материалы к экзамену / Настройка Outpost Firewall Pro
.docxНастройка Outpost Firewall Pro
В последнее время все чаще говорят об эпидемии вирусов, не детектируемых ни одной антивирусной программой. К тому моменту, когда пользователи замечают, что с системой что-то не так, их пароли и номера кредитных карт благополучно попадают в базу данных хакеров. И это закономерно, ведь установкой антивирусной программы на компьютер решаются далеко не все проблемы с безопасностью. Например, антивирус со слабой эвристикой не сможет запретить программе securevirus.exe отправить злоумышленникам вашу конфиденциальную информацию, если в базе антивирусной программы она не фигурирует как вирус. Также следует помнить, что помимо вирусов вашему компьютеру (особенно, если у него внешний IP-адрес) угрожают сетевые атаки: сканирование опасных портов, DDoS, подмена адреса шлюза интернет провайдера и т.д. От этих неприятностей способен защитить только правильно сконфигурированный фаервол (межсетевой экран). В данной лабораторной работе рассмотрим настройку одного из наиболее популярных межсетевых экранов - Outpost Firewall Pro.
Правильно настроенный Outpost Firewall защитит компьютер от утечки информации, атак из интернета, вредоносного содержимого на сайтах и от растрат лишнего трафика.
Загрузить последнюю версию Outpost Firewall Pro 2009 можно с официального сайта разработчика http://www.agnitum.ru/
Для начала установки на компьютер запустите загруженный дистрибутив программы и выберите русский язык.
Чтобы продолжить установку нажмите «Далее».
Прочитайте и примите лицензионное соглашение и вновь щелкните кнопку «Далее».
Выберите компоненты Outpost Firewall для установки на компьютер. Рекомендуется отмечать оба компонента. Однако если на вашем компьютере уже установлена антивирусная программа, то компонент «Защита от вредоносных программ» может быть автоматически отключен во избежание конфликта. Для продолжения установки нажмите «Далее».
Outpost Firewall предложит папку для инсталляции программы. Если вас всё устраивает, нажмите «Далее». В противном случае щелкните кнопку «Обзор…» и выберите другую папку для установки фаервола.
Задайте уровень безопасности для Outpost Firewall. Наилучшую защиту от вирусов и хакеров обеспечивает Повышенный уровень безопасности. Однако если вы первый раз столкнулись с межсетевым экраном, рекомендуется выбрать Обычный уровень безопасности. Это щадящий режим, при котором дополнительных настроек фаервола не потребуется, а проблемы с блокировкой сайтов и доступа нужных программ в интернет будут сведены к минимуму.
В следующем окошке определяются важные параметры Outpost Firewall. Рекомендуется отметить пункты автоматического создания правил и автообучения фаервола в течение недели. Таким образом, Outpost Firewall настроит себя сам, и почти не будет задавать вам никаких вопросов. Для продолжения установки щелкните «Далее».
Outpost Firewall самостоятельно обнаружит сетевые настройки вашего компьютера, обновит свои компоненты и составит список установленных на ПК программ. Вам останется лишь несколько минут понаблюдать за этим процессом, а затем нажать «Далее».
Итак, установка Outpost Firewall завершена. Перезагрузите систему.
После перезагрузки ПК Outpost Firewall предложит вам зарегистрировать программу. Если вы купили фаервол и у вас есть ключ, нажмите кнопку «Ввести ключ…». В противном случае нажмите «Продолжить».
И вот перед вами окно Outpost Firewall. Слева вы увидите список разделов, в правом верхнем углу кнопки меню. Раздел «Моя безопасность» покажет общие сведения о состоянии межсетевого экрана, а в разделе «Сетевая активность» вы увидите список процессов (программ и системных служб), работающих в сети и интернете.
Чтобы понять представленную в данном разделе информацию нужно довольно хорошо знать основы организации локальных и глобальных сетей. Кратко охарактеризуем основные столбики таблицы «Сетевая активность».
«Процесс» - это программа или служба Windows, которая вышла в интернет или локальную сеть. Например, браузер соединяется с сайтом, который вы просматриваете, Windows соединяется с сервером обновлений, системные службы соединяются с вашим провайдером интернета, чтобы узнать адрес сайта и т.п. Т.е. все программы, которым нужен доступ в сеть периодически туда выходят. Как и куда они выходят, станет известно при изучении следующий столбцов.
«Протокол» - правила передачи информации в сети. Нельзя, чтобы программа как попало передавала данные по сети. Она должна передавать их определенным образом, а также правильно отвечать на посланные ей данные. Протоколов великое множество, основные из них – это TCP (Transmission Control Protocol) и UDP (User Datagram Protocol). Большинство программ соединяются по протоколу TCP. По протоколу UDP часто работают системные службы Windows.
«Удаленный адрес» - с кем соединяется программа по сети. Например, это может быть адрес сайта, адрес сервера вашего интернет провайдера или адрес сервера Microsoft, откуда Windows скачивает обновления.
«Удаленный порт» - часть удаленного адреса, характеризующий, куда именно подключилась программа, чтобы получить или послать данные удаленному узлу (компьютеру, серверу, сайту и т.п.). Если удаленный адрес можно сравнить с домом, то порт – это дверь в доме. Дверей бывает много. Например, у операционной системы Windows их более 65 тысяч. Одни порты закреплены за определенными программами, службами и протоколами. В другие же может войти и выйти любая программа. Одной из функций межсетевого экрана является прикрытие портов вашей операционной системы, чтобы никакая чужая программа или хакер не смогли попасть из интернета в открытую дверь вашего компьютера.
«Причина» - почему программе разрешено или запрещено вести сетевую активность. Поведение программ в Outpost Firewall описывается правилами. Правила разрешают либо запрещают той или иной программе соединяться с определенным удаленным адресом (сервером, сайтом, компьютером и т.п.) по определенному порту и протоколу. Большинство правил создаются Outpost Firewall автоматически. Вы также можете создать свои правила для программ, которым нужен доступ в интернет.
«Отправлено» и «Получено» - это объем исходящего и входящего трафика в байтах. Outpost Firewall определяет, сколько байтов отправила и получила каждая программа и служба Windows в процессе своей сетевой активности. Значок Outpost Firewall отображается в трее Windows рядом с часами. Дважды щелкнув по нему левой кнопкой мышки, вы откроете окно Outpost Firewall.
В разделе «Активные процессы» представлена детальная информация о запущенных на компьютере программах и службах. Более того, щелкнув правой кнопкой мыши по любому процессу, его можно завершить точно так же, как в обычном Диспетчере задач Windows.
Раздел «Антишпион» содержит средства проверки компьютера на предмет вирусов-червей, троянских и шпионских программ. Достаточно щелкнуть ссылку «Запустить проверку системы» и выбрать тип проверки – Быструю, Полную или Выборочную. При быстрой проверке шпионские программы ищутся в запущенных процессах, автозагрузке, реестре и системных папках Windows. Если выбрать Полную проверку, то Outpost Firewall произведет анализ реестра, автозапуска и глубокую проверку всех дисков компьютера. Выборочная проверка предназначена для поиска шпионов в отдельной папке.
Быстрая проверка занимает всего несколько секунд. При полной проверке вам придется подождать несколько минут или часов. Окно с процессом сканирования можно убрать, нажав кнопку «Фоновый». По умолчанию Outpost Firewall просто перечислит в списке все найденные вредоносные объекты. Затем программа попытается их вылечить, а неизлечимые удалит. Антишпионский модуль Outpost Firewall ни в коем случае не является заменой стандартному антивирусу. Фаервол просто поможет обеспечить более серьезную защиту компьютера. В дополнение к Outpost Firewall можно установить один из антивирусов, например, Dr.Web, NOD или Avira Premium, хотя с последним могут возникнуть проблемы совместимости.
В разделе «Веб-активность» представлена полная статистика соединений браузера: сайт (узел), загруженные объекты (страницы, рисунки и т.п.) и их размер.
Наконец, в журналах событий вы найдете список разрешенных и заблокированных Outpost Firewall соединений, данные об атаках на ваш компьютер, которые фаервол успешно отбил, список заблокированного содержимого и другую полезную информацию.
Пока Outpost Firewall работает в режиме автообучения, вам необходимо запустить все программы, которыми вы пользуетесь в интернете или локальной сети, чтобы фаервол мог автоматически создать для них правила. По прошествии недели, когда правила для приложений, сервисов и сетей созданы, вам останется их лишь подкорректировать.
Для изменения конфигурации фаервола, предназначена кнопка«Настройки».
Прежде всего, в разделе «Конфигурация» задайте пароль для изменения важных настроек Outpost Firewall, остановки защиты и удаления программы. Таким образом, никакой вирус не сможет нарушить работоспособность фаервола. Отметьте галочкой пункт «Включить защиту паролем» и нажмите кнопку «Изменить пароль». В появившемся окошке дважды введите пароль и нажмите «ОК».
Теперь перейдем к настройкам локальной сети. Outpost Firewall уже определил все сети, к которым подключен ваш компьютер и перечислил их в списке. Если это домашняя локальная сеть или локальная сеть организации, можно оставить всё, как показано на скриншоте. В противном случае, снимите все галочки и нажмите «ОК». Таким образом, вы защитите компьютер от вирусов, распространяющихся по глобальным сетям и сетям интернет провайдеров. Если ваш ПК подключен к интернету через роутер, его адрес также будет присутствовать в списке. В некоторых роутерах, например LAN ADSL, уже имеется встроенный фаервол. Он никоим образом не будет конфликтовать с Outpost Firewall. Однако, для него можно настроить доверенную зону и разрешить NetBIOS (определение имен компьютеров по сети), отметив галочками соответствующие пункты напротив адреса роутера: «NetBIOS» и «Доверенный». Если в вашей сети есть сервер общего доступа в интернет, то напротив его адреса также необходимо установить галочку «Зона NAT».
Как мы уже говорили, Outpost Firewall умеет защищать компьютер от атак из интернета. Для того чтобы он это делал лучше, перейдите в раздел «Детектор атак» и нажмите кнопку «Настройка».
На вкладке «Ethernet» установите все галочки. Так вы сможете защитить компьютер от всех типов атак извне. Для применения настроек нажмите «ОК».
Если вы хотите заблокировать загрузку определенных сайтов, например тех, на которых находятся вредоносные программы, или которые не должен посещать ребенок, перейдите в раздел «Блокировка IP». Здесь необходимо отредактировать список заблокированных узлов, нажав кнопку с аналогичным названием.
В поле «Адрес» введите название сайта и нажмите «Добавить». Сайт будет добавлен в список заблокированных. Здесь можно добавить любое количество сайтов, а также IP-адресов серверов и других компьютеров. Чтобы разблокировать сайт или разрешить соединение с заблокированным сервером, выделите его в списке и нажмите «Удалить».
В разделе «Антишпион» - «Профили и расписание» можно задать настройки полной и быстрой проверок системы, а также время автоматического запуска проверки.
Уже упоминалось, что Outpost Firewall умеет контролировать активность Windows и приложений. Фаервол отслеживает изменяемые компоненты программ и может выдавать вам запросы – разрешить либо запретить запуск изменяемых компонентов. Обычно компоненты программ меняются в результате обновления, инсталляции новых приложений и т.п. Чтобы не допустить изменения вредоносными программами компонентов приложений, в разделе «Локальная безопасность» (или «Проактивная защита») настройте уровень безопасности, щелкнув кнопку «Настройка…».
Отметьте галочкой последний пункт на вкладке «Контроль компонентов», чтобы Outpost Firewall предупреждал вас всякий раз, когда будет запущена новая или неизвестная ранее программа. Так вы защититесь от вредоносного действия многих вирусов.
Поскольку многие вирусы распространяются через интернет сайты, необходимо настроить компонент веб-контроля Outpost Firewall . Для этого перейдите в одноименный раздел, отметьте галочкой пункт «Включить веб-контроль» (если галочка там еще не стоит) и нажмите кнопку «Настройка».
На вкладке «Веб-страницы» установите режимы «Спрашивать» и «Блокировать» для интерактивного содержимого, всплывающих окон и скрытых фреймов, как показано на скриншоте. Имейте в виду, что при таких настройках Outpost Firewall будет постоянно задавать вам вопросы, разрешить то или иное содержимое на сайте, либо заблокировать его. Если вы не посещаете сомнительных веб-ресурсов, можете заблокировать лишь скрытые фреймы и указать фаерволу, спрашивать вас при наличии всплывающих окон на сайтах. Все остальное содержимое можно разрешить.
На вкладке «Почта и новости» запретите все, кроме flash. Таким образом, вы огородите себя от вредоносного кода в сообщениях электронной почты.
Естественно, что помимо подозрительных веб-сайтов, есть ресурсы, которым вы доверяете и которые защищены настолько хорошо, что вряд ли будут распространять со своих страниц вредоносные объекты. Такие доверенные сайты можно внести в список исключений веб-контроля Outpost Firewall.
Щелкнув кнопку «Добавить», введите название доверенного сайта. На нем можно полностью разрешить показ рекламы и любого активного содержимого, либо создать индивидуальное правило, разрешающее загрузку определенных элементов, например ActiveX и JavaScript.
Если у вас есть номера кредитных карт и пароли, которые нужно защитить от утечки в интернет, воспользуйтесь разделом «Личные данные» веб-конроля Outpost Firewall. Нажмите кнопку «Добавить»…
и введите описание и пароль (номер карты) для защиты. Обнаружив его в потоке данных, Outpost Firewall заблокирует передачу пароля или номера кредитки посторонним сайтам. Это очень важно, т.к. многие сайты специально создаются хакерами для кражи ваших паролей, кодов и номеров карт. Такие сайты по внешнему виду не отличаются от легитимных ресурсов, однако могут располагаться на другом домене. Например, в названиях сайтов webmoney.ru и webmaney.ru многие пользователи не сразу заметят разницу. Но второй сайт может быть подставным. Введя на нем свой номер кошелька и пароль, вы рискуете по собственной неосторожности подарить их хакерам.
Доверенные сайты необходимо внести в список исключений. Передача номеров кредитных карт и паролей на них будет разрешена Outpost Firewall.
После того, как вы настроили все основные параметры Outpost Firewall, настало время разобраться с программами и сервисами, которым разрешен обмен данными с сетью. Их список содержится в разделе «Правила для приложения». Наведя курсор мыши на название программы, вы увидите полный путь к исполняемому файлу данного приложения и сможете определить, кому он принадлежит и зачем нужен на вашем компьютере, а также, что самое главное, действительно ли данной программе так необходим доступ к сети.
Теперь приступим к фильтрации приложений, которым разрешен доступ в сеть. Напротив них в столбике «Сетевые» будет стоять зеленый прямоугольник. Щелкнув по нему, вы попадете в Редактор правил для программы. Как уже говорилось, все правила Outpost Firewall создал автоматически в режиме обучения. Вам лишь останется их немного отредактировать. Для этого, чтобы программа не могла выйти в сеть, можно удалить все разрешающие ей это правила (выделите правило и нажмите «Удалить»), либо в самих правилах запретить внешние соединения (дважды щелкните по правилу и вместо «Разрешить» выберите «Запретить»).
Также на вкладке «Общие» Редактора правил для конкретной программы можно отметить пункт «Блокировать все действия». По умолчанию сетевое поведение программ контролируется созданными для нее правилами. Если вы отметите пункт «Разрешить все действия», приложение сможет соединяться с кем угодно, по какому угодно протоколу и порту. Поэтому используйте данную опцию только в самых крайних случаях, когда с другими настройками программа отказывается работать в сети.
Теперь рассмотрим самый важный вопрос, каким программам нужен доступ в интернет, а каким его в срочном порядке следует запретить.
ACS.EXE – программный модуль самого Outpost Firewall, отвечающий за обновление программы. Для него подходят стандартные правила, созданные фаерволом по умолчанию.
Far, Total Commander и подобные им программы, файловые менеджеры и FTP-клиенты. Для них Outpost Firewall также создает адекватные правила, которые не требует редактирования.
Веб-браузеры (Mozilla Firefox, Internet Explorer, Opera, Chrome и т.д.).
Outpost Firewall создаст для них соответствующие правила по умолчанию, обеспечивающие приемлемый уровень безопасности компьютера. Блокировку нежелательного контента на сайтах можно настроить в модуле «Веб-контроль».
Почтовые программы (The Bat!, Microsoft Outlook и т.д.) прекрасно будет работать со стандартными правилами Outpost Firewall для почтовых клиентов. Если вы не пользуетесь встроенными в почтовые программы дополнительными функциями, например чтения RSS, данные правила в настройках Outpost Firewall лучше отключить, просто сняв с них галочку.
Программы для работы в Р2Р сетях (FlylinkDC++, uTorrent и другие). Для них Outpost Firewall также создаст правила по умолчанию, разрешающие как исходящие, так и входящие сетевые подключения. Если вы не хотите, чтобы другие пользователи получали доступ к «расшаренным» вами файлам, в Редакторе правил для данных программ запретите входящие соединения.
ICQ, IRC, Jabber, Skype и прочие клиенты для общения, звонков и обмена мгновенными сообщениями. Им достаточно созданных Outpost Firewall по умолчанию правил, хотя для некоторых программ может потребоваться задать дополнительные разрешения, например, для соединения с серверами VoIP телефонии при разговорах по SIPNET.
Антивирусные программы. Большинство антивирусов проверяют на предмет вирусов не только файлы на компьютере, но и электронную почту, а также посещаемые вами веб-страницы, поэтому должны иметь доступ в интернет, в том числе и для обновления своих баз. Соответствующие правила Outpost Firewall создаст автоматически.
В случае проблем вам останется лишь дополнить их, переключив фаервол в режим Обучения.
Приложение svchost.exe - самое уязвимое с точки зрения безопасности, но требующее обязательного подключения к интернету. По умолчанию Outpost Firewall создает для svchost.exe ряд правил, среди которых есть откровенно опасные. Их рекомендуется отключить (снять галочку) или удалить из списка разрешений для svchost.exe вовсе. Итак, из безопасных для svchost.exe разрешений можно выделить следующие:
• "SSDP Discovery Service" and "UPnP device Host" services
• Generic Host Process Link-Local Multicast Name Resolution
• Generic Host Process time synchronize UDP connection
• Generic Host Process time synchronize TCP connection
• Generic Host Process DNS UDP connection
• Generic Host Process DNS TCP connection
Особенно важны в этом списке «Generic Host Process DNS connection» и «Generic Host Process time synchronize». Первое правило разрешает соединение с DNS сервером, без чего ваш интернет просто не будет работать, второе – позволяет вашему компьютеру синхронизировать время с удаленным сервером. Если установленная на вашем компьютере операционная система Windows и её компоненты постоянно обновляются, придется разрешить svchost.exe соединения по протоколам HTTP и HTTPS. Поскольку сервер обновлений известен заранее и редко меняется, рекомендуем в настройках данных правил для svchost.exe обозначить Удаленный адрес.
Таким образом, список приложений, которым следует разрешить доступ в интернет, довольно внушителен. При этом не были упомянуты Справка Windows, сетевые утилиты, WebMoney Keeper, менеджеры закачек и огромное количество тех программ, м требуется глобальная сеть.
После того, как вы отредактируете правила для приложений, проверьте, что Outpost Firewall работает в режиме обучения. Для этого щелкните по значку программы в трее правой кнопкой мыши и выберите «Политика брандмауэра» - «Режим обучения».
В таком случае, когда какой-либо программе потребуется доступ в интернет, Outpost Firewall спросит вас об этом. Вы сможете разрешить данному приложению сетевую активность либо запретить ее окончательно. Для известных программ в окне запроса Outpost Firewall выбирайте «Создать правила на основе стандартных». Фаервол сам найдет более подходящий набор правил для программы.
}
Когда вы будете запускать новые или изменившиеся приложения, Outpost Firewall также станет задавать вам вопросы. Если вы доверяете программе, разрешайте ее запуск. В противном случае, когда приложение вызывает подозрение, или вы не знаете, откуда оно вообще взялось, заблокируйте его.
При запросе сетевых соединений, можно разрешить программе выйти в сеть всего лишь один раз. Для этого выберите пункт «Разрешить однократно».
Точно также можно и однократно заблокировать соединение программы с сетью.
При создании правил для программы, можно самостоятельно определить, как и куда ей разрешено соединяться, а куда запрещено. Для этого в списке стандартных правил выберите «Другие».
Откроется окно редактора правил для программы. Здесь можно определить направление, адрес, порт и другие события для правила. Для этого следует поставить напротив нужного события галочку. В поле «Расшифровка правила» щелкайте по синим ссылкам и определяйте нужный протокол, направление, порт и другие опции. Имейте в виду, чтобы правильно задать данные параметры, нужно знать основы работы локальных сетей.
Outpost Firewall сам подставляет в расшифровку правила нужные значения. Вам останется только выбрать «Разрешить» либо «Блокировать» для программы сетевые соединения с указанными характеристиками.
Когда правила для приложения уже созданы, их можно легко изменить. Для этого в списке сетевых правил выделите нужное и нажмите кнопочку «Изменить».
Вы попадете в уже знакомое окно редактирования правил для программы.
После того, как все правила настроены, и компьютер с Outpost Firewall работает стабильно несколько дней, можете перевести фаервол в режим блокировки. В этом случае межсетевой экран станет блокировать все сетевые подключения, кроме тех, которые явно не разрешены созданными для программ правилами.
В заключение рассмотрим наиболее часто встречающиеся вопросы, касательно работы Outpost Firewall.
1.При установке Outpost Firewall необязательно отключать встроенный брандмауэр Windows, т.к. они не конфликтуют.
2.Outpost Firewall нельзя устанавливать на компьютер, где уже имеется другой фаервол, например, Kaspersky Internet Security, ESS или Avira Premium Security Suite. Если он и инсталлируется (что сомнительно), они будут конфликтовать.