Ono už dávno neplatí, že jakýkoliv firewall je lepší než ten standardní ve Windows, a i ten je lepší než žádný. Kdo jste četl pokračování seriálu "Užitečné programy" věnované bezpečnosti, víte, že jsem doporučoval Sunbelt (dříve Kerio) personal firewall. Žil jsem si v klidu, ukolébán představou o jeho kvalitách, až do chvíle, než jsem se dostal na stránky Matousec - Transparent Security.

Tam jsou totiž aktuální výsledky tzv. firewall challenge, testu bezpečnostních balíků, kde Sunbelt obdržel ohromujících 7%, se kterými se zařadil mezi nedoporučované.

O co v testu jde. Především musíme upřesnit terminologii, test se nesoustředí na firewall v klasickém smyslu, tedy síťový prvek, který filtruje pakety, ale na "osobní firewall", který obvykle sdružuje řadu dalších funkcí, od detekce spyware, přes kontrolu oprávněnosti operací až po ochranu systémových nastavení nad rámec operačního systému. Takovýto firewall je nainstalovaný na Windows XP Service Pack 2 s Internet Explorerem 6, je nastavený na nejvyšší možné zabezpečení a podroben zkouškám.

Prověřování probíhá v deseti úrovních, s rostoucí složitostí, u každé je určeno, kolika procent musí firewall dosáhnout, aby mohl postoupit dál. Sunbelt nedosáhl ani požadovaných 50% v první úrovni a do dalších se nedostal. Podívejme se na typy testů:

úroveň 1

• Breakout2 - zkouší, zda je možné firewall obejít použitím Active Desktop COM rozhraní.
• Coat - jestli správně identifikuje procesy, kterým lze důvěřovat.
• ECHOtest - prověřuje filtrování ICMP provozu.
• Kill1, Kill2 - brání firewall zastavení svého procesu? (firewall, který může útočící kód jednoduše vypnout, je k ničemu)
• Leaktest - filtruje odchozí TCP provoz?
• PerfTCP, PerfUDP - porovnáním s čistým strojem měří nakolik zpomalí použití firewallu TCP a UDP provoz.
• Tooleaky - kontroluje, zda firewall hlídá spouštění Internet Exploreru.
• Wallbreaker1 - totéž pro Windows Explorer.
• Yalta - jestli filtruje odchozí UDP provoz.

úroveň 2

• AWFT1 - kontroluje, jestli dovolí nedůvěryhodnému procesu spouštět a modifikovat default prohlížeč.
• DNStest - zda rozliší čistý a napadený svchost proces.
• Ghost - implementuje správně kontrolu rodičovského procesu?
• Jumper - chrání nastavení Internet Exploreru?
• Kill3, 3b - zjištění, zda je ho možné vypnout zasláním "shutdown" zprávy.
• Wallbreaker3 - jestli je možné spustit závadnou instanci Internet Exploreru přes příkazovou řádku.
• Wallbreaker4 - lze zneužít příkaz AT a naplánovat spuštění závadné instance Internet Exploreru na pozdější dobu?

A tak dále, keyloggery, suspendování, odhlašování uživatelů, nahrávání závadných DLL knihoven, pokus o shození zinvalidněním stránek v paměti, visual basic, záměna browseru, přepnutí síťového rozhraní do "promiskuitního modu", verifikace ovladačů firewallu podle Microsoftu. Asi vás zajímá, co je ta nejvyšší úroveň, nejnáročnější technika, tedy úroveň 10. Je to kontrola, nakolik "zavěšení" firewallu pozměnilo chování nízkoúrovňových funkci jádra.

Jaký si tedy dnes pořídit firewall? Některý z doporučovaných (modrých) na stránce s výsledky. Z volně dostupných se velmi dobře umístil Comodo a to je také firewall, na který jsem přešel (a od té doby - obzvlášť poté co jsem si zapnul statusová hlášení - nevycházím z úžasu, co všechno hlídá).