Основы работы брандмауэров
Сенченко Т.В. (aka Boffin)
[email protected]
icq: 865491
(предыдущая страница ...)
Межсетевой экран Norton Internet Security, раньше носивший имя AtGuard Personal Firewall, способен заблокировать рекламу Web, информацию о версии браузера Internet, а также JavaScript и ActiveX. Кроме того, система может фильтровать входящий и исходящий трафик. При большом разнообразии технологий сценариев Web подчас бывает трудно разобраться, страницы с каким содержанием в действительности представляют собой рекламу. Norton Internet Security дает пользователю возможность отправить нераспознанную рекламу в корзину для мусора, предоставляемую межсетевым экраном. В следующий же раз информация такого типа будет заблокирована.
Параметры конфигурации экрана Norton разделяются на следующие категории: Security (защита), Privacy (конфиденциальность), Parental Control (контроль происхождения) и Advertisement Blocking (блокировка рекламных объявлений). В категории Security поддерживаются функции защиты с использованием правил и возможностью интерактивного обучения, чего нет во многих конкурирующих продуктах. При попытке какого-либо приложения начать взаимодействие через Internet, функция автоматической генерации правил спрашивает у пользователя разрешения на это, после чего межсетевой экран запоминает сделанные пользователем установки и применяет их при последующих повторных запросах доступа. Так как эти правила доступа программ применяются как ко входящему, так и к исходящему трафику, то пользователю придется потрудиться и при первом использовании ответить на все подобные вопросы, иначе не будут работать даже традиционные приложения, такие, как Outlook и IExplorer.
Несмотря на всю свою полезность, функция автоматической генерации правил может стать утомительно навязчивой в ситуации, когда компьютер начинает сканироваться атакующим. Вместо выдачи одного сообщения об атаке (например, «Сканирование портов» или «Атака отказ в обслуживании») Norton будет бомбардировать пользователя многочисленными запросами системы генерации правил о разрешении соединения по каждому сканируемому порту. Решить проблему можно только одним путем — отключить эту функцию, что само по себе не так-то просто, и остаться без механизма автоматизации. Иными словами, редактирование правил фильтрации придется выполнять вручную.
Кроме того, межсетевой экран Norton предлагает выявление вирусов и защиту от них, а также выявление и защиту от многих «троянских коней». Norton Internet Security подойдет тем пользователям, которым нужно единое решение, предоставляющее полный набор возможностей.
Название BlackICE Defender (продукт компании Network ICE) имел, вероятно, наибольшую известность на рынке персональных межсетевых экранов в США, по крайней мере, пару лет назад. BlackICE Defender прост в установке и конфигурации, кроме того, он предоставляет широкие возможности выбора политики безопасности, среди которых имеются Trusting (доверительный), Cautious (умеренная предосторожность), Nervous (преувеличенная предосторожность) и Paranoid (мания преследования). Режим по умолчанию, Cautious, хорошо защищает хост, хотя оставляет открытыми для атак некоторые уязвимости с низким уровнем опасности. Два наиболее жестких набора правил, Nervous и Paranoid, оставляют открытым доступ только для ICMP и traceroute, однако, возможно, они делают это для того, чтобы позволить нормально работать системе выявления вторжений.
BlackICE может блокировать злоумышленников, используя их IP-адреса и имена хостов, либо в течение определенного времени, либо неопределенно долго. Defender автоматически выполняет операции обратного отслеживания для определения IP-адреса, имени хоста и даже идентификатора логического входа NetBIOS злоумышленника, если они доступны. Однако средства выявления вторжений иногда некорректно определяют некоторые виды активности в сети, не несущие никакого вреда, квалифицируя их как разновидность атаки. Хочется еще добавить и то, что при попытке отразить атаку, BlackICE иногда отдавал злоумышленнику некий UDP пакет, который может стать небезопасным при определенных ситуациях. Эти выводы я делаю на основании того, что параллельно с Defender тестировался Tiny Personal Firewall, который и заявил об этом.
Наиболее существенным недостатком межсетевого экрана Defender является его неспособность ограничивать исходящий трафик при любых установках правил безопасности. Это означает, что практически невозможно лишить программы-шпионы или «троянских коней» способа сообщать информацию о конфигурации ПК, истории посещений Web-сайтов и даже о последовательности нажатия на клавиши. Видимо, пользователь даже не сможет распознать, что в его системе разместилась такая программа. В любое время в Сети можно обнаружить не менее десятка «троянских коней», сигнатуры которых еще не занесены в антивирусные реестры. Единственным надежным способом защититься от вредоносного воздействия программ этого типа может служить разрешение исходящего трафика только для известных приложений.
Система ZoneAlarm компании Zone Labs является самой простой (IMHO). Ее несложно устанавливать и конфигурировать. Но к серьезным брандмауэрам я бы не стала его относить, скорее к категории «Предупреждение, опасность».
ZoneAlarm поддерживает два интерфейса — один для домашней локальной сети, а другой для соединения с Internet и может фильтровать как входящий, так и исходящий трафик. Для клиентов электронной почты, таких, как Outlook, необходимо вручную указать удаленный почтовый сервер. При выборе соответствующей опции обновление ZoneAlarm может выполняться автоматически. При использовании режима Medium (средний уровень защиты) ZoneAlarm оставляет открытыми шесть уязвимостей, представляющих небольшую опасность. Когда я повысила режим до High (высокий уровень защиты), эти «дыры» исчезли. Но система стала работать существенно медленней.
(... продолжение)
Обсудить статью на форуме
Дата обновления 10.01.2005
| Главная страница | Форум | Мир протоколов | RFC | Безопасность | Технологии |
| Интерфейсы | Инструменты | Библиотека | Вопросы и ответы | Авторы | Отзывы |
Copyright © 1999-2005. BiLiM Systems.
|
