Вообще говоря, конфигурировать брандмауэр методом тыка - занятие для экстремалов. Я и рад бы дать пошаговое руководство по настройке всех брандмауэров, но не могу этого сделать, поскольку брандмауэров слишком много. Хотя принципы их конфигурации довольно схожи, и все различия упираются в интерфейс.
Начнем с портов. Вернее сказать, вернемся к ним. Ох уж эти порты… Некоторые руководства смело предлагают раз и навсегда закрыть порты, используемые троянскими программами, устанавливающими back-door'ы. Списки таких портов выглядят довольно внушительно. Троянцев сейчас много, и все они используют различные порты. Ну, положим, закроем мы их. Что это нам даст?! А ничего! Эти порты и так закрыты по умолчанию. Проникнуть сквозь них малварь не сможет, и, чтобы установить back-door, ей придется либо прикинуться полезным варезом, который установит на компьютер сам пользователь, либо же заюзать какую-нибудь незалатанную дыру. Естественно, после того как малварь обоснуется на компьютере, она попытается открыть порт, ожидая поступления дальнейших инструкций от хакера. И, если этот порт закрыт на брандмауэре, малварь обломается, а брандмауэр выдаст предупреждение, дескать, вот такая тут зараза…
Интернет буквально кишит подобными статьями, от непроходимой тупости которых я уже устал.
Короче, внятно, доступно и на пальцах:
Троянская программа уже давно не использует фиксированные порты, а выбирает их случайным (или псевдослучайным) образом.
При установке любого TCP/IP-соединения на самом деле используется не один, а два порта: заранее известный фиксированный порт удаленного узла (например, в случае WWW это порт 80) и локальный порт, автоматически открываемый операционной системой на нашей машине и выбираемый произвольным образом (естественно, из числа свободных).
Существует вероятность (причем большая), что при установке легального TCP/IP-соединения нормальной программой операционная система назначит троянский локальный порт, который закрыт брандмауэром! Это приведет к тому, что: а) соединение не будет установлено; б) брандмауэр поднимет визг, а пользователь, хватаясь за сердце, начнет искать несуществующего трояна, скачивая самые последние версии антивирусов, но так и не найдет его, поскольку… тревога была ложной.
По той же причине нельзя закрыть все неиспользуемые порты, как советуют некоторые авторы, поскольку при этом мы вообще не сможем установить ни одного TCP/IP-соединения! В таком случае какие же порты нужно закрывать?! Ответ: если (допустим) у тебя домашняя локальная сеть и proxy-сервер на 8080-м порту, через который выходят в интернет остальные домочадцы, то точно таким же образом через него могут выходить в Сеть и все другие обитатели интернета. Зачем? Ну мало ли… Даже если proxy не анонимный (то есть не подходит для атак от чужого имени), то внутрисетевой трафик у большинства провайдеров обычно значительно дешевле или вовсе бесплатный. Вот юные хакеры и рыщут в поисках халявы. Вообще-то, большинство proxy-программ позволяет установить пароль на вход, но… далеко не все утилиты, работающие через proxy, поддерживают такой режим. Другой ход. В настойках proxy должен быть список разрешенных интерфейсов, с которыми он может работать. Обмен пакетами со всеми остальными интерфейсами запрещен. Интерфейс в данном случае - это (в грубом приближении) идентификатор сетевого устройства. Сетевая карта, модем - все они имеют свои интерфейсы. Короче, выбираем интерфейс сетевой карты, подключенной к домашней локальной сети, и запрещаем все остальные. - Красота! Ну да… красота. Местами. А местами безобразие сплошное. Если DSL-модем имеет Ethernet-порт, воткнутый в свитч (вполне типичная конфигурация домашней локальной сети), то у нас имеется всего один интерфейс как для интернета, так и для локальной сети.
Или вот, используем Etlin HTTP Proxy, позволяющий использовать всего один интерфейс для работы. А необходимо выбрать два: интерфейс домашней локальной сети и интерфейс виртуальной сети VM Ware, которой тоже нужен доступ в интернет. Можно, конечно, выбрать другой proxy-сервер, но проще в настройках брандмауэра указать список IP-адресов домашней локальной сети (и виртуальной сети), с которых разрешен доступ к порту proxy-сервера (в данном случае это 8080-й порт). Если же у тебя нет proxy-сервера, то просто не морочь себе голову этим вопросом. Примечание: модемы с Ethernet-портами обычно имеют встроенный брандмауэр, позволяющий разграничить доступ к локальной сети; на предмет его настройки кури прилагающиеся к модему мануалы.
Теперь перейдем к расшаренным ресурсам, о которых мы уже говорили. Брандмауэры в массе своей не блокируют к ним доступ из интернета по умолчанию, благодаря чему атаки осуществляются ударными темпами и компьютеры ложатся стройными могильными рядами. Лучше вообще не иметь никаких расшаренных ресурсов, используя персональные FTP-серверы, которые как раз и предназначены для обмена файлами, но… объяснить среднестатистическому пользователю типа «жена», что такое FTP - намного сложнее, чем найти копию Windows без багов. Так что приходится шарить. Ну и шарь себе на здоровье, только в настройках брандмауэра найди пункт, касающийся доступа к шарам из интернета, и распорядись с ним по обстоятельствам.
И последнее (но самое важное). Практически все брандмауэры поддерживают список доверенных приложений, а при выводе запроса на подтверждение имеют галочку «Не показывать это сообщение в дальнейшем». Так вот! Настоятельно рекомендуется эту галочку не трогать! Конечно, частые запросы на подтверждение очень раздражают, но зато позволяют держать ситуацию под контролем. То же самое относится и к списку доверенных приложений. Допустим, заносим туда IE, чтобы брандмауэр не задалбливал нас дурацкими вопросами. Теперь запускаем какое-нибудь приложение, которое неожиданно вызывает браузер по умолчанию (в данном случае IE) и передает через него некоторую информацию на удаленный узел, например серийный номер для подтверждения его (не)валидности. А вот если при каждом запуске IE будет выпрыгивать запрос от брандмауэра, этот фокус уже не пройдет!
Попутно запрети своему компьютеру посылать эхо-ответы (опция ICMP ECHO в брандмауэре), чтобы неприятели не запинговали тебя до смерти, за короткое время сгенерировав до фига мегабайт трафика и не только затормозив работу компьютера, но еще и посадив тебя на бабки, ведь трафик на большинстве тарифов денег стоит!
Брандмауэр (даже персональный) - это все-таки не IE, и даже не Firefox, а программный пакет совсем другого порядка, требующий знания и понимания протоколов, на которых держится интернет. Поэтому надо хорошо разобраться в стеках сетевых протоколов. В противном случае навряд ли можно ожидать осмысленного ответа на вопрос, заданный пользователю брандмауэром.
Человеческий фактор - самое слабое звено, и никакими техническими ухищрениями его не усилишь!!!
Банальность, конечно, но с каждым годом она все актуальнее и актуальнее.
Записки сисадмина
