Глава 5. Защита от сетевых атак

We use cookies. Read the Privacy and Cookie Policy

Глава 5. Защита от сетевых атак

Безопасность информации компьютерных сетей и отдельных компьютеров достигается проведением единой политики защитных мероприятий, а также системой мер правового, организационного и инженерно-технического характера.

При разработке необходимого уровня защиты информации в сети производится учет взаимной ответственности персонала и руководства, соблюдения интересов личности и предприятия, взаимодействия с правоохранительными органами. Обеспечение безопасности информации достигается правовыми, организационно-административными и инженерно-техническими мерами.

Защита корпоративных сетей отличается от защиты компьютеров домашних пользователей (хотя защита индивидуальных рабочих станций – неотъемлемая часть защиты сетей). И прежде всего потому, что этим вопросом занимаются (точнее, должны) грамотные специалисты по компьютерной безопасности. К тому же основа системы безопасности корпоративной сети – достижение компромисса между удобством работы для конечных пользователей и требованиями, предъявляемыми техническими специалистами.

Компьютерную систему можно рассматривать с двух точек зрения: видеть в ней лишь пользователей на рабочих станциях, а можно учитывать только функционирование сетевой операционной системы. Можно считать компьютерной сетью и совокупность проходящих по проводам пакетов с информацией.

Существует несколько уровней представления сети. Точно так же можно подходить и к проблеме сетевой безопасности – на разных уровнях. Соответственно, методы защиты будут разными для каждого уровня. Чем больше уровней защищено, тем надежнее защищена и система в целом.

Первый, самый очевидный и самый трудный на практике, путь – обучение персонала поведению, затрудняющему сетевую атаку. Это вовсе не так просто, как кажется на первый взгляд. Необходимо вводить ограничения на использование Интернета, причем пользователи часто не представляют, чем эти ограничения обусловлены (у них нет такой квалификации), поэтому всячески пытаются нарушать существующие запреты. Тем более что запреты должны быть четко сформулированы. Например, совет не использовать клиентские приложения с недостаточно защищенным протоколом обычный пользователь вряд ли поймет, а вот указание не запускать на своем компьютере ICQ поймет почти наверняка и будет весьма бурно протестовать. Не случайно говорят, что ICQ – цветок на могиле рабочего времени.

В основе комплекса мероприятий по информационной безопасности должна быть стратегия защиты информации. В ней определяются цели, критерии, принципы и процедуры, необходимые для построения надежной системы защиты. В хорошо разработанной стратегии должны найти отражение не только степень защиты, поиск брешей, места установки брандмауэров или proxy-серверов и т. п. В ней необходимо еще четко определить процедуры и способы их применения, для того чтобы гарантировать надежную защиту.

Важнейшей особенностью общей стратегии информационной защиты является исследование системы безопасности. Можно выделить два основных направления:

– анализ средств защиты;

– определение факта вторжения.

На основе концепции безопасности информации разрабатываются стратегия безопасности информации и архитектура системы защиты информации. Следующий этап обобщенного подхода к обеспечению безопасности состоит в определении политики, содержание которой – наиболее рациональные средства и ресурсы, подходы и цели рассматриваемой задачи.

Разработку концепции защиты рекомендуется проводить в три этапа. На первом этапе должна быть четко определена целевая установка защиты, т. е. какие реальные ценности, производственные процессы, программы, массивы данных необходимо защищать. На этом этапе целесообразно дифференцировать по значимости отдельные объекты, требующие защиты.

На втором этапе должен быть проведен анализ преступных действий, которые потенциально могут быть совершены в отношении защищаемого объекта. Важно определить степень реальной опасности таких наиболее широко распространенных преступлений, как экономический шпионаж, терроризм, саботаж, кражи со взломом. Затем нужно проанализировать наиболее вероятные действия злоумышленников в отношении основных объектов, нуждающихся в защите.

Главной задачей третьего этапа является анализ обстановки, в том числе специфических местных условий, производственных процессов, уже имеющихся технических средств защиты.

Концепция защиты должна содержать перечень организационных, технических и других мер, которые обес-печивают максимально возможный уровень безопасности при заданном остаточном риске и минимальные затраты на их реализацию.

Политика защиты – это общий документ, где перечисляются правила доступа, определяются пути реализации политики и описывается базовая архитектура среды защиты. Сам по себе этот документ обычно состоит из нескольких страниц текста. Он формирует основу физической архитектуры сети, а содержащаяся в нем информация определяет выбор продуктов защиты. При этом документ может и не включать полного списка необходимых закупок, но выбор конкретных компонентов после его составления должен быть очевидным.

Политика защиты выходит далеко за рамки простой идеи «не впускать злоумышленников». Это очень сложный документ, определяющий доступ к данным, «характер серфинга в WWW, использование паролей или шифрования, отношение к вложениям в электронную почту, использование Java и ActiveX и многое другое. Он детализирует эти правила для отдельных лиц или групп. Нельзя забывать и об элементарной физической защите – если кто-то может проникнуть в серверную комнату и получить доступ к основному файловому серверу или выйти из офиса с резервными дискетами и дисками в кармане, то все остальные меры становятся совершенно бессмысленными и бестолковыми.

Конечно, политика не должна позволять чужакам проникнуть в сеть, но, кроме того, она должна устанавливать контроль и над потенциально нечистоплотными и неисполнительными сотрудниками вашей организации. Девиз любого администратора системы защиты – «Не Доверяй Никому!».

На первом этапе разработки политики прежде всего необходимо определиться, каким пользователям какая информация и какие сервисы должны быть доступны, какова вероятность нанесения вреда и какая защита уже имеется. Кроме этого, политика защиты должна диктовать иерархию прав доступа, т. е. пользователям следует предоставить доступ только к той информации, которая действительно нужна им для выполнения своей работы.

Политика защиты должна обязательно отражать следующее:

– контроль доступа (запрет на доступ пользователя к материалам, которыми ему не разрешено пользоваться);

– идентификацию и аутентификацию (использование паролей или других механизмов для проверки статуса пользователя);

– учет (запись всех действий пользователя в сети);

– контрольный журнал (журнал позволяет определить, когда и где произошло нарушение защиты);

– аккуратность (защита от любых случайных нарушений);

– надежность (предотвращение монополизации ресурсов системы одним пользователем);

– обмен данными (защита всех коммуникаций).

Доступ определяется политикой в отношении брандмауэров: доступ к системным ресурсам и данным из сети можно описать на уровне операционной системы и при необходимости дополнить программами защиты независимых разработчиков. Пароли могут быть самой ценной частью вашей среды защиты, но при неправильном использовании или обращении они могут стать ключом в вашу сеть. Политика правильного использования паролей особенно полезна при управлении временными бюджетами, чтобы кто-нибудь не воспользовался действительным паролем после того, как временные сотрудники или подрядчики завершили работу.

Некоторые операционные системы предлагают также такую возможность, как квалификация, т. е. вводят минимальный уровень трудности паролей. В этих системах администратор защиты может просто задать правило «Не использовать легко угадываемых паролей». Например, пароль, в котором указаны только имя и возраст пользователя, система не примет. Конечные же пользователи обычно, несмотря на все предупреждения, выбирают самые простые пути. Если им приходится иметь дело со слишком большим числом паролей, они будут использовать один и тот же пароль или задавать легко запоминаемые пароли, или, хуже того, записывать их на листке и хранить в ящике стола, а то и прилепят листок с паролем на монитор.

Изобилие устройств защиты, брандмауэров, шлюзов и VPN (виртуальная частная сеть), а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков, ведет к созданию сложной среды защиты, трудной для управления. Правила для многих из перечисленных устройств приходится часто задавать отдельно.

По мере того как крупные корпорации продолжают объединяться и поглощать более мелкие компании, среда защиты (и сеть в целом) все чаще принимает бессистемный и многоуровневый характер. Когда это происходит, управлять правилами становится нереально сложно.

Брандмауэры (как аппаратные, так и программные) позволяют определить, кто имеет право доступа в вашу сеть извне. Все брандмауэры реализуют те или иные правила; разница состоит в уровне детализации и простоте использования, обеспечиваемой интерфейсом управления. В идеале брандмауэр позволяет решить три важнейшие задачи:

– задавать правила из интуитивно понятного графического интерфейса;

– управлять доступом вплоть до уровня индивидуальных файлов и объектов;

– группировать файлы и объекты для коллективного применения к ним правил в целях упрощения управления.

На сетевом уровне управлять защитой с помощью правил можно несколькими способами. Один из распространенных способов – с помощью адресации, когда пользователи приписываются к конкретной внутренней подсети для ограничения уровня их доступа. Фильтрация пакетов позволяет пропускать или блокировать пакеты в момент пересечения ими некоторых границ в зависимости от адреса отправителя или получателя.

Системы защиты функционируют на прикладном уровне; в этом случае системы или приложения, которым адресованы пакеты, запрашивают у пользователя пароль, проверяют его и затем предоставляют доступ в соответствии с предопределенными правилами.

Итак, как вы уже поняли, основа любой защиты – системный подход. Для построения действительно эффективной защиты необходимо тщательно продумать ее. Для любого компьютера, «смотрящего» в сеть, критическое значение имеют три вещи:

– брандмауэр;

– антивирус;

– критические обновления для вашей операционной системы.

Это справедливо как для домашнего компьютера, так и для подключенного к корпоративной сети. Давайте подробнее остановимся на каждом из этих пунктов.

5.1. Брандмауэр

Брандмауэр – это средство защиты от вторжения извне и от некоторых видов взлома «изнутри». Брандмауэр – это комбинация аппаратного и программного обеспечения, используемая для защиты сети от постороннего вмешательства. С помощью брандмауэров можно существенно повысить безопасность работы в локальной сети.

В литературе о брандмауэрах можно часто встретить термин компьютер-бастион (bastion host). Название «бастион» происходит от средневекового слова, описывающего стены замка. Бастион-это специальное укрепленное место в стенах замка, предназначенное для отражения атак. Компьютер-бастион – это компьютер, который специально установлен для защиты от атак на сеть.

Проектировщики сетей используют компьютеры-бастионы в качестве первой линии обороны. Компьютер-бастион является своеобразной «заслонкой» для всех коммуникаций между сетью и Интернетом. Другими словами, ни один компьютер сети не может получить доступ к Интернету иначе, чем через компьютер-бастион, и, с другой стороны, ни один внешний (по отношению к сети) пользователь не сможет проникнуть в сеть, минуя компьютер-бастион.

При использовании центрального доступа к сети через один компьютер упрощается обеспечение безопасности сети. Более того, предоставляя доступ к Интернету только одному компьютеру сети, разработчик намного облегчает себе выбор надлежащего программного обеспечения для защиты сети. Большинство сред Unix, включая Linux, хорошо приспособлены для использования компьютера-бастиона. В среде Unix можно установить компьютер-бастион по цене рабочей станции или машины класса «сервер», поскольку операционная система уже обладает способностью поддерживать и конфигурировать IP-брандмауэр. Таким образом, вы сможете сэкономить средства, затрачиваемые на установку маршрутизатора с функциями брандмауэра (т. е. не приобретать дополнительного оборудования для сети, которое может обойтись вам в несколько тысяч долларов). Кроме того, с помощью Unix можно свободно настраивать и просматривать трафик сети.

Большинство компаний предоставляют своим служащим доступ к Интернету. Если сотрудники получают доступ к Интернету, то компании следует позаботиться о том, чтобы соединение с Интернетом происходило через брандмаз’эр. В начале этой главы было сказано, что брандмауэр представляет собой комбинацию аппаратного и программного обеспечения для защиты соединения двух и более сетей. Брандмауэр обеспечивает возможность центрального управления безопасностью сети. Обычно он строится на основе так называемого компьютера-бастиона.

В дополнение к традиционному аппаратному и программному обеспечению брандмауэров для большей безопасности можно воспользоваться экранирующим маршрутизатором, который представляет собой аппаратное и программное обеспечение для фильтрации пакетов данных, основываясь на заданном администратором критерии. Можно создать экранирующий маршрутизатор на базе ПК или компьютера, работающего под управлением Unix.

Первым уровнем защиты от вторжений в присоединенных сетях является экранирующий маршрутизатор, который выполняет фильтрацию пакетов на сетевом и канальном уровнях независимо от уровня приложений. Поэтому экранирующий маршрутизатор позволяет контролировать движение данных в сети без изменения приложений клиента или сервера.

Хотя этот маршрутизатор относительно недорог и удобен в использовании, он не может обеспечить достаточного уровня защиты. Основное его преимущество заключается в том, что он работает исключительно на сетевом и транспортном уровнях модели ISO/OSI.

Однако это палка о двух концах. Для того чтобы действительно защитить сеть от нежелательных вмешательств извне, брандмауэр должен защищать каждый уровень протокола TCP/IP. Основной недостаток экранирующих маршрутизаторов заключается в том, что они осуществляют фильтрование данных, основываясь на недостаточном объеме данных. Ограничения, накладываемые на сетевой и канальный уровни, позволяют получить доступ только к IP-адресам, номерам портов и флагам TCP. Из-за отсутствия контекстной информации у маршрутизаторов могут возникать проблемы с фильтрованием таких протоколов, как UDP.

Администраторы, которые работают с экранирующими маршрутизаторами, должны помнить, что у большинства устройств, осуществляющих фильтрацию пакетов, включая экранирующие маршрутизаторы, отсутствуют механизмы аудита и подачи сигнала тревоги. Другими словами, маршрутизаторы могут подвергаться атакам и отражать большое их количество, а администраторы даже не будут осведомлены об этом. Поэтому для защиты сетей администраторы должны дополнительно использовать другие технологии фильтрования пакетов совместно с применением брандмауэров.

Поскольку брандмауэры предоставляют возможности фильтрации данных на верхних уровнях модели ISO/OSI, а не только на сетевом и канальном, для критериев отбора можно воспользоваться полной информацией уровня приложений. В то же время фильтрация будет происходить и на сетевом, и на транспортном уровнях. Здесь брандмауэр проверяет IP- и TCP-заголовки проходящих сквозь него пакетов. Таким образом, брандмауэр отбрасывает или пропускает пакеты, основываясь на заранее определенных правилах фильтрования.

Как уже говорилось, брандмауэр контролирует взаимный доступ сетей друг к другу. Обычно брандмауэр устанавливается между локальной сетью и Интернетом. Он препятствует проникновению пользователей всего мира в частную сеть и контролирует доступ к данным, хранящимся в ней. Однако важно помнить, что брандмауэр не является отдельным оборудованием или программой, которая сделает все за вас (несмотря на все заверения поставщиков). Он всего лишь предоставляет обширные возможности для максимальной защиты сети от постороннего вмешательства, при этом не создавая особых неудобств зарегистрированным пользователям сети. Для создания самого лучшего брандмауэра достаточно просто физически отключить сеть от Интернета.

Как вы уже знаете, все сетевые коммуникации требуют физического соединения. Если сеть не будет подсоединена к Интернету, его пользователи никогда не смогут проникнуть или атаковать локальную сеть. Например, если компании требуется только внутренняя сеть, которая обеспечивает доступ к базе данных по продажам, и нет необходимости в том, чтобы в эту сеть можно было проникнуть извне, можно физически изолировать компьютерную сеть от всего остального мира.

Необходимость в брандмауэре возникает тогда, когда компания хочет соединить свою локальную сеть со всем остальным миром с помощью Интернета.

Для того чтобы удовлетворить требованиям широкого круга пользователей, существует три типа брандмауэров: сетевого уровня, уровня приложений и уровня схем. Каждый из этих трех типов использует свой, отличный от других подход к защите сети. Рассмотрите отдельно каждый тип. Ваше решение должно учитывать тип и степень защиты, требуемой для сети, а именно это и определяет необходимую конструкцию брандмауэра. Помните, что большинство брандмауэров поддерживают один или несколько уровней шифрования (encryption). Шифрование – это способ защитить передаваемую информацию от перехвата. Многие брандмауэры, которые предоставляют возможности шифрования, защищают исходящие из сети данные, автоматически зашифровывая их перед отправлением в Интернет. Кроме того, они автоматически расшифровывают приходящие данные, прежде чем отправить их в локальную сеть. Используя функции шифрования, предоставляемые брандмауэрами, можно пересылать данные через Интернет удаленным пользователям, не беспокоясь о том, что кто-то может случайно перехватить и прочесть их.

Брандмауэр сетевого уровня – это экранирующий маршрутизатор или специальный компьютер, который проверяет адреса пакетов, для того чтобы определить, пропускать пакет в локальную сеть или нет. Как уже говорилось, пакеты содержат IP-адреса отправителя и получателя, а также массу другой информации, которую использует брандмауэр для управления доступом к пакету.

Можно, например, сконфигурировать брандмауэр сетевого уровня или маршрутизатор таким образом, что он будет блокировать все сообщения, поступающие от определенного сайта конкурента, и все сообщения, отправляемые серверу конкурента из вашей сети. Обычно настройка экранирующего маршрутизатора на блокирование определенных пакетов происходит с помощью файла, который содержит IP-адреса сайтов (мест назначения), чьи пакеты следует блокировать. Когда экранирующий маршрутизатор встречает пакет, содержащий определенный в этом файле адрес, он отбрасывает пакет и не дает ему проникнуть в локальную сеть или выйти из нее. Специалисты по разработке сетей часто называют данный метод «методом черного списка» (blacklisting). Большая часть программного обеспечения экранирующих маршрутизаторов позволяет вам внести в черный список (заблокировать) сообщения от внешних сайтов (другими словами, от внешних сетей), но не от определенных пользователей или компьютеров вашей сети.

Помните, что пакет, поступающий экранирующему маршрутизатору, может содержать любое количество информации, например сообщение электронной почты, запрос Telnet на вход в систему (запрос от удаленного пользователя на доступ к вашему компьютеру). В зависимости от того, как вы составите файл экранирующего маршрутизатора, маршрутизатор сетевого уровня будет предоставлять различные функции для каждого типа запросов. Например, можно запрограммировать маршрутизатор так, чтобы пользователи Интернета могли просматривать вашу Web-страницу, но не могли использовать FTP для пересылки файлов на ваш сервер или с него. Или можно запрограммировать маршрутизатор так, чтобы он позволял пользователям Интернета загружать файлы с вашего сервера на их серверы, но не позволял загружать файлы с их серверов на ваш. Обычно экранирующий маршрутизатор программируется так, что для принятия решения о том, пропустить или не пропустить через себя пакет, им рассматривается следующая информация:

– адрес источника пакета;

– адрес места назначения пакета;

– тип протокола сеанса данных (например, TCP, UDP или ICMP);

– порт источника и порт приложения назначения для требуемой службы;

– является ли пакет запросом на соединение. Если вы правильно установили и сконфигурировали брандмауэр сетевого уровня, его работа будет достаточно быстрой и почти незаметной для пользователей. Конечно, для тех, кто находится в черном списке, это будет совсем не так.

Брандмауэр уровня приложений – обычно это персональный компьютер, который использует программное обеспечение сервера-посредника. Поэтому часто его называют сервером-посредником (proxy-server). Название «сервер-посредник» возникло от слова «proxy» – заместитель, посредник.

Серверы-посредники обеспечивают связь между пользователями локальной сети и серверами присоединенной (внешней) сети. Другими словами, сервер-посредник контролирует передачу данных между двумя сетями. В некоторых случаях он может управлять всеми сообщениями нескольких пользователей сети. Например, какой-либо пользователь сети, обладающий доступом к Интернету через сервер-посредник, будет казаться остальным компьютерам, входящим в Интернет, сервером-посредником (иначе говоря, пользователь использует TCP-адрес сервера-посредника).

В сети сервер-посредник может предоставлять доступ к определенной секретной информации (например, секретная база данных) без передачи (прямым текстом) пароля клиента. Когда вы используете брандмауэр сетевого уровня, ваша локальная сеть не соединена с Интернетом. Более того, поток данных, который перемещается по одной сети, никогда не пересекается с потоком данных, который перемещается по другой сети, поскольку сетевые кабели этих сетей не соединены друг с другом. Сервер-посредник передает отдельную копию для каждого пакета, поступающего от одной сети другой, независимо от того, содержит этот пакет входящие или выходящие данные. Брандмауэр уровня приложений эффективно маскирует источник, от которого исходит запрос на соединение, и защищает вашу сеть от пользователей Интернета, которые могут попытаться получить информацию о вашей частной сети.

Поскольку сервер-посредник распознает сетевые протоколы, можно запрограммировать его таким образом, что он будет отслеживать, какая именно служба вам требуется. Например, сервер-посредник можно настроить так, чтобы он позволял клиентам осуществлять загрузку с помощью ftp-файлов с вашего сервера, но не позволит загружать с помощью ftp-файлы на ваш сервер.

Серверы-посредники предоставляют множество функций доступа, таких как HTTP, Telnet, FTP. В отличие от маршрутизатора, нужно установить различные серверы-посредники для разных сетевых служб. Наиболее популярные серверы-посредники для сетей на базе Unix и Linux – это TIS Internet Firewall Toolkit и SOCKS. Для получения дополнительной информации о сервере-посреднике TIS Internet Firewall Toolkit посетите Web-сайт по адресу http://www.tis.com/docs/products/fivtk/index.html.

Если вы используете сервер на базе Windows NT, то поддержку сервера-посредника осуществляет как Microsoft Internet Information Server, так и Netscape Commerce Server. После того как вы установите сервер-посредник уровня приложений, пользователи вашей сети должны будут использовать программное обеспечение клиентов, поддерживающее работу с сервером-посредником.

Проектировщики сетей создали множество протоколов TCP/IP, включая HTTP, FTP и другие, в которых осуществлена поддержка сервера-посредника. В большинстве Web-браузеров пользователи могут с легкостью сконфигурировать их на поддержку сервера-посредника, используя предпочтения программного обеспечения браузеров. К сожалению, остальные протоколы Интернета не способны поддерживать серверы-посредники. В таких случаях вы должны выбрать приложение для работы в Интернете, основываясь на том, совместимо оно или нет со стандартными протоколами посредников. Например, приложения, которые поддерживают протокол посредников SOCKS, являются хорошим выбором, если вся ваша сеть базируется на SOCKS.

Когда вы устанавливаете брандмауэр уровня приложений, вам следует также оценить, будут ли пользователи вашей сети использовать программное обеспечение клиента, которое поддерживает службы посредника. Брандмауэр уровня приложений предоставляет возможность легко проследить типы и количество передач данных на вашем сайте. Так как брандмауэры уровня приложений устанавливают определенное физическое разделение между локальной сетью и Интернетом, они отвечают самым высоким требованиям безопасности. Однако, поскольку программа должна анализировать пакеты и принимать решения относительно контроля доступа к ним, брандмауэры уровня приложений неизбежно уменьшают производительность сети. Другими словами, они работают значительно медленнее, чем брандмауэры сетевого уровня.

Если вы решите использовать брандмауэр уровня приложений, вам следует использовать в качестве сервера-посредника более быстрый компьютер.

Брандмауэр уровня связи похож на брандмауэр уровня приложений в том смысле, что оба они являются серверами-посредниками. Различие заключается в том, что брандмауэр уровня связи не требует специальных приложений для связи между сервером-посредником и клиентом. Как уже упоминалось, брандмауэры уровня приложений требуют специального программного обеспечения сервера-посредника для каждой сетевой службы вроде FTP или HTTP.

Брандмауэр уровня связи создает связь между клиентом и сервером, не требуя того, чтобы приложения знали что-либо о предоставляемой службе. Другими словами, клиент и сервер сообщаются через брандмауэр уровня связи без сообщения с самим брандмауэром. Брандмауэры уровня связи защищают только начальный этап транзакции и не вмешиваются в ее дальнейший ход.

Преимущество брандмауэров уровня связи состоит в том, что они обслуживают большое количество протоколов. Как вы уже знаете, брандмауэр уровня приложений требует отдельного посредника уровня приложений для каждого типа сервиса, который осуществляется брандмауэром. С другой стороны, если вы используете брандмауэр уровня связи для HTTP, FTP или Telnet, вам не требуется менять существующие приложения или добавлять новые серверы-посредники для каждой службы. Брандмауэр уровня связи позволяет пользователям работу с имеющимся программным обеспечением.

В дополнение к этому брандмауэры уровня связи используют только один сервер-посредник. Как и следует ожидать, использование одного сервера-посредника оказывается значительно легче, чем установка нескольких.

Итак, от теории перейдем к практике. Рассмотрим усиление персональной защиты для вашего компьютера с помощью широко известного Agnitum Outpost Firewall 2.1. Это несомненный лидер среди семейства персональных брандмауэров, неоднократно блестяще подтверждавший свою репутацию. Отмечу, что речь идет не о профессиональном брандмауэре, устанавливаемом на сервере, а именно о персональной защите. Хотя автор имеет опыт использования этой программы и на серверах, все же серверная защита – дело для других программ.

Agnitum Outpost Firewall (http://www.agnitum.com/ products/outpost/) – один из самых молодых представителей данного класса программ. Но, несмотря на свою молодость, является серьезным конкурентом даже для Zone Alarm. He так давно вышедшая из бета-тестирования программа, поселилась на компьютерах у многих пользователей сети Интернет и, похоже, большинство не собирается расставаться с данным программным продуктом.

Широкая популярность программы вполне понятна: мощный файрволл, возможность подключения дополнительных модулей, причем все, что может потребоваться обычному пользователю, уже есть с момента установки, и вдобавок один из решающих моментов при выборе программы – русский интерфейс.

Его можно сравнить с замком на двери вашего дома. Наверняка большинству ваших соседей вы доверяете, не опасаясь, что они вторгнутся в ваш дом, испортят или украдут что-нибудь. Обычно только некоторые из них не заслуживают доверия. Однако, если ваш район является густонаселенным, количество неблагонадежных людей увеличивается.

В Интернете мы наблюдаем сходную ситуацию, только количество соседей исчисляется сотнями миллионов. Лишь небольшой процент от этого количества людей имеет хулиганские наклонности, но это уже много. Outpost Firewall не только закрывает «двери» вашего компьютера, но и делает его невидимым в Интернете. В обычных условиях компьютер пересылает по сети свой адрес. Это как табличка с номером вашего дома или номерной знак вашего автомобиля. Этот адрес могут видеть другие пользователи. Outpost делает его невидимым в Интернете, в том числе и для хакеров: они просто не смогут определить, что ваш компьютер подключен к сети.

Основные достоинства Outpost Firewall:

– защищает компьютер сразу после установки;

– имеет настройки по умолчанию для новых пользователей;

– оптимальная защита действует автоматически во время установки;

– опытные пользователи могут настраивать файрволл по своему желанию;

– делает компьютер невидимым в сети Интернет;

– защищает открытые порты компьютера от вторжений;

– пользователь может назначать перечень доверенных приложений;

– применение подключаемых модулей для повышения функциональности файрволла;

– блокирует рекламные Интернет-объявления (баннеры, или всплывающие окна), которые могут отвлекать вас или замедлять скорость соединения;

– защищает компьютер от контролирования с удаленного узла;

– предупреждает пользователя о попытке скрытого приложения послать «ответный сигнал» хакеру;

– поддерживает все последние версии Windows, сохраняя свои функции в случае обновления системы;

– для своей работы использует мало системных ресурсов и существенно не повлияет на производительность вашей системы;

– Журнал Событий позволяет видеть любое событие, происходящее внутри системы;

– успешно пройдены известные «тесты на уязвимость»;

– многоязыковая поддержка: Outpost Firewall поставляется на 14 языках, в том числе и на русском языке.

– 

Внешний вид программы абсолютно ничем не выделяется среди приложений Windows, все строго. Окно программы разбито на три основные части: полоска главного меню вверху; слева находятся основные компоненты, такие как соединения, лог-файлы и подключаемые модули; справа – информационная панель.

Сразу после установки Outpost Firewall следует заглянуть в «Параметры». Там можно определить, нужно ли запускать программу вместе с загрузкой операционной системы, следует ли защищать настройки паролем, добавить основные приложения, которым потребуется обеспечить возможность доступа в Интернет, установить общие правила для «активных» приложений, разобраться с политикой программы и настроить/загрузить дополнительные модули.

Вместе с Outpost Firewall pro идут б дополнительных модулей – Реклама, Содержимое, DNS, Активное содержимое, Защита файлов, Детектор атак:

– Реклама. Модуль служит для очищения HTML-страниц от навязчивых рекламных баннеров, задача которых по мнению многих пользователей откусить для себя побольше трафика. Метод борьбы довольно прост: либо срезать заранее описанную строчку из html-кода, либо вырезать рисунок по определенному размеру, который вы сами можете задать. Если баннер все равно продолжает раздражать, то для этого есть специальная корзина, в которую обычным переносом его можно отправить;

– DNS. Данный модуль производит сохранения DNS-имен для последующего использования в модуле Активное содержимое;

– Активное содержимое. Этот модуль управляет работой следующих элементов: ActiveX; Java-апплеты; программы на языках Java Script и VB Script; cookie; всплывающие окна; ссылки (referers), т. е. возможность получения URL, с которого перешли на данную Web-страницу. Что следует запретить или разрешить, уже решать вам, но очень рекомендую обратить внимание на пункт «Всплывающие окна». Но не стоит забывать, чем больше запретов на содержимое web-страницы вы установили, тем меньше шансов увидеть ее в том виде, в котором планировал ее автор;

– Защита файлов. Модуль предназначен для организации проверки поступающих на ваш почтовый ящик прикрепленных файлов. Вы можете задать проверку файла на вирусы, либо получить оповещение от Outpost Firewall.

Для каждого типа файлов можно создать свое правило;

– Детектор Атак. Модуль позволяет задать условия, при которых выдается предупреждение, когда на ваш компьютер совершается атака. Существует три основных уровня:

параноидальный уровень тревоги – предупреждение выдается в случае, если обнаружено даже единичное сканирование порта;

обычный уровень тревоги – предупреждение выдается в случае, если осуществляется сканирование нескольких портов или портов с определенными в системе номерами (т. е. в тех ситуациях, которые система распознает как атаку на компьютер); безразличный уровень тревоги – предупреждение выдается в случае однозначной множественной атаки. Для скачивания новых версий компонентов программы с сайта-разработчика удобно воспользоваться системой автоматического обновления, так что у вас всегда будет свежая версия программы.

Итак, если вам необходим непробиваемый персональный брандмауэр с расширенными настройками, полезными подключаемыми модулями и русским интерфейсом, то Outpost Firewall pro для вас.

Outpost Firewall работает со всеми версиями Windows, в том числе и Windows XP. Правда, компания-разработчик требует за все удовольствие 500 руб., но это не повод впадать в отчаяние. Существует бесплатная версия программы, которая лишена некоторых дополнительных функций, но все равно остается прекрасным персональным брандмауэром. Кстати, на мой взгляд 500 руб. вполне реальная сумма для покупки этой программы, особенно тем, кто активно использует Интернет.

Теперь рассмотрим настройку этой программы.

Часть настроек осуществляется непосредственно на стадии установки продукта: Outpost осуществит поиск программ, осуществляющих обмен данными через Сеть, и создаст для них нужные на его взгляд правила. Пользователю предлагается принять данные условия, поставив флаг в переключателе. Список программ, выходящих в Сеть, доступен для просмотра при нажатии кнопки Подробнее.

В показанном на рисунке случае этот список довольно велик. Например, абсолютно не нужно, чтобы, например, Adobe Acrobat без моего ведома соединялся со своим сервером на предмет проверки обновлений, по какой причине и был снят флаг напротив этого продукта: понадобится – включим. Радует, что еще на стадии установки Outpost озаботился созданием правил для всех браузеров почтовых и FTP-клиентов, имеющихся в системе.

На следующем этапе предлагается принять правила для сетевых подключений, если таковые имеются. Любопытство в этом плане удовлетворяется нажатием знакомой кнопки «Подробнее».

Кажущаяся чрезмерная подозрительность Outpost объяснима: если в системе поселился шпионский модуль (помните о взломах «изнутри»?) или другое нежелательное приложение, гораздо проще запретить сетевую активность недруга на самой начальной стадии.

Теперь настроим главные параметры брандмауэра, для чего в меню «Параметры» главного окна выберем команду «Общие» (F2). По умолчанию выбран «Обычный режим» загрузки программы, при котором Outpost включается каждый раз при загрузке операционной системы и размещает свой значок в область уведомлений.

Для загрузки в фоновом режиме следует отметить одноименный параметр секции «Загрузка», а если по каким-либо причинам автоматический запуск брандмауэра нежелателен, достаточно включить опцию «Не загружать».

Все настройки программы можно защитить паролем. Я бы не советовал пренебрегать этой возможностью: безопасность компьютера легкомыслия не терпит.

В секции «Защита» паролем нужно отметить опцию «Включить» и при помощи кнопки «Задать» ввести необходимые символы.

Затем в окне параметров перейдем на вкладку «Политики», где указаны 5 режимов работы программы. Режим «Разрешить» даст свободу всем приложениям, которые не были явно запрещены, т. е. не находились в списке «Запрещенных приложений»; в режиме «Блокировать» будут запрещены все приложения, которые явно не разрешены; режим «Запрещать» однозначно закроет выход в сеть всем приложениям, а режим «Отключить» усыпит окончательно всяческую бдительность Outpost Firewall.

По умолчанию выбран режим обучения: в этом случае пользователю каждый раз предлагается либо принять готовое правило для какого-либо приложения (например, для стандартного e-mail клиента), либо самому создать такое правило, либо безоговорочно запретить тому или иному приложению сетевую активность. Этот режим как нельзя более подходит для подавляющего большинства пользователей.

Теперь о настройке приложений и создании правил. Настройкой приложений ведает одноименная вкладка окна параметров (рис. 3). В разделе «Пользовательский уровень» указаны все приложения, которым разрешена сетевая активность. Но нередко возникают сомнения в том, нужно ли, например, разрешать выход в Сеть для DWWIN.EXE. Чтобы узнать «настоящее имя разведчика», следует выделить имя приложения, нажать кнопку «Изменить» и в выпадающем меню выбрать команду «Создать правило».

В открывшемся окне мне рассказали, что приложение DWWIN.EXE есть не что иное, как Microsoft Application Error Reporting, соединяющееся по протоколу TCP с известным всем сервером. Я предпочитаю обходиться без отправки отчетов об ошибках. Поэтому и запретил запуск DWWIN.EXE командой «Изменить» › «Запретить» запуск этого приложения. Для многих программ в Outpost изначально заложены оптимальные правила. Например, если вы решили установить и запустить Outlook Express, файрволл тут же предложит разрешить активность этому приложению на основе готового правила именно для данного почтового клиента.

Содержание готового правила нетрудно просмотреть, если пройти знакомым путем: кнопка «Изменить» › команда «Создать правило». Например, для программы CuteFTP Pro файрволл разрешает исходящее соединение для удаленного FTP-сервера по протоколу TCP.

Теперь попробуем на двух конкретных примерах создать правила для приложений. При запуске известного Р2Р-клиента eMule файрволл предлагает пользователю сделать выбор, что делать с этим приложением. В данном случае «ослик» стремится соединиться с IP-адресом 207.44.142.33 через порт 4661 (рис. 4.).

Представим, что это не eMule, а некая программа, которой разрешено выходить в Сеть, но не на всякий адрес. Тогда выберем единственный параметр «Другие» и нажмем кнопку «ОК», после чего откроется окно создания правила с описанием того, что именно пыталась сделать эта программа.

Разумеется, показанная активность mule абсолютно нормальна, более того, нами приветствуется, посему выберем «Разрешить эти данные», после чего у нас будет правило вида EMULE Правило# 1, описывающее и разрешающее именно этот тип активности приложения (рис. 5).

В следующий раз, если активность будет иного рода (другой удаленный адрес, протокол или порт), нужно будет эти манипуляции повторить.

Если же сетевая активность, которая запрашивает выход в Сеть, недопустима (например, нас не устраивает удаленный адрес), то в диалоге редактирования правила следует выбрать «Блокировать». В следующий раз (в нашем примере – в случае другого, угодного IP-адреса) мы можем создать правило, напротив, разрешающее такую активность. В конце концов, когда приложение исчерпает все виды своей типичной активности, у нас будут созданы все правила, описывающее это приложение.

Другой пример: бдительный Outpost предупредил меня о том, что компьютер пытается установить соединение по так называемому IGMP-протоколу с удаленным адресом 224.0.0.22 и предлагает мне подтвердить его право на это. С одной стороны, у меня нет оснований не доверять Outpost, с другой – здесь уже есть над чем подумать.

В данном случае моя операционная система посылает так называемый «широковещательный» пакет с целью сообщить всем компьютерам моей локальной домашней сети о включении моего компьютера, и не более того. Если же у вас нет сети и ваше подключение к провайдеру осуществляется напрямую, то этот пакет и сообщение предназначены именно провайдеру. Другими словами, это не что иное, как активность Windows. Если у вас постоянный IP-адрес и вы не хотите, чтобы в вашей сети знали, что вы «вышли в свет», то такую активность лучше запретить. Что касается адреса 224.0.0.22, то это стандартный адрес, используемый Windows в данном случае: программа маршрутизации периодически посылает запросы рабочей группе для запроса принадлежности той или иной машины к данной локальной сети.

Перейдем к настройке сетевых параметров. Вкладка «Системные». По умолчанию Outpost автоматически находит и применяет новые настройки сетевых подключений, разрешая все NetBIOS-соединения. Доверять или нет тому или иному локальному адресу – решать вам (секция «Настройки Сети»).

В секции «ICMP» › «Параметры» расположены настройки для сообщений протокола ICMP, которые передаются при возникновении различных ситуаций, в том числе и ошибочных. Они генерируются программами, анализирующими состояние Сети, в том числе ping и traceroute. Для нормальной работы в Интернете нужно обеспечить прием трех типов ICMP-сообщений («эхо-ответ», «получатель недоступен» и «для датаграммы превышено вре-мя»),и отправку двух («получатель недоступен» и «эхо-запрос»). Прием и отправку остальных сообщений желательно отключить – тогда они будут заблокированы.

Outpost по умолчанию использует именно эти настройки, поэтому ничего перенастраивать не придется. Однако, если вы опытный пользователь и вам необходимо разрешить прием или отправку заблокированных файрволлом ICMP-сообщений, вы без труда сможете это сделать одним щелчком мыши в соответствующем окне настроек (рис. 6).

Режим невидимости включен по умолчанию (секция «Режим работы»), а параметры для редактирования общих правил расположены в одноименной секции. По моему скромному мнению нужды изменять общие правила, заложенные разработчиками, нет.

Как уже говорилось выше, Agnitum Outpost Firewall имеет модульную структуру, т. е. имеет возможность подключать какие-то исполняемые модули. Рассмотрим настройки основных плагинов.

Модуль «Интерактивные элементы» умеет блокировать нежелательные элементы ActiveX, Java-аплеты и всплывающие окна (по умолчанию разрешено все). Для вызова настроек следует выделить название данного модуля и выбрать команду «Свойства» контекстного меню (рис. 7). Там же можно запретить вызов неугодных URL: вкладка «Исключения» › кнопка «Добавить».

Плагин «Детектор атак» включен по умолчанию и является одним из главных и самых полезных инструментов данного файрволла. В контекстном меню выберем команду «Параметры» и откроем окно настроек детектора атак. При помощи движка установим один из трех уровней тревога, при котором программа выдаст предупреждение.

По умолчанию выбран уровень, при котором атака распознается при сканировании нескольких портов. Нелишне отметить опции «Блокировать атакующего», «Блокировать подсеть атакующего» и «Блокировать локальный порт, если обнаружена DoS-атака». Вся информация о попытках подключиться к вашему компьютеру будет отображаться в информационной панели справа. Рассмотрим более подробно два примера из практики.

Если Outpost информирует о запросах на соединение, но показывает нулевые значения для атак и сканирований портов, можно не беспокоиться – это обычная сетевая активность. Конечно, компьютер локальной сети с показываемым в сообщении адресом может быть заражен вирусом. Но это не атака.

Но не всегда жизнь столь безоблачна: на рис. 8. (скриншот из предыдущей версии программы) показан пример реальной атаки RST, причем Outpost мгновенно выдает информацию об IP атакующего и реальном URL.

Настройки модуля «Реклама» дают возможность блокировки рекламы как по HTML-строкам, так и по размеру баннеров (по умолчанию оба параметра включены). Инструмент «Корзина» для рекламы удобен при серфинге: достаточно перетащить неугодный баннер в эту корзину, чтобы навсегда избавить себя от конкретной рекламы.

На вкладке «Общие» в окне параметров можно добавить список доверенных сайтов, баннеры которых не будут блокироваться.

Модуль «Содержимое» позволяет осуществить «тонкую» настройку запрета к тем или иным Интернет-страницам. На вкладке «Блокировка по содержимому» достаточно ввести «похабные» словеса, чтобы страница, эти строки содержащая, не отображалась браузером: очень полезно для чадолюбивых родителей…

На вкладке «Блокировка Web-сайтов» домашний сисадмин может ввести группу из запретных URL, созерцание которых домашними нежелательно.

Конечно же такой программе необходим журнал, где будут вестись логии работы. Окно Журнала Outpost служит для просмотра текущей информации, предоставляемой файрволлом.

Для вызова «Журнала» нужно открыть меню «Сервис» главного окна и выбрать команду «Просмотр Журнала» либо воспользоваться кнопкой «Показать Журнал» в информационной панели.

Более того, может быть просмотрена вся отчетность о проделанной работе за тот или иной период: например, какие атаки предпринимались (и были ли вообще); какие подозрительные пакеты прошли перед недреманым оком Outpost и пр.