|
Тема данной статьи – безопасность твоего пребывания во Всемирной паутине. Ни для кого не секрет, что в Интернете гуляет целая куча вредоносных программ, целью которых является не только шпионаж, похищение паролей и информации о пользователях, но и просто баловство «программистов», которые иным способом выразить себя не сумели. На борьбу с ними призваны антивирусные программы и межсетевые экраны, также известные пользователям как «файерволлы». О последних и пойдет речь в моей статье.
Всеведущая статистика говорит о том, что примерно раз в семь-девять минут любой компьютер, подключенный к Интернету, подвергается сетевому сканированию или атаке. И естественно, большая часть этих действий приходится на домашние персональные компьютеры.
Предмет тестирования
Firewall’ы делят трафик на «полезный» и «вредный». Все то, что фильтр автоматически или с помощью ваших персональных настроек отнес к «вредному», будет безжалостно уничтожено. Реализуются подобного рода функции как программно, так и «железно».
Для «обычного» пользователя, как правило, удобнее программный вариант, так как он не несет за собой последствий в виде дополнительной коробочки на столе и еще одной занятой розетки, стоимость его, несомненно, ниже, и способ настройки программы – проще и понятнее. В крупных сетях, конечно же, используют «железные» варианты. В связи с широким распространением домашних сетей и ADSL-провайдеров на рынке появились устройства, сочетающие в себе возможности раздачи широкого канала Интернета с межсетевым экраном, то есть если ты планируешь подключать к сети более одного компьютера (например, рабочий компьютер и ноутбук, или даже КПК со встроенным Wi-Fi-модулем), тебе совершенно не обязательно
устанавливать программы для защиты на каждую систему – достаточно купить роутер со встроенным файерволлом. Тут возникает вопрос: «А в чем, собственно, разница?». Вот это я и постараюсь выяснить при тестировании нескольких «софтварных» и «хардварных» сетевых экранов.
Участники и методика
Определимся с составом участников.
В красном углу ринга – программы в составе:
- Agnitum Outpost Firewall PRO (32-bit) 6.0.2172.214.422.270
- Sunbelt Kerio Personal Firewall 4.5.916
- ZoneAlarm Free 7.0.408.000
- Встроенный в Windows XP SP2 брандмауер
В синем углу – аппаратные версии файерволлов в составе:
- D-Link DI-604, 4-port UTP Switch Hub Router, 10/100 Mbps
- TRENDnet TW100-BRF114 4-port Firewall Router, 10/100 Mbps
Основной задачей нашего тестирования является проверка файерволлов на способность помешать вредоносным программам получить скрытый доступ в Интернет. Методика тестирования достаточно проста. На данный момент во Всемирной паутине есть достаточное количество оффлайновых программ, а также онлайн-скриптов проверки уязвимости твоей системы безопасности. Я пойду по пути наименьшего сопротивления и выберу те программы, которые легко доступны и не требуют дополнительных настроек.
Инструментарий
Итак, список тестов:
- Jumper. Обычные методы обхода брандмауэров, такие как «DLL injection» и «thread injection», находятся в зоне внимания персональных брандмауэров, и некоторые из них предоставляют встроенные средства защиты от подобных действий. Вместо прямого изменения процесса в памяти компьютера Jumper заставляет целевой процесс загрузить чужую библиотеку DLL самостоятельно. Для этого он прописывает в раздел реестра 'AppInit_DLLs' новое значение и затем убивает процесс explorer.exe, который автоматически перезагружает Windows. Таким образом, explorer.exe автоматически загружает библиотеку DLL джампера.
- DNS Tester. По умолчанию на OS NT, начиная с Windows 2000, служба Windows DNS Client принимает обращения по всем запросам DNS и управляет ими. Таким образом, все запросы DNS, прибывающие от различных приложений, которые ты можешь использовать, будут переданы клиенту DNS (SVCHOST.EXE под XP), который будет непосредственно делать запрос DNS. Это приложение может использоваться, чтобы передать данные на отдаленный компьютер, обрабатывая специальный запрос DNS без уведомления брандмауэров на это. В действительности службе Windows DNS Client нужно позволить доступ в Интернет, чтобы все работало. DNStester использует рекурсивный запрос DNS (то есть обращение службы самой к себе),
чтобы обойти твой брандмауэр.
- CPILSuite – набор из трех тестов от компании Comodo, которая сама производит брандмауеры. Что примечательно, после каждого проваленного теста на странице высвечивается надпись с настоятельной рекомендацией приобрести продукт этого разработчика. Неплохая реклама.
Берем штурмом «Аутпост»
Приступим к детальному рассмотрению кандидатов и тестированию.
Первым в бой пойдет Outpost Firewall (для краткости будем называть его именно так). Программа – условно-бесплатная, то есть ты можешь пользоваться услугами по защите без регистрации на протяжении 30 дней. Стоимость лицензионного ключа начинается от 700 рублей, в зависимости от версии программы. Кроме этого, «Аутпост» обеспечивает блокировку загрузки рекламы и активного содержимого веб-страниц, а тем самым – их более быструю загрузку. С сайта разработчика можно скачать большое и подробное «Руководство пользователя» и не очень большое, но тоже полезное «Приступаем к работе» (оба документа – на русском языке).
Установка не требует каких-либо специальных действий.
При установке программа настойчиво интересуется наличием антивирусных программ, а также предлагает выбрать режим работы: продвинутый или обычный, – и после завершения процесса просит перезагрузки. После этого в трее появляется значок в виде щита приятного светло-синего цвета с изображенным на нем знаком вопроса, что означает пребывание программы в режиме обучения.
Оставляем все настройки на дефолтных и начинаем терзать программу нашими тестами.
Первый тест – Jumper – пробивает защиту и выдает следующее сообщение на открывшейся веб-странице: «Итоговое количество утечек – 7840». Не самое приятное начало работы. Идем дальше.
Второе испытание – DNStester, и вновь провал: утилита смогла послать рекурсивный запрос на www.microsoft.com.
Третье задание для нашего «героя» – и снова Outpost нас подводит. Все три теста были провалены, и если в ситуации со вторым все понятно, компания-разработчик предупреждает о том, что данный тест может пройти только предлагаемый ими файерволл, то первый и третий не должны были так элементарно обойти защиту детища Agnitum.
Обидно, что столь именитый продукт не выдержал нашего испытания. Справедливости ради стоит отметить, что в руках опытного пользователя при тщательно подобранных настройках Outpost превращается в грозного стража порядка, но ведь нас интересует в первую очередь сочетание простоты и надежности, не так ли?
Оценка за тест – 3
Киряем с «Керио»
На ринге второй участник Sunbelt Kerio Personal Firewall 4.5.916 (в простонародье Керио). Он отслеживает сетевую активность работающих программ, решая, разрешить или запретить тому или иному приложению доступ в Сеть. Для большей гибкости предусмотрена установка временных интервалов, когда будут действовать отдельные правила. При попытке соединения или сканировании портов компьютера выдает гневное сообщение. Довольно просто настраивается, особенно при установке одного из четырех уровней защиты – вообще думать не нужно. Сайт разработчика предлагает подробное онлайн-описание данного продукта. Без оплаты будет работать в полнофункциональном режиме 30 дней.
Процесс установки, как и в случае с предыдущей программой, несложен. При установке утилита предложит тебе выбрать папку для инсталляции, а также режим работы: простой или расширенный. Следуя нашим правилам, мы выбираем простой. После окончания установки программа также просит перезагрузку. Послушно выполняем этот каприз продукта, наблюдаем появление в трее иконки с щитом и индикаторами сетевого траффика и приступаем к терзаниям.
Первый тест пройден успешно. Вместо страницы, извещающей нас о том, что пробита защита и выведены данные о нашем сетевом адресе, мы наблюдаем знакомое до боли приглашение проследовать к администратору.
Неплохо для начала.
Второе испытание на прочность. А вот тут нас ждет небольшое разочарование. Защита пробита, и мы снова наблюдаем форточку с тревожным восклицательным знаком и сообщением, что сервер Microsoft получил от нас еще порцию мусора.
Решающий третий раунд – первый тест пройден успешно. Доступ в Интернет был заблокирован. Второй тест из набора – тут результат меня немного удивил. Несмотря на заверение разработчиков об эксклюзивности защиты, «Керио» не дал тесту запуститься в принципе! Третий тест также не сумел обмануть стойкого защитника. Он просто не смог найти пути к «Эксплореру», в чем ему, несомненно, «помог» файерволл!
При тестировании Sunbelt Kerio Personal Firewall 4.5.916 положительных эмоций лично я испытал намного больше, чем отрицательных. Несмотря на один непройденный тест и довольно-таки высокую стоимость лицензии, «Керио» может по праву считаться одним из лучших файерволлов на рынке.
Оценка за тест – 4+
ZoneAlarm
Ринг готов принять третьего бойца со злом – ZoneAlarm Free 7.0.408.000 – продукт, который представлен как бесплатный, но при желании пользователь может проапгрейдить его до целого набора всяческих защитно-полезных штуковин за соразмерное подношение разработчикам. Отслеживает активность всех приложений, работающих через Интернет, и позволяет разрешить или запретить доступ в Сеть отдельным приложениям, тем самым защищая компьютер как от нападения извне, так и от попыток какого-либо трояна передать информацию с твоего компьютера. В настройках прост до безобразия.
Инсталляция немного сложнее, чем у предыдущих участников. Сначала ты скачиваешь веб-инсталлятор, который при запуске самостоятельно подкачивает себе подкрепление. По завершении установки также требуется перезагрузка. После нее трей обогащается иконкой с изображением букв Z и A, которая при любой сетевой активности меняется на «эквалайзер» исходящего и входящего трафика.
Приступим к терзаниям. Первый тест, как и в случае с «Керио», пройден на отлично. IE не получил доступа в Интернет с измененными компонентами.
Второй тест – провал, что не стало неожиданностью, ведь более маститые и дорогостоящие коллеги также не прошли его.
Третий тест – тут сложилась очень интересная ситуация. После первого теста из набора, который был успешно пройден, вся сетевая активность оказалась намертво заблокированной. Как следствие, ни второй, ни третий тест не смогли пробить защиту, но при этом и приложения, которым должен был быть открыт доступ в сеть, оказались в списке персон «нон грата». После перезагрузки и повторного запуска только второго и третьего тестов «Зоналарм» провалился.
Для бесплатного и легконастраиваемого продукта очень неплохие результаты. Немного смутил момент с третьим тестом, в случае «нападения» на тебя, ты не получишь ощутимого урона, но при этом останешься без сети в целом, что, правда, лучше, чем утечка информации.
Оценка за тест – 4-
Фаервол Windows
Ну и последний шанс человечества (в рамках нашего теста) спастись от злобных лик-тестов – встроенный в наш «родной» Windows брандмауэр разработки фирмы «Майкрософт». Скажу сразу, что никаких детальных настроек у него нет, и скорее это NAT, а не файерволл. Но тем не менее, много пользователей доверяют штатному средству защиты и используют именно его – проверим, насколько оправдано это доверие.
Ситуация с встроенным в ОС «защитником» полностью повторяет результаты Outpost’а, а именно: все тесты провалены, и твоя система представляет собой лакомый кусочек для сетевых хулиганов.
Итог плачевен – данный продукт, как говорится, «не защищает, а только прикрывает» и совершенно непригоден для людей, много времени проводящих в сети. И если Outpost при настройке серьезно улучшает свои показатели, то в данном случае и настраивать то нечего.
Оценка за тест – 2
Жестяные бойцы
Ну что же, мы определились с тем, как себя ведут софтварные firewall’ы – теперь перейдем к железной части. Приветствуем участников!
Первым на ринг выходит D-Link DI-604.
Его основные характеристики и особенности – возможность подключения канала ADSL, наличие четырех LAN-портов, возможность работы в качестве межсетевого экрана, наличие NAT-маршрутизации и поддержка DHCP.
Подключаем модем к сети, а наш тестовый компьютер через один из портов. При дефолтных настройках с рабочей машины попытаемся запустить набор тестов на уязвимость.
Первый тест пройден на отлично! Вместо страницы, которая символизирует провал теста, мы видим, что доступ в Интернет заблокирован.
Второй тест. Мне показалось немного странным первое прохождение теста, я решил повторить эксперимент, но ничего не изменилось. Тест пройден – программа не смогла отправить запрос.
Третий тест. Ни одна из страниц не открылась. «Железный» firewall не дал врагу пробиться в сеть с помощью программ-шпионов. Итогом стало неожиданная, но практически полная защита нашего компьютера. Наверняка есть другие программы, которые смогут пробиться через этот экран, но наш набор не смог вычислить уязвимости.
Второй «железный» рыцарь, TRENDnet TW100-BRF114, вступает в бой.
Его набор функций полностью повторяют «делинковский набор». Различия заключаются лишь во внешнем виде и фирме-производителе. Настройка осуществляется через web-интерфейс.
Как и его коллега, ТрендНет с честью выдержал абсолютно все испытания, предложенные мной. Результаты всех тестов положительные для устройства и отрицательные для программ-личеров.
Подведем краткие итоги
Защита на хардварном уровне показала себя с самой лучшей стороны. Все «подлости», затеянные мной с целью пробиться сквозь нее, потерпели неудачу.
Софтовая защита, несомненно, проще, но не всегда дешевле, и вдобавок ко всему ни одна из программ не показала 100% результат по защите от взлома.
|
, 
