Межсетевой экран защищает от вирусов

В наш век информационных технологий компьютер просто обязан быть подключенным к глобальной или, в крайнем случае, локальной вычислительной сети. Без этого он превращается или в печатную машинку, или в калькулятор

Сети - это источник информации. А ведь вычислительная техника сегодня применяется именно для получения и переработки информации. Но, как только пользователь выходит в сеть, он сталкивается с проблемами сетевой безопасности, с хакерами, вирусами, ошибками ПО, способными повлечь утечку ценной информации. И тут уж пользователю приходится вплотную познакомиться с огромным спектром программного обеспечения, защищающего его от всяких напастей: с антивирусными продуктами, межсетевыми экранами разных классов и мощностей, а также с тонкостями настройки браузеров, почтовых клиентов, с дисциплиной в сети (этого не закачивай, того не запускай, туда не ходи и т.п.).

И вот пользователь (или администратор сети) решился себя защитить. Поставил себе на рабочую станцию (сервер) межсетевой экран (firewall), научился им пользоваться (а я должен заметить, что это очень непростой класс программ, требующий от пользователей некоторых знаний), настроил его, создал все необходимые правила. Но и этого мало. Допустим, от прямых хакерских атак, DoS-атак, от backdoor- и какой-то разновидности троянских программ вы в определенной степени защищены - но ведь это далеко не все!

Защита от хакеров более актуальна для серверов, оказывающих какие-либо услуги (хранение информации и предоставление ее пользователям, доступ к глобальной сети Internet и т.п.). Конечным же пользователем межсетевой экран может применяться для разграничения доступа различных приложений к ресурсам сети.

Наиболее актуальной проблемой для такого пользователя остаются вирусы, черви и троянские программы. По статистике антивирусных компаний, более 95% всех вредоносных программ, распространяющихся в глобальной сети составляют сетевые черви, из них 99% - почтовые.

В связи с тем что почтовые черви распространяются чрез электронную почту, практически все межсетевые экраны оказываются неэффективны. Откуда firewall'у знать: пользователь ли отправляет письмо - или же это червь рассылает себя. Некоторые администраторы почтовых серверов в борьбе с вирусами применяют самые кардинальные меры - почтовый сервер не пропускает файлы, имеющие запускные расширения (EXE, COM, PIF, BAT, CMD, SCR и т.п.). Но ведь это тоже не выход. Так, сетевой червь I-Worm.Lentin отправляет свои копии в ZIP-архиве (неужели теперь и архивы резать будем?).

Кроме того, чаще всего пользователи сами находят проблемы на свою голову: открывают файлы, приходящие по электронной почте невесть откуда (и нередко таящие за двойными расширениями тела червей), посещают сомнительные веб-сайты, закачивают и запускают разнообразные "ускорители интернета" или новые хранители экрана. Не зря ведь самым узким звеном в любой системе безопасности считается человек.

Некоторые межсетевые экраны имеют возможность запоминать информацию о приложении в момент создания правила для доступа этого приложения к ресурсам сети. При каждом повторном доступе производится проверка соответствия этой информации. Таким образом, в случае изменения приложения или используемых им модулей firewall выдаст предупреждение вроде: "Приложение … было модифицировано. Разрешить ему установить соединение?". Такая возможность может оказаться очень полезной для конечного пользователя и при правильном использовании должна препятствовать доступу "троянизированных" приложений к ресурсам сети.

Все эти факторы расширяют функционал межсетевых экранов, дополняя его следующими возможностями:

• защитой от DoS атак;
• ограничением возможностей удаленного доступа к системным ресурсам компьютера;
• разграничением доступа приложений к ресурсам сети;
• детектированием почтовых и сетевых червей, создающих для распространения собственное соединение с удаленным ресурсом;
• детектированием троянских программ, создающих собственное соединение для передачи данных;
• детектированием backdoor-программ (приложений для удаленного доступа) использующих прямое соединение;
• блокированием доступа "троянизированных" приложений к ресурсам сети.

Думаю, никого не надо убеждать в необходимости использования антивирусных продуктов. Вирусы, черви, троянские программы сопровождают электронно-вычислительную технику повсюду - даже независимо от наличия или отсутствия подключения к сети. И люди уже привыкли более или менее часто пользоваться антивирусами. В конце концов, пользователь не может (да и не должен) знать особые приметы и тонкости работы десятков тысяч вредоносных программ, которые уже детектируются и нейтрализуются антивирусными продуктами. Не станем обсуждать сейчас, какие антивирусы хороши, а какие плохи,- не в этом цель данной статьи. Если человек пользуется любым более или менее качественным антивирусным продуктом, обладающим необходимым набором модулей, и регулярно его обновляет - это уже неплохо.

Существуют два принципиально разных метода детектирования вредоносных программ антивирусными продуктами:

• поиск известных вирусов по присутствующим в антивирусных базах вирусным сигнатурам;
• поиск неизвестных вирусов по характерным для вирусов участкам кода.

Суть первого метода (поиск по сигнатурам) - в том, что антивирусные компании анализируют каждый (!) поступивший к ним вирус и добавляют соответствующую сигнатуру, которая будет обнаруживать только этот вирус. Для похожих вирусов (их семейств) выделяются также универсальные сигнатуры, способные обнаружить также и новые модификации данных вирусов. Для каждой антивирусной записи делается свой модуль лечения, благодаря которому антивирус сможет исцелить зараженный файл.

Преимущества данного метода очевидны: он практически не дает ложных срабатываний антивируса (при условии качественного добавления антивирусной записи), определяет каждый конкретный вирус и может его обезвредить (насколько это возможно в принципе). Но отсюда же выплывают и недостатки: невозможность обнаружения новых вирусов, необходимость постоянного обновления антивирусных баз.

Кардинально отличается от сигнатурного метода метод эвристического поиска. Эвристические анализаторы различных продуктов могут работать по-разному. Фактически каждый из них - это know-how той или иной компании. Но вся работа эвристических анализаторов сводится к одному: поиск последовательностей кода (исполняемых команд), характерных для того или иного типа вирусов.

Основной сложностью при реализации алгоритмов эвристического поиска является отсеивание ложных срабатываний. Вроде бы при детектировании вирусов все просто: если программа размножается - значит, это вирус. Остается только написать модуль, который сможет проанализировать предоставляемый код и с высокой долей вероятности определить, не обладает ли код "подозрительными" функциями.

С троянскими программами все намного сложнее. Зачастую даже специалисту по информационной безопасности, бывает тяжело сказать: является данная программа троянской или нет. По какому критерию программа относится к троянской: "если программа делает что-то, о чем пользователь не знает и чего не желает выполнять" или "если программа нарушает логику работы компьютера". Согласитесь - определения весьма расплывчатые. А как же с этой проблемой справиться модулю эвристического поиска, не имеющему человеческого опыта и интеллекта?

Именно из-за описанных выше проблем эвристические анализаторы способны обнаруживать далеко не все вредоносные программы. Для некоторых типов вирусов этот показатель близок к ста процентам - для других же может колебаться в пределах 30-60% (для троянских программ этот показатель всегда ниже, чем для вирусов). Кроме того, эвристические анализаторы могут иногда ошибаться и обзывать вирусами вполне мирные и привычные нам программы - это называется ложным срабатыванием.

Антивирусные продукты, как правило, используют оба метода поиска вирусов, что несколько замедляет их работу, зато увеличивает количество детектируемых вирусов.

Описанные достоинства и недостатки определяют возможности антивирусных продуктов:

• обнаружение и нейтрализация огромной базы (десятки тысяч) известных вирусов и вредоносных программ;
• обнаружение средствами эвристического поиска подозрительных файлов;
• нейтрализация/изолирование зараженных и подозрительных файлов;
• обращение повышенного внимания пользователя на подозрительные вирусы файлы.

Итак, подводим итоги. Одно средство защиты не способно перекрыть все секторы безопасности. Рядовой пользователь, не владеющий коммерческой или государственной тайной, при разумном подходе может довериться антивирусным продуктам и целиком на них положиться. Но в случае с корпоративными вычислительными сетями, берегущими свою информацию, картина совершенно иная. Вирус или вредоносная программа может быть написана специально для них. Учитывая, что злоумышленник может знать, какими антивирусами пользуется компания, он имеет возможность использовать те же программы, чтобы определить, обнаруживается написанный им вирус или нет. Если вирус обнаруживается, злоумышленник продолжает вносить в него необходимые изменения - до тех пор пока вредоносная программа не перестанет детектироваться. Таким образом, всегда остается ненулевая вероятность попадания на ваш компьютер троянской программы или вируса, не обнаруживаемого установленным у вас антивирусом.

Теперь о том, что касается межсетевых экранов. Можете ли вы, работая в глобальной сети Интернет или в вашей локальной сети и защищаясь только межсетевым экраном, быть уверенными, что от вас не уходит ценная информация? Однозначно нет. Зачастую вредоносные программы пересылают злоумышленнику похищенную информацию посредством тех же каналов и протоколов, которые вы сами обычно используете при обмене данными. То есть:

• отправив письмо используемым вами почтовым клиентом;
• открыв используемым вами браузером веб-страницу на специальном сайте и передав туда информацию;
• отправив данные через IRC, ICQ или другие средства связи.

Какую же картину мы наблюдаем? Средства защиты обязательно должны комбинироваться. Каждый продукт должен отвечать за свой сектор комплексной системы защиты информации. Антивирусы пусть обнаруживают уже известные вирусы и обращают внимание пользователя на подозрительные файлы. Межсетевые экраны пусть разграничивают доступ приложений к локальным и глобальным сетям, а также отслеживают попытки "чужих" приложений обратиться к сети. Пользователь же, работающий с вычислительной системой, должен соблюдать основные принципы безопасной работы, придерживаться рекомендаций специалистов по информационной безопасности и помогать программам, защищающим его систему: обновлять их, следит за их работоспособностью, внимательно относится к поступающим сообщениями о подозрительных действиях. Администраторы, в свою очередь, обязаны максимально ограничивать возможность пользователя активизировать инфицированный или подозрительный файл.

Для корпоративных сетей система защиты информации еще более усложняется. В основном, это происходит из-за необходимости защиты не только и не столько рабочих станций, а еще и серверов различного назначения (почтовых, файловых, веб, внутренних баз данных и др.).

На рисунке ниже приведены основные методы проникновения вирусной угрозы и методы их пресечения. При таком подходе продукты, предназначенные для защиты информации, дополняют друг друга. Кроме того, желательно, чтобы на рабочих станциях и на серверах устанавливались антивирусные продукты различных разработчиков, поскольку чаще всего на маршруте своего следования файлы проверяются, как минимум, дважды - и, чем большим количеством различных антивирусов они будут проверенны, тем выше вероятность детектирования вируса.

Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке программных средств защиты информации. Как правило, требуется создание отдельной организационно-технической системы.

В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего устанавливаемого ПО. Программные средства должны удовлетворять возложенным на них задачам, техническим возможностям защищаемых ПК, а также грамотности пользователей в вопросах антивирусной/сетевой защиты.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Н. В. Медведев, Г. А. Гришин

Рассмотрена возможность проникновения вирусов через средства защиты (межсетевой экран). Рассмотрена уязвимость технологии Windows Host Script (WHS) и приведен список опасных функций на языке VBScript.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Н. В. Медведев, Г. А. Гришин

ИНФОРМАТИКА И ВЫЧИСЛИТЕЛЬНАЯ I

Н. В. Медведев, Г. А. Гришин

ЗАЩИТА ПЕРСОНАЛЬНОГО МЕЖСЕТЕВОГО ЭКРАНА ОТ НЕАВТОРИЗОВАННОГО ДОСТУПА

Рассмотрена возможность проникновения вирусов через средства защиты (межсетевой экран). Рассмотрена уязвимость технологии Windows Host Script (WHS) и приведен список опасных функций на языке VBScript.

Архитектура персонального межсетевого экрана. Современные межсетевые экраны (МЭ) являются сложными и многофункциональными системами. Можно выделить следующие основные компоненты (модули) МЭ (рис. 1): модуль фильтрации IP-пакетов (пакетный фильтр), прикладные шлюзы (прикладные посредники), подсистема восстановления, подсистема контроля целостности, сервер аутентификации (модуль аутентификации и авторизации), подсистема мониторинга, подсистема регистрации (журнал событий), подсистема управления. Для более ясного понимания принципов функционирования и функциональных возможностей МЭ рассмотрим подробнее назначение и взаимодействие этих компонентов.

Знание архитектуры позволяет более полно оценить возможности продукта. Под архитектурой МЭ понимают прежде всего технические решения разработчиков, принятые за основу реализации разрабатываемого продукта. При этом выделяют базовую платформу (аппаратную часть, операционную система (ОС)), языки и среду разработки и, конечно, алгоритмы функционирования как отдельных модулей, так и всего МЭ в целом. Этапу проектирования предшествует этап определения функциональных возможностей, целей, задач, условий и границ использования продукта. Как правило, по вполне понятным причинам производители не раскрывают особенностей алгоритмов функционирования своих продуктов.

Существует один из немногих компонентов архитектуры МЭ, особенности реализации которого подчеркивают производители, — ядро МЭ. Оно реализует функции по первичной обработке потоков данных и в большинстве случаев определяет ряд показателей МЭ, таких как безопасность, производительность, устойчивость к атакам типа "отказ в обслуживании".

МОДУЛЬ ФИЛЬТРАЦИИ IP-ПАКЕТОВ

Обобщенная архитектура межсетевых экранов

Ядро МЭ встраивается ниже сетевого стека ОС или полностью заменяет ее некоторые низкоуровневые модули (драйверы), тем самым усиливая ее сетевой стек. Большинство МЭ (все коммерческие экспертного класса) не полагаются на поддержку системы защиты самой ОС, а применяют собственные драйверы устройств и стеки протоколов. Использование специально разработанного сетевого стека позволяет значительно повысить защищенность ОС. Так, например, в состав МЭ BlackHole компании Milky Way входит собственный сетевой стек "Hardened TCP/IP Stack", который заменяет собственный стек Windows NT и может работать независимо. Даже использование этого стека без самого МЭ позволяет ограничивать максимальный размер пакетов и TCP-окна, управлять параметрами протокола АЯР (время тайм-аута, время жизни, время повтора запросов), блокировать пакеты на основе заданных параметров, защищаться от Syn-flood-атак, отправлять уведомления о событиях на другой хост.

Реализация ядра на прикладном уровне характерна для МЭ, выступающих в роли прикладных посредников или реализующих функции защиты на основе прикладных протоколов. Уязвимости ОС могут стать причиной уязвимости и самого МЭ. Особенно недопустимы ошибки в стандартных библиотеках операционных систем (ОС). Так или иначе,

МЭ пользуется услугами, предоставляемыми ОС (управление памятью и другими ресурсами, операции ввода/вывода, обработка строк и др.). Появление (наличие) ошибки в любой из этих библиотек может привести к ослаблению защиты МЭ. Особенно это обстоятельство характерно для уязвимостей, вызванных ошибками переполнения буфера (buffer overflow).

Наиболее полно документирована архитектура сетевого стека ОС компании Microsoft, которая предоставляет несколько интерфейсных уровней, позволяющих не только разрабатывать новые сетевые протоколы и драйверы сетевых адаптеров на основе API, но и выполнять различные операции над сетевым графиком. Согласно работе [1] в зависимости от типа ОС (Windows 95/98, Windows NT, Windows 2000, Windows ХР) существует возможность реализации пакетной фильтрации в пользовательском режиме ОС четырьмя способами, а в режиме ядра — пятью.

Значительная часть уязвимостей сетевых систем зависит от поэтапного повышения прав пользователя. Сетевая система становится полностью контролируемой при получении прав суперпользователя (root или administrator). Подобную схему можно использовать при получении возможности управления МЭ. МЭ, работающие под управлением специальных защищенных версий UNIX (CX/LIX, CX/SX), реализуют более высокий уровень защиты. В защищенных ОС внутренние механизмы защиты реализованы особым образом. Первые реализации МЭ на основе защищенных ОС называли "Bastion host".

Постановка задачи. Многие персональные межсетевые экраны ограничивают сетевой доступ путем отслеживания приложений, пытающихся взаимодействовать с сетью. Часто контролируется и целостность разрешенных приложений, что бы специальное программное обеспечение не могло модифицировать их код. Это делает невозможной установку программ для скрытного удаленного администрирования.

Общая идея обхода подобных мер защиты, это использование доверенного клиентского приложения (например, браузера) для доступа в сеть. Обычно это реализуется путем контроля приложения с использованием техник внедрения DLL, WriteProcessMemory(), CreateRe-moteThread() и т. д.

Использование этих техник зачастую требует высоких привилегий суперпользователя (root или administrator) и достаточно хорошего знания операционной системы. Кроме того, современные межсетевые экраны часто блокируют потенциально небезопасные вызовы API. Еще одна трудность заключается в том, что при реализации этого подхода приходится самостоятельно реализовывать все сетевое взаимодействие, ожидаемое от клиентской программы (например, HTTP для

браузера) и задействовать механизмы определения сетевой топологии. То есть, если в сети есть Proxy, необходимо уметь работать через него. Кроме того, доступ клиентского приложения к различным сетевым адресам может быть ограничен межсетевым экраном.

Поэтому предлагается более простой и эффективный способ, основанный на использовании технологии Microsoft Windows Host Script. Программный комплекс реализован на языке программирования VBScript.

В указанном примере программа работает следующим образом:

— указывается имя пользователя и пароль, что обеспечивает доступ к почтовому ящику на сервере;

— отсылается уведомляющее сообщение "ready" указанному адресату;

— каждые 20 с программой проверяется папка "Входящие" на наличие сообщений с темой XXX.request (XXX — целое число);

— если подобное сообщение пришло, программа читает его, удаляет и передает содержимое сообщения командному интерпретатору WHS;

Текст программы на VBScript с использованием технологии WHS приведен в листинге 1.

Хакеры терроризируют корпоративные сети не первый год, но владельцев домашних компьютеров они до поры до времени не тревожили. Теперь этой спокойной жизни пришел конец — системы домашних пользователей Internet и сотрудников компаний, работающих вне офисов, становятся объектами применения все тех же грязных приемов. Положение домашних пользователей, компьютеры которых постоянно подключены к сети при помощи DSL- или кабельных модемов, усугубляется тем, что они лишены возможности воспользоваться услугами специалистов группы сетевой безопасности предприятия или установить у себя устройства сетевой защиты. Без этой поддержки сети офисов малых предприятий и пользователи домашних ПК остаются беззащитными перед атаками злоумышленников.

На помощь могут прийти персональные межсетевые экраны. Эти облегченные недорогие системы сулят многое, но могут ли они на деле обеспечить надежную защиту? Под силу ли установка таких систем неопытным пользователям и удастся ли чувствовать себя спокойно под их защитой? Ответы на эти вопросы способны удивить многих.

Персональный межсетевой экран рассчитан на то, чтобы защищать один ПК от нежелательного проникновения или атаки в то время, когда он подключен к Internet. Экраны выполняют эту функцию, контролируя входящий и исходящий трафик. Они не создают препятствий для передачи данных стандартных приложений и удаляют несанкционированный трафик или информацию неизвестного происхождения, применяя правила защиты, определенные пользователем. В корпоративных же сетях загрузку стандартных конфигураций защиты на межсетевые экраны предприятия обеспечивает центральный сервер политики.

Сегодня существует три разновидности персональных межсетевых экранов: автономные, экраны-устройства и экраны на базе агентов.

Наиболее распространенные автономные межсетевые экраны реализуются программно. Они устанавливаются на ПК и работают под управлением большинства операционных систем, в том числе Windows 95/98/NT и иногда Windows 2000. Автономные межсетевые экраны защищают только одно рабочее место, поэтому их администрированием занимается владелец этого компьютера.

Межсетевые экраны-устройства — это аппаратные решения, работающие в точке подключения к Internet. Они выполняют функции маршрутизатора, коммутатора и межсетевого экрана. Как правило, на них не требуется устанавливать дополнительное программное обеспечение, однако DSL- или кабельный модем остается нужен по-прежнему. Большинство межсетевых экранов данного типа может защищать до 250 хостов, поэтому они часто используются предприятиями для защиты соединений с небольшими удаленными офисами. Владелец аппаратного брандмауэра может сам заниматься его администрированием, но может и доверить эту работу независимой организации, которая будет выполнять администрирование удаленно.

Межсетевые экраны на базе агентов — это программные решения, в основном подобные автономным экранам, за тем исключением, что набор правил обеспечения безопасности для них задается центральным сервером, как правило, установленным в корпоративной сети. Межсетевые экраны на базе агентов выполняют эти правила на хосте, на котором работает удаленный агент.

Пользователи могут найти большинство необходимых им функций в экранах, которые стоят не дороже 50 долларов, а некоторые распространяются бесплатно (см. Таблицу). Однако при выборе межсетевого экрана соображения стоимости следует учитывать в последнюю очередь.

Для оценки перечисленных ниже персональных межсетевых экранов я установил каждый программный продукт на систему с самой последней версией операционной системы, которую он поддерживает. Так как экраны-устройства самодостаточны, я подключил их к небольшой локальной сети и сконфигурировал так, чтобы они обеспечивали ее защиту.

Я определял возможности каждого межсетевого экрана путем выполнения на защищенном хосте стандартных приложений, таких, как браузеры Web и клиенты электронной почты. Кроме того, при помощи имевшихся в моем распоряжении сигнатур атак я имитировал сканирование как портов, так и сервисов, а также атаку по типу отказ в обслуживании (Denial of Service, DoS) на защищаемый хост. Таким образом, мне удалось оценить уровень защиты, обеспечиваемой данным экраном, качество ведения системного журнала и удобство процедуры уведомлений в реальном времени.

Список функций межсетевого экрана Personal Firewall компании McAfee, который раньше назывался Signal 9 Solutions ConSeal Private Desktop, весьма внушителен. Он может запрашивать введение пароля для изменения установок экрана и обеспечивать различные уровни защиты для различных интерфейсов.

Как правило, программы-шпионы не наносят системе вреда, но они часто раскрывают информацию о последних загрузках программ, посещаемых сайтах Web и перечне средств, установленных на данном ПК. Антивирусные комплексы не регистрируют эти программы, поскольку они не считаются вредоносными.

Personal Firewall предлагает три готовых набора правил обеспечения безопасности: Block Everything (полная блокировка), Filter Traffic (фильтрация трафика) и Allow Everything (отсутствие блокировки). Режим Block Everything полностью оправдывает свое название: реализовать его можно другим способом и совершенно бесплатно — просто отключившись от Internet. С другой стороны, Allow Everything означает, что защита попросту отсутствует. Таким образом, рассмотрения заслуживает только ружим Filter Traffic, поскольку он предоставляет возможность решать, пропускать или нет трафик для тех или иных портов и тех или иных протоколов.

Установка Personal Firewall требует от пользователя больших усилий. После перезагрузки, которая следует за установкой программы, ему предлагается прочесть файл readme. После выхода из файла readme, где объясняются обязательные действия, которые необходимо выполнить вручную, придется набраться терпения, поскольку система еще раз напомнит о каждом из этих действий, в том числе о ручной загрузке и активизации драйверов межсетевого экрана McAfee, одного за другим. Впрочем, если сбросить со счетов эти досадные неудобства, Personal Fierwall McAfee представляет собой достаточно надежный персональный межсетевой экран. И все же компании следует поработать над упрощением программы и совершенствованием ряда ее функций.

Название BlackICE Defender (продукт компании Network ICE) имеет, вероятно, наибольшую известность на рынке персональных межсетевых экранов в США. BlackICE Defender прост в установке и конфигурации, кроме того, он предоставляет широкие возможности выбора режима политики безопасности, среди которых имеются Trusting (доверительный), Cautious (умеренная предосторожность), Nervous (преувеличенная предосторожность) и Paranoid (мания преследования). Режим по умолчанию, Cautious, хорошо защищает хост, хотя оставляет открытыми для атак некоторые низкоприоритетные уязвимые места. Два наиболее жестких набора правил, Nervous и Paranoid, оставляют открытым доступ только для ICMP и traceroute, однако, возможно, они делают это для того, чтобы позволить нормально работать системе выявления вторжений. Необходимо отметить, что BlackICE Defender успешно отражает даже самые последние формы атак по типу отказ в обслуживании.

Средства выявления вторжений экрана BlackICE Defender корректно идентифицируют как простые, так и фрагментированные атаки (сканирование портов), таким образом, систему можно сконфигурировать так, чтобы предупреждения пользователям выдавались различными способами. Кроме того, BlackICE Defender может блокировать злоумышленников, используя их IP-адреса и имена хостов, либо в течение определенного времени, либо неопределенно долго. Defender автоматически выполняет операции обратного отслеживания для определения IP-адреса, имени хоста и даже идентификатора логического входа NetBIOS злоумышленника, если они доступны. Однако средства выявления вторжений иногда некорректно определяют некоторые виды активности в сети, не несущие никакого вреда, квалифицируя их как разновидность атаки. Впрочем, большинство пользователей быстро набираются опыта в отделении таких некорректных предупреждений от реальных угроз.

BlackICE Defender можно считать подходящим для любого пользователя вариантом. Простота установки и использования уже позволила ему завоевать значительную долю рынка персональных межсетевых экранов.

Компания Network Associates недавно выпустила новейшую версию Pretty Good Privacy (PGP) с впечатляющим набором характеристик. Наряду со стандартными функциями, которые имеются и в предыдущих версиях, такими, как шифрование файловых систем, создание цифрового ключа и поддержка VPN, PGP Desktop Security 7.0 обладает функциональностью межсетевого экрана и системы выявления вторжений.

PGP 7.0 Personal Firewall поддерживает развитый набор правил обеспечения безопасности, как готовых, так и настраиваемых. Для создания собственного комплекта правил достаточно просто выбрать существующий набор и отредактировать его с помощью простого интерфейса, подсказывающего, какие действия выполнять. Тем не менее по умолчанию предоставляется набор правил None (защита отсутствует), поэтому непосредственно после установки продукта уровень безопасности системы не повысится ни на йоту. Пользователю придется вручную выбрать список желаемых правил из предлагаемых опций Personal Firewall или создать нужный по имеющимся шаблонам.

PGP 7.0 может отличать сервер от клиентского компьютера. Если вы выполняете какие-либо серверные приложения на ПК, то вы обязательно оцените готовые наборы правил. При установках Minimal (минимальная безопасность) сканирование сервисов и портов позволило выявить большое количество уязвимых мест невысокой степени риска на защищаемом хосте, при этом средства обнаружения вторжений корректно распознают проводимую атаку. Предупреждения об атаках можно конфигурировать так, чтобы они подавались в форме звуковых или визуальных сигналов либо уведомлений по электронной почте. По умолчанию система выявления вторжений квалифицирует атакующего как нарушителя, после чего не разрешает взаимодействие в обоих направлениях с отмеченным узлом до тех пор, пока пользователь вручную не отменит эту установку.

При установках Client High (максимальная защита) не было выявлено никаких уязвимых мест при сканировании портов, сервисов или при атаке по типу отказ в обслуживании. Фактически защищенный хост был полностью неуязвим для всех известных комбинаций атак. Однако при этих установках система обнаружения вторжений PGP 7.0 не смогла распознать проводимую атаку. Для ее работы необходим хотя бы минимальный трафик, а поскольку практически ничего не допускалось внутрь, система выявления вторжений не имела в своем распоряжении материала для анализа.

Кроме того, следует иметь в виду, что, даже если вы сможете составить столь сложный набор правил, его не удастся сохранить. После выбора опции возврата — даже временного — к готовому набору правил, что выполняется простым нажатием на клавишу мыши, настроенные правила становятся теперь недоступными. Еще одним настораживающим аспектом системы PGP 7.0 является то значение, которое для нее имеет модуль PGPnet. Если по какой-то причине пользователь отключит модуль PGPnet, то он невольно отключит и всю защиту межсетевого экрана.

Недостатком системы выявления вторжений PGP является то, что она не может установить источник атаки. Мало того, она просто не работает в конфигурации по умолчанию. Так как по умолчанию трафик от злоумышленников заблокирован, проследить его путь не удается.

Несмотря на некоторые, не слишком существенные недостатки, система PGP Desktop Security 7.0 представляет собой мощный набор интегрированных продуктов обеспечения безопасности для домашних ПК. Способность PGP Desktop Security 7.0 обеспечить адекватную защиту ПК и создавать защищенные каналы связи (VPN) делают этот продукт уникальным.

Система ZoneAlarm компании Zone Labs является, несомненно, самой дружелюбной. Ее очень просто устанавливать и конфигурировать. Благодаря возможностям интерактивного обучения ZoneAlarm, пользователю достаточно ответить на вопросы о разрешении или запрещении доступа для любого приложения, которое пытается взаимодействовать по сети, и система сама составит правила защиты.

Без защищенного соединения между сервером ICEcap Manager корпоративной сети и агентами злоумышленник легко может воспользоваться информацией об обновлениях правил, передаваемой по сети. По этой причине агенты BlackICE Agent совместимы со многими имеющимися сейчас на рынке клиентами VPN.

Практически все предоставляемые сейчас решения могут активизировать набор правил обеспечения безопасности для клиентов VPN с центрального шлюза VPN. За счет простого запрещения отправки данных помимо туннеля — по существу, способности взаимодействовать с компьютерами вне пользовательского домена, когда туннель установлен, — клиента заставляют сначала передать данные шлюзу VPN на другом конце туннеля, где затем трафик будет переадресован внешнему компьютеру, если это приемлемо. Третья сторона не может просматривать трафик, посылаемый с клиента или на него, поскольку он проходит через зашифрованный туннель. Поскольку любое взаимодействие клиента с внешней системой Internet должно осуществляться через корпоративный шлюз, то домашние клиенты VPN обеспечены той же защитой, что и корпоративные.

Кроме того, на домашних ПК должно быть установлено антивирусное программное обеспечение и ПО для шифрования, иначе пользователи смогут занести вирусы в сеть предприятия или сделать данные организации добычей злоумышленников в тех случаях, когда они не подключены к корпоративному шлюзу VPN. Главным требованием при использовании ПО для шифрования является надежная защита личного ключа (предназначенного для расшифровки защищенных данных). Для этого можно применить утилиту PGPdisk для шифрования файловых систем из продукта PGP Desktop Security 7.0 компании Network Associates. Эта утилита позволит организовать безопасное хранение корпоративных данных и получение обновлений файлов с сигнатурами атак для установленных на домашнем ПК антивирусных программ при каждом сеансе связи с сетью предприятия.

Функциональные возможности межсетевых экранов-устройств аналогичны экранам на базе агентов. Такие продукты вполне подойдут тем, кому нужны корпоративные решения с централизованным управлением персональными экранами или необходимо обеспечить защиту межсетевым экраном небольшого количества хостов в удаленном офисе. Возможно, использование межсетевых экранов-устройств окажется даже более практичным и выгодным для защиты двух или более ПК, которые получают доступ в Internet попеременно. Однако цена может отпугнуть большинство случайных пользователей.

Наибольшее распространение получили межсетевые экраны-устройства компании LinkSys — BEFSR 11, и компании SonicWall — SOHO. Эти продукты защищают хосты от атаки и, кроме того, предоставляют целый ряд дополнительных возможностей.

Экран SOHO обеспечивает преобразование адресов (Network Address Translation, NAT), функции proxy-сервера Web, антивирусную защиту, несколько идентификаторов пользователей, поддержку протокола RADIUS, функции сервера и клиента DHCP, фильтрацию информационного наполнения Web, поддержку VPN, аутентификацию на основе цифровых сертификатов, централизованное управление политикой безопасности и настраиваемые правила защиты.

Пожалуй, одна из наиболее важных функций этого набора — централизованное управление политикой безопасности, хотя это утверждение и может показаться спорным. Возможность загрузки правил обеспечения безопасности с центрального сервера на межсетевые экраны — это верх желаний администратора. Для множества организаций централизованное управление наборами правил — единственно верная политика. Именно поэтому экран SOHO является уникальным продуктом, обеспечивающим одновременно недорогое и управляемое решение по обеспечению безопасности.

Кроме того, межсетевой экран SOHO может помочь защитить компьютеры за счет использования частных IP-адресов. Так как экран SOHO действует на клиентском окончании Internet-соединения, то у провайдера услуг требуется приобрести только один IP-адрес для защиты всех хостов, расположенных за экраном. Без этой возможности программное обеспечение экрана придется устанавливать на каждый ПК, а также арендовать дополнительные IP-адреса у провайдера.

Межсетевой экран SOHO поддерживает также функции обнаружения вторжения, но механизм выдачи предупреждений реализован на базе электронной почты. Если соединения с почтовым сервером нет или если ПК подвергается атаке по типу отказ в обслуживании с помощью почтового протокола SMTP, соответствующего предупреждения не последует. SOHO протоколирует события на сервере Syslog, где этот журнал может быть подвергнут мониторингу со стороны корпоративной системы сетевого администрирования. Тем, кто выберет такое решение, придется активизировать обе эти функции.

Я включил этот продукт в список, поскольку он может выполнять функции персонального межсетевого экрана. Хотя он не выдает такого же количества предупреждений, как SOHO, его можно считать вполне адекватной и недорогой заменой последнего.

Возможность безопасного администрирования межсетевых экранов в удаленных офисах из центральной сети предоставляет в распоряжение корпораций функциональность, которой им давно недоставало. Так как в удаленных офисах часто нет специалистов по обслуживанию такой техники, требуется полное управление из центра. Но даже в этом случае перед поставкой новинок в удаленный офис необходимо выполнить их конфигурацию. Помимо этого, такие устройства нужно правильно подключить. Большинство из них имеет несколько интерфейсов, каждый со своими параметрами защиты, поэтому правильное подключение имеет решающее значение для их корректной работы.

Занимаетесь ли вы администрированием удаленных офисов или просто работаете на ПК дома, в любом случае вы, скорее всего, вложили немало труда и средств в свои компьютеры. Если же вы хотите должным образом защитить эти вложения, то персональные межсетевые экраны заслуживают самого пристального изучения.