Сетевой экран (Firewall, брандмауэр)

Достаточно ли для защиты от плохишей и вредителей антивирусного программного обеспечения? Нет. Существует второй рубеж обороны – сетевой экран. Основной его смысл – ограничение сетевой активности Вашего компьютера, контроль за устанавливаемыми сетевыми соединениями.

Немного теории.

Ваш компьютер имеет как минимум один сетевой адаптер, через который Вы подключаетесь к сети (интернет, локальная сеть). Его мы будем называть сетевым интерфейсом. На одном компьютере может быть несколько сетевых интерфейсов, причем не только физических, но и виртуальных. Например, при установке VPN соединения активизируется адаптер виртуальной частной сети.

Чтобы компьютер мог общаться с миром, необходимо определить способ этого общения – протокол, в настоящее время в сети интернет принят TCP/IP версии 4, на подходе версия 6. В версии 4 адрес компьютера задаётся двенадцатью цифрами, которые обычно располагаются группами по три (10.8.3.21 = 010.008.003.021). Каждому сетевому интерфейсу соответствует один сетевой адрес (и неограниченное количество псевдонимов/алиасов). На одном физическом устройстве можно организовать более одного сетевого интерфейса.

Использовать сеть пытаются многие программы и службы, причем одновременно. Чтобы уменьшить количество конфликтов и коллизий, на сетевом интерфейсе для каждой из них организуется виртуальное устройство – порт, через который и происходит общение данной программы с другими сетевыми партнёрами. Порты бывают известные, зарегистрированные и динамические. Известные – первая тысяча (1023) – стандартные, каждый из них по международному соглашению закреплен за определенной службой. Следующие 48 тысяч (до 49151) также регулируются международными соглашениями, но назначаются для частных целей. Все порты с большими номерами могут быть использованы любыми программами и службами. Вообще, все порты с номером большим 1024 можно считать динамическими, так как особо никто не следит за их использованием.

Также существует два подвида IPпротоколов – UDPи TCP. По протоколу UDPне производится контроль корректности передачи данных, используется чаще в работе служб.

Что происходит, когда Вы пытаетесь посетить страничку google.ru? Ваш браузер открывает динамический порт и с него отправляет сетевой пакет с запросом на установку соединения. В заголовке пакета находятся сетевой адрес гугла и стандартный порт веб-сервера - 209.85.229.104:80. Веб-сервер гугла держит открытым порт 80 и прослушивает его. Ваш браузер подключается, и дальнейший обмен сетевыми пакетами будет происходить между вашим динамическим и гугловским 80 портами.

Все очень просто и надежно. В этом примере мы увидели, что сервис (веб-сервер) может открывать и прослушивать порты. При получении пакета он начинает действовать. Если это сервис злоумышленника (например, бэкдор/backdoor), некто может получить доступ к Вашему компьютеру. Если это нормальный, штатный сервис, имеющий уязвимости, то с помощью специально сконфигурированного запроса можно нарушить его работу или даже получить контроль над Вашим компьютером. Также мы увидели, что программа может открыть динамический порт (или много динамических портов) и установить соединение с каким-то сервером/компьютером, что тоже может быть спровоцировано неизвестным плохишом. Налицо необходимость контролировать порты и обращение программ к сетевым интерфейсам. Для этого и служат сетевые экраны.

Сетевые экраны в общем случае имеют таблицу разрешенных портов и маршрутов, например:

Сетевой адрес (интерфейс) порт Удаленный IP/маска Удаленный порт Описание
10.8.3.21 80 0.0.0.0/0 * На порт 80 (веб-сервер) можно подключиться с любого порта и адреса
10.8.3.21 21 10.8.3.0/24 * На порт 21 (ftp) можно подключиться только из локальной сети
10.8.3.21 * 10.8.3.29 22 Можно подключиться к порту 22 (ssh) на компьютере с адресом 10.8.3.29

Это упрощённый пример, обычно еще надо указать протокол ( udp/tcp). Кроме этого, хороший сетевой экран имеет проактивный фильтр, контролирующий обращение программ на открытие динамических портов. В нем можно указать, например, что opera может подключаться к чему угодно.

Каждая строчка в таблице является правилом работы экрана, вся работа сетевого экрана описывается такими правилами. Вручную все правила написать довольно сложно, для этого надо обладать большим терпением и солидным багажом знаний, поэтому большинство сетевых экранов имеют функцию обучения. При попытке программы установить соединение сетевой экран спрашивает у пользователя разрешить ли такой-то программе/службе подключиться к такому-то адресу на таком-то порту. Пользователь решает разрешить или запретить, а также может свой ответ сохранить как правило, чтоб таких вопросов больше не возникало.

Хватит теории, перейдем к практике. Начнем со штатного WindowsFirewall (Брандмауэр Windows). Многие, вернее все матёрые гуру сетей презрительно скривились, услышав это словосочетание. Их скепсис имеет под собой достаточно оснований. Злоумышленник, строя козни, предполагает, что против него будет выступать как минимум встроенный брандмауэр, предусматривая при этом способы его обхода. Также функциональность его не шире, а в некоторых случаях хуже бесплатных аналогов. Однако, лучше он, чем совсем ничего. Поэтому приступим. Пуск-Панель управления-Брандмауэр Windows.

Нажимаем кнопку «Изменить параметры»

 

У меня он уже включен, если у Вас – нет, включите. Если паранойя прогрессирует, можно поставить галку «Блокировать все входящие подключения. Это не помешает Вам посещать веб-странички. Перейдем на вторую вкладку «Исключения».

На картинке Вы видите список программ и портов, которым разрешено работать через брандмауэр. Проблема в том, что мы не увидим, разрешены входящие или исходящие подключения. Только при открытии порта мы можем быть уверены в том, что он открыт для входящих соединений. Что разрешается для программ – сиё тайна великая есть. По меньшей мере – исходящие соединения. Этот список доступен для редактирования администратору, можно совсем удалить запись из списка исключений, можно временно отключить, убрав галочку из чек-бокса. Для каждого исключения можно отредактировать область действия, то есть удаленные IP адреса.

Но для обычной работы в сети добавлять исключений не надо. Если установлена галочка «Уведомлять, когда брандмауэр блокирует программу», Вы будете получать сообщения о попытках программ выйти в интернет и сможете принять решение – пускать или нет, если в ответе вы укажете «Запомнить правило» - оно автоматически добавится в этот список. Некоторые программы при установке добавляют себя в исключения. Поэтому настоящий параноик обращается к этому списку только за тем, чтобы убирать галочки с подозрительных записей.

Перейдем на вкладку «Дополнительно».

 Здесь мы можем отметить галками те интерфейсы, которые надо защитить. По умолчанию брандмауэр накрывает все интерфейсы.

Итак, встроенный брандмауэр Windowsобладает достаточной функциональностью, однако неочевидным интерфейсом (в Windows 7 есть расширенный режим брандмауэра, в котором появляется возможность более детально настраивать правила), что заставляет нас использовать другие продукты. Естественно, к рассмотрению принимаются только бесплатные решения. Наиболее распространённым и характерным представителем этой серии продуктов является ComodoFirewall.

Качаем, устанавливаем. Ставить ли его вместе с антивирусом – решайте сами.

После установки убедимся, что брандмауэр Windows выключен.

При первом запуске возникнет вопрос – доверяем ли мы компьютерам в локальной сети или нет. Это означает, что компьютер будет виден в сетевом окружении у других компьютеров в локальной сети (зона, определяемая сетевым адресом и маской) и сможет предоставлять свои папки и другие ресурсы в общий доступ. Если Вы не знаете, что это означает, галочку не ставьте. Вторую галку не ставим в любом случае.

Также мы видим вопросы ComodoFirewall по активности сервисов. Для надежных ставим галочку «Запомнить мой ответ» и жмем кнопку разрешить. Со временем таких вопросов будет все меньше и меньше.

Зайдем в настройки. Для этого щелкнем пиктограмму в трее, либо через меню Пуск-программы.

Первые три пункта вопросов не вызывают. Разберем на примере добавления приложения Far в доверенные для выхода в интернет. Жмем добавить доверенное приложение, через обзор находим Farmanager, нажимаем «Применить» - готово.

Четвертый пункт – мастер скрытых портов.

Первый пункт позволяет определить доверенную зону, то есть подсеть, сетевой обмен с которой беспрепятственно проходит сквозь сетевой экран. Назначение второго и третьего пунктов ясно из картинки.

Следующий интересный пункт основного меню – «Мои наборы портов».

 Эти наборы портов можно использовать в правилах сетевого экрана, чтобы не создавать несколько одинаковых строк для различных портов.

Такое же назначение имеет пункт «Мои сетевые зоны». Другими словами, это группы адресов, к которым применимы одинаковые правила.

Назначение последнего пункта ясно из его подписи.

Теперь ткнем слева (Задачи файервола) в пункт «Расширенные».

 Далее первый пункт «Сетевые политики безопасности».

Вот оно – сердце Комода: правила для приложений и глобальные правила, то есть правила для всех. Щёлкнем в любое правило для приложений. Если Вы назначили Farmanager, как в моём примере, то увидите следующую картинку:

 Мы видим, что разрешили все входящие и исходящие для ipпротокола с любого адреса отправления на любой адрес назначения любые типы пакетов. Оставим ему только исходящие и нажмем «Применить». На закладке глобальных правил выбор побогаче. Нажмем кнопку «Добавить» и запишем правило для приема входящих подключений программой uTorrentна порту 51280.

 Адрес отправления – любой компьютер из интернета, порт отправления – любой, мы же не знаем с какого порта он подключаться будет. А вот адрес назначения – наш IPадрес на том интерфейсе, который смотрит в интернет (выбираем единичный IPи вводим наш адрес), номер порта – 51280 (его мы взяли из настроек программы uTorrent). Жмем применить.

Внимательнее посмотрим на некоторые пункты. При назначении IPадреса мы можем выбрать не только определенный диапазон, но и зоны, которые мы описали в «Мои сетевые зоны», а при назначении портов – «Мои наборы портов» (см. выше).

 Следующий пункт меню – Предопределенные политики. Здесь можно указать наборы политик, которые потом можно будет применять к однотипным приложениям. Например, там уже указаны наборы политик для веб-браузеров, что позволит при смене браузера изменить только одну строчку в правилах.

Остальные настройки не так часто используются, да и те, кто ими заинтересуется – разберутся без меня.

Вывод: ComodoFirewallпозволяет выполнить все настройки фильтрации, которые нас интересуют, причем для этого не надо каких-то специальных знаний. А также на его примере мы разобрали основные способы настройки сетевых экранов. Теперь Вы сможете закрыть свои сетевые интерфейсы, обезопасив себя от внешних атак.

Помните, даже если у Вас ничего нет, найдутся люди, которые этого не знают.

You have no rights to post comments