Najlepszy firewall do Visty - edycja 2008

Windows Vista znajduje się na rynku od 15 miesięcy, ale jeśli wierzyć badaniom gemiusTraffic, w Polsce korzysta z niego zaledwie co osiemnasty internauta. Na świecie system zdobył już większą popularność, stosuje się go bowiem w co dziewiątej maszynie. Z pewnością nie są to oszałamiające liczby, interesujące jest jednak to, że związane z Vistą dylematy użytkowników powoli zaczynają przyćmiewać problemy miłośników Windows XP: wyszukiwarka Google znajduje więcej wystąpień angielskiego zwrotu "najlepszy firewall do Visty" niż "najlepszy firewall do XP". Aby sprawdzić, czy pojawiające się na forach internetowych opinie mają solidne oparcie w faktach, przetestowaliśmy łącznie 12 zapór ogniowych. Musimy przyznać, że niektórzy producenci bardzo nieprzyjemnie nas zaskoczyli.

Na początek kilka słów wyjaśnienia: artykuł w wersji skróconej, stanowiącej kwintesencję treści, pojawił się już w bieżącym, trzecim wydaniu PC Worlda. Jednak rynek produktów zmienia się błyskawicznie, dlatego uznaliśmy, że naszym wiernym czytelnikom należy się wgląd do pełnej wersji tekstu. W bieżącym materiale uwzględniamy aplikacje, o których z pozoru zapomnieliśmy, a które w rzeczywistości nie zmieściły się w wydaniu papierowym ze względu na ograniczoną objętość pisma.

W artykule porównujemy najpopularniejsze produkty służące zabezpieczaniu systemu operacyjnego przed niebezpiecznym ruchem sieciowym. Niektóre z opisywanych aplikacji stanowią fragmenty większej całości (programu antyszpiegowskiego, antywirusowego itp.), ale pozostałym funkcjom się nie przyglądaliśmy.

Trzy spośród testowanych przez nas rozwiązań uzyskały wyróżnienie ("Wybór redakcji") ze względu na wyjątkowo dobre wyniki. W artykule publikowanym w PC Worldze Online postanowiliśmy nie umieszczać tychże wyróżnień - w ciągu najdalej miesiąca pojawi się Service Pack 1, a tymczasem przynajmniej jeden z produktów ma pewne problemy z Vistą SP1.

Wstęp

"Chcemy XP!"

Badane przez nas oprogramowanie przeznaczone zostało dla Windows Visty. Jednak właściwie wszystkie opisywane firewalle istnieją również w wersji przeznaczonej do pracy w Windows XP. Nawet jeśli współpraca z jądrami systemów wygląda zupełnie inaczej, funkcjonalność zapór w obu systemach jest zbliżona lub identyczna.

Z punktu widzenia użytkownika więc prezentowane wyników testów dla Visty da się bez większych problemów przenieść na grunt XP.

Dlaczego ludzie szukają firewalla do Visty, skoro w systemie znajduje się wbudowana zapora? Naszym zdaniem jest kilka powodów tego stanu. Przede wszytkim: firewall Visty działa zbyt dyskretnie.

Użytkownicy poprzedniej edycji Windows mieli świadomość, że przed pakietem Service Pack 2 uruchomienie firewalla wymagało poszukiwań w Panelu sterowania, a po nim składnik systemu był aktywowany automatycznie, ale za wyraźnym przyzwoleniem właściciela komputera.

Zapora w Viście istnieje od początku, działa, dlatego niektórym się wydaje, że... nie funkcjonuje poprawnie. Wiele osób przesiadających się z XP żywi ponadto przekonanie, że Microsoft wbudował w system firewall "na odczepnego", który warto zastąpić czymś godnym zaufania.

Badanie

Problem z testami pojawił się zaraz na samym początku, gdy przymierzaliśmy się do eksperymentów. Na łopatki rozłożyło nas proste pytanie: "Dobrze, ale co właściwie chcemy zbadać?" Gwarantowany przez firewall poziom bezpieczeństwa? Okropny ogólnik, który właściwie nic nie mówi. A może algorytm filtrowania pakietów? Przydatna sprawa, bo - oczywiście! - każdy użytkownik lodówki zastanawia się, jaki czynnik chłodzący zastosował producent.

Olśniło nas dopiero wtedy, gdy przypomnieliśmy sobie pradawną maksymę administratorów systemu UNIX: największym zagrożeniem systemu komputerowego jest element znajdujący się 50 centymetrów od monitora - czyli człowiek. Od tego momentu definiowanie potrzeb poszło jak z płatka:

Inne procedury, podobne wyniki

Podczas naszych testów braliśmy pod uwagę nie tylko techniczną doskonałość firewalla, ale również generowane przez nią obciążenie komputera (procesora, pamięci), łatwość obsługi oraz - co kluczowe - poziom kompatybilności z systemem Windows Vista.

Kolosalne znaczenie miała dla nas również umiejętność właściwego komunikowania się programu z użytkownikiem - aplikacje stosujący angielski język interfejsu stały z góry na straconej pozycji. Kwestie bezpieczeństwa są zbyt istotne, by kazać użytkownikowi domyślać się, o co firewallowi chodzi.

Jeśli interesują cię bardziej techniczne aspekty zapór (podatność na wyciekanie danych) lub korzystasz z produktów, które nie są w Polsce zbyt popularne, powinieneś zainteresować się zestawieniem sporządzonym przez Davida Matouska.

Nie uwzględnia ono aktualnych wersji oprogramowania, ale pozwala na wyrobienie sobie zdania w kwestii wyboru właściwej zapory do domu.

- Zapora ogniowa musi komunikować się z nami po ludzku, czyli po polsku - atak może być wykonany w sposób na tyle specyficzny, że zostaniemy zaskoczeni ostrzeżeniem. Czegoś nie zrozumiemy, coś przeoczymy - i już po nas. Ponadto wyświetlane lub notowane w dzienniku informacje muszą być zrozumiałe, bez specjalistycznego bełkotu o portach, protokołach TCP i pofragmentowanych pakietach.

Świetnie, że główny programista firmy X produkującej firewall plasuje się w pierwszej dziesiątce najlepszych sieciowych hakerów. My skromnie umieszczamy się w okolicach 23. miejsca na świecie, dlatego też prosimy o bardziej zrozumiałe wyjaśnienia.

- Zapora ogniowa nie może być zbyt gadatliwa - to fantastyczne uczucie, kiedy dokładnie wiesz, co w twoim komputerze piszczy. Jednak tysięczny komunikat o services.exe wysyłającym pakiet na adres rozgłoszeniowy to nadmiar szczęścia.

- Zapora ogniowa nie może blokować prawidłowego ruchu - przesadna gorliwość w filtrowaniu pakietów powinna być karana publicznym spaleniem. Rozumiemy, że niektórzy producenci chcą się wykazać, jak to świetnie ta ich zapora działa, ale nie dajmy się zwariować. To nieprawda, że twój komputer jest atakowany 200 razy na sekundę, to nieprawda, że każda próba nawiązania połączenia na kolejnych portach to zagrożenie dla twoich danych.

Jeśli firewall poprawnie wywiązywał się z powyższych zadań, oznaczało to, że jego twórca dobrze poznał zachowania użytkowników i wiele przemyślał. Tego rodzaju oprogramowanie mogło wziąć udział w ostatnim teście, w którym badany był poziom bezpieczeństwa i obciążenie komputera. Uprościliśmy sobie robotę, prawda? Po co dawać drugą szansę mało zdolnym uczniom, skoro można ich odrzucić zaraz na samym początku testów. No, ale bezpieczeństwo to nie przelewki - hamulce samochodowe albo działają, albo nadają się do śmieci. Stanu pośredniego brak.

Dlatego pamiętaj: oferowana ochrona stanowi liche (bo nierozumne) uzupełnienie twej inteligencji i wiedzy. Nie należy więc przesadnie w nią wierzyć (patrz też genialny wywiad z radzieckim szpiegiem Wiktorem Suworowem, który nawiązuje do tej kwestii).

Uwaga, jeśli twój ulubiony firewall nie pojawia się w zestawieniu, prawdopodobnie sprawia w Viście na tyle duże problemy, że uznaliśmy, iż nie warto go opisywać. Albo zabrakło na niego miejsca, bo artykuł z założenia miał nie przekraczać 6 "papierowych" kolumn.


Zobacz również