Дата:   23.11.2017 г.
Время:
 
 
Профессионалам и любителям
ПРОСТО * ДОСТУПНО * ИНТЕРЕСНО
01796
Подписной
индекс
Опрос
Пользуетесь Blu-ray?
Погода
 
  • Тут
    isite.ru отзывы
    siteotzyv.ru
  • http://forus.com.ua
    Корпоративный тимбилдинг на природе .Интенсивный курс
    forus.com.ua
Архив - Почему файрволы не защищают: ошибки настройки брандмауэров - Журнал «Компьютер»
Почему файрволы не защищают: ошибки настройки брандмауэров
№ 11'2008     Владислав Демьянишин   сайт автора    Тема: Безопасность     ( Прочитано 5796 раз )
 
С выходом Windows XP на каждом компьютере стоит файрвол, неприступный как скала. Наивный пользователь свято верит, что никакой червь, троян или хакер через этот файрвол не перелезет. Как говорит известный мультгерой: «Фиг вам!»
 
Файрволы блокируют лишь единичные вторжения, и шанс подцепить заразу от наличия/отсутствия «стены» не зависит. Вернее, практически не зависит, поскольку большинство пользователей даже не пытаются сконфигурировать свой файрвол, а на все его вопросы, не задумываясь, отвечают «Да». Возможности файрволов, конечно же, не безграничны, но в умелых руках они превращаются в мощное оружие, отражающее значительный процент атак.
Файрвол (от английского fire – огонь, wall – стена, вместе firewall – «огненная стена», точнее, «огнезащитная стена», разделяющая смежные здания от распространения пожара, ведь в былые времена зачастую выгорали целые города, вспомните хотя бы пожар в Риме в эпоху Нерона), он же брандмауэр (от немецкого brandmauer, где brand – «пожар», mauer – «стена»), он же межсетевой экран, если говорить совсем по-русски.
Но что же это все-таки такое? А ничего… Удачный маркетинговый трюк, втюхивающий нам многофункциональный «швейцарский нож», вместо того чтобы позволить покупать эти программные продукты по отдельности.
 
Персональные файрволы берут на себя функции:
1) маршрутизаторов, определяя политику перемещений пакетов между узлами;
2) proxy-серверов, громко называемых «брандмауэрами уровня приложений»;
3) систем обнаружения вторжений (они же IDS – Intruder Detection System);
4) антивирусов, ищущих в трафике известные сигнатуры;
5) ревизоров, контролирующих целостность файлов, и многие другие.
 
Если посмотреть с одной стороны, мы получаем оптом тот пакет услуг, который в розницу обошелся бы намного дороже (представим себе на минуту, что пиратства на просторах бывшего СССР нет), плюс каждый программный пакет потребовал бы индивидуальной настройки. Но если рассмотреть вопрос под другим углом, можно быстро прийти к выводу, что комбинированные устройства хорошими не бывают, и швейцарским ножом тот же швейцарский сыр не разрежешь.
Популярность персональных файрволов в первую очередь связана с интенсивным рекламным маркетингом и лишь потом с их реальными достоинствами. Однако предлагать читателю установить набор профессиональных проактивных и реактивных защитных систем никто не собирается, ведь даже персональные файрволы удается настроить лишь единицам.
На самом деле все не так уж и сложно. Файрвол – относительно бесхитростная вещь и конфигурируется просто. Самое главное – владеть базовыми понятиями, которые сейчас и попытаюсь растолковать.
 
Обзор брандмауэров
 
Брандмауэров достаточно много. Какой же из них выбрать? Или, может быть, ничего выбирать не нужно, а положиться на то, что уже имеем? В XP SP2 встроена какая-то пародия на персональный брандмауэр, которая делает вид что работает и страшно нервничает при всякой попытке ее отключения, популярно объясняя пользователю, что его компьютер находится в ужасной опасности и вот-вот падет жертвой хакерской атаки или другой крупной трагедии.
На ресурсе www.firewallleaktester.com можно увидеть перечень персональных брандмауэров вместе с результатами тестирования их стойкости к различным видам проникновения. Последнее тестирование состоялось в 2007 году, т.е. больше года назад. Для компьютерной индустрии это огромный срок. Но ведь ядра персональных брандмауэров не переписываются каждый день, да и методики атак совершенствуются довольно медленно, поэтому представленным результатам вполне можно доверять.
Первое место занял компактный и к тому же бесплатный файрвол Jetico Personal Firewall, созданный одноименной компанией (www.jetico.com/jpfirewall.htm, размер бесплатной версии 1.0 составляет 2.7 Мб, а платной 2.0.2.6 – 3.4 Мб).
На втором месте оказался популярный брандмауэр Outpost Firewall Pro, разработанный питерской компанией Agnitum (http://agnitum.ru), требующий $40 за каждый компьютер, на котором он будет установлен. Я допускаю мысль, что Outpost действительно хороший персональный брандмауэр, однако отдавать свои кровные не каждый захочет. Версия Pro 4.0 тянет на 19.4 Мб, а версия Pro 2009 на 22.3 Мб.
Windows Firewall абсолютно провалил тестирование и вместо награды получил жирнющий красный крест.
По результатам другого тестирования (Personal Firewall Software Reviews 2007), самым лучшим файрволом признан ZoneAlarm Pro (золото), Outpost занимает свое «законное» второе место (серебро), а вот SyGate Personal Firewall не получил даже бронзы, попав на восьмое место.
С другой стороны: Outpost Firewall Pro 2008 от компании Agnitum, занял первое место в результатах тестирования брандмауэров, проведенного Matousec. Победу с ним разделил зарубежный Online Armor Personal Firewall – оба продукта набрали максимальное количество баллов.
Какой же напрашивается вывод? Качество персонального брандмауэра – весьма относительная величина, слагающаяся из множества критериев, каждому из которых присваивается свой вес. Но, чтобы получить объективную (или претендующую на роль таковой) оценку, необходимо поставить всех пользователей в одинаковые условия.
Например, лично мне безразличны удобства интерфейса, гибкую систему формирования отчетов и т.д. Я лишь однажды настраиваю брандмауэр, и длиннющие простыни отчётов меня интересуют мало. На то я и покупаю ПО, чтобы оно действовало самостоятельно. Достаточно, чтобы брандмауэр вел мониторинг сетевой активности, и позволял открывать/закрывать доступ к определенным портам с указанных IP-адресов, что умеет практически любой персональный брандмауэр, за исключением разве что недоразумения под названием Windows Firewall.
 
Чего может и не может брандмауэр
 
То, что брандмауэрами закрывают порты, это все знают. Но далеко не каждый пользователь догадывается, что у него нет тех портов, которые следовало бы закрыть. Вот допустим, у кого-то имеется локальная сеть с SQL-сервером, который должен быть виден только изнутри и недоступен снаружи. В таких случаях умные администраторы просто объясняют маршрутизатору, что SQL не вправе получать пакеты, приходящие из внешнего мира, равно как и отправлять их. Аналогичным образом порты SQL-сервера закрываются и на брандмауэре.
В то же время Windows открывает ряд портов для своих служебных целей, даже если нас эти цели не интересуют. В частности, известный червь MSBlast распространялся через дыру в службе DCOM RPC, а точнее, через открытый ей 135-й порт. Служба практически не нужна пользователю с одним компьютером.
Существовало три пути предотвращения вторжения червя. Первый –установить заплатку, которая, на сколько я помню, вышла незадолго до эпидемии. Второй – отключить саму службу DCOM RPC, благо 99% пользователей она нужна как рыбе зонтик. Штатными средствами этого было не сделать, но в сети тут же появились «выключалки» от сторонних разработчиков. Наконец, третий путь: закрыть этот зловредный 135-й порт на брандмауэре.
Однако это решение не является универсальным. Огромное количество дыр находится в прикладных приложениях типа IE. Отрубить дырявый IE от сети брандмауэр сможет. Только тогда проще выключить модем и пойти застрелиться, потому что без Интернета жить уже скучно. В качестве альтернативы предлагается установить заплатку, а лучше – сменить IE на Opera или FireFox, в которых пока что критичных ошибок найдено не было.
Кстати о сёрфинге. Например, давайте занесем все баннерно-обменные сети в черный список, чтобы с них ничего не загружалось. Туда же можно добавить адреса всех счетчиков (типа rambler), чтобы никакая информация от нас не отправлялась (большого секрета она не представляет, просто лично мне неприятно быть частью чьей-то статистической базы данных).
Только специально для этой цели существуют баннерорезалки с уже готовыми черными листами, причем постоянно пополняемыми. Тогда может и не понадобится нагружать брандмауэр такими обязанностями.
Основное назначение персонального брандмауэра – это разделение интра- и интернета, то есть возведение защитной стены между локальной сетью (как правило, домашней) и враждебным интернетом. Допустим, у нас имеются расшаренные файлы/папки и принтеры, доступные без всяких паролей, и, чтобы всё обошлось без приключений, брандмауэр позволяет заблокировать всякие попытки обращения к расшаренным ресурсам извне, или открыть к ним доступ только с определенных адресов (например, из корпоративной сети той организации, где вы работаете).
Насколько надежна такая защита? Может ли хакер пробить брандмауэр?! Независимо от конструктивных особенностей реализации брандмауэра, непосредственный обмен данными с закрытым портом извне невозможен. И хотя имеется ряд узких мест (например, при сильной фрагментации TCP-пакета порт назначения не вмещается в TCP-заголовок и некоторые брандмауэры его спокойно пропускают), мы можем незаморачиваясь чувствовать себя в безопасности, поскольку вероятность быть атакованным через скачанное ПО гораздо выше.
 
 
 
 
Еще брандмауэр может (и должен) следить за сетевой активностью честных приложений, показывая, кто из них ломится в сеть, на какой порт и по каким адресам. Например, если мы запускаем «рыжего лиса» и он ломится на домашнюю страничку, ранее прописанную нами, то это нормально. Если же FireFox лезет на fxfeeds.mozilla.org, то это тоже нормально, хотя уже весьма подозрительно, но, вообще говоря, программа подобного уровня вправе обращаться к своему сайту, и никакого криминала здесь нет.
А вот если игра типа пазл пытается открыть какой-то порт (например, порт 777), то с высокой вероятностью можно утверждать, что в ней запрятана закладка, и от такой программы можно ожидать всего, чего угодно. Так что лучше её удалить или ограничиться тем, что на вопрос брандмауэра ответить «Блокировать всегда».
Собственно говоря, пробить брандмауэр изнутри очень просто. Зловредная программа имеет в своем арсенале массу способов установки канала связи с удаленным узлом, и брандмауэр ей не помеха. Тем не менее основная масса хакерского ПО написана пионерами, которые ничего не шарят в теме, а просто накачали с виду вроде бы толковые исходники, впрочем, таких же пионеров, компильнули их и потому попытки открытия back-door портов (через которые хакеры и рулят захваченными компьютерами) отлавливаются брандмауэрами молниеносно.
Более грамотно написанное хакерское ПО внедряется в процессы доверенных приложений (например, в IE, FireFox, Outlook Express, The Bat и т.д.), осуществляя обмен данными от их имени. Большинство брандмауэров устанавливает факт внедрения (хотя и не обязаны это делать), однако если троян уже находится на компьютере, то у него есть все шансы обломать брандмауэр, каким бы крутым он ни был. Впрочем, учитывая качество нынешних троянов, брандмауэры побеждают чаще.
 
Настройка брандмауэра
 
Откровенно говоря, конфигурировать брандмауэр методом тыка – занятие для экстремалов. Я и рад бы дать пошаговое руководство по настройке всех брандмауэров, но это делать бессмысленно, поскольку брандмауэров слишком много. К тому же принципы их конфигурации довольно схожи, и все различия упираются лишь в интерфейс.
 
1. Начнём с портов
 
Ох уж эти порты. Некоторые руководства смело предлагают раз и навсегда закрыть порты, используемые всякими «конями», устанавливающими back-door'ы. Списки таких портов выглядят довольно внушительно. Троянцев сейчас много, и все они используют различные порты. Допустим, закроем мы их. Что это нам даст?! Да ничего! Эти порты и так закрыты по умолчанию.
Проникнуть сквозь них вредное ПО не сможет, и, чтобы установить back-door, ей придется либо прикинуться полезной софтиной, которую установит на компьютер сам пользователь, либо же задействовать какую-нибудь не залатанную дыру. Естественно, после того как троян обоснуется на компьютере, он попытается открыть порт, ожидая поступления дальнейших инструкций от хакера. И, если этот порт закрыт на брандмауэре, троян обломается, а брандмауэр выдаст предупреждение, дескать, вот такая тут зараза…
Следует отметить, что трояны уже давно не использует фиксированные порты, а выбирают их случайным (или псевдослучайным) образом. К тому же при установке любого TCP/IP-соединения на самом деле используется не один, а два порта: заранее известный фиксированный порт удаленного узла (например, в случае WWW это порт 80) и локальный порт, автоматически открываемый операционной системой на нашей машине и выбираемый произвольным образом (естественно, из числа свободных).
Существует вероятность (причем большая), что при установке легального TCP/IP-соединения нормальной программой операционная система назначит троянский локальный порт, который закрыт брандмауэром! Это приведет к тому, что:
а) соединение не установится;
б) брандмауэр поднимет крик, а пользователь, хватаясь за сердце, начнет искать несуществующего трояна, скачивая самые последние версии антивирусов, но так и не найдет его, поскольку… тревога была ложной.
По той же причине нельзя закрыть все неиспользуемые порты, как советуют некоторые авторы, поскольку при этом мы вообще не сможем установить ни одного TCP/IP-соединения! Тогда какие же порты нужно закрывать?! Ответ: если имеется домашняя локальная сеть и proxy-сервер на 8080-м порту, через который выходят в Интернет остальные домочадцы, то точно таким же образом через него могут выходить в Сеть и все другие обитатели интернета.
Для чего? Например, даже если proxy не анонимный, то внутрисетевой трафик у большинства провайдеров обычно значительно дешевле или вовсе бесплатный. Вот юные хакеры и рыщут в поисках халявы. Вообще-то, большинство proxy-программ позволяет установить пароль на вход, но… далеко не все утилиты, работающие через proxy, поддерживают такой режим.
 
2. Фейс-контроль
 
Другой подход. В настойках proxy должен быть список разрешенных интерфейсов, с которыми он может работать. Обмен пакетами со всеми остальными интерфейсами запрещен. Интерфейс в данном случае – это, если грубо, идентификатор сетевого устройства. Сетевая карта, модем – все они имеют свои интерфейсы. Короче, выбираем интерфейс сетевой карты, подключенной к домашней локальной сети, и запрещаем все остальные.
Ну вот, просто загляденье! Хотя, может получиться и безобразие. Если DSL-модем имеет Ethernet-порт, воткнутый в свитч (вполне типичная конфигурация домашней локальной сети), то у нас имеется всего один интерфейс как для Интернета, так и для локальной сети.
И вот практический пример с применением Etlin HTTP Proxy, который позволяет использовать всего один интерфейс для работы. А пользователю необходимо выбрать два: интерфейс домашней локальной сети и интерфейс виртуальной сети Virtual PC, которой тоже нужен доступ в Интернет.
Можно, конечно, выбрать другой proxy-сервер, но проще в настройках брандмауэра указать список IP-адресов домашней локальной сети (и виртуальной сети), с которых разрешен доступ к порту proxy-сервера (в данном случае это 8080-й порт). Если же у вас нет proxy-сервера, то просто не морочьте себе голову этим вопросом. Следует отметить, что модемы с Ethernet-портами обычно имеют встроенный брандмауэр, позволяющий разграничить доступ к локальной сети. Для этого нужно лишь прочесть руководство.
 
3. Шарим по шарам
 
Теперь перейдем к расшаренным ресурсам. Брандмауэры в массе своей не блокируют к ним доступ из Интернета по умолчанию, благодаря чему атаки осуществляются ударными темпами и компьютеры ложатся стройными штабелями. Лучше вообще не иметь никаких расшаренных ресурсов, используя персональные FTP-серверы, которые как раз и предназначены для обмена файлами.
Но объяснить среднестатистическому пользователю типа «жена», что такое FTP намного сложнее, чем найти копию Windows без багов. Хотя моя супруга поняла, что такое FTP без затруднений. Тогда может просто нужно отбросить мужской шовинизм и потолковать с женой по душам?
Если же вы потерпели на этом фронте фиаско, то придётся шарить. Ну и шарьте себе на здоровье, только в настройках брандмауэра найдите пункт, касающийся доступа к шарам из Интернета, и распорядись с ним по обстоятельствам.
 
4. Доверительный список
 
И последнее и самое важное. Практически все брандмауэры поддерживают список доверенных приложений, а при выводе запроса на подтверждение имеют галочку «Не показывать это сообщение в дальнейшем». Так вот! Настоятельно рекомендуется эту галочку не трогать!
Конечно, частые запросы на подтверждение очень раздражают, но зато позволяют держать ситуацию под контролем. То же самое относится и к списку доверенных приложений. Допустим, заносим туда IE, чтобы брандмауэр не изматывал нас дурацкими вопросами.
Теперь запускаем какое-нибудь приложение, которое неожиданно вызывает браузер по умолчанию (в данном случае IE) и передает через него некоторую информацию на удаленный узел, например серийный номер для подтверждения его валидности. А вот если при каждом запуске IE будет выпрыгивать запрос от брандмауэра и этот фокус уже не пройдет!
 
5. Запрещаем эхо
 
Попутно следует запретить компьютеру посылать эхо-ответы (опция ICMP ECHO в брандмауэре), чтобы неприятели не запинговали вас до смерти, за короткое время сгенерировав кучу мегабайт трафика и не только затормозив работу компьютера, но еще и посадив вас на бабки, ведь трафик на большинстве тарифов денег стоит.
 
Совет напоследок
 
Брандмауэр (даже персональный) – это все-таки не браузер типа IE, и даже не FireFox, а программный пакет совсем другого порядка, требующий знания и понимания протоколов, на которых держится Интернет. Поэтому надо хорошо разобраться в стеках сетевых протоколов. В противном случае навряд ли можно ожидать осмысленного ответа на вопрос, заданный пользователю брандмауэром.
Надо признать, что человеческий фактор это самое слабое звено, и никакими техническими ухищрениями его не усилишь. И ведь с каждым годом это все актуальнее и актуальнее.
 

 
 
На главную страницу На предыдущую страницу На начало страницы
 
 
 
 
 
2009 - 2017 © СПД Зайцев А.Б.
Сайт является средством массовой информации.
При перепечатке и цитировании в печатных СМИ ссылка на журнал "Компьютер" обязательна.
При перепечатке и цитировании в Интернете обязательна активная гиперссылка на сайт Comput.com.ua, не закрытая для индексирования.
Украина онлайн Рейтинг@Mail.ru Рейтинг Сайтов YandeG