Чем можно заменить брандмауэр виндовс
Обновлено: 06.07.2024
Брандмауэры — важная часть защитного программного обеспечения и всегда найдутся те, кто попытается продать вам их. Однако Windows снабжен собственным брандмауэром начиная с Windows XP SP2 и его более чем достаточно для защиты вашего ПК.
Вам так же вряд ли остро необходимы программы типа «Internet Security» и т.п. Все, что вам необходимо установить — антивирус, а с Windows 8.1 и эта надобность практически отпадает, т.к. в этой версии Windows уже встроен и антивирус.
Рассмотрим, почему так, а не иначе.
Зачем нужен брандмауэр
Основной функцией брандмауэра является блокирование нежелательных входящих соединений. Брандмауэры могут интеллектуально блокировать различные типы соединений — например, они могут разрешить доступ к сетевым файловым ресурсам и другим сервисам, когда ноутбук подключен к домашней сети, но не тогда, когда он подключен к публичной сети Wi-Fi в кафе.
Брандмауэр позволяет блокировать соединения потенциально уязвимых служб и контролировать доступ к сетевым услугам, в частности, расшареным файлам, а также другим сервисам, которые должны быть доступны только в доверенных сетях.
До Windows XP SP2, когда Брандмауэр Windows был обновлен и включен по умолчанию в системах с Windows XP, подключенные к Интернету компьютеры заражались в среднем после четырех минут в сети. Черви, такие как Blaster worm пытались подключиться напрямую к каждому компьютеру. Так как брандмауэра не было — компьютер почти 100% заражался.
Брандмауэр может защитить от таких атак из сети, даже если атакуемое приложения имеет уязвимость. Даже если современные версии Windows уязвимы для таких червей, будет чрезвычайно трудно заразить компьютер, потому что брандмауэр блокирует весь такой входящий трафик.
Включим брэндмауэр: Параметры > Обновление и безопасность > Безопасность Windows > Брандмауэр и защита сети.
Почему брандмауэр Windows достаточно хорош
Брандмауэр Windows выполняет ту же работу по блокированию входящих соединений что и сторонние брандмауэры. Сторонние брандмауэры, например такой, как в комплекте с Norton Internet Security или Kaspersky Internet Security будут часто показывать вам информационные окна, сообщающие о том, что программы работают, отрабатывая затраченные на них деньги, в то время как брандмауэр Windows будет в фоне выполнять свою неблагодарную работу, стараясь не тревожить пользователя.
Он включен по-умолчанию и должен оставаться включенным все время, если вы его не отключали вручную или если вы не используете брандмауэр стороннего производителя. Брандмауэр Windows можно найти в панели управления и проверить статус его работы.
Если какая-либо программа захочет начать принимать входящие соединения, то ей будет необходимо создать правило брандмауэра Windows, о чем вам будет выведено всплывающее диалоговое окно с запросом разрешения на создание.
Когда необходимо устанавливать сторонние брандмауэры
По-умолчанию, брандмауэр Windows выполняет только одну, но очень важную задачу — блокирует входящие соединения. У него есть и другие функции, но они скрыты сложным интерфейсом.
Например, большинство сторонних брандмауэров позволяют легко и просто управлять доступом приложений к интернету. Они выводят исходящее окно, когда приложение в первый раз инициирует исходящее подключение. Это позволяет вам контролировать какие приложения на компьютере будут иметь доступ к интернету, а какие — нет.
Опытным пользователям это скорее всего понравится, но это плохо для обычного пользователя. Им будет поручено выбрать — разрешать приложению выход в интернет или нет, при этом можно случайно запретить доступ процессам обновлений и сделать вашу систему уязвимой. Ведь вряд ли средний пользователь знает процессы системы и их функционал. Так же эти всплывающие окна весьма доставучи и работа за компьютером может превратиться в бесконечную настройку файервола. Да, и если вы не доверяете программе, блокируете ей доступ к интернет, то зачем вы держите ее на своем компьютере.
Тем не менее, если вы хотите взять управление соединениями в свои руки, то вам необходимо использовать брандмауэр сторонних производителей. Как правило, сторонние брандмауэры для Windows ведут статистику использования сети, журналы брандмауэра и т.д.
Для большинства же пользователей сторонний брандмауэр создаст лишь ненужные сложности.
Расширенные функции брандмауэра Windows
Брандмауэр Windows на самом деле имеет больше возможностей, чем кажется на первый взгляд, хотя его интерфейс не очень дружелюбен:
Windows предлагает пользователю и расширенный интерфейс конфигурации брандмауэра, в котором можно создавать расширенные правила для блокирования определенных программ, подключения к интернету или разрешение программе взаимодействовать только с конкретными адресами в интернет.
Вы можете использовать сторонние надстройки над интерфейсом брандмауэра, заставив таким образом брандмауэр задавать вопросы при каждой попытке программ создать внешнее подключение.
Сторонние файерволы — инструменты продвинутых пользователей, не самая важная часть приложений безопасности. Брандмауэр Windows простой и проверенный временем. Можно много спорить о надежности брандмауэра Windows и антивируса Microsoft Security Essentials, однако они обеспечивают достаточную для большинства людей защиту компьютера.
Related Posts
Если вам нравится не выключать компьютер, а переводить его в режим гибернации, то вы наверняка…
Сегодня Microsoft опубликовала системные требования для запуска Windows 10 на компьютерах после релиза операционной системы…
Вы наверное в курсе, что проводник Windows хранит список файлов и папок, которые вы недавно…
Тени на окне приложения в Windows 10 действительно большие и подозрительно похожие на те, что…
Вы, вероятно, не должны устанавливать Windows 10 на основной компьютер. Но, если вы хотите, вы…
Брандмауэры (фаерволы) - это важная часть защитного программного обеспечения, и пользователям всегда пытаются предложить что-то новое из этого. Однако Windows комплектовалась своим собственным хорошим брандмауэром, начиная с Windows XP SP2, и в большинстве случаев этого более чем достаточно.
Как считает Крис Хоффман, автор статьи "Почему (и когда) вам не стоит устанавливать фаервол стороннего производителя" на How-To Geek вам не обязательно нужен полный пакет безопасности типа Internet Security. Все, что вам действительно нужно установить на Windows 7, это антивирус, а Windows 8 и 8.1 теперь комплектуются собственным антивирусом. Рассмотрим подробнее данную точку зрения.
Зачем нужен фаервол
Первичная функция брандмауэра - блокировать не запрошенные входящие соединения. Брандмауэры могут с умом блокировать различные типы соединений, например, они могут разрешать доступ к сетевым файловым ресурсам и другим услугам, когда ваш ноутбук соединен с вашей домашней сетью, но не разрешать это, когда он связан с общественной сетью Wi-Fi в кафе.
Брандмауэр помогает блокировать соединения с потенциально уязвимыми сервисами и контролирует доступ к сетевым сервисам, особенно файловым ресурсам, но также и к другим видам сервисов, которые доступны только в доверенных сетях.
До появления Windows XP SP2, в которой Брандмауэр Windows был модернизирован и работал по умолчанию, системы Windows XP, подключенные непосредственно к Интернету, заражались в среднем за четыре минуты. Черви, такие как Blaster, могли напрямую подключаться ко всем подряд. Поскольку в Windows не было брандмауэра, она впускала червя Blaster.
Брандмауэр защитил бы от этой угрозы, даже при том, что базовое программное обеспечение Windows было уязвимое. Даже если современная версия Windows будет уязвима для такого червя, будет чрезвычайно трудно заразить компьютер, потому что брандмауэр заблокирует весь его входящий трафик.
Почему Брандмауэра Windows будет достаточно
Брандмауэр Windows делает ту же самую работу по блокированию входящих подключений, что и брандмауэр стороннего производителя. Сторонние брандмауэры, например, которые используются в комплексных антивирусах, в ручном режиме могут давать о себе знать чаще, сообщая всплывающими окнами, что они работают, и запрашивая у вас разрешение на входящее подключение, но Брандмауэр Windows постоянно делает свою работу в фоновом режиме.
Он включен по умолчанию и будет оставаться включенным, если вы не отключите его вручную или не установите брандмауэр стороннего производителя. Вы можете найти его интерфейс в разделе «Брандмауэр Windows» на Панели управления.
Когда программе нужны входящие подключения, она должна создать правило в брандмауэре или показать всплывающее диалоговое окно и запросить разрешение.
В какой ситуации вам может понадобиться брандмауэр стороннего производителя
По умолчанию Брандмауэр Windows делает только самое необходимое: блокирует входящие соединения. У него есть еще некоторые дополнительные функции, но они находятся в скрытой, менее удобной для использования части интерфейса.
Например, большинство сторонних брандмауэров дают возможность легко управлять тем, какие приложения на компьютере могут подключаться к Интернету. Когда приложение впервые производит исходящее соединение, такой брандмауэр показывает всплывающий диалог. Это дает возможность управлять тем, какие приложения на компьютере могут получать доступ к Интернету, блокируя соединения определенных приложений.
Опытным пользователям может нравиться эта функция, но она скорее всего не подойдет обычным пользователям. Им придется определить приложения, которым нужно разрешить подключаться, и могут заблокировать соединения фоновых процессов обновления, воспрепятствовав тому, чтобы связанное с ними программное обеспечение получало обновления, и поставив их под угрозу. Это также очень серьезная проблема, поскольку вы должны будете подтверждать запросы каждый раз, когда еще одно приложение будет пытаться подключиться. Если вы действительно не доверяете программе, которая пытается попасть в Интернет, возможно, в первую очередь, вам не следует запускать эту программу на своем компьютере.
Тем не менее, если вам нужен контроль над исходящими соединениями, то вам, вероятно, не помешает брандмауэр стороннего разработчика – например, бесплатный Comodo Firewall. В нем также будет предложен интерфейс, где вам будет легче просматривать статистику, журналы брандмауэра и другую информацию.
Для большинства же пользователей использование брандмауэра стороннего производителя просто добавляет неоправданные сложности.
Дополнительные настройки Брандмауэра Windows
У Брандмауэра Windows в действительности больше функций, чем можно было бы ожидать, хотя его интерфейс не слишком удобен:
- В Windows имеется расширенный интерфейс настройки брандмауэра, где вы можете создать дополнительные правила для него. Вы можете создать правила, блокирующие соединения с интернетом определенных программ или позволяющие программе связываться только с определенными адресами.
- Вы можете использовать программу стороннего производителя, чтобы расширить функции брандмауэра Windows, заставив его тем самым запрашивать разрешение каждый раз, когда новая программа пытается соединиться с Интернетом. Среди программ, работающих в паре с Брандмауэром Windows, можно выделить - Windows 8 Firewall Control или Windows Firewall Control.
Фаервол стороннего производителя — это инструмент опытного пользователя, он не является обязательным компонентом защитного программного обеспечения. Брандмауэр Windows надежен и заслуживает доверия. Хотя люди могут дискутировать по поводу уровня обнаружения вирусов Microsoft Security Essentials или Защитника Windows, Брандмауэр Windows выполняет работу по блокированию входящих соединений так же хорошо, как и другие брандмауэры.
Программа Firewall просто добавляет дополнительный уровень безопасности поверх вашей антивирусной программы. Встроенный брандмауэр Windows хорош, но не так эффективен. Если мы будем искать программы брандмауэра в Интернете, мы найдем множество подобных, которые просты в использовании и содержат гораздо больше функций по сравнению со встроенным брандмауэром Windows.
Итак, в этой статье мы предлагаем список лучших брандмауэров для Windows 10, которые вы можете использовать в своей системе. Однако не забудьте отключить встроенный брандмауэр Windows, прежде чем использовать эти брандмауэры.
1. Comodo Firewall
Comodo Firewall — один из лучших бесплатных инструментов брандмауэра Windows, который вы можете использовать на своем компьютере с Windows 10. Интерфейс Comodo Firewall довольно чистый, и им очень легко пользоваться. Вам просто нужно добавить программы в черный список, чтобы ограничить использование Интернета. Кроме того, Comodo Firewall также предлагает блокировщик рекламы, настраиваемые DNS-серверы и игровой режим.
Функции:
- Это один из самых мощных брандмауэров, доступных для Windows.
- Брандмауэр использует технологию автоматической песочницы для защиты от вирусов и другого вредоносного ПО.
- Comodo Firewall можно загрузить и использовать совершенно бесплатно.
2. TinyWall
Если вы ищете программу брандмауэра для своего компьютера с Windows 10, которая не отправляет ненужные уведомления, то TinyWall может быть лучшим выбором для вас. Данная программа известна своим легким и чистым интерфейсом, и она позволяет пользователям выбирать приложения, чтобы предоставить ей разрешения брандмауэра вручную.
Функции:
- Это легкий, удобный и безопасный брандмауэр для Windows.
- TinyWall автоматически блокирует надоедливые популярные и простые конфигурации.
- Он довольно легкий и почти не использует ресурсы вашего компьютера.
- С помощью TinyWall вы можете установить временные правила брандмауэра, заблокировать IP-адреса и т. д.
3. ZoneAlarm Free Firewall
ZoneAlarm, ведущий производитель антивирусов, также предлагает бесплатный инструмент Firewall, который позволяет пользователям настраивать режим безопасности в общедоступных и частных сетях. Программа межсетевого экрана предлагает два типа безопасности: Auto-Learn или Max Security. Функция автоматического обучения вносит изменения в зависимости от вашего поведения, а Max Security предоставляет пользователям возможность управлять каждым приложением вручную.
Функции:
- ZoneAlarm Free Firewall защищает ваш компьютер от всех входящих и исходящих кибератак.
- Вы можете использовать ZoneAlarm Free Firewall для блокировки нежелательного трафика.
- ZoneAlarm Free Firewall отслеживает программы на предмет подозрительного поведения.
4. PeerBlock
PeerBlock немного отличается от всех других программ брандмауэра, перечисленных в статье. Вместо программ-блокировщиков PeerBlock блокирует список IP-адресов, относящихся к определенным категориям. Например, он может загружать и блокировать список IP-адресов, которые были помечены как бизнес-провайдеры, образовательные, рекламные, шпионские, P2P и т. д.
Функции:
- С помощью PeerBlock вы можете заблокировать связь с серверами, ориентированными на рекламу и шпионское ПО.
- Вы также можете заблокировать связь с компьютерами, отслеживающими ваши действия p2p.
- Инструмент полностью бесплатен для загрузки и использования.
5. AVS Firewall
Если вы ищете инструмент брандмауэра Windows для блокировки вредоносных изменений реестра, всплывающих окон, флэш-баннеров, рекламы и т. д., то AVS Firewall может быть лучшим выбором для вас. AVS Firewall может блокировать доступ программ, IP-адреса и портов к вашему Интернет-соединению. Пользовательский интерфейс AVS Firewall — это еще один положительный момент в этом инструменте, а также программа совместима практически со всеми версиями Windows.
Функции:
- AVS Firewall лучше всего подходит для защиты ПК от вредоносных программ и хакерских атак.
- Инструмент защищает реестр вашего ПК от несанкционированных изменений.
- Вы можете легко настроить правила брандмауэра с помощью AVS Firewall.
6. Outpost Firewall
Отличительной чертой Outpost Firewall является то, что он имеет самообучающийся алгоритм, который может обнаруживать программы имеющие некоторые общие черты. Например, если вы используете программу записи экрана на своем компьютере и запретили ей использование Интернета с помощью брандмауэра, Outpost Firewall автоматически блокирует использование Интернета другим программам записи с экрана.
Функции:
- Outpost Firewall известен своим самообучающимся алгоритмом.
- С OutPost Firewall вы можете легко заблокировать входящую связь.
- Данный брандмауэр обнаруживает и блокирует все вторжения хакеров.
- Он также обнаруживает и блокирует попытки кражи данных.
7. NetDefender
Если вы ищете простую в использовании, но эффективную программу брандмауэра для своего компьютера с Windows 10, NetDefender может быть лучшим выбором для вас. Программа позволяет пользователям определять IP-адрес источника и назначения, номер порта, протокол для блокировки или разрешения любого адреса. NetDefender также имеет сканер портов, который может видеть, какие порты открыты в вашей системе.
Функции:
- С NetDefender вы можете легко заблокировать и разрешить весь входящий / исходящий трафик.
- В зависимости от ваших потребностей в безопасности вы можете добавлять собственные правила в NetDefender.
- Он также имеет сканер портов, который сканирует систему на наличие открытых портов.
8. R-Firewall
R-Firewall — одна из самых продвинутых программ брандмауэра Windows, которую вы можете использовать сегодня. Однако пользоваться программой не так просто, потому что интерфейс полон настроек и опций. R-Firewall может выполнять некоторые дополнительные функции, такие как блокировка рекламы, javascript, веб-трекеры, ключевые слова, почтовые фильтры и т. д.
Функции:
9. GlassWire
Если вы ищете простой в использовании, но эффективный брандмауэр для вашей операционной системы Windows, GlassWire может быть лучшим выбором для вас. Пользовательский интерфейс GlassWire довольно прост в использовании и показывает в реальном времени анализ приложений, использующих сеть. Как и все другие программы брандмауэра, GlassWire также позволяет пользователям скрывать вредоносные записи реестра, всплывающие окна и т. д. Вы также можете ограничить доступ к Интернету для приложений.
Функции:
- GlassWire известен своим привлекательным пользовательским интерфейсом.
- Брандмауэр абсолютно бесплатный и простой в использовании.
- С помощью GlassWire вы можете блокировать вредоносные записи реестра, всплывающие окна и т. д.
- Вы также можете настроить собственные правила, чтобы ограничить доступ определенных приложений в Интернет.
10. Privatefirewall
Как и все другие брандмауэры для Windows, Privatefirewall также позволяет пользователям блокировать доступ приложений к Интернету. У него есть отдельная панель, в которой отображается список разрешенных или заблокированных приложений. На этой же панели вы можете создавать и другие правила брандмауэра.
Функции:
- Режим обучения PrivateFirewall анализирует ваш компьютер и онлайн-привычки, чтобы защитить вас.
- Вы можете настроить правила в PrivateFirewall, чтобы заблокировать доступ приложений к Интернету.
- PrivateFirewall контролирует каждый порт, чтобы предотвратить несанкционированное сканирование и вторжение в систему.
Итак, это были лучшие программы брандмауэра, которые вы можете использовать на своем компьютере с Windows 10. Если вы знаете какое-либо другое программное обеспечение, подобное этому, сообщите нам об этом в комментариях.
Создание защищенной системы — задача комплексная. Одна из мер обеспечения безопасности — использование межсетевых экранов (они же брандмауэры и файрволы). Как все мы знаем, брандмауэры бывают программными и аппаратными. Возможности и первых, и вторых — не безграничны. В этой статье мы попробуем разобраться, что могут брандмауэры обоих типов, а что им не под силу.
Программные и аппаратные файрволы
Первым делом нужно поговорить, что является программным, а что — аппаратным решением. Все мы привыкли, что если покупается какая-то «железка», то это решение называется аппаратным, а если коробочка с ПО, то это признак программного решения. На наш взгляд, разница между аппаратным и программным решением довольно условна. Что представляет собой железная коробочка? По сути, это тот же компьютер, пусть с другой архитектурой, пусть с немного ограниченными возможностями (к нему нельзя подключить клавиатуру и монитор, он «заточен» под выполнение одной функции), на который установлено ПО. ПО — это какой-то вариант UNIX-системы с «веб-мордой». Функции аппаратного брандмауэра зависят от используемого фильтра пакетов (опять-таки — это ПО) и самой «веб-морды». Все аппаратные брандмауэры можно «перепрошить», то есть по сути, просто заменить ПО. Да и с настоящей прошивкой (которая в старые-добрые времена выполнялась с помощью программатора) процесс обновления «прошивки» на современных устройствах имеет мало что общего. Просто на «флешку» внутри «железки» записывается новое ПО. Программный брандмауэр — это ПО, которое устанавливается на уже имеющийся самый обычный компьютер, но в случае с аппаратным брандмауэром — без ПО никак, а в случае с программным — без «железа» никак. Именно поэтому грань между данными типами межсетевых экранов весьма условная.
Наибольшая разница между программным и аппаратным брандмауэром даже отнюдь не функциональность. Никто не мешает выбрать аппаратный брандмауэр с нужными функциями. Разница в способе использования. Как правило, программный брандмауэр устанавливается на каждый ПК сети (на каждый сервер и на каждую рабочую станцию), а аппаратный брандмауэр обеспечивает защиту не отдельного ПК, а всей сети сразу. Конечно, никто не помешает вам установить аппаратный брандмауэр для каждого ПК, но все упирается в деньги. Учитывая стоимость «железок», вряд ли вам захочется защищать каждый ПК аппаратный брандмауэром.
Преимущества аппаратных брандмауэров
- Относительная простота развертывания и использования. Подключил, включил, задал параметры через веб-интерфейс и забыл о его существовании. Впрочем, современные программные межсетевые экраны поддерживают развертывание через ActiveDirectory, на которое тоже не уйдет много времени. Но, во-первых, не все брандмауэры поддерживают ActiveDirectory, и, во-вторых, не всегда на предприятии используется Windows.
- Размеры и энергопотребление. Как правило, аппаратные брандмауэры имеют более скромные размеры и меньшее энергопотребление. Не всегда, правда, энергопотребление играет роль, а вот размеры важны. Одно дело небольшая компактная коробочка, другое — огромный «системник».
- Производительность. Обычно производительность у аппаратного решения выше. Хотя бы потому, что аппаратный межсетевой экран занимается только своей непосредственной функцией — фильтрацией пакетов. На нем не запущены какие-либо сторонние процессы и службы, как это часто бывает в случае с программными брандмауэрами. Вот представьте, что вы организовали программный шлюз (с функциями межсетевого экрана и NAT) на базе сервера с Windows Server. Вряд ли вы будете выделять целый сервер только под брандмауэр и NAT. Это нерационально. Скорее всего, на нем будут запущены и другие службы — тот же AD, DNS и т.д. Уже молчу про СУБД и почтовые службы.
- Надежность. Считается, что аппаратные решения более надежны (именно по причине того, что на них редко когда выполняются сторонние службы). Но никто вам не мешает выделить отдельный системник (пусть даже не самый современный), установить на него ту же FreeBSD (одна из самых надежных в мире операционных систем) и настроить правила брандмауэра. Думаю, надежность такого решения будет не ниже, чем в случае с аппаратным файрволом. Но такая задача требует повышенной квалификации администратора, именно поэтому ранее было отмечено, что аппаратные решения более просты в использовании.
Преимущества программных межсетевых экранов
- Стоимость. Цена программного межсетевого экрана обычно ниже «железки». За цену среднего аппаратного решения можно защитить всю сеть программным брандмауэром.
- Возможность защиты сети изнутри. Не всегда угрозы исходят извне. Внутри локальной сети есть множество угроз. Атаки могут исходить с внутренних компьютеров. Инициировать атаку может любой пользователь LAN, например, недовольный компанией. Как уже отмечалось, можно, конечно, использовать отдельный аппаратный маршрутизатор для защиты каждого отдельного узла, но на практике нам таких решений не встречались. Уж больно они нерациональны.
- Возможность разграничения сегментов локальной сети без выделения подсетей. В большинстве случаев к локальной сети подключаются компьютеры разных отделов, например, бухгалтерии, финансового отдела, IT-отдела и т.д. Не всегда эти компьютеры должны взаимодействовать между собой. Как выполнить разграничение ИСПДн? Первое решение заключается в создании нескольких подсетей (например, 192.168.1.0, 192.168.2.0 и т.д.) и настройке надлежащим образом маршрутизации между этими подсетями. Нельзя сказать, что решение очень сложное, но все же сложнее, чем использование программного файрвола. Да и не всегда можно выделить подсети по тем или иным причинам. Второе решение заключается в использовании межсетевого экрана, предназначенного именно для защиты ИСПДн (не во всех программных межсетевых экранах легко разграничить ИСПДн). В этом случае даже в самой большой сети вы выполните разграничение ИСПДн за считанные минуты, и вам не придется возиться с настройкой маршрутизации.
- Возможность развертывания на существующих серверах. Нет смысла покупать еще одну «железку», если есть достаточный компьютерный парк. Достаточно на одном из серверов развернуть межсетевой экран и настроить NAT и машрутизацию. Обычно обе эти операции выполняются посредством графического интерфейса межсетевого экрана и реализуются посредством нескольких щелчков мышью в нужных местах.
- Расширенный функционал. Как правило, функционал программных межсетевых экранов шире, чем у их аппаратных собратьев. Так, некоторые межсетевые экраны предоставляют функции балансировки нагрузки, IDS/IPS и тому подобные полезные вещи, позволяющие повысить общую безопасность системы обработки данных. Да, такие функции есть не у всех программных брандмауэров, но ничто и никто не мешает вам выбрать межсетевой экран, соответствующий вашим нуждам. Конечно, такие функции есть и у некоторых аппаратных комплексов. Например, StoneGate IPS — предоставляет функционал системы предотвращения вторжений, но стоимость таких решений не всегда понравится руководству предприятия. Также есть и аппаратные балансировщики нагрузки, но они стоят еще дороже, чем аппаратные IPS.
Битва брандмауэров
- Jumper — позволяет обойти брандмауэр, используя методы «DLL injection» и «thread injection».
- DNS Tester — использует рекурсивный DNS-запрос, чтобы обойти брандмауэр.
- CPIL Suite — набор тестов (3 теста) от компании Comodo.
Все эти утилиты будут запускаться изнутри, то есть непосредственно с тестируемых компьютеров. А вот снаружи мы будем сканировать старым-добрым nmap.
Итак, у нас есть два компьютера. Оба подключены к Интернету. Один подключается через аппаратный межсетевой экран (работающий на базе маршрутизатора TP-Link) и на нем не установлены ни программный брандмауэр, ни антивирус. Второй компьютер подключен к Интернету непосредственно и защищен программным межсетевым экраном КиберСейф. На первом компьютере установлена Windows 7, на втором — Windows Server 2008 R2.
Тест 1: Jumper
Jumper, запущенный с правами администратора (чего греха таить, с такими правами работают множество пользователей), успешно выполнил свою задачу в Windows 7 (рис. 1). Ничто не могло ему помешать — ведь на нашей системе не было установлено ни одно средство защиты, ни антивирус, ни брандмауэр, ни IDS/IPS, а аппаратному брандмауэру все равно, что происходит на клиентских компьютерах. Он никак не может повлиять на происходящее.
Рис. 1. Jumper в Windows 7
Ради справедливости нужно отметить, что если бы пользователь работал не справами администратора, то у Jumper ничего бы не вышло.
В Windows Server 2008 Jumper даже не запустился, но это не заслуга межсетевого экрана, а самой операционной системы. Поэтому здесь между межсетевыми экранами — паритет, поскольку защита от данной уязвимости может быть обеспечена средствами самой операционной системы.
Тест 2. DNStester
Рис. 2. Тест не пройден
Если настройки брандмауэра оставить по умолчанию, то с данным тестом не справились, ни программный, ни аппаратный брандмауэр. Понятно, что аппаратному брандмауэру все равно, что происходит на рабочей станции, поэтому рассчитывать, что он защитит систему от этой уязвимости, не приходится. Во всяком случае, с дефолтными настройками (а они практически не изменялись).
Но это не говорит о том, что Киберсейф Межсетевой экран — плохой брандмауэр. При повышении уровня безопасности до третьего, тест был полностью пройден (см. рис. 3). Программа сообщила об ошибке в DNS-запросе. Чтобы убедиться, что это не заслуга Windows Server 2008 тест был повторен на машине с Windows 7.
Рис. 3. Тест пройден (DNStest)
Рис. 4. Антивирус Comodo заблокировал нежелательное приложение
Тест 3. Набор тестов от Comodo (CPIL)
- Нужно ввести передаваемые данные. Нами вводились значения 1, 2, 3 для тестов 1, 2 и 3 соответственно.
- Затем нажать одну из кнопок вызова теста (рис. 5)
Рис. 5. CPIL Test Suite
Рис. 6. Результат теста (аппаратный брандмауэр)
А вот при использовании программного брандмауэра тесты CPIL даже не запустились. При нажатии кнопок 1 — 3 ничего не произошло (рис. 7). Неужели это заслуга Windows Server 2008, а не брандмауэра? Мы решили это проверить. Поэтому на компьютер с Windows 7, защищенный аппаратным брандмауэром, был установлен Киберсейф Межсетевой экран. А вот в Windows 7 утилите удалось-таки прорвать оборону файрвола. Первый и третий тест были пройдены, а вот при нажатии кнопки Test 2 нам пришлось созерцать окно браузера Chrome, подобное изображенному на рис. 6.
Рис. 7. При нажатии на кнопку ничего не происходит (видно, что антивирус отключен)
Рис. 8. Тесты 1 и 3 пройдены
Тест 4. Сканирование извне
До этого мы пытались прорваться через брандмауэр изнутри. Сейчас же попробуем просканировать защищаемые брандмауэром системы. Сканировать будем сканером nmap. В результатах аппаратного брандмауэра никто не сомневался — все закрыто и невозможно даже определить тип тестируемой системы (рис. 9 и 10). На всех последующих иллюстрациях IP-адреса скрыты, поскольку являются постоянными — дабы ни у кого не было желания повторить тест на наших адресах.
Рис. 9. Сканирование аппаратного брандмауэра
Рис. 10. Сканирование аппаратного брандмауэра (детали хоста)
Теперь попробуем просканировать систему, защищенную программным межсетевым экраном. Понятное дело, по умолчанию программный межсетевой экран будет пропускать все и вся (рис. 11).
Рис. 11. Открытые порты (программный межсетевой экран, настройки по умолчанию)
Рис. 12. Определен тип системы (программный межсетевой экран, настройки по умолчанию)
Когда же настраиваются правила, то все встает на свои места (рис. 13). Как видите, программный брандмауэр обеспечивает безопасность защищаемой системы ничем не хуже, чем его «железный» коллега.
Рис. 13. Открытых портов нет
Атаки по локальной сети
Почему так важно обеспечить защиту внутри локальной сети? Многие администраторы ошибочно не уделяют внимание защите изнутри, а зря. Ведь внутри локальной сети можно реализовать множество атак. Рассмотрим некоторые из них.
ARP-атака
DoS-атаки, в том числе различные флуд-атаки
DoS-атаки (атаки на отказ) возможны не только в Интернете, но и в локальных сетях. Отличаются лишь методы таких атак. Природа DoS-атак может быть любой, однако, бороться с ними без брандмауэра, который был бы установлен на каждой машине локальной сети, невозможно.
Один из видов DoS-атаки, который может с успехом применяться в локальной сети — это ICMP-флуд. Брандмауэр КиберСейф Межсетевой экран содержит выделенные средства для борьбы с этим видом атак (рис. 14). Также он содержит средства балансировки нагрузки на сервер, что также может помочь в борьбе с DoS-атаками.
Рис. 14. ICMP безопасность (КиберСейф Межсетевой экран)
Подробнее о DOS-атаках вы можете прочитать в статье «Как защитить себя от DoS/DDoS-атак».
Смена MAC-адреса
В локальной сети компьютеры идентифицируются не только по IP-адресу, но и по MAC-адресу. Некоторые администраторы разрешают доступ к определенным ресурсам по MAC-адресу, поскольку IP-адреса, как правило, динамические и выдаются DHCP. Такое решение не очень себя оправдывает, поскольку MAC-адрес очень легко сменить. К сожалению, защититься от смены MAC-адреса с помощью брандмауэра не всегда возможно. Не каждый брандмауэр отслеживает изменение MAC-адреса, поскольку обычно привязан к IP-адресам. Здесь самое эффективное решение — использование коммутатора, позволяющего сделать привязку MAC-адреса к конкретному физическому порту коммутатора. Обмануть такую защиту практически невозможно, но и стоит она немало. Правда, есть и программные способы борьбы со сменой MAC-адреса, но они менее эффективны. Если вам интересен брандмауэр, который умеет распознавать подмену MAC-адреса, то обратите внимание на Kaspersky Internet Security 8.0. Правда, последний умеет распознавать подмену MAC-адреса только шлюза. Но зато он полноценно распознает подмену IP-адреса компьютера и IP-флуд.
Подмена IP-адреса
В сетях, где доступ к ресурсам ограничивается по IP-адресам, злоумышленник может сменить IP-адрес и получить доступ к защищаемому ресурсу. При использовании брандмауэра Киберсейф Межсетевой экран такой сценарий невозможен, поскольку нет привязки к IP-адресам даже у самого брандмауэра. Даже если изменить IP-адрес компьютера, то он все равно не войдет в состав ИСПДн, в которую стремиться проникнуть злоумышленник.
Routing-атаки
Данный вид атак основан на отправке жертве «фальшивых» ICMP-пакетов. Суть этой атаки в подмене адреса шлюза — жертве отправляется ICMP-пакет, сообщающий более короткий маршрут. Но на самом деле пакеты будут проходить не через новый маршрутизатор, а через компьютер злоумышленника. Как уже было отмечено ранее, Киберсейф Межсетевой экран обеспечивает безопасность ICMP. Аналогично, можно использовать и другие межсетевые экраны.
Существует и множество других атак в локальных сетях — и снифферы, и различные атаки с использованием DNS. Как бы там ни было, а использование программных брандмауэров, установленных на каждой рабочей станции, позволяет существенно повысить безопасность.
Наиболее важные факторы при выборе — это простота и доступность настройки, наличие обучающего режима, когда файрвол действует на нервы задает кучу вопросов при попытках выйти в сеть для каждого ПО, а все остальное запрещает. Еще, пожалуй, важны наличие русского языка и бесплатность, а также дополнительные плюшки.
Веселые старты
Изучать мы будем следующие программы: Comodo Firewall, Avast Internet Security, AVG Internet Security, Outpost Firewall Pro, ZoneAlarm Free Firewall, PrivateFirewall, GlassWire и TinyWall. Весь этот софт позиционируется разработчиками как средства защиты для домашних компьютеров, поэтому мы не будем залезать в дебри настроек и сравнивать эти программы по функциям и различным модулям. Лучше посмотреть на них глазами простого юзера, которому все эти высокие технологии до фонаря.
Обычный пользователь отличается от продвинутого количеством оленей на свитере и длиной бороды чисто утилитарным подходом к софту: нажали «Установить» и верим в чудо автоматизации, которое спасет и защитит от злых дядек с их скриптами и троянами. А как там оно устроено внутри, большинству совершенно не важно.
Поэтому условия эксперимента решили максимально упростить. Мы установим каждый из файрволов на чистую ОС Windows 10 x64 и попробуем запустить одну тулзу, которая начинает ломиться на внешний сервер, имитируя подозрительную сетевую активность. Затем мы включим режим обучения и повторим тест снова. Наконец, на третьем этапе мы настроим файрвол на основе белого списка, запретив все, что явно не разрешено.
Ну и не будем забывать про важные для нас критерии: стоимость лицензии, язык интерфейса и простоту настройки и установки. А полученные результаты мы потом сравним.
Comodo Firewall
Эта программа получила широкую известность еще в эпоху Windows XP, когда Comodo Firewall был едва ли не самым распространенным бесплатным файрволом в России. Пользуется он популярностью и сейчас. Что, в общем-то, неудивительно: разработчики обещают нам проактивную защиту с HIPS, межсетевое экранирование, защиту от переполнения буфера и несанкционированного доступа, защиту реестра и системных файлов, а также другие вкусные плюшки.
Однако во время установки файрвол вызвал смешанные чувства. Сначала предлагал поставить расширения для Яндекс.Браузера.
Поставим расширения от Яндекса?
А потом, если не обратить внимание на «компоненты» и не выключить все ненужное, установщик инсталлирует на твой комп свой браузер.
Отключение ненужных компонентов
Забыли отключить ненужный компонент? Получите, распишитесь
Делаем первый тест, и Comodo пропускает нашу тулзу.
Первый тест Comodo Firewall
Включили режим обучения в настройках — и файрвол почему-то никак не прореагировал на нашу тестовую программу, которая успешно подключилась к удаленному компьютеру.
Второй тест Comodo Firewall
Только после составления белого списка тулзу наконец удалось заблокировать. Вывод напрашивается противоречивый: Comodo Firewall — очень известный файрвол, но установка ненужного софта портит все впечатление. А результаты теста оказались печальными: для обеспечения безопасности программе требуется основательная настройка.
Avast Premium Security
Кто-нибудь не слышал про компанию Avast Sofware? Все про нее слышали. Однако, помимо известного антивируса, Avast выпускает еще и файрвол, который входит в платный набор программ Avast Premium Security (раньше он назывался Avast Internet Security, но его переименовали — видимо, чтобы избежать путаницы с программой, которую мы рассмотрим следующей). То есть отдельно загрузить и установить файрвол не получится: он идет в нагрузку к антивирусу, антиспам-модулю, модулю защиты беспроводных сетей и набору прочих фишек, платная лицензия которого стоит 1450 рублей в год на один ПК.
При установке пакета нам предлагают поставить еще и Google Chrome, но от него хотя бы можно безболезненно отказаться.
Установка Avast Internet Security
Сразу после инсталляции чуда не произошло: тулза успешно преодолела файрвол и установила соединение с удаленным сервером.
Первый тест Avast Internet Security
После включения практически всех возможных настроек и параметров защиты ничего особо не поменялось. Только заставив файрвол параноидально спрашивать меня, как реагировать на каждый чих работающего на компе софта, я наконец получил ожидаемый результат.
Запрос разрешения
Настройки файрвола разбросаны по разным меню, из-за чего найти с первого раза то, что нужно, очень непросто. В комплекте поставки Avast Premium Security имеется огромное количество дополнительных тулз для анализа диска, реестра, эвристики, поиска вирусов. Весь этот софт невозможно удалить, чтобы оставить только один брандмауэр. Кроме того, пробная версия продукта постоянно просит обновиться до версии Pro и заплатить денег.
AVG Internet Security
Бесплатный антивирус AVG также знаком многим, правда о его эффективности существуют разные мнения. Файрвол (или, как его называют разработчики, «усиленный брандмауэр») тоже не предлагается в качестве отдельного продукта, а идет в комплекте поставки AVG Internet Security, куда входит еще целая куча разных утилит, включая антивирус. Бесплатной версии нет, но есть возможность скачать триал и протестировать софтину в течение месяца.
Примечательно, что антивирус AVG не так давно был куплен компанией Avast Sofware, но тем не менее продолжает существовать в роли самостоятельного продукта. Что ж, давай посмотрим, есть ли в нем какие-то существенные отличия от «материнского» проекта.
Установка AVG начинается с узнаваемого окошка инсталлера.
Установка AVG
При первом запуске мы видим уже знакомую картинку.
Первый тест AVG Internet Security
Можно смело сказать, что AVG продемонстрировал все то же самое, что и Avast. И в точности так же сумел распознать и заблокировать нашу «вредоносную» тулзу только после принудительного включения параноидального режима.
Конфигурация AVG Internet Security
По результатам теста я пришел к выводу, что AVG Internet Security — это по большому счету Avast Premium Security, только в профиль только под другой вывеской. Если тебе нужен один файрвол, без антивируса, антиспама и прочих свистелок, наверное, стоит поискать другое решение.
Продолжение доступно только участникам
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Читайте также: