Файрволлы
Не AtGuard’ом единым…

Задумывались ли вы когда-нибудь, насколько хорошо защищён ваш домашний или рабочий компьютер от вторжения «плохих парней» из Интернета или пакостей злобного коллеги по работе? Если — нет, то знайте — Windows 9х задержит опытного взломщика секунд на 5-10. Счастливые обладатели прямых соединений с Мировой Паутиной — кабельных модемов, DSL, ISDN и т.п., не спрятавшиеся за корпоративным брандмауэром вообще выглядят для начинающих хакеров как плакат «Добро Пожаловать!».

Но даже если на вашем предприятии установлен промышленный файерволл, представляющий действительно серьёзную преграду для проникновения извне, то всё равно нет причин расслабляться — никакое ФСБ не гарантирует, что внутри вашей собственной сети не найдётся «засланный казачок», чем-то вами обиженный (на пятку в столовой никому не наступали?) и решивший в отместку за это «нюкнуть» вас за минуту до сохранения на диск вашего годового баланса. Как может директор фирмы или отдел кадров выявить при приёме на работу новых сотрудников компьютерного маньяка, отрабатывающего хакерские трюки на своих коллегах во время обеденного перерыва?

К сожалению, не только одиночные пользователи ПК, имеющие выход в Интернет, не уделяют должного внимания сетевой защите, но и большинство организаций, даже имеющих сравнительно безопасные корпоративные файерволлы, не предпринимают почти ничего для повышения уровня защиты каждого отдельного компьютера от внутренних угроз, разве что, «админы» антивирусы установят на все рабочие станции, обновляя их базы раз в месяц-два. Да и много ли вообще фирм и предприятий имеют такое недешёвое удовольствие, как промышленный аппаратный файерволл? Возможно, к катастрофическим последствиям подобная безалаберность в нашей стране пока и не приводит, но то ли ещё будет? Интернет, как и уровень знаний наших юных компьютерных гениев, не слишком отягощённых совестью, развивается стремительно…

В отличие от аппаратных межсетевых экранов (под 50000 долларов доходят цены), персональные файерволлы — очень недорогие программные средства, вполне подходящие для установки на каждый ПК в любом, даже самом маленьком офисе, не говоря уже о крупных фирмах с большими сетями. Эти доступные программы выполняют те же функции, что и корпоративные файерволлы: обнаружение вторжения, контроль доступа, регистрация событий. Они фильтруют весь сетевой трафик, допуская только разрешённые соединения и сигнализируя обо всех подозрительных происшествиях, вплоть до автоматического отправления электронной почты системным администраторам на дом.

Персональных файерволлов на рынке программного обеспечения довольно много, но программы эти в большинстве своём не очень известны, за исключением, пожалуй, несколько устаревшего AtGuard. Выбрать есть из чего, но насколько эффективно вы обезопасите с их помощью свои системы от нежелательных злоумышленников — зависит не только от того, что вы предпочтёте, но и от того, как настроите и как будете использовать эту программу.

Sygate Personal Firewall [1] (Sybergen’s Secure Desktop)

Если вы собираетесь использовать персональный файерволл для значительного коллектива подопечных пользователей, то вам необходима некоторая степень централизованного развёртывания и управления. Personal Firewall позволяет это легко осуществлять. Этот брандмауэр показывает отличные результаты по всем аспектам безопасности. Хакер, решивший проникнуть на машину, снабжённую такой программой, не только не обнаружит открытых портов, но и решит, что компьютер просто выключен, благодаря так называемому STEALTH–режиму, при котором неиспользуемые вами порты не откликаются на запросы из сети. При работе Personal Firewall не удастся получить никакой информации, обычно доступной с подключённого к сети ПК, такой как имя компьютера, пользователя, рабочей группы. Использование его совместно с дополнительным компонентом — Sygate® Enterprise Network — сетевым центром управления пользовательскими машинами эффективнейшим образом защитит любую корпоративную среду, позволяя дистанционно управлять всеми ПК в сети предприятия. Так, можно заставить файерволл высылать по электронной почте уведомление администратору об обнаруженном сканировании портов или попытке взлома. При этом ведётся детальный протокол всех событий, облегчающий дальнейший «разбор полётов».

Простота панели управления программы не должна вводить вас в заблуждение — вы можете заблокировать любой порт, задавая либо отдельно протокол TCP или UDP, либо оба одновременно. Имеется поддержка и протокола ICMP. Эта обманчиво простая панель настроек позволяет без каких-либо особенных знаний всех тонкостей сетевых коммуникаций задавать пять стандартных «пресетов» уровней безопасности. При этом уровень «Ultra High» с точки зрения защиты практически равнозначен выдергиванию штепселя модемного шнура из телефонной розетки при Dial-Up подключении к Интернету — и его следует иногда использовать, если вы постоянно подключены по выделенной линии, например. Установка «High», тем не менее, даёт полный доступ к ресурсам сети через Internet Explorer и Outlook Express, при отличных показателях безопасности. Так, например, при попытке использовать другие программы, обращающиеся к Интернету, Personal Firewall выдаст запрос на включение этих программ в «белый список» приложений, которым вы доверяете — это так называемый интерактивный режим «обучения» программы. Программы из этого списка будут иметь сетевой доступ независимо от выбора уровня безопасности.

Не вполне только понятно, почему в программе существует понятие разрешённых IP-адресов и нельзя задавать запрещённые адреса — это серьёзное ограничение её функциональности.

Personal Firewall имеет очень полезную возможность задавать степень защиты, автоматически зависящую от времени суток, что чрезвычайно важно при постоянном подключении к Мировой Сети. Так, администратор может позволить пользователям иметь полноценный доступ в сеть днём и блокировать всё на свете по окончании рабочего дня, защищая систему от несанкционированного доступа в своё отсутствие.

Ещё одна необычная особенность файерволла — самостоятельное повышение уровня защиты при активизации скринсейвера, что, правда, может создавать помехи некоторым сетевым программам удалённого администрирования. Имеются также совершенно необходимые при администрировании больших сетей функция уведомления по e-mail о попытках взлома системы и защита изменения настроек программы паролем. Диалог конфигурирования Personal Firewall позволяет и вручную регулировать дополнительные настройки портов или выбирать «пресеты» часто встречающихся установок типа «Разрешить обзор сетевого окружения» простой установкой одного флажка. Если вы предпочтёте управлять доступом к портам вручную, то сможете не только открыть/закрыть любой порт, но и назначить заданным приложениям разрешённые рабочие порты.

Инсталляция, требуя перезагрузки ПК, проблем не вызывает, файерволл работает и в Windows2000, однако, обратите внимание на список известных «багов», так, например, предыдущая версия программы, называвшаяся Sybergen's Secure Desktop, была несовместима с Internet Chess Server. В общем, читайте немногословную, но достаточно грамотную документацию.

Network Ice Black ICE Defender [2]

Этот файерволл применяет в своей работе приятную во всех отношениях функцию «Black Trace» — получение всей возможной информации о «хакающем» вас злоумышленнике. Генерируемый при отслеживании хакера протокол, зафиксировавший в пригодном для предъявления обвинения формате все незаконные действия правонарушителя, пригодится если уж не в суде, то по крайней мере будет серьёзной уликой в разборках с привлечением интернет-провайдера (или местной братвы). Попавшийся чрезмерно активный «кулхацкер» запросто лишится, как минимум, выхода в Интернет (о максимуме говорить не будем :)). Идентификация природы неизвестного трафика — очень хорошая функция, но манера Black ICE Defender любое соединение обозначать как атаку может заставить юзера поседеть гораздо раньше времени. В дополнение ко всему, Black ICE Defender при сигнализировании (а это делается даже звуковыми сигналами) об обнаруженных попытках вторжения определяет степень опасности произошедшего события — от «критического» до «информационного». При этом файерволл даже слишком многословен, когда ведёт протокол событий — регистрируется абсолютно всё!

Имеется и ещё одна уникальная возможность у Black ICE Defender. Путешествуя с мобильным ПК или при Dial-UP доступе в Интернет, вы обычно не можете получить статический IP-адрес. Это означает, что нельзя заранее создать безопасное соединение между двумя ПК, задав явным образом их IP-адреса и разрешив им совместный доступ к файлам. Black ICE Defender решает очень элегантно эту проблему. Для этого достаточно (не пугайтесь!) открыть порты NetBIOS и установить нетривиальный пароль на доступ к файлам — если Black ICE Defender обнаружит попытку подобрать пароль, он тут же самостоятельно занесет IP злоумышленника в чёрный список и разорвёт это соединение. Вы же, зная правильный пароль, всегда получите полный доступ вне зависимости от назначаемого динамически IP-адреса своего рабочего ноутбука. Настройка совместного доступа к файлам очень проста — немаловажный плюс программе.

К сожалению, хоть Black ICE Defender и блокирует порты весьма эффективно, он не умеет управлять доступом в сеть установленных на компьютере приложений — уходящий трафик ничем не защищён. Таким образом, если уж «троянский конь» попал в вашу систему, то ничто не помешает ему воспользоваться открытым, например, для Outlook Express портом и отправить все ваши пароли куда-нибудь на анонимный почтовый ящик mail.ru.

Ещё один недостаток в том, что иногда замечается неожиданное, без каких-либо предупреждений прекращение работы файерволла — и за это разработчики ещё хотят ежегодный лицензионный взнос, как будто вы не покупаете программу, а берете её в аренду.

Black ICE Defender также имеет несколько заранее заданных уровней безопасности, причём названия им выбраны не без юмора: «Trusting», «Cautions», «Nervous» и «Paranoid». Каждый уровень, хоть и пропускает все выходящие соединения, обеспечивает чрезвычайно надёжную фильтрацию входных соединений. При ручном же вводе конкретного IP-адреса в список разрешённых либо заблокированных IP, Black ICE Defender или разрешит полный доступ с этого адреса к вашему ПК, или полностью заблокирует все приходящие пакеты. Очень, правда, неудобно, что нельзя задавать диапазон IP-адресов или маску подсети. Оригинальное динамическое управление правилами снимает необходимость обучающего режима (отсутствующего в этой программе). Небольшой совет: поскольку IP-адрес, в принципе, можно и «подделать», будет неплохо, если вы сконфигурируете свои маршрутизаторы так, чтобы они не пропускали пакеты, носящие IP-адреса вашей сети, но порождённые за её пределами.

На системы с WindowsNT и Windows9x программа устанавливается, даже не требуя перезагрузки компьютера, что немного облегчит жизнь «админам» с большим парком обслуживаемой техники. Тщательно продуманная документация охватывает все функции программы и содержит неплохие рекомендации о том, как следует реагировать на засечённые попытки взлома.

Zone Alarm [3]

В напарника к Black ICE Defender можно посоветовать программу Zone Alarm, компенсирующую его основной недостаток — отсутствие контроля за приложениями, пытающимися обращаться в Интернет. Эта бесплатная программа (есть и чуть расширенный платный вариант Zone Alarm Pro) почти идеальна для индивидуального использования и защитит и одиночных «диалапщиков» и десяток компьютеров малого бизнеса. Помимо того, что она работает без проблем на любых версиях Windows — вплоть до Windows2000 и «Миллениума», она требует всего-навсего 486 процессор и более чем не требовательна к объёмам оперативной памяти.

Все всплывающие сигнализаторы неопознанной сетевой активности просты для понимания самыми неопытными юзерами и предлагают всего два выбора — допустить соединение или отказаться от него. Также Zone Alarm спросит, хотите ли вы, чтобы программа запомнила этот ваш выбор на будущее. Для каждой зарегистрированной таким образом или вручную программы, есть возможность впоследствии конкретизировать настройки, указав разрешённые IP и порты. Все без исключения обращения к сети протоколируются, даже если вы отключите вывод информационных сообщений о детектировании разрешённых соединений. Разработчики этого файерволла тоже заботятся об удобстве пользователя, позволяя простым перемещением движка-регулятора задавать любой из трёх предустановленных уровней защиты, причём отдельно настраиваются две зоны — локальная сеть и Интернет. Характеристики этих предустановок легко изменить, если вас в них что-то не устраивает. При максимальном уровне не произойдёт никаких соединений, пока вы лично их не разрешите, что, впрочем, требует некоторого времени на «обучение» программы — так что, более чем десятку пользователей не стоит её устанавливать одновременно, если не хотите стать «админом»-марафонцем.

Zone Alarm, как и другие программы, использует STEALTH-режим, который «прячет» все неиспользуемые порты, предотвращая ответы о текущем статусе порта, запрашиваемые, например, при сканировании вашей машины в поисках «дыры». Несмотря на кажущуюся простоту программы, она способна блокировать множество потенциально угрожающих вашей системе пакетов из Интернета вроде IP-фрагментов. При активизации экранной заставки или во время простоя ПК программа может полностью перекрыть выход в Интернет, что повышает уровень безопасности забывчивых пользователей, особенно при постоянном подключении.

Для локальной зоны лучше установить среднюю степень защиты, чтобы сохранить сетевой доступ к «зашаренным» ресурсам — немаловажно, что при этом пользователь сам определяет, что относится к локальной зоне. К счастью, в этом случае не нужно вводить IP-адрес каждого ПК в локальной сети — достаточно задать диапазон адресов или маску.

В последнем релизе Zone Alarm добавилась опция «Mail Safe», предотвращающая запуск потенциально опасных скриптов, полученных по электронной почте типа печально известного вируса I LOVE YOU. В отличие от антивирусных программ, эта функция не даст пользователю запустить новейший, не известный антивирусам деструктивный скрипт. Документация, правда, ограничена HTML-справкой, но написанной достаточно детально, и при желании вы сами воплотите её в материальную форму, распечатав на принтере.

В общем — одна из самых интересных программ на рынке.

Norton Internet Security 2001 Family Edition [4]

После продажи популярнейшей программы AtGuard фирме Питера Нортона Symantec мы имели полное право ожидать, что изменится не только название файерволла, но и значительно улучшится его надёжность и функциональность. В чём-то эти ожидания оправдались, но есть и разочарования. Так, теперь программа «весит» около 40 мегабайт, поскольку в нагрузку к ней даётся Norton Antivirus, что, согласитесь, заставляет трижды подумать при выкачивании демонстрационной (да и купленной) версии NIS2001 с сайта Symantec. Появились аналогичные другим программам движки, задающие несколько степеней защиты — облегчение жизни простым пользователям, не разбирающимся во всех тонкостях ручной настройки. Кроме того, программа сама теперь умеет автоматически создавать для наиболее распространённых приложений (Outlook Express, Internet Explorer, CuteFTP и т.д.) настройки, избавляя юзера от лишних головоломных проблем. Набор default-установок существенно расширен, и теперь есть возможность блокировать IGMP-пакеты и фрагментированные IP-пакеты. Ручная настройка, естественно, позволяет делать любые установки, никаких ограничений нет, вот только добраться до меню ручной настройки стало труднее — надо раза четыре жать кнопку мыши, переходя от одного меню к другому — раньше такого маразма не было. Да и удобная панель быстрого доступа к настройкам и наглядной индикации событий «Dashboard» по умолчанию отключена — чтобы её вызвать, надо вручную создать такой ярлык: "C:\Program Files\Norton Internet Security Family Edition\IAMAPP.EXE" -AppBar — в инструкции существование Dashboard замалчивается.

Никаких проблем с «обучением» файерволла новым правилам в процессе детектирования попытки установления нового, незарегистрированного соединения — пара кнопок во всплывшем диалоговом окне — и ещё одна программа, пытающаяся что-то настучать про вас своим разработчикам, обезврежена. Эта важнейшая опция — способность NIS2001 связывать привилегии доступа в Интернет с конкретными прикладными программами — прекрасно работает. Вы можете, например, разрешить только вашему Internet Explorer соединяться только с ресурсами web-серверов по портам 80 (http) и 443 (https), что не защитит разве что от спида — e-mail же никакой «троян» отправить не сумеет. Для любого правила есть даже возможность установить часы его работы, чтобы разрешать, например выход в Интернет только в обеденный перерыв — в рабочее время пусть народ работает — нечего лоботрясничать. Надёжность работы файерволла обеспечивается тем, что пакеты обрабатываются на низком уровне специальным драйвером до попадания их какой-либо другой программе. Разумеется, есть и протоколирование всех событий вплоть до посещённых интернет-сайтов, и ведётся подробнейшая статистика всей вашей работы.

Уникальнейший режим блокирования баннеров сэкономит вам немало денег, вырезав весь этот мусор из трафика. И хоть это относится уже не к защите ПК, а к защите вашей нервной системы и кошелька, но эта особенность, по моему мнению (очень субъективному — я б NIS2001 выбрал бы только за это!), ставит файерволл на голову выше других, тем более, что Паутина давно уже стала чрезвычайно коммерчески-перегруженной. Помимо этого, вы можете сделать огромное количество и других настроек — от блокировки подозрительных и опасных элементов ActiveX, JAVA-скриптов и апплетов — ещё одного узкого места в безопасности браузеров, не перекрываемого другими программами, до запрещения отправки cookies, выдачи версии вашего браузера и адреса элетронной почты — анонимность нынче в моде.

Совершенно новая функция — ограничение доступа детей к «взрослым» сайтам — обойти её, не зная пароля для доступа к настройкам файерволла (или тонкостей настройки самой операционной системы) будет не очень просто. Встроенная система учётных записей позволяет различным членам семьи иметь свои собственные установки и предохранять детскую психику от насилия, порнографии и прочей гадости, активно плодящейся на обильно унавоженной плодородной почве Интернета. Впрочем, если это вам не нужно, то приобретайте облегчённую и удешевлённую версию программы — Personal Edition — в ней отсутствует родительский контроль, а в варианте Personal Firewall удалена ещё и легендарная возможность (появившаяся ещё в AtGuard) блокировать рекламу на страницах Интернета.

И ещё один недостаток, отличающий NIS2001 в худшую сторону по сравнению с такими программами, как ConSeal PC FIREWALL. В точности следуя своему названию, Norton Internet Security нацелен на работу исключительно с Интернетом и не поддерживает сетевые протоколы NetBEUI, IPX, ARP, так что в локальной сети нет особого смысла его использовать — защита получится несколько однобокая. Хотя для работы в Интернете, он, как самое комплексное решение, пожалуй, идеален!

Учтите только, что в некоторых версиях программы после её инсталляции, оказываются открытыми порты NetBIOS для совместимости с некоторыми старыми кабельными модемами — первым же делом их закройте, если не намерены применять совместный доступ к файлам.

Благодаря развитой автоматизации настройки, вероятно, это — самый простой и, в то же время, мощный в использовании брандмауэр.

ConSeal PC Firewall [5]

Внешний вид интерфейса не радует, но это — один из самых надёжных, настраиваемых и гибких файерволлов, приближающийся по качеству к аппаратному брандмауэру, отлично подходящий опытному пользователю. Но в этом и самый главный его недостаток — требование расширенного понимания терминологии и технологии TCP/IP.

Наборы правил этого файерволла представляют собой обычные файлы, которые без труда размножаются на любое количество ПК в больших сетях. Настройке поддаётся всё, что нужно — IP-адреса, порты, доступ приложений, направление пакетов. Хотя имеется и режим обучения, создание наборов правил вручную может сначала напугать. Однако разработчики выложили на сайте несколько комплектов уже готовых файлов с вполне исчерпывающими настройками, которые послужат неплохой основой для создания установок, оптимальных в вашей конкретной системе. Учтите только, что когда вы устанавливаете новый файл с набором правил, то старые настройки не уничтожаются, а дополняются новыми. В случае же конфликта двух правил, приоритет имеет правило, установленное последним. Поэтому, наиболее специфичные установки следует делать в самом конце — иначе они будут обезврежены при установке чего-то более общего.

Разумеется, все приоритеты допускается задавать вручную, как и редактировать каждую деталь любого правила. Это всё даёт беспрецедентное управление грамотному администратору локальной сети — настроек огромное количество. Наконец, вы даже можете применять разные наборы правил к разным сетевым адаптерам, имеющимся в компьютере! Это позволяет сделать что-то похожее на аппаратный файерволл — мощность системы только окажется послабее. Кстати, ConSeal PC Firewall, как и NIS2001, обрабатывает пакеты, приходящие из сети, специальным низкоуровневым драйвером, при этом он может работать и с протоколами ARP, IPX/SPX и NetBEUI.

Установка, как и у других программ, проходит довольно гладко, да и инструкция весь процесс неплохо описывает, особо обращая внимание на всяческие хитрые моменты конфигурирования программы, но в Windows2000 программа не работает — это плохо.

Пользователь изначально обеспечивается четырьмя типами начальных конфигураций: «DialUP» — модемный выход в Интернет, блокируется весь ICMP, «Cable» — для кабельных и DSL модемов, «Browse» — выбор готового файла настройки и «None» — для самостоятельного конфигурирования. Индивидуальному пользователю начинать с этого файерволла, наверное, не стоит, если только вы не готовы выучить наизусть всю инструкцию и всё в ней понять.

McAfee Personal Firewall (ConSeal Private Desktop) [6]

Ещё одна перепроданная программа (вернее, «движок») — бывший ConSeal Private Desktop. Эта программа уже больше ориентирована на рядового пользователя, в отличие от старшего брата ConSeal PC Firewall. McAfee обновил интерфейс предшественника, ограничив, однако, лёгкость внесения изменений в набор правил файерволла и несколько облегчив саму программу.

Имеется удобный и достаточно простой в использовании режим «обучения» программы, ставший практически стандартом для современных файерволлов. Не обошлось и без готового комплекта встроенных предустановок, вполне подходящих для первого запуска программы. McAfee Personal Firewall умеет контролировать и выход других программ в Интернет — блокировка исходящего трафика предотвратит ущерб от троянских программ. В случае попыток незарегистрированного в настройках файерволла приложения выйти в Интернет, выскакивает диалоговое окно, требующее определиться, в какой из списков — «чёрный» или «белый» — занести эту программу. Из дополнительных функций стоит отметить разве что фильтрацию фрагментированных пакетов — не густо, короче говоря.

Однако в администрировании этот продукт не очень удобен, и его, как и Zone Alarm, не рекомендуется устанавливать в больших сетях, но он всё-таки изначально больше рассчитан на индивидуальных пользователей, так что недостатком это вряд ли можно назвать.

При тестировании файерволла обнаружен неприятный «глюк» — каждые десять секунд система на мгновение подвисала, причиной чего, вероятно, является недостаточно проработанный код программы. К тому же эту программу «не любит» Norton Antivirus, так что внесите папку с McAfee Personal Firewall в список исключений антивируса.


Этим, разумеется, список персональных файерволлов далеко не ограничен, и я вам также настоятельно рекомендую посмотреть, например, ещё и новейший файерволл Sphinx Personal Firewall [7], который просто предельно дружественен к пользователю благодаря использованию Configuration Wizard — мастера настройки. С помощью вполне понятного для не разбирающегося во всех премудростях сетевых технологий пользователя диалога, ответив на несколько вопросов, вы зададите все необходимые начальные параметры файерволла. В результате уже через минуту после его инсталляции получите абсолютно работоспособную систему вплоть до полного функционирования основных программ вроде Internet Explorer и ICQ при максимуме безопасности. Хотя весёленький интерфейс программы и наводит на мысли о её несерьезности, это впечатление обманчиво, и на самом деле, мне кажется, у Sphinx Personal Firewall очень хорошие перспективы — он обладает всеми возможностями маститых конкурентов.

Проверить же качество вашего файерволла и его настроек вы сможете на сайтах Security Scan [8] и ShildsUP! [9], которые вместо хакера просканируют все ваши порты и найдут потенциальные дыры в защите вашей информации.

Что же такое firewall?

Все коммутации в Интернете осуществляются посредством обмена отдельных пакетов данных. Каждый пакет передаётся от машины-источника к машине - точке назначения. Пакет — единица потока информации в Интернете. Любое соединение между двумя ПК состоит из отдельных пакетов, путешествующих между этими машинами. По существу, компьютеры «договариваются», что они связаны, и каждая машина возвращает назад подтверждение о получении данных. Чтобы прибыть по назначению, вне зависимости от того, где находится компьютер-приёмник — на соседней улице или за океаном, каждый Интернет-пакет должен содержать адрес точки прибытия — IP конкретного компьютера и номер порта — как бы адрес программы или службы, которой он предназначен. Плюс ко всему, принимающий компьютер должен знать, кто послал ему очередной пакет, поэтому каждый пакет содержит также IP-адрес отправителя и номер порта породившей его машины. Иными словами, любой пакет, перемещающийся в сети, включает полные адреса отправителя и получателя. IP-адрес всегда идентифицирует конкретную одиночную машину в Интернете, а порт связан с конкретной службой, ответственной за обработку данного блока информации.

Программный файерволл — это «стена кода», проверяющая «личность» каждого пакета данных, проходящего сквозь файерволл в любую сторону, чтобы определить, позволить этому пакету пройти или — нет. Когда-нибудь файерволлы станут стандартной программой (или устройством) для каждого ПК. Но сегодня ещё приходится устанавливать их дополнительно. Файерволл всегда проверяет каждый пакет данных, достигающий вашего ПК, до того, как он поступит в распоряжение любой другой запущенной программы.

TCP/IP порт открыт для прохождения данных только в том случае, если на первый достигший вашего ПК пакет с запросом установки нового соединения, ваш компьютер отвечает («всегда готов!»). Если пакет этот просто проигнорирован, то порт вашего ПК эффективно исчезает из сети (STEALTH-режим), и никто и ничто уже не может к нему подключиться. Реальная мощность файерволла заключается в самостоятельной способности определять, что надо пропустить, а что заблокировать. Поскольку в каждом пакете должен содержаться корректный IP-адрес машины, его отправившей, файерволл, собственно, и может определять, какие пакеты пропускать, а какие — нет. В результате происходит фильтрация пакетов, основанная на комбинациях заданных IP-адресов и портов. Так, например, если вы запускаете у себя Internet-сервер, то нужно позволить удалённым ПК подключаться к вашему компьютеру по 80 порту (http). Файерволл должен проверять все пакеты и разрешать соединения только с портом 80. На всех других портах соединения должны отвергаться. В этом случае, даже если на вашей системе заведётся «троян», который будет слушать какой-то порт, ожидая подключения внешней клиентской своей части, сам этот клиент-сканер не обнаружит существования засланного троянца, поскольку все его попытки подключиться к другому, отличному от 80, порту, будут пресекаться файерволлом.

Ещё пример — надо при постоянном подключении обеспечить безопасный туннель через весь Интернет, чтобы иметь доступ к домашнему ПК из офиса. Технология файерволлов делает это возможным. Надо только указать файерволлу, чтобы он разрешил соединения к портам 137-139 (совместный доступ к файлам NetBIOS) только с конкретного IP–адреса вашего рабочего ПК. Аналогичные установки должны быть сделаны и на другом ПК. Таким образом, каждая машина будет «видеть» порты NetBIOS другой, но никто в Интернете не узнает об этом «туннеле» и не сможет к нему присоединиться.

Но как же создаются в таком случае соединения вашего ПК с огромным количеством серверов в Интернете? Когда вы бродите по Мировой Сети, вы должны соединяться с web-серверами, имеющими самые разные IP-адреса — их не надо блокировать только потому, что вы хотите обезопасить свой ПК от проникновения извне. Поскольку каждый конец Интернет-соединения всегда подтверждает другому получение данных, то любой пакет, проходящий между двумя машинами, имеет набор битов, называемый ACK-биты. Эти биты сообщают, что данный пакет подтверждает получение всех предыдущих данных. Но это означает, что только самый первый пакет, инициировавший новое соединение, не будет подтверждать получение предыдущих данных. Другими словами, файерволл может легко определить, создаётся ли новое соединение, или продолжается пересылка затребованных вами данных. Пакеты, являющиеся частью установленного соединения, должны проходить файерволл, а новые попытки соединения — отвергаться. Таким образом, уходящие соединения разрешаются, а входящие — блокируются.

Ещё одно требование к высококлассному файерволлу — фильтрация на уровне программ. Большинство файерволлов не пытаются «понять» содержание пакетов — они блокируют или разрешают их прохождение, только основываясь на IP-адресах и портах источника и потребителя. Но некоторые файерволлы как бы включают себя в диалог двух ПК. Например, большая проблема совместного доступа к файлам от Microsoft — недостаточная криптозащита пароля. Но интеллектуальный файерволл может отслеживать, что происходит с портом 139 (где и осуществляется парольная защита) и переходит к полной его блокировке в случае нескольких попыток подобрать пароль. При этом автоматически создаётся «чёрный список» IP-адресов выявленных таким образом хакеров, чтобы в будущем не давать им ни одного шанса. Немаловажно и отслеживать, какая программа втихаря пытается получить доступ в Интернет с вашего компьютера — именно такой принцип заложен в троянских вирусах.

Плюс ко всему, хороший фаейрволл должен иметь интерфейс, понятный рядовому потребителю и иметь максимальную автоматизацию настройки.

И в каких же случаях файерволл совершенно необходим? Если вы хотите, чтобы ваши файлы были дистанционно доступны (причём только вам одному или особо доверенным лицам) с помощью Интернет. Если на вашем ПК стоит Интернет-сервер — любителей его взломать найдётся немало. Если вы используете дистанционное управление ПК посредством программ типа PCAnywhere, LapLink и т. п. И если вы просто хотите защитить себя от попыток вторжения и программ-«троянцев», ворующих пароли с вашего компьютера.


При подготовке статьи использовались материалы сайтов ShildsUP! [9] и NetworkWorldFusion [10].




Темы