Очень многие, начинающие злоумышленники, возомнившие себя Кевинами Митниками, пробуют свои силы на своих же соседях и друзьях, имеющих выход в Internet. Мало того, даже если у вас нет врагов, и никто не хочет проверить на вас знания, почерпнутые из какой-нибудь умной книжки про хакеров, то вы все равно остаетесь уязвимыми, так как ваш компьютер может служить базовой площадкой для проникновения на какой-либо другой узел.
Больше года назад, 7 и 8 февраля 2000 года было зафиксировано нарушение функционирования таких популярных и ведущих Internet-серверов, как Yahoo, eBay, Amazon, Buy и CNN. 9 февраля аналогичная участь постигла и сервера ZDNet, Datek и E*Trade. Проведенное ФБР расследование показало, что указанные сервера вышли из строя из-за огромного числа направленных им запросов, что и привело к тому, что эти сервера не могли обработать трафик такого объема и вышли из строя. Например, организованный на сервер Buy трафик превысил средние показатели в 24 раза, и в 8 раз превысил максимально допустимую нагрузку на сервера, поддерживающие работоспособность Buy. Такое нарушение было реализовано с помощью так называемых распределенных атак, которые в отличие от обычных атак, используют не один, а несколько узлов. Эффект достигается за счет посылки данных сразу из всех узлов, которые задействованы в распределенной атаке. В этом случае атакуемый узел захлебнется огромным трафиком и не сможет обрабатывать запросы от нормальных пользователей. Именно это и было реализовано в начале февраля прошлого года. В случае с обычной реализацией атаки "отказ в обслуживании" необходимо иметь достаточно "толстый" канал доступа в Internet, чтобы реализовать лавину пакетов на атакуемый узел. В случае же распределенной атаки это условие уже не является необходимым. Достаточно иметь dialup-соединение с Internet. Принцип лавины или шторма пакетов достигается за счет большого числа таких относительно медленных соединений. Согласно данным одного из потерпевших в февральском инциденте в распределенной атаке участвовало до 10 тысяч скомпрометированных узлов. Злоумышленник использует десятки и сотни незащищенных узлов для координации нападения. Эти узлы могут принадлежать различным провайдерам и находиться в различных странах и даже на различных материках, что существенно затрудняет обнаружение злоумышленника, координирующего атаку. Самое интересное, что узлом, участвующим в распределенной атаке, может стать и ваш домашний компьютер.
Итак, надеюсь, что я лишний раз утвердил вас во мнении, что защищать свой собственный компьютер необходимо. Но чем защищать? Как показывает анализ, выбор не так уж и велик. И на первом месте стоит так называемый персональный межсетевой экран, который является аналогом своего корпоративного собрата, но защищает не целые сетевые сегменты, а компьютеры, на которых он установлен.
Существуют решения, являющиеся нечто средним между персональным и корпоративным межсетевым экраном, которое защищает небольшие сети, состоящие из 5 - 20 компьютеров. Такие структуры стали появляться во многих домах, в которых пользователи объединяют свои компьютеры в единую сеть, имеющую одну точку выхода в Internet. Для таких сетей можно использовать небольшие устройства типа SonicWALL SOHO или Check Point Firewall-1 Small Office, которые предлагают компании SonicWALL и Check Point Software соответственно. Однако пока такие объединения домашних пользователей еще редки и поэтому я не буду касаться названных мной решений. Также я не буду рассматривать персональные межсетевые экраны, которые хотя и призваны защищать отдельные компьютеры, но управляются они централизовано, с единой консоли, что нехарактерно для домашних пользователей. Такие МСЭ, к которым можно отнести BlackICE Defender от компании Internet Security Systems, могут не только фильтровать трафик согласно заданным правилам, но и обнаруживать в сетевом трафике большое число атак, а также выполнять множество других функций. Например, RealSecure Server Sensor может также анализировать журналы регистрации операционной системы и приложений в поисках следов несанкционированной деятельности. Основное внимание я уделю межсетевым экранам, которые помогут обычным пользователям защитить их домашние компьютеры от различных посягательств. Как показывает анализ, в России получили широкое распространение следующие персональные межсетевые экраны:
- AtGuard Personal Firewall от компании WRQ, который был приобретен компанией Symantec и встроен в ее семейство Norton Internet Security.
- ZoneAlarm от компании ZoneLabs.
- Outpost Firewall (ранее носивший имя Sphere) от компании Agnitum.
AtGuard Personal Firewall
Несмотря на то, что AtGuard прекратил свое существование и стал составляющей решений компании Symantec, он был и пока остается лидером среди всех персональных межсетевых экранов. Достоинства этого продукта оценили многие российские пользователи и даже сейчас они продолжают пользоваться этим простым в эксплуатации, но, несмотря на это, очень мощным продуктом. Всенародная любовь к AtGuard привела к тому, что к нему даже появился русификатор, что является высшей похвалой для зарубежной условно бесплатной программы.
Этот межсетевой экран обладает очень простым интерфейсом, позволяющим выполнять большое число настроек, включающих не только контроль сетевого трафика по определенным параметрам, включая передачу активного мобильного кода Java и ActiveX, но и блокировку постоянно раздражающих рекламных баннеров (Ad blocking) и файлов cookies. Настройка AtGuard может осуществляться в двух режимах - стандартном и обучающем. В первом случае вы заранее задаете все правила доступа в соответствие с вашими пожеланиями. Во втором случае при каждой попытке доступа в сеть или к вашему компьютеру из сети персональный межсетевой экран выдает сообщение с указанием имени приложения или сервиса, осуществляющего доступ, используемого порта и адресом назначения запроса. Например, с помощью AtGuard мне удалось обнаружить факт обращения к одному из серверов Microsoft после инсталляции ее операционной системы. Доступ моего почтового клиента к внешнему почтовому ящику выглядит следующим образом:
Application - Outlook Express
Remote Service - pop3 (110)
Remote address - www.mail.ru (194.67.23.76)
Данное окно позволяет вам выбрать один из четырех вариантов реагирования:
- Запретить постоянный доступ к вашему компьютеру согласно данным параметрам;
- Разрешить постоянный доступ к вашему компьютеру согласно данным параметрам;
- Запретить одноразовый доступ вашему компьютеру согласно данным параметрам;
- Разрешить одноразовый доступ вашему компьютеру согласно данным параметрам.
- Данное правило относится только к этому порту или и к другим тоже;
- Данное правило относится только к этому IP или и к остальным тоже.
ZoneAlarm
Персональный межсетевой экран ZoneAlarm поставляется в двух модификациях - платной (ZoneAlarm Pro) и бесплатной (ZoneAlarm), что отличает ее от многих других программ данного класса. Второе отличие, которое существенно облегчает ее использование для неопытных пользователей, - возможность использование так называемых уровней безопасности, которые похожи на те, что задействованы в броузере Internet Explorer. Такие уровни делятся на две категории - для доступа в Internet и для доступа в локальную сеть. Уровни каждой из этих категорий также подразделяются на подуровни, которые и определяют степень защиты домашнего компьютера от злоумышленников. Самый высший уровень, который по умолчанию установлен для сети Internet, делает вас практически невидимым для любых "искателей приключений", пытающихся получить доступ к вашим ресурсам. Однако создание своего собственного шаблона (уровня) на основе имеющихся, в бесплатной версии невозможно, и доступно только в ZoneAlarm Pro.
Особенностью ZoneAlarm является применение электронной цифровой подписи для тех приложений, которые должны иметь доступ в Internet (например, MS Internet Explorer, MS Outlook Express, CuteFTP и т.д.). Это делает невозможным маскировку одной программы под другую, как это часто делают некоторые троянцы. Например, если вы получили по электронной почте файл с вложенным троянским конем (кстати ZoneAlarm может контролировать и вложения в сообщения электронной почты), который пытается маскироваться под Internet Explorer (процесс IEXPLORE.EXE) и выйти в Internet по 80-му порту, то ZoneAlarm не позволит ему это сделать.
Пользователям, интересующимся подробностями различных атак, направленных на него, ZoneAlarm предоставляет такую возможность. Нажав всего на одну кнопку "More Info", ZoneAlarm отображает HTML-страницу, которая содержит подробное описание обнаруженной атаки, ее особенности, средства реализации и т.д.
Данный продукт можно порекомендовать новичкам и неопытным пользователям, у которых нет желания разбираться в настройках персонального межсетевого экрана и желающих сразу же после инсталляции выйти в Internet.
Outpost Firewall
Данный продукт появился достаточно недавно и не успел еще получить множества поклонников, но на него стоит обратить внимание, так как заложенные в него принципы делают его очень привлекательным для многих пользователей. В частности разработчики заложили в Outpost Firewall возможность подключения дополнительных модулей (plugin), разрабатываемых самостоятельно и расширяющих функциональность оригинальной версии персонального МСЭ.
Также как и ZoneAlarm данный МСЭ не требует предварительной конфигурации, так как содержит большое число предустановленных настроек. Продукт может обновляться, для чего не требуется его переустановка, - все производится автоматически, с помощью механизма Online Update. Аналогично AtGuard Outpost Firewall может блокировать рекламные баннеры, раздражающие своим миганием большинство пользователей (и не только домашних). Анализируя данный продукт, можно отметить, что его разработчики попытались совместить в нем все самое лучшее из AtGuard и ZoneAlarm - он может контролировать вложения в сообщениях электронной почты, обнаруживать некоторые атаки (например, сканирование портов), блокировать активное содержание (Java, ActiveX) и многие другие функции, перечисленные выше.
Можно отметить, что если разработчики Outpost сделают все то, что они декларируют (NAT, VPN, сниффер, удаленное управление, сигналы тревоги и т.д.), то у этого продукта не будет конкурентов.
Решения Symantec
После приобретения AtGuard компания Symantec выпустила на его основе несколько решений, которые могут быть отнесены к классу персональных межсетевых экранов, но находящихся в различной ценовой нише:
- Norton Personal Firewall;
- Norton Internet Security 2000;
- Norton Internet Security 2000 Family Edition.
Norton Internet Security 2000 Family Edition помимо возможностей заложенных в NIS 2000, также обладает функцией Parent Control, которая позволяет ограничивать доступ детей, пользующихся домашним компьютером, к некоторым Web-серверам, список которых постоянно пополняется. Кроме этого, Family Edition проверяет весь входящий трафик на наличие вирусов, т.к. в него встроен ведущий продукт компании Symantec - Norton Antivirus.
Решения компании Symantec подойдут тем, кто привык и доверяет свою защиту системе AtGuard, а также тем, кому необходимо совместить в одном продукте и персональный межсетевой экран и антивирусную систему.
Заключение
В заключение хочу отметить, что не стоить обходить внимание персональные межсетевые экраны. Пусть и они и не делают всего того, что присуще корпоративным МСЭ (таким как Check Point Firewall-1), но все же они обеспечивают некоторый уровень защищенности от внешних посягательств. Вы можете быть уверенными, что ваш компьютер не станет легкой добычей для злоумышленников, а правильно настроенный персональный МСЭ станет непреодолимой преградой для многих из них.