Вредоносное ПО (malware) - это назойливые или опасные программы,...
Существует много названий этого "продукта" , но обычно это брэндмауер и фаервол (анг. Firewall - огненная стена). Этот элемент впервые появился в Windows XP SP2 в связи с большой распространённостью сети Интернет. В дальнейшем он "перекочевал" как стандартный компонент во все последующие выпуски ОС Windows.
Что такое и для чего нужен брэндмауер aka фаервол?
Если исходить из перевода, то это "огненная стена". Почему стена? Да потому что защищает. А почему огненная? Потому что неплохо защищает =)
Теперь более подробно.
Выражаясь простым языком - брэндмауер защищает наш сетевой трафик от несанкционированного доступа.
Рассмотрим ситуацию, когда у Вас дома есть небольшая сеть между двумя компьютерами или Wi-Fi сеть. Она ваша частная и Вам бы не хотелось чтобы кто-то в неё залез.
Если Вы используете для раздачи трафика роутер, то в нём порой уже есть свой аппаратный фаервол на основе функции NAT, но это те ещё дебри, поэтому сюда соваться не будем.
Если же у Вас нет никакой сети между компами, то всё равно обмен трафиком происходит напрямую в компьютере, обычно это взаимосвязь между интернетом и программами, которые его используют.
Фаервол (его ещё называют "Межсетевым экраном") контролирует все соединения, особенно интернет. С его помощью можно просмотреть и разрешать и/или запрещать определенные соединения.
Если у вас его нет или он отключен, то любая программа или "некто" с интернета может спокойно подсоединиться к Вашему компьютеру и делать с трафиком всё что угодно.
Как уже было описано выше, брандмауер уже находится в стандартной сборке Windows 7 и выше, но разумеется всё что стандартно не всегда хорошо. Поэтому существует множество программ-фаерволов. Очень часто их можно встретить как по отдельности, так и вместе. Разработчики любят включать в состав своих продуктов фаерволы или же выпускать их по отдельности, например как .
Очень часто программы не хотят устанавливаться именно из-за него. Потому что он думает что программа неизвестная и попросту не дает её установить. Поэтому приходиться отключать брандмауер.
Найти фаервол можно прямо в Панели управления. Называется он Брандмауер Windows
.
Кстати, когда Вы настраиваете новую сеть (локальную или для интернета) часто выходит сообщение с обнаружением этой сети и куда её отнести. Обычно там указывается на выбор один из трех вариантов: домашняя, рабочая или общественная.
Вот это и есть работа брандмауера.
Если указать что домашняя, то он разрешит доступ к внутренним службам компа, если общественная, то ничего, кроме интернета, не будет.
Что такое Брандмауэр (Файрвол)
Брандмауэр (Brandmauer) или Файрвол (Firewall) – это компьютерная программа, целью которой является защита компьютера от вирусов и . Брандмауэр отслеживает сетевой трафик, поступающий в операционную систему, и помогает остановить вредоносные программы, которые пытаются получить доступ к личной информации пользователя. Помимо этого, у терминов Брандмауэр и Файрвол есть еще и другое определение. Данными терминами принято назвать противопожарные капитальные стены, которые по идее должны защищать дома от пожаров в местах плотной застройки.
Что такое Брандмауэр (Файрвол) – простыми словами.
Простыми словами, Брандмауэр (Фаервол) – это специальные защитные компьютерные программы, которые постоянно сканируют получаемые и отправляемые в интернет данные. Образно говоря, это виртуальные стены, которые защищают компьютер от опасностей интернета: вирусы, руткиты, шпионские программы, и тд. Хотя стоит отметить, что брандмауэр не является единственным или самым надежным источником защиты вашего компьютера. Как правило, для обеспечения наибольшей безопасности, брандмауэр (Файрвол), всегда работает в связке с антивирусом и анти-шпионским программным обеспечением.
В большинстве случаев, брандмауэр устанавливается непосредственно на рабочую машину (ПК), но иногда, как в случаях с различными офисами, где присутствует много компьютеров, файрвол ставится в виде физического устройства (но об этом позже ). Пользователям операционной системы Windows, нет нужды устанавливать брандмауэр самостоятельно (отдельно ), так как в ОС изначально присутствует собственный — Брандмауэр Windows .
Брандмауэр – как это работает, простыми словами.
Не вникая в сложные технические подробности, работу Брандмауэра можно описать следующим образом. Когда пользователь запускает программу, связанную с Интернетом, такую как браузер или компьютерная игра, компьютер подключается к удаленному веб-сайту и отправляет информацию о компьютерной системе пользователя. Однако перед тем как данные будут отправлены или получены они проходят через межсетевой экран (файрвол ), где в зависимости от установленных параметров, данные будут пропущены или остановлены.
Образно говоря, в процессе своей работы, брандмауэр выступает своеобразным пограничником или таможенником, который следит за всем что вывозится и завозится на компьютер. Кроме того, в его обязанности входит проверка пакетов данных на соответствие необходимым параметрам. Таким образом, файрвол может помочь остановить работу уже установленного вредоносного ПО, такого как троянские кони и другие шпионские программы. Простыми словами, экран просто не будет передавать собранные этими программами данные в интернет. Но это, конечно же все в теории, так как подобные вредительские программы постоянно совершенствуются и учатся обманывать файрволы.
Что такое Аппаратный брандмауэр и способы защиты сети?
Аппаратный брандмауэр — это физическое устройство, которое соединяет компьютер или сеть с Интернетом, используя определенные усовершенствованные методы защиты от несанкционированного доступа. Проводные маршрутизаторы, широкополосные шлюзы и беспроводные маршрутизаторы включают в себя аппаратные брандмауэры, которые защищают каждый компьютер в сети. Аппаратные брандмауэры используют для защиты сети разные виды обеспечения безопасности: фильтрация пакетов, проверка пакетов с учетом состояния, трансляция сетевых адресов и шлюзы уровня приложения.
Брандмауэр фильтрации пакетов проверяет все пакеты данных, отправляемые в систему и из нее. Он пересылает данные на основе набора правил, определенных сетевым администратором. Этот аппаратный брандмауэр проверяет заголовок пакета и фильтрует пакеты на основе адреса источника, адресата и порта. Если пакет не соответствует правилам или соответствует критериям блокировки, ему не разрешается проходить через компьютер или сеть.
Динамическая фильтрация пакетов или проверка пакетов с учетом состояния, это более сложный метод защиты. Этот брандмауэр контролирует, откуда пришел пакет, чтобы выяснить, что с ним делать. Он проверяет, были ли данные отправлены в ответ на запрос для получения дополнительной информации или просто он появился сам по себе. Пакеты, которые не соответствуют заданному состоянию соединения, отклоняются.
Еще одним способом обеспечения безопасности является — маршрутизатор трансляции сетевых адресов (NAT). Он скрывает компьютер или сеть компьютеров от внешнего мира, представляя один общедоступный для доступа в Интернет. IP-адрес брандмауэра является единственным допустимым адресом в этом сценарии, и это единственный IP-адрес, представленный для всех компьютеров в сети. Каждому компьютеру на внутренней стороне сети присваивается свой IP-адрес, действительный только внутри сети. Этот вариант защиты очень эффективен, поскольку он представляет возможность использовать только один публичный IP-адрес для отправки и поступления пакетов информации. Что в свою очередь значительно минимизирует возможности по внедрению вредоносного ПО. Этот аппаратный брандмауэр обычно реализуется на отдельном компьютере в сети, который имеет единственную функцию работы в качестве . Он довольно сложный и считается одним из самых безопасных типов аппаратных брандмауэров.
Основные проблемы с брандмауэрами.
Существует несколько общих проблем, которые могут возникнуть в результате использования брандмауэра. Самой распространенной проблемой является то, что помимо вредоносных программ, брандмауэр часто блокирует нормальный, нужный нам трафик. Некоторые веб-сайты могут иметь ограниченный доступ или не открываться, потому что они были неправильно диагностированы. Довольно часто возникают проблемы с сетевыми играми, так как фаервол, часто распознает подобный трафик, как вредоносный и блокирует работу программ. Исходя из этого, следует отметить, что хоть брандмауэр штука весьма полезная, его нужно правильно настраивать, чтобы он не портил жизнь своими запретами.
Категории: , / / отМногие пользователи интернета имеют слабое представление о том, что такое файрвол , какие его основные функции, для чего он применяется. Кроме того, нередко можно услышать вопрос "разве антивируса недостаточно?". Если раньше это утверждение было полностью некорректным, то сегодня многие антивирусы уже включают в себя часть функций файрволов. Однако, разница есть, причем существенная. Это и станет темой данной статьи.
Примечание : Скажу сразу, что статья в первую очередь предназначена для новичков и обычных пользователей, а посему не содержит полной технической выкладки.
Файрвол - это программный или аппаратный комплекс, который осуществляет контроль всех проходящих пакетов по сети в соответствии с заданными правилами. Обычно, файрвол контролирует одну или несколько уровней модели OSI. Его основными задачами является защита внутренней сети или отдельного компьютера от возможных угроз извне, а так же предотвращение распространения вредоносных программ и утечки информации из компьютера в сеть. Наряду с названием файрвол, его так же называют брандмауэром или межсетевым экраном.
Примечание : Модель OSI это стандарт, по которому сегодня делятся сетевые протоколы на 7 уровней. Под словом "пакет" подразумевается единица информации, передаваемая по сети в виде цельного сообщения (может включать в себя части сообщения протоколов более высокого уровня).
Сам термин файрвол происходит от выражения "огненная стена", которая представляет собой обычную кирпичную стену. Задача такой стены заключается в том, чтобы предотвратить распространение огня при пожарах, так как кирпич не горит. Обычно, такие стены можно обнаружить, например, на крыше домов в местах соединения между двумя подъездами.
Примечание : Кстати, именно поэтому в изображениях брандмауэр часто представляют в виде кирпичной стены, как на рисунке ниже.
Применительно к информационным технологиям, файрвол предназначен для той же функции - ограничить распространение вредоносных программ. Важно понимать, что речь идет не только о том, чтобы вирус извне не мог попасть к вам на компьютер, но и о том, чтобы вирусы с вашего компьютера или локальной сети не смогли попасть в интернет. К примеру, если у вас уже есть троянская программа с сетевым червем, то она не сможет отсылать данные или же заразить другие компьютеры.
Для чего применяется брандмауэр и его отличие от фильтрации антивирусами? Антивирусные средства обычно контролируют только часть сетевой активности, а именно веб-страницы и электронную почту (в обоих случаях в основном файлы). Но, этим сетевые возможности не ограничиваются. Существует масса других протоколов и возможностей для распространения вредоносных программ. Для их контроля и нужен межсетевой экран. Стоит знать, расширенные файрволы имеют достаточно гибкую систему настроек и, к примеру, позволяют задавать правила вплоть до разграничения доступа для отдельных программ, а так же предоставляют массу полезных функций, таких как фильтрация веб-сайтов по содержимому.
Примечание : Если вам интересно, то вот есть подборка лучших бесплатных файрволов , которые позволят улучшить уровень безопасности вашей операционной системы.
Такие возможности часто оказываются весьма полезными не только в целях борьбы с вирусами и сетевыми червями. Например, сегодня все чаще встречаются программы, которые "при каждом чихе и писке" пытаются залезть в интернет и что-либо отправить или скачать, при чем без вашего ведома. Когда речь идет об онлайн программах, то такое поведение может быть оправданным, но когда речь идет о небольшой программке для локального применения, то такие действия вызывают здравые подозрения.
Примечание : Стоит понимать, что антивирусы такие действия обычно не обнаруживают.
В целом, файрвол применяют совместно с антивирусным средством, как дополнительное средство для обеспечения более гибкого и надежного уровня защиты сетевой активности вашего компьютера и передаваемых данных.
Допустим, у нас есть 49 экземпляров актуальной малвари, которые на все 100% известны антивирусам с современными базами. А что бы эти антивирусы могли с ними сделать неделю назад, когда эти зловреды еще не попали в руки вирусным аналитикам? Насколько эффективно работает эвристика и проактивная защита современных internet security, если проверить ее на реальных зловредах? И для этого совсем не нужно изобретать машину времени - просто законсервируем подопытные антивирусы в виртуалках без доступа к интернету, а через неделю проверим их на коллекции новейшей малвари, которая уже детектируется этими антивирусами с актуальными базами. Но антивирусы прошлого об этом, конечно, еще не знают:).
В качестве подопытных кроликов будем использовать KIS, Dr.Web, ESET и Windows Defender. Все, кроме последнего, будут запущены в Win 7. Последний же будет работать под управлением Win 10 - есть надежда, что «десятка» лучше защищена и даже с таким решетом, как Defender, вирусы не пройдут. Что ж, проверим.
Еще раз о тестировании
Вот что будет проверяться: обнаружение вируса, блокировка запуска вируса и лечение заражения . Первый тест выполним при отключенной защите - в режиме сканера. Для второго и третьего тестов монитор антивируса будет включен.
После всего этого мы обновим базы и сравним полученный детект с предыдущим результатом. Так как вирусов много, «экспонаты» для проверки запуска будут отобраны самим антивирусом. Запустим те вирусы, которые окажутся не удалены в результате детект-теста. Глупо пытаться запустить вирус, который есть в антивирусной базе, - любой антивирус заблокирует его. Интереснее всего запустить вирус, который антивирусу «незнаком».
Все вирусы в моей подборке были разделены на группы: Backdoor, Worm, Virus и так далее. Позже будет приведен список всех «героев программы». Как видишь, есть из чего выбрать.
Твои идеи
Твои идеи вдохновляют нас на новые исследования. Мы уже учитывали их . Так что продолжай фонтанировать - комменты к статье и всегда открыты для твоих рацпредложений:).
Все операционки свежие (специально установлены для этой статьи), а интернет был отключен сразу после установки антивируса, чтобы базы со стопроцентной гарантией остались старыми.
Начнем тестирование со всем известного Kaspersky Internet Security. Как видно из скрина ниже, антивирус был установлен шесть дней назад (осталось 24 дня бесплатного использования).
Отключаем антивирус, распаковываем архив с вирусами. Антивирус мы не активируем, но запускаем выборочную проверку (чтобы он не стал прогонять все подряд, а сконцентрировался на одной папке) и проверяем папку Virus. Помню, когда-то мне в 20-литровую канистру на заправке умудрились залить 23 литра. Так и в случае с Касперским - в папке из 49 файлов он умудрился найти 80!
Видимо, в один файл упаковано несколько зараз и антивирус отражает в списке отдельно каждую из них. Посмотрим подробный отчет.
Как видно из скрина, найдено 45 угроз (из 49). Вирус Trojan.Win32.Waldek.jsu почему-то не был ни удален, ни помещен в карантин: антивирус его просто не обработал, хотя и обнаружил. Всего в папке Virus осталось 11 файлов.
Больше всего вирусов уцелело в папке RansomWare. Как видно из скриншота, файлы с номерами 2, 4, 7 и 8 антивирус вообще не тронул. Интересно будет посмотреть на детект после обновления баз.
Что ж, теперь активируем защиту и пытаемся запустить «выжившие» вирусы из папки Virus. Я запустил первые два файла из папки RansomWare (номера 2 и 4). Файл с номером 2 был распознан как PDM:Trojan.Win32.Generic. Антивирус выявил опасное поведение программы, «точно характеризующее ее как вредоносную».
Предложил исцелить компьютер с перезагрузкой. Соглашаемся. Началось лечение, антивирус отменил действия вредоносной программы и попутно устранил файл с номером 4.
Результаты лечения мне не понравились. После перезагрузки я не получил чистую систему. Что-то пыталось загрузиться, на рабочем столе остались файлы, созданные вирусом. Кое-что антивирус вычистил, но мне кажется, что не все. Попутно антивирус, конечно, пытается лечить созданные вирусами объекты.
Продолжаю запускать файлы из папки RansomWare (номера 7 и 8). Сразу после запуска этих файлов, как и в предыдущем случае, моментальной реакции антивируса не последовало, что позволяет программам размножаться. Антивирус начал реагировать уже после того, как вирусы попытались отправлять электронные письма. Ничего у них не вышло - у меня ни почтового клиента, ни соединения с интернетом!
Интересно, но на файл с номером 8 антивирус Касперского так и не отреагировал. Идем дальше. Из подпапки Scareware запускаю единственный файл с таким же названием. Жду несколько минут. От антивируса реакции никакой, а вирус тем временем, скорее всего, делает свои темные дела.
Из папки TrojanCryptor запускаю файл с именем TrojanCryptor (1). Шифровальщик - тяжелая артиллерия. Реакции антивируса тоже не последовало. Зато появилось окошко.
О шифровальщике
Троян запустился, реакции от антивируса вроде бы нет, но данные остались незашифрованными, как и в случае еще с одним участником этого теста. А вот один из антивирусов допустил шифрование данных, как ты увидишь далее.
Из папки Virus запускаю файлы с номерами 4 и 8, затем из папки Worm - файлы 6 и 8. Первый почему-то не запустился (ошибки допускают не только разработчики обычных программ, но и вирусописатели). А на второй Касперский никак не отреагировал.
Запускаю полную проверку компьютера. Ее цель - определить зараженные вирусами объекты и попытаться вылечить компьютер. После перезагрузки посмотрим, что получилось у антивируса. Честно говоря, результаты меня не порадовали. Антивирус сообщил, что угроз не обнаружено. Хотя вредоносные программы на компьютере остались. Глубоко копать не стал - просто открыл msconfig и посмотрел на список автозагрузки. Как видишь, антивирус вычистил далеко не все.
При перезагрузке компьютера Касперский сообщил, что он вздумал вылечить мой компьютер, - обнаружен активный процесс лечения, в результате которого все-таки был удален файл Ransomware (8).exe, а также файл worm (8).exe.
Похоже, что некоторые вредоносные файлы он вычистил. После лечения активного заражения KIS опять сообщил, что угроз нет.
Что ж, пора обновлять базы. Базы обновлены, компьютер перезагружен. После перезагрузки запустился мастер восстановления после заражения, предложивший исправить некоторые моменты. После работы мастера опять перезагружаю компьютер.
Мастер кое-что восстановил, а кое-что нет. Да, автозапуск очищен. Но не полностью - как видно, желающие запуститься еще остались. Файлы -!RecOveR!* , созданные по всему диску, тоже не были удалены.
Даю антивирусу еще один шанс и опять запускаю полную проверку - на этот раз с новыми базами. Угроз обнаружено не было, множественные файлы, созданные вирусом, так и остались на компьютере.
Теперь повтор теста на детект. Отключаю защиту, распаковываю архив и запускаю выборочную проверку папки Virus. После обновления баз Касперский нейтрализовал все угрозы (49). В общем, что и следовало ожидать, ведь мы специально включали в тест только настоящую малварь, известную «антивирусам будущего».
Dr.Web Security Space
В линейке Dr.Web был выбран настоящий монстр, установочный файл которого весит 466 Мбайт, - Security Space. Более компактный продукт Katana не подошел, потому что в нем нет сканера.
Продолжение доступно только подписчикам
Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.
