5.6. Безопасность в сети

такие ресурсы? Если вы работаете в локальной сети, то служба доступа к файлам и

принтерам будет установлена по умолчанию, даже если вы не открываете ресурсы, а используете возможности сервера. Если вы ни с кем не обмениваетесь информацией, то логичным было бы не только отключить эту службу в свойствах соединения, а удалить ее вообще. В этом случае злоумышленник по определению не сможет воспользоваться данной дверью в ваш компьютер.

В разд. 4.6 мы говорили о том, как можно отключить неиспользуемые сервисы. Это необходимо не только с точки зрения оптимизации работы системы, но и в целях безопасности. Например, я встречал много домашних компьютеров, на которых был установлен веб-сервер (как элемент Internet Information Services), который идет в поставке Windows 2000/XP/Vista/7 и, скорее всего, останется и в будущих версиях. Но большинство пользователей не смогло дать ответ, зачем он нужен? Удалите все ненужные сетевые компоненты, и взлом вашего компьютера через эти форточки станет невозможным, потому что у вас их просто не будет.

На каждом компьютере должны быть установлены и запущены только те службы, которые необходимы. Как правило, я использую экземпляр базы данных основного сервера сети, но иногда мне требуется со своего компьютера работать с локальной базой данных MS SQL Server. Но это происходит очень редко, и чтобы не открывать дополнительные порты и не загружать систему лишними сервисами, SQL Server не загружается автоматически, а запускается вручную только по мере надобности.

Таким образом, оптимизируя систему, мы повышаем ее надежность, стабильность, а главное — безопасность.

Компания Microsoft с недавних пор пошла по пути максимального повышения безопасности компьютеров на базе ОС Windows. Начиная с Windows Vista (в принципе, началось в XP, но серьезные изменения произошли в Vista) компания начала устанавливать далеко не все. Ну а если и ставится какой-то сервис, то не обязательно сразу же запускается.

Например, уже упомянутый IIS, который не нужен на домашнем компьютере, не будет запускаться автоматически. Даже если вы включите его запуск, то он будет стартовать в минимальной конфигурации, и будут задействованы только основные функции. Каждую дополнительную функцию нужно включать самому и это правильный подход, потому что если пользователь включит что-то лишнее, то это уже будет его ответственность.

5.6.2. Хранение паролей

Мало того, что пароли должны быть сложными, а лучше — неподдающимися подбору по словарю, так их еще надо правильно хранить. Я уже дал в разд. 4.7.3 несколько рекомендаций по сокрытию паролей на локальном диске. Вы можете использовать мои советы или хранить все пароли в памяти, или придумать свой метод надежной защиты.

вы можете распрощаться со своей приватностью. Дело в том, что сервисы Windows и IE постоянно находятся под пристальным вниманием злоумышленников. Взломать Windows — это цель большинства, ведь стоит получить доступ к недрам системы, и ты получаешь доступ к миллионам пользователей по всему миру.

На многих форумах или сайтах есть возможность сделать автоматический вход. В этом случае не надо будет всякий раз вводить пароль. Система сохранит ваши параметры доступа в файле cookie и при каждом входе будет автоматически извлекать их из этого файла. Я говорил, что файлы cookies доступны только одному сайту, и, на первый взгляд, защита будет приемлемой, но только в том случае, если вы не боитесь потери пароля.

Файлы cookies (и пароли в них) чаще всего вообще никак не шифруются, потому что программистам лень. Любой пользователь, севший за ваш компьютер и просмотревший нужный cookie, сможет узнать пароль и натворить от вашего имени бед. Вирусы и троянские программы так же нередко направляют свои усилия на поиск и воровство файлов cookies.

Я в Интернете читал одну статью, в которой кто-то из специалистов по безопасности вроде как продемонстрировал возможность воровства cookies-файлов, принадлежаших другим сайтам. Технология этой атаки не описывалась, но я подозреваю, что имелась в виду атака XSS (Cross Site Scripting, скрипт, обращающийся к разным сайтам), которая достаточно хорошо справляется с данной задачей. Если на сайте есть уязвимость к атакам XSS, то вполне возможно, что cookies будут украдены. Более подробно об этой атаке можно прочитать в [6].

5.6.3. BugTraq

Честно сказать, настоящих хакеров в мире не так уж и много. Большинство взломов совершается подростками, которым нечего делать и хочется где-то применить свои силы. Они в основном используют уже готовые решения, найденные настоящими хакерами. Это значит, что вы должны следить за новыми методами взлома и всеми появляющимися уязвимостями. Я для этого использую сайт http://www. securityfocus.com/. Здесь регулярно обновляется информация по этим вопросам и предлагаются способы защиты.

Уже давно ходят споры о том, нужны ли сайты наподобие http://www. securityfocus.com/. С одной стороны, они позволяют администраторам получать сведения об уязвимостях, а с другой — хакеры узнают, как можно взломать систему. Я считаю, что такие сайты должны существовать, проблема тут не в этом. Просто большинство администраторов никогда сюда не заходят, а узнают о наличии "тонких мест" в программном обеспечении только тогда, когда их сеть/сайт/сервер взломаны. Даже если вспомнить какую-либо брешь девяностых годов, можно найти в Интернете компьютер или сервер, который содержит эту уязвимость. Я бы таких администраторов увольнял без разговора.

новления проходит некоторое время, и в этот период опасность проникновения на

компьютер максимальная. Любой хакер, узнавший метод взлома, может начать штурм и обязательно добьется успеха. Вы должны раньше него узнать об уязвимости и принять меры по предотвращению вторжения, пока не появится обновление.

Страшно? Похоже на эпидемию? Да, именно так и было лет 10 назад и более. Тогда появление новых уязвимостей нередко сопровождалось эпидемиями, потому что:

в программном обеспечении и ОС не было хорошо налаженной системы обновления, и с тех пор Microsoft сделала большой шаг в направлении безопасности. Да, как ни странно признавать, но эта компания иногда делает интересные и полезные вещи;

безопасности уделялось намного меньше внимания, и не было такого широкого движения белых хакеров.

Белые хакеры — это специалисты по безопасности, которые следят за безопасностью, ищут уязвимости, но не используют ошибки в программном обеспечении, а сообщают об этом производителю и нередко помогают в исправлении. Поэтому большинство ошибок в настоящее время публикуется уже после того, как производитель выпустил исправление.

Когда специалисты находят ошибку, то сообщают об этом производителю и не публикуют информацию по уязвимости, пока производитель не выпустит патч. Все это, а также автоматическое обновление систем, позволяет предотвратить эпидемии. Взламывают компьютеры только тех пользователей, которые не обновляют системы или у которых нелицензионные копии продуктов. Но тут уже производитель не несет ответственности.

5.6.4. Брандмауэр

Если текст книги будет читать пессимист, то он будет в шоке от количества предостерижений в этой главе. Нужно не только обновлять систему, но еще и ходить по какмим-то сайтам и следить за ошибками в программах. Это так, но только для администраторов. Домашним пользоватлеям незачем задумываться о том, что гдето в Интернете есть лента, в которой выкладывают все ошибки.

Я использую Интернет только для электронной почты и просмотра некоторых вебстраниц, и мне хватает регулярных обновлений системы и даже не нужно заглядывать на сайт http://www.securityfocus.com/. Если же вы проводите в сети много времени или ваша работа связана с выходом в Интернет, то нужно прибегнуть к более мощным средствам защиты. Если время пребывания в сети более 8 часов и не связано с работой, то это уже зависимость, которую надо лечить.

Каждый, кто регулярно посещает в Интернете места массового скопления народа, должен защищать свой компьютер. Например, когда вы находитесь в чате, то нет гарантии, что в это же время там не присутствует хакер. Через некоторые чаты или

Norton Personal Firewall — если раньше слово "Norton" ассоциировалось с Norton Commander, то теперь это торговая марка, под которой выходит множество средств для диагностики, защиты, восстановления и ремонта всего, что связано с компьютером и программами. Этот сетевой экран обладает, наверно, самым большим количеством необходимых домашнему пользователю защитных средств, но при этом он сложен и неудобен в настройках. Утяжеленный и внешне "страшный" интерфейс и медлительность современных программ от Symantec, на мой взгляд, является самым большим промахом этой компании, изза которого исчез со сцены легендарный Norton Commander. Я как-то установил на свой домашний компьюетр антивирус с сетевым экраном от этой компании, и мой компьютер начал невероятно тормозить. Сайт разработчика — http://www.symantec.com/.

С недавних пор функции сетевого экрана реализованы и в продуктах безопасности Лаборатории Касперского. Оценивать по качеству такие продукты тяжело, но по скорости не так уж и сложно. Из всех защитных средств продукты Касперского меньше всего тормозят систему, поэтому я бы первым делом взглянул на них. Это и отличная антивирусная защита, и защита компьютера от всех современных угроз.

На рис. 5.11 показан пример сети, защищенной через брандмауэр. Все запросы, которые поступают из Интернета или направляются туда, проходят через сетевой экран, который проверяет их по внутренним правилам. И если соответствие какомунибудь правилу, разрешающему передачу, установлено, то пакет пропускается, иначе — просто удаляется.

Брандмауэр

Интернет

Компьютер Компьютер Компьютер

Рис. 5.11. Пример сети, защищенной через firewall от вторжения из Интернета

пользование 21 порта. Это значит, что из Интернета нельзя будет подключиться по протоколу FTP и закачать/скачать файлы, даже если на каком-либо из компьютеров сети, защищенной с помощью брандмауэра, запущен FTP-сервер. Единственный выход — запустить FTP-сервер на другом порту, который не запрещен сетевым экраном;

 запрет на определенные URL-адреса. В этом случае пользователи локальной сети не смогут зайти на некоторые сайты в Интернете, например, содержащие порнографию или нелегальное программное обеспечение;

 запрет на IP-адреса. На сетевом экране можно фильтровать желающих войти в контакт. Например, если фирма работает только с клиентами из США, то можно запретить входящие соединения из стран арабского и азиатского мира. Это только пример, ведь хакеры находятся не в этих странах, а большинство из них живет в Европе и США, поэтому такое ограничение не привнесет особой защиты;

 идентификация пользователя по паролю или любому другому средству типа

Touch Memory, Smart Card или зашифрованная флешка.

В зависимости от сетевого экрана, вариантов правил может быть намного больше. Но уже сейчас видно, что он позволяет защищать локальную сеть не только от вторжения из Интернета, но и ограничить выход на определенные сайты, тем самым уменьшая вероятность нападения или заражения.

Но просто установить сетевой экран недостаточно, нужно правильно настроить программу и сформулировать эти правила. Для домашних компьютеров сетевые экраны конфигурируются практически автоматически, потому что здесь все достаточно просто, и основные усилия направлены на защиту от атак из Интернета и троянских программ, которые могут отправлять пароли в сеть. Чаще всего защитные комплексы для домашнего использования уже идут с предустановленными правилами, позволяющими вдохнуть полной грудью воздух свободы и безопасности.

Для домашнего пользователя сетевые экраны ставятся с правилом по умолчанию — запрещено все. Может быть сразу же разрешен доступ к обновлениям Windows или доступ к сайтам в Интернете через браузер. В случае если какая-то другая программа пытается установить соединение с Интернетом, то срабатывают защитные механизмы, отображающие на экране окно подтверждение, в котором пользователь должен явно разрешить такое соединение. Если пользователь сам запускал эту программу, то он подтвердит. Если вы ничего не запускали и не знаете программу, которая патается подключиться к сети, то это может быть вирус или троянская программа.

Сетевые экраны так же запрещают любые подключения к вашему Интернету из интрасети. Инициировать соединение должен клиент, а не сервер. Из-за этого могут возникнуть проблемы с некоторыми протоколами, например FTP, которые тре-