Огненная стена для ПК

Архив

Основная заслуга в обеспечении сетевой безопасности принадлежит программно-аппаратным комплексам с интересным названием — файрволлы.

The world outside is so big, but it’s safe in my domain.
© Bad Religion. «I Love My Computer» (album «The New America»)

Давно известна шутка о том, что самый защищенный компьютер — не подключенный к сетям, а еще лучше — выключенный. Однако пользы от такого ПК не больше чем от тумбочки. Каждый раз, входя в Интернет, пользователь рискует. Информация, находящаяся на носителях его компьютера, может стать доступной кому угодно. Более того, многие программы без вашего согласия и ведома отсылают различную информацию о вас своим разработчикам: списки посещенных сайтов, установленное ПО и характеристику аппаратной части ПК, регистрационные данные etc. Может, вам и нечего скрывать, но зачем же платить за лишний трафик?

Основная заслуга в обеспечении сетевой безопасности принадлежит программно-аппаратным комплексам с интересным названием — файрволлы (firewalls, aka брандмауэры, aka межсетевые экраны — МСЭ). Их задача — обеспечивать фильтрацию трафика в обе стороны и блокировать несанкционированный доступ к вашему компьютеру из Сети. Любое соединение с Сетью инициируется какой-либо программой. Каждая программа использует для работы свой порт, идентифицируемый номером (он, кроме всего прочего, позволяет программам принимать лишь те данные, которые адресованы только им). Передача данных происходит по какому-либо протоколу (HyperText Transfer Protocol [HTTP]; Post Office Protocol [POP]; Interactive Mail Access Protocol [IMAP]; File Transfer Protocol [FTP]; User Data Protocol [UDP] и т. д.). Файрволл позволяет контролировать использование портов и протоколов; «прятать» неиспользуемые порты для исключения атаки через них («When you’re invisible, you can’t be attacked!» © ZoneLabs Inc.); запрещать/разрешать доступ конкретным приложениям к конкретным сетевым адресам; разрешать/запрещать использование cookies, ActiveX control, Java applets… — словом, контролировать все, что может стать орудием сетевой атаки. Разумеется, полный набор вышеперечисленных возможностей может отсутствовать у конкретного файрволла. Следует понимать, что несмотря на внешнюю схожесть механизмы работы у брандмауэров отличаются, следовательно, различна и степень создаваемой защиты.

Все файрволлы условно можно разделить на два больших класса: 1) ориентированные на противостояние преимущественно внешним вторжениям; 2) созданные для предотвращения несанкционированного соединения со стороны самого атакуемого ПК (атаки «изнутри»). Считается, что большая часть взломов происходит «изнутри» и путем внедрения троянских программ. Обычно бывает так, что по мере выхода новых версий файрволла в нем появляется все больше нововведений, и с какого-то момента уже трудно сказать, к какому типу он принадлежит. В конечном счете в любом брандмауэре появляются настройки, позволяющие сконфигурировать его для защиты как от внешних, так и от внутренних вторжений.

Какой файрволл выбрать?
На мой взгляд, одним из самых надежных программных файрволлов является ZoneAlarm Pro (разработчик Zone Labs; www.zonelabs.com). Бесплатная версия ZoneAlarm по сравнению с Pro обладает меньшей гибкостью настроек и функциональностью, но вполне подойдет неискушенному пользователю в качестве базового варианта. Ведение журнала событий, настройка правил для работы в Интернете и LAN, причем не просто на уровне приложений, но и для каждой программной компоненты. Управление cookies, возможность блокировать скрипты, встроенные объекты (Java, ActiveX, MIME), всплывающие окна; вырезать баннеры и «замораживать» анимированные GIF-файлы, а также наличие автоматической проверки обновлений, различное оформление — вот перечень основных возможностей ZoneAlarm Pro.

Другой файрволл, пользующийся большой популярностью и уважением, — Outpost от фирмы Agnitum (www.agnitum.com). Он также доступен в двух вариантах: бесплатном базовом и платном Pro. Будучи модульным по структуре, файрволл содержит в себе детектор атак с трехуровневой настройкой оповещений и множество дополнений, позволяющих эффективно охранять свою приватность. На день написания статьи файрволл являлся, пожалуй, самым тонко конфигурируемым. Outpost — первый файрволл для ОС Windows, разработанный в соответствии с принципом открытой архитектуры. Поэтому можно сказать, что в его создании помимо программистов Agnitum приняли участие тысячи людей. Поддержка плагинов дала возможность легко совершенствовать брандмауэр и приспосабливать его под конкретные нужды.

Blocked Intrusions 109 Intrusions have been blocked since install 3 of those have been high-rated

Таков итог 17-дневной работы файрволла ZoneAlarm Pro. Анализ логов показал, что из этих событий реально могли представлять какую-то угрозу лишь 23. 54 раза брандмауэр пресекал попытки самовольного подключения программ и сервиса Windows Update. В 32 случаях были заблокированы проверки состояния соединения со стороны ISP (что никак не отразилось на подключениях).

Для написания плагинов вам потребуются примеры и документация (доступна по ссылке: www.agnitum.com/download/OutpostSDKInstall.exe), а посоветоваться вы сможете на форуме www.agnitum.com/forum. Среди языков интерфейса файрволла есть русский. Как и Zone Labs, фирма Agnitum придает большое значение поддержке пользователей, за что им обеим большое спасибо. Полное руководство по использованию Outpost на русском языке вы можете скачать здесь: www.agnitum.com/download/Outpost_User_Guide_(RU).pdf. Оно представляет собой файл в формате PDF размером 1 108 384 байт. На 110 страницах дано исчерпывающее описание не только самого файрволла, но и основные сведения по структуре сети Интернет, протоколам, организации политики безопасности. Эта информация необходима для понимания сущности настроек любого брандмауэра. Существует также русскоязычный форум по этому продукту: five.km.ru/outpostforum/index.php.

Взаимодействие файрволлов

Литература

«Firewalls. Практическое применение межсетевых экранов». Книга написана известнейшим специалистом по сетевой безопасности — Вильямом Терри Оглтри, посвящена теоретическим принципам устройства межсетевых экранов и практическим советам по работе с ними. Также включает в себя общие сведения о Сети, в частности — описание семейства протоколов TCP/IP, модели OSI, принципы шифрования и организации VPN. Издательство: ДМК. 2001 г.,  ISBN: 5940740375, 400 стр.

Одноуровневая система защиты ненадежна по определению. На первый взгляд, решение очевидно — поставить второй, третий… энный файрволл. Однако этого делать нельзя, как и в случае с программами антивирусного мониторинга реального времени. Межсетевой экран — не простое приложение. Оно тонко взаимодействует с ОС, перехватывает запросы на соединение, задает ограничения и т. д. При одновременном использовании нескольких брандмауэров они в большинстве случаев конфликтуют друг с другом. Это может привести к тому, что реально все соединения будут разрешены и толку от файрволлов не будет. Либо наоборот — все будет запрещено, и вы просто не сможете работать с Сетью. Плюс общие ошибки — от непредсказуемого поведения ПК до невозможности его загрузки вообще. Помните, что при выключении файрволла или отключении его автозапуска, драйверы и сервисы файрволла по-прежнему загружаются в память. Следует выбрать один брандмауэр, а остальные полностью деинсталлировать. Единственная связка, которая работала у меня когда-то в паре не мешая друг другу, — ZoneAlarm Pro и AtGuard. Они действительно оба осуществляли фильтрацию согласно настройкам и благополучно справлялись с этой задачей. Однако я все же не советую использовать такой вариант. С тех пор прошло время, ZoneAlarm Pro заметно изменился, а OS Win** обросла патчами и сервис-паками. Как поведут себя на вашем ПК упомянутые файрволлы вместе, заранее никто не скажет.

Несколько слов об AtGuard
Есть среди файрволлов ветеран, снискавший заслуженную славу: AtGuard (или @Guard; разработчик WRQ). Он доступен по адресу stophack.net/atguard. Однако в связи с тем, что AtGuard перестал развиваться с 1999 года, им уже трудно обеспечивать нормальный уровень безопасности. Будучи в свое время одним из лучших файрволлов, он оставался таким до сих пор. С другой стороны, это привело к тому, что интересующиеся методами обхода брандмауэров в первую очередь ориентировались на то, что у атакуемой стороны будет работать AtGuard. Немножко помогает ему «остаться на плаву» система парольной защиты правил. Но ею мало кто пользуется, да и надежность ее не абсолютна. Поэтому имеет смысл оставить AtGuard как файрволл-помощник, в дополнение к основному.

Сквозь файрволлы

Cамые известные программные файрволлы.

Бесплатные Agnitum Outpost Firewall eSafe Desktop (комплексная защита, файрволл в комплекте) Look’n’Stop Lite Sygate Personal Firewall Tiny Personal Firewall Wyvern Personal Firewall Zone Alarm Платные Agnitum Outpost PRO Firewall Conseal PC Firewall McAfee Personal Firewall  Norton Personal Firewall 2001  NeoWatch Personal Firewall  Privacyware Privatefirewall  Sphinx PC Firewall  ViPNet DESK Personal Firewall  VirusMD Personal Firewall Zone Alarm Pro

Каждый, наверное, задумывался: можно ли обойти брандмауэры? И если да, то как? В конце апреля 2002 года на packetstormsecurity.nl появилась программа под названием Backstealth. Она действительно способна совладать со многими «огненными стенками». Это чудо от разработчика Paolo Iorio вопреки всем правилам, контролирующим исходящий трафик, смогло скачать текстовый файл с сервера, блестяще доказав свою работоспособность. В ходе теста потерпели поражение файрволлы от Symantec и McAfee, Tiny Personal Firewall, Kerio Personal Firewall, Sygate Personal Firewall Pro. Наверняка список имеет продолжение. Дело в том, что механизм, использующийся программой, в достаточной степени универсален: используется функция VirtualAlloc для добавления собственного кода в память, выделенную брандмауэру. Как результат — подключения становятся незаметны. Однако повода для беспокойства нет. Чтобы записать хоть один байт в область памяти, выделенную для другого приложения, должен выполниться программный код. Его надо сначала каким-то образом передать на компьютер атакуемого и запустить. К тому же такое нестандартное поведение, разумеется, вызовет реакцию антивирусных программ, в частности — резидентных мониторов и модулей эвристического анализа. Это еще раз доказывает, что настоящая защита должна быть комплексной и многоуровневой. Все остальное — компромисс с ее полным отсутствием, иллюзия и самообман. Разумеется, проблема обхода межсетевых экранов куда как сложнее. Интересно об этом еще в 1999 году написал А. Лукацкий (статья: «Firewall — не панацея»), а в 2002 году его идеи получили продолжение в статье «Способы обхода межсетевых экранов» (см. emanual.ru).