БЛОКАДА ХАКЕРАМ!

Vint(vint@townnet.ru)

Спецвыпуск Xakep, номер #032, стр. 032-014-2

Фаерволл, естественно, гуд, но и он не идеален и не может обеспечить полной безопасности. Фишка вот в чем: соединения, которые вам нужны для работы (например, web, мыло и т.д.), фаерволл обязан оставлять открытыми. Из-за багов в самих ОС и в программах, работающих по открытым соединениям, на твоем компе или в сети могут возникать уязвимости, которые потенциально дают возможность посторонними проникнуть в сеть извне. Это значит, что некий Вася-хакер, скачав последний Xspider, может найти кучу дыр и поиметь тебя. Так, Xspider версии 6.5 находит в ХРеновой Винде (с поставленным IIS 5.1, но без сервис пака) более 15 уязвимостей! Но фаерволл все равно необходим уже хотя бы по той причине, что он может детектить такое сканирование и при грамотной настройке обрубить.

СТЕНКА ДЛЯ ВИНДЫ

К несчастью для вынь-юзеров о встроенном в Винды фаерволле говорить еще рано. Есть зачатки, но уж больно они убоги, чтобы воспринимать их более-менее серьезно :). По этой причине рассмотрим фаерволлы в Выне на примере лучшего, по мнению многих, фаерволла - Agnitum Outpost Firewall. Основное отличие от других программ заключается в открытой архитектуре, позволяющей увеличивать функциональность программы за счет использования плагинов. Таким образом, множество приятных мелочей можно доставить уже после установки. Продолжу грузить гудом: кэширование ДНС, ограничения Cookies, ActiveX. Программа умеет создавать для каждого сетевого приложения свои собственные правила обработки и ставить ограничения на использование траффика. Есть поддержка русского языка, причем достаточно неплохая. Имеется возможность фильтровать странички по ключевым словам, то есть ты можешь запретить домашним лить из Инета порнуху, оставив это право только за собой. Также эта софтина может полностью скрывать твой комп в сети - будет поглощать все внешние запросы и не выпускать внутренние. Очень просто ставится и настраивается. Этот фаерволл не просто хорошо защищает порты, но с помощью плагинов, которые, кстати, входят в поставку, может обрезать баннеры, убирать рекламу. И еще одна хорошая фича - обнаружение атак на твой комп. Аутпост может определять сканирование портов и блокировать атакующего (запретить отвечать на все запросы с его айпишника или подсети).

То есть в данной софтине очень хорошо сочетается простой и ясный фейс с мощным механизмом защиты и фильтровки пакетов, кроме того Аутпост экономит трафф, обрезая рекламу. Но, как ты сам видишь, этот фаерволл именно персональный, не предназначен для защиты сети и не умеет анализировать содержание пакетов.

ПРАВИЛЬНОЙ ОС ПРАВИЛЬНЫЙ ФАЕРВОЛЛ!

Ты уже понял, что фаерволлы в Винде, как и все остальное, реализованы в виде отдельной софтины (пусть даже и хорошей), которая отвечает за безопасный коннект. В этом сразу видна уязвимость: прибил фаервольный процесс, и писюк лишился защиты! В то же время у правильной ОС это все реализовано гораздо более грамотно: у линуха - встроенный фаерволл, причем это не софтина и даже не отдельный модуль! Функции фаерволла в *nix осях возложены на ядро, которое само фильтрует пакеты и запросы! Для этого ядро использует определенные правила, задаваемые пользователем в специальном файле настройки стеночки.