Установка межсетевого экрана для отдельного хоста

Автор: content Пятница, Апрель 11th, 2008 Нет комментариев

Рубрика: Интернет

Чтобы придать сетевому узлу достаточную степень надежности, установите одну из доступных и свободно распространяемых программ, известных под названием файрволов. А для подстраховки не мешало бы настроить и выполняющее такую же роль устройство.

Принцип работы межсетевого экрана сложен для понимания даже опытными пользователями. Эта статья поможет вам установить соответствующее ПО и объяснит, каким образом оно противодействует сетевым атакам.

Если сослаться на словарь Мериама-Вебстера, то значение слова файрвол (firewall, англ.) — это «стена, построенная с целью остановить распространение огня». Программы, носящие это название, предназначены для предотвращения нежелательного вторжения из среды интернет в ваш компьютер. Но в отличие от обычного огня, сетевое поражение компьютеров не распространяется спонтанно (имеется в виду взлом хоста хакером — распространение же вирусов действительно очень похоже на пожар) — его действия целенаправленны. Нарушение информационной безопасности базируется на использовании уникального IP-адреса хоста и одного из TCP- (протокол управления передачей данных) и UDP- (универсальный протокол датаграм) портов, которые открывают двери в вашу систему.

Каждый раз, когда вы используете веб-браузер или клиент электронной почты, чтобы получить информацию из интернет-страницы, от вашего провайдера или с удаленного сервера, поток данных протекает по одному или нескольким таким портам. Когда малолетний хакер пытается проникнуть в ваш ПК, программа слежения устанавливает контакт с удаленным сервером или Windows XP Messenger Service принимает сообщение, происходит одно и то же: процесс находит открытый порт, ведущий в вашу систему, или программа взлома пытается, с помощью некоторых трюков, заставить открыть для доступа такой порт.

Межсетевой экран способен отслеживать состояние всех доступных портов — и при dial-up, и в случае непосредственного соединения с интернетом — и предотвращать несанкционированный доступ к ним. Аппаратно реализованный файрвол обычно интегрируется в сетевой маршрутизатор или шлюз и физически находится между хостом и DSL-модемом.

На самом деле более важной задачей маршрутизатора есть преобразование сетевых адресов (NAT), в результате чего от внешнего мира скрывается структура локальной сети.

Поэтому использование маршрутизатора целесообразно не только при существовании постоянного доступа в интернет для групп ПК, но и при использовании только одного компьютера. Вы можете купить четырехпортовый DSL-маршрутизатор (такой как Linksys BEFSR41 или D-Link DI-704P) за 40…50 у. е. Модель, включающая беспроводную точку доступа, лишь немногим дороже.

Межсетевой экран — на каждый ПК!

Аппаратный маршрутизатор может быть гибко сконфигурирован. Обычно вы блокируете весь входящий или исходящий трафик, исключая тот, что предназначен для определенных вами портов. И, тем не менее, программирование внешнего устройства,- это лишь часть работы по защите ПК. Программные средства защиты все же являются более конфигурируемыми и управляемыми. Помимо отвержения недозволенного трафика, это ПО способно предотвратить передачу данных от программ, работающих локально на вашей машине (включая используемые злоумышленниками инструменты, известные как «троянские кони» и «черные ходы» (backdoor)), на удаленные серверы и попытки соединения от них.

Для одной рабочей станции, подключенной к интернет посредством dial-up, использование внешнего аппаратного файрвола не будет более эффективным. Программные средства являются лучшими для защиты dial-up-соединения.
Пользователи Windows XP могут быть обмануты, полностью положившись на интегрированный в эту ОС сервис контроля TCP/IP-протокола. Для его активации нажмите Старт > Панель управления > Сетевые соединения (или же откройте папку Сеть и соединение с интернет). Дальше щелкните правой кнопкой мыши на ярлычке подсоединения к интернету, которое вы хотите обезопасить. Выберите Свойства > Расширенные, отметьте элемент «Protect my computer and network by limiting or preventing access to this computer from the Internet» и нажмите Ok (см. рис. 1).

 

Однако воздержитесь от вздоха облегчения. Хотя это и лучше, чем вовсе без межсетевого экрана, и не повредит вашей работе,- тем не менее, встроенная защита XP может контролировать лишь входящие соединения. Поэтому Back Orifice, Net Bus и другие хакерские программы типа backdoor, найдут путь к вашему компьютеру — и XP не сможет противостоять нелегальному соединению с удаленной машиной

Выбираем

Я использовал на различных ПК четыре бесплатные программы-файрволы:

  • Kerio Personal Firewall 2;
  • Outpost Firewall Free от Agnitum Limited;
  • Sygate Personal Firewall 5.1;
  • Zone Labs’ ZoneAlarm 3.7.

Хотя эти программы и отличаются друг от друга спектром предоставляемых функций и поддержкой, все они, тем не менее, вполне способны надежно защитить ваш ПК (чтобы получить информацию об установке и предлагаемых возможностях — см. «Доступно для всех»).

 

Программные файрволы просты в установке, однако требуют короткого адаптивного периода, чтобы обнаружить веб-браузеры, email-клиенты и другие программы, использующие соединение к удаленному серверу.
Каждая из четырех программ выбрасывает диалоговое окно, в первый раз предупреждающее, что некая программа создает соединение. Вы просто нажимаете нужную кнопку, разрешая или запрещая это действие. Большинство этих файрволов предоставляет также «чек-бокс»-элемент, чтобы сделать выбранную вами реакцию файрвола автоматической (см. рис. 2). По истечении одного-двух дней работы в Сети будет накоплено достаточно правил — и вы будете избавлены от необходимости интерактивного взаимодействия с программой в течение длительного времени. По крайней мере, до тех пор пока не наступит пора замены или модернизации ПО для работы в сети Интернет.

 

Чтобы создать эффективные установки, на основе которых будет строить свои действия файрвол, нужно точно знать, какая программа является безопасной, а какая — нет. Большинство популярных программ обычно легко распознать по имени: Outlook, Internet Explorer и Netscape, например. Но есть и программы, не имеющие понятного для человека названия (например, множество сетевых возможностей Windows XP заключено в программе svchost.exe — думаю, не многие из читателей об этом знали). И наоборот — хакерские программы имеют имена, которые должны вызывать у пользователя интуитивное доверие (devel-scrennsaver, например).

Как файрволу справиться с этой проблемой? Для начала нужно побороть искушение быть небрежным. Наоборот, следует запрещать доступ любой программе, если вы не уверенны в ее надежности — у пользователя есть много возможностей изменить установки позже.

В особых случаях рекомендуется использовать программные средства защиты, реакция которых основана на дополнительных параметрах, а не на одном только имени файла. Kerio и Sygate не предлагают дополнительных опций, которые помогают определить доверяемые программы. Для экспертов это, может быть, и не проблема, но новичкам лучше использовать более информативные программы.
ZoneAlarm предлагает несколько больше информации об обнаруженной программе, а диалоговое окно даже предлагает ссылку на описание программы на сайте Zone Lab (см. рис. 3). К тому же, ZoneAlarm имеет предустановки, которые разрешают соединения, исходящие от Internet Explorer и компонента Windows XP svchost.exe, минимизируя таким образом число решений, которые должен подтвердить пользователь для доступа в интернет.

 

Диалоговое окно Outpost создаст набор правил, которые будут действовать по умолчанию,- но вы можете изменить любое правило, нажав для этого кнопку Allow once или Block once. И хотя эта программа содержит множество модных элементов интерфейса (как то: окна сообщений, всплывающие диалоги, обработка файлов, присоединенных к почтовому письму), она предлагает такой же минимум информации о безопасности конкретной программы, как Kerio и Sygate.

Фильтры тонкой настройки

После того как вы создали базовую конфигурацию межсетевого экрана, вы наверняка захотите изменить, удалить или подправить некоторые из правил.

Kerio

Кликните правой кнопкой мыши на значке программы в системном трее и выберите Administration > Firewall > Advanced. В списке известных программ выберите ту, для которой нужно изменить правила, и щелкните Edit, чтобы открыть диалог Filter rule. Чтобы назначить программе один из основных статусов, выберите в нижней части диалогового окна Permit или Deny. Другие опции позволяют выбрать доверяемые удаленные хосты и порты, по которым будет разрешен исходящий и входящий трафик (если, конечно, вы знаете, что это такое и зачем оно нужно; может быть, лучше просто посмотрите соответствующую таблицу, чтобы определить вероятные ошибки. Большинство из нас вполне может обойтись предлагаемыми установками). Нажмите Ok, чтобы сохранить изменения.

Outpost

Сначала — правый щелчок мыши на значке программы в системном трее. Далее — Options > Application. Выберите объект из списка блокированных, с ограниченным доступом и полностью доверяемых программ, нажмите Edit, а потом — Aways block this app и Always trust this app, чтобы включить это приложение в подходящую категорию. А еще лучше — переместить полностью доверяемые приложения в категорию программ с ограниченным доступом (нажмите Edit, а потом — Create rules using preset > Browser, например). Работоспособность этих программ не пострадает, а вы получите возможность создавать для них дополнительные правила безопасности.

Правило для веб-браузера (Outpost предусматривает также правила для e-mail, клиента мгновенных сообщений и других типичных программ) ограничивает исходящие и входящие соединения только необходимым для успешной работы набором протоколов и портов, стараясь предотвратить возможный ущерб от посещения вредоносных сайтов или от получения почты, отправленной злоумышленником в виде HTML.

Sygate

Чтобы изменить программные настройки, щелкните в системном трее на значке Sygate и выберите Application. В списке известных программ выберите ту, правила которой вы хотите изменить, и выберите Allow или Block. Если отметить Ask tell, Sygate будет спрашивать разрешения на создание соединения каждый раз, когда эта программа будет искать доступа в интернет.

ZoneAlarm

Чтобы модифицировать права доступа определенной программы в интернет, щелкните правой кнопкой мыши на значке ZoneAlarm в системном трее и выберите Restore ZoneAlarm Control Center (или просто переключитесь, если окно уже загружено). Выберите Select Control в левой части, а потом вкладку Programs в правом верхнем углу. Чтобы изменить одну из четырех установок, связанных с программой (возможность доступа к удаленному серверу или возможность самому быть сервером во всем интернете или в доверяемой зоне), отметьте соответствующий элемент выбора — позволить доступ, запретить доступ или спрашивать (ZoneAlarm будет предупреждать вас всякий раз, когда обнаружится некоторая активность программы). И в завершение — определите новые действия по умолчанию из выпадающего меню.

Доступно для всех
Итак, вы ничего не потеряете, если установите один из четырех предлагаемых программных продуктов.

 

Kerio Personal Firewall 2
Размер: 2 Мб

Отличный доступный файрвол для опытных пользователей. Позволит вам тонко настроить правила доступа для определенных интернет-адресов и портов.

Outpost Firewall Free
Размер: 2,5 Мб

Agnitum бесплатно предлагает продукт, имеющий множество дополнительных возможностей, включая диалоги предупреждений и блокировок, жесткий контроль веб-сайтов, фильтр почтовых вложений и встроенный DNS-кэш.

 

Sygate Personal Firewall 5.1
Размер: 5,2 Mб

Интерфейс продукта Sygate прост, однако вполне позволяет контролировать весь процесс соединения программ с удаленными серверами.

ZoneAlarm 3.7.202
Размер: 3,6 Mб

Программа от Zone Lab кажется наиболее подходящей для недостаточно опытных пользователей. Она включает сканер почтовых

Оставить комментарий

Чтобы оставлять комментарии Вы должны быть авторизованы.

Похожие посты