Олег Бойцев - Защити свой компьютер на 100% от вирусов и хакеров

♦ необходимо найти неассоциированное клиентское устройство-жертву;

♦ далее эмулируется точка доступа;

♦ жертве выдается IP-адрес, а также IP-адреса подставных шлюза и DNS-серве-ра через DHCP.

Далее следует атака на сеть. При успешном получении удаленного доступа к устройству последнее "отпускается" обратно на легальную беспроводную сеть, предварительно запустив на нем троянского коня.

Безопасность Wi-Fi

При построении безопасной Wi-Fi-сети прежде всего необходимо обратить внимание на следующее:

♦ ограничение физического доступа к сети (трудновыполнимо, однако же, если не обращать внимания на такие очевидные вещи, как "вочолкинг" – так называемые пометки мелом, сигнализирующие взломщикам о наличии беспроводной сети (рис. 6.1 и 6.2), – то говорить о какой-либо безопасности не имеет смысла вообще);

♦ шифрование передаваемой информации (использование WPA, а не WEP);

♦ использование трудновзламываемых паролей (не менее 12 знаков, сочетание цифр, букв и специальных символов);

Рис. 6.1. Обозначенная сеть

♦ защиту от несанкционированного доступа на уровне ресурсов (применение ACL, фильтрация по MAC-адресу);

♦ при построении WLAN более чем уместно использование VPN, SSH, IPSec;

♦ недопустимо, чтобы точка доступа была напрямую подсоединена к локальной сети;

♦ наличие межсетевого экрана обязательно (желательно, чтобы фильтрация клиентов осуществлялась по IP-и MAC-адресам совместно).

Рис. 6.2. Простой язык «вочолкинга»

6.4. Лучшие брандмауэры – какие они?

Не секрет, что первым рубежом – огненной стеной, защищающей систему от вторжения извне и от последующей «зло-активности» изнутри, – является брандмауэр. От выбора последнего зависит, ни много ни мало, почти все – взломают вашу систему или нет.

В данном разделе мы поговорим о межсетевых экранах пользовательского уровня– длярабочих станций. Они, как правило, рассчитаны на работу в среде Windows, их установка и настройка не представляет особой трудности.

ПРИМЕЧАНИЕ

Если вы хотите подробнее узнать о серверных межсетевых экранах, обратитесь к гл. 7.

В рамках данного раздела мы попытаемся выяснить, какому из популярных в настоящее время брандмауэров можно доверить безопасность нашей системы. Особый акцент будет сделан на объективные «за и против», ведь не секрет, что идеального продукта нет в принципе.

Мы не будем распыляться на бессмысленное тестирование каждого из нижеперечисленных продуктов с указанием самого стильного GUI и количества кнопок, а сразу же остановимся на двух несомненных лидерах в своем классе (межсетевые экраны для рабочих станций) – Zone Alarm Firewall и Agnitum Outpost Firewall, – заслуживающих пристального внимания среди IT-специалистов и обычных пользователей. Рассмотрим эти брандмауэры подробнее и постараемся отметить все плюсы и минусы данных продуктов.

ZoneAlarm

Итак, встречайте, наш первый герой – ZoneAlarm; не побоюсь этого слова, знаменитый межсетевой экран, отмеченный наградами таких авторитетных изданий, как PC World, PC Magazine и др.

ZoneAlarm является брандмауэром, оптимизированным для использования на домашнем компьютере или рабочем месте в организации. На основании выбранного уровня безопасности (Internet/Trusted Zone) ZoneAlarm блокирует или разрешает установление определенных соединений с локальной сетью и Интернетом, предупреждает о попытках установить несанкционированные соединения и блокирует их.

Краткое описание. ZoneAlarm (следут также упомянуть платную версию брандмауэра ZoneAlarm Pro, отличающуюся от бесплатной наличием модуля Antispyware и доработанными модулями MailSafe и Programm control) содержит:

♦ собственно, сам межсетевой экран, имеющий достаточно удобный инструмент, чтобы в момент "обрубить" всю сетевую активность (удобная красная кнопка);

♦ модуль контроля сетевой активности программ, содержащий "грозный замок";

♦ инструменты для установления уровней безопасности и зон безопасности;

♦ функцию MailSafe для проверки прикрепленных файлов к почтовым сообщениям, а также модуль контроля состояния антивирусного ПО.

В ZoneAlarm предусмотрен режим работы Stealth, позволяющий оставаться невидимым из Сети (одним из таких инструментов невидимости является запрет на ICMP-эхо-ответ).

Программа проста в установке. В принципе, установив все по умолчанию, можно говорить, что настройки закончены. В случае же если ваш ПК подключен к локальной сети, придется немного повозиться, иначе простая попытка зайти на вашу папку, открытую для общего доступа, закончится уведомлением типа "Блокирована атака".

По умолчанию после установки в программе стоит высший уровень защищенности для Интернета (Internet Zone Security) и средний для локальной сети (Trusted Zone Security).

Так называемый Stealth mode, который является наивысшим уровнем безопасности для любой из перечисленных зон, как уже следует из названия, призван обеспечить невидимый режим, подразумевающий защиту от хакеров (хотя, как мне лично кажется, никакая подобная кнопка, даже такая как Hidden and protected from hackers, все равно не спасет).

Каждому приложению на компьютере можно разрешить или запретить обращаться к локальной сети и Интернету.

Попытки "вылазки" новых приложений в сеть регистрируются мгновенно, при этом пользователю предлагается более чем простой выбор: либо разрешить доступ, либо нет. Все "алерты" неизвестной сетевой активности будут понятны даже самым неопытным пользователям, ведь окно предлагает всего два выбора – открыть соединение или отказаться от него. К тому же подобные сообщения имеют в своем составе вариант: хотите ли вы, чтобы программа запомнила этот ваш выбор на будущее. Все без исключения обращения к Сети протоколируются, даже при условии, что вывод информационных сообщений отключен.

Настройки. Настройки программы рассчитаны даже на неопытного пользователя. В отличие от других аналогичных брандмауэров, в ZoneAlarm используется более простой подход управления– пользователь выбирает нужный ему «уровень безопасности» для работы в Интернет и для локальной сети. На основе этого выбора ZoneAlarm самостоятельно определяет правила работы.

Интересной особенностью программы, пожалуй, можно считать возможность блокирования доступа в Сеть с использованием всего одной кнопки (!).

Пожалуй, одной из интереснейших особенностей ZoneAlarm можно считать криптографическую подпись для доверенных приложений. Именно благодаря данной функции все попытки так называемой маскировки одних программ под другие (а именно так часто и действуют троянские кони) сводятся на нет.

Ну что ж, описание действительно заставляет задуматься: за интуитивно простым интерфейсом ZoneAlarm кроется "грозный страж" с достаточно качественно написанным ядром и оригинальным алгоритмом inbound/outbound-контроля. Ко всему прочему действия пользователя в случае атаки извне доведены до минимума – достаточно нажать на красную кнопку.

Agnitum Outpost Firewall

Итак, посмотрим, чем же так хорош наш второй герой – Agnitum Outpost Firewall Pro (в данном случае мы рассматриваем версию 4.0; ввиду многочисленности настроек ограничимся лишь описанием ключевых особенностей работы; в ходе описания будут прокомментированы некоторые моменты, дабы их смысл оказался максимально понятным широкому кругу читателей).

Итак, Outpost Firewall обеспечивает проактивную защиту, блокирующую все известные на сегодняшний день методики обхода безопасности (ликтесты), таким образом полностью предотвращая утечку важных данных с компьютеров пользователей. Новый контроль Anti-Leak объединяет технологии контроля скрытых процессов и контроля памяти процессов, доступные в предыдущих версиях, и предоставляет набор дополнительных возможностей, таких как блокировка попыток получения контроля над другим приложением, внедрения компонентов, контроля окон приложения, запуска приложения с параметрами командной строки и др.

Ну что ж, достаточно недурно. Однако, как вы увидите позже, ликтесты отнюдь не являются показателем того, что брандмауэр действительно лучший.

Блокировка попыток получения контроля над другим приложением, внедрения компонентов, контроля окон приложения, запуска приложения с параметрами командной строки – все из перечисленных технологий являются попыткой достойно ответить на эволюционирующие виды вредоносного ПО (руткиты, троянские кони с функциями внедрения в уже работающие приложения и процессы) (рис. 6.3).

Рис. 6.3. Окно Outpost Firewall

Новый анализатор сигнатур spyware обеспечивает еще более качественное обнаружение вредоносного ПО для улучшения защиты пользователей от всех известных, а также модифицированных и самых новых версий вредоносных программ. Для получения более качественных результатов сканирования spyware-сканер, наряду с построением контрольных сумм по целому файлу, имеет возможность детектировать вредоносное ПО по неизменяемой, уникальной части файла.