Архивы: по дате | по разделам | по авторам

Стены из огня

Архив
автор : Александр Красоткин   03.11.2004

Эта статья родилась в результате длительных наблюдений за чертовой дюжиной представителей отряда «Брандмауэры программные» в их естественной среде обитания.

Эта статья родилась в результате длительных наблюдений за чертовой дюжиной представителей отряда «Брандмауэры программные» в их естественной среде обитания. Их внешний вид, особенности характера, реакция на явное нападение и тайную угрозу станут сегодня темой исследования, цель которого — выяснить, кому же из рассмотренных особей можно доверить охрану нематериальных ценностей на персональном компьютере.

Оставив на время аналогию с фауной и перейдем к техническим материям. По своей функциональности современные программные брандмауэры зачастую напоминают швейцарские перочинные ножи с неимоверным набором инструментов, хотя от продуктов этого класса требуется контролировать лишь три вещи: сетевой трафик, доступ пользовательских/системных программ в сеть и активные элементы в web/e-mail-документах. Поэтому, описывая характеристики брандмауэров, я разделил их на две категории. В первую попали параметры, наиболее важные для выполнения вышеуказанных трех функций. А те, что не критичны для общей надежности защищаемой системы, отнесены ко второй.

Для анализа надежности систем защиты я подобрал несколько тестов.

Одна из функций брандмауэра — маскировка защищаемой системы от стороннего наблюдателя, благодаря чему она становится «невидимой» для сетевых методов исследования. Идеология этого метода защиты проста: «Если цели нет, то и атаковать ее незачем». Надежность подобной уловки исследовалась при помощи Stealth-теста ресурса PC Flank.

В другом исследовании проверялись способности брандмауэра предотвратить несанкционированную передачу данных с защищаемой системы. Для этого использовалась серия Leak-тестов (тесты проницаемости/утечки), цель которых была одна: незаметно для брандмауэра сбросить информацию в Интернет.

Проверка межсетевых экранов на тестах утечки проходила в двух режимах: доступ в сеть разрешен только для доверенных программ; доступ блокирован для всех. Результаты позволили получить достаточно полное представление о надежности персональной защиты.

Достоверность показаний о проницаемости исследуемой защиты контролировалась снифферром — программой-перехватчиком, анализирующей передаваемые по сети данные. Подобная перекрестная проверка позволяла отфильтровать «ложные срабатывания», когда тесты показывали, что «сброс» прошел успешно, а на самом деле был блокирован брандмауэром (Тех, кто решит повторить эксперименты по проверке надежности сетевой защиты. Исполнительные файлы тестов следует получать с ресурсов разработчиков. В противном случае, есть шанс встретиться с подделкой, не только демонстрирующей уязвимость защиты, но и активно ее использующей).

Теперь поделюсь личным впечатлением от работы с брандмауэрами. Для каждого участника обзора указывается его рейтинг, учитывающий со знаком плюс количество первостепенных критериев, а со знаком минус — число пропущенных тестов.

Kaspersky ANTI-HACKER (KAVPF)

Рейтинг: +5/–9

Интерфейс программы логичен и прост. Новичку не составит труда с ним разобраться. В брандмауэр входит система обнаружения вторжений (детектор атак). Она определяет десять наиболее распространенных сетевых нападений. К сожалению, добавлять или изменять описания нападений нельзя.

Работа KAVPF в связке c Kaspersky Anti-Virus Monitor дала не многое. Был заблокирован лишь запуск двух тестов: Ghost и FireHole. Остальные отработали незаметно для антивируса. Его включение почти не повлияло на проницаемость брандмауэра.

Но больше всего огорчило, что при работе брандмауэра в «среднем» режиме безопасности тестовая система была подбита вирусом Sasser. До того как я успел ответить на запрос брандмауэра о разрешении или блокировке удаленного соединения с 445-м портом своего тестового компьютера, появилось системное сообщение (полагаю, знакомое многим), известившее о неожиданном завершении работы системного сервиса lsass.exe и последующей перезагрузке. Впрочем, я успел сделать скриншот экрана. За восемь часов работы с KAVPF это был единичный случай.

Следует отметить еще один факт. В сопроводительной информации указывалось, что «Режим невидимости», обеспечиваемый брандмауэром для защищаемой сетевой системы, подтвержден тестами PC Flank. Не могу согласиться с этим утверждением. Stealth-тест PC Flank при UDP сканировании определяет наличие сетевой системы, закрытой KAVPF.

Важнейшие критерии

  • Русскоязычный интерфейс. Не владея английским языком, легко совершить ошибку, дав брандмауэру неправильное указание. Критерий субъективен, но как показывает опыт, им пренебрегать нельзя.
  • Предустановленные правила для системного/пользовательского программного обеспечения. Экономят время и усилия.
  • Ограничительная структура правил доступа. Позволяет детально описать разрешенную сетевую активность программы. В противном случае доступ в сеть предоставляется глобальный, что дает простор для активности троянов.
  • Фильтрация web/e-mail трафика. Избирательная блокировка Java-апплетов, Java/VBS-скриптов, ActiveX-элементов — потенциальных способов проникновения злоумышленников на персональный компьютер через уязвимость браузера/почтовой программы.
  • Блокировка сookies. Пресечение возможности отследить перемещение по web-ресурсам.
  • Обработка вложенных в e-mail файлов. Блокировка запуска вложенных в электронное письмо исполнительных файлов (exe, com, bat, pif, scr и т. п.).
  • Проверка целостности приложений. Блокировка активности программы, при ее модификации. Потенциальные причины: обновление, заражение вирусом, подмена программы.
  • Kerio Personal Firewall (Kerio PF)

    Рейтинг: +5/–4

    Брандмауэр от Kerio Tecnologies существует в двух вариантах: полнофункциональном (Full) и ограниченном (Free). Возможности первого доступны в течение 30-дневного срока тестирования программы. Или же после покупки лицензии. В противном случае, по истечении месяца в брандмауэре станет недоступной часть функций. После чего он превратится во Free-версию, бесплатную для некоммерческого использования.

    Основными отличиями является отсутствие в KPF Free фильтрации web-трафика и блокировки рекламы. Также недоступны функции удаленного администрирования; отправки сообщений на syslog-сервер; фильтрации транзитного трафика (то есть брандмауэр не сможет работать на шлюзе) и защиты конфигурации паролем. Базового набора функций фильтрации сетевого трафика и контроля приложений изменения не коснутся.

    Также следует отметить, присутствующий как в Full- так и во Free-версиях модуль Intrusion — интегрированная система обнаружения вторжений. В отличие от многих брандмауэров, Kerio PF анализирует не только адресную информацию сетевых пакетов, но и их содержимое. Таким образом, вычисляется момент начала сетевой атаки, скрытой в разрешенном трафике. В результате можно избирательно блокировать атакующего, не прерывая доступа к открытому сервису остальным пользователям. Наличие подобной возможности существенно увеличивает защищенность подключенного к Интернету компьютера.

    Модуль Intrusion Kerio PF построен на базе системы обнаружения вторжений для небольших и средних сетей — Snort IDS, унаследовав от своего родителя набор правил для анализа трафика.

    Look’n’Stop (L’n’S)

    Рейтинг: +3/–5

    В брандмауэре уже установлен набор общих правил, описывающих наиболее типичную активность системных и пользовательских программ. Если приложению разрешить сетевую активность, то к нему автоматически применяется уже имеющийся набор общих правил, а не создается индивидуальное. Акцентирую внимание на том, что правила применяются одновременно для всех программ, то есть для одного приложения они избыточны. Если некая допущенная до сети программа начнет вести себя нетипично (например, браузер станет отсылать письма), то ее деятельность в рамках общих правил, одновременно применяемых к браузеру, почтовику и десятку других программ, не будет выглядеть подозрительной. Этот нюанс создает благоприятную среду для размножения «троянских коней».

    Создавать новые правила необходимо вручную. Эта операция требует детального знакомства со спецификой активности описываемой программы.

    Отмечу, что брандмауэр умеет работать только с одним сетевым интерфейсом, что при одновременной работе в разных сетях явно недостаточно. Переключение защиты между интерфейсами осуществляется автоматически.

    Окончательное впечатление от знакомства с L’n’S — для профессионалов по работе с напильником. У остальных есть существенный риск помучиться без достижения результата.

    Второстепенные критерии

  • Поддержка ICS (Microsoft Internet Connection Sharing). Функция, необходимая брандмауэру, установленному на компьютере — шлюзе, для фильтрации транзитного трафика между локальной сетью и Интернетом. Поскольку цель статьи пользовательские брандмауэры, а не серверные, то данному параметру присвоено второстепенное значение.
  • Защита конфигурации паролем. Мера предосторожности против индивидов, стремящихся из хорошего сделать лучшее.
  • Многопрофильная конфигурация. Индивидуальная настройка и персональный набор правил брандмауэра для каждого пользователя компьютера.
  • Доверенная группа. Список сетевых адресов, трафик с которых брандмауэром не фильтруется.
  • Ограничение доступа к web-ресурсам, или Parent control. Выборочная блокировка загрузки Интернет документов. Устанавливается как по имени ресурса, так и по наличию определенных слов в содержимом документа.
  • Блокировка рекламы. Брандмауэр «вырезает» из интернет-документов ссылки на рекламные объекты (баннеры, всплывающие окна), предотвращая их загрузку.
  • Удаленное администрирование. Возможность изменения конфигурации брандмауэра с удаленного компьютера. В случае одиночного компьютера функция избыточна.
  • Передача логов на удаленный сервер. Возможность передачи информации о сетевой активности на удаленный сервер (syslog). В случае одиночного компьютера она избыточна.
  • McAfee Personal Firewall Plus (McAfee PFP)

    Рейтинг: +3/–8

    Здесь можно отметить удобную систему представления данных. Наглядные отчеты радуют глаз лаконичной ясностью. Но, к сожалению, результаты тестов далеко не так удовлетворительны. Была предотвращена лишь самая примитивная попытка проникновения. Более изощренные методы позволяли проходить сквозь защиту без малейших усилий. Учитывая гарантии разработчиков по грандиозной защищенности системы данным брандмауэром, этот факт вызывает, по меньшей мере, удивление.

    Достойно упоминания также то, что компания Network Associates более известная под маркой McAfee, некогда включала в лицензионные соглашения о правилах использования программных продуктов пункт о недопустимости разглашения пользователем личного мнения и результатов тестирования данных программ без разрешения самой компании. Так что вы читаете этот отзыв лишь благодаря решению главного прокурора штата Нью-Йорк от 17 января 2003 года, признавшего неправомочным данное постановление.

    Norton Internet Security/Norton Personal Firewall (Norton IS/PF)

    Рейтинг Norton IS: +8/–2
    Рейтинг Norton PF: +6/–2

    Различие Norton PF и Norton IS обусловлено, скорее всего, маркетинговыми целями. Одинаковые возможности по фильтрации трафика. Различная периферия. В Norton IS к возможностям Norton PF добавлены: антивирус, многопользовательская конфигурация, контроль доступа к web-ресурсам и прочие мелочи. Революционных отличий нет. Рассматривая обе программы, стоит отметить систему фильтрация web-трафика и e-mail-сообщений с целью предотвращения утечки личной информации. Идентификаторы защищаемых данных (например, номер кредитной карты) необходимо указать заранее. Помимо этого, в состав программ входит система обнаружения вторжений. А также включен набор правил, блокирующих сетевую активность известных троянских коней.

    Outpost Pro/Outpost Free

    Рейтинг Outpost Pro: +9/–6
    Рейтинг Outpost Free: +9/–7

    Программные продукты компании Agnitum хорошо известны не только в русскоязычной части Интернета. В числе прочего, Outpost Pro рекомендован специалистами ресурса PC Flank. От себя добавлю, что замечательной особенностью брандмауэров Outpost стала возможность подключения дополнительных модулей от сторонних разработчиков. Доступ к документации по разработке модулей предоставляется свободно.

    К сожалению, результаты, показанные Outpost Pro/Free при работе с тестами проницаемости, не столь примечательны.

    Другая программа от Agnitum — Tauscan (версия 1.70.1414) на сайте разработчика представлена как «мощная система для обнаружения и обезвреживания всех известных типов троянских коней». Увы, даже ее поддержка не смогла изменить результаты тестирования брандмауэров Agnitum в лучшую сторону.

    Tiny Firewall Pro (Tiny FP)

    Рейтинг: +6/–0

    Брандмауэр, представленный Tiny Software, также как и Kerio PF, включает систему обнаружения сетевых вторжений на базе Snort IDS. Добавлена утилита импорта правил анализа, записанных в нотации Snort. Но примечателен он не этим, а системой управления программной безопасностью компьютера. В ее задачи входит: контроль целостности файлов; разрешение на запуск программ (причем не только сетевых); пресечение попыток вторжения в чужое адресное пространство; контроль запускаемых приложениями дочерних процессов; загрузка dll-библиотек; анализ OLE- и COM-объектов; и многое другое. Насколько хорошо брандмауэр это выполняет, можно увидеть по таблице результатов тестирования. Все используемые тестами методы проникновения сквозь защиту оказались блокированными.

    Стоит также отметить утилиту Tracklog Analyzer, позволяющую по изменению ряда параметров (модификация реестра операционной системы, загрузка dll-библиотек, установка сетевых соединений и т. п.), проследить историю развития различных инцидентов.

    Address space injection. Внедрение в адресное пространство доверенного процесса стороннего кода. В результате внедренный код начинает исполняться на правах взломанного процесса, получая, в частности, доступ в Интернет.
    Dll injection. Внедрение в доверенный процесс сторонней dll-библиотеки.
    Launcher. Запуск доверенной программы.
    Trojan. Попытка незамаскированной передачи данных.

    Sygate Personal Firewall Pro/Sygate Personal Firewall (Sygate PF Pro/Sygate PF)

    Рейтинг Sygate PF Pro: +2/–6
    Рейтинг Sygate PF: +2/–6

    Sygate PF Pro в режиме полной блокировки сетевой активности допускает утечку данных. Сниффер (программа перехвата сетевых пакетов) показывал как с «закрытого» брандмауэром компьютера в сеть попадают запросы ICQ клиента, обрывки запросов других программ и тестов. Этого вполне хватило DNS tester для успешного проникновения сквозь защиту.

    Sygate PF — это уже знакомая нам Pro-версия, только с обрезанной функциональностью. Работая с ним, можно легко пасть жертвой собственной защиты, поскольку отключены несколько важных параметров работы брандмауэра. От родительской версии, соответственно, наследованы и недостатки.

    ZoneAlarm Pro/ZoneAlerm (ZA Pro/ZA)

    Рейтинг ZA Pro: +6/–0
    Рейтинг ZA: +1/–7

    ZoneAlarm Pro, по данным PC Magazin, один из наиболее распространенных брандмауэров среди европейских пользователей. Как видно по результатам тестов, такой выбор сделан не зря. Переходя к некоммерческой версии брандмауэра — ZA, отмечу: упрощенную систему контроля сетевых приложений; контроль только одного вида почтовых вложений — VBS скриптов; отсутствие системы контроля передачи конфиденциальной информации. Эти и другие модификации, сильно уменьшают функциональность брандмауэра по сравнению с Pro — версией, что также отразилось в результатах тестов.

    Windows Firewall

    Несколько слов об участнике обзора, идущем вне конкурса, — Windows Firewall из состава Windows XP Service Pack 2. Увы, его возможности не впечатлили. Есть избирательная блокировка входящих соединений. И никакого контроля исходящих. Как следствие — лишь односторонний контроль активности программ. Интерфейс изменился, а вот функциональных отличий от Internet Connection Firewall (ICF) из SP 1 не видно. Вся серия тестов прошла успешно. Обновленный брандмауэр никого не остановил. Комментарии излишни.

    Своеобразным эпиграфом к эпилогу обзора можно было бы выбрать пословицу: «Два юриста — три мнения». Анализ результатов тестирования и возможностей брандмауэров однозначно показывает лидеров обзора, тем не менее…

    Любознательным рекомендовал бы обратить внимание на Look’n’Stop. Удобный интерфейс для экспериментов с правилами фильтрации трафика, станет хорошим подспорьем для изучения общих принципов работы брандмауэров.

    Испытывающим проблемы с иностранным языком будет удобен Outpost Pro. Широкий набор возможностей поможет защититься от большинства опасностей Интернета.

    Желающим получить максимально возможную на сегодняшний день защиту следует сделать выбор между ZoneAlarm Pro и Tiny Firewall Pro. На мой взгляд, первый более удобен в работе.

    P.S. Список брандмауэров не ограничен рассмотренными выше. Есть множество интересных программных защит, оценить надежность которых можно самостоятельно, применив описанные здесь методики.
    P.P.S. Суммарное время тестирования брандмауэров составило 264 часа. За это время было зафиксировано 1149 сетевых инцидентов.

    © ООО "Компьютерра-Онлайн", 1997-2024
    При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.