Борьба с червями
Sygate Personal Firewall Pro5.5 и Zone Lab ZoneAlarm Pro 4.5 никогда не были замечены ни в атаке на "своих, чтоб чужие боялись", ни в чрезмерном попустительстве по отношению к другим приложениям. Благодаря этому они предоставляют широкие возможности контроля за системой. Однако если нетерпеливый администратор будет сначала жать на кнопку OK, а потом думать, о чем же это его предупреждают, то он подвергнет систему большому риску.
Возьмем, к примеру, червь Bagle, который маскируется под Windows Explorer. Когда он пытается передать данные в интернет, межсетевые экраны McAfee, Norton, Sygate и ZoneAlarm фиксируют это и дают администратору соответствующий запрос. Если тот проявит достаточно бдительности, то заинтересуется, зачем это Проводнику вдруг понадобилось выйти в Сеть. Но если администратор "проспит" тревожный сигнал и просто нажмет OK, то будет сам отвечать за последствия.
Во избежание подобных проблем можно воспользоваться межсетевым экраном с фильтрацией портов (экран такого типа встроен в Windows XP) или с фильтрацией портов и пакетов, как в Trend Micro PC-cillin Internet Security 2004. При фильтрации пакетов межсетевой экран контролирует данные, передаваемые в обоих направлениях между сетью и компьютером, на предмет известных уязвимых мест или подозрительного поведения. Например, таким образом блокируются попытки "нелегального" доступа к портам, открываемым почтовыми вирусами-червями, для получения инструкций от удаленного хакера.
Вообще-то в обязанности межсетевого экрана не входит "отлов" червей и нелегальных программ — это дело антивируса. Однако антивирусные сканеры лучше всего работают тогда, когда могут сравнить потенциальный вирус с базой данных уже известных вирусов. Если же вирус "свежий", то он часто остается нераспознанным до тех пор, пока не будет внесен в базу данных и пока она не будет обновлена на зараженном компьютере. На это может уйти от нескольких часов до нескольких дней, а с учетом лени администратора — и недель.
Проведенные тесты показали следующие возможности распространенных межсетевых экранов. При попытке программы организовать массовую почтовую рассылку, содержащую ее копии, McAfee и ZoneAlarm блокируют эту операцию независимо от того, рассылаются ли письма все сразу или по очереди; при этом пользователь получает предупреждение. Panda останавливает "червя" иначе: блокирует все исходящие письма, содержащие во вложениях исполняемые файлы.
Если же червь, такой как Bagle, пытается нелегально открыть порт системы и получит инструкции от удаленного хакера, Panda ничего не может сделать. Маршрутизаторы же блокируют это действие, а программные межсетевые экраны, работающиепо принципу предоставления полномочий, — McAfee, Norton, Sygate и ZoneAlarm — предупреждают о нем пользователя. Впрочем, при этом они принимают червя за Windows Explorer, не сообщая, что на самом деле это червь, маскирующийся под Проводник. Межсетевые экраны с фильтрацией портов PC-cillin и экран Windows XP защищают компьютер тихо и надежно — они сами блокируют попытки червя получить доступ к порту, не заставляя пользователя гадать над значением предупреждений.
Злонамеренные программы не только по-тихому открывают порты — они могут начисто "оголить" компьютер, отключив систему защиты. Panda, Sygate и ZoneAlarm сопротивляются таким атакам, но межсетевой экран Windows XP, McAfee, Norton и Trend Micro выключаются под воздействием кода вторжения — более того, такой код способен удалить файлы последних трех пакетов.
