Файрволлы
Как за каменной стеной
Персональный файерволл, как и антивирус, являются сегодня самыми важными программами на ПК пользователей локальных сетей и Интернета. Беспечно относиться к выбору брандмауэра, основываясь лишь на слухах и находящемся в плену стереотипов общественном мнении, непозволительно.
Если вы спросите сегодня в любой веб-конференции, какой файерволл выбрать, ответ будет весьма предсказуемым, в подавляющем большинстве случаев вам предложат Outpost, потому что он русский, NIS, потому что он как AtGuard [1] и вообще — монстр, Kerio — «я попробовал и мне понравилось», и иногда — ZoneAlarm, потому что настраивать не надо. К чему может привести подобное отношение к выбору основного защитного редута на вашем ПК, думается, говорить не надо. Даже эпидемия по большому счету безобидного Lovesan потрепала немало нервов, что уж говорить о троянах, проникающих уже сегодня на машины неосмотрительных пользователей и занимающихся массовой рассылкой спама — тут и на приличные деньги можно попасть. Поэтому сегодня мы попробуем отказаться от стереотипов тех времен, когда AtGuard был единственным приличным брандмауэром и провести грандиозный тест самых интересных файерволлов, дабы на деле выяснить, какой программе можно доверить свою защиту, тем более что выбор очень велик. Подробно рассматривать программы, о которых написано уже все что можно, не будем — данные по ним вы найдете в таблице, попробуем узнать, может ли кто-то из «альтернативщиков» стать заменой, например, NIS, который и используем как эталон.
Jetico Personal Firewall 1.0.1.53
www.jetico.com [2]
При работе с этим бесплатным файерволлом сразу бросается в глаза перегруженность интерфейса, даже при попытке какой-то программы выйти в Интернет появляется окно создания правила, в котором зачем-то указан длиннющий хэш файла (можно подумать, кому-то этот набор цифр что-то скажет). Если же вы решите не выбирать наобум готовый шаблон, а сразу же создать правило, то будете шокированы явно избыточными настройками — одних протоколов вам будет предложено 25 штук. Когда вы, как нормальный человек выберите из списка TCP/IP, создадите правило и захотите его потом отредактировать, вам предложат еще кучу крайне запутанных настроек, разобраться в назначении которых невозможно даже после прочтения и понимания (!) инструкции. Нужно как минимум хорошо разбираться в работе сети и сетевых протоколов (вы, например, понимаете, что такое send datagrams и TTL?). Кстати, в этих самых настройках вы найдете еще море протоколов, начиная от ICMP и заканчивая IGMP — «привязать» их к программам нельзя. Впрочем, набор готовых системных правил довольно большой, и может показаться, что вам не придется мучиться с вопросами типа что такое svchost и какое правило для него создавать, однако, даже для этого компонента появляются предложения создать правила. Очень хорошо, что можно создавать новые шаблоны для разных типов программ — изначально выбор не богат.
В этом файерволле замечательно реализована защита против современных типов атаки троянами программ, которым разрешен выход в сеть — он умеет определять несанкционированную запись в память программы, внедрение кода в программу, запуск программы со скрытым окном, внедрение system-wide windows hook, модификацию дочерних процессов и низкоуровневый доступ к системной памяти. Причем если в подозрительных действиях программа заметит вполне легитимное приложение, то создав обычное правило вы сможете разрешить ему эту деятельность.
Вывод: очень мощный файерволл для тех, кто очень хорошо знает тонкости сетевых протоколов и желает потратить пару недель для изучения документации и привыкания к не интуитивным настройкам программы. Кстати, специалистам можно еще посоветовать обратить внимание на весьма специфичный продукт — QBIK NetPatrol (www.netpatrol.com) — систему обнаружения вторжений. Для бытового применения она не подходит, а администратор сети может найти в ней целый ряд интересных возможностей.
Firewall X-treme b2004112511
www.stompsoft.com [3]
Довольно незамысловатая программа, не позволяющая хоть в малейшей мере детализировать правила для приложений -можно только все блокировать или все разрешить. Кроме того, файерволл допускает даже такой примитивный хакерский ход, как подмена файла программы — хеширование не производится. Но зато есть контроль за утечкой приватных данных. Stealth-режим хоть и не имеет кнопки включения, тем не менее работает нормально, а все попытки несанкционированного подключения или сканирования портов сопровождаются звуковым сигналом. Помимо поддержки учетных записей есть возможность задавать периоды времени, когда Интернет доступен для пользователя.
8Signs Firewall 2.2.6
www.8signs.com [4]
Этот файерволл имеет неподходящую для обычного домашнего пользователя идеологию — он никак не привязывает создаваемые правила к приложениям. Например, вы просто разрешаете всем программа работать в качестве веб-браузера по 80 порту. Соответственно, такой программой может оказаться и вирус. Тем не менее, в ряде случаев этот принцип может оказаться и удобен, например, на сервере домашней локалки, тем более что программа имеет механизм удаленного администрирования, а также умеет «банить» адреса злоумышленников. Имеется забавная функция-ловушка — Tarpits, при ее использовании ваш ПК будет принимать входящее подключение, но никак не будет на него реагировать, будет даже игнорировать попытки отключения. Утверждается, что это создаст проблемы спамерам и тем, кто пытается вас сканировать. Есть и другие чисто профессиональные примочки (фильтрация HTTP, администрирование через Terminal services, управление через командную строку, поддержка VPN), позволяющие утверждать, что этот фаерволл может оказаться очень интересным для администраторов небольших сетей, при его установке, например, на шлюз. Для домашнего же пользователя он не предназначен. Кстати, если вам встретится программа VisNetic Firewall, знайте, что это тот же самый 8Signs Firewall, только с другим названием — отличий нам найти не удалось. А поиск сайта еще одной программы — ConSeal PC Firewall также приводит на www.8signs.com.
eXtendia PC Security 2.0.0.212
www.extendia.com [5]
Крайне примитивная программа. Минимум возможностей, максимум простоты. Разобраться с этим брандмауэром сможет даже тот, кто ничего не понимает в работе сети. Единственное, что от пользователя требуется, понимать — какой программе можно разрешать доступ в сеть, а какой — нет. При этом очень важно, что имеется функция хэширования файлов программ, то есть если вирус модифицирует хотя бы один байт в Internet Explorer, файерволл станет считать его уже новой программой и опять выдаст запрос — разрешить ли ему выход в сеть. Сможет ли только пользователь, на которого рассчитана эта программа, понять, что это уже «не тот» IE?
Zone Alarm Security Suite 5.5.062.000
www.zonelabs.com [6]
Этот файерволл давно считается одним из самых удачных, в особенности благодаря тому, что не вызывает сложностей в настройке для неподготовленного пользователя. И если раньше программа была несколько «чайниковской», то сегодня это мощнейший комплекс с антивирусом, детектором атак, блокировкой рекламы и спама, защитой почты и IM-сообщений. Ряд настроек даже более гибкий, чем в NIS, в частности настройки блокировки cookies. Имеется и нетипичный для файерволла механизм автоматического удаления следов Интернет-деятельности — очистки КЭШа браузера, cookies, истории открытых документов и так далее — порядка 20 позиций. Компонент ID Lock, отвечающий за предотвращение утечки приватной информации также заслуживает всяческих похвал: в отличие от NIS здесь однажды введенные данные (например, пин-код) хэшируются и больше нигде не отображаются — в NIS же злоумышленник может открыть окно файерволла и прочитать все то, что вы хотели скрыть. Здесь же можно создать список сайтов, на которые можно отправлять приватные данные. Не менее интересен компонент IM Security — он обеспечивает безопасность использования Интернет-пейджера (4 основных стандарта), блокируя получение потенциально опасных данных, таких как ссылки, аудио-видео, сообщения от лиц, не прописанных в контакт-листе. Умеет он и шифровать сообщения. А «Родительский контроль» вообще самообучаем и рейтингует все посещенные сайты, даже если их нет в базе данных программы. Отлично организована и помощь пользователю — при появлении сообщений можно нажать кнопку More Info и узнать все подробности о заблокированной атаке на сайте разработчиков — что-то похожее есть и у NIS. Лог, правда, подкачал — это обычный текстовый файл, а потому на практике бесполезный. И еще один неприятный момент — при создании правила для программы Zone Alarm не отображает, какие порты он ей разрешил использовать, какие адреса. Судя по всему, файерволл просто разрешает все соединения. Возможность конкретизировать правила есть, но далеко не самая удобная и слабее, чем в NIS. В общем и целом очень достойная программа, имеющая серьезные возможности, особенно она подходит тем, кого пугают настройки NIS.
Look'n'Stop 2.05
www.looknstop.com/En [7]
Файерволл, умудрившийся уместиться в дистрибутив 623 КБ. Его инсталляция прошла не очень гладко — драйверы программы не были сертифицированы под Windows XP, а инсталлятор еще и завис. Тем не менее, после перезагрузки все заработало нормально и даже по-русски. Возможности у программы под стать размеру — это просто голый файерволл, практически ничем функционально не выделяющийся и, пожалуй, посоветовать его можно только для установки на маломощные системы.
My Firewall Plus 5.0 b1117
www.webroot.com [8]
Эта программа на первый взгляд кажется примитивной, однако в глубине ее настроек можно найти целый ряд примечательных функций. Так, она позволяет привязывать правила к конкретному сетевому адаптеру, делать их зависимыми от активности пользователя — например, при запущенном скринсейвере правило работает, а при его отсутствии — нет. Умеет программа работать с MAC-адресами и задавать для правил временные периоды их действия. Отлично реализован механизм детектирования атак — программа распознает даже такие специфические атаки как MAC spoofing, IP spoofing, предотвращает определение типа вашей ОС, отслеживает атаки на драйверы, и DLL. Есть возможность отправки сообщений о зафиксированных атаках на e-mail администратора сети. И в общем все было бы неплохо, если б не одна мелочь — данный файерволл напрочь заблокировал Интернет-соединение в нашем тесте, не помог даже его перевод в режим Allow all и выгрузка. В связи с этим тест эксплоитами не состоялся — корректно сработал только эксплоит Yalta. Сработал вполне успешно…
Sygate Personal Firewall Pro 5.5.2637
www.sygate.com [9]
В первую очередь в этой программе обращаешь внимание на доведенную до маразма детализацию информационных сообщений, возникающих в режиме обучения при попытке какой-то программы выйти в сеть — помимо обычных данных отображается бинарный дамп пакета, контрольная сумма, значение TTL, флаги, длина заголовка и прочая мутотень. Но главный прикол заключается в том, что эта программа — почти абсолютный близнец вышеописанного My Firewall Plus, разница только в названии и нескольких значках. И этот файерволл точно так же отрубил тестовую машину от Интернета. В связи с этим дальнейшие его испытания не проводились, и в итоговой таблице он разделил одну колонку с My Firewall Plus.
Kaspersky Anti-Hacker 1.7.130
www.kaspersky.com [10]
Довольно простой в работе и понимании российский файерволл. Естественно, обладает полностью русским интерфейсом, что очень важно для начинающих пользователей. Имеется набор системных правил, шаблоны правил для программ, доступ в локальную сеть настраивается автоматически и работает уже после установки программы, словом сделано все, чтобы «чайник» не испытывал серьезных затруднений. Однако возможности программы очень скромны, например, при создании правила для программы нельзя задать несколько портов — только либо один, либо диапазон портов, что очень неудобно.
Kerio WinRoute Firewall 6.0.9
www.kerio.com [11]
Еще один мощнейший файерволл, не отслеживающий сетевую активность приложений, но имеющий целый ряд функций и возможностей, которые на домашнем ПК излишни, но при установке программы на прокси-сервер окажутся незаменимы. Собственно, программа и является прокси-сервером с функциями файерволла и антивируса. Так, Kerio WinRoute Firewall поддерживает удаленное администрирование, причем чтобы получить доступ к его настройкам даже при локальном входе придется «логиниться». Присутствуют учетные записи пользователей и групп пользователей, интегрированные с ActiveDirectory. Программа может работать как DHCP-сервер (в том числе для RAS-клиентов), сервер VPN, поддерживается технология NAT, DNS-форвардинг, фильтрация контента, можно составлять таблицу роутинга, задавать резервное соединение, по которому будет пускаться трафик в случае сбоя основного и многое другое. Есть даже доступ к настройкам через веб-интерфейс и блокировка P2P-клиентов. Очень развита система статистики и протоколирования — гистограммы, графики и тому подобное, все для того, чтобы администратор сети в полной мере контролировал прокси-сервер. Короче говоря, отличная программа, но для обычных пользователей не предназначена.
Kerio Personal Firewall 4.1.2
www.kerio.com [11]
Этот продукт рассчитан уже на простого пользователя и выглядит довольно удобным. Программа имеет несколько интересных моментов: режим шлюза, который рекомендуется использовать при совместном доступе в Интернет, блокировку любой сетевой активности на этапах загрузки-выгрузки ОС, хороший детектор атак. Хорошо реализован механизм Loader Control — выдаётся подробнейшая информация как о программе, которую запускают, так и о самом лянчере. И хотя в остальном ничего примечательного, в целом добротный, понятный продукт. Из недостатков можно отметить отсутствие шифровки приватных данных, вводимых в настройки программы, и чисто номинальный список ключевых слов компонента, отвечающего за блокировку рекламы.
Trend Micro PC-cillin Internet Security 2005 12.0.1244
www.trendmicro.com/en/home [12]
Ещё один пакет все-в-одном, включающий в себя файерволл, антивирус, антиспам, фильтр нежелательного контента. Программа рассчитана на неподготовленного пользователя, а потому по дурной традиции добираться до нормальных настроек приходится через бурелом «ламерских» кнопочек и движочков. При этом зачем-то прикручена функция удаленного управления другими ПК с такой же программой. Антивирус в целом неплохой, умеет выявлять в том числе и несколько типов adware/spyware, сканирует не только входящую-исходящую почту, но и ящики с веб-интерфейсом. Антиспам — вещь в себе, имеет минимум настроек, позволяя лишь выбрать умозрительную степень фильтрации и задать разрешенные и заблокированные адреса. Интересный механизм защиты WiFi-сети осуществляет периодический поиск новых подключившихся компьютеров и сигнализирует об этом пользователю. Плюс программа умеет выявлять уязвимые места вашей системы и предлагать установку патчей от Microsoft, дублируя в этом Windows Update. Приватные данные, которые вы вводите для предотвращения их утечки в сеть, здесь, к сожалению, не шифруются и в настройках программы можно увидеть все, что вы хотели скрыть. Может работать через прокси-сервер.
McAfee Personal Firewall Plus 6.0.6014
www.mcafee.com [13]
Очень примитивная по сути программа, обладающая довольно привлекательным интерфейсом. И это единственное, на что в ней можно обратить внимание — в частности, для программ нельзя хоть как-то уточнить правила, можно указать только разрешен доступ в сеть или нет. И всё бы ничего, если б не давая пользователю гибких настроек, программа сама делала за него все что нужно, но этого нет и в помине — древний AtGuard имел гораздо больше возможностей. В общем, полный ноль, хоть и «Plus».
BlackICE PC Protection 3.6 cnu
www.iss.net [14]
Эта программа на этапе своей установки дает пользователю выбор — устанавливать контроль за приложениями или нет. Если вы выберите максимальную защиту, то есть решите отслеживать доступ программ в Сеть, то будьте готовы к довольно длительной процедуре сканирования диска в поисках известных программ. Идеология BlackICE основана на детектировании атак — именно эти функции в нем реализованы наиболее интересно, а, например, контроль за приложениями далек от идеала — по сути, программа «ловит» только те приложения, которые на момент ее инсталляции отсутствовали на вашем ПК. Правила для программ тоже своеобразные — никаких портов и протоколов задать нельзя, но можно запретить запуск той или иной программы, или заблокировать ей доступ в сеть. Зато по атакам на ваш ПК вы получите полную информацию, а также автоматически заблокируете адрес злоумышленника. Таким образом, это не полноценный файерволл, а специфическая утилита для отслеживания и предотвращения атак на ваш ПК.
Securepoint Personal Firewall 3.6.11
www.securepoint.cc [15]
В этом файерволле реализована функция, которая, по идее должна быть в каждой подобной программе, а именно — переключение типа интерфейса простой/продвинутый. Таким образом программой сможет пользоваться и начинающий юзер, и продвинутый не будет плеваться. Настройки правил просты и содержат все что нужно — протоколы (около 130!), адреса, порты. Плохо только, что в каждом правиле можно указать только один порт. И собственно правила можно создавать только системные — для программ возможен лишь режим разрешить/заблокировать, никаких подробностей задать не получится. Довольно странно реализован контроль за подменой программ — он дискретный во времени и файерволл может заметить подмену уже после того, как Троян оправит в сеть все ваши пароли. Программа поддерживает VPN-соединение, как ни странно имеет приличный набор готовых правил для сетевых игр, но на этом ее возможности и заканчиваются. Особенно же раздражает смесь немецкого и английского языка в интерфейсе программы.
Итак, какие можно сделать выводы на основании полученной нами таблицы возможностей самых известных брандмауэров и удобства работы с ними? Сразу несколько таких программ отлично подойдут неподготовленному пользователю, которому нужна приличная защита, но тяжко разбираться с тонкостями работы сети — мы бы посоветовали в этом плане ZoneAlarm, который сегодня является одной из лучших программ такого рода. Чуть более продвинутый юзер, которому не нравятся Outpost и NIS может обратить внимание, например, на Kerio, идеология которого, как нам показалось, несколько напоминает незабвенный AtGuard. Много интересных моментов ожидает и склонных поэкспериментировать админов — Jetico, Kerio WinRoute, а может InJoy не дадут им скучать. Хуже всего обстоят дела с теми, кто после AtGuard плавно перешел к использованию NIS — замены этой мощной программе они, скорее всего не найдут. Так, ни у одного из протестированных брандмауэров не оказалось столь же удобного Log Viewer, отображающего даже все посещенные с ведома и без ведома пользователя URL. Возможно, где-то это можно поправить плагинами, но это уже тема отдельной статьи.
InJoy Firewall 3.0
www.fx.dk/firewall/ [16]
На этапе своей установки этот файерволл «радует» ничего не подозревающего юзера инсталляцией нескольких не сертифицированных драйверов, предложением включить IP-форвардинг, актуальный для шлюза, а также драйверов PPTP/PPPoE. Перезагрузка не приносит хороших новостей — программа несет на себе печать «линуксоидности». Как вам 26 ярлыков в меню «Пуск»? Ярлык на выход из программы, ярлык на каждый протокол, ярлык на перезагрузку сервера и так далее… Интерфейс столь же уродский: 8 не связанных с собой окон, приклеившихся к боковой панели, назначение которой именно в этом и заключается — не давать окнам расползаться по экрану, чтобы пользователь мог их одновременно перетаскивать с места на место. Потом оказывается что все эти окна чисто информационные — всякие там графики и логи (а можно вывести и еще с десяток таких же), а для настройки программы надо вызывать по очереди еще кучку диалогов. Впрочем, настройки тоже не на простого смертного: поддержка NAT, VPN, PPTP/PPPoE, DHCP Server, Identd Proxy, DHCP Passthrough, DNS Forvarding, сборка фрагментированных пакетов с заданием MTU и MSS, пингование заданного хоста с сигнализацией в случае его неответа, 10 предустановленных уровней безопасности и прочая, и прочая… При создании правил тоже можно задавать, например, размер пакета, TTL, TCP-флаги, ограничение полосы пропускания, приоритеты и так далее. Словом программа, мягко говоря, на большого любителя или владельца веб-сервера… Подробно тестировать его мы не решились, так как совершенно не имелось времени на тщательное изучение онлайновой документации, а без этого корректно настроить программу невозможно.
Tiny Firewall Pro 6.0.140
www.tinysoftware.com [17]
Протестировать один из самых удачных файерволлов нам, к большому сожалению, не удалось. После установки этой программы тестовая система прочно уходила в синий экран смерти и не возвращалась оттуда даже после полной очистки автозагрузки и отключения посторонних сервисов. Вернуть ее к жизни удалось только при помощи загрузки последней удачной конфигурации Windows XP и последующего удаления программы. Впрочем, файерволл этот достаточно популярен и альтернативным его можно уже и не считать. Эта программа, как и Kerio, и ZoneAlarm, заслуживает, пожалуй, отдельного разговора, подробно рассматривающего ее настройку — возможно, в одном из будущих номеров мы к ней еще вернемся.
Таблица. Возможности файерволлов
NIS 2004 Pro | Jetico Personal Firewall | Firewall X-treme | 8Signs Firewall | eXtendia PC Security | Zone Alarm Security Suite | Look’n’Stop | My Firewall Plus/ Sygate Personal Firewall Pro | Kaspersky Anti-Hacker | Agnitum Outpost | Kerio WinRoute Firewall | Kerio Personal Firewall | PC-cillin Internet Security | McAfee Personal Firewall Plus | BlackICE | Securepoint Personal Firewall | |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Сетевые параметры | ||||||||||||||||
Trusted/Restricted Zone | + | + | +/? | /+ | − | + | − | +/? | − | +/? | +/? | +/? | + (можно задавать период действия правила) | +/? | = | |
Автоматическое определение сети, создание разных правил для разных сетей | + | − | − (Можно разделять правила по зонам: локальная и интернет) | Разделение правил по сетевым адаптерам, можно создавать группы IP, MAC и портов | − | + (имеется поддержка ICS/NAT и VPN) | + (автоматическое определение адаптера) | + (Разделение правил по адаптерам) | − | − | + | − | + (автоматический выбор профиля) | + | − | = |
Протоколы | TCP, UDP, ICMP (не привязан к программам) | Local sockets, TCP/IP, Arpanet, PUP, MIT CHAOS, XEROX NS, IPX, NBS, ECMA, Datakit, CCITT, IBM CNA, DECnet, Direct data link, DEC LAT, NSC Hyperchannel, AppleTalk, NetBIOS, 802.2, OSI TSAP, NET/ONE, Banyan VINES, NetBIOS Extensions, IPv6, Unicode NetBIOS | Нет данных (судя по всему – только TCP) | TCP, UDP, ICMP, ARP, RARP, в дополнительных настройках 131 протокол, блокировка неизвестных | TCP, UDP | TCP, UDP, ICMP, IGMP | TCP, UDP, ICMP, ARP, IGMP, 47-GRE, 50-SIPP-ESP | TCP, UDP, ICMP, IP Type, ALL | TCP, UDP, ICMP, другие IP-протоколы | TCP, UDP, ICMP (не привязан к программам), в дополнительных настройках более 30 протоколов | TCP, UDP, ICMP | TCP, UDP, ICMP, IGMP | TCP, UDP, ICMP (не привязан к программам), «Любой» | TCP, UDP, ICMP | TCP, UDP, IP | Около 130 протоколов. |
Stealth-режим | + | + | + | + | + | + | + | + | + | + | − | + | + | + | − | − |
Удаленное администрирование | − | − | − | + | − | − | − | − | − | − | + | + | + | − | − | |
Контроль за программами | ||||||||||||||||
Режим обучения | + | + | + | + | + | + | + | + | + | + | − | + | + | + | + | + |
Готовые правила для известных программ | + | − | − | − | − | + | − | + | + | + | − | − | + | + | -(разрешен доступ в сеть для всех программ) | + |
Задание приоритета правил | + | + | − | + | − | + | + | + | + | + | + | + | + | − | − | + |
Шаблоны правил для неизвестных программ | − | Trusted, Restricted, WEB, Mail, FTP Client/Server, BitTorrent, System, можно добавлять свои | − | − | − | − | − | − | + (10 типов шаблонов) | + (9 шаблонов) | − | − | − | − | − | − |
Редактирование созданных правил | + | + | + (крайне примитивное) | + | − | + | + | + | + | + | + | + | + | − | + | + |
Набор системных правил | + | + | + (но нигде не отображается) | + | + (примитивный) | + | + | + | + | + (есть функция кэширования DNS) | + | + | + | + | + | + |
Правила для известных троянов | + | − | − | − | − | − | − | − | − | − | − | − | − | − | − | − |
Хэширование или проверка контрольной сумы файлов программ | + | + | − | − | + | + | + | + | + | + | − | + | − | + | + | + |
Возможно указать в правилах | Permit/Block/Monitor To/From/To and From Computers/Adapters TCP/UDP/TCP+UDP Порт, диапазон Local/Remote Протоколирование, оповещение Название правила Приоритет правила | Название Выбор шаблона правила Уровень протоколирования Событие: any, inbound, outbound, listening port, receive/send/listening datagrams, access to network Протокол Порт, диапазон, Address type Local/Remote и так далее | Разрешить/ Блкировать/ Спрашивать Зона: Интернет или локальная Разрешать ли работу в Restricted-режиме | Время действия | Только имя файла приложения | Можно создавать группы адресов, задавать время работы групп. | Помимо стандартных адресов, портов, протоколов, можно задвать флаги TCP-пакетов | Доверенные IP для программы, разрешен или запрещен ICMP, время действия правила, работает или нет при запуске скринсейвера | Минимум настроек – протокол, порты, удаленный адрес. | Можно указать интервал времени, включить динамическую фильтрацию, отключить контроль компонентов. Может блокировать весь трафик при запуске скринсейвера или при простое ПК | Можно указать пользователей, параметры трансляции NAT, период действия правила. | Можно задавать группы IP | Можно задать типы соединений broadcast и multicast, в осталном – только минимум парамтров | Кране примитивные правила – можно только указать файл программы и тип соединения- исходящее или исходящие+входящие. | Полноценные правила не привязаны к программам, можно указать период действия | Для программ только разрешить-запретить доступ |
Loader control | + | + | − | − | − | + (есть правила для законных программ) | − | − | − | − | − | + | − | − | − | − |
DLL control | + | − | − | − | − | + (есть готовый список законных DLL) | − | + (а также контроль на уровне драйверов) | − | + (а также контроль rawsockets) | − | − | − | − | − | + |
Сетевые атаки | ||||||||||||||||
Детектор атак | + (можно выбирать сигнатуры атак) | − | − | Только SYN Flood и PortScan | − | − | − (имеются предустановленные правила для блокировки нескольких типов атак) | + (распознается несколько типов атак) | + (10 типов атак) | + (16 атак, можно указывать особо важные порты) | + (встроенный механизм anti-spoofing) | + (неплохой механизм) | − | + | + | − |
Автоблокировка атакующего | + (можно отключать мониторинг заданных IP) | − | − | + | − | − | − | + | + | + (можно блокировать всю подсеть, делать исключения) | − | − | − | − | + | − |
Блокировка IGMP | + | + | − | + | − | + | + | − | − | + | − | + | − | − | − | + |
Блокировка фрагментированных пакетов | + | + | − | + | − | + | − | − | − | − | − | − | − | − | − | − |
Контроль MAC-адресов | − | − | − | + | − | − | − | + | − | − | + | − | − | − | − | − |
Фильтрация содержимого | ||||||||||||||||
Фильтрация для всех сайтов / создание исключений | + / + | − | − | + / − | − | + | − | − | − | +/ для доверенных сайтов можно только полностью отключить блокировку рекламы | + (предусмотрена фильтрация FTP-трафика, можно задавать время действия правила) | + | + (применительно к «родителскому контролю») | − | − | − |
Блокировка рекламы по маске | + | − | − | + | − | − | − | − | − | + | + | + | − | − | − | − |
Блокировка рекламы по размеру | + (не настраивается) | − | − | − | − | + | − | − | − | + | − | − | − | − | − | − |
Блокировка pop-up | + | − | + (в том числе – Windows Messenger) | − | + (в том числе – Windows Messenger) | + | − | − | − | + | + | + | − | − | − | − |
Блокировка GIF-анимации | + | − | − | − | + (вся графика) | + | − | − | − | + | − | − | − | − | − | − |
Блокировка Flash | + | − | + | − | − | − | − | − | − | + | − | − | − | − | − | − |
Возможность указания фильтруемых HTTP-портов | + | − | − | + (можно фильтровать HTTP-методы, а также расширения файлов) | − | − | − | − | − | − (активные элементы фильтруются в web, почте и usenet) | − | − | − | − | − | − |
Блокировка JAVA-апплетов | + | − | − | − | + | + | − | − | − | + | + | − | − | − | − | − |
Блокировка скриптов | + | − | − | − | + (JAVA) | + (есть блокировка mime-types integrated objects) | − | − | − | + | + | + | − | − | − | − |
Блокировка ActtiveX | + | − | − | − | + | + | − | − | − | + (имеется блокировка внешних объектов и скрытых фреймов) | + | + | − | − | − | − |
Privacy control | ||||||||||||||||
Блокировка cookies | + | − | − | − | − | + | − | − | − | + | − | + (три режима) | − | − | − | − |
Блокировка Referrers | + | − | − | − | − | − | − | − | − | + | + | + | − | − | − | − |
Блокировка информации о браузере | + | − | − | − | − | − (указана блокировка web-bugs и private headers – IP, имени ПК, логина и т. п.) | − | − | − | − | − | − | − | − | − | − |
Контроль за утечкой приватных данных | + (контролируются WEB, Instant messaging, e-mail, можно отключать HTTPS) | − | + | − | − | + (отличный механизм, контролируются WEB, Instant messaging, e-mail, можно задавать исключения) | − | − | − | − | − | + | + (контролируются WEB, Instant messaging, e-mail, можно задавать сайты-исключения) | − | − | − |
Протоколирование | ||||||||||||||||
Заблокированный контент | + | − | − | − | − | − | − | − | − | + | + | + | + | − | − | − |
Соединения | + | − | − | + | − | + | + | + | + | + | + | + | + | + | − | + |
Срабатывание правил | + | − | − | − | − | + | − | + | + | + | + | + | + | − | − | + |
Детектор атак | + | + | − | + | − | − | − | + | + | + | + | + | − | + | + | − |
Блокировка приватных данных | + | − | − | − | − | − | − | − | − | − | − | + | + | − | − | − |
Web history | + | − | − | − | − | − | − | − | − | + (только домены) | + | − | − | − | − | − |
Мониторинг открытых портов | + | + | − | + | − | − | − | − | + | + | − | + | − | + | − | − |
Другое | Протоколируются 11 параметров, ведется обширная статистика. Можно получать подробные данные об атакующем | Минимум статистики | Отображается только блокировка соединений и активность основных приложений | Отображаются заблокированные и пропущенные пакеты | Текстовый лог, отображает создание правила, можно вывести снимок текущего сетевого статуса | Основной лог текстовый, есть динамический, но предоставляет недостаточно информации. Большинство данных во всплывающих окнах. | Трудночитаемый лог | Четыре неплохих протокола: security, system, traffic, packet. Поддерживается фильтрация по дням.и типам событий | Приятные и понятнее протоколы | Превосходный отлично читаемый протокол – более 30 позиций, задание фильтров | Мощнейший механизм протоколирования и статистики, 11 основных разделов) | Не самый удобный протокол | Досточно понятные протоколы, 9 типов. | Статистика по каждой из программ, можно получать подробные данные об атакующем | Акцент в протоколах и статистике на обнаруженных атаках | Трудночитаемый лог |
Прочее | ||||||||||||||||
Плагины | − | + | − | + | − | − | + | − | − | + | − | − | − | − | − | − |
Сохранение и экспорт настроек | + | + | − | + | − | + | + | − | − | + | − | + | − | − | − | − |
Защита паролем | + (все настройки в реестре зашифрованы) | − | + | + | + | + | + | + | − | + | + | + | + | − | − | + |
Учетные записи | + | − | + | − | − | − | − | − | − | − | + (продвинутый механизм, может интегрироваться с ActiveDirectory) | − | − | − | − | − |
Родительский контроль | + (на уровне сайтов и типов программ) | − | − | − | − | + | − | − | − | + (блокировка сайтов по адресу и ключевым словам) | + (фильтрация контента по адресу и ключевым словам) | − | + | − | − | − |
Автообновление | + | − | − | − | − | + | + | + | − | + | + | + | + | − | + | − |
Spam-фильтр | + | − | − | − | − | + | − | − | − | − (есть блокировка опасных вложений) | − (есть блокировка опасных вложений) | − | + | − | − | − |
Антивирус | + | − | − | − | − | + | − | − | − | − | + | − | + | − | − | − |
Проверка в боевых условиях
В последнее время стало модным судить о качестве файерволла с помощью нескольких специальных тестов, демонстрирующих известные механизмы обхода брандмауэра. Любопытства ради мы тоже провели такой тест, при этом постарались настроить файерволлы на максимум защиты. В какой-то мере полученные результаты действительно могут говорить о надежности той или иной программы, но зацикливаться на одном-двух проваленных тестах мы бы категорически не рекомендовали. Дело в том, что задача выявления вредоносных программ, модифицирующих, например, область памяти Internet Explorer, это скорее задача антивируса. Конечно, хорошо если файерволл не пропустит наружу самый изощренный троян, тем не менее, полноценно бороться с ними можно только комплексом мер, куда в обязательном порядке должен входить антивирус — его постоянно обновляемые базы способны гораздо более гибко реагировать на подобные угрозы.
Но даже если файерволл и обнаружит, скажем, попытку выхода в сеть неизвестной DLL-библиотеки, то как определить, законный ли это плагин или новая spyware? Реально пользователь может заблокировать библиотеку только в «лабораторных» условиях, в случае все тех же тестов: запустил PCAudit — полезла в сеть какая-то библиотека, значит это эксплоит. При обычном же серфинге в сеть выходят сотни законных DLL, и если в десятке программ пользователь еще может разобраться, кого пускать, а кого — блокировать (да и то системные процессы многих ставят в тупик), то в случае с полчищем DLL это просто нереально. Проверили мы работу файерволлов и с помощью известного онлайн-теста Shields UP! (www.grc.com) — тут положительные результаты обозначают прежде всего невидимость вашего ПК извне, что важно, но опять-таки не критично.
Короче говоря, выводы можно сделать такие:
- обязательно включайте в файерволле мониторинг приложений, запускающих другие программы;
- если готовы периодически просматривать огромный список DLL, выходящих в сеть — флаг вам в руки;
- не используйте файерволл, который даже не отслеживает изменение файлов программы (то есть не хэширует файл и не проверяет контрольную сумму);
- работая в Сети, не выключайте антивирус.
Таблица. Проверка эксплоитами (антивирусная составляющая отключена)
NIS 2004 | Jetico Personal Firewall | Firewall X-treme | 8Signs Firewall | eXtendia PC Security | Zone Alarm Security Suite | Look’n’Stop | My Firewall Plus/ Sygate Personal Firewall Pro | Kaspersky Anti-Hacker | Agnitum Outpost | Kerio WinRoute Firewall | PC-cillin Internet Security | McAfee Personal Firewall Plus | Kerio Personal Firewall | BlackICE (режим Nervous) | Securepoint Personal Firewall | |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
CopyCat | − | + (запись в память) | − | − | − | + (обнаружен запуск loader) | − | ? | − | − (атака фиксируется, но иногда срабатывает) | − | + (обнаружен запуск программы, к которой прицепляется эксплоит) | − | − | − | − |
DNSTest | + (приглашение блокировать exe) | − | − | − | + (обнаружен запуск exe) | + (обнаружен запуск exe) | − | ? | − | − | − | − | − | − | − | − |
FireHole | + (приглашение блокировать лянчер и DLL) | + (запуск exe, запись в память, внедрение кода) | − | + | − | + | − (файерволл увидел только запуск Internet Explorer) | ? | + | + | + | − (обнаружен запуск программы, к которой прицепляется эксплоит, но атака состоялась) | + | + (информация о файле эксплоита и о программе, к которой он цепляется) | + | + (обнаружен запуск программы, к которой прицепляется эксплоит) |
Ghost | + (приглашение блокировать лянчер) | + (обнаруживается запуск exe) | − | − | + | + (обнаружена новая DLL) | − | ? | − | − | − | − | − | + (информация о файле эксплоита и о программе, к которой он цепляется) | − | − |
LeakTest | + (приглашение блокировать exe) | + (обнаруживается запуск exe) | − | − | + | + | + | ? | + | + | − | − | + | + | + | − |
OutBound | + (приглашение блокировать лянчер) | − | − | − | + | + | − | ? | − | − | − | − | − | + (информация о файле эксплоита и о программе, к которой он цепляется) | − | − |
PCAudit2 | + (приглашение блокировать DLL) | + (system hook) | − (файерволл видит только запуск легитимных программ) | − | − | + | − | ? | − | − (DLL фиксируется, но данные не блокируются) | − | − | − | − (зафиксирован запуск программы, к которой прицепляется эксплоит, но атака состоялась) | − | + |
PCAudit | + (приглашение блокировать DLL) | + (system hook) | + (однако файерволл увидел только запуск explorer.exe) | − | − | + | − | ? | − | + (фиксируется DLL) | − | − | − | − | − | + |
Surfer | + (приглашение блокировать лянчер) | + (обнаруживается запуск exe) | − | − | − | + (обнаруживается запуск exe) | + (приглашение блокировать лянчер) | ? | − | + (фиксируется скрытый процесс) | − | − | + (программа обнаружила только запуск программы, к которой присосался эксплоит) | + (информация о файле эксплоита и о программе, к которой он цепляется) | − | + |
Thermite | + (приглашение блокировать DLL) | + (обнаруживается запись в память) | Тест не прошел | Тест не прошел | Тест не прошел | + (обнаруживается воздействие на другие программы) | Тест не прошел | ? | Тест не прошел | Тест не прошел | Тест не прошел | Тест не прошел | Тест не прошел | − | Тест не прошел | + |
TooLeaky | + (приглашение блокировать лянчер) | − | − | − | − | + | − | ? | − | − | − | − | − | + (информация о файле эксплоита и о программе, к которой он цепляется) | − | − |
WallBreaker 4.0 | + (приглашение блокировать лянчер и DLL) | + (запуск exe) | − | − | + | + | − | ? | − | − | − | − | − | + (информация о файле эксплоита и о программе, к которой он цепляется) | − | − |
AWFT | +/− (не пройдены 2 теста, в пройденных приглашение блокировать лянчер и DLL) | + | − (не пройден ни один тест — программа видела только подключения explorer.exe, законной программы) | − | Эксплоит не смог корректно отработать ни один тест. | + | − (заблокирован только один тест из шести) | ? | − | + | − | − | − | − (фиксируется в лучшем случае запуск Internet Explorer) | − | +/− (заблокировано три атаки из шести) |
Yalta | − (выявляется exe, но до создания правила блокировки пропускает сообщения) | + (запуск exe) | − | − | + | − (программа обнаруживается, но не блокируется) | + (запуск exe) | − | − (запуск exe выявляется, но сообщения проходят) | − (выявляется exe, но до создания правила блокировки пропускает сообщения) | − | − | + (обнаружен троян) | − (запуск exe выявляется, но сообщения проходят) | − | − (выявляется exe, но до создания правила блокировки пропускает сообщения) |
Shields UP! | + | + | + | + | + | + | + | ? | + | + | − | + | + | + | − | − |