Raport z frontu: test zapór sieciowych

Mimo że system Windows ma wbudowaną zaporę sieciową, coraz częściej instalujemy w komputerach zapory z komercyjnych pakietów zabezpieczających. Przetestowaliśmy trzynaście najpopularniejszych zapór i już wiemy, która jest najlepsza.

Zapora sieciowa (firewall) to pierwsza linia obrony przed zagrożeniami czającymi się w Internecie. Sama w sobie nie zapewnia stuprocentowej ochrony, ale jednocześnie bez niej stuprocentowa ochrona jest niemożliwa. Komputer, na którym nie ma zainstalowanej zapory sieciowej, zostanie bardzo szybko opanowany przez cyberprzestępców lub hakerów, to tylko kwestia czasu. Dowodem może być choćby spustoszenie, jakiego swego czasu dokonał robak Blaster, infekując miliony komputerów. Później okazało się, że na części z nich nie było w ogóle firewalla, a na pozostałych wprawdzie był, ale źle skonfigurowany. (Pisaliśmy o tym szerzej w naszym serwisie aktualności: Firewall - 10 porad, które musisz znać.)

Sprawdź, czy masz dziurawe porty

Korzystając z dostępnych w Sieci narzędzi, można sprawdzić czy zainstalowana w komputerze zapora rzeczywiście zapewnia maksimum ochrony. Poniższe serwisy służą do testowania portów:

Jeśli w twoim komputerze są jakieś otwarte porty, te testy to wykażą. Pamiętaj jednak, że aby test był miarodajny, niezbędny jest bezpośredni dostęp do komputera. Jeśli łączysz się z Internetem przez firewall w ruterze lub korzystasz z sieci lokalnej z translacją adresów NAT, to uzyskane wyniki będą niezgodne ze stanem faktycznym albo test zostanie przerwany.

W witrynie Test My PC Security znajdziesz cały zestaw małych, niedestrukcyjnych programów do testowania wycieków. Sprawdzają one, czy zapora pozwala niezaufanym aplikacjom wysyłać dane przez dziury bezpieczeństwa lub otwarte porty. Analogiczny program jest też dostępny pod adresem Gibson Research Corporation.

Czy warto interesować się zaporą sieciową w sytuacji, gdy jedną otrzymujemy, chcąc nie chcąc, w prezencie wraz z Windows? Zdecydowanie tak, ponieważ zapory komercyjne mają znacznie więcej funkcji oraz prawdopodobnie są skuteczniejsze w działaniu (patrz ramka "Zapora systemowa: używać czy nie?"). A co z zaporą w ruterze? Czy ona nie wystarczy? Nie, i to z kilku zasadniczych powodów. Po pierwsze zapory instalowane w ruterach są bardzo uproszczone. Po drugie nie aktualizują się automatycznie, czyli już w chwili zakupu mogą być przestarzałe. Po trzecie nie zapewniają interakcji - użytkownik nie wie, które programy wysyłają dane do Internetu, zatem ewentualna szkodliwa działalność trojana może pozostać niezauważona (podobnie zresztą, jak atak na system operacyjny rutera i w konsekwencji wyłączenie jego zapory).

Jeśli nie dowierzasz zaporze systemowej i chcesz ją wymienić, ale bez ponoszenia kosztów, wykorzystaj jeden z kilku firewalli bezpłatnych (patrz ramka "Darmowa alternatywa"). Jeśli zaś planujesz zakup pakietu zabezpieczającego (bo raczej nie opłaca się kupować samej zapory - różnica w cenie nie jest zbyt duża), nasz test ułatwi ci dokonanie ostatecznego wyboru.

Co i jak testowaliśmy

Przetestowaliśmy 13 komercyjnych zapór sieciowych. Uwzględniliśmy wszystkie, które można dostać w polskich sklepach oraz jedną, która jest dostępna jedynie online - ZoneAlarm - ze względu na jej niezwykłą popularność na całym świecie.

Wszystkie zapory były testowane na jednym komputerze, przy jednej konfiguracji sieciowej, z tym samym ruterem i zawsze tak samo ustawionym.

Tylko dwie z testowanych zapór są sprzedawane jako oddzielne produkty, a mianowicie Outpost i ZoneAlarm. Pozostali producenci po prostu dołączają firewall do innych swoich programów i sprzedają w pakiecie. Zwykle jest to kompleksowy pakiet zabezpieczający typu Internet Security, niekiedy coś skromniejszego, np. program antywirusowy + zapora. Aby zapewnić testowanym zaporom równe szanse, testowaliśmy wyłącznie te dostępne w pakietach Internet Security, przy czym każdą zaporę instalowaliśmy razem z całym pakietem. Jest to dość ważne, ponieważ jak słusznie zwracają uwagę niektórzy producenci, nie można rozpatrywać zapór sieciowych w oderwaniu od innych komponentów pakietu zabezpieczającego. Różnorodność i coraz większy stopień komplikacji zagrożeń powodują, że pewne funkcje ochronne, które do tej pory były wykonywane niezależnie przez zaporę i moduł antywirusowy, teraz mogą być realizowane za pomocą jednego mechanizmu. Poza tym niektóre właściwości antywirusa i zapory mogą się wzajemnie uzupełniać, a funkcjonalności zazębiać. Gdybyśmy więc "wyjęli" firewalla z pakietu i testowali go osobno, moglibyśmy uzyskać wyniki niezgodne z rzeczywistością. Dlatego nie należy się dziwić, że w większości pakietów nie ma nawet możliwości zainstalowania samej zapory. Jednak tam gdzie taka możliwość była, nie skorzystaliśmy z niej.

Kierunki rozwoju

Podczas testów mieliśmy okazję dokładnie przyjrzeć się zaporom i wyrobić sobie dość dobre pojęcie o tym, na czym najbardziej skupiają się obecnie ich producenci. Można wyróżnić dwa główne trendy.

Darmowa alternatywa

Istnieje kilkadziesiąt bezpłatnych zapór sieciowych, z czego niektóre nie są już od dawna rozwijane, a niektóre są na tyle słabe, że nie warto ich wspominać. Są jednak i takie, które zyskały bardzo dużą popularność na całym świecie i słyną z bogatej funkcjonalności oraz wysokiej skuteczności. Oto ścisła czołówka:

A tu znajdziesz wszystkie wymienione zapory i jeszcze ze dwadzieścia innych: PC World - Download - Zapory sieciowe.

Pierwszy to maksymalna automatyzacja zapory. Cel jest oczywisty: należy zwolnić użytkownika z wykonywania powtarzalnych czynności, szczególnie zaś z tych, które wymagają myślenia i zabierają czas. W przypadku firewalla do takich zadań należy przede wszystkim zatwierdzanie bądź tworzenie reguł, które jest - co tu ukrywać - nudne i uciążliwe.

Użytkownicy chcą, aby zapora robiła to co do niej należy, nie wyświetlając co i rusz irytujących komunikatów czy alertów. Potwierdzają to wyniki naszej sondy, w której ankietowani, wymieniając najważniejszą ich zdaniem cechę firewalla, opowiedzieli się za automatycznym działaniem (53,1%). Dopiero na drugim miejscu (41%) postawili rozbudowaną funkcjonalność, zaś cena była dla nich najmniej ważna (5,9%).

Pod względem wyglądu zapora Kasperskiego nie ma sobie równych.

Pod względem wyglądu zapora Kasperskiego nie ma sobie równych.

Ten trend został podchwycony przez wszystkich producentów. Zapory są dostarczane z własnymi zestawami gotowych reguł i mniej lub bardziej rozbudowaną listą zaufanych aplikacji. Dzięki nim tylko nieliczne zdarzenia, np. połączenia inicjowane przez rzadko używane programy, powodują wyświetlenie alertu. Inną taktyką jest stosowanie różnych trybów pracy, byle tylko zminimalizować liczbę koniecznych interwencji użytkownika. Np. zapora z pakietu ESET Smart Security instaluje się z domyślnie włączonym trybem nauki i działa w pełni autonomicznie (podczas testów nie wyświetliła w tym trybie ani jednego alertu). Niektóre zapory działają tak samo nie mając w ogóle predefiniowanych trybów pracy, jak np. Norton czy Panda. W ich przypadku producenci zadbali o to, by jedyny dostępny tryb pracy był jednocześnie trybem "jak najmniejszego zawracania głowy".

Drugim wyraźnie widocznym kierunkiem rozwoju zapór sieciowych jest rozbudowywanie funkcjonalności. Dobrze, jeśli nie dzieje się to kosztem wygody używania, jak to ma miejsce np. w zaporze Symanteca. Mimo dziesiątek rozmaitych opcji należy ona do najłatwiejszych w obsłudze, a to dzięki temu, że te bardziej zaawansowane są dyskretnie schowane, zaś "na wierzchu" pozostawiono tylko najczęściej używane. Przykładem rozbudowania funkcjonalności do granic możliwości jest zapora Kasperskiego, która balansuje na cienkiej granicy pomiędzy jeszcze łatwą obsługą a zbyt dużą liczbą mało rozpoznawalnych opcji. Niektóre sekcje jej ustawień, np. te dotyczące tworzenia reguł, mogą być trudne do zrozumienia nawet dla zaawansowanych użytkowników. Podobnie jest w zaporze AVG - dopóki interesują nas tylko główne ustawienia, wszystko jest w porządku, ale gdy zechcemy skonfigurować czy utworzyć nowe profile, dodając w nich definicje usług wraz z regułami, duża liczba ukazujących się w kolejnych okienkach opcji może niejednego użytkownika przytłoczyć.


Zobacz również