Защита от вторжений. Брандмауэры

Учитывая все возрастающее количество программ, разрабатываемых для атак на ОС, важнейшей проблемой стало обеспечение безопасности компьютера. Прошло время, когда источником вредоносного программного обеспечения были документы на дискетах и приложения к электронным письмам. Сейчас вирусы и черви могут проникнуть в компьютер вообще без каких-либо действий пользователя. Инфицированная машина сама может превратиться в источник распространения вирусов.

Поскольку взаимодействие компьютера с внешним миром осуществляется через порты, а их достаточно много (65536 в IBM-сов-местимом компьютере), то целесообразна идея закрытия большинства из них, кроме немногих (одного-двух), абсолютно необходимых. Определить, насколько компьютер открыт для внешнего мира, можно с помощью специальных тестов, позволяющих оценить уровень уязвимости компьютера. Ниже приведены сайты, которые помогут в решении этой задачи:

• Symantec Security Check (http://security.symantec.com);

• Sygate Online Services (http://scan.sygate.com);

• Gipson Research Shields Up (www.grc.com);

• DSL Reports (www.dslreports.com/scan).

Идеальных ОС не бывает, в их числе и Windows XP. Поэтому Microsoft издает ежемесячные обновления безопасности, а также срочные внеплановые обновления. Веб-сайт Windows Update позволяет познакомиться со всеми обновлениями, критически важными (critical update) и обновлениями механизмов ОС (features updates). Критически важные обновления призваны решать проблемы, связанные с безопасностью, например проблему защиты от широко распространенного эксплойта для Windows XP, известного под именем червя W32 Blaster.Worm. Этот червь распространялся через уязвимость в системе RPC (Remote Procedure Call – вызов удаленных процедур).

В Windows XP имеется полезная служба автоматического обновления установки: расписание для ежедневной автоматической проверки и установки новых обновлений, при этом можно отказаться от интерактивных посещений веб-сайта Windows Update. Для настройки параметров автоматического обновления нужно щёлкнуть правой кнопкой мыши по значку Мой компьютер и выбрать в контекстном меню строку Свойства, а затем перейти на вкладку Автоматическое обновление (рис. 7.6).

Рис. 7.6

Установив открытые порты компьютера, как это рассмотрено выше, можно их заблокировать, оставив минимальное количество открытых, с помощью специальной программы – брандмауэра. Когда удалённый компьютер попытается через заблокированный порт получить доступ к компьютеру, на котором установлен брандмауэр, он не сможет этого сделать, потому что посылаемые удалённым компьютером данные будут игнорироваться.

При попадании данных в заблокированный порт в зависимости от настройки брандмауэр отвечает, что порт закрыт, или вообще ничего не отвечает, делая компьютер невидимым извне. Компьютер, на котором установлен брандмауэр, работающий в режиме невидимости, для любого удалённого компьютера, пытающегося к нему подключиться, будет выглядеть как выключенный, т.к. никакого ответа удаленный компьютер не получит.

В Windows ХР имеется встроенный брандмауэр Internet Connection Firewall (ICF). Новая версия брандмауэра, являющаяся частью пакета обновлений Service Pack 2, имеет ряд новых возможностей, упрощающих работу с брандмауэром и обеспечивающих высокий уровень безопасности. Брандмауэр по умолчанию отключен. Для его использования нужно выполнить следующие действия.

1. В главном меню выбрать команду Выполнить, затем в поле ввода открывшегося окна набрать строку firewall.cpl и щелкнуть по кнопке ОК.

2. После открытия диалогового окна (рис. 7.7) установить переключатель Включить и щелкнуть по кнопке ОК.

Рис. 7.7

По умолчанию брандмауэр блокирует все подключения, поэтому его нужно настроить, чтобы трафик определенных приложений мог проходить через брандмауэр. Настройка заключается в указании программ, трафик которых не должен блокироваться брандмауэром. Для открытия брандмауэра для определенного приложения нужно вы­полнить следующие шаги.

1. Перейти на вкладку Исключения (рис. 7.8).

Рис. 7.8

2. Просмотреть список всех разрешенных программ (слева от названий таких программ установлен флажок). Целесообразно сбросить флажки для всех программ, которые не предполагается использовать.

3. Если нужно добавить в список исключений новое приложение, которое должно обрабатывать подключения и данные из внешнего мира, следует щелкнуть по кнопке Добавить программу.

4. Из предложенного списка программ выделить название программы, щелкнуть по кнопке ОК, после чего название программы появится в списке.

5. Установить флажок возле имени добавленного приложения и щелкнуть ОК для активизации новых параметров брандмауэра.

Брандмауэр Windows позволяет задать режим ответа компьютера в случае посылки ему некоторых стандартных управляющих интернет-сообщений. Например, можно разрешить или запретить команду ping, которая используется для оценки интервала времени между посылкой данных какому-либо компьютеру и получением от него ответа. Для изменения соответствующего параметра нужно перейти на вкладку Дополнительно и щелкнуть по кнопке Параметры в разделе Протокол ICMP. Откроется диалоговое окно (рис. 7.9) Параметры ICMP. Если требуется, чтобы компьютер был невидим в Интернете, нужно сбросить все флажки в данном окне.

Рис. 7.9

Брандмауэр Windows XP относится к брандмауэрам одностороннего типа, т.е. может блокировать только входящий трафик. Компания Zone Labs разработала двухсторонний брандмауэр ZoneAlarm, который поставляется в двух вариантах: профессиональная версия и бесплатная версия (базовый вариант двухстороннего брандмауэра), которую можно загрузить с сайта www.zonealarm.com. Двухсторонний брандмауэр может блокировать не только входящий, но и исходящий трафик, который пытаются отослать приложения с компьютера пользователя.

Зачем нужно блокировать исходящий трафик? Например, если пользователь заботится о своей конфиденциальности и не желает, чтобы приложения, установленные на компьютере, связывались с веб-сайтом разработчика для пересылки туда данных, проверки обновлений или лицензий. Кроме того, очень полезной является возможность контролировать, какие приложения получают доступ к Интернету. Особенно эффективен такой брандмауэр в том случае, если пользователь разрешает коллегам иногда работать на своем компьютере. В этом случае недобросовестный коллега, установивший троянского коня, не получит желаемого результата. Двухсторонние брандмауэры типа ZoneAlarm делают подобные приложения бесполезными, т.к. подобные вредоносные программы оказываются изолированными и не могут связаться с Интернетом.

Для установки, настройки и запуска ZoneAlarm нужно выполнить следующие действия.

1. Загрузить копию программы с сайта www.zonealarm.com.

2. Выполнить инструкции мастера Configuration Wizard для настройки политики компьютера и запустить программу (рис. 7.11).

Рис. 7.11

3. Установить режим работы брандмауэра (рис. 7.12). Такой режим устанавливается:

Рис. 7.12

• для зоны Интернета Public (защита от незнакомых компьютеров). На рис. 7.12 показан средний уровень защиты, при котором другие компьютеры могут видеть защищаемый компьютер, но не могут использовать его ресурсы. Такой уровень защиты рекомендуется для временной работы в зоне Интернета;

• для зоны надежных узлов Интернета Trusted (зона доверия), в которой предполагается совместная работа с компьютерами. На рис. 7.12 показан средний уровень защиты, при котором другие компьютеры могут видеть защищаемый компьютер и могут использовать его ресурсы;

• для зоны блокированных узлов, через которые соединения запрещены. В эту зону включаются компьютеры, к которым нет доверительного отношения.

Рис. 7.13

4. Если требуется настроить параметры блокировки приложений, нужно щелкнуть по ссылке Application Control (рис. 7.13), а затем задать желаемый уровень контроля. Детальный уровень контроля по каждому приложению можно задать на вкладке View Programs (рис. 7.14). По умолчанию некоторые программы (например, Internet Explorer) всегда имеют доступ в Интернет. Однако при первом запуске программы, которой требуется выход в Интернет, ZoneAlarm спросит (Ask), действительно ли нужно пропустить трафик этого приложения. Нажав кнопку Option, можно получить сведения о выбранной программе.

Рис. 7.14

Если ничего не известно о программе, запрашивающей доступ в Интернет, нужно поискать в Интернете информацию об этой программе. Возможно, что такой информации не будет найдено. В этом случае будет сделан вывод, что это – spyware-программa, которую нужно удалить.

5. В список программ, трафик которых пропускается через брандмауэр, можно добавить нужные элементы, щелкнув по кнопке Add.

6. После установки всех настроек щелкнуть по кнопке Finish.

ЗАДАНИЕ ДЛЯ САМОСТОЯТЕЛЬНОЙ РАБОТЫ

1. Настройте брандмауэр Windows XP. Записать в текстовый файл список разрешённых программ. Не нужно ли сократить этот список? Вывести список программ, для которых изменено разрешение.

2. Добавить в список программы, которым разрешено обрабатывать данные, поступающие в компьютер из внешнего окружения. Записать их в текстовый файл.

3. Установите брандмауэр ZoneAlarm (предварительно отключив брандмауэр Windows ХР, чтобы не допустить конфликтов). Определите, какие ваши приложения пытаются посылать данные в Интернет и запишите их в текстовый файл отчёта. Запишите в таблицу список разрешений для 5 приложений.

4. Показать преподавателю автообновление брандмауэраWindows XP,настройки Протокола ICMP, текстовый файл.

Поиск по сайту: