Безопасный доступ в интернет

Безопасный доступ в интернет

Безопасность — превыше всего. Но почему брандмауэр так часто становится причиной проблем? Мы расскажем о том, как его правильно настроить и жить спокойно.

Безопасность — превыше всего. Но почему брандмауэр так часто становится причиной проблем? Мы расскажем о том, как его правильно настроить и жить спокойно.

Процессор на пределе Процессор на пределе Разблокировка портов Разблокировка портов Выбор портов Выбор портов Блокировка доступа Блокировка доступа Фильтр пакетов Фильтр пакетов Анонимайзер Анонимайзер В этой статье

  • Практические советы по устранению проблем
  • Безопасная навигация в Сети без брандмауэра
  • Надежны ли брандмауэры ХР и Vista?

Как тут не впасть в отчаяние? Независимо от программ безопасности, установленных на компьютере, при каждом включении брандмауэра начинаются неприятности. То вдруг перестает ходить электронная почта, то соединение с Интернетом становится до неприличия медленным. Мы расскажем, почему так происходит и как бороться с трудностями использования брандмауэров.

Не останется без ответа и главный вопрос: если брандмауэр вызывает столько проблем, стоит ли его вообще устанавливать?

Острая дискуссия: нужен ли брандмауэр?

На пользовательских форумах часто пишут о том, что брандмауэры неэффективны — якобы по той причине, что более-менее опытный злоумышленник всегда сумеет их обмануть.

СОВЕТ Мнение о бесполезности брандмауэров справедливо лишь отчасти. Конечно, умный хакер всегда сможет обойти защитную программу. Вот лишь одна из распространенных хитростей: программа-шпион использует для отсылки ваших данных какое-нибудь безобидное приложение, например веб-браузер. Дело в том, что брандмауэр для контроля над соединениями ведет список безопасных программ и процессов.

Замаскировавшись под одно из приложений, вредитель может обмануть брандмауэр.

Таким брандмауэрам, как ZoneAlarm и Outpost, подобные хитрости известны, и они способны частично предотвращать причиняемый вред — правда, лишь до тех пор, пока хакеры не придумают что-нибудь новенькое.

Все это, однако, не означает, что брандмауэр в Windows абсолютно бесполезен. Интернет-мафия, как правило, ищет легкую добычу. Тот, кто работает без брандмауэра и плохо заботится о собственной безопасности, становится жертвой в первую очередь. Помните, что большая часть обнаруженных в Интернете программ-шпионов и «троянов» вообще не предназначена для проникновения в компьютеры с брандмауэром — ведь вокруг достаточно жертв. Итак, брандмауэры защищают от массовых нападений из Сети, но, как правило, бессильны против направленной атаки.

(вставка) Глоссарий

РОРЗ — сетевой протокол, используемый почтовыми клиентами для получения с сервера сообщений электронной почты.

IMAP — еще один протокол для доступа к электронной почте. В отличие от РОРЗ он характеризуется большей защищенностью и гибкостью — например, все письма хранятся на сервере, а не на клиентской машине.

SSH — сетевой протокол для удаленного управления компьютером и передачи файлов. По функциональности SSH похож на протоколы telnet и rlogin, однако он использует алгоритмы шифрования передаваемой информации.

Снятие блокады: реактивируем почтовую программу

Поначалу все выглядит отлично: программы безопасности установлены, Outlook регулярно получает почту.

Однако в один прекрасный день пересылка корреспонденции прекращается.

СОВЕТ Велика вероятность того, что в конфигурации брандмауэра произошли изменения.

Источник ошибки вы можете выявить с помощью трех простых тестов.

Тест 1. Проверьте, не заблокирована ли почтовая программа и не прервано ли соединение с Интернетом. Для этого откройте браузер и зайдите на вебстраницу своей почтовой службы. Если сайт откроется без проблем и вам удастся на нем зарегистрироваться, значит, подключение работает, и почтовый сервер здесь ни при чем.

Тест 2. Если вы не можете выполнить первый тест, потому что получаете сообщения с сервера через РОРЗ или IMAP, зайдите на любой другой сайт. Если он открывается, все в порядке. В противном случае откройте окно настройки брандмауэра и найдите пункт «Заблокировать подключение всех внешних источников» (в брандмауэре Windows он находится на закладке «Общие»). Снимите галочку перед этой опцией и еще раз проверьте соединение с помощью браузера.

Тест 3. Если соединение с Интернетом и учетная запись электронной почты работают нормально, причина, скорее всего, заключается в одном-единственном неправильно настроенном параметре. Возможно, ваша почтовая программа заблокирована или же ей запрещена передача данных по Сети. В брандмауэре Windows соответствующая настройка находится на закладке «Исключения». ‘Удалите галочки перед всеми пунктами, которые имеют отношение к почтовой программе, и попробуйте отправить пробное сообщение. Брандмауэр должен запросить подтверждение доступа — ответьте на этот вопрос утвердительно.

Отпустить тормоза: стриминг видео без задержек

Вы вполне довольны своим пакетом безопасности: система надежно защищена, все работает нормально. Лишь при просмотре потокового видео время от времени случаются досадные задержки, хотя при быстром ADSL-соединении их быть не должно.

СОВЕТ Причиной такого «торможения» может быть один из двух компонентов системы безопасности. Первый на подозрении — антивирус. Временно отключите его и проверьте, как воспроизводится видео. После этого не забудьте вновь включить защиту.

Другая возможная причина — брандмауэр. Его не следует отключать насовсем. В качестве временной замены используйте штатный брандмауэр Windows. Он не особенно эффективен, но все же обеспечивает достаточный уровень защиты и не замедляет работу компьютера при стриминге.

(вставка) Надежны ли брандмауэры Windows?

Начиная с WinXP с Service Pack 2, каждая версия Windows имеет встроенный брандмауэр. Что дает эта программа? Windows XP. Только после того как в 2003 году червь Blaster устроил настоящую бойню на компьютерах с Windows, компания Microsoft начала принимать меры по повышению безопасности своих операционных систем. К сожалению, возможности брандмауэра ХР невелики. Даже такие простые вещи, как контроль исходящих соединений, ему недоступны. Но все же эта программа предоставляет защиту от червей. Она поможет, если вы еще не установили настоящий брандмауэр и обновления Windows.

Windows Vista. Microsoft впервые разработала для Vista так называемый Outbound Firewall, позволяющий контролировать исходящие соединения. Правда, поскольку в ходе бета-тестирования у многих неопытных пользователей эта функция в сочетании с такими программами, как RealPlayer, вызывала серьезные проблемы, она была деактивирована. И все же при желании ее можно вернуть к жизни. Для этого в поле поиска программ меню «Пуск» введите «Windows Firewall with advanced protection». После этого откроется подробное меню настроек. Конечно, в отношении безопасности и удобства брандмауэр Vista не сравнится с коммерческими конкурентами.

Здесь нет ни «умных» настроек, ни полезных помощников — все это, вероятно, появится в первом Service Pack.

Проблемы с программами: находим и включаем порты

Во избежание проблем лучше всего с самого начала активировать необходимые порты. Какие из них используются теми или иными программами? СОВЕТ В Интернете можно найти подробные списки портов и соответствующих им протоколов.

Далеко не все знают, что здесь имеются в виду серверные порты. Например, веб-сервер (протокол HTTP) использует порт номер 80, серверы FTP — порт 21, а SSH — порт 22. Однако эта информация важна только для системных администраторов. Подробнее узнать о назначении многих других портов можно в файле services, который находится на винчестере, в каталоге «С: WINDOWSsystem32driversetc».

Владельцам домашних компьютеров номера портов могут понадобиться для настройки исходящих соединений. Эту работу брандмауэр обычно выполняет автоматически: как только та или иная программа начинает свою работу, запускается соответствующее соединение.

Если у вас все же возникли проблемы, рекомендуем прибегнуть к помощи надежной утилиты Process Explorer (ее можно найти на сайте www.microsoft.com/downloads) или установить с нашего диска (раздел «Бонус»). Запустите Process Explorer и выберите из списка необходимую вам программу. Затем правой кнопкой мыши откройте пункт меню «Свойства». Здесь, кроме всего прочего, вы можете узнать, какие порты пытается открыть программа, и разблокировать их в брандмауэре.

Медленные соединения: устраняем конфликты при закачках

Когда ваш брандмауэр включен, закачка через файлообменные сети или битторрент-клиенты вроде Azureus или Emule часто бывает невозможна. Как исправить эту ситуацию? СОВЕТ Совместимость брандмауэров и менеджеров закачек вообще оставляет желать лучшего. Полностью избавиться от этой проблемы вряд ли возможно. Однако правильная настройка портов у некоторых брандмауэров способна дать прямо-таки волшебный эффект. Наиболее важны следующие порты UDP:

EMule 4711
BitTorrent 6881 до 25819
Kazaa 1214
Overnet/EDonkey 4662

Если включение соответствующих портов не дает результатов, возможно, причина кроется в маршрутизаторе. Попробуйте активировать в нем функцию «Port Forwarding».

Существует и еще одна возможность — вообще отказаться от защиты с помощью брандмауэра. В этом случае мы рекомендуем использовать для закачки файлов из файлообменной сети старый ПК, на котором не хранятся важные данные.

(вставка) Как сэкономить на брандмауэре

Брандмауэр, работающий в фоновом режиме, требует значительных системных ресурсов. Вы сможете обойтись без него, выполняя следующие рекомендации.

Правильно сконфигурируйте маршрутизатор. Если ваша домашняя сеть связана с Интернетом через маршрутизатор, можете немного расслабиться. Такие черви как Blaster не причинят вам вреда. При попытке соединиться с компьютером эти вредоносные программы не пройдут дальше маршрутизатора, если только вы не активировали «Port Forwarding», разрешив передачу опасных запросов на свой ПК. Кстати, у большинства устройств эта функция по умолчанию отключена.

Будьте внимательны: пакеты с фальшивым адресом отправителя все же могут достигнуть своей цели, если хакеру известен внутренний IP-адрес. Чтобы этого не произошло, следует так сконфигурировать маршрутизатор, чтобы он отфильтровывал входящие пакеты (DSL), которые имеют частные IP-адреса вида 192.168.0.0/16,10.0.0.0/8, 172.16.0.0/12.

Отключите лишние сетевые службы. В стандартной конфигурации Windows запускает множество сетевых служб, облегчающих администраторам удаленное управление компьютером. Сюда относится, в частности, служба DCOM, через которую в систему может проникнуть червь Blaster. Если у вас всего один компьютер или небольшая домашняя сеть, вы можете спокойно отключить ненужные сетевые службы (это делается с помощью утилиты Switch off Windows Services, которую вы найдете на Download-сервисе). Если у вас компьютер без маршрутизатора, выберите «Individual computer», если же ПК подключен через маршрутизатор, выберите «Computer in a network». После подтверждения изменений программа автоматически отключит все ненужные службы Windows.

Установите антивирус. Без антивирусной программы обойтись нельзя.

Она снижает производительность ПК, но защищает от опасностей, с которыми не может справиться брандмауэр. Это черви, проникающие в систему через электронную почту, программы-шпионы и руткиты. Мы рекомендуем утилиту Antivirus, разработанную компанией F-Secure (ее вы найдете на Download-сервисе).

Регулярно устанавливайте обновления. Service Pack 2 для Windows XP обязателен. Он закрывает известные слабые места операционной системы, которые невозможно защитить другими способами. Если у вас быстрое подключение к Интернету, рекомендуем активировать функцию автоматического обновления Windows. Если же подключение медленное, обновления придется скачивать вручную. Между прочим, регулярные обновления требуются не только для Windows: другие программы тоже могут иметь «дыры» в безопасности.

Используйте альтернативные программы. Пользователи часто поругивают монополию Microsoft, и в этом есть зерно истины. Хакеры в большинстве случаев используют одни и те же уязвимости Windows. Если бы у всех компьютеров было разное программное обеспечение, шансы многих вредителей сильно бы упали. Поэтому мы советуем попробовать вместо Outlook Express установить Mozilla Thunderbird, а вместо Internet Explorer — браузер Opera. Эти альтернативные программы вы найдете на Download-сервисе.

Домашняя сеть: включаем общий доступ к файлам

Сетевой доступ к файлам Windows идеален для быстрого обмена данными между двумя компьютерами. Однако между ними все время «вклинивается» брандмауэр. Вы хотите разрешить доступ к файлам и при этом сохранить защиту брандмауэра.

СОВЕТ Общее правило гласит: чем больше портов открыто в брандмауэре, тем слабее защищен компьютер. Особую проблему для Windows представляет сетевой доступ к файлам и принтерам в пределах локальной сети.

Именно здесь хакеры постоянно находят лазейки и ловко их используют. Если, например, вы с помощью ноутбука подключаетесь к общедоступному хотспоту следует заблокировать все открытые порты. Некоторые современные брандмауэры, такие как ZoneAlarm, сами распознают локальные сети и автоматически выбирают соответствующую конфигурацию. Другие программы, в том числе и брандмауэр ХР, необходимо всякий раз настраивать вручную.

У большинства брандмауэров есть отдельная функция настройки доступа к файлам и принтерам. Встроенный брандмауэр Windows не исключение: там она называется «Общий доступ к файлам и принтерам» и располагается в закладке «Исключения».

В некоторых старых брандмауэрах, которые не очень хорошо сочетаются с Windows, этот параметр необходимо настраивать вручную. Для того чтобы открыть общий доступ к файлам и принтерам локальной сети, необходимо разрешить входящий поток данных для ТСР-портов 139 и 445, а также UDP-портов 137 и 138. Кроме того, вам придется активировать ICMP-протокол, чтобы другие компьютеры локальной сети могли посылать на ваш компьютер ping-запросы.

Советы профессионалов: что скрывается за сообщениями svchost . exe

Зашифрованные сообщения брандмауэра способны вызвать недоумение даже у компьютерных экспертов. Попробуем разобраться, что означают надписи в диалоговых окнах.

СОВЕТ Самые загадочные сообщения связаны с процессом svchost.exe (Service Host). К нему относятся службы Windows, запускаемые с помощью динамических библиотек DLL. Они необходимы, например, для автоматического обновления ПО, распознавания USB-устройств или печати документов. Как только системе требуется одна из этих служб, Windows запускает сессию Svchost. Дело осложняется тем, что для каждой такой службы брандмауэр выдает отдельное сообщение. Чтобы убедиться в том, что речь идет о законном соединении, сначала посмотрите на путь к файлу и адрес компьютера, к которому служба хочет получить доступ. Файл svchost.exe должен находиться в папке C:WmdowsSystem32. Обратите внимание на правильное написание названия. Существуют «трояны», которые скрываются под похожими именами — например, svhost.exe, svchosts.exe или sychost.exe. Если вы хотите точно знать, какие подпроцессы и службы Windows связаны с той или иной программой, запустите бесплатную утилиту Process Explorer (ее можно скачать с сайта Microsoft). Программа отображает все работающие процессы.

Найдите в списке svchost.exe. В окне с описанием подробностей вы увидите все файлы, папки и записи реестра, относящиеся к этому процессу. Кликнув по пункту меню «Properties», вы получите дополнительную информацию, в том числе IP-адрес и номер порта, которые использует программа.

Обычно svchost.exe устанавливает соединение только с локальными адресами, например 127.0.0.1 или 192.168… Если же в списке обнаружатся другие адреса — будьте осторожны!

Режим « Stealth »: анонимная навигация в Сети

Вы хотите путешествовать по Интернету так, чтобы хакеры не смогли вас выследить. Именно для этого предназначена технология маскировки, используемая многими брандмауэрами, — режим «Stealth».

СОВЕТ Эта функция действительно может защитить ваш компьютер от чужого любопытства. Если злоумышленник с помощью ping-запроса проверит IP-адрес вашего компьютера, он получит неверный ответ.

Однако во время посещения веб-сайтов или чатов IP-адрес все же доступен для посторонних, ведь без обмена IP-адресами протокол TCP/IP не работает.

Ваше присутствие можно определить с помощью простого сканирования портов. Если вы хотите сохранить анонимность, потребуется посредник, то есть прокси-сервер.

Он принимает ваши данные и перенаправляет их дальше. В этом случае ваш IP-адрес будет известен только прокси-серверу.

Хитроумную систему, в которой каждый участник может надежно скрыть свой IP-адрес, предлагает сеть анонимизации TOR. Необходимое программное обеспечение вы можете скачать на сайте http://tor.etf.org.

Аппаратная защита: что дает брандмауэр маршрутизатора

Почти у всех DSL-маршрутизаторов в настройках есть опция «Firewall».

Способна ли она заменить брандмауэр настольного компьютера? СОВЕТ Однозначно, нет. Брандмауэр компьютера определяет принадлежность исходящих пакетов к отдельным программам и благодаря этому намного точнее контролирует соблюдение заданных правил. Тем не менее, брандмауэр маршрутизатора не помешает. Если он включен, то при появлении каких-либо проблем не забудьте проверить и его настройки.

Два в одном: грамотно комбинируем два брандмауэра

Многие производители антивирусов улучшают распознавание вредоносных программ, используя сразу два антивирусных сканера.

Вы тоже хотите усовершенствовать защиту своей локальной сети, используя два брандмауэра.

СОВЕТ Два брандмауэра на одном компьютере с Windows — это нереально. В большинстве случаев одна из двух программ просто не будет загружаться. Но даже если оба брандмауэра все-таки запустятся, они станут блокировать друг друга и сделают нормальную работу на ПК невозможной.

Впрочем, два брандмауэра можно с успехом использовать на разных компьютерах. Один из них, с обычным брандмауэром, будет рабочим ПК, а второй станет играть роль маршрутизатора, защищая подключение домашней сети к Интернету. Для такого варианта требуется Linux и хорошие знания TCP/IP. Надежный брандмауэр Open Source можно найти на сайте www.m0n0.ch/wall (здесь символы 0 — это нули). Помните, что такие усилия оправдаются только в том случае, если вам необходима защита по-настоящему важной информации.

Рекомендуем