15 лет назад 4 января 2004 в 3:00 139

Мы уже не представляем себе жизнь без интернета и, подключаясь к Сети каждый день, вовсе не задумываемся о том, сколько она таит в себе опасностей. Практически всем веб-серферам известны надоедливые pop-up-окна, которые выскакивают в самый неподходящий момент и могут запросто “подвесить” операционную систему. Но это, пожалуй, самое безобидное явление по сравнению с атаками хакеров, несанкционированным доступом, загрузкой вирусов и прочими неприятностями.

Файерволл (firewall, брандмауэр) – это система безопасности, действующая как защитный барьер между вашим компьютером и внешним миром – интернетом или локальной сетью. Как правило, это программное средство, в котором пользователь может настраивать различные ограничения и регулировать обмен данными между своим компьютером и Сетью. Основные задачи брандмауэра – отслеживать все сетевые соединения, блокировать потенциально опасные и вести подробнейший протокол сетевой активности.

Несомненным достоинством Windows XP является то, что эта система уже содержит простейший файерволл Internet Connection Firewall (ICF). Он относится к категории регистрирующих состояние связи – такие брандмауэры отслеживают все характеристики передаваемого через них трафика и проверяют исходный адрес и адрес назначения в каждом обрабатываемом сообщении. Файерволл подключения к интернету ведет специальную таблицу всех исходящих сеансов связи, инициированных с компьютера пользователя.

Весь входящий трафик из интернета проверяется по записям таблицы брандмауэра и пропускается на компьютер только в том случае, если в таблице имеется соответствующая отметка, показывающая, что обмен данными был начат именно локальным пользователем. Сеансы связи, которые инициируются из источников Сети, прекращаются брандмауэром (кроме случаев, если на вкладке “Службы” сделана запись, разрешающая такое соединение, но об этом позже).

Брандмауэр Windows XP не посылает пользователю никаких отвлекающих уведомлений – он просто прерывает передачу данных, которые пользователь не запрашивал, и ведет журнал безопасности, записывая в него все необходимые сведения о наблюдаемой активности. Таким образом можно остановить многие распространенные виды атак, например сканирование портов.

Одним из преимуществ ICF является то, что настраивать его параметры можно отдельно для каждого подключения.

НАСТРОЙКА СЛУЖБ БРАНДМАУЭРА
После включения брандмауэра необходимо нажать кнопку “Параметры” и на вкладке “Службы” настроить протоколы, которые будут использоваться для обмена данными с интернетом.

На этой вкладке показаны основные службы, которые могут потребоваться пользователю, поэтому их можно добавлять, а также изменять и удалять. Однако необходимо сразу оговориться, что данный файерволл фильтрует только входящий трафик.

С точки зрения простоты и удобства это резонно, поскольку основная опасность кроется именно в попытках несанкционированных входящих соединений.

К примеру, если ваш компьютер находится в локальной сети и коллегам часто приходится качать с него необходимую им для работы информацию, то нужно установить на компьютер ftp-сервер (например, War-ftp) – и разрешенные вами каталоги пользователи будут видеть с помощью стандартных ftp-клиентов как локальную систему каталогов.

Более того, протокол ftp оптимизирован под передачу больших объемов информации, поэтому работает гораздо быстрее, чем http или другие протоколы уровня приложений. Итак, вы установили сервер, настроили его, но вам нужно обезопасить компьютер от неблагонадежных элементов, которые, к несчастью, обитают в каждой сети.

Вы активизируете брандмауэр Windows XP и на вкладке “Службы” включаете ftp-сервер. При этом в настройках номер порта (21) и протокол транспортного уровня TCP пропишутся автоматически. Если название (или IP-адрес) вашего компьютера не появится само, то необходимо его ввести вручную.

После этих нехитрых действий ваше подключение по локальной сети будет защищено, и пользователи смогут инициализировать соединение с вашим компьютером только на порт 21 и по протоколу ftp. Конечно, можно провести атаку и по этому порту, но ее успех будет зависеть от глубины ваших познаний в настройке ftp-сервера.

Подводя итог сказанному, можно сказать, что после включения файерволла Windows XP пользователю обычно нет необходимости его каким-то образом настраивать, что порадует новичков. Уровень защиты при этом резко повышается – в частности, становится невозможным проникновение в систему таких опасных вирусов, как MSBlast. Активизировать же доступ к локальным службам следует только при наличии соответствующего статического сервера (web, ftp, mail или др.), которому необходимо открывать доступ через файерволл для соединений, инициализирующихся из локальной сети или Интернет.

ВЕДЕНИЕ ЖУРНАЛА БЕЗОПАСНОСТИ
Для ICF, брандмауэра подключения к интернету, разумеется, предусмотрено ведение журнала безопасности. Если говорить в данном контексте о положительных моментах в использовании файерволла ICF, то можно отметить, что он не надоедает пользователю постоянными сообщениями о том, что кто-то пытается установить несанкционированное соединение с его компьютером.

Брандмауэр просто протоколирует такие попытки, и потом, выйдя в оффлайн, пользователь спокойно анализирует журнал и делает на его основе определенные выводы о потенциальных опасностях и возможных местах их происхождения. Причем просмотр журнала рекомендуется делать регулярно, особенно в локальных сетях.

Журнал имеет следующие возможности протоколирования:

Записывать пропущенные пакеты. Данный параметр задает запись в журнал сведений обо всех отвергнутых пакетах, исходящих из интернета. Эти записи помогут при анализе атак, сканирования портов и попыток неавторизованного входа в систему. Просматривая впоследствии журнал безопасности, можно будет посмеяться над тем, кто так долго и безуспешно пытался взломать OC, а также составить соответствующую записку администратору локальной сети или провайдеру злоумышленника.

Записывать успешные подключения. Этот параметр задает запись в журнал сведений обо всех успешных подключениях, инициированных вашим компьютером. Данный режим может быть интересен родителям, которые хотят быть в курсе того, чем это ночи напролет занимается их чадо, сидя перед голубым экраном монитора. Анализировать сам обмен пакетов по протоколу TCP не стоит, поскольку здесь нужны более глубокие знания стека протоколов TCP/IP.

А вот записать IP-адреса, с которыми чаще всего устанавливал связь компьютер можно – достаточно указать полученный из журнала IP-адрес в браузере, и последний перейдет на нужную страницу. А вообще, устанавливать данный флажок не рекомендуется, так как успешных подключений, как правило, много, и все они могут вылиться в многомегабайтные файлы журнала безопасности на вашем жестком диске.

Журнал безопасности создается в формате Extended Log File Format (расширенный формат файла журнала log), предложенном организацией W3C. По умолчанию файл журнала безопасности называется pfirewall.log и находится в каталоге Windows.

Как только файл pfirewall.log достигнет максимально допустимого размера (заданного пользователем в интервале от 1 до 32767 кб), его содержимое переписывается в новый файл и сохраняется с именем pfirewall.log.1, а новые сведения опять будут записываться в файл pfirewall.log. Максимальный размер журнала безопасности рекомендуется ограничить, чтобы избежать переполнения, которое может быть вызвано атаками типа “отказ в обслуживании” (DoS-атаки).

Журнал безопасности брандмауэра Windows XP состоит из двух разделов – заголовка и собственно тела, представляющего собой записи о входящем или исходящем трафике (в зависимости от сделанных настроек). Описание полей журнала безопасности подробно рассматривается в файлах помощи к Windows XP, единственное на что следует обратить внимание при его анализе, это на операции DROP (отвергнутый брандмауэром пакет) и INFO-EVETS-LOST (потерянные события, которые не были занесены в журнал).

Просматривать журнал можно как простым “Блокнотом” (Notepad) или любой программой, работающей с текстовыми файлами, так и специально написанной для этих целей программой XP log Reader (winworld.by.ru/soft/soft4.shtml), что предпочтительнее. Она сама находит путь к журналу безопасности и выдает его в отформатированном, удобном для анализа виде.

НАСТРОЙКА ICMP
ICMP (Internet Control Message Protocol) – протокол управляющих сообщений интернета. Он является одним из стандартов TCP/IP, позволяющим узлам и маршрутизаторам, связывающимся по протоколу IP, сообщать об ошибках и обмениваться управляющей информацией. Другими словами, все узлы интернета обмениваются необходимыми для успешного взаимодействия данными друг о друге.

С одной стороны, это правильно: чем больше компьютеры интернета будут знать о своих соседях, тем лучше будет организовано их взаимодействие. С другой стороны, нельзя допустить, чтобы хакер с помощью этого протокола смог сканировать порты и искать “дыру” в вашей системе. Поэтому, чтобы не оставить атакующему шансов на успех мы, недолго мучаясь в раздумьях, отключаем почти все эхо-ответы на входящие ICMP-пакеты. Оставим лишь “Разрешать снижать скорость источнику исходящих сообщений” и “Разрешить перенаправление”.

Первый параметр может понадобиться серверу, чтобы правильно организовать так называемое управление потоком. При сильной загруженности вашего канала, сервер снизит скорость передаваемого вам трафика (используя транспортные возможности протокола TCP), что даст возможность нормально завершить прием данных с других узлов. Второй параметр позволяет производить повторную маршрутизацию данных при изменении параметров на компьютере пользователя (при использовании “старого” маршрута кадры могут проходить более длинный путь до точки назначения).

Остальные параметры следует выключить, потому что они могут снабжать атакующего информацией о связи с вашим компьютером и возможных ошибках при передаче данных хакером, а также давать дополнительные сведения о локальной маршрутизации и подсети, в которой вы зарегистрировались, соединившись с провайдером.

Сравнивая брандмауэр ICF Windows XP с другими, следует отметить, что главное преимущество первого в том, что он предельно прост и практически не требует никакой настройки. Во многих случаях требуется лишь установить флажок его включения и больше не вспоминать ни о нем самом, ни о проблемных ситуациях, которые он будет решать. С другой стороны, для серьезного пользователя возможностей ICF явно маловато, поэтому есть смысл обратить внимание на продукты других разработчиков, например компании Symantec.

Symantec Norton Internet Security
На сегодняшний день свои разработки в направлении антивирусной и сетевой защиты компьютера пользователя предлагает большое количество фирм. Однако комплексные системы защиты поставляют немногие. Одна из таких компаний – Symantec, создавшая систему Norton Internet Security.

Norton Internet Security (NIS) защищает пользователей от атак хакеров, вирусов, троянов и обеспечивает полную безопасность при работе с интернетом. Данная система защиты включает в себя следующие модули:

Norton Personal Firewall (NPF) – основной модуль встроенного брандмауэра. Компания Symantec в свое время купила знаменитый и очень популярный AtGuard вместе с его разработчиками. Таким образом, NPF – не что иное, как очень серьезно доработанный AtGuard, поэтому некоторые элементы пользовательского интерфейса очень напоминают ранее известную программу.

Файерволл хорошо справляется со своими прямыми обязанностями – блокировкой входящих и исходящих соединений. При попытке установления соединения с каким-либо локальным портом извне появляется диалог с возможностью запретить или разрешить такое действие. Есть возможность запомнить ответ, установив флажок Always use this action. Очень удобно настраивается доступ программного обеспечения к Сети: файерволл уже “знает” большинство популярных программ, таких как Internet Explorer, ICQ и так далее, и автоматически создает для них правило, разрешающее доступ.

Для неизвестных программ правило нужно создавать вручную, задавая такие параметры, как локальный и удаленный порты, IP-адреса и др. В то же время собственную настройку можно создать и для стандартных программ (например, изменив предлагающееся стандартное правило), что обеспечивает гибкость в использовании файерволла. Наконец, у пользователя есть возможность назначить пароль для изменения настроек.

В задачи разработчиков явно входило создание максимально дружественного к начинающим пользователям интерфейса, чтобы с такой нетривиальной задачей, как настройка мощнейшего файерволла, справился практически любой. Например, при первом своем запуске программа открывает специальный мастер установки и с участием пользователя происходит начальная настройка программы. В ее процессе Norton Personal Firewall сам тестирует имеющиеся в системе приложения, находит все, которые могут иметь доступ в интернет, и предлагает пользователю разрешить им этот доступ или блокировать его.

Intrusion Detection защищает компьютер от известных атак. Существует возможность автоматического блокирования (AutoBlock) трафика с IP-адресов, пытающихся атаковать компьютер. Раздельно настраивается блокировка Java-апплетов и ActiveX компонентов, что тоже бывает весьма кстати (например, иногда полезно отключать флэш на информационных или новостных сайтах, так как он используется только для рекламы и не несет в себе никакой полезной информации).

AntiVirus – независимый компонент, который автоматически выявляет и блокирует зараженные файлы и вложения в мгновенных сообщениях (имеется в виду использование MSN Messenger, AOL и др.), находит вирусы и различных “червей” в операционной системе. Существует возможность блокирования скриптов (VBScript и т.д.). Помимо всего прочего, модуль проверят все документы MS Office перед открытием, а также контролирует исходящий и входящий почтовый трафик. Немаловажно то, что при установке пакета NIS от инсталляции антивируса можно отказаться.

Privacy Control запрещает отправку конфиденциальной информации без уведомления пользователя. Это может быть номер банковского счета, пароль, домашний адрес, телефон и др. – все параметры задаются пользователем. Поток передающейся в Сеть информации может контролироваться как в электронных письмах и сообщениях интернет-пейджеров, так и при обычном веб-серфинге. Блокироваться могут и файлы cookie (небольшой по объему информационный файл, который сервер записывает на жесткий диск, чтобы при повторном обращении сервер “узнал” пользователя), а также информация о браузере и посещенных сайтах, анимированные картинки.

Ad Blocking – блокировка рекламы. Возможна как по ключевым словам, так и по размерам, характерным для баннеров. К сожалению, задавать размеры блокируемых изображений вручную нельзя, но можно включить блокировку надоедливых всплывающих окон.

Spam Alert – блокировка спама на уровне протокола pop3 (то есть на уровне протокола, отвечающего за доставку писем пользователю). Можно настроить фильтр по ключевым словам, содержащимся в полях “от”, “тема” и в тексте сообщения. Некоторые явно рекламные сообщения модуль удаляет сам, а другим добавляет в поле темы фразу “Spam Alert” и затем их пропускает.

Parental Control полезен не только сетевым администраторам, но и родителям, не желающим, чтобы их отпрыски смотрели непотребные сайты и запускали запретные программы. Также возможен контроль чтения групп новостей (темы отсекаются в соответствии с настройкой по ключевым словам). Есть возможность задавать пароль. Впрочем, от установки этого модуля тоже можно отказаться на стадии инсталляции программы.

Настраивается программа очень просто. Например, чтобы обеспечить работу браузера через NIS, необходимо подключиться к интернету и, открыв Internet Explorer, набрать в нем какой-нибудь адрес. После попытки веб-клиента пройти через брандмауэр NIS выдаст сообщение о запросе браузера установки соединения с удаленным сервером. В появившемся диалоге нужно задать правило, которое будет применяться для Internet Explorer как http-клиента по умолчанию – в этом поможет предлагаемый программой стандартный шаблон.

Самое удобное – выбрать в выпадающем меню пункт “Automatically configure internet access”, и новое правило будет создано автоматически. Можно, конечно, для любой программы с самого начала вручную задавать разрешенные/запрещенные порты и адреса, но лучше сделать это уже на основе готового шаблона. Так, после автоматического создания правила для Internet Explorer откройте диалог Personal Firewall – Configure – Program Control, выберите в списке зарегистрированных приложений Internet Explorer и нажмите кнопку “Modify”.

Далее выбираем “Manually Configure Internet Access” и видим полный список правил, созданный NIS. В этом списке можно вручную изменить любой элемент настроек, добавив, например, нестандартный порт прокси-сервера вашей локальной сети. Из того же, что уже предлагается, желательно сразу отключить два правила, предназначенных для работы с Web Folders – функция эта практически никем не используется, а потому открывать ради нее порты не имеет смысла.

Благодаря интерфейсу программа кажется совсем простой, рассчитанной на начинающих пользователей, но углубившись в настройки или в раздел статистики, понимаешь, что это не так – на сегодня это один из самых продвинутых файерволлов. Весьма полезна, например, функция ведения журнала загрузки всех сайтов и всех элементов сайтов во время нахождения в Сети – благодаря ей можно увидеть реальный адрес загружаемого файла, если на веб-странице таковой скрыт за специальным скриптом.

При необходимости одной кнопкой из главного окна (Block Traffic\ Allow Traffic) можно заблокировать/разблокировать доступ в интернет всех программ. Для мониторинга соединения с интернетом удобно небольшое функциональное окно, в котором появляется гистограмма текущего трафика, выводятся сообщения об атаках и доступны все основные функции программы.

Уникальные свойства NIS
На вкладке Firewall в свойствах NIS (кнопка Options главного меню) есть две очень примечательные функции:

Program component monitoring – активизация данного сервиса гарантирует, что трояны и вирусы не смогут уклониться от обнаружения, даже если они маскируются под DLL-файлы или плагины к обычным программам. Если новый модуль попытается установить соединение с интернетом в связке с какой-либо программой, для которой доступ уже разрешен, пользователь будет извещен об этом. В конфигурации данной опции отображается список компонентов, присутствующих в системе, и информация по каждому из них.

Program launch monitoring – этот сервис отслеживает трояны и вирусы, которые самовольно запускают легитимные программы для выхода в интернет и впоследствии манипулируют ими, тем самым скрывая самих себя от файерволла. После активизации опции пользователь будет оповещаться в случае, если одна неизвестная программа (отсутствующая в настройках данной опции) запускает другую.

В NIS неплохо реализована защита от такого распространенного вида атаки, как Kiss of Death. Эта атака основана на посылке неправильно фрагментированных пакетов IP на компьютер пользователя и рассчитана на “подвешивание” операционной системы, в результате чего Windows может перезагрузиться или выдать “синий экран”. Для защиты от таких пакетов в Norton Internet Security Options на вкладке Firewall предусмотрена опция Advanced security settings – Fragmented IP packet handling. В этом разделе можно либо разрешить фрагментированные IP-пакеты, исключая те, которые, возможно, являются частью проводимой атаки, либо полностью их блокировать.

Помимо этого можно предотвратить “нападение” с использованием протокола IGMP (Internet Group Membership Protocol), который используется при создании пользовательских групп для транслирования мультимедиа данных в рамках заданного сообщества, и на данном этапе развития Сети он используется не так часто. Поэтому пакеты IGMP лучше заблокировать. Параметр Stealth blocked ports также рекомендуется активизировать, так как в этом случае заблокированные порты не будут отвечать на запросы соединения (ваш ПК станет “невидим”), а разрешенные проигнорируют подключения с неправильным источником или некорректной информацией об адресате.

К недостаткам данного брандмауэра следует отнести, пожалуй, очень высокую требовательность к мощности системы, достаточно высокую цену и невозможность добавления модулей – плагинов. Также следует отметить, что язык интерфейса предусмотрен только английский (по крайней мере, в официальной версии). На сайте компании Symantec обнародованы и некоторые ошибки NIS.

В частности, разработчики рекомендуют исключить опознание некоторых видов атак путем отмены в списке используемых фильтров двух параметров – “Invalid IP Options” и “Invalid Source IP Address”. Дело в том, что некоторые провайдеры или сайты могут присылать пакеты подобного рода. Они станут интерпретироваться брандмауэром как атаки, однако реально являться таковыми не будут. Результатом такой слишком ревностной работы файерволла окажется, например, полная блокировка сайта “Яндекс”, а в этом нет ничего хорошего.

SVCHOST

Настройка файерволлов обычно не представляет серьезной проблемы для пользователей среднего уровня – разработчики делают все, чтобы упростить им жизнь. Однако, пользователей Windows XP нередко ставят в тупик некоторые непонятные системные процессы, рвущиеся в сеть. Так, часто можно заметить, что в процессах операционной системы присутствует программа svchost.exe.

Причем она имеет несколько клонов, которые исчезают и появляются, а также делают запрос на установку соединения с интернетом (это легко заметить при использовании брандмауэров, которые умеют отслеживать сетевую активность приложений). Важно понять, зачем нужен запущенный процесс svchost и нужно ли ему предоставлять необходимые полномочия для обмена данными с внешней сетью.

Svchost (support.microsoft.com/default.aspx?scid=kb;EN-US;314056) – это хост-процесс, который исполняет системные службы, если они используют для своей работы динамически подключаемые библиотеки (dll). Больше всего памяти (порядка 15-18 Мб) резервирует svchost, который в качестве сервиса используют такие сетевые службы, как браузер, протокол dhcp, а также протоколы маршрутизации и другие средства сетевого доступа. Во многих из этих служб обычно нет необходимости, а потому лишние рекомендуется отключить.

Возможно, после этого файерволл перестанет регистрировать сетевую активность этого процесса. Обычно для этого процесса рекомендуется разрешать работу с DHCP (локальный порт 68 UDP), DNS (локальный порт 53 UDP), Time Synchronizer (удаленный порт 123 TCP), http (удаленный порт 80 TCP), HTTPS (удаленный порт 443 TCP) и запрещаются: SSDP Discovery Service и UPnP device Host (удаленные порты 1900, 5000 UDP, 5000 TCP), Remote Procedure Call (локальный порт 135 TCP).

Однако svchost могут использовать и другие службы (даже вирусы!), поэтому необходимо понять какие программы используют каждый из экземпляров svchost. Для этого служит стандартная утилита Windows XP – tasklist. В командной строке набираем tasklist /svc и после выполнения утилиты получаем сведения о сервисах, которые используют svchost.

Процессы, использующие в своих целях Svchost, также описываются в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\SvcHost – ключ “неблагонадежной” программы можно попробовать удалить. К сожалению, по названию программ не всегда можно выявить вирусы, поэтому желательно найти в интернете описания наиболее подозрительных служб и не брезговать регулярно обновляемыми антивирусами.

Удаленный вызов процедур (RPCSS.EXE)

При старте операционной системы запускается еще один “странный” файл – rpcss.exe, который даже нельзя увидеть с помощью рассмотренной утилиты tasklist. Rpcss.exe – это сервер, который обеспечивает возможности вызова удаленной процедуры (Remote Procedure Call) в Windows. Другими словами, программа служит для запуска на пользовательском компьютере процедур, инициализированных с удаленного узла. Вышесказанное наводит на мысль, что работающая программа является брешью в защите.

Однако на практике это не совсем так. На платформах Windows NT использование данной службы будет ограничиваться правами пользователя и зачастую требовать учетную запись администратора. Также стоит отметить, что отключение rpcss.exe в Windows NT/2000/XP может привести к ошибкам или вообще к неработоспособности, так как программа это нужна для корректной работы сетевых приложений, клиентские части которых могут не работать без вызова процедур удаленным сервером.

Таким образом, данная служба может запрашивать соединение с интернетом или кто-то извне может пытаться установить с ней соединение. Действовать в каждой конкретной ситуации следует по-разному. В первую очередь, определить с помощью брандмауэра узел-отправитель и затем принять решение о степени доверия данному хосту: если подсеть или Trusted Company в NIS вызывают сомнения, то следует блокировать соединение. Причем лучше лишний раз запретить, чем потом мучаться – это первое правило использования брандмауэра.

Служба LSASS.EXE

Работая в интернете через файерволл, вы можете столкнуться с запросом соединения из внешней сети с локальной программой lsass.exe. Lsass.exe управляет политикой IP-безопасности и запускает соответствующий драйвер. Завершить данный процесс вручную из tasklist не удастся, поскольку служба является системной. Собственно, завершать его нам и не потребуется.

Надо лишь гибкими средствами брандмауэра блокировать все входящие из интернета запросы, вызывающие lsass.exe. Дело в том, что удаленное использование этой процедуры говорит в первую очередь о том, что кто-то хочет “зайти” на компьютер, введя логин и пароль. Неизвестно, с какой целью он это делает, но явно не из гуманных побуждений. Следовательно, для этого процесса нужно создать статическое правило, которое запрещало бы входящие соединения, обращенные к нему.

Другие процессы
При использовании операционной системы Windows 2000 может возникнуть ситуация, когда процесс services.exe будет пытаться выйти в интернет. Такое поведение является адекватным и его обычно следует разрешать, так как в данной версии Windows services.exe используется для тех же целей, что и svchost.exe в Windows XP.

В частности, он запускает службы DHCP, Browser, DNS и т.д. Соответственно, все, что говорилось о svchost.exe, применимо и к services.exe. В Windows XP же services.exe используется лишь для записи в журнал операционной системы информации о событиях, создаваемых запущенными программами (EventLog), а также управляет установкой и настройкой устройств, уведомляет программы об изменениях конфигурации (PlugPlay).

System.exe – это процесс, который невозможно завершить. Он является сервисом для большинства потоков привилегированного режима запуска приложений. В памяти он занимает порядка 200-300 кб и, как правило, не требует создания политик для входящих/исходящих соединений.

Kernel32.dll – динамически подключаемая библиотека, которая фактически является ядром операционной системы. В ее функции входит управление памятью, обращения к файлам, их взаимодействие и многое другое, в том числе реализация и правильная работа сетевых приложений. При нормальной работе Windows никаких сообщений, связанных с работой kernel32, пользователь не получает.

Если возникает нештатная ситуация, то либо операционная система сообщает об ошибке kernel32, либо установленный файерволл сигнализирует о сетевой активности библиотеки. Все это может быть следствием неправильной работы уровня приложений (в лучшем случае) или неполадок в оборудовании (сетевых адаптерах, модемах, оперативной памяти и так далее).

Управление SNMP

Иногда в процессах можно обнаружить на первый взгляд безобидную службу snmp. Хотя эта служба резервирует не так много памяти и не сильно нагружает процессор, при умелом использовании она может явиться едва ли не самой серьезной “дырой” в безопасности системы.

SNMP (Simple Network Management Protocol) – протокол, который используется практически всеми администраторами сетей для удаленного управления сетевым оборудованием, а также рабочими станциями. Как такового способа авторизации в данном протоколе не предусмотрено. Существуют только так называемые комьюнити (community) для чтения или записи настроек оборудования.

Но они, как правило, ограничиваются двумя словами – “public” и “private”. Так что хакер может практически беспрепятственно управлять вашим ПК. Дело в том, что если запущен процесс snmp, то в системе присутствует агент, который и будет предоставлять необходимый сервис удаленному терминалу. По умолчанию данная служба не устанавливается, однако следует проверить, что ее нет в процессах, или заблокировать ее файерволлом (конечно, если вы сами его не используете).

Примите во внимание следующие советы по использованию брандмауэра:
– старайтесь создавать конкретные правила, а не “Разрешить все всем” (Permit all to all);
– иногда просматривайте все правила на предмет обнаружения явных недоработок;
– если не работает какая-либо программа, попробуйте отключить файерволл, и если она заработала, внимательно изучите созданное для нее правило;
– если не работает чат или веб-почта, попробуйте включить cookies;
– первый признак работы трояна на вашем компьютере – всплывающее окно, которое предлагает установить соединение с каким-то сервером (не путать с приглашениями обновления антивируса или ОС);
– чаще просматривайте журнал безопасности и анализируйте его содержимое; если будет замечена нежелательная активность какого-то конкретного адреса, например, локальной сети, то можно пожаловаться администратору.

Нужно помнить, что стопроцентной защиты от компьютерного нападения дать не может никто. Однако уповать на то, что с вами этого не произойдет, также нельзя. Использование брандмауэра в умелых руках позволяет исключить многие известные атаки, попытки проникновения в систему, передачу троянов… Не зря слово “безопасность” приобретает сегодня такое важное значение не только для корпоративных пользователей, но и для рядовых граждан интернет-содружества.