Internet Connection Firewall: минимум необходимого

Использование файрволов в последнее время является не только уделом администраторов сетей компаний или домашней локалки, в них заинтересованы и обычные пользователи, желающие не попасться на крючок к сетевым мошенникам и не превратить свой компьютер в зомби. Примеров таких становится с каждым днем все больше и даже на первый взгляд продвинутый западный пользователь становится марионеткой чужого умысла. Так, всю последнюю неделю мой компьютер атаковали почти с одного и того же адреса (явно являющегося частью локальной сети) какого-то исследовательского центра в Амстердаме. Используя сервис "Who is", я, конечно, нашел адрес электронной почты технической службы обеспечения этого заведения, однако атаки прекратились только после второго письма и приложенного лога об истории вторжений. Более чем уверен, что хакер использовал их как звено в цепочке, затрудняющей его отслеживание, но факт остается фактом.

В то же время фактом остается и использование во многих учреждениях и организациях старого парка машин, но с Windows XP на борту. Являясь, несомненно, более надежной и защищенной системой (хотя то, что современные вирусы под Win 98 не пишутся, это еще "бабушка надвое сказала"), XP по "доброй" традиции стала куда более прожорливой в отношении системных ресурсов и особенно оперативной памяти. Для многих юзеров это превратилось если не в проблему, то в ту ахиллесову пяту, о которой нужно постоянно помнить, чтобы, не дай Бог, не подставить. Любое предложение обозревателей софта, которому предначертано поселиться в трее рядом с часами, в первую очередь, будет восприниматься с точки зрения потребления оперативки, чем функциональной необходимости.

Готовы ли вы пожертвовать "лишними" 20-30 Кб для усиления защиты компьютера? С одной стороны, ответ однозначен, с другой - нет. Жертвовать реальной производительностью против эфемерных угроз? Для многих это палка о двух концах. Сюда примешивается страх и лень перед общением с новым ПО, еще тысяча и одна причина, в результате чего мы имеем то, что имеем: общую "дырявость" и уязвимость большинства систем. Выход, тем не менее, существует: если ваш компьютер по какой-то случайности не оснащен файрволом и вы не хотите связываться с пиратской продукцией, а легальная или бесплатная недоступна, то вам прямой путь к использованию брандмауэра, встроенного в саму Windows - Internet Connection Firewall (ICF). Его запуск, некоторые примеры лучших настроек и слабые стороны мы сегодня разберем.

По умолчанию ICF не включен ни для одного из соединений. Сделать это можно с помощью Мастера установки сети (Пуск - Панель управления - Сетевые подключения - Мастер установки сети / Start - Control panel - Network connections - Set up a home or small office network) или вручную (Пуск - Панель управления - Сетевые подключения / Start - Control panel - Network connections), открыв в свойствах подключения вкладку "Дополнительно" (Advanced) и установив флажок на "Защитить мое подключение к интернету" (Protect my computer...). По умолчанию работа всех служб запрещена, и с помощью ICF можно разрешить или оставить запрещенным к ним доступ. Контролируются все порты компьютера, но разрешение держать открытыми (они будут таковыми при сканировании через интернет) можно назначить лишь для 9 служб, включая веб-сервер (HTTP) или почтовые SMTP - POP3 (IMAP 3/4). Даже если вам не хватит имеющихся вариантов, всегда есть возможность для добавления своей службы или программы через определенный порт (на вкладке "Дополнительно" кнопка Параметры (Settings) - Добавить (Add)).

Следует упомянуть, что, открывая порт, вы предоставляете доступ на свой компьютер из Сети, однако даже при полном запрете (не отмечена ни одна служба) это не нарушит работу, например, почтовой программы, т.к., во-первых, не ведется отслеживание исходящего трафика (это огромный минус), во-вторых, входящий трафик по запросу действующей программы принимается как разрешенный (что тоже имеет свои варианты).

Еще одним важным пунктом безопасности является работа с протоколом ICMP (Internet Control Message Protocol) (Дополнительно - Параметры закладка "ICMP"). Он отвечает за формирование пакетов по внешнему запросу. Единственный вопрос: зачем давать атакующему информацию даже о наличии вашей системы? Эшелонированная оборона требует многих степеней защиты.

Последнее, о чем хотелось бы упомянуть, это о ведении журналов. По умолчанию сия функция отключена, и, пожалуй, это единственное, что нужно добавить пользователю в типичные настройки ICF. Все дело в том, что он не блокирует автоматически адреса атакующих, и узнать, откуда на вас напали, без журнала не представляется возможным (включить ведение лога можно в закладке рядом с предыдущей).

Использование ICF редко оправдано, если вы являетесь сервером, однако, будучи в составе общей сети, под защитой более надежного файрвола и целой вереницы маршрутизаторов, можно обойтись и им, несмотря на все внутренние ограничения. То же самое происходит и на обычном компьютере, когда один брандмауэр дополняет другой или, в крайнем случае, общую систему защиты.

Во втором сервис-паке ICF уже называется "Windows Firewall". Его функциональность существенно не расширилась, а общая безопасность возросла лишь благодаря целому ряду других причин. Тем не менее, наметился очередной отход от ПО сторонних производителей к уже предустановленному Microsoft.

В следующий раз мы можем поговорить об усилении брандмауэра встроенными средствами Windows XP, грамотной работе с TCP/IP и настройке сетевых служб. Было бы желание...

Егор МАЛЫЖЕНКОВ

Версия для печатиВерсия для печати

Номер: 

49 за 2004 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!