На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Зашита от "Троянских коней"

Как вы уже знаете, "Троянский конь" - это программа, которая проникает на ваш компьютер и затем пытается невидимо связаться со своим создателем. Она делает это, пытаясь открыть порт TCP/IP и затем соединяясь с внешним компь­ютером. Цель программы может заключаться в поиске, нахождении и попытке копирования вашего Microsoft Quicken или других личных файлов, Или ее це­лью может быть получение контроля над вашим компьютером и использование его в атаке "распределенный отказ от обслуживания". В любом случае, если та­кая программа проникла на ваш компьютер, ее соединение с Интернетом долж­но быть заблокировано и вы должны быть проинформированы.
Персональные брандмауэры обнаруживают "Троянских коней", не доверяя ни­чему, даже сетевому трафику, произведенному вашим компьютером. Это означа­ет, что все пакеты, как входящие, так и исходящие, постоянно изучаются.
Например, персональный брандмауэр McAfee позволяет вам указать список приложений, которым вы хотите разрешить проход через брандмауэр. Любое приложение, которое не находится в списке, но пытается установить связь, бло­кируется и создается предупреждение об этом. Когда вы получили предупреж­дение, вы уведомлены об имени исполняемого файла, который пытается устано­вить соединение. Если вы распознаете его как приложение, которому вы хотите разрешить пройти через брандмауэр, вы ответить на предупреждение,
позволив брандмауэру добавить его в список разрешенных приложений. Если
вы подозреваете, что это "Троянский конь", вы можете удалить его и все угрозы, которые могут исходить от него.
Однако не всегда легко определить, не является ли исполняемая программа в действительности частью важного для вас приложения, и, удалив ее, вы можете случайно нарушить работу приложения. Поэтому вы, возможно, захотите пере­местить программу на дискету или так, чтобы, если это окажется что-то важное для вас, вы могли бы скопировать это обратно в исходное положение.


Изучение всего сетевого трафика
Персональные брандмауэры должны уметь отличать новые запросы соедине­ния от остального сетевого трафика. Самый первый пакет, посланный между двумя компьютерами при установлении соединения, отличается от всех осталь­ных последующих пакетов. Первый пакет используется для запуска соединения. Все пакеты, которые следуют за первым пакетом, включают пометку подтвер­ждения, которая указывает, что этот пакет был передан в ответ на запрос услуги. Ваш брандмауэр может затем использовать эту информацию, чтобы позволить
пакетам пройти.
Это означает, что брандмауэр может быть настроен на блокировку всех неза­требованных входящих запросов соединения, позволяя в то же время общение с серверами, с которыми ваш компьютер начал работу. При использовании та­ким образом персональный брандмауэр делает порты на вашем компьютере не­видимыми в Интернете, поскольку, когда сканеры портов или программы ping sweeper попытаются начать сеанс связи с вашим компьютером, ваш брандмауэр
будет игнорировать незатребованные запросы соединения. Порт, который не
отвечает иа запрос соединения, невидим во всех отношениях.
Классификация брандмауэров
Существует ряд технологий сетевой защиты, Некоторые более подходят для персонального использования, чем другие. краткий обзор каждой тех-
нологии может дать представление о технологии сетевой защиты в целом. Раз­личные типы брандмауэров включают:
- шлюз приложений (Application-gateway);
- пакетный фильтр (Packet-filtering);
- уровня соединения (Circuit-level);
- проверки состояния (Stateful Inspection).
Каждый тип брандмауэра проверяет и обрабатывает проходящий пакет с по­мощью различных технологий. Некоторые персональные брандмауэры, такие как BlacklCE, объединяют свойства более, чем одной технологии сетевой защи­ты. Каждый из этих типов сетевой защиты исследован в следующих разделах.
Брандмауэр - шлюз приложений
Брандмауэр - шлюз приложений - это модель большинства персональных брандмауэров. Эти виды брандмауэров иногда называются прокси-брандмауэрами. Эти брандмауэры могут фильтровать, основываясь на IP-адресах и определенных функциях, которые приложение пытается выполнить. Например, эти брандмау­эры могут не пропустить определенные приложения, такие, как Microsoft NetMeeting, PCAnywhere или FTP. Просматривая функции приложения, бранд­мауэр может даже разрешить некоторые операции приложения, в то же время
блокируя остальные. Один из примеров этого - FTP-сайт, который разрешает вам загрузить файлы в указанные директории без разрешения просматривать или изменять файлы в директориях. Например, брандмауэры McAfee, BlacklCE и ZoneAlarm имеют свойства шлюза приложений (application gateway).
Брандмауэры - пакетные фильтры
Брандмауэры - пакетные фильтры созданы так, чтобы просматривать пакеты, основываясь на их IP-адресах, и позволять соединение только с определенными IP-адресами. Как вы можете представить, это трудоемкий процесс, который по­требует много усилий. Этот тип брандмауэров иногда используется компаниями для разрешения удаленного коммутируемого доступа своим работникам или до­веренным клиентам. Но для домашних пользователей, которые, вероятно, путе­шествуют по всему Интернету и нуждаются в соединениях с любым количест­вом Web-сайтов, это непрактичный выбор.
Брандмауэры уровня соединений
Брандмауэры уровня соединений пропускают поток трафика с предваритель­но одобренных IP-адресов, сетей или поставщиков Интернет-услуг. Когда между пользователями на каждой стороне брандмауэра установлен сеанс связи, все ос­тальные пакеты проходят через маршрутизатор непроверенными.
Брандмауэры проверки состояния
Вместо ограниченной проверки пакетов на соответствие требованиям порта или приложения брандмауэры проверки состояния изучают весь пакет целиком и анализируют его содержимое. Брандмауэры проверки состояния пытаются оп­ределить тип данных, которые передаются. Если это данные, которые рассмат­риваются как не несущие угрозы, данные брандмауэры позволяют им пройти. На­пример, в брандмауэр BlacklCE встроен вариант этой технологии сетевой защиты.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика