Защити себя сам - Firewall

В последнее время, число компьютеров подключаемых к Интернет резко возросло. Большинство пользователей работают с операционной системой Windows, перекладывая все возможные проблемы с безопасностью во время своего присутствия в Сети, на ее плечи.

Однако, как показывает практика, с вопросом безопасности у Microsoft, несмотря на все ее усилия, существуют немалые проблемы. Поэтому-то сейчас и выходит на первый план вопрос охраны личной информации пользователя сторонними средствами.

Сеть предоставляет прекрасные возможности для существования и размножения различного рода вредоносных программ: червей, вирусов, троянских коней. Кроме того, конечно, очень неприятна деятельность всплывающей рекламы и спама. Чего стоят, хотя бы, недавние последствия деятельности многострадального Blaster'a... И только благодаря отсутствию у автора этого вируса деструктивных помыслов, огромное количество людей кроме морального ущерба не получили более серьезных последствий, одним из самых страшных, конечно, могла бы быть потеря информации.

Однако, заражения можно было бы избежать при наличии программ, называемых firewall'ами (файервол), способными избавить пользователя от многих проблем, связанных с личной безопасностью. Эти программы позволяют пользователю самому определять, разрешать ли получение или, наоборот, отправку TCP/IP-пакетов с рабочего компьютера.

Можно настроить доступ к Интернет только разрешенным программам, например, Web-браузеру, клиенту электронной почты, менеджеру закачки, ICQ или IRC. Таким образом, другие программы, которые раньше могли самовольно принимать или пересылать данные на удаленный компьютер, не смогут произвести свои действия. Кроме того, файервол способен отслеживать доступ к машине через открытые порты.

Пользователь сам может настроить безопасные соединения, запрещая, таким образом, потенциально опасные. Безусловно, в эпоху информационного развития, класс таких программ пользуется огромной популярностью. И достойных продуктов на рынке немало. Сегодня мы попробуем проанализировать некоторые из наиболее распространенных файерволов, оценить их характеристики и возможности. Надеемся, наш обзор поможет вам сделать определенные выводы и верный выбор.

Итак, мы будем рассматривать следующие программы:

• McAfee Firewall 4.0
• Norton Personal Firewall 2003
• Outpost
• Sygate Pro's firewall
• ZoneAlarm Pro (3.5.169)

McAfee Firewall 4.0

Комментарий: McAfee Firewall 4.0 - легок в установке и использовании, После первоначального запуска файервола, "Помощник" помогает без особых проблем настроить программу.

После того, как файервол был установлен, он автоматически запускается в режиме "Стандартной безопасности", блокируя любой сомнительный траффик из Интернет и отмечая все это в журнале безопасности. Чтобы изменить режим, следует нажать правой клавишей мыши на иконку McAfee Firewall 4.0, выбрать "Personal Firewall", а затем выбрать "Set Security Level".

Окно программы состоит из верхнего меню и поля информации, где с левой стороны традиционно доступны элементы меню, а справа - их содержание.

McAfee Firewall 4.0 содержит следующие пункты меню: Summary (общая статистика, последние событие, последние новости), Internet Applications - программы, пытающиеся соединиться с Интернет, Inbound Events (входящие события, потенциально - попытки атаки), Utilities (дополнительные утилиты).

Из подменю в "Personal Firewall" можно также выбрать следующие:

• View Summary - просмотр общей полной статистики блокированного траффика и атак на компьютер
• View Applications - просмотр дозволенных и блокированных приложений, делавших попытку доступа к Интернет
• View Events - просмотр истории событий

В процессе работы, McAfee показал открытость 139 порта (NetBIOS) при всех сканированиях, оставляя, таким образом, машину уязвимой к исследованию программами ShieldsUP!, PC Flank, SMBDie и Retina. Хотя сканирование от NAT и попытки атаки от SMBDie были обнаружены и блокированы.

В целом, открытие 139 порта в настройках по умолчанию - плохая идея. Retina также нашла открытый 1025 порт (нужен для работы сетевой игры Windows XP Blackjack, но используемый тем не менее некоторым троянским коням).

Деятельность spyware (шпионского программного обеспечения) была обнаружена в приложениях SaveNow, Adware и Brilliant, однако, блокирование их деятельности было очень слабым, либо отсутствовало вовсе.

McAfee также позволяет браузеру собирать и пересылать cookies с потенциально личной информацией, нежелательной для огласки.

В целом, McAfee - легок в использовании, и является неплохой защитой от деятельности распространенных эксплоитов. Это хороший выбор для начинающих, которым сложно разбираться с тонкостями настройки программы, однако слишком упрощен и неполноценен для опытных пользователей.

К дополнительным возможностям программы можно отнести:

• Настраиваемые визуальные и звуковые предупреждения.
• Бесплатная техническая поддержка по электронной почте или в режиме реального времени (Chat).
• Автоматическое обновление через Интернет.

Norton Personal Firewall 2003

Комментарий: Norton Personal Firewall 2003 - достаточно прост для домашнего пользователя, обладая тем не менее необходимыми тонкими настройками для более опытных. При первом запуске программа открывает "Помощника", который помогает установить программу, проделав последующую его настройку, без каких-либо проблем. Подобно McAfee, NPF посматривает жесткий диск на приложения, работающие с Интернет, но в отличие от конкурента, может автоматически настраивать доступ.

Можно также назначить пароль для изменения настроек. К сожалению, "Помощник" не смог определить домашнюю сеть, сообщая о ненайденных адаптерах для настройки соединения с сетью. Тем не менее, несмотря на это сообщение, компьютер мог соединяться с Интернет, разделяя для удаленного использования также файлы и принтеры.

Все остальные установки производятся уже в процессе работы Norton Personal Firewall. На скриншоте показано основное окно программы, где основные настройки программы для пользователя осуществляются на уровне on-off (включено/выключено):

• защита компьютера от вторжений через Интернет (Security);
• защита данных от попыток несанкционированного доступа (Personal Firewall);
• обнаружение и отражение атак (Intrusion Detection);
• блокировка баннеров и рекламных блоков (Ad blocking).

Здесь же с помощью ползунка выставляется низкий, средний или высокий уровень защиты.

Верхнее пиктограммное меню программ позволяет выбирать между Монитором Защиты (Security Monitor), Блокированием Траффика (Block Traffic), Обновлением через Интернет (Live Update), и Настройками (Options). При необходимости одной кнопкой из главного окна можно заблокировать/разблокировать доступ в Интернет всех программ.

NPF - единственный файервол, который полностью предотвращает пересылку личной информации на удаленный компьютер. Он также обнаруживает и блокирует любую попытку атаки на машину. При сканировании каждый порт был закрыт от глаз хакера, cookies были блокированы. Отлично организована работа лог-файлов, предоставляющих детальную информацию и ясные объяснения и произошедших событиях. Эта информация в дальнейшем может помочь в идентификации атакующего.

Удобно небольшое функциональное окно, в котором появляется гистограмма текущего трафика, выводятся сообщения об атаках и доступны все основные функции программы.

В отличии от большинства других файерволов, которые лишь уведомляют об атаке, NTF позволяет оценить характер и серьезность угрозы и посоветовать выполнить необходимое действие. Подобный консультативный подход был внедрен также в определение работы spyware, хотя его блокирование было недостаточным хорошим, а временам и отсутствовало полностью.

OutPost

Комментарий: Создаваемый как самый "продвинутый" файервол для Windows (обладает огромным количеством настраиваемых опций), OutPost используется и дома, хотя и разработан преимущественно для технических специалистов.

При установке нет "Помощника" инсталляции и обучающей программы. Настройки для файервола предполагается загружать с официального сайта разработчика в Интернет, которые в дальнейшем могут быть дополнены опытными пользователями через встроенные средства программы. Назначение "Помощника" настройки весьма специфично: он не позволяет определять вам собственные настройки для файервола, давая лишь информацию по использованию продукта.

Окно программы состоит из верхнего меню, меню пиктограмм, куда вынесены наиболее необходимые функции и окна Соединения. Слева в этом окне находится меню, а справа - выводится информация по каждому пункту. У меню в окне Соединения 2 больших закладки: My Internet - статистика по соединению с Интернет, и Plug-Ins, подключаемые модули.

Среди которых, стоит отметить:

• ADS - модуль удаления рекламных блоков при отображении в браузере Web-сайтов Он имеет дополняемую базу стандартных для рекламы строк гипертекста и размеров наиболее используемых блоков рекламы (100х100, 125х125, 468х60, 470х60, 234х60, 120х80, 88х31 пикселей), по которым и происходит фильтрация. Использование этой функции позволяет значительно увеличить скорость загрузки сайтов.
• Content - блокировка доступа к Web-сайтам с определенными адресами или содержащим в html-коде определенные строки.
• Active Content - блокировка активных элементов Web-сайтов, например выполнения ActiveX; сценариев, написанных на Java и Visual Basic;
• Attachments Filter - вывод сообщения при попытке получения/запуска исполняемого файла.
• Attack Detection - детектор и блокировка атак. При использовании этой функции можно выбрать один из трех режимов безопасности: блокирование IP-адреса атакующего (в случае точной идентификации атаки); блокирование попытки сканирования нескольких портов или порта с определенным номером; блокирование попытки сканирования одного порта; возможна также блокировка DoS-атак.

Тестирование OutPost Retin'ой показало открытыми порты 135, 1025 и 5000 (универсальный Plug and Play), оставляя машину потенциально уязвимой. ShieldsUP! также показал открытый 5000 порт, однако PC Flank не обнаружил никаких открытых портов. Cookies также не блокируются, несмотря на утверждения разработчиков об отсутствии возможности Web-сайтов собирать и пересылать информацию о предпочтениях пользователей при серфинге. В настройках по умолчанию всплывающие окна не показываются, хотя и отмечаются в лог-файлах. Это не очень удобно, так как не каждый пользователь будет заглядывать в историю событий. Кроме того, организация лог-файлов проработана недостаточно четко, записывая лишь факт атаки, не оставляя даже даты и времени нападения.

Деятельность KaZaA приравнена к spyware, посему для работы с этим сервисом пользователь должен выбирать между блокированием сервиса или работой с ним без какой-либо защиты. Рассматриваемая версия - первый выпуск данного продукта, обладающая множеством дополнительных полезных настроек, малопригодный для начинающих, так как работа программы с настройками по умолчанию почти бессмысленна.

Sygate Pro's firewall

Комментарий: Sygate Pro's firewall настраивается с помощью ответов пользователя, на возможность определенных приложений иметь доступ к Интернет: когда приложение запускается - файервол выводит окно диалога для выбора доступа этого приложения: разрешить или запретить. Пользователь может создавать собственный список правил (по порту, по адресу). Предполагается, что технически пользователь неплохо подкован, хотя по этому вопросу есть дополнительная система помощи.

Пользователю предоставляются журналы всех действий, происходящих во время выполнения программы:

• журнал атак, сканирования портов компьютера и других посягательств на его безопасность;
• журнал с подробнейшей информацией о входящем и исходящем трафике с указанием программы, IP-адреса, порта, времени начала и окончания процесса;
• журнал прохождения пакетов;
• журнал запуска и закрытия брандмауэра.

Настройки программы включают следующие основные функции:

• защита настроек программы паролем для избежания несанкционированной смены их другими пользователями компьютера;
• включение/отключение детектора сканирования портов и других видов наиболее распространенных атак;
• задание времени, в течение которого будет блокироваться поступление информации с IP-адреса атакующего;
• автоматическая отсылка информации об атаке на определенный электронный адрес;
• задание максимального размера журналов работы;
• автоматическое обновление через Интернет.

На экране пользователю предоставляется информация в графическом виде о входящем/исходящем траффике, о нападениях.

Этот файервол хорошо защищает машину от проникновения со стороны, автоматически обнаруживая и запрещая доступ атакуемому на определенный, заданный промежуток времени.

Порты 5000 и 135 при сканировании показались открытыми, однако вторжения PC Flank и ShieldsUP! были блокированы. Остальные порты были закрыты и невидимы для хакеров. DoS-атаки, NAT сканирования и эксплоиты SMBDie были разрешены с доверенной зоны, однако, полностью блокированы с внешней стороны. Обнаружение деятельности spyware отличное, полученной информации достаточно для блокирования этих программ.

Продвинутые пользователи, бесспорно, останутся довольны хорошей организаций лог-файлов, работой с электронной почтой, скрытию системной панели и блокированию TCP и IPX-траффика. В целом, этот файервол очень хорош, не считая открытых по умолчанию уязвимых портов, "закрытие" которых может вызвать трудности для большинства пользователей.

ZoneAlarm Pro

Комментарий: ZoneAlarm Pro - значительно усовершенствованная версия ZoneAlarm, с организацией личной защиты машины, множеством настраиваемых самим пользователем возможностей, защитой электронной почты и Интернет-гейтов.

Несмотря на дополнительные возможности, размер дистрибутива все еще находится в пределах 4 Мбайт. При установке всю работу выполняет "Помощник". Кроме того, опции работы с cookies задаются уже при инсталляции.

Настройка упрощена по сравнению со свободно распространяемой версией файервола (ZoneAlarm): меньше всплывающих диалогов, запрашивающих действия пользователя для какой-то программы.

Основное (и единственное) функциональное окно разделено на две части. В верхней, меньшей по размеру, содержатся:

• графически представленные сведения об объеме поступающей и исходящей информации. Эта же гистограмма присутствует и в качестве значка ZoneAlarm Pro в нижнем правом углу экрана рядом с часами;
• кнопка блокирования доступа в Интернет;
• пиктограмма, отображающая наличие подключения к Интернету и IP-адрес;
• информация о программах, работающих с Интернетом в настоящий момент.

Нижняя, большая по размеру, часть окна содержит всяческие настройки и информацию, разделенную по группам:

• Overview (обзор) включает сведения о числе отраженных атак и количестве программ, имеющих доступ в Интернет; данные о ZoneAlarm Pro (регистрации, версии и т. д.); краткие настройки программы: установка пароля на пользовательские настройки, включение автоматического (или ручного) обновления ZoneAlarm через Интернет, включение автоматического запуска ZoneAlarm Pro после загрузки компьютера, режима сокрытия IP-адреса и т.д.
• Firewall (защита от несанкционированного доступа) включает изменяемые с помощью ползунка установки защищенности (высокий уровень, когда все подозрительные пакеты и информация блокируются, а компьютер при попытках его идентификации извне "невидим"; средний уровень, когда ПК при тех же условиях извне "видим", но ресурсы его блокируются; низкий уровень - защита отключена). Режимы устанавливаются в отдельности для трех зон, две из которых определяются пользователем. Это так называемый "белый" список, включающий компьютеры, информация с которых не блокируется и считается безопасной, например компьютеры той же локальной сети. В так называемый "черный" список входят компьютеры с небезопасной информацией. Сюда пользователь обычно заносит те IP-адреса, с которых он ранее был атакован. Третья зона, не определяемая пользователем, - это все остальные серверы, не вошедшие ни в "белый", ни в "черный" список. Кроме того, здесь содержится информацию о соединении с Интернетом - IP-адрес, маску подсети.
• Program Control (контроль над программами) включает выбор уровня контроля над программами: высокий предполагает, что все программы запрашивают доступ в Интернет и установлен контроль над используемыми программами динамически подключенными библиотеками (dll); при среднем все программы запрашивают доступ в Интернет, а контроль над используемыми dll-файлами находится в режиме обучения (ZoneAlarm Pro запрашивает пользователя о необходимости контроля в конкретных случаях); низкий уровень подразумевает, что и контроль над программами, и контроль над dll-файлами находится в режиме обучения, когда всяческий контроль отключен. Program Control также содержит список программ с указанием наличия доступа в Интернет и перечень всех динамически подключаемых библиотек, используемых программами.
• Alerts & Logs (сигналы и журналы) определяет уровень установки вывода сигналов при атаках и ведется журнал с полной информацией о них. Возможно отображение сигналов при всех атаках, только при особо опасных либо при отсутствии отображения. Аналогично настраивается ведение журнала с описанием вида атаки, обозначением ее времени и даты, а также IP-адреса атакуемого и порта, на который производится атака.
• Privacy (секретность) пользователь выбирает режим работы с информационными файлами. Возможно блокирование всех информационных файлов (что наверняка повлечет за собой проблемы с отображением некоторых Web-сайтов), блокирование поступления данных с перечисленных пользователем сайтов и отсутствие блокирования.
• E-mail protection (защита электронной почты). Специальная функция MailSafe проверяет все поступающие по электронной почте файлы на наличие вирусов и других деструктивных объектов и предупреждает о них пользователя.

Pro-версия предоставляет прекрасную настройку для задания доступа к Интернет каждого приложения (возможность доступа по портам).

ZoneAlarm Pro хорошо проявил себя при обильных атаках, обнаруживая и блокируя любую попытку проникновения. Все порты были закрыты, NetBIOS-доступ, равно как и большинство cookies, были запрещены. Блокирование всплывающей рекламы также работало, причем иногда чрезмерно агрессивно, нарушая нормальную работу некоторых скриптов браузера Internet Explorer'a. Организация лог-файлов - превосходная. Информация там детализована, существует даже возможность поиска географического местоположения нападавшего. Spyware обнаруживает хорошо, KaZaA функционирует, причем программа не способна загрузить рекламу с http или ftp.

ZoneAlarm Pro - один из лучших файерволов обзора, достаточно простой и удобный для начинающих пользователей, но тем не менее, обладающий тонкими и детальными настройками для более опытных.