Караул, который не устаёт
АрхивТехнологииОбзор персональных брандмауэров
Прежде чем углубиться в джунгли сетевой безопасности, давайте разберемся: почему обычному пользователю эта тема вообще должна быть интересна? Ведь существуют сетевые администраторы, интернет-провайдеры, отдел "Р" при МВД и многие другие, чей профессиональный долг - обеспечивать безопасность работы в интернете?..
Для наглядности приведу аналогию из другой сферы человеческой деятельности. Несмотря на труд множества сотрудников госавтоинспекции, различных дорожных служб, сервис центров и т. п., безопасность водителя в конечном счете зависит от его собственной квалификации. Усилия же всех остальных имеют лишь вспомогательное значение. Можно сказать, что эти люди пытаются ограничить число способов попасть в аварию, тем не менее выбор - каким именно образом свернуть себе шею - остается за водителем.
Продолжая компьютерно-дорожную аналогию, отмечу, что неосторожный водитель представляет опасность не только для себя, но и для окружающих. Вот так же и зараженный компьютер становится очагом распространения вирусов. Но если для получения прав надо хотя бы продемонстрировать определенные знания и навыки вождения, то для подключения к сети не надо сдавать никаких экзаменов. Подключайся и… заражайся. Сетевые эпидемии, предотвратить катастрофические последствия которых могло бы соблюдение элементарных принципов защиты, обязаны своей разрушительной силой именно неосведомленности большинства пользователей.
Чтобы не стать жертвой сетевого взлома, не обязательно знать отличия реализации стека TCP/IP-протоколов у Windows и Solaris. Поняв и аккуратно соблюдая несколько простых правил, можно избежать большинства аварийных ситуаций не только на дороге, но и в сети.
Надеюсь, мне удалось убедить читателей, что тема сетевой безопасности заслуживает того, чтобы потратить еще пару минут на чтение оставшейся части статьи. Теперь перейдем к вопросу: "От чего надо защищаться?" Отвечаю: от несанкционированных подключений как извне (из интернета к вашему компьютеру), так и изнутри (из вашего компьютера в интернет). Если с первой частью ответа все более или менее понятно (одни сетевые черви чего стоят), то со второй все не так очевидно. Ведь если не "ходить по страничкам", то компьютер сам в интернет не полезет? Если упрямо придерживаться этого мнения, можно довести знакомого техспеца до приступа буйного помешательства (способ проверенный. Множество прикладных программ собирают и передают информацию, не уведомляя об этом пользователя, и в результате имеем то, что принято называть утечкой данных). В большинстве случаев после исследования пользовательских систем список подобных программ получается довольно обширным и не вызывает удивления только у закоренелого флегматика.
Подчеркну, что следует контролировать "активные" компоненты web-страничек и email-писем. Это относительно небольшие программы, встроенные в web-страничку или письмо, исполняемые на стороне клиента. Именно они отвечают за интерактивное взаимодействие с пользователем, "оживляя" страничку, но также могут являться "троянским конем", применяющимся для достижения несанкционированных вами целей.
Закончив с агитацией, подведем краткий итог. Следует контролировать:
- сетевые подключения из интернета к пользовательской системе (возможные варианты фильтрации: полный запрет/избирательный доступ к определенным сервисам на основе сетевого адреса запрашивающего);
- сетевую активность локальных системных сервисов и прикладных программ (задавая индивидуальные ограничения для каждой программы - запретить/разрешить/ограничить набором правил);
- "активные" компоненты web- и email-трафика (полный запрет/избирательное разрешение).
Указанным требованиям отвечает специализированный класс программ - персональные брандмауэры.
Отвечая на жизненные реалии, корпорация Microsoft включила в состав операционной системы Windows XP сетевой брандмауэр. Вызвав свойства подключения к интернету (не важно, модемное ли оно или по локальной сети), на вкладке "Дополнительно" можно включить опцию "Защитить мое подключение к интернет".
В этом случае все соединения, исходящие с компьютера или локальной сети, если компьютер является шлюзом в интернет, пропускаются. Если же кто-либо из интернета попытается подключится к защищаемому компьютеру, то это соединение блокируется. Однако можно разрешить подключаться из внешней сети к определенным сервисам данного компьютера или других компьютеров, установив перенаправление сетевых соединений.
Главным удобством этого брандмауэра является легкость включения. Щелчок мышки - и непрошеные гости остались за закрытой дверью. Но у него, как и у любого простого решения, есть серьезные недостатки.
Прежде всего, вы не сможете фильтровать исходящий трафик - по идеологии брандмауэра трафик считается доверенным. Безнаказанность сетевой активности вируса или шпионской программы, засевшей на компьютере, быстро убедит вас в опрометчивости этого предположения. Соответственно нет возможности контроля "активных" компонентов web/email-трафика.
При установке разрешения приема входящих соединений нельзя задать список сетевых адресов, с которых прием разрешен. Правило будет действовать сразу для всего сетевого сообщества, что в определенной ситуации может порадовать веселыми сюрпризами.
Также очень неудобна система журналирования сообщений. Все записи скидываются в один текстовый файл, анализ которого заставляет вспомнить о портированной на Windows утилите grep.
На выходе имеем брандмауэр, предоставляющий только ограниченные функции сетевой фильтрации. Первый шаг в борьбе за собственную безопасность, но не более того.
Поэтому на достигнутом лучше не останавливаться, ибо интернет опасен не только угрозой прямого нападения. Обратим внимание на более функционально одаренную разработку компании Agnitum - брандмауэры Agnitum Outpost Pro и Free для семейства Windows. Поскольку возможности версии Pro богаче, начнем именно с нее.
Текущая версия продукта - 2.1. Срок бесплатного тестирования 30 дней, после чего вас попросят заплатить 499 рублей за лицензию для физического лица.
Еще на стадии установки брандмауэра вам предложат сконфигурировать индивидуальные разрешения для всех сетевых программ, обнаруженных на компьютере. К этим разрешениям можно будет вернуться позднее, изменив их на ходу. Обнаружив не описанную в своих правилах сетевую активность программы, брандмауэр блокирует передачу, запрашивая разрешение пользователя. Удобно то, что брандмауэр уже содержит набор предустановленных правил, описывающих типовую работу основных пользовательских и системных приложений. В большинстве случаев достаточно указать одно из этих правил.
Дополнительной мерой безопасности является контроль целостности сетевых программ по цифровой подписи. Если программа была изменена (вирусом или обновлением), это будет обнаружено, и сетевая активность ее будет блокирована до решения пользователя.
Помимо избирательного контроля "активных" элементов web/email-трафика, предлагаются еще функции по блокировке рекламы (баннеры, всплывающие окна, рекламные ссылки), а также блокировка web-ресурсов (parent control) по доменным именам или содержимому опубликованных документов.
Кроме защиты одиночной системы, брандмауэр Outpost Pro может работать на шлюзовой машине, соединяющей две сети, но сделать с его помощью перенаправление соединений с одного компьютера на другой нельзя. Зато можно подключать модули сторонних разработчиков, дополняющие типовые возможности. Среди подобных модулей хотел бы отметить HTTPLog (разработчик Muchod), ведущий запись запросов к web-серверам. Моему знакомому он помог вычислить утечку данных с компьютера, происходящую при помощи разрешенного ActiveX-компонента с одного из доверенных ресурсов. Добавлю, что немаловажным подспорьем станет русскоязычный интерфейс программы, сопровожденной качественной документацией на русском языке.
Рассматриваемый брандмауэр предлагает еще много интересных и полезных возможностей, останавливаться на которых, мы, однако, не будем, чтобы, не дублировать документацию.
Версия Free отличается от Pro, в первую очередь, бесплатностью и несколько устаревшим ядром (1.0.1817). Отсутствие технической поддержки и автоконфигурации приложений/сети - еще пара недостатков. Также его не рекомендуется устанавливать на шлюзовой компьютер.
В целом Agnitum Outpost Free позиционируется как брандмауэр для малобюджетных организаций и домашних компьютеров, пригодный для оценки полезности программ такого рода и принятия решения о покупке полной версии.
В студенческие годы мне нравилось, когда преподаватель уделял в конце лекции несколько минут для ответа на вопросы слушателей. Никоим образом не претендуя на лавры мэтров, тративших драгоценное время на непонятливых студиозусов, все же последую их примеру.
Что такое брандмауэр?
Брандмауэр (firewall) - перегородка из огнеупорного материала, возводимая на пути распространения пожара. Также данный термин стал использоваться для обозначения аппаратных и программных средств сетевой защиты (сетевой экран). Пожалуй, такое название было выбрано из маркетинговых соображений: "Пусть за стеной бушует пожар или беснуются варвары, но вам за надежной защитой ничего не грозит". В действительности сетевой экран походит не на сплошную стену, а на таможенный пост, где в соответствии с предписаниями проверяется багаж путешественников. Если груз к ввозу или вывозу разрешен, его пропускают. Если нет - извините. Причем решения принимаются на основе адресов получателя/отправителя, а не содержимого груза. Так что доверенный отправитель может отправить своему визави не только поздравительную открытку, но и грамм триста тротилового эквивалента. Таможня "посылочку" пропустит, если связь разрешена в предписании.
Какие бывают брандмауэры?
Программные или аппаратные. Последние специально спроектированы для фильтрации трафика устройства. В среднем их производительность гораздо выше, чем у программных брандмауэров, что особенно заметно на крупных информационных магистралях. Ценой они также различаются (угадайте, кто дороже).
Что брандмауэр не делает?
Не анализирует передаваемые данные. Решение позволить/запретить передачу сетевых пакетов принимается на основе их адресной информации (сетевые адреса и порты отправителя/получателя). Причем данные, передаваемые в пакетах, не рассматриваются (а это может быть вредоносный код для взлома программы).
Владелец одного ресурса, после того как его веб-сервер взломали: а) нехорошо отозвался о вирусописателях; б) удивился, как сайт могли взломать, если он был закрыт брандмауэром. Ответ: а) вирусописатели встречаются разные; б) взломали сайт через уязвимость web-сервера, а доступ к нему в брандмауэре был открыт. Для анализа передаваемых по сети данных предназначены программы, получившие название сетевые системы обнаружения вторжения (Network Intrusion Detection System, NIDS). Это аналог антивирусного монитора, адаптированного для сетевого трафика. Просматривая пропущенный брандмауэром трафик, NIDS, зафиксировав начало сетевой атаки, передает сигнал брандмауэру. Тот, соответствующим образом изменив правила фильтрации, прерывает нападение. Связка "брандмауэр - NIDS", гибко реагируя на возникающую угрозу, обеспечивает гораздо лучшую сетевую защиту, чем лишь один брандмауэр. Девизом брандмауэра можно было бы назвать: "Все, кому разрешен доступ, - джентльмены". Девиз же NIDS: "И за джентльменами надо присматривать".
Что брандмауэр и NIDS не делают?
Не шифруют передаваемые данные.
Это не их задача, но согласитесь, немногого стоит надежность банка, если деньги он пересылает в обычных почтовых конвертах. Вернувшись к аналогии с бюрократами, отмечу, что большое число программ - ICQ, FTP, почтовые клиенты (протоколы SMTP/POP3), интернет-браузеры (HTTP) и т. д. - передает данные в открытом виде. Следовательно, любой, кто перехватит курьера, может их прочитать. Поэтому при использовании ненадежных каналов связи (интернет в первых рядах) для передачи конфиденциальных данных следует использовать криптозащиту. Будет ли это PGP-кодирование почты или VPN-соединение различных сетей, зависит от решаемых задач. Поскольку данная тема далеко выходит за рамки статьи, на этом мы и остановимся.
Что еще ожидать от брандмауэра?
Падения работоспособности системы.
Программный брандмауэр при повышении объема сетевого трафика требует больше вычислительных ресурсов. Высокая скорость передачи данных накладывает требования ко времени обработки трафика. Цена вопроса: устойчивость сетевых соединений.
Мы живем в эпоху идеально продуманных операционных систем и совершенных аппаратных платформ, где драка за ресурсы невозможна в принципе. В большинстве офисных и домашних локальных сетей шлюз построен на базе компьютера а-ля пишущая машинка. За ней сидит девушка с Word’ом, прикручен принтер, а еще есть дисковод. В результате периодически "интернет отваливается".
Если поставить два программных брандмауэра, будет круче?
Нет. Возникнет конфликт между программами, когда они будут одновременно пытаться работать с сетью. Вместо повышенной защиты вы получите дыру. Лучше обращать внимание на качество, а не на количество.
Какой из сетевых брандмауэров самый крутой?
Отражающий сетевые атаки. Большинство распространенных программных защит функционально схожи между собой. Часто выбор между той или иной программой определяется личным вкусом и языком интерфейса. Но несмотря на стремление разработчиков сделать интерфейс максимально дружелюбным, управление любым брандмауэром требует понимания основ сетевой активности.
Поставил брандмауэр, что дальше?
Аудит. Практика - критерий истины. Следующий этап после построения защиты - ее проверка. Добро пожаловать на ресурс PC FLANK.
Вирусы вредные?
Вирус-лекарь NetSky отыскивает в сети системы, зараженные другим вирусом, вылечивает их, а также устраняет уязвимость, использованную для заражения. На первый взгляд создатель NetSky заслуживает уважения за "души благородный порыв", но глубина людской неблагодарности, наверное, потрясла его. Смотрим дальше. Платой за услугу становится сетевой трафик, потраченный NetSky при рассылке своих копий с вылеченной им системы. В одном случае вирус за несколько дней нагнал больше шести гигабайт трафика, прежде чем владелец компьютера спохватился. Это еще раз подтверждает, что спасение утопающих - дело рук самих утопающих. За помощь приходится платить.
И улыбнемся напоследок
- Кум, у тэбе мпеги е?
- Е, заходи ко мне на фтп!
- Так у тя ж файрволл!!!
- А то ж!
- Из журнала "Компьютерра" от 20 июля 2004 года.