На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Конфигурирование брандмауэра BlacklCE Defender

Как упоминалось ранее в этой главе, брандмауэр BlacklCE Defender не имеет
мастера конфигурирования в отличие от других персональных бранд-
мауэров. Вместо этого он устанавливает себя сам с параметров на-
стройки безопасности, устанавливаемых по умолчанию. Вы можете просмотреть и изменить эти настройки в любое время.
Настройки брандмауэра BlacklCE Defender можно просмотреть из диалогово­го окна Setting BlacklCE (Настройка BlacklCE), показанного 1. Это
диалоговое окно состоит из ряда окон свойств, каждое из которых поддерживает конфигурацию определенного свойства персонального брандмауэра.
Настройки конфигурации брандмауэра изменяются с помошью окон свойств в диалоговом окне BlacklCE by Network ICE
Вы можете открыть это диалоговое окно двумя способами. Первый - нажать Пуск, Программы, Network ICE и затем BlacklCE Utility. Тем самым вы запустите интерфейс приложения для отчетов (Application Summary). Из него нажмите на опцию Edit BlacklCE Setting (Редактировать настройки брандмауэра BlacklCE) в меню Tools (Инструменты). Другой способ - нажать правой клавишей мыши
на иконку BlacklCE Defender в панели задач Windows и выбрать Edit BlacklCE
Setting (Редактировать настройки BlacklCE) из появившегося ниспадающего ме­ню, показанного 2.
Вы можете получить доступ к любому свойству брандмауэра BlacklCE Defender, нажав правой клавишей мыши на его иконке на панели задач
Настройкибезопасности
Окно свойств Protection (Безопасность), показанное 3, позволяет вам выбрать один из четырех уровней безопасности. Как описывалось более
подробно ранее в этой главе, это уровни: Paranoid (Параноидальный), Nervous
(Боязливый), Cautious (Предупредительный) и Trusting (Доверительный). Уровень безопасности, устанавливаемый по умолчанию, - Боязливый. Внизу окна свойств расположены три дополнительные опции. Это опции:
т Enable Auto-Blocking (Включить автоблокировку) - позволяет брандмауэру BlacklCE Defender блокировать IP-адрес, с которого исходят серьезные угрозы.


■ Allow Internet file sharing (Разрешить общий доступ к файлам из Интерне­та) - эта настройка позволяет вашему компьютеру делить свои папки и дис­ководы с другими людьми в домашней сети или в Интернете.
■ Allow NetBIOS Neighborhood (Разрешить NetBIOS Neighborhood) - позволяет NetBIOS выдавать информацию о вашем компьютере другим компьютерам.
Выбор одного из уровней безопасности брандмауэра BlacklCE Defender
По умолчанию последние две опции отключены. К сожалению, если вы оста­вите эти настройки в их состоянии по умолчанию, ваш компьютер не сможет делить свои ресурсы с другими компьютерами домашней сети. Еще хуже то, что если вы подключите эти опции, вы подвергнете ваш компьютер воздействию
всего Интернета.
Решение этой проблемы - использовать протокол NetBEUI в качестве прото­кола вашей домашней локальной сети, как объясняется в главе 11 "Домашние сети и общее подключение к
Настройка лог-файлов
Окно свойств Packet Log (Регистрация пакетов), показанное 4, позволяет вам задавать брандмауэру способ управления регистрацией сетевого
трафика. Когда опция разрешена, брандмауэр BlacklCE Defender регистрирует весь сетевой трафик. Когда файл регистрации заполняется, открывается новый.
Этот процесс повторяется до тех пор, пока не будет достигнуто максимальное количество в этот момент брандмауэр начнет переписывать самый
старый файл.
Вы можете сконфигурировать любую из следующих настроек:
•  Logging enabled (Разрешение регистрации) - позволяет вам включать или от­ключать регистрацию в лог-файлах. По умолчанию настройка отключена.


• File prefix (Префикс файла) - позволяет вам указывать префиксное имя лог-файлов брандмауэра. Префикс по умолчанию - log. Например, когда эта оп­ция выбрана, первому созданному файлу регистрации присваивается имя logOOO.enc.
и Maximum size (Максимальный размер) - указывает максимальный размер лог-файла. Когда достигается максимальный размер, создается новый файл регистрации. По умолчанию размер составляет 0 Кб.
т Maximum number of files (Максимальное количество файлов) - указывает мак­симальное количество лог-файлов, которые будут созданы до как бранд­мауэр начнет переписывать их заново. По умолчанию указывается значение 10.
Регистрационные файлы брандмауэра BlacklCE Defender сохраняются как файлы анализатора пакетов (sniffer files) в том же виде, что и файлы событий. Эти файлы не читаются при просмотре в текстовых редакторах. Вместо этого вы должны использовать приложение, анализирующее пакеты (sniffer file application), чтобы проанализировать содержание лога. К сожалению, даже тогда вам будет необходим большой опыт сетевого администрирования, чтобы понять их.
Настройка регистрации событий
Окно свойств Evidence Log (Регистрация событий), показанное 5, по­зволяет вам брандмауэру способ управления созданием файлов регистрации событий. Файлы регистрации событий создаются, когда брандмауэр BlacklCE Defender определяет, что против вашего компьютера была запущена атака.
Когда опция включена, вы можете найти эти файлы в той же папке, в находятся исходные файлы брандмауэра BlacklCE Defender, обычно это папка
Эти файлы регистрации имеют расши-


рение .епс и могут быть прочитаны только с помощью приложения - анализато­ра пакетов (sniffer application).
Брандмауэр может быть сконфигурирован на сбор подробной информаиии о хакерах, нападающих на ваш компьютер
р-\^Кроме защиты вашего компьютера или домашней сети одна из наиболее ДОу важных вещей, которую может делать персональный брандмауэр, - это предоставлять вам полезную информацию о регистрационной деятельно­сти. Лог-файлы, регистрирующие пакеты и события, требуют специаль­ные программ для их дешифровки и опыта в сетевом администрировании для того, чтобы понять их, Вы можете предоставить эти лог-файлы ваше­му провайдеру, когда будет зарегистрировано но они немногим могут помочь большинству пользователей. К счастью, как вы увидите да­лее в этой главе, брандмауэр BlacklCE Defender предоставляет подробную информацию о регистрации в виде, который понятен для домашних поль­зователей, с помощью своего интерфейса программного отчета (Application Summary Interface),
Следующие параметры настройки могут быть сконфигурированы в окне свойств:
и Logging enabled (Разрешить регистрацию) - позволяет вам включать и отклю­чать регистрацию в лог-файлах. По умолчанию настройка включена.
• File prefix (Префикс файла) - позволяет вам указывать префиксное имя фай­лов регистрации брандмауэра. По умолчанию присваивается префикс evd%d. EVD означает "для событий", a %d - переменное значение, которое подставля­ется из системной даты каждый раз, когда создается файл регистрации.
N Maximum size (Максимальный размер) - указывает максимальный размер файла регистрации. Когда достигается максимальный размер, создается новый лог-файл, а старый файл сохраняется. По умолчанию размер составляет 1440Кб.


в Maximum number of files (Максимальное количество файлов) - указывает максимальное количество файлов регистрации, которые будут созданы до то­го, как брандмауэр начнет переписывать лог-файлы заново. По умолчанию указывается значение 32.
■ Максимальное количество секунд (Maximum number of sees) — время в се­кундах, в течение которого брандмауэр собирает сетевые данные при созда­нии файла события. Эта настройка позволяет вам ограничивать размер места на диске, которое занимается одним файлом события.
Сбор информации о нападающих
Окно свойств Back Trace (Отслеживание пути), показанное 6, по­зволяет вам задать брандмауэру способ сбора информации о хакерах, которые на­падают на ваш компьютер. Отслеживание пути - это метод, используемый бранд­мауэром для отслеживания маршрута пакета данных до их исходного компьютера
и сбор как можно более подробной информации о компьютере, который послал их.
Этот вид отслеживания невидим для хакера.
т Direct (Прямой) - отслеживает путь пакетов данных в Интернете и собирает подробную информацию о хакере. Этот вид отслеживания может быть обна­ружен хакером, если он или она установил(а) свой собственный брандмауэр, и может спровоцировать дальнейшие нападения.
Опция непрямого отслеживания включает подопцию, которая позволяет выпол­нять его в режиме поиска DNS (DNS lookup). Серверы DNS находятся в Интернете и больших сетях и могут иногда использоваться для поиска имени, присвоенного компьютеру. Прямое отслеживание имеет свою собственную подопцию. Когда включена опция NetBIOS node status (Статус узла NetBIOS), она указывает бранд­мауэру BlacklCE Defender выполнять запрос NetBIOS о компьютере хакера.
Настройка Threshold (Предельная величина) определяет, когда начинать вы­полнение отслеживания пути. По умолчанию событие безопасности с уровнем 30 и выше запускает непрямое отслеживание. Подобным образом событие безо­пасности на уровне 50 запускает прямое отслеживание пути.
Брандмауэр BlacklCE Defender автоматически присваивает уровень серьезно­сти каждому нападению. Определены четыре основных категории событий, ка­ждая из которых представляет различный диапазон угроз безопасности, как по­казано в таблице 7.1.
Таблица 7.1. Уровни событий безопасности брандмауэра BlacklCE Defender.


Категория события

Серьезность

Описание

Critical
(Критическое)

75-100

Нападение, созданное для причинения вреда вашему компьютеру или его содержимому

Serious(Серьезное)

50-74

Нападение, созданное для получения информа­ции о вашем компьютере

Suspicious (Подозрительное)

25-49

Не несущая угрозы деятельность, такая, как ска­нирование портов, которая может указывать на возможную опасность в дальнейшем

Informational
(Информационное)

0-24

Не несущее угрозы сетевое событие

Работа с определенными IP-адресами
Окно свойств Detection (Обнаружение), показанное 7, позволяет вам указывать IP-адреса, которым брандмауэр должен доверять, или атаки, ко­торые должны игнорироваться. Доверие IP-адресу позволяет всему трафику с этого IP-адреса проходить через брандмауэр непроверенным. Указание бранд­мауэру игнорировать определенные типы атак с определенного IP-адреса позво­ляют вам фильтровать сетевой трафик, помеченный брандмауэром как опасный,
когда на самом деле он неопасен. Например, вы, возможно, захотите исключить сканирование любых портов вашим провайдером.
Каждый IP-адрес указывается на отдельной строке. Каждая запись показыва­ет доверяемый IP-адрес, название доверяемой атаки и ID (идентификационный
номер) этой атаки. ID атаки - это номер, присваиваемый каждому известному типу атаки брандмауэром BlacklCE Defender.
Чтобы добавить новый IP-адрес в список, нажмите Add (Добавить), чтобы изменить существующую запись, нажмите Modify (Изменить). Чтобы удалить запись, нажмите Delete (Удалить) и Yes (Да), когда вас попросят подтвердить.


Указание IP-адресов, которые требуют особого обращения
Опции Add (Добавить) и Modify (Изменить) открывают диалоговое окно Exclude from Reporting (Исключить из отчетов), показанное 8,
• Attacks to Ignore (Игнорируемые атаки)
- All (Все) - выберите эту опцию, чтобы игнорировать все атаки с опреде­ленных IP-адресов.
- Name (Название) - ниспадающий список известных атак. Выберите одну, которая будет игнорироваться.
-ID - вместо указания атаки с помощью ниспадающего списка в поле Name (Название), вы указываете ее, выбрав ID, который BlacklCE Defender при­своил атаке.
Окно свойств ICEcap
Окно свойств ICEcap, показанное 9, отключено. ICEcap - это продукт компании "Network ICE", который создан для установки в корпоратив­ных сетях и объединения информации, полученной от компьютеров, устано­вивших брандмауэр BlacklCE Defender, на одном сервере, где она может быть сопоставлена и проанализирована.
Установка параметров настройки интерфейса и предупреждений
Окно свойств Preference (Настройки), показанное 10, конфигу­рирует настройки, управляющие тем, как брандмауэр уведомляет вас об аварий­ных ситуациях, как он проверяет свои обновления и как он показывает контек­стные окна указателя.
Раздел Prompts (Подсказки) позволяет вам решить, будут ли появляться диа­логовые окна подтверждения, когда вы будете вносить изменения в конфигура­цию. Опция Show tooltips (Показывать всплывающие подсказки) включит показ всплывающих подсказок, когда запустится брандмауэр.
Раздел Update Notification (Уведомление об обновлении) позволяет вам ука­зывать, будет ли брандмауэр BlacklCE Defender проверять Web-сайт Network


ICE на предмет обновлений. Опция Interval for Checking (Интервал между про­верками) позволяет вам указать, как часто будет осуществляться эта проверка.
Раздел Attack Notification (Предупреждение об атаке) позволяет вам указать, будут ли использоваться графические или звуковые предупреждения. Кроме того, вы можете указать уровни серьезности, требуемые для запуска предупреждения.
Варианты уровней:
я  Critical (Критический);
a  Critical and serious (Критический и серьезный);
я Critical, serious, and suspicious (Критический, серьезный и предупредительный).
Конфигурирование опций предупреждения
Опция WAV file (Файл WAV) позволяет вам указать файл WAV, который бу­дет проигрываться при запуске звукового предупреждения. Кнопка Preview (Прослушать) позволяет вам прослушать этот файл WAV.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика