Igraszki z ogniem

Każdy, kto łączy domowy komputer z Internetem, nawet przez zwykły modem, naraża bezpieczeństwo swoich danych na atak hakerów, koni trojańskich i programów typu backdoor. A wtedy może pomóc tylko dobry firewall.

Każdy, kto łączy domowy komputer z Internetem, nawet przez zwykły modem, naraża bezpieczeństwo swoich danych na atak hakerów, koni trojańskich i programów typu backdoor. A wtedy może pomóc tylko dobry firewall.

BlackICE 3.5 to mocny firewall, ale pamiętaj o pełnym skanowaniu antywirusowym przed jego instalacją.

BlackICE 3.5 to mocny firewall, ale pamiętaj o pełnym skanowaniu antywirusowym przed jego instalacją.

Firewalle nie są jeszcze powszechnie stosowane w komputerach domowych, jak chociażby programy antywirusowe. A szkoda: dopiero połączenie tych dwóch zabezpieczeń daje naprawdę dobrą ochronę. Aby pomóc w wyborze najlepszego, przeprowadziliśmy test 10 najpopularniejszych firewalli. Skupiliśmy się na rozwiązaniach przeznaczonych do domowego użytku, wybieraliśmy więc najtańsze (lub nawet bezpłatne) z oferty poszczególnych producentów. Jedynie w dwóch przypadkach wybraliśmy pakiety zawierające firewall i program antywirusowy: Panda Platinum 7.0 oraz Norton Internet Security 2003. Do testowania każdego z firewalli użyliśmy partycji z Windows XP Professional odtworzonej z obrazu. Po zainstalowaniu programu jego skuteczność w blokowaniu transmisji wychodzącej sprawdzaliśmy za pomocą trzech programów testowych. Programy te, takie jak znany LeakTest, kilkakrotnie wykazywały poważne braki i niedociągnięcia w komercyjnych firewallach. Obecnie producenci oprogramowania zdążyli już poprawić swoje produkty, co nie znaczy, że sprytny program nie przedrze się przez zabezpieczenia.

Sprawdzaliśmy także, czy firewall nie pozostawia domyślnie otwartych niektórych portów do transmisji wchodzącej - za pomocą trzech serwisów internetowych, oferujących badanie poziomu zabezpieczeń. W każdym przypadku korzystaliśmy z klasycznego dodzwanianego dostępu do Internetu przez modem.

Koszmarnie drogi, ale uniwersalny pakiet chroniący komputer - Norton Internet Security 2003.

Koszmarnie drogi, ale uniwersalny pakiet chroniący komputer - Norton Internet Security 2003.

Dodatkowym utrudnieniem dla wszystkich testowanych aplikacji był preinstalowany w systemie trojan (a dokładniej - Hydra), próbujący uruchomić w systemie bez wiedzy użytkownika... program poszukiwania istot pozaziemskich SETI). Tu warto zauważyć, że jedynie pakiety firewall + antywirus wykrywały tego typu zagrożenie (Panda Platinum 7.0 i Norton Internet Security 2003). Żaden z testowanych przez nas firewalli samodzielnie nie wykrył poważnego zagrożenia. Firewall w Panda Platinum wykrył ruch generowany przez Hydrę, ale zidentyfikował ją tylko jako program próbujący się połączyć z Internetem, a nie jako jawne zagrożenie (Panda Antivirus zidentyfikowała poprawnie program jako trojana). Trzeba zauważyć, iż Hydra jest stosunkowo mało aktywnym trojanem, co może tłumaczyć brak reakcji innych programów.

Sprawdziliśmy także, czy możliwe jest oszukanie firewalla metodą zamiany nazwy procesu-szpiega na przykład na nazwę bezpiecznego komunikatora internetowego. W tym wypadku zdecydowana większość aplikacji przeszła próbę pomyślnie i wykryła, że plik o znanej nazwie zawiera zmieniony kod. Większość testowanych firewalli zadawała w takim wypadku sensowne pytanie: czy dany program był aktualizowany przez użytkownika (co może być przyczyną zmiany zawartości pliku programu). Dopiero odpowiedź "nie" powodowała uznanie zamienionego programu za niebezpieczny i zablokowanie go.

Wszystkie testy przeprowadzaliśmy w bezpiecznych, mocnych ustawieniach firewalli, tzn. takich, które maksymalnie chronią system, pozwalając jednocześnie na zwykłe korzystanie z Internetu: przeglądanie WWW, odbieranie i wysyłanie poczty elektronicznej, używanie typowych komunikatorów. Wszystkie testowane programy umożliwiały całkowite wyłączenie transmisji sieciowej w wypadku większej awarii - ta funkcja jest jednak mało przydatna; równie dobrze można wyjąć wtyczkę kabla sieciowego lub modemowego z gniazda.

Niespodziewanie najlepszy z bezpłatnych domowych firewalli: Outpost Personal Firewall 1.0 Free. Po polsku!

Niespodziewanie najlepszy z bezpłatnych domowych firewalli: Outpost Personal Firewall 1.0 Free. Po polsku!

Bez większych niespodzianek wygrał Norton Internet Security 2003. To cały pakiet zabezpieczający do domowego komputera, okropnie drogi, ale mający spore możliwości - i w języku polskim. W testach laboratorium PC Worlda w Stanach Zjednoczonych wersja 2002 pakietu Nortona nie wypadła równie dobrze, widoczna jest różnica na korzyść nowej wersji 2003. Drugie miejsce zajął program od dłuższego czasu walczący zawzięcie z konkurencją, choć rzadko wybijający się na pierwsze miejsce - ISS BlackICE PC Protection 3.5. Oferuje naprawdę wysoki poziom bezpieczeństwa, ale potencjalnych użytkowników może odstraszyć dość wysoka cena i brak polskiego dystrybutora. BlackICE jedyny przeszedł pomyślnie wszystkie próby ataku od wewnątrz. Wiąże się to z jego ogólną skutecznością, ale także z szybkim reagowaniem ludzi z ISS na nowo wykryte braki w firewallach. BlackICE ma też jedną, ale poważną wadę: domyślnie uznaje wszystkie programy wcześniej zainstalowane w systemie za bezpieczne. Jeśli więc zagnieździł ci się trojan czy backdoor, BlackICE udostępni mu połączenie. Jak łatwo się domyślić, przed instalacją BlackICE należy więc przeprowadzić pełne skanowanie systemu programem antywirusowym (zalecanym zresztą przez producenta).

BlackICE PC Protection 3.5 do niedawna dawał się również oszukać zamianą pliku wykonywalnego w aplikacji uznanej za bezpieczną. W naszym teście wykrywał jednak wszelkie próby zmiany nazwy programu, podstawienia innego pliku EXE w miejsce znanego programu itd. generował ostrzegawcze komunikaty o możliwości ataku konia trojańskiego. Program można łatwo przełączać pomiędzy różnymi poziomami zabezpieczenia (od "ufnego" po "paranoika").

Wyniki testów firewalli domowych

Wyniki testów firewalli domowych

Trzecie miejsce zajął mocny pakiet Panda Platinum 7.0, co jest trochę zaskakujące, bo w testach programów antywirusowych jego uboższy krewniak - Panda Titanium PL - uplasował się na 9 pozycji. W wypadku Platinum 7.0 zdecydowało bogate wyposażenie (program antywirusowy +zapora ogniowa) oraz różne dodatkowe możliwości. Niektórych nie ujęliśmy w tabeli, a warto o nich wspomnieć - Panda Platinum 7.0 zawiera np. moduł blokowania nieautoryzowanych połączeń dial-up. Brzmi groźnie, a oznacza po prostu blokowanie płatnych połączeń z numerami typu 0-700..., pod które próbują dzwonić tzw. dialery. Są to instalowane przypadkowo podczas buszowania w Sieci programy, oferujące płatny dostęp do niektórych (głównie "rozebranych") stron WWW.

Program bezpłatny znalazł się dopiero na czwartej pozycji. Ciekawe, że Outpost Firewall 1.0 Free wyprzedził takie tuzy, jak Sygate Personal Firewall 5.0 i - uwaga! - ZoneAlarm 3.1.291. Outpost Firewall jest bardzo prosty w użyciu, ma klarowny, wygodny interfejs, w dodatku także w języku polskim - te cechy zaważyły na punktacji. Ma też kilka dodatkowych narzędzi związanych z filtrowaniem informacji pobieranych z WWW. Można więc zablokować pobieranie stron zawierających wyrażenia z "czarnej listy", a także blokować okna reklamowe. Przykrą niespodzianką jest dopiero szóste miejsce ZoneAlarm 3.1.291 - ale aż dwa z trzech programów (FireHole i TooLeaky) przebiły się przez zaporę.

Dziura w zaporze

Dlaczego właściwie firewalle programowe można testować? Wydaje się przecież, że taki program powinien po prostu zamknąć wszystkie dostępne porty, a następnie pozwalać niektórym aplikacjom na otwieranie tylko tych, na które (i porty, i aplikacje) użytkownik wyrazi zgodę.

Nie jest to jednak takie proste. Po pierwsze, wielu z 65 535 portów używają bezpieczne, typowe aplikacje: klient WWW, klient FTP, poczta elektroniczna.

Inne porty wykorzystują np. programy do pogawędek czy aplikacje do wymiany plików w sieciach P2P. Port 5000 w Windows XP jest wykorzystywany przez system do rozpoznawania urządzeń sieciowych typu Universal Plug and Play - wiele firewalli pozostawia ten port otwarty.

Oczywiście, można żądać od użytkownika potwierdzenia podczas pierwszej próby uruchomienia wszystkich tych aplikacji. Faktycznie - w ten sposób zachowuje się większość firewalli. Niektóre przyjmują za "bezpieczne" wszystkie aplikacje i porty używane w momencie instalacji firewalla. Nie jest to najlepsze rozwiązanie - jeśli w systemie działa koń trojański lub backdoor, nie zostanie zatrzymany.

W tym miejscu należy wymienić dwa podstawowe typy ataków: wchodzący i wychodzący (często spotyka się angielskie nazewnictwo, odpowiednio: inbound i outbound). Ataki inbound mają miejsce wtedy, gdy ktoś z zewnątrz próbuje odnaleźć otwarte porty komputera w Sieci i zaatakować korzystające z tych portów programy (np. serwer WWW, serwer e-mail). Groźniejsze są jednak ataki typu outbound, gdy zainstalowany w systemie program - koń trojański bądź backdoor - próbuje nawiązać połączenie z serwerem w Sieci i np. umożliwić intruzowi przejęcie kontroli nad twoim komputerem (np. czytanie i usuwanie plików). Programy próbujące wysyłać informacje z komputera użytkownika do innych komputerów w Sieci stosują wiele sprytnych metod, podszywając się pod bezpieczne aplikacje. W takim wypadku sam firewall może nie wystarczyć - potrzebny jest program antywirusowy, który rozpozna trojana lub backdoora i usunie z systemu.

Jak zidentyfikować program, który dopomina się o otwarcie portu i połączenie z odległym komputerem? Niektóre firewalle wciąż stosują prostą metodę - rozpoznają program po jego nazwie! Oczywiście nie zapewnia to bezpieczeństwa. Konie trojańskie i backdoory mogą przyjmować różne nazwy, zamieniać pliki wykonywalne itd. Jednak obecnie większość firewalli stosuje precyzyjną weryfikację aplikacji, opartą na metodach kryptograficznych.

W tym momencie wielu czytelników może spytać, po co stosować firewall, skoro jest on wbudowany w Windows XP. Tak, ale nie chroni przed atakami typu outbound (wychodzącymi), a więc próbami nieuprawnionego nawiązywania połączenia z komputera użytkownika i np. wysyłania poufnych informacji do Sieci. Firewall w Windows XP to tylko połowa zabezpieczenia.


Zobacz również