Восстановление данных
Шрифт:
Создать правило для IEXPLORE.EXE
Рис. 2.26. Outpost Firewall можетсамообучаться
Помимо режима обучения (он используется по умолчанию) в Outpost Firewall предусмотрено еще 4 режима (политики) работы:
Разрешать – разрешены все соединения, которые не заблокированы явно;
Блокировать – блокируются все соединения, которые не были разрешены явно; в этом режиме для каждого «разрешенного» приложения должно быть задано правило работы;
Запрещать – блокируются все соединения, в том числе разрешенные явно;
Отключить – брандмауэр отключается и, соответственно, допускаются
В Outpost Firewall имеются следующие полезные функции:
работа в режиме невидимки (Stealth), когда компьютер не реагирует на ICMP-сообщения (при этом все соответствующие порты компьютера недоступны);
возможность блокирования загружаемых веб-страниц или фрагментов страниц по HTML-коду; например, можно заблокировать загрузку строк, содержащих ссылку на таблицу стилей или на баннерную рекламу;
возможность блокирования веб-сайтов по их адресам;
возможность блокирования активных элементов веб-страниц (сценариев, элементов ActiveX, Java-апплетов), а также файлов cookie;
кэширование (запоминание) серверов DNS (для ускорения последующего подключения).
Перечень неполон, но весьма показателен.
Необходимо также отметить, что Outpost Firewall – это приложение с открытой архитектурой, и любой пользователь может создать для него собственный подключаемый компонент (plug-in) с целью расширения функциональных возможностей брандмауэра.
С брандмауэром Outpost Firewall сопоставим по популярности брандмауэр Zone-Alarm компании Zone Labs (www.zonelabs.com). Как и Outpost Firewall, брандмауэр ZoneAlarm существует в двух вариантах: бесплатном и «профессиональном» (ZoneAlarm Pro). Установив на своем компьютере бесплатный вариант, вы получаете возможность оценить в течение 15 дней те дополнительные возможности, которые предоставляет ZoneAlarm Pro. К таковым относятся (рис. 2.27):
быстрое конфигурирование брандмауэра;
усиленная защита электронной почты;
блокирование всплывающих окон;
контроль файлов cookie.
Рис. 2.27. Дополнительные возможности ZoneAlarm Pro
При отслеживании приложений, пытающихся установить внешнее соединение, ZoneAlarm действует примерно на тех же принципах, что и Outpost Firewall. Контроль данных, поступающих извне, основан на разделении внешнего пространства на три зоны (рис. 2.28):
Blocked Zone – блокируемая зона – сетевые объекты, обращение которых к защищаемому компьютеру должно быть запрещено;
Trusted Zone – доверенная зона – сетевые объекты, обращение которых к защищаемому компьютеру разрешено;
Internet Zone – зона Интернета – сетевые объекты, относительно надежности которых сведений нет.
Рис. 2.28. Правила фильтрации в ZoneAlarm основаны на понятии зоны
При этом для каждой из зон Trusted и Internet может быть установлен определенный уровень безопасности. Например, установив для зоны Trusted наивысший уровень безопасности (High), вы можете превратить ее (скажем, на некий опасный период) в зону Internet (рис. 2.29).
Установка для зон Trusted и Internet низшего уровня безопасности (Low) соответствует временному выключению брандмауэра. Если же, наоборот, требуется срочно блокировать связь с Интернетом, достаточно щелкнуть на кнопке в виде знака Stop, расположенной на панели инструментов основного окна ZoneAlarm (рис. 2.29).
Когда ZoneAlarm
обнаруживает попытку несанкционированного выхода какого-либо приложения в Интернет, он выводит на экран диалоговое окно с достаточно подробным описанием ситуации (рис. 2.30).Рис. 2.30. Окно с сообщением о попытке подключения к Интернету
Получив от владельца компьютера разрешение (или запрет) на допуск приложения в Интернет, ZoneAlarm запоминает выбор (если установить в окне соответствующий флажок) и по данному приложению больше вопросов не задает.
Аналогичные действия выполняются и в случае попытки обращения извне к какому-нибудь порту компьютера.
К недостаткам ZoneAlarm можно отнести то, что он некорректно отображает русскоязычные наименования приложений.
Системы обнаружения атак
Системы обнаружения атак (или IDS – Intrusion Detection System) предназначены для выявления вторжений путем регистрации некорректной или аномальной деятельности пакетов данных, циркулирующих в локальной сети или поступающих на отдельный компьютер из внешней сети.
Сама по себе сетевая атака зачастую не несет непосредственной угрозы компьютерным данным или локальной сети. Она лишь является частью общей стратегии злоумышленника, направленной на достижение некой цели. Например, атака может заключаться в сканировании портов компьютера с целью выявления незащищенных «точек входа» либо в регистрации и анализе сетевого трафика с целью определения его интенсивности, параметров пересылаемых пакетов и т. п. Другими словами, некоторые виды атак можно рассматривать как «разведку боем». В случае успешного проведения такой разведки могут быть начаты непосредственно «боевые действия». Например, злоумышленник может внедрить через незащищенный порт шпионскую программу либо бомбардировать систему ложными сообщениями с целью захвата ее ресурсов.
Атаки, направленные на захват ресурсов, обычно приводят к тому, что атакованный веб-сервер перестает обслуживать «нормальные» запросы. Поэтому подобные атаки называются атаками на отказ в обслуживании – Denied of Service (DoS). Атаки типа DoS являются сегодня одними из наиболее распространенных.
Для обнаружения атак используется либо технология обнаружения аномального поведения (anomaly detection), либо технология обнаружения злоупотреблений (misuse detection). Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиске данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Подобные системы очень похожи на антивирусные сканеры. Именно на такой технологии основаны практически все предлагаемые сегодня системы обнаружения атак.
Необходимо отметить, что многие персональные брандмауэры содержат функции (или модули) обнаружения атак. Разумеется, они не могут претендовать на высокую эффективность, однако для «типовых» ситуаций вполне пригодны. Например, в составе рассмотренного выше брандмауэра Outpost Firewall имеется специальный модуль обнаружения атак – Детектор атак (рис. 2.31).
Детектор атак регистрирует сведения обо всех попытках подключения к портам компьютера и адрес источника такой попытки. Для атак типа DoS модуль использует в качестве защитной меры блокирование атакуемого порта или блокирование источника угрозы (рис. 2.32).