На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Защитите себя с помощью персонального брандмауэра

Итак, теперь вы имеете представление о том, каким образом постоянное со­единение с Интернетом делает вас более уязвимым, чем обычное соединение на скорости 56 Кб/с. Теперь вам необходимо узнать, как вы можете защитить себя от угроз, исходящих от этого типа соединения. Я надеюсь, что не заставил вас поверить, что подключение к Интернету на скорости 56 Кб/с полностью защищено от хакерских атак, поскольку это не так. Просто хакерам немного сложнее взломать его благодаря ограни­ченному времени работы онлайн и постоянному изменению IP-адресов.
Как показано в этой книге, существуют простые меры предосторожности, ко­торые вы можете предпринять, чтобы сделать ваш компьютер или сеть намного
более безопасными. Если у вас установлена операционная система Microsoft, вы,
возможно, захотите изменить конфигурацию некоторых параметров настройки сети, которые оставляют ненужные дыры в вашей защите. Вы узнаете, как внести эти изменения в конфигурацию, в главе 4 "Защита сетей в Windows". Вы также должны регулярно посещать Web-сайт Microsoft и использовать все доступные поправки и изменения, касающиеся безопасности. Кроме того, вы должны убе­диться, что у вас установлена антивирусная программа, и что она соответствует
современным требованиям. Если у вас нет антивирусной программы вы должны приобрести ее при покупке персонального брандмауэра.
вирус - это программа, созданная для проникновения в компьютерную систему или сеть. Многие вирусы относительно безвред­ны и просто показывают смешные сообщения. Другие вирусы созданы для удаления файлов или даже для форматирования жестких дисков.
Пару лет назад никто еще даже не слышал о термине "персональный бранд­мауэр". Брандмауэры были дорогим оборудованием или программным обеспе­чением, которое требовалось только большим компаниям для защиты их много-
Уменьшить опасность можно, используя ПК-версии ОС UNIX, однако они более сложны для освоения.


миллионных банков данных. Однако все меняется. Персональные брандмауэры стали необходимой вещью для любого человека, у которого есть высокоскоро­стной доступ в Интернет. Их цель - не допустить того, чтобы хакеры могли проникнуть в ваш компьютер или даже просто увидеть его, когда вы путешест­вуете по Интернету. Хороший брандмауэр не только предотвращает ^ настоящие и будущие атаки, но также предупреждает вас о присутствии и деятельности программы "Троянский конь", которая могла проникнуть на ваш компьютер до
того, как вы установили персональный брандмауэр.
"Троянский конь" - это программа, которая, будучи однажды установленной,
соединяется с компьютером хакера и выполняет то, что ей указали делать, включая нападение на другие компьютеры. Так случилось в феврале 2000 года, когда две атаки "распределенный отказ от обслуживания" остановили работу Web-сайтов Yahoo и ЕЬау. Вы узнаете больше о программах "Троянский конь" далее в этой главе.
Р"\^Атака "распределенный отказ от обслуживания" происходит, когда хакер 1^3* внедряет программу "Троянский конь" в тысячи компьютеров и затем при­казывает этим компьютерам постоянно подключаться к сети компании или Web-сайту. Тем самым сайт переполняется сетевым трафиком. Цель атаки "распределенный отказ от обслуживания" - переполнение указанной компьютерной системы ббльшим потоком информации, чем она может обработать, что не дает ей возможности работать с запросами реальных клиентов.
Существует ряд компаний, создающих средства межсетевой защиты. Некото­рые из этих брандмауэров реализованы аппаратно, другие выполнены как про­граммное обеспечение. В этой книге описываются четыре наиболее популярных брандмауэра:
в Кабельно-цифровой маршрутизатор Linksys EtherFast - www.linksys.com; •   Персональный брандмауэр McAfee -www.mcafee.com; т BlacklCE Defender - www.networkice. com;
Персональный брандмауэр ZoneAlarm - www.zonelabs.com.
дополнение к этим персональным брандмауэрам вы можете найти ин­формацию о ряде других персональных средств межсетевой защиты в приложении А,
(Г Создатели брандмауэров иногда также продают антивирусные программы. Ill   Ищите комбинированные программные пакеты, которые включают как ан-С тивирусную программу, так и программу-брандмауэр. В большинстве слу­чаев вы сэкономите деньги при покупке подобного пакета.


Сегодня высокоскоростное подключение к Интернету происходит с помощью кабельного модема или цифровой абонентской линии. Кабельный модем - это способ подключения, при котором ваш поставщик услуг кабельного телевиде­ния также предоставляет вам Доступ в Интернет с помощью кабельного модема. Ваша телефонная компания, со своей стороны, предоставляет подключение с помощью цифровой абонентской линии. Модемы с высокоскоростным досту­пом, как правило, оснащены также для работы с более медленным соединением и не требуют конфигурирования с вашей стороны, за исключением подсоедине­ния модема к кабелю или цифровой абонентской линии, а затем подключения его к вашему
На 1 изображено типовое высокоскоростное соединение. Компью­тер соединяется с кабельным/цифровым модемом при помощи подключения к плате Ethernet или шине USB. Затем компьютер подключается к поставщику услуг Интернета. . ;
Кабельный или телефонный выход
Кабельный или
цифровой модем
1 Интернет <
Соединение со службой, -1 предоставляющей
кабельное или цифровое
подключение
Кабельный модем, обеспечивающий
подключение к сети
Локальный жесткий диск
Незащищенное подключение к сети
Данное соединение похоже на любое другое сетевое соединение, с помощью которого ваш компьютер может посылать или получать сообщения от других компьютеров сети. Только вместо безопасной корпоративной сети с доверенны­ми сотрудниками, преданным персоналом отделов безопасности и профессиона­лами, работающими с сетями, - лишь вы и целый Интернет. Вот почему персо­нальные брандмауэры столь важны.
На показано значение программного брандмауэра. В этом случае
на вашем компьютере установлена такая программа, как персональный бранд­мауэр McAfee. После того, как вам будет задано несколько простых вопросов,


17
она сама сконфигурирует себя и приступит к работе, действуя как фильтр для всего входящего и исходящего сетевого трафика вашего компьютера и убежда­ясь, что Ничто не прошло через нее до тех пор, пока вы не определили, что это можно пропустить.
Программные брандмауэры позволяют вам определять, какой трафик разре­шить, а какой заблокировать, с помощью служб безопасности, которые были
созданы, когда вы впервые установили брандмауэр. В общем, мастер задаст вам серию простых вопросов, на которые вы ответите. Затем мастер создаст службы безопасности в соответствии с предоставленной вами информацией.
Причина того, что фильтры брандмауэра ограничивают IP-трафик - это защита от "Троянского коня". Если "Троянский конь" проникнет на ваш компьютер или уже был там до установки брандмауэра, он будет пойман в первый же раз, когда он попытается соединиться с Интернетом.
Персональные брандмауэры комплектуются в двух формах:
автономный - программный брандмауэр, устанавливаемый на компьютер;
аппаратный - внешнее аппаратное оборудование, которое находится между кабелем и вашим компьютером и обеспечивает сетевую защиту.
1 Интернет.
Кабельный или телефонный выход
Кабельный или
цифровой модем
Незащищенное подключение к сети —1
Программный брандмауэр
Локальный жесткий диск
Программный брандмауэр действует как барьер, запрещающий прохождение любого несанкционированного потока информации в сеть или из сети
В отличие от программных брандмауэров, аппаратный брандмауэр не требует
конфигурирования. Кроме того, аппаратный брандмауэр имеет дополнительные функциональные возможности для работы в сети, не предоставляемые про­граммными брандмауэрами, включая:
• Концентратор  (hub) - сетевое устройство, использующееся для объединения различных компьютеров в одну локальную сеть.
• Коммутация (switching) - способ создания динамического выделенного сеан­са связи между двумя компьютерами в сети.


• Маршрутизация (routing) - правило, указывающее устройству направлять данные, предназначенные для Интернета, в Интернет, в то же время оставляя данные локальной сети локальными.
л[р Дополнительные функциональные возможности для работы в сети, предоставляемые аппаратным брандмауэром, имеют значение только в том случае, если у вас есть или вы планируете создать локальную сеть. В про­тивном случае это ненужные свойства, которые, в дополнение к стоимости оборудования, помогают объяснить, почему стоимость аппаратных бранд­мауэров выше, чем программных. Дополнительная информация о работе с локальными сетями представлена в главе 11 "Домашние сети и общее подключение к Интернету",
Способ, которым брандмауэр фильтрует IP-пакеты, зависит от типа вашего брандмауэра. Ниже перечислены несколько типов брандмауэров:
т Шлюз приложений (Application gateway) - также известен как прокси-сервер. Он фильтрует, опираясь на IP-адреса и операцию, которую приложение пы­тается выполнить.
• Уровня соединений (Circuit-level) - проверяет пакеты предварительно одоб­ренных услуг Интернета и IP-адресов. После установки соединения с сайтом он позволяет трафику проходить без дополнительной проверки.
• Проверки состояния (Stateful Inspection) - исследует содержание пакетов и пропускает или блокирует их, основываясь на сопоставлении их характери­стик с характеристиками одобренных типов пакетов.
• Пакетный фильтр (Packet filter) - фильтрует пакеты, основываясь на предва­рительно одобренных IP-адресах. Этот вариант включает большой объем конфигурирования и постоянную поддержку в рабочем состоянии.
Р^ч^ТТерсональнме брандмауэры предназначены только для личного, домашне­го* го пользования и лишены сложности и маневренности, требуемой для управления процессами передачи данных в больших масштабах. Чтобы уз­нать больше о брандмауэрах индустриального уровня, используемых кор­порациями, смотри "Практическое руководство^ по работе с брандмауэра­ми", Терри Оглетри, издательство "Que"; ISBN: 0-7897-2416-2.
Аппаратные брандмауэры представляют собой альтернативное решение, в соответствии с которым брандмауэр выносится из корпуса компьютера, кото­рый он защищает, во внешнее устройство, как изображено 3. Этот вариант, в сущности, переносит поединок из внутренней части компьютера на­ружу. Это также освобождает ценные ресурсы вашего компьютера для целей, не
связанных с работой вашего персонального брандмауэра. Аппаратные персо­
нальные брандмауэры обычно бывают немного менее маневренными, чем про­граммные. Основной недостаток аппаратного брандмауэра - это его стоимость, которая в 3-5 раз выше стоимости стандартного программного брандмауэра.
Кабельный или телефонный выход
Кабельный или
цифровой модем
/• Интернет А-
Незащищенное подключение к сети Аппаратный
брандмауэр
Локальный
жесткий диск
' Аппаратный брандмауэр выполняет ту же работу, что и его программный аналог, не требуя затрат ресурсов компьютера или сети, которые он зашишает

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика