Фильтрация подключений на системном уровне
Приложение Outpost Firewall Pro 2.0 обеспечивает еще один уровень фильтрации пакетов - системный, на котором решаются следующие задачи:
• С помощью системных правил можно создать правила фильтрации, применимые ко всем приложениям сразу, разрешая или блокируя сетевую активность на нижнем системном уровне.
• Предоставляется возможность установки скрытого режима, в котором компьютер не отвечает на сканирование портов - обычную хакерскую процедуру, выполняемую с целью изучения атакуемой сети.
• Обеспечивается фильтрация пакетов ICMP, позволяющая предотвратить хакерское сканирование и инвентаризацию сетевых ресурсов, а также парировать атаки DoS.
Для установки параметров системной фильтрации используется вкладка System(Система), представленная на Рис. 10.
Как видим, вкладка Systemсодержит четыре раздела, позволяющие настроить соединение с локальной сетью.
В разделе LAN Settings(Сетевые настройки) пользователь может настроить доступ к компьютеру через локальную сеть. По умолчанию брандмауэр разрешает все подключения по протоколу NetBIOS и позволяет установить полное доверие для всех подключений к компьютеру по локальной сети (очень опасная возможность). Настройки выполняются в диалоге, отображаемом щелчком на кнопке Settings(Параметры), представленном на Рис. 11.
Рис. 10. Задание системных правил фильтрации
Как видно из Рис. 11, клиентам всей нашей локальной сети разрешено подключаться к компьютеру Alex-Зпо протоколу NetBIOS. Однако флажок Trusted(Доверяемая) в строке списка Network Address(Сетевой адрес) не установлен, что означает отсутствие доверия к подключениям по всем остальным протоколам. Это наилучший выбор, поскольку отметка флажка Trustedозначает полное разрешение всех входящих и исходящих подключений в этой сети, что небезопасно.
Рис. 11. Настройка доверительных отношений с сетевыми клиентами
Раздел ICMPпозволяет установить правила фильтрации пакетов ICMP с помощью средств, подобных предоставляемым брандмауэром системы Windows ХР (см. Рис. 12).
Рис. 12. Настройка фильтрации ICMP
Каждая строка в списке Settings (Параметры) отвечает определенному типу пакетов ICMP. Отметка флажка в столбце In (В) разрешает компьютеру принимать пакеты ICMP данного типа, а в столбце Out(Из) - передачу пакетов ICMP данного типа. Как видно из Рис. 12, брандмауэр запрещает прием и передачу таких небезопасных пакетов, как Address Mask Request (Запрос адресной маски) и Address Mask Reply(Отклик на запрос адресной маски); другие стандартные настройки также выбраны так, чтобы обеспечить максимальную безопасность компьютера от попыток хакерского сканирования. Без достаточного опыта делать какие-либо изменения в этих настройках не рекомендуется.
• Раздел Answer Type (Тип ответа) позволяет сделать дополнительную настройку отклика на запросы подключения от других компьютеров. Выбор переключателя Stealth(Скрыть) вынуждает компьютер не отвечать на любые запросы, т.е. вести себя так, как будто он выключен. Если это неудобно для практики, то можно выбрать переключатель Normal (Обычный), что вынуждает компьютер в ответ на запрос подключения отвечать «порт занят».
• Раздел Global Application and System Rules (Глобальные правила приложений и системы) содержит набор правил, применимых для фильтрации пакетов на уровне приложений и системы (см. Рис. 13).
Отметка флажка из списка делает правило фильтрации активным. Стандартные установки брандмауэра обеспечивают функционирование основных сетевых протоколов вместе с закрытием небезопасных возможностей. Например, блокируются входящие подключения по протоколу SMB (Server Message Block), которые служат одной из лазеек для хакеров, пытающихся инвентаризировать сетевые ресурсы. Мы не советуем без достаточного опыта делать исправления в этих настройках, поскольку это может привести к блокированию работы всей сети.
Рис. 13. Глобальные правила уровня приложений и системы
Политика брандмауэра
Одна из наиболее полезных и доступных возможностей брандмауэра Outpost Firewall Pro 2.0 называется политикой. Под политикой в данном случае понимается базовый курс, которого должен придерживаться брандмауэр при выполнении своей работы. Т.е. пользователь вместо долгого и утомительного труда по настройке многочисленных правил и параметров просто указывает брандмауэру, что он должен постараться сделать - а брандмауэр уж сам знает, что ему для этого нужно предпринять. Такой метод работы с брандмауэром наиболее приемлем для подавляющего большинства пользователей.
Брандмауэр Outpost Firewall Pro 2.0 предлагает пользователю на выбор пять политик, отображенных на вкладке Policy(Политика) диалога Options(Параметры), представленной на Рис. 14.
При выборе политики из списка Please select the firewall policy(Пожалуйста, выберите политику брандмауэра) в диалоге отображаются сведения об обеспечиваемой ею защите. Перечислим политики брандмауэра вместе с кратким описанием их возможностей.
• Stop all mode(Режим полного блокирования) - блокирование всех входящих и исхс дящих подключений.
• Block most(Блокировать большинство) - блокирование всех сетевых соединение кроме явно разрешенных.
• Allow most(Разрешить большинство) - разрешение всех сетевых соединений, кромявно блокированных.
•Rules Wizard(Мастер создания правил) - при первой попытке запуска приложени мастер помогает определить, каким образом приложение должно взаимодействоват с сетью.
• Disable mode(Режим отключения) - Все сетевые соединения разрешены.
Рис. 14. Пять политик брандмауэра позволяют
быстро настроить систему защиты компьютера
Дополнительные модули
Рис. 15. Набор встроенных дополнительных модулей брандмауэра обширен
Брандмауэр Outpost Firewall Pro 2.0 позволяет включать в себя дополнительные модули, разрабатываемые независимыми производителями, которые призваны расширить функциональные возможности брандмауэра. Настройка работы дополнительных модулей выполняется на вкладке Plug-Ins(Дополнительные модули), представленной на Рис. 15.
Набор дополнительных модулей брандмауэра, поставляемых вместе с программой, достаточно обширен, и их перечень отображен в списке Plug-In(Дополнительный модуль) на Рис. 15.
В число этих модулей входят фильтры почтовых вложений, активных вставок в страницы Web и электронную почту и содержимого сайтов по отдельным словам, а также средства кэширования запросов DNSи блокирования рекламных сообщений. Особо выделим инструмент Attack Detection,позволяющий в режиме реального времени выявлять попытки вторжений в компьютер из Интернета. Все эти средства требуются для обеспечения защиты сети от угроз, связанных с рабой в Интернете. В последующих разделах мы обсудим эти угрозы, сопроводив их описанием средств защиты, предоставляемых брандмауэром Outpost Firewall Pro 2.0 и другими средствами.