Kerio Technologies WinRoute Pro v4.2.5

Методика тестов

Тестирование производилось на экспериментальном ПК под управлением лицензионной Windows XP с установленным SP1 (тестирования проводились в идеализированных условиях - "операционная система + Firewall" для исключения влияния других программ на чистоту эксперимента). В качестве индикатора успешного доступа к сервисам использовалась утилита APS. В качестве средств внешнего воздействия применялись:

• сканер XSpider 6.5 и 7.0
• Retina Network Security Scanner 4.9
• NMAP
• несколько сканеров моей разработки.

Кроме того, применялся сниффер CommView 4.1 (в качестве средства наблюдения за сетевым трафиком и в качестве утилиты для генерации и отправки пакетов с различными нарушениями в структуре). Применялись т.н. флудеры (flooder) распространенных типов, утилиты для имитации троянских программ.

На испытательном ПК в качестве средств доступа к сети и Интернет применялся IE 6, Outlook Express 6, TheBat 1.60, MSN Messanger 6.1. Кроме них в тесте участвовали имитаторы троянских программ и реальные троянские / Backdoor программы из моей коллекции (в частности Backdoor.Antilam, Backdoor.AutoSpy, Backdoor.Death, Backdoor.SubSeven, Backdoor.Netbus, Backdoor.BO2K), сетевые / почтовые вирусы (I-Worm.Badtrans, I-Worm.NetSky, I-Worm.Sircam, I-Worm.Mydoom, I-Worm.MSBlast), загрузчики троянских программ TrojanDownloader (в частности TrojanDownloader.IstBar) и шпионские SpyWare компоненты. Главной задачей тестов была попытка взглянуть на Firewall глазами пользователя, отметить его сильные и слабые с моей точки зрения стороны.

Kerio Technologies WinRoute Pro v4.2.5

Инсталляция и деинсталляция:
Проходит без проблем.
Установка с настройками "по умолчанию", без правил - действует только NAT. Работа в сети - без проблем, результаты сканирования - APS не показывает состояние тревоги, сканер считает, что все порты закрыты. Сам Winroute не выдает сигналов тревоги и никак визуально не идентифицирует факт сканирования.

Скриншоты:

1. Главное окно

Достоинства:

1. Функционирует сразу после установки, дыры отсутствуют даже без настроек;
2. NAT трансляция сразу дает существенную защиту от сканирования портов и удаленных атак;
3. Хорошо построено протоколирование

Недостатки и особенности:

1. Пароль администратора должен быть задан сразу после установки, иначе возможно удаленное отключение Firewall или его перенастройка;
2. Процессы видны в памяти под характерными именами и их уничтожение приводит к отключению защиты - APS поднял тревогу в момент уничтожения процессов;

Общая оценка:
Winroute - это серьезный продукт, гибрид Firewall, прокси сервера, NAT транслятора, простого почтаря …, он требует настройки и понимания принципов работы сети.

ZoneLabs ZoneAlarm Pro with Web Filtering 4.5.594.000 - Personal Firewall

Инсталляция и деинсталляция:
В ходе установки подвесил XP в ходе попытки запуститься после инсталляции. После перезагрузки все заработало нормально.

Скриншоты:

1. Предупреждение о нарушении правила
2. Главное окно
3. Таблица правил фильтрации пакетов

Достоинства:

1. По умолчанию у него практически ничего не разрешено (в отличие от Outpost)

Недостатки и особенности:

1. Несколько запутанный на мой взгляд интерфейс
2. Firewall виден в списке задач и не препятствует своему удалению - после удаления защита отключается (APS тут же фиксирует тревогу)

Общая оценка:
Персональный Firewall среднего класса, вполне соответствующий современным требованиям. Несколько запутанный англоязычный интерфейс является его минусом

AtGuard 3.22>

Инсталляция и деинсталляция:
Инталляция и деинсталляция особых проблем не вызывает

Достоинства:

1. Небольшой по размеру Firewall, имеет интересное решение с точки зрения интерфейса - он выполнен в виде панели, размещаемой вверху экрана

Недостатки и особенности:

1. В режиме обучения уязвим - с момента вывода запроса на создание правила до его создания пропускает пакеты в обоих направлениях
2. Интерфейс немного поглючивает при перерисовке окон

Общая оценка:
Простой Firewall, однако вполне функциональный

Kerio Personal Firewall 4

Инсталляция и деинсталляция:
Установка проходит без проблем, удаление "чистое" - проблем после деинсталляции не замечено.

Скриншоты:

1. Главное окно - закладка протоколы
2. Фильтр пакетов - настройка

Достоинства:

1. Антитроянские механизмы - может обнаруживать и блокировать запуск одной программы из другой (можно настроить правила), запуск новой программы. В настройках три градации (разрешить, запретить, спросить);
2. Показывает, какие из запущенных приложений прослушивают порты
3. Имеет механизмы обучение;
4. Может настраиваться вручную;
5. Имеет IDS, которая определяет типовые атаки, в частности сканирование портов;
6. Может блокировать подозрительные куки (cookies)

Недостатки и особенности:

1. Разрешения по умолчанию позволяют работать по 135 порту
2. Есть ряд мелких багов, например при задании опции Alert в настройках фильтра пакетов в условиях атаки с Firewall работать невозможно - выскакивающее окно с сообщением об атаке забирает на себя фокус ввода
3. В условиях большой нагрузки периодически подтормаживает (это совершенно не критично для работы по модему)
4. Firewall виден в списке задач и не препятствует своему удалению - после удаления защита отключается (APS тут же фиксирует тревогу)

Общая оценка:
Хороший Firewall, я бы поставил его на одну ступень с Outpost.

ISS BlackIce 3.6.cci

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем, но в ходе инсталляции возникает ошибка в библиотеке ikernel. Эта-же ошибка возникла и при деинсталляции. Возникнование данной ошибки не влияет на процесс установки и удаления программы. Инсталлятор не потребовал перезагрузку системы, что для Firewall необычно

Скриншоты:

1. Главное окно

Достоинства и особенности:

1. После инсталляции не требуется перезагрузка
2. Содержит систему "AP" - некий "Firewall для процессов" - позволяет отслеживать появления новых программ и блокировать их запуск в возможностью обучения. Это полезно для борьбы с червями и троянскими программами.
3. Может проводить захват пакетов для их последующего анализа
4. Опознает типовые атаки - сканирование портов, SYN флуд
5. В информации по атакующему показывает его MAC и данные Netbios

Недостатки и особенности:

1. Может быть удален как процесс, защита при этом пропадает
2. Содержит достаточно строгий интерфейс, которому на мой взгляд не хватает информативности (это не недостаток, а констатация факта)

Общая оценка:
Достаточно функциональный Firewall, ничем существенным не выделяется

Visnetic Firewall 2.2

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Скриншоты:

1. Главное окно

Достоинства и особенности:

1. Содержит функцию блокирования сетевого трафика при условии, что Firewall еще не запущен или его процесс принудительно завершен;
2. Правила фильтрации трафика могут строиться на основе MAC адреса;
3. Содержит детектор сканирования портов, в котором есть настройка, позволяющая автоматически блокировать атакующий хост;
4. Имеется функция захвата пакетов;
5. Содержит функцию оповещения по email;
6. Содержит функцию экспорта правил в текстовом виде (для распечатки, анализа)
7. Поддерживает удаленное администрирование - по умолчанию порт 8519

Недостатки:

1. Не привязывает сетевую активность к процессам. Т.е. является Firewall в чистом виде. Однако подавляющее большинство персональных Firewall обладают такой функцией
2. Процесс модет быть удален и на короткое время до его автоматического восстановления компьютер уязвим (опция блокирования трафика при отсутствии Firewall сводит этот недостаток к нулю)
3. В меню, вызываемом по правой кнопке мыши над иконкой в SysTray есть переключение режима работы - пропускать все пакеты, фильтр, блокировать все пакеты. Опцию отключения фильтрации трафика лично я бы вообще не вводил

Общая оценка:
Хороший Firewall, достаточно функциональный. Но не хватает возможности привязки сетевой активности к породившим ее процессам - эта возможность очень полезна для персонального Firewall.

Kaspersky AntiHacker 1.5

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Скриншоты:

1. Окно запроса в режиме обучения
2. Главное окно программы (скриншот снят в момент срабатывания IDS на атаку типа сканирования портов)
3. Окно настройки детектора атак

Достоинства и особенности:

1. Хорошо действующая бортовая IDS. Уверенно распознаются типовые атаки, атакующий хост блокируется на заданное время. Особенностью IDS является возможность просмотра обнаруживаемых типов атак (с кратким пояснением, в чем состоит тот или иной тип атаки) и настройки параметров (что очень полезно и важно, причем для каждой разновидности атаки есть специфичные для нее параметры);
2. Информативное окно системы обучения. В режиме обучения есть возможность однократной блокировки запрошенного действия;
3. Есть режим невидимости (который включается независимо от других настроек) и регулировка уровня безопасности
4. Есть возможность просмотра прослушиваемых портов и установленных соединений с привязкой к процессу;
5. Содержит встроенный набор типовых правил (которые могут быть удалены или отредактированы)
6. Процесс AntiHacker-а виден в списке процессов, но имеет защиту от удаления
7. Малое потребление ресурсов во время работы и в моменты отражения атаки

Недостатки:

1. Нет возможности построения правил фильтрации трафика по MAC адресу
2. Во время настроки один раз имело место полное повисание системы ("экран смерти")
3. Во время обучения удалось пробить защиту по нескольким портам (это, как показали тесты, типовая проблема многих Firewall) - это произошло в момент создания правила. После настройки правил пробить Firewall не удалось
4. Блокировка и разблокировка атакующих проходит автоматически с занесением отметки в протокол, но я не нашел возможности просмотра списка заблокированных хостов с возможностью ручной разблокировки и настройки исключений

Общая оценка:
Хороший Firewall, содержит отличную IDS. Предоставляет типовые для современного Firewall функции.
Получить подробное описание Kaspersky AntiHacker 1.5 и приобрести его можно в магазине OZON Kaspersky Anti-Hacker

R-Firewall 1.0 Build 43

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. Размер дистрибутива небольшой (3.8 МБ), можно настроить состав продукта. Работа достаточно стабильная, на эталонном ПК явных сбоев и зависаний не замечено

Скриншоты:

1. Окно настройки уровня безопасности
2. Окно сообщения о попытке приложения получить доступ в сеть

Достоинства:

1. Небольшой размер;
2. Два уровня настройки - упрощенный для начинающего и расширенный для опытного пользователя;
3. Содержит детектор атак, фильтр контента для блокирования баннеров, скриптов и т.п. Детектор атак реагирует на сканирование портов, флуд (правда флуд считается как Single port scan)
4. Детектирует внедрение посторонних DLL в критические процессы типа iexplorer.exe, предупреждая с указанием библиотеки и процесса. Правда не содержит системы проверки цифровых подписей или базы чистых файлов, поэтому ругается на все, включая системные DLL
5. Блокиратор контента реально опробирован на сайтах типа cracks.am, что показало его работоспособность (конечно, блокирование не стопроцентное, но файктс срабатывания имеет место)
6. Есть профили настроек с правилами для распространенных программ, что может быть полезно для начинающего пользователя

Недостатки и особенности:

1. Окно системы обучение не информативно (не выводится полный путь к программе-нарушителю и подробной информации о ней). В случае работы троянской DLL в сообщение фигурирует не DLL, а применяющая ее программа. Например, на тестах Backdoor.Win32.Thunk.i (библиотека c:\windows\cpu.dll) был запущен через rundll32.exe - в сообщениях firewall ругался именно на эту DLL
2. Процессы не защищены от убиения, нет контроля установки посторонних драйверов и записи в чужие процессы, из-за чего защита не может быть всесторонней. После убиения управляющих процессов защита судя по всему частично сохраняется, обмен с сетью по крайней не блокируется и ряд тестовых TrojanDownloader смогли успешно работать и обмениваться с Интернет. Убиение процессов провело к отказу контроля за внедрением посторонних DLL
3. Я не обнаружил (по крайней мере на поверхности) возможностей фильтрации по MAC адресам
4. Интерфейс и система построения правил лично мне показалась немного запутанной

Общая оценка:
Еще один Firewall, ничем радикально новым или особенным не обличается. Главный его плюс (и несомненный на мой взгляд) состоит в том, это этот продукт бесплатный - один только этот момент может перечеркнуть все его минусы и недостатки.

Общие выводы и заключение

Итак, подведем итоги тестов. По сути, тесты подтвердили мои теоретические представления о состоянии проблемы:

1. Firewall нужно настраивать. Все тестируемые Firewall неплохо работали, но только после настройки (обучения, создания настроек вручную - не важно). Эксплуатация ненастроенного Firewall может нанести больше вреда, чем пользы (он пропустит опасные пакеты и наоборот, будет мешать полезным программам);
2. После настройки Firewall и IDS нужно тестировать - это тоже достаточно очевидный вывод, но тем не менее он важен. Первый шаг к созданию тестера я сделал - это утилита APS. Осталось еще два - имитатор троянской програмы (т.е. утилита, которая будет выполнять безопасные для пользователя попытки "сломать" Firewall изнутри (естественно, атаки будут описаны базой данных и будут проводиться по команде пользователя под его управлением), что позволит наблюдать за реакцией Firewall и IDS) и утилита для экспресс-сканирования портов и проведения базовых атак (по сути APS с точностью до наоборот - база портов у них может быть общая). Разработкой этих утилит я уже занимаюсь - их наличие в арсенале пользователя позволит произвести некий "инструментальный контроль".
3. Персональный Firewall уязвим перед вредоносными программами, работающими из контекста полезных. Вывод - как минимум долой разные "левые" панели и прочие BHO из браузера и электронной почты!! Перед установкой любого плагина, панели, утилиты расширения и т.п. нужно десять раз подумать о их необходимости, т.к. они не являются отдельными процессами операционной системы и работают из контекста родительской программы. Троянская программа легко детектируется персональным Firewall - он "видит", что некоторый процесс (скажем, bo2k.exe) пытается начать прослушивание порта xxxxx или обмен с неким хостом - выдается запрос о допусимости, пользователь начинает разбираться, что же это за "bo2k.exe" и Backdoor оказывается пойман. А вот если бы троянская программа работала из контекста браузера, то на обращение браузера в Интернет почти наверняка никто не обратит внимание. Такие троянские программы существуют, ближайший пример - TrojanDownloader.IstBar - он устанавливается именно как панель IE (в процессах его естественно нет, в списке автозапуска - тоже);
4. Многие персональные Firewall видны как процессы операционной системы и могут быть остановлены вирусом. Вывод - за работой Firewall нужно следить и его внезапное завершение может служить сигналом о проникновении на ПК вируса;
5. Некоторые Firewall (например Kerio) допускают дистанционное управление - функцию дистанционного управления необходимо или отключить, или запаролить.

 

Методика тестов

Тестирование производилось на экспериментальном ПК под управлением лицензионной Windows XP с установленным SP1 (тестирования проводились в идеализированных условиях - "операционная система + Firewall" для исключения влияния других программ на чистоту эксперимента). В качестве индикатора успешного доступа к сервисам использовалась утилита APS. В качестве средств внешнего воздействия применялись:

• сканер XSpider 6.5 и 7.0
• Retina Network Security Scanner 4.9
• NMAP
• несколько сканеров моей разработки.

Кроме того, применялся сниффер CommView 4.1 (в качестве средства наблюдения за сетевым трафиком и в качестве утилиты для генерации и отправки пакетов с различными нарушениями в структуре). Применялись т.н. флудеры (flooder) распространенных типов, утилиты для имитации троянских программ.

На испытательном ПК в качестве средств доступа к сети и Интернет применялся IE 6, Outlook Express 6, TheBat 1.60, MSN Messanger 6.1. Кроме них в тесте участвовали имитаторы троянских программ и реальные троянские / Backdoor программы из моей коллекции (в частности Backdoor.Antilam, Backdoor.AutoSpy, Backdoor.Death, Backdoor.SubSeven, Backdoor.Netbus, Backdoor.BO2K), сетевые / почтовые вирусы (I-Worm.Badtrans, I-Worm.NetSky, I-Worm.Sircam, I-Worm.Mydoom, I-Worm.MSBlast), загрузчики троянских программ TrojanDownloader (в частности TrojanDownloader.IstBar) и шпионские SpyWare компоненты. Главной задачей тестов была попытка взглянуть на Firewall глазами пользователя, отметить его сильные и слабые с моей точки зрения стороны.

Kerio Technologies WinRoute Pro v4.2.5

Инсталляция и деинсталляция:
Проходит без проблем.
Установка с настройками "по умолчанию", без правил - действует только NAT. Работа в сети - без проблем, результаты сканирования - APS не показывает состояние тревоги, сканер считает, что все порты закрыты. Сам Winroute не выдает сигналов тревоги и никак визуально не идентифицирует факт сканирования.

Скриншоты:

1. Главное окно

Достоинства:

1. Функционирует сразу после установки, дыры отсутствуют даже без настроек;
2. NAT трансляция сразу дает существенную защиту от сканирования портов и удаленных атак;
3. Хорошо построено протоколирование

Недостатки и особенности:

1. Пароль администратора должен быть задан сразу после установки, иначе возможно удаленное отключение Firewall или его перенастройка;
2. Процессы видны в памяти под характерными именами и их уничтожение приводит к отключению защиты - APS поднял тревогу в момент уничтожения процессов;

Общая оценка:
Winroute - это серьезный продукт, гибрид Firewall, прокси сервера, NAT транслятора, простого почтаря …, он требует настройки и понимания принципов работы сети.