На дворе 2002 год. Прошлый, то есть 2001 год, всеми экспертами по безопасности был единодушно назван годом вирусов и троянов, и по оценке все тех же специалистов, в году нынешнем ждать улучшения ситуации не приходится. В таких боевых условиях вопросы защиты компьютера от злонамеренных сетевых воздействий становится задачей первоочередной важности.
Пожалуй, самой первой линией обороны компьютера в наши дни стали персональные файрволлы (firewalls), иначе говоря, брандмауэры. Сейчас на рынке представлено огромное количество подобных программных продуктов разной степени сложности. Как выбрать хороший, и более или менее понятный в работе брандмауэр?
Попытаемся ответить на этот вопрос, обратив внимание на два совершенно независимых друг от друга файрволла, выпущенных совсем недавно с интервалом в несколько дней. Речь пойдет о новой версии хорошо известной в определенных кругах программы ZoneAlarm Pro 3.0 (http://www.zonealarm.com/) и новом персональном файрволле Kerio Personal Firewall 2.1 (http://www.kerio.com/), ведущем свое происхождение от популярной программы Tiny Personal Firewall.
С первой программой все более или менее ясно — очередная версия, новые возможности и т. д. и т. п. Несколько более запутано обстоят дела с Kerio Personal Firewall. Дело в том, что все права на исходные коды Tiny Personal Firewall купила компания Kerio, которая переманила к себе всю группу разработчиков, занимавшуюся созданием программы.
Единственное, чем пришлось пожертвовать, — названием, так как компания Tiny занялась разработкой нового файрволла под старой маркой. Правда, теперь заниматься этим будут совсем другие люди, да к тому же с нуля. А старая, знакомая многим Tiny Personal Firewall далее будет развиваться под новым именем — Kerio Personal Firewall. Вот такая история. Именно эти программы выбраны потому, что совсем недавно вышли свежие их версии и они могут претендовать на звание «файрволла сегодняшнего дня».
Как построить стену
Сначала немного теории. Всякий персональный брандмауэр, независимо от своих индивидуальных черт, выполняет одну основную задачу — ведет контроль всего сетевого траффика вашей машины. При этом отмечаются и заботливо записываются в логи все сеансы установленные любым приложением по любому порту. События эти не только регистрируются, но еще и обрабатываются в соответствии с неким набором правил.
Если соединение этим правилам не удовлетворяет, то оно безжалостно блокируется, а пользователь получает соответствующее предупреждение. Таким образом удается не только блокировать сетевые атаки, но и нарушать деятельность троянских коней, которые просто не смогут отправить хакеру собранную информацию о вашем компьютере.
На словах все это получается довольно просто, однако на самом деле как раз организация этих правил надлежащим образом может превратиться в сущий кошмар для неподготовленного пользователя. Начнем с того, что все учебники по настройке и эксплуатации брандмауэров в один голос твердят, что единственный способ добиться эффективной работы программы — запретить все соединения вообще, а затем, при помощи соответствующих правил, разрешить только необходимые для работы сеансы. Так, например, надо организовать беспрепятственный доступ к Сети браузера, интернет-пейджера, менеджера закачки файлов, FTP-клиента и прочих утилит, для работы которых нужен интернет.
Процесс формирования таких правил работы файрволла на конкретной машине с конкретным набором сетевых приложений можно сравнить с обучением или дрессировкой. В идеале брандмауэр должен быть совершенно «прозрачен» для разрешенных программ и «непроницаем» для всех остальных, сетевая активность которых не разрешена специальным правилом. Кстати, таким способом удается остановить и отправку всевозможной информации о пользователе, которую собирают вполне «легальные» программы, вроде Windows Media Player. О том, насколько гладко и безболезненно выполняют свою задачу два новейших файрволла, мы и поговорим.
Фундамент
Театр, как известно, начинается с вешалки, стена — с фундамента, а программа с инсталляции. Kerio Personal Firewall встала быстро, пришлось всего дважды ткнуть крысой в кнопку Next и перезагрузить машину. При этом программа честно предупредила, что по первому времени будет блокировать сетевую активность всех без разбора приложений, и лишь затем, в процессе обучения (дрессировки), начнет разрешать соединения с Сетью тем приложениям, для которых будут созданы специальные правила. В этом смысле все сделано очень грамотно и в полном соответствии с учебником.
Несколько больше времени заняла инсталляция ZoneAlarm Pro. Этот брандмауэр в процессе установки поинтересовался именем пользователя, местом его работы и адресом электронной почты. Сделано это было под благовидным предлогом бесплатной рассылки обновлений и т. п. Несколько испортил впечатление от такой заботы тот факт, что без заполнения всех необходимых полей установку продолжить никак нельзя.
Далее было предложено два возможных типа установки. Первый — Upgrade (как много в этом звуке!). Этот тип установки предусматривает возможность сохранения всех правил, накопленных предыдущей версией программы. Таким образом, якобы можно избежать повторной дрессировки. Однако тут же разработчики честно предупреждают, что возможны всякие нестыковки, и поэтому они рекомендуют провести установку «с нуля» и начать работу с настройками по умолчанию.
Перед окончанием инсталляции предлагается выбрать тип соединения с интернетом, тип используемого компьютера (персональный, семейный, ноутбук и т. д.) и квалификацию пользователя (здесь представлены самые разные варианты, от начинающего юзера до специалиста IT). Так как в последнем случае количество доступных настроек должно быть максимальным, именно последний вариант и был выбран в качестве оптимального. Программа не заставила перезагружаться, а сразу предложила запустить монитор сетевой активности.
Скажу сразу, что у обеих программ пришлось отбивать охоту автоматически загружаться при запуске системы. Если с ZoneAlarm Pro все было более или менее ясно (потребовалось только удалить ярлык из автозагрузки), то с Kerio Personal Firewall пришлось помучаться, найти в настройках соответствующую функцию и запретить автоматическую загрузку. Теперь, когда все заработало так как надо, можно приступать к основной части работы, а именно — к тестированию программ на соответствие заявленным характеристикам. Начать я решил с Kerio Personal Firewall.
Запущенная программа сразу блокировала первое обращение к Сети ICQ, аналогичным образом она поступила и с любимым IE, который попытался загрузить домашнюю страничку. После соответствующих указаний обе программы получили свой законный доступ к Сети и заработали так, как им и полагается. Аналогичным образом брандмауэр обошелся и с менеджером закачек ReGet, который попытался докачать заказанные ранее файлы.
После разрешения на работу приложений все вернулось в привычную колею. Окно статуса, которое, кстати, в данном брандмауэре является основным источником информации об установленных соединениях и прокачанных через них объемах информации, честно демонстрировало все работающие процессы и их траффик.
Большинство соединений, как оказалось, поддерживает системное приложение svchost.exe, в его работу Kerio Personal Firewall никак не вмешивается и никаких предупреждений не выдает. Программа также не ограничивает и деятельность IE, которому после первого разрешения на сетевую активность, видимо, было дано добро на любую деятельность, включая загрузку баннеров, всплывающих окон и других раздражающих пользователей элементов коммерческой жизни интернета.
Было получено одно предупреждение о попытке установить FTP-соединение извне, в сообщении указывался IP-адрес запрашивающего и предлагалось заблокировать его по самые уши. После согласия на блокировку никаких повторных сообщений не выдавалось.
Почтовый клиент вызвал сообщение о неразрешенной активности лишь однажды, при первом обращении в Сеть, после полученного разрешения работал со всеми почтовыми серверами без каких-либо действий с моей стороны. Фактически, брандмауэр разрешил данному приложению обращение по любому адресу и любому порту. О том, насколько такой либеральный подход хорош, мы поговорим позднее, а сейчас пора проверить в работе нашего второго претендента — ZoneAlarm Pro.
При первом запуске брандмауэр открыл главное окно, которое является центром управления всеми функциями программы. Лично мне это показалось удобным и особенно уместным именно при первом запуске софтины. Здесь сразу можно установить различные уровни безопасности и изменить другие параметры. Ничего этого я делать не стал, так как интересна была работа файрволла, настроенного по умолчанию.
Поначалу ситуация развивалась аналогичным образом, как и при использовании Kerio Personal Firewall — программа перехватывала все запросы на соединение и предлагала разрешить или запретить доступ к Сети какому-то конкретному приложению. Как и Kerio Personal Firewall, второй брандмауэр разрешал приложениям обращаться к любому порту и любому адресу.
При работе с почтовым клиентом забивать разрешение на соединение с каждым конкретным почтовым сервером не пришлось, разрешили все сразу. Уходили письма тоже без каких-либо действий с моей стороны. Из этого можно сделать вывод, что соединение разрешается и на вход и на выход сразу. Приятным отличием от рассмотренного выше файрволла стало автоматическое вырезание баннеров, хотя и не всех. Всплывающих окон тоже замечено не было, позднее выяснилось, что блокировка таких вещей входит в конфигурацию по умолчанию.
При запрете на загрузку какого-либо элемента страницы файрволл выдавал короткое информационное сообщение, которое через пару секунд самостоятельно пропадало с экрана. Происходило это даже в тех случаях, когда один и тот же элемент блокировался повторно. Кстати, было сделано интересное наблюдение — если успеть кликнуть крысой на вышеописанное краткоживущее сообщение, то происходит автоматическое открытие центра управления брандмауэром, причем как раз в режиме настройки уровней безопасности загружаемого содержимого. Очень удобно.
В остальном серьезных различий замечено не было, программы функционировали приблизительно одинаковым образом и доставали пользователя (то есть меня) с одинаковой частотой.
Настройка
Настройки — самое святое, что только есть в брандмауэре. Именно способность гибко соответствовать требованиям конкретной ситуации и конкретного пользователя делает файрволл мощным средством организации безопасного серфинга в Сети. Начнем опять-таки с Kerio Personal Firewall.
Возможности настройки этого файрволла равномерно распределены между двумя основными элементами — окном сетевого монитора и специальным центром управления. Первый элемент, как я уже писал, демонстрирует все открытые на текущий момент соединения.
Для каждого из них можно посмотреть следующие параметры: исполняемый файл приложения, запросивший сеанс связи; протокол, по которому ведется обмен информацией; локальный адрес (порт, через который ведется передача); удаленный адрес (IP-адрес и порт на сервере, с которым ведется обмен пакетами); текущий статус (статус соединения на текущий момент, может принимать значения: прием, передача, установка соединения, закрытие соединения); дата создания соединения (с точностью до секунды); количество переданных байт информации; скорость передачи; количество полученных байт информации; скорость приема.
Повлиять на указанные параметры непосредственно — невозможно, таблица носит чисто информативный характер. Все настройки, доступные в этом окне, вызываются при помощи ниспадающих меню. Первое из них — File — вместо привычных пунктов фактически наличествует только возможность полного прекращения деятельности брандмауэра или, в качестве единственной альтернативы, доступ к центру управления, о котором мы поговорим чуть ниже. Второе меню — Logs — предлагает познакомиться с логами файрволла (кстати, при выборе этого пункта программа демонстрирует пустой экран, не обезображенный даже намеком на какие-то там логи) или посмотреть статистику.
Она разбита на три основные группы: стандартная статистика (здесь можно посмотреть количество переданных и полученных пакетов и количество переданных и полученных байт), статистика протоколов (информация об используемых протоколах с количеством пакетов полученных и отосланных), ну и, наконец, статистика собственно файрволла (количество блокированных соединений, полученных датаграмм UDP и т. д.). Надо сказать, что информация, которую можно почерпнуть из этих статистических сведений, может, и полезна для общего развития, но совершенно никак не помогает в понимании процессов работы сетевых служб.
Последним ниспадающим меню является Settings (Help в расчет не берем). Предвосхищая ваши вопросы, скажу — настроек там нет. То есть, нет собственно настроек брандмауэра. Вместо этого при помощи нескольких строк меню можно настроить характер отображаемой информации. Например, скрыть все локальные соединения или запретить показ номеров портов, с которыми установлено соединение. Таким образом, в окне монитора можно настраивать только характер и полноту отображаемых им параметров, влиять же на работу файрволла отсюда никак нельзя, для этого необходимо обратиться непосредственно к центру управления.
Вызывается он при помощи правого клика на иконке в списке задач или при помощи меню File в окне монитора сетевой активности. В центре композиции — знакомый всем и каждому ползунок уровня безопасности. Он имеет всего три уровня. Самый низкий — полное отсутствие всякого контроля за характером устанавливаемых соединений и типом передаваемой или получаемой информации. Фактически, эффективность работы брандмауэра при таком уровне безопасности равна нулю.
Выбор среднего уровня требует от пользователя подтверждения каждого нового соединения, для которого не существует заранее записанного правила. Этот уровень надо признать наиболее практичным, так как понятно, что ничего без вашего ведома происходить не будет. Именно такой уровень выставлен программой по умолчанию. Максимальный уровень безопасности подразумевает автоматический запрет всех новых попыток соединения.
В этом режиме возможна работа приложений, для которых уже имеются соответствующие правила. Если правило отсутствует, то запрос на соединение отклоняется без уведомления пользователя. По всей видимости, этот режим можно использовать только при полной уверенности, что все нужные вам приложения уже записаны в правилах, а новые вам не нужны.
Сами правила можно создавать, удалять и редактировать, только воспользовавшись кнопкой Advance, расположенной в непосредственной близости от ползунка. В «редакторе» можно увидеть записанные для каждого конкретного приложения запрещенные или разрешенные действия. Каждую запись можно добавить, удалить или изменить. Вызвав одну из этих функций, мы попадаем в специальное отдельное окно настройки правила. Здесь можно менять следующие параметры: имя приложения, путь к исполняемому файлу, разрешенный сетевой протокол, разрешенное направление работы (только на прием, только на отсылку или и то и другое), тип порта приложения, адрес удаленного сервера, порт удаленного сервера и т. д.
Для каждого приложения может быть создано не одно, а несколько правил, которые будут выполняться одновременно. Так, например, при первом обращении IE к Сети, брандмауэр автоматически сформировал сразу два правила, певое — разрешающее соединения по протоколу TCP с любым адресом и портом, второе — запрещающее соединения по протоколу UDP с любым адресом и портом. Аналогичным образом программа разобралась и с почтовым клиентом. На этом все необходимые настройки закончились. Посмотрим, как там обстоят дела у ZoneAlarm Pro.
Разница сразу бросается в глаза. Количество настроек огромно! Центр управления напичкан всевозможными закладками, чекбоксами, индикаторами и прочими нужными (и иногда не очень) аксессуарами. По умолчанию в главном окне демонстрируется количество блокированных попыток доступа, количество программ, которым запрещен доступ к Сети в соответствии с текущим набором правил, индикатор входящего и исходящего траффика и масса дополнительной информации. Описать все настройки просто не представляется возможным, так что ограничимся самыми основными.
Итак, закладка Firewall. Начнем с того, что весь интернет программа условно делит на безопасную зону, зону интернета и запрещенную зону. Правила безопасности, регулируемые ползунками, как и в предыдущем случае, устанавливаются для доверенной зоны и зоны интернета раздельно. Есть три основных положения, соответствующие наиболее часто используемым уровням безопасности. Каждый из ползунков имеет кнопку доступа в режим ручных настроек.
Настройки разделены, для каждого уровня безопасности можно настроить свои правила взаимодействия с различными сетевыми службами.
Закладка Program Control. Здесь представлен список всех приложений, которые хоть раз пытались обратиться к Сети. Для каждой такой программы описаны правила доступа к Сети для всех зон безопасности. Все указанные в таблице параметры регулируются вручную непосредственно здесь. Сделано довольно удобно, а главное, имеется возможность описания правил работы одного и того же приложения в различных условиях.
Есть также опция разрешения и запрета или любых методов доступа, или, к примеру, только по данному адресу и порту. Здесь же имеется ползунок, позволяющий, не вникая в тонкости настройки, сразу выставить один из четырех доступных уровней безопасности. В разделе Components можно посмотреть все используемые библиотеки и их права на доступ к Сети.
По правому клику программа предоставляет возможность открыть директорию, в которой содержится указанный компонент, посмотреть его свойства, изменить права доступа и т. д. Судя по всему, при должном терпении и старательности можно настроить все как нельзя лучше, однако, поскольку времени нет, а старания приходится прилагать в других областях, рекомендую воспользоваться ползунком и этим ограничиться.
Закладка Alerts and Logs. Название закладки говорит само за себя. Здесь представлен список всех зарегистрированных событий с указанием вызвавших их приложений, использовавшихся протоколов, времени соединения, IP-адресами обеих сторон и т. д. При помощи все тех же ползунков можно настроить правила записи логов, подробность сохраняемой информации, а также события, которые можно не отмечать. Примечательно, что, обратившись к каждой записи, можно (правым кликом) послать запрос на получение более подробной информации. Запрос при этом уходит на сайт разработчиков, и в окошке IE вы получаете подробную справку о том, почему ZoneAlarm Pro среагировал на событие именно так, а не как-нибудь иначе.
Закладка Privacy. Смерть «печенюшкам», однозначно! Ползунок Cookies control имеет три основных положения. Первое разрешает любые cookies, второе разрешает записывать оные только при работе с персонализированными сервисами, а третье, соответственно, запрещает запись cookies вообще. Имеется режим ручной настройки, в нем вы можете запрограммировать фильтр таким образом, чтобы, к примеру, блокировались только «жучки», или выбрать какой-то иной тип настройки. На этой же закладке расположено управление функцией блокировки всяких всплывающих окон, баннеров и прочего. Ползунок имеет три положения.
В нижнем разрешено все, среднее положение запрещает элементы, требующих более 3 секунд на загрузку, ну и на максимальном уровне запрещено буквально все. Этот режим использовать не советую, так как на практике проверено, что почти половина всей графики не грузится именно по причине параноидального отношения файрволла к картинкам. Оптимальным является второй уровень, так как он запрещает загружать объемные элементы и реально «экономит» траффик.
Естественно есть и режим автоматической настройки параметров, так что при наличии желания и свободного времени можно настроить все индивидуальным образом. Главное — не забывайте проверять результаты настроек, они могут вас удивить. Третий раздел закладки позволяет запрещать или разрешать всевозможные скрипты, элементы управления, анимацию и т. д. Ползунка не имеет, есть только переключатель «запретить-разрешить». Более детальные настройки — в ручном режиме.
Уф… Осталась последняя закладка. Называется она Email Protection и предназначена для защиты от почтовых вирусов. Настроек здесь почти никаких нет, есть только переключатель «включить-выключить». На работе почтового клиента эта функция никак не сказывается, почта с вирусами пролезает при любом положении переключателя. Здесь же имеется раздел, в котором указаны все типы прикрепленных файлов, которые являются подозрительными, среди них все исполняемые файлы, файлы с расширениями chm, cpl, hta и другие, всего около сорока наименований. Типы файлов можно удалять или добавлять.
Если вы думаете, что я тут описал все настройки ZoneAlarm Pro, то это не так. На самом деле, их гораздо больше, и в некоторых по силам разобраться только настоящему сисадмину. Неопытного пользователя может спасти лишь внимательное прочтение Tutorial, ссылка на который имеется непосредственно в главном окне программы.
Субъективно
После настройки обеих программ было проведено небольшое тестирование, которое показало, что оба брандмауэра вполне сносно справляются со своими обязанностями. Что же касается личных впечатлений, то вот они: Kerio Personal Firewall, хоть и располагает значительно меньшим количеством настроек, включает в себя все необходимые для полноценной работы функции.
Всерьез не хватает только возможности блокировки всплывающих окон и баннеров. Во всех остальных смыслах программа удобная и ничем не уступает, а по ряду параметров даже превосходит, своего непосредственного предка Tiny Personal Firewall.
Что же касается ZoneAlarm Pro, то, хотя наличествует блокировка баннеров, всплывающих окон и cookies, надо отметить крайнюю перегруженность файрволла настройками, которые почти наверняка никогда не пригодятся простому пользователю персонального компьютера. Что характерно: когда я установил уровень подготовки пользователя на «beginner», количество настроек никак не изменилось, хотя было бы логично ожидать от программы некоторого упрощения интерфейса.
Выводы напрашиваются сами собой — если вы не стремитесь долгими часами корпеть над тонкими настройками брандмауэра и с ювелирной точностью расписывать ему разрешенные и запрещенные действия, то вам, безусловно, больше подойдет Kerio Personal Firewall. Эта программа — хороший выбор для большинства пользователей — неброский интерфейс, отсутствие склонности к панике, простота эксплуатации…
В противном случае, если вы сами относите себя к категории «хмурых админов» и при этом располагаете свободным временем для дрессировки натасканного на все плохое файрволла, то имеет смысл остановить свой выбор на ZoneAlarm Pro, здесь-то вы точно сможете развернуться вовсю.
Автор: Николай Барсуков
