتمالاً می‌خواهید بدانید که در انواع خرابی‌ها چه اتفاقی می‌افتد.

هنگامی که نتیجه ای متفاوت با آنچه انتظار داشتید مشاهده کردید، قدم به قدم مراحل خود را در طول آزمون یادداشت کنید، آنچه را که انتظار داشتید، چرا آن را انتظار داشتید، نتیجه به دست آمده و اینکه نتیجه چگونه با انتظارات شما متفاوت است. آزمایش را تکرار کنید تا ببینید که آیا وضعیت هر چند وقت یکبار قابل تکرار است یا متفاوت است. پارامترهای ورودی آزمایشی (آدرس منبع/مقصد یا پورت ها) را تغییر دهید.

از لحظه‌ای که با مشکلی تکرارپذیر مواجه می‌شوید، باید اشکال‌زدایی را شروع کنید تا دریابید چرا همه چیز آن‌طور که انتظار داشتید کار نمی‌کند و چگونه همه چیز را «رفع» کنید. با این تنظیم، شما باید مجموعه قوانین را تغییر دهید و همه آزمایش‌ها، از جمله آزمایش‌هایی که باعث خطا نمی‌شوند را دوباره امتحان کنید، زیرا با تغییر قوانین می‌توانید به طور ناخواسته بر عملکرد بخش‌هایی که به درستی کار می‌کنند، تأثیر بگذارید.

همین اصل در مورد سایر تغییرات مجموعه نیز صدق می کند. این روش تأیید رسمی کمک خواهد کرد که فرآیند کمتر مستعد خطا باشد. ممکن است نیازی به تکرار کل روش برای تغییرات کوچک نباشد، اما مجموع چندین تغییر کوچک می تواند بر نتیجه کلی پردازش مجموعه تأثیر بگذارد. می توانید از یک سیستم کنترل نسخه مانند cvs برای مدیریت فایل پیکربندی خود استفاده کنید. این به بررسی تغییرات منجر به خطا کمک می کند. اگر می دانید این خطا یک هفته پیش رخ نداده است، اما اکنون رخ داده است، همه تغییرات ایجاد شده را بررسی کنید هفته گذشتهبه تشخیص مشکل کمک می کند یا حداقل به لحظه غیبت آن برمی گردد.

مجموعه قوانین غیر پیش پاافتاده را می توان به عنوان برنامه در نظر گرفت، آنها به ندرت در اولین نسخه خود کامل هستند و مطمئن شدن از عاری بودن آنها زمان می برد. با این حال، برخلاف برنامه‌های معمولی، که توسط اکثر برنامه‌نویسان هیچ‌گاه بدون اشکال در نظر گرفته نمی‌شوند، مجموعه قوانین هنوز به اندازه‌ای ساده هستند که به این تعریف نزدیک شوند.

اشکال زدایی

اصطلاح اشکال زدایی معمولاً به یافتن و رفع خطاهای برنامه نویسی در برنامه های رایانه ای اشاره دارد. یا در زمینه مجموعه قوانین فایروال، این اصطلاح به معنای فرآیند یافتن دلیل عدم بازگشت یک مجموعه به نتیجه مطلوب است. انواع کمی از خطاها وجود دارند که می توانند در قوانین ظاهر شوند، با این حال، روش های یافتن آنها مشابه برنامه نویسی است.

قبل از شروع به جستجوی علت مشکل، باید به وضوح ماهیت این مشکل را درک کنید. اگر خودتان در حین تست متوجه خطا شدید، بسیار ساده است. اما اگر شخص دیگری یک اشکال را به شما گزارش دهد، تعیین یک هدف واضح از یک گزارش اشکال نادرست می تواند مشکل باشد. بهترین مکان برای شروع این است که خودتان خطا را تکرار کنید.

همیشه مشکلات شبکه نمی تواند توسط فیلتر بسته ایجاد شود. قبل از اینکه روی اشکال زدایی پیکربندی pf تمرکز کنید، باید مطمئن شوید که مشکل توسط فیلتر بسته ایجاد شده است. انجام این کار آسان است و همچنین در زمان عیب یابی در جاهای دیگر صرفه جویی می کند. فقط pf را با pfctl -d خاموش کنید و ببینید آیا مشکل دوباره ظاهر می شود یا خیر. اگر چنین است، pf را با pfctl -e فعال کنید و ببینید چه اتفاقی می‌افتد. این روش در برخی موارد شکست خواهد خورد، برای مثال اگر pf به درستی ترجمه نشود آدرس های شبکه(NAT)، سپس خاموش کردن pf بدیهی است که از خطا خلاص نمی شود. اما در صورت امکان، سعی کنید مطمئن شوید که فیلتر بسته مقصر است.

بر این اساس، اگر مشکل در فیلتر بسته باشد، اولین کاری که باید انجام دهید این است که مطمئن شوید که pf واقعاً کار می کند و مجموعه صحیح قوانین با موفقیت بارگذاری شده است:

# pfctl -si | وضعیت grep

وضعیت: فعال به مدت 4 روز 13:47:32 اشکال زدایی: فوری

# pfctl -sr

همه چیز را سریع بگذرانید

عبور سریع در enc0 all

اشکال زدایی توسط پروتکل ها

مرحله بعدی اشکال زدایی منعکس کردن مشکل در اتصالات شبکه خاص است. اگر پیامی دارید: «پیام‌رسانی فوری در برنامه X کار نمی‌کند»، باید دریابید که از چه اتصالات شبکه‌ای استفاده می‌شود. نتیجه ممکن است به شکل "میزبان A نمی تواند با میزبان B در پورت C ارتباط برقرار کند". گاهی اوقات این کار سخت ترین است، اما اگر اطلاعاتی در مورد اتصالات لازم دارید و می دانید که فایروال اجازه عبور آنها را نمی دهد، تنها کاری که باید انجام دهید این است که قوانین را تغییر دهید تا این مشکل حل شود.

راه های مختلفی وجود دارد که می توانید بفهمید یک برنامه از کدام پروتکل ها یا اتصالات استفاده می کند. Tcpdump می‌تواند بسته‌های ورودی یا خروجی را از رابط شبکه واقعی و مجازی مانند pflog و pfsync نمایش دهد. شما می توانید یک عبارت فیلترینگ را تعیین کنید تا مشخص کنید کدام بسته ها نمایش داده شوند و "نویز" شبکه جعلی را حذف کنید. سعی کن نصب کنی اتصال شبکهدر اپلیکیشن مورد نظر و بسته های در حال ارسال را مشاهده کنید. مثلا:

# tcpdump -nvvvpi fxp0 tcp و نه پورت ssh و نه پورت smtp

23:55:59.072513 10.1.2.3.65123 > 10.2.3.4.6667:S

4093655771:4093655771(0) برنده 5840

1039287798 0,nop,wscale 0> (DF)

این یک بسته TCP SYN است، اولین بسته از یک اتصال TCP (TCP handshake) که ایجاد شده است.

فرستنده پورت 10.1.2.3 65123 است (به نظر می رسد یک پورت تصادفی غیرمجاز) و مقصد پورت 10.2.3.4 6667 است. می توانید توضیح دقیقی در مورد فرمت خروجی tcpdump در صفحات کتابچه راهنمای ابزار بیابید. Tcpdump مهمترین ابزار برای اشکال زدایی مشکلات مربوط به pf است و آشنایی با آن بسیار مهم است.

روش دیگر استفاده از قابلیت ورود به سیستم pf است. با فرض اینکه شما از گزینه "log" در همه قوانین با "block" استفاده می کنید، تمام بسته های مسدود شده توسط pf ثبت می شوند. امکان حذف گزینه "log" از قوانینی که با پروتکل های شناخته شده سروکار دارند، یعنی. فقط بسته هایی که به پورت های ناشناخته می روند ثبت می شوند. سعی کنید از برنامه ای استفاده کنید که نمی تواند ارتباط برقرار کند و به pflog نگاه کنید:

# ifconfig pflog0 up

# tcpdump -nettti pflog0

26 نوامبر 00:02:26.723219 قانون 41/0 (مسابقه): مسدود کردن در kue0:

195.234.187.87.34482 > 62.65.145.30.6667: S 3537828346:3537828346 (0) برنده شوید

16384 (DF)

اگر از pflog استفاده می‌کنید، دیمونی که دائماً به pflog0 گوش می‌دهد و اطلاعات دریافتی خود را در /var/log/pflog ذخیره می‌کند، اطلاعات ذخیره‌شده را می‌توانید به صورت زیر مشاهده کنید:

# tcpdump-nettr /var/ورود/pflog

هنگام نمایش بسته‌های ذخیره‌شده در pf، می‌توانید از عبارات فیلتر اضافی مانند مشاهده بسته‌هایی که در رابط wi0 مسدود شده‌اند استفاده کنید:

# tcpdump -netttr /var/log/pflog بلوک ورودی و اکشن و در wi0

ردیابی برخی از پروتکل ها مانند FTP چندان آسان نیست زیرا از شماره پورت ثابت استفاده نمی کنند یا از چندین اتصال همزمان استفاده می کنند. ممکن است نتوان آنها را از طریق فایروال بدون باز کردن طیف گسترده ای از پورت ها عبور داد. راه حل هایی مشابه ftp-proxy برای پروتکل های فردی وجود دارد.

قوانین اشکال زدایی

اگر مجموعه قوانین شما پروتکل خاصی را مسدود می کند زیرا پورت صحیح را باز نکرده اید، این بیشتر یک مشکل زمان طراحی است تا یک اشکال در قوانین. اما اگر مشاهده کردید که یک اتصال مسدود شده است و شما قانونی دارید که به آن اجازه عبور می دهد؟

به عنوان مثال مجموعه شما حاوی قانون است

بلوک در return-rst در $ext_if پروتو tcp از هر به $ext_if پورت ssh

اما وقتی سعی می کنید به آن وصل شوید پورت TCP 22، اتصال پذیرفته شد! به نظر می رسد فایروال قانون شما را نادیده می گیرد. مانند پازل های اره منبت کاری اره مویی، در اولین باری که با این موارد مواجه می شوید، یک توضیح ساده منطقی و معمولاً پیش پا افتاده وجود دارد.

ابتدا باید تمام مراحل ذکر شده را بررسی کنید. به عنوان مثال، فرض کنید که فایروال در حال اجرا است و حاوی قانون بالا است. بعید است که نگرانی های قبلی ما درست باشد، اما تأیید آن آسان است:

# pfctl -si | وضعیت grep

وضعیت: فعال به مدت 4 روز 14:03:13 اشکال زدایی: فوری

# pfctl -gsr | grep "port=ssh"

@14 block return-rst in در kue0 inet proto tcp از هر به 62.65.145.30 پورت = ssh

مورد بعدی ما این است که اتصالات TCP در پورت 22 در kue0 پذیرفته می شود. ممکن است فکر کنید که این از قبل واضح است، اما بررسی آن مفید خواهد بود. tcpdump را اجرا کنید:

# tcpdump -nvvvi kue0 tcp و پورت 22 و dst 62.65.145.30

اکنون اتصال SSH را دوباره امتحان کنید. شما باید بسته های اتصال خود را در خروجی tcpdump ببینید. شاید شما آنها را نمی بینید، و این ممکن است به این دلیل باشد که اتصال در واقع از طریق kue0 انجام نمی شود، اما از یک رابط متفاوت عبور می کند، که توضیح می دهد که چرا این قانون کار نمی کند. یا ممکن است به آدرس دیگری متصل شوید. به طور خلاصه، اگر بسته‌های ssh را نمی‌بینید، pf نیز آنها را نمی‌بیند و احتمالاً نمی‌تواند با استفاده از قانون ارائه شده در مشکل ما، آنها را مسدود کند.

اما اگر بسته هایی را با tcpdump مشاهده کردید، pf آنها را نیز "می بیند" و آنها را فیلتر می کند. فرض بعدی این است که قانون مسدود کردن نباید فقط در مجموعه وجود داشته باشد (که قبلاً متوجه شده ایم)، بلکه آخرین قانون تطبیق برای بسته های مورد نیاز باشد. اگر این آخرین قانون نباشد، بدیهی است که بر این اساس تصمیمی برای تأخیر بسته ها گرفته نمی شود.

در چه مواردی ممکن است یک قانون آخرین قانون منطبق نباشد؟ سه دلیل احتمالی وجود دارد:

الف) قانون کار نمی کند، زیرا مشاهده قوانین به مطلوب نمی رسد.

قانون قبلی موجود نیز فعال می شود و باعث می شود که اجرا با گزینه 'سریع' خاتمه یابد.

ب) قانون پردازش می شود، اما قانون به دلیل عدم تطابق معیارهای فردی کار نمی کند.

ج) قانون پردازش می شود، قانون فعال می شود، اما پردازش ادامه می یابد و قوانین بعدی نیز برای بسته فعال می شوند.

برای رد این سه مورد، می توانید پردازش یک بسته TCP فرضی را که به رابط kue0 و پورت 22 می رسد با مشاهده مجموعه قوانین بارگذاری شده تجسم کنید. بلوکی را که باید اشکال زدایی شود را انتخاب کنید. دور زدن را با قانون اول شروع کنید. مطابقت دارد؟ اگر بله علامت بزنید آیا گزینه "سریع" دارد؟ اگر چنین است، پس دور را متوقف می کنیم. اگر نه، ادامه دهید قانون بعدی. تست را تکرار کنید تا زمانی که با گزینه "سریع" مطابقت پیدا شود یا به پایان مجموعه قوانین برسد. کدام قانون آخرین بار مطابقت داشت؟ اگر قانون شماره 14 نیست، توضیحی برای مشکل پیدا کرده اید.

دور زدن قوانین به صورت دستی ممکن است خنده دار به نظر برسد، با این حال، با تجربه کافی، می توان آن را نسبتاً سریع و با درجه بالایی از قابلیت اطمینان انجام داد. اگر مجموعه به اندازه کافی بزرگ است، می توانید به طور موقت آن را کاهش دهید. یک کپی از لیست واقعی قوانین را ذخیره کنید و آن ورودی هایی را که فکر می کنید روی نتیجه تأثیری ندارند حذف کنید. این مجموعه را دانلود کنید و دوباره تست کنید. اگر اکنون اتصال مسدود شده است، قوانینی که به نظر نامرتبط با بسته های مورد نظر شما هستند، مسئول موارد A یا B هستند. قوانین را یکی یکی اضافه کنید، آزمایش را تکرار کنید، تا زمانی که مورد مناسب را پیدا کنید. اگر پس از حذف قوانینی که بر آن تأثیری ندارند، اتصال همچنان مجاز است، پیمایش ذهنی مجموعه کاهش یافته را تکرار کنید.

روش دیگر استفاده از قابلیت لاگ pf برای شناسایی موارد A یا C است. قبل از قانون چهاردهم، «log» را به همه قوانین با «گذر سریع» اضافه کنید. پس از قانون چهاردهم، «log» را با «گذر» به همه قوانین اضافه کنید. tcpdump را روی رابط pflog0 اجرا کنید و یک اتصال ssh برقرار کنید. خواهید دید که چه قوانینی، علاوه بر چهاردهم، آخرین قوانینی هستند که روی بسته های شما کار می کنند. اگر چیزی در گزارش وجود نداشته باشد، مورد B رخ می دهد.

ردیابی اتصال فایروال

هنگامی که یک اتصال از یک فایروال عبور می کند، بسته ها به یک رابط می رسند و از طریق دومی به خارج منتقل می شوند. پاسخ ها به رابط دوم می آیند و به رابط اول می روند. بنابراین اتصالات ممکن است در هر یک از این چهار مورد شکست بخورند.

ابتدا باید بفهمید که مشکل کدام یک از چهار مورد است. اگر می خواهید یک اتصال برقرار کنید، باید یک بسته TCP SYN را در اولین رابط با استفاده از tcpdump مشاهده کنید. شما همچنین باید همان بسته TCP SYN را ببینید که از رابط دوم خارج می شود. اگر آن را نمی بینید، پس نتیجه می گیریم که pf مسدود شده است بسته دریافتیدر رابط اول، یا خروجی در رابط دوم.

اگر SYN مسدود نشده باشد، باید یک SYN+ACK را ببینید که در واسط دوم وارد می شود و در رابط اول خارج می شود. اگر نه، pf SYN+ACK را در برخی از رابط ها مسدود می کند.

گزینه "log" را به قوانینی اضافه کنید که باید SYN و SYN+ACK را در هر دو اینترفیس مجاز کنند، و همچنین قوانینی که باید آنها را مسدود کنند. اتصال را دوباره امتحان کنید و pflog را بررسی کنید. باید مشخص کند که در چه صورت مسدود شدن و با چه قاعده ای رخ می دهد.

اشکال زدایی حالت های اتصال

شایع ترین دلیل مسدود کردن بسته های pf این است که یک قانون مسدود کردن بیش از حد در مجموعه وجود دارد. قانون مربوطه که در آخرین مسابقه اجرا می شود را می توان با افزودن گزینه "log" به همه قوانین تأثیرگذار بالقوه و گوش دادن به رابط pflog پیدا کرد.

در تعداد کمتری از موارد، این اتفاق می افتد که pf "بی صدا" بسته ها را بر اساس قوانین غیرقانونی رها می کند، و در اینجا افزودن "log" به همه قوانین منجر به ورود بسته های حذف شده به pflog نمی شود. اغلب یک بسته تقریباً، اما نه به طور کامل، یک ورودی حالت است.

به یاد داشته باشید که برای هر بسته ای که پردازش می کند، فیلتر بسته جدول وضعیت را اسکن می کند. اگر یک ورودی منطبق پیدا شود، بسته بلافاصله بدون اینکه مجموعه قوانین روی خودش پردازش شود، ارسال می شود.

یک ورودی در جدول وضعیت حاوی اطلاعات مربوط به یک اتصال واحد است.

هر ورودی یک کلید منحصر به فرد دارد. این کلید از چندین مقدار تشکیل شده است که در طول عمر اتصال ثابت را محدود می کند. آن ها اینجا هستند:

• نوع آدرس (Ipv4 یا Ipv6)
• آدرس منبع
• آدرس گیرنده
• پروتکل (TCP/UDP)
• پورت منبع
• پورت گیرنده

این کلید برای تمام بسته های مربوط به یک اتصال و بسته ها استفاده می شود ترکیبات مختلفهمیشه کلیدهای مختلف خواهد داشت.

هنگامی که گزینه "keep state" از یک قانون یک ورودی در جدول وضعیت ایجاد می کند، ورودی اتصال با استفاده از کلید آن اتصال ذخیره می شود. یک محدودیت مهم برای جدول حالت این است که همه کلیدها باید منحصر به فرد باشند. آن ها نمی توان دو رکورد با یک کلید وجود داشته باشد.

ممکن است بلافاصله مشخص نباشد که دو میزبان یکسان نمی توانند چندین اتصال همزمان با استفاده از آدرس ها، پروتکل ها و پورت های یکسان برقرار کنند، اما دارایی اساسیهر دو TCP و UDP. در واقع، پشته‌های TCP/IP تنها می‌توانند بسته‌های منفرد را با انجام انتخاب بر اساس آدرس‌ها و پورت‌ها با سوکت‌هایشان مرتبط کنند.

حتی اگر اتصال بسته شود، نمی توان بلافاصله از همان جفت آدرس و پورت دوباره استفاده کرد. بسته‌های ارسال‌شده مجدد ممکن است بعداً توسط تجهیزات شبکه تحویل داده شوند، و اگر توسط پشته TCP/IP گیرنده به‌عنوان بسته‌هایی از یک اتصال جدید ایجاد شده اشتباه گرفته شوند، این امر باعث تداخل یا حتی خاتمه اتصال جدید می‌شود. به همین دلیل، هر دو هاست باید مدت زمان مشخصی به نام 2MSL ("دو برابر حداکثر طول عمر بخش") منتظر بمانند تا بتوانند دوباره از همان آدرس ها و پورت ها برای اتصال جدید استفاده کنند.

می توانید این ویژگی را با ایجاد چندین اتصال به یک میزبان به صورت دستی مشاهده کنید. به عنوان مثال، داشتن یک وب سرور در حال اجرا بر روی 10.1.1.1 و پورت 80 و دو بار اتصال از 10.2.2.2. با استفاده از nc:

$ nc -v 10.1.1.1 80 & nc -v 10.1.1.1 80

اتصال به پورت 10.1.1.1 80 با موفقیت انجام شد!

هنگامی که اتصالات باز هستند، می توانید اطلاعات مربوط به این اتصالات را با استفاده از netstat در سرویس گیرنده یا سرور نمایش دهید:

$ netstat -n | grep 10.1.1.1.80

tcp 0 0 10.2.2.6.28054 10.1.1.1.80 تاسیس شد

tcp 0 0 10.2.2.6.43204 10.1.1.1.80 تاسیس شد

همانطور که می بینید، مشتری دو پورت منبع متفاوت (تصادفی) را انتخاب کرده است، بنابراین الزامات منحصر به فرد بودن کلیدی را نقض نمی کند.

می توانید به nc بگویید از یک پورت منبع خاص با گزینه -p استفاده کند:

$ nc -v -p 31234 10.1.1.1 80 & nc -v -p 31234 10.1.1.1 80

اتصال به پورت 10.1.1.1 80 با موفقیت انجام شد!

nc: bind شکست خورد: آدرس از قبل در حال استفاده است

پشته TCP/IP مشتری از نقض منحصر به فرد بودن کلید جلوگیری کرده است. برخی از پیاده‌سازی‌های نادر و اشتباه پشته‌های TCP/IP از این قانون پیروی نمی‌کنند، و بنابراین، همانطور که به زودی خواهیم دید، در صورت نقض منحصربه‌فرد بودن کلیدها، pf اتصالات آنها را مسدود می‌کند.

بیایید به نقطه ای برگردیم که pf در زمانی که بسته شروع به فیلتر شدن می کند، یک پرس و جو به جدول وضعیت می دهد. درخواست دو مرحله دارد. اولین پرس و جو برای جستجوی ورودی در جدول ورودی با یک کلید مربوط به پروتکل، آدرس ها و پورت بسته ایجاد می شود. جستجو برای بسته هایی خواهد بود که به هر سمتی می روند. فرض کنید بسته زیر یک ورودی در جدول حالت ایجاد کرده است:

آیندهTCPاز 10.2.2.2:28054به 10.1.1.1:80

پرس و جو جدول ورودی های زیر را در جدول حالت پیدا می کند:

TCP ورودی از 10.2.2.2:28054 تا 10.1.1.1:80

TCP خروجی از 10.1.1.1:80 تا 10.2.2.2:28054

ورودی در جدول شامل اطلاعاتی در مورد جهت (ورودی یا خروجی) اولین بسته ای است که ورودی را ایجاد کرده است. به عنوان مثال، ورودی های زیر باعث تطابق نمی شوند:

برونگراTCPاز 10.2.2.2:28054به 10.1.1.1:80

آیندهTCPاز 10.1.1.1:80به 10.2.2.2:28054

دلیل این محدودیت ها مشخص نیست، اما کاملاً ساده است. تصور کنید که شما فقط یک رابط در 10.1.1.1 دارید، جایی که وب سرور در حال گوش دادن به پورت 80 است. هنگامی که یک کلاینت در 10.2.2.2 با استفاده از پورت خروجی 28054 انتخاب شده به طور تصادفی متصل می شود، اولین بسته اتصال به رابط شما می رسد و همه موارد پاسخ های خروجی شما باید از 10.1.1.1:80 به 10.2.2.2: 28054 برسد. شما بسته های خروجی را از 10.2.2.2:28054 به 10.1.1.1:80 ارسال نمی کنید، زیرا چنین بسته هایی منطقی نیستند.

اگر فایروال شما برای دو اینترفیس پیکربندی شده است، با مشاهده بسته هایی که از آن عبور می کنند، خواهید دید که هر بسته ای که به رابط اول می رسد و از دومی خارج می شود. اگر یک ورودی حالت ایجاد کنید که در آن بسته اولیه به رابط اول برسد، آن ورودی از خروج همان بسته از رابط دوم جلوگیری می کند زیرا در جهت اشتباه است.

هنگامی که تلاش برای یافتن یک بسته در میان ورودی‌های جدول حالت با شکست مواجه می‌شود، فهرست قوانین فیلتر عبور می‌کند. شما باید به طور خاص اجازه دهید بسته از طریق رابط دوم با یک قانون جداگانه عبور کند. شما احتمالاً در این قانون از "حالت نگه داشتن" استفاده می کنید، به طوری که ورودی دوم در جدول حالت، کل اتصال را در رابط دوم نیز پوشش می دهد.

ممکن است تعجب کنید که چگونه می توان یک رکورد دوم در جدول ایجاد کرد، زمانی که ما توضیح دادیم که رکوردها باید دارای کلیدهای منحصر به فرد باشند. توضیح در اینجا این است که ورودی همچنین حاوی اطلاعاتی در مورد جهت اتصال است و ترکیب آن با بقیه داده ها باید منحصر به فرد باشد.

اکنون می‌توانیم تفاوت بین اتصال شل و اتصال محدود به یک رابط را نیز توضیح دهیم. به طور پیش فرض، pf ورودی هایی ایجاد می کند که به هیچ رابطی محدود نمی شوند. بنابراین اگر اتصالات را در یک رابط مجاز کنید، بسته‌های مربوط به اتصال و مطابقت با ورودی جدول (از جمله اطلاعات جهت بسته!) از هر رابطی عبور می‌کنند. در نصب های ساده با مسیریابی استاتیک، این محاسبات بیشتر تئوری هستند. در اصل، شما نباید بسته‌هایی را از یک اتصال مشاهده کنید که به چندین رابط وارد می‌شوند و بسته‌های پاسخ نیز در چندین رابط خارج می‌شوند. با این حال، با مسیریابی پویا، این امکان پذیر است. می‌توانید ورودی‌های حالت را با استفاده از تنظیم جهانی «تنظیم سیاست اگر محدود» یا گزینه «حالت نگه‌داشتن (اگر محدود)» برای هر قانون به یک رابط خاص متصل کنید. این تضمین می‌کند که بسته‌ها فقط با ورودی‌هایی از رابطی که آن ورودی‌ها را ایجاد کرده است، مطابقت داشته باشند.

اگر از رابط های تونل استفاده شود، همان اتصال چندین بار از فایروال عبور می کند. به عنوان مثال، اولین بسته یک اتصال ممکن است ابتدا از رابط A، سپس از طریق B، سپس C، و در نهایت از طریق رابط D ما را ترک کند. pf بسته های پروتکل های مختلف را می بیند و می توانید 4 ورودی مختلف در جدول حالت ایجاد کنید. بدون کپسوله‌سازی، بسته در هر چهار رابط تغییر نمی‌کند و شما نمی‌توانید از برخی ویژگی‌ها مانند ترجمه آدرس یا مدولاسیون شماره دنباله tcp استفاده کنید، زیرا این امر منجر به نمایش کلیدهای متضاد در جدول وضعیت می‌شود. تا زمانی که نصب کاملی نداشته باشید که شامل رابط هایی با خطاهای تونل زدایی و اشکال زدایی مانند "pf: src_tree insert شکست" باشد، نمی توانید نصب خود را به اندازه کافی موفق در نظر بگیرید. بیایید قبل از بررسی قوانین، به درخواست جدول وضعیتی که برای هر بسته ساخته شده است، برگردیم. پرس و جو باید یک رکورد واحد را با کلید مناسبیا چیزی برگرداند اگر پرس و جو چیزی برگرداند، لیست قوانین دور زده می شود.

اگر ورودی پیدا شد، مرحله دوم برای بسته‌های TCP این است که قبل از اینکه به عنوان متعلق به یک اتصال خاص تلقی شوند و تحت فیلتر قرار گیرند، شماره دنباله را بررسی کنید.

وجود دارد تعداد زیادی ازحملات TCP که در آن مهاجم سعی می کند ارتباط بین دو میزبان را کنترل کند. در بیشتر موارد، مهاجم در مسیر مسیرهای بین هاست نیست و بنابراین نمی تواند به بسته های قانونی ارسال شده توسط هاست گوش دهد. با این حال، او می‌تواند بسته‌هایی را برای هر یک از میزبان‌هایی که بسته‌های طرف مقابلش را تقلید می‌کنند، با جعل کردن ("جعل") - جعل آدرس فرستنده ارسال کند. هدف مهاجم ممکن است جلوگیری از امکان برقراری ارتباط بین میزبان ها یا قطع اتصالات از قبل ایجاد شده (برای ایجاد انکار سرویس) یا ایجاد یک دانلود مخرب روی اتصالات باشد.

برای یک حمله موفق، مهاجم باید چندین پارامتر اتصال مانند آدرس / پورت مبدا و مقصد را به درستی "حدس بزند". و برای پروتکل های پرکاربرد، این ممکن است آنقدرها هم که به نظر می رسد دشوار نباشد. اگر مهاجم آدرس هاست و یکی از پورت ها را بداند (از آنجایی که ما در مورد یک سرویس مشترک صحبت می کنیم)، فقط باید یک پورت را "حدس بزند". حتی اگر مشتری از یک پورت منبع واقعا تصادفی استفاده کند (که همیشه درست نیست)، مهاجم فقط باید 65536 پورت را در مدت زمان کوتاهی امتحان کند. (در اکثر موارد حتی پورت های (65536-1024) یعنی فقط پورت های غیرمجاز - یادداشت مترجم))

اما چیزی که واقعاً حدس زدن برای یک مهاجم سخت است، شماره ترتیب صحیح (و تأیید آن) است. اگر هر دو میزبان انتخاب کنند شماره شروعشماره دنباله به صورت تصادفی (یا از مدولاسیون شماره دنباله برای میزبان هایی استفاده می کنید که دارای ISN (شماره ترتیب اولیه) "ضعیف" هستند)، سپس مهاجم نمی تواند مقدار مناسب را در لحظه مناسب اتصال دریافت کند.

در طول وجود یک اتصال TCP معتبر، اعداد دنباله ای (و تصدیق ها) برای بسته های جداگانه طبق قوانین خاصی تغییر می کنند.

به عنوان مثال، اگر یک میزبان بخشی از بخش داده را ارسال کند و گیرنده آن دریافت را تأیید کند، دلیلی وجود ندارد که فرستنده دوباره داده های بخش را ارسال کند. اما، در واقع، تلاش برای بازنویسی بخشی از اطلاعاتی که قبلاً توسط میزبان دریافت شده است، تخلف نیست پروتکل TCP، اگرچه می تواند نوعی حمله باشد.

pf از قوانین برای تعیین کوچکترین محدوده برای اعداد دنباله قانونی استفاده می کند. به طور کلی، pf فقط می تواند صحت 30000 مورد از 4294967296 را به طور دقیق تعیین کند. اعداد ممکنتوالی در هر زمان در طول اتصال. تنها در صورتی که شماره توالی و تأیید در این پنجره باشد، pf مطمئن می شود که بسته قانونی است و اجازه عبور داده می شود.

اگر در طول پرس و جو به جدول حالت یافت می شود ورودی مناسب، بر روی گام بعدیشماره های توالی بسته های ذخیره شده در یک جدول برای محدوده بررسی می شوند مقادیر ممکن. اگر مقایسه ناموفق باشد، pf یک پیام "حالت بد" تولید می کند و بسته را بدون ارزیابی مجموعه قوانین دور می اندازد. دو دلیل وجود دارد که چرا یک قانون مطابقت ممکن است رخ ندهد: تقریباً مطمئناً رد کردن یک بسته یک خطا خواهد بود، زیرا اگر محاسبه مجموعه منجر به ضربه زدن به گزینه در قانون شود "keep state" و pf قادر به تصمیم گیری و ایجاد نخواهد بود رکورد جدیدزیرا باعث می شود کلیدهای متضاد در جدول ظاهر شوند.

برای مشاهده و ثبت پیام‌های «وضعیت بد»، باید حالت اشکال زدایی را با استفاده از دستور زیر فعال کنید:

$ pfctl-xm

پیام های اشکال زدایی به طور پیش فرض روی کنسول نوشته می شوند و syslogd نیز آنها را در /var/log/messages می نویسد. به دنبال پست هایی باشید که با "pf" شروع می شوند:

pf:بددولت:TCP 192.168.1.10:20 192.168.1.10:20 192.168.1.200:64828

[ lo=1185380879high=1185380879win=33304مدولاتور=0wscale=1]

4:4 A seq=1185380879 ack=1046638749 len=1448 ackskew=0 pkts=940:631

dir=out,fwd

pf: خرابی حالت در: 1 |

این پیام ها همیشه جفت می آیند. اولین پیام ورودی جدول حالت را در زمان مسدود شدن بسته و شماره توالی بسته ای که منجر به خطا شده است را نشان می دهد. ورودی دوم شرایطی را نشان می دهد که نقض شده اند.

در پایان اولین پیام، مشاهده خواهید کرد که آیا یک ورودی وضعیت برای یک بسته ورودی (dir=in) یا خروجی (dir=out) ایجاد شده است و آیا بسته مسدود شده در همان جهت بوده است (dir=,fwd) یا جهت مخالف (dir=,rev ) جهت.

ورودی جدول شامل سه آدرس است: جفت پورت که دو تای آنها همیشه با یکدیگر برابر هستند، اگر اتصال تحت ترجمه nat، rdr یا bnat قرار نگرفته باشد. برای اتصالات خروجی، منبع در سمت چپ و مقصد بسته در سمت راست نمایش داده می شود. اگر اتصال خروجیترجمه آدرس منبع را فعال می کند، جفت در وسط منبع را پس از ترجمه نشان می دهد. برای اتصالات ورودی، منبع در سمت راست خروجی و آدرس مقصد در وسط قرار دارد. اگر یک اتصال ورودی تحت ترجمه آدرس مقصد قرار گیرد، جفت ip/port در سمت چپ، مقصد را پس از ترجمه نشان می‌دهد. این فرمت با خروجی pfctl -ss مطابقت دارد، تنها تفاوت این است که pfctl جهت بسته را با استفاده از فلش ها نشان می دهد.

در خروجی می توانید اعداد ترتیبی فعلی هاست ها را در براکت ها مشاهده کنید. بنابراین مقدار "4:4" به این معنی است که اتصال به طور کامل برقرار می شود (مقادیر کوچکتر در مرحله برقراری یک اتصال محتمل تر است، مقادیر بزرگتر - تا زمانی که اتصال بسته شود)."A" به این معنی است که بسته مسدود شده دارای مجموعه پرچم ACK (همانند خروجی پرچم tcpdump)، به دنبال آن مقادیر اعداد دنباله (seq=) و (ack=) در بسته های مسدود شده و طول بار بارگذاری شده است. بسته - طول داده (لن =). askskew بخشی از نمایش داخلی داده ها در جدول است و فقط برای مقادیر غیر صفر استفاده می شود.

ورودی "pkts=930:631" به این معنی است که 940 بسته در همان جهتی که باعث ایجاد این ورودی شده است و 631 بسته در جهت مخالف مطابقت دارد. این شمارنده ها به ویژه هنگام عیب یابی مشکلات در مرحله برقراری اتصال، اگر یکی از آنها باشد، مفید خواهند بود صفر، این برخلاف انتظار شما است که ورودی داده شده با بسته هایی که در هر دو جهت حرکت می کنند مطابقت دارد.

پیام بعدی حاوی لیستی از یک یا چند رقم خواهد بود. هر رقم نشان دهنده چکی است که در آن خطا رخ داده است:

1. اندازه پنجره بسته از حداکثر اندازه گیرنده بیشتر است (seq + len > high)
2. بسته حاوی داده هایی است که قبلاً منتقل شده است< lo - win)
3. ackskew کمتر از مقدار حداقل است
4. ackskew بزرگتر از مقدار حداکثر است
5. همانند (1) اما با تفاوت (seq + len > high + win)
6. مانند (2)، اما (در ادامه< lo - maximum win)

خوشبختانه، پیام‌های «وضعیت بد» برای ترافیک واقعی روزمره اعمال نمی‌شوند و بررسی pf شماره ترتیب از بسیاری از ناهنجاری‌ها جلوگیری می‌کند. اگر مشاهده کردید که این پیام ها به طور متناوب ظاهر می شوند و متوجه تعداد زیادی اتصالات آویزان نمی شوید، می توانید به سادگی آنها را نادیده بگیرید. پیاده سازی های زیادی از TCP/IP در اینترنت در حال اجرا هستند و برخی از آنها گاهی اوقات می توانند بسته های اشتباهی تولید کنند.

با این حال، این دسته از مشکلات را می توان به راحتی با ظاهر شدن پیام های "BAD State" که فقط در چنین مواردی ظاهر می شوند، تشخیص داد.

سوابق دولتی ایجاد کنیدTCP بیش از اولیهSYN به بسته.

در حالت ایده آل، رکوردهای حالت باید زمانی ایجاد شوند که اولین بسته SYN رخ دهد.

با استفاده از این اصل می توانید از این قانون استفاده کنید:

«از گزینه‌های «flags S/SA» در همه قوانین «pass proto tcp keep state» استفاده کنید»

فقط (و تنها) بسته های SYN اولیه دارای پرچم SYN تنظیم شده و ACK جمع آوری می شود. هنگامی که استفاده از گزینه "keep state" فقط به بسته های SYN اولیه محدود می شود، فقط آن بسته ها ورودی هایی را در جدول وضعیت ایجاد می کنند. بنابراین، هر ورودی موجود در جدول حالت از SYN اولیه بسته مشتق می شود.

دلیل ایجاد ورودی‌ها فقط برای بسته‌های اولیه، پسوند پروتکل TCP به نام «مقیاس‌گذاری پنجره» است که در RFC1323 تعریف شده است. فیلد هدر TCP که برای اعلام اندازه پنجره های دریافتی استفاده می شود برای پیوندهای پرسرعت امروزی بسیار کوچک است. پیاده‌سازی‌های مدرن TCP/IP ترجیح می‌دهند از اندازه‌های پنجره بزرگ‌تر نسبت به فضای موجود استفاده کنند. مقیاس بندی اندازه پنجره به این معنی است که تمام اندازه های پنجره شناخته شده از میزبان مقصد باید در یک مقدار مشخص مشخص شده توسط مقصد ضرب شوند، نه اینکه به تنهایی گرفته شوند. برای اینکه این طرح کار کند، هر دو میزبان باید از برنامه افزودنی پشتیبانی کنند و توانایی خود را برای پیاده سازی آن در طول برقراری اتصال ("handshake") با استفاده از گزینه های TCP به یکدیگر نشان دهند. این گزینه ها فقط در بسته های اولیه SYN و SYN+ACK وجود دارند. و تنها در صورتی که هر یک از این بسته ها دارای یک گزینه باشد، Nexus موفق خواهد شد و اندازه پنجره همه بسته های بعدی در یک ضریب ضرب می شود.

اگر pf از مقیاس بندی پنجره استفاده شده "بی اطلاع" بود، مقدار ارائه شده بدون فاکتور در نظر گرفته می شد و محاسبه اندازه پنجره برای مقادیر عدد توالی قابل قبول نادرست بود. به طور معمول، هاست ها اندازه های کوچک پنجره را در ابتدای اتصال ارائه می دهند و در طول اتصال آنها را افزایش می دهند. بدون آگاهی از وجود عوامل تغییر اندازه پنجره، pf در نقطه ای شروع به مسدود کردن بسته ها می کند، زیرا فرض می کند که یکی از میزبان ها سعی می کند حداکثر اندازه پنجره ارائه شده توسط "همتا" را دور بزند. اثرات این ممکن است کم و بیش قابل توجه باشد. گاهی اوقات، میزبان به از دست دادن بسته با سوئیچ کردن به اصطلاح پاسخ می دهد. "حالت بازیابی ضرر" و اندازه پنجره کوچکتر را تبلیغ می کند. پس از ارسال مجدد pf، بسته های حذف شده برای اولین بار، اندازه پنجره همچنان افزایش می یابد، تا جایی که pf دوباره شروع به مسدود کردن آنها می کند. یک تظاهرات خارجی ممکن است قطع موقت اتصالات و عملکرد ضعیف. احتمالا همچنین انجماد کاملیا اتصال با وقفه بازنشانی می شود.

اما pf از مقیاس بندی پنجره اطلاع دارد و از آن پشتیبانی می کند. با این حال، پیش نیاز ایجاد ورودی های جدول حالت برای اولین بسته های SYN این است که pf بتواند دو بسته اول اتصال را با ورودی جدول مرتبط کند. و از آنجایی که تطبیق فاکتور اندازه کامل پنجره فقط در این دو بسته اول رخ می دهد، هیچ راه مطمئنی برای تعیین این فاکتور پس از مذاکره پیوند وجود ندارد.

در گذشته، مقیاس پنجره به طور گسترده ای مورد استفاده قرار نمی گرفت، اما این به سرعت در حال تغییر است. اخیراً لینوکس این گزینه را به طور پیش فرض فعال کرده است. اگر در قطع کردن اتصالات، به خصوص با ترکیبی از هاست ها، مشکل دارید و پیام های «حالت بد» مربوط به آن اتصالات را می بینید، بررسی کنید که آیا در واقع در حال ایجاد ورودی های جدول حالت در اولین بسته های اتصال هستید.

شما می توانید تعیین کنید که آیا pf از گزینه scaling برای اتصال از خروجی pfctl استفاده می کند یا خیر:

$ pfctl -vss

kue0 tcp 10.1.2.3:10604 -> 10.2.3.4:80 ESTABLISHED:ESTABLISHED

wscale 0wscale 1

اگر یک ورودی "wscale x" در خط دوم چاپ شده باشد (حتی اگر x صفر باشد)، pf می داند که اتصال از مقیاس بندی استفاده می کند.

یکی دیگر از روش‌های ساده برای عیب‌یابی مشکلات مقیاس‌بندی، خاموش کردن موقت پشتیبانی مقیاس‌بندی و پخش مجدد وضعیت است. در OpenBSD، استفاده از مقیاس‌بندی را می‌توان با گزینه sysctl کنترل کرد:

$ sysctlخالص.inettcprfc1323

خالص.inettcprfc1323=1

$ sysctl-wsysctlخالص.inettcprfc1323=0

خالص.inettcprfc1323: 1 -> 0

هنگامی که ورودی های جدول حالت را برای بسته هایی غیر از SYN اولیه ایجاد می کنید و از گزینه "moulate state" یا ترجمه استفاده می کنید، مشکلات مشابهی ظاهر می شود. در هر دو مورد، ترجمه در ابتدای اتصال انجام می شود. اگر بسته اول ترجمه نشود، ارسال بسته‌های بعدی معمولاً گیرنده را ناامید می‌کند و باعث می‌شود که پاسخ‌های ارسال شده توسط pf با پیام "BAD State" مسدود شود.