Архивы: по дате | по разделам | по авторам

Огненная

Архив
автор : Андрей Драница   03.10.2003

Неискушенному читателю это может показаться странным, но многие специалисты по компьютерной безопасности называют брандмауэры не иначе, как "огненная вода".

Неискушенному читателю это может показаться странным, но многие специалисты по компьютерной безопасности называют брандмауэры не иначе, как «огненная вода».

Во-первых, это связано с самим назначением и условиями работы брандмауэров. С одной стороны, они должны обеспечивать полный контроль всех входящих/исходящих информационных потоков. С другой — защита должна быть абсолютно прозрачна для рядового пользователя. Всяческие ложные срабатывания, многократные подтверждения доступа и запросы паролей приводят к тому, что надоедливую защиту просто-напросто отключают. Получается, что брандмауэр должен сочетать в себе несовместимое — фактически воду и пламя.

Ассоциация огненной воды с любимым русским спиртным напитком тоже имеет под собой некоторые основания: современные брандмауэры в большинстве случаев «опьяняют» своих владельцев, даруя им необоснованное спокойствие, тогда как реальная ситуация далека от идеальной.

Если не вдаваться в теоретические изыски, то идеальный персональный брандмауэр должен выполнять шесть функций.

1 Блокировка внешних атак

В идеале брандмауэр должен блокировать все известные типы атак, включая сканирование портов, IP-спуффинг, DoS и DDoS, подбор паролей и пр.

2 Блокировка утечки информации

Даже если вредоносный код проник в компьютер (не обязательно через сеть, а, например, в виде вируса на купленном пиратском CD), брандмауэр должен предотвратить утечку информации, заблокировав вирусу выход в сеть.

3 Контроль приложений

Неизбежное наличие открытых дверей (то бишь открытых портов) является одним из самых скользких мест в блокировке утечки информации, а одним из самых надежных способов воспрепятствовать проникновению вирусов через эти двери является контроль приложений, запрашивающих разрешение на доступ. Кроме банальной проверки по имени файла весьма желательна проверка аутентичности приложения.

4 Поддержка зональной защиты

Работа в локальной сети часто подразумевает практически полное доверие к локальному контенту. Это открывает уникальные возможности по использованию новейших (и, как правило, потенциально опасных) технологий. С другой стороны, уровень доверия к Интернет-контенту значительно ниже, а значит, необходим дифференцируемый подход к анализу опасности того или иного содержания.

5 Протоколирование и предупреждение

Брандмауэр должен собирать именно необходимый объем информации. Избыток (равно как и недостаток) сведений недопустим. Возможность настройки файлов регистрации и указания причин для привлечения внимания пользователя приветствуются.

6 Максимально прозрачная работа

Эффективность и применяемость системы часто обратно пропорциональна сложности ее настройки, администрирования и сопровождения. Несмотря на скепсис в отношении «мастеров» (wizards) по настройке и прочих буржуйских штучек, даже опытные администраторы не пренебрегают ими просто в целях экономии времени.

Tiny Personal Firewall (TPF)

Одна из самых простых и компактных программ (рис. 1). Нельзя сказать, что TPF является широкопрофильным продуктом: ее главный козырь — защита от троянских коней. Именно для их отлова предназначена функция аутентификации приложений в соответствии с протоколом MD5, защищающая в какой-то мере от банальной подмены имен исполняемых файлов. Так что даже если вредоносная программа носит имя MSIMN.EXE (Outlook Express) или IEXPLORE.EXE (Internet Explorer), TPF не выпустит ее в Сеть.

В главном окне TPF присутствует переключатель для трех уровней безопасности. На уровне Don’t bother me программа не задает никаких вопросов и разрешает любой не запрещенный правилами трафик. На обычном уровне Ask me first применяются все правила фильтрации, а при попытке программы, отсутствующей в списке авторизованных, получить доступ — пользователю предоставляется выбор. На уровне Cut me off доступ в сеть блокируется напрочь.

Окно Advanced Firewall Configuration предоставляет доступ ко всем правилам, а также возможность создавать собственные. Закладка Microsoft Networking позволяет разрешить (или запретить) совместное использование принтеров и файлов.

В последних версиях есть функции фильтрации веб-трафика и электронной почты, ведения отчетов, входящий трафик контролируется на предмет наличия вирусов (используется движок McAfee Virus Scan), а также реализована поддержка виртуальных частных сетей (VPN) Cisco и Alcatel

Norton Internet Security (NIS)

Одна из лучших программ подобного рода, и если ее младший брат — Norton Personal Firewall — по некоторым параметрам уступает конкурентам, то NIS (в состав которого входят Norton Personal Firewall, Norton AntiVirus, модуль Parental Control для блокировки доступа к запрещенным веб-узлам и модуль защиты конфиденциальности Privacy Control), безусловно, один из лидеров. Как и многие другие продукты Symantec, NIS обладает всем набором дополнительных удобств — приятным интерфейсом, продуманными программами установки и удаления, единым центром управления (рис. 2). Этот брандмауэр довольно «интеллектуален» — по крайней мере, способен распознать наиболее распространенные программы и автоматически сконфигурировать правила доступа для них. Еще одно достоинство — развитые функции защиты от зловредных Java- и ActiveX-приложений; к тому же NIS позволяет обеспечить анонимный веб-серфинг путем блокировки cookies и http-ref.

Перед первым запуском можно воспользоваться утилитой проверки системы, которая составит список всех программ, обращающихся в сеть, после чего права доступа можно задать индивидуально или принять по умолчанию. Для каждого модуля (антивируса, брандмауэра, модуля защиты конфиденциальности и родительского контроля) можно выбрать один из четырех режимов: Automatic, Permit all, Block all и Custom.

К немногочисленным недостаткам программы можно отнести лишь ее высокую цену, большой размер дистрибутива и изрядные системные требования.

BlackICE PC Protection

BlackICE PC Protection, раньше называвшийся BlackICE Defender (рис. 3), можно было бы назвать обычным брандмауэром, если б не два «но». Во-первых, он отличается тем, что пытается получить всю информацию о взломщике по максимуму (технология Back Trace). Во-вторых, в нем присутствуют некие зачатки системы обнаружения вторжений (IDS): анализ трафика на предмет нахождения шаблонов, характерных для взлома (более семисот видов операций), в том числе троянских коней и попытки сканирования портов. Разработчик утверждает, что данная методика позволяет обнаруживать атаки, которых не заметят другие системы.

BIDef не контролирует доступ прикладных программ к сети, что является неоднозначным решением: отсутствие такого контроля может привести к прорыву защиты изнутри, особенно в отсутствие аутентификации приложений.
Впрочем, в брандмауэре есть функция динамического блокирования доступа со стороны обнаруженного взломщика, а также блокирования общего сетевого трафика в соответствии с заданным уровнем безопасности, коих четыре: Paranoid, Nervous, Cautions и Trusting. На уровне Paranoid брандмауэр становится в прямом смысле огненной стеной — весь входящий TCP- и UDP-трафик блокируется без соответствующего запроса. На уровне Nervous разрешен поступающий к приложениям UDP-трафик (TCP по-прежнему блокируется). На уровне Cautious, кроме того, допускается входящий трафик TCP, а на уровне Trusting разрешены все четыре типа трафика. Если есть желание, можно настроить параметры в разделе Advanced Firewall Settings, чтобы разрешить или запретить трафик для определенных IP-адресов, протоколов и портов.

AtGuard

Одна из самых старых программ, чье имя уже стало нарицательным. В принципе, на AtGuard пора бы поставить крест: продукт перекуплен Symantec, никаких новых версий и обновлений не ожидается (последнюю версию программы еще можно найти в Интернете).

К сожалению, как брандмауэр AtGuard уступает многим конкурентам, ограничиваясь лишь мониторингом трафика и блокировкой некоторой неавторизованной активности (рис. 4). Отсутствуют такие важные возможности, как аутентификация приложений, возможность определения сканирования портов и собственно атаки.
С другой стороны, причинами народной любви к AtGuard можно считать универсальность, гибкую настройку правил (в том числе и с помощью специального мастера) и напичканность приятными функциями, не имеющими прямого отношения к вопросам безопасности, но заслуживающими упоминания.

Во-первых, блокировка рекламы. Реализована эта возможность довольно просто: AtGuard «просматривает» входящий http-трафик и вырезает все баннеры на веб-странице еще до того, как ее откроет браузер, — именно такая схема позволяет повысить скорость веб-серфинга. Конечно, ни о каком искусственном интеллекте здесь речи нет, а распознавание рекламы основано на анализе html-кода на предмет нахождения заранее известных участков, которые хранятся в базе данных программы. Естественно, какая-то часть рекламы прорвется через фильтр, и именно для нее предназначено удобное окошко Dashboard — корзинка, в которую можно перетащить надоедливый баннер. После перетаскивания код баннера будет добавлен в базу, и при следующем просмотре той же странички рекламу вы не увидите.

Во-вторых, раздел Privacy позволяет настроить режимы работы с cookies, http-заголовком Referer, полем User-agent и информацией о вашем e-mail.
В третьих, в разделе Active Content можно настроить поведение активных элементов веб-страниц. Названия опций говорят сами за себя:
- Block all JavaScript — блокировка всех Java-скриптов (не путать с Java-апплетами);
- Block only popup window script — блокировка всплывающих окон;
- Block Java applets и Block ActiveX controls — блокировка всех Java-апплетов и ActiveX-компонентов.

ZoneAlarm Pro (ZAP)

Одна из немногих программ, которая подходит и новичкам, и профессионалам средней руки, стремящимся защитить небольшую локальную сеть. Прежде всего, подкупает очень простой интерфейс (рис. 5); все всплывающие оповещения о сетевой активности понятны даже неопытным пользователям. ZAP предлагает, по сути, всего два пути — допустить соединение или отказаться от него (при этом есть возможность «запомнить» выбор на будущее). Каждая зарегистрированная программа при последующем доступе в сеть проходит авторизацию. Возможна индивидуальная настройка, например с указанием разрешенных IP-адресов и портов.

Одним из весьма полезных умений программы является защита почты (E-mail Protection) — предотвращение запуска потенциально опасных скриптов, полученных по электронной почте, что (по крайней мере, теоретически) может защитить от новых и, как следствие, неизвестных вирусов и зловредных скриптов.

ZAP неплохо справляется с «необязательной программой»: есть контроль за cookies, возможность фильтрации http-трафика, блокировка вредоносных скриптов.

В принципе этот брандмауэр имеет практически все заявленные «в идеале» функции, так что к недостаткам можно отнести лишь мелкие неудобства вроде отсутствия автоматического распознавания распространенных приложений и запрета доступа к нежелательным узлам, а также невозможность фильтрации активного контента в почтовом трафике.

Agnitum Outpost Firewall Pro (OFP)

Относительно новая, но уже успевшая зарекомендовать себя программа. Интерфейс строг и в меру информативен: слева список всех модулей, активных сессий, справа — информационная панель выбранного модуля (рис. 6).

Присутствует возможность тонкой настройки как самой программы (автозапуск брандмауэра, защита настроек паролем, включение/отключение дополнительных модулей), так и приложений (добавить/удалить основные приложения, установка общих правил, модификация политики программы).

Помимо полноценного брандмауэра есть ряд очень удобных дополнительных сервисов, включая кэширование DNS, которое позволяет повысить скорость работы путем сохранения результатов обращения к серверам доменных имен на стороне клиента.

Если взглянуть на сравнительную таблицу, может сложиться обманчивое впечатление, что OFP «впереди планеты всей». Конечно, по заявленным функциям продукт очень хорош — но недостатки есть и у него. Во-первых, имеет место некоторая неустойчивость. В одном из тестов компьютер оставался практически без внимания пользователя — запускался лишь брандмауэр и офлайновый браузер, который закачивал заранее определенные сайты. В первые часы работы OFP добросовестно защищал машину от внешних атак и успешно фильтровал рекламу, но пройти весь семичасовой тест ему удалось лишь с третьей попытки — до этого программа просто вылетала с ошибкой. Во-вторых, OFP свойственны все недостатки «одиноких брандмауэров», которые отсутствуют в таких системах безопасности, как Norton Internet Security. 

Классификация

Брандмауэр (firewall, межсетевой экран) — это система, позволяющая разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения информации из одной части в другую. Брандмауэры представляют собой целый класс систем, порой сопоставимых по сложности с операционной системой. Классифицировать их можно по исполнению: программные, аппаратные и смешанного типа (аппаратно-программного); по компонентной модели: локальные (работающие на одном хосте) и распределенные (distributed firewall); но самой «полезной» является классификация с точки зрения уровня, на котором они функционируют: пакетный уровень, прикладной, уровень соединения.
Разбивка на уровни является условной, что подразумевает возможность работы отдельно взятого брандмауэра более чем на одном уровне одновременно. Можно сказать, что практически все современные брандмауэры функционируют сразу на нескольких уровнях, стремясь расширить функциональность и максимально использовать преимущества работы по той или иной схеме. Такая технология получила название Stateful Inspection, а брандмауэры, работающие по смешанной схеме, — Stateful Inspection Firewall.

Пакетный уровень
Работа на пакетном уровне заключается в фильтрации пакетов. Решение о том, пропускать данный пакет или нет, принимается на основе следующей информации: IP-адреса, номера портов отправителя и получателя, флаги. По сути, задача администратора заключается в составлении простенькой таблицы, на основании которой осуществляется фильтрация. Пример такой таблицы приведен ниже.
Преимущества пакетного уровня:
- низкая стоимость;
- высокая производительность.
Недостатки:
- сложность конфигурирования и поддержки;
- отсутствие дополнительных возможностей;
- рухнувшая сеть остается открытой (не защищенной);
- не защищены от фальсификации IP- и DNS-адреса.

Прикладной уровень
Фильтрация на уровне пакетов хоть и проста, но порой явно недостаточна. Информации сетевого и транспортного уровня модели OSI1 иногда не хватает для эффективной работы, что объясняет существование систем, работающих на самом верхнем уровне — прикладном. Фактически брандмауэры на данном уровне предоставляют собой несколько отдельных подсистем (так называемых application gateways — серверов прикладного уровня), по числу обслуживаемых сервисов. Между пользовательским процессом и нужным сервисом возникает посредник, пропускающий через себя весь трафик и принимающий в рамках установленной политики безопасности решение о его легитимности.
Как правило, современные брандмауэры поддерживают практически весь спектр существующих сервисов — HTTP, FTP, SMTP, POP3, IMAP, Telnet, Gopher, Wais, Finger, News, — позволяя или полностью блокировать тот или иной сервис, или же ввести некоторые ограничения2.
Такая схема работы обеспечивает ряд дополнительных бонусов в области безопасности: во-первых, маскируется структура защищаемой сети; во-вторых, появляется возможность более гибко управлять доступом — например, через предоставление разных прав отдельным категориям пользователей и т. д.
Преимущества прикладного уровня:
- маскировка защищаемой сети;
- широкие возможности (усиленная аутентификация, детальное протоколирование);
- рухнувшая сеть остается заблокированной (защищенной).
Недостатки:
- высокая стоимость;
- низкая производительность.

Уровень соединения
Шлюз на уровне соединения представляет собой систему, транслирующую соединения вовне. При установлении доступа пользовательский процесс соединяется с брандмауэром, который, в свою очередь, самостоятельно устанавливает соединение с внешним узлом. Во время работы брандмауэр просто копирует входящую/исходящую информацию. По большому счету этот шлюз надо рассматривать не как самостоятельный и самодостаточный механизм, а лишь как специфическое решение некоторых задач (например, для работы с нестандартными протоколами, если необходимо создать систему сбора статистики для какого-то необычного сервиса, предоставить доступ только к определенным внешним адресам, осуществлять базовый мониторинг и т. д.).

1 (назад)OSI-модель — семиуровневая иерархическая модель, разработанная Международным комитетом по стандартизации (ISO) для определения спецификации и связи сетевых протоколов.
2 (назад) К сожалению (или к счастью), уже существуют системы, специально предназначенные для обхода такого рода ограничений. Примером может служить программный комплекс AntiFirewall от iNetPrivacy Software. Он позволяет общаться с помощью ICQ или IRC, использовать FTP и Usenet, забирать почту с внешних серверов POP3 и IMAP (возможность отправки не предоставляется). Способ обхода тривиален: трафик туннелируется в протокол HTTP (который, как правило, не блокируется), а конвертация происходит на внешних прокси-серверах, которые устанавливают соединения с необходимыми службами по соответствующим протоколам. Такая схема также предоставляет дополнительный бонус: IP-адрес пользователя маскируется, обеспечивая определенную анонимность.

 

 

Недостатки

Имеет смысл рассмотреть и обратную сторону медали, то есть обратить внимание на недостатки, причем не отдельных решений, а всей технологии в целом.

Разрозненность систем защиты

Это одна из самых важных проблем, над решением которой бьется довольно много поставщиков, но пока без особого успеха. Пояснить ситуацию проще всего на примере. Не меньше половины (по некоторым оценкам — до 75%) всех проблем с безопасностью связаны с деятельностью действительных или бывших сотрудников. Во многих брандмауэрах отсутствует защита от саботажа со стороны авторизованных пользователей. Этот вопрос можно рассматривать с этической, социальной или любой другой точки зрения, но сути это не изменит — брандмауэры не способны запретить авторизованному пользователю украсть (передать вовне, уничтожить, модифицировать) важную информацию. К счастью, уже давно существуют другие решения (разграничение доступа и т. д.), только вот проблема заключается в разрозненности всех подобных систем, призванных, по сути, выполнять одну и ту же функцию. Пока антивирусные программы, системы обнаружения вторжений, разграничения доступа и др. не будут иметь единого центра управления, эффективность каждой из них можно смело делить на два.

Отсутствие защиты для нестандартных или новых сетевых сервисов

Отчасти решением могут служить шлюзы на уровне соединения или пакетные фильтры, но как уже было сказано, им недостает гибкости. Конечно, имеются определенные возможности по туннелированию нестандартного трафика, например в HTTP, но этот вариант нельзя назвать удобным сразу по нескольким причинам. Существует множество унаследованных систем, переписать код которых не представляется возможным. Однако оставлять их беззащитными тоже нельзя. Впрочем, число доступных посредников в некоторых брандмауэрах перевалило за две сотни, к тому же есть системы, позволяющие создавать proxy-серверы для специфичных или новых протоколов и сервисов (например, ProxyWriter от CyberGuard Corporation или CheckPoint Firewall-1).

Снижение производительности

К счастью, подобные вопросы возникают все реже и реже, особенно у частных пользователей, стремящихся защитить свой ПК или маленькую локальную сеть. С другой стороны, крупные локальные сети по-прежнему генерируют столь емкий трафик, что простыми программными (а значит, дешевыми или вовсе бесплатными) решениями сеть прикрыть не удастся. Аппаратные решения демонстрируют отличную производительность и масштабируемость, но вот цена (иногда исчисляемая десятками тысяч долларов) ставит вопросы их применения в совершенно иную плоскость, так что порой максимум возможного — это выделение специального сервера, «заточенного» только под обслуживание брандмауэра. Естественно, такое универсальное решение автоматически сказывается на скорости доступа.

 

 

Пояснения к таблице

Фильтрация активного контента в веб-трафике — блокировка элементов ActiveX, апплетов Java, скриптов JavaScript и VBScript, всплывающих окон в загружаемых пользователем веб-страницах.
Фильтрация активного контента в почтовом трафике — блокировка того же самого в почтовых сообщениях.
Поддержка ICS — поддержка Microsoft Internet Connection Sharing.
Режим невидимости компьютера в сети — блокировка ответов системных сервисов о том, что данные сервисы недоступны, а порты закрыты3.
Режим невидимости пользователя — блокировка cookies и ссылок на предыдущий узел — referers. Это в какой-то степени не позволяет различным онлайновым службам отслеживать перемещения пользователя и его повторные заходы на веб-сайты.
Удаление баннеров — блокировка (удаление) баннеров из загружаемых веб-страниц.
Блокировка доступа к запрещенным узлам — возможность блокировки доступа к определенным веб-сайтам (Parental Control).
Аутентификация приложений — возможность цифровой подписи приложений, получивших те или иные права доступа в сеть. Потенциально это позволяет блокировать доступ троянцам, маскирующимся под легитимные приложения.
Поддержка плагинов — возможность подключения дополнительных модулей для расширения базовой функциональности.
Auto Update — возможность проверки на наличие новой версии ПО, его загрузки и обновления.
Протоколирование — возможность протоколирования работы программы и сетевых событий (вторжений, входящего/исходящего трафика и т. д.).
Обнаружение сканирования — возможность обнаружения сканирования портов защищаемой системы.
Обнаружение атаки — возможность обнаружения атаки на защищаемую систему.
Удаленное администрирование — возможность удаленного управления программой, например через специальный клиент или веб-браузер.
Защита конфигурации по паролю — возможность установки пароля для защиты конфигурации программы от изменений.


3 (назад)В обычном режиме при попытке доступа к закрытому порту коммуникационные компоненты ОС отправляют ответ о том, что данный порт закрыт или что данный сервис не доступен. Это дает возможность определить, что данная машина активна. В режиме невидимости такие ответы не отправляются. 

© ООО "Компьютерра-Онлайн", 1997-2022
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.