Хакеры

адреса – определяет, для соединений с каких адресов или на какие адреса будет действовать правило;

порт – задает номера портов, на которые распространяется правило;

направление – позволяет отдельно контролировать входящие и исходящие соединения;

действие – определяет реакцию на обнаружение соединения, соответствующего остальным параметрам. Реакция, может быть – разрешить, запретить или спросить у пользователя.

 

Можно создать правило, которое будет запрещать входящие соединения на TCP порт 111 для всех приложений, или разрешать любые исходящие соединения для программы Internet Explorer.

Брандмауэр можно успешно использовать для защиты от вредоносных программ, которые распространяются непосредственно по сети, используя уязвимости в операционной системе, достаточно создать в брандмауэре для этого правило.

 

Брандмауэр можно использовать и для защиты от атак неизвестных вирусов. В случае домашнего компьютера, использующего сеть только для доступа в Интернет, можно запретить вообще все входящие соединения, и тем самым обезопасить себя от любых атак извне.

Использование брандмауэров для защиты от вредоносных программ, которые состоят в контроле исходящих соединений. После выполнения вредоносной функции, многие троянские программы и черви, стремиться подать сигнал автору вируса. Для воспрепятствования этому, можно настроить брандмауэр на блокирование всех неизвестных соединений: разрешить только соединения от доверенных программ, таких как используемый браузер, почтовый клиент, программа мгновенного обмена сообщений, а все остальные соединения запретить. В таком случае, вредоносная программа, даже попав на компьютер незамеченной, не сможет причинить реального ущерба.

Некоторые вредоносные программы пассивно ожидают соединения на каком-то из портов. При разрешении входящих соединений, автор вредоносной программы сможет через некоторое время обратиться на этот порт и забрать нужную ему информацию или же передать вредоносной программе новые команды. Для пресечения данных действий, брандмауэр должен быть настроен на запрет входящих соединений, на все порты вообще, либо на все, кроме фиксированного перечня портов, используемых известными программами или операционной системой.

 

Брандмауэр Windows XP – позволяет задавать правила, либо для программы не учитывая порты и протоколы, либо для портов не делая разницы между программами. Для простых случаев этого достаточно и минимальную защиту организовать можно, но часто работать с этим брандмауэром оказывается не очень удобно. Для более удобной работы лучше использовать программы-брандмауэры других производителей, например Kaspersky Anti-Hacker, Agnitum Outpost Firewall, ZoneAlarm и другие.

 

Vstroenii brandmauer Windows XP

Рис. 2. Встроенный брандмауэр Windows XP

 

В последнее время широко распространены универсальные защитные программы, объединяющие возможности брандмауэра и антивируса. Например, Kaspersky Internet Security, Norton Internet Security, McAfee Internet Security и прочие.

 

 

Средства защиты от нежелательной корреспонденции

Наиболее многочисленными группами вредоносных программ являются почтовые черви. Львиную долю почтовых червей составляют пассивные черви, которые пытаются обмануть пользователя и заставить его запустить зараженный файл.

 

Зараженное червем письмо похожее на письма, часто встречающиеся в обычной почте:

 

письма от друзей со смешным текстом или картинкой;

письма от почтового сервера, о том, что какое-то из сообщений не может быть доставлено;

письма от провайдера с информацией об изменениях в составе услуг;

письма от производителей зашитых программ с информацией о новых угрозах и способах защиты от них;

другие подобные письма.

 

Червь составляет текст писем по заданному автором вируса шаблону, и таким образом, все зараженные этим червем письма будут похожи.

Для решения этой проблемы есть специальные средства – антиспамовые фильтры, которые можно применять и для защиты от почтовых червей.

 

Несколько методов для фильтрации нежелательной почты:

 

черные и белые списки адресов. Черный список – это список тех адресов, письма с которых фильтр отбраковывает сразу, не применяя других методов. В этот список нужно заносить адреса, если с них постоянно приходят ненужные или, хуже того, зараженные письма. Белый список, наоборот – список адресов хорошо известных пользователю людей или организаций, которые передают только полезную информацию. Антиспамовый фильтр можно настроить так, что будут приниматься только письма от адресатов из белого списка;

базы данных образцов спама. Как и антивирус, антиспамовый фильтр может использовать базу данных образцов нежелательных писем для удаления писем, соответствующих образцам;

самообучение. Антиспамовые фильтры можно «обучать», указывая вручную, какие письма являются нормальными, а какие нежелательными. Через некоторое время антиспамовый фильтр начинает с большой достоверностью самостоятельно определять нежелательные письма по их похожести на предыдущий спам и непохожести на предыдущие нормальные письма;

анализ служебных заголовков. В письме, в относительно скрытой форме хранится служебная информация о том, с какого сервера было доставлено письмо, какой адресат является реальным отправителем и др. Используя эту информацию, антиспамовый фильтр также может решать, является письмо спамом или нет. Другой вариант проверки – запросить у почтового сервера, действительно ли существует адресат, указанный в письме как отправитель. Если такого адресата не существует, значит, письмо, скорее всего, является нежелательным;

 

Использование антиспамовых фильтров помогает защититься и от некоторых почтовых червей. Самое очевидное применение – это при получении первого зараженного письма (в отсутствие антивируса это можно определить по косвенным признакам) отметить его как нежелательное и в дальнейшем все другие зараженные письма будут заблокированы фильтром.

Почтовые черви известны тем, что имеют большое количество модификаций незначительно отличающихся друг от друга. Поэтому антиспамовый фильтр может помочь и в борьбе с новыми модификациями известных вирусов. В этом смысле антиспамовый фильтр даже эффективнее антивируса, т. к. чтобы антивирус обнаружил новую модификацию необходимо дождаться обновления антивирусных баз.

В любом случае, антивирусы являются самыми эффективными средствами защиты от вирусов, и их использование на рабочих станциях обязательно.