- Comparativa de Firewalls:
Kerio, Zonealarm, Outpost, WinXP SP2 -
Version: Diciembre/2005
Autor: alvaro@portalvasco.com
Colaboradora: koerma@adslayuda.com
Web: http://seguridad.portalvasco.com
Web principal: http://www.portalvasco.com - http://www.euskalatari.com
0 - Introduccion -
1 - Idioma -
2 - Instalacion -
3 - Manejo -
4 - Arranque del sistema -
5 - Fiabilidad -
6 - Sistema anti robo de datos -
7 - Antiespias -
8 - Control parental -
9 - Pero ya tengo el firewall del Windows XP SP2 ...... -
10 - Pero ya tengo el firewall que me ofrece mi router..... -
11 - Transferencias de ficheros -
12 - ¿Y el ZoneAlarm Security Suite?
13 - Versiones gratuitas -
14 - Precios y webs -
15 - Conclusiones finales -
Para la realizacion de esta comparativa se han empleado las siguientes versiones de productos firewall:
- Agnitum Outpost Firewall Pro 3.0.543.5722
- Microsoft Windows XP SP2 Firewall
- Sunbelt Kerio Personal Firewall 4.2.3.912
- ZoneLabs Zone Alarm Pro 6.1.737
Esta comparativa ha sido realizada con
versiones registradas y plenamente operativas, se ha eludido la realizacion de la prueba
con versiones de prueba por si dichas versiones tuvieran alguna limitacion no documentada
que pudiera falsear los resultados finales. Se ha evitado el uso de las versiones freeware
de estos productos por ser versiones recortadas y bastante limitadas. En el caso del
Windows XP se ha utilizado el firewall que viene con el service pack 2.
Mientras que el ZoneAlarm y el OutPost tienen la gran ventaja de tener version disponible en castellano por contra Kerio no ofrece una version en dicho idioma por lo que habrá que proceder a instalar la version en aleman, ingles, frances o italiano, segun el idioma que mas conozca el usuario. En este punto la superioridad del ZoneAlarm y el Outpost para los usuarios castellanos que no conozcan bien otro idioma es manifiesta frente al Kerio. Es obligado indicar que se recomienda la instalacion del ZoneAlarm o el Outpost a no ser que se domine bien la lectura y comprension de textos tecnicos informáticos en alguno de los 4 idiomas mas extendidos para los que esta disponible el Kerio. En el caso del Windows XP pues como todos sabeis tambien esta en castellano.
Es mas largo el proceso de instalacion del ZoneAlarm aunque en ningun caso se ve complicado. No hay ningun punto de la instalacion que deje lugar a dudas a la hora de continuar en ninguno de los dos y aunque el proceso de instalacion en el ZoneAlarm resulta mas largo no hay ningun punto que resulta poco claro aun para usuarios con conocimientos escasos al respecto. A favor del ZoneAlarm está el hecho de que esta disponible para versiones del Windows 98/98SE/ME mientras que Kerio solo puede ser instalado en Windows 2000 y XP. Outpost y Kerio disponen de unas instalaciones muy sencillas, rápidas y sin complicaciones. En este punto, aunque algo mas larga la instalacion del Zonealarm, son todas ellas faciles y sin ningun problema. En el caso del firewall del windows la instalacion es la mas sencilla ya que basta con activarlo, sin mas.
Aunque a la hora de la verdad el Kerio no es dificil de manejar, el obstaculo del idioma y la ausencia de la gran cantidad de ayudas que el ZoneAlarm tiene disponibles hace que el Kerio se convierta en un producto mas complicado de manejar y no recomendado para usuarios que no tengan experiencia en la utilizacion de software de este tipo. Para usuarios noveles en dichos sistemas es preferible el ZoneAlarm quedando el Kerio para los usuarios mas acostumbrados al manejo de estas aplicaciones. Outpost quizas sea un termino intermedio que gracias a la facilidad del idioma consigue un producto no tan facil de manejar como zonealarm pero acercandosele bastante y quedando por facilidad mas cerca de ZoneAlarm que de Kerio. El firewall del windows el manejo es muy sencillo, basta con aceptar o no cuando nos alerte de movimientos de entrada y tambien tenemos la opcion de añadir programas o puertos a los que se les permite acceso en entrada, no tiene mas.
Aun en equipos rápidos ZoneAlarm enlentece algo mas el arranque del sistema, en cambio Kerio no solo produce un arranque más rápido sino que se nota mas agil a la hora de trabajar cuando se producen situaciones que le obliguen a actuar o bien a bloquear momentaneamente programas o servicios y mostrar las preguntas pertinentes al usuario. Esto denota a favor de Kerio el ser una aplicacion mas refinada y mas optimizada. En Outpost no se aprecia ningun enlentencimiento en el arranque siendo tambien rápido como el Kerio. En el caso del firewall del Windows XP no se nota ya que es un servicio mas que va muy integrado con el arranque del sistema operativo.
Sin que produzcan problemas relevantes en ninguno de ellos, Kerio se muestra mas fiable, ya que si ZoneAlarm tiende a dar pocos fallos (los mas habituales suelen ser que no cargue el modulo truevector y haya que rearrancar el equipo o bien retardos en el arranque) Kerio se muestra muy fiel, rápido y acaba siendo el tipico programa que lo instalas y te olvidas mientras no se produzca ninguna situacion por la que tenga que informar de algo. ZoneAlarm te puedes olvidar aunque de vez en cuando se deja sentir no solo porque sea debido a que tenga que informar de algo. Otro fallo habitual del ZoneAlarm es que cuando por la razon que sea de repente y sin informar de nada se empeña en bloquear el acceso a internet a algun programa y no hay manera de hacer nada sino es reinstalando todo. Es cierto que este fallo es muy poco habitual pero de vez en cuando se manifiesta y tiende a hacerlo con los mismos programas. Outpost es tambien muy fiable como Kerio y no da problemas ni tiende a obligar que haya que rearrancar el equipo, tampoco es normal que Outpost de errores de que algun componente o no ha iniciado bien.
El firewall del Windows XP es el mas fiable ya que ejecuta mas proximo al nucleo debido a que viene mas integrado con el sistema operativo, es el mas resistente a los ataques por denegacion de servicio pero en su contra tiene que es unicamente un firewall entrante, no hay control saliente ni tiene una gestion de procesos tan avanzada como los otros.
6 - Sistema anti robo de datos -
Todos los productos analizados cuantan con modulos anti robo de datos. Es decir, se les pueda indicar los datos a proteger (DNI, contraseñas, numero de telefono, etc......) y cuando una aplicacion o desde una web o desde correo electronico se trata de enviar esos datos se avisa al usuario para que indique si es algo voluntario suyo o es fruto de un proceso automático que no tiene su consentimiento. El firewall del Windows XP ni el Windows XP tienen de serie nada parecido.
ZoneAlarm Pro y Outpost disponen de un añadido antiespias que mediante descarga de definiciones directamente de la web de ZoneAlarm es capaz de mantener nuestro equipo libre de programas malignos. Esto tampoco conviene que sea utilizado a la hora de inclinar la balanza a favor de ZoneAlarm o Outpost ya que el modulo antispiespias de que disponen no es de los mejores y aparte de eso Microsoft tiene disponible de forma gratuita un producto equivalente mas potente llamado Microsoft Antispyware. Sunbelt, la empresa propietaria del Kerio dispone de otra aplicacion llamada CounterSpy destinada a la deteccion y desinfeccion de software espia y que cuesta poco dinero. Sin necesidad de utilizar productos Microsoft hay opciones muy buenas y mejores que los antiespias que vienen en esos dos firewalls o el que ofrece Microsot. Estos antiespias son Spybot, Addware y el tambien muy bueno aunque menos conocido PestPatrol.
El unico producto que dispone de control parental es el Outpost. ZoneAlarm lo tiene en su version mas alta denominada Zonealarm Security Suite mientras que Kerio no dispone de dicho opcion. Kerio no dispone de dicha opcion ni siquiera adquiriendo otro producto de la misma empresa propietaria del mismo. Recordemos que control parental es un software que intenta proteger a los menores de edad de la navegar por sitios no recomendables por diversos motivos como sexo, violencia, etc etc....... El firewall del Windows XP ni el Windows XP tienen de serie nada parecido.
9 - Pero ya tengo el firewall del Windows XP SP2 ...... -
El firewall del Windows XP tiene una cosa a su favor, que no tiene ningun otro, y es que como firewall es indiscutiblemente el mejor, es decir, justo como bloqueo de puertos. La explicacion aunque igual poco conocida es muy sencilla, como esta mas integrado en el sistema operativo, se puede permitir ejecutar mas proximo a nucleo del sistema y menos como si fuera un servicio mas, por lo que es mas resistente a ataques por denegacion de servicio. Recordemos que un firewall por software nunca pueda ser igual a un firewall por hardware, simplemente por lo dicho anteriormente. Estos firewalls son para cuando el acceso a internet se realiza a traves de modem adl o cable por usb o modem tradicional de 56K aunque hay que dejar claro que lo mejor siempre es firewall por hardware como el que nos ofrecen los routers. Aparte de eso el firewall del XP hay dos cosas que no hace, la primera es que es un firewall solo de entrada, es decir, no va a controlar nada en salida. Luego aparte tampoco nos ofrece una gestion de procesos para darnos el aviso de que algun proceso se dedique a hacer algo que no debe asi como bloqueos varios en el codigo web a la hora de navegar.
10 - Pero ya tengo el firewall que me ofrece mi router..... -
Pues en estos casos hay dos opciones. La primera es simplemente que lo correcto es acceder a internet desde una cuenta de usuario que no tenga privilegios de administrador. De esta forma se consigue que cualquier programa que intenta hacer algo malo sin nuestro permiso no podrá hacerlo ya que no dispone de privilegios suficientes para instalarse. Si no se va a hacer esto, o se hace solo pocas veces lo mas correcto es acompañar el firewall del router con una aplicacion de este tipo. La explicacion es que el hardware nos va a implementar exclusivamente bloqueo de puertos en entrada, en salida, la posibilidad de reglas de ips, pero no nos ofrece las posibilidades de gestion de procesos y bloqueos varios en el codigo web a la hora de navegar.
11 - Transferencias de ficheros -
Las transferencias de ficheros grandes via red se ven más algo lentas con el ZoneAlarm respecto al resto. No me he molestado en hacer una medicion exhaustiva de las velocidades de transferencia porque creo que tampoco es necesario algo asi. Mientras que con Zonealarm se aprecia aunque sin ser alarmante que dichas transferencias son algo mas lentas con los otros no se aparecia a simple vista que se vea afectado el rendimiento de transferencia de ficheros via red respecto a no utilizar ningun producto firewall. La explicacion viene dada respecto a que todos los productos analizan los datos que circulan por los puertos utlizados por los procesos de red por lo cual esto produce un elentecimiento añadido a sino se utilizara firewall.
12 - ¿Y el ZoneAlarm Security Suite?
El ZoneAlarm Security Suite aporta cuatro cosas respecto al ZoneAlarm Pro. La primera es una protección antivirus de la mano de Etrust. Como antivirus es una antivirus normal lejos de los reyes Kaspersky, Nod32 y F-Secure aunque tratando el ZoneAlarm Security Suite como producto combinado nos evita andar buscando mas programas de seguridad, siendo dicha aplicación global una buena opción en su totalidad.
Tambien aporta una protección para mensajeria instantanea. Dicha protección actua sobre los programas de mensajeria mas comunes como Msn Messenger y Yahoo Messenger y nos ofrece desde encriptación (se necesita que el usuario que esta al otro lado tambien utilize el mismo producto) pasando por protecciónes que anulan la entrada de codigo activo, urls, etc ....... lo cual es muy típico de virus que se introducen en nuestras conversaciones y tientan al que esta al otro lado para que pinche en el enlace que aparece el cual le llevara a la descarga de un virus.
AntiSpam de la mano de MailFrontier. Esta aplicación AntiSpam funciona de dos modos, en el primero es capaz de detectar mensajes de spam y moverlos al area de mensajes indicada y el segundo modo de funcionamiento se basa en que vamos indicandole los mensajes que consideramos spam y la aplicacion aparte de bloquear remitente para futuros posibles envios es capaz de aprender del mensaje y afinar mas en su proxima detección.
Control parental. Esta aplicación sive para que podamos dejar tranquilamente a nuestros hijos navegando delante del ordenador sin temor a que puedan acceder a páginas de violencia, sexo o cualquier pagina de contenidos no recomendables para menores de edad. Este modulo es configurable y nosotros mismos le podremos indicar que tematicas deseamos que sean bloqueadas.
El objetivo de esta comparativa no ha sido el de analizar las versiones gratuitas debido a que recortan mucho las prestaciones de dichos firewalls convirtiendolos prácticamente en bloqueos de puertos (de una forma menos eficiente) asi como gestor de procesos.
Todas las licencias son válidas para 1 PC y 1 año de actualizaciones y soporte tecnico gratuito.
| Web | Precio (€) | Renovacion (€) | |
| Agnitum Outpost Firewall Pro | http://www.outpost-es.com | 46,34 (2) | 23,18 |
| Sunbelt Kerio Personal Firewall | http://www.sunbelt-software.com/kerio.cfm | 14,95 (1) | ? |
| Zonalabs Zonealarm Pro | http://www.zonealarm.pro | 49,95 | 24,95 |
| Microsoft Windows XP SP2 Fw | http://www.microsoft.com/spain | - | - |
(1) - Como precio de lanzamiento Sunbelt ofrece ese precio hasta el 31 de marzo
del 2006, apartir de esa fecha el precio del primer año esta sin determinar. Asi mismo el
precio de las renovaciones tambien esta sin determinar.
(2) - Agnitum ofrece el primer año al coste de una renovacion a todo usuario registrado
de otros productos firewall que pueda demostrar con algun comprobante que realmente es
usuario registrado de un producto de la competencia.
Estamos ante lo que son tres grandes productos de seguridad para acceder a internet. Decantarnos por uno seria a mi modo de ver erroneo ya que no hay ninguno que sea completamente recomendable en todos los casos, todos pecan de algo, asi que recomendar uno de ellos para todas las situaciones y todos los tipos de usuarios lo veo totalmente incorrecto. Asi que intentare delimitar las situaciones en las que es recomendable cada uno de ellos. Hay que indicar que en el caso de los firewalls por software ninguno es 100% fiable ya que todos fallan ante un ataque por denegacion de servicio realizado desde multiples ips. Sino se da un caso de estos o bien no se da muy fuerte pues cada uno podra aguantar mas o menos pero en el caso de que se produzca dicho ataque solamente es eficaz un firewall por hardware.
Por potencia y eficiencia sin lugar a dudas recomendamos Kerio, por facilidad y compresion de manejo sobretodo para usuarios noveles recomendamos Zonealarm Pro y como producto intermedio que es casi tan eficiente como el Kerio y con casi la facilidad de manejo del Zonealarm Pro recomendamos el Outpost Pro. En el caso del firewall que trae de serie el Windows XP que hace muy bien su cometido es recomendable en el caso de quien desee simplemente el firewall mas eficaz y no necesite ninguna de las posibilidades que traen los otros firewalls.
Sea cual sea la eleccion desde luego que va a ser una buena eleccion y que ofrecera grandes satisfacciones al usuario.