14 лет назад 29 апреля 2005 в 7:28 67

Если вы спросите в любой веб-конференции, какой файерволл выбрать, ответ будет весьма предсказуемым: в подавляющем большинстве случаев вам предложат Outpost, потому что он русский; NIS, потому что он как AtGuard и вообще – монстр; Kerio – “я попробовал, и мне понравилось”; и иногда – ZoneAlarm, потому что настраивать не надо. Мы провели грандиозный тест самых интересных файерволлов, дабы на деле выяснить, какому из них можно доверить защиту своего компьютера.

JETICO PERSONAL FIREWALL 1.0.1.53
www.jetico.com
При работе с этим бесплатным файерволлом сразу бросается в глаза перегруженность интерфейса, даже при попытке какой-то программы выйти в интернет появляется окно создания правила, в котором зачем-то указан длиннющий хэш файла (можно подумать, кому-то этот набор цифр что-то скажет). Если же вы решите не выбирать наобум готовый шаблон, а сразу создать правило, то будете шокированы явно избыточными настройками – одних протоколов вам будет предложено 25 штук.

Когда вы, как нормальный человек, выберите из списка TCP/IP, создадите правило и захотите его потом отредактировать, вам предложат еще кучу крайне запутанных настроек, разобраться в назначении которых невозможно даже после прочтения и понимания(!) инструкции. Нужно как минимум хорошо разбираться в работе Сети и сетевых протоколов (вы, например, понимаете, что такое send datagrams и TTL?).

Кстати, в этих самых настройках вы найдете еще море протоколов, начиная от ICMP и заканчивая IGMP, – “привязать” их к программам нельзя. Впрочем, набор готовых системных правил весьма велик, и может показаться, что вам не придется мучиться с вопросами вроде “что такое svchost и какое правило для него создавать”. Однако даже для этого компонента появляются предложения создать правила. Очень хорошо, что можно создавать новые шаблоны для разных типов программ – изначально выбор не богат.

В этом файерволле замечательно реализована защита против современных типов атаки троянами тех программ, которым разрешен выход в Сеть, – он умеет определять несанкционированную запись в память программы, внедрение в нее кода, запуск программы со скрытым окном, внедрение system-wide windows hook, модификацию дочерних процессов и низкоуровневый доступ к системной памяти. Причем если в подозрительных действиях программа заметит вполне легитимное приложение, то, создав обычное правило, вы сможете разрешить ему эту деятельность.

Вывод: очень мощный файерволл для тех, кто хорошо знает тонкости сетевых протоколов и желает потратить пару недель на изучение документации и привыкание к настройкам программы. Кстати, специалистам можно еще посоветовать обратить внимание на весьма специфичный продукт – QBIK NetPatrol (www.netpatrol.com) – систему обнаружения вторжений. Для бытового применения она не подходит, а администратор сети сможет найти в ней целый ряд интересных возможностей.

FIREWALL X-TREME B2004112511
www.stompsoft.com
Довольно незамысловатая программа, не позволяющая даже в малейшей мере детализировать правила для приложений – можно только все блокировать или все разрешить. Кроме того, файерволл допускает даже такой примитивный хакерский ход, как подмена файла программы – хэширование не производится. Но зато есть контроль над утечкой приватных данных. Stealth-режим хоть и не имеет кнопки включения, тем не менее работает нормально, а все попытки несанкционированного подключения или сканирования портов сопровождаются звуковым сигналом. Помимо поддержки учетных записей есть возможность задавать периоды времени, когда интернет доступен для пользователя.

8SIGNS FIREWALL 2.2.6
www.8signs.com
У этого файерволла неподходящая для обычного пользователя идеология – он никак не привязывает создаваемые правила к приложениям. Например, вы просто разрешаете всем программам работать в качестве веб-браузера по 80 порту. Соответственно, такой программой может оказаться и вирус. Но все же в ряде случаев этот принцип может быть удобным – например, на сервере домашней локалки, тем более что программа обладает механизмом удаленного администрирования, а также умеет “банить” адреса злоумышленников.

Имеется забавная функция-ловушка – Tarpits – при ее использовании ваш ПК примет входящее подключение, но никак не будет на него реагировать, напротив, станет игнорировать попытки отключения. Утверждается, что это создаст проблемы спамерам и тем, кто пытается вас сканировать. Есть и другие чисто профессиональные примочки (фильтрация HTTP, администрирование через Terminal services, управление через командную строку, поддержка VPN), позволяющие утверждать, что этот файерволл может оказаться очень интересным для администраторов небольших сетей при его установке, например, на шлюз. Для домашнего же использования он не предназначен. Кстати, если вам встретится программа VisNetic Firewall, знайте, что это тот же самый 8Signs Firewall, только с другим названием – отличий нам найти не удалось. А поиск сайта еще одной программы – ConSeal PC Firewall – также приводит на www.8signs.com.

EXTENDIA PC SECURITY 2.0.0.212
www.extendia.com
Крайне примитивная программа. Минимум возможностей, максимум простоты. Разобраться с этим брандмауэром сможет даже тот, кто ничего не понимает в работе Сети. Единственное, что требуется от пользователя – понимать, какой программе можно разрешать доступ в интернет, а какой – нет. При этом очень важно, что имеется функция хэширования файлов программ. То есть если вирус модифицирует хотя бы один байт в Internet Explorer, файерволл станет считать его уже новой программой и опять выдаст запрос – разрешить ли ему выход в Сеть. Сможет ли только пользователь, на которого рассчитана эта программа, понять, что это уже “не тот” IE?

ZONE ALARM SECURITY SUITE 5.5.062.000
www.zonelabs.com
Этот файерволл давно считается одним из самых удачных в особенности благодаря тому, что не вызывает сложностей в настройке у неподготовленного пользователя. И если раньше программа была несколько “чайниковской”, то сегодня это мощнейший комплекс с антивирусом, детектором атак, блокировкой рекламы и спама, защитой почты и IM-сообщений. Ряд настроек даже более гибкий, чем в NIS, в частности настройки блокировки cookies. Имеется и нетипичный для файерволла механизм автоматического удаления следов интернет-деятельности – очистки кэша браузера, cookies, истории открытых документов и так далее – порядка 20 позиций. Компонент ID Lock, отвечающий за предотвращение утечки приватной информации, также заслуживает всяческих похвал: в отличие от NIS здесь однажды введенные данные (например, пин-код) хэшируются и больше нигде не отображаются.

В NIS же злоумышленник может открыть окно файерволла и прочитать все то, что вы хотели скрыть. Здесь же можно создать список сайтов, на которые можно отправлять приватные данные. Не менее интересен компонент IM Security – он обеспечивает безопасность использования интернет-пейджера (четыре основных стандарта), блокируя получение потенциально опасных данных, таких как ссылки, аудио, видео, сообщения от лиц, не прописанных в контакт-листе. Умеет он и шифровать сообщения. А “Родительский контроль” вообще самообучаем и рейтингует все посещенные сайты, даже если их нет в базе данных программы.

Отлично организована и помощь пользователю – при появлении сообщений можно нажать кнопку More Info и узнать все подробности о заблокированной атаке на сайте разработчиков (что-то похожее есть и у NIS). Лог, правда, подкачал – это обычный текстовый файл, а потому на практике бесполезный. И еще один неприятный момент – при создании правила для программы Zone Alarm не отображает, какие порты он ей позволил использовать, какие адреса. Судя по всему, файерволл просто разрешает все соединения. Возможность конкретизировать правила есть, но далеко не самая удобная и слабее, чем в NIS. В общем и целом, очень достойная программа, имеющая серьезные возможности, особенно она подходит тем, кого пугают настройки NIS.

LOOK’N’STOP 2.05
www.looknstop.com/En
Файерволл, умудрившийся уместиться в 623-килобайтный дистрибутив. Его инсталляция прошла не очень гладко – драйверы программы не были сертифицированы под WindowsXP, а инсталлятор еще и завис. Тем не менее после перезагрузки все заработало нормально и даже по-русски. Возможности у программы под стать размеру – это просто голый файерволл, практически ничем функционально не выделяющийся, и порекомендовать его можно, пожалуй, только для установки на маломощные системы.

MY FIREWALL PLUS 5.0 B1117
www.webroot.com/
Эта программа на первый взгляд кажется примитивной, однако в глубине ее настроек можно найти целый ряд примечательных функций. Так, она позволяет привязывать правила к конкретному сетевому адаптеру, делать их зависимыми от активности пользователя – например, при запущенном скринсейвере правило работает, а при его отсутствии – нет. My Firewall Plus умеет работать с MAC-адресами и задавать для правил временные периоды их действия. Отлично реализован механизм детектирования атак – программа распознает даже такие специфические атаки, как MAC spoofing, IP spoofing, предотвращает определение типа вашей ОС, отслеживает атаки на драйверы и DLL.

Есть возможность отправки сообщений о зафиксированных атаках на e-mail администратора сети. И в общем, все было бы неплохо, если бы не одна мелочь – данный файерволл напрочь заблокировал интернет-соединение в нашем тесте, не помог даже его перевод в режим Allow all и выгрузка. В связи с этим тест эксплоитами не состоялся – корректно сработал только эксплоит Yalta.

SYGATE PERSONAL FIREWALL PRO 5.5.2637
www.sygate.com
В SPF прежде всего обращаешь внимание на доведенную до маразма детализацию информационных сообщений, возникающих в режиме обучения при попытке какой-то программы выйти в Сеть – помимо обычных данных отображается бинарный дамп пакета, контрольная сумма, значение TTL, флаги, длина заголовка и прочая муть. Но главный прикол заключается в том, что эта программа – почти абсолютный близнец вышеописанного My Firewall Plus, разница только в названии и нескольких значках. И этот файерволл точно так же отрубил тестовую машину от интернета. В связи с этим дальнейшие его испытания не проводились, и в итоговой таблице он разделил одну колонку с My Firewall Plus.

KASPERSKY ANTI-HACKER 1.7.130
www.kaspersky.com/
Довольно простой в работе и понимании российский файерволл. Естественно, обладает полностью русским интерфейсом, что очень важно для начинающих пользователей. Имеется набор системных правил, шаблоны правил для программ, доступ в локальную сеть настраивается автоматически и работает уже после установки программы – словом, сделано все, чтобы “чайник” не испытывал серьезных затруднений. Однако возможности программы очень скромны: например, при создании правила для программы нельзя задать несколько портов (выбор – либо один, либо диапазон портов), что очень неудобно.

KERIO WINROUTE FIREWALL 6.0.9
www.kerio.com
Еще один мощнейший файерволл, не отслеживающий сетевую активность приложений, но имеющий целый ряд функций и возможностей, которые на домашнем ПК излишни, но при установке программы на прокси-сервер окажутся незаменимы. Собственно, программа и является прокси-сервером с функциями файерволла и антивируса. Так, Kerio WinRoute Firewall поддерживает удаленное администрирование, причем для того чтобы получить доступ к его настройкам, даже при локальном входе придется “логиниться”.

Присутствуют учетные записи пользователей и групп пользователей, интегрированные с ActiveDirectory. Программа может работать как DHCP-сервер (в том числе для RAS-клиентов), сервер VPN, поддерживается технология NAT, DNS-форвардинг, фильтрация контента, можно составлять таблицу роутинга, задавать резервное соединение, по которому будет пускаться трафик в случае сбоя основного, и многое другое. Есть даже доступ к настройкам через веб-интерфейс и блокировка P2P-клиентов. Очень развита система статистики и протоколирования – гистограммы, графики и тому подобное – все для того, чтобы администратор сети в полной мере контролировал прокси-сервер. Короче говоря, отличная программа, но для обычных пользователей не предназначенная.

KERIO PERSONAL FIREWALL 4.1.2
www.kerio.com
Этот продукт рассчитан на простого пользователя и выглядит довольно удобным. Программа имеет несколько интересных моментов: режим шлюза, который рекомендуется использовать при совместном доступе в интернет, блокировку любой сетевой активности на этапах загрузки-выгрузки ОС, хороший детектор атак. Грамотно реализован механизм Loader Control – выдается подробнейшая информация как о программе, которую запускают, так и о самом лянчере. И хотя в остальном ничего примечательного, в целом – добротный, понятный продукт. Из недостатков можно отметить отсутствие шифровки приватных данных, вводимых в настройки программы, и чисто номинальный список ключевых слов компонента, отвечающего за блокировку рекламы.

TREND MICRO PC-CILLIN INTERNET SECURITY 2005 12.0.1244
www.trendmicro.com/en/home
Еще один пакет “все в одном”, включающий в себя файерволл, антивирус, антиспам, фильтр нежелательного контента. Программа рассчитана на неподготовленного пользователя, а потому, по дурной традиции, добираться до нормальных настроек приходится через бурелом “ламерских” кнопочек и движочков. При этом зачем-то прикручена функция удаленного управления другими ПК с такой же программой. Антивирус в целом неплохой, умеет выявлять, в том числе, и несколько типов adware/spyware, сканирует не только входящую-исходящую почту, но и ящики с веб-интерфейсом.

Антиспам – вещь в себе, имеет минимум настроек, позволяя лишь выбрать умозрительную степень фильтрации и задать разрешенные и заблокированные адреса. Интересный механизм защиты Wi-Fi-сети осуществляет периодический поиск новых подключившихся компьютеров и сигнализирует об этом пользователю. Плюс программа умеет выявлять уязвимые места вашей системы и предлагать установку патчей от Microsoft, дублируя в этом Windows Update. Приватные данные, которые вы вводите для предотвращения их утечки в Cеть, здесь, к сожалению, не шифруются и в настройках программы можно увидеть все, что вы хотели скрыть. Может работать через прокси-сервер.

MCAFEE PERSONAL FIREWALL PLUS 6.0.6014
www.mcafee.com/
Очень примитивная программа, обладающая довольно привлекательным интерфейсом. И это единственное, на что в ней можно обратить внимание. В частности, для программ нельзя хоть как-то уточнить правила, можно только указать, разрешен доступ в Сеть или нет. И все бы ничего, если бы программа, не давая пользователю гибких настроек, сама делала за него все, что нужно, но этого нет и в помине – у древнего AtGuard было гораздо больше возможностей. В общем, полный ноль, хоть и “Plus”.

InJoy Firewall 3.0
www.fx.dk/firewall
На этапе своей установки этот файерволл “радует” ничего не подозревающего юзера инсталляцией нескольких несертифицированных драйверов, предложением включить IP-форвардинг, актуальный для шлюза, а также драйверов PPTP/PPPoE. Перезагрузка не приносит хороших новостей – программа несет на себе печать “линуксоидности”. Как вам 26 ярлыков в меню “Пуск”? Ярлык на выход из программы, ярлык на каждый протокол, ярлык на перезагрузку сервера и так далее… Интерфейс столь же уродский: восемь не связанных между собой окон, приклеившихся к боковой панели, назначение которой именно в этом и заключается – не давать окнам расползаться по экрану, чтобы пользователь мог их одновременно перетаскивать с места на место.

Потом оказывается, что все эти окна чисто информационные – всякие там графики и логи (а можно вывести и еще с десяток таких же), а для настройки программы надо вызывать по очереди еще множество диалогов. Впрочем, настройки тоже не для простого смертного: поддержка NAT, VPN, PPTP/PPPoE, DHCP Server, Identd Proxy, DHCP Passthrough, DNS Forvarding, сборка фрагментированных пакетов с заданием MTU и MSS, пингование заданного хоста с сигнализацией в случае его неответа, десять предустановленных уровней безопасности и т. д. При создании правил тоже можно задавать, например, размер пакета, TTL, TCP-флаги, ограничение полосы пропускания, приоритеты и прочее. Словом, программа, мягко говоря, на большого любителя или владельца веб-сервера… Подробно тестировать его мы не решились, ввиду отсутствия времени на тщательное изучение онлайновой документации, а без этого корректно настроить программу невозможно.

BLACKICE PC PROTECTION 3.6 CNU
www.iss.net
Эта программа на этапе своей установки дает пользователю выбор: устанавливать контроль за приложениями или нет. Если вы выберите максимальную защиту, то есть решите отслеживать доступ программ в Сеть, то будьте готовы к довольно длительной процедуре сканирования диска в поисках известных программ. Идеология BlackICE основана на детектировании атак – именно эти функции в нем реализованы наиболее интересно. А вот контроль над приложениями далек от идеала – по сути, программа “ловит” только те приложения, которые на момент ее инсталляции отсутствовали на вашем ПК. Правила для программ тоже своеобразные – никаких портов и протоколов задать нельзя, но можно запретить запуск той или иной программы или заблокировать ей доступ в Сеть. Зато по атакам на ваш ПК вы получите полную информацию, а также автоматически заблокируете адрес злоумышленника. Таким образом, это не полноценный файерволл, а специфическая утилита для отслеживания и предотвращения атак на ваш ПК.

SECUREPOINT PERSONAL FIREWALL 3.6.11
www.securepoint.cc
В этом файерволле реализована функция, которая, по идее, должна быть в каждой подобной программе, а именно – переключение типа интерфейса простой/продвинутый. Таким образом, программой сможет пользоваться как начинающий, так и продвинутый пользователь. Настройки правил просты и содержат все, что нужно – протоколы (около 130!), адреса, порты. Плохо только, что в каждом правиле можно указать только один порт. И собственно правила можно создавать только системные – для программ возможен лишь режим разрешить/заблокировать, никаких подробностей задать не получится. Довольно странно реализован контроль над подменой программ – он дискретный во времени, и файерволл может заметить подмену уже после того, как троян оправит в Сеть все ваши пароли. Программа поддерживает VPN-соединение, как ни странно, имеет приличный набор готовых правил для сетевых игр, но на этом ее возможности и заканчиваются. Особенно же раздражает смесь немецкого и английского языка в интерфейсе программы.

Какие же можно сделать выводы на основании полученной нами таблицы о возможностях самых известных брандмауэров и удобстве работы с ними? Сразу несколько таких программ отлично подойдут неподготовленному пользователю, которому нужна приличная защита, но тяжко разбираться с тонкостями работы Сети. В этом случае мы бы посоветовали ZoneAlarm, который сегодня является одной из лучших программ такого рода. Чуть более продвинутый юзер, которому не нравятся Outpost и NIS, может обратить внимание, например, на Kerio, идеология которого, как нам показалось, несколько напоминает незабвенный AtGuard. Много интересных моментов ожидает и склонных поэкспериментировать админов – Jetico, Kerio WinRoute, а, может, InJoy не дадут им скучать. Хуже всего обстоят дела с теми, кто после AtGuard плавно перешел к использованию NIS – замены этой мощной программе они, скорее всего, не найдут. Так, ни у одного из протестированных брандмауэров не оказалось столь же удобного Log Viewer, отображающего даже все посещенные с ведома и без ведома пользователя URL.

Tiny Firewall Pro 6.0.140
www.tinysoftware.com
Протестировать один из самых удачных файерволлов нам, к большому сожалению, не удалось. После установки этой программы тестовая система прочно уходила в синий экран смерти и не возвращалась оттуда даже после полной очистки автозагрузки и отключения посторонних сервисов. Вернуть ее к жизни удалось только при помощи загрузки последней удачной конфигурации WindowsXP и последующего удаления программы. Впрочем, файерволл этот достаточно популярен и альтернативным его можно уже и не считать. Эта программа, как и Kerio, и ZoneAlarm, заслуживает, пожалуй, отдельного разговора, подробно рассматривающего ее настройку, – возможно, в одном из будущих номеров мы к ней еще вернемся.

Проверка в боевых условиях
В последнее время стало модно судить о качестве файерволла по нескольким специальным тестам, демонстрирующим известные механизмы обхода брандмауэра. Любопытства ради мы тоже провели такой тест, при этом постарались настроить файерволлы на максимум защиты. В какой-то мере полученные результаты действительно говорят о надежности той или иной программы, но зацикливаться на одном-двух проваленных тестах мы бы категорически не рекомендовали.

Дело в том, что задача выявления вредоносных программ, модифицирующих, например, область памяти Internet Explorer – это, скорее, задача антивируса. Конечно, хорошо если файерволл не пропустит наружу самый изощренный троян, тем не менее, полноценно бороться с ними можно только комплексом мер, куда в обязательном порядке должен входить антивирус – его постоянно обновляемые базы способны гораздо более гибко реагировать на подобные угрозы.

Но даже если файерволл и обнаружит, скажем, попытку выхода в Сеть неизвестной DLL-библиотеки, то как определить, законный ли это плагин или новая spyware? Реально пользователь может заблокировать библиотеку только в “лабораторных” условиях: запустил PCAudit – полезла в Сеть какая-то библиотека, значит, это эксплоит.

При обычном же серфинге в Сеть выходят сотни законных DLL, и если в десятке программ пользователь еще может разобраться, кого пускать, а кого блокировать (да и то системные процессы многих ставят в тупик), то в случае с полчищем DLL это просто нереально. Проверили мы работу файерволлов и с помощью известного онлайн-теста Shields UP! (www.grc.com) – тут положительные результаты означают, прежде всего, невидимость вашего ПК извне, что важно, но опять-таки не критично.

Выводы таковы:
– обязательно включайте в файерволле мониторинг приложений, запускающих другие программы;
– если вы готовы периодически просматривать огромный список DLL, выходящих в Сеть, – флаг вам в руки;
– не используйте файерволл, который даже не отслеживает изменение файлов программы (то есть не хэширует файл и не проверяет контрольную сумму);
– работая в Сети, не выключайте антивирус.