Файрвол как средство сетевой защиты
Итак, начнём. Сам я пользуюсь Sygate Personal
Firewall'ом. Единственное, что меня в нём
раздражает - это то, что из него нельзя выйти -
раздел меню Exit Firewall деативирован. Хотя,
может, это и к лучшему?.. Чтобы убедить кого-то
пользоваться чем-либо, надо внушить ему, что это
ему необходимо и без этого он не может жить. Так
зачем же нужен файрвол? Хотя бы затем, чтобы, как
это ни банально звучит, контролировать доступ
приложений к сети. Для этого существует несколько
предпосылок. Во-первых, допустим, у вас есть
shareware-прога, которую вы зарегистрировали при
помощи краденого серийника. Но у программы есть
функция проверки рег. инфы - для этого она лезет
на сайт производителя и проверяет, законна ли её
регистрация. Неприятно? Естесственно, ведь вчера
прграмма работала, а сегодня - уже нет...
Для этих целей файрвол подходит очень хорошо -
просто запрещаем нужной программе выход в
интернет, и описанная выше ситуация никогда не
повториться. Однако существует конфуз подобного
рода с отечественной прогой для распознания
отсканированного текста - FineReader, начиная с
5-ой версии. Дело в том, что лицензионное
соглашение не позволяет использовать программы с
одинаковым серийным номером в локальных сетях. Но
кто же читает лицензионные соглашения?! Вот и
получается, что при запуске FineReader'а в
локальной сети, когда уже есть хотя бы одна
запущенная копия этого приложения, программа
сообщает о нарушении лицензии и отказывается
работать. Однако ни один файрвол не замечает
сетевого подключения со стороны FineReader'а - ни
по TCP-, ни по UDP- портам!!! Товарищи по
соответствующим конференциям ни раз жаловались на
это обстоятельство, однако обойти его никто так и
не смог. Такие дела...
Вторая причина использования файрвола -
распространённость вирусов в современном
Интернете. Нет, упаси Бог!, я не собираюсь
рассказывать вам о том, как избежать заражения
вирусом через Интернет, для этого существуют
всякие ламерские книжки и конференции, да и some
brains не помешают... Просто большинство вирусов,
которыми заражаются пользователи, не несут в себе
деструктивных функций, т.е. они не
запрограммированы на уничтожение информации на
компьютере или на форматирование жёсткого диска...
Стоит вспомнить, что только последние версии
KLEZ'а содержали деструктивный код, уничтожая по
определённым дням файлы на дисках. Остальные
версии этого вируса просто были троянцами и
backdoor-утилитами в одном флаконе, т.е.
предоставляли своим создателям монопольный
telnet-доступ к заражённой машине, а вот от этого
как раз и может защитить файрвол - при обнаружении
исходящего подключения со стороны вируса он выдаст
нам окно с полной информацией о программе,
требующей доступ к сети, удалённым сервером, к
которому осуществляется подключение и прочей
информацией.
Вы можете однократно разрешить или
запретить приложению доступ к сети, а так же
создать правило для данного приложения. Только не
спешите тупо кликать на кнопку Yes(Да), как вас
учила некая фирма M$ - лучше внимательно
прочитайте то, что вам сообщают и вникните в это.
Сообщение будет, скорее всего, на английском
языке, но я не видел ещё пользователя, который
озадачивается своей безопасностью в сети, и при
этом не знает английского языка. В крайнем случае,
вспомните, чему вас учили в школе :-))) Файрвол
так же целесообразно использовать, если вы не
хотите, чтобы в памяти сидели антивирусные
мониторы - как правило, они отнимают слишком много
драгоценных системных ресурсов - даже относительно
"лёгкий" SpIDer Guard тормозит работу NT-систем. В
случае, если вы заразитесь троянцом, или
backdoor-хренью, вы узнаете об этом благодара
периодически отлавливаемым файрволом попыткам
сетевого подключения. А дальше уже дело техники,
т.к. файрвол вам, в лучшем случае, выдаст полный
путь к файлу вируса, зная который, можно начать
очищать машину от остатков зловредной программы. В
худшем же случае, файрвол вам выдаст всего лишь
путь к файлу rundll32.exe, через которую вирус и
пытается осуществить сетевое подключение. В любом
случае, это должно вас насторожить и вы хотя бы
подумаете о том, что нужно запустить антивирусный
монитор или сканер. Вот так начинается слияние
антивируса и файрвола...
Ещё одна причина использования файрвола, как
это ни странно, - хакерские атаки. Я не говорю о
ситуациях из книжек, когда злостный хакер
отслеживает вас долгие месяцы, а потом напрямую
подключается к вашей машине и уничтожает все
данные - от таких хакеров не спасут ни какие
файрволы, да и по диалапу выполнить подобную атаку
практически невозможно :) Я говорю о ситуациях,
когда на сервере (сайте), который вы посещаете,
выполняется скрипт, определяющий ваш IP-адрес и
сканирующий порты машины. После этого, если были
найдены возможности для быстрой атаки, эти данные
передаются скучающему хакеру, который быстренько
подключается к вашей машине, удаляет реестр вместе
с ядром системы (даёт задание ОСи при загрузке
удалить эти файлы) и исчезает... Ещё возможная
ситуация - когда человек, с которым вы общаетесь
по Аське, зная ваш IP, использует дыры в ICQ, для
прикола подключается к вашей системе и переводит
машину в ребут. Просто и весело :)
Надеюсь, я убедил вас в необходимости
использования файрвола даже на домашней машине,
особенно если вы хотите оградить кого-либо из
членов семьи от нежелательной информации, которую
несут в себе некоторые сетевые ресурсы. Тут тоже
может помочь файрвол - заблокировать некоторые
сайты с его помощью не составит особого труда.
Осталось определиться с выбором
брендмауэра. Как я уже говорил, сам я пользуюсь
прогой Sygate Personal Firewall Pro. Домашняя
страница этого чуда - http://sygate.com/, взять
последную версию проги можно там в разделе закачек
ну или поискать на сайте\форуме. Лекарство к нему
можно найти на сайте или форуме. Этот файрвол меня
привлёк некоторыми своими особенностями: очень
продуманная система логов: вносить в лог-файл
можно даже каждый пакет, который посылает по
определённому протоколу выбранная программа. Так
же присутствует очень удобный лог-вьювер, с
цветовой подстветкой, поиском, системой фильтров и
т.д. От корпоративной своей версии, Sygate
Personal Firewall унаследовал возможность
уведомления о критических ситуациях по электронной
почте. Порадовало наличие Advansed Rules
(Продвинутых Правил), через которые можно задать
правило, которое будет обрабатываться вне очереди
при заданной ситуации. Например, у меня файрвол
блокировал браузер при доступе в интернет при
жёстко заданном DNS-сервере. После того, как я
создал специальное правило в Advanced Rules,
проблема исчезла. Файрвол от Sygate может
распозновать сканирование портов вашей машины и
блокировать информацию с IP-адреса, откуда был
произведён скан портов. Меня очень порадовало
количество настроек у этого брендмауэра: тут уж
действительно можно всё настроить под себя
Если вам непонятна какая-либо опция,
тут же появляется подсказка, очень подробно о ней
рассказывающая. В общем, для меня изделие от
Sygate - просто идеал. Рекомендую всем более-менее
продвинутым пользователям, для которых не важен
русский перевод и красивый интерфейс.
Но не одним изделием от Sygate жив
мир! Существуют ещё несколько стоящих внимания
файрволов. Не уделить им хотя бы пару строк было
бы неправильно. Итак, кроме Sygate Personal
Firewall, по моему субъективному мнению, стоящими
внимания так же являются следующие брендмауэры: Zone
Alarm Pro, Norton Personal Firewall и Outpost Firewall. Outpost
Firewall похож на Sygate Personal Firewall, однако
делают его российские програмисты, следовательно,
присутствует русская версия этого файрвола и
совсем не обрезанная бесплатная версия. Разницы
между платной и бесплатной версиями, как я
заметил, практически нет. Outpost Firewall очень
популярен в России, имеет множество advanced
настроек, однако его интерфейс мне чем-то не
приглянулся и отворение фирмы Agnitum навсегда
исчезло с моей машины. Хотя, если вас чем-то не
устраивает Sygate Personal Firewall, советую
попробовать Outpost Firewall. Zone Alarm Pro
является, пожалуй, самым популярным файрволом в
мире. Его надёжность находиться на очень высоком
уровне, это подтверждено многими наградами.
Высокий уровень безопасности помогает поддерживать
функция динамического обновления у файрвола, через
которую можно исправить множество найденных в
программе ошибок. Интерфейс ZoneAlarm поражает
своей красотой - все углы сглажены, окна красиво
раскрашены в разные цвета, причём цветовая
раскраска не мешает восприятию всего остального, а
только радует глаза. Многие, думаю, видели,
раскрашенный интерфейс проги Reg Organiser. Так
вот, интерфейс Zone Alarm нисколько не похож на
это убожество: Reg Organiser скорее смахивает на
стареющую проститутку, чем на утилиту для работы с
реестром...
У Zone Alarm довольно мало опций, но
начинающим пользователям он подойдёт. Когда-то у
меня тоже стоял Zone Alarm, однако больше я к нему
не вернусь: работа этого файрвола на моей машине
была очень глючной: часто блокировался доступ к
некоторым ни в чём не повинным сайтам (правда,
очень часто это были warez-порталы), возникали
проблемы с кукисами, файрвол конфликтовал с Ad
Muncher'ом, блокировал некоторые файлы на
FTP-серверах. В общем, возвращаться к этому
кошмару я не собираюсь :-() Могу порекомендовать
этот брендмауэр только начинающим пользователям,
для которых важна простота и надёжность.
Более-менее продвинутым пользователям я этот
файрвол не советую...
О Norton Personal Firewall разговор
особый. Это просто чудо: очень высокий уровень
защиты, замечательные логи, отличный интерфейс,
щифрование настроек в реестре, хорошо
организованные правила для сетевых программ,
работающая (!!!) банерорезка... На моей машине
этот файрвол никогда не глючил, не блокировал
нормальные ресурсы, сетевые подключения, программы
и всё такое... Идилия! Всем вам я советую юзать
его и радоваться.
C файрволами разобрались. Надеюсь,
вы поняли необходимость их использования на каждой
машине, имеющей доступ в Интернет. Однако не стоит
забивать на сетевую защиту после установки
файрвола: типа, прога стоит, что-то там делает и
мне на всё наплевать. Необходимо анализировать
сообщения, выдаваемые брэндмауэром, обращать
внимание на новые версии программы, своевременно
обновлять как антивирусные базы, так и саму
антивирусную программу, не запускать
подозрительные файлы, пришедшие вам по электронной
почте и т.д. В любом случае, здравым смыслом
пренебрегать не стоит. Только выполнение всех этих
условий гарантирует максимальную защищённость
вашей машины в сети. Сладких грёз!
Автор: Leo
Источник: www.pc-zone.net
|