Записки сисадмина
Алексей Никипольский
Воскресенье, 24.11.2024, 02:13
 
Меню
Настройка windows XP [38]
тонкости настройки, скрытые возможности
Программирование [8]
Нюансы, примеры, мои наработки и прочая полезная информация
Защита [28]
Компьютера, данных, интернет соединений и прочая полезная информация по защите
Обзор новинок [15]
Новинки ПО и железа
Обмен опытом [20]
Заработок в сети [9]
Все виды заработка в сети интернет, обзор, анализ, рекомендации
Распознование [10]
Все о методах и способах распознавания графической информации. Взлом капчи, методы и способы анализа...
Электронные книги [4]
По PHP CSS SQL PERL программированию Всё что есть в свободном доступе в интернете на разных ресурсах.
WEB программирование [9]
Всё о программировании WEB PHP Java PERL HTTP HTML и т.п.
Взлом [6]
методика взлома, примеры взлома, способы защиты от взлома
Онлайн сервисы [2]
Полезные сервисы онлайн
Администрирование [27]
Опыт системного администрирования
Статистика
Календарь
«  Январь 2014  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031
Главная » 2014 » Январь » 31 » брандмауэр, что он может и не может, зачем он нужен
10:19
брандмауэр, что он может и не может, зачем он нужен

Зачем нужен брандмауэр?

Интернет, как и любое другое сообщество, страдает от идиотов, получающих удовольствие от электронной разновидности похабной писанины на стенах, поджигания почтовых ящиков или гудения автомобильными сигналами во дворах. Многие пытаются сделать с помощью сети что-то полезное, у других есть важные или конфиденциальные данные, требующие защиты. Обычно задача брандмауэра — оградить сеть от идиотов, не мешая при этом пользователям выполнять свою работу.

Что может и чего не может брандмауэр

   О том, что брандмауэрами закрывают порты, все знают. Но далеко не каждый пользователь догадывается, что… у него нет тех портов, которые следовало бы закрыть.
  Чтобы закрыть какой-то порт, его прежде нужно открыть, а чтобы открыть порт, у нас денег нет. В прямом смысле. Вот допустим, у кого-то имеется локальная сеть с SQL-сервером, который должен быть виден только изнутри и недоступен снаружи. В таких случаях умные администраторы просто объясняют маршрутизатору, что SQL не вправе получать пакеты, приходящие из внешнего мира, равно как и отправлять их. Аналогичным образом порты SQL-сервера закрываются и на брандмауэре. Ох! У нас же нет SQL-сервера! Какая жалость! А что у нас есть?! Ну… если хорошо поискать… Вот черт, ничего не находится!
   Ну, это на Linux ничего не находится, а вот коварная Windows открывает ряд портов для своих служебных целей, даже если нас эти цели не интересуют. В частности, известный червь MSBlast распространялся через дыру в службе DCOM RPC, а точнее, через открытый ей 135-й порт. Что такое DCOM RPC? Ну… если у нас намного больше одного компьютера и проснувшись мы решили разбить их на домены, то… ну то есть на фиг эту DCOM RPC, если короче. Существовало три пути предотвращения вторжения червя. Первый - установить заплатку, которая, если мне не изменяет память, вышла за год или полгода до эпидемии. Второй - отключить саму службу DCOM RPC, благо 99,9% пользователей она не нужна. Штатными средствами этого было не сделать, но в сети тут же появились «выключалки» от сторонних разработчиков. Наконец, третий путь: закрыть этот зловредный 135-й порт на брандмауэре. Однако это решение не является универсальным. Огромное количество дыр находится в прикладных приложениях типа IE. Отрубить дырявый IE от сети брандмауэр сможет. Только тогда легче просто выключить модем и пойти утопиться, потому что без интернета нам уже не жить. В качестве альтернативы предлагается установить заплатку, а лучше - сменить IE на Оперу, за всю историю существования которой в ней обнаружилась всего лишь пара дыр, да и то некритичных. К слову, о серфинге. Давай, например, занесем все баннерно-обменные сети в черный список, чтобы с них ничего не загружалось. Туда же можно добавить адреса всех счетчиков (типа рамблеровского), чтобы никакая информация от нас не отправлялась (большого секрета она не представляет, просто лично мне неприятно быть частью чьей-то статистической базы данных). Только специально для этой цели существуют баннерорезалки с уже готовыми черными листами, причем постоянно пополняемыми. Так может тогда и не стоит нагружать файр такими обязанностями? Основное назначение персонального брандмауэра - это разделение интра- и интернета, то есть возведение защитной стены между локальной сетью (как правило, домашней) и враждебным интернетом.
   Допустим, у нас имеются расшаренные файлы/папки и принтеры, доступные без всякий паролей (ведь пароли - это такой геморрой!), и, чтобы нас не поимели, как молодых, брандмауэр позволяет заблокировать всякие попытки обращения к расшаренным ресурсам извне, ну или открыть к ним доступ только с определенных адресов (например, из корпоративной сети той организации, где ты работаешь). В большинстве брандмауэров это делается одним взмахом мыши: просто сбрасываем/устанавливаем галочку напротив пункта «…shared flies/folders/printers» Насколько надежна такая защита? Может ли хакер пробить брандмауэр?! Независимо от конструктивных особенностей реализации брандмауэра, непосредственный обмен данными с закрытым портом извне невозможен. И хотя имеется ряд узких мест (например, при сильной фрагментации TCP-пакета порт назначения не вмещается в TCP-заголовок и некоторые брандмауэры его спокойно пропускают), мы можем, не заморачиваясь и не садясь на измену, чувствовать себя в безопасности, поскольку вероятностью быть атакованным через скачанный варез несравненно выше. Еще брандмауэр может (и должен) следить за сетевой активностью честных приложений, показывая кто из них ломится в сеть, на какой порт и по каким адресам. Например, если мы запускаем firefox и он ломится на Home Page, ранее прописанную нами, то это нормально. Если же Лис лезет на fxfeeds.mozilla.org, то это тоже нормально, хотя уже весьма подозрительно, но, вообще говоря, программа подобного уровня вправе обращаться к своему сайту, и никакого криминала здесь нет. А вот если игра типа тетриса пытается открыть какой-то порт (например, порт 666), то с вероятностью, близкой к единице, в ней запрятана закладка и от такой программы можно ожидать всего чего угодно, так что лучше стереть ее или ограничиться тем, что на вопрос брандмауэра ответить «Нет». Вообще говоря, пробить брандмауэр изнутри очень просто. Зловредная программа имеет в своем арсенале массу способов установки канала связи с удаленным узлом, и брандмауэр ей не помеха. Тем не менее основная масса малвари написана пионерами, которые ни хрена не шарят в теме, и потому попытки открытия back-door портов (через которые хакеры и рулят захаченными компьютерами) отлавливаются брандмауэрами молниеносно. Более грамотная малварь внедряется в процессы доверенных приложений (например, в IE, Горящего Лиса, Outlook Express, The Bat, etc), осуществляя обмен данными от их имени. Большинство брандмауэров устанавливает факт внедрения (хотя и не обязаны это делать), однако если малварь уже находится на компьютере, то у нее есть все шансы обломать брандмауэр, каким бы крутым он ни был. Впрочем, учитывая качество нынешней малвари, брандмауэры побеждают чаще.

Брандмауэр может

  1. разделить интра- и интернет, запретив доступ к ресурсам домашней сети из внешнего мира (это и есть основная функция файрвола);
  2. закрыть один или несколько локальных портов, заблокировав подключение к ним со всех (или только с некоторых) внешних узлов;
  3. заблокировать ряд IP-адресов, запретив локальной машине подключаться к обозначенному списку удаленных узлов;
  4. вести мониторинг сетевой активности, записывая в лог-файлы информацию о том, какая программа в какое время куда подключалась и какие данные принимала/передавала;
  5. запретить честным программам использовать сетевые ресурсы и попытаться противостоять нечестным программам, специально сконструированным для обхода брандмауэра;
  6. сделать компьютер невидимым для хакера, запретив ответы на icmp ping и предприняв ряд других мер в этом направлении;
  7. с некоторой вероятностью обнаружить факт внедрения зловредных программ в доверенные процессы (такие, например, как Firefox, Опера, IE), которым разрешен бесконтрольный доступ в сеть;
  8. обеспечить проверку целостности исполняемых файлов и динамических библиотек, в которые также могут внедряться зловредные программы;
  9. распознать некоторые виды удаленных атак (например, сканирование портов).

Брандмауэр не может

  1. зафиксировать факт успешной атаки;
  2. предотвратить вторжение малвари через незалатанные дыры в программном обеспечении;
  3. запретить пользователю запускать файлы, полученные из ненадежных источников (например, варезных серверов), активно используемых хакерами для распространения малвари;
  4. удержать пользователя от глупости или принятия неверного решения.

Рекомендую Вам также почитать:


  • Liberty Reserve прикрыли
  • Компания Google представила операционную систему Chrome OS
  • Распознавание атрибутов текстовых символов ( О.А. Славин )
  • Удаление смс-вируса с помощью AntiWinLocker LiveCD
  • Марк Русинович - Утилиты Sysinternals 2012г.
  • Android-троян под видом Flash-плеера
  • Просмотр переписки на домашнем компьютере стандартными средствами.
  • Запрет USB через групповые политики
  • разблокировать Диспетчер задач через реестр
  • Угроза от пакетов внутренней маршрутизации

  • Загрузить, скачать Защита, брандмауэр, что он может и не может, зачем он нужен бесплатно.
    Скачать брандмауэр, что он может и не может, зачем он нужен бесплатно
    брандмауэр, что он может и не может, зачем он нужен бесплатно и без регистрации.

    При копировании материала указывайте источник

    брандмауэр, что он может и не может, зачем он нужен download free


    Категория: Защита | Просмотров: 2885 | Добавил: Никипольский-Алексей | Теги: что брандмауэр может, брандмауэр, что брандмауэр не может, зачем брандмауэр нужен | Рейтинг: 0.0/0
    Всего комментариев: 0
    avatar
    Мои услуги на Kwork
    Like It


    Copyright Алексей Никипольский © 2009 - 2024