ОФФ: Сетевая безопасность "для чайников"

Question

Сразу скажу, что руководство не претендует на стопроцентную истинность и безопасность. Предназначено для домашнего пользования. Для компьютерных систем на предприятиях и где требуются повышенные меры безопасности, надо использовать совсем другие технологии и инструменты.

Здесь Вы не найдёте серийных номеров, патчей и прочих CRACK-хитростей. Подразумевается, что предназначенные для работы программные продукты у Вас уже имеются и полностью работоспособны :)

Поставляется AS IS - то бишь я не собираюсь отвечать за прямой или косвенный ущерб, связанный с использованием этой инструкции, а также возмещать упущенную выгоду :D

Если Вы не согласны с вышеперечисленным, выйдите из темы! :war:
________________

Для защиты компьютера от большинства атак хакеров, вирусов и от якобы несанкционированной утечки трафика предлагаю использовать пакет программ: антивирус Касперского AVP, дополнительный сканер троянов и трояноподобных программ Ad-Aware и персональный firewall Outpost.



Итак, начнём. Мы установили Windows, установили нужные драйверы, скопировали документы. У нас девственно чистая система! Начинаем настраивать доступ в Интернет. Буквально с первой секунды, как загорелись два экранчика в углу возле часов или зазеленел авторизатор, наш комп теоретически подвержен атакам хакеров и вирусов.



Первым делом предлагаю устанавливать антивирус. Во-первых, это логично для как можно более ранней настройки защиты, а во-вторых, установка антивируса до установки основных программ помогает немного, но снизить потребление системных ресурсов антивирусом.

Антивирусов существует великое множество! Для большинства домашних задач достаточно антивируса Касперского. Уже слышу крики споров на эту тему... Моё личное мнение: для дома сгодится практически любой из общераспространённых антивирусов. Самое главное - правильно настроить программу и своевременно обновлять базы данных вирусов.

Я предлагаю антивирус Касперского. Он полностью на русском языке, максимально адаптирован для понимания большинством пользователей, ключи для его легального использования купить несложно, и стоят они недорого. Абоненты "Кабинет" могут купить лицензию для AVP через статистику.

http://ftp.ur.ru/index.php?sectionid=2&fsid=27174 (ftp://ftp.ur.ru/Antivirus/AVP/products/release/russian/homeuser/kavpersonalpro) - здесь представлено множество релизов антивируса Касперского. С установкой и использованием AVP проблем возникнуть не должно. По идее, при правильной настройке сканировать компьютер на вирусы придётся раз в месяц. Или даже реже - и то чтоб чисто душу успокоить. Я сам, признаюсь, сканирую компьютер крайне редко - примерно раз в полгода. С вирусами не имел дел года два.

Обновление антивирусных баз самому Касперскому лучше не доверять. Он это делает каждый день, а для большинства домашних компьютеров это и не надо - достаточно обновлять базы раз в 2-4 недели. Я предлагаю вообще отключить автоматическое обновление и скачивать новые базы самостоятельно. Для этого заходим на ftp://ftp.ur.ru/Antivirus/AVP, скачиваем папку updates (примерно 12-15 Мб) куда-нибудь в отдельную папку для баз Касперского и переименовываем её, например, в AVP-Updates20070311 - то есть обозначаем дату скачивания. Постепенно папки с ранними базами можно удалять.

Для того, чтобы показать Касперскому новые базы, запускаем Пуск/Программы/Kaspersky Lab/Автоматическое обновление. Там отмечаем "Обновлять из локальной папки", указываем нашу папку с обновлениями и жмём Далее.

А так, пусть антивирус живёт тихонечко в иконке возле часов и не жужжит!



Теперь можно установить Ad-Aware. Эта программа сканирует систему в режиме онлайн на наличие троянов, червей и прочих гадостей - в особенности тех, что вирусами могут и не являться, а трафик качать. Последние антивирусы могут и не обнаружить. Также программа способна сканировать файлы на наличие в них этих моментов. Плюс она бесплатна.

Взять программу можно на http://ftp.ur.ru/index.php?sectionid=2&fsid=5423 (ftp://ftp.ur.ru/Antivirus/Ad-Aware). Там сама программа, базы данных и русификатор. Там же описан и процесс русификации. Вот только обновления лучше брать не с FTP Релкома, а с сервера производителя. Это не так страшно - база данных весит около 500 Кб.



Сейчас мы просканируем систему на наличие гадостей. Для этого жмём кнопку "Сканировать" и выбираем "smart-сканирование":



Пойдёт сканирование запущенных процессов, системных файлов, DLL-файлов, реестра и т.п.:



В процессе сканирования, если есть какие-то гадости, информация о них будет появляться в режиме реального времени. По завершении сканирования получаем сводку о наличии опасных объектов, пугаемся и жмём "Далее":



Тут мы видим сгруппированные по типам все обнаруженные опасные объекты:



Переходим на вкладку "Опасные объекты" и идентифицируем все эти объекты. В моём случае все объекты оказались куками от различных сайтов. Дабы не вдаваться в подробности теории cookies, уточню, что если не лазить по подозрительным сайтам - порно, поиски кряков, хакерские сайты, дурацкие домашние странички - возможность подцепить cookies, которые представляли бы опасность, практически равна нулю. Так что бояться тут нечего...



На вкладке "Незначительные объекты" мы видим незначительные объекты. Их можно как удалять, так и не трогать - это различного рода последние просмотренные файлы, ссылки и т.п.:



Возвращаемся на первую вкладку, отмечаем оба семейства обнаруженных объектов и жмём "Далее".



Система вначале перемещает объекты в так называемый карантин - то есть удаляет зависимость системы от этих файлов. Затем объекты удаляются с диска.

Также можно иногда выполнять и полное сканирование - если уж есть серьёзные подозрения в заражённости системы. С остальными настройками предлагаю разобраться самостоятельно.

Предпочитаю использовать Ad-Aware раз в два-три месяца. Ничего мегастрашного обычно не находится. Также сканирую им систему перед сканированием антивирусом.



Теперь приступаем к самому сложному - установке и настройке firewall. Файрвол - это программа, позволяющая контролировать практически весь трафик как внутри компьютера, так и в сетке и в Интернете.

Найти программу можно здесь - http://ftp.ur.ru/index.php?sectionid=2&fsid=3321 (ftp://ftp.ur.ru/Internet/Security). Обновлений программа не требует.

Программа выглядит так:



Сразу после установки программа запустить Мастер настройки. Выбираем ручной вариант:



Мастер обнаружит имеющиеся на компьютере сетевые подключения. У меня такое подключение одно:



Жмём "Изменить" и уточняем установки - NetBios отключаем от греха подальше, а новые настройки разрешаем находить автоматически:



Соглашаемся и жмём "Далее". Программа нашла 30 приложений, которые потенциально лазят в Интернет:



Жмём "Подробнее" и смотрим на эти приложения, но об их настройке позже:



Затем разрешаем контроль компонентов и ждём, пока программа их обнаружит:



Затем радуемся настроенной конфигурации:



Если Вы в это время подключены к Интернету или сетке (а иногда и подключения не надо), могут выскакивать подобные окна:



Пока не настроили всё, жмём каждый раз "Блокировать однократно". В зависимости от количества установленных программ, таких окон может выскочить от 5 до 15 штук :) Тяжко, но блокируем доступ!

Зато когда закончили предварительную настройку в Мастере, можно уже работать с этими окнами. В картинке выше явно видна информация, кто, зачем и куда полез. В данном случае это Крыска (асечный клиент), файл &rq.exe. Программа догадалась, что это "ICQ compatible client" - то есть асечная программа. Служба - TCP, порт - 5190, удалённый адрес - login.icq.com.

Стоит отметить, что большинство служб, которые интересуют рядового пользователя, будут названы и иметь префикс TCP. Наиболее распространённые порты:
80 - HTTP, обычные сайты;
443 - HTTPS, защищённое соединение для почты, Интернет-банков и прочих панелей администрирования через браузер;
20, 21 - FTP, то есть скачивание файлов с FTP-серверов, различная музыка, файлообменные сервисы;
110, 25 - POP3 и SMTP, порты для почтовых программ.

Впрочем, Крыске я доверяю - разрешил любой доступ! Давайте попробуем запретить отображать счётчик "УралВеб". При всё уважении к "Кабинету"... Заходим на тот же Е1 и, среди других окошек, выскакивает такое:



Мы видим, что это наш браузер Internet Explorer (iexplore.exe) хочет загрузить счётчик с hc.uralweb.ru по 80-му порту (привычному для обычных сайтов). Варианты "Разрешить этому приложению выполнять любые действия" и "Запретить этому приложению выполнять какие-либо действия" нам не помогут - ибо бы разрешим или запретим приложению (то есть браузеру) ВСЕ действия. Мы выбираем третий вариант и в выпадающем списке - "Другие". Жмём ОК:



Видим тонкие настройки правила:



Выбираем "Блокировать эти данные":



Получаем правило, мнемонически звучащее так: для браузера Internet Explorer блокировать исходящие данные на адрес hc.uralweb.ru по порту 80 (HTTP) и протоколу TCP.

Аналогичным образом запрещаются другие популярные счётчики. Несложно догадаться, что счётчики эти не будут показываться теперь на всех сайтах, а не только на E1! Ведь мы создали правило для браузера iexplore.exe, а именно через этот браузер ходим на все сайты.

Для других браузеров, для почтовых программ настраивается всё так же. Для некоторых специфичных программ можно либо всё запретить - например, для winamp.exe (WinAMP), acrord32.exe (Acrobat Reader), либо всё разрешить - например, для qip.exe (QIP), webmoney.exe (WebMoney Classic Keeper). Разрешения раздавать лучше осторожно - так, например, если разрешить антивирусу делать, что он хочет, он будет каждый день лазить в Интернет за автоматическими обновлениями. Нетрудно подсчитать, сколько много уйдёт трафика, если обновления для того же Касперского весят 13 Мб, а обновляться он захочет каждый день! Поэтому разрешения я даю тем программам, либо которыми пользуюсь нечасто, подгружая каждый раз (WebMoney Keeper), либо которым доверяю по собственному опыту (Крыска &RQ).

Основные настройки доступны в меню программы Параметры/Общие. Первая эта вкладка у меня выглядит так:



Вкладка "Приложения" после работы Мастера выглядит так:



После моей корректировки некоторые приложения были перемещены в раздел запрещённых, некоторые - в раздел разрешённых. Также здесь можно изменить настройки и правила для каждого из приложений - как раз те правила, одно из которых мы создали чуть раньше. Сейчас у меня окно выглядит так:



На вкладке "Системные" уже более тонкие настройки - с ними надо аккуратней:



На вкладке "Политики" выбираем тип поведения программы:



Отключить - отключить файрвол совсем. Правила не выполняются, однако работает, например, баннерорезка.
Разрешать - разрешать всё, кроме того, что явно запрещено правилами. Если что-то неизвестно - разрешается.
Обучение - разрешать то, что разрешено, и запрещать то, что запрещено. Если что-то неизвестно - спрашиваем и выдаём диалог создания правила.
Блокировать - запрещать всё, кроме того, что явно разрешено правилами. Если что-то неизвестно - запрещается.
Запрещать - запретить вообще любые коннекты, несмотря на существующие правила.

В пылу первоначальной настройки файрвола можно оставить политику обучения. Когда основные программы будут настроены, необходимо перевести файрвол в политику блокирования. Политика разрешения для работы в Интернете, по-видимому, не очень нам нужна - опасна. Политику отключения стоит применять очень осторожно - например, в тех случаях, когда какая-либо программа сложно-сложно работает с Интернетом, а правил не слушается. Такое бывает, в общем-то, редко.

Ну и в последнем окне "Подключаемые модули" перечислены дополнительные модули программы - детектор сетевых атак, баннерорезка, анализ интерактивных элементов и т.п.. В большинстве случаев, настроек не требует.



Стоит отдельно отметить приложение svchost.exe. Если у Вас вирусов, разрешите этому приложению любое действие. Иногда вирусы маскируются под этот файл - имеют то же имя. Так что осторожней!

В свёрнутом состоянии файрвол живёт возле часов в виде иконки, изображающей текущую политику поведения. По правой кнопке на этой иконке доступны наиболее часто используемые функции. Меню правой кнопки предлагаю изучить самостоятельно.

Сам по себе файрвол - штука чрезвычайно полезная! У меня нет буквально ни байта лишнего, неучтённого мной трафика! Если не учитывать паразитный трафик, конечно, но его больше, чем на мегабайт, не наскрести... Поначалу файрвол бесит кучей окон в режиме обучения, когда надо думать, что, кому и сколько разрешать, но стоит понимать, что один раз настроив - дальше проблем не будет!



Итак, мы установили, настроили и научились пользоваться тремя программами: AVP, Ad-Aware и Outpost. При умелых настройках трафик будет приведён в порядок!

O! ... Вотт она!!! · Accepted Answer

если не причем - зашел и вышел...все просто

MСM™ · Answer

Вечером не буду настройками заниматься
А так-полезно весьма

Игрок™ · Answer

Данилко молодец:)
очень доходчиво.
Многим будет полезно:)
у самого стоит аутпост файрвол уже полгода, кстати, здесь на форуме посоветовали:)

Danilka · Answer

Чисто искренне тем, кто сидит в ОАК, но не разбирается, хочу помочь. Тем более, что именно из АК шестеро обратились ко мне с просьбой помочь настроить файрвол и антивирус. Адресовано им. Написано мной лично, постарался доступней...

Ничего личного ж, Рома :) Думаю, полно тут и куда менее полезных тем... Пусть это и оффтопик...

MСM™ · Answer

тут тоже не офф

VinRom · Answer

или выложить туда где это будет не оффтопиком.

антилопа · Answer

Перешлю Данилкин пост доктору для прочтения и вникания. 
Спасибо.

Моргана,, _,,.*```*.,,, _,,,.*... · Answer

Спасибо Данилка:) Теперь я больше не полезу в твою аську с дурацкими вопросами:p

Danilka · Answer

Я согласен, что многое спорно... Я нарочно некоторые вещи утрировал. Если человек освоит это, остальное будет понять проще! И настроив так, он получит хоть какую-то безопасность. И уж явно больше не будет наезжать на техподдержку своего провайдера за то, что антивирус и Винда у него обновляются постоянно :)

tihon · Answer

переведи с олбанского ;)

ну то что ты напесал неопытным пользователям еще более непонятно ;) вот ты и объясни неопытным пользователям как настроить dlink и польза будет и все будет более надежно и сервисно :)

Danilka · Answer

Ну а теперь попробуй расшифровать все эти слова неопытным пользователям! :hihiks:

К тому же, от обновления Винды и антивирусов никакой роутер не спасёт - якобы лишний трафик всё равно будет.

tihon · Answer

ставим роутер . например от dlink, 99%  дефолтовые, рутер стоит меньше 100 баксов. можно работать и по вайфаю можно подключить принтеры ftp и web сервера.... нафега париться с настройками винды ;)

Danilka · Answer

Ага... Но чуть позже :) Ещё про анализ трафика напишу когда и про отлов вирусов.

Моргана,, _,,.*```*.,,, _,,,.*... · Answer

MСM™!
Пасиб, не премину воспользоваться приглашением:)

VVP™ · Answer

продублируй на провах

004. · Answer

Хренасе тебя торкнуло. Ну давай я сейчас учебник анатомии за 9 класс выложу

VVP™ · Answer

не ново и спорно
по крайней мере для меня

MСM™ · Answer

Вэлкам в мою:)

Danilka · Answer

Да не, по многочисленным просьбам товарищей написал :) Дабы не объяснять каждому, написал в общедоступном месте и раздал ссылки.

Laser.Show.ekb · Answer

поставил тебе плюс, просто чтобы не читать...

~XO~ · Answer

Но почитал :D

почитаю :)

ChBRR · Answer

Чота не увидел пункта "купить антивирус Касперского"...

AVS™© ® · Answer

не четал, аццки многа буквов

004. · Answer

Блин, а мы причем? Не проще ли было по мылу рассылкой им раскидать?

ОФФ: Сетевая безопасность "для чайников"

Поделиться