![]() |
|
... Не секрет, что первым рубежом — огненной стеной, защищающей систему от вторжения извне и от последующей "злоактивности" изнутри, является файрволл. От выбора последнего зависит ни много ни мало — почти все: взломают вашу систему или нет:). В рамках данной статьи мы попытаемся выяснить, какому из популярных в настоящее время файрволлов можно доверить безопасность нашей системы. Особый акцент будет сделан на объективных "за" и "против", ведь не секрет, что идеального продукта нет в принципе. Мы не будем распыляться на бессмысленном тестировании каждого из нижеперечисленных продуктов с указанием самого стильного GUI и количества кнопок:), а сразу же остановимся на двух несомненных лидерах — Zone Alarm Firewall и Agnitum Outpost Firewall, заслуживающих пристальное внимание среди IT-специалистов и обычных пользователей. ZoneAlarm Итак, встречайте: наш первый герой — ZoneAlarm — не побоюсь этого слова, знаменитый файрволл, отмеченный наградами таких авторитетных изданий, как PC World, PC Magazine и др. ZoneAlarm является брандмауэром, оптимизированным для использования на домашнем компьютере или рабочем месте в организации. На основании выбранного уровня безопасности (Internet/Trusted Zone) он блокирует или разрешает установление определенных соединений с локальной сетью и Интернетом, предупреждает о попытках установить несанкционированные соединения и блокирует их. Краткое описание. ZoneAlarm (следут также упомянуть платную версию файрволла ZoneAlarm Pro, отличающуюся от бесплатной наличием модуля Antispyware и доработанными модулями MailSafe и Programm control) содержит: собственно сам файрволл, имеющий достаточно удобный инструмент для того, чтобы в один момент обрубить всю сетевую активность (красная кнопка), модуль контроля сетевой активности программ, содержащий "грозный замок", инструменты для установления уровней безопасности и зон безопасности, функцию MailSafe для проверки аттачментов к почтовым сообщениям, а также модуль контроля состояния антивирусного ПО. В ZoneAlarm предусмотрен режим работы Stealth, позволяющий оставаться невидимым из Сети (одним из таких инструментов невидимости является запрет на ICMP-эхо-ответ). ![]() Попытки "вылазки" новых приложений в Сеть регистрируются мгновенно, при этом пользователю предлагается более чем простой выбор: либо разрешить доступ, либо нет. Все "алерты" неизвестной сетевой активности будут понятны даже самым неопытным пользователям — еще бы, ведь окно предлагает всего два выбора: открыть соединение или отказаться от него. К тому же, подобные сообщения имеют в своем составе вариант: хотите ли вы, чтобы программа запомнила этот ваш выбор на будущее? Все без исключения обращения к Сети протоколируются, даже при условии, что вывод информационных сообщений отключен. Настройки. Настройки программы рассчитаны даже на неопытного пользователя: ![]() Agnitum Outpost Firewall ![]() Ну что ж, достаточно недурно. Однако, как вы увидите позже, ликтесты отнюдь не являются показателем того, что файрволл действительно лучший. Блокировка попыток получения контроля над другим приложением, внедрения компонентов, контроля окон приложения, запуска приложения с параметрами командной строки, — все из перечисленных технологий являются попыткой достойно ответить на эволюционирующие виды вредоносного ПО (руткиты, трояны с функциями внедрения в уже работающие приложения и процессы). Однако я все же не могу не сказать, что все эти новомодные технологии при определенных условиях абсолютно бесполезны — от старого доброго bat (format d:/y) они все равно не спасут;). Новый анализатор сигнатур spyware обеспечивает еще более качественное обнаружение вредоносного ПО для улучшения защиты пользователей от всех известных, а также модифицированных и самых новых версий вредоносных программ. Для получения более качественных результатов сканирования spyware-сканер наряду с построением контрольных сумм по целому файлу имеет возможность детектировать вредоносное ПО по неизменяемой уникальной части файла. Ну что ж, очень даже неплохо. В описании подразумевается использование как сигнатурного, так и поиска по контрольной сумме файла (получается этакий гибрид между обычным антивирусом-полифагом и ревизором). Outpost Firewall использует новую процедуру проверки на основе Secure Hash Algorithm (SHA) 256 для определения приложений во время автоматического создания правил сетевого доступа через ImproveNet. Это позволяет Outpost Firewall Pro гораздо более точно определять приложения, а следовательно, создавать и распространять оптимальные наборы правил. Данный алгоритм заменяет старый, обычно используемый, алгоритм MD5, который можно обойти с помощью недавно обнаруженных хакерских методик, что, естественно, существенно снижает его возможности по защите компьютеров пользователей. Вышеописанные технологии призваны предотвратить случаи, когда spyware пытается выйти в Сеть, маскируясь под доверенное приложение — например, Internet Explorer. В основе такой защиты стоит криптографическая подпись, создаваемая файрволлом для каждого отдельного приложения, формируя таким образом уникальный PID — гарант того, что данная программа является тем, за кого себя выдает. Outpost Firewall существенно облегчает создание наиболее безопасной конфигурации, предоставляя возможность использовать макроопределения в правилах для приложений и глобальных правилах. Макроопределения могут быть использованы, например, для обозначения локальной сети как LOCAL_NETWORK или всех DNS-серверов просто как DNS_SERVERS. Это дает продвинутым пользователям возможность быстро настраивать правила для их внутренних соединений, а также некоторых служб Windows (например, DNS). В Outpost Firewall также есть специально разработанный Игровой режим, который позволяет не отвлекать пользователя и не прерывать его во время игры и при этом защищает систему во время игр или просмотра фильмов в сети. В этом режиме защита действует, не надоедая при этом пользователю многочисленными окнами и предупреждениями. Для тех, кто хочет уменьшить количество запросов от программы, но при этом иметь полный контроль, Outpost Firewall Pro предлагает Низкий уровень Контроля компонентов, который предупреждает не о каждом измененном или добавленном компоненте приложения, а только об исполняемых файлах. Наконец, Outpost Firewall Pro представляет новый режим внутренней защиты. С включенной внутренней защитой программа предотвращает попытки вирусов, троянов и шпионского ПО завершить работу брандмауэра. Outpost Firewall обнаруживает и предотвращает все попытки имитации нажатия клавиш пользователем, которые могут привести к приостановке работы брандмауэра. Он также отслеживает изменение своих собственных компонентов на жестком диске, значений реестра, состояние памяти, запущенные службы и т.д. и блокирует любые изменения, предпринятые вредоносными приложениями. Leak-тест ![]() ![]() В данном случае Ghost эмулирует отправку http-запросов на удаленный url-адрес, скрывая факт отправки как таковой. ![]() Самое интересное, пожалуй, то, что по результатам вышеописанного теста (см. таблицу 1) наши претенденты на звание лучшего файрволла не занимают ни первого, ни второго места… Парадокс?.. Удивляться не стоит! Во-первых, это один из возможных тестов. Во-вторых, априорное лидерство наших героев проверено, как говорится, огнем и медными трубами, не одним поколением интернет-пользователей и добрым десятком тестовых лабораторий. Поэтому все догадки по этому поводу с успехом подойдут к заключениям типа "Совершенных продуктов нет и не может быть". Исходя из полученных результатов тестирования очевидно, что Zone Alarm впереди Outpost Firewall. Это в равной степени относится как к платным версиям обоих продуктов (ZoneAlarm Pro — 8600 баллов против Outpost Firewall PRO — 6550 баллов), так и к бесплатным (ZoneAlarm Free — 1550 баллов против Outpost Firewall Free 1000 баллов).
Можно ли данные результаты считать неким эпикризом, ставящим все точки над "i"? Наверное, нет. Из собственного опыта могу с уверенностью заявить, что Zone Alarm действительно является лучшим файрволлом. Тому многочисленные подтверждения его работы в реальных "боевых" условиях: исследования самописных троянов, пробивающих при обычных условиях буквально все, что похоже на межсетевой экран, эксплоиты, хитро выгружающие огненную стену (один из таких в качестве горячего примера ниже): Просто выгружаем файрволлл (на примере более ранней версии Agnitum): set WShell = CreateObject("WScript.Shell") WShell.Exec "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe" WScript.Sleep 200 WShell.AppActivate "Agnitum", TRUE WScript.Sleep 100 WShell.SendKeys "{F10}{DOWN}{UP}{ENTER}" WScript.Sleep 100 WShell.SendKeys "{ENTER}" ![]() ![]() Эпикриз Оба продукта можно по праву считать настоящими монстрами среди межсетевых экранов пользовательского уровня. Файрволлы идут рука об руку и находятся приблизительно на одном уровне. Я бы с удовольствием присудил боевую ничью, но правила есть правила: должен победить сильнейший. Итак, окончательный подсчет баллов: ZoneAlarm . Результаты ликтестов — 5 из 5. . Простота настроек и использования — 5 из 5. . Гибкость настроек и общий функционал — 4 балла. . Стабильность работы и требовательность системных ресурсов — 5 из 5. Agnitum Outpost Firewall . Результаты ликтестов — 4 из 5. . Простота настроек и использования — 4 из 5. . Гибкость настроек и общий функционал — 5 баллов. . Стабильность работы и требовательность к системным ресурсам — 4 из 5. 19 против 17 — поздравляем нашего победителя — ZoneAlarm firewall! Олег Бойцев, Security-expert, boytsev_om@mail.ru © Компьютерная газета
|
|