Prywatny, czyli osobisty
Firewalle stanowią istotny element ochrony wszelkich systemów informatycznych – od pojedynczych komputerów (wówczas mówimy, że są to osobiste zapory ogniowe), do sieci korporacyjnych składających się z setek stacji roboczych (głównie tzw. firewalle sprzętowe). Najogólniej mówiąc, jest to oprogramowanie, które ma za zadanie filtrować i kontrolować ruch sieciowy według zdefiniowanych reguł. W dużym uproszczeniu można też powiedzieć, że poprawna konfiguracja zapory sprowadza się do nauczenia jej, które rodzaje połączeń akceptujemy, a które uznajemy za niepożądane. Trzeba także pamiętać, że internetowa komunikacja bazująca na protokole TCP/IP to świat pełen adresów i portów IP oraz odpowiadających im usług. W sprawnym posługiwaniu się “ogniomurkiem” niezbędna jest zatem podstawowa wiedza z tego zakresu – inaczej możemy zablokować sobie dostęp do istotnych usług sieciowych lub po prostu przepuścić niebezpieczne dane. Wybór właściwej zapory osobistej musi wynikać choćby z krótkiej analizy zagrożeń i potrzeb użytkownika. Jeśli, przykładowo, dostęp do Internetu uzyskujemy przez sieć osiedlową z wykorzystaniem NAT-u (Network Address Translation), to w mniejszym stopniu jesteśmy narażeni na bezpośrednie ataki z Internetu. Sporym zagrożeniem w takim wypadku będą jednak próby podsłuchu (sniffing) czy podszywania się pod naszą stację (spoofing) oraz trojany zainstalowane na naszym komputerze. Niezależnie bowiem od metody połączenia możemy stać się ofiarą ataku przeprowadzanego za pomocą koni trojańskich. Nawiązują one kontakt z hakerem z naszego komputera – bezpośrednio lub przez wykorzystanie bibliotek innych aplikacji (tzw. iniekcję) i programów. Dobra zapora powinna zatem chronić nas nie tylko przed internetowymi intruzami, ale także przed wszelkimi aplikacjami ukrywającymi się w naszym systemie.
Rozpoznanie terenu
Większość ataków z zewnątrz, na jakie jest narażony statystyczny użytkownik Internetu, nie niesie zbyt dużego zagrożenia. Przeprowadzają je zazwyczaj automaty skanujące całe podsieci w poszukiwaniu potencjalnych ofiar. Najprostszym sposobem badania dowolnej stacji jest użycie popularnego polecenia ping, które wysyła na określony adres IP pakiet ICMP z prośbą o jego odesłanie. W efekcie uzyskujemy informacje o czasie wędrówki paczki danych między interfejsami sieciowymi, co umożliwia np. szacowanie jakości połączenia. Dobrze zabezpieczony komputer powinien więc blokować takie odpowiedzi. Dodatkowo, jeśli na naszym pececie nie udostępniamy usług internetowych (serwerów), powinien on być niewidoczny z zewnątrz, a badanie dostępności poszczególnych portów powinno wykazać, że nie ma maszyny o danym adresie IP.
Często jednak firewalle w reakcji na żądanie dostępu do poszczególnych usług wysyłają informację, że port jest zamknięty (closed). To sytuacja niekorzystna choćby z tego względu, że intruz otrzymuje informację, że pod danym adresem jakiś komputer działa. Z kolei jeśli na naszym pececie uruchamiane są serwisy sieciowe (np. serwer FTP dla znajomych), powinniśmy tak skonfigurować zaporę, by usługi były dostępny wyłącznie dla zaufanych adresów IP, a pozostałe komputery nawet nie wiedziały o istnieniu takowego serwisu. W wypadku usług dostępnych publicznie konieczne jest otwarcie odpowiadających im portów i ujawnienia naszej stacji całemu światu. Trzeba sobie w takich sytuacjach zdawać sprawę, że każdy otwarty port stanowi potencjalną furtkę, przez którą włamywacz może zaatakować system.
Większość testowanych firewalli pozwala blokować odpowiedzi na ping. Jedynie w BlackICE opcja ta nie jest w ogóle dostępna. W Privatefirewallu, TheGreenBow i Tiny Personal Firewallu 5.5 trzeba ją uaktywnić. Nieco bardziej skomplikowane są wyniki skanowania komputera chronionego poszczególnymi zaporami. Najlepsze zabezpieczenia przy domyślnej konfiguracji oferują zapory: Norman, Norton, Outpost Pro, Vis-Netic i ZoneAlarm Pro. W wypadku tych aplikacji skanowanie w trybie TCP SYN stealth nie wykazało otwartych lub zamkniętych portów.
Dane techniczne i podstawowe funkcje osobistych firewalli | ||||||||||||||||||
Outpost Firewall Pro 2.1 www.agnitum.com | Norton Personal Firewall 2004 www.symantec.pl | ZoneAlarm Pro 5 www.zonelabs.com | Sygate Personal Firewall Pro 5.5 smb.sygate.com | Norman Personal Firewall www.norman.com | Outpost Firewall Freeware www.agnitum.com | Sygate Personal Firewall smb.sygate.com | VisNetic Firewall 2.2 www.deerfield.com | Kerio Personal Firewall 4 www.kerio.com | ZoneAlarm 5 www.zonelabs.com | McAfee Personal Firewall Plus 2004 5.0 www.cafee.com | Look_n_Stop 2.05 www.looknstop.com | Black ICE Protection 3.6.cci blackice.iss.net | Kerio Personal Firewall 4 Free www.kerio.com | Kaspersky Anti-Hacker 1.5 www.kaspersky.pl | Tiny Personal Firewall 5.5 www.tinysoftware.com | Privatefirewall 3.0 www.privacyware.com | TheGreenBow 2.31 www.thegreenbow.com | |
Cena: | 159 zł | 305 zł | 194 zł | 194 zł | 194 zł | freeware | freeware | 242 zł | 218 zł | freeware | 194 zł | 189 zł | 194 zł | freeware | 177 zł | 238 zł | 145 zł | 141 zł |
Miejsce POWER/ECONO | 1/5 | 2/8 | 3/6 | 4/7 | 5/9 | 6/1 | 7/2 | 8/13 | 9/10 | 10/3 | 11/10 | 12/13 | 13/16 | 13/4 | 13/13 | 13/17 | 17/10 | 18/18 |
POWER | 78 | 77 | 72 | 64 | 59 | 55 | 54 | 51 | 50 | 49 | 47 | 45 | 44 | 44 | 44 | 44 | 41 | 32 |
Skuteczność ochrony (40%) | 90 | 80 | 80 | 68 | 79 | 56 | 60 | 60 | 43 | 58 | 42 | 56 | 62 | 43 | 42 | 47 | 54 | 41 |
Funkcjonalność (25%) | 72 | 77 | 67 | 75 | 56 | 54 | 50 | 56 | 48 | 39 | 43 | 38 | 36 | 48 | 57 | 57 | 38 | 18 |
Alerty i raportowanie (15%) | 51 | 87 | 60 | 58 | 36 | 48 | 58 | 44 | 57 | 51 | 78 | 34 | 35 | 57 | 34 | 25 | 32 | 27 |
Inne funkcje i dodatki (10%) | 70 | 39 | 59 | 37 | 23 | 59 | 27 | 14 | 57 | 15 | 10 | 28 | 0 | 0 | 0 | 18 | 0 | 16 |
Ergonomia i pomoc (10%) | 91 | 85 | 83 | 58 | 60 | 64 | 55 | 50 | 65 | 70 | 70 | 49 | 50 | 65 | 76 | 50 | 51 | 54 |
ECONO | 78 | 55 | 66 | 59 | 54 | 100 | 97 | 42 | 43 | 89 | 43 | 42 | 41 | 80 | 42 | 36 | 43 | 34 |
Skuteczność ochrony | ||||||||||||||||||
Testy na obecność “dziur” (leak test) | 74 | 49 | 63 | 63 | 48 | 14 | 63 | 0 | 51 | 26 | 26 | 64 | 38 | 51 | 26 | 100 | 14 | 26 |
Testy zabezpieczeń | 100 | 100 | 92 | 72 | 100 | 84 | 59 | 100 | 37 | 79 | 53 | 51 | 79 | 37 | 53 | 12 | 80 | 51 |
Funkcjonalność | ||||||||||||||||||
Polska wersja | + | + | – | – | – | + | – | – | + | – | – | – | – | + | + | – | – | – |
Autokonfiguracja | + | + | + | – | +/- | – | – | – | – | – | +/- | – | +/- | – | – | + | +/- | – |
Predefiniowane poziomy zabezpieczeń | +/- | + | + | – | + | +/- | – | – | – | + | + | – | + | – | +/- | – | + | – |
Tryb nauki reguł | + | + | + | + | + | + | + | + | + | + | + | + | +/- | + | + | + | + | + |
Predefiniowane reguły dla typowych aplikacji | + | + | – | – | +/- | + | – | – | – | – | +/- | – | – | – | + | – | – | – |
Blokowanie całego ruchu sieciowego | + | + | + | + | + | + | + | + | + | + | + | – | – | + | + | + | + | + |
Reguły dla: kierunku ruchu/aplikacji | +/+ | +/+ | +/+ | +/+ | +/+ | +/+ | +/+ | +/- | +/+ | +/+ | +/-/+ | +/+/- | -/+ | +/+ | +/+ | +/+ | +/+ | +/-/+ |
Reguły dla: portów/adresów IP/protokołu | +/+/+ | +/-/+/+ | +/+/+ | +/+/+ | +/+/+ | +/+/+ | +/+/+ | +/+/+ | +/+/+ | -/-/- | +/-/+/+/- | +/+/+ | +/-/+/+ | +/+/+ | +/+/+ | +/+/+ | +/-/+ | -/-/- |
Reguły czasowe | + | – | + | + | +/- | – | + | + | – | – | – | +/- | + | – | – | + | – | – |
Potwierdzanie autentyczno_ci programów (EXE, DLL) | + | + | + | + | – | +/- | + | – | +/- | +/- | +/- | + | + | +/- | +/- | +/- | +/- | +/- |
Definiowanie zaufanych adresów IP lub podsieci | + | + | + | + | + | – | + | – | + | + | + | +/- | + | + | – | + | + | – |
Wykrywanie ataków | + | + | +/- | + | +/- | + | +/- | +/- | + | +/- | + | + | +/- | + | + | + | – | +/- |
Ochrona od startu systemu operacyjnego | + | + | + | + | + | – | – | + | – | + | – | – | – | – | + | – | – | – |
Mechanizmy antyspoofingowe | – | – | + | + | + | – | – | +/- | – | – | – | – | – | – | – | – | – | – |
Filtrowanie (reguły) względem adresów MAC | – | – | – | + | +/- | – | + | + | – | – | – | + | – | – | – | – | – | – |
Obsługa protokołów TCP/UDP/inne | +/+/+ | +/+/+/- | +/+/+ | +/+/+ | +/+/+/- | +/+/+ | +/+/+ | +/+/+ | +/+/+ | +/+/- | +/-/+/-/- | +/+/+ | +/+/+ | +/+/+ | +/+/+ | +/+/+ | +/+/- | +/+/-/+/- |
Alerty i raportowanie | ||||||||||||||||||
Alerty o połączeniach przychodzących/wychodzących | +/+ | +/+ | +/+ | -/+ | +/+ | +/+ | -/+ | +/-/- | +/+ | +/+ | +/+ | +/+ | +/-/- | +/+ | +/-/+ | +/-/- | +/+ | +/+ |
Podgląd połączeń w czasie rzeczywistym | + | +/- | +/- | + | – | + | + | + | + | +/- | + | + | +/- | + | + | + | + | +/- |
Informacja o agresorze (z bazy whois) | – | + | + | – | – | – | – | + | – | – | + | – | – | – | – | – | – | – |
Statystyki ataków/ruchu | -/- | +/+ | -/- | +/+ | – | +/+ | +/+ | – | +/+ | -/- | + | – | +/+ | +/+ | -/- | – | – | – |
Plik dziennika: ataki/program/połączenia/pakiety | +/+/+/- | +/+/+/- | +/-/+/-/- | +/+/+/+ | +/-/-/- | +/-/+/- | +/+/+/+ | +/-/-/+/+ | +/+/-/+/-/- | +/-/+/-/- | +/-/+/-/- | +/-/+/+ | +/-/+/+ | +/+/-/+/-/- | +/-/+/-/- | +/-/-/+/- | -/-/+/- | +/-/-/- |
Powiadomienie o zagrożeniu przesyłane na e-mail | – | – | – | + | – | – | + | + | – | – | – | – | – | – | – | – | – | – |
Inne funkcje i dodatki | ||||||||||||||||||
Kontrolowanie plików cookie | + | + | + | – | + | + | – | – | + | – | – | – | – | – | – | – | – | – |
Blokowanie pop-upów (pop-up, pop-under) | + | + | + | – | +/- | + | – | – | + | – | – | – | – | – | – | – | – | – |
Blokowanie reklam | + | + | + | – | + | + | – | – | + | – | – | – | – | – | – | – | – | – |
Filtrowanie pod kątem zawartości stron | + | – | – | – | + | + | – | – | – | – | – | – | – | – | – | – | – | – |
DNS proxy | + | – | – | + | – | + | +/- | – | – | – | – | + | – | – | – | – | – | – |
Zdalna administracja | – | – | – | – | – | – | – | + | + | – | – | – | – | – | – | – | – | – |
Monitorowanie poczty (załączniki, skrypty) | + | +/- | + | – | – | + | – | – | +/- | +/- | – | – | – | – | – | – | – | – |
Ochrona ustawień hasłem | + | + | + | + | – | – | + | + | + | – | – | + | – | – | – | – | – | + |
Konfiguracje dla kilku użytkowników | – | – | – | – | – | – | – | – | – | – | – | + | – | – | – | + | – | – |
Blokowanie dostępu w czasie działania wygaszacza ekranu | – | – | + | + | – | – | + | – | – | + | – | – | – | – | – | – | – | – |
Obsługa plug-inów | + | – | – | – | – | + | – | – | – | – | +/- | + | – | – | – | – | – | – |
Eksportowanie ustawień | + | – | + | – | – | – | – | + | + | – | – | + | – | + | – | + | – | – |
Uaktualnienia (wbudowane w program) | + | + | + | + | – | + | + | – | +/- | + | + | +/- | +/- | +/- | – | + | – | +/- |
+ – jest; – – brak; +/- – częściowo | ||||||||||||||||||