|
Давно известна шутка о том, что самый защищенный компьютер — не подключенный к сети, а еще лучше выключенный. Однако пользы от такого ПК не больше, чем от тумбочки.
Каждый раз, выходя в интернет, пользователь рискует. Информация, находящаяся на носителях его компьютера, может стать доступной кому угодно. Более того, многие программы без согласия и ведома пользователя отсылают своим разработчикам списки посещенных пользователем сайтов, установленное ПО, характеристику аппаратной части ПК, регистрационные данные, и т. д. Если даже вам нечего скрывать, вы все же платите за лишний трафик.
Обеспечить свою сетевую безопасность можно, установив программно-аппаратный комплекс с интересным названием — брандмауэр (или фаервол, firewall, межсетевой экран, МСЭ). Задача брандмауэров состоит в том, чтобы обеспечивать фильтрацию трафика в обе стороны и блокировать несанкционированный доступ к вашему компьютеру из сети.
Любое соединение с сетью инициируется какой-либо программой. Каждая программа использует для работы свой порт, идентифицируемый номером (он, кроме всего прочего, позволяет программам принимать данные, которые адресованы только им). Передача данных происходит по какому-либо протоколу:
- HTTP — HyperText Transfer Protocol
- POP — Post Office Protocol
- IMAP — Interactive Mail Access Protocol
- FTP — File Transfer Protocol
- UDP — User Data Protocol
Брандмауэр позволяет держать под контролем все, что может стать орудием сетевой атаки. Например:
- контролировать использование портов и протоколов;
- «прятать» неиспользуемые порты для исключения атаки через них;
- запрещать или разрешать доступ конкретным приложениям к конкретным сетевым адресам;
- разрешать или запрещать использование cookies, ActiveX control, Java-аплетов.
Разумеется, полный набор вышеперечисленных возможностей может отсутствовать у конкретного брандмауэра. Следует понимать, что несмотря на внешнюю схожесть разных брандмауэров механизмы работы у них отличаются. Следовательно, различна и степень создаваемой защиты.
Все брандмауэры условно можно разделить на два больших класса:
- ориентированные на противостояние преимущественно внешним вторжениям;
- созданные для предотвращения несанкционированного соединения со стороны самого атакуемого ПК (атаки изнутри).
Большая часть взломов происходит «изнутри» и путем внедрения троянских программ. Обычно по мере выхода новых версий брандмауэра в нем появляется все больше нововведений, и с какого-то момента уже трудно сказать, к какому типу он принадлежит. В конечном счете, в любом из брандмауэров появляются настройки, позволяющие сконфигурировать его для защиты как от внешних, так и от внутренних вторжений.
Как выбрать брандмауэр?
ZoneAlarm Pro (www.zonelabs.com). Бесплатная версия ZoneAlarm, по сравнению с Pro, обладает меньшей гибкостью настроек и более низкой функциональностью, но вполне подойдет неискушенному пользователю в качестве базового варианта.
Вот перечень основных возможностей ZoneAlarm Pro:
- ведение журнала событий, настройка правил для работы в интернете и в локальной сети, причем не просто на уровне приложений, но и для каждой программной компоненты;
- управление cookies, возможность блокировать скрипты, встроенные объекты (Java, ActiveX, MIME), всплывающие окна; вырезать баннеры и «замораживать» анимированные GIF-файлы;
- автоматическая проверка обновлений;
- разные варианты оформления.
Agnitum Outpost (www.agnitum.com) также доступен в двух вариантах: бесплатном базовом и платном Pro. Будучи модульным по структуре, он содержит в себе детектор атак с трехуровневой настройкой оповещений и множество дополнений, позволяющих эффективно поддерживать безопасность. Также в нем есть очень полезная функция — обрезка рекламы (баннеров), которые создают «паразитный» трафик.
Полное руководство по использованию Outpost на русском языке вы можете скачать по адресу: www.agnitum.com/download/Outpost_User_Guide_(RU).pdf. Это файл в формате PDF размером чуть больше мегабайта. На 110 страницах дано исчерпывающее описание самого брандмауэра и приведены основные сведения по структуре интернета, протоколам, организации политики безопасности. Эта информация необходима для понимания сущности настроек любого брандмауэра. Существует также русскоязычный форум по этому продукту.
Взаимодействие брандмауэров
Одноуровневая система защиты ненадежна по определению. На первый взгляд, решение очевидно — поставить второй, третий… энный брандмауэр. Однако, этого делать нельзя, как и в случае с программами антивирусного мониторинга реального времени. Межсетевой экран — не простое приложение. Оно тонко взаимодействует с ОС, перехватывает запросы на соединение, задает ограничения и т. д. При одновременном использовании нескольких брандмауэров они в большинстве случаев конфликтуют друг с другом. Это может привести к тому, что все соединения будут разрешены и толку от фаерволов не будет. Либо, наоборот, все будет запрещено, и вы просто не сможете работать с сетью. Плюс, общие ошибки: от непредсказуемого поведения ПК до невозможности его загрузки вообще. Помните, что при выключении брандмауэра или отключении его автозапуска, его драйверы и сервисы по-прежнему загружаются в память.
Поэтому следует выбрать один брандмауэр, а остальные полностью удалить.
Брандмауэр Windows XP
В Windows XP есть собственный брандмауэр, при помощи которого так же можно запретить или разрешить доступ к определенным портам. Если у вас включен брандмауэр в Windows XP, то у вас может возникнуть трудность с VPN подключением. Первый раз соединение устанавливается нормально, но при попытке установить соединение второй раз возникают проблемы. Нужно подождать несколько минут (около 5) или перезагрузить компьютер. Брандмауэр Windows XP некоторое время перестраивает таблицы доступа на сетевых интерфейсах, блокируя нужные порты. Если брандмауэр отключить, связь будет восстанавливаться немедленно, однако необходимо помнить о безопасности.
Также в целях предотвращения несанкционированного доступа к вашему компьютеру следует в свойствах сети убрать компоненты «Клиент для сетей Microsoft» (Client for Microsoft Network) и «Служба доступа к файлам и принтерам сетей Microsoft» (File and Printer sharing for Microsoft Networks). Это касается всех операционных систем линейки Windows.
В системах Windows 9X (95, 98, ME) эти компоненты можно только удалить. В системах линейки Windows NT (NT, 2000, XP) достаточно убрать соответствующие флажки на компонентах нужного интерфейса или полностью удалить эти компонеты. В случае удаления данные компоненты не будут доступны на всех интерфейсах.
|