Огонь вокруг меня. Тест наиболее популярных брандмауэров

“По-настоящему безопасной можно считать лишь систему, которая выключена, замурована в бетонный корпус, заперта в помещении со свинцовыми стенами и охраняется вооруженным караулом, но и в этом случае сомнения не оставляют меня”.Юджин Х. Спаффорд Брандмауэры (они же firewalls) — программы, предназначенные для защиты информации на вашем компьютере во время серфинга по Сети. Они являются одним из немногих средств, позволяющих противостоять утечке важных данных с вашей машины. Если приплюсовать к этому еще и тот факт, что файерволы хорошо защищают ваш компьютер от любителей понюкать, посканить и потроянить, то станет понятно — файервол ставить нужно. Мощностей любая из подобных утилит отъедает минимум, а пользы приносит — массу. Скрижали истории Примерно года три назад самым лучшим брандмауэром считалась программа под названием AtGuard. Это было золотое время юзеров, так как AtGuard предоставлял действительно надежную защиту. Удобный, хотя и довольно громоздкий, интерфейс и несколько приятных дополнительных возможностей (блокировка рекламных баннеров и cookies). AtGuard стоял почти на каждой второй машине, а пользователи были уверены в своей безопасности. Но время шло. Люди, называющие себя хакерами, копались в недрах AtGuard’а, выискивая ошибки и баги. Была написана масса эксплоитов (программ, эксплуатирующих ту или иную дыру в системе безопасности), позволяющих злоумышленникам обходить бдительный глаз брандмауэра. Конечно, полный или хотя бы частичный контроль над “защищенным” компьютером получить не удавалось, но вот подвесить его или вызвать перезагрузку было вполне реально. А еще через некоторое время компания Symantec купила AtGuard. Он перестал существовать как самостоятельное целое. Но пользователям было уже все равно: иллюзия о полной защищенности была развеяна. R.I.P. Лидеры Современные пользователи боятся использовать какой-либо брандмауэр, так как, по их мнению, там “столько непонятных настроек, что черт голову сломит”. Это отчасти правда, так как сегодня брандмауэр представляет собой многофункциональную защитную систему, отвечающую не только за контроль над входящим и исходящим трафиками, но и за их анализ, контроль над содержимым web-страниц и электронных писем, бдительный надзор за всеми портами, через которые возможна связь с внешним миром. Однако все это многообразие функций настраивается с помощью двух-трех щелчков мыши: ведь никто не заставляет вас менять настройки из командной строки. В этой статье мы расскажем о лучших современных брандмауэрах и о том, как их настраивать. Сразу оговоримся. В наш обзор не вошли три достаточно известных защитных системы. Это Microsoft ISA Server , Norton Internet Security и Check Point FireWall-1. Дело в том, что, хотя эти утилиты и можно использовать в качестве домашних брандмауэров, они все же предназначены для защиты крупных локальных (и не только) сетей, состоящих из большого количества сегментов. В связи с этим их требования к ресурсам достаточно высоки. К тому же, зачем “платить больше”, когда вам понадобится лишь 20-30% всех предоставляемых ими функций? А цена у них не маленькая, ведь рассчитаны они не на “простых смертных”, а на корпоративных клиентов. К тому же есть еще один фактор: ценность “корпоративной” информации сейчас очень высока, в связи с этим три вышеперечисленные защитные системы постоянно исследуются на предмет лазеек, и отнюдь не разработчиками (последние прошли эту стадию во время бета-тестинга). В результате официальные агентства (типа BugTraq ) время от времени пополняются информацией примерно такого рода: “В таком-то брандмауэре найдена такая-то дыра”. И почти всегда находят баги именно в этих программах. Недавно, например, был придуман способ, позволяющий обойти Check Point FireWall-1 и Norton Internet Security. Иными словами, ставя себе на компьютер одну из этих трех систем защиты, вы как бы привлекаете внимание хакеров. Рассмотренные нами программы для целей простого пользователя ничуть не менее эффективны, чем “крутая троица”, но при этом они НЕ привлекают внимание коррумпированной виртуальной общественности и НЕ столь сложны в настройках. LockDown Millennium Pro v8.1.8 Разработчик : LockDown Corp.

LockDown собственной персоной!
Размер : 4795 kb Лицензия : Shareware Стоимость регистрации: 69.95$ Язык интерфейса : Английский www.lockdowncorp.com Вначале несколько слов о приставке Pro в названии брандмауэров. Сегодня почти каждая защитная система имеет две версии: одну со словом Pro, другую без него. Разница состоит в том, что в первом варианте программа позволяет осуществлять более гибкую и сложную настройку, а второй вариант предназначен для непрофессиональных пользователей (которые просто испугаются, увидев огромное количество checkbox’ов и radio button’ов). Самое интересное, что во

Управление Visual Basic Script’ами; борьба со всплывающими окнами и справочная информация.

Борьба с троянами

Контроль над портами

Контроль над трафиком
вкладке About этой программы нигде нет упоминания о том, что данная версия является Pro, хотя скачивал я точно именно ее: и ссылка, и название инсталляшки указывают на это. Ну что ж, начнем с интерфейса. Он является громоздким, запутанным и сугубо английским. У программы не так уж и много функций, а вот настроек на каждую из них чересчур много. Что же это за функции? Первая функция позволяет сканировать диск, запускаемые программы и процессы на наличие в них троянов. Сканер достаточно продвинутый, так как начальная база содержит информацию о 2714 вирусах, плюс предусмотрена возможность обновления базы ( Update ). Обновление доступно только в зарегистрированной версии. Для борьбы с троянами лучше использовать антивирусы: AVP или Dr.Web. Причина очевидна: базы антивирусов обновляются значительно чаще, как следствие, снижается риск подцепить виря из Сети. Так что функция слежки за троянами, по сути, пустая трата системных ресурсов. Хотя, если денег на антивирус нет, то для ловли вирусов можно пользоваться и файерволом. Значительно более важная функция программы — контроль над портами. И это LockDown умеет делать на твердую пятерку. При тестировании он не дал сканеру никакой информации о портах. А во время серфинга несколько раз сообщил, что компьютер пытаются сканировать (а заодно и выдал IP-номер злоумышленника). Контроль над трафиком — одна из самых важных функций любого брандмауэра (наряду с защитой портов). В этом отношении LockDown обладает достаточно простой и удобной системой настройки правил. При подключении к Сети многие программы сразу пытаются пообщаться с внешним миром. LockDown сообщает их названия, показывает их иконки и предлагает либо “довериться” данным утилитам, либо нет. При этом правила сразу сохраняются, что очень удобно. Настройки не содержатся в явном виде ни в реестре, ни в каталоге программы, ни где-либо еще. При детальном исследовании удалось обнаружить только несколько зашифрованных файлов в директории, где размещался LockDown. На этом хорошие новости заканчиваются, так как тест на блокировку трафика LockDown не прошел. А суть вот в чем: было создано правило, запрещающее программе ReGet выходить в Сеть (LockDown должен был сразу ее закрыть). Однако когда из контекстного меню был вызван ReGet с заданием переписать файл, LockDown блокировал его не сразу, а через несколько секунд! За это время было скачано из Сети около 13 кб. А ведь чтобы начать запись, следовало обменяться с удаленным сервером несколькими запросами. Таким образом, если хитрый троянский конь будет пытаться прорваться сквозь LockDown несколько раз, то “перекинуться парой фраз” ему все-таки удастся. На практике, в один килобайт текста поместятся все ваши пароли. Интереснее всего, что при попытке снова запустить ReGet с тем же заданием LockDown

Создание правил в LockDown.
закрыл его чуть быстрее. ReGet успел скачать из Сети только 8 кб. Эти результаты существенно подрывают доверие к данному программному продукту. По остальным функциям пройдемся кратко, так как это уже не существенно. Управление Visual Basic Script ’ами нужно для того, чтобы не дать web-страничке или прикрепленному к письму файлу получить управление на вашем компьютере. С этой задачей LockDown справляется. Утилита создает монитор, следящий за всеми Visual Basic Script’ами. Всплывающие окна (pop-up windows) могут досаждать во время серфинга по варезным сайтам. С функцией блокировки окошек у LockDown’а все нормально. Справочная информация позволяет определить, какие процессы сейчас запущены и какие из них общаются с Сетью. Эта функция дублирует информацию, которую можно получить, нажав Ctrl+Alt+Del, но дополнительно указывает сетевые процессы. В данной функции программы есть один минус: она не показывает процессы защищенного режима (также некоторые процессы можно прятать от Ctrl+Alt+Del). Следовательно, большинство современных вирусов или троянов не будут обнаружены. Например, “популярный” (его эпидемия идет до сих пор) вирус Worm.Klez.H ( см. информацию о вирусе в “Новостях Интернета” прошлого номера “Мании” ) не удастся даже увидеть таким способом.Советы по настройке и использованию LockDown Не запускайте модули Cookies Monitor и Program and Folder Auditor , так как они настолько ресурсоемки, что их использование теряет смысл. Проще отключить cookies в настройках Internet Explorer’а. Именно из-за “недоделанности” этих функций они и не были упомянуты в списке основных. Самый важный момент: запускайте LockDown только в режиме advanced mode , а затем выбирайте High Security Level. Это позволит реагировать даже на самые слабые попытки сканирования: LockDown выдаст звуковой сигнал и окошко. В целом, LockDown изначально неплохо сконфигурирован, и менять что-либо еще не имеет смысла. Используйте данную утилиту с осторожностью и помните об ее “задержках” при блокировании трафика. Рейтинг “Мании”: 3/5 ZoneAlarm Pro v3.0.118 Разработчик : Zone Labs, Inc., Размер : 3570 kb Лицензия : Shareware Стоимость регистрации: 49.95$ Язык интерфейса : Английский www.zonelabs.com Очень приятная программа. Единственное, что немного смущает, так это запутанный интерфейс. К основным достоинствам ZoneAlarm можно отнести надежный контроль над трафиком, борьбу с cookies и рекламными баннерами, слежку за почтой. ZoneAlarm надежно блокирует трафик. В точно такой же ситуации, что и ее предшественник, программа контролировала ситуацию от и до. На все попытки выйти в Сеть ReGet выдавал сообщение “Сервер не найден”. Он, конечно, создал на диске тот файл, который надо было скачать (ZoneAlarm не отслеживает обращения к диску — это не его функция), но размер файла был ровно 0 кб. Борьба с cookies и баннерами тоже очень важна. Зачем тратить свое время на загрузку рекламы? Вот и разработчики ZoneAlarm так думают. С этой задачей ZoneAlarm тоже справился. Слежка за почтой представляет собой достаточно

Надежную безопасность обеспечивают только режимы High.
примитивную, но вместе с тем и полезную функцию: любой файл, прикрепленный к письму, не сможет запуститься на компьютере, пока не спросит у вас разрешения. Все скрипты (они очень часто содержат вирусы и трояны) сразу нейтрализуются, ведь если письмо только пришло, а прикрепленный файл что-то хочет делать, значит, тут дело нечисто. К особенностям программы можно отнести способность проверять на вирусы и трояны входящий трафик (для чего ZoneAlarm придется часто обновлять). Но для Update’ов нужно иметь зарегистрированную версию. Из неприятного — программа просит зарегистрироваться при каждом запуске. Сразу после инсталляции программа задает ряд вопросов, позволяющих почти полностью сконфигурировать сетевые настройки. Однако все вопросы на английском языке, и не каждому будет легко в них разобраться. Но как бы вы ни отвечали на вопросы, потом все равно придется внести пару штрихов, о которых мы сейчас и поговорим. Во вкладке Firewall параметры Internet Zone Security и Trusted

Создать правило в ZoneAlarm очень просто.
Zone Security надо выставить на High. Это позволит включить stealth-режим, сутью которого является не отвечать другим компьютерам на их запросы. В результате ваш компьютер становится “невидимым” для остального мира. Это предотвратит почти любую атаку. Более детальные настройки ( Custom ) не трогайте, так как они сконфигурированы самым оптимальным образом. Во вкладке Alerts &Logsпараметр Alert Event Show надо поставить в положение High. Это заставит ZoneAlarm сообщать вам о каждой опасности выскакивающим окошком. Если вы поймете, что вас постоянно сканируют и посылают какие-то запросы (а ZoneAlarm вас предупредит), просто нажмите круглую кнопку Stop вверху основного окна. Это остановит все виды трафика. Ваш компьютер превратится в неприступный замок, из которого нельзя выйти и в который невозможно попасть. Во вкладке Privacy параметры Cookie Control , Ad Block и Mobile Code Control надо поставить в положение High. После этого надо щелкнуть на кнопке Custom в разделе Cookie Control и выбрать Block Session Cookies. Теперь вы полностью защищены от рекламы, cookies, активного содержания web-страниц. Что же плохого в cookies и активных страницах? Первые позволяют исполнять на вашем компьютере любые файлы, вторые — любые скрипты. Фактически, это одни из самых распространенных способов кражи данных. Можно подвести небольшой итог: ZoneAlarm имеет небольшой размер, требует мало ресурсов, предоставляет надежную защиту (отлично реагирует на сканирование и не содержит нигде информации о созданных правилах) и полезные функции. Создание правил сводится к выбору между “разрешаю” и “не разрешаю”, что удобно. Мы отдали бы данному файерволу “Наш выбор”, если бы не OutPost Firewall Pro (читайте далее). P. S. Обратите внимание, что с сайта компании можно скачать и простую (не Pro) версию программы. Ее настройки значительно более просты, но и с возложенными на нее функциями она справляется не так хорошо, как Pro-вариант. Рейтинг “Мании”: 4.5/5 VisNetic v1.0.3 Разработчик : С&C Software Размер : 2455 kb Лицензия : Shareware Стоимость регистрации: 69.95$ Язык интерфейса : Английский www.ccsoftware.ca Сразу после исчезновения AtGuard’а (потери самостоятельности) большую популярность приобрел брандмауэр ConSeal Firewall. Утилита шествовала по Сети под таким лозунгом: “Да, меня настроить очень сложно. Для этого придется с недельку повозиться с командной строкой. Но зато потом — никаких проблем с безопасностью”. И многим профессионалам файервол пришелся по вкусу… Теперь и он сошел со сцены. Его заменил продукт той же фирмы под названием VisNetic. **_

_**
Немногословный, но знающий свое дело страж.
Программа отличается маленьким размером, быстродействием, спартанством интерфейса и холодной жестокостью. Да-да. Именно холодной жестокостью. Знаете, что было с моим менеджером закачек, когда он пытался прорваться в Сеть? А знаете, что при этом делал VisNetic? ReGet говорил: “Подсоединяюсь к хосту такому-то…” И ждал. Долго ждал. А VisNetic молчал: ни единого звука, ни одного окошка, что кто-то пытается выйти в Интернет. Ничего. ReGet так и не дождался своей очереди… Но как только было создано правило, разрешающее общаться с Сетью, он сразу нашел свой любимый хост. Иначе был бы обречен на вечные поиски… Программа хоть и обладает графическим интерфейсом, но настраивать ее очень сложно. Сразу после инсталляции она задает ряд вопросов, находит все приложения, которым может понадобиться Сеть, и создает для них правила. Во время тестирования она сразу нашла The BAT!, Internet Explorer и MSN Messenger. Эти программы получили права доступа в Сеть (естественно, спросив разрешения). Добавить новое правило оказалось не так уж и просто: надо зайти в USER/Network Adapters/Контроллер удаленного доступа/Rules (на вашей машине путь может отличаться), щелкнуть на кнопке New , в появившемся окне выбрать вкладку Filtering , в ниспадающем списке Service выбрать тип соединения (по http, ftp и т.д.), в ниспадающих списках Local и Remote Address Must Match выбрать All Addresses. Только теперь правило будет работать. Рейтинг “Мании” (для рядовых пользователей): 3/5 Рейтинг “Мании” (для продвинутых пользователей): 4.5/5 Tiny Personal Firewall v3.0 Разработчик : Tiny Software, Inc. Размер : 9790 kb Лицензия : Shareware Стоимость регистрации: 49.95$

Tiny Personal Firewall утверждает, что моя Opera — это Netscape!
Язык интерфейса : Английский www.tinysoftware.com Куча — именно куча, потому как плохо систематизировано — различных настроек, которые вряд ли будут вам нужны. Запутанный интерфейс, большой размер и высокие требования к системным ресурсам. Вот отличительные черты Tiny Personal Firewall. Сразу после инсталляции программа три раза перезагружала компьютер. Потом выяснилось, что значка в трее так и не будет (хорошо, что по Ctrl+Alt+Del утилиту видно). В настройках есть возможность “интегрировать брандмауэр в Internet Explorer”, что повышает эффективность контроля над происходящим, зато сильно снижает удобство работы с программой. Чтобы хоть что-то изменить, нужно бежать в Пуск. Интерфейс настолько непонятен, а программа настолько непродуманна, что после инсталляции абсолютно неясно, каким программам что можно делать. В Tiny Personal Firewall имеется масса функций (это видно хотя бы по настройкам). Но единственное, что удалось выяснить, так это способ изменения настроек для программ, которые сам брандмауэр определил как работающие с Сетью. А для остальных? ReGet, например, спокойно работал с Интернетом, хотя для него не было ни одного правила! Можно резюмировать, что программа обладает множеством полезных, но непонятно как используемых возможностей, кучей никому не нужных функций (например, защитой реестра). При этом она поедает системные ресурсы наравне с самой Windows. Что касается конфигурации этого файервола, то выяснилось, что лучше уж настраивать VisNetic , чем копаться в недрах Tiny Personal Firewall. Рейтинг “Мании”: 2/5 _ OutPost Firewall Pro v1.0.1511.1038 _

Пожалуй, самый лучший брандмауэр на сегодняшний день.
Разработчик : Agnitum Ltd.

Создавать правила в OutPost одно удовольствие.
Размер : 2525 kb Лицензия : Shareware Стоимость регистрации: 39.95$ Язык интерфейса : Русский !!! www.agnitum.com Единственная программа из обзора, которая поддерживает русский язык. В результате разобраться с ней может даже ребенок. __ Сразу после инсталляции включается “обучающий режим”. При этом иконка в трее выглядит как вопросительный знак. В этом режиме при попытке соединения с Сетью любой программы брандмауэр попросит вас создать правило. Если хотите использовать программу, имя которой брандмауэр покажет как нарушителя, нажмите “разрешить этой программе выполнять любые действия”. В противном случае вы сами поймете, что нажать. OutPost Firewall переплюнул по мощи и удобству даже легендарного AtGuard’а. Программа способна блокировать рекламу, cookies, активное содержание страниц (компоненты ActiveX и скрипты), следить за определенными файлами (защищать их), детектировать атаки и кэшировать DNS (это сэкономит вам массу времени — работает как кэширование web-страниц Internet Explorer’ом).

Вот так должен быть сконфигурирован детектор атак.
Программа построена на модулях. Можно подключить свой собственный модуль. Обновление осуществляется автоматически (если оно существует и вы в Сети), только для его подключения (не перекачки) нужно зарегистрировать программу. На сайте разработчика доступна документация по OutPost Firewall на русском языке (ждет вас на нашем компакте ). В ней достаточно понятно объяснены принципы настройки брандмауэра. Давайте теперь разберемся в не столь очевидных настройках. Настроим детектор атак. Щелкните на нем (в основном окне) правой кнопкой мыши и выберите пункт “Параметры”. Теперь подвиньте ползунок уровня тревоги на максимальную высоту (это заставит брандмауэр сообщать вам о любых попытках сканирования или атаки), во всех остальных чекбоксах поставьте галочки (это позволит оказать злоумышленнику должный отпор). __ Теперь нужно настроить “Активное содержимое”. Входите в его свойства (точно так же) и справа везде ставьте точки напротив слова “запретить”. Потом слева переключитесь на “Веб-страницы” (до этого вы были в разделе “Почта” ) и сделайте то же самое. Теперь вы застрахованы от всплывающих окон, cookies. Но не будет работать Java. Если вам понадобится использовать Java на каком-нибудь сайте, зайдите в свойства “Активного содержимого” в раздел “Веб-страницы” и нажмите кнопку “Добавить”. Теперь введите нужный URL и сделайте персональную конфигурацию для данного сайта. Помните, необходимо руководствоваться правилом “запрещено все, что не разрешено”, а не правилом “разрешено все, что не запрещено”. Мы настроили подключаемые модули (остальные сконфигурированы оптимально — можно только испортить). Теперь надо настроить основную часть. Зайдите в меню Параметры/Системные. Там зайдите в “Параметры” раздела ICMP. И удалите все галочки. Теперь ваш компьютер будет невидимкой для ICMP-сканирования (оно самое популярное). Хотя на вкладке Параметры/Системные этот режим включен явно, все равно нужно убрать “эхо” из параметров. Теперь с OutPost вас ждет действительно приятный и безопасный серфинг. Никаких выскакивающих окон и баннеров. Никаких атак и скриптов. Главное — помните: ваша безопасность пропорциональна тщательности настройки брандмауэра. Поэтому не брезгуйте советами: только дураки не учатся на чужих ошибках. Рейтинг “Мании”: 5/5 *** Теперь давайте подведем общие итоги. OutPost Firewall — программа, безусловно, хорошая, но и она не идеальна. OutPost подойдет для простого домашнего компьютера, использующегося для частой работы в Сети. Именно в этом случае пригодится борьба с рекламой и pop-up окнами. Если же ваш компьютер входит в локальную сеть, то тут на первое место выходит ZoneAlarm. Этот брандмауэр имеет возможность гибкой настройки правил для различных диапазонов IP. Хотя этой функции не лишен и OutPost, все-таки ZoneAlarm здесь предпочтительнее. Минимализм VisNetic пригодится в тех случаях, когда сетевой серфинг является больше исключением, чем правилом. Этот брандмауэр не сделает работу с Сетью комфортабельной, однако защитой обеспечит. Если комфорт — не главное, то незачем тратить системные и аппаратные ресурсы на поддержку лишних функций. Помните, что брандмауэр не является панацеей от всех бед, но в сочетании с мощным антивирусом и “недоверчивым хозяином” послужит хорошим щитом в борьбе за безопасность. А вам, уважаемый читатель, можно лишь пожелать быть таким “недоверчивым хозяином”… случайные контакты и излишнее любопытство могут повредить не только вашему здоровью, но и здоровью вашего компьютера.

На нашем компакте Бесплатные версии всех описанных в статье программ и подробная документация к OutPost Firewall на русском языке.