Текст книги "Анонимность и безопасность в Интернете. От «чайника» к пользователю"

Давайте проверим эффективность вашего брандмауэра. Зайдите на страницу: http://www.pcflank.com/scanner1.htm?from=menu. Нажмите кнопку Start Test, затем – кнопку Continue. После этого выберите тип сканирования: TCP connect scanning или TCP SYN scanning. С первым тестом может справиться самый паршивый брандмауэр, поэтому можете сразу выбрать второй тип (хотя не помешает сначала произвести первое сканирование, а затем – второе).

Результат сканирования моего компьютера показан на рис. 6.4. Как видите, Comodo успешно отбил атаку и защитил мой компьютер – для всех портов статус либо stealthed (скрыт брандмауэром), либо closed (закрыт), но не open (открыт).

Рис. 6.4. Результат теста брандмауэра

Некоторые пользователи пренебрегают установкой брандмауэра на свой компьютер, мотивируя тем, что на домашнем маршрутизаторе уже есть брандмауэр, да и на сервере провайдера тоже наверняка есть. Некоторые продолжают использовать стандартный брандмауэр Windows (хорошо, хоть не отключают его вовсе) – решето тоже не все пропускает.

Такие решения в корне неправильные. Во-первых, современные программные брандмауэры выполняют не только классические функции – фильтрацию пакетов. В их обязанности входит и антивирусная проверка абсолютно всего (открываемых файлов, загружаемых страниц и писем), поиск шпионских программ (spyware), обнаружение вредоносных программ (какие-то программы справляются с этой задачей лучше, какие-то – хуже) и т. д. И это уже не говоря о защите вашего компьютера от всевозможных атак.

Во-вторых, брандмауэр маршрутизатора (или провайдера) обеспечивает только фильтрацию пакетов. Так, скажем, он может закрыть доступ к некоторым сайтам, которые вы запретили открывать своим детям, защитить от некоторых видов атак, но не более. Такие брандмауэры не проверяют загружаемые страницы на наличие вирусов, не сканируют полученную корреспондецию.

Поэтому отказ от брандмауэра – не совсем правильное решение. И пусть стандартный брандмауэр Windows 7 довольно неплох, особенно по сравнению с брандмауэром Windows XP SP3. Но, сами понимаете, антивирусную защиту он не обеспечивает, да и стандартные решения никогда не были эффективными.

Глава 7. Антивирус и брандмауэр в одном флаконе: Comodo Internet Security «под микроскопом»

Бастион (он же брандмауэр, он же firewall) – это пакетный фильтр, позволяющий защитить ваш компьютер от действия вредоносных программ, сетевых червей, нежелательного трафика и всевозможных атак.

Разберемся, как работает бастион. Данные по сети передаются частями, которые называются пакетами. Каждый пакет состоит из двух основных частей: области заголовков и области данных. Первая область содержит служебную информацию: IP-адрес отправителя пакета, IP-адрес получателя пакета, порты отправителя и получателя и др. Вторая область содержит передаваемые данные: часть электронного письма, часть файла, часть голосового сообщения и т. д. Брандмауэр (привыкайте к разным названиям) перехватывает все сетевые пакеты и сопоставляет область заголовка (иногда и область данных) набору правил. Набор правил обычно задается администратором системы. Например, вы можете запретить обращение к определенному узлу. Это может понадобиться, чтобы другие пользователи компьютера (ваши дети, допустим) не смогли получить доступ к нежелательным узлам.

Брандмауэры обычно устанавливаются на так называемых граничных компьютерах – компьютерах, предоставляющих доступ к Интернету другим пользователям сети. Существуют даже аппаратные брандмауэры – специальные устройства, которые выполняют маршрутизацию и фильтрацию пакетов. Скорее всего, такой брандмауэр установлен у вашего провайдера. Но, как показывает практика, рабочие станции требуют дополнительной защиты, поскольку администратор сети не может проконтролировать все компьютеры сети (особенно это сложно сделать с сетью провайдера – ведь для максимальной защиты нужно пройтись по всем клиентам и защитить каждый компьютер). Поэтому весьма желательно установить локальный брандмауэр. Такой бастион будет защищать наш и только наш компьютер. К тому же локальные бастионы часто оснащаются дополнительными приятными функциями: детектором атак, средством для поиска шпионских программы и др.

В этой главе мы рассмотрим локальный бастион Comodo Internet Security. Продукты семейства Comodo отлично зарекомендовали себя. Лично я достаточно долго тестировал линейку продуктов Comodo в операционных системах Windows XP (нужен как минимум Service Pack 2), Vista и Windows 7, и за три года эксплуатации программы в разных операционных системах мои компьютеры не поймали ни одного вируса! Думаю, это неплохой показатель.

Кроме рассматриваемой здесь программы Comodo Internet Security на сайте http://www.comodo.com/ доступны много других программ, среди которых нужно выделить:

✓ Comodo Antivirus – отличный антивирус, защищающий компьютер от вирусов, сетевых червей, программ-шпионов (spyware) и других вредоносных программ;

✓ Comodo Firewall – бесплатный брандмауэр, надежность которого проверена временем.

Программа Comodo Internet Security содержит в себе функции обеих указанных программ, то есть является одновременно и антивирусом, и брандмауэром. Получается вполне достойный соперник Kaspersky Internet Security. Кроме того, Comodo Internet Security, как уже отмечалось, абсолютно бесплатна и обладает русским интерфейсом, что немаловажно для начинающих пользователей.

Рассмотрим основные возможности программы:

✓ проактивная защита – защищает систему в реальном времени, позволяет блокировать доступ вредоносных программ к системным файлам и реестру. Позволяет обнаружить потенциально опасные программы (необязательно вирусы);

✓ эвристический анализ – способность антивируса обнаружить неизвестные антивирусным базам вредоносные программы. Обычно антивирус сравнивает запускаемый программный код с записями в антивирусной базе. Если найдено совпадение, то вирус найден, и запускаемый код блокируется. Однако вирусописатели могут создать новую версию вируса – по образу и подобию старой – вирус получит немного иной код, но будет выполнять практически те же действия. В этом случае обычный антивирус не сможет выявить вирус, а антивирус с функцией эвристического анализа справится с задачей;

✓ защита от интернет-атак – никто не сможет атаковать ваш компьютер извне;

✓ защита от переполнения буфера – некоторые программы специально вызывают переполнение буфера, чтобы воспользоваться этим для получения дополнительных привилегий доступа;

✓ защита от несанкционированного доступа и вирусов – название этой функции говорит за себя и в комментариях не нуждается;

✓ ежедневные автоматические обновления антивирусных баз – нет никакого толку от антивируса, базы которого обновляются раз в полгода. Базы Comodo обновляются каждый день. Не забудьте только включить автоматическое обновление или регулярно обновляйте базы вручную!

✓ изолирование подозрительных файлов в карантин для предотвращения инфекции – стандартная функция антивируса;

✓ встроенный планировщик сканирования – вы можете создать расписание проверок компьютера, чтобы процесс проверки не мешал выполнению других программ, с которыми вы работаете;

✓ сканирование на наличие вредоносных программ в безопасном режиме Windows – не каждый антивирус умеет работать в безопасном режиме, даже антивирус Касперского не умеет этого (во всяком случае, последняя версия, с которой я работал). Так что пользователям Касперского приходится использовать другие средства;

✓ возможность создания точек восстановления системы – функция довольно удобная, но нужно отметить, что точки восстановления системы можно создать и средствами самой системы;

✓ использование технологии Sandbox (песочница) – вы скачали программу и знаете, что она может быть потенциально опасна? Тогда попробуйте запустить ее в песочнице[6]6
  Песочница (sandbox) – набор правил, которые применяются к каждой интернет-программе и определяют, какие действия этой программы являются допустимыми, а какие нет.


[Закрыть] – выполняясь в песочнице, программа не сможет причинить вред вашей системе.

Скачать программу можно по адресу: http://www.comodo.com/home/internet-security/free-internet-security.php. Работать она может в следующих операционных системах: Windows XP (SP2 и SP3), Windows Vista, Windows 7.

Установка программы очень проста и проходит без каких-либо сюрпризов. Единственное, что я бы порекомендовал – откажитесь от установки сервиса GeekBuddy – сервиса "живой" поддержки пользователей. На практике он вам не пригодится, поэтому и устанавливать его незачем.

Рассмотрим основное окно программы (рис. 7.1), которое открывается при двойном щелчке на значке Comodo Internet Security в области уведомлений Windows (представляет собой красный щит с буквой C).

На вкладке Сводка приводится сводка по основным компонентам программы. Итак, последнее обновление антивируса состоялось 10 сентября 2011 года, антивирус не обнаружил к настоящему моменту каких-либо опасных объектов.

Далее выводится сводка по проактивной защите, которая в данный момент отключена, о чем свидетельствует ее режим Неактивен и предупреждение слева Проактивная защита отключена. Позже мы разберемся, как ее включить и почему я ее временно отключил.

Рис. 7.1. Основное окно Comodo, вкладка Сводка

Рис. 7.2. Попытки вторжения

В сводке Фаервол указано, что брандмауэр работает в режиме Безопасный, а большую часть трафика генерируют программы qip.exe (ICQ-клиент) и chrome.exe (браузер). Также сказано, что Фаервол заблокировал 9 вторжений. Нажмите на число вторжений, чтобы просмотреть их (рис. 7.2). «Крутые» хакеры пытаются подключиться к 135-му порту моей машины. Очевидно, их интересуют общие диски и принтеры, которые теоретически в ней могут быть. Но откуда же им знать, что системная служба Сервер у меня вообще отключена? Даже если бы и брандмауэр Comodo Internet Security был отключен, у них все равно ничего бы не получилось.

Вернемся на вкладку Сводка – на данный момент в моей системе зарегистрировано 17 исходящих соединений и 2 входящих (правда, пока я писал предыдущий абзац, исходящих осталось всего 2, а входящих вовсе не стало). Можете щелкнуть на количестве соединений, чтобы просмотреть, какая программа и к какому узлу обращается. Чтобы сгенерировать поток исходящих соединений (рис. 7.3) я открыл в браузере страницу vkontakte.ru.

Рис. 7.3. Исходящие соединения

Вкладка Антивирус позволяет управлять встроенным антивирусом (рис. 7.4). Первым делом нужно обновить вашу антивирусную базу, поэтому нажмите кнопку Обновить антивирусную базу – откроется окно обновления. Процедура обновления занимает совсем немного времени – лучше чуть-чуть подождать, зато появится уверенность, что теперь у вас самая актуальная база.

Рис. 7.4. Основное окно Comodo, вкладка Антивирус

Рис. 7.5. Выбор профиля сканирования

После обновления антивирусной базы желательно просканировать весь компьютер. Нажмите кнопку Запустить сканирование. В открывшемся окне (рис. 7.5) нужно выбрать профиль сканирования. Для первого сканирования выберите профиль Мой компьютер и нажмите кнопку Сканировать. Больше этот профиль вам не понадобится, разве что на тот случай, если вы по каким-то причинам временно отключали антивирус. Сканирование займет много времени, поэтому запасайтесь терпением.

Профиль Критические зоны нужно использовать для регулярной, скажем, раз в неделю, проверки. Профиль Win_UserDir сканирует ваш домашний каталог и системный каталог Windows. Профиль Поиск шпионского ПО позволяет найти программы-шпионы (spyware).

Остальные профили я создал самостоятельно. Для создания собственного профиля (например, для проверки флешки) нажмите кнопку Создать профиль. В открывшемся окне (рис. 7.6) введите название профиля и с помощью кнопки Добавить добавьте объекты сканирования (диски и каталоги).

Рис. 7.6. Создание профиля сканирования

На рис. 7.7 изображено окно сканирования (выбран профиль H). На рис. 7.8 изображен результат сканирования – опасных объектов не обнаружено.

Вернемся снова на вкладку Антивирус (см. рис. 7.4). Мы уже выяснили, как обновлять антивирусные базы и как производить ручное сканирование. Рассмотрим другие кнопки на этой вкладке:

Карантин – опасный (или потенциально опасный) объект можно либо поместить в карантин, либо удалить. Данная кнопка отображает список всех изолированных объектов;

Рис. 7.7. Процесс сканирования

Рис. 7.8. Результат сканирования

Журнал событий Антивируса – здесь можно просмотреть список событий антивируса, в том числе информацию о найденных вирусах и других вредоносных программах;

Отправить файлы на проверку – вы можете отправить подозрительные файлы на проверку разработчикам антивируса;

Запланированные сканирования – позволяет запланировать антивирусные проверки. Нажмите эту кнопку, и вы увидите список запланированных сканирований (рис. 7.9). Выберите еженедельное сканирование и нажмите кнопку Править. В открывшемся окне (рис. 7.10) вы увидите, что еженедельное сканирование запланировано на каждое воскресенье и будет произведено в 12:00. Если эти параметры вас не устраивают, измените их. Проверять компьютер чаще, чем раз в неделю, обычно нет необходимости, особенно, если вы не отключаете антивирус на протяжении недели;

Рис. 7.9. Запланированные сканирования

Рис. 7.10. Параметры запланированной проверки

Профили сканирования – помните, чуть раньше мы выбирали профиль сканирования при ручной проверке? Изменить параметры профилей (указать, какие именно диски и каталоги должны сканироваться) можно с помощью кнопки Профили сканирования. Выберите интересующий вас профиль (рис. 7.11) и нажмите кнопку Править. Вы увидите список каталогов, подлежащих проверке (рис. 7.12). Нужно отметить, что вы можете редактировать только собственные профили, редактировать предопределенные профили нельзя.

Рис. 7.11. Список профилей сканирования

Рис. 7.12. Параметры профиля сканирования

Кнопка Настройки сканирования, открывающая одноименное окно (рис. 7.13), заслуживает отдельного разговора. В этом окне вы можете задать все параметры антивируса, вплоть до отключения последнего. Если на вкладке Сканирование в реальном времени выбрать с помощью ползунка значение Неактивен, то антивирус будет отключен (точнее, открываемые файлы и запускаемые программы не будут проверяться в реальном времени). Настоятельно не рекомендую отключать антивирус.

Рис. 7.13. Параметры сканирования в реальном времени

По умолчанию используется Кумулятивный режим – он обеспечивает оптимальное соотношение безопасность/производительность. В этом режиме открываемый объект проверяется только в том случае, если он не был проверен с момента последнего обновления антивирусных баз.

Режим По доступу обеспечивает наивысшую безопасность – проверяется каждый открываемый файл и каждая запускаемая программа. Если вы на протяжении дня запускаете одну и ту же программу несколько раз, каждый раз она будет проверена антивирусом. Понятно, что такой режим отрицательно влияет на производительность системы.

Забывчивым пользователям рекомендуется включить параметр Автоматически обновлять антивирусную базу – база будет обновляться при наличии обновлений на сервере Comodo (обычно это происходит каждый день).

По умолчанию задан Низкий уровень эвристического анализа. С точки зрения производительности – это оптимальное значение. Если же у вас легкая степень паранойи, выберите Высокий уровень. А вот если вы не верите в эвристику (а зря!), тогда отключите анализ (значение Отключен).

Файлы размером более 10 Мбайт по умолчанию не сканируются. Вирусы – это довольно компактные программы, и вряд ли они будут замечены в огромных файлах. Хотя исключения тоже бывают – иногда вирусы маскируют под самораспаковывающиеся архивы RAR. Тогда размер файла может составлять несколько сотен мегабайт, а код вируса будет занимать несколько килобайт от всего объема такого файла. Если вам нужно проверить файл большего размера, запустите ручное сканирование – в ручном режиме тоже есть ограничение на размер проверяемых файлов, но вы можете его установить максимально большим (рис. 7.14). Я установил максимальный размер файла для ручного сканирования равным 700 Мбайт (по умолчанию 20 Мбайт). Остальные параметры ручного сканирования рекомендуется оставить как есть.

Рис. 7.14. Параметры ручного сканирования

Параметры запланированного сканирования (рис. 7.15) подобны аналогичным параметрам ручного сканирования и сканирования в реальном времени. Вы можете включить или выключить проверку памяти, установить максимальный размер проверяемых объектов, определить, нужно ли сканировать архивы и обновлять антивирусную базу перед сканированием. Сканирование в облаке означает, что сканируемые файлы антивирус будет проверять онлайн, связываясь с антивирусной базой в Интернете. Такой режим подходит, если у вас нет обновленной антивирусной базы или даже нет ее вообще.

Рис. 7.15. Параметры запланированного сканирования

На вкладке Исключения вы можете добавить программы, которые не нужно считать вирусами, хотя антивирус в них и усомнился.

Мы рассмотрели практически все возможности антивируса, и пора перейти к настройкам брандмауэра. Но перед этим взгляните на рис. 7.16 – так выглядит оповещение о найденном вирусе.

Рис. 7.16. Найден опасный объект

Вкладка Фаервол основного окна позволяет управлять брандмауэром. Рассмотрим возможности этой вкладки (рис. 7.17):

Журнал событий Фаервола – просмотр событий и оповещений об атаках на ваш компьютер;

Рис. 7.17. Основное окно Comodo, вкладка Фаервол

Добавить доверенное приложение – вы можете добавить приложение, которому разрешен доступ к Интернету. Фаервол автоматически распознал все мои программы (браузеры, почтовый клиент, uTorrent, ICQ-клиент и др.), поэтому мне ничего не пришлось добавлять;

Добавить заблокированное приложение – некоторые программы принудительно проверяют наличие обновлений (отключить проверку нельзя), а потом надоедают вам сообщениями о наличии обновлений. Такое приложение можно добавить в список заблокированных. Работать оно продолжит, но доступ к Интернету для такого приложения будет закрыт;

Политики сетевой безопасности – вы можете создать и отредактировать уже имеющиеся правила фильтрации пакетов. Например, запретить (или, наоборот, разрешить) той или иной программе обращаться к определенным портам. Если вы начинающий пользователь, вам лучше сюда даже и не заходить – пусть брандмауэр работает в автоматическом режиме. Основные программы он распознает сам, а если вы попытаетесь запустить неизвестную брандмауэру программу, которой нужен доступ к Интернету, он спросит вас, что делать с этой программой – разрешить или запретить доступ;

Активные сетевые подключения – здесь можно посмотреть, какие программы в данный момент используют сетевые ресурсы (рис. 7.18). Если возникнет подозрение, что программа занимается чем-то не очень хорошим, щелкните на подключении правой кнопкой мыши и выберите команду Завершить подключение;

Настройки Фаервола – вызывает окно настроек брандмауэра;

Мастер Скрытых Портов – о нем лучше поговорить отдельно.

Рис. 7.18. Активные подключения

Для начала разберемся, что такое порт. Для обращения к компьютеру нужно знать его имя (или IP-адрес). Например, когда вы вводите URL в браузере, ваш компьютер получает IP-адрес компьютера, к которому вы хотите обратиться, и посылает на него запрос. Компьютер-назначение принимает ваш запрос (TCP-пакет), но что с ним делать дальше? Ведь на компьютере могут быть запущены несколько сетевых служб: веб-сервер, FTP-сервер, почтовый сервер и т. д. Все это – отдельные программы, какой программе передать полученный пакет? Так вот, в заголовке пакета есть специальное поле: Порт. По нему и можно сопоставить полученный пакет и программу, которой он адресован. Однако не нужно думать, что порты есть только на серверах. Они есть на любом компьютере, где установлена сетевая операционная система. Только номера портов будут отличаться. На рабочих станциях чаще всего открыты порты 135 и 139 – они используются службой общего доступа к файлам и принтерам. Данные порты лучше закрыть от посторонних глаз, чтобы никто не смог подключиться к ним и получить доступ к вашим файлам и принтерам. Мастер скрытых портов позволяет определить, кому можно подключаться к вашему компьютеру, а кому – нет.

Запустите мастер (рис. 7.19). Если вы – обычный домашний пользователь, у которого дома нет локальной сети, а есть только один компьютер, подключенный к Интернету, выберите третий вариант: Блокировать все входящие соединения и скрыть мои порты для всех входящих соединений – он наиболее безопасен. Второй вариант, когда брандмауэр будет оповещать вас о каждом входящем соединении, полезен для опытных пользователей, которые знают, что делают. Однако могу вас заверить, что этот вариант очень быстро вам надоест, даже если вы опытный пользователь. Первый вариант: Задать новую доверенную сеть и скрыть мои порты для всех остальных – позволяет задать сеть, компьютеры которой смогут устанавливать входящие соединения с вашим компьютером. Подойдет, если у вас есть небольшая домашняя сеть, и вам нужно разрешить взаимодействие между ее узлами, например, чтобы другие компьютеры смогли печатать на принтере, подключенном к вашему компьютеру. Выбрав этот вариант, вам надо будет указать доверенную сеть, например, 192.168.1.0 (адрес сети у вас будет другим, а каким именно, лучше знать вам – вы же настраивали сеть).

Рис. 7.19. Мастер скрытых портов

Теперь перейдем к окну настроек брандмауэра, открывающемуся по нажатию кнопки Настройки Фаервола на вкладке Фаервол (см. рис. 7.17). Самый главный параметр находится на первой вкладке окна настроек (рис. 7.20) – Режим Фаервола:

Блокировать все – будут блокироваться все соединения. Установите этот режим, если есть подозрения на сетевой вирус;

Пользовательская политика – будет использоваться определенная вами политика сетевой безопасности;

Безопасный – оптимальный вариант для ежедневного использования брандмауэра;

Рис. 7.20. Параметры брандмауэра

Обучение – режим обучения, полезен в первые 2–3 дня после установки Comodo. Брандмауэр будет задавать много лишних вопросов в процессе работы, зато вы сможете его довольно точно настроить. Постарайтесь за эти 2–3 дня запустить все сетевые приложения, с которыми вы обычно работаете;

Неактивен – брандмауэр будет отключен (не рекомендуется).