Жесткий тест файрволов

Deeoni$

Спецвыпуск: Хакер, номер #058, стр. 058-044-1

(arustamovv2000@mail.ru; ICQ 982-622)

Проверим, кто же хуже всех

В этой статье не будет сравнения интерфейсов, хвалебных песен и прочих розовых слюней. Мы просто возьмем самые популярные файрволы и будем жестоко и всесторонне пробивать их. Всеми доступными методами. И мы добьемся своей цели.

Сегодня на суд общественности предстанут три продукта security-индустрии: ZoneAlarm Internet Security Suite 5.5.094, Kerio Personal Firewall 4.1.1 и OutPost Firewall Pro 2.7. Все они являются персональными файрволами и представляют собой целый набор разнообразных средств. Обязательными в них являются функции защиты компьютера от внешних и внутренних угроз, и сейчас мы узнаем, насколько качественно они реализованы.

Тест будет состоять из двух основных этапов: первый – это тест на устойчивость "изнутри", то есть на способность продукта контролировать активность приложений на локальном компьютере, а второй – на устойчивость "снаружи". На мой взгляд, первая часть гораздо важнее, так как вторая в большей степени зависит от грамотного конфигурирования межсетевого экрана. Но проверка есть проверка, и ее нужно проводить добросовестно. Итак, приступим к экзамену.

А что внутри???

Чуть ли не главная задача персональных файрволов – это контроль сетевой активности приложений. Благодаря этой фишке тучи троянцев и другой гадости не представляют для пользователей брандмауэров никакой опасности. Но темная сторона силы не дремлет :), и ее адепты придумывать разные хитрые приемы, чтобы получить доступ к интернету. Началась настоящая война.

Чтобы узнать, насколько файрвол готов к ней, мы воспользуемся несколькими утилитами, имитирующими работу всяческих вредоносных программ при помощи различных технологий. Настройки сетевых экранов, связанные с "исходящей" защитой, были выставлены на максимум, дабы описать полную картину их возможностей. Также по умолчанию браузеру было разрешено обращаться в интернет, то есть при его первой попытке выхода в Сеть мы запоминали выбор (или создавали правило, кому как больше нравится).

Первым испытанием стала программка по название Leak Test (http://grc.com/lt/leaktest.htm). Это простой тест на подстановку. Для проверки нужно просто переименовать эту программульку в приложение, которому доверяет стена. Если ей удастся установить соединение, то файрвол - полный лопух и не делает никаких проверок подлинности. Другими словами, троянец может запросто прикинуться браузером, просто назвав себя его именем. Все трое испытуемых удачно справились с этим коварным обманщиком и распознали измену.

Следующим шагом была утилита TooLeaky (http://tooleaky.zensoft.com), которая относится к типу launcher. Программа запускает IE следующей командной строкой: iexplore.exe http://grc.com/lt/leaktest.htm?PersonalInfoGoesHere. Окно осла скрыто, и пользователь его не видит. Если TooLeaky удалось удачно загрузить бродилку и ей разрешен доступ к 80-му порту (что почти всегда и бывает), то на сервер GRC.com посылается специальное сообщение. Если бы это был троянец, то он явно воспользовался бы этим по-другому. Задача файрвола в этом тесте - не допустить запуска IE. И это испытание прошли все: сразу же засветилось окошко, гласящее, что TooLeaky пытается запустить Internet Explorer.