Материально-техническое обеспечение.
Сетевая защита и брандмауэр.
Как бы ни была безопасна система, всегда есть риск, что кто-то извне по компьютерной сети будет пытаться ее взломать. Единственным решением, которое позволяет в большинстве случаев решить эту проблему является своевременное обновление версий программного обеспечения. Но и в этом случае можно найти какую-то особенность в функционировании программного обеспечения и использовать ее для взлома системы. Например: использование пользователем демонстрационной версии программного продукта или используемая версия программного обеспечения больше не поддерживается разработчиком. В этих ситуациях, если не использовать каких-либо дополнительных мер, пользователь может оказаться беззащитным от атак извне.
Понимая опасность таких ситуаций, многие исследовательские центры и частные компании занимались решением этой проблемы. Разработчики рассудили: раз сетевой взломщик не должен взломать компьютер пользователя, то он просто не должен получить к нему доступ, т.е. необходимо гарантированно закрыть доступ к компьютеру несанкционированным пользователям. Разработанный метод защиты похож на стену, окружающую со всех сторон компьютер, поэтому он и получил название Firewall (пожарная стена), иначе сетевой экран или фильтр, который отфильтровывает запросы сетевых пользователей к системе. В официальной русской версии Windows XP он переведен как брандмауэр.
Брандмауэр – это специальное программное обеспечение, поставляемое вместе с операционной системой или устанавливаемое пользователем, которое позволяет запретить любой доступ нежелательных пользователей из сети к системе. Брандмауэр помогает повысить безопасность компьютера. Он ограничивает информацию, поступающую на компьютер с других компьютеров, позволяя лучше контролировать данные на компьютере и обеспечивая линию обороны компьютера от людей или программ (включая вирусы и «черви»), которые несанкционированно пытаются подключиться к компьютеру. Брандмауэр – это пограничный пост, на котором проверяется информация (трафик), приходящая из Интернета или по локальной сети. В ходе проверки брандмауэр отклоняет или пропускает информацию на компьютер в соответствии с установленными параметрами.
В состав Windows XP входит встроенная версия брандмауэра (в пакет обновления SP2 для Microsoft Windows XP брандмауэр включен по умолчанию), основной алгоритм работы которого обеспечивает защиту от несанкционированных пользователей. Практически невозможно найти уязвимость, которая бы обеспечивала проникновение взломщика на защищенную сетевым экраном систему. Функции, выполняемые брандмауэром:
— блокировка доступа на компьютер вирусам и «червям»;
— запрос пользователя о выборе блокировки или разрешения для определенных запросов на подключение;
— ведение журнала безопасности и по желанию пользователя запись разрешенных и заблокированных попыток подключения к компьютеру, журнал может оказаться полезным для диагностики неполадок.
Идея атак взломщиков основывается на работе низкоуровневых алгоритмов обработки сетевых запросов, в некоторых старых версиях программного обеспечения их можно было пытаться использовать для возможного проникновения через сетевой экран. В современных версиях брандмауэра, если грамотно его настроить, можно избежать любых атак взломщиков.
Когда на компьютер поступает непредусмотренный запрос (кто-то пытается подключиться из Интернета или по локальной сети), брандмауэр блокирует подключение. Если на компьютере используются программы передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр запрашивает пользователя о блокировании или разрешении подключения. Если пользователь разрешает подключение, брандмауэр создает исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы. Предусмотрена так же возможность отключения брандмауэра для отдельных подключений к Интернету или локальной сети, но это повышает вероятность нарушения безопасности компьютера.
Настройка брандмауэра.
Если брандмауэр подключен, то для его настройки следует:
— войти в систему под учетной записью системного администратора;
— открыть папку, в которой находятся сетевые подключения:
Пуск\Настройка\Панель управления\Сетевые подключения (рис.1.1.);
— выбрать строку, например, Подключение по локальной сети (рис.1.2.);
— во вкладке Общие сделать щелчок по кнопке Свойства (рис.1.2.);
— появится дополнительное окно Свойства, в котором выбрать вкладку Дополнительно (рис.1.2.);
— во вкладке Дополнительно нажать кнопку Параметры (рис.1.3.);
— появится окно программы Брандмауэр Windows (рис.1.3.).
Аналогичное окно появится при выборе программы Брандмауэр Windows из списка программ в Панели управления:
Пуск – Настройки – Панель управления – Брандмауэр Windows (рис.1.4.)
Для получения подробной информации в окне программы Брандмауэр Windows следует сделать щелчок по ссылке Подробнее о Брандмауэре Windows. Появится окно Центр справки и поддержки, в котором будет приведена вся информация о назначении и использовании брандмауэра.
Рис. 1.1. Окно программы Сетевые подключения.
Рис. 1.2. Окна программы Подключение по локальной сети.
Рисунок 1.3. Окно вкладки Дополнительно и окно программы Брандмауэр.
Рис. 1.4. Окно Панель управления
и окно программы Брандмауэр Windows.
Закладка Общие окна настроек брандмауэра является главной, по умолчанию брандмауэр включен (рис.1.4.). Закладка содержит ряд опций.
Опция Включить (рекомендуется) включает брандмауэр. Опция Не разрешать исключения может использоваться только вместе с опцией Включить (рекомендуется). Она позволяет повысить уровень безопасности системы в случае ее использования в публичных местах, таких как аэропорты, кафе, кинотеатры и пр., оборудованные доступом в Интернет. Уровень безопасности будет увеличен за счет запрета работы программ, к которым разрешается получать доступ из сети, прегражденной сетевым фильтром. Сообщения об отказе доступа пользователям к таким приложениям система генерировать не будет.
Опция Выключить (не рекомендуется) полностью выключает брандмауэр. В этом случае система оказывается совершенно незащищенной от атак извне. Единственный случай, когда это может быть оправдано, это когда нужно кратковременно протестировать работу какого-либо приложения, которое не хочет работать с активным сетевым экраном.
Брандмауэр Windows блокирует входящие сетевые подключения, исключая программы и службы, выбранные пользователем. Добавление исключений улучшает работу некоторых программ, но повышает риск безопасности. Закладка Исключения позволяет указать программы и сервисы, к которым могут быть осуществлены соединения пользователей со стороны Интернета (рис.1.5.). Фактически, для этих программных продуктов сетевой фильтр работать не будет, пропуская все запросы к ним через себя.
Рис. 1.5. Закладка Исключения.
Закладка Исключения представляет собой список программ и сервисов, к которым можно разрешить доступ со стороны Интернета, посредством установки рядом с ними флажка. Опция Отображать уведомление, когда брандмауэр блокирует программу, в случае ее активизации, заставляет Windows выдавать сообщение о попытке доступа из сети. По умолчанию опция включена, т.к. она помогает лучше понять процессы, происходящие внутри системы. Если на закладке Общие установлена опция Не разрешать исключения сообщение выдаваться не будет.
Для удаления программы или сервиса из списка разрешенных объектов к обращению из сети Интернет следует выделить объект из списка окна и нажать кнопку Удалить. Данную операцию стоит проводить с программами или сервисами, которые больше не должны быть доступны для пользователей из Интернета.
Для редактирования определенного объекта из списка программ и сервисов, разрешенных к обращению из Интернета следует выделить редактируемый объект и нажать кнопку Изменить, появится окно Изменение программы (рис.1.6). Диалоговое окно содержит имя редактируемой программы и путь к ее исполняемому файлу. Кнопка Изменить область позволяет указать, каким именно сетевым компьютерам будет доступна выбранная программа или сервис. В данном окне можно указать три режима, в соответствии с которыми будет осуществляться доступ из сети к программе или сервису, расположенному в системе.
Режим Любой компьютер (включая из Интернета) указывает, что доступ к данной программе будет возможен со всех сетевых компьютеров, включая расположенные в Интернете. Не рекомендуется выбирать режим без особой необходимости, т.к. будет предоставлена возможность любому пользователю извне пробовать подключаться к определенному программному обеспечению. А в случае наличия в нем уязвимостей, пользователь может получить доступ к системе или нарушить ее нормальное функционирование.
Режим Только локальная сеть (подсеть) позволяет сделать возможным доступ к программному обеспечению только из сети, в которой находится система, что значительно снижает риск взлома даже при наличии уязвимостей в программном обеспечении. Если нужно разрешить доступ только с некоторых сетевых компьютеров, рекомендуется использовать третью опциею.
Рисунок 1.6. Диалоговое окно Изменение программы.
Режим Особый список позволяет указать в нижележащем поле ввода список IP-адресов (сетевой адрес вида a.b.c.d) компьютеров, которым будет разрешен доступ к выбранному сервису или программе. Это наиболее удобный и безопасный способ осуществления разрешения на доступ из сети, так как в этом случае всегда можно контролировать компьютеры, которые его получают, и быть уверенными в том, что система надежно защищена от атак. Рекомендуется использовать данный режим (если позволяет ситуация), как самый оптимальный из всех. Кнопка ОК сохраняет внесенные изменения в окне, кнопка Отмена – их отменяет.
Рис. 1.7. Диалоговое окно Изменение области.
Рис. 1.8. Диалоговое окно Добавление программы.
В закладке Исключения кнопка Добавить программу позволяет добавить программы, к которым следует разрешить доступ со стороны сети (рис.1.8.). Из предлагаемого списка требуется выбрать нужное приложение или воспользоваться кнопкой Обзор и указать его исполняемый файл в файловой системе компьютера. С помощью кнопки Изменить область можно указать с каких сетевых компьютеров будет возможен доступ к данному приложению. Кнопка ОК сохраняет внесенные изменения, закрывая окно добавления программы, кнопка Отмена приводит к отмене всех дополнений сделанных в окне.
В закладке Исключения нажатие кнопки Добавить порт выводит диалоговое окно Добавление порта (рис.1.9.). Номер порта представляет собой канал, выраженный целочисленным десятичным числом, по которому приложения могут обмениваться информацией. Если используемому приложению требуется открыть определенный канал, то в поле Имя следует ввести имя приложения, в поле Номер порта – номер порта, сообщенный приложением. Флажковые опции TCP и UDP позволяют указать, какой порт требуется приложению. Если необходимо создать два порта с одинаковыми номерами, но разными типами (TCP или UDP), то следует дважды воспользоваться функцией дополнения порта (кнопкой Добавить порт) (рис.1.9.), и с помощью кнопки Изменить область указать с каких сетевых компьютеров будет возможен доступ к данному порту. Кнопка ОК сохраняет внесенные изменения, кнопка Отмена приводит к отмене всех дополнений сделанных в окне.
Рис. 1.9. Диалоговое окно Добавление порта.
Дополнительные параметры брандмауэра.
В окне настроек брандмауэра в закладке Дополнительно находятся некоторые важные настройки (рис.1.10).
Первая группа элементов управления Параметры сетевого подключения позволяют избирательно использовать брандмауэр для сетевых интерфейсов системы. Сетевой фильтр включен только для интерфейсов, отмеченных флажками в списке Службы (рис.1.10.). Кнопка Параметры вызывает окно для настройки доступа сетевых пользователей к сетевым сервисам для выбранного сетевого соединения. Сетевыми сервисами называют программное обеспечение, запросы на обработку к которому поступают по сети. В этом случае компьютеры, от которых поступают запросы, называются клиентами, а компьютеры, которые их обрабатывают – серверами.
По умолчанию в окне представлено несколько наиболее часто используемых в Интернете сервисов. В случае их использования можно разрешить к ним доступ сетевых пользователей. Например, если используется в системе FTP- или Web-сервер, то можно разрешить к ним доступ пользователей из сети. Для этого необходимо установить флажки в режимах, соответственно, с FTP-сервер и Веб-сервер (HTTP) (рис.1.10.).
После установки флажка в любом из пунктов появится диалоговое окно, в котором система поинтересуется, на каком компьютере установлен сервис, к которому нужно разрешить доступ. По умолчанию предлагается адрес системы, на которой осуществляется настройка брандмауэра (рис.1.11.).
В поле ввода Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба (например, 192.168.0.12) нужно ввести адрес компьютера, на котором расположен сервис (если он отличается от адреса системы с настраиваемым брандмауэром). Нажатие кнопки ОК приводит к закрытию окна Параметры службы, а в окне Дополнительные параметры (рис.1.10.) рядом с соответствующим пунктом появляется флажок. Кнопки Добавить и Изменить в окне Дополнительные параметры (рис.1.10.) приводят, соответственно к добавлению или редактированию существующего сервиса (рис.1.11.)
Рис. 1.10. Закладка Дополнительно и окно выбора
