Обеспечение защиты ОС от атак по компьютерным сетям

 

Сетевая защита и брандмауэр

Понимая опасность атак, многие исследовательские центры и ча­стные компании занимались решением этой проблемы. Разработанный метод защиты похож на стену, окружающую со всех сторон компьютер, поэтому он и получил назва­ние Firewall (пожарная стена), иначе сетевой экран или фильтр, который отфильтровывает запросы сетевых пользователей к системе. В официальной русской версии Windows XP он переве­ден как брандмауэр.

Брандмауэр – специальное программное обеспече­ние, поставляемое вместе с операционной системой или устанавливаемое пользователем, которое позволяет запретить любой доступ нежелательных пользователей из сети к системе. Брандмауэр помогает повысить безопасность компьютера. Ограничивает информацию, поступающую на компьютер с других компьютеров, позволяя лучше контролировать данные на компьютере и обеспечивая линию обороны компьютера от людей или программ (включая вирусы и «черви»), которые несанкционированно пытаются подключиться к компьютеру. Брандмауэр – это пограничный пост, на котором проверяется информация (трафик), приходящая из Интернета или по локальной сети. В ходе проверки брандмауэр отклоняет или пропускает информацию на компьютер в соответствии с установленными параметрами.

В состав Windows XP входит встро­енная версия брандмауэра (в пакет обновления SP2 для Microsoft Windows XP брандмауэр включен по умолчанию), основной алгоритм работы которого обеспечивает защиту от несанкционированных пользователей. Практически невозможно найти уязвимость, которая бы обеспечивала проникновение взломщика на защищенную сетевым экраном систему. Функции, выполняемые брандмауэром:

- блокировка доступа на компьютер вирусам и «червям»;

- запрос пользователя о выборе блокировки или разрешения для определенных запросов на подключение;

- ведение журнала безопасности и по желанию пользователя запись разрешенных и заблокированных попыток подключения к компьютеру, журнал может оказаться полезным для диагностики неполадок.

Идея атак взломщиков основывается на работе низкоуровневых алгоритмов обработки сетевых запросов, в некоторых старых версиях программного обеспечения их можно было пытаться использовать для возможного проникновения через сетевой экран. В современных версиях брандмауэра, если грамотно его настроить, можно избежать любых атак взломщиков.

Когда на компьютер поступает непредусмотренный запрос (кто-то пытается подключиться из Интернета или по локальной сети), брандмауэр блокирует подключение. Если на компьютере используются программы передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр запрашивает пользователя о блокировании или разрешении подключения. Если пользователь разрешает подключение, брандмауэр создает исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы. Предусмотрена так же возможность отключения брандмауэра для отдельных подключений к Интернету или локальной сети, но это повышает вероятность нарушения безопасности компьютера.

 

Настройка брандмауэра

Если брандмауэр подключен, то для его настройки следует:

- войти в систему под учетной записью системного администратора;

- открыть папку, в которой находятся сетевые подключения:

Пуск\Настройка\Панель управления\Сетевые подключения (рис.1.);

- выбрать строку, например, Подключение по локальной сети (рис.2.);

- во вкладке Общие сделать щелчок по кнопке Свойства (рис.2.);

- появится дополнительное окно Свойства, в котором выбрать вкладку Дополнительно (рис.1.2.);

- во вкладке Дополнительно нажать кнопку Параметры (рис.3.);

- появится окно программы Брандмауэр Windows (рис.3.).

Аналогичное окно появится при выборе программы Брандмауэр Windows из списка программ в Панели управления:

Пуск – Настройки – Панель управления – Брандмауэр Windows (рис.4.)

Для получения подробной информации в окне программы Брандмауэр Windows следует сделать щелчок по ссылке Подробнее о Брандмауэре Windows. Появится окно Центр справки и поддержки, в котором будет приведена вся информация о назначении и использовании брандмауэра.

Рисунок 1. Окно программы Сетевые подключения

 

Рисунок 2. Окна программы Подключение по локальной сети

 

Рисунок 3. Окно вкладки Дополнительно и окно программы Брандмауэр

Рисунок 4. Окно Панель управления и окно программы Брандмауэр Windows

 

Закладка Общие окна настроек брандмауэра является главной, по умолчанию брандмауэр включен (рис.4.). Закладка содержит ряд опций.

Опция Включить (рекомендуется) включает брандмауэр. Опция Не разрешать исключения может использоваться только вместе с опцией Включить (рекомендуется). Она позволяет повысить уровень безопас­ности системы в случае ее использования в публичных местах, таких как аэропорты, кафе, кинотеатры и пр., оборудованные досту­пом в Интернет. Уровень безопасности будет увеличен за счет запрета работы программ, к которым разрешается получать доступ из сети, прегражденной сетевым фильтром. Сообщения об отказе доступа пользователям к таким приложениям система генерировать не будет.

Опция Выключить (не рекомендуется) полностью выключает брандмауэр. В этом случае система оказывается совершенно незащищенной от атак извне. Единственный случай, когда это может быть оправдано, это когда нужно кратковременно протестировать работу какого-либо приложения, которое не хочет работать с активным сетевым экраном.

Брандмауэр Windows блокирует входящие сетевые подключения, исключая программы и службы, выбранные пользователем. Добавление исключений улучшает работу некоторых программ, но повышает риск безопасности. Закладка Исключения позволяет указать программы и сервисы, к которым могут быть осуществлены соединения пользователей со стороны Интернета (рис.5.). Фактически, для этих программных продуктов сетевой фильтр работать не будет, пропуская все запросы к ним через себя.

Рисунок 5. Закладка Исключения

 

Закладка Исключения представляет собой список программ и сервисов, к которым можно разрешить доступ со стороны Интернета, посредством установки рядом с ними флажка. Опция Отображать уведомление, когда брандмауэр блокирует программу, в случае ее активиза­ции, заставляет Windows выдавать сообщение о попытке доступа из сети. По умолчанию опция включена, т.к. она помогает лучше понять процессы, происходящие внутри сис­темы. Если на закладке Общие установлена опция Не разрешать исключения сообщение выда­ваться не будет.

Для удаления программы или сервиса из списка разрешенных объектов к обращению из сети Интернет следует выделить объект из списка окна и нажать кнопку Удалить. Данную операцию стоит про­водить с программами или сервисами, которые больше не должны быть дос­тупны для пользователей из Интернета.

Для редактирования определенного объекта из списка программ и сервисов, разрешенных к обращению из Интернета следует выделить редактируемый объект и нажать кнопку Изменить, появится окно Изменение программы (рис.6). Диалоговое окно содержит имя редактируемой программы и путь к ее исполняемому файлу. Кнопка Изменить область позволяет указать, каким именно сетевым компьютерам будет доступна выбранная программа или сервис. В данном окне можно указать три режима, в соответствии с которыми будет осуществляться доступ из сети к программе или сервису, располо­женному в системе.

Режим Любой компьютер (включая из Интернета) указывает, что доступ к данной программе будет возможен со всех сетевых компьютеров, включая расположенные в Интернете. Не рекомендуется выбирать режим без особой необходимости, т.к. будет предоставлена возможность любому пользователю извне пробовать подключаться к определенному программному обеспечению. А в случае наличия в нем уязвимостей, пользователь может по­лучить доступ к системе или нарушить ее нормальное функционирование.

Режим Только локальная сеть (подсеть) позволяет сделать возможным дос­туп к программному обеспечению только из сети, в которой нахо­дится система, что значительно снижает риск взлома даже при нали­чии уязвимостей в программном обеспечении. Если нужно разрешить доступ только с некоторых сетевых компью­теров, рекомендуется использовать третью опциею.

 

 

Рисунок 6. Диалоговое окно Изменение программы

 

Рисунок 7. Диалоговое окно Изменение области

 

Режим Особый список позволяет указать в нижележащем поле ввода список IP-адресов (сетевой адрес вида a.b.c.d) компьютеров, которым будет разрешен доступ к выбранному сервису или про­грамме. Это наиболее удобный и безопасный способ осуществления разрешения на доступ из сети, так как в этом случае всегда можно кон­тролировать компьютеры, которые его получают, и быть уверенными в том, что система надежно защищена от атак. Рекомендуется использовать данный режим (если позволяет ситуация), как самый оптимальный из всех. Кнопка ОК сохраняет внесенные изменения в окне, кнопка Отмена – их отменяет.

Рисунок 8. Диалоговое окно Добавление программы

 

В закладке Исключения кнопка Добавить программу позволяет добавить программы, к которым следует разрешить доступ со стороны сети (рис.8.). Из предлагаемого списка требуется выбрать нужное приложение или воспользоваться кнопкой Обзор и указать его исполняемый файл в файловой системе компьютера. С помощью кнопки Изменить область можно указать с каких се­тевых компьютеров будет возможен доступ к данному приложению. Кнопка ОК сохраняет внесенные изменения, закрывая окно добавления про­граммы, кнопка Отмена приводит к отмене всех дополнений сделан­ных в окне.

В закладке Исключения нажатие кнопки Добавить порт выводит диалоговое окно Добавление порта (рис.9.). Номер порта представляет собой канал, выраженный целочисленным десятичным числом, по которому приложения могут обмениваться информацией. Если используемому приложению требуется открыть определенный канал, то в поле Имя следует ввести имя приложения, в поле Номер порта – номер порта, сообщенный приложением. Флажковые опции TCP и UDP позволяют указать какой порт требуется приложению. Если необходимо создать два порта с одинаковыми номерами, но разными типами (TCP или UDP), то следует дважды воспользоваться функцией дополнения порта (кнопкой Добавить порт) (рис.9.), и с помощью кнопки Изменить область указать с каких сетевых компьютеров будет возможен доступ к данному порту. Кнопка ОК сохраняет внесенные изменения, кнопка Отмена приводит к отмене всех дополнений сделан­ных в окне.

Рисунок 9. Диалоговое окно Добавление порта