Аванпост
Автор: Анатолий Егоров.
© 2003-2006, Издательский дом | http://www.computerra.ru/
Журнал «Домашний компьютер» | http://www.homepc.ru/
Этот материал Вы всегда сможете найти по его постоянному адресу: /2006/122/284582/
Значительная часть «букета» вредоносных программ попадает в компьютер через его сетевое соединение. Для борьбы с подобной напастью наиболее эффективно использование межсетевых экранов (файрволов или брандмауэров), осуществляющих фильтрацию входящего и исходящего трафика. Межсетевой экран оперирует, как правило, несколькими наборами правил для проверки сетевых пакетов при их входе или выходе через сетевое соединение, либо разрешая прохождение трафика, либо блокируя его. Есть файрволы, контролирующие только входящий трафик, например, файрвол, встроенный в Windows XP. Это позволяет защититься от проникновений на компьютер через сетевое подключение, однако вы не сможете контролировать сетевую активность приложений, выполняющихся на компьютере: программы смогут беспрепятственно соединяться с любым другим компьютером Сети.
Последние версии качественных файрволов настроены на максимальную защищенность пользовательского компьютера, причем, часть настроек выполняется в процессе установки. Однако чтобы сэкономить нервы и входящий трафик, не помешает разобраться в некоторых параметрах. Рассмотрим процесс настройки брандмауэра на примере Agnitum Outpost 26 Firewall Pro: большинство файрволов имеют много общего, и, разобравшись с принципами конфигурации одного продукта, будет проще настраивать альтернативные приложения.
Как уже говорилось, часть настроек происходит на стадии установки продукта: Outpost осуществит поиск программ, обменивающихся данными с Сетью, и создаст для них правила. Список программ, выходящих в Сеть, доступен для просмотра при нажатии кнопки «Подробнее» (рис. 1 ).
Так, например, в данном случае эта «команда» довольно обширна. Но мне абсолютно не нужно, чтобы, например, Acrobat Reader без моего ведома соединялся со своим сервером на предмет проверки обновлений, поэтому и был снят флаг напротив этого продукта: понадобится – включим. В силу многих причин меня не интересуют и интернет-конференции – стало быть, отключаем приложение CONF.EXE.
На следующем этапе предлагается принять правила для сетей, которые были обнаружены. Подробности показывает кнопка «Изменить» (рис. 2 ).
Как видите, по умолчанию разрешаются все соединения NetBIOS – дается «зеленый» свет для доступа к файлам и принтерам в пределах локальной сети.
Любой файрвол, в том числе и Outpost, по умолчанию запускается автоматически (меню Параметры» Общие» Загрузка) – препятствовать этому не нужно, поскольку деструктивным программам достаточно нескольких секунд для своего черного дела. Изначально выбран «Режим обучения» (вкладка «Политики» окна параметров): в этом случае пользователю каждый раз предлагается либо принять готовое правило для какого-либо приложения (например, для браузера или почтового клиента), либо самому создать его, либо запретить тому или иному приложению сетевую активность. На мой взгляд, режим обучения как нельзя более подходит для большинства пользователей.
Настройкой приложений ведает одноименная вкладка окна параметров. В разделе «Пользовательский уровень» указаны все программы, которым разрешена сетевая активность. Но нередко по имени программы не понять, что же это такое, например, чем занимается DWWIN.EXE? Чтобы понять это, нужно выделить имя приложения, нажать кнопку «Изменить» и в выпадающем меню выбрать команду «Редактировать правила». В открывшемся окне мне рассказали, что приложение DWWIN.EXE – это не что иное, как Microsoft Application Error Reporting, соединяющееся по протоколу TCP с сервером Microsoft (рис. 3 ).
Поскольку я предпочитаю обходиться без отправки отчетов об ошибках, я запретил возможность обращения DWWIN.EXE к Сети командой Изменить» Блокировать.
Если вы последовательно рассмотрите множество неизвестных вам приложений, то убедитесь, что часть из них вполне обойдется без сетевой активности. Упоминавшийся Adobe Reader имеет привычку автоматически загружать свои обновления, размер которых весьма велик. Запретили этому продукту сетевую вольницу, и вот вам еще одна «статья экономии» входящего трафика.
Обратите внимание на вкладку Системные» ICMP» Параметры, где расположены настройки для сообщений протокола ICMP27 , передающихся при различных ситуациях, в том числе и ошибочных. Для нормального серфинга в Интернете необходимо обеспечить прием трех типов ICMP-сообщений («эхо-ответ», «получатель недоступен» и «для датаграммы превышено время») и отправку двух («получатель недоступен» и «эхо запрос»). Прием и отправку остальных сообщений желательно заблокировать. В Outpost по умолчанию включены именно эти параметры, поэтому ничего перенастраивать не придется (помните: в других файрволах указанные параметры могут быть отключены).
Одна из главных задач любого файрвола – защита от вторжений извне, и она всегда активирована по умолчанию. В Outpost такой защитой ведает модуль «Детектор атак». В случае атаки злоумышленника брандмауэр предупредит вас о вторжении и автоматически заблокирует сеть атакующего. В большинстве файрволов сигнал тревоги раздастся лишь при сканировании нескольких портов (рис. 4 )
или портов с определенными номерами. Нет смысла выставлять максимальный уровень тревоги, иначе сетевая активность системы или вполне легитимной программы доставит вам массу хлопот.
Нередко деструктивным воздействием обладают интерактивные элементы веб-страниц – наверняка многим знакомы «заманчивые» предложения об установке некоего компонента, сулящего невероятные блага. Для настройки параметров блокировки таких элементов в Outpost Firewall следует щелкнуть по строке «Интерактивные элементы» в списке модулей и выбрать команду «Свойства» контекстного меню. Здесь все довольно просто: если вам не знаком тот или иной элемент, выделите его и тотчас увидите подсказку с подробным описанием. Сложно угадать предпочтения каждого пользователя, но я бы советовал заблокировать всплывающие окна и запретить исполнение сценариев ActiveX. Для экономии трафика резонно запретить флэш-анимацию и анимированные GIF: красота этих элементов весьма сомнительна.