Повышаем безопасность ПК при работе в сети
Ни один антивирус не сможет защитить вас от атак из Интернета, если на компьютере не запущен брандмауэр. CHIP расскажет, как повысить безопасность ПК, и предложит оптимальный набор программ.
Ни один антивирус не сможет защитить вас от атак из Интернета, если на компьютере не запущен брандмауэр. CHIP расскажет, как повысить безопасность ПК, и предложит оптимальный набор программ.
Типичная ситуация: утилита без ведома пользователя устанавливает соединение с удаленным сервером. В лучшем случае подобное поведение программы может быть объяснено автоматическим обновлением модулей приложения, в худшем — действиями вредоносного кода. В обоих ситуациях «самоуправство» со стороны программы будет пресечено брандмауэром.
Межсетевой экран также применим для ограничения возможностей определенных пользователей компьютера по обращению ко Всемирной паутине. Например, с его помощью можно блокировать подключения интернет-пейджеров, разрешать или запрещать работу почтовых клиентов, браузеров и других программ, требующих соединения с Глобальной сетью. Все это особенно актуально для фирм и учреждений, где поддерживается строгая дисциплина, а системные администраторы бдительно следят за тем, чтобы Интернет использовался только в служебных целях.
Принцип работы брандмауэров в большинстве случаев один и тот же: программа перехватывает сетевые запросы и выполняет их фильтрацию согласно установленным правилам. Например, Windows 7 имеет в своем составе довольно мощный брандмауэр, который, впрочем, оснащен лишь базовыми функциями, не позволяющими более тонко настроить доступ к портам и сетевые правила для различных приложений. Для этих целей лучше использовать более профессиональный инструмент — например, межсетевой
экран, встроенный в KIS 2012. Кроме того, в некоторых случаях с помощью брандмауэров можно существенно оптимизировать нагрузку на сеть, ограничив некоторым программам потребление трафика. Мы познакомим вас с особенностями работы таких защитных инструментов и тем, какие задачи можно решать с их помощью.
Что нужно знать о портах и протоколах
Для некоторых утилит в брандмауэрах по умолчанию уже заложен некоторый стандартный набор инструкций и указаний, что значительно упрощает настройку межсетевого экрана. В других случаях пользователю приходится самостоятельно «обучать» программу.
Выбор ограничений при работе с Сетью — сложная задача, которая требует от пользователя понимания терминологии. Главный параметр, который встречается при конфигурировании межсетевого экрана, — порт. Обычно под этим термином подразумевается некий условный ресурс, который выделяется операционной системой для установки сетевого соединения. Каждый порт имеет свой номер, который используется процессами для организации передачи данных. При этом скорость потока во многом зависит от того, какой протокол применяется приложением — TCP или UDP. Одно из основных отличий между этими вариантами заключается в том, что второй не поддерживает проверку целостности данных, поэтому работает более быстро и часто применяется для передачи информации при организации локального чата.
Каждый протокол может использовать номера портов от 0 до 65535, и они не будут мешать друг другу. Для локальной передачи данных приложениям системой выделяется любой свободный порт с номером больше 1023. Для удаленных же соединений закреплен жестко определенный список портов. Например, клиент для обмена короткими сообщениями ICQ задействует два удаленных порта — 443 или 5190. В правилах межсетевого экрана можно разрешить соединения с удаленным адресом login.icq.com. В редких случаях, а также при задействовании веб-интерфейса сервис может использовать порт 80.
Для почтовых клиентов, таких как The Bat!, Thunderbird, Internet Mail, Outlook и прочие популярные программы для приема и отправки электронной корреспонденции, необходимо установить разрешение на доступ к следующим портам: 25-й — для отправки сообщений через SMTP-сервер, 110-й и 143-й — для приема по протоколам POP3 и IMAP соответственно, а также 993-й — для безопасного соединения.
Порты 80, 443, 8080, 8100 обычно задействуются для работы интернет-браузеров (Opera, Mozilla Firefox, Internet Explorer и т. д.), а также других приложений, которые устанавливают соединения http(s), поэтому доступ к ним тоже необходимо оставлять свободным.
Большинство приложений, предназначенных для работы с FTP, используют два порта: исходящий на стороне сервера 20 (для передачи данных) и порт 21 (для команд).
Популярные программы для работы с торрентами, такие, например, как μTorrent, можно смело заносить в списки доверенных — эти приложения не имеют привязки к портам. Некоторые из них могут генерировать номер порта в случайном порядке при каждом запуске клиента сети BitTorrent.
Стоит также отметить, что все перечисленные порты используются системой и программами при стандартной конфигурации сервисов, поэтому в отдельных случаях их номера могут отличаться от приведенных. Помимо этого обратите внимание на то, что в подавляющем большинстве ситуаций безопасные приложения используют обмен пакетами по протоколу TCP. Протокол UDP задействуется в основном системными службами DHCP (для распределения IP-адресов) и DNS (для идентификации IP-адреса по имени хоста).
Использование файла hosts
Операционная система Windows настолько универсальна, что даже такую простую задачу, как блокировка доступа к серверу, умеет решать несколькими способами. Самый простой метод — с помощью файла hosts. Достаточно открыть его содержимое в Блокноте или другом текстовом редакторе и добавить туда строку вида «127.0.0.1 www.youtube.com». Данная команда позволит блокировать посещение популярного сервиса YouTube. Однако этот метод годится далеко не всегда, поскольку часто заранее невозможно предугадать, какой процесс будет устанавливать подключение, с каким узлом и каким образом. Кроме того, может возникнуть необходимость в избирательном ограничении доступа в зависимости от конкретного процесса.
Стандартный брандмауэр Windows
Необходимость в защитном сетевом инструменте очевидна, и в самой операционной системе от Microsoft он появился уже давно. Данный компонент вполне неплохо справляется со своими функциями, легко настраивается и содержит много предустановленных правил.
Чтобы перейти к подробным настройкам функций блокировки приложений, необходимо открыть «Панель управления | Все элементы Панели управления» и там выбрать и запустить «Брандмауэр Windows». Кликните по ссылке «Разрешить запуск программы или компонента через брандмауэр Windows». После этого на экране появится список установленных приложений, в котором флажками отмечены разрешенные. Непосредственно в этом списке можно запрещать или разрешать утилитам задействовать различные сетевые профили.
Стандартный брандмауэр Windows использует несколько профилей, в зависимости от типа установленного соединения. Обычно при обнаружении нового типа сети программа запрашивает пользователя, какой профиль следует выбрать и какие настройки для него установить. Например, тип «Общественный» нужно указывать для публичных сетей — скажем, в аэропорту или кафе, а тип «Домашний» можно выбирать для домашних или рабочих сетей.
При желании можно выполнить более тонкое конфигурирование брандмауэра Windows, но для этого необходимо переключить его в режим повышенной безопасности. Чтобы открыть нужное окно, просто наберите слово «брандмауэр» в меню «Пуск». В окне с настройками режима повышенной безопасности можно описывать любые ситуации и всевозможные условия, при которых межсетевой экран будет блокировать или пропускать передаваемые данные. Это могут быть правила для отдельных приложений, портов, а также управляющие подключениями для операций Windows.
Встроенный в ОС от Microsoft брандмауэр обладает лишь базовыми функциями, и его защитных характеристик хватит лишь на безобидный серфинг в Интернете с посещением надежных сайтов. Для более высокого уровня защиты лучше использовать сторонние приложения — например, от известных производителей антивирусного ПО.
Универсальный защитник: KIS 2012
Среди большого количества антивирусных пакетов одним из наиболее универсальных средств обеспечения безопасности является Kaspersky Internet Security 2012 (годовая лицензия на два ПК стоит 1600 рублей). Он предлагает множество защитных механизмов — в частности, довольно мощный и тонко настраиваемый брандмауэр, который в режиме реального времени выполняет мониторинг сетевых подключений и позволяет отображать статистику в виде диаграммы передаваемых и получаемых пакетов. Данный брандмауэр показывает открытые порты и, если пользователь заподозрит утечку информации, может по одному клику заблокировать всю сеть. Также позволяется просматривать порты, открытые для разных приложений, и изучать статистику интернет-трафика по программам (отдельно входящего и исходящего).
Кроме того, в Kaspersky Internet Security 2012 реализован такой популярный режим сетевой фильтрации, как «Родительский контроль». При активации данного инструмента пакет задействует специальный фильтр для блокировки онлайновых ресурсов с нежелательным контентом (сайты с пропагандой секса, насилия, наркотиков и т. д.).
Оптимизатор нагрузки на сеть: Kingsoft PC Doctor
Как уже было сказано выше, большинство брандмауэров позволяют составлять списки правил, согласно которым передаваемая по Сети информация может блокироваться или пропускаться. Для контроля за безопасностью этих функций вполне достаточно. Однако если вы хотите более гибко управлять сетевым трафиком, то в дополнение к основному арсеналу межсетевого экрана придется искать специальные способы регулирования нагрузки на канал, создаваемой тем или иным процессом. В некоторых случаях пользователь очень остро ощущает нехватку такой полезной опции, которая помогла бы оптимизировать загруженность сети. Когда одно приложение (например, клиент для работы с сетью BitTorrent) устанавливает огромное количество потоков, скорость работы остальных программ, работающих с веб-сетью, может упасть настолько, что их использование станет просто невозможным.
Для решения этой проблемы можно использовать бесплатную утилиту оптимизации Kingsoft PC Doctor (www.kingsoftsecurity.com). Данная программа обладает довольно широкой функциональностью: среди ее многочисленных инструментов есть и средства для работы с системным реестром, и встроенный антивирус, и — самое главное для решения нашей задачи — упрощенный вариант сетевого экрана.
Если несколько приложений активно используют передачу данных, скорости интернет-соединения может оказаться недостаточно. В результате запущенные процессы начнут мешать друг другу, вызывая сбои в передаче данных, связанные с превышением порогового значения времени отклика. Чтобы избежать подобных проблем, зайдите в модуль мониторинга сетевого трафика Kingsoft PC Doctor и ограничьте скорость передачи данных для одного из приложений. Сопоставив сведения об объемах транслируемой информации для разных процессов, вы сможете самостоятельно решить, для каких утилит нужно выставить те или иные ограничения, а каким и вовсе запретить передачу данных.
Доверяй, но проверяй
Некоторые легкомысленные пользователи порой сами открывают путь злоумышленникам, присваивая малоизвестным сомнительным приложениям статус доверенных программ. Поэтому тем, кто желает защитить свой компьютер от вторжения извне, кроме перечисленных правил настройки брандмауэра следует также помнить и о том, что многие проблемы возникают по причине обычной беспечности. Инсталлируя загруженную из Сети игру или скринсейвер, нелегальное ПО и т. д., пользователь может запустить в систему «троянского коня», который откроет злоумышленнику конфиденциальные данные и предоставит возможность дистанционного управления. Будьте внимательны с устанавливаемыми программами, используйте антивирус и межсетевой экран — и подобные проблемы вас не коснутся.