Norton Internet Security 2004 Pro
Тонкая настройка файерволла

Шлифуем стены

Файерволл не относится к категории программ «установил и забыл», он требует самой тщательной и вдумчивой настройки, анализа и контроля результатов своей работы.

Установка

Установка новейшей версии одного из самых мощных на сегодня файерволлов сложностей не вызывает, пользователю необходимо лишь выбрать Custom-режим инсталляции и решить, нужен ли ему антивирус NAV, идущий в комплекте с файерволлом, а также надо ли устанавливать поддержку нескольких учётных записей и компонент Productivity Control, который позволяет ограничивать доступ детей к определённым программам, веб-сайтам и телеконференциям UseNet нежелательной направленности (секс, насилие и так далее, база таких ресурсов в NIS очень обширна и регулярно обновляется).

По завершении инсталляции, после перезагрузки компьютера запустится простейший мастер начальной настройки программы, в котором главная задача — активация продукта или выбор демонстрационного 15-дневного режима работы. В течение этого срока функциональность NIS ничем не ограничена, и пользователь перед покупкой вполне может понять, подходит ли ему этот файерволл, или лучше выбрать что-нибудь имеющее русский интерфейс. Настройку Privacy Control мы расмотрим чуть ниже, а вот определить права пользователй можно прямо на этом этапе.

После закрытия мастера активации щёлкните по иконке программы в системном трее: в зависимости от конфигурации системы, появится диалог выбора локальной сети. В последней версии NIS появилось не так много серьёзных изменений, и возможность создавать различные конфигурации файервола для каждой из локальных сетей — одна из главных. Рассчитана эта функция, главным образом, на владельцев мобильных компьютеров и позволяет наиболее гибко настраивать правила файерволла и получать максимум защиты и в домашней сети и на работе, в офисе (утилита NTDETECT, которая автоматически определяет, в какой сети вы сейчас работаете, использует планировщик заданий Windows, поэтому не отключайте его). В этом диалоге, собственно, нужно определить только тип сети, для которой и будут производиться все наши дальнейшие настройки, например, «Home».

Настройка основных опций программы

Настройку NIS лучше всего начинать не с создания правил работы приложений с Интернетом (разговор о них мы отложим на десерт), а с исследования опций самой программы. Для этого в её главном окне щёлкните Options — Norton Internet Security. В появившемся диалоге на странице General есть смысл установить все флаги в разделе Tray Icon Settings, так как это облегчит дальнейшую работу с программой — многие её компоненты можно будет вызвать двумя щелчками мыши по значку в трее. Разумеется, если ваша система настроена на многопользовательскую конфигурацию, и вы не хотите, чтобы имеющие доступ к ПК неопытные пользователи нарушили настройки файерволла, то лучше убрать все значки из трея и включить парольную защиту файерволла (Turn On password protection).

Страница LiveUpdate предназначена для настройки очень удобного режима автоматического обновления программы, работающего независимо от системного Планировщика Заданий. Проверять наличие обновлений желательно как можно чаще, хотя пользователь в трезвом уме и здравой памяти вполне справится с этим и вручную.

Firewall — самая важная вкладка в этом диалоге, поскольку определяет, какие из многочисленных возможностей файерволла будут использоваться. NIS — файерволл, который не только осуществляет контроль и фильтрацию входящих соединений, но и отслеживает интернет-активность, исходящую с вашего собственного ПК. Для каждого из установленных у вас приложений можно создать специальное правило, особым образом разрешающее или запрещающее работу этой программы в Интернете. Если же в сеть попытается выйти программа, для которой правило ещё не создано, или троянский вирус, то NIS сразу же об этом просигнализирует.

Функция Program component monitoring еще больше расширяет эту возможность, так как включает контроль не только за исполнимыми файлами приложений, но ещё и за внешними модулями и плагинами, используемыми этими приложениями. То есть, если троянский вирус является, например, dll-файлом, присосавшимся к ничего не подозревающему Internet Explorer (в виде плагина или Browser Helper Object, например), то файерволл и в этом случае его обнаружит и просигнализирует пользователю о том, что в сеть рвётся доселе незарегистрированная библиотека. Словом, опция весьма полезна, но, к сожалению, определять, легитимна ли та или иная dll-библиотека, подключённая к браузеру, придётся самому пользователю, вооруженному свежим антивирусом.

Для каждой программы файерволл обнаружит довольно много внешних модулей, и в идеальном случае необходимо проверить свойства каждого файла, чтобы убедиться, что он входит в состав Windows или используемого вами ПО. Но для упрощения задачи можно пойти другим путём. Установить файерволл на чистую систему (гарантированно без вирусов и Spy-Ware). После включения мониторинга внешних модулей запустить по очереди все программы, которым разрешён доступ в сеть. Для всех библиотек этих программ разрешить доступ в сеть, поскольку вероятность присутствия среди них вируса на свежей системе очень мала. После этого желательно всё же просмотреть вручную все библиотеки, которые обнаружатся в списке Configure Program Component Monitoring. Теперь, если вы всё же каким-то образом подхватите деструктивный модуль, то NIS сообщит о новой библиотеке, и проверить всего один-два новых файла будет уже значительно легче.

Опция Program launch monitoring гораздо проще в настройке, поскольку включает режим контроля за тем, каким образом была запущена программа, пытающаяся выйти в Сеть. Например, если некий троянский вирус пытается выслать своему создателю ваши пароли, используя для этого обычный Outlook Express, то NIS обнаружит, что легитимный почтовый клиент, для которого, разумеется, разрешён выход в интернет, запущен на этот раз не пользователем, а неизвестной программой, и вовремя забьёт тревогу. В чистой системе Windows XP в список Program launch monitoring обычно попадают Проводник и системные утилиты типа svchost.exe и services.exe, отвечающие за запуск некоторых системных служб.

Далее на этой вкладке следует раздел HTTP port list. Здесь перечислены те порты, которые контролируются файерволлом на предмет содержания проходящей через них информации. Так, если вы включили блокировку рекламы, а на каком-то сайте простейший баннер не фильтруется, то вполне возможно, что веб-браузер обращается к этому сайту не через стандартный HTTP-порт (обычно 80), а, например, через порт 8101, который в списке отсутствует. Подобные ситуации нередко встречаются в рунете, поскольку таким способом многие веб-мастера решают задачу изменения кодировки кириллицы на сайте, например, адрес user.chat.ru:8101 соответствует Win-кодировке, а user.chat.ru:8100 — Koi-8R. В такой ситуации, а также если вы используете нестандартный порт прокси-сервера, можно внести новый HTTP-порт в список, в общем же случае добавлять новые порты нет необходимости.

В разделе Advanced Security Settings желательно включить блокировку используемого при некоторых атаках протокола IGMP (Internet Group Membership Protocol), который служит для доставки мультимедиа-контента группам пользователей и в действительности применяется очень редко. Если же вы после этого обнаружите проблемы, например, с прослушиванием интернет-радио, то попробуйте снять блокировку. Пункт Stealth blocked ports крайне важен, так как он делает ваш ПК как бы невидимым в сети. При его активации файерволл просто отбрасывает любые входящие пакеты данных, если ваш ПК их не запрашивал, в результате чего, например, хакер не сможет понять, присутствуете ли вы в настоящий момент в сети или нет. Если же этот режим не включать, то на запрос взломщика, пытающегося «прощупать» неиспользуемый порт вашего ПК, будет выдан ответ типа «порт закрыт», что даст злоумышленнику какую-то надежду.

Блокировку фрагментированных пакетов Fragmented IP packet handling вполне можно перевести в режим Block all, каких-либо проблем это обычно не вызывает, но зато ваш ПК становится более устойчив к бомбардировке некорректными пакетами данных.

Вкладка Email отвечает за настройку антиспамового компонента NIS и компонента, обеспечивающего проверку исходящей почты на предмет наличия в ней приватной информации. Здесь нужно обратить внимание на режим обучения спам-фильтра — Training Settings. На первых порах предпочтительнее включить режим подтверждения при внесении адресата в белый или чёрный список, это избавит от возможных ошибок. И в любом случае пользуйтесь спам-фильтром NIS очень осторожно, так как эта программа не распознаёт национальные кодировки в письмах и нередко определяет нормальные русскоязычные письма как спам.

Обратите внимание на страницу User Access Manager — в Pro-версии файерволла эта вкладка позволяет сохранять настройки программы и переносить их с компьютера на компьютер или восстанавливать при переустановке Windows. К сожалению, из предыдущей версии NIS таким способом переносится только часть настроек (даже рекламный блок-лист игнорируется).

WebTools

В состав Pro-версии NIS входит и ещё один компонент — WebTools, но непосредственно к сетевой безопасности он отношения не имеет, так как позволяет всего лишь периодически имитировать пользовательскую активность, удалять на ПК файлы Cookie, очищать журнал и кэш Internet Explorer. Большого смысла в его использовании нет, так как для подчистки на компьютере следов работы пользователя существует немало более мощных и удобных программ, а функция Connection Keep Alive, предотвращающая отключение провайдером пользователя в случае его длительного бездействия, ещё менее актуальна, так как при неудачном стечении обстоятельств запросто разорит рассеянного веб-серфера.

Norton Integrator

К сожалению, нельзя сказать, что настройка программы удобна, и её интерфейс блещет изяществом. Для конфигурирования правил работы компонентов файерволла и других программ Symantec служит глобальное окно — так называемый Интегратор, разбитый на многочисленные разделы и подразделы.

Intrusion Detection

NIS — не просто файерволл, а комплексная система защиты пользователя от интернет-угроз. Эта программа знакома со множеством распространённых видов сетевых атак, подвешивающих ПК пользователя или дающих злоумышленнику полный контроль над удалённым ПК, таких, например, как Kiss of Death или WinNuke, использующих недоработки операционных систем, знакома она и с уязвимыми местами некоторых сетевых приложений, например, mIRC. Известно ей и как действуют вирусы типа Sobig или MSBlast. Для защиты от таких атак и их своевременной идентификации и предназначен компонент Intrusion Detection.

Если нажать кнопку Advanced в окне настроек этого компонента, то можно увидеть список известных атак — их больше 100, и более подробно узнать о каждой из них можно на сайте securityresponse.symantec.com/avcenter/nis_ids [1]. Отменять детектирование какой-либо атаки путём переноса её в список Excluded Signatures (например, если вы получаете сообщения о постоянных атаках со стороны другого ПК сети, но точно уверены, что никакой угрозы это не представляет) вообще говоря, нежелательно и требуется редко. Это может быть связано с какими-то особенностями вашей локальной сети или сервера — в этом случае разбираться в причинах желательно с местным сисадмином (в конце концов, и сервер может быть заражён). В качестве примера ложных срабатываний можно привести сигнатуры Invalid IP Options и Invalid Source IP Address. IGMP-пакеты с неверными IP Options могут генерировать некоторые роутеры, а пакеты с неверным IP-адресом отправителя (обычно 255.255.255.255) иногда выдают даже интернет-провайдеры для того, чтобы проверить, находится ли на линии пользователь или нет (и если пользователь будет отбрасывать такие пакеты, то dial-up соединение будет разорвано). В подобных случаях можно временно отключить оповещение об атаках, сняв флаг Notify me when Intrusion Detection blocks connection, дабы не терроризировали постоянные всплывающие окна. А чтобы компьютер, с которого приходят подозрительные пакеты, не блокировался автоматически, внесите его IP в список Exceptions. Тем самым вы сохраните возможность общаться с удалённым ПК до разбора ситуации с сисадмином.

Обратите только внимание, что Intrusion Detection не применяется к ПК, включённым вами в так называемую Trusted Zone (страница Networking в настройках файерволла), и при этом всегда отслеживает информацию, уходящую с вашего собственного ПК, дабы никакой новый вирус типа MSBlast (сигнатура атаки MS_RPC_DCOM_BufferOverflow) не использовал его для заражения других машин. Если же вам удалось засечь настоящую атаку, то скопируйте все сведения о ней, которые выдаст файерволл, и отправьте их интернет-провайдеру.

Privacy Control

Этот компонент, к сожалению, не способен обеспечить вашу полную анонимность в сети (возможно, работа с анонимными прокси-серверами когда-то и появится в файерволлах, сейчас её явно не хватает), но защитит вас, например, от случайной отправки в сеть своего домашнего адреса или телефона. Спасёт он и в ситуации, когда пробравшийся на компьютер троянский вирус пытается отправить в сеть логин и пароль интернет-соединения. Но для того, чтобы всё это работало, программу надо настроить: она ведь пока не знает, что ей нужно блокировать.

Нажмите кнопку Private Information — Add и в появившемся окне Add Private Information в строке Information Category выберите, например, пункт Telephone. В поле Description вводим «Телефон редакции Upgrade», и в поле Information to Protect остаётся ввести номер нужный телефона. Если файерволл заметит в исходящем трафике комбинацию символов, которую вы здесь введёте, он, в зависимости от настроек, либо заблокирует её, либо спросит вашего разрешения на её отправку в сеть. При заполнении последнего поля надо учитывать, что некоторые приватные данные могут быть записаны разными способами, например, наш редакционный телефон можно записать как минимум четырьмя разными способами: 2464108, 246-41-08, 246-4108, 246 41 08, и необходимо сделать так, чтобы программа распознавала все эти варианты. Поэтому для телефонного номера создавайте три правила, блокирующие такие комбинации символов: 4108, 41-08 и 41 08. Целиком номер вводить совсем необязательно не только потому, что вероятность случайного совпадения даже четырех цифр в исходящем трафике мала, но ещё и потому, что, например, если не включена парольная защита программы, то любой, кто откроет это диалоговое окно, сможет сразу узнать всё, что вы так хотели скрыть. Если же в настройках NIS указывать не полные данные, а лишь их часть, например, последние пять символов восьмизначного пароля интернет-доступа, то мы убиваем сразу двух зайцев: и в сеть пароль не уйдёт, и на нашем ПК его прочитать будет сложно.

Аналогичным способом вводим имя и фамилию, адрес, e-mail, номер мобильника — словом, всё то, утечку чего в сеть вы хотели бы предотвратить. Рекомендации такие же: если какие-то приватные данные можно записать несколькими способами, то вводите все способы (например, фамилия кириллицей и латиницей), плюс старайтесь не вводить данные полностью (всё, что вы вводите, шифруется, но в окне NIS представлено в явном виде). Кроме того, для каждой записи можно определять, в каком типе трафика она будет отслеживаться. Так, совсем излишне блокировать собственный e-mail в своих же письмах, поэтому при вводе электронного почтового адреса снимите флажок E-Mail в разделе Protect this private information when using.

Кроме мониторинга приватной информации личного характера, которую пользователь должен вводить самостоятельно, программа имеет ещё несколько функций, доступных при нажатии кнопки Custom Level (специальный слайдер, позволяющий выбирать из трёх пресетов, лучше проигнорировать). В окне Customize Privacy Settings желательно установить переключатель Private Information — в положение Prompt, дабы при каждой попытке оправки в сеть введённых нами ранее личных данных выдавалось предупреждение. А Cookie Blocking — в положение Block: сайты, на которых от использования Cookies обойтись нельзя, позже внесём в список исключений, если же их будет слишком много, то проще разрешить все Cookie, опасность которых относительно мала. Учтите только, что при установке запрета на cookies, они всё равно будут создаваться у вас на компьютере — только отправляться в Интернет не будут.

Далее ставим флаг Enable Browser Privacy, тем самым мы исключим отправку браузером своего e-mail и сведений о последней посещённой странице (referrer) владельцам веб-сайтов, которые по каким-то причинам очень хотят это знать и используют для этого специальный код на своих страницах (впрочем, иногда при скачивании файлов обязательно, чтобы закачка запускалась с сайта разработчиков программы, в противном случае вам просто не дадут её загрузить: для софтовых сайтов, непременно требующих этот параметр, создайте особое правило).

А вот флаг Enable Secure Connections рекомендуется снять (если только вы не используете https-сайты очень активно), поскольку при посещении https-страниц вся передаваемая информация шифруется, и инструмент Privacy Control становится бесполезен — уплывший к владельцу такого сайта пароль обнаружен не будет.

И, наконец, осталось разобраться с «продвинутыми» настройками, нажав кнопку Advanced. В диалоге с аналогичным названием установите курсор на слове (Defaults) — это настройки, которые будут применяться по умолчанию, то есть ко всем сайтам, кроме тех, что внесены в лист исключений (сайты, перечисленные ниже строки Defaults). И на странице Global Settings проверьте положение переключателей:

  • Information about yuor browser — Permit: и так ясно, что у 95% пользователей Internet Explorer, к тому же некоторые сайты могут отображаться некорректно, не зная тип вашего браузера.
  • Information about visited sites — Block: зачем кому-то знать, по каким сайтам мы ходим?
  • Animated Images — если вы хотите сэкономить на трафике, то анимированные изображения отключите, в этом случае файерволл будет пропускать только часть графического файла — первый кадр.
  • Scripts — Permit: здесь имеются в виду распространённые скрипты VBScript и JScript, которые используются очень часто, и без них многие сайты отображаются некорректно. Если вы хотите обезопасить себя и от них, то используйте антивирус типа KAV, который встраивает свой скрипт-чекер в Internet Explorer.
  • Flash animation — Block: флеш встречается редко, в основном в рекламе, поэтому по умолчанию его обычно блокируют.

Теперь переходим на вкладку Ad Blocking — она предназначена для того, чтобы пользователь мог вносить ключевые слова, по которым файерволл будет определять и удалять рекламные баннеры на веб-страницах. Конечно, NIS умеет вычислять баннеры и по размеру картинки, но максимальной эффективности борьбы с рекламой можно добиться, только если внести в уже имеющийся внушительный список новые ключевые слова.

Здесь можно пойти двумя путями — либо вручную отслеживать баннеры, появляющиеся на часто посещаемых вами сайтах, определять их адреса (правая кнопка мыши — Свойства) и вносить в стоп-лист. Это могут быть и целые домены типа www.clickxchange.com, www.banners.ru и просто ключевые слова, которыми обычно называются файлы баннеров или папки, в которых они лежат на сервере, например banner или /reklama/ — ссылки с ними будут вырезаны из HTML-кода файерволлом. Либо придётся поискать уже готовый список известных баннерных служб и ключевых слов — такой можно найти, например, на сайте www.staff.uiuc.edu/~ehowes/resource.htm [2].

Но тут есть одна досадная неприятность: интегрировать в NIS такой список, содержащий несколько тысяч позиций, вручную нереально. На помощь приходят программы ProWAGoN [3] и Automate. ProWAGoN специально «заточена» для переноса блок-листа в NIS, работает быстро, но иногда через пень-колоду, а Automate — программа универсальная, но чтобы составить для неё нужный скрипт, придётся посидеть часок-другой.

После того, как вы разобрались с default-установками, нужно взглянуть на список уже имеющихся сайтов-исключений, к которым эти установки не относятся. Таких исключений Symantec нам предлагает очень много, причём, судя по всему, не из-за того, что default-установки как-то конфликтуют с этими сайтами, а потому что их владельцам не очень нравится блокировка их рекламы (а cnn.com очень хочет знать, с какого сайта мы к ним пришли). А потому мы с чистой совестью удаляем из списка исключений почти всё за исключением microsoft.com, windowsupdate.microsoft.com и www.nortonweb.com.

Если вы впоследствии обнаружите, что какой-то важный для вас сайт отображается некорректно, или его функциональность ограничена, то просто внесите его в список исключений и создайте для него особое правило.

Сайты-исключения

Чтобы в окне Internet Explorer нормально отображались некоторые важные сайты, необходимо установить для них специальные правила, внеся в список исключений на странице Advanced. Например, чтобы полностью функционировал сайт Microsoft, необходимо разрешить ему работу с cookies, позволить получение информации о версии браузера, а также разблокировать скрипты, флеш, ActiveX, Java-апплеты и всплывающие окна. Для этого нажмите в левой части меню кнопку «Add Site» и введите в появившемся диалоге URL-адрес microsoft.com — он будет записан сразу под строкой «Defaults». Переместите на него курсор, щёлкнув левой кнопкой мыши.

Затем, на вкладках Global Settings и User Settings установите в соответствующих пунктах значение «Permit». Аналогично вносим в список исключений сайт ie.search.msn.com, иначе поисковик в Internet Explorer тоже не будет нормально работать. Для сайта v4.windowsupdate.microsoft.com помимо этого необходимо в список Ad Blocking внести разрешение на ключевое слово «popup.». И для visualtracking.symantec.com, отвечающего за вывод наглядной информации об IP взломщика, разрешить ключевое слово «tracking.» (разумеется, если в Default-правиле эти слова заблокированы).

Ad Blocking

В разделе блокировки рекламы настройки предельно просты — всего лишь включаем сам механизм борьбы с рекламой — Turn on Ad Blocking. В дальнейшем, если система всё же пропустит какой-то баннер, можно вызвать специальное окно Ad Trashcan и перетащить в него этот излишний элемент оформления веб-страницы. Кнопка Advanced возвратит нас к уже знакомому диалогу настройки правил для сайтов-исключений — новый источник баннеров лучше всего внести именно в список Defaults, поскольку отправка баннера в «Мусорный контейнер» — Trashcan — предохранит вас от просмотра этого баннера только при повторном посещении того же самого сайта. Список же Defaults распространяется на ВСЕ сайты.

Отдельно включаем блокировку всплывающих окон — Turn on Popup Window Blocking. Правда, от всех всплывающих окон избавиться таким образом не удастся, так как механизм этот реализуется по-разному, а NIS умеет работать с самыми распространёнными способами вызова такого окна. Поэтому прорвавшиеся pop-up окна убивайте так же, как баннеры — прямым вводом URL-адреса скрипта, вызывающего окно — адрес этот увидите в протоколе файерволла Event Log.

Norton AntiSpam

Утилита борьбы со спамом в NIS работает не лучшим образом, поскольку рассчитана на англоязычного пользователя и не понимает кириллицу. Можно, конечно, настроить и её, но фильтры, входящие в состав почтовых клиентов (даже в Outlook Express, не говоря уж о The Bat с установленным BayesIt) способны справиться со спамом ничуть не хуже, а настроек имеют гораздо больше. Поэтому я советую установить спам-фильтр в режим Low-защиты и забыть о нём.

Настройки правил Personal Firewall

К сожалению, настройки NIS очень запутанны и изобилуют огромным числом лишних окон (бедный AtGuard, что с тобой сделали!), чтобы настроить его на максимальный уровень защиты, придётся пробираться буквально через бурелом диалогов. Так и на странице Firewall мы опять проигнорируем слайдер …set the Firewall level и сразу нажмём кнопку Custom Level. В окне Customize Security Settings устанавливаем такие параметры:

  • Personal Firewall — Block everything until you allow it: полный контроль над системой — всё, что не разрешено, то запрещено;
  • Java Applet Security — Block Java Applets: блокируем небезопасные Java-апплеты;
  • ActiveX Control Security — Block ActiveX Controls: блокируем элементы управления Activex, которые также нередко используются в неблаговидных целях. Вообще говоря, активное содержимое веб-страниц надо разрешать только на тех проверенных сайтах, где это действительно необходимо, например на Windows Update, в остальных случаях лучше заблокировать — встречаются они нечасто.
  • Устанавливаем флаг Enable Access Control Alerts — тем самым мы включаем режим оповещения о работе файерволла, при котором каждый раз, когда какое-то приложение попробует впервые выйти в сеть, всплывёт диалоговое окно с сообщением о создании правила для этого приложения (если не используется ручной режим создания правил).
  • А вот флаг Alert when unused ports are accessed лучше снять, иначе оповещения об успешно блокированных попытках обращения к вашим портам доведут до белого каления. К тому же, подавляющее большинство таких попыток не будут иметь ничего общего со взломом — обычная сетевая активность.

Вкладка Programs — обещанный десерт, настройка правил самого файерволла — трудная задача для неподготовленного пользователя. Именно поэтому разработчики предусмотрели и набор готовых системных правил, и утилиту-мастер, которая сканирует диск в поисках известных программ и сама создаёт для них правила — вызвать её можно, нажав кнопку Program Scan. Из предложенного списка останется только выбрать нужные программы. Несколько более безопасно постепенное создание правил для каждой программы, действительно используемой пользователем — режим обучения файерволла. При этом пользователь будет отслеживать момент первого выхода в сеть каждой программы и в каждом случае сам будет видеть все данные о реальном соединении и принимать решение — создавать для него правило или нет.

Общие принципы настройки рассмотрим на примере вездесущего Internet Explorer. Сразу же после его первого запуска файерволл выдаст диалоговое окно с названием программы, пытающейся получить доступ в сеть. Для программ, которые известны файерволлу, он предложит автоматический режим конфигурирования Automatically Configure Internet Access — его и следует для начала выбрать. После закрытия окна оповещения войдите в диалог Programs и выберите только что созданное правило для Internet Explorer, нажав кнопку Modify, а затем — Manually configure Internet access. Тем самым мы получим возможность просмотреть и отредактировать правило, которое создал NIS (при использовании Program Scan это также необходимо делать). Для IE получится 9 правил! Разумеется, всё это можно сделать и вручную, но отредактировать уже готовый набор правил гораздо проще.

Первые три правила, как видно из их названия, определяют FTP-доступ для Internet Explorer. Выделите мышкой первое и нажмите кнопку Modify. Можно увидеть, что каждое из таких правил описывает несколько параметров работы программы: разрешить, блокировать или просто записать в протокол событие; к какому соединению относится правило — входящему, исходящему или обоим; к какому удалённому компьютеру применяется правило и к какому локальному сетевому адаптеру; к какому протоколу применяется — TCP, UDP или обоим, к какому порту применяется. Также здесь можно включить режим записи события в протокол и выдачи экстренных предупреждений Security Alert. И, наконец, для каждого правила задаётся название, и определяется его категория, исходя из которой будет регулироваться доступ пользователей с ограниченными правами (например, если категория программы, к которой относится правило, — Newsreaders, а в Productivity Control запрещена работа с Usenet, то для пользователя с ограниченными правами такое правило автоматически становится блокирующим). Таким образом, для Internet Explorer мы получаем разрешение устанавливать с любыми компьютерами исходящие соединения с TCP-портами удалённых ПК 21, 1024-65535 и входящие с удалённого порта 20 — это стандартный набор, необходимый для работы с FTP.

Аналогично для работы любой другой программы в зависимости от используемого ей протокола служит свой порт — для почтовых клиентов — 25 (SMTP) и 110 (POP3), для ICQ — 5190, для UseNet — 119 (NNTP). Более-менее чётко определено назначение портов с 0 до 1023 (www.iana.org/assignments/port-numbers [4], www.chebucto.ns.ca/~rakerman/port-table.html [5]), оставшиеся могут применяться практическими любыми программами в своих целях, что мы и наблюдаем в случае с FTP — порты 1024—65535 могут использоваться FTP-сервером и потому IE должен получить к ним доступ.

Чтобы просматривать веб-страницы, создано ещё одно правило — HTTP Rule, в котором разрешена работа со всеми стандартными HTTP-портами удаленных ПК. Если на какой-то странице понадобится использовать другой HTTP-порт (8101, например), то ничто не мешает добавить его в список. Правила RTSP Rule (Real Time Streaming Protocol, www.cs.columbia.edu/~hgs/rtsp [6]) разрешают IE соединяться с удалёнными портами 544 и 8554 для поддержки потокового Quick Time и Real Media, поэтому если мультимедиа-контент этого формата вас не интересует, то их можно перевести в положение Block или удалить. А вот правила, определяющие работу с практически никем не используемыми Web Folders, лучше сразу перевести в блокирующие, так как они разрешают входящие подключения к IE, что весьма небезопасно. Последние два правила разрешают IE работать с DNS-сервером (53 UDP-порт), для того, чтобы по адресу сайта определять его IP (правда, такое правило есть и среди системных).

Таким образом, для любой известной программы лучше всего выбирать автоматический режим с последующим подробным исследованием и ручным редактированием правил. Для тех же программ, которые не распознаются файерволлом, вполне можно создать правило вручную, взяв за основу тот же Intenet Explorer, если программа предназначена для работы с веб-страницами или FTP, либо, например — Outlook Express, если вы хотите настроить работу редкого почтового клиента. Но в любом случае старайтесь не давать программе слишком много прав, даже если уверены, что она вполне безобидна — открывайте ей только те порты, которые она реально требует: например, ICQ достаточно только порта 5190, а HTTP-порты ей нужны только для закачки баннеров и их можно блокировать. Программам же, которым выход в сеть нужен только для доступа к определённым серверам (например, утилите обновления антивируса касперского) можно жёстко указать IP-адреса этих компьютеров.

Generic Host Process for Win32 Services

В процессе настройки файерволла в Windows XP вам наверняка встретится одна программа, назначение которой не вполне непонятно — системный процесс svchost.exe. Эта программа — «Generic Host Process for Win32 Services» — несколько похожа по своему назначению на утилиту RUNDLL.EXE из Windows 9x, то есть с её помощью запускаются различные системные сервисы, представленные в виде DLL-библиотек. Сама эта утилита вполне легитимна, но правильно будет говорить, что не SVCHOST.EXE пытается выйти в Интернет, а какой-то сервис пытается с её помощью получить доступ к Сети. Поэтому необходимо выяснить, какие запущенные сервисы используют SVCHOST.EXE. Увидеть, какие сервисы запущены, вам поможет утилита TLIST.EXE с компакт-диска Windows (её можно найти и в Интернете) — введите в командной строке команду «TLIST -S» и в полученном списке посмотрите, какие сервисы воспользовались услугами SVCHOST.EXE. В NIS очень неплохое правило для svchost.exe создаётся автоматически и при этом не только обеспечивает работу важных системных сервисов типа DNS (локальный порт 53 UDP), DHCP (локальный порт 68 UDP), Time Synchronizer (NTP, локальный и удаленный порт 123 UDP), http (удалённый порт 80 TCP), HTTPS (удалённый порт 443 TCP), но и блокирует уязвимые службы, через которые возможна атака вашего ПК: SSDP Discovery Service и UPnP device Host (порты 1900 UDP, 5000 UDP-TCP), Remote Procedure Call (локальный порт 135 TCP).

Правила файерволла не ограничиваются только лишь правилами для приложений. На странице Advanced можно получить доступ к просмотру и редактированию системных правил, относящихся ко всем программам сразу, и правил, созданных специально для отслеживания троянских вирусов. Обработка всего комплекта происходит в таком порядке: системные, приложения, вирусы, т. е. максимальный приоритет имеют системные правила, доступ к редактированию которых даёт кнопка General.

  • Правила, относящиеся к протоколу ICMP, обеспечивают любые исходящие ICMP-пакеты, а также ответы вашего ПК на входящие безобидные и необходимые сообщения echo (0, ответ на ваш «пинг»), dest (3), time-exceed (11) и запрещают любые попытки «прощупать» ваш ПК через ICMP (типа «пингования» — echo-request (8)).
  • Правило DNS обеспечивает разрешение имён (то есть перевод URL-адресов сайтов в IP).
  • Блокировка входящих NetBIOS и File Sharing — запрет любых попыток получить доступ к вашим файлам по сети (и даже увидеть ваш ПК в сетевом окружении) — исходящие пакеты NetBIOS разрешены, так как для вас угрозы не представляют.
  • Loopback касается только вашего ПК (адрес 127.0.0.1) и обеспечивает общение нескольких программ на вашем ПК друг с другом.
  • Block Access to secure sites — запрет работы с HTTPS-сайтами, предназначен только для того, чтобы компонент Privacy Control всегда мог отследить утекающую в сеть приватную информацию, что невозможно при заходе на https-ресурс, шифрующий весь трафик.
  • Правила Bootp (Bootstrap Protocol, www.networksorcery.com/enp/protocol/bootp.htm [7], DHCP (Dynamic Host Configuration Protocol) — расширение этого протокола) — разрешают автоматическое назначение IP (а бездисковому ПК — ещё и его последующую сетевую загрузку), поэтому если у вас IP указан явным образом, то эти правила можно отключить, сняв соответствующие флажки.
  • Digital Signature Verification обеспечивает работу всех приложений со специальными сайтами Verisign и Microsoft, обеспечивающими, в частности, проверку цифровых подписей файлов NIS.
  • И, наконец, последние блокирующие правила SMB, EPMAP, UPNP устраняют несколько известных уязвимостей в операционной системе.

Правила, созданные для нескольких десятков «троянских коней» — Trojan Horses — предназначены не столько для блокирования атак, сколько для выдачи предупреждений при их идентификации и в какой-либо настройке не нуждаются.

Страница Networking настроек файерволла служит, главным образом, для обеспечения доступа удалённых компьютеров к вашим файлам. Все ПК, что вы отнесёте в доверенную (Trusted) зону, перестают контролироваться файерволлом. Разумеется, это не совсем здорово, и для обеспечения доступа к вашим файлам с какого-то ПК лучше создать специальное системное правило, в котором разрешать для конкретного IP входящие соединения NetBIOS (137, 138, 139 порты), в списке его следует разместить выше системных правил, блокирующих NetBIOS для всех остальных IP, чтобы оно имело более высокий приоритет. Компьютеры, отнесённые в Restricted Zone, становятся полностью отсечены от вашего ПК и не смогут установить с ним никакое соединение (как и вы с ними).

Инструмент Network Detector, включение которого возможно на странице Locations, есть смысл использовать только в мобильных системах, поэтому на десктопе, который всегда находится только в одной сети, вполне можно эту функцию отключить (на десктопе можно разве что разделить с его помощью LAN и Dial-Up).

И последнее, что хотелось бы сказать. Почаще заглядывайте в протокол работы файерволла, используя встроенный Log Viewer — там вы получите подробную информацию о работе программы, что бывает важно, например, если надо разобраться, почему не работает тот или иной сайт. В окне же статистики вы увидите не только все процессы, работающие с сетью, но и узнаете, сколько мегабайт трафика сэкономила вам грамотная настройка блокировки рекламы.

Если удалить не получается…

При попытке удаления Norton Internet Security может выдаваться сообщение, что для этого у пользователя нет прав. Для решения проблемы Symantec выпустила небольшую служебную утилиту, предназначенную для удаления всех версий NIS — RNIS.EXE — её вы найдёте на сайте компании. Учтите только, что программа эта чистит реестр, но не жёсткий диск, поэтому после её работы придётся вручную удалить все файлы NIS.

Если баннер не блокируется…

В файерволле Norton Internet Security откройте окно Event Log и в нём — страницу Web History, т. е. протокол посещённых веб-сайтов. Очистите этот протокол и, установив Интернет-соединение, зайдите на сайт с назойливым баннером. Теперь снова загляните в протокол Web History — поскольку с момента его очистки вы открывали всего одну веб-страницу, то в идеале можно было бы ожидать, что в протоколе окажется только один URL-адрес. Однако из-за того, что на этой странице размещены счётчики и баннеры, отображающиеся обычно с совершенно других адресов, то в протоколе помимо адреса посещенной веб-страницы окажутся ещё и адреса баннерных сетей и счётчиков, например, строки вида «http://ad12.lbn.ru/bb.cgi?cmd=ad…»

Необходимо добиться того идеального случая, когда при посещении какого-нибудь веб-сайта таких паразитных строк в логах файерволла не было бы, т. е. заблокировать наиболее распространённые баннерные сети. К сожалению, простое внесение в список AdBlocking программы Norton Internet Security (да и в других файерволлах) некоторых URL-адресов успеха не приносит. Но по полученному файерволлом URL-адресу можно узнать IP-адреса серверов, с которых приходит реклама. Для этого зайдите, например, на сайт www.all-nettools.com и в разделе «Network Tools» выберите форму для заполнения NSLookup, в которую нужно внести URL нашего «подсудимого»: ad12.lbn.ru. После отработки скрипта на сервере получите такие результаты:

Name: ad4.lbn.ru
Address: 62.118.249.27
Aliases: ad12.lbn.ru

Таким образом, определён IP-адрес баннерно-рекламного сервера. Учтите только, что для некоторых URL может быть сразу несколько IP-адресов — эти самые IP, причем все, что выявлены, теперь необходимо полностью заблокировать. Снова запустите Norton Internet Security и войдите в меню Personal Firewall — Networking. В этом меню на вкладке Restricted введите найденные IP — более ничего не просочится ни с этих адресов, ни на них. Далее зайдите на сайт со злополучными баннерами и по логам файерволла определите следующую жертву — и так до тех пор, пока при заходе на этот сайт не получите идеальный вариант без паразитных веб-соединений.

Проверка настроек

Чтобы проверить качество настройки персонального файерволла, попробуйте использовать специальные сайты, которые просканируют ваши порты в поисках потенциальных брешей в системе безопасности:

Но процесс этот довольно длительный, особенно при не очень хорошей связи.

Как прищучить хакера?

Если файерволл сообщил о попытке вторжения и выдал протокол с указанием IP атаковавшего и времени атаки, то либо используйте механизм Visual Tracking в Norton Internet Security, щёлкнув по IP-адресу атакующего в диалоге, предупреждающем о попытке взлома, либо зайдите на сайт www.all-nettools.com [12], где воспользуйтесь специальными формами для ввода IP-адреса атаковавшего вас ПК. Получив информацию о том, какому провайдеру принадлежит данный диапазон адресов, вышлите ему подробный протокол файерволла с указанием времени атаки и IP взломщика и попросите принять меры.

Что такое IP и порт?

Любое интернет-соединение между двумя ПК состоит из отдельных пакетов, путешествующих от машины-источника к машине-точке назначения. Чтобы прибыть по назначению, вне зависимости от того, где находится компьютер-приёмник — на соседней улице или за океаном — каждый интернет-пакет должен содержать адрес точки прибытия — IP конкретного компьютера и номер порта — как бы адрес программы или службы, которой он предназначен. Плюс ко всему, принимающий компьютер должен знать, кто послал ему очередной пакет, поэтому каждый пакет содержит также IP-адрес отправителя и номер порта породившей его машины. Таким образом, любой пакет, перемещающийся в сети, включает полные адреса отправителя и получателя. IP-адрес всегда идентифицирует конкретную одиночную машину в Интернете, а порт связан с конкретной службой, ответственной за обработку данного блока информации.

Старые версии

Если вы всё ещё используете более старые версии файерволлов, то вам окажутся полезны другие статьи на этом сайте:




Темы