Интернет - грамотный подход 026

Дистанционный курс

Учебник для начинающих

Inet on CD

Рассылка: Интернет - грамотный подход

Выпуск 026

Фаервол Windows XP и антивирусы

Фаервол Windows XP

Windows XP имеет свой встроенный фаервол. Чтобы включить его и покопаться в настройках необходимо сделать следующие вещи:

Пуск - Панель управления - Сетевые подключения - Щелчок правой кнопкой по значку сетевого подключения, через которое вы выходите в интернет - Свойства - Закладка "Дополнительно".

Если здесь поставить галку "защитить мое подключение к Интернету", то фаервол включиться. Чтобы изменить его настройки, нужно на этой же вкладке нажать кнопку "Параметры". В настройках можно разрешать или запрещать сетевую активность по различным адресам и портам. По умолчанию описаны стандартные службы, работающие со стандартными портами, например, почтовые протоколы POP3 и SMTP. Можно добавить свои правила, которые обеспечат корректную работу всех приложений на конкретном компьютере. Все очень простенько, с минимум дополнительных опций и настроек. Если ты, мой дорогой читатель, уже пробовал настраивать какой-нибудь фаервол, то со встроенным виндовым разберешься запросто.

А вот небольшая переписка, дающая оценку этому фаерволу и не только.

Доброго времени суток, internet,

В последнем выпуске Вы приводили такое письмо читателя:

>Здравствуйте!
>Я долгое время пользовался антивирусом и Фаерволом MacAfee
>он удобен систему особо не тормозит, очень удобное
>автообновление (сразу после подключения к интернету обновляется),
>но у неё и большие минусы: когда ставишь к примеру игру
>на компьютер приходится его отключать, иначе никак!
>Он может пропустить трояны а уж если пропустит то с компа точно не
>удалит! Вобщем он мне не подошёл.
>Сейчас у меня стоит Касперский он для меня не удобен
>(но приходится мириться, лучший всётаки), хотя и на русском, во
>первых с ним долго грузится ОС пришлось его убрать из
>автозапуска, во вторых нужно часто обновлять ключи, и втретих
>обновление плохое там можно поставить только автомат на часы,
>а у меня нет определённого графика (выхожу в инет в разное
>время) и приходится самому каждый раз щелкать "Обновить" это
>не удобно, я часто забываю........ Былобы здорово объеденить
>интерфейс МакАфи с защитой Касперского, но.............
>Вобщем делать то нечего, лучшего покачто не нашёл....
>Буду ждать вашей следующей рассылки, может чтото лучшее посоветуют.

Так вот, соединением приятного с полезным плотно занимаются в Pand'e. Самый удобный и самый сильный антивирус ИМХО. Собственно я про него уже писал не раз.

Теперь про встроенный в винду фаер. Во-первых - он не защищает от D.o.S. атак, во-вторых при наличии оч.умелых ручек запросто обходится и вместо защиты представляет собой дополнительную дыру. Отсюда совет такой - отключить его сразу же после установки и поставить Outpost или ZoneAlarm. Проверку мы с нашим админом проводили во внутренней сети сразу же после выхода второго пака. Так машину со встроенным фаером удалось завесить по методу D.o.S. всего через 25 минут, а вскрыть и получить полный доступ к машине через 3 дня. Хочу обратить внимание, что полный доступ в данном случае предполагает уровень привилегий system, а не администратора. Такие высокие привилегии удалось получить как раз из-за того, что встроенный фаер работает как сервис с привилегиями system и при этом имеет дыру. В заключение скажу, что ZoneAlarm при проверке в прошлом году вскрылся примерно через три недели после начала поиска уязвимостей (на этот момент уже была заплатка для этой дыры, ее просто не установили), Outpost тоже удалось обойти и получить привилегии... гостя системы :)

Проверка фаеров в нашей фирме по традиции проводится каждый год, к ней готовятся, изобретают новые способы обхода защиты.

ЗЫ. Думаю, что про безопасность все всё уже поняли, не пора-ли двигаться дальше?

---
С уважением,
Alex Nomand Onim

Доброго времени суток, Павел,

ПЛ> Alex, здравствуйте
ПЛ> Как всегда, от вас приходят очень ценные письма, спасибо.

:)

ПЛ> Если не сложно, то расскажите пожалуйста в двух словах чем уровень
ПЛ> привилегий system отличается от administrator.

В общем и целом администратор не может использовать ресурсы, которые уже используются уровнем system. Пример. У Вас на диске C: стоит винда. Вы ее загрузили и решили прямо во время работы отформатировать этот самый диск C:. Имея привилегии администратора Вы не сможете этого сделать, поскольку данный ресурс, который Вы хотите использовать монопольно (для форматирования нужно монопольное использование ресурса), уже используется уровнем system. Вам будет предложено переключить этот ресурс полностью на себя и теоретически Вы можете нажать Да. Но на практике это однозначно приведет к полному зависанию системы и Вам ничего другого не останется, как нажать Reset так и не приступив к форматированию. Имея привилегии system Вы РЕАЛЬНО во время работы можете получить монопольный доступ к любому устройству и произвести например форматирование диска, на котором установлена система. Пока будет длиться процесс форматирования все сервисы, которым нужно обратиться к диску, будут ожидать его освобождения, которое произойдет после полного завершения форматирования, а поскольку диск после этой процедуры станет идеально чист, то система сразу же рухнет. Однако возможен вариант, когда форматирование может не дойти до конца, а система рухнет (данные все равно пропадут, просто потом форматирование придется делать еще раз). Это произойдет в том случае, если программа форматирования обратиться к ядру системы с запросом, который потребует обращения к диску C:. До WinXP SP1 включительно это вызывало зависание машины, т.к. возникал так называемый тупик - программа форматирования имеет монопольный доступ к диску, но не может продолжать работу, пока не получит ответ от ядра, а ядро не может отправить ответ, пока не прочитает данные с диска. В SP2 этот тупик убрали дав возможность ядру системы вызывать прерывание (программное) монопольного действия, но легче от этого не стало - во-первых стали портиться диски в процессе записи (если во время записи ядро вызвало прерывание и обратилось к диску), во-вторых какая разница как информация была убита, факт в том, что ее уже нет и восстановить невозможно. В Unix-подобных системах нет отдельного уровня system - там такими правами обладает пользователь root.

ПЛ> Чтобы закрыть тему безопасности нужно еще рассказать про шифрование.
ПЛ> Ну и про встроенный фаервол тоже :). Т.е. как минимум один выпуск еще.
ПЛ> А потом обязательно двинем дальше.

По моему есть только одна система шифрования, которая достойна внимания - PGP. Думаю Вам надо рассказать про нее.

---
С уважением,
Alex Nomand Onim

(Павел Любовин) Итак, выводы: встроенный фаервол Windows лучше не включать, а пользоваться специальными программами от сторонних разработчиков. Alex Nomand Onim, большое спасибо за разъяснения.

Антивирусы

Напомню, что антивирусное ПО должно обязательно стоять на компьютере, подключенному к интернету. Про антивирусы уже велась речь в рассылке. Но ниже будет приведен очень дельный обзор, который поможет тебе, мой дорогой читатель, определиться с собственным набором антипаразитных программ.

Добрый... наверное уже вечер :)
Я тут был в отъезде и только проверил почту и тут наткнулся на бурные дискуссии о защите компа, firewall'ах и антивирусах и вот что хочу сказать.

В одном письме дается совет поставить как можно больше разных антивирусов. Мысль здравая но, во первых во всем должна быть мера и ставить по 6-7 штук, это уже перебор. Как правило больше 3х, максимум 4х ставить не имеет смысла.

Во вторых не стоит подходить в лоб и ставить кучу каких попало антивирусов, надо стараться ставить хорошие и очень хорошие. Кстати я смотрю народ все еще использует Norton Antivirus, и в общем зря. Это один из самых заурядных (а то и слабых) представителей антибактериального штата. Место ему на скамейке запасных. На кого стоит обратить внимание? Приведу несколько известных мне представителей (может кто и больше знает):

1) Каперский - безусловно один из лучших по поиску вирусов, но увы один из худших в плане оптимизации работы. Способен заставить тормозить самую продвинутую машину. К тому же на некоторых машинах безбожно глючит, посему если вы заметили, что после его установки интернет работает медленнее, окна странно себя ведут, машина зависает и тд... Снимайте и в мусор! К тому же пока касперский посует практически перед любыми SpyAware (и подобными), посему пользоваться им без AdAware, ApyBot и в этом роде не эффективно.

2) NOD32 - о нем уже упоминали, повторю и я - очень хорош! В отличии от Каспера способен выявлять и некоторые AdAware-модули, в платной версии есть активный монитор, работает очень быстро не мешает и не замедляет работу системы. Увы для этого придется покупать фирменную версию так как крэки с ним работают очень криво. Но есть и бесплатная, но без антивирусного-монитора. Есть и у него один подводный камень - он может подмять под себя вполне невинный файл.

3) AntiVir - очень дельный немецкий антивирус. Бесплатен. Имеет активный монитор, которых незначительно замедляет работу системы, но такой порнографии как Касперский себе не позволяет. Идеальный вариант для человека, плохо разбирающегося в компьютерах, и не готового платить за антивирусы. Имеется возможность обновления антивирусных баз.

4) Stinger Antivirus - забавный представитель, он не только бесплатен, но еще и не требует установки. Можно таскать с собой на дискете. Конечно до NOD32 ему далеко, но вот один раз на работе он ухитрился обнаружить пару зверюшек, которых Касперский пропустил. Вот как раз его модно ставить вместе с каким то еще антивирусом до кучи.

5) Stop! Антивирус - платная версия мало отличается от бесплатной, так что может спокойно сэкономить деньги и пользоваться Free-версией. Антивирус ищет хорошо, есть возможность обновления баз, интерфейс простой и полностью русскоязычный. Единственное чего нет - активного монитора. Годится для дремучих новичков из за своего интуитивно понятного интерфейса.

Что касается мной нелюбимых (подчеркну МНОЙ можете оспаривать это мнение):

Dr.Web - на мой взгляд неэффективен, к тому же после деинсталляции оставляет кучу трудновычищаемого мусора. Как и Касперский нестабилен в работе.

Avast - бесплатный сыр, имеет некоторое подобие firewall'а, и активный монитор. Первый весьма слаб к тому же конфликтует с другими firewall'ами, второй грузит систему не хуже Каспера, при этом тоже очень плохо ищет вирусы. Задает много (слишком) вопросов не по делу. Подходит пользователям для которых крутящийся кружок в трее является олицетворением активной защиты.

Это все что я смог вспомнить. И еще один момент. НИКОГДА НЕ СТАВЬТЕ ОДНОВРЕМЕННО НЕСКОЛЬКО АНТИВИРУСОВ С АКТИВНЫМИ МОНИТОРАМИ!!! Только один активный монитор должен работать в системе, у остальных они должны быть выключены и запуск проверки осуществляться вручную. Иначе глюки неминуемы!

Еще один момент. Все без исключения пропускают часть adaware-модулей мимо ушей. Посему в обязательном порядке кроме антивируса на машине должна стоять программа для чистки этой гадости. AdAware и SpyBot самые известные из них. Есть и другие, всех не упомню, но за эти можно поручиться.

В одном из писем White Dragon делился как он без антивирусов с диалапом отбивается от злобных хакеров. Да стратегия очистки всевозможных кешей, автозагрузок и кукисов в какой-то степени эффективна. Для подобного рода "грубой" защиты есть даже программа, зовут ее Evidence Destructer, там не надо никуда лазить, ставишь галки что чистить и она чистит (может и по расписанию. Очистка производится не только системных папок, но и мусора оставляемого некоторыми известными программа наподобии AcdSee или Photoshop. Но она увы платная. Я ее пробовал, она очень эффективна, специально лазил по злачным сайтам, потом чистил с помощью нее и проверял AdAware которая уже ничего не находила. Но есть и подвох, некоторые настройки системы после очистки слетают на умолчание. В частности "открыть с помощью".

По поводу ОгненныхСтен, лично я знаю 3 по настоящему эффективных firewall'а. ZoneAlarm, Agnitum Outpost Pro версий 2.7 и выше, Tiny Personal Firewall 2005 последний примечателен тем что "активизируется еще до загрузки Windows, размещаясь между адаптером сетевого интерфейса и ОС, что гарантирует защиту компьютера на низком уровне и на самых ранних стадиях работы"

И на последок как я защищаюсь от скверны. Я сразу отказался от активных антивирусных мониторов, т.к. для меня важна производительность, а с ними об этом слове можно забыть. В виде "пассивных" антивирусов стоит: NOD32, Stop! Антивирус, Stinger В виде "пассивных" Anto-AdAware/SpyWare программ стоят: AdAware, AboutBuster. В активном режиме работает лишь Outpost Firewall 2.7 pro в режиме блокировки. (ставить режим "обучения" следует только если нужный ресурс/программа перестала выходить в сеть, после чего возникнет вопрос, ответив на который следует снова включить режим блокировки) В системе с помощью программы Security_Guard включен режим блокировки любых программ кроме внесенных в список. И я соответственно раз в месяц прогоняю последовательно все антивирусы. Раз в неделю прогоняю AdAware (AboutBuster крайняя мера, если AdAware ничего не обнаружила, а система продолжает странно себя вести) При возникновении сообщений о "сканировании портов" я принудительно блокирую ip сканирующего (это так для профилактики, т.к. firewall все равно их не пропустит).

У меня Stream, дома работаю не только я, поэтому от сети компьютер не выключается даже ночью. И начиная с августа этого года было обнаружино 2 мною же по ошибке закачанных трояна, их благополучно убил Stop! Больше неприятностей не было. AdAware уже давно ничего не находит. Периодические сканирования портов тоже ничего не дают, Outpost их быстренько блокирует.

Так и живем...

З.Ы.
После отъезда на меня с ходу навалилось масса работы и я очень торопился, когда писал это письмо. Так что звиняйте если что не так.

--
С Уважением Babo
homepage: www.iambabo.narod.ru
official: www.painfulscratch.pesni.ru
--------------------------------------------

(Павел Любовин) Прямо готовое руководство к действию. Babo, отличный обзор, спасибо.

И напоследок, решение реальной проблемы - большое количество трафика - с помощью фаервола.

Здравствуйте Павел! Благодарна вам за совет, который вы мне дали, чтобы избавиться от Трояна: установила SP2 и все стало отлично. У меня обнаружилась новая проблема: когда я включаю Интернет, еще ничего не открываю, а счетчик уже начинает работать. Я понимаю, что компьютер должен посылать НЕБОЛЬШИЕ пакеты сам, но не по 0.5-1 мегабайта за минуту! Я отключила автоматическое обновление Касперского и Windows, но это продолжается. На вирусы я проверила двумя антивирусниками, но я не знаю как мне посмотреть, что происходит. Подскажите пожалуйста. Ирина

Я по вашему совету сейчас установила Outpost Firewall. Но мегабайты по прежнему продолжают уходить. Причем он не выводит никакого предупреждения. Посмотрела журнал там увидела: 16:53:16 www.download.windowsupdate.com 193.108.94.6, 193.108.94.22. Причем посмотрела еще раз обновление windows - оно отключено… уже не знаю что делать… Ирина

А сейчас в журнале вообще не появилось никаких записей, кроме Яндекса(я была только в нем), а за минуту моего подключения ушло 1,5М! значит это не обновления Windows? А что то другое, что даже не записывается в журнале?

(Павел Любовин) Ирина, фаервол поставили - это очень хорошо. Теперь его нужно настроить. Для этого кликните на значке фаервола, а потом зайдите в раздел "сетевая активность". В этом разделе вы увидите, что и сколько качает. Найдите там это паразитное приложение, которое потребляет много трафика (его легко можно вычислить по колонкам "байт получено", "байт послано"). Также обратите внимание на адрес и порт, к которому обращается это приложение.

Теперь дело техники - нужно запретить любую сетевую активность этому приложению, или запретить всем приложениям иметь дело с этим адресом. Или запретить именно этому приложению общаться именно с этим удаленным адресом. По идее, любое из перечисленных действий должно решить вашу проблему.

Разумеется, фаервол должен работать и находиться в активном режиме.

Что дальше? В теме "Сетевая безопасность" осталось рассмотреть восстановление системы после деструктивных воздействий извне и шифрование. Об этом постараюсь рассказать в следующем выпуске.

Дистанционный курс

Учебник для начинающих

Inet on CD

Все вопросы и пожелания, восхищенные отзывы и критику жду по адресам internet@bloha.ru или ezh-internet@mail.ru

Архив рассылки доступен по адресу: http://bloha.ru/articles.html

До встречи, Павел Любовин, bloha.ru