Firewall для домашніх мереж, КомпьютерПресс

З швидким зростанням Інтернету проблема безпеки малих мереж і домашніх користувачів не менш актуальна, ніж, скажімо, безпека мереж великих компаній. Якщо ваші мережу або комп'ютер є частиною великої корпоративної мережі, то, швидше за все, firewall вам вже не потрібен, оскільки велика мережа, як правило, буває захищена. У тому ж випадку, коли ви не знаєте точно, чи є зовнішній firewall, або коли ви під'єднується до мережі через провайдера (у Інтернет-провайдерів не завжди встановлений firewall, так як це погіршує пропускну здатність шлюзу), то, напевно, має сенс самому подбати про захист своєї мережі або комп'ютера. До речі, потрібно розуміти, що, підключаючись до Інтернету по модему, ви теж стаєте повноцінним Інтернет-вузлом. Модемне підключення відрізняється від кабельного лише тим, що воно в більшості випадків не постійно.

Проблеми безпеки при з'єднанні з Інтернетом

Ви підключаєтеся до Інтернету, ви фізично з'єднуєтеся з більш ніж 50 тис. Невідомих мереж і всіма їх користувачами. У той час як таке з'єднання відкриває шлях до багатьох корисних програм і забезпечує величезні можливості поділу інформації, ваша мережа або особистий комп'ютер теж стають доступними для користувачів Інтернету. Основне питання: наскільки ресурси вашої мережі доступні і наскільки вони можуть бути доступні (далі я не буду розділяти малу мережу і окремий домашній комп'ютер, поки це не принципово)? Ще одне питання: як захищений ваш комп'ютер від вторгнення? Варто зауважити, що ті, хто зве себе хакерами, зазвичай не прагнуть заволодіти інформацією - їм цікавий сам процес злому системи. Іноді це призводить до псування інформації, що зберігається на вашому комп'ютері. Рідко, але іноді все ж саме псування інформації є метою злому системи. При цьому, на відміну від корпоративних мереж, методи і способи проникнення в малу мережу або домашній комп'ютер більш прозаїчні. Ось деякі з них.

  • Вам надсилають на вигляд нешкідливі листи з аттачменті, наприклад таким:

Зверніть увагу на .exe в кінці рядка. При цьому всі поштові клієнти після отримання такого листа відобразять тільки pricelist.zip, але при відкритті цього файлу замість запуску архіватора виконають його.

  • Ви не встановлюєте безкоштовні оновлення до Internet Explorer, хоча все давно знають, що в самому Windows і в IE, зокрема, основною проблемою є безпека системи.
  • Ви використовуєте неперевірені програми, наприклад екранні заставки. Вони дуже часто містять троянських коней, тобто програмний код, який нишком виконує непотрібні вам і спрямовані проти вас дії, наприклад відсилає по мережі паролі.
  • Окремо зауважимо, що Windows на відміну від UNIX страждає тим, що пристрій файлової системи і ядра системи дозволяють створювати віруси. Причому як необразливі, так і вельми руйнівні. Ці віруси можуть бути в виконуваних файлах, скриптах, навіть в офісних документах. І можливість перевірки вхідних листів і скачуваних файлів на віруси є просто необхідною.

Звичайно, щодо домашнього комп'ютера можна застосовувати і більш низькорівневі методи, пов'язані з конкретним зверненням до портів. Відбувається це в такий спосіб. Зломщик сканує ваш комп'ютер на вільні та незахищені порти, тобто порти, які не відповідають при прийомі пакетів. Перше, що при цьому може статися, - це переповнення мережевого стека (місце тимчасового зберігання пакетів) і, як наслідок, збій в роботі машини (зазвичай зависання). Такого ефекту можна домогтися, якщо послати занадто багато пакетів. Крім того, такий порожній порт може бути використаний для спілкування з вашим комп'ютером. Мається на увазі доступ до файлів, паролів, можливість змінювати файли, наприклад класти на диск заражені вірусом програми. Можливий і більш складний механізм: спочатку переповнюється стек, а потім, коли робота мережевих програм вже порушена, відбувається вторгнення через стандартні порти. Відзначимо відразу, що бажано відключити можливість поділу файлів і принтерів на домашньому комп'ютері. Для цього потрібно в Windows відкрити Панель Управління (Control Panel), в розділі Мережа (Network) увійти в розділ Поділ фото і принтерів (File abd Print Sharing) і прибрати виділення з пунктів:

  • I want to be able to give others access to my files;
  • I want to be able to allow others to print to my printer (s).

Взагалі бажано, по можливості, відключати все, що може дати привід для вторгнення або послабити захист самої системи. Звичайно, за умови, що ця функція вам не потрібна. Вище якраз дано опис такої функції, яка зовсім не потрібна в разі одного домашнього комп'ютера, особливо при модемном підключенні.

Можна задатися питанням: а навіщо зламувати домашній комп'ютер? Основних причин, на мій погляд, дві. На першому місці, як я вже говорив, - інтерес до самого процесу злому. Ще однією причиною стало те, що останнім часом люди нерідко використовують підключення до Інтернету для доступу до робочої інформації та роботі з нею. Можливо, така інформація може становити інтерес. Так чи інакше, в ваших інтересах захистити свій домашній комп'ютер, навіть якщо на ньому немає конфіденційної інформації. захист необхідний тим більше, якщо ви реально використовуєте вихід в Інтернет для доступу до інформації на іншому комп'ютері. Саме для такого захисту і існує firewall.

Що таке Firewall

Перевірка пакетів здійснюється по-різному - залежно від рівня firewall. Існує п'ять рівнів firewall:

Тепер перейдемо до опису конкретних програм. Відразу скажу, що порядок проходження програм не пов'язаний ні з ціною, ні з популярністю, ні зі складністю. Тим більше що важко порівнювати популярність програм, так як вони розраховані на різні комп'ютери, різні за величиною мережі. Нижче наведено оптимальний, на мій погляд, приклад організації захисту своєї мережі. Дві описані нижче програми доповнюють один одного, чим забезпечується необхідний рівень захищеності. Природно, наш вибір не є панацеєю. Єдине, що можна сказати, - всі описані нижче програми займають провідні місця в публікованих в Інтернеті рейтингах. Крім цього на нашому CD-ROM ви знайдете огляд деяких найбільш популярних програм, що реалізують в собі функції firewall.

реалізації firewall

NIS поєднує в собі кілька різних програм.

  1. Заблокувати всі вхідні та вихідні пакети ICMP. Можливо, правда, що ваш провайдер вимагає наявності ICMP.
  2. Заблокувати вхід по портам зі 135-го по 139-й (TCP і UDP).
  3. Заблокувати вхід по портам з 67-го по 69-й (TCP і UDP).
  4. Заблокувати вхід і вихід в 113 порте. Це може привести до затримки при відправленні листів, але тим не менше вони будуть йти, якщо спеціально не обумовлено використання цього порту провайдером.
  5. Заблокувати «NetBIOS» UDP-вхід.
  6. Заблокувати «finger» TCP-вхід.
  7. Заблокувати «socks» TCP / UDP-вхід (порт 1080).
  8. Заблокувати «Bootpc» UDP-вхід. Це не потрібно робити, якщо ви використовуєте Dynamic IP.
  9. Заблокувати «Bootp» UDP-вихід. Це не потрібно робити, якщо ви використовуєте Dynamic IP.
  10. Заблокувати TCP-вхід 27 374 порту.
  11. Заблокувати UDP-вхід «snmp». порти 161 і 162.
  12. Заблокувати UDP-вхід «ndmp». Порти з 10 096-го по 10 945-й.
  13. Заблокувати TCP-вхід «netstat».
  14. Заблокувати TCP-вхід «systat».
  15. Заблокувати TCP- і UDP-вхід «nfs».
  16. Заблокувати TCP-вхід «wins». Порт 1512.
  17. Заблокувати TCP- і UDP-вхід «remote-winsock».
  18. Заблокувати UDP-вхід і вихід «Windows Key Access». Порт необхідний для ігор.
  19. Microsoft на www.zone.com.
  20. Заблокувати TCP- і UDP-вхід «lotusnotes».
  21. Заблокувати TCP-вхід «IBM Data Exchange». Порт 10 044.
  22. Заблокувати TCP- і UDP-вхід і вихід порту 4000 (може називатися «icq»).

Ще раз нагадаємо, що в кожному конкретному випадку можливі свої правила або модифікації представлених правил. Після установки правил NIS почне працювати відповідно до них. Зразковий вид екрану повідомлень представлений нижче. Фіксуються всі події, пов'язані з роботою самої програми і з обробкою подій, пов'язаних з встановленими правилами.

На закінчення відзначимо, що стоїть NIS приблизно 60 дол. При цьому ви отримуєте можливість поновлення програми через Інтернет, використовуючи функцію LiveUpdate.

BlackICE Defender (BID)

Важливо, що при спробі проникнення в систему по нестандартному порту або входу з невірним паролем або ім'ям користувача BID не просто блокує пакет або не пускає в систему, а виконує процедури Back-trace. Це якийсь набір засобів, за допомогою якого BID намагається зібрати максимум інформації про зломщиків. Далі ця інформація записується в файл і відображається в блоці історії.

апаратні Firewall

Тепер трохи про апаратні firewall. Навіть в разі домашніх мереж, а тим більше малої фірми це не марна річ. Справа в тому, що це комп'ютер, спеціально пристосований для виконання функцій firewall. Найчастіше домогтися такої ж ефективності можна, лише встановивши потужну програму на окремий потужний комп'ютер, а це може бути значно дорожче. Тим більше що апаратний firewall майже завжди системно незалежний і може спілкуватися майже з будь-якою операційною системою. Є і ще переваги: ​​ви ставите комп'ютер в захищену зону, на ньому немає операційної системи, що ускладнює злом.

Наведу короткий опис декількох недорогих апаратних firewall.

Linksys EtherFast Cable / DSL Router підтримує NAT, Firewall, DHCP-контроль доступу, а також є switch hub 10/100 4 порту. Ціна - 170 дол.

SonicWALL SOHO фірми SonicWALL, Inc. і WebRamp 700s фірми Ramp Networks, Inc. більш функціональні, ніж попередній, мають можливості апгрейда, підтримують Firewall, NAT, DHCP, контекстне управління пакетами. Ціна - приблизно 400 дол. І 350 дол. Відповідно.

Зовсім недавно компанія Cougar представила нову серію блоків живлення для традиційних ПК - VTX, орієнтовану на користувачів з обмеженим бюджетом. У цьому огляді буде розглянута модель Cougar VTX600, яка завдяки своїм характеристикам буде однією з найбільш затребуваних в цій лінійці блоків живлення

На щорічному заході Capsaicin SIGGRAPH в Лос-Анджелесі компанія AMD зміцнила свої позиції на ринку ПК класу high-end з новими процесорами Ryzen Threadripper і GPU «Vega»

Для простого і зручного побудови мереж рядовими користувачами компанія ZyXEL випустила чергову версію свого Інтернет-центру для підключення до мереж 3G / 4G через USB-модем з точкою доступу Wi-Fi - ZyXEL Keenetic 4G III, який ми і розглянемо в цьому огляді

До своєї і так великій родині роутерів і маршрутизаторів фірма ASUS недавно додала дві вельми цікаві моделі: флагманську 4G-AC55U і більш просту 4G-N12. У даній статті буде розглянута флагманська модель ASUS 4G-AC55U

Молода, але амбіційна компанія KREZ на початку цього року випустила нову, оригінальну модель ноутбука KREZ Ninja (модель TM1102B32) під керуванням Windows 10. Оскільки цей комп'ютер має поворотний екран, він може служити універсальним рішенням - його можна з успіхом використовувати і для роботи, і для навчання, і для ігор

Якщо ви часто друкуєте фотографії та вже втомилися міняти картриджі в своєму принтері, зверніть увагу на МФУ Epson L850. Великий ресурс витратних матеріалів, чудова якість відбитків, найширший набір функціональних можливостей - ось лише деякі з переваг даної моделі

Схожі статті