bozza
Тестирование Firewall
Методика тестов
Тестирование производилось на экспериментальном ПК под управлением лицензионной Windows XP с установленным SP1 (тестирования проводились в идеализированных условиях - "операционная система + Firewall" для исключения влияния других программ на чистоту эксперимента). В качестве индикатора успешного доступа к сервисам использовалась утилита APS. В качестве средств внешнего воздействия применялись:
- сканер XSpider 6.5 и 7.0
- Retina Network Security Scanner 4.9
- NMAP
- несколько сканеров моей разработки.
Кроме того, применялся сниффер CommView 4.1 (в качестве средства наблюдения за сетевым трафиком и в качестве утилиты для генерации и отправки пакетов с различными нарушениями в структуре). Применялись т.н. флудеры (flooder) распространенных типов, утилиты для имитации троянских программ.
На испытательном ПК в качестве средств доступа к сети и Интернет применялся IE 6, Outlook Express 6, TheBat 1.60, MSN Messanger 6.1. Кроме них в тесте участвовали имитаторы троянских программ и реальные троянские / Backdoor программы из моей коллекции (в частности Backdoor.Antilam, Backdoor.AutoSpy, Backdoor.Death, Backdoor.SubSeven, Backdoor.Netbus, Backdoor.BO2K), сетевые / почтовые вирусы (I-Worm.Badtrans, I-Worm.NetSky, I-Worm.Sircam, I-Worm.Mydoom, I-Worm.MSBlast), загрузчики троянских программ TrojanDownloader (в частности TrojanDownloader.IstBar) и шпионские SpyWare компоненты. Главной задачей тестов была попытка взглянуть на Firewall глазами пользователя, отметить его сильные и слабые с моей точки зрения стороны.
Kerio Technologies WinRoute Pro v4.2.5
Инсталляция и деинсталляция:
Проходит без проблем.
Установка с настройками "по умолчанию", без правил - действует только NAT. Работа в сети - без проблем, результаты сканирования - APS не показывает состояние тревоги, сканер считает, что все порты закрыты. Сам Winroute не выдает сигналов тревоги и никак визуально не идентифицирует факт сканирования.
Достоинства:
- Функционирует сразу после установки, дыры отсутствуют даже без настроек;
- NAT трансляция сразу дает существенную защиту от сканирования портов и удаленных атак;
- Хорошо построено протоколирование
Недостатки и особенности:
- Пароль администратора должен быть задан сразу после установки, иначе возможно удаленное отключение Firewall или его перенастройка;
- Процессы видны в памяти под характерными именами и их уничтожение приводит к отключению защиты - APS поднял тревогу в момент уничтожения процессов;
Общая оценка:
Winroute - это серьезный продукт, гибрид Firewall, прокси сервера, NAT транслятора, простого почтаря …, он требует настройки и понимания принципов работы сети.
Outpost Firewall Pro 2.1 Build 303.4009 (314)
Инсталляция и деинсталляция:
Установка под XP проходит без проблем, при запуске включается режим обучения.
Достоинства:
- Русифицированный интерфейс, ориентированный на пользователя. Интерфейс достаточно хорошо продуман, все понятно с первого взгляда.
- Встроенный детектор атак. Обнаруживает простые атаки типа сканирования портов, тесты IDS это подтвердили - по крайне мере, сканирование портов он ловит отлично;
- Показывает список приложений, прослушивающих порты TCP и UDP (с указанием списка портов по каждому приложению и информации о моменте начала прослушивания - полезно для отлова троянских программ и шпионского ПО);
- Режим обучения удобен для обнаружения троянских программ и визуальной настройки правил - он реализован типовым образом и основан на запросе допустимости операции, производимой приложением;
- В комплекте содержит ряд плагинов (IDS, средства борьбы с рекламой и т.п.)
Недостатки и особенности:
- По умолчанию открыты порты 139 и 445 (XP), поэтому после установки нужно в обязательном порядке создавать правила для блокирования этих портов.
- По умолчанию "типовым" приложениям разрешено очень многое - опять-же, стоит пройтись по настройкам и внимательно их проверить;
- Firewall виден в списке задач и не препятствует своему удалению - после удаления защита отключается (APS тут же фиксирует тревогу)
Общая оценка:
По сочетанию возможностей и удобства работы (да еще и с поправкой на русскоязычный интерфейс) на мой взгляд один из лучших продуктов на момент тестирования
Получить подробное описание этого Firewall и приобрести его можно в магазине OZON - Outpost Firewall Pro Русская версия (замечу, что по цене это один из самых недорогих русскоязычных Firewall)
Outpost Firewall Pro 2.5.369.4608 (369)
Инсталляция и деинсталляция:
Установка под XP SP 2 проходит без проблем, после установки требует перезагрузку, при запуске включается режим обучения. Инсталлятор предлагает на выбор автонастройку Firewall или ручную настройку. Новшества этой версии описаны на сайте разработчиков http://www.agnitum.com/products/outpost/history.html
Достоинства:
- Есть режим "невидимость", и он включен по умолчанию;
- Экспериментально проверена стабильная работа этого Firewall под SP1 и SP2;
- Есть автопоиск подсетей - по крайней мере уверенно находится "домашняя" подсеть
- Настройки объединяются в конфигурации, которые можно сохранять на диске - таким образом можно сделать несколько разных конфигураций и загружать их по мере необходимости
- Русифицированный интерфейс, ориентированный на пользователя. Интерфейс достаточно хорошо продуман, все понятно с первого взгляда;
- Встроенный детектор атак. Обнаруживает простые атаки типа сканирования портов, тесты IDS это подтвердили - по крайне мере, сканирование портов он ловит отлично;
- Показывает список приложений, прослушивающих порты TCP и UDP (с указанием списка портов по каждому приложению и информации о моменте начала прослушивания - полезно для отлова троянских программ и шпионского ПО);
- Режим обучения удобен для обнаружения троянских программ и визуальной настройки правил - он реализован типовым образом и основан на запросе допустимости операции, производимой приложением. Кроме того, в описании заявлено, что есть защита от внедрения постороннего кода в доверенный процесс;
- В правилах можно указывать не только имя программы, но и ее параметры - это в ряде случаев полезно;
- В комплекте содержит ряд плагинов (IDS, средства борьбы с рекламой и т.п.)
- При удалении процесса outpost.exe происходит блокировка обмена с сетью - это полезная возможность
- Есть опция слежения за библиотеками процесса - к примеру, при появлении нового BHO в IE выводится сообщение о том, что у процесса IE изменился состав используемых им библиотек;
- Продуманный просмотрщик протоколов (работает в реальном времени, данные лдостаточно логично сгруппированы
- Есть особые настройки для RAW Socket - можно указать, каким приложениям можно их использовать
Недостатки и особенности:
- Firewall виден в списке задач и не препятствует своему удалению (но при удалении процесса происходит блокирование обмена с сетью - поэтому это не недостаток);
- Большое потребление ресурсов - 33 МБ ОЗУ + 31 МБ вирт. памяти, что конечно многовато, хотя на ПК с 1 ГБ ОЗУ это не особо ощущуется;
- Комплекстный тест IDS показал, что она отлично ловит сканирование портов, но остальньные атаки практически не детектирует. Например, явный SYN FLOOD был успешно заблокирован правилами, но IDS по этому поводу ничего не сказал (хотя флудил я со скоростью 2-3 тысячи пакетов/сек)
Общая оценка:
Как и предыдущая версия 2.1, по сочетанию возможностей и удобства работы (да еще и с поправкой на русскоязычный интерфейс) на мой взгляд один из лучших продуктов на момент тестирования
Получить подробное описание этого Firewall и приобрести его можно в магазине OZON - Outpost Firewall Pro Русская версия (замечу, что по цене это один из самых недорогих русскоязычных Firewall)
ZoneLabs ZoneAlarm Pro with Web Filtering 4.5.594.000 - Personal Firewall
Инсталляция и деинсталляция:
В ходе установки подвесил XP в ходе попытки запуститься после инсталляции. После перезагрузки все заработало нормально.
Достоинства:
- По умолчанию у него практически ничего не разрешено (в отличие от Outpost)
Недостатки и особенности:
- Несколько запутанный на мой взгляд интерфейс
- Firewall виден в списке задач и не препятствует своему удалению - после удаления защита отключается (APS тут же фиксирует тревогу)
Общая оценка:
Персональный Firewall среднего класса, вполне соответствующий современным требованиям. Несколько запутанный англоязычный интерфейс является его минусом
AtGuard 3.22>
Инсталляция и деинсталляция:
Инталляция и деинсталляция особых проблем не вызывает
Достоинства:
- Небольшой по размеру Firewall, имеет интересное решение с точки зрения интерфейса - он выполнен в виде панели, размещаемой вверху экрана
Недостатки и особенности:
- В режиме обучения уязвим - с момента вывода запроса на создание правила до его создания пропускает пакеты в обоих направлениях
- Интерфейс немного поглючивает при перерисовке окон
Общая оценка:
Простой Firewall, однако вполне функциональный
Kerio Personal Firewall 4
Инсталляция и деинсталляция:
Установка проходит без проблем, удаление "чистое" - проблем после деинсталляции не замечено.
Достоинства:
- Антитроянские механизмы - может обнаруживать и блокировать запуск одной программы из другой (можно настроить правила), запуск новой программы. В настройках три градации (разрешить, запретить, спросить);
- Показывает, какие из запущенных приложений прослушивают порты
- Имеет механизмы обучение;
- Может настраиваться вручную;
- Имеет IDS, которая определяет типовые атаки, в частности сканирование портов;
- Может блокировать подозрительные куки (cookies)
Недостатки и особенности:
- Разрешения по умолчанию позволяют работать по 135 порту
- Есть ряд мелких багов, например при задании опции Alert в настройках фильтра пакетов в условиях атаки с Firewall работать невозможно - выскакивающее окно с сообщением об атаке забирает на себя фокус ввода
- В условиях большой нагрузки периодически подтормаживает (это совершенно не критично для работы по модему)
- Firewall виден в списке задач и не препятствует своему удалению - после удаления защита отключается (APS тут же фиксирует тревогу)
Общая оценка:
Хороший Firewall, я бы поставил его на одну ступень с Outpost.
Norton Internet Security 2004 (NIS)
Инсталляция и деинсталляция: Установка не вызывает проблем, но из всех проанализированных инсталлятор самый тяжеловесный.
Достоинства:
- Интегрированное решение (Антивирус + Firewall + IDS + блокиратор рекламы)
- Система обновления через Интернет;
- В настройках IDS есть опция блокирования компьютера всех пакетов с хоста, проводящего атаку на заданное время (по умолчанию на 30 минут);
- Содержит дополнительные надстройки, в частности, антиспам - систему, встраивающуюся в Outlook Express;
- При уничтожении процессов NIS продолжал блокировать доступ с атакующих хостов (большинство остальных при удалении процесса прекращали защищать ПК)
Недостатки и особенности:
- Самое "тяжеловесное" из исследованных решение - в памяти находится несколько процессов, потребляющих значительные ресурсы (хотя на ПК с 512 МБ ОЗУ эта тяжеловесность не ощущается)
- У меня в ходе тестов отмечался некий "глюк" с закладкой, отображающей статистику и протоколы системы - вместо статистики выдывались ошибки NIS с сообщением о невозможности вызнать некую DLL;
- IDS легко можно обмануть и заблокировать работу с "полезными" ПК. Это не минус конкретно NIS, это проблема всех подобных систем;
- Слишком тесная итеграция с системой - это по сути его плюс, но лично мне не нравятся программы, которые внедряются и прописываются по максимуму во все возможные места системы;
Общая оценка:
Internet Connection Firewall, ICF - встроенный брандмауэр Windows XP
Инсталляция и деинсталляция: Установка не требуется, является штатным средством XP. Включение производится в настройках сетевого адаптера. По умолчанию ICF работает в режиме максимальной безопасности и (это результат моего наблюдения) принцип его работы таков - запросы приложений выпускаются наружу, а снаружи принимаются только пакеты, пришедшие в ответ на мои запросы (соответствие запрос-ответ явно ведется в виде динамической таблицы). Таким образом, при сканировании портов на компьютере с включенным ICF нет ни одного открытого порта (это логично - пакеты сканера портов не будут пропущены, т.к. их никто не запрашивал). Аналогично дело обстоит с различного рода "нюками", основанными на отправке нестандартных пакетов.
Достоинства:
- Встроенное средство в XP - не требует установки и практически не требует настройки;
- Обеспечивает надежную защиту от внешнего вторжения даже при отсутствии настроек - ПК не отвечает на пинги, сканирование портов показывает, что все порты недоступны;
- Не виден как процесс (и, как следствие, не может быть остановлен вирусом или трояном);
- Возможен прием входящих пакетов с возможностью их переадресации на другой ПК и порт - маппингом (здесь можно провести аналогию с NAT - пакет с входящим запросом отправляется в соответвии со статической таблицей правил, заданной в настройке в нашем случае эта настройка задается на закладке)
- Блокирует работу троянских и Backdoor программ, которые прослушивают некий порт и ожидают подключение по нему хакера - по умолчанию все запросы на входящие подключения блокируются
Недостатки и особенности:
- Полное отсутствие визуализации происходящих процессов. Единственным способом контроля за работой ICF является текстовый протокол, который пишется в указанный файл на диске (протоколирование по умолчанию отключено и его рекомендуется включить). Отсутствие визуального оповещения и просмотра информации в реальном времени на мой взляд является самым большим недостатком;
- Достаточно скудные возможности - нет возможности обучения и настройки правил для отдельных приложений, настройки правил для разрешения/запрета работы с определенными хостами по определенным портам. В небольшой степени этот минус скрашивается наличием фильтра пакетов в настройках протокола TCP/IP ;
- ICF хорош для защиты домашнего ПК при доступе в Интернет, использовать его в ЛВС сложнее.
- ICF прекрасно обходится троянскими программам, которые вместо прослушивания порта организуют отправку данных по email или устанавливают соединение с удаленным сервером по своей инициативе - ICF пропустит исходящий запрос и позволит пройти ответу. В этом плане ICF существенно проигрывает другим персональным Firewall, которые информирут пользователя о попытках приложений обмениваться с сетью
Общая оценка:
Отличное средство для защиты ПК в Интернет начального уровня. Я бы назвал вещи своими именами, т.е. ICF по сути не Firewall, а NAT. Уровень защиты от сканирования и атаки извне при использовании настроек по умолчанию на очень высоком уровне - все мои сканеры показали отсутствие ответов от ПК и отсутствие открытых портов. Если дополнить это тем фактом, что ICF не нужно инсталлировать и он практически не потребляет ресурсов, то это выдвигает его в разряд лидеров
Internet Connection Firewall, ICF - встроенный брандмауэр Windows XP SP2
Инсталляция и деинсталляция: Установка не требуется, является штатным средством XP (входит в пакет обновлений SP2 для XP). Включение производится в настройках сетевого адаптера. Следует заметить, что при установке SP2 или при установке XP с интегрированным SP2 кроме Firewall в системе появляется центр обеспечения безопасности, который может показывать настройки ICF
Достоинства:
- Все достоинства, присущие его предыдущей версии;
- Появилась возможность индивидуальной настройки для приложений (приложению можно прописать, по каким портам и с какими ПК можно работать). Правила для приложений можно включать и выключать. Еще одним полезным моментом является запрет индивидуальных исключений-настроек одним чекбоксом в основном окне, что позволяет быстро перейти в режим максимальной безопасности;
- При нарушении правил выводится окно с предупреждением и возможностью запретить или разрешить активность приложения;
Недостатки и особенности:
- По моему мнению сырой драйвер, на котором основан Firewall. Во время тестов я не менее 5 раз наблюдал "синий экран смерти", после таких повисаний Firewall самопроизвольно отключался (после перезагрузки его приходилось включать вручную). Это опасно, т.к. после такой аварийной загрузки ПК не защищен. Кроме того, я наблюдал полное зависание из-за конфликта с драйвером TDI от утилиты TDIMon, в момент старта APS (т.е. Firewall не справился с попытком массового открытия множества портов). Замечу, что такие ошибки носят разовый характер, т.е. при моделировании ситуации, приведшей к повисанию мне не удавалось его повторить. Однако, тем не менее факт есть факт - виснет он часто;
- По умолчанию в исключениях разрешен доступ по портам 135,137,138,445 для подсети класса C компьютера (т.е. при выходе в Интернет можно заполучить вирус от соседей). Вывод - это исключение нужно запретить или настроить;
- Выводимое окно сообщения (см. рисунок) крайне неинформативно - нет информации о имени exe файла, его местоположении; нет данных о том, по какому порту и к какому хосту идет попытка обращения (или какие порты программа пытается прослушивать ... вместо этого потрясающее сообщение "... брандмауер заблокировал некоторые возможности программы" . Узнать подробности невозможно (хотя кнопочка "Подробнее" прямо напрашивается);
- При разрешении активности программы в окне запроса (кнопка "Разблокировать") программе разрешается прослушивание любого порта и обмен с любым ПК в Интернет по любому порту ... Что, по моему мнению, избыточно и опасно.
Общая оценка:
Оценка аналогична оценке предыдущей версии - хорошая встроенная защита в Интернет начального уровня. В новой версии интерфейс стал немного лучше, появились новые возможности ... но по сравнению с другими Firewall он конечно никакой критики не выдерживает. По субъективной оценке стабильность у новой версии хуже.
Sygate Personal Firewall Pro 5.5 build 2525
Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.
Достоинства и особенности:
- В окне информации о сетевом событии (в режиме обучения) выводится детальная информация о программе (версия, описание, полный путь, ID процесса, параметры подключения (адреса и порты), данные о пакете (MAC адреса, заголовок и фрагмент пакета). Это очень полезно в режиме обучении Firewall;
- Можно создавать правила фильтрации по MAC адресу;
- Правила могут действовать по расписанию;
- Встроенная IDS. Тесты показали, что уверенно опознаются атаки типа сканирования портов, "пинг смерти", разные виды флуда порта. IDS может блокировать атакующего (блокировка ведется на 10 минут);
- Имеется система оповещения по email;
- Достаточно удобный просмотрщик протоколов;
- Процесс имеет защиту от завершения (стандартными средствами остановить его невозможно);
- Есть режим полного блокирования трафика на время работы экранной заставки
- Есть режим полного захвата пакетов (по сути получается аналог сниффера, полезно для анализа пакетов)
Недостатки:
- Существенных недостатков не замечено
Общая оценка:
Хороший Firewall в плане функциональности, стоит обратить внимание на то, что он может использовать правила фильтрации трафика по MAC адресам, производить захват пакетов для их последующего анализа, содержит хорошо работающую IDS
ISS BlackIce 3.6.cci
Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем, но в ходе инсталляции возникает ошибка в библиотеке ikernel. Эта-же ошибка возникла и при деинсталляции. Возникнование данной ошибки не влияет на процесс установки и удаления программы. Инсталлятор не потребовал перезагрузку системы, что для Firewall необычно
Достоинства и особенности:
- После инсталляции не требуется перезагрузка
- Содержит систему "AP" - некий "Firewall для процессов" - позволяет отслеживать появления новых программ и блокировать их запуск в возможностью обучения. Это полезно для борьбы с червями и троянскими программами.
- Может проводить захват пакетов для их последующего анализа
- Опознает типовые атаки - сканирование портов, SYN флуд
- В информации по атакующему показывает его MAC и данные Netbios
Недостатки и особенности:
- Может быть удален как процесс, защита при этом пропадает
- Содержит достаточно строгий интерфейс, которому на мой взгляд не хватает информативности (это не недостаток, а констатация факта)
Общая оценка:
Достаточно функциональный Firewall, ничем существенным не выделяется
Visnetic Firewall 2.2
Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.
Достоинства и особенности:
- Содержит функцию блокирования сетевого трафика при условии, что Firewall еще не запущен или его процесс принудительно завершен;
- Правила фильтрации трафика могут строиться на основе MAC адреса;
- Содержит детектор сканирования портов, в котором есть настройка, позволяющая автоматически блокировать атакующий хост;
- Имеется функция захвата пакетов;
- Содержит функцию оповещения по email;
- Содержит функцию экспорта правил в текстовом виде (для распечатки, анализа)
- Поддерживает удаленное администрирование - по умолчанию порт 8519
Недостатки:
- Не привязывает сетевую активность к процессам. Т.е. является Firewall в чистом виде. Однако подавляющее большинство персональных Firewall обладают такой функцией
- Процесс модет быть удален и на короткое время до его автоматического восстановления компьютер уязвим (опция блокирования трафика при отсутствии Firewall сводит этот недостаток к нулю)
- В меню, вызываемом по правой кнопке мыши над иконкой в SysTray есть переключение режима работы - пропускать все пакеты, фильтр, блокировать все пакеты. Опцию отключения фильтрации трафика лично я бы вообще не вводил
Общая оценка:
Хороший Firewall, достаточно функциональный. Но не хватает возможности привязки сетевой активности к породившим ее процессам - эта возможность очень полезна для персонального Firewall.
Look n stop personal firewall 2.05
Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка. Для работы устанавливает свой драйвер.
Достоинства и особенности:
- Правила могу строится с учетом MAC адреса, есть возможность привязки правила к процессу
- Виден как процесс, но удаление этого процесса не приводит к выключению защиты
Недостатки:
- В окне запроса (в режиме обучения) абсолютный минимум информации о программе и вообще нет информации собственно о факте сетевой активности. Это серьезный минус, т.к. по сообщению "Программа желает соединиться с Интернет" принимать решения о разрешении/блокировании действия сложно
- Очень большое потребление ресурсов во время отражения атаки - на слабом ПК во время атаки вполне возможна ситуация DoS. Процессор Pentium 4 c с тактовой частотой 3 ГГц загружался на время атаки на 60-75% (в тестах других Firewall нагрузка была несущественна - менее 5%)
- Протокол непрерывно обновляется на каждое событие - во время флуда портов или сканирования портов работать с ним невозможно
- Работа бортовой IDS никак положительно себя не проявила, явные атаки она не детектировала
Общая оценка:
Простой Firewall, на уровне других проигрывает по интерфейсу и функциональности, сильно нагружает процессор в моменты атаки.
Kaspersky AntiHacker 1.5
Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.
Достоинства и особенности:
- Хорошо действующая бортовая IDS. Уверенно распознаются типовые атаки, атакующий хост блокируется на заданное время. Особенностью IDS является возможность просмотра обнаруживаемых типов атак (с кратким пояснением, в чем состоит тот или иной тип атаки) и настройки параметров (что очень полезно и важно, причем для каждой разновидности атаки есть специфичные для нее параметры);
- Информативное окно системы обучения. В режиме обучения есть возможность однократной блокировки запрошенного действия;
- Есть режим невидимости (который включается независимо от других настроек) и регулировка уровня безопасности
- Есть возможность просмотра прослушиваемых портов и установленных соединений с привязкой к процессу;
- Содержит встроенный набор типовых правил (которые могут быть удалены или отредактированы)
- Процесс AntiHacker-а виден в списке процессов, но имеет защиту от удаления
- Малое потребление ресурсов во время работы и в моменты отражения атаки
Недостатки:
- Нет возможности построения правил фильтрации трафика по MAC адресу
- Во время настроки один раз имело место полное повисание системы ("экран смерти")
- Во время обучения удалось пробить защиту по нескольким портам (это, как показали тесты, типовая проблема многих Firewall) - это произошло в момент создания правила. После настройки правил пробить Firewall не удалось
- Блокировка и разблокировка атакующих проходит автоматически с занесением отметки в протокол, но я не нашел возможности просмотра списка заблокированных хостов с возможностью ручной разблокировки и настройки исключений
Общая оценка:
Хороший Firewall, содержит отличную IDS. Предоставляет типовые для современного Firewall функции.
Получить подробное описание Kaspersky AntiHacker 1.5 и приобрести его можно в магазине OZON Kaspersky Anti-Hacker
Tiny Personal Firewall Pro 6.0
Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.
Достоинства:
- Хороший инсталлятор - позволяет выбрать компоненты (можно отказаться от установки ненужного компонента);
- Информативное окно системы обучения. В режиме обучения есть возможность однократной блокировки запрошенного действия, создания правил;
- Есть достаточно мощный "Firewall системных операций" - т.е. кроме функций Firewall еще есть возможность отслеживать и блокировать нежелательную активность приложений (по отношению к реестру, файлам, запуску приложений, установке сервисов) ... - все это настраивается. Для приложений ведется контроль цифровой подписи в формате MD5 (т.е. привязка идет не к имени программы, а еще и к ее MD5 хешу - это позволит поймать заражение программы вирусом или подмену программы). В режиме обучения, таким образом, программа информирует о системной и сетевой активности приложений. Есть возможность аудита системных операций (аудит настраивается).
- Очень неплохая IDS - все ее правила можно просматривать и редактировать. В базе IDS уже имеется большое количество правил для разных троянов/backdoor, разнообразных видов атак ... Все правила сгруппированы по категориям и могут активироваться индивидуально (или активируются/выключаются все правила группы). В правиле могут фигурировать не только порты и адреса, но содержимое пакета (включая поля заголовка пакета);
- Содержит встроенный набор типовых правил (которые могут быть удалены или отредактированы). По умолчанию привила позволяют довольно много - стоит начать работу их анализа и ужесточения;
- Правила можно создавать на уровне конкретных пользователей - это позволяет индивидуально настроить Firewall многопользовательской среде
- Управление и мониторинг событий выполнены в виде двух отдельных приложений - это экономит память, т.к. их можно выгрузить и загружать по необходимости. Центр управления можно защитить паролем;
- Firewall имеет встроенный NAT и ICS, есть поддержка VPN (правда я ее не тестировал)
Недостатки и особенности:
- Много настроек (очень много). Это естественно не недостаток (скорее плюс), но рекомендовать такой Firewall начинающему пользователю я бы не стал;
- В настройке по умолчанию IDS вяло реагирует на явные атаки, секция WEB атак и Backdoor у нее вообще отключена.
- При включении большинства встроенных правил имели место ложные срабатывания IDS - например, при посещении www.ozon.ru IDS был замечен "вредоносный java script" - ничего подобного на самом деле там конечно не было
- Процессы Firewall видны в памяти и могут быть удалены;
- Я не нашел возможности создания правил по MAC адресам;
- За время тестирования центр управления несколько раз "падал" с ошибкой защиты памяти, но на работу Firewall это не оказывало влияния;
Общая оценка:
Хороший Firewall, содержит хорошую настраиваемую IDS и отличные средства мониторинга операционной системы (т.е. по сути Tiny не Firewall, а антихакерский комплекс, что мне в нем и понравилось). Собственно Firewall-ная часть предоставляет типовые для современного Firewall функции. Перед эксплуатацией рекомендуется провести тщательную настройку правил Firewall и его IDS.
McAfee Personal Firewall Plus 6.0 Build 6014
Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.
Достоинства:
- Небольшой размер, наличие мастера, позволяющего начинающему пользователю настроить Firewall;
- Есть визуальный индикатор трафика и карта, на которой отображается продполагаемое местоположение атакующего;
- Удаление процессов Firewall не привело к пропаданию защиты
Недостатки и особенности:
- В настройке по умолчанию оказались открыты многие опасные порты (я пробовал выбирать разные профили, но результат примерно одинавок);
- Окно сообщения о попытке доступа приложения в сеть неиформативно (нет данных о том, c каким IP идет попытка соединения, по каким портам, нет полного пути к программе и дополнительных данных по нему ...);
- Не прослеживается возможность ручного создания правил фильтрации пакетов. Я не нашел такой возможности - может быть, она и есть - но закопана далеко .... Правила для приложений есть, но крайне примитивны (разрешить приложению все, запретить все);
- Блокирование прослушивая порта, по моему мнению, сделано очень некорректно - все исследованные мной Firewall позволяли программе открыть порт на прослушивание (и при запрете в правилах Firewall обмена с сетью программа просто не получала по этому порту пакеты). В данном случае блокируется открытие порта - это приводит к ошибкам в некоторых программах;
- IDS отсутствует - я проводил лобовые атаки (сканирование портов в 200 потоков, флуд порта со скоростью 2000 соединений/сек ...) - Firewall не выдал никаких сообщений или предупреждений. Зато он обнаружил прихождение на мой ПК единичного пакета по порту 514 (Syslog) и записал это в протокол.
- В ходе тестов отмечался некий интересный глюк в системе - перестали отображаться иконки на рабочем столе
Общая оценка:
Весьма примитивный Firewall, ориентированный на уровень начинающего пользователя. Очень бедные возможности, IDS не определяет явные атаки
R-Firewall 1.0 Build 43
Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. Размер дистрибутива небольшой (3.8 МБ), можно настроить состав продукта. Работа достаточно стабильная, на эталонном ПК явных сбоев и зависаний не замечено
Достоинства:
- Небольшой размер;
- Два уровня настройки - упрощенный для начинающего и расширенный для опытного пользователя;
- Содержит детектор атак, фильтр контента для блокирования баннеров, скриптов и т.п. Детектор атак реагирует на сканирование портов, флуд (правда флуд считается как Single port scan)
- Детектирует внедрение посторонних DLL в критические процессы типа iexplorer.exe, предупреждая с указанием библиотеки и процесса. Правда не содержит системы проверки цифровых подписей или базы чистых файлов, поэтому ругается на все, включая системные DLL
- Блокиратор контента реально опробирован на сайтах типа cracks.am, что показало его работоспособность (конечно, блокирование не стопроцентное, но файктс срабатывания имеет место)
- Есть профили настроек с правилами для распространенных программ, что может быть полезно для начинающего пользователя
Недостатки и особенности:
- Окно системы обучение не информативно (не выводится полный путь к программе-нарушителю и подробной информации о ней). В случае работы троянской DLL в сообщение фигурирует не DLL, а применяющая ее программа. Например, на тестах Backdoor.Win32.Thunk.i (библиотека c:windowscpu.dll) был запущен через rundll32.exe - в сообщениях firewall ругался именно на эту DLL
- Процессы не защищены от убиения, нет контроля установки посторонних драйверов и записи в чужие процессы, из-за чего защита не может быть всесторонней. После убиения управляющих процессов защита судя по всему частично сохраняется, обмен с сетью по крайней не блокируется и ряд тестовых TrojanDownloader смогли успешно работать и обмениваться с Интернет. Убиение процессов провело к отказу контроля за внедрением посторонних DLL
- Я не обнаружил (по крайней мере на поверхности) возможностей фильтрации по MAC адресам
- Интерфейс и система построения правил лично мне показалась немного запутанной
Общая оценка:
Еще один Firewall, ничем радикально новым или особенным не обличается. Главный его плюс (и несомненный на мой взгляд) состоит в том, это этот продукт бесплатный - один только этот момент может перечеркнуть все его минусы и недостатки.
Общие выводы и заключение
Итак, подведем итоги тестов. По сути, тесты подтвердили мои теоретические представления о состоянии проблемы:
- Firewall нужно настраивать. Все тестируемые Firewall неплохо работали, но только после настройки (обучения, создания настроек вручную - не важно). Эксплуатация ненастроенного Firewall может нанести больше вреда, чем пользы (он пропустит опасные пакеты и наоборот, будет мешать полезным программам);
- После настройки Firewall и IDS нужно тестировать - это тоже достаточно очевидный вывод, но тем не менее он важен. Первый шаг к созданию тестера я сделал - это утилита APS. Осталось еще два - имитатор троянской програмы (т.е. утилита, которая будет выполнять безопасные для пользователя попытки "сломать" Firewall изнутри (естественно, атаки будут описаны базой данных и будут проводиться по команде пользователя под его управлением), что позволит наблюдать за реакцией Firewall и IDS) и утилита для экспресс-сканирования портов и проведения базовых атак (по сути APS с точностью до наоборот - база портов у них может быть общая). Разработкой этих утилит я уже занимаюсь - их наличие в арсенале пользователя позволит произвести некий "инструментальный контроль".
- Персональный Firewall уязвим перед вредоносными программами, работающими из контекста полезных. Вывод - как минимум долой разные "левые" панели и прочие BHO из браузера и электронной почты !! Перед установкой любого плагина, панели, утилиты расширения и т.п. нужно десять раз подумать о их необходимости, т.к. они не являются отдельными процессами операционной системы и работают из контекста родительской программы . Троянская программа легко детектируется персональным Firewall - он "видит", что некоторый процесс (скажем, bo2k.exe) пытается начать прослушивание порта xxxxx или обмен с неким хостом - выдается запрос о допусимости, пользователь начинает разбираться, что же это за "bo2k.exe" и Backdoor оказывается пойман. А вот если бы троянская программа работала из контекста браузера, то на обращение браузера в Интернет почти наверняка никто не обратит внимание. Такие троянские программы существуют, ближайший пример - TrojanDownloader.IstBar - он устанавливается именно как панель IE (в процессах его естественно нет, в списке автозапуска - тоже);
- Многие персональные Firewall видны как процессы операционной системы и могут быть остановлены вирусом. Вывод - за работой Firewall нужно следить и его внезапное завершение может служить сигналом о проникновении на ПК вируса;
- Некоторые Firewall (например Kerio) допускают дистанционное управление - функцию дистанционного управления необходимо или отключить, или запаролить.
Источник здесь.