Защита снаружи и изнутри

(c)oded by Lame@pochta.ru

Спецвыпуск: Хакер, номер #048, стр. 048-096-5

МНЕНИЕ ЭКСПЕРТА

Энди Ямов, компания <Агнитум> , ведущий программист проекта Outpost Firewall

XS: Зачем помимо антивируса нужно ставить еще и фаервол?

Фаервол защищает от внешних атак, а антивирус ориентирован на вирусы, уже попавшие на компьютер. Поэтому разумно использовать одновременно оба способа защиты. Большинство современных вирусов используют интернет для распространения. Фаервол контролирует трафик, практически не влияя на скорость соединения. В тоже время файловый монитор антивируса должен проверять все открываемые файлы для обеспечения защиты, что снижает производительность жесткого диска в десятки раз.

XS: Достаточно ли фаервола для защиты компьютера?

Современный фаервол обеспечивает высокий уровень защиты от внешних атак. Однако, в случае, если вредоносный код уже попал на компьютер пользователя, у него есть десятки способов обойти защиту, начиная c внедрения в доверенный процесс и кончая блокировкой функций фаервола и остановкой сервиса. Полную безопасность может дать только разумное назначение прав пользователю. Скажем, начать следует с отказа от использования административной учетной записи (администратора) для повседневной работы.

XS: Является ли защита фаерволом абсолютной?

Фаерволу недостаточно осуществлять только контроль за исходящими соединениями, чтобы обезопасить пользователя от утечки информации. Для обхода многих фаерволов программе-шпиону достаточно в активном браузере отрыть URL типа www.somesite.com/post_private_info/username/password. Это легко можно сделать, использовав explorer. Для предотвращения утечки информации следует использовать фаервол, контролирующий также межпроцессные взаимодействия: запись в память другого процесса, установка контекста потока, OLE, DDE и COM.

XS: Зачем фаерволу необходима технология SPI (динамической фильтрации пакетов) для TCP протокола?

Суть технологии заключается в анализе содержимого посылаемых пакетов и в динамическом формировании правил для приема. Во-первых, SPI требуется для корректной реализации работы протоколов с открытием портов на стороне клиента. К примеру, FTP: для того, чтобы не открывать все TCP-порты на соединения с удаленного порта 20, пакетный фильтр анализирует содержимое всех передаваемых пакетов на наличие команды PORT и открывает те порты, которые открыты FTP клиентом и только для работы с IP сервера.

XS: Что дает технология SPI для UDP?

Для UDP SPI дает возможность принимать пакеты, которые являются ответами на запросы, посланные с машины пользователя, и игнорировать все остальные. При отсылке UDP пакета формируется временное правило, разрешающее прием пакетов с удаленного адреса и порта. Типичный пример - DNS, будем получать ответы на все наши запросы и в то же время отбивать остальные пакеты, присланные с 53 порта.

XS: Для чего нужен Component Control?

Формально контроль компонент не является функцией персонального фаервола. Однако на практике обойти фаервол без контроля компонент до смешного просто - достаточно подменить основной исполняемый файл разрешенного приложения (например, iexplore.exe) или приписать свой код к любой распространенной DLL. И можно использовать настроенные правила приложения для доступа в сеть от его имени.