Сергей Яремчук - Защита вашего компьютера Страница 27

Рис. 4.8. Запрос к пользователю от COMODO

В верней части в поле Application указывается приложение, которое участвует в запросе, в Remote – IP-адрес удаленной системы и протокол (TCP или UDP), а в Port – порт в локальной системе, к которому поступил запрос. Пользователь может выбрать один из предложенных вариантов:

• Allow this request – разрешить это соединение;

• Block this request – заблокировать это соединение;

• Treat this application as – указать, как рассматривать это приложение.

При выборе последнего пункта с помощью раскрывающегося списка следует указать предустановленное правило. Если это сетевой запрос – Web browser (Веб-браузер), FTP client (FTP-клиент), Trusted application (Доверенное приложение), Blocked application (Блокировать приложение), Outgoing Only (Только исходящие). Если это приложение – Installer or Updater (Программа установки или обновления), Trusted application, Windows System Application (Системное приложение Windows), Isolated Application (изолированное приложение), Limited Application (ограниченное приложение). Чтобы COMODO запомнил выбор, проследите, чтобы был установлен флажок Remember my Answer. Когда выбор сделан, нажмите кнопку ОК.

При запуске локального приложения или его попытке установить соединение с другим компьютером пользователь информируется с помощью всплывающего окна Firewall is learning (рис. 4.9).

Рис. 4.9. Идет обучение брандмауэра

Интерфейс COMODO Firewall

Рассмотрим основные моменты. Визуально окно программы разбито на три части. Вверху находится панель с четырьмя кнопками, обеспечивающими доступ к основным функциям брандмауэра. Чтобы получить итоговую информацию по текущему состоянию, нажмите Summary (рис. 4.10).

Рис. 4.10. Интерфейс COMODO

В поле System Status показывается статус работы брандмауэра; после загрузки системы ему потребуется некоторое время для проверки текущих параметров и запущенных приложений и сервисов, после чего он выдаст итог. Если все нормально, вы увидите зеленый значок. В случае появления проблем COMODO сам подскажет их решение. В поле Network Defence показано общее количество входящих (inbound connection(s)) и исходящих (outbound connection(s)) соединений. Нажав ссылку Stop all Activities, можно быстро заблокировать все соединения. Ссылка, стоящая после The firewall security level is set to, показывает текущий уровень защиты. Щелкнув на ней, вы перейдете в окно настройки Firewall Behavior Settings, в которой с помощью ползунка можно выставить один из пяти уровней защиты:

• Disabled – сетевые политики отключены, весь входящий и исходящий трафик разрешен;

• Training Mode – брандмауэр находится в режиме обучения, информация о приложениях, устанавливающих соединения, запоминается без обращения к пользователю;

• Train with Safe Mode – режим, установленный по умолчанию; сетевые политики включены, информация об исходящем трафике, инициализированном безопасными приложениями, запоминается, пользователь ставится в известность всплывающим окном, при попытке неизвестного приложения установить любое сетевое соединение пользователь получает запрос;

• Custom Policy Mode – этот режим следует выбрать после обучения брандмауэра; он просто следует установленным политикам, блокируя неизвестные и разрешая описанные в правилах соединения;

• Block All Mode – режим блокировки всех соединений.

Обратите внимание на цифры в поле Keep an alert on screen for maximum … second – именно сколько секунд будет показываться окно предупреждения. При необходимости установите здесь другое значение. На вкладке Alert Setting устанавливаются уровни предупреждений. По умолчанию установлен низкий (Low). Используя ползунок Alert Frequency Level, можно повысить его, чтобы он информировал пользователя обо всех событиях в сети. Чтобы изменения вступили в силу, перед закрытием окна следует нажать кнопку Apply.

Аналогично сетевым соединениям, в Network Defence в поле Proactive Defence показывается активность приложений. Особый интерес представляет ссылка waiting for your review (Ожидает вашего обзора), возле которой отобразится количество файлов, решение по которым COMODO не может принять самостоятельно. Щелкните на ссылке – в окне My Pending Files (Мои рассматриваемые файлы) отобразится их список. По каждому файлу можно узнать его местонахождение, компанию (если есть) и статус (например, новый или модифицированный). Если самостоятельно решение принять сложно, отметьте файл флажком и нажмите кнопку Lookup (Поиск) – брандмауэр соединится с базой данных в Интернете и выдаст информацию по файлу. Чтобы подтвердить этот файл, нажмите кнопку Submit (Представить), для удаления файла из списка – кнопку Remove (Удалить), а для удаления из системы – Purge (Чистить). С помощью кнопки Move to (Переместить) файл можно переместить в указанное место. Если есть необходимость ручного добавления файла в этот список, воспользуйтесь кнопкой Add, после чего выберите файл на диске (Browse Files) или процесс (Browse Running Process).

Ссылка в строке The Defence security level is set to позволяет изменить режим системы защиты, назначение которого совпадает с описанными выше. По умолчанию используется оптимальный Clean PC Mode, при котором выполняются политики. При запуске доверенных приложений COMODO обучается, записывая новую информацию в политику. Исполняемые файлы на несменных носителях (кроме находящихся в My Pending Files и новых) считаются доверенными.

Нажав кнопку Firewall, можно получить доступ к настройкам работы межсетевого экрана, просмотреть события и соединения, добавить приложения в список доверенных или запрещенных, указать доверенные и недоверенные сети. Аналогичные пункты находятся в Defense+, только здесь настройки касаются приложений, а не сетевых соединений. В Miscellaneous можно импортировать/экспортировать настройки, провести диагностику и установить некоторые общие параметры работы COMODO.

Список бесплатных межсетевых экранов обширный. Из других решений можно посоветовать Jetico Personal Firewall от одноименной финской компании (http://www.jetico.com/) или PC Tools Firewall Plus (http://www.pctools.com/ru/firewall/). Последний имеет локализованный интерфейс.

Глава 5

Системы отражения атак

Причины появления и принцип действия

Защита компьютера с помощью Kaspersky Internet Security

Общественная система безопасности Prevx1

Для защиты компьютерных систем в настоящее время разработано множество программ, выполняющих определенную задачу. Антивирусы защищают пользователей от вирусов, брандмауэры блокируют нежелательный трафик, целый класс систем обнаружения и остановки атак противостоит действиям злоумышленника.

5.1. Причины появления и принцип действия

Издавна за покоем жителей городов следили охранники и дозорные, которые в случае возникновения внештатной ситуации били тревогу. В виртуальном мире эта задача возложена на системы обнаружения (отражения) атак, или СОА (Intrusion Detection System – IDS). Первые системы обнаружения атак появились давно, начало их разработки связано с публикацией в 1980 году статьи «Computer Security Threat Monitoring and Surveillance» Джона Андерсона. С нее началось развитие систем обнаружения атак, хотя активно использовать их начали позже – приблизительно в начале 1990-х, после осознания опасностей виртуального мира.

В русском названии таких систем есть некоторая путаница: дословно Intrusion Detection System переводится как «система обнаружения вторжений», и во многих источниках используется именно оно. Однако последствием атаки необязательно должно быть вторжение, хотя сам факт атаки будет также зафиксирован такой системой. Правильнее использовать слово «атака».

Традиционно СОА делятся на системы, защищающие отдельный узел (Host IDS), и сетевые (Network IDS), контролирующие сетевые пакеты. Существуют также гибридные СОА, сочетающие возможности обеих систем. На определенном этапе разработчики захотели не только обнаруживать атаки, но и останавливать их. Так появились системы остановки атак. Любая СОА состоит из датчиков, собирающих информацию, и механизма анализа и принятия решений. Датчики для обнаружения подозрительных событий анализируют журналы работы системы, системные вызовы, поведение приложений, целостность файлов и сетевые пакеты. В качестве критерия используются наборы сигнатур, хотя все более популярными становятся средства, реагирующие на аномалии.

Сегодня для полноценной защиты уже не хватает связки антивирус – брандмауэр, поэтому разработчики предлагают СОА и для домашнего использования. Чтобы не пугать пользователя новыми названиями, при характеристике продукта применяются термины вроде «комплексное решение по защите» или «брандмауэр с расширенными возможностями». Таким примером является брандмауэр Outpost Firewall Pro, рассмотренный в предыдущей главе. В нем присутствует отдельный модуль, обеспечивающий защиту от сетевых атак. В главе 3 вы ознакомились с системами защиты компьютера, которые можно отнести к СОА, защищающим отдельный узел.