cont

Настройка установленного Outpost Firewall v.4.x


В Интернете много описаний и восторгов, связанных с результатами работ хакеров. Однако по замечанию неизвестно кого: "хакеров нет, а есть простофили". Итак, куплен новый компьютер. На него установили операционную систему семейства Windows, всякие программы. Настроили доступ в Интернет. Можно залезть на любимый сайт или пообщаться в ICQ. Радуемся. Что же может произойти реально? Я не задаюсь вопросом о защите от преднамеренной атаки, но как защитить компьютер от тех, кому "делать нечего". Разберемся как не быть простофилей.

Начнем с простого. Пока к нам никто не лезет. На компьютере установлена куча программ, которые с радостью, при появлении связи с Интернет, посещают свои сайты и проверяют обновления, какие-то базы, предлагают отправить регистрационную информацию и прочее. Кроме этого, сама Windows тут же подключается к сайту Microsoft и начинает закачивать обновления, размеры которых подчас немаленькие. Вся эта автоматизация, конечно, радует за исключением одного: массивные подключения не только тормозят работу в Интернет, но еще и наши деньги тратятся! А если у нас низкоскоростное подключение, то о нормальной работе в сети можно вообще на время забыть. Если сесть и разобраться, то получится, что доступ в сеть нужен только браузеру Internet Explorer (IE), интернет-пейджеру типа ICQ, почтовому клиенту, например The Bat! и еще паре системных программ. Все! Остальным программа там делать нечего!

Второй аспект: внешний. Мало кто догадывается, что к удаленному компьютеру можно получить доступ очень просто. Злоумышленник может просканировать сеть на наличие открытых программных портов (через них осуществляется вход/выход программ и системы в сеть) и если обнаружены уязвимые открытые порты, то он может получить доступ к какому-то контенту. Можно позаботиться заранее о некоторых уязвимостях, но проведя атаку (несколько десятков попыток доступа) злоумышленник может все же получить доступ к компьютеру или нанести урон стабильности работы системы.

Именно для вышеперечисленных случаев и существует класс программ, которые называются Firewall (Файрвол) или, по другому, брандмауэр. Кстати, самый простой брандмауэр уже встроен в операционную систему, но (даже в новой Windows Vista) он не способен слишком хорошо защитить доступ к компьютеру без предварительной серьезной настройки.

Задача защиты разбивается на две части. Что бы хотя бы как-то элементарно облегчить и обезопасить себе жизнь я рекомендую сделать следующие действия. Следуем "Пуск - Настройка - Панель управления - Система". Далее выбираем вкладку "Автоматическое обновление" и отключаем его установив точку на пункт "Отключить автоматическое обновление". Переходим на вкладку "Удаленные сеансы" и снимаем галочку с пункта "Разрешить отправку приглашения удаленному помошнику". Нажимаем кнопку "Ок". Следующий шаг - установка внешнего файрвола. Что бы внутренний не мешался его можно отключить: "Пуск - Настройка - Панель управления - Администрирование - Службы". Находим службу "Брандмауэр Windows" и отключаем ее, а так же задаем режим запуска "вручную". После этого устанавливается внешний файрвол. Один из самых эффективных, с моей точки зрения, является Outpost Firewall фирмы Agnitum. Последние продукты (на конец 2007 года) вообще представляют собой целые комплексные программные центры защиты. Уже после простой установки он способен на базе предустановок довольно серьезно защитить систему от несанкционированного вторжения. Рассмотрим пример настройки программы версии 4.х.

После установки Outpost на компьютер и перезагрузки в трее (системная область с значками рядом с часами в нижнем правом углу рабочего стола) появляется значок файрвола. Первичная комплексная настройка файрвола выходит за рамки данной статьи, поэтому будем считать что программу уже настроили и задали список программ которым разрешен доступ в Интернет, а так же настроили некоторые модули защиты и локальные сети, если это было необходимо. Итак, в трее находится значок программы, который имеет вид круга с белой горизонтальной полосой посередине. Это режим блокировки. В этом режиме файрвол пропускает только те программы, которые разрешены, блокирует остальной траффик, а так же следит за внешней активностью и, при необходимости, реагирует на нее. Удобно, не правда ли? Работаем в Интернете через браузер IE, а компьютер защищен.

Но иногда появляется новая программа для работы с Интернетом, доступ в сеть которой, естественно, в файрволе не разрешен. В этом случае после установки программы нужно перевести файрвол в режим обучения: правый щелчок мыши на значке Outpost - политики - режим обучения. Теперь значок стал синим со знаком вопроса. Запускаем нужную программу и при попытке ее доступа в сеть появляется окно файрвола с вопросом что делать с этой программой. Внимательно прочитайте какой процесс "просится" в сеть. Если это та самая программа, то ей можно либо разрешить полный доступ в сеть, либо создать правило на базе уже имеющегося (в этом случае подразумевается, что Outpost знает что этой программе можно делать, а что она делать вовсе не обязана в отличие от полного доступа, когда программе дается "зеленый свет" в Интернет вообще). Если это не тот процесс, то его можно спокойно заблокировать или нажать кнопку "одиночная блокировка" (то есть, блокировка один раз, при попытке доступа в следующий раз файрволл снова запросит действие). После некоторой работы программы в сети, если все нормально, необходимо вернуть файрвол в режим блокировки: правый щелчок мыши на значке Outpost - политики - блокировать. Теперь щелкнем правой кнопкой на значке в трее и выберем пункт "параметры...", далее - откроем вкладку "Приложения". Здесь отображаются приложения, которые разбиты на три группы. "Запрещенные приложения" - которым доступ запрещен, "Пользовательский уровень" - приложения, которые выходят в сеть по предустановленным или созданным правилам, "Доверенные приложения" - программы, которые имею полный доступ в сеть и активность которых почти не контролируется. Наша новая программа должна присутствовать в одной из групп.

Если же далее открыть вкладку "Подключаемые модули", то можно увидеть какие модули обеспечивают безопасность нашего компьютера. Советую модуль "Фильтрация почтовых вложений" отключить, если Вы пользуетесь каким-либо почтовым клиентом. В этом случае вложения в письмах не будут переименовываться доставляя неудобства при их постоянном повторном переименовании. Безопасность же почты должен обеспечивать антивирус - так зачем двойная работа? Если антивирус пропустит угрозу, а пользователь запустит исполняемый файл вложения, то заражение все равно произойдет вне зависимости от действий файрвола (хотя для версии Outpost Security Suite Pro - это уже спорное утверждение). Далее интересны модули "Реклама" и "Интерактивные элементы". Их работу можно увидеть находясь на сайтах. Реклама, банеры и прочие рекламные блоки заменяются символами AD. Если необходимо просматривать рекламу, статистику на сайтах, банеры и прочее, то эти модули можно остановить. Остальные модули останавливать не рукомендую.

Необходимо обратить внимание на еще одну группу настроек, которая превращает четвертую версию файрволла в мощный центр безопасности. Открываем программу двойным нажатием левой кнопки мыши - "Параметры" - "Приложения". При нажатии на кнопку "Компоненты" открывается окно с настройкой уровня контроля компонентов. Эта настройка обеспечивает контроль изменяемости файлов, за которыми производится слежение (системные файлы, внутренние файлы самого файрволла, разрешенные программные модули). При обновлении какой-то программы, если происходит замена исполняемого файла или критической библиотеки файрволл обязательно спросит подтверждения о разрешении. Если же такое подтверждение появляется без видимой причины, когда никто ничего не обновлял и не устанавливал, то можно задуматься над вопросом: а не вирус ли внедрился в пусковой модуль программы? Если же Вы с компьютером на Вы и не в состоянии определить степени риска того или иного своего действия, то контроль компонентов лучше отключить. Защищенность системы, естественно, снижается.

Следующий момент: это механизм защиты Anti-Leak. Эта группа настроек позволяет действительно максимально защитить компьютер. Можно настроить контроль окон изменения окон приложения, изменение реестра, взаимодействие с OLE и т.д. Однако при установке максимального уровня защиты, боюсь, что файрвол замучает пользователя диалоговыми сообщениями. Поэтому и этот механизм лучше отключить для неискушенного пользователя. Но всегда полезно знать о том, что он существует.