Кирпичик в стену безопасности
Первый раз столкнувшись с
необходимостью установки файрвола
(firewall), я поставил перед ним
несколько задач: быть простым в
управлении, широким в настройках,
желательно наглядным и лишь в
последнюю очередь бесплатным.
Пройдя путь обычного пользователя
от набора слова "firewall" в
поисковике до сравнительных
(личностно-субъективных) тестов на
своей машине, пришел к
необходимости изучения общих основ
компьютерной безопасности вообще.
Вследствие чего оказалось, что
люди, свято верящие, что файрвол
решит все проблемы сетевой
безопасности, глубоко ошибаются.
Связано это с целым рядом
публикаций, где авторы, описывая
очередной продукт, пытаются
представить его некой
"каменно-огненой стеной", в то
время как он является лишь частью
этой стены, ее кирпичиком. Создание
условий сетевой безопасности -
процесс многоплановый и во многом
персонализированный. Недостаточно
только фильтровать
входящий/исходящий трафик, т.к.
атака может быть произведена на
программу, находящуюся в Сети
(например, браузер), или даже
непосредственно на сам файрвол с
целью его временного отключения. В
этом случае хорошо, если защита
эшелонирована (состоит из
нескольких рядов "укреплений")
и дополняется антивирусным
монитором,
"прослушивальщиком"
сканирования портов,
"отслеживателем" изменения в
реестре и т.д. Описание создания
такой обороны (отнимающей немало
оперативной памяти) выходит за
рамки данной статьи, однако
необходимость этого
подразумевается, что, в свою
очередь, предполагает наличие
определенных требований к нашему
будущему файрволу. С одной стороны,
уменьшается количество претензий в
плане действий, нацеленных на
безопасность, с другой - повышаются
критерии отбора для выполнения
основных функций (фильтрации
трафика).
Сразу отбросим интересные, но
рассчитанные на масс-поп
"стенки". Как производители,
так и популярные сайты рекламируют
их как чуть ли не "установил и
забыл", но мне с самого начала
хотелось бы знать, по какому
принципу фильтруется трафик?
Например, если приложение просится
в Сеть, то откуда оно взялось
(системный путь), а если ко мне на
компьютер, то кто его послал?
Достаточно наивно и смешно
выглядят настройки фильтрации типа
"чуть-чуть", "половину
трафика", "все, кроме
разрешенных сайтов", или, еще
лучше, "light", "medium",
"hard". Попытка разработчиков
самим решить, что "мой" файрвол
должен "глушить", а что нет, не
устраивает меня в принципе.
Претензии такого же качества будут
адресованы программе, которая
пытается отслеживать почтовый
ящик, ловить spyware и еще бог знает чем
заниматься. Не бывает в
универсальном продукте все хорошо
(бывают хорошие продукты,
используемые как универсальные), и
попытка добавить функциональности
не за счет расширения внутренних
свойств почти всегда обречена на
провал.
Попридиравшись к десятку
серьезных и не очень программ,
гордо именующих себя
брандмауэрами, и едва не решив
остаться на родном Windows-файрволе ICF
(есть и такой), мы обязательно
наткнемся на луч света в царстве
тьмы - Sygate Personal Firewall. Что же
скрывается внутри этого почти
тезки известной марки накопителей
на жестких дисках? Во-первых, ничего
лишнего. После загрузки и
регистрации (я по умолчанию
рассматриваю версию PRO (платную) как
полноценную, а не Free (без взимания
денег) - урезанную) программа мирно
поселится в трее и будет ждать
коннекта. Единственное, что я бы
рекомендовал изменить в
настройках, это увеличить размеры
журналов (по умолчанию всего 512 Кб) и
поставить галочку в Tools-Options-General
"Hide notification messages", чтобы
программы с запрещенным выходом в
Сеть не доставали информационными
окнами при каждой своей попытке. И
все. Коннектимся и начинаем обучать
SPF, что можно пускать во всемирную
паутину, а что нет. Не забываем
ставить на приложениях, с
политиками которых вы все решили,
галочку-пометку о запоминании. В
любом случае все можно исправить,
дважды кликнув по значку рядом с
системными часами и изменив
параметры на необходимые.
Главное окно состоит из трех
графиков: входящее, исходящее
соединение и история атак. В
последнем случае при обнаружении
подобных действий файрвол
блокирует IP на десять минут. Этот
срок можно увеличить в Options-Security, а
также тонко настроить, что
считается недопустимым действием с
последующей блокировкой.
Кроме подробного ведения журнала
логов, программа запоминает все
приложения, когда-либо просившиеся
в Сеть, а также вашу реакцию на них.
В меню Applications всегда можно не
только просмотреть, но и исправить
возможные ошибки "молодости".
А при желании с помощью Security Test
проверить систему на прочность.
Если у вас имеются подозрения в
необъективности (попытка взлома
идет с сайта sygate.com) такого теста, то
милости просим по адресу www.securitymetrics.com/portscan.adp,
где, кроме бесплатного тест-анализа
системы, вы можете заказать,
опять-таки, бесплатное электронное
письмо с рекомендациями по
усилению ее защиты.
Оставляя в стороне такие
распространенные вещи, как
блокирование всего трафика и
автоматическое обновление,
упомяну, что SPF может при хакерских
атаках отправить по нужному адресу
письмо с подробным логом или
заблокироваться при попытке не
санкционирования удаления из
системы.
Представляя собой гибкий и
мощный, но в то же время доступный и
наглядный механизм, Sygate Personal Firewall
способен стать незаменимым
помощником при работе в Сети
(кстати, если вы не Администратор
(именно с большой буквы), то вам
хватит и стандартного набора
возможностей версии Free). Его
требования к оперативной памяти
порядка 13-15 Кб, что не так уж и много,
а широкий спектр настроек и правил
станут хорошим подспорьем в
процессе освоения методов работы с
файрволами. Вполне вероятно, что
через некоторое время вы забудете о
нем, занимаясь усилением сетевой
обороны уже в другом месте, на
другом "фронте".
Автор: Wildcat_e
Источник: www.kv.by
|