Firewall для домашних сетей
Алексей Кошелев
Проблемы безопасности при соединении с Интернетом
Что такое Firewall
Реализации firewall
Norton Internet Security 2000 (NIS)
BlackICE Defender (BID)
Аппаратные Firewall
С быстрым ростом Интернета проблема безопасности малых сетей и домашних пользователей не менее актуальна, чем, скажем, безопасность сетей крупных компаний. Если ваши сеть или компьютер являются частью большой корпоративной сети, то, скорее всего, firewall вам уже не нужен, поскольку большая сеть, как правило, бывает защищена. В том же случае, когда вы не знаете точно, есть ли внешний firewall, или когда вы подсоединяетесь к сети через провайдера (у Интернет-провайдеров не всегда установлен firewall, так как это ухудшает пропускную способность шлюза), то, наверное, имеет смысл самому позаботиться о защите своей сети или компьютера. Кстати, нужно понимать, что, подключаясь к Интернету по модему, вы тоже становитесь полноценным Интернет-узлом. Модемное подключение отличается от кабельного лишь тем, что оно в большинстве случаев не постоянно.
В данной статье я постараюсь кратко объяснить, что такое firewall, как он работает, почему его необходимо устанавливать, и опишу функции некоторых программ. В основном речь пойдет о Windows (95/98/NT/2000/…), поскольку сегодня это наиболее распространенная операционная система. Кратко будут упомянуты программы, работающие под UNIX (в частности Linux). Для того чтобы понять, зачем нужен firewall, необходимо ответить на вопрос: от чего нужно защищаться при работе в сети?
Проблемы безопасности при соединении с Интернетом
Подключаясь к Интернету, вы физически соединяетесь с более чем 50 тыс. неизвестных сетей и всеми их пользователями. В то время как такое соединение открывает путь ко многим полезным программам и обеспечивает огромные возможности разделения информации, ваша сеть или личный компьютер тоже становятся доступными для пользователей Интернета. Основной вопрос: насколько ресурсы вашей сети доступны и насколько они могут быть доступны (далее я не буду разделять малую сеть и отдельный домашний компьютер, пока это не принципиально)? Еще один вопрос: как защищен ваш компьютер от вторжения? Стоит заметить, что те, кто зовет себя хакерами, обычно не стремятся завладеть информацией — им интересен сам процесс взлома системы. Иногда это приводит к порче информации, хранящейся на вашем компьютере. Редко, но иногда все же именно порча информации является целью взлома системы. При этом, в отличие от корпоративных сетей, методы и способы проникновения в малую сеть или домашний компьютер более прозаичны. Вот некоторые из них.
- Вам присылают с виду безобидные письма с аттачментом, например таким:
pricelist.zip .exe
Обратите внимание на .exe в конце строки. При этом все почтовые клиенты по получении такого письма отобразят только pricelist.zip, но при открытии этого файла вместо запуска архиватора выполнят его.
- Вы не устанавливаете бесплатные обновления к Internet Explorer, хотя все давно знают, что в самом Windows и в IE, в частности, основной проблемой является безопасность системы.
- Вы используете непроверенные программы, например экранные заставки. Они очень часто содержат троянских коней, то есть программный код, который исподтишка выполняет ненужные вам и направленные против вас действия, например отсылает по сети пароли.
- Отдельно заметим, что Windows в отличие от UNIX страдает тем, что устройство файловой системы и ядра системы позволяют создавать вирусы. Причем как безобидные, так и весьма разрушительные. Эти вирусы могут быть в выполняемых файлах, скриптах, даже в офисных документах. И возможность проверки приходящих писем и скачиваемых файлов на вирусы является просто необходимой.
Конечно, в отношении домашнего компьютера можно применять и более низкоуровневые методы, связанные с конкретным обращением к портам. Происходит это следующим образом. Взломщик сканирует ваш компьютер на свободные и незащищенные порты, то есть порты, которые не отвечают при приеме пакетов. Первое, что при этом может произойти, — это переполнение сетевого стека (место временного хранения пакетов) и, как следствие, сбой в работе машины (обычно зависание). Такого эффекта можно добиться, если послать слишком много пакетов. Кроме того, такой пустой порт может быть использован для общения с вашим компьютером. Имеется в виду доступ к файлам, паролям, возможность изменять файлы, например класть на диск зараженные вирусом программы. Возможен и более сложный механизм: сначала переполняется стек, а затем, когда работа сетевых программ уже нарушена, происходит вторжение через стандартные порты. Отметим сразу, что желательно отключить возможность разделения файлов и принтеров на домашнем компьютере. Для этого нужно в Windows открыть Панель Управления (Control Panel), в разделе Сеть (Network) войти в раздел Разделение Файлов и Принтеров (File abd Print Sharing) и убрать выделение с пунктов:
- I want to be able to give others access to my files;
- I want to be able to allow others to print to my printer(s).
Вообще желательно, по возможности, отключать все, что может дать повод для вторжения или ослабить защиту самой системы. Конечно, при условии, что эта функция вам не нужна. Выше как раз дано описание такой функции, которая совсем не нужна в случае одного домашнего компьютера, особенно при модемном подключении.
Можно задаться вопросом: а зачем взламывать домашний компьютер? Основных причин, на мой взгляд, две. На первом месте, как я уже говорил, — интерес к самому процессу взлома. Еще одной причиной стало то, что в последнее время люди нередко используют подключение к Интернету для доступа к рабочей информации и работе с ней. Возможно, такая информация может представлять интерес. Так или иначе, в ваших интересах защитить свой домашний компьютер, даже если на нем нет конфиденциальной информации. защита необходима тем более, если вы реально используете выход в Интернет для доступа к информации на другом компьютере. Именно для такой защиты и существует firewall.
Что такое Firewall
Я не буду вдаваться в технические подробности, связанные с сетевым стеком, способами фильтрации и тому подобными тонкостями. Тем более что ранее была опубликована статья «Защита сетей и firewall», где firewall был описан довольно подробно. Коротко Firewall можно определить как точку разделения вашей сети или компьютера и Интернета. Этой точкой может быть компьютер, на котором запущен программный firewall или аппаратно реализованный firewall. Если у вас один компьютер, то firewall — это просто программа, запущенная на нем.
В чем же идея? Напомним, как происходит передача данных в Интернет. Все данные передаются с помощью IP-протокола. Передача происходит порциями — пакетами. В каждом пакете есть заголовок, содержащий адрес отправителя, адрес получателя, номер сетевого порта, ссылку на предыдущий пакет, контрольную информацию, необходимую для сохранности данных, и сами данные. Первые три пункта (адреса и порт) необходимы для того, чтобы пакет вообще дошел. Номер порта связан с определенной программой. Так, telnet работает с портом 22, http-протокол — с портом 80. Всего портов 65 535. Ссылка на предыдущий пакет необходима для правильной склейки порций информации в файлы, а контрольная информация — для проверки правильности передачи. Идея firewall состоит в том, что запускается программа, которая первой, до всех серверов и клиентов, получает все пакеты, приходящие в ваш компьютер. Таким образом, эта программа первой получает доступ к информации пакета. Схематически работу firewall можно представить следующим образом.
Проверка пакетов осуществляется по-разному — в зависимости от уровня firewall. Существует пять уровней firewall:
- Первый уровень проверяет адреса, записанные в пакете, и номер порта. При этом, естественно, появляется возможность запрета приема пакетов с определенных адресов или в определенные порты. Этот уровень обеспечивает минимальную защиту, так как пакет — это еще не файл и не программа, а просто кусок информации. Но тем не менее может быть полезно, например, запретить прохождение пакетов по некоторым портам.
- Второй уровень в дополнение к тому, что происходит на первом уровне, использует ссылки на предыдущие пакеты. С помощью таких ссылок формируется законченная цепь информации, например целый файл. Такой firewall проверяет целостность передачи файлов и позволяет сразу отсекать подозрительные файлы.
- Третий уровень — это firewall программного уровня. К фильтрации пакетов и проверки целостности информации добавлена возможность проверки содержимого файлов. То есть, например, исполняемые файлы проверяются на вирусы, проверяется содержимое архивов, в письмах тестируются вложенные файлы и так далее.
- Четвертый и пятый уровни отличаются от третьего лишь технической реализацией основных функций firewall программного уровня.
При выборе конкретной реализации firewall важно обратить внимание на следующие важные моменты. Прежде всего настройка по портам и сетевым адресам требует точного понимания, другими словами, это не всегда в состоянии сделать обычный пользователь. Более грубые настройки требуют от программы делать некоторые вещи автоматически. Здесь важен компромисс между простотой программы и эффективностью ее использования. Второе — мощность программы. Если у вас всего лишь домашний компьютер и в Интернете вы только просматриваете web-странички, то, возможно, вам просто нужна антивирусная программа, проверяющая online-скачиваемые файлы. Другое дело, если у вас есть небольшая сеть и вы хотите контролировать передачу файлов на соседние машины или разделение принтеров. Третье — цена. Есть программы бесплатные, есть мощные и дорогие. Важно понимать, что бесплатное — не значит плохое.
Теперь перейдем к описанию конкретных программ. Сразу скажу, что порядок следования программ не связан ни с ценой, ни с популярностью, ни со сложностью. Тем более что трудно сравнивать популярность программ, так как они рассчитаны на разные компьютеры, разные по величине сети. Ниже приведен оптимальный, на мой взгляд, пример организации защиты своей сети. Две описанные ниже программы дополняют друг друга, чем обеспечивается необходимый уровень защищенности. Естественно, наш выбор не является панацеей. Единственное, что можно сказать, — все описанные ниже программы занимают ведущие места в публикуемых в Интернете рейтингах. Помимо этого на нашем CD-ROM вы найдете обзор некоторых наиболее популярных программ, реализующих в себе функции firewall.
Реализации firewall
Norton Internet Security 2000 (NIS)
NIS сочетает в себе несколько различных программ.
Система защиты унаследована от программы AtGuard и формируется в виде набора правил для слежения за портами и адресами. Также включена система блокировки cookie, фильтрация для ActiveX, Java, скриптов и слежения при работе в Интернете. Встроена и антивирусная проверка. Система Accounts позволяет иметь несколько наборов установок для разных пользователей. Поскольку предметом статьи является защита, расскажу об этом чуть подробнее. Сразу отмечу, что система правил очень гибкая, но при этом она вряд ли подходит обычному пользователю. Если уж вы взялись создавать систему правил, то желательно отключить опцию «Automatic Firewall Rule Creation». Ниже приведен возможный вариант системы правил. Он подразумевает подключение одного компьютера к провайдеру. Важно отметить, что это возможный набор правил. Вам необходимо тестировать каждое правило на своем компьютере, чтобы проверить его эффективность. Для установки правил нужно войти в раздел Security и Custom settings. Отдельно отметим особенность NIS, которую предоставляют не все программы: вы можете указывать, какие программы могут использовать какие порты. В ряде случаев это очень удобно. Например, запретить браузеру использование всех портов, кроме 80 (http) или 443 (https). Но продолжим про правила. Возможен следующий набор.
- Заблокировать все входящие и выходящие пакеты ICMP. Возможно, правда, что ваш провайдер требует наличия ICMP.
- Заблокировать вход по портам со 135-го по 139-й (TCP и UDP).
- Заблокировать вход по портам с 67-го по 69-й (TCP и UDP).
- Заблокировать вход и выход в 113 порте. Это может привести к задержке при отправке писем, но тем не менее они будут уходить, если специально не оговорено использование этого порта провайдером.
- Заблокировать «NetBIOS» UDP-вход.
- Заблокировать «finger» TCP-вход.
- Заблокировать «socks» TCP/UDP-вход (порт 1080).
- Заблокировать «Bootpc» UDP-вход. Это не нужно делать, если вы используете Dynamic IP.
- Заблокировать «Bootp» UDP-выход. Это не нужно делать, если вы используете Dynamic IP.
- Заблокировать TCP-вход 27 374 порта.
- Заблокировать UDP-вход «snmp». порты 161 и 162.
- Заблокировать UDP-вход «ndmp». Порты с 10 096-го по 10 945-й.
- Заблокировать TCP-вход «netstat».
- Заблокировать TCP-вход «systat».
- Заблокировать TCP- и UDP-вход «nfs».
- Заблокировать TCP-вход «wins». Порт 1512.
- Заблокировать TCP- и UDP-вход «remote-winsock».
- Заблокировать UDP-вход и выход «Windows Key Access». Порт необходим для игр.
- Microsoft на www.zone.com.
- Заблокировать TCP- и UDP-вход «lotusnotes».
- Заблокировать TCP-вход «IBM Data Exchange». Порт 10 044.
- Заблокировать TCP- и UDP-вход и выход порта 4000 (может называться «icq»).
Еще раз напомним, что в каждом конкретном случае возможны свои правила или модификации представленных правил. После установки правил NIS начнет работать в соответствии с ними. Примерный вид экрана сообщений представлен ниже. Фиксируются все события, связанные с работой самой программы и с обработкой событий, связанных с установленными правилами.
В заключение отметим, что стоит NIS примерно 60 долл. При этом вы получаете возможность обновления программы через Интернет, используя функцию LiveUpdate.
BlackICE Defender (BID)
BID является программой — детектором вторжений в вашу систему. Ее основная цель — отслеживать все передачи данных по сети. В отличие от NIS здесь нет антивирусной программы или указания отдельным программам доступа к портам. Однако система регулирования и контроля доступа к сетевым портам, возможность задания доверительных (trusted) и запрещенных (untrusted) адресов считается по результатам тестирований более надежной. Плюс к тому есть возможность контроля доступа к файлам. Экран конфигурации BID выглядит так.
Здесь показан блок защиты (Protection). В принципе, указание одного из уровней защиты уже задает набор правил, в соответствии с которым работает BID. Степень защиты убывает сверху вниз. При этом надо иметь в виду, что детектирование независимо от уровня всегда происходит на всех портах. Уровень означает уровень защиты, то есть выполнение каких-либо действий в отношении пакетов: отражение, проверка и т.д. Уровень Paranoid зачастую бывает излишним, так как происходит проверка всех портов, что может сильно замедлить работу сети. Все события записываются в log-файл и могут быть потом просмотрены.
Важной особенностью является то, что не обязательно блокировать адреса. Есть возможность динамической блокировки адресов, если с них происходит попытка входа в систему с неверным паролем. Такой способ нужен, например, когда вы хотите получить доступ к своим файлам с другого компьютера, номер которого заранее неизвестен (например, из какого-нибудь Интернет-кафе во время путешествия). В блоке Intruders окна отслеженных событий записывается адрес, с которого была предпринята попытка вхождения и порт:
Важно, что при попытке проникновения в систему по нестандартному порту или входа с неверным паролем или именем пользователя BID не просто блокирует пакет или не пускает в систему, а выполняет процедуры Back-trace. Это некий набор средств, с помощью которого BID пытается собрать максимум информации о взломщике. Далее эта информация записывается в файл и отображается в блоке истории.
Недостатком, наверное, можно считать отсутствие возможности создания правил для отдельных программ. Рекомендуемым является сочетание BID и NIS. Это позволяет использовать BID для контроля сетевого прохождения информации и NIS для разделения прав доступа по программ и антивирусной проверки файлов. Стоимость BID ниже, чем NIS, и составляет примерно 40 долл., при этом лицензия действительна в течение всего одного года.
Аппаратные Firewall
Теперь немного об аппаратных firewall. Даже в случае домашних сетей, а тем более малой фирмы это не бесполезная вещь. Дело в том, что это компьютер, специально приспособленный для выполнения функций firewall. Зачастую добиться такой же эффективности можно, лишь установив мощную программу на отдельный мощный компьютер, а это может быть значительно дороже. Тем более что аппаратный firewall почти всегда системно независим и может общаться почти с любой операционной системой. Есть и еще преимущества: вы помещаете компьютер в защищенную зону, на нем нет операционной системы, что осложняет взлом.
Приведу краткое описание нескольких недорогих аппаратных firewall.
Linksys EtherFast Cable/DSL Router поддерживает NAT, Firewall, DHCP-контроль доступа, а также является switch hub 10/100 4 порта. Цена — 170 долл.
SonicWALL SOHO фирмы SonicWALL, Inc. и WebRamp 700s фирмы Ramp Networks, Inc. более функциональны, чем предыдущий, имеют возможности апгрейда, поддерживают Firewall, NAT, DHCP, контекстное управление пакетами. Цена — примерно 400 долл. и 350 долл. соответственно.
В заключение необходимо отметить, что сейчас firewall является, наверное, столь же необходимым, как и сам Интернет. Конечно, всегда следует выбирать наиболее подходящие для задач и размеров сетей firewall. Многообразие программ, реализующих функции firewall, настолько велико, что вряд ли можно посоветовать что-либо конкретное. У любого решения есть свои плюсы и минусы. Наиболее подробная информация о программах, документации и поддержке firewall имеется на сайте https://www.firewall.com/, куда и рекомендую взглянуть, если проблема выбора firewall актуальна для вас.
КомпьютерПресс 10’2000
Брандмауэр (Brandmauer) или Файрвол (Firewall) – это компьютерная программа, целью которой является защита компьютера от вирусов и хакерских атак. Брандмауэр отслеживает сетевой трафик, поступающий в операционную систему, и помогает остановить вредоносные программы, которые пытаются получить доступ к личной информации пользователя. Помимо этого, у терминов Брандмауэр и Файрвол есть еще и другое определение. Данными терминами принято назвать противопожарные капитальные стены, которые по идее должны защищать дома от пожаров в местах плотной застройки.
Брандмауэр – как это работает, простыми словами.
Не вникая в сложные технические подробности, работу Брандмауэра можно описать следующим образом. Когда пользователь запускает программу, связанную с Интернетом, такую как браузер или компьютерная игра, компьютер подключается к удаленному веб-сайту и отправляет информацию о компьютерной системе пользователя. Однако перед тем как данные будут отправлены или получены они проходят через межсетевой экран (файрвол), где в зависимости от установленных параметров, данные будут пропущены или остановлены.
Образно говоря, в процессе своей работы, брандмауэр выступает своеобразным пограничником или таможенником, который следит за всем что вывозится и завозится на компьютер. Кроме того, в его обязанности входит проверка пакетов данных на соответствие необходимым параметрам. Таким образом, файрвол может помочь остановить работу уже установленного вредоносного ПО, такого как троянские кони и другие шпионские программы. Простыми словами, экран просто не будет передавать собранные этими программами данные в интернет. Но это, конечно же все в теории, так как подобные вредительские программы постоянно совершенствуются и учатся обманывать файрволы.
Что такое Аппаратный брандмауэр и способы защиты сети?
Аппаратный брандмауэр — это физическое устройство, которое соединяет компьютер или сеть с Интернетом, используя определенные усовершенствованные методы защиты от несанкционированного доступа. Проводные маршрутизаторы, широкополосные шлюзы и беспроводные маршрутизаторы включают в себя аппаратные брандмауэры, которые защищают каждый компьютер в сети. Аппаратные брандмауэры используют для защиты сети разные виды обеспечения безопасности: фильтрация пакетов, проверка пакетов с учетом состояния, трансляция сетевых адресов и шлюзы уровня приложения.
Брандмауэр фильтрации пакетов проверяет все пакеты данных, отправляемые в систему и из нее. Он пересылает данные на основе набора правил, определенных сетевым администратором. Этот аппаратный брандмауэр проверяет заголовок пакета и фильтрует пакеты на основе адреса источника, адресата и порта. Если пакет не соответствует правилам или соответствует критериям блокировки, ему не разрешается проходить через компьютер или сеть.
Динамическая фильтрация пакетов или проверка пакетов с учетом состояния, это более сложный метод защиты. Этот брандмауэр контролирует, откуда пришел пакет, чтобы выяснить, что с ним делать. Он проверяет, были ли данные отправлены в ответ на запрос для получения дополнительной информации или просто он появился сам по себе. Пакеты, которые не соответствуют заданному состоянию соединения, отклоняются.
Еще одним способом обеспечения безопасности является — маршрутизатор трансляции сетевых адресов (NAT). Он скрывает компьютер или сеть компьютеров от внешнего мира, представляя один общедоступный IP-адрес для доступа в Интернет. IP-адрес брандмауэра является единственным допустимым адресом в этом сценарии, и это единственный IP-адрес, представленный для всех компьютеров в сети. Каждому компьютеру на внутренней стороне сети присваивается свой IP-адрес, действительный только внутри сети. Этот вариант защиты очень эффективен, поскольку он представляет возможность использовать только один публичный IP-адрес для отправки и поступления пакетов информации. Что в свою очередь значительно минимизирует возможности по внедрению вредоносного ПО. Этот аппаратный брандмауэр обычно реализуется на отдельном компьютере в сети, который имеет единственную функцию работы в качестве прокси сервера. Он довольно сложный и считается одним из самых безопасных типов аппаратных брандмауэров.