Безопасность в интернете. Выбор брандмауэра

Безопасность в интернете. Выбор брандмауэраНи один антивирус не сможет защитить вас от атак из Интернета, если на компьютере не запущен брандмауэр. Расскажем, как повысить безопасность ПК, и предложит оптимальный набор программ.

Если на вашей машине есть антивирусный сканер, он может остановить действие вредоносного кода в системе, однако далеко не всегда способен предотвратить утечку конфиденциальной информации. Чтобы избежать проникновения в ОС различных вирусов и защитить ее от хакерских атак, подобный пакет безопасности должен работать в паре с программой, обеспечивающей контроль входящего и исходящего трафика. Данную задачу весьма успешно решают межсетевые экраны, которые также называют брандмауэрами.
Типичная ситуация: утилита без ведома пользователя устанавливает соединение с удаленным сервером. В лучшем случае подобное поведение программы может быть объяснено автоматическим обновлением модулей приложения, в худшем — действиями вредоносного кода. В обоих ситуациях «самоуправство» со стороны программы будет пресечено брандмауэром.
Межсетевой экран также применим для ограничения возможностей определенных пользователей компьютера по обращению ко Всемирной паутине. Например, с его помощью можно блокировать подключения интернет-пейджеров, разрешать или запрещать работу почтовых клиентов, браузеров и других программ, требующих соединения с Глобальной сетью. Все это особенно актуально для фирм и учреждений, где поддерживается строгая дисциплина, а системные администраторы бдительно следят за тем, чтобы Интернет использовался только в служебных целях.
Принцип работы брандмауэров в большинстве случаев один и тот же: программа перехватывает сетевые запросы и выполняет их фильтрацию согласно установленным правилам. Например, Windows 7 имеет в своем составе довольно мощный брандмауэр, который, впрочем, оснащен лишь базовыми функциями, не позволяющими более тонко настроить доступ к портам и сетевые правила для различных приложений. Для этих целей лучше использовать более профессиональный инструмент — например, межсетевой экран, встроенный в KIS 2012. Кроме того, в некоторых случаях с помощью брандмауэров можно существенно оптимизировать нагрузку на сеть, ограничив некоторым программам потребление трафика. Мы познакомим вас с особенностями работы таких защитных инструментов и тем, какие задачи можно решать с их помощью.

Использование файла hosts

Операционная система Windows настолько универсальна, что даже такую простую задачу, как блокировка доступа к серверу, умеет решать несколькими способами. Самый простой метод — с помощью файла hosts. Достаточно открыть его содержимое в Блокноте или другом текстовом редакторе и добавить туда строку вида «127.0.0.1 www.youtube.com». Данная команда позволит блокировать посещение популярного сервиса YouTube. Однако этот метод годится далеко не всегда, поскольку часто заранее невозможно предугадать, какой процесс будет устанавливать подключение, с каким узлом и каким образом. Кроме того, может возникнуть необходимость в избирательном ограничении доступа в зависимости от конкретного процесса.

Что нужно знать о портах и протоколах

Для некоторых утилит в брандмауэрах по умолчанию уже заложен некоторый стандартный набор инструкций и указаний, что значительно упрощает настройку межсетевого экрана. В других случаях пользователю приходится самостоятельно «обучать» программу.
Выбор ограничений при работе с Сетью — сложная задача, которая требует от пользователя понимания терминологии. Главный параметр, который встречается при конфигурировании межсетевого экрана, — порт. Обычно под этим термином подразумевается некий условный ресурс, который выделяется операционной системой для установки сетевого соединения. Каждый порт имеет свой номер, который используется процессами для организации передачи данных. При этом скорость потока во многом зависит от того, какой протокол применяется приложением — TCP или UDP. Одно из основных отличий между этими вариантами заключается в том, что второй не поддерживает проверку целостности данных, поэтому работает более быстро и часто применяется для передачи информации при организации локального чата.
Каждый протокол может использовать номера портов от 0 до 65535, и они не будут мешать друг другу. Для локальной передачи данных приложениям системой выделяется любой свободный порт с номером больше 1023. Для удаленных же соединений закреплен жестко определенный список портов. Например, клиент для обмена короткими сообщениями ICQ задействует два удаленных порта — 443 или 5190. В правилах межсетевого экрана можно разрешить соединения с удаленным адресом login.icq.com. В редких случаях, а также при задействовании веб-интерфейса сервис может использовать порт 80.
Для почтовых клиентов, таких как The Bat!, Thunderbird, Internet Mail, Outlook и прочие популярные программы для приема и отправки электронной корреспонденции, необходимо установить разрешение на доступ к следующим портам: 25-й — для отправки сообщений через SMTPсервер, 110-й и 143-й — для приема по протоколам POP3 и IMAP соответственно, а также 993-й — для безопасного соединения.
Порты 80, 443, 8080, 8100 обычно задействуются для работы интернет-браузеров (Opera, Mozilla Firefox, Internet Explorer и т. д.), а также других приложений, которые устанавливают соединения http(s), поэтому доступ к ним тоже необходимо оставлять свободным.
Большинство приложений, предназначенных для работы с FTP, используют два порта: исходящий на стороне сервера 20 (для передачи данных) и порт 21 (для команд).
Популярные программы для работы с торрентами, такие, например, как BiTorrent, можно смело заносить в списки доверенных — эти приложения не имеют привязки к портам. Некоторые из них могут генерировать номер порта в случайном порядке при каждом запуске клиента сети BitTorrent.
Стоит также отметить, что все перечисленные порты используются системой и программами при стандартной конфигурации сервисов, поэтому в отдельных случаях их номера могут отличаться от приведенных. Помимо этого обратите внимание на то, что в подавляющем большинстве ситуаций безопасные приложения используют обмен пакетами по протоколу TCP. Протокол UDP задействуется в основном системными службами DHCP (для распределения IP-адресов) и DNS (для идентификации 1Р-адреса по имени хоста).

Стандартный брандмауэр Windows

Необходимость в защитном сетевом инструменте очевидна, и в самой операционной системе от Microsoft он появился уже давно. Данный компонент вполне неплохо справляется со своими функциями, легко настраивается и содержит много предустановленных правил.
Чтобы перейти к подробным настройкам функций блокировки приложений, необходимо открыть «Панель управления | Все элементы Панели управления» и там выбрать и запустить «Брандмауэр Windows». Кликните по ссылке «Разрешить запуск программы или компонента через брандмауэр Windows». После этого на экране появится список установленных приложении, в котором флажками отмечены разрешенные. Непосредственно в этом списке можно запрещать или раз решать утилитам задействовать различные сетевые профили.
Стандартный брандмауэр Windows использует несколько профилей, в зависимости от типа установленного соединения. Обычно при обнаружении нового типа сети программа запрашивает пользователя, какой профиль следует выбрать и какие настройки для него установить. Например, тип «Общественный» нужно указывать для публичных сетей — скажем, в аэропорту или кафе, а тип «Домашний» можно выбирать для домашних или рабочих сетей.
При желании можно выполнить более тонкое конфигурирование брандмауэра Windows, но для этого необходимо переключить его в режим повышенной безопасности. Чтобы открыть нужное окно, просто наберите слово «брандмауэр» в меню «Пуск». В окне с настройками режима повышенной безопасности можно описывать любые ситуации и всевозможные условия, при которых межсетевой экран будет блокировать или пропускать передаваемые данные. Это могут быть правила для отдельных приложений, портов, а также управляющие подключениями для операций Windows.
Встроенный в ОС от Microsoft брандмауэр обладает лишь базовыми функциями, и его защитных характеристик хватит лишь на безобидный серфинг в Интернете с посещением надежных сайтов. Для более высокого уровня защиты лучше использовать сторонние приложения — например, от известных производителей антивирусного ПО. Хотя на популярных (надежных) сайтах наличие угроз крайне мала, в виду того, что владельцы таких ресурсов забояться об посетителе. Также угрозы незначительны на ресурсах где была произведена раскрутка сайта.

Универсальный защитник: KIS 2012

Среди большого количества антивирусных пакетов одним из наиболее универсальных средств обеспечения безопасности является Kaspersky Internet Security 2012 (годовая лицензия на два ПК стоит 1600 рублей). Он предлагает множество защитных механизмов — в частности, довольно мощный и тонко настраиваемый брандмауэр, который в режиме реального времени выполняет мониторинг сетевых подключений и позволяет отображать статистику в виде диаграммы передаваемых и получаемых пакетов. Данный брандмауэр показывает открытые порты и, если пользователь заподозрит утечку информации, может по одному клику заблокировать всю сеть.Также позволяется просматривать порты, открытые для разных приложений, и изучать статистику интернет-трафика по программам (отдельно входящего и исходящего).

KIS 2012
В Kaspersky Internet Security 2012 есть возможность тонкой настройки правил для каждой установленной в системе утилиты. Можно контролировать запуск приложением других процессов и их остановку, внедрение в другие процессы, низкоуровневый доступ к диску и файлам, скрытый доступ к сети с использованием командной строки браузера, подозрительные изменения в системе, такие как создание скрытых ключей реестра или доступ к параметрам учетных записей пользователей. Стоит отметить, что для любого приложения допускается настройка исключений. Например, если пользователь полностью ему доверяет, можно отключить проверку сетевого трафика, контроль за активностью программы, открываемыми файлами и дочерними приложениями.

Кроме того, в Kaspersky Internet Security 2012 реализован такой популярный режим сетевой фильтрации, как «Родительский контроль». При активации данного инструмента пакет задействует специальный фильтр для блокировки онлайновых ресурсов с нежелательным контентом (сайты с пропагандой секса, насилия, наркотиков и т. д.).

Оптимизатор нагрузки на сеть: Kingsoft PC Doctor

Как уже было сказано выше, большинство брандмауэров позволяют составлять списки правил, согласно которым передаваемая по Сети информация может блокироваться или пропускаться. Для контроля за безопасностью этих функций вполне достаточно. Однако если вы хотите более гибко управлять сетевым трафиком, то в дополнение к основному арсеналу межсетевого экрана придется искать специальные способы регулирования нагрузки на канал, создаваемой тем или иным процессом. В некоторых случаях пользователь очень остро ощущает нехватку такой полезной опции, которая помогла бы оптимизировать загруженность сети. Когда одно приложение (например, клиент для работы с сетью BitTorrent) устанавливает огромное количество потоков, скорость работы остальных программ, работающих с веб-сетью, может упасть настолько, что их использование станет просто невозможным.
Для решения этой проблемы можно использовать бесплатную утилиту оптимизации Kingsoft PC Doctor (wwwr.kingsoftsecurity.com). Данная программа обладает довольно широкой функциональностью: среди ее многочисленных инструментов есть и средства для работы с системным реестром, и встроенный антивирус, и — самое главное для решения нашей задачи — упрощенный вариант сетевого экрана.
Несмотря на весьма внушительный арсенал средств для мониторинга системы, Kingsoft PC Doctor демонстрирует очень хорошую совместимость с другими приложениями, поэтому вполне может использоваться вместе с основным антивирусным пакетом. Данная утилита предоставляет подробную статистику о сетевом трафике: вы сможете узнать, какие из приложений обращаются к Интернету и как часто это происходит. В отчетах программы также можно ознакомиться с общим объемом трафика за определенный период.
Если несколько приложений активно используют передачу данных, скорости интернет-соединения может оказаться недостаточно. В результате запущенные процессы начнут мешать друг другу, вызывая сбои в передаче данных, связанные с превышением порогового значения времени отклика. Чтобы избежать подобных проблем, зайдите в модуль мониторинга сетевого трафика Kingsoft PC Doctor и ограничьте скорость передачи данных для одного из приложений. Сопоставив сведения об объемах транслируемой информации для разных процессов, вы сможете самостоятельно решить, для каких утилит нужно выставить те или иные ограничения, а каким и вовсе запретить передачу данных.

Доверяй, но проверяй

Некоторые легкомысленные пользователи порой сами открывают путь злоумышленникам, присваивая малоизвестным сомнительным приложениям статус доверенных программ. Поэтому тем, кто желает защитить свой компьютер от вторжения извне, кроме перечисленных правил настройки брандмауэра следует также помнить и о том, что многие проблемы возникают по причине обычной беспечности. Инсталлируя загруженную из Сети игру или скринсейвер, нелегальное ПО и т. д., пользователь может запустить в систему «троянского коня», который откроет злоумышленнику конфиденциальные данные и предоставит возможность дистанционного управления. Будьте внимательны с устанавливаемыми программами, используйте антивирус и межсетевой экран — и подобные проблемы вас не коснутся.