|
|
|
Межсетевые экраны : Теория |
|
12.03.2003. Без защиты не выходи
Каждый раз, выходя в Интернет в поисках чего-нибудь интересного, вы сами рискуете стать предметом охоты. Наибольшую опасность представляют ScrIPt kiddies 1 любители легкой добычи. Они не пытаются осуществить конкретную атаку, просто сканируют Интернет и рано или поздно находят какое-либо уязвимое место. Задавшись целью стать «крутым хакером», с помощью поисковой системы за пару минут можно получить примерно такой список программ:
Как видите, любой желающий может собрать арсенал программ и отправиться на охоту. В конце концов он встретится с офицерами Управления «Р» 2, но до этого момента будет представлять серьезную опасность для обычных Интернет-путешественников. Так как кредитные карты в Рунете пока редкость, то добычей отечественных «скриптовых детишек» часто становятся пароли на доступ в Интернет. И если сетевой безопасностью банков и компаний занимаются специалисты, то человек, по вечерам гуляющий в Интернете, обеспечивает (или не обеспечивает) ее себе сам. Меры защитыЧтобы жить абсолютно спокойно, никогда не выходите в Интернет. Если же это вас не устраивает, придется делать следующее:
Принцип работы брандмауэраОбмен информацией в локальной сети и между узлами сети Интернет осуществляется
с помощью протоколов
Брандмауэр перехватывает и проверяет каждый сетевой пакет, поступивший в систему из сети или отправляемый в сеть. На основании характеристик сетевого пакета определяется соответствующее ему правило и выполняется действие, определенное этим правилом. Если для какого-либо пакета нет описывающего его правила, то решение принимается в соответствии с политикой безопасности системы. В логической архитектуре сети драйвер брандмауэра расположен на низком уровне над драйвером сетевого устройства. Таким образом, брандмауэр имеет абсолютный контроль над входящим и исходящим трафиком. Из-за своей специфики совместно работающие на одном компьютере брандмауэры скорее вызовут конфликт, а не увеличат сетевую безопасность системы. Так что если вы хотите использовать несколько программных брандмауэров, то необходимо сначала проверить их совместимость. Но лучше выбрать один брандмауэр, сочетающий в себе надежность и возможность выполнить ваши требования. Kerio PFРассмотрим пример построения системы сетевой защиты на основе брандмауэра Kerio Personal Firewall версии 2.1.4 (далее Kerio PF). Выбор обусловлен надежностью работы этого брандмауэра, легкостью в настройке, интуитивно понятным интерфейсом и тем, что для персонального использования он распространяется бесплатно.
Kerio Personal Firewall (версия 2.1.4) разработан той же группой программистов, что и Tiny Personal Firewall (версия 2.0.15 А). Используя более совершенный драйвер, Kerio PF (версия драйвера 3.0.0 против 2.0.15 в Tiny PF) унаследовал целиком внешний вид и функции администрирования от Tiny PF. Минимальные требования, предъявляемые к системе:
Программа по умолчанию устанавливается в каталог
После установки в программной группе Kerio Personal Firewall создаются следующие ссылки:
После завершения установки требуется перезагрузить систему. Политика безопасностиУровень безопасности это инструкция брандмауэру, как поступить с сетевым соединением, для которого нет соответствующего правила. Возможные действия: запретить, спросить у пользователя, разрешить. Установка уровня безопасности производится вызовом Firewall Administration • Firewall. Kerio PF поддерживает три основных уровня безопасности:
Создание и редактирование правилПросмотреть, изменить порядок следования, отредактировать, удалить или добавить новое правило можно, вызвав Firewall Adminstration • Advanced • Filter Rules.
Двойной щелчок левой клавиши мыши по записи из списка правил вызывает окно редактирования со следующими полями:
Группа Local endpoint section описывает локальную точку соединения. Поля:
Группа Remote endpoint section описывает удаленную точку сетевого соединения. Поля:
Дополнительные параметры:
Создание групп IP-адресовИногда в правилах, разрешающих или запрещающих доступ к ресурсам, требуется указать список IP-адресов. Например: разрешить доступ к ftp-серверу с IP-адресов 192.168.1.1, 192.168.1.5 и с 192.168.1.9 по 192.168.1.25, а также разрешить доступ из подсети 192.168.1.80/255.255.255.248. Чтобы не писать четыре одинаковых правила, заменяя лишь IP-адреса, создайте и используйте группу IP-адресов. Определить ее можно так: Firewall Administration • Advanced • Miscellaneous • Custom Address Group. В группу заносятся единичные IP-адреса (Single address), подсеть (Network/Mask) или диапазон IP-адресов (Network/ Range). Записи в группе можно редактировать и удалять. Затем, редактируя правило в поле Address type (тип адреса), выбрать Custom Address Group. Правило будет действовать сразу для всех IP-адресов из группы. Но нельзя создать больше одной группы. Общие административные функцииУстановка пароля на изменение конфигурации брандмауэра и просмотр статистики, разрешения на удаленное подключение к Kerio PF осуществляются во вкладке Authentication приложения Firewall Administration. В Miscellaneous в группе Firewall Engine Service можно выбрать, запускать ли брандмауэр при старте операционной системы или вручную. Kerio PF позволяет использовать несколько профилей конфигурации группа Firewall Configuration Files. Проверка подлинности программKerio PF проверяет подлинность программ, участвующих в соединениях, по цифровой подписи файла, полученной по алгоритму MD5. При обновлении программы или заражении ее вирусом цифровая подпись изменяется. При попытке установить соединение брандмауэр обнаруживает это изменение и блокирует соединение, сообщая пользователю о причине блокировки. Пользователь либо разрешает установить соединение (и обновить цифровую подпись программы), либо оставляет его заблокированным скажем, до выяснения всех обстоятельств.
Ведение и чтение журналаЗащита не может считаться полной, если отсутствует возможность анализа истории работы системы. Kerio PF предоставляет следующие возможности записи в журнал:
Просмотр статистикиВызвав Firewall Status, в появившемся окне можно наблюдать все TCP/IP-соединения, устанавливаемые операционной системой. Приводится детальная информация: статус (Listening для ожидающих, Connected In для соединений, установленных удаленным компьютером с локальным сервисом, Connected Out для соединений, установленных локальным приложением с удаленным сервером), протокол (TCP или UDP), адрес удаленного компьютера, время создания соединения, количество полученной и переданной информации в байтах (Rx/Tx), средняя скорость получения и передачи в килобайтах (Rx Speed / Tx Speed). Внизу окна выводится текущая статистика соединений: количество ожидающих и установленных TCP- и UDP-соединений, средняя скорость передачи / получения данных. Примечание: просмотр соединений очень полезен при диагностике работы какого-либо сетевого приложения. Подключение к Kerio PF на удаленном компьютереKerio PF предоставляет возможность сетевого подключения с другого компьютера для администрирования брандмауэра, просмотра текущих сетевых соединений и статистики. Подключение устанавливается вызовом Firewall Status • File • Connect. В появившемся окне в поле Host надо указать IP-адрес или доменное имя удаленного компьютера. Выбрать сервис удаленного Kerio PF: Admin Configuration для администрирования или Status Window для просмотра статистики. В поле Password ввести пароль доступа к выбранному сервису. Примечание: очевидно, что на удаленном Kerio PF должно стоять разрешение на сетевое подключение. Разрешение устанавливается: Firewall Administration • Authentification • Enable Remote Administration (для удаленного администрирования) и Enable Remote Access To Statistics And Logs (для просмотра сетевых соединений, статистики и лог-файла). Поддержка Kerio PFСлужба технической поддержки компании Kerio Technologies Inc. в течение двух дней ответит на ваш запрос, высланный электронной почтой по адресу support@kerio.com. Существует также дискуссионная группа по обсуждению Kerio PF. Аудит системы безопасностиПосле завершения настройки программного брандмауэра необходимо провести проверку системы сетевой безопасности, чтобы выявить бреши. Помощь в этом могут оказать ресурсы, предоставляемые, например, на серверах www.void.ru и www.inprotect.com. Без положительных результатов проверки настройку сетевой безопасности нельзя считать законченной. Необходимо также учитывать, что тема сетевой безопасности постоянно эволюционирует. И если вы хотите построить надежную систему безопасности, то должны постоянно отслеживать сообщения о новых ошибках и уязвимых местах, обнаруженных в программном обеспечении, о появлении новых методов нападения и защиты. * * * Наличие на ПК Kerio PF или других брандмауэров, установленных на минимальный уровень безопасности, создает лишь иллюзию защиты. Установив брандмауэр и не пожелав тратить время на настройку собственной системы безопасности, вы останетесь так же уязвимы, как и раньше. Степень безопасности, обеспечиваемая брандмауэром, прямо пропорциональна тщательности его настройки. В заключение хотел бы заметить, что компьютерная безопасность задача комплексная. Брандмауэр не освобождает от необходимости проверять файлы антивирусом и руководствоваться здравым смыслом. 1 ScrIPt kiddie (англ. «ребенок с программой») человек, применяющий разработанные другими программы для поиска и использования уязвимых мест в программном обеспечении. Как правило, на редкость самоуверенный и недалекий тип. 2 Подразделение МВД по борьбе с преступлениями в области компьютерных технологий. 3 Firewall брандмауэр (аппаратно-программные средства межсетевой защиты). Эта система защиты осуществляет контроль и фильтрацию обмена данных между Интернетом и вашим компьютером. Фильтрация (разрешение или запрещение) осуществляется на основе определенных пользователем правил. СловарьТема сетевой безопасности достаточно специфична, и без использования терминологии здесь не обойтись. Поэтому ниже приведен список понятий, используемых в статье. Пакет (packet) упорядоченная совокупность данных и управляющей информации, передаваемая через сеть как часть сообщения. Порт (port) абстракция, используемая транспортными протоколами Интернета
для обозначения соединения с хостом-адресатом. Соединение осуществляется между двумя точками.
Порты с номерами Протокол приложения (protocol) формат описания передаваемых сообщений и правила, по которым происходит обмен информацией между двумя или несколькими системами. IP (Internet Protocol) протокол сетевого уровня из набора протоколов Интернета. ICMP (Internet Control Message Protocol) протокол, используемый для контроля за ошибками и сообщениями на уровне IP. В действительности ICMP представляет собой часть протокола IP. IP-адрес адрес, состоящий из 4 байт, который принято выводить в виде четырех десятичных чисел, разделенных символом «.», например 212.12.3.120. Такой адрес используется на сетевом уровне. Он назначается администратором при конфигурировании компьютеров и маршрутизаторов. NetBEUI (NetBIOS Extended User Interface) транспортный протокол, используемый Microsoft LAN Manager, Windows for Workgroups, Windows NT и другими сетевыми ОС. TCP (Transmission Control Protocol) основной транспортный протокол в наборе протоколов Интернета. Например, TCP используется как транспортный в протоколах приложений: SMTP, POP3, HTTP, FTP, Telnet и т. д. TCP-соединение всегда осуществляется между двумя точками. TCP/IP (Transmission Control Protocol/Internet Protocol) стек протоколов Интернета. Он используется в семействе сетей Интернета и для объединения гетерогенных сетей. UDP (User Datagram Protocol) протокол в группе протоколов Интернета. UDP, подобно TCP, использует IP для доставки. Правило (rule) инструкция, гласящая: «если заголовок пакета выглядит так-то, то с пакетом поступить так-то». Если правило к пакету неприменимо, рассматривается следующее правило. Шлюз (gateway) компьютер, соединяющий две сети и передающий пакеты из одной сети в другую (то же, что и маршрутизатор). Часто задаваемые вопросыМожно ли использовать несколько наборов правил для одного брандмауэра? Да. Открыв Firewall Administration • Miscellaneous • Firewall Configuration Files, можно сохранить текущую конфигурацию брандмауэра и набор правил в выбранном файле или считать новую конфигурацию из выбранного файла. Как перенести текущую конфигурацию и набор правил брандмауэра на другой компьютер? Вызвав Firewall Administration • Miscellaneous • Firewall Configuration Files, сохраняете конфигурацию и набор правил в файле. Затем переносите его на другой компьютер и снова, вызвав Firewall Administration • Miscellaneous • Firewall Configuration Files, считываете установки из файла. Как сбросить установки и набор правил брандмауэра в начальное состояние? По умолчанию текущая конфигурация сохраняется в файле persfw.conf, расположенном в корневом каталоге Kerio PF. Если вы закроете брандмауэр, а затем удалите или перенесете этот файл, Kerio PF при загрузке заново создаст его и приведет все настройки и набор правил в начальное состояние. Как очистить файл записей filter.log? Вызовите Firewall Status • Logs • Firewall Log. Появится Log Window окно просмотра записей в лог-файле. По щелчку правой клавиши мыши в поле окна появится меню clear log (очистка файла). Другие разработки компании KerioKerio WinRoute Lite 4.2 Брандмауэр предназначен для использования в небольших офисных и домашних сетях (до 25 компьютеров) для обеспечения доступа в Интернет. Обладает упрощенной системой контроля и администрирования сетевого трафика по сравнению с WinRoute Pro. Поддерживаемые ОС: Windows 95/98/ME, NT4/2000/XP. Kerio WinRoute Pro 4.2 Брандмауэр ориентирован на применение в сетях среднего размера. Предоставляет обширные возможности контроля сети. Имеет встроенный почтовый сервер, поддерживающий SMTP/POP3-сервисы. Операционные системы: Windows 95/98/ME, NT4/2000/XP. Kerio WinRoute Firewall 5 Брандмауэр для корпоративных сетей. Защищает от внешних атак и вирусов. Может блокировать доступ к сайтам, основываясь на их содержимом (по рейтингу или наличию заданных слов). Расширенное управление протоколами и маршрутизацией, прозрачный прокси-сервер, фильтрация скриптов и ActiveX. Операционные системы: Windows NT4/2000/XP. Kerio MailServer 5 Почтовый сервер Kerio MailServer поддерживает сервисы SMTP, POP,
IMAP, Web, WAP. Для всех протоколов возможны TLS/SSL-соединения.
Операционные системы: Windows 98/ME, NT/2000/XP, а также Linux, Solaris
Другие брандмауэрыНадежных разработок в области сетевой безопасности сегодня довольно много. Вот некоторые из них.
Все эти брандмауэры обладают рядом достоинств, но я хотел бы отметить
Agnitum Outpost Firewall FREE. На русском языке доступны интерфейс и документация.
Помимо пакетной фильтрации Outpost FREE предлагает функции фильтрации
и блокирования содержимого Web- и e-mail-трафика (ActiveX-компоненты, Java-аплеты,
Java/VBS-скрипты,
Александр Красоткин Статью "12.03.2003. Без защиты не выходи" |
||||||||||||||||||||||||
|
Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др. | info@morepc.ru |
|