Najważniejszym orężem pomocnym w utrzymaniu bezpieczeństwa systemu zaraz po programach antywirusowych są tzw. osobiste firewalle (ściany ogniowe). Większość zapobiegliwych internautów już dawno zaopatrzyła się w jakiegoś przedstawiciela tej rodziny aplikacji.
Ten, kto jeszcze nie zainstalował na swoim komputerze żadnego strażnika, powinien wiedzieć, że łącząc się z Internetem, wystawia swoją maszynę na niebezpieczeństwo. Nasze domowe komputery są obiektem zainteresowania intruzów głównie z powodu przechowywanych na nich danych, choć niektórzy włamywacze próbują uzyskać dostęp do cudzych pecetów niejako “dla sportu”. Niestety, prywatne maszyny w odróżnieniu od korporacyjnych systemów są bardzo łatwym celem. Twórcy BlackICE Defendera zapewniają jednak, że ich program zagwarantuje naszemu komputerowi ochronę na poziomie porównywalnym z drogimi, profesjonalnymi rozwiązaniami.
Patentowa ochrona
Aplikacja została wyposażona w wielowarstwowy mechanizm obrony ( Intrusion Detection System, IDS), aktywnie chroniący system przed atakami, który składa się z czterech komponentów: IDS engine, Firewall, Evidence Gathering Monitor oraz Summary Aplication. Działanie pierwszego ze składników opiera się na opatentowanej przez firmę Network ICE technologii o nazwie seven-layer decode technology, która zapewnia wykrywanie i identyfikację ataków. IDS nieustannie analizuje przychodzący i wychodzący ruch sieciowy pod kątem podejrzanego dostępu do komputera. Jeżeli zostanie wykryty atak, wówczas IDS przesyła do firewalla komendę nakazującą zablokowanie wszelkiego ruchu do i od atakującego. Większość konkurencyjnych systemów rozpoznaje intruzów podobnie jak programy antywirusowe porównując zarejestrowaną aktywność z przechowywanymi w bazie danych wzorcami. Z tego powodu niemożliwe jest wykrycie wszelkich dostępnych kombinacji. Zastosowana w Defenderze technologia różni się znacznie od tego podejścia, ponieważ wykorzystuje algorytm analizy protokołów. W metodzie tej kontrolowane są struktura i konstrukcja pakietów oraz cały przebieg komunikacji sieciowej. Zaletą zastosowanego rozwiązania jest odporność na ataki wykorzystujące niewłaściwie pofragmentowane lub uszkodzone pakiety. Systemy porównujące wzorce można w ten sposób łatwo oszukać.
| Po wybraniu opcji blokowania większości podejrzanego ruchu (ilustracja po lewej stronie) okazało się, że nawet komunikacja z serwerem DNS wywołuje potencjalne zagrożenia (u dołu). |  |
Drugi składnik Firewall ogranicza dostęp do systemu, kiedy otrzyma polecenie od IDS. Firewall kontroluje dostęp na poziomie całej warstwy TCP/IP i dlatego też haker nie ma możliwości obejścia zabezpieczenia. Dynamiczna natura firewalla pozwala nawet na ochronę przed intruzami, którzy próbują obejść zabezpieczenie sieci wewnętrznej, podszywając się pod lokalne adresy. Aplikację wyposażono także w możliwość samodzielnego blokowania lub akceptowania przez użytkownika adresów IP oraz portów UDP i TCP.
Uzupełnieniem systemu ochrony jest składnik Evidence Gathering Monitor. Nie wpływa on bezpośrednio na wykrywanie czy blokowanie ataków, jednak może bardzo pomóc w ocenie ryzyka i być ewentualnym dowodem w dochodzeniu swoich praw na drodze sądowej. Działanie monitora polega na zapisywaniu w zaszyfrowanych plikach (evidence files) wszelkich informacji o tym, co zrobił haker. Dane zawarte w tych zbiorach mogą być odczytane za pomocą zaawansowanego oprogramowania (np. Network Monitor w Windows NT/2000).
Ostatni moduł Summary Application to nic innego jak interfejs użytkownika. W oknie aplikacji prezentowane są wszystkie szczegółowe informacje na temat zarejestrowanych zdarzeń. Na trzech kartach ( Attacks, Intruders i History) znajdują się informacje o atakach, szczegółowe informacje o intruzach oraz wykresy obrazujące natężenie ruchu sieciowego i zarejestrowanych zdarzeń. Ponadto na pierwszej zakładce, gdzie znajduje się lista ataków, autorzy programu umieścili bardzo użyteczny przycisk o nazwie advICE. Po wskazaniu zdarzenia na liście i kliknięciu przycisku otwiera się okno przeglądarki ze stroną WWW zawierającą szczegółowy opis tego, co zaszło. Dzięki temu dowiadujemy się nie tylko, że coś się zdarzyło, ale również jak haker tego dokonał. Klikając prawym przyciskiem myszy zdarzenie (zakładka Attacks ) lub intruza (Intruders), możemy określić, czy chcemy, aby odpowiadający mu adres IP był zablokowany na zawsze lub tymczasowo, czy też zezwolić na pełny dostęp. Ponadto w ustawieniach (menu Tools | Edit BlackICE settings… ) na zakładce Protection zdefiniujemy żądany poziom bezpieczeństwa od zamknięcia wszyskich portów oprócz UDP 137 i 139 (Paranoid), poprzez stany pośrednie ( Nervous, Cautions ), aż po otwarcie wszystkich portów używanych domyślnie przez system (Trusting). Najważniejsze jest jednak to, że poziomy te nie różnią się ilością ani jakością wykrywania i blokowania ataków.
Ciągle atrakcyjny
Wszystkie firewalle osobiste, podobnie jak programy antywirusowe, dość szybko się starzeją. Przyczyną takiego stanu rzeczy jest niewyczerpana pomysłowość potencjalnych intruzów oraz dość często odkrywane nowe “dziury” w systemach operacyjnych. Aby zminimalizować związane z tym zagrożenia, twórcy Defendera umożliwili aktualizację programu za pośrednictwem Internetu. Po wybraniu polecenia Download update w menu Tools na nasz dysk zostaje pobrane uaktualnienie zakupionego programu.
Ze względu na oryginalność zastosowanego algorytmu wykrywania ataków oraz swą rolę edukacyjną BlackICE Defender wypada bardzo korzystnie na tle konkurencji (patrz: CHIP 12/2000, s. 228). Skuteczność programu oraz dostępność aktualizacji z pewnością sprawią, że gdy już zaczniemy używać Defendera, nie będziemy musieli poszukiwać innych rozwiązań.
—
| BlackICE Defender 2.5 Wymagania: PC Pentium 200 MHz, 16 MB RAM, Windows 9x/Me/NT/2000, ok. 10 MB na dysku + bardzo skuteczny algorytm wykrywania ataków + walory edukacyjne Producent: Network ICE Corporation, USA http://www.networkice.com/ Dostarczył: Passus, Warszawa tel./faks: (0-22) 825 28 08 http://www.passus.pl/ Cena: ok. 280 zł W dziale Software | Nowe produkty znajduje się wersja demonstracyjna programu BlackICE Defender |  |
