Огненная вода 09.09.2003 Андрей Драница
Неискушенному читателю это может показаться странным, но многие специалисты по компьютерной безопасности называют брандмауэры не иначе, как «огненная вода». Во-первых, это связано с самим назначением и условиями работы брандмауэров. С одной стороны, они должны обеспечивать полный контроль всех входящих/исходящих информационных потоков. С другой — защита должна быть абсолютно прозрачна для рядового пользователя. Всяческие ложные срабатывания, многократные подтверждения доступа и запросы паролей приводят к тому, что надоедливую защиту просто-напросто отключают. Получается, что брандмауэр должен сочетать в себе несовместимое — фактически воду и пламя. Ассоциация огненной воды с любимым русским спиртным напитком тоже имеет под собой некоторые основания: современные брандмауэры в большинстве случаев «опьяняют» своих владельцев, даруя им необоснованное спокойствие, тогда как реальная ситуация далека от идеальной. Если не вдаваться в теоретические изыски, то идеальный персональный брандмауэр должен выполнять шесть функций. 1 Блокировка внешних атак В идеале брандмауэр должен блокировать все известные типы атак, включая сканирование портов, IP-спуффинг, DoS и DDoS, подбор паролей и пр. 2 Блокировка утечки информации Даже если вредоносный код проник в компьютер (не обязательно через сеть, а, например, в виде вируса на купленном пиратском CD), брандмауэр должен предотвратить утечку информации, заблокировав вирусу выход в сеть. 3 Контроль приложений Неизбежное наличие открытых дверей (то бишь открытых портов) является одним из самых скользких мест в блокировке утечки информации, а одним из самых надежных способов воспрепятствовать проникновению вирусов через эти двери является контроль приложений, запрашивающих разрешение на доступ. Кроме банальной проверки по имени файла весьма желательна проверка аутентичности приложения. 4 Поддержка зональной защиты Работа в локальной сети часто подразумевает практически полное доверие к локальному контенту. Это открывает уникальные возможности по использованию новейших (и, как правило, потенциально опасных) технологий. С другой стороны, уровень доверия к Интернет-контенту значительно ниже, а значит, необходим дифференцируемый подход к анализу опасности того или иного содержания. 5 Протоколирование и предупреждение Брандмауэр должен собирать именно необходимый объем информации. Избыток (равно как и недостаток) сведений недопустим. Возможность настройки файлов регистрации и указания причин для привлечения внимания пользователя приветствуются. 6 Максимально прозрачная работа Эффективность и применяемость системы часто обратно пропорциональна сложности ее настройки, администрирования и сопровождения. Несмотря на скепсис в отношении «мастеров» (wizards) по настройке и прочих буржуйских штучек, даже опытные администраторы не пренебрегают ими просто в целях экономии времени. Tiny Personal Firewall (TPF) Одна из самых простых и компактных программ (рис. 1). Нельзя сказать, что TPF является широкопрофильным продуктом: ее главный козырь — защита от троянских коней. Именно для их отлова предназначена функция аутентификации приложений в соответствии с протоколом MD5, защищающая в какой-то мере от банальной подмены имен исполняемых файлов. Так что даже если вредоносная программа носит имя MSIMN.EXE (Outlook Express) или IEXPLORE.EXE (Internet Explorer), TPF не выпустит ее в Сеть. В главном окне TPF присутствует переключатель для трех уровней безопасности. На уровне Don’t bother me программа не задает никаких вопросов и разрешает любой не запрещенный правилами трафик. На обычном уровне Ask me first применяются все правила фильтрации, а при попытке программы, отсутствующей в списке авторизованных, получить доступ — пользователю предоставляется выбор. На уровне Cut me off доступ в сеть блокируется напрочь. Окно Advanced Firewall Configuration предоставляет доступ ко всем правилам, а также возможность создавать собственные. Закладка Microsoft Networking позволяет разрешить (или запретить) совместное использование принтеров и файлов. В последних версиях есть функции фильтрации веб-трафика и электронной почты, ведения отчетов, входящий трафик контролируется на предмет наличия вирусов (используется движок McAfee Virus Scan), а также реализована поддержка виртуальных частных сетей (VPN) Cisco и Alcatel Norton Internet Security (NIS) Одна из лучших программ подобного рода, и если ее младший брат — Norton Personal Firewall — по некоторым параметрам уступает конкурентам, то NIS (в состав которого входят Norton Personal Firewall, Norton AntiVirus, модуль Parental Control для блокировки доступа к запрещенным веб-узлам и модуль защиты конфиденциальности Privacy Control), безусловно, один из лидеров. Как и многие другие продукты Symantec, NIS обладает всем набором дополнительных удобств — приятным интерфейсом, продуманными программами установки и удаления, единым центром управления (рис. 2). Этот брандмауэр довольно «интеллектуален» — по крайней мере, способен распознать наиболее распространенные программы и автоматически сконфигурировать правила доступа для них. Еще одно достоинство — развитые функции защиты от зловредных Java- и ActiveX-приложений; к тому же NIS позволяет обеспечить анонимный веб-серфинг путем блокировки cookies и http-ref. Перед первым запуском можно воспользоваться утилитой проверки системы, которая составит список всех программ, обращающихся в сеть, после чего права доступа можно задать индивидуально или принять по умолчанию. Для каждого модуля (антивируса, брандмауэра, модуля защиты конфиденциальности и родительского контроля) можно выбрать один из четырех режимов: Automatic, Permit all, Block all и Custom. К немногочисленным недостаткам программы можно отнести лишь ее высокую цену, большой размер дистрибутива и изрядные системные требования.
|