...
...

Какой файрволл лучше? Битва титанов

Не секрет, что первым рубежом — огненной стеной, защищающей систему от вторжения извне и от последующей "злоактивности" изнутри, является файрволл. От выбора последнего зависит ни много ни мало — почти все: взломают вашу систему или нет:). В рамках данной статьи мы попытаемся выяснить, какому из популярных в настоящее время файрволлов можно доверить безопасность нашей системы. Особый акцент будет сделан на объективных "за" и "против", ведь не секрет, что идеального продукта нет в принципе. Мы не будем распыляться на бессмысленном тестировании каждого из нижеперечисленных продуктов с указанием самого стильного GUI и количества кнопок:), а сразу же остановимся на двух несомненных лидерах — Zone Alarm Firewall и Agnitum Outpost Firewall, заслуживающих пристальное внимание среди IT-специалистов и обычных пользователей.

ZoneAlarm


Итак, встречайте: наш первый герой — ZoneAlarm — не побоюсь этого слова, знаменитый файрволл, отмеченный наградами таких авторитетных изданий, как PC World, PC Magazine и др. ZoneAlarm является брандмауэром, оптимизированным для использования на домашнем компьютере или рабочем месте в организации. На основании выбранного уровня безопасности (Internet/Trusted Zone) он блокирует или разрешает установление определенных соединений с локальной сетью и Интернетом, предупреждает о попытках установить несанкционированные соединения и блокирует их.

Краткое описание. ZoneAlarm (следут также упомянуть платную версию файрволла ZoneAlarm Pro, отличающуюся от бесплатной наличием модуля Antispyware и доработанными модулями MailSafe и Programm control) содержит: собственно сам файрволл, имеющий достаточно удобный инструмент для того, чтобы в один момент обрубить всю сетевую активность (красная кнопка), модуль контроля сетевой активности программ, содержащий "грозный замок", инструменты для установления уровней безопасности и зон безопасности, функцию MailSafe для проверки аттачментов к почтовым сообщениям, а также модуль контроля состояния антивирусного ПО. В ZoneAlarm предусмотрен режим работы Stealth, позволяющий оставаться невидимым из Сети (одним из таких инструментов невидимости является запрет на ICMP-эхо-ответ).

Программа проста в установке. В принципе, установив все по дефолту, можно говорить, что настройки закончены. В случае же, если ваш ПК подключен к локальной сети, придется немного повозиться, иначе простая попытка зайти на вашу расшаренную папку закончится уведомлением типа: "Блокирована атака"… По умолчанию стоит высший уровень защищенности для Интернета (Internet Zone Security) и средний для локальной сети (Trusted Zone Security). Т.н. Stealth mode, который является наивысшим уровнем безопасности для любой из перечисленных зон, как уже следует из названия, призван обеспечить невидимый режим, подразумевающий защиту от хакеров (хотя, как мне лично кажется, никакая подобная кнопка — даже такая, как "Hidden and protected from hackers" — все равно не спасет…) Каждому приложению на компьютере можно разрешить или запретить обращаться к локальной сети и сети Интернет.

Попытки "вылазки" новых приложений в Сеть регистрируются мгновенно, при этом пользователю предлагается более чем простой выбор: либо разрешить доступ, либо нет. Все "алерты" неизвестной сетевой активности будут понятны даже самым неопытным пользователям — еще бы, ведь окно предлагает всего два выбора: открыть соединение или отказаться от него. К тому же, подобные сообщения имеют в своем составе вариант: хотите ли вы, чтобы программа запомнила этот ваш выбор на будущее? Все без исключения обращения к Сети протоколируются, даже при условии, что вывод информационных сообщений отключен.
Настройки. Настройки программы рассчитаны даже на неопытного пользователя:

В отличие от других аналогичных файрволлов, в ZoneAlarm используется более простой подход управления — пользователь выбирает нужный ему "уровень безопасности" для работы в Интернет и для локальной сети. На основе этого выбора ZoneAlarm самостоятельно определяет правила работы. Интересной особенностью программы, пожалуй, можно считать возможность блокирования доступа в Сеть, используя всего одну кнопку(!). Пожалуй, одной из интереснейших особенностей ZoneAlarm можно считать криптографическую подпись для доверенных приложений. Именно благодаря данной функции все попытки т.н. маскировки одних программ под другие (а именно так часто и действуют трояны) сводятся на нет. Ну что ж, описание действительно заставляет задуматься: за интуитивно простым интерфейсом ZoneAlarm кроется "грозный страж" с достаточно качественно написанным ядром и оригинальным алгоритмом inbound/outbound-контроля. Ко всему прочему, действия пользователя в случае атаки извне сведены к минимуму — достаточно нажать на красную кнопку…

Agnitum Outpost Firewall

Итак, давайте посмотрим, чем же так хорош наш второй герой — Agnitum Outpost Firewall Pro (в данном случае мы рассматриваем версию 4.0; ввиду многочисленности настроек ограничимся лишь описанием ключевых особенностей работы; в ходе описания я буду комментировать некоторые моменты, дабы их смысл оказался максимально понятным широкому кругу читателей). Outpost Firewall обеспечивает проактивную защиту, блокирующую все известные на сегодняшний день методики обхода безопасности (ликтесты), таким образом, полностью предотвращая утечку важных данных с компьютеров пользователей. Новый Контроль Anti-Leak объединяет технологии Контроля скрытых процессов и Контроля памяти процессов, доступные в предыдущих версиях, и предоставляет набор дополнительных возможностей — таких, как блокировка попыток получения контроля над другим приложением, внедрения компонентов, контроля окон приложения, запуска приложения с параметрами командной строки и другие.
Ну что ж, достаточно недурно. Однако, как вы увидите позже, ликтесты отнюдь не являются показателем того, что файрволл действительно лучший. Блокировка попыток получения контроля над другим приложением, внедрения компонентов, контроля окон приложения, запуска приложения с параметрами командной строки, — все из перечисленных технологий являются попыткой достойно ответить на эволюционирующие виды вредоносного ПО (руткиты, трояны с функциями внедрения в уже работающие приложения и процессы). Однако я все же не могу не сказать, что все эти новомодные технологии при определенных условиях абсолютно бесполезны — от старого доброго bat (format d:/y) они все равно не спасут;).

Новый анализатор сигнатур spyware обеспечивает еще более качественное обнаружение вредоносного ПО для улучшения защиты пользователей от всех известных, а также модифицированных и самых новых версий вредоносных программ. Для получения более качественных результатов сканирования spyware-сканер наряду с построением контрольных сумм по целому файлу имеет возможность детектировать вредоносное ПО по неизменяемой уникальной части файла. Ну что ж, очень даже неплохо. В описании подразумевается использование как сигнатурного, так и поиска по контрольной сумме файла (получается этакий гибрид между обычным антивирусом-полифагом и ревизором). Outpost Firewall использует новую процедуру проверки на основе Secure Hash Algorithm (SHA) 256 для определения приложений во время автоматического создания правил сетевого доступа через ImproveNet. Это позволяет Outpost Firewall Pro гораздо более точно определять приложения, а следовательно, создавать и распространять оптимальные наборы правил. Данный алгоритм заменяет старый, обычно используемый, алгоритм MD5, который можно обойти с помощью недавно обнаруженных хакерских методик, что, естественно, существенно снижает его возможности по защите компьютеров пользователей.

Вышеописанные технологии призваны предотвратить случаи, когда spyware пытается выйти в Сеть, маскируясь под доверенное приложение — например, Internet Explorer. В основе такой защиты стоит криптографическая подпись, создаваемая файрволлом для каждого отдельного приложения, формируя таким образом уникальный PID — гарант того, что данная программа является тем, за кого себя выдает. Outpost Firewall существенно облегчает создание наиболее безопасной конфигурации, предоставляя возможность использовать макроопределения в правилах для приложений и глобальных правилах. Макроопределения могут быть использованы, например, для обозначения локальной сети как LOCAL_NETWORK или всех DNS-серверов просто как DNS_SERVERS. Это дает продвинутым пользователям возможность быстро настраивать правила для их внутренних соединений, а также некоторых служб Windows (например, DNS). В Outpost Firewall также есть специально разработанный Игровой режим, который позволяет не отвлекать пользователя и не прерывать его во время игры и при этом защищает систему во время игр или просмотра фильмов в сети. В этом режиме защита действует, не надоедая при этом пользователю многочисленными окнами и предупреждениями. Для тех, кто хочет уменьшить количество запросов от программы, но при этом иметь полный контроль, Outpost Firewall Pro предлагает Низкий уровень Контроля компонентов, который предупреждает не о каждом измененном или добавленном компоненте приложения, а только об исполняемых файлах. Наконец, Outpost Firewall Pro представляет новый режим внутренней защиты. С включенной внутренней защитой программа предотвращает попытки вирусов, троянов и шпионского ПО завершить работу брандмауэра. Outpost Firewall обнаруживает и предотвращает все попытки имитации нажатия клавиш пользователем, которые могут привести к приостановке работы брандмауэра. Он также отслеживает изменение своих собственных компонентов на жестком диске, значений реестра, состояние памяти, запущенные службы и т.д. и блокирует любые изменения, предпринятые вредоносными приложениями.

Leak-тест

Посмотрим, что собой представляют программы в авторитетных тестах. В качестве контрольного теста мы воспользуемся результатами т.н. Leak- теста (от английского "просачиваться", "утекать"). Сейчас я поясню его основные принципы. В основе данного теста лежит использование outbound- эмуляторов, позволяющих сымитировать работающих троянов, пытающихся что-либо передать в Сеть. В качестве примера можно привести следующие тест- системы:

Принцип работы данной тест-системы заключается в создании туннеля через открытый 80-й порт. Таким образом, эмулируется тот случай, когда троян маскируется за счет работы в уже открытом и доверенном в настройках 80-го порта.

В данном случае Ghost эмулирует отправку http-запросов на удаленный url-адрес, скрывая факт отправки как таковой.

Некоторые из подобных эмуляторов распознаются антивирусом как самые настоящие эксплоиты;).

Самое интересное, пожалуй, то, что по результатам вышеописанного теста (см. таблицу 1) наши претенденты на звание лучшего файрволла не занимают ни первого, ни второго места… Парадокс?.. Удивляться не стоит! Во-первых, это один из возможных тестов. Во-вторых, априорное лидерство наших героев проверено, как говорится, огнем и медными трубами, не одним поколением интернет-пользователей и добрым десятком тестовых лабораторий. Поэтому все догадки по этому поводу с успехом подойдут к заключениям типа "Совершенных продуктов нет и не может быть". Исходя из полученных результатов тестирования очевидно, что Zone Alarm впереди Outpost Firewall. Это в равной степени относится как к платным версиям обоих продуктов (ZoneAlarm Pro — 8600 баллов против Outpost Firewall PRO — 6550 баллов), так и к бесплатным (ZoneAlarm Free — 1550 баллов против Outpost Firewall Free 1000 баллов).


ПродуктОценка продуктаУровень защиты-Anti-leak
Comodo Firewall Pro 2.4.16.174FREE9475превосходно
Jetico Personal Firewall 2.0.0.28 beta9375превосходно
ZoneAlarm Pro 7.0.337.0008600очень хорошо
System Safety Monitor 2.4.0.617 beta7975очень хорошо
Kaspersky Internet Security 6.0.2.6147950очень хорошо
Jetico Personal Firewall 1.0.1.61 FreewareFREE7750очень хорошо
Privatefirewall 5.0.8.117625очень хорошо
Ghost Security Suite [BETA] 1.1107500очень хорошо
Trend Micro PC-cillin Internet Security 2007 15.00.13297500очень хорошо
Dynamic Security Agent 1.0.8.8FREE7375хорошо
F-Secure Internet Security 2007 7.01.1286625хорошо
Outpost Firewall PRO 4.0 (1007.591.145)6550хорошо
Lavasoft Personal Firewall 1.0.543.5722 (433)6500хорошо
BlackICE PC Protection 3.6.cpv5750удовлетворительно
Sunbelt Kerio Personal Firewall 4.3.6355200удовлетворительно
Look 'n' Stop 2.05p24800удовлетворительно
Norton Personal Firewall 2006 9.1.0.334600удовлетворительно
Safety.Net 3.61.0002FREE4000удовлетворительно
Avira Premium Security Suite 7 build 982450плохо
SensiveGuard 1.06FREE2350плохо
Sygate Personal Firewall 5.6.2808FREE2350плохо
McAfee Internet Security Suite 2006 8.02325плохо
Blink Personal Edition 3.0.8.1496FREE2250плохо
ZoneAlarm Free 7.0.302.000FREE1500плохо
CA Personal Firewall 2007 3.0.0.1961000тест не пройден
Outpost Firewall Free 1.0.1817.1645FREE1000тест не пройден
Norman Personal Firewall 1.42750тест не пройден
BitDefender Internet Security 10.108750тест не пройден
Panda Antivirus + Firewall 2007 6.00.00650тест не пройден
Ashampoo FireWall Pro 1.14500тест не пройден
Filseclab Personal Firewall 3.0.0.8686FREE500тест не пройден
AVG Anti-Virus plus Firewall 7.5.431500тест не пройден
Windows Firewall XP SP2FREE0тест не пройден


Можно ли данные результаты считать неким эпикризом, ставящим все точки над "i"? Наверное, нет. Из собственного опыта могу с уверенностью заявить, что Zone Alarm действительно является лучшим файрволлом. Тому многочисленные подтверждения его работы в реальных "боевых" условиях: исследования самописных троянов, пробивающих при обычных условиях буквально все, что похоже на межсетевой экран, эксплоиты, хитро выгружающие огненную стену (один из таких в качестве горячего примера ниже):
Просто выгружаем файрволлл (на примере более ранней версии Agnitum):

set WShell = CreateObject("WScript.Shell")
WShell.Exec "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe"
WScript.Sleep 200
WShell.AppActivate "Agnitum", TRUE
WScript.Sleep 100
WShell.SendKeys "{F10}{DOWN}{UP}{ENTER}"
WScript.Sleep 100
WShell.SendKeys "{ENTER}"

И, наконец, пакетные тесты — результаты которых с известной долей вероятности указывают на добротность межсетевого экрана. А если ко всему вышеперечисленному еще добавить простоту настройки и использования, то выбор файрволла, казалось бы, становится ну совсем уж очевидным — Zone Alarm. Но не все так уж просто, как кажется на первый взгляд. Во-первых, хотелось бы предостеречь любителей совершенных продуктов: 100% защиты нет и не будет, более того, результаты любых тестов в известной мере субъективны, особенно если данные тесты проводятся с нарушением регламента и стандартов, основываясь лишь на узкий круг инструментов, имеющихся в тестовой лаборатории. Это отнюдь не намек, а трезвая мысль о том, что в конечном счете выбор между двумя продуктами — дело пользователя, тем более, что оба они находятся приблизительно на одном уровне. На обывательском уровне, не вдаваясь в алгоритмы работы ядра каждого из наших претендентов на звание лучшего файрволла, категоричности нет вообще. Посудите сами. Да, ZoneAlarm более прост в настройке, и результаты Leak-тестов говорят в пользу ZA, но не будем забывать про то, что Leak-тест — это всего лишь проверка файрволла на способность контролировать исходящий трафик (outbound). Было бы достаточно опрометчиво оценивать межсетевой экран исключительно по одной из характеристик, пусть даже и ключевой. Необходимо учесть и тот факт, что Outpost Firewall в своем составе содержит достаточно неплохой набор модулей: AntiSpyware, DNS, Детектор атак, Контроль интерактивных элементов и рекламы, Контроль содержимого и фильтрация почтовых сообщений, делающий его более функциональным:

Особого внимания на фоне Zone Alarm заслуживает AntiSpyware-модуль, всеобъемлюще контролирующий пути проникновения и области рисков. Да, Zone Alarm Pro содержит аналогичный модуль, но он все же уступает своего коллеге в Agnitum по гибкости настройки.

Эпикриз

Оба продукта можно по праву считать настоящими монстрами среди межсетевых экранов пользовательского уровня. Файрволлы идут рука об руку и находятся приблизительно на одном уровне. Я бы с удовольствием присудил боевую ничью, но правила есть правила: должен победить сильнейший. Итак, окончательный подсчет баллов:

ZoneAlarm
. Результаты ликтестов — 5 из 5.
. Простота настроек и использования — 5 из 5.
. Гибкость настроек и общий функционал — 4 балла.
. Стабильность работы и требовательность системных ресурсов — 5 из 5.

Agnitum Outpost Firewall
. Результаты ликтестов — 4 из 5.
. Простота настроек и использования — 4 из 5.
. Гибкость настроек и общий функционал — 5 баллов.
. Стабильность работы и требовательность к системным ресурсам — 4 из 5.

19 против 17 — поздравляем нашего победителя — ZoneAlarm firewall!

Олег Бойцев, Security-expert, boytsev_om@mail.ru

© Компьютерная газета

полезные ссылки
IP камеры видеонаблюдения