Обзоры
За огненной стеной: обзор персональных брандмауэров
14

За огненной стеной: обзор персональных брандмауэров

Для начала стоит сказать несколько слов о предмете нашего анализа. Итак, брандмауэры,
или файрволлы (firewalls), — это программные комплексы, главным заданием которых
является фильтрация входящего и исходящего трафика, а также блокирование несанкционированного
доступа из Сети к вашему ПК. Несмотря на общую идейную направленность этих программ,
механизм их действия, а главное — эффективность работы, могут существенно отличаться.
И если со стандартными операциями большинство файрволлов справляется на "отлично",
то с более изощренными хакерскими трюками у многих из них возникают значительные
проблемы. Причем, судя по последнему тестированию специалистами известного сайта
PCFlank.com, посвященного сетевой безопасности, счет пока явно не в пользу брандмауэров.
Тем не менее в настоящее время ситуация значительно улучшилась, и вашему вниманию
предлагается обзор наиболее достойных программ этой категории.

Leak tests. Что это такое и как с ним бороться?

Leak tests (переводится как "тесты на непроницаемость") — это специальные программы, большинство из которых действуют по принципу троянских коней, пытаясь отправить информацию с ПК пользователя на удаленный компьютер, обходя все фильтры файрволла. Естественно, ценность программы, пропускающей их, "успешно" близится к нулю, несмотря на все остальные свои достоинства. Все leak-тесты созданы крупными специалистами по сетевой безопасности для демонстрации уязвимости/защищенности брандмауэров, тем самым стимулируя их разработчиков к более интенсивной работе над своими детищами. И хотя пока еще не было сообщений о хакерских атаках с помощью подобных механизмов, вопрос о реальной безопасности пользователя Сети до сих пор остается открытым.

Наиболее популярные leak-тесты

LeakTest
www.grc.com/lt/leaktest.htm

"Прадедушка" всех подобных программ; действует по принципу замены "добропорядочных" приложений на одноименную вредоносную программу. Некоторые файрволлы пропускают таких "незваных гостей" со всеми привилегиями исходной программы (например, броузера). Новые версии большинства брандмауэров уже успешно борются с этим багом, проверяя контрольные суммы "безопасных" программ и предупреждая пользователя об обнаружении неодинаковой копии приложения.

TooLeaky
www.tooleaky.
zensoft.com

Использует для своих целей скрытое окно системного броузера, которое невидимо для пользователя и потому не может быть закрыто им "вручную". Таким образом злоумышленник имеет возможность получить какую угодно информацию с зараженного компьютера.

FireHole
www.keir.net/firehole.html

Действует более сложно, нежели LeakTest и TooLeaky. Он загружает свою dll-библиотеку, которая и запускается с любой "честной" программой и таким образом обходит файрволл.

pcAudit
www.pcinternet
patrol.com

Программа производит внедрение своего кода в dll-файл другой разрешенной программы, тем самым прячась от файрволла. Некоторые брандмауэры не контролируют активность таких приложений и поэтому не "засекают" вредоносные dll.

CopyCat
mc.webm.ru/copycat.exe

Отечественная разработка (что ни говори, а своих "левшей" в любой области у нас всегда хватало), использующая совершенно новую тактику обхода брандмауэра, внося себя в адресное пространство допущенного им процесса. Ни один файрволл пока не смог блокировать ее.

Более детальную информацию смотрите на www.pcflank.com


Agnitum Outpost Pro 2.0

Agnitum Outpost Pro 2.0 
Shareware (30 дней trial,
регистрация для жителей СНГ– 499 руб.)
Разработчик Agnitum Limited
Web-сайт www.agnitum.com

Размер загружаемого файла 5,32 MB
URLwww.agnitum.com/download/
OutpostProInstall.exeа

Лучший персональный файрволл,
который к тому же стоит значительно меньше своих конкурентов
 +   Высокая функциональность;
разумная цена; блокирование почти всех leak-тестов
 –   Существенных недостатков нет
 !   Лучший из имеющихся персональных
брандмауэров

Несомненный лидер среди семейства персональных
брандмауэров недавно еще раз блестяще подтвердил свою репутацию, победив со значительным
отрывом в очередном тестировании РCflank. Из главных достоинств Outpost следует
отметить его тонкую интеграцию с ОС Windows, позволяющую контролировать все сетевые
процессы. После установки программа по умолчанию работает в режиме "обучения",
разрешая пользователю создавать правила для запуска тех или иных программ, запрашивающих
доступ в Сеть. Впрочем, для наиболее популярного ПО правила конфигурируются автоматически,
да вот только список его мог бы быть и длиннее. Отлично реализовано и блокирование
запрещенного контента: баннеров, всплывающих окон, flash-анимации, а также ActiveX-компонентов,
сookies и Java-апплетов. Причем, в отличие от ZoneAlarm, которая тоже умеет "глушить"
рекламу, задержки в отображении Web-страниц нет вообще.

Нельзя не отметить и удобный журнал событий Outpost с широкими возможностями по
сортировке информации и созданию разнообразных фильтров. Кстати, Outpost — первый
файрволл для ОС Windows, разработанный по принципу открытой архитектуры. Поддержка
сторонних плагинов позволяет легко приспосабливать брандмауэр к своим нуждам,
а при желании — и самому вносить лепту в его развитие. И хотя пока плагинов немного,
перспективы очень обнадеживающие. Наибольший интерес представляет модуль WhoEasy,
разработанный специалистами сайта www.pcflank.com.
Он определяет по ІР-адресу всю возможную информацию о домене, провайдере и даже
его адрес. В некоторых случаях эта функция оказывается действительно полезной.

Но все это, по большому счету, не так уж и принципиально и в той или иной мере реализовано в большинстве персональных брандмауэров. Гораздо важнее тот факт, что Outpost — единственный (не считая с некоторыми оговорками Look’n’Stop) файрволл, который успешно пресекает почти все leak tests (см. врезку). Именно это и является реальной демонстрацией возможностей брандмауэра, и Outpost, несомненно, достоин высшей оценки. Тем более приятно, что программа создана экс-советскими программистами, интуитивно понятна и предлагается для нас по очень привлекательной цене. Однозначный "Выбор редакции"!

Look’n’Stop 2.04

Look’n’Stop 2.04 
Shareware (30 дней
trial, регистрация — $39)
Разработчик Soft4Ever
Web-сайт www.looknstop.com/en

Размер загружаемого файла 432 KB
URL www.looknstop.com/En/LooknStop_
Setup_204.exe

 +   Маленький размер;
высокая эффективность работы; минимальная ресурсоемкость
 –   Не контролирует приходящие
по почте файлы; отсутствуют функции по блокировке Web-рекламы
 !   Очень интересная разработка;
хороший выбор для слабых компьютеров

Достойный конкурент Outpost; к сожалению,
малопопулярный среди пользователей. Не хватая с неба звезд, он, тем не менее,
обладает рядом уникальных возможностей. Look’n’Stop занимает предельно мало
места, поглощает минимум системных ресурсов и в то же время эффективно защищает
ПК от внешних и внутренних атак (т. е. от трояноподобных программ и прочего
spyware). Программа осуществляет двухуровневый контроль сетевой активности:
первым является сетевой уровень, где она анализирует все исходящие и входящие
пакеты, а второй — уровень приложений, требующих выхода в Internet. Именно
качественно сделанный модуль Application Filtering и обеспечивает стабильно
высокие результаты утилиты в тестах брандмауэров. Естественно, поддерживаются
и другие типичные для программ этого рода функции вроде сокрытия ІР и портов
компьютера, чтобы сделать ПК невидимым для хакера, истории событий и др.

К минусам программы стоит отнести отсутствие функций по блокированию рекламы
и прочих нежелательных компонентов Web-страниц да ее неказистый внешний
вид, но они не настолько существенны, чтобы хоть как-то перевесить все ее
достоинства. В конце концов, для борьбы с баннерами и всплывающими окнами
вполне сойдет любая надстройка над IE с модулем блокировки нежелательного
контента наподобие Avant Browser (см. на диске). Ну а файрволл — это как
раз тот случай, когда все нужные и ненужные "рюшечки" просто неуместны…

ZoneAlarm Pro 4.0

ZoneAlarm Pro 4.0  
Shareware (30 дней trial,
регистрация — $49,99)
Разработчик Zone Labs Inc.
Web-сайт www.zonelabs.com
Размер загружаемого файла 3,84 MB
URL download.zonelabs.com/bin/free/
1043_zl/zapSetup_40_146_029.exe
Программа обладает великолепным
интерфейсом и не вызовет никаких затруднений даже у новичка, но с
эффективностью, к сожалению, не сложилось
 +   Интуитивно понятный
интерфейс; легкость конфигурирования
 –   Иногда значительно замедляет
загрузку Web-страниц; для максимально эффективной работы необходима
дополнительная настройка программы
 !   “Домашний” файрволл

Пожалуй, ZoneAlarm — один из самых распространенных
файрволлов в мире. И это не удивительно, ибо интерфейс программы настолько интуитивно
понятен, что с ней справится даже ребенок. Более того, в процессе установки автоматически
запускается обучение, в котором пользователю в легкой и ненавязчивой форме объясняются
основные пути проникновения вредоносной информации на ПК и каким образом ZoneAlarm
препятствует этому. Условно механизмы защиты можно разделить на 5 частей: Firewall
protection (анализ и контроль трафика), Program Control (разрешение/запрет на
доступ в сеть программам), E-mail Protection (контроль за присоединенными файлами
в почте), а также Cookie Protection и Web Filtering (блокирование баннеров, cookies,
ActiveX-компонентов и пр.). К сожалению, опция по блокированию баннеров имеет
серьезный недостаток — иногда она приводит к значительной задержке при отображении
Web-страниц, но такова уж плата за отсутствие рекламы… Но самый обидный недостаток
ZoneAlarm в том, что по умолчанию она справляется лишь с половиной leak tests,
и для более эффективной работы ее следует дополнительно настроить. Казалось бы,
сделать надо всего ничего — включить пункт Advanced Application Control в разделе
Program Control (либо же установить ползунок в режим High), но осуществить это
сможет лишь мало-мальски знающий человек, в остальных же случаях программа не
обеспечит адекватной защиты ПК.

Norton Internet Security 2004


Для компании Symantec осень уже традиционно
является порой обновления своей линейки программных продуктов. Не стал исключением
и Norton Personal Firewall, доступный как в виде отдельного приложения, так и
в составе Norton Internet Security 2004 вместе с Norton Antivirus 2004, "родительским"
пакетом Norton parental control и с новой программой для фильтрации и обнаружения
спама Norton Antispam 2004. Так как нас интересует именно комплексная защита
ПК, то мы решили остановиться именно на NIS 2004.

Norton Internet Security 2004 
Shareware (15 дней trial,
регистрация — $69,95)
Разработчик Symantec Corporation
Web-сайт www.symantec.com
Размер загружаемого файла 34,2 MB
URL cdrom.digitalriver.com/pub/
symantec/2004/NIS2004.exe
Это не просто файрволл,
а целый программный комплекс обеспечения безопасности вашего ПК. К
сожалению, не самый эффективный
 +   Программный комплекс
для тотальной защиты ПК
 –   Большие размер и ресурсоемкость;
эффективность защиты против leak-тестов оставляет желать лучшего
 !   Крепкий “середнячок”, который
после доработки вполне может претендовать на лавры лидера

Сначала пару слов о других компонентах. NAV 2004 представлять, думаю, не стоит — это один из лучших антивирусов, хотя и "славящийся" высокой ресурсоемкостью. Norton parental control позволяет ограничить круг Web-ресурсов и используемых ими программ (броузера, коммуникаторов или онлайновых игр), например для ребенка, что избавит родителей от лишней головной боли. Norton Antispam — весьма эффективная утилита для фильтрации спама, к сожалению, работающая только в Outlook и Еudora. Здесь и "черные" и "белые" списки адресатов, и создание правил для опознания соответствующего письма как рекламного — в общем, все необходимое для борьбы со спамом.

Теперь о Norton Firewall 2004. Формально все в нем выполнено на высшем уровне — тонкий контроль за ПО и трафиком. До мельчайших деталей продуманы все нюансы работы программ — использование указанных протоколов и портов, через которые разрешен доступ, даже привязка соединений только к специфическим сетевым адаптерам (если в ПК их несколько). Хорошо реализована и функция для работы в локальной сети ("белый и черный" списки), а также модуль блокирования рекламы и всплывающих окон. Тем более поражает уязвимость Norton Firewall к большинству leak-тестов, что кажется просто невероятным для компании, чьей "визитной карточкой" является высокое качество программных продуктов. Конечно, по сравнению с предыдущей версией NPF 2004 заметно изменился в лучшую сторону, но этого все равно недостаточно для эффективной борьбы с подобными трюками.

Таким образом, остается лишь констатировать, что далеко не всегда бренд и цена являются синонимами качества…

Kerio Personal Firewall 4.06

Kerio Personal Firewall 4.06 
Freeware (полная версия
— $39)
Разработчик Kerio Technologies
Web-сайт www.kerio.com
Размер
загружаемого файла 4,61 MB
URL download.kerio.com/dwn/kpf/kerio-pf-4.0.6-en-win.exe
Основное достоинство Kerio
— наличие бесплатной базовой версии программы
 +   Бесплатный; реализован
базовый набор функций
 –   Низкий уровень защищенности от
leak-тестов
 !   Неплохой бесплатный брандмауэр
для дома

Главной особенностью данного файрволла,
выгодно отличающей его от других подобных программ, является наличие полнофункциональной
бесплатной версии, что не может не радовать. Конечно, у ZoneAlarm или Outpost
тоже имеются бесплатные "братья меньшие", но их разработка давно прекращена
и они уже не могут обеспечивать эффективной защиты ПК.

Возможности Kerio Personal Firewall типичны для утилит этой категории: мониторинг сетевого трафика и контроль запуска Internet-приложений. Ну а для самых уязвимых приложений вроде броузера, коммуникатора или почтового клиента можно дополнительно указать те порты, через которые разрешен доступ, а также используемые протоколы и направление обмена данных с Сетью. Кроме того, присутствует детектор атак, журнал событий наряду с модулем блокировки рекламы и фильтрации содержимого Web-страниц. Последняя опция, кстати, не работает в бесплатной версии, и, по большему счету, это ее единственный недостаток как для домашнего пользователя. В общем, очень неплохо, если бы не слабая защищенность программы от многих leak-тестов, которая хоть и не хуже, чем у Norton Personal Firewall и предыдущего релиза 2.1.5, но все равно не позволяет рекомендовать ее как универсальный способ защиты от сетевых атак. Впрочем, вряд ли такая панацея будет когда-либо в принципе создана…

Заключение

Как видите, спектр персональных брандмауэров более чем широк, да вот действительно эффективных среди них до обидного мало. Наиболее оптимальным нам представляется Agnitum Outpost 2, который и получает вполне заслуженный "Выбор редакции". Если же используемый вами файрволл не был описан в этой статье, вы всегда сможете проверить защищенность своего ПК с помощью стандартных leak-тестов, благо методика тестирования проста до примитивизма.


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: