Главная » Статьи » Аналитика, тесты |
С точки зрения рядовых пользователей файервол (Firewall), безусловно, является
вторым по значимости после антивируса компонентом защиты персонального
компьютера. Но к сожалению, источников информации, по данным которых
можно было бы определить какой из представленных на рынке файерволов
защищает лучше, крайне мало. Для начала давайте определимся с
терминологией и ответим на вопрос - что такое файервол? По определению
интернет-стандарта [RFC3511] (2003 г.), файервол – это система,
реализующая функции фильтрации сетевых пакетов в соответствии с
заданными правилами с целью разграничения трафика между сегментами сети. Но,
с ростом вредоносных программ и сложности хакерских атак, исходные
задачи файервола дополнились новыми функциональными модулями. Уже
фактически невозможно представить полноценный файервол без модуля HIPS
(мониторинга системных событий, контроля целостности системы и т.п.). Главная
задача современного файервола – осуществлять блокировку неавторизованных
сетевых коммуникаций (далее атак), подразделяемые на внутренние и
внешние. К таковым относятся:
Кроме того, фактически исчезли с рынка продукты, которые можно было бы отнести к чистым персональным файерволам в классической формулировке 2003 года. На смену им пришли комплексные решения защиты персональных компьютеров, в обязательном порядке включающие в себя файервольный компонент. В силу наибольшей актуальности мы решили начать сравнительное тестирование файерволов с изучения качества защиты от внутренних атак, исходящих изнутри системы. Тест проводился по следующим направлениям:
В следующем тестировании, которое запланировано на конце года, мы проведем сравнение файерволов на защиту от внешних атак. Таким образом, у наших читателей будет вся необходимая информация для того, чтобы выбрать себе наиболее достойный по качеству персональный файервол. Основные результаты тестирования
В тестировании принимали участие 22 популярные программы комплексной защиты, имеющие класс Internet Security, если в линейке нет, то выбирался сугубо файервол от различных производителей актуальных на дату начала тестирования версий продуктов (июль 2011) и работающих на платформе Windows XP SP3:
Тест проводился на специально подготовленном стенде под управлением VMware Workstation 7.1.4. Для каждого антивирусного продукта клонировались "чистые" виртуальные машины под операционной системой Windows XP SP3 со всеми установленными обновлениями на момент начала теста. Тестирование производилось на двух типах настроек: рекомендуемых производителем стандартные (настройки по умолчания) и максимальных. В первом случае использовались рекомендуемые производителей настройки по умолчанию и производились все рекомендуемые программой действия. Во втором случае в дополнение все настройки, которые были отключены в режиме «по умолчанию», но при этом могли повлиять на исход тестирования, включались и/или приводились в максимальное положение (наиболее строгие настройки). Другими словами – под выставлением максимальных настроек понимается перевод всех доступных из графического интерфейса пользователя настроек всех модулей, связанных с детектированием вредоносной файловой или сетевой активности, к наиболее строгому варианту. В силу принципиальных отличий DefenseWall от конкурентов по логике своей работы контролируемые им приложения могут запускаться из доверенной (trusted zone) или из недовернной зоны (untrusted zone). Поэтому в данном случае понятие "максимального" или "стандартного" режима настроек применялось к настройкам контроля приложений в недоверенной зоне. Тестовые утилиты при тестировании этого продукта запускались из недоверенной зоны (с внешнего носителя). Тест файерволов проводился по следующим группам внутренних атак, для наглядности разбитых на уровни сложности:
Подробное описание всех методов атаки, используемых в тесте, вы можете найти в методологии тестирования. Проверка фаероволов на защиту от внешних атак Тестирование фаерволов проводилось по набору из 40 тестовых кейсов для каждой операционной системы отдельно (подробные результаты по каждому из них можно посмотреть в отчете в формате Excel). Напомним, что согласно используемой схеме награждения, 1 балл (+) начислялся, если атака заблокирована автоматически, защитный функционал тестируемой программы не нарушен. 0.5 балла (или +/-) - если атака блокируется только при особых обстоятельствах (например, при правильном выборе пользователя нужного действия по запросу тестируемой программы). И, наконец, в случае если атака прошла успешно полностью или частично с выводом из строя функционала защиты, то баллы не начислялись. Максимально возможное количество набранных баллов в данном тесте составило 40. В таблице 1-2 и на рисунке 1-2 представлены результаты тестирования файерволов отдельно на стандартных и максимальных настройках. Для наглядности результаты для каждого фаервола разбиты на две группы: защита от атак базового уровня сложности и защита от атак повышенного уровня сложности. Таблица 1: Результаты теста фаерволов на стандартных настройках
Рисунок 1: Результаты теста фаерволов на стандартных настройках * В силу принципиальных отличий DefenseWall от конкурентов по логике своей работы контролируемые им приложения могут запускаться из доверенной (trusted zone) или из недовернной зоны (untrusted zone). Поэтому в данном случае понятие "максимального" или "стандартного" режима настроек применялось к настройкам контроля приложений в недоверенной зоне. Тестовые утилиты при тестировании этого продукта запускались из недоверенной зоны (с внешнего носителя). Как мы видим на рисунке 1, защита от внутренних атак у большинства файерволов на рекомендуемых производителе настройках оставляет желать лучшего. Всего 5 фаерволов смогли преодалеть барьер 80% со стандартными настройками, среди них DefenseWall, Comodo, Online Armor, Online Solutions и Outpost. Близкий к лидерам результат показал фаервол Jetico. Результаты остальных оказались заметно хуже. Такой разброс результатов связан в первую очередь с тем, что известные многие производители ищут баланс между качеством защиты и уровнем беспокойства пользователей. Это приводит к тому, что в настройках по умолчанию, используемых подавляющим большинством клиентов сводятся к минимуму количество запросов и уведомлений, требующих от пользователя какой-либо реакции. Естественно, это напрямую сказывается на качестве защиты. Защита промолчит, когда вредоносная программа будет имитировать/производить вполне легитимные действия в системе. Так стоит обратить внимание, что процент предотвращения сложных видов атак в целом заметно хуже, чем атак базового уровня сложности. Граничными примерами здесь выступают продукты ZoneAlarm и F-Secure. У первого из них результаты блокировки базового уровня атак достаточно высок, однако, к сложным атакам продукт оказался вовсе не готов, и набрал на них ноль баллов. ZoneAlarm, напротив, оказался слаб на атаках базового уровня (в частности из-за посредственного уровня самозащиты), но за счет параноидального в хорошем смысле поведенческого анализа показал высокий результат детектирования атак повышенной сложности.
Читать дальше | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Просмотров: 1741 | | |
Всего комментариев: 0 | |