|
Не AtGuard единым…
Сергей Трошин
stnvidnoye@chat.ru
http://stnvidnoye.chat.ru
Задумывались ли вы
когда-нибудь, насколько хорошо защищен ваш
домашний или рабочий компьютер от
вторжения “плохих парней” из интернета
или пакостей злобного коллеги по работе?
Если нет, то знайте – защита Windows 9х задержит
опытного взломщика секунд на 5-10. Счастливые
обладатели модных соединений с Мировой
Паутиной – кабельных модемов, DSL, ISDN и т. п.,
не спрятавшиеся за корпоративным
брандмауэром, вообще выглядят для
начинающих хакеров, как плакат “Добро
пожаловать!”
Но даже если на вашем
предприятии установлен промышленный
файерволл, представляющий действительно
серьезную преграду для проникновения извне,
то все равно нет причин расслабляться –
никакое ФСБ не гарантирует, что внутри
вашей собственной сети не найдется “засланный
казачок”, чем-то вами обиженный (на пятку в
столовой никому не наступали?) и решивший в
отместку за это “нюкнуть” вас за минуту до
сохранения на диск вашего годового баланса,
который вы год и готовили. Как может
директор фирмы или отдел кадров при приеме
на работу новых сотрудников выявить
компьютерного маньяка, отрабатывающего
хакерские трюки на своих коллегах во время
обеденного перерыва? Никак.
К сожалению, не
только частные пользователи ПК, имеющие
выход в интернет, не уделяют должного
внимания сетевой защите, но и большинство
организаций, даже располагающих
сравнительно безопасными корпоративными
файерволлами, не предпринимают почти
ничего для повышения уровня защиты каждого
отдельного компьютера от внутренних угроз -
разве что “админы” установят антивирусы
на все рабочие станции, обновляя их базы раз
в месяц.
Да и много ли вообще
фирм и предприятий имеют такое недешевое
удовольствие, как промышленный аппаратный
файерволл? Возможно, к катастрофическим
последствиям подобная безалаберность в
нашей стране пока и не приводит, но то ли еще
будет? Интернет, как и уровень знаний наших
юных компьютерных гениев, не слишком
отягощенных муками совести, развивается
стремительно…
В отличие от
аппаратных межсетевых экранов (цены
доходят до $50 000) персональные файерволлы –
очень недорогие программные средства,
вполне подходящие для установки на каждый
ПК в любом, даже самом маленьком офисе, не
говоря уже о крупных фирмах с большими
сетями. Эти программы выполняют те же
функции, что и корпоративные файерволлы:
обнаружение вторжения, контроль доступа,
регистрация событий. Они фильтруют весь
сетевой трафик, допуская только
разрешенные пользователем соединения и
сигнализируя обо всех подозрительных
происшествиях, вплоть до автоматического
отправления электронной почты системным
администраторам на дом.
Персональных
файерволлов на рынке программного
обеспечения довольно много, но программы
эти в большинстве своем не очень известны,
за исключением, пожалуй, уже несколько
устаревшего AtGuard. Выбрать есть из чего, но
насколько эффективно вы обезопасите с их
помощью свои системы от злоумышленников
зависит не только от того, что вы
предпочтете, но и от того, как настроите и
как будете использовать эту программу.
Sygate Personal Firewall (Sybergen's
Secure Desktop)
www.sygate.com
Если вы собираетесь
использовать персональный файерволл для
значительного коллектива подопечных
пользователей, то вам необходима некоторая
степень централизованного развертывания и
управления. Personal Firewall позволяет это легко
осуществлять.
 Хакер, решивший
проникнуть на машину, снабженную такой
программой, не только не обнаружит открытых
портов, но и решит, что компьютер просто
выключен, благодаря так называемому STEALTH-режиму,
при котором неиспользуемые вами порты не
откликаются на запросы из Сети. При
активном Personal Firewall не удастся получить
никакой информации, обычно доступной с
подключенного к сети ПК - такой как имя
компьютера, пользователя, рабочей группы.
Использование его совместно с
дополнительным компонентом Sygate Enterprise Network
– сетевым центром управления
пользовательскими машинами -
эффективнейшим образом защитит любую
корпоративную среду, позволяя дистанционно
управлять всеми ПК в сети предприятия. Так,
можно заставить файерволл высылать по
электронной почте уведомление
администратору об обнаруженном
сканировании портов или попытке взлома. При
этом ведется детальный протокол всех
событий, облегчающий дальнейший “разбор
полетов”.
Простота панели
управления программы не должна вводить вас
в заблуждение – вы можете заблокировать
любой порт, задавая либо отдельно протокол
TCP или UDP, либо оба одновременно. Имеется
поддержка и протокола ICMP. Эта обманчиво
простая панель настроек позволяет без
каких-либо особенных знаний всех тонкостей
сетевых коммуникаций задавать пять
стандартных конфигураций уровня
безопасности. При этом степень Ultra High с
точки зрения защиты практически
равнозначен выдергиванию штепселя
модемного шнура из телефонной розетки при
Dial-Up подключении к интернету – и его
следует иногда использовать, например, если
вы постоянно подключены по выделенной
линии. Установка High, тем не менее, дает
полный доступ к ресурсам сети через Internet
Explorer и Outlook Express при отличных показателях
безопасности. Так, например, при попытке
использовать другие программы, стремящиеся
попасть во внешний мир, Personal Firewall выдаст
запрос на включение этих программ в “белый
список” приложений, которым вы доверяете –
это так называемый интерактивный режим “обучения”
программы. Программы из этого списка будут
иметь сетевой доступ независимо от выбора
уровня безопасности.
Только не вполне
понятно, почему в программе существует
понятие разрешенных IP-адресов, и нельзя
задавать запрещенные адреса – это
серьезное ограничение ее функциональности.
Personal Firewall умеет
задавать степень защиты, которая
изменяется в зависимости от времени суток,
что чрезвычайно важно при постоянном
подключении к интернету. Так, администратор
может позволить пользователям иметь
полноценный доступ в Сеть днем и
блокировать все на свете по окончании
рабочего дня, защищая систему от
несанкционированного доступа в свое
отсутствие.
Еще одна необычная
особенность файерволла – самостоятельное
повышение уровня защиты при активизации
скринсейвера, что, правда, может создавать
помехи некоторым сетевым программам
удаленного администрирования. Диалог
конфигурирования Personal Firewall позволяет и
вручную регулировать дополнительные
настройки портов или выбирать “пресеты”
часто встречающихся установок типа “Разрешить
обзор сетевого окружения” простой
установкой одного флажка. Если вы
предпочтете управлять доступом к портам
вручную, то сможете не только открыть/закрыть
любой порт, но и назначить заданным
приложениям разрешенные рабочие порты.
Инсталляция,
требующая перезагрузки ПК, проблем не
вызывает, файерволл работает и в Windows 2000,
однако, обратите внимание на список
известных “багов”. Так, например,
предыдущая версия программы, называвшаяся
Sybergen's Secure Desktop, была несовместима с Internet Chess
Server. В общем, читайте немногословную, но
достаточно грамотную документацию.
Network Ice Black ICE Defender
www.networkice.com
 Этот файерволл
применяет в своей работе приятную во всех
отношениях функцию Black Trace - получение всей
возможной информации о “хакающем” вас
злоумышленнике. Генерируемый при
отслеживании хакера протокол,
зафиксировавший в пригодном для
предъявления обвинения формате все
незаконные действия правонарушителя,
пригодится если уж не в суде, то, по крайней
мере, будет серьезной уликой в разборках с
привлечением интернет-провайдера (или
местной братвы). Попавшийся чрезмерно
активный “кулхацкер” запросто лишится как
минимум выхода в интернет (о максимуме
говорить не будем). Идентификация природы
неизвестного трафика – очень хорошая
функция, но манера Black ICE Defender обозначать
любое соединение как атаку может заставить
юзера поседеть гораздо раньше времени. В
дополнение ко всему, Black ICE Defender при
предупреждении (а это делается даже
звуковыми сигналами) об обнаруженных
попытках вторжения определяет степень
опасности произошедшего события - от “критического”
до “информационного”. При этом файерволл
даже слишком многословен, когда ведет
протокол событий - регистрируется
абсолютно все!
У Black ICE Defender имеется и
еще одна уникальная возможность.
Путешествуя с мобильным ПК, или при Dial-UP
доступе в интернет вы обычно не можете
получить статический IP-адрес. Это означает,
что нельзя заранее создать безопасное
соединение между двумя ПК, задав явным
образом их IP-адреса и разрешив им
совместный доступ к файлам. Black ICE Defender очень
элегантно решает эту проблему. Для этого
достаточно (не пугайтесь!) открыть порты
NetBIOS и установить нетривиальный пароль на
доступ к файлам – если Black ICE Defender обнаружит
попытку подобрать пароль, он тут же
самостоятельно занесет IP злоумышленника в
черный список и разорвет это соединение. Вы
же, зная правильный пароль, всегда получите
полный доступ, вне зависимости от
динамически назначаемого IP-адреса своего
рабочего ноутбука. Настройка совместного
доступа к файлам очень проста, что есть
немаловажный плюс программы.
К сожалению, хоть Black
ICE Defender и блокирует порты весьма эффективно,
он не умеет управлять доступом в Сеть
установленных на компьютере приложений –
уходящий трафик ничем не защищен. Таким
образом, если уж “троянский конь” попал в
вашу систему, то ничто не помешает ему
воспользоваться открытым (например, для
Outlook Express) портом и отправить все ваши пароли
куда-нибудь на анонимный почтовый ящик mail.ru.
Еще один недостаток
заключается в том, что иногда замечается
неожиданное, без каких-либо предупреждений,
прекращение работы файерволла. К тому же за
это хозяйство разработчики еще хотят
ежегодный лицензионный взнос, как будто вы
не покупаете программу, а берете ее в аренду.
Black ICE Defender также
имеет несколько заранее заданных уровней
безопасности, причем названия им выбраны не
без юмора: Trusting, Cautions, Nervous и Paranoid. Каждый
уровень, хоть и пропускает все исходящие
соединения, но обеспечивает чрезвычайно
надежную фильтрацию поступающих
соединений. При ручном же вводе конкретного
IP-адреса в список разрешенных или
заблокированных IP, Black ICE Defender либо разрешит
полный доступ с этого адреса к вашему ПК,
либо полностью заблокирует все приходящие
пакеты.
Однако очень
неудобно то, что нельзя задавать диапазон IP-адресов
или маску подсети. Оригинальное
динамическое управление правилами снимает
необходимость обучающего режима (отсутствующего
в этой программе). Небольшой совет:
поскольку IP-адрес, в принципе, можно и “подделать”,
будет неплохо, если вы сконфигурируете свои
маршрутизаторы так, чтобы они не пропускали
пакеты, носящие IP-адреса вашей сети, но
порожденные за ее пределами.
На системы с Windows NT и
Windows 9x программа устанавливается, даже не
требуя перезагрузки компьютера, что
немного облегчит жизнь “админам” с
большим парком обслуживаемой техники.
Тщательно продуманная документация
охватывает все функции программы и
содержит неплохие рекомендации о том, как
следует реагировать на засеченные попытки
взлома.
Zone Alarm
www.zonelabs.com
 В напарники к Black ICE
Defender можно посоветовать программу Zone Alarm,
компенсирующую его основной недостаток -
отсутствие контроля за приложениями,
пытающимися выбраться в интернет. Эта
бесплатная программа (есть и чуть
расширенный платный вариант - Zone Alarm Pro)
почти идеальна для индивидуального
использования и защитит и одиночных “диалапщиков”,
и десяток машин в локальной сети небольшой
конторы. Помимо того, что утилита работает
без проблем на любых версиях Windows - вплоть до
Windows 2000 и “Миллениума”, она требует всего-навсего
486-й процессор и более чем нетребовательна к
объемам оперативной памяти.
Все всплывающие
сигнализаторы неопознанной сетевой
активности будут понятны самым неопытным
пользователям и предлагают всего два
выбора - допустить соединение или
отказаться от него. Также Zone Alarm спросит,
хотите ли вы, чтобы программа запомнила
этот ваш выбор на будущее. Для каждой
зарегистрированной подобным образом или
вручную программы есть возможность
впоследствии конкретизировать настройки,
указав разрешенные IP и порты. Все без
исключения обращения к Сети
протоколируются, даже если вы отключите
вывод информационных сообщений о
детектировании разрешенных соединений.
Разработчики этого
файерволла тоже заботятся об удобстве
пользователя, позволяя простым
перемещением движка-регулятора задавать
любой из трех предустановленных уровней
защиты, причем отдельно настраиваются две
зоны - локальная сеть и интернет.
Характеристики этих установок легко
изменить, если вас в них что-то не
устраивает. При максимальном уровне не
произойдет никаких соединений, пока вы
лично их не разрешите, что, впрочем, требует
некоторого времени на “обучение”
программы - так что более чем десятку
пользователей не стоит ее устанавливать
одновременно, если не хотите стать админом-марафонцем.
Zone Alarm, как и многие
другие защитные утилиты, использует STEALTH-режим,
который “прячет” все неиспользуемые порты,
предотвращая ответы о текущем статусе
порта, запрашиваемые, например, при
сканировании вашей машины в поисках “дыры”.
Несмотря на кажущуюся простоту программы,
она способна блокировать множество
потенциально угрожающих вашей системе
пакетов из интернета. При активизации
экранной заставки или во время простоя ПК
программа может полностью перекрыть выход
в интернет, что повышает уровень
безопасности забывчивых пользователей,
особенно при постоянном подключении к Сети.
Для локальной зоны
лучше установить среднюю степень защиты,
чтобы сохранить сетевой доступ к “зашаренным”
ресурсам - немаловажно, что при этом
пользователь сам определяет, что относится
к локальной зоне. К счастью, в этом случае не
нужно вводить IP-адрес каждого ПК в
локальной сети - достаточно задать диапазон
адресов или маску.
В последнем релизе Zone
Alarm добавилась опция Mail Safe, предотвращающая
запуск потенциально опасных скриптов,
полученных по электронной почте, типа
печально известного вируса I LOVE YOU. В отличие
от антивирусных программ, эта функция не
даст пользователю запустить новейший,
неизвестный антивирусам деструктивный
скрипт. К сожалению, документация к
программе ограничена HTML-справкой, но зато
написана она довольно прилично. При желании
вы сами воплотите ее в материальную форму,
распечатав на принтере.
Norton Internet Security 2001 Family
Edition
www.symantec.com
 После покупки фирмой
г-на Питера Нортона Symantec популярнейшей
программы AtGuard можно было с полным правом
ожидать, что изменится не только название
файерволла, но и значительно улучшится его
надежность и функциональность. В чем-то эти
ожидания оправдались, а в чем-то и нет. Зато
теперь программа “весит” около 40 Мб,
поскольку в нагрузку к ней дается Norton Antivirus,
что, согласитесь, заставляет трижды
подумать при выкачивании демонстрационной
(да и купленной) версии NIS2001 с сайта Symantec.
Появились
аналогичные другим программам «движки»,
задающие несколько степеней защиты. Кроме
того, программа теперь сама умеет
автоматически создавать для нескольких
наиболее распространенных приложений (Outlook
Express, Internet Explorer, CuteFTP и т. д.) необходимые
настройки, избавляя юзера от лишних проблем.
Набор вариантов настроек существенно
расширен, и теперь есть возможность
блокировать IGMP-пакеты и фрагментированные
IP-пакеты. Ручная конфигурация, естественно,
позволяет настраивать программу как угодно,
никаких ограничений нет вообще, вот только
добраться до нужного меню стало труднее –
надо раза четыре нажать кнопку мыши,
переходя от одного меню к другому. Да и
удобная панель быстрого доступа к
настройкам и наглядной индикации событий
Dashboard по умолчанию отключена – чтобы ее
вызвать, надо вручную создать ярлык
C:FilesInternet Security Family Edition.EXE -AppBar, в то время как
в инструкции о существовании Dashboard вообще
ничего не сказано.
Никаких проблем с “обучением”
файерволла новым правилам в процессе
детектирования попытки установления
нового, незарегистрированного соединения
не наблюдается, весь процесс укладывается в
два клика во всплывшем диалоговом окне.
Появилась шикарная опция – NIS2001 теперь
умеет связывать привилегии доступа в
интернет с конкретными приложениями. Вы
можете, например, разрешить только вашему
Internet Explorer соединяться только с ресурсами
веб-серверов по портам 80 (http) и 443 (https) – то
есть любому трояну уже ничего не светит. Для
любой настройки есть даже возможность
установить часы работы, чтобы разрешать,
например, выход в интернет пользователям
локальной сети только в обеденный перерыв.
Надежность работы файерволла
обеспечивается тем, что пакеты
обрабатываются на низком уровне
специальным драйвером до их отправки на
растерзание какой-либо другой программе.
Уникальнейший режим
блокирования баннеров сэкономит вам немало
денег и времени, вырезая весь этот мусор из
трафика. Помимо этого, вы можете сделать
огромное количество других настроек – от
блокировки подозрительных и опасных
элементов ActiveX, JAVA-скриптов и апплетов – еще
одного узкого места в безопасности
браузеров, - до запрещения отправки cookies,
выдачи версии вашего браузера и адреса
электронной почты – анонимность нынче в
моде.
Совершенно новая
функция - ограничение доступа детей к “взрослым”
сайтам - обойти ее, не зная пароля для
доступа к настройкам файерволла (или
тонкостей настройки самой операционной
системы), будет очень непросто. Впрочем,
если это вам не нужно, то приобретайте
облегченную и удешевленную версию
программы под названием Personal Edition. В ней
отсутствует родительский контроль, однако
в нем удалена еще и возможность блокировать
рекламу.
К сожалению, в
точности следуя своему названию, Norton Internet
Security предназначен для работы исключительно
с интернетом и не поддерживает сетевые
протоколы NetBEUI, IPX, ARP, так что в локальной
сети нет особого смысла его использовать,
ибо защита получится несколько однобокая.
Хотя для работы в интернете как самое
комплексное решение он, пожалуй, идеален.
Учтите только, что в
некоторых версиях программы после ее
инсталляции оказываются открытыми порты
NetBIOS для совместимости с некоторыми старыми
кабельными модемами - первым же делом их
закройте, если не намерены применять
совместный доступ к файлам.
ConSeal PC Firewall
www.signal9.com
Интерфейс этой
программы оставляет желать лучшего, но она -
один из самых надежных, настраиваемых и
гибких файерволлов, приближающийся по
качеству к аппаратному брандмауэру,
отлично подходящий опытному пользователю.
Отсюда проистекает и самый главный его
недостаток – пользователь должен
отчетливо себе представлять, что такое TCP/IP.
Наборы правил этого
файерволла представляют собой обычные
файлы, которые без труда размножаются на
любом количестве ПК в больших сетях.
Настройке поддается все, что нужно: IP-адреса,
порты, доступ приложений, направление
пакетов. Есть и режим обучения, так как
необходимость создания наборов правил
вручную может сначала напугать кого угодно.
На этот счет разработчики выложили на сайте
несколько комплектов уже готовых файлов с
вполне исчерпывающими настройками, которые
послужат неплохой основой для создания
установок, оптимальных в вашей конкретной
системе. Учтите только, что когда вы
устанавливаете новый файл с набором правил,
то старые настройки не уничтожаются, а
дополняются новыми, а в случае конфликта
двух правил работает то, которое было
установлено последним.
Установка проходит
довольно гладко, да и инструкция весь
процесс неплохо описывает, особо обращая
внимание на всяческие хитрые моменты
конфигурирования программы. Зато в Windows 2000
программа не работает совсем.
Пользователь
изначально обеспечивается четырьмя типами
начальных конфигураций: Dial-Up – модемный
выход в интернет - блокируется весь ICMP; Cable -
для кабельных и DSL-модемов; Browse – выбор
готового файла настройки и None - для
самостоятельного конфигурирования.
Индивидуальному пользователю начинать с
этого файерволла, наверное, не стоит, если
только вы не готовы выучить наизусть всю
инструкцию.
McAfee Personal Firewall (ConSeal
Private Desktop)
www.mcafee.com
Еще одна
перепроданная программа (вернее, “движок”
от нее) - бывший ConSeal Private Desktop. Эта программа
ориентирована в основном на рядового
пользователя, в отличие от своего старшего
брата - ConSeal PC Firewall.
Что мы имеем? Есть
удобный и достаточно простой в
использовании режим “обучения” программы,
ставший практически стандартом для
современных файерволлов. Не обошлось и без
готового комплекта встроенных профайлов,
вполне подходящих для первого знакомства с
программой.
McAfee Personal Firewall умеет
контролировать выход других программ в
интернет, – блокировка исходящего трафика
предотвратит ущерб от троянских программ. В
случае попыток незарегистрированного в
настройках файерволла приложения выйти в
Сеть выскакивает диалоговое окно,
требующее определиться, в какой из списков
– “черный” или “белый” - занести эту
программу. Из дополнительных функций стоит
отметить разве что фильтрацию
фрагментированных пакетов – в общем, не
густо.
В администрировании
этот продукт не очень удобен, и его, как и Zone
Alarm, не рекомендуется устанавливать в
больших сетях, хотя, учитывая то, что
файерволл изначально рассчитан на
индивидуальных пользователей, недостатком
это назвать нельзя.
При тестировании
программы нашелся неприятный “глюк”, -
каждые десять секунд система на мгновение
подвисает.
Вышеперечисленными
программами, разумеется, список
персональных файерволлов далеко не
ограничивается, и я вам также настоятельно
рекомендую посмотреть, например, еще и
новейший файерволл Sphinx Personal Firewall
(shop2.sphinxwall.com), который просто предельно
дружественен к пользователю, благодаря
использованию Configuration Wizard – мастера
настройки. С помощью вполне понятного (для
не разбирающегося во всех премудростях
сетевых технологий пользователя) диалога,
ответив на несколько вопросов, вы сможете
задать все необходимые начальные параметры
файерволла. В результате уже через минуту
после его инсталляции получите совершенно
работоспособную систему при максимуме
безопасности. Хотя веселенький интерфейс
программы и наводит на мысли о ее
несерьезности, это впечатление обманчиво, и
мне кажется, что у Sphinx Personal Firewall очень
хорошие перспективы, так как он обладает
всеми возможностями маститых конкурентов.
Проверить же
качество вашего файерволла и его настроек
вы сможете на сайтах Security Scan
и
ShildsUP!, которые вместо хакера
просканируют все ваши порты и найдут
потенциальные "дыры" в защите вашей
информации.
|
Что же такое firewall?
Все коммутации в
интернете осуществляются посредством
обмена пакетами данных. Каждый пакет
передается от машины-источника к машине -
точке назначения. Пакет - единица потока
информации в интернете. Любое соединение
между двумя ПК состоит из отдельных пакетов,
путешествующих между этими машинами. По
существу, компьютеры “договариваются”,
что они связаны, и каждая машина возвращает
назад подтверждение о получении данных.
Чтобы прибыть по назначению, вне
зависимости от того, где находится
компьютер-приемник - на соседней улице или
за океаном, каждый интернет-пакет должен
содержать адрес точки прибытия – IP
конкретного компьютера и номер порта, как
бы адрес программы или службы, которой он
предназначен. Плюс ко всему, принимающий
компьютер должен знать, кто послал ему
очередной пакет, поэтому поэтому все они
содержат также IP-адрес отправителя и номер
порта, породившей его машины.
Иными словами, любой
пакет, перемещающийся в Сети, включает
полные адреса отправителя и получателя. IP-адрес
всегда идентифицирует конкретную
одиночную машину в интернете, а порт связан
с конкретной службой, ответственной за
обработку данного блока информации.
Программный
файерволл - это “стена кода”, проверяющая
“личность” каждого пакета данных,
проходящего сквозь файерволл в любую
сторону, а затем разрешающая или
запрещающая его прохождение. Когда-нибудь
файерволлы станут стандартной программой (или
устройством) для каждого ПК, но сегодня еще
приходится устанавливать их дополнительно.
Файерволл всегда проверяет каждый пакет
данных, достигающий вашего ПК, до того, как
он поступит в распоряжение любой другой
запущенной программы.
TCP/IP порт открыт для
прохождения данных только в том случае,
если на первый достигший вашего ПК пакет с
запросом установки нового соединения, ваш
компьютер отвечает: “Всегда готов!”. Если
пакет этот просто проигнорирован, то порт
вашего ПК исчезает из сети (STEALTH-режим), то
есть компьютер-отправитель его банально не
видит.
И именно потому, что в
каждом пакете содержится корректный IP-адрес
машины, его отправившей, файерволл,
собственно, и в состоянии понять, какие
пакеты пропускать, а какие нет. В результате
происходит фильтрация пакетов, основанная
на комбинациях заданных IP-адресов и портов.
Так, например, если вы запускаете у себя
интернет-сервер, то нужно позволить
удаленным ПК подключаться к вашему
компьютеру по 80 порту (http). Файерволл должен
проверять все пакеты и разрешать
соединения только с портом 80. На всех других
портах соединения должны отвергаться. В
этом случае, даже если на вашей системе
заведется “троян”, который будет слушать
какой-то порт, ожидая подключения внешней
клиентской своей части, сам этот клиент-сканер
не обнаружит существования засланного "троянца",
поскольку все его попытки подключиться к
другому, отличному от 80, порту, будут
пресекаться файерволлом.
Или, допустим, надо
при наличии постоянного подключения
обеспечить безопасный «проход» через весь
интернет, дабы получить доступ к домашнему
ПК из офиса. Технология файерволлов делает
это возможным. Надо только указать
файерволлу, чтобы он разрешил соединения с
портами 137-139 (совместный доступ к файлам
NetBIOS) только с конкретного IP-адреса вашего
рабочего ПК. Аналогичные установки должны
быть сделаны и на другом ПК. Таким образом,
каждая машина будет “видеть” порты NetBIOS
другой, но никто в интернете не узнает об
этом “туннеле” и не сможет к нему
подсоединиться.
Но как же создаются в
таком случае соединения вашего ПК с
огромным количеством серверов в интернете?
Когда вы бродите по Сети, вы должны
соединяться с веб-серверами, имеющими самые
разные IP-адреса – их не надо блокировать
только потому, что вы хотите обезопасить
свой ПК от проникновения извне.
Любой пакет,
проходящий между двумя машинами, имеет
набор битов, называемых ACK-биты. Эти биты
сообщают, что данный пакет подтверждает
получение всех предыдущих данных. Но это
означает, что только самый первый пакет,
инициировавший новое соединение, не будет
подтверждать получение предыдущих данных.
Другими словами, файерволл может легко
определить, создается ли новое соединение
или продолжается пересылка затребованных
вами данных. Пакеты, являющиеся частью
установленного соединения, должны
проходить файерволл, а новые попытки
соединения – отвергаться. Таким образом,
уходящие соединения разрешаются, а
входящие блокируются.
В каких же случаях
файерволл совершенно необходим?
- если вы хотите,
чтобы ваши файлы были дистанционно
доступны (причем, только вам одному или
особо доверенным лицам) с помощью интернета;
- если на вашем ПК
стоит интернет-сервер – любителей его
взломать найдется немало;
- если вы используете
дистанционное управление ПК посредством
программ типа PCAnywhere, LapLink и т. п. ;
- если вы просто
хотите защитить себя от попыток вторжения
хакеров и программ-“троянцев”, ворующих
пароли с вашего компьютера.
|
При подготовке
статьи использовались материалы сайтов ShildsUP!
и NetworkWorldFusion.
|
