ОБЗОР

ConSeal PC Firewall и NIS 2000 каждый по-своему обеспечивают безопасность за границей сети

Кен Филлипс (для PC Week Labs)

Надомные работники, мобильные пользователи и сотрудники небольших филиалов получили еще одну возможность защититься от сетевых опасностей. В PC Week Labs прошли экспертизу два персональных брандмауэра - ConSeal PC Firewall 2.0 фирмы Signal 9 Solutions и Norton Internet Security 2000 1.0 корпорации Symantec. У каждого продукта есть свои сильные стороны, однако ни один из них не предлагает всего, что необходимо типичному корпоративному пользователю.

Там, где устанавливаются открытые подключения по высокоскоростному кабелю или цифровой абонентской линии, персональные брандмауэры столь же необходимы, как и антивирусное ПО. Малое время отклика, статические IP-адреса, совместная работа с файлами - все это делает пользователей потенциальными жертвами хакеров, угрожает перерывами в связи. Единственным же средством защиты, доступным за пределами сетевого шлюза, остаются персональные брандмауэры.

ConSeal PC Firewall поддерживает ВЧС (виртуальные частные сети) и способен работать в среде Windows NT. Он предназначен для сотрудников корпораций, а его конфигурированием должны заниматься хорошо подготовленные специалисты. NIS 2000 лучше всего подойдет для небольших офисов и домашних пользователей. Все его функции, включая защиту от вирусов, обеспечение безопасности и блокирование доступа к узлам и их содержимому по URL, разрабатывались в расчете на новичка, использующего ПК под управлением Windows 9x. Впрочем, начинающий пользователь может найти еще более простой в работе продукт - ConSeal Private Desktop той же фирмы Signal 9 Solutions.

Простой графический интерфейс NIS 2000 (вверху) поможет работать даже новичкам, а опытным

пользователям должны понравиться обширные возможности правил работы брандмауэра

Выпуск ConSeal PC Firewall 2.0 начался в ноябре, его цена в расчете на одного пользователя Windows 9x, включающая обновление в течение одного года, составляет $49,95. Версия для Windows NT стоит $150 в расчете на одну рабочую станцию или $295 за каждый сервер. По истечении первого года эксплуатации обслуживание продукта обойдется покупателю еще в 18% от его стоимости.

Пакет NIS 2000 появился в продаже в декабре. Он содержит антивирусную утилиту Norton Antivirus 2000 и может подключаться к Norton System Works 2000. Стоит он $59,95, причем в эту цену входит обновление описаний вирусов и самой программы. Зарегистрированным пользователям Norton Antivirus новый продукт обойдется на $20 дешевле; после первого года эксплуатации его сопровождение становится платным - $39,95 в год.

Оба пакета вышли на весьма переполненный сегмент рынка. К примеру, им придется конкурировать с бесплатным ZoneAlarm фирмы Zone Labs, обеспечивающим базовую брандмауэрную защиту отдельных приложений.

Подобно своим “большим” корпоративным собратьям, ConSeal PC Firewall и NIS 2000 блокируют несанкционированные пакеты, поступающие на ПК и исходящие от него, опираясь на правила управления трафиком. Правда, ни один из них не способен выявлять атаки в реальном времени, ограничиваясь лишь блокированием нестандартных портов. Если правила заданы неверно - а ошибки подобного рода зачастую допускают даже опытные администраторы, - защита может оказаться ненадежной. Хакеру не составит труда воспользоваться брешами в приложениях, которые используют разрешенные порты, так как обоим протестированным продуктам недостает интеллектуальности для защиты пользователя от таких взломов.

Обнаруживать атаки в реальном времени и блокировать их способен пакет BlackIce Defender корпорации Network Ice, практически не требующий конфигурирования. Он успешно предотвращает около трех сотен самых различных атак, в том числе с отказом в обслуживании и “троянских коней”. Стоит этот продукт $39,95, причем покупатель имеет право в течение года получать новые версии ПО бесплатно. BlackIce Defender может работать параллельно с NIS 2000, создавая единый рубеж обороны против попыток вторжения извне.

Всегда начеку

Первоначальная настройка NIS 2000 предельно проста: пользователю достаточно указать уровень необходимой безопасности. Чем ниже этот уровень, тем слабее защита, но количество предупреждений при этом также снижается. При высоких уровнях безопасности, наоборот, пользователю придется постоянно самому решать, нужно ли принимать тот или иной запрос на подключение. Впрочем, он может разработать собственные правила, обратившись к услугам специального мастера.

ConSeal PC Firewall отличается более высокой гибкостью, но и процедура определения правил здесь намного сложнее. К тому же мастер настройки использует технический жаргон, который вполне может озадачить новичков.

Как уже отмечалось, Signal 9 Solutions выпускает и пакет ConSeal Private Desktop, специально рассчитанный на начинающих пользователей. Здесь система просто задает пользователю вопрос, можно ли доверять вновь появившемуся приложению, и, основываясь на ответе, самостоятельно создает правила.

И ConSeal PC Firewall, и NIS 2000 перехватывают пакеты в самом начале цепочки - на нижнем уровне NDIS (Network Device Interface Specification - спецификация интерфейса сетевых устройств). При этом ConSeal PC Firewall способен блокировать трафик, использующий протоколы ARP, IPX/SPX и NetBEUI. Правда, тонкой фильтрации протоколов IPX/SPX и NetBEUI он не обеспечивает. Что же касается пользователей NIS 2000, то они вообще лишены возможности фильтровать эти протоколы. Еще одно достоинство ConSeal PC Firewall - возможность индивидуальной настройки каждого сетевого адаптера, как локально, так и по коммутируемым каналам.

В ходе тестирования мы установили ConSeal PC Firewall в качестве службы NT на ПК серии Deskpro EN корпорации Compaq Computer, работавшем под управлением Windows NT 4.0 Workstation. Пакет же NIS 2000, как оказалось, в среде Windows NT установить невозможно, что значительно снижает его пригодность для предприятий.

В то же время NIS 2000 позволил нам запретить прием рекламных сообщений, благодаря чему время загрузки Web-узлов, переполненных рекламой, сократилось примерно на 30%. Мы могли также блокировать прием файлов cookies, данных из заголовков НТТР и активного содержимого. В ConSeal PC Firewall таких функций обеспечения безопасности мы не нашли.

В NIS 2000 встроено средство для фильтрации сообщений на основе структурированного списка разрешенных и запрещенных узлов Parental Control URL. К сожалению, оно не способно ни запрещать загрузку файлов с учетом их размера или типа, ни планировать доступ во “Всемирную паутину”. На персональных компьютерах, где установлен NIS 2000, можно задавать правила доступа к индивидуальным учетным записям пользователей, однако они хранятся локально и допускают лишь три градации: child (ребенок), teen (подросток) и adult (взрослый). В NIS 2000 предусмотрена возможность автоматического обновления с помощью системы LiveUpdate корпорации Symantec.

ConSeal PC Firewall предлагает своим пользователям едва ли не самые дешевые средства организации ВЧС для малых офисов. С их помощью мы легко организовывали надежно защищенные сеансы связи между парами компьютеров на основе криптоалгоритма Blowfish. Применяемая здесь схема с секретным ключом намного проще в использовании, чем системы с открытым ключом. Она работает без генераторов сертификатов, но пригодна лишь для связи между определенными узлами. Продукт Signal 9 Solutions поддерживает брандмауэрные протоколы IP Security и IPv6 и способен одновременно обрабатывать трафик, поступающий по нескольким туннелям через различные интерфейсы. Все это делает его особенно удобным для развертывания шлюзов между офисами.

Обзор пакета BlackIce Defender опубликован по адресу: www.zdnet.com/pcweek/stories/news/0,4153,2338120,00.html.

С внештатным редактором Кеном Филлипсом можно связаться по адресу: kenp@wtp.net.

Резюме для руководителей

ConSeal PC Firewall 2.0

Этот продукт, сочетающий в себе брандмауэр и средства организации ВЧС, должен заинтересовать те организации, где имеется много удаленных офисов, а также надомных сотрудников. Однако следует иметь в виду, что он не обеспечивает защиту от некоторых серьезных угроз, исходящих из Интернета.

КРАТКОСРОЧНЫЙ ПРОГНОЗ. ConSeal PC Firewall открывает самый недорогой путь к оснащению удаленных офисов брандмауэрной защитой и средствами шифрования, однако его настройка требует серьезной подготовки персонала, что несколько снижает экономию. К тому же его придется дополнить продуктами сторонних производителей, в первую очередь антивирусными сканерами.

ДОЛГОСРОЧНЫЙ ПРОГНОЗ. ВЧС на основе ConSeal, заменяющие арендованные каналы, дают значительную экономию и при этом обеспечивают высочайший уровень безопасности для удаленных пользователей.

( + ) Обширные возможности фильтрации на уровне NDIS; гибкость правил; возможность создания шифрованных подключений ВЧС; возможность индивидуальной настройки отдельных устройств.

( - ) Высокие требования к подготовке специалистов, разрабатывающих правила; отсутствие функций секретности, удаленного управления и выявления сетевых атак.

Фирма Signal 9 Solutions, Каната, пров. Онтарио, Канада, (613) 599-9010, www.signal9.com.

Norton Internet Security 2000 1.0

Этот продукт, рассчитанный на применение отдельными пользователями и в малых офисах, содержит богатый набор интегрированных средств защиты от атак из Интернета. В то же время ему не хватает гибкости использования и управляемости, необходимых для широкомасштабного развертывания.

КРАТКОСРОЧНЫЙ ПРОГНОЗ. NIS 2000 не только повышает эффективность просмотра ресурсов сетей, обеспечивает секретность переговоров и предотвращает незапланированные простои - развернув его, можно легко и быстро создать многостороннюю защиту подключений к Интернету.

ДОЛГОСРОЧНЫЙ ПРОГНОЗ. Обновление NIS 2000 после первого года эксплуатации может оказаться весьма дорогостоящим, а гибкость некоторых его функций явно не соответствует потребностям больших организаций. В целом же широкомасштабное развертывание этого брандмауэра на корпоративных настольных системах обойдется слишком дорого, но он отлично подойдет удаленным офисам, сделав их защиту самодостаточной.    

( + ) Способность отражать различные типы атак, а также защищать компьютер от вирусов, файлов cookies и активных компонентов Web-страниц; ускорение чтения страниц за счет блокирования рекламных сообщений; возможность автоматизированного обновления; блокирование URL.    

( - ) Отсутствие функции удаленного администрирования; невозможность контроля загружаемой информации; поддерживает только Windows 95/98; неспособность обнаруживать попытки вторжения.

Корпорация Symantec, Купертино, шт. Калифорния, (800) 441-7234, www.symantec.com.

Методика оценки: www.pcweek.com/reviews/meth.html.