Брандмауэры – защитники от опасностей Интернета

В Мой Мир

Опубликовать

Вы не успели поработать в Сети и трех минут, как появилось сообщение о критическом сбое системы, и компьютер выключился. Перезагрузка не помогла: произошло то же самое. Знакомая ситуация? Диагноз ComputerBild: на вашей машине поселился интернет-червь Blaster и вовсю бесчинствует.
Программы-защитники, применяемые при работе в Сети, так называемые брандмауэры («файерволлы»), умеют отражать подобные атаки. Эти «защитные стены» существуют в двух вариантах: в виде программ и модулей, встроенных в современные маршрутизаторы (роутеры). Какие предпочесть? Или использовать те и другие вместе? В сравнительном тестировании участвовало по 6 представителей того и другого класса.

Что делает брандмауэр?
Давным-давно брандмауэрами (это по-немецки, а по английски – «файерволлами») называли кирпичные стены в деревянных зданиях, в случае пожара блокировавшие огонь и не дававшие ему охватить всю постройку. Современные компьютерные брандмауэры выполняют сходную функцию – они защищают, но уже не от огня, а от атак из сети, чаще всего из Интернета. Условно, брандмауэр (иногда его называют – межсетевым экраном) располагается между Интернетом (или другой сетью) и компьютером либо домашней сетью. Он работает своего рода «вахтером», контролирующим весь трафик – как входящий, так и исходящий. А вы для него – босс, дающий указания, каким программам можно обмениваться данными с Интернетом, а каким – нет. Для этого у каждого брандмауэра есть соответствующие настройки. К тому же он умеет отражать атаки некоторых вредоносных программ, например червя Blaster.

От чего защищает брандмауэр?
От несанкционированного проникновения в ваш ПК. А именно от интернет-мошенников, которые с помощью внедренных на компьютер программ-«вредителей», таких как backdoor-программы, захватили управление им и могут теперь удалять, изменять или красть ваши файлы. А также от проникновения шпионских программ, которые незаметно отправляют своим хозяевам ваши личные данные через Интернет. Кроме того, брандмауэр дает больше контроля над деятельностью установленных на вашем компьютере программ. Так, например, он даст знать о намерении Windows, Проигрывателя Windows Media, Word или Excel передать разработчику какую-либо информацию.

От чего брандмауэр не защищает?
Брандмауэры, как и любая другая защита, не спасут от опасностей, которые сами впустили на свою территорию. Они не защитят, например, от вирусов или червей, случайно или по ошибке получивших доступ к вашему ПК в результате ваших же действий – например, щелчка по какой-нибудь ссылке на веб-странице или скоропалительного ответа на предложение установить какую-либо программу, которыми пестрят страницы сомнительных сайтов. Против распространяемых по электронной почте вирусов и массовых рассылок (спама) брандмауэр столь же мало эффективен, как и против попыток мошенничества по электронной почте (фишинга). Наконец, против вирусов, занесенных при обмене файлами, полученными от других пользователей на носителях (флэш- или оптических дисках, дискетах и т.д.).

Совет CompuetrBild

Вы хотите установить брандмауэр, победивший в тестировании? Удалите имеющуюся защитную программу и только потом приступайте к инсталляции нового брандмауэра. После этого необходимо установить антивирусную программу (тест антивирусов см. ComputerBild № 8/2006). В результате этих действий защита вашего компьютера от самых серьезных опасностей станет намного надежней.

Какие дополнительные защитные программы необходимы?
Максимальную безопасность обеспечивает только эшелонированная оборона. Чтобы возвести надежные линии обороны вокруг своего компьютера, дополнительно к брандмауэру следует установить на компьютере ряд защитных программ:

• Антивирус, который необходимо обновлять (чем чаще, тем лучше) через Интернет. Он защитит от вирусов, червей и других вредоносных программ. От спама и фишинг-писем поможет спастись спам-фильтр (см. ComputerBild № 3/2006). Часто все эти средства, включая брандмауэры, объединены в составе пакетов комплексной защиты ПК (например, Norton Internet Security или Kaspersky Internet Security).
• Программу, которая защитит вас от финансовых потерь при работе «диалеров» (программ автоматического набора телефонных номеров). Они удобны, но горе, если попадут под контроль злоумышленника. Этот момент особенно важен в том случае, если ваше подключение к Сети осуществляется не через DSL, а по обычному dial-up-модему. Специальная программа распознает попытку набрать номер провайдера и тут же блокирует ее. Такая функция есть и во многих антивирусных программах.
• Антишпионскую программу, которая избавит ПК от программ-паразитов, собирающих сведения о ваших предпочтениях. Брандмауэры могут предотвратить отправку шпионами данных в Интернет, но удалить самих вредителей они не способны.
• Фильтр рекламы для электронной почты, чтобы рекламный мусор (спам) не попадал в ваш почтовый ящик (см. ComputerBild № 2/2006).

Эксперимент ComputerBild: доступ в Интернет без брандмауэра и антивирусной защиты

Некоторые считают страх перед атаками хакеров и зловредных вирусов необоснованным, а опасность – сильно преувеличенной. Чтобы выяснить, так ли это на самом деле, эксперты ComputerBild подключили пару компьютеров через DSL к Интернету. На одном компьютере была установлена Windows XP Home Edition Service Pack 1. На втором – пакет обновлений Service Pack 2 (с включенным встроенным брандмауэром Windows XP). Ни один из компьютеров не имел антивирусной защиты. Во время теста эксперты вели поиск в Сети через Google. Обнаружив в поисковике видеофайл, тестировщики воспроизводили его с помощью Проигрывателя Windows Media. Результат оказался ужасным: на компьютере без Service Pack 2 оказалось столько «заразы», полученной из Интернета, что работать с ним стало просто невозможно! Windows XP с SP 1 Первые признаки атак хакеров не заставили себя долго ждать. Передача данных за несколько минут замедлилась, и скорость загрузки веб-страниц упала до черепашьей. Это характерный симптом активной деятельности программ-«вредителей», передающих данные с вашего компьютера в Интернет. Не прошло и пяти минут, как компьютер стал выходить из-под контроля – одно за другим стали появляться сообщения об ошибках. Спустя двенадцать минут потребовалась перезагрузка. Но и после этого все повторилось. Анализ содержимого памяти выявил множество представителей вредной «цифровой фауны», включая backdoor-программу. Еще пять файлов были инфицированы «троянцами». Кроме того, тестировщики обнаружили множество новых или измененных записей в системном реестре. Итог: персональные данные были украдены, Windows пришла в негодность, что потребовало ее переустановки. Во время второй попытки компьютер оказался инфицирован червем Blaster ровно через три минуты. Он воспользовался брешью в защите Windows и снова вывел ПК из строя, даже после перезагрузки. Брандмауэр предотвратил бы атаку этого червя. Windows XP с SP 2 Пакет обновлений Service Pack 2 закрывает многочисленные бреши в защите Windows XP. Кроме того, обновления включают брандмауэр, блокирующий атаки из Сети. В тестировании ComputerBild этот брандмауэр успешно отразил атаки из Интернета. Компьютер работал стабильно в течение нескольких часов. Однако будьте осторожны: брандмауэр Windows XP защищает только от атак из Интернета! С атакой изнутри, включая несанкционированную отправку данных, он не справляется. Поэтому ComputerBild рекомендует установить программный брандмауэр, контролирующий входящие и исходящие передачи, например, Zone Alarm Free 6.0. Более надежную защиту обеспечивает подключение к Интернету через маршрутизатор со встроенным аппаратным брандмауэром.

Обобщение результатов тестирования
Данные тестирования недвусмысленно указывают на слабые места популярных программных и аппаратных брандмауэров:

• Многие программные брандмауэры оказались весьма уязвимыми для атак хакеров. Пять из шести программ удалось обойти либо отключить, или у этих программ обнаружились другие бреши в защите. Другая проблема – «загадочные» сообщения большинства участников тестирования: если пользователь компьютера не поймет, о чем сообщает брандмауэр, то может разрешить вредоносной программе доступ к компьютеру.
• Самая большая проблема брандмауэров с маршрутизаторами – использование их с заданными по умолчанию настройками без дополнительной программной защиты: «дыр» в них оказалось не меньше, чем в швейцарском сыре. Они не препятствовали передаче данных в Сеть, предоставляя шпионским программам великолепную возможность сообщать своим хозяевам собранную информацию.

Безопасность
Самую надежную защиту обеспечивали комбинации аппаратных (DLink DI-824WUP+ или Microstar RG54GS2) и программных (Lavasoft Personal Firewall и Zone Alarm Free 6.5 – среди условно-бесплатных) брандмауэров.

Функции
Обращаем ваше внимание на то, что некоторые программные «файерволлы» конфликтуют с брандмауэром Windows XP, что может привести ко всевозможным проблемам со связью. Разработчики часто предусматривают автоматическое отключение последнего, чтобы избежать этого, но лучше все же производить операцию вручную, через Центр безопасности Windows.
Программа Anti-Hacker 1.8 произвела негативное впечатление из-за невозможности автоматической загрузки и установки важных обновлений. Этим приходилось заниматься самостоятельно, обращаясь к веб-странице «Лаборатории Касперского».

Управление
Предупреждающие сообщения брандмауэров часто представляли собой китайскую грамоту. Так, пользователю пришлось бы немало поломать голову, чтобы понять, что за программа под личной svchost.exe пытается получить доступ в Интернет. Дело в том, что «внутри» svchost работает множество системных и сетевых служб операционной системы. Большинство же утилит не поясняет назначение данного файла. Внятно выражались лишь Norton Personal Firewall 2006 и McAfee Personal Firewall Plus 2006.

Недостатки тестируемых брандмауэров

Итог

Победитель тестирования – Lavasoft Personal Firewall – оказался единственным программным брандмауэром, который не имел серьезных недочетов в работе защитной системы. Максимальную безопасность ПК удастся обеспечить, используя Lavasoft Personal Firewall в связке с аппаратным брандмауэром DLink DI-824WUP+. По соотношению «цена/качество» преимущество было на стороне простого устройства DLink DI-624, но возможности отражения DoS-атак, а также поддержки IDS и SPI у него не было.

У пяти брандмауэров балл был снижен после обнаружения заметных недостатков в работе их защитных функций: в большинстве случаев вредителям удавалось изменять или вовсе стирать программные файлы! Единственными программами, под охраной которых не удалось ничего ни стереть, ни изменить, оказались Zone Alarm и LavaSoft Personal Firewall. Однако вредитель сумел переименовать папку Programs. В результате после перезагрузки Zone Alarm 6.0 продолжала защищать компьютер от атак извне, но контроль над исходящими данными был безвозвратно утерян. Как сказано выше, аппаратные брандмауэры в конфигурации по умолчанию блокируют лишь внешние сетевые атаки, для более надежной защиты их необходимо настраивать вручную, открывая необходимые порты и закрывая ненужные. Модели, поддерживающие анализ сетевых пакетов в поисках вредоносных программ или измененных злоумышленниками параметров (технология SPI) и обнаружение вторжений извне (IDS), получили более высокие оценки.

Полную версию статьи читайте в ComputerBild № 9 / 2006 (17.07 - 31.07).