Nejlacinější ochránci domácího PC v ostrém souboji cd/dvd
Firewall by měl váš počítač chránit před útoky z internetu. Vyzkoušeli jsme, které z volně dostupných nástrojů takové útoky spolehlivě odvrátí a současně se snadno obsluhují. Navíc jsme otestovali i firewall integrovaný v aktuální verzi operačního systému Windows Vista.
Každý měsíc musí Microsoft vydávat nové bezpečnostní opravy pro Windows. Dokud příslušná záplata není k dispozici, je váš počítač vůči útoku z internetu zranitelný. Proti takovému riziku by vás měl ochránit osobní firewall. Kromě toho by měl zjistit a ohlásit, pokud se nějaká aplikace z vašeho PC pokouší připojit k síti. Vyzkoušeli jsme tedy pětici zdarma dostupných nástrojů, bohužel ne všechny kladené požadavky splnily. Pro uživatele, kteří uvažují o přechodu na Vistu, jsme se pod lupou podívali na její integrovaný firewall.
Navrch huj, vespod často fuj
Velmi spokojeni jsme byli, pokud jde o ochranu před útoky zvenčí: všechny testované aplikace dokázaly odvrátit útoky z internetu. Což znamená: všechny porty byly uzavřeny a počítač se nepoložil ani při DoS útocích zahrnujících tisíce zmanipulovaných požadavků, které u nechráněného systému způsobily jeho pád. Úplně jinak ale vypadá situace, pokud se jedná o ochranu před nebezpečím zevnitř: zde se zřetelně ukázala slabá místa nástrojů Sunbelt Kerio Personal Firewall a Ashampoo Firewall.
Bez antiviru to nepůjde
Obecně lze říci: co se týče ochrany proti vnitřním rizikům, je firewall pouze součástí skládanky. Antiviru se nelze vzdát. Nejprve je nutné zajistit, aby k aktivaci škodlivého kódu na počítači vůbec nedošlo. Za doporučení stojí bezplatný Antivir PE 7 Classic pro Windows 98/ME/ NT4/2000/XP (www.free-av.de).
Teprve poté, co antivirus selhal, přichází ke slovu firewall, který by měl zamezit trojským koním a backdoor aplikacím v odesílání údajů na internet. Firewall zde funguje jako dodatečná vrstva ochrany.
Obsluha je komplikovaná
Jeden nedostatek je všem testovaným nástrojům společný: jejich obsluha je obtížná, až velmi složitá. Začátečníci jsou velmi rychle přetíženi, i ostříleným uživatelům hrozí, že při nastavování udělají chybu.
Obzvláště problematická jsou hlášení firewallu týkající se programů, jež se pokoušejí o přístup k síti. Poskytované informace jsou k rozhodnutí, jak firewall nastavit, nedostatečné. Přesto se začátečník musí rozhodnout, zda komunikaci povolit či nikoliv. Hrozí nezanedbatelné nebezpečí, že se hlášení týká nějakého trojského koně, ale uživatel mu přesto povolí odesílání údajů na internet.
Hodnocení: mnoho poražených, stěží nějaký vítěz.
6. místo: I když si Windows Vista Firewall vedl dobře v našich testech ochrany proti útokům zvenčí i zevnitř, dostává za bezpečnost pouze známku 3. Důvod? Chybí mu režim, jenž by uživatele informoval o tom, které aplikace odesílají data na internet. To by mohlo mít v nejhorším případě i fatální následky. V tomto ohledu nenabízí Vista Firewall o nic více než jeho integrovaný předchůdce ve Windows XP (viz níže).
5. místo: Jetico Personal Firewall nelze v zásadě doporučit nikomu. Jeho konfigurace je velmi komplikovaná, jedná se o nástroj vhodný nanejvýš pro odborníky.
4. místo: Sunbelt Kerio Personal Firewall nabízí několik zajímavých možností a jeho hlášení mají informativní hodnotu. Není však rozhodně dokonalý co se týče odvedené práce v oblasti zabezpečení, a už proto jej nelze doporučit.
3. místo: Ashampoo Firewall se dobře obsluhuje, ovšem při bezpečnostních testech se ukazují i zde slabá místa. Ani tato aplikace si naše doporučení nevysloužila.
2. místo: Na první pohled nabízí Comodo Firewall vše, co bychom si mohli přát. Nicméně nastavování modulu "Network Monitor" asi začínajícího uživatele nepotěší. Comodo Firewall je naším tipem pro pokročilé uživatele.
1. místo: Na prvním místě se umístil nástroj, jenž by se dal již označit za "klasiku": Zone Alarm Free. Ani u tohoto nástroje náš však nepotěšila nepříliš vysoká informativní hodnota hlášení. Co se týče bezpečnosti, odvádí svou práci dobře. I začátečník má přinejmenším reálnou šanci nástroj správně nakonfigurovat. Proto se vysloužila tato aplikace naše doporučení a umístila se na prvním místě. Je ale namístě podotknout, že konkurence příliš silná nebyla.
XP Firewall lepší než drátem do oka
Máte na svém počítači Windows XP SP2? Pak máte k dispozici i integrovaný firewall. Ptáte se, jak dobře vás tento firewall dokáže zabezpečit?
XP Firewall blokuje veškerá nevyžádaná spojení, pokud je výslovně nepovolíte. Pokud spustíte aplikaci, jež nabízí služby serveru, zeptá se vás, zda chcete povolit přístup k portům, které daná aplikace otevírá. Na hlášení o programech odesílajících data na internet ovšem budete čekat marně. Můžete-li se obejít bez těchto funkcí, pak se jedná o celkem dobrou volbu. Nastavení se provádí přes položku nastavení zabezpečení v ovládacích panelech.
Testování obsluhy pomocí chatovacího programu
Při testování firewallů jsme se zaměřili na pět kritérií. Podrobné informace k testům naleznete v přiložené tabulce. Abyste si mohli o firewallech udělat pokud možno co nejlepší představu, popisujeme chování programu při běžně prováděných úkonech. Jednou ze zvolených aplikací se proto stal IM klient ICQ. Instalaci ICQ jsme provedli až po nainstalování příslušného firewallu, následně jsme se přihlásili k již existujícímu ICQ účtu.
Firewall by měl tuto komunikaci zachytit a zeptat se, zda spojení povolit či nikoliv. Následně jsme chtěli pro ICQ povolit práva serveru, která jsou nutná pro odesílání a příjem souborů. Komunikace probíhá mezi jednotlivými klienty, k tomu je tedy nutné povolit navazování spojení, což lze provést pouze s právy serveru.
Ashampoo Firewall
Slabá místa tohoto programu se mimo jiné objevují v oblasti ochrany v lokálních sítích. Tento nedostatek bohužel nemůže vyvážit ani dobrá nabídka funkcí.
Po instalaci a restartu počítače si Ashampoo Firewall vyžádá zadání registračního klíče. Ten obdržíte zdarma po zadání e-mailové adresy. V nabídce je také verze Pro za 30 euro, k níž dostanete šest užitečných dodatečných nástrojů, které ale s funkcí firewallu nikterak nesouvisejí. Lepší zabezpečení tedy za svých 30 euro nepořídíte.
Aplikace poskytuje zjednodušený "Easy-Mode" a také "Expert-Mode". Rozdíly mezi nimi jsou ale zanedbatelné. Doporučujeme proto použít režim pro pokročilé, který má k dispozici poněkud více možností nastavení a také poskytuje více informací.
Pokud se nějaká aplikace chce připojit on-line, firewall nabídne hlášení obsahující nejdůležitější údaje, včetně cesty k aplikaci. Na základě těchto informací lze pak provést příslušná nastavení. Podle potřeby lze povolit pouze aktuálně použitý port nebo porty všechny. Méně však potěší, že firewall nastavil pro ICQ pravidla včetně práv serveru. Na to by podle našeho názoru měl být uživatel přinejmenším upozorněn. Nebylo tedy nutné dodatečně povolovat žádné další porty pro přenos dat pomocí ICQ. Nalézt nastavení pro příslušná práva serveru je přesto jednoduché.
Konfigurace firewallu je snadná, nelze nicméně provádět žádné dodatečné vyladění pravidel, například nastavení pravidel podle protokolu. Takové funkce ale budou chybět pouze profesionálům.
Klady: Záznamy lze třídit podle veškerých zaznamenaných údajů, například podle aplikace, času nebo IP adresy. Logy nicméně nejsou tak obsáhlé jako u dalších testovaných nástrojů.
Ochrana v místních sítích je nekompletní. Hrozby přicházející přímo z testovaného počítače firewall neodhalil. Povolen byl dokonce i vzdálený přístup k těmto škodlivým programům, i když podle nastavení by měl firewall dohlížet i na lokální síť.
Při navazování spojení z internetu vypadala situace jinak. Zde firewall uzavřel všechny porty a znemožnil přístup k backdooru. Případný útočník tak může zmíněnou mezeru využít, pouze pokud se nachází v lokální síti.
Zápory: Firewall neohlásí, že se některá aplikace pokouší využít přístupových práv aplikace jiné. Takové nepřátelské spojení bude přesto zablokováno.
Shrnutí: Ashampoo Firewall předvedl nevyrovnaný výkon. Hrozeb, které jsme na počítač nastražili od samotné instalace systému, si nevšímal. Nástroj ale boduje v oblasti přehledné konfigurace.
Comodo Firewall 2.3.6.81
Tento nástroj je při provozu poněkud náročný na systémové zdroje. Nicméně dobrá funkčnost a kvalitní zabezpečení jsou doporučením pro pokročilé uživatele.
Po instalaci očekává aplikace zadání aktivačního kódu. Ten obdržíte e-mailem po bezplatné registraci na webových stránkách programu. Poté firewall navrhne rozumné kroky, které by uživatel měl odsouhlasit. Například vypnutí integrovaného firewallu Windows.
Firewall nabízí jednu specialitu: pokud se aplikace snaží připojit on-line, nezobrazí jen název souboru této aplikace, ale také název programu, který ji spustil (firewall používá termín Parent neboli rodičovský zámek). Pokud uživatel spustí například ICQ pomocí nabídky Start, pod položkou Parent se zaznamená Explorer.EXE. U některých systémových programů však tato funkce nepracuje tak, jak by měla např. svchost.exe přestože právě zde by taková informace byla zajímavá. I tak pokročilý uživatel podobnou funkci určitě ocení.
Co se nám nelíbilo: Pokud povolíte aplikaci připojení k internetu a nevytvoříte přitom žádné pravidlo, neobjeví se tato aplikace v souboru pravidel. Lepší by bylo, pokud by firewall automaticky vytvořil pravidlo s nastavením Ask, jak je obvyklé u ostatních produktů. Takto jej musí uživatel vytvořit ručně.
Práva serveru pro ICQ: pravidla je možné změnit volbou Edit v kontextovém menu. Pro příchozí spojení je možné zadat port nebo rozsah portů. Matoucí je ovšem označení Destination port (cílový port), což by naznačovalo port na cílovém počítači. Je-li položka Direction nastavena na In, jedná se o port na vašem vlastním počítači.
Zvláště choulostivým tématem je modul Network Monitor. Zde lze nastavit pravidla pro jednotlivé pakety. Začátečníkům se může stát, že přitom zlikvidují zabezpečení firewallu. Comodo Firewall hodnotí zákaz v seznamu aplikací jako důležitější pravidlo než povolení v Network Monitoru. Na druhou stranu zákaz v Network Monitoru má přednost před povolením v seznamu aplikací zde se nezkušený uživatel velmi snadno zamotá.
Network Monitor lze rovněž deaktivovat, vliv tohoto úkonu na celkovou bezpečnost bude zanedbatelný. Záznamové soubory (logy) jsou přehledné, ovšem lze je seřadit pouze podle názvů aplikací.
Líbilo se nám nastavování aplikace. Většina uživatelů by se po jistém zapracování měla v aplikaci správně zorientovat. Život jim bude komplikovat pouze nastavování pravidel v Network Monitoru.
Shrnutí: Nemáme námitek vůči bezpečnostním funkcím. Vzhledem k pokročilým možnostem nastavení je tento nástroj vhodný především pro pokročilé uživatele a odborníky.
Jetico Personal Firewall 1.0
Jetico je velmi komplikovaný firewall, jehož nasazení můžeme doporučit nanejvýš odborníkům. V rámci instalačního průvodce je třeba v nastavení zadat IP adresu rozhraní bezpečné sítě a také IP adresy, které mají být blokovány. Smysluplná otázka pro pokročilé uživatele používající lokální síť. Začátečník se žádné nápovědy k tomu, jak by měl postupovat, nedočká.
Ještě obtížnější část vás čeká po skončení instalace. Tento produkt nefunguje stejně jako ostatní aplikace v našem testu, neplatí tedy to, že každé on-line připojení bude buď povoleno, nebo zakázáno. Místo toho je k dispozici sada pravidel, která buď povolují, nebo zakazují síťovou komunikaci. Každé aplikaci, jež se má připojit on-line, je nutné jedno z těchto pravidel přidělit. Tento způsob administrace by se podle našeho názoru spíše než pro osobní firewall hodil pro brány na rozsáhlých počítačových sítích. Pro desktop je systém předimenzován a jeho obsluha je příliš obtížná.
Pozor: Ačkoliv Jetico Firewall v bezpečnostních testech obstál dobře, podle našeho názoru je nebezpečí chybného nastavení prostě příliš vysoké. Ohodnotili jsme proto v naší tabulce bezpečnost známkou 3,5. Jste-li odborník, pak platí známka 1,5.
Jetico má několik silných stránek, které ostatním produktům chybějí. Hlášení týkající se aplikací navazujících spojení obsahuje např. nejen IP adresu, ale také její převod na doménové jméno (pochopitelně jen pokud existuje). Tuto funkci z testovaných produktů už nabízejí pouze firewall firmy Sunbelt. Za pozitivní považujeme také statistiky o přenesených datech pro jednotlivé konexe.
Shrnutí: Jetico Firewall nabízí sadu pravidel, která je pro desktop příliš silná. Jeho obsluhu zvládne pouze odborník.
Sunbelt Kerio Personal Firewall 4.3
Ani ovládání tohoto produktu není úplně jednoduché. Při testech bezpečnosti jsme dále objevily některé nedostatky.
Během instalaci si uživatel může zvolit jednoduchý nebo pokročilý režim. Ve zjednodušeném módu funguje program zhruba stejně jako firewall integrovaný ve Windows XP. Všechna příchozí spojení jsou zakázána, veškerá spojení směrem do internetu jsou bez jakéhokoliv dotazování povolena.
V pokročilém režimu by se firewall měl (podle návodu) standardně dotazovat uživatele, zda spojení povolí či nikoliv. Proto nás při testu nemile překvapilo, že se tak nestalo. Nejprve bylo nutné v nastavení síťového zabezpečení zadat pro Všechna ostatní spojení, Internet, odchozí volbu Ptát se; až poté začne firewall hlásit aplikace pokoušející se navázat on-line spojení. Funkce pro aktivaci tréninkového režimu je poněkud ukryta, jinak z pohledu začínajícího uživatele není co vytknout.
Pokud se úspěšně přenesete přes výše zmíněná úskalí, odmění se firewall informativními hlášeními obsahujícími nejen cílovou IP adresu, ale i odpovídající doménové jméno (je-li k dispozici).
Při každém hlášení může uživatel nastavit odpovídající pravidlo, které může být i velmi podrobné. Pokud se v nabídce úspěšně zorientujete, je dodatečné nastavení práv serveru pro ICQ jednoduché. To ovšem může chvíli trvat. V logu naleznete spoustu údajů, chcete-li však zaznamenávat chování jednotlivých aplikací, je nutné to povolit v nabídce Zabezpečení sítě, Aplikace pro každou položku zvlášť.
Bezpečnost: Během testu jsme objevili dvě mezery týkající se ochrany proti útoku z vnitřní sítě. Škodlivý kód si může "přidělit" práva některého jiného programu a navázat on-line spojení. Firewall se také dá jednoduchým způsobem zcela vypnout, což by zákeřná aplikace mohla zneužít. Shrnutí: Sunbelt Kerio Personal Firewall vykazoval při našem testu zranitelná místa. Pokud se pro něj přesto rozhodnete, budete mít k dispozici nástroj s mnoha možnostmi nastavení.
Windows Vista Firewall
Firewall integrovaný v nové verzi Windows má sice oproti svému předchůdci ve Windows XP celou spoustu dalších funkcí, je ale natolik komplikovaný, že většina uživatelů z nových vlastností nevyužije prakticky nic. Důvod? I když je k dispozici filtr odchozích spojení, chybí mu režim učení, který by uživatele informoval o požadavcích aplikací na připojení.
Při standardním nastavení je odesílání dat na internet povoleno všem aplikacím. Pouze pokud se aplikace chová jako server, pak vás na ni firewall upozorní. Firewall tedy rozpoznal, že ICQ chce pracovat s právy serveru, a nabídl nám odpovídající hlášení. Potud se jedná o chování shodné s firewallem, který znáte z Windows XP. I obsluha je s výjimkou nové grafiky Windows Vista prakticky totožná. K nastavením se dostanete přes Ovládací panely Brána firewall systému Windows Změnit nastavení.
Cesta k rozšířeným nastavením je dlouhá. Nejdříve musí uživatel v konzole pro správu nahrát odpovídající modul snap-in (například přes nabídku Start Spustit mmc). V konzole je třeba zvolit Soubor Přidat nebo odebrat modul snap-in Windows Firewall s rozšířeným zabezpečením.
Nyní můžeme pomocí pracně nalezeného nástroje kontrolovat také odchozí provoz nicméně i to je záležitost pouze pro odborníky. Ti mohou nastavit pravidla pro trojici síťových profilů: doména, veřejná a místní síť. K dispozici jsou pravidla pro jednotlivé aplikace, IP adresy, porty a způsob připojení. O jednoduchosti ale nemůže být řeč. Funkce jsou zajímavé nanejvýš pro správce systémů, který může pracně nastavená pravidla následně použit na všech počítačích s OS Vista v síti.
Ačkoliv si firewall při testu bezpečnosti vedl slušně, ohodnotili jsme jej známkou 3. Uživatel není upozorněn na fakt, že se některá z aplikací pokouší o odesílání dat na internet. To se může projevit jako fatální chyba.
Shrnutí: Vista Firewall začátečníkům i pokročilým uživatelům nabídne přesně takové množství, resp. spíše nedostatek funkcí, jako firewall Windows XP. Je to bezesporu lepší než nic. Vzhledem k absenci režimu učení může drtivá většina uživatelů na kontrolu odchozího provozu zapomenout.
Zone Alarm 6.5 Free
Zone Alarm Free je v nabídce bezplatných firewallů klasikou, přičemž jednou z jeho předností je snadná instalace.
Ovládání se za ta léta nijak nezměnilo, což ocení uživatel, který si na něj již zvykl. Pro začátečníka jsou ale hlášení příliš strohá, chybí v nich například cesta k aplikaci. Rozhodnout, zda připojení povolit či nikoliv, bude pro uživatele o to složitější. V případě pochybností musí nejprve spojení zakázat a následně v rozhraní firewallu vyhledat další informace o dané aplikaci. To je sice bezpečné, ale poněkud nepohodlné. Snad výrobce neměl zájem na tom, aby zdarma dostupný nástroj příliš vylepšil. Koneckonců, k dispozici je placená verze Pro.
Informace týkající se ICQ nebyly optimální. Nejprve firewall hlásil ICQ jako "novou aplikaci", která požaduje připojení k bezpečné zóně 127.0.0.1. Poté, co jsme komunikaci povolili, stalo se ICQ okamžitě "známou aplikací", jež se snaží připojit k internetu. Zní to sice logicky, nicméně je podivné, jak rychle se z neznámé aplikace stane známý program. Přihodit se to může i v dalších případech.
Práva serveru je možné ICQ přidělit jednoduše. V položce Nastavení aplikací, Aplikace stačí levým tlačítkem myší kliknout na položku Server. Klady: Ve většině případů Zone Alarm sám rozpozná, zda aplikace vyžaduje práva serveru, a položí uživateli odpovídající dotaz. Ovládání nástroje je po krátkém seznámení snadné. Logy jsou podrobné a lze je třídit.
Shrnutí: Zone Alarm Free vykázal v našem testu dobrou bezpečnost. Začátečník si na ovládání bude muset nějakou chvíli zvykat.
7 0164/ZAJ o
Jak jsme testovali
Test hodnotí pětici kritérií následovně:
Bezpečnost
Firewall by měl počítač ochránit před všemi útoky v testu. Není podstatné, zda se jedná o útok zvenčí nebo zevnitř sítě. Nástroj musí rozpoznat backdoor programy a následně nastavit odpovídající pravidla. Musí zamezit manipulaci se soubory pravidel a vlastní deaktivaci. Nezbytná je ochrana před smazáním vlastních datových souborů. Testy bezpečnosti pro nás provedli specialisté na danou problematiku Guido Habicht a Andreas Marx ze společnosti AV-Test (www.av-test.de).
Funkce
Firewall musí uživatele informovat o aplikacích, které se snaží navázat spojení s internetem. Mělo by být možné aplikace v seznamu třídit podle toho, zde mají takové připojení povoleno nebo zakázáno. Průvodce by měl nabídnout uživateli jednoduchá vysvětlení tak, aby se mohl správně rozhodnout.
Ovládání
Jedná se o bezpečnostní nástroj, který je úzce svázán se systémem. Je proto nezbytné, aby uživatele při nastavování vedl a pomohl mu vyhnout se chybám. Proto by veškerá hlášení, označení a popisky měly být pochopitelné i pro nezkušeného uživatele. Současně by však měl takový nástroj uživatele upozornit pouze na podstatné události, nikoliv ho otravovat nadbytečnými hlášeními.
Instalace/odinstalace
Kromě jednoduché instalace, která by měla dotazování omezit na minimum, je důležitá také odinstalace. Program by se měl ze systému beze zbytku smazat, včetně veškerých změn provedených v registrech.
Systémové nároky
Mnohé programy se po instalaci projeví jako skutečný žrout paměti. Důležité je také zatížení procesoru a požadované místo na disku.
Firewally zdarma
ProduktZoneAlarm Comodo Firewall AshampooSunbelt KerioJetico Personal Windows Vista6.5 Free2.3.6.81Firewall 1.1Personal Firewall 4.3Firewall 1.0 Firewall
Adresa ke staženíwww.zonelabs.comwww.comodogroup.comwww.ashampoo.de www.sunbelt-software.comwww.jetico.com www.microsoft.cz
Umístění123456
Celková známka1,71,733,23,23,2
Hodnocení
Bezpečnost (55 %)1,51,53,543,5*3
Funkce (20 %)21,52,51,525
Ovládání (15 %)232354
Instalace/odinstalace (5 %)1,5222,53,52
Systémové nároky (5 %)333321,5
Technické údaje/funkce
Podpora Windows2000, XP2000, XP2000, XP2000, XP98/Me, NT 4, 2000, XPVista
Lokalizaceneneneneneano
Místo na disku11 MB18 MB11,5 MB13 MB2,2 MBAplikační filteranoanoanoanoneano
Logováníanoanoanoanoanoano
Pop-up hlášeníanoanoanoanoanone
Automatická aktualizace přes internetanoanoneanoneano
Upozornění na chybějící
aktualizace Windowsneneneneneano
Deaktivace Windows FirewalluanoanoneanoneTest bezpečnosti
Hrozby zevnitř sítě
Zamezení vlastní deaktivacianoanoanoneanoano
Zamezení smazání programuanoanoanoanoanoano
Blokování nastaveníanoanoanoneanoano
Backdoor test I úspěšnýanoanone v lokální sítianoanoano
Backdoor test II úspěšnýanoanoanoanoanoano
Leak test úspěšný (z 18 testů)2189101818
Hrozby zvenčí
Blokuje skenování portůanoanoanoanoanoano
Blokuje skenování portů anoanoanoanoanoano
metodou Stealth
Operační systém nezjistitelnýanoanoanoanoanoano
Blokuje přístup ke sdíleným složkámanoanoanoanoanoano
Blokuje službu zasílání zprávanoanoanoanoanoano
Obstál proti DoS útokuanoanoanoanoanoano
Pozn. * Známka byla snížena kvůli obtížnému ovládání