Что такое брандмауэр и как он работает?

Сами по себе брандмауэры не являются средствами удаления вирусов. Но в сочетании с продуманной стратегией защиты они могут превратить ваш компьютер в неприступную крепость.

Сегодня брандмауэры подвергаются серьезной критике в Интернете. Некоторые сайты даже предлагают удалять подобные программы с компьютера,   поскольку они не предоставляют никакой защиты, а только расходуют ресурсы. Но согласиться с таким мнением можно лишь в том случае,  если рассматривать брандмауэры изолированно. На практике же компьютеру необходима всесторонняя защита, и межсетевой экран представляет собой один из ее важных элементов. Мы расскажем, как работают брандмауэры, как их можно перехитрить и как включить в комплексную стратегию защиты дополнительные утилиты.

В больших компаниях, как правило, используются аппаратные брандмауэры. Домашние пользователи прибегают к различным утилитам, таким, например, как ZoneAlarm, или активируют сетевой экран, встроенный в Windows. Кроме того, большинство WLAN-роутеров, например RangeMax N150 от Netgear, оснащены собственным аппаратным брандмауэром.

Все эти решения изучают входя¬щие и исходящие пакеты данных и фильтруют их в случае необходимости. К важной для брандмауэров информации относятся IP-адреса исходного и целевого компьютеров, а также данные о том,через какой порт и посредством какого протокола отправляется или принимается пакет.

Сетевой экран все отфильтрует

Кроме того, в персональных межсетевых экранах присутствует фильтр приложений (Application Control), с помощью которого можно разрешить или запретить установленному ПО доступ к Интернету. Многие программные брандмауэры предлагают дополнительные возможности - например, режим самообучения, который подстраивает правила фильтрации под поведение пользователя. Контент- фильтры блокируют  компоненты ActiveX, Java-скрипты и прочие подобные элементы. Как правило такие брандмауэры помечаются как веб-щит (Webshield или  Web Application Firewall). Между тем наиболее востребованными являются версии, оснащенные режимом «Невидимка» (Stealth Mode), в   котором брандмауэр просто блокирует все запросы к неиспользуемым портам.

 Важной функцией, которую можно найти почти во всех аппаратных сетевых экранах, является «Фильтрация с учетом контекста», или SPI (Stateful Packet Inspection). Она динамически расширяет привычные фиксированные правила фильтрации. Например, при запуске браузера параллельно создаются несколько соединений и открываются различные службы, которые нередко одновременно отправляют и получают пакеты данных. При проверке такого пакета SPI присваивает соединению статус. При этом определяется ряд параметров. Относится ли этот пакет к установленному соединению? Требуется ли браузеру получение ответных данных? На основании этих и многих других запросов брандмауэр решает, стоит ли блокировать или пропустить тот или иной пакет данных.

 Вне зависимости от того, какой тип фильтрации использует сетевой экран, цель у него одна - заблокировать подозрительные пакеты, которые направляются из Интернета на компьютер, то есть защитить ПК от внешних атак. Если вредоносное ПО уже попало на жесткий диск, брандмауэр бессилен, хотя производители и уверяют в обратном. О том, почему это может произойти, мы расскажем в следующем разделе.

Обхитрить брандмауэр

Многие считают, что фильтрация пакетов надежно защищает компьютер. Однако это не так: те, кто знает, как она работает, легко могут   ее обхитрить. Это делается следующим образом.

АТАКА ИЗВНЕ

Прежде чем хакер обойдет брандмауэр, ему нужно выяснить, какие уязвимости имеются на вашем компьютере. Это может быть   дыра в браузере, неправильная конфигурация службы Windows или открытые для сети файловые хранилища и даже средства печати. Чаще   всего атака происходит следующим образом: пользователь открывает файл, прикрепленный к электронному письму от неизвестного   отправителя, и подхватывает троян. Либо он посещает вебстраницу, которая содержит вредоносный код и атакует ПК. Брандмауэр не может   контролировать подобные действия, ведь никто не станет создавать правило фильтрации, блокирующее почтовому клиенту доступ в   Интернет. Поэтому, если Outlook получает почту с трояном, сетевой экран беспрепятственно пропускает зараженное электронное письмо.

АТАКА ИЗНУТРИ

Когда троян попадает на ПК, он приобретает все права пользователя и может маскироваться под системную службу. Но вы способны   самостоятельно обнаружить его, поскольку троянские программы отличаются по принципу действия от распространенных приложений   удаленного контроля компьютера.
Разработчики популярной утилиты для удаленного администрирования TeamViewer рекламируют ее как программу, для которой брандмауэры, NAT - роутеры и заблокированные порты не представляют никакой проблемы. TeamViewer устанавливается как служба Windows и получает те
  же права, что и пользователь системы. Кроме того, TeamViewer осуществляет обмен данными через важный для HTTP-соединений порт 80, который практически никогда не закрывается, ведь в таком случае интернет-соединение будет прервано. Таким образом, брандмауэр абсолютно беспомощен против TeamViewer, поскольку не может заблокировать ни Windows, ни доступ в Сеть.

Превращение компьютера в крепость

Возникает закономерный вопрос: зачем же тогда нужен брандмауэр? Ответ прост: если правильно его настроить, он станет важным компонентом безопасности системы и не даст хакерам узнать о ее уязвимостях. Однако против троянов и других подобных вредоносных программ он бессилен — вам понадобятся дополнительные инструменты, в том числе и для борьбы с опасным ПО, которое, возможно, уже поселилось на вашем жестком диске.Поведение выдаст шпионаПостройте на основании описанных сценариев атак защитную стену, которая действительно отразит все угрозы.

 ВСЕ ОТКЛЮЧИТЬ

 Для демонстрации настройки брандмауэра мы будем использовать программу PC Tools Firewall Plus. Для коммерческих решений, таких как Dr.Web Security Space Pro, можно использовать настройки, рекомен-дованные производителем, которые, впрочем, всегда можно изменить в соответствии с установленными на вашем ПК приложениями и их требованиями к работе в Сети.

Заметим, что вы также можете пользоваться аппаратным брандмауэром или сетевым экраном в маршрутизаторе. Отключать их не нужно, тем более если к роутеру подсоединены такие устройства, как жесткий диск NAS, поскольку это негативно отразится на их защищенности. При этом персональный брандмауэр Windows либо установленный вами другой защитник не будут конфликтовать с ними, а успешно дополнят друг друга.

При установке PC Tools Firewall Plus откажитесь от «Spyware Doctor» и выберите режим опытного   пользователя. По завершении установки кликните по значку утилиты на Панели задач. В программе выберите пункт «Настройки» и на   вкладке «Общие» передвиньте ползунок в положение «Блокировать все». Кроме того, нужно снять галочку с пункта «Автоматически   разрешать известные приложения», так как троян может замаскироваться под одно из них. Проверить это можно в Диспетчере задач   Windows, открыв его с помощью сочетания клавиш «Ctrl+Alt+Del». На вкладке «Сеть» на графике активности не должно быть показано ни   одного отправленного или полученного пакета данных.

 УСТАНОВКА ПРАВИЛ.

Теперь, когда компьютер изолирован, передвиньте указанный ползунок в положение «Запросить». Затем запустите веб-браузер и разблокируйте для него соединение с Интернетом, нажав на «Разрешить». 

На вкладке «Приложения» в колонках «Входящие» и «Исходящие» позволяется дополнительно определить возможности программы: только отправка данных,только получение или выполнение обеих функций. При активации установки «На основании правила» брандмауэр учитывает эти индивидуально заданные параметры фильтрации.

Аналогичным образом последовательно настройте разрешения для почтового клиента, антивируса и других программ, которым обычно требуется доступ в Интернет. При этом блокируйте все, что вам незнакомо. Если вам ничего не говорит название указанной в окне «Приложения» программы или службы, поищите информацию о ней в Интернете. Кроме того, в окне «Работа» можно выяснить, через какой порт неизвестная утилита обменивается данными и, нажав на «Подключения», в колонке «Удаленный адрес» увидеть IP целевого компьютера. Введите его на сайте http://www.domaintools.com/reverse-ip/ — и вы узнаете, что скрывается за этими цифрами.

КОНТРОЛЬ ЗА БРАНДМАУЭРОМ.

Напоследок нужно убедиться, что брандмауэр действительно делает ваш компьютер невидимым для хакеров. Зайдите на сайт www.securitymetrics.com/portscan.adp и осуществите бесплатное сканирование портов («Run FREE Post Scan»). Таким образом вы узнаете, может ли злоумышленник получить какую-либо информацию о вашем компьютере, и если да, то какую именно. Если брандмауэр настроен правильно, шпион останется ни с чем.

Далее изучите файл протокола брандмауэра. Благодаря ему вы узнаете, когда был отправлен и получен тот или иной пакет данных, был ли   он блокирован или пропущен, через какой порт осуществлялась передача и кто его принял. В программе PC Tools Firewall откройте окно   «История». Исходящие пакеты будут отмечены голубой стрелкой, входящие — зеленой. Указанный в колонке «Вв/Вн» IP-адрес можно   расшифровать с помощью указанного выше сервиса поиска. Информацию о популярности того или иного порта у троянов можно найти в   Интернете.Теперь на вашем ПК все под контролем. Хакеры больше не смогут идентифицировать компьютер извне и, соответственно, не обнаружат   уязвимостей. Чтобы защититься от внутренних атак, установите дополнительные программы.

УЛУЧШЕННАЯ ЗАШИТА.

Если, несмотря на правильно настроенный брандмауэр, вредоносная программа все-таки попала на жесткий диск, распознать и удалить ее поможет антивирус. Но от него будет толк только тогда,когда его производителю известно данное опасное ПО. Вэтом случае разрабатывается сигнатура, благодаря которой утилита может распознать вирус. Против пока еще неизвестных программ, так называемых «угроз нулевого дня», помогут утилиты с функциями проактивной защиты, анализирующие поведение приложений и процессов и блокирующие несанкционированные изменения в системе. На этом построена защита в программном комплексе «Safe'n Sec Персональный». 

Однако его лучше устанавливать вместе с каким-нибудь антивирусным сканером. Есть еще одна интересная утилита — Snort. Она подходит для разоблачения троянов, поскольку контролирует поток данных непосредственно на сетевой карте.Боритесь с уязвимостями. Обязательно включите автоматическое обновление Windows. Залатать дыры в уже установленных приложениях   можно с помощью утилиты Personal Software Inspector от Secunia, специализирующейся на исправлениях в сфере безопасности. Эта   программа бесплатная, легкая и имеет русскоязычный интерфейс.

Однако все эти защитные меры будут совершенно бесполезны, если вы бездумно открываете письма от неизвестных отправителей или посещаете сомнительные сайты. Ничто и никто не защитит ваш компьютер лучше, чем вы сами.