www.eserv.ru // FireWall

wikipost /2011-08-22 15:10/ (v3)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
News
15.05.2012
Eserv504
15.05.2012
ActiveSync
01.04.2012
Eproxy508
25.03.2012
Eserv503
26.02.2012
Eserv502
08.02.2012
UMI.CMS
22.12.2011
Eserv431
20.12.2011
Eproxy507
15.11.2011
Eproxy506
19.09.2011
Eproxy505
08.09.2011
Eserv430
07.09.2011
Lightning
19.07.2011
PoweredBy
16.07.2011
IPv6
08.07.2011
Eproxy5beta1
17.06.2011
IPv6DNS
13.06.2011
IPv6Mail
21.03.2011
Eserv428
22.10.2010
Eserv426
22.10.2010
SSL
22.04.2010
Eserv423
20.04.2010
Eserv4WhatsNew
19.04.2010
EservLDAP
19.04.2010
EservDHCP
19.04.2010
EservRubricator
08.04.2010
EservDNS
08.04.2010
NSСI
08.04.2010
WPAD
27.03.2010
Eserv422
27.03.2010
Eserv4Docs
26.03.2010
Eserv4FAQ
21.03.2010
EservIrc
05.03.2010
Eserv421
05.03.2010
HttpProxy
02.03.2010
EservVideo
02.12.2009
Eserv4Wiki
02.12.2009
Eserv4acWEB
02.12.2009
PopPull
22.11.2009
PigMailPigProxy2/WhatsNew
22.11.2009
PigMail/WhatsNew
23.09.2009
FossilEservHowTo
22.09.2009
SourceCodeManagement
22.09.2009
FossilScm
16.09.2009
SendEmail
08.09.2009
RoundCube
07.05.2009
GitScm
07.05.2009
GitEservHowTo
06.05.2009
SunBird

Fire Wall — защита сетей

Первоначально эта страница содержала всего одну ссылку, и я не думал, что она (страница) кому-нибудь пригодится. Но, как ни странно, сюда заглядывают несколько человек в день в поисках FireWall (см. http://www.eserv.ru/ru/FireWall/referrers ), а мне и предложить-то на эту тему нечего Прочтите для начала, например, этот межсетевых экранов и обзор персональных FireWall или этот обзор персональных брандмауэров. А пока они открываются в новом окне, дочитайте наши соображения, если есть время.

10.11.2003 Если у вас Windows 2000 или более поздняя версия, то вы можете найти полезным простой бесплатный FireWall plugin, входящий в комплект Eserv/3 и Eproxy/3 (EservFireWall). См. также инструкции Microsoft по включению FireWall на вашем сетевом соединении. И вообще, не забывайте, что во всех последних версиях Windows, даже в Windows XP Home, есть встроенный FireWall, который, как и положенно собственным разработкам производителей ОС, наименее конфликтный из всех, и при этом обладает всеми необходимыми функциями (см. о встроенном FireWall ниже).
14.03.2004 Полезным дополнением к EservFireWall является EservIDS, автоматически выявляющий атакующие IP, блокирующий их на заданное время и опционально заносящий их в FireWall. Включен в Eserv/3, начиная с версии EservEproxyRC9.

TOC

Для чего нужен FireWall

Автор: Андрей Черезов

Словари (Dictionary:FireWall, JargonFile:FireWall) говорят, что "огненная стена" служит для предотвращения доступа посторонних к вашей сети. Чтобы понять, нужен ли вашему компьютеру или вашей сети FireWall, нужно сначала разобраться, КАК злоумышленник может проникнуть в вашу сеть и как это можно исключить.

Как "взламывают" чужие компьютеры

Те, кто пришел сюда за FireWall, наверное думают, что без этой чудо-программы они беззащитны перед злыми силами интернета, и что если не поставить сначала FireWall, то лучше интернет стороной обходить, а то хакеры, вирусы... Однако по умолчанию ваша граница на замке! Хакеру особо нечего делать на вашем компьютере, пока вы намеренно не дадите ему лазейку в виде установленных, но неверно настроенных сетевых сервисов. Если же вы просто с "пустого" компьютера ходите по интернету браузером, то внешние злоумышленики (и доброумышленники тоже могут сделать всего две вещи:

  • "попинговать" ваш IP-адрес и узнать, включен ли еще этот компьютер
  • попробовать подключиться к TCP-портам на вашем компьютере ("просканировать порты") и убедиться, что на нем не запущены никакие серверы
Больше ничего с компьютером без установленных серверных программ делать внешнему хакеру нечего — просто "не за что зацепиться". Разве что за ошибки в вашем браузере (всякие переполнения буферов и прочие уязвимости) — но от этого никакой FireWall не спасет. Слава Богу, большинство проблем в современных браузерах устранено еще до того, как я написал эту страницу Есть еще особый случай, когда пользователь самостоятельно качает и устанавливает себе программы с вирусами и BackDoor'ами (не догадываясь и не задумываясь об этом) — в этом случае тоже FireWall не поможет, поможет лечение, этот случай мы рассматривать не будем.

Ситуация с уязвимостью изначально неуязвимого компьютера меняется, если на компьютер устанавливаются программы, "слушающие" те или иные TCP-порты, и выполняющие поступающие на них извне запросы. Это, например, web-серверы, ftp-серверы, почтовые-серверы, прокси-серверы... А также многие обычные программы, которые для своих нужд создают, также как и серверы, слушающие сокеты. Особенно это любят делать разнообразные instant messaging программы (ICQ, MsMessenger и т.п.) — им собственные серверы нужны для передачи файлов, иногда для приема извещений, и т.д. Во всех этих случаях к "слушающему" серверному сокету на этом компьютере могут подключаться программы с других компьютеров в internet и выдавать ему указания в соответствии с его протоколом. В случае ошибок в реализации протокола или в случае неверной настройки сервера подключившийся клиент может сделать нечто, что не входило в планы хозяина сервера — например, прочитать не только файлы, которые специально выложены на FTP-сервере, но и файлы в других каталогах; или использовать почтовый или прокси-сервер для передачи своего трафика (OpenRelay, OpenProxy); или просто "завесить" программу или систему на сервере; или даже запустить на сервере любую свою программу. Всё это фактически является разновидностями "взлома" (JargonFile:Crack) или использования (Dictionary:Exploit) уязвимостей (Dictionary:Vulnerability, Dictionary:Weakness). Поможет ли FireWall избежать этого — читайте следующий раздел.

Что может FireWall

FireWall преобразует ситуацию с TCP/IP-протоколом из положения "работает все, кроме того, что запрещено" в положение "запрещено все, кроме того что разрешено". Т.е. изначально после установки FireWall компьютер и в самом деле словно стеной загораживается — он практически не виден извне — все установленные на компьютере интернет-сервисы становятся недоступными извне. Спрашивается, зачем тогда было эти сервисы устанавливать, если FireWall не даст им работать? Поэтому сразу после установки стены сразу начинается процесс просверливания в этой стене дырок, окон (чтобы вы могли наружу выглянуть) и дверей (чтобы ваши серверы могли отвечать на запросы извне). Часто это интерактивный процесс — FireWall говорит "к такой-то программе на такой-то порт подключается клиент оттуда-то — разрешить ему войти, или сделать вид, что никого нет дома?", и хозяин решает, пускать или нет, и что делать с такими подключениями впредь — чтобы FireWall дальше сам решал, а не задавал вопросы 1000 раз в день. В итоге этого процесса стены остаются только там, где раньше было просто пусто — никаких серверов не было, порты и так были закрыты...

[Продолжение следует...]

Пакетный фильтр, Firewall, IPSEC встроены во все версии Windows 2000, XP, 2003

Если, прочитав вышеизложенное, вы все равно решили с FireWall "круче" и спокойнее, то перед скачиванием модных продуктов (Outpost Firewall, Kaspersky Anti-Hacker) сначала оцените возможности встроенных в Windows средств и выясните, что конкретно вам не хватает. Запустите "Консоль управления" (Microsoft Management Console — mmc.exe), там добавьте оснастки "Политики безопасности IP" (IPSEC) и "Монитор IP-безопасности"...

ipsec mmc

IPSEC firewall

Эти средства позволяют задавать фильтры по IP-адресам и портам источника и назначения, по протоколам — блокировать, пропускать соответствующий трафик в зависимости от многочисленных дополнительных условий.

Ссылки

См. также Статьи, PacketCapture, Snort, IntrusionDetectionSystem, NAT, Packetyzer, NetMeter
  • http://www.dshield.org/ — мониторинг сетевых атак
  • http://www.robertgraham.com/pubs/network-intrusion-detection.html — отличный FAQ по FireWall & IDS. Если бы он попался мне раньше, я бы не сочинял эту статью (выше), а просто перевел бы здесь FAQ !
  • 09.2005 http://www.ranum.com/security/computer_security/editorials/deepinspect/index.html — отличная статья Marcus'а, показывающая эволюцию Firewall'ов в сторону старых добрых прокси! Новый писк моды "Deep Inspection Firewall" — всего лишь слабое подобие штатных возможностей прикладных прокси (см. Eproxy
  • AndreyCherezov /02.06.2008 01:47/ При любых конфликтах сетевых программ с firewall'ами я всегда рекомендую не просто выключить firewall, а деинсталлировать его, т.к. при обычном отключении firewall оставляет свой хук в системе, и просто не обрабатывает свои правила, но "глючить" может успешно продолжать. Любопытно, что сегодня я нашел подобный совет в документации к WinPCap: "Note: uninstalling, and not disabling, because some firewalls (like ZoneAlarm) keep having strange behaviors even when they are disabled."

unknown: YandexDirect|
Работает на Eserv/7.0.beta1/Linux/arm64 (Dec 25 2023)