Итак,
в прошлом выпуске были рассмотрены вопросы безопасности в локальной сети. Сегодняшний
выпуск является продолжением предыдущего - настройка файрволла.
Предусматривая первый вопрос - для чего это нужно и нельзя ли обойтись встроенным
средством Windows XP? Не спорю, можно, но стоит ли доверять программе, которая
практически не выдаёт результаты своей работы? А для чего нужно, - так всегда
в сети найдутся любители покопаться в информации на чужих машинах, которые считают
себя крутыми хакерами, вот от них и нужно защититься. Вопрос второй - файрволлы
выпускаются многими корпорациями, какой использовать? В основном это дело вашего
личного вкуса и удобства работы с его интерфейсом. Я использую Kerio Personal
Firewall 2.1.5, тому есть ряд причин:
1. Для домашнего использования
он бесплатный, регистрации не требует. У меня работает уже 2 месяца без ввода
серийного номера.
2. Опыт работы с программами
Kerio оставил положительные впечатления - простой, интуитивно понятный интерфейс.
3. Неплохая функциональность
и гибкие настройки.
ВАЖНОЕ ЗАМЕЧАНИЕ: Ни в
коем случае не используйте к такого рода программам крэки и патчи (например,
русификаторы), ищите только серийный номер. Бывали случаи, когда использование
крэка отключало часть функций, и если для графической программы это не критично,
то ошибка в работе системы безопасности может привести к печальным результатам.
После того, как вы скачали
его и установили, обязательно перезагрузите компьютер - до того времени файрволл
не будет работать. В главном окне отображены все запущенные процессы и параметры
их сетевых соединений. Те программы, которые в данный момент используют сеть,
выделены цветным фоном - исходящие соединения зелёным, входящие красным.
Через меню "File"
- "Admin" заходим в настройки. Первое, что нужно сделать - на закладке
"Authentication" установить пароль на управление настройками. После
установки пароля у вас появится возможность включить удалённое управление. Если
это не сервер, на котором нет монитора - не делайте этого! Лучше управлять настройками
только с локальной машины.
Переходим на закладку
"Firewall" и жмём на "Advanced", в результате у вас появится
новое окно. В этом окне можно дополнительно настроить правила фильтрации сетевых
пакетов данных. Первое, что нужно сделать - нажать "Add", установить
настройки и нажать "OK". Это сделано для того, чтобы закрыть 135-й
порт - программами он обычно не используется, а вот эксплоитами для взлома систем
- очень даже активно. То же самое следует сделать со 137-м портом - NetBIOS.
Кстати, направление (Direction) лучше указывать только входящее (Incoming),
а не оба (Both) - если вам придётся работать с программами, использующими эти
порты, файрволл их пропустит. Можете установить отметку "Display alert
box when rule matches" - будете видеть окно с сообщением при срабатывании
правила.
После настройки фильтрации
переходим на вторую закладку "Microsoft Networking". Что здесь можно
изменить? Если хотите закрыть доступ к своим ресурсам, снимите отметку "Allow
other users to access my shared folders/printers". Кроме того, при необходимости
настройте параметры доверенных адресов. Пример: мой компьютер имеет IP-адрес
в сети 192.168.2.13, маска стандартная - 255.255.255.0, в моём случае лучше
задать диапазон доверенных адресов в виде сеть/маска - 192.168.2.0/255.255.255.0,
то есть при попытке соседей по сети получить доступ файрволл будет спрашивать
для доверенных адресов и блокировать все соединения от других. Если вы не хотите
пускать к себе всю сеть - задавайте отдельные адреса.
Переходим на следующую
закладку - "Miscellaneous". Здесь настраиваются параметры записи событий
в журнал, это отмечайте по своему желанию, а также, учитывая тот факт, будет
ли у вас время изучать журнал (за неделю при средней работе компьютера 12 часов
в сутки у меня туда пишется в среднем 2,5-3 мегабайта чистого текста при настройке
полной записи). Лучше снять отметку "Log packets addressed to unopened
ports" - всё равно на закрытый порт программа не достучится, а вам в журнале
сотни лишних записей ни к чему. Если этот компьютер играет роль шлюза между
локалкой и остальным миром, установите отметку "Is running on internet
gateway".
И последняя закладка в
расширенных настройках - проверка MD5-сумм для приложений, это позволяет контролировать,
не было ли в приложениях изменений (что может быть вызвано и вирусом). Лучше
пусть будет включено. Исключение можно сделать в том случае, если вы постоянно
пишете сами программы для работы с сетью, - при каждой новой сборке MD5-сумма
будет изменяться, и вопросы о том, стоит ли пускать в сеть приложение, в котором
выявлены изменения, вас со временем достанут.
Другие важные пункты меню:
"File" - "Connect"
- удалённое управление такой же программой на другом компьютере в сети.
"Logs" - "Firewall
log..." - журнал работы. Сохраняются в текстовом виде все события.
"Logs" - "Statistics"
- количество отправленных и принятых пакетов.
Приложение. Список системных
процессов, которым обязательно следует позволить выход в сеть для нормальной
работы сетевых служб: system, svchost.exe, lsass.exe. Остальные - смотрите сами,
что за программа и куда она хочет подключиться (правда, при использовании прокси
все программы будут лезть именно туда). Кстати, даже Word и Excel пробуют полезть
в интернет при запуске. Кроме того, следует позволить работу в режиме сервера
и клиента для локальной машины процессам persfw.exe и pwfadmin.exe - это сам
файрволл, который без своего же разрешения никуда не полезет, в отличие от Windows,
которая без файрволла лезет куда хочет.
Если вы сомневаетесь,
что за процесс просит соединения, попробуйте найти его описание на http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
- список довольно неплохой, есть рекомендации, что делать с процессом (на локальной
машине), минус один - на английском языке.
