Firewall Testing is the only way to accurately confirm whether the firewall is actually working as expected. Complicated firewall rules, poor management interfaces and other factors often make it difficult to determine the status of a firewall. By using an it is possible to accurately determine the firewall status.

This type of firewall test attempts to make connections to external facing services from the same perspective as an attacker . An unprotected open service (listening port) can be a major security weakness in poor firewall or router configurations.

Enter an IP address in the form below to perform a quick online firewall test . The port scan will test 10 of the most common TCP services (ports), with results showing a port as open , closed or filtered .

Begin Firewall Test

This firewall test is a high level overview that can reveal the status of a system firewall based on the port responses. See the Nmap Tutorial for more detail on interpreting the results.

Ensure complete coverage when testing a firewall by scanning all 65535 ports. Run software yourself or simply perform a comprehensive firewall test using our hosted Online Nmap Port Scanner .

Why You Need an External Firewall Test

To understand how vulnerable your systems are to external attackers, you need to understand what they look like on the network from an external or Internet facing perspective. A port scan conducted from outside a network perimeter will map and identify vulnerable systems.

Technical operations staff need to know what their network perimeter looks like from the outside. The perimeter may be a single IP gateway, a hosted Internet server or a whole Class B network; it does not matter - you need to understand what services Internet based threats can see and what they are able to access.

If you are a systems administrator or a security analyst for an organisation having access to an external port scanner will provide a number of benefits. The most important being that you should know the services listening on your perimeter . Testing should be performed at least monthly and ideally more often, to monitor for changes to the perimeter.

Home Router Firewall

For many users a home router is the firewall device that they will have to manage. In this case the most common configuration is for the SOHO device to be performing NAT (network address translation). In a NAT configuration the internal network has a number of devices on private IP address ranges (192.168.1.x) and they communicate with the Internet through the SOHO router. The router has a single public IP address assigned by the Internet provider or ISP. The translation of internal to public IP address is the NAT process.

Home routers should be port scanned to check for two important considerations:

1. The device itself may have listening services for management such as HTTP (tcp port 80) or Telnet (tcp port 23). These are normally only accessible from the Internal network, but if they are listening on the Public Internet side then anyone can access them and if the password is default or weak this could easily be accessed. If someone has access to your router, they can attack any devices on the Internal network.

2. Port Forwarding is another important consideration, where the external interface forwards traffic to an Internal address so that is accessible from the Internet. If you are hosting services on your Internal network and you want these to be accessible, you may setup a port forwarding rule on the SOHO router. Port scanning the external IP address can help troubleshoot port forwards and ensure that there are no services being forwarded that should not be.

Firewall Administration

Further more identification of the actual operating system is also possible, either from the service identification or through more low level analysis of the packets coming back from the host.

System and network administrators will also utilize to map the external network of a host or organisation. Networks change over time and documentation is not always kept current, so a quick port scan of the services listening on a network will help a system administrator to understand the layout of the network.

Сравнительное тестирование 21 популярного фаервола на качество защиты от атак, исходящих изнутри системы. В тесте проводилась проверка защиты на 64-х специально разработанных для него тестовых утилитах, проверяющих защиту процессов от завершения, защиту от стандартных внутренних атак, защиту от нестандартных утечек и защиты от нестандартных техник проникновения в режим ядра.

Наряду с антивирусом, фаервол является одним из главных компонентов обеспечения безопасности компьютера. Однако, в отличие от антивирусов, объективные тесты работы фаерволов проводятся достаточно редко. Этот пробел мы попробовали закрыть, проведя в 2011 и 2012 году тест фаерволов на защиту от внутренних атак и тест персональных IDS/IPS на защиту от атак на уязвимые приложения . В этом году мы решили расширить список используемых методов и повторить тест фаерволов на защиту от внутренних атак, чтобы посмотреть, как за прошедшее время изменились результаты популярных продуктов по данному критерию.

На что направлен данный тест или какие функции выполняет фаервол? По определению интернет-стандарта [RFC3511 ] (2003 г.), фаервол – это система, реализующая функции фильтрации сетевых пакетов в соответствии с заданными правилами с целью разграничения трафика между сегментами сети. Однако, с ростом сложности вредоносных программ и хакерских атак, исходные задачи фаервола дополнились новыми функциональными модулями. Уже фактически невозможно представить полноценный фаервол без модуля HIPS (мониторинга системных событий, контроля целостности системы и т.п.).

Главная задача современного фаервола – осуществлять блокировку неавторизованных сетевых коммуникаций (далее - атак), подразделяемых на внутренние и внешние. К таковым относятся:

Внешние атаки на защищённую фаерволом систему:

• инициированные хакерами;
• инициированные вредоносным кодом.

• инициированные недоверенными приложениями (вредоносный код);
• инициированные приложениями, сетевая активность которых явным образом запрещена правилами.

Кроме того, фактически исчезли с рынка продукты, которые можно было бы отнести к чистым персональным фаерволам в классической формулировке 2003 года. На смену им пришли комплексные продукты защиты персональных компьютеров, в обязательном порядке включающие в себя фаервольный компонент.

Тест фаервола на защиту от внешних атак включает в себя изучение качества защиты от атак, исходящих изнутри системы. Тест проводился по следующим направлениям:

1. Проверка защиты процессов от завершения.
2. Защита от стандартных внутренних атак.
3. Тестирование защиты от нестандартных утечек.
4. Тестирование защиты от нестандартных техник проникновения в режим ядра.

По сравнению с предыдущим тестом существенно расширилось количество используемых атак – с 40 до 64. Также изменялась операционная система, защиту которой должны осуществлять тестируемые продукты. В прошлом тесте это была Windows XP, а в данном тесте – Windows 7 x32. Также на конец года планируется аналогичный тест для операционной системы Windows 7 x64.

Введение

В тестировании принимала участие 21 популярная программа комплексной защиты (класса Internet Security, если в линейке такого продукта нет, то выбирался сугубо фаервол) от различных производителей актуальных на дату начала тестирования версий продуктов (май 2013) и работающих на платформе Windows 7 x 32 :

1. Avast! Internet Security (8.0.1488).
2. AVG Internet Security (2013.0.3272).
3. Avira Internet Security (13.0.0.3499).
4. Bitdefender Internet Security (16.29.0.1830).
5. Comodo Internet Security (6.1.276867.2813).
6. Dr.Web Security Space (8.0).
7. Eset Smart Security (6.0.316.0).
8. F-Secure Internet Security (1.77 build 243).
9. G DATA Internet Security (1.0.13113.239).
10. Jetico Personal Firewall (2.0).
11. Kaspersky Internet Security (13.0.1.4190(g).
12. McAfee Internet Security (11.6.507).
13. Kingsoft Internet Security (2009.05.07.70).
14. Microsoft Security Essentials (4.2.223.0) + Windows Firewall.
15. Norton Internet Security (20.3.0.36).
16. Online Armor Premium Firewall (6.0.0.1736).
17. Outpost Security Suite Pro (8.0 (4164.639.1856).
18. Panda Internet Security (18.01.01).
19. PC Tools Internet Security (9.1.0.2900).
20. Trend Micro Titanium Internet Security (6.0.1215).
21. TrustPort Internet Security (2013 (13.0.9.5102).

Перед началом теста производилась подготовка среды тестирования. Для этого на чистый компьютер устанавливалась операционная система Windows 7 Enterprise SP1 x86 со всеми доступными на этот момент обновлениями, а также дополнительное программное обеспечение, необходимое для теста.

Тестирование производилось на двух типах настроек: рекомендуемых производителем стандартных (настройки по умолчания) и максимальных. В первом случае использовались рекомендуемые производителей настройки по умолчанию и производились все рекомендуемые программой действия.

Во втором случае в дополнение все настройки, которые были отключены в режиме «по умолчанию», но при этом могли повлиять на исход тестирования, включались и/или приводились в максимальное положение (наиболее строгие настройки). Другими словами – под выставлением максимальных настроек понимается перевод всех доступных из графического интерфейса пользователя настроек всех модулей, связанных с детектированием вредоносной файловой или сетевой активности, к наиболее строгому варианту.

Тест фаерволов проводился по следующим группам внутренних атак, для наглядности разбитых на уровни сложности:

1. Базовый уровень сложности (56 вариант атак):

1. проверка защиты процессов от завершения (41 вариант атак);
2. защита от стандартных внутренних атак (15 вариантов атак).

2. Повышенный уровень сложности (8 вариантов атак):

1. тестирование защиты от нестандартных утечек (3 варианта атак);
2. тестирование защиты от нестандартных техник проникновения в режим ядра (5 вариантов атак).

Подробное описание всех методов атаки, используемых в тесте, вы можете найти в методологии тестирования .

Проверка фаерволов на защиту от внутренних атак

Напомним, что согласно используемой схеме награждения , 1 балл (+) начислялся, если атака заблокирована автоматически, защитный функционал тестируемой программы не нарушен. 0.5 балла (или +/-) - если атака блокируется только при особых обстоятельствах (например, при правильном выборе пользователя нужного действия по запросу тестируемой программы). И, наконец, в случае если атака прошла успешно полностью или частично с выводом из строя функционала защиты, то баллы не начислялись. Максимально возможное количество набранных баллов в данном тесте составило 64.

В таблице 1-2 и на рисунке 1-2 представлены результаты тестирования фаерволов отдельно на стандартных и максимальных настройках. Для наглядности результаты для каждого фаервола разбиты на две группы: защита от атак базового уровня сложности и защита от атак повышенного уровня сложности.

Таблица 1: Результаты теста фаерволов на станд а ртных настройках

Протестированный продукт							Всего баллов (макс. 64)	Всего %
	Баллы	%	% от суммы	Баллы	%	% от суммы
Comodo	53	95%	82,8%	6	75%	9,4%	59	92%
Online Armor	50	89%	78,1%	7,5	94%	11,7%	57,5	90%
Norton	45	80%	70,3%	6	75%	9,4%	51	80%
Jetico	46	82%	71,9%	4,5	56%	7,0%	50,5	79%
Outpost	45	80%	70,3%	2,5	31%	3,9%	47,5	74%
Trend Micro	42	75%	65,6%	3	38%	4,7%	45	70%
Kaspersky	42	75%	65,6%	2,5	31%	3,9%	44,5	70%
Dr.Web	42,5	76%	66,4%	2	25%	3,1%	44,5	70%
TrustPort	43	77%	67,2%	0,5	6%	0,8%	43,5	68%
G DATA	42	75%	65,6%	1	13%	1,6%	43	67%
Avast	41	73%	64,1%	1	13%	1,6%	42	66%
Eset	41	73%	64,1%	1	13%	1,6%	42	66%
Bitdefender	41	73%	64,1%	1	13%	1,6%	42	66%
AVG	41	73%	64,1%	0	0%	0,0%	41	64%
McAfee	41	73%	64,1%	0	0%	0,0%	41	64%
PC Tools	41	73%	64,1%	0	0%	0,0%	41	64%
Avira	40	71%	62,5%	0	0%	0,0%	40	63%
Microsoft	40	71%	62,5%	0	0%	0,0%	40	63%
F-Secure	31,5	56%	49,2%	1	13%	1,6%	32,5	51%
Panda	30	54%	46,9%	0	0%	0,0%	30	47%
Kingsoft	27	48%	42,2%	1	13%	1,6%	28	44%

Рисунок 1: Результаты теста фаерволов на стандартных настройках

Защита от внутренних атак на рекомендуемых производителем настройках оставляет желать лучшего. Только три фаервола смогли преодолеть порог в 80% на стандартных настройках – это Comodo, Online Armor и Norton. Достаточно близко к ним располагаются продукты Jetico (79%) и Outpost (74%). Результаты остальных фаерволов оказались существенно хуже.

По сравнению с результатами прошлого теста все лидеры подтвердили свои высокие результаты, произошли только небольшие перемещения внутри лидирующей группы, например Outpost и Jetico поменялись позициями. Единственно неожиданностью стал продукт Norton, который в прошлом тесте показал результат в 45% и находился в нижней части таблице, а в данном тесте с 80% занял третью позицию.

Полученные результаты связаны с тем, что многие производители выставляют стандартные настройки таким образом, чтобы уменьшить количество сообщений, на которые должен реагировать пользователь. Это подтверждает и результатами теста – на стандартных настройках фаерволы задавали вопросы пользователям только в 5,4% атак, а на максимальных – в 9,2% атак. Однако это сказывается на качестве защиты, которая «промолчит» в ситуации, когда вредоносная программа будет имитировать/производить вполне легитимные действия в системе.

Также следует обратить внимание на две закономерности. Во-первых, процент предотвращения сложных видов атак в целом заметно хуже, чем атак базового уровня сложности. Больше половины таких атак отклонили только четыре продукта - Comodo, Online Armor, Norton и Jetico. Еще четыре продукта вошли в граничную группу, отклонив от 25% до 38% таких атак – это Outpost, Trend Micro, Kaspersky и Dr.Web. Все остальные продукты отклонили не больше одной сложной атаки. Во-вторых, улучшились показатели отражения базовых атак. Если в прошлом тесте 11 (50%) продуктов отклонили меньше 50% атак, то в данном тесте таких продуктов только 3 (14%).

Таблица 2: Результаты теста фаерволов на максимальных настройках

Протестированный продукт	Атаки базового уровня сложности (макс. 56 баллов)			Атаки повышенного уровня сложности (макс. 8 баллов)			Всего баллов(макс. 64)	Всего %
	Баллы	%	% от суммы	Баллы	%	% от суммы
Comodo	56	100%	87,5%	8	100%	12,5%	64	100%
Bitdefender	56	100%	87,5%	8	100%	12,5%	64	100%
Online Armor	53	95%	82,8%	8	100%	12,5%	61	95%
Kaspersky	53	95%	82,8%	7	88%	10,9%	60	94%
Norton	50,5	90%	78,9%	8	100%	12,5%	58,5	91%
PC Tools	49,5	88%	77,3%	5,5	69%	8,6%	55	86%
Outpost	49	88%	76,6%	5,5	69%	8,6%	54,5	85%
Eset	49	88%	76,6%	5,5	69%	8,6%	54,5	85%
Dr.Web	46,5	83%	72,7%	5	63%	7,8%	51,5	80%
Jetico	46	82%	71,9%	4,5	56%	7,0%	50,5	79%
Trend Micro	43	77%	67,2%	3	38%	4,7%	46	72%
TrustPort	43	77%	67,2%	2,5	31%	3,9%	45,5	71%
G DATA	42	75%	65,6%	3	38%	4,7%	45	70%
Avira	41,5	74%	64,8%	2	25%	3,1%	43,5	68%
Avast	41	73%	64,1%	1,5	19%	2,3%	42,5	66%
AVG	41	73%	64,1%	0	0%	0,0%	41	64%
McAfee	41	73%	64,1%	0	0%	0,0%	41	64%
Microsoft	40	71%	62,5%	0	0%	0,0%	40	63%
F-Secure	31,5	56%	49,2%	1	13%	1,6%	32,5	51%
Panda	30	54%	46,9%	0	0%	0,0%	30	47%
Kingsoft	27	48%	42,2%	1	13%	1,6%	28	44%

Рисунок 2: Результаты теста фаерволов на максимальных настройках

При включении максимальных настроек качество защиты от внутренних атак у многих протестированных фаерволов значительно повысилось. Особенно это заметно у крепких середнячков. Все лидеры прошлого теста в данном тесте также показали высокие результаты. Из изменений стоит отметить продукт Bitdefender, который наряду с Comodo, показал 100% результат и продукт Norton, переместившийся в лидирующую группу.

Результаты ряда продуктов на стандартных и максимальных настройках оказались одинаковыми. Это связанно с тем, что данные продукты не имеют настроек, способных повлиять на результаты нашего теста.

Сравнение качества защиты на стандартных и максимальных настройках

В соответствии с логикой данного теста мы не будем проводить суммирование или усреднение результатов одного и того же продукта с различными настройками. Напротив, мы хотим их сопоставить и показать существенные отличия в качестве защиты протестированных продуктов в зависимости от используемых настроек.

Для наглядности мы приводим итоговые результаты теста фаерволов со стандартными и максимальными настройками в таблице 3 и на рисунке 3.

Таблица 3: Сводные результаты теста фаерволов на стандартных и максимальных настройках

Продукт	Стандартные настройки	Максимальные настройки
Comodo	92%	100%
Online Armor	90%	95%
Norton	80%	91%
Jetico	79%	79%
Outpost	74%	85%
Trend Micro	70%	72%
Kaspersky	70%	94%
Dr.Web	70%	80%
TrustPort	68%	71%
G DATA	67%	70%
Avast	66%	66%
Eset	66%	85%
Bitdefender	66%	100%
AVG	64%	64%
McAfee	64%	64%
PC Tools	64%	86%
Avira	63%	68%
Microsoft	63%	63%
F-Secure	51%	51%
Panda	47%	47%
Kingsoft	44%	44%

Рисунок 3: Сводные результаты теста фаерволов на стандартных и максимальных настройках

Рисунок 3 очень наглядно демонстрирует разницу в результатах теста в зависимости от выбранных настроек.

Во-первых, только два продукта – Comodo и Online Armor показывают близкие к максимальным показатели защиты, как на стандартных, так и на максимальных настройках.

Во-вторых, при изменении стандартных настроек предложенных производителем, часть продуктов показывает существенно лучший уровень защиты. Наиболее ярко это видно на таких продуктах как Bitdefender, Kaspersky, Eset, F-Secure и PC Tools.

В-третьих, как уже отмечалось выше, некоторые из протестированных продуктов вовсе не имеет настроек, которые каким-либо образом могли бы повлиять на результаты теста. Поэтому их результаты на всех типах настроек в данном тесте одинаковы. К этой группе относится Jetico, Avast, AVG, McAffe, F-Secure, Panda, Kingsoft и Microsoft.

В итоговой оценке не учитываются ситуации, когда атака была отражена, однако при этом возникали проблемы с пользовательским интерфейсом продуктов. В большинстве случаев проблемы заключались в «вылетании» интерфейса на непродолжительное время (от 2 до 10 секунд) или до следующей загрузки операционной системы. Несмотря на то, что при проблемах с пользовательским интерфейсом продукты продолжали обеспечивать защиту, наличие таких проблем субъективно воспринимается негативно и может влиять на предпочтения в выборе продуктов. Количество проблем с пользовательским интерфейсом представлено в таблице 3 и на рисунке 3. Оценивались ошибки, возникающие при атаках 1 уровня, общее количество которых – 41.

Таблица 4: Количество проблем с пользовательским интерфейсом на стандартных и максимальных настройках

Протестированный продукт	Стандартные настройки		Максимальные настройки
	Количество ошибок	%	Количество ошибок	%
McAfee	34	83%	34	83%
Microsoft	33	80%	33	80%
Kingsoft	20	49%	20	49%
F-Secure	19	46%	19	46%
Panda	17	41%	17	41%
Jetico	16	39%	16	39%
PC Tools	13	32%	13	32%
Trend Micro	12	29%	12	29%
AVG	10	24%	9	22%
TrustPort	9	22%	9	22%
G DATA	9	22%	9	22%
Bitdefender	8	20%	8	20%
Norton	6	15%	6	15%
Avast	5	12%	5	12%
Outpost	5	12%	5	12%
Eset	5	12%	4	10%
Comodo	5	12%	0	0%
Avira	2	5%	2	5%
Dr.Web	2	5%	2	5%
Kaspersky	1	2%	1	2%
Online Armor	1	2%	1	2%

Рисунок 4: Количество проблем с пользовательским интерфейсом на стандартных и максимальных настройках

Полученные результаты показывают, что у продуктов McAfee и Microsoft проблемы с пользовательским интерфейсом возникали при большинстве атак (более 80%). Это можно назвать неприемлемым уровнем, т.к. практически любая успешно отраженная атака приведет к проблемам. Достаточно плохие результаты, лежащие в диапазоне от 30% до 50%, показывают продукты Kingsoft, F-Secure, Panda, Jetico и PC Tools. При их использовании каждая 2-3 атака будет приводить к проблемам с интерфейсом. Еще целый ряд продуктов показывают результаты от 10% до 30%, которые можно назвать удовлетворительными. Хорошие результаты показали продукты Avira, Dr.Web, Kaspersky и Online Armor, проблемы у которых возникали в диапазоне от 2% до 5% атак. Единственным продуктом, у которого ни разу не возникло проблем с пользовательским интерфейсом был Comodo на максимальных настройках, что можно признать отличным результатом. Однако при стандартных настройках результат Comodo ухудшается (12%), что говорит о том, что использование данного продукта требует определенных знаний по его настройке.

Итоговые результаты теста и награды

Так же, как и в предыдущем тесте, мы не усредняли результаты одного и того же продукта с различными настройками, а рассматривать их независимо друг от друга. Таким образом, каждый из протестированных продуктов может получить две награды, по одной на каждом виде настроек.

В соответствие со схемой награждения лучшие фаерволы получают награды с указанием использованных при этом настроек, см. таблицу 4.

Таблица 5: Итоговые результаты теста фаерволов на стандартных и максимальных настройках

Тестируемый продукт	Вариант настроек	Предотвращение атак [%]		Всего [%]	Награда
		Базовый уровень сложности	Повышенный уровень сложности
Comodo	Max	100%	100%	100%	Platinum Firewall Outbound Protection Award
Bitdefender	Max	100%	100%	100%
Online Armor	Max	95%	100%	95%	Gold Firewall Outbound Protection Award
Kaspersky	Max	95%	88%	94%
Comodo	Standard	95%	75%	92%
Norton	Max	90%	100%	91%
Online Armor	Standard	89%	94%	90%
PC Tools	Max	88%	69%	86%
Outpost	Max	88%	69%	85%
Eset	Max	88%	69%	85%
Norton	Standard	80%	75%	80%
Dr.Web	Max	83%	63%	80%
Jetico	Max	82%	56%	79%	Silver Firewall Outbound Protection Award
Jetico	Standard	82%	56%	79%
Outpost	Standard	80%	31%	74%
Trend Micro	Max	77%	38%	72%
TrustPort	Max	77%	31%	71%
Trend Micro	Standard	75%	38%	70%
Kaspersky	Standard	75%	31%	70%
Dr.Web	Standard	76%	25%	70%
G DATA	Max	75%	38%	70%
TrustPort	Standard	77%	6%	68%	Bronze Firewall Outbound Protection Award
Avira	Max	74%	25%	68%
G DATA	Standard	75%	13%	67%
Avast	Max	73%	19%	66%
Avast	Standard	73%	13%	66%
Eset	Standard	73%	13%	66%
Bitdefender	Standard	73%	13%	66%
AVG	Max	73%	0%	64%
AVG	Standard	73%	0%	64%
McAfee	Max	73%	0%	64%
McAfee	Standard	73%	0%	64%
PC Tools	Standard	73%	0%	64%
Microsoft	Max	71%	0%	63%
Microsoft	Standard	71%	0%	63%
Avira	Standard	71%	0%	63%
F-Secure	Max	56%	13%	51%	Нет награды
F-Secure	Standard	56%	13%	51%
Panda	Max	54%	0%	47%
Panda	Standard	54%	0%	47%
Kingsoft	Max	48%	13%	44%
Kingsoft	Standard	48%	13%	44%

Лучшие результаты в тесте показали фаерволы Comodo и Bitdefender, набравшие 100% баллов на максимальных настройках. Эти два продукта получают награду Platinum Firewall Outbound Protection Award .

Очень высокие результаты в тесте (свыше 80%) также показали фаерволы Online Armor, Kaspersky, Comodo, Norton, PC Tools, Outpost, Eset и Dr.Web, которые получают награды Gold Firewall Outbound Protection Award . Важно отметить, что Comodo получил данную награду на стандартных настройках, Online Armor и Norton на стандартных и максимальных настройках, а все остальные – только на максимальных настройках.

Далее по списку расположилась группа из семи фаерволов, чьи результаты попадают в диапазон от 60% до 70%. Это Outpost, Kaspersky и Dr.Web на стандартных настройках; TrustPort и G DATA на максимальных настройках, а также Jetico и Trend Micro одновременно на стандартных и максимальных настройках. Все они получают награду

Достаточно большая группа продуктов, попавших в диапазон от 60% до 70%, получает награду . В ней следует отметить продукты Eset и Bitdefender на стандартных настройках, которые на максимальных настройках смогли отразить существенно большее количество атак.

Ознакомиться с подробными результатами теста и убедиться в правильности итоговых расчетов можно, скачав результаты теста в формате Microsoft Excel .

Шабанов Илья, управляющий партнер сайт:

«Очень обрадовал тот факт, что очень многие производители заметно улучшили проактивную защиту от внутренних атак и самозащиту в своих продуктах. Нам пришлось даже пересмотреть схему награждения, чтобы поднять планку требований. Результат менее 51% баллов теперь стал рассматриваться как полностью провальный.

Приятно удивил, Bitdefender отразившие в параноидальном режиме все 100% атак, Eset и Dr.Web с результатами на максимальных настройках 85% до 80% соответственно, а также новичок наших тестов TrustPort. В «золотую группу» продуктов по результатам этого теста попали фаерволы Comodo, Norton и Online Armor, набравшие более 80% на стандартных и максимальных настройках. Стабильно высокие результаты в тестах, затрагивающих проактивную защиту, продемонстрировали Kaspersky, Outpost, PC Tools.

Однако в случае целого ряда протестированных продуктов непонятна логика, по которой выставляются стандартные настройки. В результате уровень защиты большинства пользователей, привыкших использовать защиту со стандартными настройками, оказывается существенно заниженным. В первую очередь это относится к продуктам Bitdefender, Kaspersky, Eset и PC Tools».

Картавенко Михаил, руководитель тестовой лаборатории сайт:

«Рассматривая данный тест как продолжение прошлого аналогичного теста, можно обозначить несколько основных тенденций и проблем в работе фаерволов.

Во-первых, в среднем большинство продуктов показали лучшие результаты, чем 1.5 года назад, однако сделали они это в основном за счет отражения самых простых атак 1 уровня. Более сложные атаки «по зубам» только ограниченному кругу продуктов.

Во-вторых, даже если сработала защита процессов от завершения (1 уровень атак), у многих продуктов «вылетает» пользовательский интерфейс. Это ставит пользователя в неудобное положение, в котором он не понимает – работает ли защита или уже нет.

В-третьих, существует достаточно большой разрыв в работе фаерволов на стандартных и максимальных настройках. В результате приемлемый уровень защиты зачастую могут получить только опытные пользователи, которые знают и умеют правильно настраивать работу фаерволов.

Таким образом, тест выявил «болевые» точки современных фаерволов, решение которых может улучшить их защиту».

Раздел обновляется ежедневно. Всегда свежие версии самых лучших бесплатных программ для повседневного использования в разделе Необходимые программы . Там практически все, что требуется для повседневной работы. Начните постепенно отказываться от пиратских версий в пользу более удобных и функциональных бесплатных аналогов. Если Вы все еще не пользуетесь нашим чатом , весьма советуем с ним познакомиться. Там Вы найдете много новых друзей. Кроме того, это наиболее быстрый и действенный способ связаться с администраторами проекта. Продолжает работать раздел Обновления антивирусов - всегда актуальные бесплатные обновления для Dr Web и NOD. Не успели что-то прочитать? Полное содержание бегущей строки можно найти по этой ссылке .

Бесплатный фаервол Comodo. Тестирование, выводы

Comodo Firewall в работе

После установки и настройки Comodo спрятался в трее и начал доставать меня своими расспросами. В первый день я поигрался со всеми режимами фаервола и проактивной защиты и в конце концов заставил его замолчать. Каких-то тормозов после его появления в своей системе обнаружено не было. И вообще, работать с фаерволом от Comodo было достаточно легко и удобно. Интерфейс основного окна весьма прост и информативен:

Но вот к навигации по настройкам фаервола и проактивной защиты пришлось привыкать - не всегда удаётся быстро найти нужный пункт. Думаю, со временем это пройдёт.

Спустя несколько дней после установки Comodo Firewall я решил его немного потестировать.

Тест №1. Онлайн-тестирование

При нажатии на кнопку "Test" программа пытается установить связь с сервером сайта .

Поскольку эту утилиту Comodo Firewall ещё не знает, то при первой её попытке вырваться в интернет последовала незамедлительная реакция со стороны проактивной защиты и фаервола:

В обоих случаях я нажал заблокировать и получил подтверждение об успешном прохождении теста:

Затем я переименовал файл FireWallTest.exe в opera.exe и подменил им стандартный файл Оперы. Таким образом, я попытался обмануть Comodo Firewall, который уже хорошо знает этот браузер и постоянно и автоматически выпускает его в интернет. На запуск «фальшивой» Оперы из Тотала Comodo отреагировал следующим образом:

Получив моё разрешение на одноразовый запуск, фаервол предупредил меня о попытке выхода Оперы в интернет:

Получается, что любое приложение, для которого уже существуют правила, в случае подмены исполняемого файла без моего ведома выйти в интернет не сможет. Вроде всё хорошо, но вот какая штука: цвет верхней части окна с предупреждением зависит от серьёзности ситуации. Если Comodo оценивает событие как критичное, то цвет будет красным, если событие менее опасное – жёлтым. В моём случае Comodo посчитал смоделированную ситуацию не особо опасной и зажёг «жёлтый». К тому же вместо формулировки «исполняемый файл opera.exe не опознан» я бы предпочёл увидеть что «произошло изменение параметров файла opera.exe ”. Так предупреждают в подобных ситуациях комбайны от Касперского и Eset, например. Причём, пользователь видит окно тревоги с использованием красного цвета, что сразу заставляет обратить внимание на ситуацию. А предупреждение от Comodo может быть просто проигнорировано пользователем из-за недостаточного акцента на происходящее событие.

Подмена файла Оперы было лишь частью моего коварного плана. Следующей жертвой стал Internet Explorer 6 , который интегрирован в операционную систему, а, значит, iexplore.exe можно считать полноправным системным файлом. Каково же было моё удивление, когда под полное молчание Comodo я увидел окно о провале теста:

Видимо, создано лишнее правило, решил я и полез в политики фаервола и проактивной защиты. Покопавшись там минут 15, я принял единственно правильное решение - переустановить Comodo. Сказано - сделано. Оставив режимы работы по умолчанию, я повторил опыт с подменой iexplore.exe . На запуск из Тотала проактивная защита сработала, как и в случае с Оперой:

Здесь придётся сделать небольшое лирическое отступление. Дело в том, что при подмене исполняемого файла IE система в течение 4-8 секунд восстанавливает оригинальный iexplore.exe . В связи с этим результаты моего теста зависели от того, успевает подменённый файл постучаться в интернет или нет.

В случае, когда я успеваю совершить все манипуляции до восстановления explore.exe, происходит следующее. Получив моё разрешение на одноразовый запуск explore.exe , Тотал запускает утилиту FireWallTest, жму «Test”, проактивная защита Defens+ выдает предупреждение:

Если разрешаем (в качестве эксперимента) - отрабатывает фаервол:

Успеваем нажать «Блокировать» - тест пройден, утилита в интернет не проскочила. А вот если iexplore.exe восстановлен до того, как нажали кнопку блокировки - от Вашего выбора уже ничего не зависит - утилита автоматически получает доступ интернет в момент восстановления оригинального файла.

То же самое относится и к работе проактивной защиты: если не успел скомандовать блокировать до восстановления explore.exe - утилита автоматом получает доступ в интернет.

Вдоволь наигравшись с фальшивым IE, я вспомнил о самом первом провале теста, когда Comodo промолчал и выпустил «левый» файл в интернет. Переустановив Comodo, я перевёл Defense+ и фаервол в режим обучения и запустил IE. После этого вернул режимы, выставленные по умолчанию, и повторил тест. Comodo его снова молча провалил...

Тест №3. Дуэль

Находясь под впечатлением от результатов предыдущего теста, я искал дополнительные возможности протестировать Comodo и, наконец, нашёл утилиту AWFT.

Эта программка эмулирует поведение троянов и содержит серию из шести тестов, демонстрирующих различные методики неавторизованного доступа в сеть, минуя защиту фаервола. Среди этих тестов есть как старые способы обмана фаерволов, так и более современные методики. За каждый успешно пройденный тест фаерволу начисляется некоторое количество баллов. Если тест не пройден, баллы начисляются в пользу AWFT. Максимальное количество баллов - десять.

Утилита является условно-бесплатной, ограничение - 10 запусков. В верхней части окна программы расположены кнопки, запускающие соответствующие тесты, внизу указан сайт, куда будет прорываться AWFT, и результат дуэли между фаерволом и утилитой. Кнопка Reset Points служит для сброса набранных очков.

На всякий случай я решил поменять адрес сайта на свой.

Тестирование происходило при включенном Comodo Firewall и Defense+, запущенной Оперой и отключенным монитором Авиры.

В первом тесте использован приём с загрузкой скрытой копии браузера и пропатчиванием памяти перед его запуском.

При нажатии кнопки теста выскочило окно с ошибкой:

После закрытия этого окна Сomodo отреагировал на тест окном запроса, при нажатии кнопки «Блокировать» AWFT, немного призадумавшись, отдала первое очко фаерволу.

По утверждению разработчиков утилиты тест №2 - это старый и давно известный трюк. Comodo снова реагирует окном запроса и снова получает очко.

В тесте №3 также используется старый трюк. Comodo просто молча его блокирует, видимо, трюк действительно известный.

Тест №4 аналогичен первому тесту с запуском скрытой копии браузера и пропатчиванием памяти перед его запуском. Фаервол не выдал никаких предостережений, но через небольшую паузу заработал очередное очко.

Во время пятого и шестого теста необходимо переключиться в браузер и немного посерфинговать (я просто обновлял загруженную в браузере страницу).

В тесте №5 утилита выполняет эвристический поиск установленного на компьютере (или в сети) разрешённого программного обеспечения, имеющего доступ к интернет через порт 80, затем запускает копию разрешённой программы и перед самым запуском патчит память, занимаемую этой программой (т.е., AWFT запускает и саму себя в памяти разрешённой программы). Comodo молча справился с тестом и получил за него целых 3 очка.

Тест №6 аналогичен предыдущему пятому тесту. Используется тот же приём с эвристическим поиском установленного софта, имеющего право выходить наружу через порт 80. Только способ взлома сейчас изменён - используется пользовательский запрос. Попутно с этим AWFT пытается прилепить к браузеру левый скрытный тулбар. При открытой Опере у меня выскочило такое окно:

В момент подтверждения мною этого пользовательского запроса Comodo выдал свой запрос, утилита была снова заблокирована, а фаервол получил 3 очка себе в зачёт.

Итог дуэли - 10:0 в пользу Comodo. Повторив тесты с открытым Internet Explorer, я получил те же результаты.

Заключение

Несмотря на некоторый неприятный осадок в душе, оставшийся после тестирования фаервола, я всё же рекомендую Comodo Internet Security для домашнего использования, но только в качестве фаервола. И не слушайте тех умников, которые советуют отключать проактивную защиту, ни в коем случае! Только с использованием Defense+ этот фаервол действительно обеспечивает безопасность Вашего компьютера. А вот что действительно не следует использовать, так это антивирус от Comodo. Мало того, что он прилично пропускает, у Вас возникнут проблемы с его обновлением - уж очень громоздкие базы у него. К тому же он прилично влияет на быстродействие системы. У меня просто замечательно работали в паре Comodo Firewall и Avira Antivir Personal.

Тормозов и глюков в системе во время работы фаервола мною обнаружено не было. Свои размышления о результатах моего тестирования я пока оставлю при себе, хочется послушать Ваши коментарии.

Во время написания заключительной части этой статьи я наткнулся на результаты недавнего тестирования фаерволов лабораторией Matousec. Comodo Internet Security оказался единственным фаерволом со 100-процентным результатом (см. форум по фаерволам). Что же, я свой выбор сделал... А Вы?

плюсы (явные) :
бесплатное распространение,
наличие собственной базы данных программ;
наличие проактивной защиты (Defense+);
простота установки и начальной настройки;
очень информативное и удобное окно со сводкой;

плюсы (сомнительные) :
наличие нескольких режимов работы;

минусы (явные) :
раздражающий режим инсталляции;
подмена исполняемого файла не определяется проактивной защитой как критическое событие;

минусы (сомнительные) :
откровенно неудачный антивирус.

Методика тестов

Тестирование производилось на экспериментальном ПК под управлением лицензионной Windows XP с установленным SP1 (тестирования проводились в идеализированных условиях - "операционная система + Firewall" для исключения влияния других программ на чистоту эксперимента). В качестве индикатора успешного доступа к сервисам использовалась утилита APS . В качестве средств внешнего воздействия применялись:

• сканер XSpider 6.5 и 7.0
• Retina Network Security Scanner 4.9
• несколько сканеров моей разработки.

Кроме того, применялся сниффер CommView 4.1 (в качестве средства наблюдения за сетевым трафиком и в качестве утилиты для генерации и отправки пакетов с различными нарушениями в структуре). Применялись т.н. флудеры (flooder) распространенных типов, утилиты для имитации троянских программ.

На испытательном ПК в качестве средств доступа к сети и Интернет применялся IE 6, Outlook Express 6, TheBat 1.60, MSN Messanger 6.1. Кроме них в тесте участвовали имитаторы троянских программ и реальные троянские / Backdoor программы из моей коллекции (в частности Backdoor.Antilam, Backdoor.AutoSpy, Backdoor.Death, Backdoor.SubSeven, Backdoor.Netbus, Backdoor.BO2K), сетевые / почтовые вирусы (I-Worm.Badtrans, I-Worm.NetSky, I-Worm.Sircam, I-Worm.Mydoom, I-Worm.MSBlast), загрузчики троянских программ TrojanDownloader (в частности TrojanDownloader.IstBar) и шпионские SpyWare компоненты. Главной задачей тестов была попытка взглянуть на Firewall глазами пользователя, отметить его сильные и слабые с моей точки зрения стороны.

Kerio Technologies WinRoute Pro v4.2.5

Инсталляция и деинсталляция:
Проходит без проблем.
Установка с настройками "по умолчанию", без правил - действует только NAT. Работа в сети - без проблем, результаты сканирования - APS не показывает состояние тревоги, сканер считает, что все порты закрыты. Сам Winroute не выдает сигналов тревоги и никак визуально не идентифицирует факт сканирования.

Outpost Firewall Pro 2.1 Build 303.4009 (314)

Инсталляция и деинсталляция:
Установка под XP проходит без проблем, при запуске включается режим обучения.

ZoneLabs ZoneAlarm Pro with Web Filtering 4.5.594.000 - Personal Firewall

Инсталляция и деинсталляция:
В ходе установки подвесил XP в ходе попытки запуститься после инсталляции. После перезагрузки все заработало нормально.

AtGuard 3.22>

Инсталляция и деинсталляция:
Инталляция и деинсталляция особых проблем не вызывает

Достоинства:

1. Небольшой по размеру Firewall, имеет интересное решение с точки зрения интерфейса - он выполнен в виде панели, размещаемой вверху экрана

Недостатки и особенности:

1. В режиме обучения уязвим - с момента вывода запроса на создание правила до его создания пропускает пакеты в обоих направлениях
2. Интерфейс немного поглючивает при перерисовке окон

Общая оценка:
Простой Firewall, однако вполне функциональный

Kerio Personal Firewall 4

Инсталляция и деинсталляция:
Установка проходит без проблем, удаление "чистое" - проблем после деинсталляции не замечено.

Norton Internet Security 2004 (NIS)

Инсталляция и деинсталляция: Установка не вызывает проблем, но из всех проанализированных инсталлятор самый тяжеловесный.

Internet Connection Firewall, ICF - встроенный брандмауэр Windows XP

Инсталляция и деинсталляция: Установка не требуется, является штатным средством XP. Включение производится в настройках сетевого адаптера. По умолчанию ICF работает в режиме максимальной безопасности и (это результат моего наблюдения) принцип его работы таков - запросы приложений выпускаются наружу, а снаружи принимаются только пакеты, пришедшие в ответ на мои запросы (соответствие запрос-ответ явно ведется в виде динамической таблицы). Таким образом, при сканировании портов на компьютере с включенным ICF нет ни одного открытого порта (это логично - пакеты сканера портов не будут пропущены, т.к. их никто не запрашивал). Аналогично дело обстоит с различного рода "нюками", основанными на отправке нестандартных пакетов

Internet Connection Firewall, ICF - встроенный брандмауэр Windows XP SP2

Инсталляция и деинсталляция: Установка не требуется, является штатным средством XP (входит в пакет обновлений SP2 для XP). Включение производится в настройках сетевого адаптера. Следует заметить, что при установке SP2 или при установке XP с интегрированным SP2 кроме Firewall в системе появляется центр обеспечения безопасности, который может показывать настройки ICF

Sygate Personal Firewall Pro 5.5 build 2525

Инсталляция и деинсталляция:

ISS BlackIce 3.6.cci

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем, но в ходе инсталляции возникает ошибка в библиотеке ikernel. Эта-же ошибка возникла и при деинсталляции. Возникнование данной ошибки не влияет на процесс установки и удаления программы. Инсталлятор не потребовал перезагрузку системы, что для Firewall необычно

Visnetic Firewall 2.2

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Look n stop personal firewall 2.05

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка. Для работы устанавливает свой драйвер.

Kaspersky AntiHacker 1.5

Инсталляция и деинсталляция: Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

Tiny Personal Firewall Pro 6.0

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

McAfee Personal Firewall Plus 6.0 Build 6014

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. После инсталляции требуется перезагрузка.

R-Firewall 1.0 Build 43

Инсталляция и деинсталляция:
Установка программы и ее деинсталляция происходит без проблем. Размер дистрибутива небольшой (3.8 МБ), можно настроить состав продукта. Работа достаточно стабильная, на эталонном ПК явных сбоев и зависаний не замечено

Общие выводы и заключение

Итак, подведем итоги тестов. По сути, тесты подтвердили мои теоретические представления о состоянии проблемы:

1. Firewall нужно настраивать . Все тестируемые Firewall неплохо работали, но только после настройки (обучения, создания настроек вручную - не важно). Эксплуатация ненастроенного Firewall может нанести больше вреда, чем пользы (он пропустит опасные пакеты и наоборот, будет мешать полезным программам);
2. После настройки Firewall и IDS нужно тестировать - это тоже достаточно очевидный вывод, но тем не менее он важен. Первый шаг к созданию тестера я сделал - это утилита APS . Осталось еще два - имитатор троянской програмы (т.е. утилита, которая будет выполнять безопасные для пользователя попытки "сломать" Firewall изнутри (естественно, атаки будут описаны базой данных и будут проводиться по команде пользователя под его управлением), что позволит наблюдать за реакцией Firewall и IDS) и утилита для экспресс-сканирования портов и проведения базовых атак (по сути APS с точностью до наоборот - база портов у них может быть общая). Разработкой этих утилит я уже занимаюсь - их наличие в арсенале пользователя позволит произвести некий "инструментальный контроль".
3. Персональный Firewall уязвим перед вредоносными программами, работающими из контекста полезных. Вывод - как минимум долой разные "левые" панели и прочие BHO из браузера и электронной почты!! Перед установкой любого плагина, панели, утилиты расширения и т.п. нужно десять раз подумать о их необходимости, т.к. они не являются отдельными процессами операционной системы и работают из контекста родительской программы . Троянская программа легко детектируется персональным Firewall - он "видит", что некоторый процесс (скажем, bo2k.exe) пытается начать прослушивание порта xxxxx или обмен с неким хостом - выдается запрос о допусимости, пользователь начинает разбираться, что же это за "bo2k.exe" и Backdoor оказывается пойман. А вот если бы троянская программа работала из контекста браузера, то на обращение браузера в Интернет почти наверняка никто не обратит внимание. Такие троянские программы существуют, ближайший пример - TrojanDownloader.IstBar - он устанавливается именно как панель IE (в процессах его естественно нет, в списке автозапуска - тоже);
4. Многие персональные Firewall видны как процессы операционной системы и могут быть остановлены вирусом. Вывод - за работой Firewall нужно следить и его внезапное завершение может служить сигналом о проникновении на ПК вируса;
5. Некоторые Firewall (например Kerio) допускают дистанционное управление - функцию дистанционного управления необходимо или отключить, или запаролить.

В настоящее время ноутбуки очень популярны в качестве домашних компьютеров, так как они занимают мало места и их можно легко переносить из комнаты в комнату. Многие домашние пользователи включают совместное использование файлов для того, чтобы, например, проигрывать цифровой контент на своих мультимедийных системах и телевизорах.

Многие из этих пользователей берут с собой ноутбуки в общественные места, например, в кафе, и подключаются к Интернету с использованием беспроводной Wi-Fi сети. Разумно при этом ожидать, что при запросе фаервола и выборе сети как общественная, компьютер должен быть защищен от вторжений со стороны других участников открытой сети.

Бизнес-пользователи, которые используют ноутбук в качестве единственного рабочего компьютера, могут оказаться в такой же ситуации, при этом их машины чаще всего настроены на контроль через удаленный рабочий стол (Microsoft Remote Desktop).

Цель этого теста определить, как наиболее популярные сторонние фаерволы (брандмауэры) – отдельные и в составе пакетов Internet Security – на самом деле обеспечивают основной контроль входящего доступа для пользователей ноутбуков, которые переключаются между домашней/рабочей и общественной сетью.

Пожалуйста, обратите внимание, что объем теста, очевидно, очень ограничен, и поэтому хороший результат в нем, не означает, что продукт обеспечивает полную безопасность сети.

Тестирование проводилось в январе 2014 года по заказу журнала CHIP Online (Германия). Используемые версии фаерволов были доступны по состоянию на 13 января 2014 года.

Процедура тестирования фаерволов

Тестовый ПК подключен к Интернету через беспроводную локальную сеть (WLAN), используя соединение сети, которая определяется как Частная в Центре управления сетями и общим доступом Windows (WNSC).

Тестовая версия каждого продукта, доступного по состоянию на 13 января 2014 года, устанавливается с настройками по умолчанию, и тестовый компьютер перезагружается. Если сам продукт предлагает пользователю определить текущий тип сети, как Частная/Доверенная – будет выбран данный вариант. Если продукт имеет функцию обновления, то оно выполняется. Проверяется, чтобы продукт был зарегистрирован в Центре поддержки Windows в качестве системного брандмауэра, и сам продукт показывал, что он работает должным образом. С помощью второго ПК проверяется подключение в существующей частной сети следующим образом:

• Ping hostname -4
• Ping hostname -6
• Ping IPv4 address
• Ping IPv6 address
• File share hostname
• File share IPv4 address
• Remote Desktop (RDP) hostname
• Remote Desktop (RDP) IPv4 address
• Remote Desktop (RDP) IPv6 address

Проверяется, чтобы все эти формы удаленного доступа работали для обеспечения полной функциональности тестового ПК в частной сети и его максимального контроля. После этого выключается компьютер и роутер, к которому он был подключен, и снова запускается ПК. Затем он подключается к другой WLAN-сети, которая определяется как Общедоступная (Общественная) в WNSC, используя диалоговое окно Брандмауэра Windows.

Если фаервол показывает свой запрос на определение типа сети, устанавливается значение «Общественная» или «Недоверенная». Больше не делается никаких изменений в настройке продукта.

Эта процедура моделирует типичное поведение пользователя ноутбука, который перемещается из дома / офиса в общедоступную сеть в кафе, аэропорту или гостинице. После того, как компьютер подключен к новой общедоступной беспроводной сети, проводятся те же тесты, что и для подключения в частной сети. На этот раз ожидается, что все попытки подключения будут провалены, поскольку компьютер должен быть защищен от любого внешнего обнаружения и доступа в общедоступной сети.