Защита от несанкционированного доступа и сетевых хакерских атак

Для того чтобы удаленно воспользоваться уязвимостью в программном обеспечении или операционной системе, нужно установить соединение и передать специально сформированный пакет данных. Следовательно, можно защититься от таких попыток проникновения и заражения путем запрета определенных соединений. Задачу защиты от несанкционированного доступа и сетевых атак домашнего компьютера успешно решает персональная программа-брандмауэр. Она может быть как встроенной в операционную систему, так и устанавливаемой отдельно.

Брандмауэр - это программа, которая следит за сетевыми соединениями и принимает решение о разрешении или запрещении новых соединений на основании заданного набора правил.

Правило брандмауэра как правило задается несколькими атрибутами:

· Приложение - определяет программу к которой относится правило, так что одни и те же действия могут быть разрешены одним программам и запрещены другим. Например, получать и отправлять почту разумно разрешить только программе - почтовому клиенту

· Протокол - определяет протокол, используемый для передачи данных. Обычно можно выбрать между двумя протоколами TCP и UDP

· Адреса - определяет, для соединений с каких адресов или на какие адреса будет действовать правило

· Порт - задает номера портов, на которые распространяется правило

· Направление - позволяет отдельно контролировать входящие и исходящие соединения

· Действие - определяет реакцию на обнаружение соединения, соответствующего остальным параметрам. Реакция может быть - разрешить, запретить или спросить у пользователя

Не обязательно давать конкретные значения всем атрибутам правила. Можно создать правило, которое будет запрещать входящие соединения на TCP порт 111 для всех приложений, или разрешать любые исходящие соединения для программы Internet Explorer.

Для борьбы с вирусами брандмауэры могут применяться в двояком качестве. Во-первых, брандмауэр можно успешно использовать для защиты от вредоносных программ, которые распространяются непосредственно по сети, используя уязвимости в операционной системе. Например, червь Sasser атакует службу Windows LSASS через TCP порт 445. Значит для защиты от червя достаточно создать в брандмауэре правило, запрещающее входящие соединения на этот порт. Если речь идет о домашнем компьютере, который использует сеть только для выхода в Интернет, такой способ защиты не будет иметь побочных эффектов. В организации с локальной сетью, где порт 445 используется для работы Windows-сети, могут возникнуть неудобства.

Брандмауэр можно использовать и для защиты от атак неизвестных вирусов. В случае домашнего компьютера, использующего сеть только для доступа в Интернет, можно запретить вообще все входящие соединения, и тем самым обезопасить себя от любых атак извне.

Второй аспект применения брандмауэров для защиты от вредоносных программ состоит в контроле исходящих соединений. Многие троянские программы, да и черви, после выполнения вредоносной функции стремиться подать сигнал автору вируса. Например, троянская программа, ворующая пароли, будет пытаться переслать все найденные пароли на определенный сайт или почтовый адрес. Для того чтобы воспрепятствовать этому, можно настроить брандмауэр на блокирование всех неизвестных соединений: разрешить только соединения от доверенных программ, таких как используемый браузер, почтовый клиент, программа мгновенного обмена сообщений, а все остальные соединения запретить. В таком случае, вредоносная программа, даже попав на компьютер незамеченной, не сможет причинить реального ущерба.

Некоторые вредоносные программы не пытаются активно пересылать данные, а пассивно ожидают соединения на каком-то из портов. Если входящие соединения разрешены, то автор вредоносной программы сможет через некоторое время обратиться на этот порт и забрать нужную ему информацию или же передать вредоносной программе новые команды. Чтобы этого не произошло, брандмауэр должен быть настроен на запрет входящих соединений либо на все порты вообще, либо на все, кроме фиксированного перечня портов, используемых известными программами или операционной системой.

Из популярных операционных систем, встроенный брандмауэр имеется в Windows XP. Окно настройки его параметров можно вызвать из панели управления (см. рисунок 1).

Рисунок 1 – Интерфейс встроенного брандмауэра Windows (операционная система Microsoft Windows XP Service Pack 2)

 

Встроенные брандмауэры отличаются весьма ограниченной функциональностью, что с другой стороны компенсируется отсутствием конфликтов с операционной системой и бесплатностью. Например, встроенный брандмауэр Windows позволяет задавать правила либо для программы не учитывая порты и протоколы, либо для портов не делая разницы между программами. Для простых случаев этого достаточно и минимальную защиту организовать можно, но часто работать с этим брандмауэром оказывается не очень удобно.

Брандмауэры же третьих производителей, устанавливаемые отдельно, обеспечивают обычно более удобную и приятную работу с возможностью более точной настройки различных параметров. Для более удобной работы, а также на тех операционных системах, где встроенного брандмауэра нет, используются программы-брандмауэры других производителей, например Kaspersky Anti-Hacker, Agnitum Outpost Firewall, ZoneAlarm и другие.

Вне зависимости от используемого брандмауэра, не рекомендуется вручную менять настройки для соединений, которые потенциально могут использоваться злоумышленниками для атаки на компьютер. Большинство легальных прикладных задач, совершающие нестандартные или подозрительные действия, способны сами зарегистрироваться в брандмауэре и при первом запуске инициировать запрос пользователя на разрешение продолжить работу. Однако если этого не произошло и программа была заблокирована, перед правкой любых настроек необходимо ознакомиться со справочной системой как самой программы, так и брандмауэра.

 

Рисунок 2 – Определение в интерфейсе встроенного брандмауэра Windows (операционная система Microsoft Windows XP Service Pack 2) исключений, которые блокировать не нужно

 

Среди устанавливаемых отдельно брандмауэров, предназначенных для домашнего использования, можно выделить встроенные в антивирусные комплексы и полностью отдельные программы. Такие сетевые экраны более функциональны, чем встроенные в операционную систему, и содержат все необходимые для домашнего компьютера функции и настройки. Часто такие программы для полноценной работы требуют регулярного обновления баз сигнатур угроз, от которых они защищают. Регулярное их обновление существенно увеличивает надежность защиты. В последнее время широко распространены следующие универсальные защитные программы, объединяющие возможности брандмауэра и антивируса: Kaspersky Internet Security, Norton Internet Security, McAfee Internet Security и пр.

Преимущество входящих в единый антивирусный комплекс программ - в едином центре управления, с помощью которого осуществляется полный контроль над безопасностью компьютера и процесс обновления баз для всех установленных компонентов защиты проходит одновременно.

Несложность в управлении выгодно отличает домашние брандмауэры от промышленных сетевых экранов, работа с которыми требует специфических знаний, при этом большинство их параметров в домашних условиях оказывается абсолютно бесполезными.