Введение

1. Что такое брандмауэр?

2. В чем заключается работа брандмауэра?

3. Виды брандмауэров

4. Преимущества использования брандмауэра

5. Уровень опасности

6. Межсетевой экран как средство от вторжения из Internet

7. Функциональные требования и компоненты межсетевых экранов

8. Усиленная аутентификация

9. Основные схемы сетевой защиты на базе межсетевых экранов

10. Что может и чего не может брандмауэр Windows

Заключение

Литература

Введение

Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все больше внимания к сети Internet со стороны частных лиц и различных организаций. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты информации. В настоящее время в России глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности, например для связи с удаленными офисами из головной штаб квартиры организации или создания Web-страницы организации с размещенной на ней рекламой и деловыми предложениями.

Вряд ли нужно перечислять все преимущества, которые получает современное предприятие, имея доступ к глобальной сети Internet. Но, как и многие другие новые технологии, использование Internet имеет и негативные последствия. Развитие глобальных сетей привело к многократному увеличению количества пользователей и увеличению количества атак на компьютеры, подключенные к сети Internet. Ежегодные потери, обусловленные недостаточным уровнем защищенности компьютеров, оцениваются десятками миллионов долларов. При подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении информационной безопасности этой сети. Глобальная сеть Internet создавалась как открытая система, предназначенная для свободного обмена информацией. В силу открытости своей идеологии Internet предоставляет для злоумышленников значительно большие возможности по сравнению с традиционными информационными системами. Поэтому вопрос о проблеме защиты сетей и её компонентов становиться достаточно важным и актуальным и это время, время прогресса и компьютерных технологий. Многие страны наконец-то поняли важность этой проблемы. Происходит увеличение затрат и усилий направленных на производство и улучшение различных средств защиты. Основной целью реферата является рассмотрение, и изучение функционирования одного из таких средств сетевой защиты как брандмауэр или межсетевой экран. Который в настоящее время является наиболее надежным в плане защиты из предлагаемых средств.

1.Что такое брандмауэр?

Брандмауэр, или межсетевой экран ,- это «полупроницаемая мембрана», которая располагается между защищаемым внутренним сегментом сети и внешней сетью или другими сегментами сети Internet и контролирует все информационные потоки во внутренний сегмент и из него. Контроль трафика состоит в его фильтрации, то есть в выборочном пропускании через экран, а иногда и с выполнением специальных преобразований и формированием извещений для отправителя, если его данным в пропуске отказано. Фильтрация осуществляется на основании набора условий, предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации. Брандмауэры могут быть выполнены в виде как аппаратного, так и программного комплекса, записанного в коммутирующее устройство или сервер доступа (сервер –шлюз, просто сервер, хост-компьютер и т.д.), встроенного в операционную систему или представлять собой работающую под ее управлением программу.

2.В чем заключается работа брандмауэра?

Работа брандмауэра заключается в анализе структуры и содержимого информационных пакетов, поступающих из внешней сети, и в зависимости от результатов анализа пропуске пакетов во внутреннюю сеть (сегмент сети) или полном их отфильтровывании. Эффективность работы межсетевого экрана, работающего под управлением Windows, обусловлена тем, что он полностью замещает реализуемый стек протоколов TCP\IP, и поэтому нарушать его работу с помощью искажения протоколов внешней сети (что часто делается хакерами) невозможно.

Межсетевые экраны обычно выполняют следующие функции:

o физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи;

o многоэтапную идентификацию запросов, поступающих в сеть (идентификация серверов, узлов связи о прочих компонентов внешней сети);

o проверку полномочий и прав доступа пользователя к внутренним ресурсам сети;

o регистрацию всех запросов к компонентам внутренней подсети извне;

o контроль целостности программного обеспечения и данных;

o экономию адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов);

o сокрытие IP адресов внутренних серверов с целью защиты от хакеров.

Брандмауэры могут работать на разных уровнях протоколов модели OSI.

На сетевом уровне выполняется фильтрация поступающих пакетов, основанная на IP адресах (например, не пропускать пакеты из Интернета, направленные на те серверы, доступ к которым снаружи запрещен; не пропускать пакеты с фальшивыми обратными адресами или IP адресами, занесенными в «черный список», и т.д.). На транспортном уровне фильтрация допустима еще и по номерам портов ТСР и флагов, содержащихся в пакетах (например, запросов на установление соединения). На прикладном уровне может выполняться анализ прикладных протоколов (FTP,HTTP,SMTP и т.д.) и контроль за содержанием потоков данных (запрет внутренним абонентам на получение каких-либо типов файлов: рекламной информации или исполняемых программных модулей, например).

Можно в брандмауэре создавать и экспертную систему , которая, анализируя трафик, диагностирует события, могущие представлять угрозу безопасности внутренней сети, и извещает об этом администратора. Экспертная система способна также в случае опасности (спам, например) автоматически ужесточать условия фильтрации и т.д.

3.Виды брандмауэров

Брандмауэры бывают аппаратными или программными.

Аппаратный брандмауэр представляет собой устройство, физически подключаемое к сети. Это устройство отслеживает все аспекты входящего и исходящего обмена данными, а также проверяет адреса источника и назначения каждого обрабатываемого сообщения. Это обеспечивает безопасность, помогая предотвратить нежелательные проникновения в сеть или на компьютер. Программный брандмауэр выполняет те же функции, используя не внешнее устройство, а установленную на компьютере программу.

На одном и том же компьютере могут использоваться как аппаратные, так и программные брандмауэры.

4.Преимущества использования брандмауэра

Брандмауэр представляет собой защитную границу между компьютером (или компьютерной сетью) и внешней средой, пользователи или программы которой могут пытаться получить несанкционированный доступ к компьютеру. Обычно взломщики используют специальные программы для поиска в Интернете незащищенных подключений. Такая программа отправляет на компьютер очень маленькое сообщение. При отсутствии брандмауэра компьютер автоматически отвечает на сообщение, обнаруживая свою незащищенность. Установленный брандмауэр получает такие сообщения, но не отвечает на них; таким образом, взломщики даже не подозревают о существовании данного компьютера.

5.Уровень опасности

Существует несколько путей свести на нет либо подвергнуть риску брандмауэрную защиту. И хотя они все плохи, о некоторых можно с уверенностью говорить как о самых неприятных. Исходя из того, что основной целью установки большинства брандмауэров является блокирование доступа, очевидно, что обнаружение кем-либо лазейки, позволяющей проникнуть в систему, ведет к полному краху всей защиты данной системы. Если же несанкционированному пользователю удалось проникнуть в брандмауэр и переконфигурировать его, ситуация может принять еще более угрожающий характер. В целях разграничения терминологии примем, что в первом случае мы имеем дело со взломом брандмауэрной защиты, а во втором - с полным ее разрушением. Степень ущерба, который может повлечь за собой разрушение брандмауэрной защиты, определить невероятно сложно. Наиболее полные сведения о надежности такой защиты может дать только информация о предпринятой попытке взлома, собранная этим брандмауэром. Самое плохое происходит с системой защиты именно тогда, когда при полном разрушении брандмауэра не остается ни малейших следов, указывающих на то, как это происходило. В лучшем же случае брандмауэр сам выявляет попытку взлома и вежливо информирует об этом администратора. Попытка при этом обречена на провал.

Один из способов определить результат попытки взлома брандмауэрной защиты - проверить состояние вещей в так называемых зонах риска. Если сеть подсоединена к Internet без брандмауэра, объектом нападения станет вся сеть. Такая ситуация сама по себе не предполагает, что сеть становится уязвимой для каждой попытки взлома. Однако если она подсоединяется к общей небезопасной сети, администратору придется обеспечивать безопасность каждого узла отдельно. В случае образования бреши в брандмауэре зона риска расширяется и охватывает всю защищенную сеть. Взломщик, получивший доступ к входу в брандмауэр, может прибегнуть к методу "захвата островов" и, пользуясь брандмауэром как базой, охватить всю локальную сеть. Подобная ситуация все же даст слабую надежду, ибо нарушитель может оставить следы в брандмауэре, и его можно будет разоблачить. Если же брандмауэр полностью выведен из строя, локальная сеть становится открытой для нападения из любой внешней системы, и определение характера этого нападения становится практически невозможным.

В общем, вполне возможно рассматривать брандмауэр как средство сужения зоны риска до одной точки повреждения. В определенном смысле это может показаться совсем не такой уж удачной идеей, ведь такой подход напоминает складывание яиц в одну корзину. Однако практикой подтверждено, что любая довольно крупная сеть включает, по меньшей мере, несколько узлов, уязвимых при попытке взлома даже не очень сведущим нарушителем, если у него достаточного для этого времени. Многие крупные компании имеют на вооружении организационную политику обеспечения безопасности узлов, разработанную с учетом этих недостатков. Однако было бы не слишком разумным целиком полагаться исключительно на правила. Именно с помощью брандмауэра можно повысить надежность узлов, направляя нарушителя в такой узкий тоннель, что появляется реальный шанс выявить и выследить его, до того как он наделает бед. Подобно тому, как средневековые замки обносили несколькими стенами, в нашем случае создается взаимоблокирующая защита.

6.Межсетевой экран как средство от вторжения из Internet

Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны, В отечественной литературе до последнего времени использовались вместо этого термина другие термины иностранного происхождения: брандмауэр и firewall. Вне компьютерной сферы брандмауэром (или firewall) называют стену, сделанную из негорючих материалов и препятствующую распространению пожара. В сфере компьютерных сетей межсетевой экран представляет собой барьер, защищающий от фигурального пожара - попыток злоумышленников вторгнуться во внутреннюю сеть для того, чтобы скопировать, изменить или стереть информацию либо воспользоваться памятью или вычислительной мощностью работающих в этой сети компьютеров. Межсетевой экран призван обеспечить безопасный доступ к внешней сети и ограничить доступ внешних пользователей к внутренней сети.

Межсетевой экран (МЭ) - это система межсетевой защиты. позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet, хотя ее можно провести и внутри корпоративной сети предприятия. МЭ пропускает через себя весь трафик, принимая для каждого проходящего пакета решение - пропускать его или отбросить. Для того чтобы МЭ мог осуществить это ему необходимо определить набор правил фильтрации.

Обычно межсетевые экраны защищают внутреннюю сеть предприятия от "вторжений" из глобальной сети Internet, однако они могут использоваться и для защиты от "нападений" из корпоративной интрасети, к которой подключена локальная сеть предприятия. Ни один межсетевой экран не может гарантировать полной защиты внутренней сети при всех возможных обстоятельствах. Однако для большинства коммерческих организаций установка межсетевого экрана является необходимым условием обеспечения безопасности внутренней сети. Главный довод в пользу применения межсетевого экрана состоит в том, что без него системы внутренней сети подвергаются опасности со стороны слабо защищенных служб сети Internet, а также зондированию и атакам с каких-либо других хост – компьютеров внешней сети.

Проблемы недостаточной информационной безопасности являются "врожденными" практически для всех протоколов и служб Internet. Большая часть этих проблем связана с исторической зависимостью Internet от операционной системы UNIX. Известно, что сеть Arpanet (прародитель Internet) строилась как сеть, связывающая исследовательские центры, научные, военные и правительственные учреждения, крупные университеты США. Эти структуры использовали операционную систему UNIX в качестве платформы для коммуникаций и решения собственных задач. Поэтому особенности методологии программирования в среде UNIX и ее архитектуры наложили отпечаток на реализацию протоколов обмена и политики безопасности в сети. Из-за открытости и распространенности система UNIX стала любимой добычей хакеров. Поэтому совсем не удивительно, что набор протоколов TCP/IP, который обеспечивает коммуникации в глобальной сети Internet и в получающих все большую популярность интрасетях, имеет "врожденные" недостатки защиты. То же самое можно сказать и о ряде служб Internet.

Набор протоколов управления передачей сообщений в Internet (Transmission Control Protocol/Internet Protocol - TCP/IP) используется для организации коммуникаций в неоднородной сетевой среде, обеспечивая совместимость между компьютерами разных типов. Совместимость - одно из основных преимуществ TCP/IP, поэтому большинство локальных компьютерных сетей поддерживает эти протоколы. Кроме того, протоколы TCP/IP предоставляют доступ к ресурсам глобальной сети Internet. Поскольку TCP/IP поддерживает маршрутизацию пакетов, он обычно используется в качестве межсетевого протокола. Благодаря своей популярности TCP/IP стал стандартом де фактора для межсетевого взаимодействия.

В заголовках пакетов TCP/IP указывается информация, которая может подвергнуться нападениям хакеров. В частности, хакер может подменить адрес отправителя в своих "вредоносных" пакетах, после чего они будут выглядеть, как пакеты, передаваемые авторизированным клиентом.

7.Функциональные требования и компоненты межсетевых экранов

Функциональные требования к межсетевым экранам включают:

Требования к фильтрации на сетевом уровне;

Требования к фильтрации на прикладном уровне;

Требования по настройке правил фильтрации и администрированию;

Требования к средствам сетевой аутентификации;

Требования по внедрению журналов и учету.

Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:

Фильтрующие маршрутизаторы;

Шлюзы сетевого уровня;

Шлюзы прикладного уровня.

Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые возможности, отличающие межсетевые экраны друг от друга.

8. Фильтрующие маршрутизаторы

Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов.

Фильтрующие маршрутизаторы обычно может фильтровать IP-пакет на основе группы следующих полей заголовка пакета:

IP- адрес отправителя (адрес системы, которая послала пакет);

IP-адрес получателя (адрес системы, которая принимает пакет);

Порт отправителя (порт соединения в системе отправителя);

Порт получателя (порт соединения в системе получателя);

Порт – это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт идентифицируется 16 – битовым числом.

В настоящее время не все фильтрующие маршрутизаторы фильтруют пакеты по TCP/UDP – порт отправителя, однако многие производители маршрутизаторов начали обеспечивать такую возможность. Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации.

Фильтрация может быть реализована различным образом для блокирования соединений с определенными хост - компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех хост-компьютеров и сетей. которые считаются враждебными или ненадежными.

Добавление фильтрации по портам TCP и UDP к фильтрации по IP-адресам обеспечивает большую гибкость. Известно, что такие серверы, как домен TELNET, обычно связаны с конкретными портами (например, порт 23 протокола TELNET). Если межсетевой экран может блокировать соединения TCP или UDP с определенными портами или от них, то можно реализовать политику безопасности, при которой некоторые виды соединений устанавливаются только с конкретными хост - компьютерами.

К положительным качествам фильтрующих маршрутизаторов следует отнести:

Сравнительно невысокую стоимость;

Гибкость в определении правил фильтрации;

Небольшую задержку при прохождении пакетов.

Недостатками фильтрующих маршрутизаторов являются:

Внутренняя сеть видна (маршрутизируется) из сети Internet правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;

При нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;

Аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую, используя ее IP-адрес);

Отсутствует аутентификация на пользовательском уровне.

9.Шлюзы сетевого уровня

Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов или шлюзом сеансового уровня модели OSI. Такой шлюз исключает, прямое взаимодействие между авторизированным клиентом и внешним хост- компьютером. Шлюз сетевого уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост - компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации.

Шлюз следит за подтверждением (квитированием) связи между авторизированным клиентом и внешним хост - компьютером, определяя, является ли запрашиваемый сеанс связи допустимым.

Фактически большинство шлюзов сетевого уровня не являются самостоятельными продуктами, а поставляются в комплекте со шлюзами прикладного уровня. Примерами таких шлюзов являются Gauntlet Internet Firewall компании Trusted Information Systems, Alta Vista Firewall компании DEC и ANS Interlock компании ANS. Например, Alta Vista Firewall использует канальные посредники прикладного уровня для каждой из шести служб TCP/IP, к которым относятся, в частности, FTP, HTTP (Hyper Text Transport Protocol) и Telnet. Кроме того, межсетевой экран компании DEC обеспечивает шлюз сетевого уровня, поддерживающий другие общедоступные службы TCP/IP, такие как Gopher и SMTP, для которых межсетевой экран не предоставляет посредников прикладного уровня.

Шлюз сетевого уровня выполняет еще одну важную функцию защиты: он используется в качестве сервера-посредника. Этот сервер-посредник выполняет процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в один "надежный" IP-адрес. Этот адрес ассоциируется с межсетевым экраном, из которого передаются все исходящие пакеты. В результате в сети со шлюзом сетевого уровня все исходящие пакеты оказываются отправленными из этого шлюза, что исключает прямой контакт между внутренней (авторизированной) сетью и потенциально опасной внешней сетью. IP-адрес шлюза сетевого уровня становится единственно активным IP-адресом, который попадает во внешнюю сеть. Таким образом, шлюз сетевого уровня и другие серверы-посредники защищают внутренние сети от нападений типа подмены адресов.

10. Шлюзы прикладного уровня

Для устранения ряда недостатков, присущих фильтрующим маршрутизаторам, межсетевые экраны должны использовать дополнительные программные средства для фильтрации сообщений сервисов типа TELNET и FTP. Такие программные средства называются полномочными серверами (серверами-посредниками), а хост-компьютер, на котором они выполняются, - шлюзом прикладного уровня.

Шлюз прикладного уровня исключает прямое взаимодействие между авторизированным клиентом и внешним хост - компьютером. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне. Связанные с приложением серверы – посредники перенаправляют через шлюз информацию, генерируемую конкретными серверами.

Для достижения более высокого уровня безопасности и гибкости шлюзы прикладного уровня и фильтрующие маршрутизаторы могут быть объединены в одном межсетевом экране. В качестве примера рассмотрю сеть, в которой с помощью фильтрующего маршрутизатора блокируются входящие соединения TELNET и FTP. Этот маршрутизатор допускает прохождение пакетов TELNET или FTP только к одному хост - компьютеру - шлюзу прикладного уровня TELNET/FTP. Внешний пользователь, который хочет соединиться с некоторой системой в сети, должен сначала соединиться со шлюзом прикладного уровня, а затем уже с нужным внутренним хост- компьютером.

В дополнение к фильтрации пакетов многие шлюзы прикладного уровня регистрируют все выполняемые сервером действия и, что особенно важно, предупреждают сетевого администратора о возможных нарушениях защиты. Например, при попытках проникновения в сеть извне BorderWare Firewall Server компании Secure Computing позволяет фиксировать адреса отправителя и получателя пакетов, время, в которое эти попытки были предприняты, и используемый протокол. Межсетевой экран Black Hole компании Milkyway Networks регистрирует все действия сервера и предупреждает администратора о возможных нарушениях, посылая ему сообщение по электронной почте или на пейджер. Аналогичные функции выполняют и ряд других шлюзов прикладного уровня.

Шлюзы прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, поскольку взаимодействие с внешним миром реализуется через небольшое число прикладных полномочных программ-посредников, полностью контролирующих весь входящий и выходящий трафик.

Шлюзы прикладного уровня имеют ряд преимуществ по сравнению с обычным режимом, при котором прикладной трафик пропускается непосредственно к внутренним хост - компьютерам. Перечислю эти преимущества.

- Невидимость структуры защищаемой сети из глобальной сети Internet. Имена внутренних систем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хост - компьютером, имя которого должно быть известно внешним системам.

- Надежная аутентификация и регистрация. Прикладной трафик может быть аутентифицирован, прежде чем он достигнет внутренних хост-компьютеров, и может быть зарегистрирован более эффективно, чем с помощью стандартной регистрации.

- Оптимальное соотношение между ценой и эффективностью. Дополнительные или аппаратные средства для аутентификации или регистрации нужно устанавливать только на шлюзе прикладного уровня.

- Простые правила фильтрации. Правила на фильтрующем маршрутизаторе оказываются менее сложными, чем они были бы, если бы маршрутизатор сам фильтровал прикладной трафик и отправлял его большому числу внутренних систем. Маршрутизатор должен пропускать прикладной трафик, предназначенный только для шлюза прикладного уровня, и блокировать весь остальной трафик.

- Возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием "дыр" в программном обеспечении.

К недостаткам шлюзов прикладного уровня относятся:

Более низкая производительность по сравнению с фильтрующими маршрутизаторами; в частности, при использовании клиент-серверных протоколов, таких как TELNET, требуется двухшаговая процедура для входных и выходных соединений;

Более высокая стоимость по сравнению с фильтрующим маршрутизатором.

Помимо TELNET и FTP шлюзы прикладного уровня обычно используются для электронной почты, Windows и некоторых других служб.

11.Усиленная аутентификация

Одним из важных компонентов концепции межсетевых экранов является аутентификация (проверка подлинности пользователя). Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого себя выдает.

Одним из способов аутентификации является использование стандартных UNIX-паролей. Однако эта схема наиболее уязвимо с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом. Многие инциденты в сети Internet произошли отчасти из-за уязвимости традиционных паролей. Злоумышленники могут наблюдать за каналами в сети Internet и перехватывать передающиеся в них открытым текстом пароли, поэтому схему аутентификации с традиционными паролями следует признать устаревшей.

Для преодоления этого недостатка разработан ряд средств усиленной аутентификации: смарт-карты, персональные жетоны, биометрические механизмы и т.п. Хотя в них задействованы разные механизмы аутентификации, общим для них является то, что пароли, генерируемые этими устройствами, не могут быть повторно использованы нарушителем, наблюдающим за установлением связи. Поскольку проблема с паролями в сети Internet является постоянной, межсетевой экран для соединения с Internet, не располагающий средствами усиленной аутентификации или не использующий их, теряет всякий смысл.

Ряд наиболее популярных средств усиленной аутентификации, применяемых в настоящее время, называются системами с одноразовыми паролями. Например, смарт-карты или жетоны аутентификации генерируют информацию, которую хост-компьютер использует вместо традиционного пароля. Результатом является одноразовый пароль, который, даже если он будет перехвачен, не может быть использован злоумышленником под видом пользователя для установления сеанса с хост - компьютером.

Так как межсетевые экраны могут централизовать управление доступом в сети, они являются подходящим местом для установки программ или устройств усиленной аутентификации. Хотя средства усиленной аутентификации могут использоваться на каждом хост - компьютере, более практично их размещение на межсетевом экране. На рис. показано, что в сети без межсетевого экрана, использующего меры усиленной аутентификации, неаутентифицированный трафик таких приложений, как TELNET или FTP, может напрямую проходить к системам в сети. Если хост - компьютеры не применяют мер усиленной аутентификации, злоумышленник может попытаться взломать пароли или перехватить сетевой трафик с целью найти в нем сеансы, в ходе которых передаются пароли.

В этом случае сеансы TELNET или FTP, устанавливаемые со стороны сети Internet с системами сети, должны проходить проверку с помощью средств усиленной аутентификации, прежде чем они будут разрешены, Системы сети могут запрашивать для разрешения доступа и статические пароли, но эти пароли, даже если они будут перехвачены злоумышленником, нельзя будет использовать, так как средства усиленной аутентификации и другие компоненты межсетевого экрана предотвращают проникновение злоумышленника или обход ими межсетевого экрана.

12.Основные схемы сетевой защиты на базе межсетевых экранов

При подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:

Защита корпоративной или локальной сети от несанкционированного доступа со стороны глобальной сети;

Скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети,

Разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.

Необходимость работы с удаленными пользователями требует установки жестких ограничений доступа к информационным ресурсам защищаемой сети. При этом часто возникает потребность в организации в составе корпорационной сети нескольких сегментов с разными уровнями защищенности:

Свободно доступные сегменты (например, рекламный WWW-сервер),

Сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов),

Закрытые сегменты (например, локальная финансовая сеть организации).

Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов:

Межсетевой экран - фильтрующий маршрутизатор;

Межсетевой экран на основе двупортового шлюза;

Межсетевой экран на основе экранированного шлюза;

Межсетевой экран – экранированная подсеть.

13. Межсетевой экран – фильтрующий маршрутизатор

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации. Он состоит из фильтрующего маршрутизатора, расположенного между защищаемой сетью и сетью Internet. Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов. Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Internet, в то время как большая часть доступа к ним из Internet блокируется. Часто блокируются такие опасные службы, как Х Windows, NIS и NFS.

14. Межсетевой экран на базе двупортового шлюза

Межсетевой экран на базе двупортового прикладного шлюза включает двудомный хост-компьютер с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор. В результате между прикладным шлюзом и маршрутизатором образуется внутренняя экранированная подсеть. Эту подсеть можно использовать для размещения доступных извне информационных серверов.

15. Межсетевой экран на основе экранированного шлюза

Межсетевой экран на основе экранированного шлюза объединяет фильтрующий маршрутизатор и прикладной шлюз, разрешаемый со стороны внутренней сети. Прикладной шлюз реализуется на хост – компьютере и имеет только один сетевой интерфейс.

16. Межсетевой экран – экранированная подсеть

Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора. Внешний маршрутизатор располагается между сетью Internet и экранируемой подсетью, а внутренний - между экранируемой подсетью и защищаемой внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а также может включать информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает хорошую безопасность благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Internet.

17.Что может и чего не может брандмауэр Windows

Заключение

После всего изложенного материала можно заключить следующее.

На сегодняшний день лучшей защитой от компьютерных преступников является брандмауэр, правильно установленный и подобранный для каждой сети. И хотя он не гарантирует стопроцентную защиту от профессиональных взломщиков, но зато усложняет им доступ к сетевой информации, что касается любителей, то для них доступ теперь считается закрытым. Также в будущем межсетевые экраны должны будут стать лучшими защитниками для банков, предприятий, правительств, и других спецслужб. Также есть надежда, что когда-нибудь будет создан межсетевой экран, который никому не удастся обойти. На данном этапе программирования можно также заключить, что разработки по брандмауэрам на сегодняшний день сулят в недалёком будущем весьма неплохие результаты.

Литература

1. Балдин Константин, Уткин Владимир «Информатика», Москва, 2003г.

2.Дьяконов Владимир, Абраменкова Ирина, Пеньков Александр «Новые информационные технологии», Москва, 2006г.

3.Фридланд А. «Основные ресурсы информатики», Москва, 2007г.

Антивирус защищает системные и пользовательские файлы от вредоносного программного обеспечения. Задача брандмауэров – фильтрация входящего и исходящего трафика и блокирование несанкционированного доступа к компьютеру.

Для работы в Сети операционная система использует сервисы, которые открывают порты и ждут подключения к ним. Зная номер порта, пользователь может подсоединиться к нему с удаленного компьютера и получить доступ к некоторым ресурсам. Проблема в том, что в реализации некоторых сервисов присутствуют ошибки, которые могут быть использованы для сетевой атаки – как вирусной, так и ставящей целью нарушение работы уязвимого сервиса или системы в целом. Брандмауэр, используя набор правил, разрешает или запрещает доступ к компьютеру из Сети.

Примечание

Первоначально брандмауэром называли перегородку в паровозах, находящуюся между машинным отделением и вагонами и защищающую последние от возможного возгорания. В современном значении это слово начало употребляться приблизительно в начале 1990-х годов, когда для английского слова firewall не смогли найти однозначного перевода. Поскольку немецкое слово Brandmauer означало то же самое и было уже известно, его и стали использовать, хотя только на постсоветском пространстве.

Первыми появились фильтры пакетов , которые действовали на основании информации, помещенной в заголовке: IP-адрес, номера портов источника и получателя, тип пакета и длина. Выглядело это следующим образом. Компьютеру из внутренней сети с определенным IP-адресом разрешается соединяться с любыми внешними компьютерами, используя только указанный порт. Например, протокол SMTP, который применяется для отправки электронной почты, использует 25-порт, протокол РОР3, с помощью которого почта получается, – 110-порт, веб-сервисы обычно настроены на 80-порт. При попытке получить доступ к другим сервисам брандмауэр блокировал соединение.

Постепенно стало понятно, что такой статической схемы недостаточно. Это привело к появлению фильтров, отслеживающих состояние соединений (stateful). Постепенно функциональность брандмауэров возрастала, появились фильтры уровня приложений и фильтры соединений, умеющие контролировать контекст. Не будем углубляться в историю, тем более что сегодня встретить их в чистом виде практически невозможно.

Чаще всего пользователю трудно решить, что кому запретить или разрешить. В операционной системе Windows принято следующее взаимодействие пользователя с используемым брандмауэром. Например, в строке веб-браузера набран адрес или имя сервера. Брандмауэр, проанализировав запрос, временно блокирует его и запрашивает у пользователя подтверждение, предоставляя ему всю информацию: приложение или сервис, IP-адрес или имя удаленного узла и порт назначения. Если выход в Интернет с использованием данной утилиты действительно планировался, пользователь подтверждает это, и брандмауэр разрешает соединение. Чтобы не беспокоить пользователя в дальнейшем, ответ запоминается. Хотя, чтобы уменьшить вероятность ошибки, через некоторое время процесс повторяется.

Таким образом, если случайно было разрешено соединение для спрятавшегося троянца, существует вероятность, что в следующий раз его не пропустят. Однако создатели вирусов также используют эту особенность взаимодействия. Теперь, чтобы скрыть свою программу, им достаточно загружать ее как расширение Internet Explorer, иногда вызывается и сам браузер, адресная строка которого содержит не только имя удаленного узла, но и информацию, которую удалось украсть. Пользователь не всегда вникает в суть запроса, поэтому в большинстве случаев обман удается.

Брандмауэр обязательно должен использоваться совместно с антивирусной программой. Это не взаимоисключающие, а дополняющие друг друга приложения, хотя многие сегодняшние брандмауэры выросли в настоящие системы защиты, умеющие отслеживать вышеописанную ситуацию.

Необходимо контролировать как входящий, так и исходящий трафик. В первом случае вы будете защищены от попытки несанкционированного доступа извне, а контроль исходящего трафика позволит блокировать трояны и другие зловредные программы, пытающиеся получить доступ в Интернет, а также ненужный трафик в виде баннеров. Следует отметить, что, хотя все брандмауэры похожи, каждая конкретная реализация может содержать ошибки.

Появление встроенного Брандмауэра в Windows XP многие приветствовали, однако вскоре выяснилось, что он контролирует только входящий трафик, а по удобству настроек уступает большинству решений. Усовершенствованный Брандмауэр в Windows Vista обладает несколько большими возможностями – поддерживается фильтрация входящего и исходящего трафика. С его помощью можно запретить приложениям обращаться к другим компьютерам или отвечать на их запросы, поэтому мультимедийные программы могут воспроизводить мультимедийные файлы на локальном компьютере, но не смогут подключаться к веб-узлам в Интернете. Брандмауэр в Windows Vista следит за ресурсами операционной системы, и, если они начинают вести себя иначе, что обычно указывает на наличие проблем, блокирует соединение. Если другая программа попытается обратиться в Интернет, чтобы установить дополнительный модуль, пользователь увидит предупреждение, посылаемое Брандмауэром .

Однако на практике у пользователя мало средств для тонкой настройки, а вредоносное приложение, попав на компьютер, в первую очередь попытается создать разрешающее правило, ориентируясь именно на встроенный Брандмауэр Windows , или просто отключить его, поэтому рассмотрим не его, а несколько типичных решений.

Начало Outpost Firewall было положено утилитой обнаружения хакерских атак Jammer, которая быстро стала популярной. Причина ее популярности оказалась банальной. Одна зарубежная правительственная компания использовала троян для слежения за своими пользователями. Некий служащий установил Jammer и не только обнаружил шпионскую программу, но и отследил направление ее активности. Этот случай попал в прессу, разгорелся скандал, а Jammer сразу приобрел популярность. Брандмауэр Outpost Firewall Pro, первая версия которого появилась в 2001 году, практически сразу получил признание и сегодня пользуется популярностью благодаря широким функциональным возможностям и низкой стоимости.

Сегодня компания предлагает несколько вариантов Outpost Firewall Pro:

Outpost Firewall Pro 2008 – персональный брандмауэр, обеспечивающий всестороннюю защиту в Интернете и предназначенный для персонального использования. Эта версия совместима с Windows Vista, на сайте проекта доступна ранняя версия 4.0, поддерживающая Windows 2000, XP и Server 2003;

Outpost Security Suite Pro – также предназначен для персонального использования, обеспечивает стопроцентную защиту компьютера, включает все необходимые средства безопасности: брандмауэр, антивирус, антишпион, антиспам-фильтр и проактивную защиту;

Outpost Network Security – решение для защиты организаций малого и среднего бизнеса от внешних и внутренних угроз;

Outpost Firewall Free – персональный брандмауэр для тех, кто работает в Интернете нерегулярно.

Рассмотрим Outpost Firewall Pro 2008.

Установка Outpost Firewall Pro традиционна. На первом шаге можно выбрать язык установки – русский , на котором далее будут выводиться все сообщения. Примите условия лицензионного соглашения. В процессе установки можно, установив одноименный флажок, загрузить последние обновления Outpost Firewall. После копирования файлов появится Мастер настройки .

В первом окне Мастера настройки (рис. 4.1) предстоит выбрать уровень безопасности, который будет обеспечивать программа:

Повышенный – для продвинутых пользователей; брандмауэр будет обеспечивать максимально возможную защиту;

Обычный – Outpost Firewall Pro будет защищать систему от наиболее опасных методов проникновения, не беспокоя пользователя постоянными запросами; этот уровень рекомендуется для большинства случаев.

Рис. 4.1. Мастер настройки Outpost Firewall Pro

Проверять файлы при запуске – предотвращает запуск известных вредоносных программ, но не блокирует другие попытки доступа, такие как копирование или сохранение;

Проверять файлы при любой попытке доступа – предотвращаются все попытки доступа к файлам, зараженным известными вредоносными программами.

Второй вариант обеспечивает максимальную защиту, но может отрицательно повлиять на производительность системы. Если замечено снижение производительности, на маломощных компьютерах лучше затем переключиться на первый вариант. Для увеличения производительности можно установить флажок Включить кэширование статуса проверки . В этом случае при первом обращении будет создан скрытый кэш-файл, при последующем он будет сверяться с текущим состоянием, и если не будет найдено отличий, проверка остановится.

Рис. 4.2. Диалоговое окно Мастера конфигурации

Здесь возможны следующие варианты:

Автоматически создавать и обновлять правила – самый удобный и рекомендуемый вариант: по мере выхода приложений в Сеть пользователь будет создавать для них правила и обновлять их по мере необходимости;

Автоматически создавать правила – то же, но без автоматического обновления правил; в последнем случае запрашивается пользователь;

Не создавать правила автоматически – правила автоматически не создаются.

Установив флажок Автоматически обучать Outpost Firewall Pro в течение недели , вы разрешите автоматическое создание разрешающих правил для известных приложений, которые запрашивают соединения.

Дополнительно компания Agnitum предлагает принять участие в программе ImproveNet. Если установить соответствующий флажок, будут автоматически собираться данные о сетевых приложениях, для которых не существует правил,создаваться новые системные правила и статистика использования приложений. Собранная информация раз в неделю будет отправляться компании-разработчику (информация будет передаваться в сжатом виде в фоновом режиме без перерыва в работе системы). На основании собранной информации будут создаваться новые правила, которые затем станут доступными через систему обновлений. Результатом работы программы ImproveNet должно стать уменьшение количества запросов к пользователю: Outpost должен приобрести большую автономность в принятии решений. При необходимости эти настройки можно изменить, выполнив команду Настройки > Общие > ImproveNet .

При первом запуске программы на экране появится предложение зарегистрировать программу; если у вас нет лицензии, вы можете в течение 30 дней легально использовать Outpost Firewall, для чего следует нажать кнопку Использовать .

После установки Outpost Firewall настроен и готов к работе. Об этом свидетельствует значок, появившийся в области уведомлений, внешний вид которого зависит от выбранной политики. По умолчанию устанавливается режим обучения . Согласно ему при каждой попытке доступа к Сети приложения, для которого не установлено правило, пользователю выдается запрос (рис. 4.3), содержащий необходимую информацию, позволяющую в большинстве случаев принять решение: имя программы, удаленную службу, номер порта и IP-адрес.

Рис. 4.3. Приложение пытается получить доступ в Сеть

Дополнительно при включенном модуле Anti-Spyware анализируется запрос, и если все нормально, рядом с именем приложения появляется метка Шпионских программ не обнаружено . На основании полученной информации пользователь может принять одно из следующих решений:

Разрешить любую активность этому приложению – приложение заносится в список доверенных, и все запрошенные им соединения автоматически разрешаются;

Запретить любую активность этому приложению – приложение получает статус запрещенного, и все соединения автоматически блокируются;

Создать правило на основе стандартных – большинству приложений необходим доступ в Сеть только по определенным протоколам и портам; в поставке Outpost имеются шаблоны, которые можно использовать при создании правил для таких приложений, – этом случае приложение будет ограничено указанными протоколами;

Разрешить однократно или Блокировать однократно – если вы сомневаетесь в назначении программы, то можете однократно разрешить или запретить ей доступ в Сеть и проследить за реакцией приложения.

Нажав на ссылку Помощник , вы можете получить более подробную информацию о процессе, помогающую принять правильное решение, в том числе полученную с сайта разработчиков. В меню кнопки ОК можно активизировать Режим автообучения .

Для такого приложения вы также можете создать собственное правило c описанием. Для примера создадим правило для веб-браузера Firefox. В контекстном меню, вызываемом щелчком правой кнопкой мыши на значке в области уведомлений, выберите пункт Настройки , в появившемся окне (рис. 4.4) перейдите на вкладку Брандмауэр > Сетевые правила и нажмите кнопку Добавить .

Рис. 4.4. Окно создания сетевых правил

Программа попросит указать путь к исполняемому файлу. С помощью файлового менеджера перейдите в каталог, куда был установлен Firefox (по умолчанию это C:\Program Files\Mozilla Firefox ), где выберите файл firefox.exe . По умолчанию приложение попадает в категорию Заблокированные ; чтобы разрешить ему выход в Сеть, в контекстном меню выберите пункт Всегда доверять этому приложению .

В этом случае приложение получит полный доступ. Чтобы настроить его поведение более тонко, в том же меню выберите пункт Использовать правила . Появится окно Редактор правил , где на вкладке Сетевые правила нужно нажать кнопку Новое . В появившемся окне отредактируйте правило, указав событие (направление, адрес и порт) и параметры (оповещать, активизировать динамическую фильтрацию, не регистрировать). Щелчком на подчеркнутой ссылке в поле Расшифровка правила можно изменить значения параметров.

После окончания периода обучения, то есть когда все правила созданы и пользователь больше не получает запросов, необходимо перейти в Фоновый режим работы. В этом случае брандмауэр работает в невидимом для пользователя режиме, не отображая значок в области уведомлений. Благодаря этому, например, родители могут незаметно для ребенка блокировать нежелательный трафик и контролировать работу в Сети. В данном режиме Outpost Firewall потребляет меньшее количество ресурсов.

Для перехода в фоновый режим вызовите окно настроек. На вкладке Общие в раскрывающемся списке Выберите режим загрузки установите Фоновый . Чтобы никто не смог изменить настройки брандмауэра, на этой же вкладке установите переключатель Защита паролем в положение Включить и задайте пароль.

Кроме Режима обучения существуют следующие политики (они доступны в контекстном меню значка в области уведомлений):

Блокировать все – все соединения блокируются; эту политику можно использовать, например, для временного отключения компьютера от Сети;

Режим блокировки – блокируются все соединения, кроме разрешенных; после этапа обучения стоит использовать именно эту политику;

Режим разрешения – разрешаются все соединения, кроме запрещенных;

Выключить – работа Outpost Firewall, в том числе и детектор атак, приостанавливается, все соединения разрешены.

После установки Outpost Firewall готов к работе, и большую часть времени пользователь будет общаться с ним исключительно в форме ответов на вопросы при попытке выхода какого-либо приложения в Сеть. Для просмотра статистики роботы и сетевой активности приложений, тонкой настройки политики работы брандмауэра и подключаемых модулей необходимо вызвать главное окно программы (рис. 4.5).

Рис. 4.5. Главное окно программы

Визуально главное окно разделено на две части. Вверху находится панель, на которой расположены кнопки, обеспечивающие быстрый доступ к некоторым функциям.

Для вывода информации в удобном для пользователя виде предназначена расположенная слева информационная панель, работа с которой напоминает работу в Проводнике Windows. В левой панели выбирается категория, а в правой выводится подробная информация. Рядом с некоторыми пунктами имеются знак плюса, нажав на который можно раскрыть список. Выбрав пункт Добро пожаловать , можно получить информацию о лицензии, просмотреть новости с сайта разработчика и пр. Пункт Брандмауэр содержит два подпункта.

Сетевая активность . Выбрав этот пункт, вы получите возможность просмотреть список всех приложений и процессов, имеющих текущие активные соединения, и подробную информацию о них (протокол, IP-адрес и порт, время начала и продолжительность соединения, количество переданных и принятых байт, скорость, состояние).

Если вы увидели соединение, которое не разрешали, или подозреваете, что действует спрятавшийся троян, соединение можно разорвать, щелкнув на соответствующей строке в правой части экрана правой кнопкой мыши и выбрав в появившемся контекстном меню пункт Разорвать соединение . Выбрав в этом же меню пункт Столбцы , можно отредактировать поля вывода информации. Пункт Создать правило позволяет быстро вызвать редактор правил для этого приложения.

Используемые порты . Здесь отображаются все приложения и процессы, у которых в настоящее время открыты порты, в том числе и ожидающие соединения.

Компонент Локальная безопасность защищает компьютер от неизвестных или замаскированных угроз. Здесь можно изменить уровень безопасности и составить список исключений для процессов, которые не нужно контролировать, включить или отключить внутреннюю защиту Outpost Firewall Pro. В подпункте Активные процессы выводится список всех активных процессов с указанием их сетевой активности.

Компонент Антишпион защищает компьютер от троянов, червей и шпионского программного обеспечения. Нажатием кнопки Запустить проверку системы можно проверить систему на наличие угроз и подозрительных объектов. При этом можно выбрать один из вариантов проверки системы: Быстрая , Полная и Выборочная . Все подозрительные объекты будут перемещены на вкладку Карантин , откуда их можно удалить, просто восстановить или восстановить с добавлением в исключения. Здесь же устанавливается режим постоянной защиты и работа сканера почты.

На вкладке Веб-контроль показывается количество заблокированных объектов (Cookies, активное содержимое веб-страниц, реферреров, рекламных баннеров), а также попыток передачи личных данных.

Примечание

Реферреры (referrers) содержат информацию, позволяющую отследить, с какого ресурса пользователь был перенаправлен на данный адрес. Набор реферреров позволяет узнать, какие ресурсы были посещены.

Все события, которые зафиксировал Outpost Firewall Pro, можно просмотреть, перейдя в Журнал событий . Они разбиты по категориям (внутренние события, брандмауэр, детектор атак, веб-контроль, антишпион), что удобно при анализе.

Доступ к настройкам Outpost Firewall Pro можно получить, нажав одноименную кнопку. Основные пункты настроек совпадают с названиями в основном окне программы (рис. 4.6).

Рис. 4.6. Окно настроек Outpost Firewall Pro

Рассмотрим наиболее часто используемые настройки и те, которые могут понадобиться на начальном этапе работы.

В меню Общие выбирается язык интерфейса, режим загрузки и разрешение игрового режима, при котором брандмауэр не беспокоит пользователя сообщениями. Установкой флажков активизируется технология SmartScan и внутренняя защита брандмауэра. Перейдя в подменю Конфигурация , можно защитить настройки паролем, сохранить и восстановить конфигурацию. Расписание обновлений указывается в подпункте Обновление . После установки обновления проверяются ежечасно. При необходимости это можно изменить.

В меню Брандмауэр настраиваются режим работы межсетевого экрана в обычном, фоновом и игровом режиме. При установке Outpost Firewall Pro анализирует сетевые настройки, и безопасные с его точки зрения локальные сети заносятся в подпункт Настройки LAN . По умолчанию любой обмен данными с такими сетями разрешен. При необходимости здесь можно изменить список доверенных сетей, отдельных IP-адресов и доменов. Установка флажка Доверенный напротив адреса разрешит все соединения; чтобы разрешить подключения к общим файлам или каталогам по протоколу NetBIOS, установите одноименный флажок. Модуль Детектор атак , настройки которого находятся в соответствующем меню (рис. 4.7), добавляет функции, обычно не свой ственные классическим брандмауэрам: обнаружение и предотвращение атак компьютера из локальной сети и Интернета. Модуль просматривает входящие данные на предмет наличия сигнатур известных атак, а также анализирует попытки сканирования и атаки, направленые на отказ в обслуживании (DoS – Denial of Service), и другие, в том числе неизвестные, сетевые атаки.

Рис. 4.7. Настройки модуля Детектор атак

Совет

Если на компьютере установлена сетевая система обнаружения и отражения атак, модуль Детектор атак следует отключить, сняв соответствующий флажок.

В поле Уровень тревоги настраивается уровень тревоги и действия модуля при обнаружении атаки. С помощью ползунка можно выбрать один из трех уровней тревоги: Низкий , Оптимальный и Максимальный , которые отличаются реакцией на некоторые неопасные виды атак. Последний обеспечивает самый высокий уровень защиты, однако будет выдавать большое количество предупреждений. Нажав кнопку Настройка , можно указать, какие виды атак должен обнаруживать и предотвращать Outpost Firewall. На вкладке Ethernet настраивается защита от некоторых атак, характерных для Ethernet и сетей Wi-Fi. В частности, здесь следует включить ARP-фильтрацию, позволяющую защититься от подмены нападающим IP-адреса. В области Ethernet-атаки настраивается реакция модуля на такие атаки. На вкладке Дополнительно можно отредактировать список атак, которые должен обнаруживать и предотвращать модуль. Каждая атака имеет краткое описание, но отключать что-либо рекомендуется только если вы точно знаете, что делаете. Нажав кнопку Уязвимые порты , можно указать все номера портов, которым требуется уделять особое внимание. Сюда можно занести номера портов, традиционно используемых троянцами и программами дистанционного управления компьютером. Установка флажка Блокировать атакующего на … минут позволяет установить промежуток времени, на который IP-адрес нападающего узла будет заблокирован, то есть никто не сможет подключиться к защищаемому компьютеру с этого адреса. Дополнительный флажок Блокировать подсеть атакующего позволяет подстраховаться на случай, если атакующий захочет сменить IP-адрес (например, при переподключении по модемному соединению можно получить другой IP-адрес). Чтобы получать оповещения при обнаружении атак, установите флажки Проигрывать звуковое оповещение при обнаружении атак и Показывать визуальное оповещение при обнаружении атак . Чтобы доверенные узлы не блокировались детектором атак, их следует указать в поле Исключения – все пакеты, посланные ими, не будут считаться вредоносными.

Настройка модуля Локальная безопасность аналогична описанной выше. С помощью ползунка в зависимости от характера текущей работы выставляется один из четырех уровней безопасности – от Низкий , при котором контролируются только запросы сетевого доступа от измененных исполняемых файлов, до Максимальный , активизация которого включает максимальную защиту системы. Нажав кнопку Настройка , можно указать, какие действия, события и компоненты должен контролировать этот модуль. Пользоваться этой возможностью следует только в случае появления проблем или если вы точно знаете, чего хотите добиться. В большинстве случаев удобнее пользоваться ползунком Уровень безопасности . Приложения, которые могут быть вызваны другими программами, можно занести в список Известные приложения , и настроить правила контроля индивидуально в списке Исключения Контроля Anti-Leak . Для этого необходимо нажать одноименную кнопку и указать путь к исполняемому файлу. Модуль Локальная безопасность не будет контролировать их действия и беспокоить пользователя запросами.

На вкладке Антишпион включаются и отключаются модуль контроля над шпионским программным обеспечением и настройка оповещений и исключений. Установка флажка Проверять наличие шпионского ПО при запуске программы разрешит проверку всех запущенных программ после старта Outpost Firewall Pro. Если проверка нагружает систему, можно установить флажок Выполнять указанные задания с низким приоритетом . В подпункте Профили и расписание настраиваются профили проверок системы и задания на автоматическую проверку в указанное время. При настройке профиля проверки можно указать, какие системные объекты и разделы жесткого диска следует проверять, а также проверку определенных типов файлов и архивов. С помощью раскрывающегося списка Выберите действие устанавливается действие по умолчанию для обнаруженных вредоносных объектов. Установка флажка Пропускать файлы, размер которых превышает: … Мб позволяет задать максимальный размер проверяемых файлов. На вкладке Сканер почты настраивается режим проверки вложений в электронные письма. Если почту уже проверяет антивирусная программа, можно отключить такую проверку, установив флажок Отключить фильтр вложений . Остальные пункты позволяют переименовывать вложения с указанными расширениями или помещать их в карантин.

Вкладка Веб-контроль содержит настройки одноименного модуля. С помощью ползунка выбирается уровень веб-контроля. На самом низком Облегченный блокируется только реклама по ключевым словам, интерактивные элементы разрешаются. Несмотря на то что изначально интерактивные элементы разрабатывались с целью упростить взаимодействие пользователей, они могут использоваться хакерами. При установке уровня Оптимальный блокируются некоторые опасные интерактивные элементы. Нажав кнопку Настройка , вы можете указать, какие конкретно элементы блокировать или разрешать: сценарии ActiveX и Visual Basic, приложения и сценарии Java, Cookies, всплывающие окна, внешние интерактивные элементы, скрытые фреймы, анимацию и реферреры.

Как и остальные информационные источники, многие интернет-ресурсы существуют благодаря рекламе. Некоторые сайты злоупотребляют баннерами, представляющими собой изображения различного размера, что приводит к замедлению загрузки. Кроме того, пользователь с помегабайтной оплатой теряет ценный трафик. Отключение отображения рисунков решает проблему только частично.

Примечание

Принято считать, что баннеры замедляют загрузку из-за своего размера, который иногда превышает размер самой информации, из-за которой пользователь загрузил ресурс. Это еще не все: баннеры загружаются с помощью сценариев, генерирующих адрес динамически, но чаще всего с других сайтов, поэтому в некоторых случаях пользователь вынужден ждать, пока будет найден сайт и определена информация, которую он затем увидит.

При установке ползунка на уровень Максимальный рекламу можно блокировать по размеру. Однако активное содержимое сегодня используется на многих ресурсах, и без его активизации невозможна полноценная работа. Такие сайты можно занести на вкладку Исключения . На вкладке Личные данные настраивается блокировка передачи личных данных, например попытка передачи номера кредитной карточки. Устанавливая различные параметры, можно автоматически заменять персональную информацию звездочками или блокировать передачу таких пакетов. Однако если вы работаете с интернет-магазинами и прочими ресурсами, требующими такой информации, занесите их в меню Исключения . Полностью блокировать известные вредоносные сайты и настроить блокировку рекламы по ключевым словам можно в подпункте Реклама и сайты . На вкладке По ключевым словам вы можете указать список ключевых слов, при совпадении с которыми в HTML-тегах IMG SRC= и A HREF= их загрузка будет блокирована. Нажав кнопку Загрузить или Сохранить , можно загрузить список, полученный с другого компьютера, или сохранить такой список для дальнейшего использования в других системах. Вкладка По размеру содержит список размеров рисунков, при совпадении с которыми в HTML-теге A рисунок будет блокирован. Чтобы добавить размер баннера, которого нет в списке, следует ввести его данные в поля Ширина и Высота и нажать кнопку Добавить .

Без сомнения, Outpost Firewall обладает богатыми возможностями и позволяет обеспечить полноценную защиту. Однако многие пользователи не хотят либо не имеют возможности заплатить за программный продукт. Рассмотрим один из доступных бесплатных брандмауэров – COMODO Firewall Pro. Многообразия дополнительных возможностей в подобных продуктах нет, но основную функцию – защиту сетевых соединений – он выполняет, а для борьбы с программами-шпионами, вирусами и прочими «подарками», которыми богат Интернет, можно использовать другие программы, описанные в данной книге.

COMODO Personal Firewall Pro разработан американской компанией Comodo Group и неоднократно занимал призовые места в различных тестах. Сайт проекта находится по адресу http://www.personalfirewall.comodo.com/ . Этот брандмауэр способен самостоятельно разобраться с большинством потенциальных угроз и выдать пользователю соответствующее предупреждение и рекомендацию. Для персонального использования Comodo Firewall распространяется бесплатно, за плату продукт обеспечивает дополнительные возможности. Хотя его характеристики и так достаточны: он распознает несколько тысяч различных приложений по различным категориям (adware, spyware, безопасные и пр.). Можно добавить функции мониторинга реестра и файлов приложений; подозрительные файлы могут отправляться на сервер компании для анализа специалистами. Программа имеет простой и удобный интерфейс, к сожалению, в последней версии 3.0 – только английский. Версия 3.0 будет работать в Windows Vista, 64-битовых версиях Windows XP и Windows Server 2003. На сайте проекта доступна более ранняя версия 2.4, которая имеет вариант с русским интерфейсом. Версия 2.4 поддерживает Windows 2000.

В новой версии брандмауэр перенесен на новую архитектуру, получившую название A-VSMART (Anti-Virus, Spyware, Malware, Rootkit, Trojan). Ее задача – значительное повышение уровня защиты за счет более тщательного контроля трафика, мониторинга процессов и ограничения доступа к критическим системным объектам. Версия 3.0 стала более гибкой в настройке, пользователь получил большее количество параметров в свое распоряжение. Группа предварительно сконфигурированных политик позволяет построить более сложные правила, если в таковых будет необходимость.

Установка программы традиционна и, несмотря на отсутствие локализованного интерфейса, проста. В большинстве случаев достаточно соглашаться с установками по умолчанию и нажимать кнопку Next для перехода к следующему шагу. После сбора параметров системы и выбора каталога для установки запустится мастер Comodo Firewall Pro Configuration Wizard . На первом шаге он попросит выбрать режим работы приложения: Firewall with Defense + (Recommended) или Firewall . Второй режим – это работа в качестве межсетевого экрана без дополнительных возможностей. Если на компьютере не установлено приложение, совместная работа с которым вызывает конфликт, следует выбрать первый вариант, обеспечивающий максимальную защиту. На следующем шаге предстоит ответить, подключать ли A-VSMART, – ответьте положительно.

После установки программа начинает обучаться, отслеживая запуск любых приложений на компьютере пользователя и попытку установить соединение. Если COMODO не может самостоятельно принять решение, появится окно запроса (рис. 4.8), предлагающее пользователю сделать это. Цвет верхней части окна зависит от серьезности ситуации. Если COMODO оценивает событие как критичное, цвет будет красным, если опасность не так велика – желтым.

Рис. 4.8. Запрос к пользователю от COMODO

В верней части в поле Application указывается приложение, которое участвует в запросе, в Remote – IP-адрес удаленной системы и протокол (TCP или UDP), а в Port – порт в локальной системе, к которому поступил запрос. Пользователь может выбрать один из предложенных вариантов:

Allow this request – разрешить это соединение;

Block this request – заблокировать это соединение;

Treat this application as – указать, как рассматривать это приложение.

При выборе последнего пункта с помощью раскрывающегося списка следует указать предустановленное правило. Если это сетевой запрос – Web browser (Веб-браузер), FTP client (FTP-клиент), Trusted application (Доверенное приложение), Blocked application (Блокировать приложение), Outgoing Only (Только исходящие). Если это приложение – Installer or Updater (Программа установки или обновления), Trusted application , Windows System Application (Системное приложение Windows), Isolated Application (изолированное приложение), Limited Application (ограниченное приложение). Чтобы COMODO запомнил выбор, проследите, чтобы был установлен флажок Remember my Answer . Когда выбор сделан, нажмите кнопку ОК .

При запуске локального приложения или его попытке установить соединение с другим компьютером пользователь информируется с помощью всплывающего окна Firewall is learning (рис. 4.9).

Рис. 4.9. Идет обучение брандмауэра

Рассмотрим основные моменты. Визуально окно программы разбито на три части. Вверху находится панель с четырьмя кнопками, обеспечивающими доступ к основным функциям брандмауэра. Чтобы получить итоговую информацию по текущему состоянию, нажмите Summary (рис. 4.10).

Рис. 4.10. Интерфейс COMODO

В поле System Status показывается статус работы брандмауэра; после загрузки системы ему потребуется некоторое время для проверки текущих параметров и запущенных приложений и сервисов, после чего он выдаст итог. Если все нормально, вы увидите зеленый значок. В случае появления проблем COMODO сам подскажет их решение. В поле Network Defence показано общее количество входящих (inbound connection(s)) и исходящих (outbound connection(s)) соединений. Нажав ссылку Stop all Activities , можно быстро заблокировать все соединения. Ссылка, стоящая после The firewall security level is set to , показывает текущий уровень защиты. Щелкнув на ней, вы перейдете в окно настройки Firewall Behavior Settings , в которой с помощью ползунка можно выставить один из пяти уровней защиты:

Disabled – сетевые политики отключены, весь входящий и исходящий трафик разрешен;

Training Mode – брандмауэр находится в режиме обучения, информация о приложениях, устанавливающих соединения, запоминается без обращения к пользователю;

Train with Safe Mode – режим, установленный по умолчанию; сетевые политики включены, информация об исходящем трафике, инициализированном безопасными приложениями, запоминается, пользователь ставится в известность всплывающим окном, при попытке неизвестного приложения установить любое сетевое соединение пользователь получает запрос;

Custom Policy Mode – этот режим следует выбрать после обучения брандмауэра; он просто следует установленным политикам, блокируя неизвестные и разрешая описанные в правилах соединения;

Block All Mode – режим блокировки всех соединений.

Обратите внимание на цифры в поле Keep an alert on screen for maximum … second – именно сколько секунд будет показываться окно предупреждения. При необходимости установите здесь другое значение. На вкладке Alert Setting устанавливаются уровни предупреждений. По умолчанию установлен низкий (Low ). Используя ползунок Alert Frequency Level , можно повысить его, чтобы он информировал пользователя обо всех событиях в сети. Чтобы изменения вступили в силу, перед закрытием окна следует нажать кнопку Apply .

Аналогично сетевым соединениям, в Network Defence в поле Proactive Defence показывается активность приложений. Особый интерес представляет ссылка waiting for your review (Ожидает вашего обзора), возле которой отобразится количество файлов, решение по которым COMODO не может принять самостоятельно. Щелкните на ссылке – в окне My Pending Files (Мои рассматриваемые файлы) отобразится их список. По каждому файлу можно узнать его местонахождение, компанию (если есть) и статус (например, новый или модифицированный). Если самостоятельно решение принять сложно, отметьте файл флажком и нажмите кнопку Lookup (Поиск) – брандмауэр соединится с базой данных в Интернете и выдаст информацию по файлу. Чтобы подтвердить этот файл, нажмите кнопку Submit (Представить), для удаления файла из списка – кнопку Remove (Удалить), а для удаления из системы – Purge (Чистить). С помощью кнопки Move to (Переместить) файл можно переместить в указанное место. Если есть необходимость ручного добавления файла в этот список, воспользуйтесь кнопкой Add , после чего выберите файл на диске (Browse Files ) или процесс (Browse Running Process ).

Ссылка в строке The Defence security level is set to позволяет изменить режим системы защиты, назначение которого совпадает с описанными выше. По умолчанию используется оптимальный Clean PC Mode , при котором выполняются политики. При запуске доверенных приложений COMODO обучается, записывая новую информацию в политику. Исполняемые файлы на несменных носителях (кроме находящихся в My Pending Files и новых) считаются доверенными.

Нажав кнопку Firewall , можно получить доступ к настройкам работы межсетевого экрана, просмотреть события и соединения, добавить приложения в список доверенных или запрещенных, указать доверенные и недоверенные сети. Аналогичные пункты находятся в Defense+ , только здесь настройки касаются приложений, а не сетевых соединений. В Miscellaneous можно импортировать/экспортировать настройки, провести диагностику и установить некоторые общие параметры работы COMODO.

Список бесплатных межсетевых экранов обширный. Из других решений можно посоветовать Jetico Personal Firewall от одноименной финской компании (http://www.jetico.com/ ) или PC Tools Firewall Plus (http://www.pctools.com/ru/firewall/ ). Последний имеет локализованный интерфейс.