Для начала стоит сказать несколько слов о предмете нашего анализа. Итак, брандмауэры,
или файрволлы (firewalls), — это программные комплексы, главным заданием которых
является фильтрация входящего и исходящего трафика, а также блокирование несанкционированного
доступа из Сети к вашему ПК. Несмотря на общую идейную направленность этих программ,
механизм их действия, а главное — эффективность работы, могут существенно отличаться.
И если со стандартными операциями большинство файрволлов справляется на "отлично",
то с более изощренными хакерскими трюками у многих из них возникают значительные
проблемы. Причем, судя по последнему тестированию специалистами известного сайта
PCFlank.com, посвященного сетевой безопасности, счет пока явно не в пользу брандмауэров.
Тем не менее в настоящее время ситуация значительно улучшилась, и вашему вниманию
предлагается обзор наиболее достойных программ этой категории.
Leak tests. Что это такое и как с ним бороться?
Leak tests (переводится как "тесты на непроницаемость") — это специальные программы, большинство из которых действуют по принципу троянских коней, пытаясь отправить информацию с ПК пользователя на удаленный компьютер, обходя все фильтры файрволла. Естественно, ценность программы, пропускающей их, "успешно" близится к нулю, несмотря на все остальные свои достоинства. Все leak-тесты созданы крупными специалистами по сетевой безопасности для демонстрации уязвимости/защищенности брандмауэров, тем самым стимулируя их разработчиков к более интенсивной работе над своими детищами. И хотя пока еще не было сообщений о хакерских атаках с помощью подобных механизмов, вопрос о реальной безопасности пользователя Сети до сих пор остается открытым.
Наиболее популярные leak-тесты
LeakTest
www.grc.com/lt/leaktest.htm
"Прадедушка" всех подобных программ; действует по принципу замены "добропорядочных" приложений на одноименную вредоносную программу. Некоторые файрволлы пропускают таких "незваных гостей" со всеми привилегиями исходной программы (например, броузера). Новые версии большинства брандмауэров уже успешно борются с этим багом, проверяя контрольные суммы "безопасных" программ и предупреждая пользователя об обнаружении неодинаковой копии приложения.
TooLeaky
www.tooleaky.
zensoft.com
Использует для своих целей скрытое окно системного броузера, которое невидимо для пользователя и потому не может быть закрыто им "вручную". Таким образом злоумышленник имеет возможность получить какую угодно информацию с зараженного компьютера.
FireHole
www.keir.net/firehole.html
Действует более сложно, нежели LeakTest и TooLeaky. Он загружает свою dll-библиотеку, которая и запускается с любой "честной" программой и таким образом обходит файрволл.
pcAudit
www.pcinternet
patrol.com
Программа производит внедрение своего кода в dll-файл другой разрешенной программы, тем самым прячась от файрволла. Некоторые брандмауэры не контролируют активность таких приложений и поэтому не "засекают" вредоносные dll.
CopyCat
mc.webm.ru/copycat.exe
Отечественная разработка (что ни говори, а своих "левшей" в любой области у нас всегда хватало), использующая совершенно новую тактику обхода брандмауэра, внося себя в адресное пространство допущенного им процесса. Ни один файрволл пока не смог блокировать ее.
Более детальную информацию смотрите на www.pcflank.com
Agnitum Outpost Pro 2.0
|
Несомненный лидер среди семейства персональных
брандмауэров недавно еще раз блестяще подтвердил свою репутацию, победив со значительным
отрывом в очередном тестировании РCflank. Из главных достоинств Outpost следует
отметить его тонкую интеграцию с ОС Windows, позволяющую контролировать все сетевые
процессы. После установки программа по умолчанию работает в режиме "обучения",
разрешая пользователю создавать правила для запуска тех или иных программ, запрашивающих
доступ в Сеть. Впрочем, для наиболее популярного ПО правила конфигурируются автоматически,
да вот только список его мог бы быть и длиннее. Отлично реализовано и блокирование
запрещенного контента: баннеров, всплывающих окон, flash-анимации, а также ActiveX-компонентов,
сookies и Java-апплетов. Причем, в отличие от ZoneAlarm, которая тоже умеет "глушить"
рекламу, задержки в отображении Web-страниц нет вообще.
Нельзя не отметить и удобный журнал событий Outpost с широкими возможностями по
сортировке информации и созданию разнообразных фильтров. Кстати, Outpost — первый
файрволл для ОС Windows, разработанный по принципу открытой архитектуры. Поддержка
сторонних плагинов позволяет легко приспосабливать брандмауэр к своим нуждам,
а при желании — и самому вносить лепту в его развитие. И хотя пока плагинов немного,
перспективы очень обнадеживающие. Наибольший интерес представляет модуль WhoEasy,
разработанный специалистами сайта www.pcflank.com.
Он определяет по ІР-адресу всю возможную информацию о домене, провайдере и даже
его адрес. В некоторых случаях эта функция оказывается действительно полезной.
Но все это, по большому счету, не так уж и принципиально и в той или иной мере реализовано в большинстве персональных брандмауэров. Гораздо важнее тот факт, что Outpost — единственный (не считая с некоторыми оговорками Look’n’Stop) файрволл, который успешно пресекает почти все leak tests (см. врезку). Именно это и является реальной демонстрацией возможностей брандмауэра, и Outpost, несомненно, достоин высшей оценки. Тем более приятно, что программа создана экс-советскими программистами, интуитивно понятна и предлагается для нас по очень привлекательной цене. Однозначный "Выбор редакции"!
Look’n’Stop 2.04
Достойный конкурент Outpost; к сожалению, К минусам программы стоит отнести отсутствие функций по блокированию рекламы |
ZoneAlarm Pro 4.0
|
Пожалуй, ZoneAlarm — один из самых распространенных
файрволлов в мире. И это не удивительно, ибо интерфейс программы настолько интуитивно
понятен, что с ней справится даже ребенок. Более того, в процессе установки автоматически
запускается обучение, в котором пользователю в легкой и ненавязчивой форме объясняются
основные пути проникновения вредоносной информации на ПК и каким образом ZoneAlarm
препятствует этому. Условно механизмы защиты можно разделить на 5 частей: Firewall
protection (анализ и контроль трафика), Program Control (разрешение/запрет на
доступ в сеть программам), E-mail Protection (контроль за присоединенными файлами
в почте), а также Cookie Protection и Web Filtering (блокирование баннеров, cookies,
ActiveX-компонентов и пр.). К сожалению, опция по блокированию баннеров имеет
серьезный недостаток — иногда она приводит к значительной задержке при отображении
Web-страниц, но такова уж плата за отсутствие рекламы… Но самый обидный недостаток
ZoneAlarm в том, что по умолчанию она справляется лишь с половиной leak tests,
и для более эффективной работы ее следует дополнительно настроить. Казалось бы,
сделать надо всего ничего — включить пункт Advanced Application Control в разделе
Program Control (либо же установить ползунок в режим High), но осуществить это
сможет лишь мало-мальски знающий человек, в остальных же случаях программа не
обеспечит адекватной защиты ПК.
Norton Internet Security 2004
Для компании Symantec осень уже традиционно
является порой обновления своей линейки программных продуктов. Не стал исключением
и Norton Personal Firewall, доступный как в виде отдельного приложения, так и
в составе Norton Internet Security 2004 вместе с Norton Antivirus 2004, "родительским"
пакетом Norton parental control и с новой программой для фильтрации и обнаружения
спама Norton Antispam 2004. Так как нас интересует именно комплексная защита
ПК, то мы решили остановиться именно на NIS 2004.
|
Сначала пару слов о других компонентах. NAV 2004 представлять, думаю, не стоит — это один из лучших антивирусов, хотя и "славящийся" высокой ресурсоемкостью. Norton parental control позволяет ограничить круг Web-ресурсов и используемых ими программ (броузера, коммуникаторов или онлайновых игр), например для ребенка, что избавит родителей от лишней головной боли. Norton Antispam — весьма эффективная утилита для фильтрации спама, к сожалению, работающая только в Outlook и Еudora. Здесь и "черные" и "белые" списки адресатов, и создание правил для опознания соответствующего письма как рекламного — в общем, все необходимое для борьбы со спамом.
Теперь о Norton Firewall 2004. Формально все в нем выполнено на высшем уровне — тонкий контроль за ПО и трафиком. До мельчайших деталей продуманы все нюансы работы программ — использование указанных протоколов и портов, через которые разрешен доступ, даже привязка соединений только к специфическим сетевым адаптерам (если в ПК их несколько). Хорошо реализована и функция для работы в локальной сети ("белый и черный" списки), а также модуль блокирования рекламы и всплывающих окон. Тем более поражает уязвимость Norton Firewall к большинству leak-тестов, что кажется просто невероятным для компании, чьей "визитной карточкой" является высокое качество программных продуктов. Конечно, по сравнению с предыдущей версией NPF 2004 заметно изменился в лучшую сторону, но этого все равно недостаточно для эффективной борьбы с подобными трюками.
Таким образом, остается лишь констатировать, что далеко не всегда бренд и цена являются синонимами качества…
Kerio Personal Firewall 4.06
|
Главной особенностью данного файрволла,
выгодно отличающей его от других подобных программ, является наличие полнофункциональной
бесплатной версии, что не может не радовать. Конечно, у ZoneAlarm или Outpost
тоже имеются бесплатные "братья меньшие", но их разработка давно прекращена
и они уже не могут обеспечивать эффективной защиты ПК.
Возможности Kerio Personal Firewall типичны для утилит этой категории: мониторинг сетевого трафика и контроль запуска Internet-приложений. Ну а для самых уязвимых приложений вроде броузера, коммуникатора или почтового клиента можно дополнительно указать те порты, через которые разрешен доступ, а также используемые протоколы и направление обмена данных с Сетью. Кроме того, присутствует детектор атак, журнал событий наряду с модулем блокировки рекламы и фильтрации содержимого Web-страниц. Последняя опция, кстати, не работает в бесплатной версии, и, по большему счету, это ее единственный недостаток как для домашнего пользователя. В общем, очень неплохо, если бы не слабая защищенность программы от многих leak-тестов, которая хоть и не хуже, чем у Norton Personal Firewall и предыдущего релиза 2.1.5, но все равно не позволяет рекомендовать ее как универсальный способ защиты от сетевых атак. Впрочем, вряд ли такая панацея будет когда-либо в принципе создана…
Заключение
Как видите, спектр персональных брандмауэров более чем широк, да вот действительно эффективных среди них до обидного мало. Наиболее оптимальным нам представляется Agnitum Outpost 2, который и получает вполне заслуженный "Выбор редакции". Если же используемый вами файрволл не был описан в этой статье, вы всегда сможете проверить защищенность своего ПК с помощью стандартных leak-тестов, благо методика тестирования проста до примитивизма.