Непробиваемый щит, или 10 советов по настройке брандмауэра.

 "Clapco D29 является самым надежным замком в мире, его практически невозможно открыть без ключа, но несмотря на это у него все-таки есть один значительный недостаток... и этот недостаток - дверь. Она должна быть закрыта!"–Seinfeld (1990)

 

Представьте себе, что вы установили у себя дома дорогущую сигнализацию, а дверь по толщине превосходит стену сейфа Форт-Нокса. Но уходя из дома Вы забыли включить сигнализацию и закрыть дверь. Как Вы думаете, что помешает вору пробраться к Вам домой? Разве что непомерный вес самой двери. Из вышесказанного можно сделать вывод: Неважно, насколько хороша система обеспечения безопасности, если она используется неправильно. Это все справедливо и при использовании брандмауэров.

 

Большинство компьютеров теперь идет с предустановленным брандмауэром, но несмотря на это, число компьютеров, которые заражены вирусами, червями и другими типами malware растет изо дня в день. Одной из самых распространенных причин, почему брандмауэры не выполняют свою работу является то, что многие из нас никогда не находили время, дабы настроить фаервол должным образом. Эти 10 советов помогут простым пользователям и владельцам малого бизнеса понять, что необходимо сделать, чтобы оградить их компьютер и частную информацию от посягательств извне.

 

1. ОБНОВИ СВОЮ WINDOWS XP

 

Как бы это глупо не звучало, но прежде, чем Вы сможете настроить Ваш брандмауэр, важно удостовериться, что у Вас он установлен. Удивительно, но большое количество людей, которые полагают, что они уже защищены, даже не сделало самый основной шаг - установки бесплатного брандмауэра.

Если Вы используете Microsoft Windows XP и только предположили, что Вы были защищены встроенным брандмауэром, то Вы можете быть неприятно удивлены. Фактически, стандартная версия Windows XP крайне уязвима для червей и вирусов, так как у нее НЕТ НИКАКОГО встроенного брандмауэра. В ответ на критические замечания, Microsoft создала бесплатное обновление к Windows XP под названием SP2. Загружая и устанавливая SP2 на Ваш компьютер, Вы будете автоматически снабжены Центром Windows Security, Windows Firewall, установленным в наивысшую точку блокатором для Internet Explorer и Беспроводной Системой обеспечения безопасности Сети.

Учитывая количество уязвимостей чистой Windows XP против вирусов и червей, это - необходимый первый шаг для любого пользователя, заинтересованного в сохранении своих данных. На вашем компьютере ДОЛЖЕН быть установлен второй сервис пак МИНИМУМ. Однако, удостоверьтесь, что Вы загружаете свои обновления с официального сайта Майкрософта,  поскольку умные спаммеры часто предлагают скачать обновления со своих сайтов, которые полны скрытых вирусов.

Для тех людей, которые не используют брандмауэр вообще, установить Второй Сервиспак будет огромным шагом к счастливому будущему. К сожалению, однако, Windows Firewall только заблокирует нападения, которые прибывают извне, но все, что отсылает Ваш компьютер, он считает абсолютно безопасным (что зачастую не соответствует действительности). Если Вы не использовали фаервол в прошлом, то наверняка Ваши компьютеры могут уже быть заражены, и Вы просто понятия не имеете, что и куда отправляет Ваш цифровой друг. Чтобы разобраться с этой проблемой, необходимо использовать "двунаправленный", имеющий отношение к третьей стороне, брандмауэр. Существует много хороших, бесплатных фаерволов (например, ZoneAlarm. Если ZoneAlarm не соответствует Вашим потребностям, есть множество других вариантов. Но для неопытного пользователя ZA будет оптимальным). Теперь, когда мы удостоверились, что у Вас фактически есть брандмауэр, пришло время начинать оптимизировать его.

 

2. ОБНОВЛЯЙСЯ, ЕСЛИ ХОЧЕШЬ БЫТЬ ЗДОРОВ.

 

Ежедневно на просторах интернета появляется несметное количество новых вирусов, червей и других форм malware, таким образом, крайне важно, чтобы сразу после установки Вашего брандмауэра, он начал себя периодически обновлять. В то время как обычно это глупейшая идея - позволить Вашему компьютеру загружать что-нибудь без Вашего одобрения, когда дело доходит до борьбы с вирусами, есть целый свод новых правил. Поскольку, как говорили древние, все течет, все меняется, то и для ежедневного обеспечения высокого уровня безопасности, необходимо разрешить автообновления. Как только автоматическое обновление будет включено, Ваш брандмауэр загрузит самые последние обновления так скоро, как только они появятся, и Вы подключитесь к сети. Эти обновления позволят защитить Ваш компьютер от любых новых вирусов, червей, троянских коней, а также исправить багги самого фаервола.

Если Вы используете стандартный брандмауэр Windows XP, который Вы установили вместе с SP2, то Вы должны просто включить Windows Automatic Updates. Это - программа для Windows, которая фактически проверит, что требует обновления и загрузит их с официального сайта Windows. Как только Вы включите автоматическое обновление, программа будет часто проверять на новые обновления и когда они будут созданы, она будет ждать какое-то время, когда Ваш компьютер не будет использоваться, чтобы не прервать Вашу работу, и автоматически загрузить новый участок обновления. Установка для Автоматических Обновлений - простой постепенный процесс, который не будет занимать больше чем 15 минут.

 

3. ЭТО СТРАШНОЕ СЛОВО - НАСТРОЙКИ.

 

Стандартные настройки брандмауэра рассчитаны для среднего пользователя. Проблема в том, что "средний пользователь" - это миф, так что настроить брандмауэр вручную не просто желательно, а необходимо. Одна из самых общих настроек - выбор времени автоматического обновления. Обязательно разрешите автоматическое обновление, оно спасло множество "жизней". Вот только произойдет ли это обновление? Для большинства брандмауэров автоматическое обновление установлено на 3 часа ночи, если у Вас  компьютер в это время будет отсоединен от сети интернет, то естественно, что и обновляться он никогда не будет. Так что, удостоверьтесь, что автоматическое обновление установлено на то время, когда Ваш компьютер подключен к сети, но не сильно загружен. Если Вы не знаете это время, то необходимо сделать так, чтобы вы получали уведомления о наличии новых обновлений, после чего вы сами решите, какое время для Вас удобнее всего.

На работе большинство из нас хочет сделать свою работу как можно быстрее. Так, если Вашим служащим мешает pop-up блокиратор (который может, например, блокировать автоматически появляющуюся форму для ввода данных), то чаще всего они его просто выключат, вместо того, чтобы добавить в whitelist нужный сайт. Очень скоро Вы узнаете, что у всех компьютеров в Вашей компании теперь выключены pop-up блокаторы, и в результате через Ваш брандмауэр полезет огромная куча вредного хлама, и в конечном счете, Ваш компьютер становится более уязвимым (или зараженным). Чтобы этого не случилось,  удостоверьтесь, что Вы настроили Ваш брандмауэр так, чтобы пропускать pop-up код со страниц, которым Вы доверяете и которые необходимы для нормальной работы Ваших сотрудников.

Добавив пять-десять таких сайтов в белый список, Вы сможете удержать Ваших сотрудников от желания выключить pop-up блокиратор, что сделает Вашу локальную сеть более безопасной.

Если Вы получаете много электронной почты, то Вы можете обнаружить, что установив SP2, многие письма выглядят намного менее симпатично. Это происходит из-за того, что SP2 и другие брандмауэры часто блокируют крошечные изображения, названные 'web bugs', которые помещены в письма, чтобы послать отправителю различную информацию (например о том, как долго Вы читали его сообщение). Но, если Вы хотите читать свою почту в ее первозданном виде и не боитесь, что из-за этого о Вас узнают что-то лишнее, то Вы можете и включить показ этих "изображений" (обычно эта настройка находится в опции "HTML e-mail").

Чтобы хакерская атака была эффективной, то необходимо, чтобы Ваш компьютер получал и отдавал нужную хакеру информацию, и чтобы все это происходило без Вашего ведома. Один из самых общих способов, которым этого можно добиться, это внедрить червя в любую программу, а потом, используя эту программу, соединиться с интернетом. Ненастроенные брандмауэры, где настройки остались по умолчанию, крайне мало что могут сделать, чтобы предотвратить это. Это происходит из-за того, что фаервол не знает, какие программы должны посылать и получать пакеты из интернета, а какие нет. Но настроив фаервол, и указав ему на программы, которые должны иметь доступ в сеть, Вы практически полностью защищаете свою информацию от посягательств извне. Первое что необходимо сделать, это отделить Ваш принтер от доступа к чему-нибудь вне местного уровня сети. Тем самым, вирус не сможет включить себя в Ваше программное обеспечение принтера и посылать и получать информацию через оставленную ему лазейку. Для тех программ, которые действительно требуют доступа в Интернет, Вы должны указать, должны ли они и посылать и получить информацию, или они могут только посылать информацию. В недостижимом идеале ни одна программа не должна иметь доступа в интернет, и указывая программы, которые имеют туда доступ, мы тем самым снижаем безопасность своего компьютера, но это все равно лучше, чем стандартные настройки.

 

4. У НАС КОМУНИЗМ! ЕДИНЫЕ НАСТРОЙКИ ДЛЯ ВСЕХ!

 

Различные пользователи получают и используют доступ в интернет совершенно разными путями. Из-за этого разнообразия много людей и небольших компаний решают установить множество брандмауэров в пределах сети, и настроить их согласно привычкам пользователей. Например, если человек получает доступ к определенному сайту больше чем другие пользователи, он мог бы внести его в белый список, тем самым пропуская поп-апы. Еще более вероятно, что пользователь позволит получить беспрепятственный доступ в сеть такой программе как ICQ.

В то время как эти виды индивидуализированных настроек могут казаться безопасными, фактически они создают различные пути нападения на каждый компьютер в пределах сети. И когда червь или другая вредоносная программа нарушит работу компьютера, то уже будет проблематично сказать, как он проник и что необходимо сделать, чтобы предотвратить подобное впредь. Это же самое рассуждение также требует, чтобы администратор брандмауэра не позволял иметь свои собственные настройки отдельным пользователям.

 

5. ПЕРВАЯ ЛИНИЯ ОБОРОНЫ ПРОРВАНА? ЕСТЬ ВТОРАЯ!

 

Брандмауэр - это программа,  которая создает своего рода раковину вокруг Вашего компьютера, которая позволяет определенным типам информации проходить через нее, в то время, как другую информацию попросту отсеивает. Проблема в том, что фаервол предназначен только для защиты, но не для нападения. Он может изолировать от сети уже зараженную Трояном программу, но на этом его действия и закончатся.

Из-за защитной природы брандмауэров они всегда ведут неравный бой против хакеров, которые создают новые виды malware. Таким образом, чтобы помочь брандмауэру в этом нелегком деле, он должен работать в паре с агрессивной программой-антивирусом. В отличие от брандмауэра, который пытается сформировать раковину вокруг Вашего компьютера, программа-антивирус просматривает информацию, которая прошла через брандмауэр и карантин, и только тогда устраняет malware, если находит. Даже в случае если вирус проскочит фаервол, он будет в конечном счете выкорчеван Вашим антивирусным программным обеспечением, как только Ваше программное обеспечение будет обновлено, чтобы признать новый вирус.

В дополнение к программе-антивирусу Вы должны также добавить pop-up блокатор и блокирующее спам программное обеспечение. В то время как эти два дополнения брандмауэра не будут непосредственно бороться против нападений вирусов, червей, и троянских коней, они ограничат число этих типов malware, и таким образом делают Ваш брандмауэр более эффективным.

Если Вы используете Internet Explorer как свой Web-браузер, то SP2 имеет свой собственный поп-ап блокиратор и блокатор спама. Но потому что много вирусов разработаны именно под Internet Explorer, более безопасно для Вас или Вашей компании начать использовать альтернативный интернет-браузер, такой как Firefox, Опера и т.д. Они также идут со встроенным поп-ап блокиратором и блокиратором спама, которые являются лучшими в своем роде. Так, если Вы решили использовать эти браузеры, то Вам не потребуется еще устанавливать дополнительно программы-шпионы и блокираторы спама.

 

6. ПАРОЛИ – УМ, ЧЕСТЬ И СИЛА НАШЕЙ ЭПОХИ!

 

Эффективный брандмауэр отразит почти каждое нападение хакера. Но независимо от того, насколько эффективный брандмауэр, это все может оказаться бесполезным, если хакер в состоянии получить доступ к Вашим уязвимым данным через прямые средства. Например, любой может получить доступ к Вашей беспроводной сети, если у них есть правильный шифровальный ключ WEP. Точно так же хакер не должен нарушить Ваш брандмауэр, чтобы получить Вашу банковскую информацию, если он или она может вместо этого только предположить Ваш пароль. По этим причинам жизненно необходимо использовать сложные пароли.

Используя сложный пароль необходимо придерживаться четырех вещей:

1. Длина: Один из самых простых методов, которые используют хакеры, это просто предполагают, какой пароль может быть у Вас. Дальше начинают подбирать. Логично предположить, что длинные пароли подобрать намного сложнее, чем короткие, даже с использованием специальных программ.

2. Структура: Хакеры часто используют метод кражи пароля, в котором компьютерная программа неоднократно пробует различные комбинации слов из словаря, чтобы предположить пароль. Следовательно, Ваш пароль никогда не должен быть отдельным словом, найденным в словаре, и при этом это не должна быть комбинация двух или трех слов. Вместо этого Ваш пароль должен всегда вовлекать или выдуманные слова или комбинации чисел и букв.

3. Повторяемость: Никто не использует один и тот же ключ для квартиры, гаража, машины и сейфа. Точно так же Вы никогда не должны использовать один и тот же пароль для всех ваших важных документов. Если единственный пароль будет держать под контролем все Ваши счета в банке, базу данных клиентов, личные электронные письма, и интранет работы, то единственное правильное предположение хакером оставит Вас и Вашу компанию у разбитого корыта.

4. Частота: Даю рябь за сто, что наверняка кто-то уже знает Ваш пароль, и то что он не хочет Вам навредить, то это не значит, что он не скажет его тому, кто хочет. То есть Вы должны периодически изменять свой пароль на новый. Так Вы можете минимизировать шанс, что, когда информация просочится, то это будет все еще актуально. Частота, с которой Вы изменяете свой пароль, будет зависеть от того, насколько важна информация, которую он защищает, но ни в коем случае его срок действия не должен превышать полугода.

 

7. 128-БИТОВОЕ ШИФРОВАНИЕ WEP ДЛЯ ВАШЕЙ БЕСПРОВОДНОЙ СЕТИ – ПРОБЛЕМЫ ХАКЕРАМ

 

С незашифрованной сетью любой может получить доступ к Вашей сети и таким образом получить доступ к компьютерам Вашей компании. Даже хакеры новички могут тогда использовать этот доступ, чтобы украсть информацию о компании, номера кредитной карточки и пароли, или заразить Ваш компьютер вирусами и червями, так как они по существу обошли Ваш брандмауэр сети.

В то время как крупные компании должны предпринять серьезные шаги, чтобы защитить свои беспроводные сети, для домов и меньших компаний, шифрование WEP - легкое и хорошее решение. Самое общее шифрование WEP - 128-битовое шифрование, однако, шифрование может расположиться где-нибудь от 40-битового до 152-битового. Фактически, чем выше шифрование числа, тем дольше пароль, требуемый для получения доступа к Вашей беспроводной сети, и таким образом тяжелее для взлома.

 

8. УХОДЯ - ГАСИТЕ СВЕТ

 

Хакер может добраться до Вашего компьютера только удаленно, если это вообще у него получится. То есть хакер не может удаленно поместить троянского коня на компьютер, который не связан с Интернетом. Следовательно, один из самых легких способов уменьшить Вашу уязвимость для хакеров и таким образом добавить устойчивости Вашему брандмауэру и удерживать Ваш компьютер чистым от заразы состоит в том, чтобы выключить компьютер, или перейти в спящий режим всякий раз, когда Вы не используете его.

Помните, что независимо от того, насколько надежным Вы делаете брандмауэр или как часто Вы обновляете его, брандмауэр никогда не может обеспечивать полную защиту против malware. Но выключая компьютер каждую ночь, или устанавливая компьютер в спящий режим, если он не используется, Вы можете сократить опасность заражения более чем в два раза.

 

9. ТЕСТ #1: ПОИСК УТЕЧЕК

 

Настроив Ваш брандмауэр, устанавливая определенное программное обеспечение и делая определенные профилактические шаги, Вы должны чувствовать себя в определенной безопасности. Но единственный способ, как можно узнать, работает ли Ваш брандмауэр хорошо, это не заразиться malware. Так как такое испытание боем может быть довольно опасным, то лучше избрать альтернативный путь, которым является - тестирование брандмауэра на утечки. Эти тесты фактически попытаются обойти Ваш личный брандмауэр и проверить фильтрующую способность брандмауэра. Поскольку каждый тест брандмауэра использует немного различные методы, чтобы попытаться обойти Ваш брандмауэр (точно так же, как и malware, которые используют бесконечное множество методов обхода), полезно подвергнуть Ваш фаервол нескольким различным тестам, дабы гарантировать, что все в порядке.

Существует довольно много онлайн версий таких тестов утечки брандмауэра, так что, Гугл Вам в помощь.

 

10. ТЕСТ #2: ПРОВЕРКА ПОРТОВ

 

Портом называется не только то место, где причаливают корабли. Существуют также сетевые порты’. Сетевой порт - это число от 1 до 65535,  присваиваемое двум различным приложениям, находящихся на разных компьютерах, для установки связи через сеть. Порты могут или быть открытыми, закрытыми, или отфильтруемыми. Когда порт будет открыт, хакер будет в состоянии использовать его, чтобы получить свободный доступ на Ваш компьютер. Следовательно, Вашей целью должно быть держать как можно меньше открытых портов. Поэтому, когда Вы устанавливаете программу, и обнаруживаете, что Ваш брандмауэр мешает ей работать, удостоверьтесь, что Вы настроили Ваш брандмауэр правильно, выбирая «разрешить программе обращаться к порту», а не «открытие порта». В таком случае порт будет открыт только для этой программы и только необходимое для работы время. Иначе, он закрыт.

 

Эти десять советов не претендуют на всесторонность рассмотрения данного вопроса, но используя их, Вы сумеете существенно повысить безопасность Вашей системы. Всех благ!