Comodo Firewall в работе.
После установки и настройки Comodo спрятался в трее и начал доставать меня своими расспросами. В первый день я поигрался со всеми режимами фаервола и проактивной защиты и в конце концов заставил его замолчать :). Каких-то тормозов после его появления в своей системе обнаружено не было. И вообще, работать с фаерволом от Comodo было достаточно легко и удобно. Интерфейс основного окна весьма прост и информативен:
Но вот к навигации по настройкам фаервола и проактивной защиты пришлось привыкать — не всегда удается быстро найти нужный пункт. Думаю, со временем это пройдет.
Спустя несколько дней после установки Comodo Firewall я решил его немного потестировать.
1) Stealth Test — определяет, насколько Ваш компьютер виден в интернете, т.е. насколько успешно Ваш фаервол скрывает порты в системе. 2) Trojans Test — проверяются порты, которые наиболее часто используют трояны для проникновения в систему 3) Advanced Port Scanner — сканирование выбранного Вами диапазона портов либо набора портов, через которые наиболее часто происходят атаки 4) Exploits Test - тест реакции фаервола на неожиданные пакеты Во всех тестах Comodo Firewall показал отличные результаты. Это значит, что тот минимум, который требуется от любого фаервола, он выполняет без особых проблем. Тест №2. Подмена исполняемых файлов.Для этого теста использовалась утилита Firewall Tester.
При нажатии на кнопку "Test" программа пытается установить связь с сервером сайта http://2ip.ru/. Поскольку эту утилиту Comodo Firewall еще не знает, то при первой ее попытке вырваться в интернет последовала незамедлительная реакция со стороны проактивной защиты и фаервола:
В обоих случаях я нажал заблокировать и получил подтверждение об успешном прохождении теста:
Затем я переименовал файл FireWallTest.exe в opera.exe и подменил им стандартный файл Оперы. Таким образом я попытался обмануть Comodo Firewall, который уже хорошо знает этот браузер и постоянно и автоматически выпускает его в интернет. На запуск «фальшивой» Оперы из Тотала Comodo отреагировал следующим образом:
Получив мое разрешение на одноразовый запуск, фаервол предупредил меня о попытке выхода Оперы в интернет:
Получается, что любое приложение, для которого уже существуют правила, в случае подмены исполняемого файла без моего ведома выйти в интернет не сможет. Вроде все хорошо, но вот какая штука: цвет верхней части окна с предупреждением зависит от серьезности ситуации. Если Comodo оценивает событие как критичное, то цвет будет красным, если событие менее опасное – желтым. В моем случае Comodo посчитал смоделированную ситуацию не особо опасной и зажег «желтый». К тому же вместо формулировки «исполняемый файл opera.exe не опознан» я бы предпочел увидеть что «произошло изменение параметров файла opera.exe”. Так предупреждают в подобных ситуациях комбайны от Касперского и Eset, например. Причем пользователь видит окно тревоги с использованием красного цвета, что сразу заставляет обратить внимание на ситуацию. А предупреждение от Comodo может быть просто проигнорировано пользователем из-за недостаточного акцента на происходящее событие.
Подмена файла Оперы было лишь частью моего коварного плана. Следующей жертвой стал Internet Explorer 6, который интегрирован в операционную систему, а значит iexplore.exe можно считать полноправным системным файлом. Каково же было мое удивление, когда под полное молчание Comodo я увидел окно о провале теста:
Видимо, создано лишнее правило, решил я и полез в политики фаервола и проактивной защиты. Покопавшись там минут 15, я принял единственно правильное решение — переустановить Comodo. Сказано — сделано. Оставив режимы работы по умолчанию, я повторил опыт с подменой iexplore.exe. На запуск из Тотала проактивная защита сработала как и в случае с Оперой:
Здесь придется сделать небольшое лирическое отступление. Дело в том, что при подмене исполняемого файла IE система в течение 4-8 секунд восстанавливает оригинальный iexplore.exe. В связи с этим результаты моего теста зависели от того, успевает подмененный файл постучаться в интернет или нет.
В случае, когда я успеваю совершить все манипуляции до восстановления explore.exe, происходит следующее. Получив мое разрешение на одноразовый запуск explore.exe, Тотал запускает утилиту FireWallTest, жму «Test”, проактивная защита Defens+ выдает предупреждение:
Если разрешаем (в качестве эксперимента) — отрабатывает фаервол:
Успеваем нажать «Блокировать» - тест пройден, утилита в интернет не проскочила. А вот если iexplore.exe восстановлен до того, как нажали кнопку блокировки — от Вашего выбора уже ничего не зависит — утилита автоматически получает доступ интернет в момент восстановления оригинального файла.
То же самое относится и к работе проактивной защиты: если не успел скомандовать блокировать до восстановления explore.exe — утилита автоматом получает доступ в интернет.
Вдоволь наигравшись с фальшивым IE, я вспомнил о самом первом провале теста, когда Comodo промолчал и выпустил «левый» файл в интернет. Переустановив Comodo, я перевел Defense+ и фаервол в режим обучения и запустил IE. После этого вернул режимы, выставленные по умолчанию, и повторил тест. Comodo его снова молча провалил...
Тест №3. Дуэль
Находясь под впечатлением от результатов предыдущего теста, я искал дополнительные возможности протестировать Comodo и наконец нашел утилиту AWFT.
Эта программка эмулирует поведение троянов и содержит серию из шести тестов, демонстрирующих различные методики неавторизованного доступа в сеть, минуя защиту фаервола. Среди этих тестов есть как старые способы обмана фаерволов, так и более современные методики. За каждый успешно пройденный тест фаерволу начисляется некоторое количество баллов. Если тест не пройден, баллы начисляются в пользу AWFT. Максимальное количество баллов — десять.
Утилита является условно-бесплатной, ограничение — 10 запусков. В верхней части окна программы расположены кнопки, запускающие соответствующие тесты, внизу указан сайт, куда будет прорываться AWFT и результат дуэли между фаерволом и утилитой. Кнопка Reset Points служит для сброса набранных очков.
На всякий случай я решил поменять адрес сайта на свой. Тестирование происходило при включенном Comodo Firewall и Defense+, запущенной Оперой и отключенным монитором Авиры.
В первом тесте использован прием с загрузкой скрытой копии браузера и пропатчиванием памяти перед его запуском При нажатии кнопки теста выскочило окно с ошибкой:
После закрытия этого окна Сomodo отреагировал на тест окном запроса, при нажатии кнопки «Блокировать» AWFT, немного призадумавшись, отдала первое очко фаерволу
По утверждению разработчиков утилиты тест №2 - это старый и давно известный трюк. Comodo снова реагирует окном запроса и снова получает очко.
В тесте №3 также используется старый трюк. Comodo просто молча его блокирует, видимо, трюк действительно известный.
Тест №4 аналогичен первому тесту с запуском скрытой копии браузера и пропатчиванием памяти перед его запуском. Фаервол не выдал никаких предостережений, но через небольшую паузу заработал очередное очко.
Во время пятого и шестого теста необходимо переключиться в браузер и немного посерфинговать (я просто обновлял загруженную в браузере страницу).
В тесте №5 утилита выполняет эвристический поиск установленного на компьютере (или в сети) разрешенного программного обеспечения, имеющего доступ к интернет через порт 80, затем запускает копию разрешенной программы и перед самым запуском патчит память, занимаемую этой программой (т.е. AWFT запускает и саму себя в памяти разрешенной программы). Comodo молча справился с тестом и получил за него целых 3 очка.
Тест №6 аналогичен предыдущему пятому тесту. Используется тот же прием с эвристическим поиском установленного софта, имеющего право выходить наружу через порт 80. Только способ взлома сейчас изменен - используется пользовательский запрос. Попутно с этим AWFT пытается прилепить к браузеру левый скрытный тулбар. При открытой Опере у меня выскочило такое окно:
В момент подтверждения мною этого пользовательского запроса Comodo выдал свой запрос, утилита была снова заблокирована, а фаервол получил 3 очка себе в зачет.
Итог дуэли — 10:0 в пользу Comodo. Повторив тесты с открытым Internet Explorer, я получил те же результаты.
Заключение Несмотря на некоторый неприятный осадок в душе, оставшийся после тестирования фаервола, я все же рекомендую Comodo Internet Security для домашнего использования, но только в качестве фаервола. И не слушайте тех умников, которые советуют отключать проактивную защиту, не в коем случае! Только с использованием Defense+ этот фаервол действительно обеспечивает безопасность Вашего компьютера. А вот что действительно не следует использовать, так это антивирус от Comodo. Мало того, что он прилично пропускает, у Вас возникнут проблемы с его обновлением — уж очень громоздкие базы у него. К тому же он прилично влияет на быстродействие системы. У меня просто замечательно работали в паре Comodo Firewall и Avira Antivir Personal. Тормозов и глюков в системе во время работы фаервола мною обнаружено не было. Свои размышления о результатах моего тестирования я пока оставлю при себе, хочется послушать Ваши коментарии
Во время написания заключительной части этой статьи я наткнулся на результаты недавнего тестирования фаерволов лабораторией Matousec. Comodo Internet Security оказался единственным фаерволом со 100-процентным результатом (см. форум по фаерволам). Что же, я свой выбор сделал... А Вы? плюсы(явные)бесплатное распространение наличие собственной базы данных программ наличие проактивной защиты (Defense+) простота установки и начальной настройки очень информативное и удобное окно со сводкой плюсы(сомнительные)наличие нескольких режимов работы минусы(явные)раздражающий режим инсталляции подмена исполняемого файла не определяется проактивной защитой как критическое событие минусы(сомнительные)откровенно неудачный антивирус
Читать еще:
|