Персональные брандмауэры для конечных пользователей
С ростом популярности Интернета проблема обеспечения безопасного подключения к нему приобретает все большую актуальность. Интернет — враждебная и часто весьма небезопасная среда, и у пользователя возникает естественное желание от нее защититься, причем так, чтобы сохранялась возможность пользоваться почтой и Web-браузерами и чтобы при этом снаружи никто не мог проникнуть внутрь ПК. Именно для надежной защиты домашнего ПК от враждебных попыток взлома извне при одновременном сохранении возможности работы в Сети и предназначены персональные брандмауэры, или межсетевые экраны.
ежсетевой экран это система межсетевой защиты, позволяющая разделить каждую сеть на две и более части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Обычно эта граница проводится между корпоративной (локальной) сетью или единственным ПК и Глобальной сетью. Персональный межсетевой экран (ПМЭ) является универсальным программным средством, обеспечивающим защиту компьютера от несанкционированного доступа к его различным информационным ресурсам по протоколу TCP/IP посредством контроля всей сетевой активности ПК путем отслеживания состояния портов и попыток подключения к ним из Глобальной сети, а также путем фиксирования на ПК всех программ, которые пытаются несанкционированно выйти в Интернет. Кроме того, персональный межсетевой экран после инсталляции в большинстве случаев не требует дополнительных настроек и обеспечивает защиту компьютера еще на этапе его загрузки. При установке персонального межсетевого экрана к компьютерам не предъявляется никаких дополнительных требований это может быть стационарный либо переносной компьютер с операционной системой Windows 95/98/Me/NT/2000/XP и модемом или сетевой картой.
Здесь следует напомнить, что вся связь в Интернете реализована посредством обмена индивидуальными пакетами данных. Каждый пакет передается машине адресата от исходной машины. По существу, ПК «соглашаются» с тем, что они связаны, и каждая машина посылает назад пакеты подтверждения, чтобы исходная машина узнала, что данные были получены. Достичь адресата пакет сможет, если будет содержать адрес получателя и номер порта, определяющий, какой программе следует обрабатывать данный пакет. Для того чтобы компьютер получения «знал» отправителя пакета, каждый пакет должен также содержать IP-адрес и номер порта принимающей машины. Таким образом, любой пакет, путешествующий в Сети, обязательно содержит адрес отправителя и получателя, и именно эта информация прежде всего нуждается в защите. Программное обеспечение межсетевой защиты «осматривает» каждый ПК (все его порты) и каждый пакет данных, прежде чем тот достигнет нужного компьютера и будут запущены другие приложения, которым адресованы эти пакеты. До завершения сеанса связи все последующие входящие пакеты проверяются лишь на соответствие порта и адреса получателя, а также адреса отправителя. В силу этого существующие сегодня способы хакерских атак часто основаны на подмене адреса исходящего пакета на адрес, уже участвующий в сеансе связи. Поскольку при установке сеанса связи соединение между двумя ПК является двунаправленным и из-за ограничений, налагаемых протоколами связи, длина передаваемых пакетов является конечной, то для гарантированного качественного соединения пакеты во встречных потоках маркируются особым образом. В их состав входят АСК-биты (Acknowledgement), подтверждающие безошибочный прием предыдущего пакета. По отсутствию этих битов брандмауэр определяет, что устанавливается новый сеанс связи. Таким образом, пакеты, являющиеся частью установленного соединения, проходят сквозь брандмауэр, а пакеты, предназначенные для попытки соединения и имеющие те же адреса получателя, — блокируются.
Подключение компьютера к Интернету, наряду со значительным расширением возможностей получения пользователем самой разнообразной информации, влечет за собой и неудобства, которые при определенных обстоятельствах могут перерасти в большие проблемы. Главная их причина в том, что, получая доступ к практически беспредельным ресурсам огромного количества компьютеров в Интернете, мы волей-неволей должны открывать доступ к ресурсам своего компьютера со стороны других обитателей Сети. На любом компьютере, подключенном к Интернету, могут запускаться посторонние программы (например, при отображении Web-страниц, содержащих активные элементы ActiveX или Java-аплеты), которые могут без уведомления выполнять практически любые действия, в том числе и деструктивные. Другие компьютеры в Сети могут получить (или попытаться получить) доступ к дискам и файлам локального компьютера, где может размещаться информация (например, файлы Cookie), которая позволяет получить сведения о пользователе, его предпочтениях и посещениях различных сетевых ресурсов. Имеются и троянские кони, то есть программы, которые отсылают важную конфиденциальную информацию (например, пароли доступа в Интернет или номера кредитных карточек) с зараженного компьютера на определенные сетевые адреса. Широко распространенным вариантом вторжения является негласная установка различных программ для удаленного управления компьютером жертвы. Более безобидную разновидность троянских коней представляют обычные программы, для которых даже придуман специальный термин — Spyware. В большинстве своем это бесплатные программы со встроенной системой отображения рекламных баннеров, и их «нелегальная» деятельность сводится преимущественно к сбору и отправке на сайт разработчика статистики о предпочтениях пользователя (о наиболее часто посещаемых Web-узлах, вызвавших интерес баннерах и т.п.); параллельно с запрашиваемой в компьютер загружается и ненужная информация, например рекламные баннеры, что может существенно увеличить время загрузки страницы, особенно при использовании достаточно медленного модемного соединения. Применение персональных брандмауэров поможет справиться и с этими проблемами и защитит информацию на локальных компьютерах, имеющих доступ в Интернет.
На современном рынке доминирует три категории брандмауэров: фильтры пакетов, контекстные фильтры и шлюзы уровня приложений, обычно называемые proxy-серверами. При работе в Интернете часто складывается такая ситуация, когда просматривается один и тот же документ или повторно посещается один и тот же сайт. В подобных случаях очень полезны системы оптимизации Интернет-трафика, которые устанавливаются таким образом, что пропускают весь трафик через себя и хранят его копию на диске. И если пользователю необходимо повторно просмотреть ту или иную страничку, то она не будет выкачиваться из Интернета, а будет взята непосредственно с диска системы оптимизации Интернет-трафика. Таким образом не только экономятся деньги за оплату Интернет-трафика, но и, как правило, увеличивается скорость доступа к страничкам. Эти системы называются proxy-серверами. Помимо этого proxy-сервер регулирует доступ к ресурсам Интернета. Он имеет весьма гибкие настройки, позволяющие ограничить доступ пользователей к определенным сайтам, контролировать объем выкачиваемой пользователем из Интернета информации и настраивать возможность доступа тех или иных пользователей в Интернет в зависимости от дня недели и времени суток.
Существуют фильтры пакетов следующих уровней: прикладного, транспортного, сетевого и канального, причем данная классификация не является единственной. Первые три фильтра могут быть введены в заблуждение злоумышленниками, подделавшими заголовки IP-, TCP- и UDP-пакетов. Канальный уровень, то есть уровень сопряжения с физической средой, имеет смысл контролировать только в локальной сети, а вот при модемном соединении с провайдером эта операция ничего не дает, так как в этом случае все пакеты на канальном уровне приходят только от провайдера и никакой информации о физическом адресе узла-отправителя в них не содержится.
Контекстные фильтры работают более надежно, но области их применения ограниченны. К тому же они не способны к отражению новых атак, разработанных после их появления. Обычно такие фильтры используются для поиска ключевых слов таких тем, которые строгие родители запрещают читать своим детям.
Шлюзы удобны в корпоративных сетях, но абсолютно не нужны частным пользователям. Правда, если у кого-то есть два компьютера, то, выделив один под proxy-сервер, можно попытаться обезопасить другой.
Довольно часто межсетевые экраны попутно обеспечивают блокировку рекламы, ускорение работы с Сетью, блокировку активного содержимого Web-страниц. Программные брандмауэры также применяются в виде программного обеспечения, устанавливаемого на маршрутизаторы, proxy-серверы и т.п. в больших корпоративных сетях, но обычно это очень дорогие продукты, недоступные рядовому пользователю.
Заметим, что неправильно настроенный брандмауэр не только не защищает ПК, но в ряде случаев способен ухудшить общую защищенность системы, поскольку создает ложное ощущение безопасности, а кроме того, нельзя забывать и о уязвимости самого стека протоколов TCP/IP (Transmission Control Protocol/Internet Protocol), который в принципе не отвечает современным требованиям безопасности.
Ниже приводятся описания некоторых популярных персональных брандмауэров, которые в то же время имеют довольно развитые функциональные возможности.
Agnitum Outpost Firewall
овый персональный брандмауэр Outpost Pro 2.0 превосходит своего знаменитого предшественника Outpost Pro 1.0 по множеству позиций: начиная с улучшенных настроек безопасности и заканчивая простотой в использовании. Будучи программой для защиты компьютеров, Outpost Pro 2.0 объединяет все последние достижения в области персональных брандмауэров и представляет собой один из лучших решений для обеспечения безопасности системы. Сегодня этот ПМЭ является одним из самых популярных в нашей стране и странах СНГ, что, скорее всего, связано с его очень широкой функциональностью и невысокой ценой. Кроме того, существует версия Free (бесплатная) с несколько урезанными возможностями.
После установки данного пакета программа работает в режиме обучения, и никакие правила для нее не предусмотрены, но относительно каждого входящего и исходящего соединения программа задействует окно диалога с предложением создать для него правило или совершить единичное действие: пропустить или заблокировать. Правила, которые создаются в этом режиме, немедленно применяются для фильтрации входящего и исходящего трафика. Также в программе предусмотрено несколько режимов работы: режим блокировки (при этом система блокирует все соединения, для которых явным образом не были определены правила, то есть система работает по принципу «что не разрешено, то запрещено»), режим полной блокировки (отсекаются все соединения независимо от того, разрешены они или запрещены), режим отключения (программа висит в системном трее и ничего не делает) и разрешающий режим (разрешены все соединения и весь трафик, явным образом не запрещенные в правилах).
Режимы могут легко и быстро изменяться пользователем, и в случае необходимости система немедленно начинает действовать в соответствии с новыми правилами работы защиты.
Кроме того, в этой программе реализованы дополнительные функции. Брандмауэр поддерживает демилитаризованную зону (то есть возможность создавать IP-лист на весь трафик), и только с этих IP он будет пропускать входящие пакеты. Для защиты от сканирования портов предусмотрен режим невидимки (Stealth), когда система не отвечает на пинги и не выдает никаких ICMP-сообщений при запросах; в окне настроек имеются варианты поведения при такого рода запросах, которые могут варьироваться. Для удобства и быстроты в систему встроено большое количество стандартных правил, но можно создавать и собственные. Поддерживаются также дополнительные модули, причем некоторые из них поставляются с программой и являются стандартными. Модуль «Реклама» позволяет «резать» баннеры и всё, что на них похоже. Подобная резка происходит по размеру баннера либо по ссылке; при этом в программе изначально предусмотрены самые распространенные размеры и ссылки, но можно добавить и другие. Фильтр активного содержимого срезает запрещенные активные элементы на страничках; он также полезен для «убивания» всплывающих окон и т.д. Осуществляется контроль за содержимым страничек: если вы не хотите видеть на страницах какое-нибудь нехорошее слово, внесите его в этот список — и вы больше никогда его не встретите. Здесь же предусмотрена блокировка доступа на внесенные в список сайты, но адресована она скорее родителям, которые обеспокоены моральным обликом своих детей. Кэширование DNS помогает быстрее перемещаться по Интернету. Детектор атак определяет сканирование, блокирует атаку и анализирует подозрительные действия, а также позволяет установить IP-адрес атакующего. Из прочих достоинств следует упомянуть наличие русскоязычного интерфейса, что облегчает настройку.
Для успешного применения брандмауэра Outpost Firewall пользователю не обязательно владеть всеми возможностями системы. Система способна эффективно работать с настройками, установленными по умолчанию. Многие дополнительные возможности, такие, например, как ограничение поступления или отправки ICMP-сообщений определенных типов, предназначены исключительно для опытных пользователей системы.
Новым подходом, при разработке системы Outpost Firewall стал модульный принцип организации. Значительная часть возможностей по защите компьютера реализована здесь в виде подключаемых модулей, представляющих собой файлы с расширением .dll. Такие модули абсолютно не связаны друг с другом. Создав новые модули, можно без проблем добавить их в уже установленную систему.
Говоря конкретнее, при использовании системы Outpost Firewall возможно: ограничивать список приложений, получающих доступ в Сеть (при этом для каждого из этих приложений можно указать список допустимых протоколов, портов, направлений обращения); запрещать или ограничивать поступление на локальный компьютер незатребованной информации, таких как баннерная реклама, всплывающие окна в Web-страницах и данные с определенных Web-страниц; ограничивать или запрещать использование программных компонентов, встроенных в Web-страницы, таких как Java-аплеты и программы на языке JavaScript, ActiveX, а также cookie; определять зону дружественных IP-адресов (например, адресов локальной сети, в которой установлен данный компьютер). В этой зоне Outpost Firewall не осуществляет контроль и не ограничивает сетевого обмена; осуществлять проверку поступающих по электронной почте присоединенных файлов; получать от программы предупреждения при попытке атаковать ваш компьютер из Сети и предотвращать такие попытки.
ZoneAlarm
ZoneAlarm Pro персональный брандмауэр, защищающий систему от несанкционированных внешних вторжений. Эффективен против червей, троянцев, spyware и других угроз, блокирует неправомочные подключения. Обеспечивает защиту электронной почты от 37 подозрительных типов файлов. К возможностям новой версии относятся: более высокий уровень безопасности, защита компонентов самой программы, более тщательное и детальное ведение лог-файлов с новой формой отображения IP-адресов, улучшенная организация работы в сетях с поддержкой беспроводных сетей, усовершенствованные функции контроля и выдачи информации, изменяемые пользователем цветовые схемы интерфейса.
Брандмауэр по-прежнему работает на уровне приложений, однако теперь он позволяет избирательно разрешать или запрещать доступ к конкретным портам или к их группам (например, типичным для работы с Web, FTP и т.д.). Впрочем, такую настройку нужно проводить дополнительно, а по умолчанию разрешаются (естественно, с согласия пользователя) все виды доступа.
ПМЭ отличается симпатичным дизайном и несложным, но продуманным интерфейсом. ZoneAlarm позволяет блокировать активность любых программ, обращающихся к Windows из Интернета или пытающихся самостоятельно выйти в Сеть с ПК. Брандмауэр достаточно прост в управлении, допускает настройку работы приложений в локальной сети или в Интернете (на уровне «разрешить», «запретить», «спросить») и их функционирование в качестве серверов.
Загружается ZoneAlarm как обычное Windows-приложение. При более-менее подозрительной активности программа выдает на экран красивое окошко — либо с информацией о попытке подключения к компьютеру, сообщая IP-адрес удаленной машины и предлагая на своей Web-странице определить провайдера (владельца этого IP-адреса), либо с вопросом: разрешить или запретить определенному приложению работу в Сети. При постоянной работе с персональным компьютером подобный вариант со всплывающим окном более удобен и нагляден, нежели протоколирование всего трафика, с которым рядовой пользователь не станет разбираться.
ZoneAlarm распознает выполняемые программы и ограничивает их возможности, в частности контролирует пересылку данных из компьютера в Интернет.
Существует две зоны ZoneAlarm: локальная и Интернет-зона. В локальной зоне находятся компьютер пользователя и другие объединенные в сеть компьютеры; все остальные машины относятся к зоне Интернета. Каждой зоне можно назначить низкий (low), средний (medium) и высокий (high) уровни защиты. По умолчанию локальной зоне назначается средний уровень защиты, что позволяет достаточно свободно обмениваться информацией, в том числе совместно работать с файлами в среде Windows. В зоне Интернета действует высокий уровень защиты: запрещено совместное использование файлов, все порты скрыты от внешнего мира и действуют все привилегии, назначенные прикладным программам. На низком уровне действуют только разрешенные привилегии.
Для полного блокирования соединений достаточно щелкнуть на пиктограмме в виде висячего замка в верхней части интерфейса ZoneAlarm. Затем, выбрав окно Pass Lock в разделе Programs, можно разрешить обмен данными для определенных программ. При обнаружении попытки любой прикладной программы установить в этом режиме соединение с внешним миром ZoneAlarm направляет запрос пользователю, блокируя таким образом любые соединения, за исключением специально разрешенных.
ZoneAlarm позиционируется как средство защиты для небольших офисных сетей. Программа умеет корректно работать с компонентом Internet Connection Sharing, входящим в Windows 98SE/Me/2000/XP. Для этого программу достаточно установить и соответственно настроить на сетевом шлюзе, хотя разработчики рекомендуют проделывать это и на каждой рабочей станции. Кроме того, предупреждения можно получать как на шлюзе, так и на клиентских ПК, а настройки программы можно защитить паролем.
Tiny Personal Firewall 5
овая версия программы Tiny Personal Firewall позволяет организовать эффективную защиту рабочей станции, обеспечивая контроль несанкционированного доступа и модификации реестра, запуска и остановки сервисов и использования файловой системы. Брандмауэр производит мониторинг портов и IP-адресов, контролирует входящий трафик на предмет наличия вирусов (используется движок McAfee Virus Scan), управляет кэшированием и файлами cookies. В программе имеются функции фильтрации Интернет-трафика и электронной почты, ведения отчетов, а также реализована поддержка виртуальных частных сетей (VPN) Cisco и Alcatel. Кроме стандартной версии Tiny Personal Firewall существует также Net-версия программы, применяющаяся для защиты сетевых рабочих станций и состоящая из локально устанавливаемого файрволла и сетевой MMC-консоли централизованного управления.
Для установки программы не требуется специальных знаний. После инсталляции брандмауэр запускается автоматически, и в дальнейшем при первом обращении любого приложения с локального компьютера к Интернету пользователю будет задан вопрос, следует ли разрешить или запретить доступ к Сети. Браузерам и почтовым клиентам имеет смысл дать постоянное разрешение, чтобы не отвечать на одни и те же вопросы при каждом подключении к Интернету; другие программы можно настроить более тонко. Tiny Personal Firewall обладает гибкими средствами такой настройки, позволяя указать для каждого Интернет-приложения набор правил его работы в Интернете: сетевой протокол (TCP, UDP, ICMP), направление передачи данных (в ПК из Сети, из ПК в Сеть), допустимый диапазон используемых портов и IP-адресов удаленного приложения (например, если FTP-клиент всегда обращается к определенному FTP-серверу, то лучше настроить его на конкретный IP-адрес этого сервера), а также способы протоколирования по каждому правилу. Чтобы под видом стандартного приложения в компьютер не закралась вредоносная программа, контролируемое Tiny Personal Firewall приложение снабжается сигнатурой по профилю сообщения 5 (MD5).
Функционирование брандмауэра управляется правилами, которые могут привязываться к конкретным приложениям, IP-адресам, номерам портов и даже к промежуткам времени. Интерфейс программы предельно прост и понятен. Создание правил не вызывает ни малейших затруднений; кроме того, в программе предусмотрена возможность дистанционного конфигурирования и просмотра журнала.
Sygate Personal Firewall 5.0
омпания Sygate Technologies выпустила новую версию своего персонального межсетевого экрана — Personal Firewall Pro 5.0. Данный программный пакет предназначен для домашнего использования, а также для применения в малых офисах. Межсетевой экран выполняет стандартные для таких продуктов функции: блокирует установку нежелательных соединений с пользовательским компьютером, защищает от программ, осуществляющих атаки типа «отказ в обслуживании», и от троянских вирусов. Поддерживается возможность отражения атак, совершаемых с применением маскировки IP-адреса, а также атак, использующих недавно обнаруженные уязвимые места различных программных продуктов (такие как брешь в службе Universal Plug and Play ОС Windows XP). Устранена характерная для ряда персональных межсетевых экранов (включая предыдущую версию Personal Firewall Pro) ошибка, позволяющая определенным образом написанным программам устанавливать исходящие соединения (обычно установление таких соединений межсетевыми экранами блокируется, поскольку может свидетельствовать о том, что компьютер участвует в DoS-атаке). Personal Firewall Pro взят за основу для Sygate Secure Enterprise 3.0 — межсетевого экрана для предприятий, который выйдет позже. Стоимость однопользовательской копии Personal Firewall Pro составляет 40 долл.
Sygate Personal Firewall поддерживает три режима работы: Block All (запретить все соединения), Normal (нормальный) и Allow All (разрешить все соединения). По умолчанию после установки программы включен нормальный режим работы, что позволяет не особенно вникать в настройки программы. Все приложения определяются на лету и устанавливаются в режим Ask (спросить). Для приложений тоже предусмотрено три режима — помимо режима Ask существует еще два: Allow (разрешить) и Block (заблокировать). Приложения также можно настроить вручную, причем предусмотрен режим для более тонкой настройки данного приложения — Advanced Application Configuration. Ведется довольно удобный журнал, который разбит на отдельные группы: Security Log (охранный журнал), System Log (системный журнал), Traffic Log (журнал входящего/исходящего трафика) и Packet Log (журнал пакетной передачи). Для каждого из журналов существуют дополнительные фильтры, позволяющие сократить или увеличить выводимую информацию в данных журналах. Предусмотрены следующие фильтры: 1 Days Logs (выводить информацию за один день), 3 Days Logs (за три дня), 1 Week Logs (за неделю), 1 Month Logs (за месяц) и Show All Logs (выводить всю существующую информацию). Брандмауэр, так же как и Outpost Firewall, по умолчанию не выдает никаких IMCP-сообщений, что позволяет ему оставаться незаметным для злоумышленника, посылающего пинги в Сеть.
Sygate Personal Firewall также блокирует работу троянских программ, если они у вас все-таки оказались. Имеется довольно хорошо конфигурируемая настройка правил, есть опция настройки глобальных переменных, включая определение доверенных адресов, и удобная динамическая система помощи. Плюс к этому — настройка глобальных переменных и настраиваемые правила защиты, новая система помощи, контроль входящих и исходящих ICMP-пакетов по их типу, а также консоль сообщений.
Kerio WinRoute Firewall 5
азработчики из Kerio Technologies выпустили очередную версию интегрированного пакета маршрутизации и обеспечения сетевой безопасности — WinRoute Firewall. В состав пакета входят программный маршрутизатор, брандмауэр, proxy-сервер, URL filter (позволяющий запретить посещение определенных Web-страниц).
Kerio WinRoute Firewall 5 устанавливает новые стандарты гибкости в работе, безопасности и управления. Разработанный для корпоративных сетей, он предназначен для защиты от внешних атак и вирусов и дает возможность ограничения доступа к Web-сайтам в зависимости от их содержания.
Данный пакет позволяет точно настраивать правила для проверки входящего и исходящего трафика с учетом состояния протокола, обеспечивая при этом полную безопасность. Мастер сетевых правил поможет быстро установить брандмауэр.
Поддержка DSL, выделенной линии, ISDN, спутникового соединения, модемного соединения и беспроводного Интернета позволяет администраторам использовать Kerio WinRoute Firewall в сетях любого размера и местоположения.
Kerio WinRoute Firewall предоставляет возможность сканирования входящего и исходящего HTTP- и FTP-трафика на наличие вирусов. Кроме встроенной в версию защиты McAffee, доступно на выбор еще несколько антивирусов.
Во многих фирмах и образовательных учреждениях часто требуется запретить доступ к определенным сайтам. Kerio WinRoute Firewall имеет встроенный определитель содержания с базой данных Web-сайтов от Cobion Orange Filter Service.
Данный пакет дает возможность параллельно использовать H.323- и SIP-протоколы для того, чтобы не афишировать в Интернете инфраструктуру VoIP.
Kerio WinRoute Firewall поддерживает технологию трансляции адресов для IPSec- и PPTP-протоколов, позволяя легко встраивать дополнительные VPN-решения.
Универсальный Plug and Play (UPnP) в Windows позволяет приложениям «общаться» через Интернет. Kerio WinRoute Firewall имеет встроенную технологию UPnP для того, чтобы такие приложения, как MSN Messenger, могли запускаться сразу, без дополнительной настройки firewall.
Проверка протоколов помогает использовать некоторые приложения с протоколами, изначально не предназначенными для работы с брандмауэром, в защищенных локальных сетях. Большинство протоколов можно сканировать, фильтровать или модифицировать, повышая таким образом степень защиты.
Консоль администратора может быть установлена удаленно для обеспечения безопасного управления и изменения данных из любого места Сети.
Встроенная в Windows 2000 Server служба каталогов Active Directory позволяет администраторам централизованно управлять информацией, пользователями и сетевыми ресурсами. Поддержка Active Directory предоставляет Kerio WinRoute Firewall доступ к информации о пользователях в реальном времени.