Андрей Смирнов
Время чтения: ~22 мин.
Просмотров: 0

Что такое брандмауэр, зачем он нужен, как его включить и настроить

Введение

Skype, TOR, Ultrasurf, TCP-over-DNS и еще несколько сотен приложений и туннелей спокойно проходят сквозь statefull inspection firewall и HTTP прокси. Многие средства защиты открывают соединения, но не проверяют, что ходит внутри них. Предлагаю разобраться, как контролируемо разрешать соединения приложений в новом поколении firewall, где правила пишутся по именам приложений, что соответствует 7 уровню модели OSI ISO. Такие межсетевые экраны имеют название Next Generation Firewall, межсетевой экран нового поколения или просто NGFW.

Администратору межсетевого экрана нужно не только разрешить соединение, а еще гарантировать, что внутри разрешенного соединения ходит то, что вы хотели, включая проверки передаваемых файлов. Это называется безопасное разрешение приложений.

Существует несколько важных отличий в работе с трафиком, которые понимаешь лишь когда переходишь на реальное использование правил, где критерием является приложение 7 уровня модели ISO OSI:

  • ИТ администратор видит, что NGFW удобнее в визуализации сетевого трафика и показывает содержимое поля данных пакетов по каждому пользователю и сервису: какое приложение работает и какие файлы передает.

  • ИТ безопасность видит, что NGFW обеспечивают безопасное разрешение приложений, поскольку более глубокий анализ данных в пакете позволяет увидеть вирусы, подключить отправку неизвестных файлов в песочницу, проверить тип файла, ключевые слова для DLP, проверить категорию URL, проверить что идет внутри SSL и SSH, сравнить с уже известными всему миру индикаторами компрометации, включить DNS фильтр и другие современные техники.

Сравним журналы L4 и L7 firewall.

А) Сравните запись в журнале firewall, который разбирает только заголовок транспортного (четвертого) уровня модели OSI ISO:

Да, есть информация об источнике и получателе, можно догадаться по номеру порта 443, что это внутри с большой степенью вероятности, как говорят англичане, соединение SSL. Но вряд ли тут можно увидеть какой-то инцидент.

Б) Сравните запись в журнале firewall для того же самого TCP соединения, где разбирается еще и сам контент передаваемый в поле данных TCP/IP:

Здесь вы видите, что Иванов из отдела маркетинга выложил на Slideshare файл с пометкой «не для распространения». Это пример реального инцидента, где сотрудник выложил конфиденциальные планы развития компании на год в Интернет. Эта информация получена в L7 firewall на основе анализа того же самого соединения, что и выше у L4 firewall и сразу информации становится достаточно, чтобы понять, что был инцидент. И это совершенно другой подход к анализу трафика. Но это накладывает серьезную нагрузку на процессор и память устройства.

Иногда ощущается, что уровень детализации журналов в NGFW похож на уровень детализации в системах SIEM, которые собирают информацию по крупицам из разных источников. Именно поэтому NGFW один из лучших источников информации для SIEM.

Настройка Брандмауэра в ОС Windows

Основная функция брандмауэра – проверка данных поступающих из интернета и блокировка тех, которые вызывают опасения. Существует два режима «белый» и «черный» список. Белый – блокировать всё, кроме того, что разрешено, черный разрешать все кроме запрещенного. Даже после полной настройки брандмауэра остаётся необходимость устанавливать разрешения для новых приложений.

Чтобы найти брандмауэр:

  • зайдите в Панель управления и воспользуйтесь поиском;
  • в открывшемся окне можно изменить параметры защиты для частных и публичных сетей;

Если у вас уже установлен антивирус, отключите брандмауэр как показано на этой картинке.

Блокирование исходящих соединений

Брандмауэр и иногда антивирус могут полностью блокировать все исходящие соединения.

Чтобы перекрыть файерволом исходящие подключения в режиме белого фильтра нужно:

  • зайти в «дополнительные параметры» брандмауэра;
  • открыть окошко «Свойства»;
  • поставить «исходящие подключения» в режим «блокировать» в частном и общем профиле.

Правила для приложений

Есть специальный список программ, которым разрешен обмен данными с интернетом и если нужная вам блокируется, нужно просто настроить разрешения для нее в этом списке. Кроме того, можно настроить уведомления так, чтобы если блокируется новое приложение, вы имели выбор – оставить все как есть и разрешить доступ этой программе.

Например, можно закрыть доступ к интернету для скайпа или гугл хром, или наоборот, оставить доступ только для пары конкретных рабочих программ.

Правила для служб

Чтобы настроить доступ для служб:

  1. заходим в углубленные настройки брандмауэра;
  2. слева выбираем входящие или исходящие правила;
  3. справа выбираем пункт «Создать правило»;
  4. в списке выбираем «Настраиваемое»;
  5. вводим имя службы или выбираем его из предложенного списка.

В новых версиях Windows, начиная с Vista, предусмотрена возможность выбирать службу из списка, не вводя имя службы вручную. Если нет доступа к компьютеру в сети windows xp или windows server, вам нужно настроить службу политики доступа, то подробное описание можно найти в справках системы.

Активируем зарезервированное правило

Чтобы активировать зарезервированное правило, нужно повторить пункты 1-3 из предыдущего раздела, затем:

  • выбрать пункт «Предопределенные»;
  • отметить желаемое разрешение, например для «Удаленного помощника»;
  • выбрать нужное правило из списка;
  • указать действие для указанных условий – разрешить подключение, разрешить безопасное подключение или блокировать.

Разрешаем VPN-подключение

Для установки особого разрешения VPN подключения, нужно снова повторить пункты 1-3, далее:

  • выбрать пункт «Для порта»;
  • указать протокол TCP или UDP;
  • выбрать применение правила ко всем или определенным портам;
  • отметить нужный пункт: разрешить подключение, разрешить безопасное подключение, блокировать подключение;
  • выбрать профили, для которых должно применяться это правило – доменный, частный или публичный;
  • дать название готовому правилу.

Ограниченность анализа межсетевого экрана

Межсетевой экран позволяет осуществлять фильтрацию только того трафика, который он способен «понимать». В противном случае, он теряет свою эффективность, так как не способен осознанно принять решение о том, что делать с нераспознанным трафиком. Существуют протоколы, такие как TLS, SSH, IPsec и SRTP, использующие криптографию для того, чтобы скрыть содержимое, из-за чего их трафик не может быть проинтерпретирован. Также некоторые протоколы, такие как OpenPGP и S/MIME, шифруют данные прикладного уровня, из-за чего фильтровать трафик на основании информации, содержащейся на данном сетевом уровне, становится невозможно. Ещё одним примером ограниченности анализа межсетевых экранов является туннелированный трафик, так как его фильтрация является невозможной, если межсетевой экран «не понимает» используемый механизм туннелированния. Во всех этих случаях правила, сконфигурированные на межсетевом экране, должны явно определять, что делать с трафиком, который они не могут интерпретировать.

Как удалить сетевой экран и нужно ли это делать

Сетевой экран – нужная программа, обеспечивающая безопасность компьютера, и он должен быть: а) установлен, б) включен. Но сетевой экран может конфликтовать с некоторыми приложениями, обычно антивирусами, особенно с собственным встроенным файрволом, и при попытке установки антивируса появляется требование удалить сетевой экран. А пользователь не всегда понимает, как удалить сетевой экран, и что это такое.

Сетевой экран – то же, что брандмауэр или файрвол, операционная система Windows имеет собственный штатный, то есть встроенный файрвол, и удалить его не удастся никак, только отключить, что как раз очень просто, это первая возможность, представляющаяся при открытии окна файрвола. Вообще, все сетевые экраны могут быть отключены, так что их удаление – достаточно радикальная мера.

Если же действительно необходимо удалить сетевой экран, являющийся отдельной программой, это делается через службу Установка и удаление программ. Если сетевой экран является компонентом антивируса, то удаляется вместе с ним, аналогичным способом. Иногда приходится применять специальные программы бесследного удаления антивирусов.

Вернуться обратно

Брандмауэр Windows – это системная утилита, созданная по принципу Firewall. Она представляет собой межсетевой экран, который блокирует доступ к нежелательным ресурсам. Также брандмауэр способен блокировать доступ в интернет тем программам, которые пользователь выберет сам. Это достигается путем настройки правил экрана. Файрволл является частью Центра обеспечения безопасности.

Многие пользователи стремятся его отключить, так как либо не понимают все плюсы его использования, либо ставят сторонние программы для решения таких задач. Брандмауэр появился еще в Windows XP, но та версия была настолько нестабильна, что вирусу ничего не стоило заразить компьютер. В пакете обновления SP3 уязвимости были исправлены, а к моменту выхода Vista этот компонент системы стал полноценным защитником ОС от вторжения извне.

Почему компьютеры включают брандмауэры

Большинство пользователей теперь используют маршрутизаторы дома, чтобы они могли делиться своим интернет-соединением между несколькими устройствами. Однако было время, когда многие люди подключили кабель Ethernet своего компьютера непосредственно к кабелю или DSL-модему, подключив компьютер непосредственно к Интернету. Компьютер, подключенный непосредственно к Интернету, имеет общедоступный IP-адрес — другими словами, любой пользователь Интернета может достичь этого. Любые сетевые службы, которые у вас запущены на вашем компьютере, такие как службы, входящие в состав Windows для совместного использования файлов и принтеров, удаленный рабочий стол и другие функции, будут доступны для других компьютеров в Интернете.

В первоначальном выпуске Windows XP не было брандмауэра. Сочетание услуг, предназначенных для локальных сетей, без брандмауэра и компьютеров, подключенных непосредственно к Интернету, привело к тому, что многие компьютеры Windows XP заразились в течение нескольких минут после подключения к Интернету.

Брандмауэр Windows был представлен в Windows XP с пакетом обновления 2 (SP2), и он, наконец, включил брандмауэр по умолчанию в Windows. Эти сетевые службы были изолированы от Интернета. Вместо того, чтобы принимать все входящие соединения, система брандмауэра удаляет все входящие соединения, если только она специально не настроена для разрешения этих входящих соединений.

Это не позволяет пользователям Интернета подключиться к локальным сетевым службам на вашем компьютере. Он также контролирует доступ к сетевым службам с других компьютеров в вашей локальной сети. Вот почему вас спрашивают, какая именно сеть, когда вы подключаетесь к одному в Windows. Если вы подключитесь к домашней сети, брандмауэр разрешит доступ к этим службам. Если вы подключитесь к общедоступной сети, брандмауэр запретит доступ.

Даже если сама сетевая служба настроена так, чтобы не разрешать подключения из Интернета, возможно, что сама служба имеет дефект безопасности, и специально созданный запрос может позволить злоумышленнику запустить на вашем компьютере произвольный код. Брандмауэр предотвращает это, мешая, препятствуя входящим соединениям даже достичь этих потенциально уязвимых сервисов.

Создание сетевых правил

Часто стандартных настроек файрволла недостаточно для полноценной работы тех или иных программ. Экран может блокировать их доступ в интернет. И в этом случае придется создать сетевые правила, которые разрешат утилитам соединяться с нужными им серверами. Существуют отдельные правила для входящих и исходящих подключений. Если приложению нужно использовать оба, то следует создать два правила.

Для создания правила идем в «Панель управления», выбираем вкладку «Администрирование» и там щелкаем по надписи «Брандмауэр Windows в режиме повышенной безопасности». Здесь нужно выбрать пункт «Правила для входящих подключений» и нажать на кнопку «Создать правило». Откроется специальный мастер, в котором уже будет стоять галочка на пункте «Для программы». Нажимаем «Далее» и при помощи кнопки «Обзор» выбираем исполняемый файл нужного приложения (к примеру, skype.exe). Нажимаем кнопку «Далее» и отмечаем пункт «Разрешить подключение». Затем нажимаем два раза кнопку «Далее» и присваиваем правилу имя (skype). Теперь можно нажать «Готово». Правило создано. Для того, чтобы все заработало нужно перезагрузить компьютер.

Точно так же создаются правила для исходящих подключений. Только нужно в окне слева выбрать соответствующую вкладку.

С помощью штатного межсетевого экрана ОС Windows можно обезопасить свой компьютер даже без использования специализированных антивирусных продуктов (которые, как известно, платные). Достаточно потратить немного времени на настройку брандмауэра Windows, и ваш компьютер будет защищен от любого типа угроз. Включая всевозможные вредоносные вирусы и хакерские атаки.

Что такое межсетевой экран

Межсетевой экран (МЭ, файрвол, брандмауэр) — инструмент, который фильтрует входящий и исходящий сетевой трафик. Он анализирует источник трафика, время передачи, IP-адрес, протокол, частоту сообщений и другие параметры, после чего принимает решение: пропустить или заблокировать трафик.

У межсетевых экранов бывают стандартные настройки — например, он может блокировать все входящие подключения или исходящие пакеты от определенных приложений. Для корпоративных целей экраны, как правило, настраивают дополнительно — задают протоколы, порты, разрешения для приложений. Обычно этим занимается системный администратор или специалист по информационной безопасности.

Классический межсетевой экран не изучает передаваемые данные, не ищет вредоносный код, ничего не шифрует и не расшифровывает. Он работает только с сетевыми параметрами соединения, а точнее — с признаками отдельных IP-пакетов, из которых состоит это соединение, такими как IP-адреса соединяющихся компьютеров и некоторые другие параметры.

Упрощенная схема работы файрвола

Межсетевой экран выступает в качестве барьера между двумя сетями, например, внутренней сетью компании и интернетом. Он защищает от:

  • Несанкционированного доступа из интернета в защищенную сеть. Например, если из интернета придет пакет данных от ненадежного адресата, МЭ его не пропустит.
  • Неконтролируемых сетевых подключений. Если кто-то попытается устроить DDoS-атаку, чтобы уронить серверы компании, МЭ не пропустит все эти пакеты данных.
  • Несанкционированной передачи из защищенной сети в интернет. Например, вирус проник на сервер, собрал данные и пытается отправить их хакеру. МЭ заметит передачу подозрительному адресату и заблокирует ее — данные не утекут в сеть.

Чаще всего межсетевой экран устанавливают на границе корпоративной сети и интернета. Но можно поставить его и внутри корпоративной сети, чтобы создать отдельную, особо защищенную сеть. Например, дополнительно фильтровать трафик к серверам с самыми секретными данными. Кроме того, экран может стоять на отдельном компьютере и защищать только его. В этом случае его иногда называют сетевым (а не межсетевым), однако по классификации ФСТЭК он также будет относиться к межсетевым экранам.

Ниже мы рассматриваем варианты МЭ, которые отражены в документации ФСТЭК — это классические серверные и десктопные экраны. Поэтому мы не рассматриваем все современные варианты МЭ: брандмауэры для смартфонов, средства фильтрации трафика для беспроводных соединений, а также современные устройства для более сложной фильтрации, чем по признакам сетевых соединений (IP-пакетов), такие как DPI.

Итак, переходим к вариантам межсетевых экранов, описанным в документации ФСТЭК.

Кому и зачем нужен межсетевой экран, сертифицированный ФСТЭК

Если компания хранит персональные данные, то, согласно 152-ФЗ, она обязана обеспечить им защиту. Чтобы защищать данные в соответствии с требованиями закона, компании нужно использовать средства защиты, сертифицированные ФСТЭК. Такой сертификат подтверждает, что программа или устройство действительно надежно защищает данные. ФСТЭК сертифицирует в том числе межсетевые экраны — как программные, так и аппаратные.

То есть, если вы храните в базах данных информацию о своих сотрудниках или клиентах, вы работаете с персональными данными, а значит, обязаны обеспечить им защиту. Иногда это подразумевает, что нужно задействовать сертифицированный ФСТЭК межсетевой экран.

Сертификат ФСТЭК также может подтвердить, что МЭ подходит для защиты государственной тайны. Так что компании, которые хранят такие сведения, тоже обязаны использовать только сертифицированные межсетевые экраны.

Если вы не храните гостайну или персональные данные, необязательно устанавливать именно сертифицированный ФСТЭК межсетевой экран

Но если вы заботитесь о секретности ваших данных, при выборе экрана имеет смысл обратить внимание на сертификат — он подтвердит, что выбранный МЭ действительно надежный

Определения

Нужно подсветить термины, которыми мы будем дальше оперировать. У меня нет цели в деталях дать все определения.

Семиуровневая модель OSIISO – это модель взаимодействия между сетевыми устройствами, которая гласит, что существует 7 уровней абстракции взаимодействия: первый — физический, потом канальный, сетевой, четвертый — транспортный, сессионный, представления и седьмой уровень – приложений.

Каждое сетевое устройство работает на своем уровне абстракции: веб сервер и браузер – на уровне приложений, маршрутизаторы — общаются друг с другом на канальном и сетевом уровне, когда передают друг другу фреймы и пакеты.

Межсетевые экраны тоже являются сетевыми устройствами, также могут быть свитчами и роутерами и даже быть «виртуальным кабелем» с точки зрения сетевой топологии, но на них ложится дополнительная нагрузка: они должны анализировать содержимое пакетов и вот глубина анализа сетевых пакетов может отличаться

Анализируют ли они 4 или 7 уровень, в этом есть важное отличие.

Какие бывают межсетевые экраны по документации ФСТЭК

Межсетевые экраны бывают двух видов: аппаратные и программные. Они выполняют одинаковые функции, но работают немного по-разному:

  • Программно-аппаратные комплексы (ПАК), или аппаратные МЭ — специальные устройства или компоненты роутеров, на которых установлено фильтрующее программное обеспечение. Все железо и ПО внутри этого устройства специализировано на фильтрации трафика и нескольких смежных задачах, дополнительные программы на аппаратный МЭ поставить нельзя. Это снижает уязвимость такого устройства к атакам и позволяет обеспечивать защищенность более высокого класса.
  • Программные МЭ — программное обеспечение на сервере, которое занимается фильтрацией трафика. По сути, это то же ПО, что установлено в аппаратном МЭ, но оно устанавливается на сам сервер.

Аппаратные МЭ обычно стоят на границе сети, например, там, где внутренняя сеть подключается к интернету. Программные стоят на узлах самой внутренней сети, то есть защищают непосредственно компьютеры и серверы.

Аппаратные МЭ дороже, но надежнее, обеспечивают более серьезную защиту. Программные дешевле, но менее надежны — есть риск, что трафик от злоумышленника успеет навредить сети. Кроме того, программные межсетевые экраны часто настолько нагружают компьютер, на который установлены, что там ничего больше нельзя установить. Из-за этого для них иногда выделяют отдельный сервер — и этот сервер фактически играет роль аппаратного межсетевого экрана.

Межсетевой экран можно развернуть и на облачном сервере. Его можно расположить на границе логической локальной сети в облаке точно так же, как физический МЭ можно расположить на границе физической корпоративной сети. Такой МЭ будет фильтровать соединения на границе виртуальной частной сети.

Типичные возможности

  • фильтрация доступа к заведомо незащищенным службам;
  • препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
  • контроль доступа к узлам сети;
  • может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;
  • регламентирование порядка доступа к сети;
  • уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.

Также следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.

Фильтрация трафика

Фильтрация трафика осуществляется на основе набора предварительно сконфигурированных правил, которые называются ruleset. Удобно представлять межсетевой экран как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельного правила. Последовательность правил в наборе существенно влияет на производительность межсетевого экрана. Например, многие межсетевые экраны последовательно сравнивают трафик с правилами до тех пор, пока не будет найдено соответствие. Для таких межсетевых экранов, правила, которые соответствуют наибольшему количеству трафика, следует располагать как можно выше в списке, увеличивая тем самым производительность.

Существует два принципа обработки поступающего трафика. Первый принцип гласит: «Что явно не запрещено, то разрешено». В данном случае, если межсетевой экран получил пакет, не попадающий ни под одно правило, то он передаётся далее. Противоположный принцип — «Что явно не разрешено, то запрещено» — гарантирует гораздо большую защищённость, так как он запрещает весь трафик, который явно не разрешён правилами. Однако этот принцип оборачивается дополнительной нагрузкой на администратора.

В конечном счёте межсетевые экраны выполняют над поступающим трафиком одну из двух операций: пропустить пакет далее (allow) или отбросить пакет (deny). Некоторые межсетевые экраны имеют ещё одну операцию — reject, при которой пакет отбрасывается, но отправителю сообщается о недоступности сервиса, доступ к которому он пытался получить. В противовес этому, при операции deny отправитель не информируется о недоступности сервиса, что является более безопасным.

Функции экрана

Межсетевой экран устанавливается для того, чтобы решать несколько очень важных задач. Какую функцию выполняют сетевые экраны после своей установки?

  • Первой такой задачей является защита внутренней малой сети, допустим, компании от любых внешних проникновений. Стоит отметить, что обеспечение не делает разницы между внешними пользователями или внутренними. Проверять он будет одинаково как сотрудников компании, ее партнеров, так и хакеров, пытающихся проникнуть в Сеть.
  • Вторая функция — это регулирование доступа внутренних пользователей к внешним ресурсам. Другими словами, можно настроить межсетевой экран так, чтобы он блокировал доступ из подконтрольных ему ПК к ресурсам, которые не требуются для выполнения работы.

Стоит также отметить, что в настоящее время отсутствует общая классификация таких программ и устройств.

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

  • обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
  • происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
  • отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

  • традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
  • персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

  • сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
  • сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
  • уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

  • stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
  • stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Ограниченность анализа межсетевого экрана

Межсетевой экран позволяет осуществлять фильтрацию только того трафика, который он способен «понимать». В противном случае, он теряет свою эффективность, так как не способен осознанно принять решение о том, что делать с нераспознанным трафиком. Существуют протоколы, такие как TLS, SSH, IPsec и SRTP, использующие криптографию для того, чтобы скрыть содержимое, из-за чего их трафик не может быть проинтерпретирован. Также некоторые протоколы, такие как OpenPGP и S/MIME, шифруют данные прикладного уровня, из-за чего фильтровать трафик на основании информации, содержащейся на данном сетевом уровне, становится невозможно. Ещё одним примером ограниченности анализа межсетевых экранов является туннелированный трафик, так как его фильтрация является невозможной, если межсетевой экран «не понимает» используемый механизм туннелированния. Во всех этих случаях правила, сконфигурированные на межсетевом экране, должны явно определять, что делать с трафиком, который они не могут интерпретировать.

Антивирус

Наиболее частой причиной отсутствия выхода в сеть Hamachi является установленный антивирус. Отключите его (и встроенный в него firewall тоже, если он отключается отдельно). Проверьте связь — она должна восстановиться. Если так и произошло, рекомендую не держать антивирус отключенным, а внести Хамачи в его исключения. Обратитесь к производителю своего антивируса за инструкцией, в которой будет описано, как это сделать.

Несмотря на старания разработчиков Хамачи сделать данную программу максимально «дружелюбной» и простой, у многих пользователей все же возникают трудности с её настройкой. Следуя написанным ниже инструкциям, вы сможете без труда правильно настроить Hamachi для игры или работы.

Общая настройка Hamachi на Windows

В данной статье мы рассмотрим, как настроить Hamachi 2.2.0.541 — самую на сегодняшний день. В примере демонстрируется настройка Hamachi для Windows 7
, так как данная ОС наиболее распространена сегодня.

В общем случае, Hamachi не требует какой-либо дополнительной настройки, все, что вам нужно — установить программу, запустить её, нажать на кнопку «включение» (рис.1).

После этого, нужно подключиться к интересующей сети, нажав «подключиться к существующей сети» (рис.2) либо «сеть» -> «подключиться к существующей сети» (рис.3).

Если в сети достаточно свободных слотов, вы подключитесь и увидите окно со списком участников (рис.5).

Hamachi просит регистрацию, что делать?

В таком случае нужно либо бесплатно зарегистрироваться в системе LogMenIn (рис.7), либо авторизироваться, если у вас уже есть аккаунт LogMenIn.

Что делать, если Hamachi не подключается?

Если Hamachi не подключается ни к одной сети, нажмите «система» -> «параметры» (рис.9).

Выберите самый нижний пункт левой панели — «Параметры», найдите там «Шифрование» и поставьте тип «Любой» (рис.10).

Затем нажмите расположенный внизу окна пункт «Дополнительные настройки» (рис.11).

В случае если вы не используете прокси-сервер, установите соответствующий атрибут с флагом «нет» (рис.12).

Учтите, что при использовании прокси, проблемы с подключением могут быть обусловлены именно им.

Затем разрешите имена по протоколу mDNS (рис.13).

Отключите фильтрацию трафика, выбрав флаг «разрешить все» в соответствующем поле (рис.14).

Включите присутствие в виртуальной сети Hamachi (рис.15).

Подтвердите внесенные изменения (рис.16).

Закройте программу и зайдите в нее заново.

Если вышеописанное не помогло, попробуйте временно отключить ваш антивирус.
Также иногда Hamachi не подключается из-за того что его блокирует Брандмауэр.
Для его отключения нажмите «Пуск
» -> Панель управления
-> Брандмауэр
-> Включение и отключение Брандмауэра

(рис. 17) (рис. 18) (рис. 19) (рис. 20)

Настройка Hamachi через роутер

Откройте в настройках вашего роутера два произвольных свободных порта (каждая конкретная модель роутера имеет свою специфику открытия портов — смотрите инструкцию). Затем настройте Hamachi на их использование, прописав в уже знакомом окне «расширенные настройки» атрибуты локальный TCP-адрес и локальный UDP-адрес (рис. 21).

После этого перезапустите роутер и произведите перезапуск Hamachi. Важный момент — при «пробрасывании» портов не перепутайте адреса для TCP и UDP протоколов!

Частные случаи настройки Hamachi

Стоит отметить, что данной программой довольно часто пользуются геймеры для построения игровых сетей, а также разнообразные организации для создания систем корпоративного файлообмена. В таких случаях следует четко следовать инструкциям игрового сообщества или вашей компании. Однако вместе с тем необходимо понимать, что решив скачать и установить сторонний неофициальный дистрибутив Hamachi, вы подвергаете опасности безопасность вашего ПК — без крайней необходимости воздержитесь от подключения к таким сетям.

Как настроить язык в Hamachi?

Опционального выбора языка в программе, к сожалению, не предусмотрено. Дабы не бегать за словарем достаточно, чтобы у вас была русская версия Hamachi. Если по каким-то причинам вам нужен другой язык — переустановите программу, предварительно скачав соответствующую интересующему вас языку локализацию «хомяков».

Работа Hamachi, подобно другим программам на основе сети, зачастую отличается помехами. В качестве причин можно выделить Firewall, то есть, брандмауэр, встроенный в Windows, а также антивирус, который установлен на вашем компьютере. Если в процессе тестирования соединения в Hamachi возникает сообщение потом, что входящий трафик заблокирован и нужно проверить настройки сетевого экрана, отключите то и другое, а затем попробуйте установить новое соединение.

Проблемы, не решаемые файрволом

Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он:

  • не защищает узлы сети от проникновения через «люки» (англ.back doors ) или уязвимости ПО;
  • не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;
  • не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к файрволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации