трудности.
ПРИМЕЧАНИЕ
Если вы хотите подробнее узнать о серверных межсетевых экранах, обратитесь к гл. 7.
В рамках данного раздела мы попытаемся выяснить, какому из популярных в настоящее время брандмауэров можно доверить безопасность нашей системы. Особый акцент будет сделан на объективные «за и против», ведь не секрет, что идеального продукта нет в принципе.
Мы не будем распыляться на бессмысленное тестирование каждого из нижеперечисленных продуктов с указанием самого стильного GUI и количества кнопок, а сразу же остановимся на двух несомненных лидерах в своем классе (межсетевые экраны для рабочих станций) – Zone Alarm Firewall и Agnitum Outpost Firewall, – заслуживающих пристального внимания среди IT-специалистов и обычных пользователей. Рассмотрим эти брандмауэры подробнее и постараемся отметить все плюсы и минусы данных продуктов.
ZoneAlarm
Итак, встречайте, наш первый герой – ZoneAlarm; не побоюсь этого слова, знаменитый межсетевой экран, отмеченный наградами таких авторитетных изданий, как PC World, PC Magazine и др.
ZoneAlarm является брандмауэром, оптимизированным для использования на домашнем компьютере или рабочем месте в организации. На основании выбранного уровня безопасности (Internet/Trusted Zone) ZoneAlarm блокирует или разрешает установление определенных соединений с локальной сетью и Интернетом, предупреждает о попытках установить несанкционированные соединения и блокирует их.
Краткое описание. ZoneAlarm (следут также упомянуть платную версию брандмауэра ZoneAlarm Pro, отличающуюся от бесплатной наличием модуля Antispyware и доработанными модулями MailSafe и Programm control) содержит:
¦ собственно, сам межсетевой экран, имеющий достаточно удобный инструмент, чтобы в момент 'обрубить' всю сетевую активность (удобная красная кнопка);
¦ модуль контроля сетевой активности программ, содержащий 'грозный замок';
¦ инструменты для установления уровней безопасности и зон безопасности;
¦ функцию MailSafe для проверки прикрепленных файлов к почтовым сообщениям, а также модуль контроля состояния антивирусного ПО.
В ZoneAlarm предусмотрен режим работы Stealth, позволяющий оставаться невидимым из Сети (одним из таких инструментов невидимости является запрет на ICMP-эхо-ответ).
Программа проста в установке. В принципе, установив все по умолчанию, можно говорить, что настройки закончены. В случае же если ваш ПК подключен к локальной сети, придется немного повозиться, иначе простая попытка зайти на вашу папку, открытую для общего доступа, закончится уведомлением типа 'Блокирована атака'.
По умолчанию после установки в программе стоит высший уровень защищенности для Интернета (Internet Zone Security) и средний для локальной сети (Trusted Zone Security).
Так называемый Stealth mode, который является наивысшим уровнем безопасности для любой из перечисленных зон, как уже следует из названия, призван обеспечить невидимый режим, подразумевающий защиту от хакеров (хотя, как мне лично кажется, никакая подобная кнопка, даже такая как Hidden and protected from hackers, все равно не спасет).
Каждому приложению на компьютере можно разрешить или запретить обращаться к локальной сети и Интернету.
Попытки 'вылазки' новых приложений в сеть регистрируются мгновенно, при этом пользователю предлагается более чем простой выбор: либо разрешить доступ, либо нет. Все 'алерты' неизвестной сетевой активности будут понятны даже самым неопытным пользователям, ведь окно предлагает всего два выбора – открыть соединение или отказаться от него. К тому же подобные сообщения имеют в своем составе вариант: хотите ли вы, чтобы программа запомнила этот ваш выбор на будущее. Все без исключения обращения к Сети протоколируются, даже при условии, что вывод информационных сообщений отключен.
Настройки. Настройки программы рассчитаны даже на неопытного пользователя. В отличие от других аналогичных брандмауэров, в ZoneAlarm используется более простой подход управления– пользователь выбирает нужный ему «уровень безопасности» для работы в Интернет и для локальной сети. На основе этого выбора ZoneAlarm самостоятельно определяет правила работы.
Интересной особенностью программы, пожалуй, можно считать возможность блокирования доступа в Сеть с использованием всего одной кнопки (!).
Пожалуй, одной из интереснейших особенностей ZoneAlarm можно считать криптографическую подпись для доверенных приложений. Именно благодаря данной функции все попытки так называемой маскировки одних программ под другие (а именно так часто и действуют троянские кони) сводятся на нет.
Ну что ж, описание действительно заставляет задуматься: за интуитивно простым интерфейсом ZoneAlarm кроется 'грозный страж' с достаточно качественно написанным ядром и оригинальным алгоритмом inbound/outbound-контроля. Ко всему прочему действия пользователя в случае атаки извне доведены до минимума – достаточно нажать на красную кнопку.
Agnitum Outpost Firewall
Итак, посмотрим, чем же так хорош наш второй герой – Agnitum Outpost Firewall Pro (в данном случае мы рассматриваем версию 4.0; ввиду многочисленности настроек ограничимся лишь описанием ключевых особенностей работы; в ходе описания будут прокомментированы некоторые моменты, дабы их смысл оказался максимально понятным широкому кругу читателей).
Итак, Outpost Firewall обеспечивает проактивную защиту, блокирующую все известные на сегодняшний день методики обхода безопасности (ликтесты), таким образом полностью предотвращая утечку важных данных с компьютеров пользователей. Новый контроль Anti-Leak объединяет технологии контроля скрытых процессов и контроля памяти процессов, доступные в предыдущих версиях, и предоставляет набор дополнительных возможностей, таких как блокировка попыток получения контроля над другим приложением, внедрения компонентов, контроля окон приложения, запуска приложения с параметрами командной строки и др.
Ну что ж, достаточно недурно. Однако, как вы увидите позже, ликтесты отнюдь не являются показателем того, что брандмауэр действительно лучший.
Блокировка попыток получения контроля над другим приложением, внедрения компонентов, контроля окон приложения, запуска приложения с параметрами командной строки – все из перечисленных технологий являются попыткой достойно ответить на эволюционирующие виды вредоносного ПО (руткиты, троянские кони с функциями внедрения в уже работающие приложения и процессы) (рис. 6.3).
Рис. 6.3. Окно Outpost Firewall
Новый анализатор сигнатур spyware обеспечивает еще более качественное обнаружение вредоносного ПО для улучшения защиты пользователей от всех известных, а также модифицированных и самых новых версий вредоносных программ. Для получения более качественных результатов сканирования spyware- сканер, наряду с построением контрольных сумм по целому файлу, имеет возможность детектировать вредоносное ПО по неизменяемой, уникальной части файла.
Ну что ж, очень даже неплохо. В описании подразумевается использование как сигнатурного поиска, так и поиска по контрольной сумме файла (получается этакий гибрид между обычным антивирусом-полифагом и ревизором).
Outpost Firewall использует новую процедуру проверки на основе Secure Hash Algorithm (SHA) 256 для определения приложений во время автоматического создания правил сетевого доступа через ImproveNet. Это позволяет Outpost Firewall Pro гораздо более точно определять приложения и, следовательно, создавать и распространять оптимальные наборы правил.
Технологии, описанные выше, призваны предотвратить случаи, когда spyware пытается выйти в Сеть, маскируясь под доверенное приложение, например Internet Explorer. В основе такой защиты стоит криптографическая подпись, создаваемая брандмауэром для каждого отдельного приложения, формируя таким образом уникальный PID – гарант того, что данная программа является тем, за кого она себя выдает.
В Outpost Firewall также есть специально разработанный 'Игровой режим', который позволяет не отвлекать пользователя и не прерывать его во время игры и при этом защищает систему во время игр или
