За огненной стеной: обзор персональных брандмауэров
Для начала стоит сказать
несколько слов о предмете нашего анализа. Итак, брандмауэры, или файрволлы
(firewalls), -- это программные комплексы, главным заданием которых
является фильтрация входящего и исходящего трафика, а также блокирование
несанкционированного доступа из Сети к вашему ПК. Несмотря на общую
идейную направленность этих программ, механизм их действия, а главное --
эффективность работы, могут существенно отличаться. И если со стандартными
операциями большинство файрволлов справляется на "отлично", то с более
изощренными хакерскими трюками у многих из них возникают значительные
проблемы. Причем, судя по последнему тестированию специалистами известного
сайта PCFlank.com, посвященного сетевой безопасности, счет пока явно не в
пользу брандмауэров. Тем не менее в настоящее время ситуация значительно
улучшилась, и вашему вниманию предлагается обзор наиболее достойных
программ этой категории.
Leak
tests. Что это такое и как с ним бороться?
Leak tests (переводится как "тесты на
непроницаемость") -- это специальные программы, большинство из которых
действуют по принципу троянских коней, пытаясь отправить информацию с ПК
пользователя на удаленный компьютер, обходя все фильтры файрволла.
Естественно, ценность программы, пропускающей их, "успешно" близится к
нулю, несмотря на все остальные свои достоинства. Все leak-тесты созданы
крупными специалистами по сетевой безопасности для демонстрации
уязвимости/защищенности брандмауэров, тем самым стимулируя их
разработчиков к более интенсивной работе над своими детищами. И хотя пока
еще не было сообщений о хакерских атаках с помощью подобных механизмов,
вопрос о реальной безопасности пользователя Сети до сих пор остается
открытым.
Наиболее популярные
leak-тесты
LeakTest
www.grc.com/lt/leaktest.htm
"Прадедушка"
всех подобных программ; действует по принципу замены "добропорядочных"
приложений на одноименную вредоносную программу. Некоторые файрволлы
пропускают таких "незваных гостей" со всеми привилегиями исходной
программы (например, броузера). Новые версии большинства брандмауэров уже
успешно борются с этим багом, проверяя контрольные суммы "безопасных"
программ и предупреждая пользователя об обнаружении неодинаковой копии
приложения.
TooLeaky
http://www.tooleaky.%20zensoft.com/
Использует
для своих целей скрытое окно системного броузера, которое невидимо
для пользователя и потому не может быть закрыто им "вручную". Таким
образом злоумышленник имеет возможность получить какую угодно информацию с
зараженного компьютера.
FireHole
www.keir.net/firehole.html
Действует более
сложно, нежели LeakTest и TooLeaky. Он загружает свою dll-библиотеку,
которая и запускается с любой "честной" программой и таким образом обходит
файрволл.
pcAudit
http://www.pcinternet%20patrol.com/
Программа
производит внедрение своего кода в dll-файл другой разрешенной программы,
тем самым прячась от файрволла. Некоторые брандмауэры не контролируют
активность таких приложений и поэтому не "засекают" вредоносные
dll.
CopyCat
mc.webm.ru/copycat.exe
Отечественная
разработка (что ни говори, а своих "левшей" в любой области у нас всегда
хватало), использующая совершенно новую тактику обхода брандмауэра, внося
себя в адресное пространство допущенного им процесса. Ни один файрволл
пока не смог блокировать ее.
Более детальную информацию смотрите на
http://www.pcflank.com/
Agnitum Outpost Pro 2.0
| Agnitum Outpost Pro 2.0 |
 |
 |
Shareware (30 дней
trial, регистрация для жителей СНГ-- 499 руб.)
Разработчик
Agnitum Limited
Web-сайт http://www.agnitum.com/
Размер
загружаемого файла 5,32 MB
URLhttp://www.agnitum.com/download/OutpostProInstall.exe
|
|
 |
|
| Лучший персональный
файрволл, который к тому же стоит значительно меньше своих
конкурентов |
|
| + |
Высокая
функциональность; разумная цена; блокирование почти всех
leak-тестов |
| - |
Существенных недостатков
нет |
| ! |
Лучший из имеющихся
персональных брандмауэров
| | Несомненный лидер среди семейства
персональных брандмауэров недавно еще раз блестяще подтвердил свою
репутацию, победив со значительным отрывом в очередном тестировании
РCflank. Из главных достоинств Outpost следует отметить его тонкую
интеграцию с ОС Windows, позволяющую контролировать все сетевые процессы.
После установки программа по умолчанию работает в режиме "обучения",
разрешая пользователю создавать правила для запуска тех или иных программ,
запрашивающих доступ в Сеть. Впрочем, для наиболее популярного ПО правила
конфигурируются автоматически, да вот только список его мог бы быть и
длиннее. Отлично реализовано и блокирование запрещенного контента:
баннеров, всплывающих окон, flash-анимации, а также ActiveX-компонентов,
сookies и Java-апплетов. Причем, в отличие от ZoneAlarm, которая тоже
умеет "глушить" рекламу, задержки в отображении Web-страниц нет вообще.
Нельзя не отметить и удобный журнал событий Outpost с широкими
возможностями по сортировке информации и созданию разнообразных фильтров.
Кстати, Outpost -- первый файрволл для ОС Windows, разработанный по
принципу открытой архитектуры. Поддержка сторонних плагинов позволяет
легко приспосабливать брандмауэр к своим нуждам, а при желании -- и самому
вносить лепту в его развитие. И хотя пока плагинов немного, перспективы
очень обнадеживающие. Наибольший интерес представляет модуль WhoEasy,
разработанный специалистами сайта http://www.pcflank.com/. Он определяет по _Р-адресу
всю возможную информацию о домене, провайдере и даже его адрес. В
некоторых случаях эта функция оказывается действительно
полезной.
Но все это, по большому счету, не так уж и принципиально
и в той или иной мере реализовано в большинстве персональных брандмауэров.
Гораздо важнее тот факт, что Outpost -- единственный (не считая с
некоторыми оговорками Look'n'Stop) файрволл, который успешно пресекает
почти все leak tests (см. врезку). Именно это и является реальной
демонстрацией возможностей брандмауэра, и Outpost, несомненно, достоин
высшей оценки. Тем более приятно, что программа создана экс-советскими
программистами, интуитивно понятна и предлагается для нас по очень
привлекательной цене. Однозначный "Выбор редакции"!
Look'n'Stop
2.04
| Look'n'Stop
2.04 |
 |
|
Shareware (30
дней trial, регистрация -- $39)
Разработчик
Soft4Ever
Web-сайт www.looknstop.com/en
Размер
загружаемого файла 432 KB
URL http://www.looknstop.com/En/LooknStop_Setup_204.exe |
|
|
|
| + |
Маленький
размер; высокая эффективность работы; минимальная
ресурсоемкость |
| - |
Не контролирует
приходящие по почте файлы; отсутствуют функции по
блокировке Web-рекламы |
| ! |
Очень интересная
разработка; хороший выбор для слабых компьютеров
| | Достойный конкурент Outpost; к
сожалению, малопопулярный среди пользователей. Не хватая с неба
звезд, он, тем не менее, обладает рядом уникальных возможностей.
Look'n'Stop занимает предельно мало места, поглощает минимум
системных ресурсов и в то же время эффективно защищает ПК от внешних
и внутренних атак (т. е. от трояноподобных программ и прочего
spyware). Программа осуществляет двухуровневый контроль сетевой
активности: первым является сетевой уровень, где она анализирует все
исходящие и входящие пакеты, а второй -- уровень приложений,
требующих выхода в Internet. Именно качественно сделанный модуль
Application Filtering и обеспечивает стабильно высокие результаты
утилиты в тестах брандмауэров. Естественно, поддерживаются и другие
типичные для программ этого рода функции вроде сокрытия _Р и портов
компьютера, чтобы сделать ПК невидимым для хакера, истории событий и
др.
К минусам программы стоит отнести отсутствие функций по
блокированию рекламы и прочих нежелательных компонентов Web-страниц
да ее неказистый внешний вид, но они не настолько существенны, чтобы
хоть как-то перевесить все ее достоинства. В конце концов, для
борьбы с баннерами и всплывающими окнами вполне сойдет любая
надстройка над IE с модулем блокировки нежелательного контента
наподобие Avant Browser (см. на диске). Ну а файрволл -- это как раз
тот случай, когда все нужные и ненужные "рюшечки" просто
неуместны... |
ZoneAlarm Pro 4.0
| ZoneAlarm Pro 4.0
|
 |
|
Shareware (30 дней
trial, регистрация -- $49,99)
Разработчик Zone Labs
Inc.
Web-сайт http://www.zonelabs.com/ Размер загружаемого
файла 3,84 MB
URL download.zonelabs.com/bin/free/
1043_zl/zapSetup_40_146_029.exe |
|
 |
|
| Программа обладает
великолепным интерфейсом и не вызовет никаких затруднений даже
у новичка, но с эффективностью, к сожалению, не
сложилось |
|
| + |
Интуитивно
понятный интерфейс; легкость конфигурирования |
| - |
Иногда значительно
замедляет загрузку Web-страниц; для максимально эффективной
работы необходима дополнительная настройка программы
|
| ! |
"Домашний"
файрволл | | Пожалуй, ZoneAlarm -- один из самых
распространенных файрволлов в мире. И это не удивительно, ибо интерфейс
программы настолько интуитивно понятен, что с ней справится даже ребенок.
Более того, в процессе установки автоматически запускается обучение, в
котором пользователю в легкой и ненавязчивой форме объясняются основные
пути проникновения вредоносной информации на ПК и каким образом ZoneAlarm
препятствует этому. Условно механизмы защиты можно разделить на 5 частей:
Firewall protection (анализ и контроль трафика), Program Control
(разрешение/запрет на доступ в сеть программам), E-mail Protection
(контроль за присоединенными файлами в почте), а также Cookie Protection и
Web Filtering (блокирование баннеров, cookies, ActiveX-компонентов и пр.).
К сожалению, опция по блокированию баннеров имеет серьезный недостаток --
иногда она приводит к значительной задержке при отображении Web-страниц,
но такова уж плата за отсутствие рекламы... Но самый обидный недостаток
ZoneAlarm в том, что по умолчанию она справляется лишь с половиной leak
tests, и для более эффективной работы ее следует дополнительно настроить.
Казалось бы, сделать надо всего ничего -- включить пункт Advanced
Application Control в разделе Program Control (либо же установить ползунок
в режим High), но осуществить это сможет лишь мало-мальски знающий
человек, в остальных же случаях программа не обеспечит адекватной защиты
ПК.
Norton Internet
Security 2004
Для
компании Symantec осень уже традиционно является порой обновления своей
линейки программных продуктов. Не стал исключением и Norton Personal
Firewall, доступный как в виде отдельного приложения, так и в составе
Norton Internet Security 2004 вместе с Norton Antivirus 2004,
"родительским" пакетом Norton parental control и с новой программой для
фильтрации и обнаружения спама Norton Antispam 2004. Так как нас
интересует именно комплексная защита ПК, то мы решили остановиться
именно на NIS 2004.
| Norton Internet Security
2004 |
 |
|
Shareware (15 дней
trial, регистрация -- $69,95)
Разработчик Symantec
Corporation
Web-сайт http://www.symantec.com/
Размер
загружаемого файла 34,2 MB
URL cdrom.digitalriver.com/pub/
symantec/2004/NIS2004.exe |
|
|
|
| Это не просто файрволл,
а целый программный комплекс обеспечения безопасности вашего
ПК. К сожалению, не самый эффективный |
|
| + |
Программный
комплекс для тотальной защиты ПК |
| - |
Большие размер и
ресурсоемкость; эффективность защиты против leak-тестов
оставляет желать лучшего |
| ! |
Крепкий "середнячок",
который после доработки вполне может претендовать на лавры
лидера | | Сначала
пару слов о других компонентах. NAV 2004 представлять, думаю, не стоит --
это один из лучших антивирусов, хотя и "славящийся" высокой
ресурсоемкостью. Norton parental control позволяет ограничить круг
Web-ресурсов и используемых ими программ (броузера, коммуникаторов или
онлайновых игр), например для ребенка, что избавит родителей от лишней
головной боли. Norton Antispam -- весьма эффективная утилита для
фильтрации спама, к сожалению, работающая только в Outlook и Еudora. Здесь
и "черные" и "белые" списки адресатов, и создание правил для опознания
соответствующего письма как рекламного -- в общем, все необходимое для
борьбы со спамом.
Теперь о Norton Firewall 2004. Формально все в
нем выполнено на высшем уровне -- тонкий контроль за ПО и трафиком. До
мельчайших деталей продуманы все нюансы работы программ -- использование
указанных протоколов и портов, через которые разрешен доступ, даже
привязка соединений только к специфическим сетевым адаптерам (если в ПК их
несколько). Хорошо реализована и функция для работы в локальной сети
("белый и черный" списки), а также модуль блокирования рекламы и
всплывающих окон. Тем более поражает уязвимость Norton Firewall к
большинству leak-тестов, что кажется просто невероятным для компании, чьей
"визитной карточкой" является высокое качество программных продуктов.
Конечно, по сравнению с предыдущей версией NPF 2004 заметно изменился в
лучшую сторону, но этого все равно недостаточно для эффективной борьбы с
подобными трюками.
Таким образом, остается лишь констатировать, что
далеко не всегда бренд и цена являются синонимами качества...
Kerio Personal Firewall
4.06
| Kerio Personal Firewall
4.06 |
 |
|
Freeware (полная версия
-- $39)
Разработчик Kerio Technologies
Web-сайт http://www.kerio.com/
Размер загружаемого
файла 4,61 MB
URL download.kerio.com/dwn/kpf/kerio-pf-4.0.6-en-win.exe |
|
|
|
| Основное достоинство
Kerio -- наличие бесплатной базовой версии
программы |
|
| + |
Бесплатный;
реализован базовый набор функций |
| - |
Низкий уровень защищенности
от leak-тестов |
| ! |
Неплохой бесплатный
брандмауэр для дома
| | Главной особенностью данного файрволла,
выгодно отличающей его от других подобных программ, является наличие
полнофункциональной бесплатной версии, что не может не радовать. Конечно,
у ZoneAlarm или Outpost тоже имеются бесплатные "братья меньшие", но их
разработка давно прекращена и они уже не могут обеспечивать эффективной
защиты ПК.
Возможности Kerio Personal Firewall типичны для утилит
этой категории: мониторинг сетевого трафика и контроль запуска
Internet-приложений. Ну а для самых уязвимых приложений вроде броузера,
коммуникатора или почтового клиента можно дополнительно указать те порты,
через которые разрешен доступ, а также используемые протоколы и
направление обмена данных с Сетью. Кроме того, присутствует детектор атак,
журнал событий наряду с модулем блокировки рекламы и фильтрации
содержимого Web-страниц. Последняя опция, кстати, не работает в бесплатной
версии, и, по большему счету, это ее единственный недостаток как для
домашнего пользователя. В общем, очень неплохо, если бы не слабая
защищенность программы от многих leak-тестов, которая хоть и не хуже, чем
у Norton Personal Firewall и предыдущего релиза 2.1.5, но все равно не
позволяет рекомендовать ее как универсальный способ защиты от сетевых
атак. Впрочем, вряд ли такая панацея будет когда-либо в принципе
создана...
Заключение
Как видите, спектр персональных
брандмауэров более чем широк, да вот действительно эффективных среди них
до обидного мало. Наиболее оптимальным нам представляется Agnitum Outpost
2, который и получает вполне заслуженный "Выбор редакции". Если же
используемый вами файрволл не был описан в этой статье, вы всегда сможете
проверить защищенность своего ПК с помощью стандартных leak-тестов, благо
методика тестирования проста до примитивизма.
Автор: Ростислав Панчук
Источник: www.itc.ua
|
