Безопасность выделенного подключения. Часть 1

В наше время быстрое подключение к Интернету — всяческие районные/домовые сети, радиоканалы, ADSL и прочее — потихоньку переходит из разряда экзотики в категорию чего-то вполне естественного и общепринятого. Но вместе с быстрым доступом на голову домашних пользователей сваливаются и такие вопросы обеспечения безопасности, которыми до этого занимались только профессиональные системные администраторы.

При модемном подключении хакеру еще надо поймать вас в онлайнеДействительно, модемное подключение отличается низкой скоростью и эпизодичностью вашего появления в Сети — при таких условиях, для того чтобы ваш компьютер взломать, вас еще и застать в онлайне требуется, что не так просто. Да и смысла особого нет — разве что пароли от диалапа утащить или компьютер «подвесить» из хулиганских побуждений. Так что основной напастью диалапщиков были и остаются всевозможные почтовые «черви», с которыми справиться не так уж и сложно — достаточно просто перестать открывать всякую прицепленную к письму гадость.

Постоянно подключенный к Интернету компьютер представляет интерес для злоумышленниковНо при постоянном быстром соединении ситуация довольно сильно меняется. Во-первых, ваш компьютер остается в онлайне и когда вы спите, и когда на работе, и вообще всегда (очень многие люди, включая вашего покорного слугу, свой компьютер вообще не выключают, позволяя ему в свободное время заниматься различными задачами). Во-вторых, интерес к такому компьютеру со стороны злоумышленников значительно возрастает, так как быстрое подключение позволяет использовать его и для рассылки спама, и для организации DOS-атак на другие системы, и для запутывания собственных следов (используя, скажем, в качестве промежуточного прокси-сервера). В-третьих, пробравшись через Интернет на домашний компьютер работника компании, можно затем с этого «доверенного» компьютера пройти и в локальную сеть компании, даже если связь с офисом организована с использованием VPN, — подобные «троянские сотрудники» являются одной из ощутимых головных болей сисадминов. Ну и в-четвертых, если вы по глупости подхватите какого-то «червя», то сумеете его распространить намного шире, чем через модем, тем самым испортив жизнь значительно большему количеству людей. А ведь есть еще и в-пятых, и в-шестых, и в-седьмых...

Теперь поговорим о том, как от всех этих ужасов предохраняться. Дело это совсем не такое сложное, как многим кажется: чтобы защититься от абсолютного большинства проблем, достаточно иметь минимальные знания о работе Интернета и придерживаться элементарных мер предосторожности, в первую очередь не запускать на своем компьютере что попало. Впрочем, об этом мы еще поговорим.

Что же нам потребуется? По большому счету всего две вещи — брандмауэр (он же файрвол) и антивирус. На практике это будет не две программы, а больше, но кто же нам считает?.. Впрочем, начнем.

Брандмауэр, или файрвол, определяет, какие данные пропускать, а какие — нетИтак, брандмауэр. Его задача — пропускать к нашему компьютеру и выпускать из него только те пакеты данных, которые мы разрешим, и не пропускать все остальные. Основной сложностью в настройке брандмауэра является именно определение того, какие пакеты пропускать, а какие — нет. Но не пугайтесь — вам не придется изучать толстые тома с описаниями протоколов — все-таки мы защищаем не Пентагон, а домашний компьютер. Большинство современных брандмауэров уже содержат предварительные настройки по умолчанию и вдобавок имеют функцию обучения — при появлении какого-то неизвестного пакета спрашивают у вас, что с ним делать.

Есть два типа брандмауэров — «железные» и программные. «Железные» брандмауэры сейчас ощутимо подешевели (менее 100 у.е.), так что заранее исключать их из рассмотрения не стоит, особенно если у вас дома несколько компьютеров и вы подключаете целую домашнюю сеть. Дополнительным плюсом может быть то, что многие брандмауэры включают в себя маршрутизатор (зачастую с поддержкой NAT) и ADSL-модем. Программные файрволы представляют собой, как несложно догадаться, программу, выполняющуюся на защищаемом компьютере.

«Железный» и программный файрволы не конкурируют, а дополняют друг другаВ идеале желательно установить и «железный», и программный брандмауэр, но в крайнем случае можно обойтись и одним программным. Дело в том, что «железный» файрвол может ориентироваться только на IP-адреса и порты проходящих пакетов, принимая решение, пропускать их или нет. То есть он вполне успешно отразит DoS-атаку или попытку подключения к вашему компьютеру по какому-то запрещенному порту, но при этом позволит вам отправить почту. Однако узнать, была ли эта почта отправлена вашей почтовой программой или злобным троянцем, собравшим все пароли, он не сможет и успешно пропустит и то и другое.

Если вы подключаете домашнюю сеть, то использование «железного» брандмауэра может облегчить жизнь очень существенно. Прежде всего он будет выступать в качестве первой линии обороны, отражая всевозможные сканирования портов, попытки подключения и DoS-атаки (DoS или Denial of Service — это когда на компьютер посылается множество пакетов, обработка которых полностью загружает процессор, не позволяя обслуживать других клиентов). В современных домашних брандмауэрах также присутствуют DHCP-сервер (который будет автоматически настраивать TCP/IP на компьютерах вашей домашней сети), NAT (Network Address Translation), позволяющий нескольким компьютерам совместно использовать подключение к Интернету и один IP-адрес (кстати, NAT — это еще один уровень защиты, существенно затрудняющий проникновение на ваш компьютер) и коммутатор, который позволит вам объединить все компьютеры в сеть. При этом вы сможете выключать любой из компьютеров сети, не мешая остальным пользоваться Интернетом (а в случае если подключение идет через один из компьютеров, вам придется все время держать его включенным и работоспособным, причем какая-то часть его ресурсов будет постоянно тратиться на обслуживание сети). Подключение и настройка подобного устройства, как правило, особых проблем не вызывают (хотя инструкцию прочитать все-равно очень рекомендуется!), за одним исключением: если в нем присутствует еще и ADSL-модем, то вам придется связываться с провайдером и узнавать требуемые настройки. Впрочем, это не так сложно.

В одной небольшой «железке» помещается целый комплекс устройств, обеспечивающих безопасность и подключение к сетиИз опробованных в работе «железных» брандмауэров домашнего уровня неплохо себя зарекомендовали D-link DSL-G604T (ADSL-модем плюс точка доступа Wi-Fi 802.11g плюс четырехпортовый коммутатор Ethernet) и TrendNet TW100-BRM504 (то же самое, но без Wi-Fi и с несколько более продвинутыми функциями защиты).

Программный файрвол является абсолютно необходимым при наличии быстрого и постоянного соединения с Интернетом независимо от того, установлен у вас «железный» брандмауэр или нет. Основное его достоинство заключается в том, что, работая на вашем компьютере, он может разрешать или запрещать соединения, ориентируясь не только на адреса и порты компьютеров, но и на те программы, которые хотят что-то куда-то отправить или откуда-то получить. То есть вы можете разрешить своей почтовой программе отправлять почту, а если какой-то троянец захочет проделать то же самое, то у вас появится запрос, разрешить ли ему это сделать. Основная сложность при настройке программных файрволов заключается именно в том, чтобы распределить разрешения на выполнение тех или иных функций между программами, поэтому настоятельно рекомендуется, прежде чем нажимать на кнопки «разрешить» или «запретить», понять, что именно вы разрешаете или запрещаете.

При желании всегда можно найти бесплатную альтернативуПрограммных брандмауэров существует довольно много, причем большинство имеют и бесплатные версии для персонального использования. Разумеется, эти бесплатные версии несколько ограничены в своих возможностях, но тем не менее для домашнего использования их вполне хватает. Попробуйте, например, присмотреться к Sygate Personal Firewall, Outpost FREE или ZoneAlarm. Кстати, в Windows XP уже присутствует встроенный файрвол, но он обладает настолько базовыми функциями, что проще всего его сразу отключить. Практически любой из альтернативных брандмауэров намного более удобен и эффективен.

Без антивируса — никудаТеперь, когда с брандмауэрами покончено, перейдем к антивирусам. Они тоже необходимы. Дело в том, что файрвол сможет защитить вас от сетевой атаки, но окажется бессилен перед, скажем, зараженной каким-то вирусом программой, которую вы скачаете из Сети. А при быстром-то соединении накачать всего можно много и быстро... Впрочем, о необходимости антивирусов писалось уже очень много, так что просто упомяну, что Windows-версии антивируса Касперского работают очень хорошо и надежно, но при нежелании тратить деньги можно найти и бесплатные альтернативы, например AVG Free Edition, AntiVir Personal Edition, Free avast! Home Edition и другие. А так как соединение у вас все равно быстрое, то можно и какими-нибудь онлайновыми антивирусами воспользоваться, благо найти их совсем не сложно.

Теперь, когда все это добро скачано, установлено и более или менее настроено, можно передохнуть и почувствовать себя в относительной безопасности. А в следующей статье мы поговорим о некоторых дополнительных программах, которые могут нам помочь...

Ссылки по теме

• Стена персонального огня
• Операционка для роутинга
• ZyXEL P662-HW EE: полезные возможности
• Эта волшебная технология DSL