Kingston

Домашним компьютерам нужна защита

Алексей Лукацкий

Введение

От теории к практике

   AtGuard Personal Firewall

   ZoneAlarm

   Outpost Firewall

   Решения Symantec

Заключение

Введение

Для защиты корпоративной сети от внешних атак выбор защитных средств достаточно велик. И в первую очередь — это высокоэффективные и надежные межсетевые экраны (МСЭ), такие, например, как Check Point Firewall-1. А всего межсетевых экранов, предназначенных для защиты корпоративных сетей, существует несколько десятков. Однако пользователи-одиночки, работающие в сети Internet из дома, также нуждаются в защите. И не потому, что на их компьютерах обрабатывается важная конфиденциальная информация, а потому, что сеть Internet кишит различными «плохими парнями», желающими продемонстрировать всем и вся свою «крутизну» по части взлома Internet-узлов. Очень многие начинающие злоумышленники, возомнившие себя Кевинами Митниками, пробуют свои силы на своих же соседях и друзьях, имеющих выход в Internet. Мало того, даже если у вас нет врагов и никто не хочет проверить на вас знания, почерпнутые из какой-нибудь умной книжки про хакеров, то вы все равно остаетесь уязвимыми, поскольку ваш компьютер может служить базовой площадкой для проникновения на какой-либо другой узел.

7 и 8 февраля 2000 года было зафиксировано нарушение функционирования таких популярных и ведущих Internet-серверов, как Yahoo (http://www.yahoo.com/), eBay (http://www.ebay.com/), Amazon (http://www.amazon.com/), Buy (http://www.buy.com/) и CNN (http://www.cnn.com/). 9 февраля подобная участь постигла и серверы ZDNet (http://www.zdnet.com/), Datek (http://www.datek.com/) и E*Trade (http://www.etrade.com/). Проведенное ФБР расследование показало, что указанные серверы вышли из строя из-за огромного числа направленных им запросов, что и привело к тому, что эти серверы не могли обработать трафик такого объема. Например, организованный на сервере Buy трафик средние показатели превысил в 24 раза, а максимально допустимую нагрузку на серверы, поддерживающие работоспособность Buy, — в 8 раз. Это нарушение было реализовано с помощью так называемых распределенных атак, которые в отличие от обычных атак используют не один, а несколько узлов. Эффект достигается за счет посылки данных сразу из всех узлов, которые задействованы в распределенной атаке. В этом случае атакуемый узел захлебнется огромным трафиком и не сможет обрабатывать запросы от нормальных пользователей. Именно это и было реализовано в начале февраля прошлого года. В случае обычной реализации атаки «отказ в обслуживании» необходимо иметь довольно «толстый» канал доступа в Internet, чтобы реализовать лавину пакетов на атакуемый узел. В случае же распределенной атаки это условие уже не является необходимым. Достаточно иметь Dial-up-соединение с Internet. Принцип лавины, или шторма, пакетов достигается за счет большого числа таких относительно медленных соединений. Согласно данным одного из потерпевших в февральском инциденте, в распределенной атаке участвовало до 10 тыс. скомпрометированных узлов. Злоумышленник использует десятки и сотни незащищенных узлов для координации нападения. Эти узлы могут принадлежать различным провайдерам и находиться в разных странах и даже на разных материках, что существенно затрудняет обнаружение злоумышленника, координирующего атаку. Самое интересное, что узлом, участвующим в распределенной атаке, может стать и ваш домашний компьютер.

В начало В начало

От теории к практике

Итак, надеюсь, что я лишний раз утвердил вас во мнении, что защищать свой собственный компьютер необходимо. Но чем защищать? Как показывает анализ, выбор не столь уж и велик. И на первом месте стоит так называемый персональный межсетевой экран, являющийся аналогом своего корпоративного собрата, но защищает он не целые сетевые сегменты, а компьютеры, на которых он установлен.

Существуют решения, являющиеся чем-то средним между персональным и корпоративным межсетевым экраном и предназначенные для защиты небольших сетей, состоящих из 5-20 компьютеров. Такие структуры стали появляться во многих домах, где пользователи объединяют свои компьютеры в единую сеть, имеющую общую точку выхода в Internet. Для таких сетей можно использовать небольшие устройства типа SonicWALL SOHO или Check Point Firewall-1 Small Office, предлагаемые компаниями SonicWALL (http://www.sonicwall.com/) и Check Point Software (http://www.checkpoint.com/) соответственно. Однако пока подробные объединения домашних пользователей еще редки, поэтому касаться названных мною решений не будем, не станем также рассматривать персональные межсетевые экраны, которые, хотя и призваны защищать отдельные компьютеры, управляются централизованно, с единой консоли, что нехарактерно для домашних пользователей. Такие МСЭ, к которым можно отнести BlackICE Defender от компании Network ICE (http://www.networkice.com/) и RealSecure Server Sensor от компании Internet Security Systems (http://www.iss.net/), могут не только фильтровать трафик согласно заданным правилам, но и обнаруживать в сетевом трафике большое число атак, а также выполнять множество других функций. Например, RealSecure Server Sensor может анализировать журналы регистрации операционной системы и приложений в поисках следов несанкционированной деятельности. Основное внимание в статье будет уделено межсетевым экранам, которые помогут обычным пользователям защитить свои домашние компьютеры от посягательств злоумышленников.

Как показывает анализ, в России получили широкое распространение следующие персональные межсетевые экраны:

Также упоминаются и другие решения. Например, Sygate Personal Firewall (http://www.sygate.com/), ConSeal Private Desktop (http://www.mcafee.com/), переименованный в McAfee Personal Firewall, Tiny Personal Firewall (http://www.tinysoftware.com/russia/).

В начало В начало

AtGuard Personal Firewall

Несмотря на то что AtGuard прекратил свое самостоятельное существование, войдя в состав решений компании Symantec, он был и все еще остается лидером среди персональных межсетевых экранов. Достоинства данного продукта высоко оценили многие российские пользователи, продолжающие по сей день пользоваться этим простым в эксплуатации, но очень мощным продуктом. Всенародная любовь к AtGuard привела к тому, что к нему даже появился русификатор — а это является высшей похвалой для зарубежной условно-бесплатной программы.

Этот межсетевой экран обладает очень простым интерфейсом, позволяющим выполнять большое число настроек, включающих не только контроль сетевого трафика по определенным параметрам (в том числе и передачу активного мобильного кода Java и ActiveX), но и блокировку постоянно раздражающих рекламных баннеров (Ad blocking) и файлов cookies. Настройка AtGuard может осуществляться в двух режимах — стандартном и обучающем. В первом случае вы заранее задаете все правила доступа в соответствии с вашими пожеланиями. Во втором случае при каждой попытке доступа в сеть или к вашему компьютеру из сети персональный межсетевой экран выдает сообщение с указанием имени приложения или осуществляющего доступ сервиса, используемого порта и с адресом назначения запроса. Например, с помощью AtGuard мне удалось обнаружить факт обращения к одному из серверов Microsoft после инсталляции ее операционной системы. Доступ моего почтового клиента к внешнему почтовому ящику выглядит следующим образом:

  • Application — Outlook Express.
  • Remote Service — pop3 (110).
  • Remote address — http://www.mail.ru/ (194.67.23.76).

Данное окно позволяет вам выбрать один из четырех вариантов реагирования:

  1. Запретить постоянный доступ к вашему компьютеру согласно данным параметрам.
  2. Разрешить постоянный доступ к вашему компьютеру согласно данным параметрам.
  3. Запретить одноразовый доступ вашему компьютеру согласно данным параметрам.
  4. Разрешить одноразовый доступ вашему компьютеру согласно данным параметрам.

Создание правила AtGuard завершается еще несколькими вопросами:

  • Данное правило относится только к этому порту или и к другим тоже?
  • Данное правило относится только к этому IP или и к остальным тоже?

Одним из недостатков AtGuard является отсутствие предустановленных шаблонов работы. Прежде чем данный МСЭ начнет вас защищать, вы должны будете соответствующим образом его настроить, что может потребовать от вас некоторых знаний технологий Internet. Однако при наличии определенного опыта данный МСЭ станет незаменимым помощником, защищающим вас от многих напастей.

В начало В начало

ZoneAlarm

Персональный межсетевой экран ZoneAlarm поставляется в двух модификациях — платной (ZoneAlarm Pro) и бесплатной (ZoneAlarm), что отличает его от многих других программ данного класса. Второе отличие, которое существенно облегчает неопытным пользователям работу с ним, — возможность использования так называемых уровней безопасности, похожих на те, что задействованы в браузере Internet Explorer. Такие уровни делятся на две категории — для доступа в Internet и для доступа в локальную сеть. Уровни каждой из этих категорий, в свою очередь, подразделяются на подуровни, которые и определяют степень защиты домашнего компьютера от злоумышленников. Самый высокий уровень, который по умолчанию установлен для сети Internet, делает вас практически невидимым для любых «искателей приключений», пытающихся получить доступ к вашим ресурсам. Однако создание собственного шаблона (уровня) на основе имеющихся в бесплатной версии невозможно, а доступно только в ZoneAlarm Pro.

Особенностью ZoneAlarm является применение электронной цифровой подписи для тех приложений, которые должны иметь доступ в Internet (например, MS Internet Explorer, MS Outlook Express, CuteFTP и т.д.). Это делает невозможной маскировку одной программы под другую, к чему часто прибегают некоторые троянцы. Например, если вы получили по электронной почте файл с вложенным троянским конем (кстати, ZoneAlarm может контролировать и вложения в сообщения электронной почты), который пытается маскироваться под Internet Explorer (процесс IEXPLORE.EXE) и выйти в Internet по 80-му порту, то ZoneAlarm не позволит ему сделать это.

Тем, кто интересуется подробностями различных атак, направленных на него, ZoneAlarm предоставляет такую возможность. По нажатии всего на одну кнопку More Info, ZoneAlarm отображает HTML-страницу, которая содержит подробное описание обнаруженной атаки, ее особенности, средства реализации и т.д.

Данный продукт можно порекомендовать новичкам и неопытным пользователям, которые не желают разбираться в настройках персонального межсетевого экрана, а хотят сразу же после инсталляции выйти в Internet.

В начало В начало

Outpost Firewall

Данный продукт появился недавно и не успел еще завоевать достаточно поклонников, но на него стоит обратить внимание, поскольку заложенные в него принципы делают его очень привлекательным для многих пользователей. В частности, разработчики заложили в Outpost Firewall возможность подключения дополнительных модулей (plugin), разрабатываемых самостоятельно и расширяющих функциональность оригинальной версии персонального МСЭ.

Так же как и ZoneAlarm, данный МСЭ не требует предварительной конфигурации, поскольку содержит большое число предустановленных настроек. Продукт может обновляться, для чего не требуется его переустановка — все производится автоматически, с помощью механизма Online Update. Аналогичным образом AtGuard Outpost Firewall может блокировать рекламные баннеры, раздражающие своим миганием большинство пользователей (и не только домашних). Анализируя данный продукт, можно отметить, что его разработчики попытались совместить в нем все самое лучшее из AtGuard и ZoneAlarm: он может контролировать вложения в сообщениях электронной почты, обнаруживать некоторые атаки (например, сканирование портов), блокировать активное содержание (Java, ActiveX) и выполняет многие другие функции, перечисленные выше.

Можно отметить, что если разработчики Outpost сделают все то, что они декларируют (NAT, VPN, сниффер, удаленное управление, сигналы тревоги и т.д.), то у этого продукта не найдется конкурентов.

В начало В начало

Решения Symantec

После приобретения AtGuard компания Symantec выпустила на его основе несколько решений, которые могут быть отнесены к классу персональных межсетевых экранов, но находятся в различной ценовой нише:

  • Norton Personal Firewall.
  • Norton Internet Security 2000.
  • Norton Internet Security 2000 Family Edition.

Поскольку в основе названных решений лежит упоминавшийся выше AtGuard, то повторять присущие ему особенности не будем. Отметим, что обучающий механизм NIS и NPF, несмотря на все свои достоинства и удобства, может принести и немало проблем. Представьте, что злоумышленник решил просканировать ваш домашний компьютер. Он запускает сканер и начинает опрашивать, открыты ли ваши 65 535 портов. В результате Norton Internet Security 2000, как и AtGuard, выдаст вам 65 535 сообщений с запросом о разрешении или запрещении данных попыток доступа, что может привести в бешенство и очень спокойных пользователей.

Norton Internet Security 2000 Family Edition, помимо возможностей, заложенных в NIS 2000, также обладает функцией Parent Control, позволяющей ограничивать доступ детей, пользующихся домашним компьютером, к некоторым Web-серверам, список которых постоянно пополняется. Кроме того, Family Edition проверяет весь входящий трафик на наличие вирусов, поскольку в него встроен ведущий продукт компании Symantec — Norton Antivirus.

Решения компании Symantec подойдут тем, кто привык доверять свою защиту системе AtGuard, а также тем, кому необходимо совместить в одном продукте и персональный межсетевой экран, и антивирусную систему.

В начало В начало

Заключение

В заключение отметим, что не стоит обходить вниманием персональные межсетевые экраны. Хотя они и не могут тягаться с корпоративными МСЭ (таким как Check Point Firewall-1), но все же обеспечивают некоторый уровень защищенности от внешних посягательств. Вы можете быть уверены, что ваш компьютер не станет легкой добычей для злоумышленников, для многих из которых правильно настроенный персональный МСЭ станет непреодолимой преградой.

КомпьютерПресс 5'2001