Объясняет назначение брандмауэра. Что такое брандмауэр и как он работает? В чем заключается работа брандмауэра

Наверняка многие пользователи слышали, что такой элемент системы, как брандмауэр является очень важным для операционки. При этом не каждый пользователь знает, что это за компонент системы и для чего он необходим. Особенно полезно будет начинающим пользователям узнать, что из себя представляет брандмауэр, зачем он нужен и много другое о нем.

Назначение брандмауэра или файервола в том, что он выполняет контроль и фильтрацию всего трафика между компьютером и интернетом, а также другими сетями. Если не использовать файервол, тогда на компьютер будет попадать любой вид трафика. При активации брандмауэра на компьютер поступает только тот трафик, который не запрещен правилами файервола.

Почему в седьмой версии Windows и более новых файервол является составляющей системы?

На сегодняшний день практически все юзеры применяют роутеры для выхода в интернет, что позволяет подключать одновременно несколько устройств. Его в какой-то мере тоже можно назвать файерволом. Если используется прямое подключение к интернету с помощью кабеля или модема, тогда ПК получает публичный IP-адрес, к которому можно обратиться со стороннего ПК в сети.

При этом все сетевые службы такого компьютера, к примеру, утилиты операционки для совместного применения оборудования, удаленного рабочего стола можно использовать с другого ПК. Стоит отметить, что даже отключение дистанционного доступа к некоторым службам не полностью спасает от несанкционированного подключения. В основном на это влияет тот факт, что обычный пользователь не думает о том, что в его системе активно и ждет входящего подключения.

Кроме того, на это могут влиять различные слабые места в системе безопасности, через которые можно легко подсоединиться к удаленной службе, когда она активна, даже при запрете подключений к ней. В свою очередь, файервол не позволяет службам отправлять запросы, применяющие слабые места.

В первой редакции Windows XP, как и в нескольких последующих, интегрированного файервола в них не было. Во время выхода этой операционки серьезное распространение получил интернет. Как раз отсутствие брандмауэра и неграмотность пользователей в плане безопасности в интернете, стало причиной того, любой компьютер с Windows XP, который подключался к интернету, при целенаправленных действиях заражался вирусами в считаныне минуты.

Впервые файервол Windows появился на операционке Windows XP SP2, и с того момента все последующие версии выходили с интегрированным брандмауэром по умолчанию. Теперь все службы, которые упоминались выше, полностью отстранены от интернета, а файервол не позволяет выполнять входящие соединения, кроме тех случаев, когда брандмауэр это разрешает.

Кроме того, это не позволяет подключаться другим ПК из сети к сервисам на ПК пользователя. При этом файервол управляет доступом к сетевым сервисам из локальной сети. Как раз это является причиной того, что при каждом подключении к другой сети, операционка запрашивает какого плана эта сеть: домашняя, общественная или рабочая. Если указать, что она домашняя, тогда файервол предоставляет доступ к этим службам, в при выборе общественная доступ будет закрыт.

Другие функции файерволаWindows

Брандмауэр является некой стеной между ПК и внешней сетью, которые находятся под защитой файервола. Основным назначением файервола для домашнего применения является остановка сомнительного интернет-трафика. Но это не все возможности, которыми обладает файервол.

Поскольку брандмауэр располагается между ПК и интернетом, то в его функции входит анализ входящего и исходящего трафика и принятие решение о его дальнейшей участи. К примеру, брандмауэр может блокировать какой-то конкретный исходящий трафик, составлять журнал подозрительной сетевой активности или все подключения.

Брандмауэр позволяет устанавливать различные правила, по которым он будет принимать решения по поводу конкретного типа трафика. К примеру, можно выставить правило, по которому файервол будет разрешать подключение с конкретным IP-адресом, а другие будут блокироваться. Это может понадобиться в случае необходимости подключиться к утилите на ПК со стороннего компьютера.

Если дома установлен Wi-Fi маршрутизатор, он также выполняет функции аппаратного файервола, поскольку обладает опцией NAT, которая не позволяет проникать в свою сеть извне и получать доступ к ПК и остальным гаджетам, подключенных к модему. Вот, в принципе, и все, что необходимо знать начинающему пользователю о брандмауэре и его функциях.

Каждый компьютер содержит несколько тысяч портов, через которые другие компьютеры могут отправлять данные. Брандмауэр представляет собой инструмент безопасности, ограничивающий на вашем компьютере количество портов, через которые осуществляется обмен данными с другими компьютерами. Если брандмауэр используется в целях ограничения количества портов для обмена данными, вы сможете внимательно отслеживать эти порты, чтобы предотвратить атаку злоумышленников. Также можно изменить конфигурацию брандмауэра, чтобы настроить обмен данными через порт, известный только вам.

Брандмауэры можно использовать как отдельно для оборудования и программного обеспечения, так и для комплексного программно-аппаратного обеспечения. Брандмауэры рекомендуется использовать для распознавания вирусов (вирусов-червей и некоторых видов троянов), которые могут проникать в систему или из нее через открытый порт. Они не обеспечивают защиту от вирусов, содержащихся во вложениях электронной почты или от угроз, существующих в системе. Таким образом, хотя брандмауэры и выполняют важную задачу, они не должны быть единственным средством обеспечения безопасности. В качестве других стратегий обеспечения безопасности можно назвать использование антивирусных программ и средств проверки подлинности и авторизации, развертывание которых должно выполняться наряду с использованием брандмауэра.

Защита ArcGIS Server с помощью брандмауэра

Существует ряд стратегий, цель которых – обеспечить защиту сайта ArcGIS Server посредством брандмауэров. Перечисленные методы используют брандмауэры для разделения внутренней (с возможностью управления безопасностью) и внешней сети (где безопасность не гарантирована).

Один брандмауэр

Самый простой и наименее безопасный вариант предполагает использование только одного брандмауэра для ограничения трафика веб-сервера. Как правило, открытым остается только порт 80. Веб-сервер, ArcGIS Web Adaptor, ГИС-сервер и ваши данные находятся в безопасной внутренней сети, защищенной брандмауэром.

Несколько брандмауэров с обратным прокси и веб-адаптером (Web Adaptor) в пограничной сети

Более безопасный, но и более сложный вариант, который предполагает настройку веб-сервера и веб-адаптера (Web Adaptor) в пределах пограничной сети (также известной как демилитаризованная зона или промежуточная подсеть). При этом сценарии веб-адаптер (Web Adaptor) получает входящие запросы через порт 80. Затем он отправляет запрос на ГИС-сервер через другой брандмауэр, используя при этом порт 6080. Благодаря Web Adaptor компьютер работает как обратный прокси (reverse proxy).

Рассмотрим этот вариант более подробно:

• Пограничная сеть содержит компьютеры, доступ к которым пользователи Интернета осуществляют через брандмауэр, но при этом такие компьютеры не принадлежат к вашей безопасной внутренней сети. Пограничная сеть изолирует внутреннюю сеть, блокируя прямой доступ для Интернет-клиентов.
• Веб-адаптер (Web Adaptor) в пограничной сети принимает веб-запросы через общий порт (например, порт 80). Брандмауэр блокирует доступ через все остальные порты. После этого Web Adaptor отправляет запрос во внутреннюю защищенную сеть через другой брандмауэр, используя порт 6080 ArcGIS Server.
• ГИС-сервер и сервер данных (если есть) размещаются в безопасной внутренней сети. Запрос, поступающий в безопасную сеть, должен поступать с веб-адаптера (Web Adaptor) и проходить через брандмауэр. Отклик, отравляемый из безопасной сети, возвращается в клиент тем же путем, которым он поступил туда. Сначала отклик передается через брандмауэр назад в Web Adaptor. Затем Web Adaptor отправляет его в клиент через другой брандмауэр.

В случае проникновения вируса в компьютер в пограничной сети наличие второго брандмауэра снижает вероятность того, что зараженный компьютер нанесет вред компьютерам во внутренней сети.

Интеграция существующего обратного прокси

Если ваша организация уже использует обратный прокси, можно его настроить таким образом, чтобы он направлял запросы на ArcGIS Server в безопасной внутренней сети. Основным вариантом является прямое подключение к ГИС-серверу через порт 6080 без установки Web Adaptor.

Если вы хотите, чтобы порт между обратным прокси и вашей безопасной внутренней сетью оставался неизвестным, на другом веб-сервере в пределах этой безопасной внутренней сети может быть установлен Web Adaptor. Этот Web Adaptor можно настроить, чтобы он принимал трафик через тот порт, который вы выберете.

Вы можете добавить свой сайт ArcGIS Server непосредственно в указатели прокси (proxy directives). Например, если вы используете в качестве обратного прокси Apache, то вам потребуется добавить свой сайт ArcGIS Server в указатели ProxyPass файла конфигурации веб-сервера Apache.

ProxyPass /arcgis http://gisserver.domain.com:6080/arcgis ProxyPassReverse /arcgis http://gisserver.domain.com:6080/arcgis

Если вы используете обратный прокси, и окончание URL вашего сайта отличается от заданного по умолчанию /arcgis (все буквы строчные), то вам нужно также установить свойство ArcGIS Server WebContextURL (ArcGIS Server"s WebContextURL property). Это позволит ArcGIS Server построить корректные URL на все ресурсы, которые он направляет конечному пользователю. Чтобы изменить WebContextURL, сделайте следующее:

Войдите в ArcGIS Server Administrator Directory по адресу http://gisserver.domain.com:6080/arcgis/admin как пользователь с правами доступа администратора.

Щелкните система (system) > свойства (properties) > обновить (update) .

В окне для текста Свойства (Properties) вставьте следующий JSON, заменив свой собственный URL ArcGIS Server, который видят пользователи за пределами брандмауэра вашей организации.

{ "WebContextURL": "http://gisserver.domain.com/mygis" }

1. Щелкните Обновить (Update) .

Перезапустите ArcGIS Server на каждом ГИС-сервере сайта. В Linux это выполняется посредством скриптов stopserver и startserver, которые можно найти в установочной директории каждого компьютера.

Брандмауэры между ГИС-серверами

В стандартной ситуации установка брандмауэров между ГИС-серверами не требуется. Тем не менее при наличии брандмауэров, установленных между компьютерами, необходимо открыть порты, перечисленные в разделе Порты, используемые ArcGIS Server .

Copyright © 1995-2014 Esri. All rights reserved.

|

Брандмауэр, или файрвол – это система, обеспечивающая сетевую безопасность путём фильтрации входящего и исходящего трафика, руководствуясь установленными пользователем правилами. Основной задачей брандмауэра является устранение нежелательных сетевых коммуникаций или уменьшение их количества. В большинстве серверных инфраструктур брандмауэры обеспечивают основной уровень безопасности, который в сочетании с другими мерами предосторожности позволяет предотвратить атаки злоумышленников.

В данной статье рассказывается о том, как работают брандмауэры, в частности программные фаерволы с сохранением состояния (такие как IPTables и FirewallD), поскольку они относятся к облачным серверам. Статья охватывает пакеты TCP, различные типы брандмауэров, а такж множество других тем, связанных с брандмауэрами с сохранением состояния. Кроме того, в конце руководства можно найти много полезных ссылок на мануалы, которые помогут настроить брандмауэр на вашем сервере.

Сетевые пакеты TCP

Прежде чем приступить к обсуждению различных типов фаерволов, ознакомьтесь с трафиком Transport Control Protocol (TCP).

Сетевой трафик TCP перемещается по сети в виде пакетов-контейнеров, содержащих заголовки, в которых находится управляющая информация (адреса исходника и назначения, последовательность пакетов информации) и данных (что называется полезной нагрузкой). Управляющая информация в каждом пакете гарантирует, что его данные доставляются должным образом, и что его элементы также поддерживают брандмауэры.

Важно отметить, что для успешного получения входящего TCP-пакета получателю нужно отправить в ответ отправителю пакеты подтверждения. Комбинация управляющей информации во входящем и исходящем пакетах может использоваться для определения состояния подключения.

Типы фаерволов

Существует три базовых типа брандмауэров:

• фильтры пакетов сетевого уровня (или stateless),
• с сохранением состояния (или stateful),
• и прикладного уровня.

Фильтры пакетов сетевого уровня работают путём анализа отдельных пакетов. Они не знают о состоянии соединения и могут только разрешить или запретить пакеты, исходя из их индивидуальных заголовков.

Фаерволы с сохранением состояния могут определить состояние соединения пакета, что делает их более гибкими. Они собирают пакеты, пока не определят состояние соединения до того, как к трафику будут применены правила брандмауэра.

Брандмауэры прикладного уровня анализируют передаваемые данные, что позволяет пропускать сетевой трафик через правила брандмауэра, индивидуальные для отдельных сервисов и приложений. Они также известны как прокси-фаерволы.

Кроме программного обеспечения фаерволов, доступного во всех современных операционных системах, функциональность брандмауэра также может предоставляться аппаратными устройствами (например, маршрутизаторами или аппаратными фаерволами).

Правила фаерволов

Как упоминалось выше, сетевой трафик, который проходит брандмауэр, проверяется при помощи наборов правил, чтобы определить, разрешен этот трафик или нет. Проще всего объяснить правила брандмауэра на примерах.

Предположим, у вас есть сервер со списком правил для входящего трафика:

1. Принимать (accept) новый и ранее установленный трафик на сетевой интерфейс через порт 80 и 443 (веб-трафик HTTP и HTTPS).
2. Сбрасывать (drop) входящий трафик от IP-адресов нетехнических сотрудников офиса на порт 22 (SSH).
3. Принимать новый и существующий входящий трафик IP-диапазона офиса на частный сетевой интерфейс через порт 22 (SSH).

Обратите внимание на слова «accept» и «drop» в этих примерах. С их помощью задаётся действие, которое фаервол должен выполнить в случае, если трафик отвечает правилу.

• Accept значит разрешить трафик;
• Reject – заблокировать трафик и вернуть ошибку «unreachable»;
• Drop – заблокировать трафик и не возвращать ничего.

Сетевой трафик проходит список правил брандмауэра в определённой последовательности, которая называется цепочкой правил. Как только фаервол обнаруживает правило, которому отвечает трафик, он выполняет соответствующее действие для этого трафика. В данном примере согласно правилам брандмауэра сотрудник офиса, пытающийся установить SSH-соединение с сервером, будет заблокирован согласно правилу 2 и к правилу 3 не будет допущен. Системный администратор же пройдёт фаервол, поскольку отвечает правилу 3.

Политика фаервола по умолчанию

Как правило, цепочки правил брандмауэра не охватывают все возможные условия явно. Потому цепочки всегда должны иметь политику по умолчанию, которая состоит только действия (accept, reject или drop).

К примеру, политика по умолчанию одной из ранее упомянутых цепочек – drop. Если любой компьютер вне офиса попытается установить SSH-соединение к серверу, трафик будет сброшен, так как он не соответствует ни одному правилу.

Если задана политика по умолчанию accept, то любой пользователь (кроме нетехнических сотрудников офиса) сможет становить соединение с любым открытым сервисом данного сервера. Конечно, это пример очень плохо настроенного брандмауэра, потому что он защищает сервисы только от нетехнических сотрудников.

Входящий и исходящий трафик

Сетевой трафик, с точки зрения сервера, может быть либо входящим, либо исходящим; брандмауэр поддерживает отдельный набор правил для каждого вида трафика.

Трафик, который происходит из любой точки сети называется входящим трафиком. Он воспринимается не так, как исходящий трафик, который отправляется сервером. Как правило, сервер разрешает исходящий трафик, потому что считает себя заслуживающим доверия. Однако набор правил для исходящего трафика может использоваться для предотвращения нежелательной коммуникации в случае, если сервер взломан злоумышленником или вредоносным исполняемым файлом.

Чтобы использовать преимущества безопасности брандмауэра по максимуму, нужно определить все способы взаимодействия других систем с вашим сервером, создать правила, которые явно позволяют такое взаимодействие, а затем сбросить весь оставшийся трафик. Имейте в виду, что также нужно создать соответствующие правила для исходящего трафика, чтобы сервер мог отправлять подтверждения для разрешенных входящих соединений. Кроме того следует учитывать, что серверу, как правило, нужно инициировать свой исходящий трафик (например, для загрузки обновлений или подключения к базе данных), а потому важно продумать эти случаи и создать для них набор правил.

Создание правил исходящего трафика

Предположим, фаервол сбрасывает исходящий трафик по умолчанию (политика drop). Следовательно, правила accept для входящего трафика будут бесполезны без дополнительных правил исходящего трафика.

Чтобы дополнить ранее упомянутые правила входящего трафика (1 и 3) и обеспечить правильное взаимодействие с этими адресами и портами, можно использовать следующие правила брандмауэра для исходящего трафика:

• Принимать существующий исходящий трафик на общий сетевой интерфейс через порт 80 и 443 (HTTP и HTTPS);
• Принимать существующий исходящий трафик на закрытый сетевой через порт 22 (SSH).

Обратите внимание, явно задавать правило для сброшенного входящего трафика (правило 2) не нужно, так как сервер не будет устанавливать или подтверждать это соединение.

Программы и инструменты

Итак, теперь вы знаете, как работает фаервол, и пришло время ознакомиться с основными пакетами, позволяющими настроить фаервол. Далее можно прочесть о самых распространённых пакетах для настройки брандмауэра.

IPTables

IPTables – это стандартный фаервол, который по умолчанию входит в большинство дистрибутивов Linux

Примечание: Более современный вариант называется nftables и в скором времени он заменит этот пакет.

На самом деле IPTables является фронт-эндом для хуков netfilter на уровне ядра, при помощи которых можно управлять сетевым стеком Linux. Он работает путем сопоставления каждого пакета, пересекающего сетевой интерфейс, с набором правил.

Инструкции по настройке фаервола IPTables можно найти в следующих статьях.

Работа брандмауэра Windows определяется параметрами: Включить; Включить, но не разрешать исключения и Выключить.

· Включить. По умолчанию брандмауэр включен, и если нет другого брандмауэра, то лучше оставить его в таком состоянии. В этом состоянии брандмауэр Windows будет блокировать все непредусмотренные запросы на подключение к вашему компьютеру за исключением тех, которые предназначены для программ или служб, выбранных на вкладке Исключения.

Рисунок 4 - Графический интерфейс брандмауэра Windows (экранная копия)

· Включить, но не разрешать исключения. При установке флажка Не разрешать исключения брандмауэр Windows блокирует все непредусмотренные запросы на подключение к компьютеру, в том числе и те, которые предназначены для программ и служб, выбранных на вкладке Исключения. Этот параметр служит для максимальной защиты компьютера, например при подключении к общедоступной сети в отеле или в аэропорту или в периоды распространения через Интернет особо опасных вирусов или червей. Нет необходимости все время использовать флажок Не разрешать исключения, поскольку при этом некоторые программы могут перестать работать правильно, а кроме того, будут блокироваться непредусмотренные запросы к следующим службам:

o Служба доступа к файлам и принтерам;

o Средства «Удаленный помощник» и «Дистанционное управление рабочим столом»;

o Обнаружение сетевых устройств;

o Заранее настроенные программы и службы в списке Исключения;

o Дополнительные объекты, добавление в список Исключения.

Если установлен флажок Не разрешать исключения, можно по-прежнему отправлять и получать электронную почту, использовать программу передачи мгновенных сообщений или просматривать большинство Web-страниц.

· Выключить. Данный параметр отключает брандмауэр Windows, в результате чего компьютер становится уязвим к атакам злоумышленников или вирусов. Этот параметр могут использовать только опытные пользователи временно в целях администрирования компьютера или при наличии защиты другим брандмауэром. Параметры настройки, заданные для случая, когда компьютер подсоединен к домену, сохраняются отдельно от параметров для работы компьютера не в составе домена. Эти отдельные группы параметров настройки называются профилями.

Чтобы включить или выключить брандмауэр Windows, необходимо

1. Войти в систему под учетной записью Администратор;

2. В меню Пуск выбрать команды Настройка и Панель управления;

3. Дважды щелкнуть на значке Брандмауэр Windows;

4. На вкладке Общие выбрать один из следующих параметров:

Помогая обеспечить защиту компьютера, брандмауэр Windows блокирует непредусмотренные запросы на подключение к вашему компьютеру. Поскольку брандмауэр ограничивает обмен данными между компьютером и Интернетом, может потребоваться регулировка параметров для некоторых программ, которым требуется свободное подключение к Интернету. Для этих программ можно сделать исключение, чтобы они могли связываться через брандмауэр.

Однако следует помнить, что каждое исключение, дающее программе возможность связываться через брандмауэр Windows, делает компьютер уязвимым. Создание исключения равносильно пробиванию бреши в брандмауэре.

Если таких брешей окажется слишком много, брандмауэр уже не будет прочной преградой. Обычно взломщики используют специальные программы для поиска в Интернете компьютеров с незащищенными подключениями. Если создать много исключений и открыть много портов, компьютер может оказаться жертвой таких взломщиков.

Чтобы уменьшить потенциальный риск при создании исключений:

· создавайте исключение, только когда оно действительно необходимо;

· никогда не создавайте исключений для незнакомой программы;

· удаляйте исключения, когда необходимость в них отпадает.

Иногда требуется открыть кому-то возможность связи с вашим компьютером, несмотря на риск, - например, когда ожидается получение файла, посланного через программу передачи мгновенных сообщений, или когда хочется принять участие в сетевой игре через Интернет.

Если идет обмен мгновенными сообщениями с собеседником, который собирается прислать файл (например, фотографию), брандмауэр Windows запросит подтверждение о снятии блокировки подключения и разрешении передачи фотографии на ваш компьютер.

Чтобы разрешить непредусмотренные подключения к программе на своем компьютере, в брандмауэре Windows используется вкладка Исключения.

Если программа или служба, для которых требуется создать исключение, отсутствуют в списке на вкладке Исключения, можно добавить ее с помощью кнопки Добавить программу. Если программа отсутствует в списке программ, которые можно добавить, нажмите кнопку Обзор, чтобы найти ее, затем откройте интерфейс брандмауэра Windows и на вкладке Исключения в группе Программы и службы установите флажок для программы или службы, которые требуется разрешить, и нажмите кнопку ОК.

Если программа или служба, которые требуется разрешить, отсутствуют в списке, выполните следующие действия: нажмите кнопку Добавить программу. В диалоговом окне Добавление программы выберите необходимую программу и нажмите кнопку ОК. Эта программа появится (с установленным флажком) на вкладке Исключения в группе Программы и службы. Нажмите кнопку ОК.

Если программа или служба, которые требуется разрешить, не указаны в перечне диалогового окна Добавление программы, выполните следующие действия: в диалоговом окне Добавление программы нажмите кнопку Обзор, найдите программу, которую требуется добавить, и дважды щелкните ее. Программа появится в группе Программы в диалоговом окне Добавление программы. Нажмите кнопку ОК. Эта программа появится (с установленным флажком) на вкладке Исключения в группе Программы и службы. Нажмите кнопку ОК.

Для некоторых программ номера портов не определены заранее. Эти программы открывают порты автоматически при необходимости. Чтобы такие программы могли соединиться с вашим компьютером, брандмауэр Windows должен позволить программе открыть нужный порт. Для правильной работы таких программ их необходимо внести в список на вкладке Исключения брандмауэра.

Рисунок 5 - Подключение непредусмотренных программ и служб (экранная копия)

Чтобы обеспечить безопасность компьютера, необходимо держать брандмауэр Windows (или другой брандмауэр по выбору) включенным, чтобы он блокировал любые непредусмотренные запросы на подключение к компьютеру. Для возможности подключения такого типа необходимо разрешить исключение или открыть порт для конкретной программы или службы. Порт - это проход в ваш компьютер, через который может передаваться информация. Если идет обмен мгновенными сообщениями с собеседником, который собирается прислать файл, брандмауэр Windows запросит подтверждение о снятии блокировки подключения и разрешение передачи этого файла на ваш компьютер. При желании участвовать в сетевой игре через Интернет с друзьями вы можете добавить эту игру как исключение, чтобы брандмауэр пропускал игровую информацию на ваш компьютер.

Каждый открытый порт, дающий программе возможность связываться через брандмауэр Windows, делают компьютер уязвимым. Открытие порта также равносильно пробиванию бреши в брандмауэре. Если открыть много портов, компьютер может оказаться жертвой взломщиков. Чтобы уменьшить потенциальный риск при открытии портов:

· открывайте порт, только когда он действительно необходим;

· никогда не открывайте порт для программы, которую плохо знаете;

· закрывайте порт, когда необходимость в нем отпадает.

Рисунок 6 - Разрешение работы программ через порт (экранная копия)

У каждого порта есть номер, который играет роль адреса. Многие программы и службы имеют «постоянные адреса», т. е. для них заранее определены номера портов. Номера портов, необходимые для программы или службы, можно найти в документации производителя или на Web-узле.

Если программу не удалось найти, можно открыть порт. Чтобы определить, какой порт нужно открыть, на вкладке Исключения нажмите кнопку Добавить порт.

При добавлении или изменении параметров настройки для службы или

программы, например для игры, следует выбрать условие открытия порта: для любого компьютера или только для компьютеров локальной сети.

Если выбран вариант Любой компьютер, тогда к компьютеру сможет подключиться любой компьютер из Интернета или из локальной сети. Если выбран вариант Только локальная сеть, к данному компьютеру смогут подключиться компьютеры только из локальной сети.

Защита электронной почты

Для защиты своей электронной почты учтите, что именно вы и никто другой представляет наибольшую опасность для своей переписки. Именно вы пересылаете по почте все, что угодно, в открытом виде; именно вы щелкаете на всяких вложениях и отвечаете на самые конфиденциальные вопросы, в том числе о своей учетной записи, в ответ на послания в ваших почтовых ящиках; именно вы раздаете направо и налево свои идентификационные данные; наконец, именно вы никак не хотите прислушаться к совету - перевести свою переписку на Web-сайты, предоставляющие почтовые услуги.

Запомните, что, если вы используете почтового клиента, никогда не конфигурируйте его на автоматическое открытие почтовых вложений. Любое послание от любого лица может содержать вложение самого опасного характера, поскольку его может послать кто угодно, в том числе вирус, заразивший компьютер отправителя. Следует инсталлировать программу антивируса и установить режим непрерывного сканирования поступающей почты, непрерывно обновляя свои антивирусные средства. Если же вам требуется просмотреть подозрительное вложение, то поместите присланный файл на отдельный диск (дискету) и проверьте его на вирус.

Для защиты электронных посланий от фальсификации в современном информационном сообществе применяется метод электронной подписи. В РФ принят закон об электронной цифровой подписи, как и во многих других странах. Легализация своей электронной подписи - дело не бесплатное, но если вы используете электронную почту для деловой переписки, то верхом неосторожности было бы рассылать письма без электронной подписи, да еще и в открытом виде.

Если у Вас нет настоящей, юридически легитимной цифровой подписи, используйте хотя бы программу PGP, и обменяйтесь со своими деловыми партнерами подписанными PGP-ключами.

Перехват паролей учетной записи почтового сервера - это серьезная проблема. Существуют почтовые протоколы, например АРОР (это протокол POP, дополненный аутентификацией клиента) и SASL (Simple Authentication and Security Layer - уровень простой аутентификации и защиты), защищающие связь клиента с почтовым сервером от перехвата паролей. Но для их использования требуется поддержка протоколов АРОР и SASL как клиентом, так и сервером почтовой службы. Попробуйте выяснить, так это или нет, у своего Интернет-провайдера.

Всех этих проблем лишена почтовая служба, предоставляемая через Web. Вместо настройки почтового клиента, что вовсе не так просто, как кажется на первый взгляд, вы сгружаете на Web-сайте регистрационную Web-страницу, где указываете свое входное имя и пароль, а также некоторую другую информацию. Помните, что в ответ на просьбу указать свой домашний адрес, телефон, имя и фамилию и т. д. не следует указывать реальные данные. Далее вы щелкаете на кнопке - и для вас создается почтовый ящик на заокеанском сервере, принадлежащий солидной фирме, которая не будет продавать ваши электронные адреса всяким спаммерам.

Как же можно отличить солидную фирму ото всех прочих? Если вы работаете с Web-сайтом, предлагающим почтовый сервис, то настоящие сайты все пересылки конфиденциальной информации выполняют в защищенном режиме, использующем сокеты SSL (Secure Sockets Layer - протокол защищенных сокетов). При работе с сервером, поддерживающим сокеты SSL, в интернет-адресе сайта вместо записи http:// появляется запись https:// (HyperText Transmission Protocol Secure - протокол защищенной передачи гипертекстов), а в строке состояния браузера IE отображается замочек. Щелчок на замочке открывает диалог с сертификатом Web-сайта, где вы сразу можете увидеть, кто владелец этого Web-сайта - известная фирма Microsoft или подозрительная компания. Без такой проверки связываться с почтовым сервером вряд ли стоит - вы просто не будете знать, куда шлете письма и что там с ними будут делать. Более того, ваши пароли и имена, вводимые при регистрации, будут в открытом виде долго путешествовать по проводам, где любитель чужих секретов без проблем извлечет их из общего потока информации и использует по своему усмотрению.

1. Зарегистрируйтесь на надежном, сертифицированном Web-сайте, предоставляющем почтовые услуги, например http://www.gmail.com, которые к тому же выполняют антивирусную проверку поступающей почты.

2. Зашифруйте свое сообщение с помощью открытого PGP-ключа получателя, который вы лично от него получили и подписали своей цифровой подписью, т.е. подтвердили достоверность ключа. То же самое сделайте с почтовыми вложениями, причем это даже выгодно с точки зрения затрат времени, поскольку PGP-шифрование сжимает данные. Теперь любому злоумышленнику придется туго, поскольку взломать PGP-ключ длиной 2 Кбайт (2048 бит) может быть по силам только достаточно мощной организации. Но следует заметить, что, если на вашем компьютере «работает» клавиатурный шпион, все ваши хлопоты по поводу безопасности электронной почты пойдут насмарку.

В этом случае все ваши пароли, явки и адреса злоумышленник, установивший в ваш компьютер «жучка», будет знать не хуже вас. Так что не забудьте перед настройкой безопасности почтовой службы вначале проверить свой компьютер на предмет наличия «Троянов» и клавиатурных шпионов. И учтите, что эти шпионы без труда могут быть установлены, пока вы где-то ходите, не запустив парольную заставку, или не выключили компьютер.

Похожая информация.

Internet, как и любое сообщество, страдает от идиотов, получающих удовольствие от электронной разновидности похабной писанины на стенах, поджигания почтовых ящиков или гудения автомобильными сигналами во дворах. Многие пытаются сделать с помощью сети Internet что-то полезное, у других есть важные или конфиденциальные данные, требующие защиты. Обычно задача брандмауэра - оградить сеть от идиотов, не мешая при этом пользователям выполнять свою работу.

Многие традиционные компании и центры обработки данных разработали правила и принципы компьютерной безопасности, которым надо следовать. Если правила работы компании указывают, как необходимо защищать данные, брандмауэр становится особенно важным, становясь частью корпоративной системы безопасности. Зачастую при подключении большой компании к сети Internet самым трудным является не обоснование того, что это выгодно или полезно, а объяснение руководству, что это вполне безопасно. Брандмауэр не только обеспечивает реальную защиту, он часто играет существенную роль гаранта безопасности для руководства.

Наконец, брандмауэр может служить корпоративным "посланником" ("лицом") в Internet. Многие компании используют системы брандмауэров для предоставления широкой общественности информации о продукции и услугах компании, в качестве хранилища файлов для загрузки, источника исправленных версий программ и т.д. Некоторые из этих систем стали важной составляющей спектра услуг сети Internet (например, UUnet.uu.net, whitehouse.gov, gatekeeper.dec.com), что положительно сказалось на имидже их организаторов.

Некоторые брандмауэры пропускают только сообщения электронной почты, тем самым защищая сеть от любых атак, кроме атак на почтовую службу. Другие брандмауэры обеспечивают менее строгую защиту и блокируют лишь службы, определенно угрожающие безопасности.

Обычно брандмауэры конфигурируются для защиты от неавторизованной интерактивной регистрации из "внешнего" мира. Именно это, больше, чем все остальное, помогает предотвратить проникновение вандалов в машины вашей сети. Более развитые брандмауэры блокируют передачу информации извне в защищаемую сеть, разрешая при этом внутренним пользователям свободно взаимодействовать с внешним миром. При правильной настройке брандмауэр может защитить от любого типа сетевой атаки.

Брандмауэры также важны, поскольку позволяют создать единую "уязвимую точку" ("choke point"), где можно организовать защиту и аудит. В отличие от ситуации, когда компьютерная система атакуется извне путем дозвона по модему, брандмауэр может служить эффективным средством "прослушивания" и регистрации подключений. Брандмауэры обеспечивают важные функции журнализации и аудита; часто они позволяют администраторам получать отчеты о типах и объемах переданной через них информации, о количестве попыток взлома и т.п.

Важно, что создание такой "уязвимой точки" может служить в сети той же цели, что и ворота с охраной возле здания фирмы. Тем самым, при изменении "зон" или уровней защищенности имеет смысл создавать такую "проходную". Редко когда в здании фирмы есть только ворота для выезда транспорта и нет дежурного или охранников, проверяющих пропуска у входящих. Если в офисе есть различные уровни доступа, логичным будет и создание нескольких уровней защиты в офисной сети.

Брандмауэр не может защитить от атак, которые выполняются не через него. Многие подключенные к Internet корпорации очень опасаются утечки конфиденциальных данных через этот канал. К несчастью для них, магнитную ленту использовать для передачи данных ничуть не сложнее. Руководство многих организаций, напуганное подключением к Internet, не вполне представляет, как защищать доступ к модемам по коммутируемым линиям. Смешно устанавливать стальную дверь двухметровой толщины в деревянном доме, но многие организации покупают дорогие брандмауэры и игнорирую другие многочисленные лазейки в корпоративную сеть. Чтобы брандмауэр выполнял свои функции, он должен быть часть согласованной общей системы защиты в организации. Правила брандмауэра должны быть реалистичными и отражать уровень защиты всей сети в целом. Например, для систем с совершенно секретными или конфиденциальными данными брандмауэр вообще не нужен - их просто не надо подключать к Internet, или же надо изолировать системы с действительно секретными данными от остальной части корпоративной сети.

Брандмауэр практически не может защитить вас и от саботажников или идиотов внутри сети. Хотя агент, занимающийся промышленным шпионажем, может передавать информацию через ваш брандмауэр, он точно так же может предавать ее по телефону, по факсу или на дискете. Дискеты - куда более вероятные каналы утечки информации из компании, чем брандмауэр! Брандмауэры также не могут защитить от глупости. Пользователи, предоставляющие важную информацию по телефону, - хорошая цель для обработки психологически подготовленным злоумышленником. Он может взломать сеть, полностью обойдя брандмауэр, если сможет найти "полезного" сотрудника в организации, которого сможет обманом заставить дать доступ к модемному пулу. Прежде чем решить, что в вашей организации такой проблемы не существует, спросите себя, насколько сложно представителю организации-партнера получить доступ в сеть, или будет ли трудно пользователю, забывшему пароль, добиться его сброса. Если сотрудники справочной службы считают, что им звонят только из вашего офиса, у вас определенно есть проблема.

Наконец, брандмауэры не могут защитить от передачи по большинству прикладных протоколов команд подставным ("троянским") или плохо написанным клиентским программам. Брандмауэр - не панацея, и его наличие не отменяет необходимости контролировать программное обеспечение в локальных сетях или обеспечивать защиту хостов и серверов. Передать "плохие" вещи по протоколам HTTP, SMTP и другим очень просто, и это можно легко продемонстрировать. Защита - это не то, что можно "сделать и забыть".

Брандмауэры не могут обеспечить хорошую защиту от вирусов и им подобных программ. Имеется слишком много способов кодирования двоичных файлов для передачи по сетям, а также слишком много различных аппаратных архитектур и вирусов, чтобы можно было пытаться выявить их все. Другими словами, брандмауэр не может заменить соблюдение принципов защиты вашими пользователями. В общем случае, брандмауэр не может защитить от атаки на базе данных, когда программа в виде данных посылается или копируется на внутренний хост, где затем выполняется. Такого рода атаки в прошлом выполнялись на различные версии программ sendmail, ghostscript и почтовых агентов, типа OutLook, поддерживающих языки сценариев.

Организации, серьезно обеспокоенные проблемой вирусов, должны применять специальные меры для контроля распространения вирусов в масштабе всей организации. Вместо того, чтобы пытаться оградить сеть от вирусов с помощью брандмауэра, проверьте, что каждое уязвимое рабочее место оснащено программами сканирования вирусов, запускаемыми при перезагрузке машины. Оснащение сети программами сканирования вирусов защитит ее от вирусов, полученных с дискет, через модемы и по сети Internet. Попытка заблокировать вирусы на брандмауэре защитит только от попадания вирусов из Internet, а подавляющее большинство вирусов переносится как раз на дискетах.

Тем не менее, все больше поставщиков брандмауэров предлагают брандмауэры "выявляющие вирусы". Они будут полезны только наивным пользователям, обменивающимся выполняемыми программами для платформы Windows-Intel или документами с потенциально разрушительными макросами. Есть много решений на базе брандмауэра для проблем типа червя "ILOVEYOU" и других подобных атак, но они реализуют слишком упрощенные подходы, пытаясь ограничить ущерб от действий настолько глупых, что они вообще не должны выполняться. Не полагайтесь на то, что эти средства защитят вас хоть сколько-нибудь от атакующих.

Мощный брандмауэр не заменяет чувствительного программного обеспечения, знающего природу обрабатываемых данных - ненадежных и поступивших из не обладающего доверием источника, - и обрабатывающего их соответствующим образом. Не думайте, что вы в безопасности, раз "все" используют некую почтовую программу, произведенную гигантской транснациональной компанией.