Безопасность в сети: брандмауэр (firewall)

[Venus]

Как мы все знаем, или можем прочесть в сети/умных книжках,
Интернет - это объединение в масштабе всей планеты группы сетей, которое использует единый протокол для передачи данных.
или так:
Интернет - глобальная информационная система, части которой логически взаимосвязаны друг с другом посредством единого адресного пространства, основанного на протоколе TCP/IP.
или так:
Интернет - мировая коммерческая коммуникационная инфраструктура, состоящая из взаимосвязанных компьютерных сетей и обеспечивающая доступ к удаленной информации и обмен информацией между компьютерами.
или даже так:
Интернет - технология, позволяющая наступить на грабли, находящиеся на другой стороне земного шара.
Как бы мы это не называли, сложно ли, научно ли или с обывательской точки зрения ясно одно -
к данной сети подключено огромное кол-во народу (по кол-ву больше разве что жителей на земле),
и используют они эту сеть для самых разных целей, как то: обмен лектронной почтой, распространение информации среди заинтересованных лиц и проведение исследований, общение.
Безусловно, то, что ваш компьютер имеет выход в сеть - это большое преимущество, но и тут есть ложка дегтя. Так уж вышло, что помимо хороших людей в мире есть и плохие люди - редиски, и помимо простой проверки почты, общения, распространения информации и прочего, у них есть более "интересные" занятия, к примеру - написание вредоносных программ, которые могут нанести существенный урон вашему ПО. Подчас "милые шалости" редисок могут обернуться не просто нервами и переустановкой винды, а значительными финансовыми потерями (как то было, когда в сети появился первый вирус, например).
Поэтому наиболее важным для счастливого обладателя доступа в сеть Интернет является обеспечение безопасности своего компьютера. В данном случае, мы рассмотрим способствующие повышению уровня безопасности программы, в России именуемые брандмауэрами, а во всем остальном мире - файрволлами (firewall).

 

[Venus]

Прежде чем объяснить,как работают эти программы, выясним что из себя представляет протокол ТСР, который мы недавно упоминали в определении сети Интернет.
ТСР - это протокол управления передачей данных, предназначенный для использования в качестве надёжного протокола общения между хостами (компьютерами) в коммуникационных компьютерных сетях с последующей коммутацией пакетов. Связь по протоколу TCP между «хостами» осуществляется через виртуальные порты. Порт – это программное понятие, которое используется клиентом и (или) сервером для передачи или приёма данных. Теперь мы объясним всё это на простом примере программы, которая работает практически на каждом компьютере – клиенте электронной почты. И пусть это будет The Bat. При настройке программы виртуальный помощник задаёт вам ряд вопросов, среди которых попадаются и просьбы указания хоста для приёма и отправки почты, а также работающего на этих адресах порта. Для отправки почты (SMTP) используется 25-й порт, а для приёма (POP3) – 110-й. Данные порядковые номера портов регистрируются приложением «де-факто» как общепринятые во всём мире настройки почтовых серверов.
Брандмауэр же контролирует состояние виртуальных портов на компьютере, отслеживая и предупреждая их активность. Иными словами, при установленном «сетевом экране» пользователь может в любой момент узнать о сетевой активности своего компьютера, включить режим «невидимости» для внешней сети или настроить работу приложений в соответствии с выбранной политикой безопасности. Словом, основная задача брандмауэра – обеспечивать покой пользовательской машины в Интернете.
Рассмотрим принцип его работы. Представьте себе длинный и высокий забор, всё бы ничего, но вас удивляет наличие большого количества закрытых на замок калиток. Над каждой калиткой висит порядковый номер, начиная от 1 и заканчивая 65535. Если подойти к калитке и попытаться её открыть, над цифрой загорается красная лампочка и замок остаётся закрытым – выйти нельзя. В таком режиме работают все пользовательские брандмауэры. Программа пытается «выйти» в сеть через калитку, а на дисплее у пользователя выскакивает предупреждение об активности приложения «Х». И тут есть следующие варианты развития событий:
- дать возможность работать с сетью;
- заблокировать возможность работы с сетью.
Полученную пользовательскую команду брандмауэр записывает в профиль и обращается к нему каждый раз при запуске компьютера. Именно так и осуществляется контроль сетевой активности приложений на машине. Основная задача брандмауэра заключается именно в этом, однако разработчики снабжают свои программы огромным количеством полезнейших функций, которые позволяют пользователю не только следить за тем, что делает его компьютер в сети, но и ограничивать показ баннеров, блокировать pop-up окна, фильтровать записываемые файлы cookies и прочее, прочее…
Надо заметить, что описанная система работы является примитивной, т.к. любое программное действие можно обмануть или ограничить, зачастую сам пользователь «устаёт» настраивать систему и открывает «калитку» далеко не доверенным приложениям. К сожалению, повальное увлечение Network Privacy (сетевая анонимность) сходит на нет, и очень даже зря. Возможно, лично вы не увлекаетесь скачиванием софта, вэб-серфингом по порно-ресурсам и не ищете кряки, но рано или поздно это случится. Всё равно придётся скачать сомнительную программу, всё равно сходите посмотреть на «клубничку», и уж весьма вероятен поход на западные сайты в поисках «кряков». Вот тут-то и потребуется надёжный фильтр, установленный на вашем компьютере и имеющий полное представление о том, что происходит с вашей машиной в сети.

 

[Venus]

Теперь, когда вы в курсе дела и, надеюсь, заинтересованы темой, проведем краткий обзор трех наиболее популярных брандмауэров.
Начнем с самого известного - Встроенный брандмауэр Windows XP Service Pack 2.

Читать дальше...

Найти его просто: свойства вашего подкл-ия - вкладка дополнительно - брандмауэр Windows (включить/выключить).
Работает на совершенно примитивном уровне, отслеживая активность приложений на уровне системной утилиты netstat.exe и сравнивая полученные сведения с собственным профилем. Тем не менее, он обладает необходимым запасом функций и в состоянии обеспечивать покой пользователя, если тот не гуляет по сайтам с «сомнительным» содержанием. Дабы быть окончательно защищённым, рекомендуется провести следующие операции – установите комплекс Microsoft Antispyware и любой антивирус, который больше понравится. Для начинающего пользователя и неактивного серфера такого набора хватит вполне.
Что приятно в работе встроенного брандмауэра, так это то, что его работа не видна. Но стоит только запустить какое-либо приложение, которое затребовало сетевое соединение, то на экране сразу выскакивает предупредительное окошко – желаете или нет дать шанс приложению на «коннект»? И юзер почти всегда согласен – идиллия.

"+": простой и не требующий настройки. По умолчанию запрещает все соединения по всем портам. Легко уживается с любым другим брандмауэром.
"-": Не эффективен против серьёзной угрозы, вроде вирусов или «Троянов» с функцией блокировки файрвола. Не имеет режима обучения. Не умеет фильтровать www-контент.

Agnitum Outpost Firewall PRO

Читать дальше...

Outpost получил широкое распространение в нашей стране благодаря появлению бесплатной версии программы в начале XXI века. С тех пор многое изменилось, но Outpost продолжают искать и скачивать сотни тысяч пользователей по всему миру.
Установка программы происходит в обычном режиме, единственное, что вам предстоит сделать, так это перезагрузить компьютер и ожидать запуска программы из «автозагрузки». После старта Outpost переводится в режим обучения (вопросительный знак в системном трее) – это значит, что любое приложение, будь то ICQ или почтовый клиент, не смогут выйти в сеть без вашего ведома. Если же какая-либо программа попросится в сеть (в нашем случае это Telnet), то Outpost информирует пользователя об этом событии вот таким окошком:

Теперь необходимо лишь решить, что делать с этой программой в будущем, открывать ей калитку всегда или разрешить поработать только один сеанс. Также мы можем создать группу правил для программ такого типа, вследствие чего к ним будут применяться заранее настроенные фильтры Outpost.

С его помощью вы можете просматривать сетевую активность приложений, которые находятся на компьютере. На приведённом «скриншоте» мы видим рабочий процесс фильтрации трафика: только два приложения имеют постоянную связь с внешним сервером. В данном случае это Skype и Miranda. Полезность данной опции в том, что мы можем чётко видеть количество потраченного трафика и общее время соединения. Левая часть экрана отвечает за все происходящие события в Сети, а наиболее интересной функцией Outpost является работа с внешними плагинами, которые поставляются в инсталляторе.

Конфигуратор встроенных модулей Outpost​

Наиболее интересный модуль занимается фильтрацией www-трафика от излишней рекламы. Нужно заметить, что работает система довольно жёстко и по этой причине очень часто режет всё и без разбору – начиная от безобидного счётчика посещений до динамического контента, похожего на баннер. Наличие рекламы определяется Outpost’ом по двум простым признакам – размеру и ключевому слову в ссылке. Также брандмаэур фильтрует почтовый трафик, исключает активность ActiveX скриптов, может исключить возможность просмотра порно-сайтов или того, что вам не хочется видеть.
Просмотреть все события можно через специальное меню, которое вы можете видеть ниже. В журналах происшествий указываются причины и/или условия, из-за которых было заблокировано приложение.

Журнал происшествий. В данном случае – рекламного характера​

И, наконец, меню, в котором находятся все приложения, которые отслеживает брандмауэр. На каждую программу, которая находится в ведении Outpost Firewall, можно создать свой профиль, а также включить контроль компонентов, которые могут обновляться и использоваться «вредным» софтом. В качестве примера: вы гуляете в закоулках сети, и вдруг Outpost сообщает вам, что некая dll’ка на вашем компьютере обновилась – давайте мы отключим её на всякий случай от сети. И ведь помогает…

Меню управления обнаруженными программами​

Вывод:Outpost firewall – добротная программа, которая понравится всем, кто любит разбираться в приложениях и искать нужные решения в документации. Несмотря на кажущуюся простоту в управлении, Outpost представляет собой вполне серьёзную утилиту, которая легко оградит вас от большинства сетевых напастей. Добавьте к этому поддержку русского языка и наличие бесплатной версии. Конечно, любой файрвол можно незаметно отключить, но для этого ваш антивирус должен «проморгать» Трояна, который «случайно» на компьютере никогда не появляется. Это либо «дыра» в Internet Explorer, либо ваше легкомыслие…

 

[Venus]

Zone Alarm от Zone Labs

Читать дальше...

Как и в случае с Outpost, Zone Alarm не просто файрвол, а комплекс модулей для защиты компьютера от внешних вторжений. Принцип работы прост и незатейлив, а эффективность, разумеется, достаточно высока. Но кое-что Zone Alarm всё же несёт с собой со времён появления первой версии программы – простоту в настройке. И если Outpost местами непонятен и сложен, то Zone Alarm – полная ему противоположность! Пользователю задают ряд простых вопросов, после ответов на которые формируется базовый профиль, который полностью защищает компьютер. Красиво выполнен и сам интерфейс программы. Оцените «скриншот» ниже.

Именно с этого окна начинается конфигурация системной политики безопасности. И хотя она полностью автоматизирована, пользователь, при желании, может вмешаться в процесс. Обучение Zone Alarm происходит так же, как и у Outpost. Если приложение просится в сеть, то брандмауэр предупреждает пользователя о возможной опасности следующим окном.

Skype проявил активность, Zone Alarm «поймал» просителя​

Обратите внимание на примитивность сработавшей функции: пользователю ничего не нужно думать, в его задачу входит только одно – разрешить программе работать или нет. При этом информации о приложении выдаётся более чем достаточно! И вспомните Outpost…
Собственно, все настройки Zone Alarm осуществляются на примитивном уровне. Это легко видно, если обратить внимание на приведённый «скриншот» встроенного «файрвола».

Настройка файрвола Zone Alarm​

Вот так-то: двигаем «слайдер» и добиваемся режима работы – примитивно и понятно всем. Учи английский язык и пользуйся благами западных разработчиков. Но не всё так просто! В Zone Alarm находится встроенная антивирусная защита и перехватчик adware-модулей. Это ставит обозреваемый брандмаэур на несколько голов выше конкурентов. Программа, которая фильтрует трафик на предмет вирусов, – мечта многих продвинутых пользователей. Если не считать уже традиционной примитивности, то всё замечательно.

Zone Alarm модуль для работы с фильтрацией adware -трафика и поиском известных вирусов​

А самое главное – это действительно работает, причём не только с браузером, но и с e-mail клиентом, и с ICQ-протоколом. Одним словом – всё в одном. В качестве примера приведём ситуацию, когда уже с установленным Zone Alarm скачивали почту: на экране выскочило предупреждение, что в письме вирус. Достаточно было его удалить и больше не беспокоиться. Кстати, вот оно.

Предупреждение Zone Alarm о найденном в письме вирусе​

Вывод: Если вы ищете защитный софт, который не будет надоедать вам техническими подробностями, но в тоже время станет надёжным сторожем вашего компьютера, то Zone Alarm – именно то, что нужно. Добавим к этому возможность он-лайн обновлений вирусной базы и симпатичный интерфейс и получим то, что всегда искали – Zone Alarm. К недостаткам программы можно легко отнести её достоинства: если вам нужно(!) узнать, что происходит у вас на компьютере и каким образом осуществляется блокировка, то Zone Alarm тут, увы, не помощник. Подробной информации о проблемах и путях их решений программа не предоставляет. Всё, чем вы можете резко ограничить доступ к вашему компьютеру «извне», – красная кнопка « Stop» в главном окне программы. Как и в случае с Outpost, наличествует бесплатная версия мега-программы, так что любой желающий может её скачать с официального сайта разработчика. Что ещё хочется отметить, так это цену – 39,95 в твёрдой и зелёной американской валюте…

 

[Nuclear_Cat]

А можно по подробней я вот не понимаю такую вещь: Есть firewall не важно какой, и я настраиваю на нем политику от меня разрешить все а ко мне ничего не разрешать!! Вообще полный блок на внешнем интерфейсе! Как вот в таком случае инициированные от меня пакеты или дейтаграммы будут ко мне возвращаться назад? А еще есть порты вы сказали от 1 до 65535
а какие из них пофиксены в RFC? И еще тоже не понимаю такую вот вещь: если я отправляю мыло через smtp то какой будет в таком случае мой исходный порт? Как он вообще выбирается? И как firewall через себя это пропускает? Он куда чего записывает или он просто наблюдает???

 

[Venus]

Если блок полный - то приходить ничего не будет, а если фаер знает что такое TCP сессия - то он будет пропускать внутрь все пакеты соответствующие установленным тобой сессиям.Датаграммы ходят сами по себе, потому фаер не может сказать запрашивал ты ее или нет.
Далее, у фаера есть правила вида:
условие -- действие
он просматривает все и если пакет удовлетворяет условию - выполняет действие условием может быть адрес и порт источника и приемника, направление, номер протокола и т.п. то есть от тебя требуется написать какие пакеты пропускать, а соответствие номеров портов сервисам - не более чем справочник: никто не мешает почтовому серверу висеть на 32103 порту.

 

[Nuclear_Cat]

Датаграммы ходят сами по себе, потому фаер не может сказать запрашивал ты ее или нет.

Пакет и дейтаграмма - это одно и тоже!! BPDU уровня 3.Просто привычней называть дейтаграммы - пакетами! Ты наверно перепутала с фреймами. Кстати нормальные файерволы могут работать и фильтровать не только на уровне 3 и 4 т.е по ip адресам и номеру порта но и на уровне 2,3,4,7. И вытягивать прямо из пакета malicos код! Это тот код который несет в себе вирус, как раз уровня приложений! Хочу рассмотреть еще один вид межсетевых экранов. Я не буду рассматривать как работает виндовый файервол или там еще какой-нить дешевый фаер, который просто как фильтр работает. Есть на самом деле еще и аппаратные фаеры, которые могут пропускать через себя порядка 10 гигабит трафика и при этом не повышать latency. Вот они как раз и работают на политике ASA (adaptive security algoritm) который в свою очередь определеяет уровень безопастности интерфейса и начинает создавать динамические фильтры, основываясь не только на адресе и порта источника-назначения, но и еще записывает последовательный номер (seq) в пакете, таким образом защищает от дальнейшего преоразования на пути к получателю. И при этом если стоит на внешнем интерфейсе запретить все отовсех, то пакет инициированный изнутри все равно назад вернеться. Так же там имеется система IDS(система обнаружения вторжений) которая отлавливает и придотвращает всякие распростроненные атаки на сервисы FTP,HTTP,SMTP,DNS, ну и еще на несколько.

 

[Venus]

ping

Пакет и дейтаграмма - это одно и тоже!

Можно и так сказать Но вообще говоря есть небольшая разница - на 4ом уровне, пакет это TCP, а датаграмма это UDP.
Про аппаратные фаеры я обяз-но напишу, но пожалуй в отд. теме вместе с IDS (как раз вчера о них читала).

 

[Nuclear_Cat]

Но вообще говоря есть небольшая разница - на 4ом уровне, пакет это TCP, а датаграмма это UDP.

Смотри не путай пожалуйста! пакеты и дейтаграми на четвертом уровне еще не присутствуют. Там есть еще сегменты TCP/UDP, а вот уровнем ниже сегменты преобразовываютя уже в пакеты или датаграммы(это одно и тоже) Потому что не важно какой протокол в качестве транспорта выступает TCP или UDP. Это не влиет на имя элемента третьего уровня. PS я писал в теме ,,что такое ip адрес,, как происходит икпаисуляция.

 

[Marusilda]

Подскажите чайнику. Некий человек по ошибке заблокировал в Zone Alarm почтовые сообщения (по его словам). Я посмотрела, насколько разобралась, вроде все связанное с e-mail разрешено. В чем может быть проблема, где еще можно посмотреть?
З.ы. Письма таки не доходят.