Текст книги "Анонимность и безопасность в Интернете. От «чайника» к пользователю"

Что такое проактивная защита, мы уже знаем. Я обещал рассказать, почему ее иногда нужно отключать. Задача проактивной защиты – блокировать различные действия программ, которые могут показаться ей подозрительными. Например, некоторые вирусы (их называют загрузочными) могут модифицировать загрузчик операционной системы, чтобы запускаться вместе с ней. Но что делать, если вы скачали программу для редактирования загрузчика и желаете ею воспользоваться? Ведь проактивная защита может посчитать программу подозрительной и заблокирует ее. В этом случае защиту лучше отключить. Потом включите ее – как только сделаете, что вам нужно.

Для включения/отключения защиты перейдите на вкладку Защита (рис. 7.21) и нажмите кнопку Настройки Проактивной Защиты. В открывшемся окне (рис. 7.22) вы можете выбрать режим работы защиты. Справа от ползунка приводится описание каждого режима – в большинстве случаев вас устроит режим Чистый ПК.

Рис. 7.21. Вкладка Защита

Рис. 7.22. Параметры проактивной защиты

Если на время нужно отключить проактивную защиту, выберите Неактивен, затем поставьте флажок Отключить проактивную защиту, нажмите OK и перезагрузите компьютер.

На вкладке Настройки мониторинга (рис. 7.23) можно определить, какие действия программ будут отслеживаться.

Теперь вернемся на вкладку Защита основного окна Comodo (см. рис. 7.21). Если вы часто используете программу, которая может вызвать подозрение проактивной защиты, добавьте ее в список доверенных программ, нажав кнопку Доверенные файлы. Кнопка Список Активных процессов открывает окно (рис. 7.24), в котором отображается список процессов в древовидной форме, что намного удобнее обычного списка процессов, отображаемый диспетчером задач Windows – сразу видно, кто кому приходится «родителем».

Кнопка Запустить программу в Sandbox позволяет запустит программу в песочнице. Запускайте в песочнице непроверенные программы, которые потенциально могут быть опасными.

Рис. 7.23. Вкладка Настройки мониторинга

Рис. 7.24. Список активных процессов

Вкладка Дополнительно основного окна Comodo (рис. 7.25) содержит кнопки вызова окна общих настроек программы (можно изменить тему, оформление, определить настройки журналов, сменить язык и т. п.), обновить компоненты всей программы (а не только антивирусные базы), произвести диагностику в случае, если программа не работает и т. д. С функциями, представленными на этой вкладке, думаю, разберется любой пользователь, умеющий читать, поэтому подробно мы ее рассматривать не будем.

Рис. 7.25. Вкладка Дополнительно

Возможно, вам не понравится Comodo Internet Security. Тогда некоторое время, пока вы не найдете другую подходящую программу, вам придется использовать стандартный брандмауэр Windows 7.

Нужно отметить, что новый брандмауэр Windows 7 довольно гибок в настройке и по этой самой гибкости он не уступает бастионам посторонних разработчиков, не говоря уже о брандмауэрах в Windows XP и Vista.

Откройте панель управления, выберите вид Мелкие значки и запустите апплет Брандмауэр Windows (рис. 7.26). Вы увидите окно брандмауэра Windows (рис. 7.27).

Рис. 7.26. Панель управления

Рис. 7.27. Брандмауэр Windows

Вы можете задать параметры брандмауэра для сети каждого типа (команда Включение и отключение брандмауэра). По умолчанию брандмауэр включен для сети каждого типа (рис. 7.28).

Теперь разберемся, как разрешить (или запретить) какой-то программе подключаться к Интернету. Выберите команду Разрешить запуск программы или компонента через брандмауэр Windows. Из рис. 7.29 понятно, что программе Skype разрешен доступ к Интернету и через домашнюю, и через публичную сеть.

Рис. 7.28. Настройки брандмауэра для разных сетей

Рис. 7.29. Список разрешенных программ

Программа Skype была добавлена в список брандмауэра автоматически при установке инсталлятором программы. Если инсталлятор программы не такой умный и он не добавил программу в список разрешенных программ, тогда нажмите кнопку Разрешить другую программу. В открывшемся окне (рис. 7.30) вы можете или выбрать программу из списка, или нажать кнопку Обзор и выбрать ее исполнимый файл. Я добавил Total Commander в список разрешенных программ. Обратите внимание – по умолчанию программе разрешается работать только в домашней, но не в публичной сети. Когда вы, например, подключитесь через соединение Wi-Fi в библиотеке или в отеле, то у вашей программы не будет доступа к Интернету. Чтобы исправить это, установите для этой программы флажок Публичные (рис. 7.31).

Рис. 7.30. Выбор программы

Рис. 7.31. Предоставление доступа к Интернету через публичную сеть

Вернитесь в основное окно настройки брандмауэра и нажмите кнопку Дополнительные параметры (в левой части окна). Откроется окно, позволяющее более гибко настроить брандмауэр (рис. 7.32). Первым делом нажмите кнопку Свойства (в правой части окна). Откроется окно свойств брандмауэра (рис. 7.33). В этом окне можно просмотреть состояние брандмауэра (включен или выключен), включить или выключить брандмауэр при необходимости. Также это окно позволяет выяснить, что брандмауэр делает с входящими и исходящими соединениями. По умолчанию входящие соединения блокируются (так и нужно – ведь у вас же клиентская машина, а не сервер), а исходящие – разрешаются.

Рис. 7.32. Дополнительные параметры

Рис. 7.33. Окно свойств брандмауэра

Обратите внимание, что окно свойств содержит три вкладки с одинаковыми параметрами:

Общий профиль – задает режим работы брандмауэра, если компьютер подключен к общественной (публичной) сети;

Частный профиль – то же самое, но для домашней сети;

Профиль домена – если компьютер подключен к корпоративной сети.

Вкладка Параметры IPSec позволяет задать параметры IPSec. IPSec – это набор протоколов для обеспечения безопасности передаваемых по сети данных. Обычно не нужно изменять параметры на этой вкладке.

Вернемся в окно дополнительных параметров (см. рис. 7.32). В этом окне можно создать и изменить правила для входящих и исходящих соединений (рис. 7.34). Правило определяет, что брандмауэр должен делать в той или иной ситуации. Например, правило для Total Commander определяет действия брандмауэра (разрешить или запретить соединение), когда к сети обращается эта программа.

Рис. 7.34. Правила брандмауэра

Зеленым флажком отмечены активные правила, серым – отключенные правила. Для включения/выключения правила используется команда Включить правило или Отключить правило (она находится в правой части окна).

Выделите правило и нажмите кнопку Свойства. Откроется окно редактирования правила. Самая важная вкладка – Протоколы и порты (рис. 7.35). Здесь вы определяете порты, которые можно использовать программе. Каждому протоколу сопоставлен свой порт, например, номер порта 21 – это протокол FTP (File Transfer Protocol), 80 – HTTP (Hyper Text Transfer Protocol), 110 – POP (Post Office Protocol). По умолчанию программе разрешено использовать любые порты, но вы можете указать список портов, которые должна использовать именно эта программа. Список портов можно указывать как через запятую, так и с использованием диапазона, например 21, 110–120.

Рис. 7.35. Редактирование правила

Теперь попробуем создать новое правило. Предположим, что вы не хотите, чтобы пользователи компьютера (например, ваши дети) использовали ICQ. Это наша задача, и сейчас мы ее реализуем с помощью настроек брандмауэра. Нажмите кнопку Создать правило (она находится в правой части окна дополнительных параметров, в области Действия). В открывшемся окне выберите тип правила. Сейчас нас интересуют правила или Для программы, или Для порта. Правило для программы может разрешить или запретить (в нашем случае) доступ программы к Интернету. Вы можете выбрать программу, например icq.exe, и запретить ей доступ. Но это правило не заблокирует другие ICQ-клиенты. То есть ваши дети могут установить QIP или Миранду и смогут общаться в ICQ. Следовательно, нужно выяснить какие порты использует тот или иной сетевой сервис (в этом вам поможет Google). ICQ использует порты 5190 и 443. Запретим этим порты. Выберите тип правила Для порта (рис. 7.36).

Далее нужно выбрать протокол (TCP) и указать порты 5190 и 443 (через запятую), рис. 7.37.

Рис. 7.36. Выбор типа правила

Рис. 7.37. Указание портов

Следующий шаг – выбор действия (рис. 7.38). В нашем случае нужно блокировать подключение. А после этого брандмауэр предоставит нам возможность выбора профиля, для которого будет применяться правило (рис. 7.39). Выберите сразу три профиля – Доменный, Частный, Публичный.

Последний шаг – это задание имени для нашего правила (рис. 7.40). Описание вводить необязательно. На этом все, правило создано. Вы можете выключить его, когда вам самим понадобится ICQ. Удалять правило необязательно.

Рис. 7.38. Блокирование подключения

Рис. 7.39. Правило будет применяться для всех профилей

Рис. 7.40. Имя правила

Глава 8. Защищаем домашнюю беспроводную сеть

В последнее время весьма популярными стали беспроводные домашние сети на основе Wi-Fi. Такие сети создаются, даже если дома всего один компьютер. Ведь стоит беспроводной маршрутизатор недорого, а комфорта – масса. Имея ноутбук, вы можете, оставаясь в сети, свободно перемещаться по всей квартире. А если у вас только стационарный компьютер, наличие беспроводного маршрутизатора позволяет не тянуть через всю квартиру портящий интерьер Ethernet-кабель. Достаточно на входе в квартиру установить беспроводной маршрутизатор – кабеля минимум, порчи интерьеру – тоже. Это уже не говоря о простоте подключения к Интернету и вообще к домашней сети различных современных устройств: коммуникаторов, планшетов, мобильных телефонов (поддержка Wi-Fi есть даже в относительно недорогих моделях), игровых приставок, сетевых хранилищ данных и пр.

Современные беспроводные маршрутизаторы практически не требуют настройки – программа первоначальной настройки просит разве что выбрать способ подключения к Интернету и указать имя пользователя и пароль (и то не всегда – все зависит от способа подключения ко Всемирной сети). Да и пароль на вход в панель управления самого маршрутизатора по умолчанию не сложнее пароля новых SIM-карт. Так, на моем маршрутизаторе по умолчанию был установлен "ультрасложный" пароль 1234.

Все это сделано для облегчения настройки устройства – чтобы пользователь, обладающий начальными знаниями, мог настроить маршрутизатор без привлечения посторонних специалистов. Как обычно и бывает – комфорт в ущерб безопасности. Ведь некоторые настройки могут блокировать доступ, а этого нельзя сделать – нужно "чтоб сразу работало".

Вот и получается, что ваша домашняя сеть, настроенная утилитой быстрой настройки, доступна не только вам, но и всем желающим в радиусе действия сети, который составляет в наших условиях (бетонные стены, разные электронные устройства: радиотелефоны, микроволновки и т. п.) от 30 до 50 метров. Вы только представьте – 30 метров вокруг маршрутизатора! Сюда войдут ближайшие квартиры по лестничной клетке, не нужно также забывать про квартиры этажом ниже и выше. При желании все ваши соседи смогут пользоваться Интернетом за ваш счет.

У многих сейчас так называемые безлимитные пакеты – трафик, как и время работы, не учитывается, а раз в месяц за доступ к Интернету взимается фиксированная сумма. Так стоит ли защищать свою домашнюю сеть, учитывая, что никаких финансовых потерь вы не понесете? – все равно, сколько трафика будет передано, абонентская плата от него не зависит. Не спешите отвечать сразу. Ответ должен быть взвешенный. Отбросьте в сторону амбиции – они ни при чем в этом случае.

Давайте прежде подумаем – что будет, если кто-то проникнет в вашу сеть? В самом безобидном случае он просто станет пользоваться Интернетом и общими ресурсами сети – например, общими дисками с фильмами, которые вы коллекционируете. В домашних (и не только) сетях часто такое практикуется – все фильмы помещаются на один компьютер с самым большим жестким диском, а на остальные компьютеры они копируются по мере необходимости.

Даже если незваный гость не окажется вандалом, а попросту будет "на шару" использовать ваше интернет-соединение – приятного мало. Ведь в вашей сети появится еще один клиент, что снизит общую скорость доступа к Интернету – придется делить канал с еще одним пользователем. А если "гостю" будет мало ваших фильмов, и он начнет качать свои (на вкус и цвет… – сами понимаете), то снижение производительности всей сети и снижение скорости доступа к Интернету вам гарантировано.

Но снижение скорости – еще полбеды. Вдруг этот "гость" окажется хакером и взломает из вашей сети чей-то компьютер (например, банковский) или еще как-то напакостит, то придут к вам – ведь засветится именно ваш IP-адрес. А беспроводные маршрутизаторы, как правило, не ведут журналов доступа, поэтому доказать вы ничего не сможете. И даже если доступ к чужим кредиткам "гость" получать не будет, а просто, скажем, станет рассылать спам, то в черный список опять-таки попадет ваш IP-адрес. В конечном итоге вы не сможете отправлять письма… Попробуйте потом доказать, что ничего такого не рассылали.

И еще один нюанс проникновения в вашу сеть: перехват личных данных, вандализм и кража конфиденциальной информации. Например, технически подготовленному "соседу" ничего не стоит заполучить ваш пароль к страничке в социальной сети, к почтовому ящику. Он также сможет просмотреть фотографии и другие документы, доступные компьютерам вашей сети (поскольку является полноценным клиентом). А некоторая категория "доброжелателей" специально проникает в чужие сети с одной целью – что-нибудь уничтожить или инфицировать компьютеры сети вирусом. Вандалы! Видимо, этим они пытаются прикрыть комплекс неполноценности. Но не будем углубляться в психологию, пусть это делают специалисты, а наша задача несколько иная.

Мы получили ответ на поставленный вопрос – однозначно, нужно защищать свою домашнюю сеть. А защитить ее можно только путем соответствующей настройки вашего маршрутизатора.

Примечание

Далее будут приведены общие советы по такой настройке, а конкретно настройку мы рассмотрим на примере моего домашнего маршрутизатора Edimax BR-6424N. Однако, изучив руководство по эксплуатации своего маршрутизатора, вы без проблем найдете аналогичные параметры в его панели управления.

Итак, вы установили беспроводной маршрутизатор, он подключился к Интернету, а беспроводные адаптеры ваших домашних компьютеров подключились к созданной маршрутизатором беспроводной сети. Все работает, все компьютеры имеют доступ к Интернету.

Как правило, доступ к панели управления маршрутизатором (рис. 8.1) возможен только с компьютера, подключенного к Ethernet-порту маршрутизатора, – для этого в комплекте с маршрутизатором поставляется короткий Ethernet-кабель. Беспроводные клиенты не имеют доступа к панели управления, даже если знают имя пользователя и пароль на вход. Другими словами, даже если кто-то узнает, какой пароль по умолчанию у вашего маршрутизатора, то зайти в панель управления он не сможет.

Примечание

Узнать пароль по умолчанию на вход в панель управления маршрутизатора очень просто – зная его модель, достаточно найти к нему руководство пользователя (все они доступны в Интернете), а в нем – стандартные параметры доступа. А у некоторых маршрутизаторов пароль по умолчанию выводится при попытке подключения к нему – достаточно знать его IP-адрес, который обычно равен 192.168.1.1, 192.168.2.1 и т. д.

Рис. 8.1. Вход в панель управления маршрутизатора Edimax

Но лучше перестраховаться и таки изменить пароль доступа к маршрутизатору. Не исключено, что в природе существуют и такие маршрутизаторы, которые позволяют вход в панель управления даже беспроводным клиентам. Установив пароль, постарайтесь его не забыть, но если это все же произойдет, пароль можно сбросить, удерживая кнопку сброса на задней панели маршрутизатора. При этом будут сброшены абсолютно все его настройки, а не только пароль.

Примечание

В панели управления маршрутизатора Edimax можно выбрать русский язык (в разделе Language), но интерфейс всех иллюстрации здесь будут приведен на языке, установленном в маршрутизаторе по умолчанию, – английском. Тому есть несколько причин. Во-первых, чтобы вы привыкали к названию опций, – аналогичные опции присутствуют в панелях управления и других маршрутизаторов. Во-вторых, почему-то языковые настройки не сохраняются, и при следующем входе в панель управления язык интерфейса опять окажется английским.

Итак, в маршрутизаторе Edimax для изменения пароля нужно перейти в раздел General Setup | System, выбрать Password Settings и нажать кнопку Next (рис. 8.2). В открывшемся окне (рис. 8.3) ввести старый пароль (в нашем случае – 1234), новый пароль и повторить ввод нового пароля.

Рис. 8.2. Выберите Password Settings

Рис. 8.3. Окно изменения пароля

SSID – это имя сети. По умолчанию значение SSID одинаково для всех беспроводных маршрутизаторов одного производителя. Представьте только, что вы примерно в одно и то же время со своим соседом обзавелись одинаковыми (или почти) маршрутизаторами. Имена ваших сетей будут одинаковыми, что не есть хорошо.

При изменении SSID помните, что новый SSID не должен содержать: адрес, вашу фамилию, номер телефона, номер квартиры и прочую общедоступную информацию. Лучше всего использовать никому не понятную последовательность символов – тогда сам злоумышленник побоится подключаться к такой сети – решит, что она специально создана для перехвата паролей и другой передаваемой через нее информации.

А еще лучше после того, как все будет настроено, вообще скрыть широковещание SSID – тогда в округе вообще никто не будет знать, что у вас есть беспроводная сеть. Конечно, опытного злоумышленника этим не остановишь, но все же это лучше, чем ничего.

Для изменения SSID в панели управления Edimax нужно перейти в раздел General Setup | Wireless | Basic Settings (рис. 8.4). Параметр ESSID (в других панелях управления – просто SSID) – это и есть имя сети. Введите любую строку и нажмите кнопку Apply.

Чтобы скрыть имя сети, нажмите кнопку Advanced Settings и в открывшемся окне (рис. 8.5) выключите параметр Broadcast Essid (установите значение Disabled). В некоторых маршрутизаторах этот параметр называется Hide ESSID (тогда следует установить значение Enabled).

Рис. 8.4. Изменение имени сети

Рис. 8.5. Отключение широковещания имени сети

IP-адрес маршрутизатора по умолчанию тоже легко вычислить, зная, хотя бы, производителя устройства. Поэтому не помешает изменить и IP-адрес маршрутизатора. Это можно сделать в разделе General Settings | LAN (рис. 8.6).

Внимание!

При назначении нового IP-адреса маршрутизатору будьте осторожны. Параметры Start IP и End IP задают диапазон арендуемых IP-адресов: из этого диапазона IP-адреса будут назначаться клиентам маршрутизатора. Так вот, IP-адрес, заданный параметром IP address, не должен принадлежать к этому диапазону.

Рис. 8.6. Установка IP-адреса маршрутизатора

Протоколы WPA (Wi-Fi Protected Access), WPA2 и WEP (Wired Equivalent Privacy) обеспечивают защиту и шифрование данных, передаваемых беспроводным маршрутизатором и беспроводным клиентом. Предпочтительнее использовать WPA2, но если этот протокол устройством не поддерживается, следует использовать WPA. Шифрование WEP заметно хуже, чем WPA, но это лучше, чем вообще ничего. Хотя взломать защиту WEP можно с помощью ряда стандартных инструментов, что означает, что взлом WEP – весьма обычная процедура.

Примечание

По адресу http://www.thg.ru/network/20050806/index.html вы найдете пошаговую инструкцию взлома протокола WEP.

На смену WEP пришел протокол WPA. Для управления ключом и шифрования в WPA применяются несколько алгоритмов, в их числе TKIP (Temporal Key Integrity Protocol) и AES (Advanced Encryption Standard). Для использования WPA необходимо, чтобы все клиенты были совместимы с этим протоколом (не говоря уже о маршрутизаторе). Впрочем, все современные точки доступа поддерживают WPA.

При шифровании данных, которые передаются между маршрутизатором и беспроводным клиентом, протоколы WPA и WEP используют специальный ключ (пароль). Завладев ключом, злоумышленник сможет не только установить соединение с беспроводной точкой доступа, но и расшифровать данные, передающиеся между клиентами беспроводной сети.

Если используется протокол WEP, то ключ приходится вводить вручную. Это существенный недостаток, поскольку пользователи вводят ключ всего лишь раз, а затем им его менять лень. Протокол WPA периодически сам меняет ключ, причем делает он это автоматически. Даже если злоумышленник каким-нибудь образом узнает ключ, то он будет действовать только до момента изменения ключа беспроводным маршрутизатором. Во многих точках доступа ключи меняются один раз в час.

Параметры шифрования маршрутизатора Edimax устанавливаются в разделе General Setup | Wireless | Security Settings (рис. 8.7). Кроме шифрования по протоколу WPA2 маршрутизатор использует и WPA-аутентификацию – при подключении к сети пользователь должен ввести пароль, указанный параметром Pre-shared Key.

Рис. 8.7. Установка шифрования WPA2