СЕТЕВОЙ ЭКРАН NOD 32, основные отличия, чем он лучше других и как его настроить

Сетевой экран

Сетевой экран - это встроенное программное обеспечение, которое призвано защищать персональный компьютер от попыток соединения извне.

Сетевая защита

Как было отмечено ранее, межсетевой экран обладает двумя ступенями защиты. Первая ступень - это сетевая охрана ПК. Осуществление защиты происходит на основе глобальных правил, которые задаются сетевому экрану, и которые он использует при обнаружении соединения. В зависимости от нескольких параметров, программа либо заблокирует соединение, либо разрешит: направление сетевого пакета; протокол передачи сетевого пакета; порт назначения или выход пакета. Сетевой пакет - это информация, которая передается внутри сети в виде блока. Экран воспринимает такой пакет как блок, разбитый на три части. Первая часть считается заголовком и несет информацию о дате создания, названии, размере блока и т. д. Вторая же часть будет выступать непосредственным содержанием, а третья называется концовкой и несет в себе информацию, которая подтверждает, что во время передачи блок не подвергался изменениям со стороны.

Прикладная защита

Если первый тип защиты применяется к информации, которая поступает на персональный компьютер извне, то второй тип работает с тем, что уже установлено на ПК. К такому обеспечению применяются другие правила. Однако стоит отметить, что анализ, по которому экран будет принимать решение, остается таким же, как и в случае с сетевой защитой. Но некоторое отличие все же имеется. Заключается оно в том, что, помимо сканирования самого блока с информацией, сетевой экран будет проверять и то обеспечение, которое должно получить информацию либо отправить ее. Такое количество проверок и правил, которыми руководствуется защитная программа, дает возможность опытному пользователю настроить охрану своего ПК на самом высоком уровне.

В интернете существует множество программ для быстрого скачивания контента. ПО дает возможность скачивать множество фильмов, игр или программ с высокой скоростью, однако некоторые пользователи жаловались на то, что при включении сетевого экрана программа переставала работать, ссылаясь на существующую ошибку доступа к серверу. Этот сбой - результат функционирования охранной системы. Для того чтобы не отключать экран, но и заставить работать трекер, необходимо кое-что изменить. Настройка сетевого экрана обладает расширением, которое называется "Исключения". Для того чтобы наладить работу трекера и избавиться от ошибки, необходимо внести его в эти самые исключения. Расположение настроек может меняться в зависимости от версии экрана и того факта, является ли он встроенным ПО или посторонним.

Межсетевой экран устанавливается для того, чтобы решать несколько очень важных задач. Первой такой задачей является защита внутренней малой сети, допустим, компании от любых внешних проникновений. Стоит отметить, что обеспечение не делает разницы между внешними пользователями или внутренними. Проверять он будет одинаково как сотрудников компании, ее партнеров, так и хакеров, пытающихся проникнуть в Сеть. Вторая функция - это регулирование доступа внутренних пользователей к внешним ресурсам. Другими словами, можно настроить межсетевой экран так, чтобы он блокировал доступ из подконтрольных ему ПК к ресурсам, которые не требуются для выполнения работы. Стоит также отметить, что в настоящее время отсутствует общая классификация таких программ и устройств.

Межсетевые экраны (МСЭ) или файерволы — это аппаратные и программные меры для предотвращения негативных воздействий извне. Файервол работает как фильтр: из всего потока трафика просеивается только разрешенный. Это первая линия защитных укреплений между внутренними сетями и внешними, такими как интернет. Технология применяется уже на протяжении 25 лет.

Фильтрация трафика происходит на основе заранее установленных правил безопасности. Для этого создается специальная таблица, куда заносится описание допустимых и недопустимым к передаче данных. Межсетевой экран не пропускает трафик, если одно из запрещающих правил из таблицы срабатывает.

Файерволы могут запрещать или разрешать доступ, основываясь на разных параметрах: IP-адресах, доменных именах, протоколах и номерах портов, а также комбинировать их.

IP-адреса. Каждое устройство, использующее протокол IP, обладает уникальным адресом. Вы можете задать определенный адрес или диапазон, чтобы пресечь попытки получения пакетов. Или наоборот — дать доступ только определенному кругу IP-адресов.

Порты. Это точки, которые дают приложениям доступ к инфраструктуре сети. К примеру, протокол ftp пользуется портом 21, а порт 80 предназначен для приложений, используемых для просмотра сайтов. Таким образом, мы получаем возможность воспрепятствовать доступу к определенным приложениям и сервисам.

Доменное имя. Адрес ресурса в интернете также является параметром для фильтрации. Можно запретить пропускать трафик с одного или нескольких сайтов. Пользователь будет огражден от неприемлемого контента, а сеть от пагубного воздействия.

Протокол. Файервол настраивается так, чтобы пропускать трафик одного протокола или блокировать доступ к одному из них. Тип протокола указывает на набор параметров защиты и задачу, которую выполняет используемое им приложение.

Необходимость в межсетевых экранах возникла, когда стало понятно, что принцип полной связности сетей больше не работает. Компьютеры начали появляться не только в университетах и лабораториях. С распространением ПК и интернета возникла необходимость отделять внутренние сети от небезопасных внешних, чтобы уберечься от злоумышленников и защитить компьютер от взлома.

Для защиты корпоративной сети устанавливают аппаратный межсетевой экран — это может быть отдельное устройство или часть маршрутизатора. Однако такая практика применяется не всегда. Альтернативный способ — установить на компьютер, который нуждается в защите, программный межсетевой экран.

Типы МСЭ

1. Прокси-сервер

Один из родоначальников МСЭ, который выполняет роль шлюза для приложений между внутренними и внешними сетями. Прокси-серверы имеют и другие функции, среди которых защита данных и кэширование. Кроме того, они не допускают прямые подключения из-за границ сети. Использование дополнительных функций может чрезмерно нагрузить производительность и уменьшить пропускную способность.

2. МСЭ с контролем состояния сеансов

Экраны с возможностью контролировать состояние сеансов — уже укоренившаяся технология. На решение принять или блокировать данные влияет состояние, порт и протокол. Такие версии следят за всей активностью сразу после открытия соединения и вплоть до самого закрытия. Блокировать трафик или не блокировать система решает, опираясь на установленные администратором правила и контекст. Во втором случае учитываются данные, которые МСЭ дали прошлые соединения.

3. МСЭ Unified threat management (UTM)

Комплексное устройство. Как правило, такой межсетевой экран решает 3 задачи:

· контролирует состояние сеанса;

· предотвращает вторжения;

· занимается антивирусным сканированием.

Порой файерволы, усовершенствованные до версии UTM, включают и другой функционал, например: управление облаком.

4. Межсетевой экран Next-Generation Firewall (NGFW)

Ответ современным угрозам. Злоумышленники постоянно развивают технологии нападения, находят новые уязвимости, совершенствуют вредоносные программы и усложняют для отражения атаки на уровне приложений. Такой файервол не только фильтрует пакеты и контролирует состояние сеансов. Он полезен в поддержании информационной безопасности благодаря следующим функциям:

· учет особенностей приложений, который дает возможность идентифицировать и нейтрализовать вредоносную программу;

· оборона от непрекращающихся атак из инфицированных систем;

· обновляемая база данных, которая содержит описание приложений и угроз;

· мониторинг трафика, который шифруется с помощью протокола SSL.

5. МСЭ нового поколения с активной защитой от угроз

Данный тип межсетевого экрана — усовершенствованная версия NGFW. Это устройство помогает защититься от угроз повышенной сложности. Дополнительный функционал умеет:

· учитывать контекст и находить ресурсы, которые находятся под наибольшим риском;

· оперативно отражать атаки за счет автоматизации безопасности, которая самостоятельно управляет защитой и устанавливает политики;

· выявлять отвлекающую или подозрительную активность, благодаря применению корреляции событий в сети и на компьютерах;

В этой версии межсетевого экрана NGFW введены унифицированные политики, которые значительно упрощают администрирование.

Недостатки МСЭ

Среди потенциальных недостатков – замедление сетевого трафика, особенно если пакеты полностью анализируются на локальном компьютере пользователя.

Использование брандмауэра так же может увеличить время отклика и снизить пропускную способность, так как фильтрация происходит не мгновенно.

Кроме того, некоторые сетевые экраны могут случайно заблокировать легитимные сайты, но это можно исправить, если добавить их в список сайтов-исключений на панели управления сервиса.

Ошибившись при настройке параметров доступа, вы нанесете вред и файервол будет останавливать нужный и ненужный трафик, а сеть станет неработоспособной.

Применение межсетевого экрана может стать причиной падения производительности сети.

Зачастую одного файервола недостаточно, чтобы полностью обезопасить сеть от внешних угроз. Поэтому его применяют вместе с другими программами, такими как антивирус.

Преимущества

Идея сетевого экрана заимствована из концепции пожаротушения: файрвол (firewall - противопожарная стена) представляет собой барьер, созданный для предотвращения распространения огня.

Целью сетевого экрана тоже является блокировка всего, что может «сжечь» компьютер пользователя.

В список стандартных функции сетевых экранов входят регистрация и создание отчетов об атаках (успешные или нет), а также уведомлениями в случае несанкционированного вторжения.

Подводим итоги

Что делает файервол:

· Предотвращает вашу машину от вторжений извне.

· Блокирует передачу данных с вашего компьютера, кроме тех, которые разрешены.

Что не делает файерволл?

· Не защищает от загружаемых пользователем программ.

· Не блокирует сообщения почтовых программ.

· Не в силах воспрепятствовать пользователю создать ошибочные исключения, которые могут подвергнуть компьютер риску.

Лучший способ защитить компьютер, это настроить брандмауэр, на блокировку всего! Это может показаться немного странным, но это только первый шаг. Если заблокировать все, то очевидно, что ничего не будет работать, но затем вы последовательно разрешаете лишь то, что вам необходимо для работы на компьютере, тем самым не пропустите и не забудете заблокировать какую-нибудь стороннюю программу..

Защита сети

Файервол управляет всем входящим и исходящим сетевым трафиком компьютера. Процесс основан на разрешении или запрете отдельных сетевых соединений в соответствии с правилами фильтрации. Персональный файервол обеспечивает противодействие сетевым атакам со стороны удаленных компьютеров и разрешает блокирование некоторых служб. Кроме того, он обеспечивает защиту от вирусов при обмене данными по протоколам HTTP, POP3 и IMAP. Эта функция является очень важным элементом системы безопасности компьютера. ESET Internet Security проинформирует вас при попытке подключения к незащищенной беспроводной сети или сети со слабой защитой.

Конфигурация файервола доступна в области Настройка в меню Защита сети. Здесь можно изменять режим фильтрации, правила и дополнительные параметры.

Также можно получить доступ к дополнительным настройкам, щелкнув значок шестеренки > Настроить... рядом с элементом Файервол или нажав клавишу F5, которая вызывает меню Дополнительные настройки.

Щелкните значок шестеренки рядом с элементом Файервол, чтобы открыть следующие настройки.

Настроить...: открывается окно «Файервол» в меню дополнительных настроек, в котором можно определить, каким образом файервол будет обрабатывать сетевой обмен данными.

Приостановить работу файервола (разрешить весь трафик): действие, обратное действию параметра блокирования всего сетевого трафика. В этом режиме файервол отключает все функции фильтрации и разрешает все входящие и исходящие соединения. Щелкните Включить файервол, чтобы повторно включить файервол, когда для фильтрации сетевого трафика включен этот режим.

Блокировать весь трафик: все входящие и исходящие соединения будут блокироваться файерволом. Используйте этот параметр только в особых случаях, когда возникает опасная критическая ситуация, требующая незамедлительного отключения от сети. Если для фильтрации сетевого трафика выбрано состояние Блокировать весь трафик, щелкните Остановить блокировку всего трафика, чтобы восстановить нормальную работу файервола.

Автоматический режим: если включен другой режим фильтрации, воспользуйтесь этой командой, чтобы перевести фильтрацию в автоматический режим (с учетом правил, определяемых пользователем).

Интерактивный режим: если включен другой режим фильтрации, воспользуйтесь этой командой, чтобы перевести фильтрацию в интерактивный режим.

Защита от сетевых атак (IDS) : анализ содержимого сетевого трафика и защита от сетевых атак. Трафик, который расценивается как опасный, блокируется.

Защита от ботнетов: быстрое и точное выявление вредоносных программ на компьютере.

Подключенные сети: отображение сетей, к которым подключены сетевые адаптеры. После нажатия ссылки, расположенной под именем сети, вам будет предложено выбрать тип защиты (максимальная или разрешенная) для сети, к которой вы подключены с помощью сетевого адаптера. Этим параметром определяется возможность доступа других компьютеров сети к вашему устройству.

Временный «черный» список IP-адресов: отображение списка IP-адресов, которые были обнаружены как источники атак и добавлены в «черный» список для блокировки соединения в течение определенного периода времени. Чтобы получить дополнительную информацию, выберите этот параметр, а затем нажмите F1.

Профили можно использовать для настройки поведения файервола ESET Internet Security, указывая разные наборы правил для разных ситуаций.

Включить мониторинг домашней сети — защищает компьютеры от входящих сетевых (Wi-Fi) угроз.

Уведомлять о новых сетевых устройствах: уведомляет вас, когда в сети обнаруживается новое устройство.

Дополнительно

Правила: здесь можно добавлять правила и определять принцип обработки сетевого трафика файерволом.

Зоны: создание зон, включающих один или несколько безопасных IP-адресов.

ПРИМЕЧАНИЕ.

Если ботнет атакует ваш компьютер, можно создать исключение IDS. Исключение можно изменить в окне Расширенные параметры (F5) > Защита сети > Защита от сетевых атак > Исключения IDS, нажав кнопку Изменить.

Настройки режима обучения

В режиме обучения правила для каждого соединения, установленного системой, создаются и сохраняются автоматически. Участие пользователя не требуется, потому что ESET Internet Security сохраняет правила согласно предварительно настроенным параметрам.

Использование этого режима может представлять риск для системы, и его рекомендуется использовать только для первоначальной настройки файервола.

Последовательно выберите Расширенные параметры (F5) > Файервол > Основная информация > Режим фильтрации и в раскрывающемся меню выберите пункт Режим обучения, чтобы активировать параметры режима обучения. В этом разделе представлены следующие параметры.

ВНИМАНИЕ!

В режиме обучения файервол не фильтрует соединения. Разрешены все исходящие и входящие соединения. В этом режиме компьютер защищен файерволом не полностью.

Тип соединения: настройка отдельных параметров создания правил для каждого типа соединений. Существует четыре типа соединений.

Входящий трафик из доверенной зоны: примером входящего соединения в доверенной зоне является удаленный компьютер, находящийся в пределах доверенной зоны, который пытается установить соединение с приложением, запущенным на локальном компьютере.

Исходящий трафик в доверенную зону: приложение на локальном компьютере пытается установить соединение с другим компьютером в пределах локальной сети или сети в доверенной зоне.

Входящий интернет-трафик: удаленный компьютер пытается установить соединение с приложением, запущенным на компьютере.

Исходящий интернет-трафик: приложение на локальном компьютере пытается установить соединение с другим компьютером.

В каждом разделе определяются параметры, которые будут добавляться к новым правилам.

Добавить локальный порт: включает номер локального порта сетевого соединения. Для исходящих соединений обычно создаются случайные номера, поэтому данный параметр рекомендуется включать только для входящих соединений.

Добавить приложение: включает имя локального приложения. Данный параметр предназначен для использования в будущих правилах на уровне приложений (правилах, определяющих соединения для всего приложения). Например, можно разрешить соединения только для веб-браузера или почтового клиента.

Добавить удаленный порт: включает номер удаленного порта сетевого соединения. Например, можно разрешить или запретить подключение определенной службы, связанной со стандартным номером порта (HTTP — 80, POP3 — 110 и т. д.).

Добавить удаленный IP-адрес или удаленную доверенную зону: удаленный IP-адрес или удаленная зона могут использоваться в качестве параметра новых правил, регулирующих все соединения между локальной системой и соответствующим удаленным адресом или зоной. Этот параметр используются при определении действия для конкретного компьютера или группы сетевых компьютеров.

Максимальное количество разных правил для одного приложения: если приложение подключается к разным IP-адресам через разные порты, файервол в режиме обучения создаст для этого приложения соответствующее количество правил. Данный параметр позволяет ограничить число правил, которые могут быть созданы для одного приложения.

Защита от сетевых атак

Включить защиту от сетевых атак (IDS) : анализ содержимого сетевого трафика и защита от сетевых атак. Любой трафик, который расценивается как опасный, блокируется.

Включить защиту от ботнетов: обнаружение и блокирование подключений, связанных с вредоносными командами и управляющими серверами путем распознавания шаблонов, указывающих, что компьютер инфицирован и бот пытается установить соединение.

Исключения IDS: здесь можно добавлять исключения IDS и настраивать способы реагирования на вредоносные действия.

Правила файервола

На вкладке Основные сведения рядом с элементом Правила нажмите кнопку Изменить, чтобы открыть окно Правила файервола, в котором представлен список всех правил. Добавить, Изменить и Удалить — это кнопки для добавления, настройки и удаления правил. Изменить уровень приоритета правила можно с помощью кнопок В начало/Вверх/Вниз/В конец.

ПОДСКАЗКА: Поле Поиск служит для поиска правил по имени, протоколу или порту.

Сетевая идентификация

Аутентификация выполняется на основе параметров адаптера локальной сети. Происходит сравнение всех установленных параметров с фактическими параметрами активного сетевого подключения. Разрешено использование адресов IPv4 и IPv6.

Аутентификация сети

В рамках аутентификации сети выполняется поиск определенного сервера в сети, а для аутентификации сервера используется асимметричное шифрование (RSA). Имя аутентифицируемой сети должно совпадать с именем сети, указанным в настройках сервера аутентификации. Имя вводится с учетом регистра. Укажите имя сервера, его прослушивающий порт и открытый ключ, соответствующий закрытому ключу сервера. Имя сервера можно ввести в виде IP-адреса, имени DNS или NetBios. После имени сервера можно указать путь к файлу ключа на сервере (например, имя_сервера_/каталог1/каталог2/аутентификация). На случай недоступности сервера можно указать дополнительные серверы через точку с запятой.

Открытым ключом может быть файл одного из указанных ниже типов.

•Зашифрованный открытый ключ в формате PEM (.pem). Этот ключ можно создать с помощью приложения ESET Authentication Server

•Зашифрованный открытый ключ.

•Сертификат открытого ключа (.crt).

Чтобы проверить настройки, нажмите кнопку Проверить. Если аутентификация прошла успешно, на экране появится сообщение Аутентификация сервера завершена. Если аутентификация не настроена должным образом, на экране появится одно из указанных ниже сообщений об ошибке.

Сбой аутентификации сервера. Недопустимая или несовпадающая подпись. Подпись сервера не отвечает введенному открытому ключу.

Сбой аутентификации сервера. Имя сети не совпадает.
Настроенное имя сервера не соответствует зоне сервера аутентификации. Проверьте оба имени и убедитесь, что они одинаковы.

Сбой аутентификации сервера. Нет ответа от сервера, или получен недопустимый ответ.
Ответ отсутствует, если сервер не работает или недоступен. Недопустимый ответ может быть получен в случае, если запущен другой HTTP-сервер с указанным адресом.

Указан недействительный открытый ключ.
Проверьте, не поврежден ли файл открытого ключа.

Установка соединения: обнаружение

Файервол обнаруживает каждое из вновь созданных сетевых соединений. Активный режим персонального файервола определяет, какие действия должны выполняться для нового правила. Если активирован Автоматический режим или Режим на основе политики, файервол выполнит предварительно заданные действия без вмешательства пользователя.

В интерактивном режиме выводится информационное окно с уведомлением об обнаружении нового сетевого соединения. В окне приводится дополнительная информация о соединении. Пользователь может разрешить или запретить (заблокировать) соединение. Если соединения одного типа возникают регулярно, и их приходится разрешать вручную, рекомендуется создать для них правило. Для этого выберите функцию Создать правило и запомнить навсегда и сохраните новое правило для файервола. Если персональный файервол обнаружит такое соединение в будущем, он применит это правило.

Будьте внимательны при создании новых правил и разрешайте только те соединения, в безопасности которых вы уверены. Если разрешить все соединения, файервол не сможет обеспечивать защиту. Ниже перечислены наиболее важные параметры соединений.

•Удаленный компьютер: разрешать соединения только с доверенными и известными адресами.

•Локальное приложение: не рекомендуется разрешать соединения с неизвестными приложениями и процессами.

•Номер порта: соединения на стандартных портах (например, порт номер 80 для просмотра веб-страниц) в обычных условиях должны быть разрешены.

Компьютерные вирусы для размножения часто используют соединения с Интернетом или скрытые соединения, через которые происходит заражение других компьютеров. Если правила настроены правильно, файервол является эффективным средством противодействия разнообразным атакам с применением вредоносного кода.

Создание исключений на основе уведомлений файервола

Когда файрвол ESET обнаруживает вредоносную сетевую деятельность, отображается окно уведомлений с описанием этого события. Уведомление содержит ссылку, перейдя по которой можно получить дополнительные сведения о событии и создать исключение для этого события (если нужно).

ПРИМЕЧАНИЕ

Если сетевое приложение или устройство не соблюдает сетевые стандарты надлежащим образом, это может вызвать отображение повторяющихся уведомлений IDS файрвола. Исключение можно создать непосредственно на основе уведомления. Благодаря этому файрволл ESET не будет обнаруживать это приложение или устройство.

Расширенное ведение журналов PCAP

Эта функция предназначена для предоставления более комплексных файлов журнала службе поддержки клиентов ESET. Используйте эту функцию только по запросу службы поддержки клиентов ESET, поскольку она может создать очень большой файл журнала и замедлить работу компьютера.

Перейдите в раздел Дополнительные настройки > Служебные программы > Диагностика и выберите параметр Включить расширенное ведение журнала в файрволле.

Выключить расширенное ведение журнала PCAP.

Файл журнала PCAP можно найти в папке, где создаются дампы памяти для диагностики. C:\ProgramData\ESET\ESET Internet Security\Diagnostics\

ЕСЛИ СЧИТАЕТЕ СТАТЬЮ ПОЛЕЗНОЙ, ПОЖАЛУЙСТА ПОСТАВЬТЕ ЛАЙКИ И ПОДЕЛИТЕСЬ С ДРУЗЬЯМИ: