За это время он сумеет найти «дыру» в защите и атаковать вас. При наличии в корпоративной сети прямого выхода в Internet (кабельный модем, DSL, ISDN или линия Т1) и отсутствии мощного брандмауэра дверь для злоумышленника открыта. Но даже если вы отгорожены от Всемирной паутины брандмауэром, помните, что около половины всех неприятностей причиняют организациям их недовольные или болезненно любопытные сотрудники.
Зачем нужен персональный брандмауэр?
Хотя корпоративные межсетевые экраны (МЭ) относительно надежны, «обойти» их все же возможно. Персональный брандмауэр позволяет защититься от хакеров, проникших через МЭ. Существуют и другие ситуации, в которых необходим персональный брандмауэр. Всего три примера:
- ваш сотрудник во время поездки подключается к различным сетям. Его ПК-блокнот, возможно, и защищен от вирусов, но хранящиеся на нем данные доступны всем;
- небольшой удаленный офис или филиал компании не имеет брандмауэра;
- работающие на дому сотрудники осуществляют доступ к корпоративной сети через DSL или кабельный модем.
Корпоративный брандмауэр стоимостью в 50 тыс. долл. чаще всего надежно защищает небольшой офис или работающего дома сотрудника. К сожалению, вместо них компании нередко приобретают недорогие кабельные модемы.
В отличие от аппаратных брандмауэров, персональные представляют собой относительно дешевое ПО, которое инсталлируется непосредственно на каждый ПК организации. Они осуществляют контроль за сетевыми устройствами и выполняют те же основные функции, что и корпоративные брандмауэры: обнаружение вторжения, контроль доступа, выполнение правил безопасности, регистрация событий. Такой брандмауэр фильтрует весь сетевой трафик, разрешая только санкционированные соединения.
Мы протестировали продукты PC Firewall компании ConSeal, Personal Firewall производства McAfee.com, BlackICE Defender, выпускаемый Network ICE, Secure Desktop фирмы Sybergen, Norton Personal Firewall 2000 от Symantec и ZoneAlarm, разработанный Zone Labs. Они относятся к трем категориям: предназначенные для корпоративных сетей с централизованным управлением; автономные решения для домашнего офиса или небольшой компании; предназначенные для системного администратора (позволяют оперативно и скрупулезно контролировать все аспекты сетевой работы).
Только два продукта оказались достаточно «зрелыми». Наш приз «Голубая Лента» был присужден ПО Secure Desktop фирмы Sybergen, которое идеально подходит для компаний среднего размера. Этот брандмауэр «прячет» компьютеры от хакеров, атакующих вас через маршрутизаторы, защищает систему от нежелательных подключений на уровне порта и приложений, а также обеспечивает пользователю полный доступ к разрешенным ресурсам. Для персонального использования, малых офисов и небольших компаний мы рекомендуем ZoneAlarm компании Zone Labs — замечательный высокоэффективный персональный брандмауэр, который прост в эксплуатации.
Защита настольного ПК
Если вам требуется персональный брандмауэр для значительного числа пользователей, то необходимо, чтобы он обладал возможностями централизованного распределения ПО и управления. Secure Desktop фирмы Sybergen и BlackICE Defender компании Network ICE удовлетворяют этим требованиям.
Secure Desktop получил отличные оценки по всем критериям. Наши тесты не позволили даже различить порты, не говоря уже о том, чтобы найти открытый: все порты были «невидимыми». Хакер, сканирующий сеть, может решить, что защищенные компьютеры отключены от сети либо выключены. Мы не смогли также извлечь из ПК информацию, которая обычно доступна при их прямом подключении к Internet, например имена компьютеров, пользователей или рабочих групп. При использовании Secure Desktop вместе с сервером Sybergen Management брандмауэр эффективно защищает любую корпоративную среду.
Внимание Secure Desktop в основном сосредоточено на работе приложений. И хотя панель управления данного продукта является самой простой из когда-либо виденных нами, не думайте, что сам он примитивен. Вы можете заблокировать любой порт, и Secure Desktop позволит точно определить TCP/UDP-адреса. Кроме того, он поддерживает протокол ICMP (Internet Control Message Protocol) и обеспечивает управление на его основе (и все это — не считая поддержки pcAnywhere компании Symantec).
Панель управления Secure Desktop дает возможность установить любой из пяти уровней защиты: сверхвысокий, высокий, средний, низкий и нулевой. Использовать сверхвысокий и нулевой уровни — все равно что отсоединить разъем RJ-45 или не инсталлировать программу. Высокий уровень предоставляет полный доступ к Internet через Internet Explorer или Outlook, обеспечивая полную безопасность. Но когда мы пытались задействовать другие программы, на экране появлялось сообщение с просьбой добавить эти приложения в список допустимых. Приложения, которые предоставляют доступ к сети, гарантируют безопасность независимо от установленного уровня.
Администратор может определять уровень защиты с учетом времени суток, чтобы обеспечить доступ пользователям в течение дня и защитить их ПК ночью. Устанавливать сверхвысокий уровень защиты допускается в режиме сохранения экрана, однако этот режим порой порождает помехи для работы программ управления сетью.
Sybergen включила в свой продукт две эксклюзивные функции, очень важные для персонала отделов информационных технологий, — уведомление о поступлении электронной почты и защиту пароля. В других продуктах таковых функций нет.
Однако главное достоинство Secure Desktop — меню конфигурирования. Пользуясь им, вы можете сконфигурировать порты вручную или выбрать стандартную конфигурацию, осуществлять DSCP-управление (с помощью одного щелчка мыши) и управление DHCP, обеспечить работу с pcAnywhere и т.д. Продукт позволит вам открывать конкретные локальные порты для внешнего и внутреннего доступа и вручную. Обе функции устанавливаются на TCP, UDP или на обоих портах, благодаря чему возможно «тонкое» управление ими.
Процедура инсталляции стандартная, хотя Secure Desktop требует ввести ключ разблокировки и перезагружает систему при завершении последней. Мы высоко оценили предоставленный Sybergen «свежий» список потенциальных проблем, которые могут повлиять на инсталляцию. Программная документация на Secure Desktop очень подробна.
Ловушка для воров
Имя продукта BlackICE Defender произошло от сокращенного названия программы Intrusion Countermeasure Electronics, которая реагирует на вторжение, останавливая действия нарушителя или выводя из строя его компьютер. И хотя этот продукт не заходит столь далеко, он использует функцию Backtrace («отслеживание»), получая с ее помощью подробнейшую информацию о нарушителе. В сочетании с Evidence File («файлом доказательств») Backtrace позволяет собрать все доказательства для привлечения нарушителей к суду, так как регистрирует их действия в формате, пригодном для уголовного преследования.
К сожалению, BlackICE Defender хотя и блокирует порты, не управляет доступом приложений. Поэтому «Троянский конь», проникнув в вашу систему, может использовать любой открытый порт для связи со своим «хозяином».
BlackICE обеспечивает любой из четырех уровней защиты: доверительный, осторожный, нервозный и параноидальный. И хотя каждый из них допускает полную внешнюю связь, брандмаэур осуществляет жесткую фильтрацию входящего трафика. Когда вы вручную заносите IP-адреса в списки заслуживающих доверия или, напротив, требующих блокирования адресантов, BlackICE либо разрешает полный доступ, либо запрещает прохождение пакетов соответствующих отправителей. К сожалению, BlackICE не дает возможностей доступа к диапазонам IP-адресов или к подсетям.
Поскольку IP-адреса можно легко имитировать, не помешает конфигурировать маршрутизаторы таким образом, чтобы они не пропускали пакеты с IP-адресами вашей подсети, если они инициированы извне. Если все IP-адреса принадлежат вашей подсети и маршрутизаторы надежно защищены от атак, определять IP-адреса для этой подсети как доверительные вполне безопасно. В противном случае пусть лучше BlackICE фильтрует пакеты.
BlackICE обеспечивает четыре вида предупреждений: важные, серьезные, «подозрения» и информативные. Мы оставили продукт подключенным к Internet на время обеденного перерыва, а вернувшись, обнаружили одно важное, два серьезных и более 30 прочих предупреждений. Выяснилось, что первое из них поступило по причине поиска извне точек входа в систему. К сожалению, этот брандмауэр излишне «многословен», он регистрирует в отчете буквально все. Тем не менее его окно истории события (history window) позволяет определить, как распределялся сетевой трафик по времени и в какие моменты предпринимались атаки.
К чести BlackICE Defender, он заслужил высших оценок по критерию простоты инсталляции, установив сам себя в качестве службы Windows NT, причем без перезагрузки системы. Если бы все ПО корпоративных сетей инсталлировалось так же легко!
Документация BlackICE разработана досконально и охватывает большинство функций включенных в него программ. Она содержит очень хороший учебный материал по обнаружению атак и советы, как на них реагировать. Например, Network ICE не рекомендует наносить ответные удары по злоумышленникам, поскольку это может привести к конфликту с поставщиком Internet-услуг.
Защита зоны
Для автономной системы небольшой компании или персонального применения вполне достаточно установить ZoneAlarm компании Zone Labs. Брандмауэр обеспечивает действительно надежную защиту, что не совсем обычно для относительно нового продукта, особенно — такого класса. ZoneAlarm защищает даже пользователей, работающих через обычный модем. Он поддерживает платформы Windows 95, 98, NT и 2000 и прекрасно работает на 486 ПК, хотя в среде Windows NT «требует» объема ОЗУ 3,3 Мбайт.
При инсталляции ZoneAlarm формирует две службы — TrueVector Basic Logging Client и TrueVector Internet Monitor. Созданная в компании Zone Lab технология TrueVector обеспечивает мониторинг и управление сетью независимо от того, работает кто-либо на ПК или нет. Все предупреждения об активности неизвестного характера предельно просты, в них предлагается разрешить подключение либо нет. Продукт также способен запоминать ваш выбор. Предупреждения об «известной» активности носят чисто информативный характер, и пользователь может их не просматривать. Но независимо от того, как заданы параметры, брандмауэр регистрирует все события.
ZoneAlarm имеет три уровня защиты (высокий, средний и низкий) и способен работать в двух зонах — локальной и Internet.
Компания рекомендует устанавливать высокий уровень защиты при любой работе с Internet. При его использовании любые действия в Сети блокируются до получения соответствующего разрешения. ZoneAlarm имеет и режим «невидимки», в котором оказываются скрытыми все порты, не задействуемые авторизованной программой (на запрос о статусе порта нет ответа).
Средний уровень вполне подходит для локальной сети. Он обеспечивает выполнение всех заданных пользователем привилегий приложений, а также доступ к Windows-услугам локальной сети, совместно используемым файлам и накопителям. Ресурсы, к которым возможен доступ в локальной зоне, нужно определять. К ним могут относиться собственный адаптер ПК (для кольцевой проверки и других услуг) и другие ПК. К счастью, не требуется вводить IP-адрес для каждого компьютера, так как ZoneAlarm позволяет задавать имена хостов, области и подсети.
Наконец, низкий уровень защиты будет наилучшим для сервера, который считается внутренним для вашей сети. В большинстве случаев таковым является файловый сервер или сервер печати под защитой аппаратного брандмауэра.
В последнюю версию продукта добавлена программа MailSafe, которая сканирует электронную почту на наличие в ней вложений на Visual Basic, подобных печально знаменитому вирусу «I love you». При обнаружении такого вложения MailSafe изолирует его и генерирует предупреждение. Программа MailSafe по умолчанию всегда активна, но ее можно отключить через меню защиты.
Процедура установки ZoneAlarm достаточно проста; программа регистрации и Internet-монитор инсталлируются без перезагрузки. В отличие от других протестированных брандмауэров, ZoneAlarm комплектуется справочником на жестком диске, который создан как набор HTML-документов, поэтому пользователь должен иметь на ПК браузер (Internet Explorer или Netscape Navigator). Справочная информация структурирована в 10 разделах, соответствующих основным группам функций продукта. В каждом из разделов — множество хорошо сформулированных подробных рекомендаций по решению возникающих проблем.
Передача важной информации
Никаких эмоций не вызвали у нас два других продукта.
Norton Personal Firewall 2000, предлагаемый Symantec, использует тот же интерфейс, что и окно управления Norton AntiVirus 2000. Их объединение позволяет управлять Norton Personal Firewall 2000 и Norton AntiVirus 2000 с одной панели. Меню защиты (Security) обеспечивает блокировку внешнего доступа, а меню секретности (Privacy) дает возможность ограничить передачу секретной информации с вашего компьютера через незашифрованные соединения.
Norton Personal Firewall 2000 оказался единственным продуктом, позволяющим передавать имена пользователей, компьютеров, рабочих групп/доменов и MAC-адреса сетевых интерфейсных плат при использовании параметров по умолчанию. Все эти имена весьма привлекательны для хакеров, и хотя брандмауэр закрыл порт 139 (NetBios), мы сумели просканировать систему и определить три других открытых порта. Во время краткого разговора с одним из сотрудников службы поддержки Symantec выяснилось, что это не просчет разработчика. Многие ранее выпускавшиеся кабельные модемы требуют введения имени компьютера для его аутентификации до назначения ему TCP/IP-адреса, поэтому производитель предусмотрел разблокировку по умолчанию имен NetBios Name и NetBios Datagram.
Правда, сейчас фирма Symantec рассматривает возможность изменения конфигурации по умолчанию. Ну а для того чтобы отключить этот режим в его нынешнем варианте, нужно просто указать в меню защиты «Internet» и задать требуемые параметры. Почему так важно заблокировать МАС-адрес? Он является глобальным однозначно определяемым идентификатором и совместно с другой информацией позволяет хакерам «вычислить» конкретный компьютер, даже если IP-адрес назначен DHCP-сервером.
Norton Personal Firewall получил самый низкий балл по этому критерию. Тем не менее ПО Symantec оказалось одним из самых простых для установки (хотя и требовало перезагрузки компьютера). Кроме того, его документация великолепна, и хотя описание на 77 страницах кажется длинноватым, для новичка оно станет прекрасным учебным пособием.
Новый облик Personal Firewall
Надо сказать, что Personal Firewall компании McAfee.com — более строгий страж, чем продукт Symantec. Это относится и к функциям защиты, и к блокировке имен и МАС-адресов. Однако мы обнаружили при сканировании все порты, хотя защита была установлена на самый высокий уровень. Это вызвало у нас недоумение, поскольку ближайший родственник данного брандмауэра — PC Firewall компании ConSeal — вполне успешно прошел тест на «прочность» обеспечиваемой им защиты.
Personal Firewall — всего лишь версия для настольного ПК указанного PC Firewall: McAfee.com приобрела права на использование реализованного в PC Firewall исполнительного механизма. Новая оболочка, созданная McAfee, делает продукт абсолютно непохожим на «родителя», но почему-то ограничивает возможности пользователя при внесении изменений, особенно при модификации набора правил. Кроме того, в отличие от PC Firewall, данное ПО нельзя применять для системного администрирования.
Продукт Personal Firewall проддерживает режим обучения, аналогичный используемому в ZoneAlarm, но встроенный набор правил ничем не отличается от задействуемого в PC Firewall, а вся настройка сводится к незначительному изменению этого набора. В установках по умолчанию блокируются все сетевые принтеры и совместное использование файлов. Кроме того, пользователь может блокировать конкретные приложения.
Хотя процедуры управления этим продуктом достаточно просты, ему не хватает гибкости и масштабируемости. Необходимая для его работы инсталляция сетевого драйвера окажется не по плечу большинству неподготовленных пользователей, а следовательно, для установки Personal Firewall понадобится помощь службы поддержки сети.
При работе «родственников» PC Firewall и Personal Firewall происходили досадные сбои — пауза длительностью 1 с почти через каждые 10 с. Мы не стали анализировать причины этих «накладок», но похоже, они состоят в конфликте драйверов.
Ну а если вы купите Norton Antivirus 2000, проблемы прямо-таки гарантированы. Чтобы избежать их, советуем: откройте главное меню продукта и перейдите в Options. Выберите Exclusions из подменю и нажмите New. Задайте для Windows NT путь C:Program FilesSignal9** и завершите работу программы (при использовании Windows 95/98/2000 маршрут другой). Так же можно задать путь доступа и для брандмауэра компании McAfee.com.
Далее процесс инсталляции проходил без проблем, хотя в нем есть дополнительный этап, не требующийся для какого-либо другого ПО: нужно установить драйвер как сетевую службу. Вся процедура инсталляции в корпоративной среде займет много времени, а если ее будет выполнять новичок, не исключена вероятность дальнейшего нарушения защиты.
Считать промышленным стандартом
Хотя PC Firewall компании ConSeal не предназначен для частных лиц, такой персональный брандмауэр — мечта пользователя. Изо всех протестированных нами продуктов он обладает наибольшими возможностями и обеспечивает самое «тонкое» управление. Во многих отношениях он скорее напоминает аппаратный брандмауэр, оснащенный средствами защиты по паролю.
PC Firewall использует хранящиеся в виде файлов наборы правил, которые создаются и проверяются персоналом службы информационных технологий. Эти наборы могут применяться как на настольных ПК, так и в локальной сети. Они определяют управление не примитивной конфигурацией, а всеми деталями сетевой связи, в том числе TCP/IP-адресами (подсоединение, получение данных), портами (входные, выходные, TCP и UDP), а также доступом к приложениям.
Хорошо, что PC Firewall имеет автоматический режим обучения. Тем не менее создать набор правил «на голом месте» — задача не из легких. Дабы помочь потребителям, ConSeal разместила 24 готовых комплекта правил на своем Web-узле. Конечно, после серии изнурительных проверок всех приложений, к которым конкретный пользователь может иметь доступ, вы непременно создадите свой хороший начальный набор правил, однако мы советуем: воспользуйтесь сначала теми, которые предлагает ConSeal.
Разработчики ПО при создании своих наборов правил используют метод компоновки блоков. При установке нового набора он не запишется поверх предыдущего, а дополнит его. Если два правила конфликтуют, приоритет получит последнее из них. Именно поэтому ConSeal рекомендует добавлять компоновочные блоки, начиная с «первичных» процессов (например, подключения через кабельный модем) и кончая специализированными (например, допуском pcAnywhere-клиента).
Приоритеты могут устанавливаться вручную, да и каждый элемент набора правил доступен для обычного редактирования, что обеспечивает системным администраторам богатые возможности. Различные комплекты правил могут использоваться разными группами, и администратор способен полностью персонифицировать доступ к ресурсам сети.
И наконец, главное достоинство: эти наборы правил предназначены не только для настольных ПК. Их действие можно распространить даже на различные сетевые платы, что дает основание применять PC Firewall в многоадресных системах с пакетной передачей или IP-маршрутизацией, т. е. задействовать его как полнофункциональный многопортовый брандмауэр (если не принимать во внимание вычислительную мощность современных аппаратных брандмауэров).
В начале тестирования PC Firewall «не хотел» работать в связке с Secure Desktop, но небольшая модификация набора правил устранила проблему. Процедуры инсталляции PC Firewall и Personal Firewall почти одинаковы. Единственное отличие состоит в том, что вместо установки драйвера как службы (для PC) мы инсталлировали его как сетевой протокол (для Personal). К счастью, ConSeal включила в документацию три страницы подробных инструкций на эту тему.
При установке продукта пользователю предлагается выбрать один из четырех типов начальной конфигурации: базовую (все ICMP блокированы), кабельную (для кабельных модемов и связи типа DSL/асимметричный DSL), просмотровую (позволяет выбирать из существующих наборов правил) или без конфигурирования (только для специалистов). После завершения процедуры вы можете изучить встроенный справочник и получить ответы на большинство ваших вопросов. Web-узел компании предоставляет дополнительную информацию по общим вопросам, наборы правил конфигурации и стратегии успешного использования PC Firewall в корпоративной среде.
ОБ АВТОРЕ
Стив Джанс (Steve Janss) — президент консультационной фирмы Jansys Information Systems, специализирующейся на информационных системах небольших компаний. С ним можно связаться по адресу bizcom@jansys.com.
Sybergen Secure Desktop — программный брандмауэр, который идеально подходит для корпоративного применения и компаний среднего размера. Этот продукт «прячет» ваши машины от хакеров, которые используют для своих атак маршрутную информацию, защищает систему от нежелательных подключений на уровне как порта, так и приложений и не позволяет ущемлять права пользователя.
Краткие результаты тестирования
Secure Desktop 2.1
Общая оценка: 8,85 Компания: Sybergen Networks, www.sybergen.com Стоимость: 29,95 и 39,95 долл. (включая последующие обновления) Достоинства: великолепная всеобъемлющая защита Недостатки: два из пяти уровней защиты не нужны
ZoneAlarm 2.1.25
Общая оценка: 8,25 Компания: Zone Labs, www.zonelabs.com Стоимость: 19,95 долл., для частных пользователей бесплатно Достоинства: простота применения, бесплатный при некоммерческом использовании Недостатки: не очень «тонкое» управление портами
BlackICE Defender 1/9/25
Общая оценка: 7,45 Компания: Network ICE, www.networkice.com Стоимость: 39,95 долл. Достоинства: надежная защита портов Недостатки: нет мониторинга приложений
Norton Personal Firewall 2000 2.0.35
Общая оценка: 6,5 Компания: Symantec, www.symantec.com Стоимость: 49,95 долл., бесплатное обновление набора правил в течение одного года Достоинства: прекрасный пользовательский интерфейс Недостатки: не предотвращает некоторых вторжений
PC Firewall 2.06
Общая оценка: 6,15 Компания: ConSeal, www.consealfirewall.com Стоимость: 49,95 долл. (для Windows 95/98), 150 долл. (для Windows NT Workstation), 295 долл. (для Windows NT Server) Достоинства: максимальные возможности управления Недостатки: только для опытных специалистов, высокая цена для ПО данного класса
Personal Firewall 2.06
Общая оценка: 6,05 Компания: McAfee.com., www.mcafee.com Стоимость: 19,95 долл. Достоинства: простота использования Недостатки: некоторые меню зашифрованы
Personal Firewall | 9,0 |
BlackICE Defender | 9,0 |
PC Firewall | 8,7 |
Secure Desktop | 8,6 |
ZoneAlarm | 7,8 |
Norton Personal Firewall 2000 | 6,5 |
* Эталонная система (без инсталлированного брандмауэра) имела пропускную способность 9,7 Мбит/с. |