355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Павел Данилов » Хакинг и антихакинг » Текст книги (страница 4)
Хакинг и антихакинг
  • Текст добавлен: 5 октября 2016, 02:37

Текст книги "Хакинг и антихакинг"


Автор книги: Павел Данилов



сообщить о нарушении

Текущая страница: 4 (всего у книги 7 страниц)

ЧАСТЬ ВТОРАЯ. ЗАЩИТА

Глава 5. Защита от сетевых атак

Безопасность информации компьютерных сетей и отдельных компьютеров достигается проведением единой политики защитных мероприятий, а также системой мер правового, организационного и инженерно-технического характера.

При разработке необходимого уровня защиты информации в сети производится учет взаимной ответственности персонала и руководства, соблюдения интересов личности и предприятия, взаимодействия с правоохранительными органами. Обеспечение безопасности информации достигается правовыми, организационно-административными и инженерно-техническими мерами.

Защита корпоративных сетей отличается от защиты компьютеров домашних пользователей (хотя защита индивидуальных рабочих станций – неотъемлемая часть защиты сетей). И прежде всего потому, что этим вопросом занимаются (точнее, должны) грамотные специалисты по компьютерной безопасности. К тому же основа системы безопасности корпоративной сети – достижение компромисса между удобством работы для конечных пользователей и требованиями, предъявляемыми техническими специалистами.

Компьютерную систему можно рассматривать с двух точек зрения: видеть в ней лишь пользователей на рабочих станциях, а можно учитывать только функционирование сетевой операционной системы. Можно считать компьютерной сетью и совокупность проходящих по проводам пакетов с информацией.

Существует несколько уровней представления сети. Точно так же можно подходить и к проблеме сетевой безопасности – на разных уровнях. Соответственно, методы защиты будут разными для каждого уровня. Чем больше уровней защищено, тем надежнее защищена и система в целом.

Первый, самый очевидный и самый трудный на практике, путь – обучение персонала поведению, затрудняющему сетевую атаку. Это вовсе не так просто, как кажется на первый взгляд. Необходимо вводить ограничения на использование Интернета, причем пользователи часто не представляют, чем эти ограничения обусловлены (у них нет такой квалификации), поэтому всячески пытаются нарушать существующие запреты. Тем более что запреты должны быть четко сформулированы. Например, совет не использовать клиентские приложения с недостаточно защищенным протоколом обычный пользователь вряд ли поймет, а вот указание не запускать на своем компьютере ICQ поймет почти наверняка и будет весьма бурно протестовать. Не случайно говорят, что ICQ – цветок на могиле рабочего времени.

В основе комплекса мероприятий по информационной безопасности должна быть стратегия защиты информации. В ней определяются цели, критерии, принципы и процедуры, необходимые для построения надежной системы защиты. В хорошо разработанной стратегии должны найти отражение не только степень защиты, поиск брешей, места установки брандмауэров или proxy-серверов и т. п. В ней необходимо еще четко определить процедуры и способы их применения, для того чтобы гарантировать надежную защиту.

Важнейшей особенностью общей стратегии информационной защиты является исследование системы безопасности. Можно выделить два основных направления:

– анализ средств защиты;

– определение факта вторжения.

На основе концепции безопасности информации разрабатываются стратегия безопасности информации и архитектура системы защиты информации. Следующий этап обобщенного подхода к обеспечению безопасности состоит в определении политики, содержание которой – наиболее рациональные средства и ресурсы, подходы и цели рассматриваемой задачи.

Разработку концепции защиты рекомендуется проводить в три этапа. На первом этапе должна быть четко определена целевая установка защиты, т. е. какие реальные ценности, производственные процессы, программы, массивы данных необходимо защищать. На этом этапе целесообразно дифференцировать по значимости отдельные объекты, требующие защиты.

На втором этапе должен быть проведен анализ преступных действий, которые потенциально могут быть совершены в отношении защищаемого объекта. Важно определить степень реальной опасности таких наиболее широко распространенных преступлений, как экономический шпионаж, терроризм, саботаж, кражи со взломом. Затем нужно проанализировать наиболее вероятные действия злоумышленников в отношении основных объектов, нуждающихся в защите.

Главной задачей третьего этапа является анализ обстановки, в том числе специфических местных условий, производственных процессов, уже имеющихся технических средств защиты.

Концепция защиты должна содержать перечень организационных, технических и других мер, которые обес-печивают максимально возможный уровень безопасности при заданном остаточном риске и минимальные затраты на их реализацию.

Политика защиты – это общий документ, где перечисляются правила доступа, определяются пути реализации политики и описывается базовая архитектура среды защиты. Сам по себе этот документ обычно состоит из нескольких страниц текста. Он формирует основу физической архитектуры сети, а содержащаяся в нем информация определяет выбор продуктов защиты. При этом документ может и не включать полного списка необходимых закупок, но выбор конкретных компонентов после его составления должен быть очевидным.

Политика защиты выходит далеко за рамки простой идеи «не впускать злоумышленников». Это очень сложный документ, определяющий доступ к данным, «характер серфинга в WWW, использование паролей или шифрования, отношение к вложениям в электронную почту, использование Java и ActiveX и многое другое. Он детализирует эти правила для отдельных лиц или групп. Нельзя забывать и об элементарной физической защите – если кто-то может проникнуть в серверную комнату и получить доступ к основному файловому серверу или выйти из офиса с резервными дискетами и дисками в кармане, то все остальные меры становятся совершенно бессмысленными и бестолковыми.

Конечно, политика не должна позволять чужакам проникнуть в сеть, но, кроме того, она должна устанавливать контроль и над потенциально нечистоплотными и неисполнительными сотрудниками вашей организации. Девиз любого администратора системы защиты – «Не Доверяй Никому!».

На первом этапе разработки политики прежде всего необходимо определиться, каким пользователям какая информация и какие сервисы должны быть доступны, какова вероятность нанесения вреда и какая защита уже имеется. Кроме этого, политика защиты должна диктовать иерархию прав доступа, т. е. пользователям следует предоставить доступ только к той информации, которая действительно нужна им для выполнения своей работы.

Политика защиты должна обязательно отражать следующее:

– контроль доступа (запрет на доступ пользователя к материалам, которыми ему не разрешено пользоваться);

– идентификацию и аутентификацию (использование паролей или других механизмов для проверки статуса пользователя);

– учет (запись всех действий пользователя в сети);

– контрольный журнал (журнал позволяет определить, когда и где произошло нарушение защиты);

– аккуратность (защита от любых случайных нарушений);

– надежность (предотвращение монополизации ресурсов системы одним пользователем);

– обмен данными (защита всех коммуникаций).

Доступ определяется политикой в отношении брандмауэров: доступ к системным ресурсам и данным из сети можно описать на уровне операционной системы и при необходимости дополнить программами защиты независимых разработчиков. Пароли могут быть самой ценной частью вашей среды защиты, но при неправильном использовании или обращении они могут стать ключом в вашу сеть. Политика правильного использования паролей особенно полезна при управлении временными бюджетами, чтобы кто-нибудь не воспользовался действительным паролем после того, как временные сотрудники или подрядчики завершили работу.

Некоторые операционные системы предлагают также такую возможность, как квалификация, т. е. вводят минимальный уровень трудности паролей. В этих системах администратор защиты может просто задать правило «Не использовать легко угадываемых паролей». Например, пароль, в котором указаны только имя и возраст пользователя, система не примет. Конечные же пользователи обычно, несмотря на все предупреждения, выбирают самые простые пути. Если им приходится иметь дело со слишком большим числом паролей, они будут использовать один и тот же пароль или задавать легко запоминаемые пароли, или, хуже того, записывать их на листке и хранить в ящике стола, а то и прилепят листок с паролем на монитор.

Изобилие устройств защиты, брандмауэров, шлюзов и VPN (виртуальная частная сеть), а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков, ведет к созданию сложной среды защиты, трудной для управления. Правила для многих из перечисленных устройств приходится часто задавать отдельно.

По мере того как крупные корпорации продолжают объединяться и поглощать более мелкие компании, среда защиты (и сеть в целом) все чаще принимает бессистемный и многоуровневый характер. Когда это происходит, управлять правилами становится нереально сложно.

Брандмауэры (как аппаратные, так и программные) позволяют определить, кто имеет право доступа в вашу сеть извне. Все брандмауэры реализуют те или иные правила; разница состоит в уровне детализации и простоте использования, обеспечиваемой интерфейсом управления. В идеале брандмауэр позволяет решить три важнейшие задачи:

– задавать правила из интуитивно понятного графического интерфейса;

– управлять доступом вплоть до уровня индивидуальных файлов и объектов;

– группировать файлы и объекты для коллективного применения к ним правил в целях упрощения управления.

На сетевом уровне управлять защитой с помощью правил можно несколькими способами. Один из распространенных способов – с помощью адресации, когда пользователи приписываются к конкретной внутренней подсети для ограничения уровня их доступа. Фильтрация пакетов позволяет пропускать или блокировать пакеты в момент пересечения ими некоторых границ в зависимости от адреса отправителя или получателя.

Системы защиты функционируют на прикладном уровне; в этом случае системы или приложения, которым адресованы пакеты, запрашивают у пользователя пароль, проверяют его и затем предоставляют доступ в соответствии с предопределенными правилами.

Итак, как вы уже поняли, основа любой защиты – системный подход. Для построения действительно эффективной защиты необходимо тщательно продумать ее. Для любого компьютера, «смотрящего» в сеть, критическое значение имеют три вещи:

– брандмауэр;

– антивирус;

– критические обновления для вашей операционной системы.

Это справедливо как для домашнего компьютера, так и для подключенного к корпоративной сети. Давайте подробнее остановимся на каждом из этих пунктов.

5.1. Брандмауэр

Брандмауэр – это средство защиты от вторжения извне и от некоторых видов взлома «изнутри». Брандмауэр – это комбинация аппаратного и программного обеспечения, используемая для защиты сети от постороннего вмешательства. С помощью брандмауэров можно существенно повысить безопасность работы в локальной сети.

В литературе о брандмауэрах можно часто встретить термин компьютер-бастион (bastion host). Название «бастион» происходит от средневекового слова, описывающего стены замка. Бастион-это специальное укрепленное место в стенах замка, предназначенное для отражения атак. Компьютер-бастион – это компьютер, который специально установлен для защиты от атак на сеть.

Проектировщики сетей используют компьютеры-бастионы в качестве первой линии обороны. Компьютер-бастион является своеобразной «заслонкой» для всех коммуникаций между сетью и Интернетом. Другими словами, ни один компьютер сети не может получить доступ к Интернету иначе, чем через компьютер-бастион, и, с другой стороны, ни один внешний (по отношению к сети) пользователь не сможет проникнуть в сеть, минуя компьютер-бастион.

При использовании центрального доступа к сети через один компьютер упрощается обеспечение безопасности сети. Более того, предоставляя доступ к Интернету только одному компьютеру сети, разработчик намного облегчает себе выбор надлежащего программного обеспечения для защиты сети. Большинство сред Unix, включая Linux, хорошо приспособлены для использования компьютера-бастиона. В среде Unix можно установить компьютер-бастион по цене рабочей станции или машины класса «сервер», поскольку операционная система уже обладает способностью поддерживать и конфигурировать IP-брандмауэр. Таким образом, вы сможете сэкономить средства, затрачиваемые на установку маршрутизатора с функциями брандмауэра (т. е. не приобретать дополнительного оборудования для сети, которое может обойтись вам в несколько тысяч долларов). Кроме того, с помощью Unix можно свободно настраивать и просматривать трафик сети.

Большинство компаний предоставляют своим служащим доступ к Интернету. Если сотрудники получают доступ к Интернету, то компании следует позаботиться о том, чтобы соединение с Интернетом происходило через брандмаз’эр. В начале этой главы было сказано, что брандмауэр представляет собой комбинацию аппаратного и программного обеспечения для защиты соединения двух и более сетей. Брандмауэр обеспечивает возможность центрального управления безопасностью сети. Обычно он строится на основе так называемого компьютера-бастиона.

В дополнение к традиционному аппаратному и программному обеспечению брандмауэров для большей безопасности можно воспользоваться экранирующим маршрутизатором, который представляет собой аппаратное и программное обеспечение для фильтрации пакетов данных, основываясь на заданном администратором критерии. Можно создать экранирующий маршрутизатор на базе ПК или компьютера, работающего под управлением Unix.

Первым уровнем защиты от вторжений в присоединенных сетях является экранирующий маршрутизатор, который выполняет фильтрацию пакетов на сетевом и канальном уровнях независимо от уровня приложений. Поэтому экранирующий маршрутизатор позволяет контролировать движение данных в сети без изменения приложений клиента или сервера.

Хотя этот маршрутизатор относительно недорог и удобен в использовании, он не может обеспечить достаточного уровня защиты. Основное его преимущество заключается в том, что он работает исключительно на сетевом и транспортном уровнях модели ISO/OSI.

Однако это палка о двух концах. Для того чтобы действительно защитить сеть от нежелательных вмешательств извне, брандмауэр должен защищать каждый уровень протокола TCP/IP. Основной недостаток экранирующих маршрутизаторов заключается в том, что они осуществляют фильтрование данных, основываясь на недостаточном объеме данных. Ограничения, накладываемые на сетевой и канальный уровни, позволяют получить доступ только к IP-адресам, номерам портов и флагам TCP. Из-за отсутствия контекстной информации у маршрутизаторов могут возникать проблемы с фильтрованием таких протоколов, как UDP.

Администраторы, которые работают с экранирующими маршрутизаторами, должны помнить, что у большинства устройств, осуществляющих фильтрацию пакетов, включая экранирующие маршрутизаторы, отсутствуют механизмы аудита и подачи сигнала тревоги. Другими словами, маршрутизаторы могут подвергаться атакам и отражать большое их количество, а администраторы даже не будут осведомлены об этом. Поэтому для защиты сетей администраторы должны дополнительно использовать другие технологии фильтрования пакетов совместно с применением брандмауэров.

Поскольку брандмауэры предоставляют возможности фильтрации данных на верхних уровнях модели ISO/OSI, а не только на сетевом и канальном, для критериев отбора можно воспользоваться полной информацией уровня приложений. В то же время фильтрация будет происходить и на сетевом, и на транспортном уровнях. Здесь брандмауэр проверяет IP– и TCP-заголовки проходящих сквозь него пакетов. Таким образом, брандмауэр отбрасывает или пропускает пакеты, основываясь на заранее определенных правилах фильтрования.

Как уже говорилось, брандмауэр контролирует взаимный доступ сетей друг к другу. Обычно брандмауэр устанавливается между локальной сетью и Интернетом. Он препятствует проникновению пользователей всего мира в частную сеть и контролирует доступ к данным, хранящимся в ней. Однако важно помнить, что брандмауэр не является отдельным оборудованием или программой, которая сделает все за вас (несмотря на все заверения поставщиков). Он всего лишь предоставляет обширные возможности для максимальной защиты сети от постороннего вмешательства, при этом не создавая особых неудобств зарегистрированным пользователям сети. Для создания самого лучшего брандмауэра достаточно просто физически отключить сеть от Интернета.

Как вы уже знаете, все сетевые коммуникации требуют физического соединения. Если сеть не будет подсоединена к Интернету, его пользователи никогда не смогут проникнуть или атаковать локальную сеть. Например, если компании требуется только внутренняя сеть, которая обеспечивает доступ к базе данных по продажам, и нет необходимости в том, чтобы в эту сеть можно было проникнуть извне, можно физически изолировать компьютерную сеть от всего остального мира.

Необходимость в брандмауэре возникает тогда, когда компания хочет соединить свою локальную сеть со всем остальным миром с помощью Интернета.

Для того чтобы удовлетворить требованиям широкого круга пользователей, существует три типа брандмауэров: сетевого уровня, уровня приложений и уровня схем. Каждый из этих трех типов использует свой, отличный от других подход к защите сети. Рассмотрите отдельно каждый тип. Ваше решение должно учитывать тип и степень защиты, требуемой для сети, а именно это и определяет необходимую конструкцию брандмауэра. Помните, что большинство брандмауэров поддерживают один или несколько уровней шифрования (encryption). Шифрование – это способ защитить передаваемую информацию от перехвата. Многие брандмауэры, которые предоставляют возможности шифрования, защищают исходящие из сети данные, автоматически зашифровывая их перед отправлением в Интернет. Кроме того, они автоматически расшифровывают приходящие данные, прежде чем отправить их в локальную сеть. Используя функции шифрования, предоставляемые брандмауэрами, можно пересылать данные через Интернет удаленным пользователям, не беспокоясь о том, что кто-то может случайно перехватить и прочесть их.

Брандмауэр сетевого уровня – это экранирующий маршрутизатор или специальный компьютер, который проверяет адреса пакетов, для того чтобы определить, пропускать пакет в локальную сеть или нет. Как уже говорилось, пакеты содержат IP-адреса отправителя и получателя, а также массу другой информации, которую использует брандмауэр для управления доступом к пакету.

Можно, например, сконфигурировать брандмауэр сетевого уровня или маршрутизатор таким образом, что он будет блокировать все сообщения, поступающие от определенного сайта конкурента, и все сообщения, отправляемые серверу конкурента из вашей сети. Обычно настройка экранирующего маршрутизатора на блокирование определенных пакетов происходит с помощью файла, который содержит IP-адреса сайтов (мест назначения), чьи пакеты следует блокировать. Когда экранирующий маршрутизатор встречает пакет, содержащий определенный в этом файле адрес, он отбрасывает пакет и не дает ему проникнуть в локальную сеть или выйти из нее. Специалисты по разработке сетей часто называют данный метод «методом черного списка» (blacklisting). Большая часть программного обеспечения экранирующих маршрутизаторов позволяет вам внести в черный список (заблокировать) сообщения от внешних сайтов (другими словами, от внешних сетей), но не от определенных пользователей или компьютеров вашей сети.

Помните, что пакет, поступающий экранирующему маршрутизатору, может содержать любое количество информации, например сообщение электронной почты, запрос Telnet на вход в систему (запрос от удаленного пользователя на доступ к вашему компьютеру). В зависимости от того, как вы составите файл экранирующего маршрутизатора, маршрутизатор сетевого уровня будет предоставлять различные функции для каждого типа запросов. Например, можно запрограммировать маршрутизатор так, чтобы пользователи Интернета могли просматривать вашу Web-страницу, но не могли использовать FTP для пересылки файлов на ваш сервер или с него. Или можно запрограммировать маршрутизатор так, чтобы он позволял пользователям Интернета загружать файлы с вашего сервера на их серверы, но не позволял загружать файлы с их серверов на ваш. Обычно экранирующий маршрутизатор программируется так, что для принятия решения о том, пропустить или не пропустить через себя пакет, им рассматривается следующая информация:

– адрес источника пакета;

– адрес места назначения пакета;

– тип протокола сеанса данных (например, TCP, UDP или ICMP);

– порт источника и порт приложения назначения для требуемой службы;

– является ли пакет запросом на соединение. Если вы правильно установили и сконфигурировали брандмауэр сетевого уровня, его работа будет достаточно быстрой и почти незаметной для пользователей. Конечно, для тех, кто находится в черном списке, это будет совсем не так.

Брандмауэр уровня приложений – обычно это персональный компьютер, который использует программное обеспечение сервера-посредника. Поэтому часто его называют сервером-посредником (proxy-server). Название «сервер-посредник» возникло от слова «proxy» – заместитель, посредник.

Серверы-посредники обеспечивают связь между пользователями локальной сети и серверами присоединенной (внешней) сети. Другими словами, сервер-посредник контролирует передачу данных между двумя сетями. В некоторых случаях он может управлять всеми сообщениями нескольких пользователей сети. Например, какой-либо пользователь сети, обладающий доступом к Интернету через сервер-посредник, будет казаться остальным компьютерам, входящим в Интернет, сервером-посредником (иначе говоря, пользователь использует TCP-адрес сервера-посредника).

В сети сервер-посредник может предоставлять доступ к определенной секретной информации (например, секретная база данных) без передачи (прямым текстом) пароля клиента. Когда вы используете брандмауэр сетевого уровня, ваша локальная сеть не соединена с Интернетом. Более того, поток данных, который перемещается по одной сети, никогда не пересекается с потоком данных, который перемещается по другой сети, поскольку сетевые кабели этих сетей не соединены друг с другом. Сервер-посредник передает отдельную копию для каждого пакета, поступающего от одной сети другой, независимо от того, содержит этот пакет входящие или выходящие данные. Брандмауэр уровня приложений эффективно маскирует источник, от которого исходит запрос на соединение, и защищает вашу сеть от пользователей Интернета, которые могут попытаться получить информацию о вашей частной сети.

Поскольку сервер-посредник распознает сетевые протоколы, можно запрограммировать его таким образом, что он будет отслеживать, какая именно служба вам требуется. Например, сервер-посредник можно настроить так, чтобы он позволял клиентам осуществлять загрузку с помощью ftp-файлов с вашего сервера, но не позволит загружать с помощью ftp-файлы на ваш сервер.

Серверы-посредники предоставляют множество функций доступа, таких как HTTP, Telnet, FTP. В отличие от маршрутизатора, нужно установить различные серверы-посредники для разных сетевых служб. Наиболее популярные серверы-посредники для сетей на базе Unix и Linux – это TIS Internet Firewall Toolkit и SOCKS. Для получения дополнительной информации о сервере-посреднике TIS Internet Firewall Toolkit посетите Web-сайт по адресу http://www.tis.com/docs/products/fivtk/index.html.

Если вы используете сервер на базе Windows NT, то поддержку сервера-посредника осуществляет как Microsoft Internet Information Server, так и Netscape Commerce Server. После того как вы установите сервер-посредник уровня приложений, пользователи вашей сети должны будут использовать программное обеспечение клиентов, поддерживающее работу с сервером-посредником.

Проектировщики сетей создали множество протоколов TCP/IP, включая HTTP, FTP и другие, в которых осуществлена поддержка сервера-посредника. В большинстве Web-браузеров пользователи могут с легкостью сконфигурировать их на поддержку сервера-посредника, используя предпочтения программного обеспечения браузеров. К сожалению, остальные протоколы Интернета не способны поддерживать серверы-посредники. В таких случаях вы должны выбрать приложение для работы в Интернете, основываясь на том, совместимо оно или нет со стандартными протоколами посредников. Например, приложения, которые поддерживают протокол посредников SOCKS, являются хорошим выбором, если вся ваша сеть базируется на SOCKS.

Когда вы устанавливаете брандмауэр уровня приложений, вам следует также оценить, будут ли пользователи вашей сети использовать программное обеспечение клиента, которое поддерживает службы посредника. Брандмауэр уровня приложений предоставляет возможность легко проследить типы и количество передач данных на вашем сайте. Так как брандмауэры уровня приложений устанавливают определенное физическое разделение между локальной сетью и Интернетом, они отвечают самым высоким требованиям безопасности. Однако, поскольку программа должна анализировать пакеты и принимать решения относительно контроля доступа к ним, брандмауэры уровня приложений неизбежно уменьшают производительность сети. Другими словами, они работают значительно медленнее, чем брандмауэры сетевого уровня.

Если вы решите использовать брандмауэр уровня приложений, вам следует использовать в качестве сервера-посредника более быстрый компьютер.

Брандмауэр уровня связи похож на брандмауэр уровня приложений в том смысле, что оба они являются серверами-посредниками. Различие заключается в том, что брандмауэр уровня связи не требует специальных приложений для связи между сервером-посредником и клиентом. Как уже упоминалось, брандмауэры уровня приложений требуют специального программного обеспечения сервера-посредника для каждой сетевой службы вроде FTP или HTTP.

Брандмауэр уровня связи создает связь между клиентом и сервером, не требуя того, чтобы приложения знали что-либо о предоставляемой службе. Другими словами, клиент и сервер сообщаются через брандмауэр уровня связи без сообщения с самим брандмауэром. Брандмауэры уровня связи защищают только начальный этап транзакции и не вмешиваются в ее дальнейший ход.

Преимущество брандмауэров уровня связи состоит в том, что они обслуживают большое количество протоколов. Как вы уже знаете, брандмауэр уровня приложений требует отдельного посредника уровня приложений для каждого типа сервиса, который осуществляется брандмауэром. С другой стороны, если вы используете брандмауэр уровня связи для HTTP, FTP или Telnet, вам не требуется менять существующие приложения или добавлять новые серверы-посредники для каждой службы. Брандмауэр уровня связи позволяет пользователям работу с имеющимся программным обеспечением.

В дополнение к этому брандмауэры уровня связи используют только один сервер-посредник. Как и следует ожидать, использование одного сервера-посредника оказывается значительно легче, чем установка нескольких.

Итак, от теории перейдем к практике. Рассмотрим усиление персональной защиты для вашего компьютера с помощью широко известного Agnitum Outpost Firewall 2.1. Это несомненный лидер среди семейства персональных брандмауэров, неоднократно блестяще подтверждавший свою репутацию. Отмечу, что речь идет не о профессиональном брандмауэре, устанавливаемом на сервере, а именно о персональной защите. Хотя автор имеет опыт использования этой программы и на серверах, все же серверная защита – дело для других программ.

Agnitum Outpost Firewall (http://www.agnitum.com/ products/outpost/) – один из самых молодых представителей данного класса программ. Но, несмотря на свою молодость, является серьезным конкурентом даже для Zone Alarm. He так давно вышедшая из бета-тестирования программа, поселилась на компьютерах у многих пользователей сети Интернет и, похоже, большинство не собирается расставаться с данным программным продуктом.

Широкая популярность программы вполне понятна: мощный файрволл, возможность подключения дополнительных модулей, причем все, что может потребоваться обычному пользователю, уже есть с момента установки, и вдобавок один из решающих моментов при выборе программы – русский интерфейс.

Его можно сравнить с замком на двери вашего дома. Наверняка большинству ваших соседей вы доверяете, не опасаясь, что они вторгнутся в ваш дом, испортят или украдут что-нибудь. Обычно только некоторые из них не заслуживают доверия. Однако, если ваш район является густонаселенным, количество неблагонадежных людей увеличивается.

В Интернете мы наблюдаем сходную ситуацию, только количество соседей исчисляется сотнями миллионов. Лишь небольшой процент от этого количества людей имеет хулиганские наклонности, но это уже много. Outpost Firewall не только закрывает «двери» вашего компьютера, но и делает его невидимым в Интернете. В обычных условиях компьютер пересылает по сети свой адрес. Это как табличка с номером вашего дома или номерной знак вашего автомобиля. Этот адрес могут видеть другие пользователи. Outpost делает его невидимым в Интернете, в том числе и для хакеров: они просто не смогут определить, что ваш компьютер подключен к сети.

Основные достоинства Outpost Firewall:

– защищает компьютер сразу после установки;

– имеет настройки по умолчанию для новых пользователей;

– оптимальная защита действует автоматически во время установки;

– опытные пользователи могут настраивать файрволл по своему желанию;

– делает компьютер невидимым в сети Интернет;

– защищает открытые порты компьютера от вторжений;

– пользователь может назначать перечень доверенных приложений;

– применение подключаемых модулей для повышения функциональности файрволла;

– блокирует рекламные Интернет-объявления (баннеры, или всплывающие окна), которые могут отвлекать вас или замедлять скорость соединения;

– защищает компьютер от контролирования с удаленного узла;

– предупреждает пользователя о попытке скрытого приложения послать «ответный сигнал» хакеру;

– поддерживает все последние версии Windows, сохраняя свои функции в случае обновления системы;

– для своей работы использует мало системных ресурсов и существенно не повлияет на производительность вашей системы;

– Журнал Событий позволяет видеть любое событие, происходящее внутри системы;

– успешно пройдены известные «тесты на уязвимость»;


    Ваша оценка произведения:

Популярные книги за неделю