Главное меню

Тест фаерволов на защиту от внутренних атак

Автор: Человек Гриф   

 

Тест фаерволов на защиту от внутренних атакВот опять были проведены тесты фаерволов сайтом анти-малваре и были получены результаты, кто то их назовет спорными, кто то нет. Но рекомендуем все же использовать фаервол совместно с антивирусом на компьютере.

 

 

 

 

 

 С точки зрения обычных пользователей фаервол, безусловно, является вторым по значимости после антивируса компонентом защиты персонального компьютера. Но, к сожалению, источников информации, по данным которых можно было бы определить какой из представленных на рынке фаерволов защищает лучше, крайне мало.

Давайте для начала определимся с терминологией и ответим на вопрос - что же такое фаервол? По определению интернет-стандарта [RFC3511] (2003 г.), фаервол – это система, реализующая функции фильтрации сетевых пакетов в соответствии с заданными правилами с целью разграничения трафика между сегментами сети.

Но, с ростом сложности вредоносных программ и хакерских атак, исходные задачи фаервола  дополнились новыми функциональными модулями. Уже фактически невозможно представить полноценный фаервол без модуля HIPS (мониторинга системных событий, контроля целостности системы и т.п.).

Главная задача современного фаервола – осуществлять блокировку неавторизованных сетевых коммуникаций (далее атак), подразделяемые на внутренние и внешние. К таковым относятся:

  • Внешние атаки на защищённую фаерволом систему:
    • инициированные хакерами;
    • инициированные вредоносным кодом.
  • Неавторизованные исходящие сетевые соединения:
    • инициированные недоверенными приложениями (вредоносный код);
    • инициированные приложениями, сетевая активность которых явным образом запрещена правилами.

Кроме того, фактически исчезли с рынка продукты, которые можно было бы отнести к чистым персональным фаерволам в классической формулировке 2003 года. На смену им пришли комплексные продукты защиты персональных компьютеров, в обязательном порядке включающие в себя фаервольный компонент.

В силу наибольшей актуальности мы решили начать сравнительное тестирование фаерволов с изучения качества защиты от внутренних атак, исходящих изнутри системы. Тест проводился по следующим направлениям:

  1. проверка защиты процессов от завершения;
  2. защита от стандартных внутренних атак;
  3. тестирование защиты от нестандартных утечек;
  4. тестирование защиты от нестандартных техник проникновения в режим ядра.

В следующем тестировании, которое запланировано на конце года, мы проведем сравнение фаерволов на защиту от внешних атак. Таким образом, у наших читателей будет вся необходимая информация для того, чтобы выбрать себе наиболее достойный по качеству персональный фаервол.

Основные результаты тестирования

Награда Тестируемый продукт Вариант настроек Всего [%]

 

Platinum Firewall Outbound Protection Award

Comodo Max 100%
DefenseWall

Standard/Max
(Untrusted Zone)

100%
Comodo Standard 98%

 

Gold Firewall Outbound Protection Award

Kaspersky Max 96%
PC Tools Max 94%
Outpost Max 91%
Online Armor Max 88%
Online Armor Standard 88%
Online Solutions Standard/Max 86%
Outpost Standard 84%
BitDefender Max 80%

 

Silver Firewall Outbound Protection Award

Dr.Web Max 75%
F-Secure Max 75%
Eset Max 74%
Jetico Standard/Max 73%
McAfee Max 68%
G DATA Max 66%
ZoneAlarm Max 63%
PC Tools Standard 60%

 

Bronze Firewall Outbound Protection Award

Dr.Web Standard 55%
Kaspersky Standard 55%
ZoneAlarm Standard 55%
Norton Max 48%
G DATA Standard 46%
BitDefender Standard 45%
Norton Standard 45%
Avast Standard/Max 40%
Panda Max 40%
Trend Micro Standard/Max 40%
Нет награды Eset Standard 39%
AVG Standard/Max 38%
McAfee Standard 38%
F-Secure Standard 38%
Panda Standard 38%
Avira Standard/Max 28%
Microsoft Standard/Max 13%

Введение

В тестировании принимали участие 22 популярные программы комплексной защиты (класса Internet Security, если в линейке нет, то выбирался сугубо фаервол) от различных производителей актуальных на дату начала тестирования версий продуктов (июль 2011) и работающих на платформе Windows XP SP3:

  1. Avast! Internet Security 6.0.1203.0
  2. AVG Internet Security 2011 (10.0.0.1390)
  3. Avira Premium Security Suite 10.0.0.132
  4. BitDefender Internet Security 2011 (14.0.28.351)
  5. Comodo Internet Security 2011 (5.5.64714.1383)
  6. DefenseWall Personal Firewall 3.12
  7. Dr.Web Security Space 6.0.1.08010
  8. Eset Smart Security 4.2 (4.2.71.2)
  9. F-Secure Internet Security 2011 (1.30.4220.0)
  10. G DATA Internet Security 2012 (22.0.2.26)
  11. Jetico Personal Firewall 2.1 (2.1.0.10)
  12. Kaspersky Internet Security 2012 (12.0.0.374)
  13. McAfee Internet Security 2011 (11.0.572)
  14. Microsoft Security Essentials 2.0.657.0 + Windows Firewall (используется связка продуктов)
  15. Norton Internet Security 2011 (18.1.0.37)
  16. Online Armor Premium Firewall 5.0.0.1097
  17. Online Solutions Security Suite 1.5.15307.0
  18. Outpost Security Suite Pro 7.5 (3720.574.1668.464)
  19. Panda Internet Security 2011 (16.00.00)
  20. PC Tools Internet Security 2011 (1.0.0.58)
  21. Trend Micro Titanium Internet Security 2011 (3.0.0.1303)
  22. ZoneAlarm Internet Security Suite 2010 (9.3.37.0)

 

Тест проводился на специально подготовленном стенде под управлением VMware Workstation 7.1.4. Для каждого антивирусного продукта клонировались "чистые" виртуальные машины под операционной системой Windows XP SP3 со всеми установленными обновлениями на момент начала теста.

Тестирование производилось на двух типах настроек: рекомендуемых производителем стандартные (настройки по умолчания) и максимальных. В первом случае использовались рекомендуемые производителей настройки по умолчанию и производились все рекомендуемые программой действия.

Во втором случае в дополнение все настройки, которые были отключены в режиме «по умолчанию», но при этом могли повлиять на исход тестирования, включались и/или приводились в максимальное положение (наиболее строгие настройки). Другими словами – под выставлением максимальных настроек понимается перевод всех доступных из графического интерфейса пользователя настроек всех модулей, связанных с детектированием вредоносной файловой или сетевой активности,  к наиболее строгому варианту.

В силу принципиальных отличий DefenseWall от конкурентов по логике своей работы контролируемые им приложения могут запускаться из доверенной (trusted zone) или из недовернной зоны (untrusted zone). Поэтому в данном случае понятие "максимального" или "стандартного" режима настроек применялось к настройкам контроля приложений в недоверенной зоне.  Тестовые утилиты при тестировании этого продукта запускались из недоверенной зоны (с внешнего носителя).

 

Тест фаерволов проводился по следующим группам внутренних атак, для наглядности разбитых на уровни сложности:

  1. Базовый уровень сложности (31 вариант атак):
    1. проверка защиты процессов от завершения (15 вариантов атак);
    2. защита от стандартных внутренних атак (16 вариантов атак).
  2. Повышенный уровень сложности (9 вариантов атак):
    1. тестирование защиты от нестандартных утечек (3 варианта атак);
    2. тестирование защиты от нестандартных техник проникновения в режим ядра (6 вариантов атак).

Проверка фаероволов на защиту от внешних атак

Тестирование фаерволов проводилось по набору из 40 тестовых кейсов для каждой операционной системы отдельно.

Напомним, что согласно используемой схеме награждения, 1 балл (+) начислялся, если атака заблокирована автоматически, защитный функционал тестируемой программы не нарушен. 0.5 балла (или +/-) - если атака блокируется только при особых обстоятельствах (например, при правильном выборе пользователя нужного действия по запросу тестируемой программы). И, наконец, в случае если атака прошла успешно полностью или частично с выводом из строя функционала защиты, то баллы не начислялись. Максимально возможное количество набранных баллов в данном тесте составило 40.

В таблице 1-2 и на рисунке 1-2 представлены результаты тестирования фаерволов отдельно на стандартных и максимальных настройках. Для наглядности результаты для каждого фаервола разбиты на две группы: защита от атак базового уровня сложности и защита от атак повышенного уровня сложности.

 

Таблица 1: Результаты теста фаерволов на стандартных настройках

Протестированный продукт Атаки базового уровня сложности (макс. 31 балл) Атаки повышенного уровня сложности (макс. 9 балл) Всего баллов (макс. 40) Всего %
Баллы % % от суммы Баллы % % от суммы
DefenseWall* 31 100% 77,5% 9 100% 22,5% 40 100%
Comodo 30 97% 75% 9 100% 22,5% 39 98%
Online Armor 28,5 92% 71,3% 6,5 72% 16,3% 35 88%
Online Solutions 28,5 92% 71,3% 6 67% 15% 34,5 86%
Outpost 27,5 89% 68,8% 6 67% 15% 33,5 84%
Jetico 23 74% 57,5% 6 67% 15% 29 73%
PC Tools 19,5 63% 48,8% 4,5 50% 11,3% 24 60%
Dr.Web 18 58% 45% 4 44% 10% 22 55%
Kaspersky 17,5 56% 43,8% 4,5 50% 11,3% 22 55%
ZoneAlarm 22 71% 55% 0 0% 0% 22 55%
G DATA 15,5 50% 38,8% 3 33% 7,5% 18,5 46%
BitDefender 15 48% 37,5% 3 33% 7,5% 18 45%
Norton 15 48% 37,5% 3 33% 7,5% 18 45%
Avast 15 48% 37,5% 1 11% 2,5% 16 40%
Trend Micro 15 48% 37,5% 1 11% 2,5% 16 40%
Eset 14,5 47% 36% 1 11% 3% 15,5 39%
F-Secure 11,5 37% 28,8% 3,5 39% 8,8% 15 38%
Panda 14 45% 35% 1 11% 3% 15 38%
AVG 14 45% 35% 1 11% 3% 15 38%
McAfee 13 42% 33% 2 22% 5% 15 38%
Avira 8 26% 20% 2 22% 5% 10 25%
Microsoft 4 13% 10% 1 11% 3% 5 13%

 

Рисунок 1: Результаты теста фаерволов на стандартных настройках

тест фаерволов

 

* В силу принципиальных отличий DefenseWall от конкурентов по логике своей работы контролируемые им приложения могут запускаться из доверенной (trusted zone) или из недовернной зоны (untrusted zone). Поэтому в данном случае понятие "максимального" или "стандартного" режима настроек применялось к настройкам контроля приложений в недоверенной зоне.  Тестовые утилиты при тестировании этого продукта запускались из недоверенной зоны (с внешнего носителя).

Как мы видим на рисунке 1, защита от внутренних атак у большинства фаерволов на рекомендуемых производителе настройках оставляет желать лучшего. Всего 5 фаерволов смогли преодалеть барьер 80% со стандартными настройками, среди них DefenseWall, Comodo, Online Armor, Online Solutions и Outpost. Близкий к лидерам результат показал фаервол Jetico. Результаты остальных оказались заметно хуже.

Такой разброс результатов связан в первую очередь с тем, что известные многие производители ищут баланс между качеством защиты и уровнем беспокойства пользователей. Это приводит к тому, что в настройках по умолчанию, используемых подавляющим большинством клиентов сводятся к минимуму количество запросов и уведомлений, требующих от пользователя какой-либо реакции. Естественно, это напрямую сказывается на качестве защиты. Защита промолчит, когда вредоносная программа будет имитировать/производить вполне легитимные действия в системе.

Так стоит обратить внимание, что процент предотвращения сложных видов атак в целом заметно хуже, чем атак базового уровня сложности. Граничными примерами здесь выступают продукты ZoneAlarm и F-Secure. У первого из них результаты блокировки базового уровня атак достаточно высок, однако, к сложным атакам продукт оказался вовсе не готов, и набрал на них ноль баллов. ZoneAlarm, напротив, оказался слаб на атаках базового уровня (в частности из-за посредственного уровня самозащиты), но за счет параноидального в хорошем смысле поведенческого анализа показал высокий результат детектирования атак повышенной сложности.

 

Таблица 2: Результаты теста фаерволов на максимальных настройках

Протестированный продукт Атаки базового уровня сложности Атаки повышенного уровня сложности Всего баллов Всего %
Баллы % % от суммы Баллы % % от суммы
Comodo 31 100% 77,5% 9 100% 22,5% 40 100%
DefenseWall* 31 100% 77,5% 9 100% 22,5% 40 100%
Kaspersky 31 100% 78% 7,5 83% 18,8% 38,5 96%
PC Tools 31 100% 78% 6,5 72% 16,3% 37,5 94%
Outpost 30,5 98% 76% 6 67% 15% 36,5 91%
Online Armor 28,5 92% 71,3% 6,5 72% 16,3% 35 88%
Online Solutions 28,5 92% 71% 6 67% 15% 34,5 86%
BitDefender 25 81% 62,5% 7 78% 17,5% 32 80%
Dr.Web 25 81% 62,5% 5 56% 12,5% 30 75%
F-Secure 23,5 76% 59% 6,5 72% 16% 30 75%
Eset 25,5 82% 64% 4 44% 10% 29,5 74%
Jetico 23 74% 58% 6 67% 15% 29 73%
McAfee 23 74% 58% 4 44% 10% 27 68%
G DATA 20,5 66% 51% 6 67% 15% 26,5 66%
ZoneAlarm 23 74% 58% 2 22% 5% 25 63%
Norton 15 48% 38% 4 44% 10% 19 48%
Avast 15 48% 37,5% 1 11% 2,5% 16 40%
Panda 14 45% 35% 2 22% 5% 16 40%
Trend Micro 15 48% 38% 1 11% 3% 16 40%
AVG 14 45% 35% 1 11% 3% 15 38%
Avira 9 29% 23% 2 22% 5% 11 28%
Microsoft 4 13% 10% 1 11% 3% 5 13%

 

Рисунок 2: Результаты теста фаерволов на максимальных настройках

тест фарволов 2011

 

* В силу принципиальных отличий DefenseWall по логике работы от конкурентов контролируемые им приложения могут запускаться из доверенной (trusted zone) или из недовернной зоны (untrusted zone). Поэтому в данном случае понятие "максимального" или "стандартного" режима настроек применялось к настройкам контроля приложений в недоверенной зоне.  Тестовые утилиты при тестировании этого продукта запускались из недоверенной зоны (с внешнего носителя).

Как мы видим, при включении максимальных настроек качество защиты от внутренних атак у многих протестированных фаерволов значительно повысилось. Особенно это заметно у крепких середнячков.

Здесь очень важно отметить, что часть протестированных продуктов вовсе не имеет настроек, которые каким-либо образом могли бы повлиять на результаты нашего теста. Именно поэтому, результаты некоторых фаерволов на стандартных и максимальных настройках оказались одинаковыми.

 

Сравнение качества защиты на стандартных и максимальных настройках

По задумке теста мы не будем проводить суммирование или усреднение результатов одного и того же продукта с различными настройками. Напротив, мы хотим их сопоставить и показать существенные отличия в качестве защиты протестированных продуктов в зависимости от используемых настроек.

Итак, для наглядности мы свели итоговые результаты теста фаерволов со стандартными и максимальными настройками и представили их ниже в таблице 3 и на рисунке 3.

 

Таблица 3: Сводные результаты теста фаерволов на стандартных и максимальных настройках

Продукт Стандартные настройки Максимальные настройки
DefenseWall * 100% 100%
Comodo 98% 100%
Online Armor 88% 88%
Online Solutions 86% 86%
Outpost 84% 91%
Jetico 71% 71%
PC Tools 60% 94%
Kaspersky 55% 96%
Dr.Web 55% 75%
ZoneAlarm 55% 63%
G DATA 46% 66%
BitDefender 45% 80%
Norton 45% 48%
Avast 40% 40%
Trend Micro 40% 40%
F-Secure 38% 75%
Panda 38% 40%
AVG 28% 28%
Eset 25% 63%
McAfee 25% 55%
Avira 25% 28%
Microsoft 13% 13%

 

Рисунок 3: Сводные результаты теста фаерволов на стандартных и максимальных настройках

тест фаерволов

 

Рисунок 3 очень наглядно демонстрирует разницу в результатах теста в зависимости от выбранных настроек.

Если отойти от стандартных настроек, предложенных вендором, то для многих фаерволов можно существенно повысить уровень защиты от внутренних атак. Особенно это касается таких продуктов как PC Tools, Kaspersky, Dr.Web, G Data, BitDefender, F-Secure, Eset и McAfee.

С другой стороны, как уже отмечалось выше, некоторые из протестированных продуктов вовсе не имеет настроек, которые каким-либо образом могли бы повлиять на результаты теста. Поэтому их результаты на графике для обоих видом настроек неизменны. К этой группе относится Online Armor, Online Solutions, Jetico, Avast, Trend Micro, AVG и Microsoft.

 

Итоговые результаты теста и награды

В результате открытого обсуждения было принято решение не усреднять результаты одного и того же продукта с различными настройками, а рассматривать их независимо друг от друга. Таким образом, каждый из протестированных продуктов может получить две награды, по одной на каждом виде настроек.

В соответствие со схемой награждения лучшие фаерволы получают награды с указанием использованных при этом настроек, см. таблицу 4.

 

Таблица 4: Итоговые результаты теста фаерволов на стандартных и максимальных настройках

Тестируемый продукт Вариант
настроек
Предотвращение атак [%] Всего
[%]
Награда
Базовый
уровень сложности
Повышенный уровень сложности
Comodo Max 100% 100% 100%

Platinum Firewall Outbound Protection Award

DefenseWall * Untrusted Zone Max 100% 100% 100%
DefenseWall * Untrusted Zone Standard 100% 100% 100%
Comodo Standard 97% 100% 98%
Kaspersky Max 100% 83% 96%


Gold Firewall Outbound Protection Award

PC Tools Max 100% 72% 94%
Outpost Max 98% 67% 91%
Online Armor Max 92% 72% 88%
Online Armor Standard 92% 72% 88%
Online Solutions Max 92% 67% 86%
Online Solutions Standard 92% 67% 86%
Outpost Standard 89% 67% 84%
BitDefender Max 81% 78% 80%
Dr.Web Max 81% 56% 75%


Silver Firewall Outbound Protection Award

F-Secure Max 76% 72% 75%
Eset Max 82% 44% 74%
Jetico Max 74% 67% 73%
Jetico Standard 74% 67% 73%
McAfee Max 74% 44% 68%
G DATA Max 66% 67% 66%
ZoneAlarm Max 74% 22% 63%
PC Tools Standard 63% 50% 60%
Dr.Web Standard 58% 44% 55%


Bronze Firewall Outbound Protection Award

Kaspersky Standard 56% 50% 55%
ZoneAlarm Standard 71% 0% 55%
Norton Max 48% 44% 48%
G DATA Standard 50% 33% 46%
BitDefender Standard 48% 33% 45%
Norton Standard 48% 33% 45%
Avast Max 48% 11% 40%
Panda Max 45% 22% 40%
Trend Micro Max 48% 11% 40%
Avast Standard 48% 11% 40%
Trend Micro Standard 48% 11% 40%
Eset Standard 47% 11% 39%

Нет награды

AVG Max 45% 11% 38%
AVG Standard 45% 11% 38%
McAfee Standard 42% 22% 38%
F-Secure Standard 37% 39% 38%
Panda Standard 45% 11% 38%
Avira Max 29% 22% 28%
Avira Standard 26% 22% 25%
Microsoft Max 13% 11% 13%
Microsoft Standard 13% 11% 13%

 

Лучшие результаты в тесте показали фаерволы Comodo и DefenseWall, набравшие 98-100% баллов, причем их результаты оказались очень высокими как на стандартных, так и на максимальных настройках. Эти два продукта получают награду Platinum Firewall Outbound Protection Award.

Стоит серьезно оговориться, что в случае с DefenseWall не все так радужно. Если при тестировании мы будем запускать тестовые утилиты из доверенной зоны, то результаты DefenseWall будет ровно противоположенные (защита не сработает ни в одном случае). Это связано с тем, что по совей логике работы данная программа не ограничивает действия из доверенной зоны.

Что касается фаервола Comodo, то обратной стороной его высоких результатов в данном тесте является излишняя параноидальность, что выливается в большое количество ложных тревог. Поэтому данный продукт, как и DefenseWall,  не стоит рекомендовать для начинающих пользователей, слабо понимающих устройство операционной системы и происходящих в ней событий.

Очень высокие результаты в тесте (свыше 80%) также показали фаерволы PC Tools, Outpost, Online Armor, Online Armor, Online Solutions, Online Solutions, Outpost и BitDefender, которые получают награду Gold Firewall Outbound Protection Award. Важно отметить, что из них только Outpost, Online Armor и Online Solutions смогли добиться этого результата на стандартных настройках.

Далее по списку расположилась группа из 7 фаерволов, чьи результаты попадают в диапазон от 60% до 80%, среди них Dr.Web, F-Secure, Eset, Jetico, McAfee, G DATA и ZoneAlarm. Все они получают награду Silver Firewall Outbound Protection Award. Интересно, что почти эти результаты получены для данных на максимальных настройках, за исключением лишь Jetico (результаты не зависит от настроек).

В следующей группу продуктов, получивших награду Bronze Firewall Outbound Protection Award все ровно наоборот, почти все эти результаты были получены на стандартных настройках.

По материалам сайта anti-malware.ru

 

Далее приведены теста наверно более известного в мире чем малваре - матеуса.

Продукт Уровень защиты
Степень защиты
Оценка
ico Comodo Internet Security 5.3.176757.1236FREE 100 % / 148 10+ Отлично– 100 %
ico Online Solutions Security Suite 1.5.14905.0 99 % / 148 10+ Отлично
ico Outpost Security Suite Free 7.0.4.3418.520.1245.401FREE 97 % / 148 10+ Отлично
ico Outpost Security Suite Pro 7.5.1.3791.596.1681 97 % / 148 10+ Отлично
ico BitDefender Internet Security 2011 14.0.30.357 97 % / 148 10+ Отлично
ico Kaspersky Internet Security 2012 12.0.0.374 93 % / 148 10+ Отлично
ico Malware Defender 2.7.3.0002FREE 91 % / 148 10 Отлично
ico Privatefirewall 7.0.23.4FREE 91 % / 148 9 Отлично
ico PC Tools Internet Security 2011 8.0.0.655 90 % / 148 10+ Очень хорошо
ico Jetico Personal Firewall 2.1.0.10.2451 88 % / 148 10 Очень хорошо
ico ZoneAlarm Extreme Security 2012 10.0.250.000 72 % / 148 9 Хорошо
ico Norton Internet Security 2011 18.1.0.37 40 % / 148 6 Очень плохо
ico Rising Internet Security 2011 23.00.41.42 34 % / 148 5 VОчень плохо
ico avast! Internet Security 6.0.1000 15 % / 148 3 Неудe
ico Dr.Web Security Space Pro 6.0.2.07290 14 % / 148 3 Неуд
ico CA Internet Security Suite Plus 2010 6.0.0.285 12 % / 148 3 Неуд
ico F-Secure Internet Security 2011 10.51.106 9 % / 148 2 Неуд
ico Trend Micro Internet Security Pro 2010 17.50.1647.0000 9 % / 148 2 Неуд
ico FortKnox Personal Firewall 6.0.205.0 7 % / 148 2 Неуд
ico ZoneAlarm Free Firewall 9.2.076.000FREE 7 % / 148 2 Неуд
ico ESET Smart Security 4.2.64.12 6 % / 148 2 Неуд
ico AVG Internet Security 2011 10.0.1153 3 % / 148 1 Неуд
ico Avira Premium Security Suite 10.0.0.608 3 % / 148 1 Неуд
ico Look 'n' Stop 2.07 3 % / 148 1 Неуд
ico Sunbelt Personal Firewall 4.6.1861.0 3 % / 148 1 Неуд
ico G Data InternetSecurity 2011 21.1.1.0 2 % / 148 1 Неуд
ico McAfee Internet Security 2011 11.5.141 2 % / 148 1 Неуд
ico Panda Internet Security 2011 16.00.00 2 % / 148 1 Неуд
ico TrustPort Internet Security 2011 11.0.0.4584 2 % / 148 1 Неуд

 

Теперь можем сравнить эти два теста  и выбрать для себя наиболее подходящий продукт. Dirfreesoft.ru все же рекомендовал бы пользоваться бесплатными фаерволами, как видите по тестам они ничем не уступают своим платным аналогам, даже превосходят. Стоит над чем задуматься...

Добавить комментарий


Защитный код
Обновить

 
Главная - Статьи - Тест фаерволов на защиту от внутренних атак