Как работает брандмауэр

nezumi

Спецвыпуск: Хакер, номер #058, стр. 058-066-2

Чем отличается брандмауэр типа "фильтр уровня приложений" от обычного Proxy? В общем случае ничем. Правда, если Proxy тупо пересылает запросы, не вдаваясь ни в какие подробности, брандмауэр может выполнять некоторые дополнительные проверки. Например, блокировать попытки соединения на определенные IP-адреса. Часто приходится слышать, что фильтры уровня приложений "следят" за соответствием формы запросов определенному протоколу. На самом деле это не совсем так. Фильтры уровня приложений не "следят" за протоколом - они работают на нем! В частности, чтобы "пробиться" через HTTP-Proxy, необходимо составить соответствующий HTTP-запрос, иначе сервер просто не поймет, чего от него хотят. Важно понять: брандмауэр анализирует только форму, но не содержимое. Допустим, необходимо скрытно передать награбленную информацию. Укладываем ее в HTTP-запрос, маскирующийся под URL или графический файл, и брандмауэр пропустит его как ни в чем не бывало :).

С некоторых пор в брандмауэры начали встраиваться антивирусы и системы обнаружения вторжений (Intruders Detection System, сокращенно IDS). IDS – что это? Грубо говоря, это такая штука, которая не просто тупо блокирует трафик, но еще и распознает потенциально опасные действия. Например, если кто-то начинает сканировать порты или ломиться на печально известный 135-й порт, содержащий уязвимость, IDS поднимает тревогу. Собрав как можно больше сведений об атакующем, она мылит администратора или сбрасывает сообщение на пейджер.

Нужен ли дома

Перейдем к домашнему компьютеру или даже небольшой локальной сети. Нужен ли им брандмауэр? А если нужен, то какие порты закрывать? Вопрос, конечно, наболевший, но сформулирован он неправильно. На типичном домашнем компьютере просто не содержится никаких серверных служб, поэтому закрывать ничего не нужно! Исключение составляет 135-й порт, принудительно открываемый Windows NT/2000/XP и удерживающий его для своих нужд. Несколько лет назад в нем была обнаружена уязвимость, через которую ринулись черви, хакеры и прочая нечисть. Проблема решается либо установкой брандмауэра, блокирующего 135-й порт, либо пакетом обновления, уже давно выпущенным Microsoft (достаточно нажать Windows Update).

Локальный брандмауэр - очень глючная вещь, зачастую приводящая к синим экранам, блокирующая работу многих честных приложений, увеличивающая нагрузку на процессор и "съедающая" часть пропускной способности канала. Зачем же тогда он нужен?

Например, имеется локальная сеть с расшаренными папками и принтером. Чтобы не назначать на все это хозяйство труднозапоминаемые пароли, можно просто установить брандмауэр и запретить подключаться к ним извне сети. Или вот, например, мы хотим контролировать активность различных приложений, не позволяя кому попало лезть в интернет. Может быть, программа передает серийный номер, чтобы проверить, не был ли он "спионерен", или вирус использует наш компьютер для рассылки спама по всему периметру мясокомбината. Стандартный пакетный фильтр, установленный на марштутизаторе, уже не в состоянии справиться с этой задачей, поскольку он оперирует только портами и адресами, но не имеет никаких представлений о том, какое именно приложение выполнило запрос. Вот для этого и нужны локальные брандмауэры! Их главная и практически единственная задача - не выпускать никого в интернет без предварительного разрешения пользователя. Возможность блокировки входящих соединений также предусмотрена, но, как правило, она не используется, поскольку на домашнем компьютере не установлено никаких серверов. Троянские программы первого поколения часто открывали один или несколько портов для удаленного управления, но сейчас эта практика отходит в прошлое, и чаще всего серверная часть устанавливается у хакера, а вирус сам ломится к нему по HTTP.