Fire Wall — защита сетей
Первоначально эта страница содержала всего одну ссылку, и я не думал, что она (страница) кому-нибудь пригодится. Но, как ни странно, сюда заглядывают несколько человек в день в поисках FireWall (см.
http://www.eserv.ru/ru/FireWall/referrers ), а мне и предложить-то на эту тему нечего 
Прочтите для начала, например, этот межсетевых экранов и 
обзор персональных FireWall или этот обзор персональных брандмауэров. А пока они открываются в новом окне, дочитайте наши соображения, если есть время.
10.11.2003 Если у вас Windows 2000 или более поздняя версия, то вы можете найти полезным простой бесплатный FireWall plugin, входящий в комплект Eserv/3 и Eproxy/3 (EservFireWall). См. также
инструкции Microsoft по включению FireWall на вашем сетевом соединении. И вообще, не забывайте, что во всех последних версиях Windows, даже в Windows XP Home, есть встроенный FireWall, который, как и положенно собственным разработкам производителей ОС, наименее конфликтный из всех, и при этом обладает всеми необходимыми функциями (см. о встроенном FireWall ниже).14.03.2004 Полезным дополнением к EservFireWall является EservIDS, автоматически выявляющий атакующие IP, блокирующий их на заданное время и опционально заносящий их в FireWall. Включен в Eserv/3, начиная с версии EservEproxyRC9.
Для чего нужен FireWall
Автор: Андрей ЧерезовСловари (Dictionary:FireWall, JargonFile:FireWall) говорят, что "огненная стена" служит для предотвращения доступа посторонних к вашей сети. Чтобы понять, нужен ли вашему компьютеру или вашей сети FireWall, нужно сначала разобраться, КАК злоумышленник может проникнуть в вашу сеть и как это можно исключить.
Как "взламывают" чужие компьютеры
Те, кто пришел сюда за FireWall, наверное думают, что без этой чудо-программы они беззащитны перед злыми силами интернета, и что если не поставить сначала FireWall, то лучше интернет стороной обходить, а то хакеры, вирусы... Однако по умолчанию ваша граница на замке! Хакеру особо нечего делать на вашем компьютере, пока вы намеренно не дадите ему лазейку в виде установленных, но неверно настроенных сетевых сервисов. Если же вы просто с "пустого" компьютера ходите по интернету браузером, то внешние злоумышленики (и доброумышленники тоже
могут сделать всего две вещи:
- "попинговать" ваш IP-адрес и узнать, включен ли еще этот компьютер
- попробовать подключиться к TCP-портам на вашем компьютере ("просканировать порты") и убедиться, что на нем не запущены никакие серверы
Есть еще особый случай, когда пользователь самостоятельно качает и устанавливает себе программы с вирусами и BackDoor'ами (не догадываясь и не задумываясь об этом) — в этом случае тоже FireWall не поможет, поможет лечение, этот случай мы рассматривать не будем.
Ситуация с уязвимостью изначально неуязвимого компьютера меняется, если на компьютер устанавливаются программы, "слушающие" те или иные TCP-порты, и выполняющие поступающие на них извне запросы. Это, например, web-серверы, ftp-серверы, почтовые-серверы, прокси-серверы... А также многие обычные программы, которые для своих нужд создают, также как и серверы, слушающие сокеты. Особенно это любят делать разнообразные instant messaging программы (ICQ, MsMessenger и т.п.) — им собственные серверы нужны для передачи файлов, иногда для приема извещений, и т.д. Во всех этих случаях к "слушающему" серверному сокету на этом компьютере могут подключаться программы с других компьютеров в internet и выдавать ему указания в соответствии с его протоколом. В случае ошибок в реализации протокола или в случае неверной настройки сервера подключившийся клиент может сделать нечто, что не входило в планы хозяина сервера — например, прочитать не только файлы, которые специально выложены на FTP-сервере, но и файлы в других каталогах; или использовать почтовый или прокси-сервер для передачи своего трафика (OpenRelay, OpenProxy); или просто "завесить" программу или систему на сервере; или даже запустить на сервере любую свою программу. Всё это фактически является разновидностями "взлома" (JargonFile:Crack) или использования (Dictionary:Exploit) уязвимостей (Dictionary:Vulnerability, Dictionary:Weakness). Поможет ли FireWall избежать этого — читайте следующий раздел.
Что может FireWall
FireWall преобразует ситуацию с TCP/IP-протоколом из положения "работает все, кроме того, что запрещено" в положение "запрещено все, кроме того что разрешено". Т.е. изначально после установки FireWall компьютер и в самом деле словно стеной загораживается — он практически не виден извне — все установленные на компьютере интернет-сервисы становятся недоступными извне. Спрашивается, зачем тогда было эти сервисы устанавливать, если FireWall не даст им работать? Поэтому сразу после установки стены сразу начинается процесс просверливания в этой стене дырок, окон (чтобы вы могли наружу выглянуть) и дверей (чтобы ваши серверы могли отвечать на запросы извне). Часто это интерактивный процесс — FireWall говорит "к такой-то программе на такой-то порт подключается клиент оттуда-то — разрешить ему войти, или сделать вид, что никого нет дома?", и хозяин решает, пускать или нет, и что делать с такими подключениями впредь — чтобы FireWall дальше сам решал, а не задавал вопросы 1000 раз в день. В итоге этого процесса стены остаются только там, где раньше было просто пусто — никаких серверов не было, порты и так были закрыты...
[Продолжение следует...]
Пакетный фильтр, Firewall, IPSEC встроены во все версии Windows 2000, XP, 2003
Если, прочитав вышеизложенное, вы все равно решили с FireWall "круче" и спокойнее, то перед скачиванием модных продуктов (Outpost Firewall, Kaspersky Anti-Hacker) сначала оцените возможности встроенных в Windows средств и выясните, что конкретно вам не хватает. Запустите "Консоль управления" (Microsoft Management Console — mmc.exe), там добавьте оснастки "Политики безопасности IP" (IPSEC) и "Монитор IP-безопасности"...
Эти средства позволяют задавать фильтры по IP-адресам и портам источника и назначения, по протоколам — блокировать, пропускать соответствующий трафик в зависимости от многочисленных дополнительных условий.
Ссылки
См. также Статьи, PacketCapture, Snort, IntrusionDetectionSystem, NAT, Packetyzer, NetMeter- http://www.dshield.org/ — мониторинг сетевых атак
- http://www.robertgraham.com/pubs/network-intrusion-detection.html — отличный FAQ по FireWall & IDS. Если бы он попался мне раньше, я бы не сочинял эту статью (выше), а просто перевел бы здесь FAQ !
- 09.2005 http://www.ranum.com/security/computer_security/editorials/deepinspect/index.html — отличная статья Marcus'а, показывающая эволюцию Firewall'ов в сторону старых добрых прокси! Новый писк моды "Deep Inspection Firewall" — всего лишь слабое подобие штатных возможностей прикладных прокси (см. Eproxy
- AndreyCherezov /02.06.2008 01:47/ При любых конфликтах сетевых программ с firewall'ами я всегда рекомендую не просто выключить firewall, а деинсталлировать его, т.к. при обычном отключении firewall оставляет свой хук в системе, и просто не обрабатывает свои правила, но "глючить" может успешно продолжать. Любопытно, что сегодня я нашел подобный совет в документации к WinPCap: "Note: uninstalling, and not disabling, because some firewalls (like ZoneAlarm) keep having strange behaviors even when they are disabled."
