Хакер №024. Спецвыпуск
ПЕРСОНАЛЬНЫЕ FIREWALL'Ы ДЛЯ WIN
утепление окон на зиму,
Спецвыпуск Xakep, номер #024, стр. 024-034-4
Остальные тестируемые мною FireWall'ы не справились с большинством из поставленных задач, а они были, если ты забыл:
1) замена файла iexplore.exe на telnet.exe;
2) попытка трояна (Dd2) вырваться в Интернет;
3) сканирование портов на моей машине;
4) сокрытие от посторонних глаз IP адреса.
Итак, лажанувшиеся:
Net Sentinel
Очень странная прога. При попытке трояна вылезти наружу она никаких предупреждений не выводила (записи в лог не было), но трафик блокировала; при попытке просканировать мои порты опять же никаких Alert'ов не выводила, но делала систему недосягаемой. Если кому-то интересно узнать, что это такое, то качать здесь: http://www.kodsweb.ru/dwn/netsecurity/netsentinel204.zip (2014 Кб).
В мой совсем черный список попали:
Anti-Hack (некоторые порты оставались открытыми)
BlackICE Defender (сокрытие IP не работало)
TermiNet (сокрытие IP не работало + открыты некоторые порты)
Sygate Personal Firewall Pro (сокрытие IP не работало)
Ах, да. Я ничего не сказал про легендарный Jammer. Файрволл заслуживает места на твоем компьютере, но учти, что на данный момент почти все антивирусы воспринимают его как вирус =). Так что не пугайся, если что!
Качать тут: http://online.download.ru/Download/[ProgramID=1296] (1095 Кб).
Запомни, что ненастроенный файрволл - огромная дыра в твоей машине! И еще, сверху я привел список параметров для тестирования файрволлов, так вот - это САМЫЙ минимум, который должен выполнять твой персональный файрволл!
На этом все. Надеюсь, что скоро твоя система станет неприступной крепостью!
Первый шагом по настройке файрволла будет получение ясного представления для тебя, чего именно ты ожидаешь от его работы. В будущем это даст возможность сравнить результаты тестирования и имевшиеся до этого ожидания и таким образом оценить величину имевшейся ошибки.
Убедись в безопасности файрволла в плане физического доступа к нему посторонних лиц. Если с этим проблемы, то весь остальной труд напрасен.
Следующее, используемая ОС сама по себе должна быть достаточно грамотно настроена в плане безопасности. Но т.к. мы рассматриваем виндовые файрволлы, то лучшим выбором будет, на мой взгляд, Windows NT/2К.
Следующий шаг - сканирование портов файрволла как со стороны внутренней сети, так и со стороны Internet (icmp, udp, tcp) для определения открытых портов. Большинство правильно сконфигурированных файрволлов не имеет открытых портов. Более того, они игнорируют ICMP-пакеты, приходящие из внешней сети.
Работать должно всего несколько служб. Без крайней необходимости порты не должны открываться.
Необходимо руководствоваться правилом: запрещено все, что не разрешено, а не правилом - разрешено все, что не запрещено. Поэтому база правил должна начинаться с правила, запрещающего любой трафик (Режим полной блокировки), входящий и исходящий. Остальные правила должны идти за этим основным. После проверки базы правил firewall'а проверь его логи. Определил ли firewall проводившееся сканирование и давал ли он соответствующие сигналы (alerts).
Назад на стр. 024-034-3 Содержание Вперед на стр. 024-034-5
