Дополнительная защита

 

Дополнительная защита 

 

Защита Файрволом

Содержание:

 

Если антивирус молчит, а подозрение на вирус есть.

Для того чтобы обезопасить свой компьютер от внешних сетевых вторжений, можно использовать программные файрволы, или, как их называют по-русски — межсетевые экраны (есть еще синоним — брандмауэр). Встроенные в операционные системы файрволы примечательны тем, что пользователь получает их "бесплатно", вместе с операционной системой. В применении они, как правило, просты. Они имеют, в отличие от специализированных файрволов, не так много настроек, зато интуитивно понятны даже неспециалистам в области телекоммуникаций и системных вопросов (рис. 1).

Дополнительная защита

Рисунок 1

При настройке штатного брандмауэра в Windows 7, целесообразно не снимать флажок "Уведомлять, когда брандмауэр Windows блокирует новую программу". Это дополнительный рубеж защиты от воздействия вредоносного кода. В доказательство сказанного обратите внимание на рис. 2 на "программу" — HASP LLM.

Этот драйвер для Hasp-ключа, который получил разрешение для работы с сетью в брандмауэре (при этом разрешение на работу с публичной сетью уже снято). Эту информацию с соответствующими комментариями прислали нам после анализа заражения одного из домашних компьютеров. Возникают два вопроса: зачем драйверу вообще нужен доступ в сеть (пусть даже — домашнюю) и как этот драйвер появился на компьютере, на котором никогда не использовался Hasp-ключ?

Дополнительная защита

Рисунок 2

При настройке штатного брандмауэра в Windows 7, целесообразно не снимать флажок "Уведомлять, когда брандмауэр Windows блокирует новую программу". Это дополнительный рубеж защиты от воздействия вредоносного кода. В доказательство сказанного обратите внимание на рис. 2 на "программу" — HASP LLM. Это драйвер для Hasp-ключа, который получил разрешение для работы с сетью в брандмауэре (при этом разрешение на работу с публичной сетью уже снято). Эту информацию с соответствующими комментариями прислали нам после анализа заражения одного из домашних компьютеров.

Возникают два вопроса: зачем драйверу вообще нужен доступ в сеть (пусть даже — домашнюю) и как этот драйвер появился на компьютере, на котором никогда не использовался Hasp-ключ?

Конечно же, это результат воздействия вредоносного кода, который незаметно проник на компьютер где-нибудь в общественном кафе (Wi-Fi-зона) Взлом WI-FI, и только лишь потому, что было отключено соответствующее уведомление пользователя. Все же наибольший интерес представляют специализированные программные файрволы за счет того огромного ассортимента возможностей, которые они имеют.

Правда, возникает вопрос и тут: зачем еще дополнительно нужны такого рода программы, если у вас есть домашний роутер, который уже включает в себя функции брандмауэра и производит подмену локальных IP-адресов на разрешенный в Интернете адрес (NAT)? В главе про удаленный доступ уже рассказывалось о том, насколько осложнили жизнь хакерам домашние роутеры.

Но мы не живем изолированно, пользуемся ресурсами Интернета, общаемся с другими пользователями… Сегодня "притащить" своими же руками что-нибудь плохое на компьютер стало так же просто, как выпить воды. Причем, враг постоянно совершенствуется: по этому поводу достаточно посмотреть информацию, приведенную в статье "Если антивирус молчит, а подозрения на вирус есть?"

Хочется однажды включить некий волшебный тумблер, чтобы потом все работало само собой, и никто "тебя больше не трогал". Конечно же, так не бывает. Но, хороший программный персональный файрвол, в сочетании с другими средствами может значительно облегчить жизнь пользователя. Это и есть, в какой-то мере, тот волшебный тумблер. Дело в том, что после установки файрвол можно автоматически обучить правилам поведения, исходя из того, что ваша система еще чистая, не подвергалась заражению (режим обучения). Без сомнения, одной из лучших программ для организации домашнего файрвола, по мнению автора, является брандмауэр с функциями антишпиона Outpost Firewall фирмы Agnitum (http://www.agnitum.ru/products/ outpost/) — рис. 3.

Дополнительная защита

Рисунок 3

Выбрать режим работы брандмауэра можно непосредственно в меню, если щелкнуть по значку программы в трее (рис. 4).

Дополнительная защита

Рисунок 4

После того как файрвол пройдет обучение, можно будет поставить более жесткий режим — Блокировать все!

Функция выбора способа создания правил позволяет автоматизировать этот процесс (рис. 5).

Дополнительная защита

Рисунок 5

Программа позволяет создавать правила для отдельных приложений (рис. 6).

Дополнительная защита

Рисунок 6

Вот такая настройка позволяет "не мучиться" с правилами для "своих" компьютеров (теми, что в домашней сети), обозначив их в доверенной зоне (рис. 7).

 Дополнительная защита

Рисунок 7

В Outpost Firewall есть возможность вести черный список для IP-адресов, не давая им никакого шанса пробиться до ресурсов компьютера (рис. 8).

Дополнительная защита

Рисунок 8

В случае наличия подозрительного пакета с хоста из списка блокированных, вы будете уведомлены об этом соответствующим сообщением в трее компьютера (рис. 9).

Дополнительная защита

Рисунок 9

Детектор атак программы позволяет включить или выключить режим обнаружения той или иной сетевой атаки (рис. 10).

Дополнительная защита

Рисунок 10

В имеющемся наборе различных средств для противодействия хакерам программа Outpost Firewall настолько замечательна, что говорить о ней можно очень много. Мы же просто упомянем еще, что в ней имеются: проактивная защита внутренних компонентов, автоматическое обновление системы безопасности, веб-контроль, внутренняя защита самой программы и многое другое. При изучении настроек файрволов, вероятно, вы столкнетесь с описанием возможности настройки динамических правил фильтрации сетевого трафика. Такие подходы часто используются в промышленном активном сетевом оборудовании.

Если кратко, то правилами фильтрации разрешается только входящий трафик на один порт (или ограниченное число портов) и включаются опции, разрешающие генерировать временные (на период работы текущего сетевого взаимодействия) правила фильтрации. Без этой дополнительной опции сетевого взаимодействия просто не будет, так как исходящий сетевой трафик явно не разрешается, то есть"ответ по сети" запрещен. Опция позволяет в ответ на входящий по сети запрос разрешить еще несколько сетевых портов, как входящих, так и исходящих, о которых "договариваются" между собой компьютеры при первом запросе. Такой подход в разы сокращает перечень разрешенных явно сетевых портов, обеспечивает жесткий контроль сетевого взаимодействия.

Однако более детальное описание правильной настройки динамических правил фильтрации потребует немалого количества теории из области телекоммуникаций. Поэтому, учитывая всю эффективность данного подхода, желающим его использовать, следует потратить время на изучение одного из многочисленных учебников по основам компьютерных сетей. У некоторых специалистов в области информационной безопасности существует мнение, что время специализированных файрволов, выпускаемых сторонними производителями, для домашних компьютеров проходит. Происходит это от того, что с выходом каждой новой версии операционной системы встроенные в нее файрволы разработчики делают все более совершенными. Читайте статью Защита информации

Время покажет, правы они или нет. Прежде чем закончить тему файрволов, хотелось бы отметить, что в Интернете, в его современной реализации, уже невозможно располагать ресурсы без какой-либо защитной стенки. Обо всей более возрастающей активности злоумышленников говорит следующий пример. У автора этой статьи для некоторых личных нужд уже много лет в Интернете находится постоянно включенный небольшой, простенький сайт, на основе IIS Microsoft. Он не имеет баз данных, выполнен на устаревающей версии операционной системы, тем не менее, оснащен специальным программным обеспечением (urlscan), усиливающим защищенность сайта. Это программное обеспечение ведет собственные лог-файлы, по которым можно судить о характере атак конкретно на веб-сервер. Хотя (это сделано специально), сервер не имеет собственного DNS-имени в Интернете (и dynamic DNS тоже), тем не менее, количество различных нападок, сканирований поражает. На рис. 11 приведена статистика только за последние пять лет.

Дополнительная защита

Рисунок 11

А ведь учитывались только те случаи, когда атаки доходили до веб-сервера по порту 80, т. к. фактически сайт находится за двумя файрволами. Различные по характеру проб атаки с одного адреса в одно время считались как одна атака. Однотипные нападения с различных IP-адресов в короткий промежуток времени также считались как одна атака. Почему-то, начиная с 2012 года, резко возросло количество атак. И хотя география принадлежности IP-адресов очень обширна, тем не менее, можно отметить большое их количество (и, наверное, даже большую их агрессивность) из Китая.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

This blog is kept spam free by WP-SpamFree.