Мені справді потрібен брандмауер?

Я вже деякий час використовую пакет безпеки Nod32, і з усіх інших, що я спробував, він чудовий (низький слід пам'яті, швидкий, досить дешевий). Однак останнім часом я встановлюю багато програмного забезпечення, і те, що мене дратує, - це дозволити кожній програмі доступ до Інтернету. Так, я знаю, що це разова річ, але я б швидше не хотів це робити в першу чергу. (Це також біль, коли мені доведеться переформатувати / перевстановити.) Таким чином, я розглядаю можливість видалити брандмауер повністю і просто дотримуватися антивірус. ¹

Отже, моє запитання таке: чи не є брандмауер небезпечним, навіть із антивірусом? Очевидно, що я ніколи не буду на 100% безпечним (навіть антивірус не може мене повністю захистити, і я це розумію), але я не роблю дурних речей, я створюю резервну копію своїх даних тощо. Не маючи брандмауера жодного відкритого небезпечні вразливості, які антивірус не може покрити? Якщо я якось отримаю деяку шкідливу програму на своєму жорсткому диску, чи не матиме брандмауер перешкоджати мені її видалити? Або здебільшого це не змінить? І якщо мені робити потрібний брандмауер, це той , який поставляється з Windows , досить?

Зауважте, що я не дуже зацікавлений у тих випадках із кутом 0,1%, я говорю про загальну більшість шкідливих програм і про те, які наслідки не мають брандмауера для мене. О, і я використовую Windows, очевидно. :)

^{1. Я обов'язково збираюся зберегти антивірус на всякий випадок, в основному в крайньому випадку. Будь ласка, не кажіть мені, що він мені не потрібен.}

Давайте на мить подумаємо поза коробкою.

Звичайно, ви можете поступитися культурою страху і встановити на комп'ютер всілякі програми, щоб створити ілюзію безпеки. Індустрія безпеки ІТ це любить, саме так працює їх захисна ракета ... або ви можете грати в неї справді безпечно, дотримуючись простого набору правил:

1. не зберігайте особисті та / або конфіденційні дані на комп'ютері, підключеному до Інтернету. Використовуйте зашифрований зовнішній накопичувач (Pen Drive, SDHC-карта , жорсткий диск USB тощо), де це можливо.

2. якщо у вас є домашня мережа для захисту, використовуйте з'єднання віртуальної приватної мережі (VPN) як додатковий рівень безпеки.

3. використовуйте віртуалізацію для ВСІХ інтернет-діяльності, "одноразові" віртуальні машини безкоштовні (і так це Sandboxie). Знищіть віртуальну машину (або пісочницю) відразу після кожного онлайн-банківського сеансу чи фінансової операції (переустановка резервного копіювання VHD - це лише кілька секунд).

Хоча це здається незручним, вам, звичайно, не доведеться турбуватися, чи ( введіть ім’я улюбленого антивірусного програмного забезпечення, брандмауера, сканера зловмисного програмного забезпечення та інших популярних тут витрачаючих час та ресурсів ), можливо, захищали вас достатньо чи ні. Не купуйте своїх обіцянок, подумайте і візьміть справи у свої руки.

Залежно від вашого брандмауера, наявність одного може допомогти. Якщо у вас є лише вхідний брандмауер - це зупиняє удари по ваших портах. Якщо у вас також є вихідний брандмауер, якщо програма знаходиться на вашому пристрої, вона не може вийти, не запустивши сигнал тривоги. Брандмауер Microsoft є лише вхідним. Програма, яку ви використовуєте, входить / вимикається - саме тому, коли програма намагається вийти, ви отримуєте сповіщення.

Зауважу, що якщо у вас є щось досить розумне, введіть один з перших речей - відключити брандмауер та антивірус.

Чи не має брандмауера відкрити небезпечні вразливості, які антивірус не може покрити?

Не покладайтеся на програмне забезпечення, щоб захистити вас, оскільки воно не буде. Сьогоднішнє антивірусне програмне забезпечення не «охоплює» жодного ймовірного сценарію зараження: воно майже повністю безпорадне в умовах величезної кількості встановлених загалом веб-експлуатації шкідливих програм.

Брандмауер служить двом цілям:

1: Заборона доступу до чутливих портів до вхідного трафіку. Ця функція, на жаль, необхідна, тому що Windows не може бути налаштована так, щоб просто закрити прокляті порти (139-145, 445 тощо).

Для цього вбудований брандмауер Windows у XP та пізніших версіях; ви також будете в порядку, якщо ви стоїте за NAT-роутером, і у вашій локальній мережі більше нічого не довірено.

2: Заборона вихідного доступу до мережі до певних програм. Це функція "фільтрації виходу", яка труби постачальників брандмауера як важлива особливість, якої бракує брандмауер Windows.

Однак я б сильно заперечував її ефективність як міру безпеки: після встановлення зловмисного програмного забезпечення на локальній машині ви вже втратили. Це може (і справді багато хто) відключити правила популярного програмного забезпечення для брандмауера, щоб випустити його з ладу.

Ефірна фільтрація може бути корисним способом слідкувати за тим, що інакше довірене програмне забезпечення працює в мережі, і воно часто може зафіксувати доступ до мережі від наївного завантажувача, який не намагається обійти правила брандмауера. (Але в цей момент єдиним безпечним рухом дій було б, як завжди, перевстановлення ОС.) Але важливо для безпеки? Ні, не дуже.

Якщо ви не стурбовані тим, який збиток може зробити на вашому комп’ютері із безперешкодним підключенням до Інтернету, то просто встановіть параметри брандмауера, щоб автоматично надавати весь вихідний трафік.

Яку шкоду ви просите?

У випадку, якщо негідна програма потрапить у вашу систему, швидше за все, це буде продукт організованої злочинності, який потрапляє за хробаком, браузером або багатьма іншими векторами. Потім він може бути використаний для додавання вашого комп'ютера до ботнету, подачі непотрібного вмісту, відправлення паролів із зачиненими ключами та фінансових даних назад поганим хлопцям, служити ретрансляцією для націлених атак (в результаті чого ваш комп'ютер буде конфіскований як доказ.)

Це набридливе підказка може дати вам можливість це побачити.

Редагувати:

Антивірусне програмне забезпечення, швидше за все, допоможе вам уникнути перерахованого вище сценарію. Але погані хлопці продовжують працювати. Півтора року тому в певному великому продукті постачальника цінних паперів (починається з "S") була вразливість, яка експлуатувалася з черв'яком. Якщо брандмауер не блокував цей порт, хост заразився.

Хоча за допомогою брандмауера на базі хостів, ви, швидше за все, надали б своєму антивірусу Symantec увесь доступ до мережі netwrok, необхідний для його виконання, і в будь-якому разі були вразливими.

Тобі вирішувати. Деякі люди не зачиняють двері, коли вони вдома. Деякі люди ставлять бруски на вікна тощо. Оцініть ймовірність ризику, вартість ризику, якщо він трапиться з вами, а також вартість та ефективність профілактики. Брандмауер хоста - це не велика вартість чи проблеми. Насправді сповільнення ризикової поведінки встановлення багатьох матеріалів на вашу машину - це користь.

Пам'ятаєте, як колись були спалахи гігантських червів, як червоний код кожні кілька місяців? Що, нарешті, зупинило це на тому, що XP SP2 з'явився, коли брандмауер Windows увімкнено за замовчуванням. Це повинно вам щось сказати.

Це коментар до відповіді Емдже та його обговорення (у мене недостатньо балів для коментарів):

1) Одним важливим моментом у відповіді Емґі, який, на мою думку, ви пропустили, є фізична настройка вашого провідного з'єднання вдома: Якщо ваш модем працює як маршрутизатор, тобто зазвичай у цьому випадку ваш комп'ютер підключений до модему, хоча швидше за все через Ethernet ніж USB або внутрішній і т. д., а модем не перебуває в режимі мосту, він, швидше за все, автоматично блокує весь вхідний трафік, завдяки чому ви дуже економите. Якщо ваш модем не працює як маршрутизатор і піддає комп'ютер безпосередньо в Інтернеті, ви набагато вразливіші.

2) Однією з головних особливостей брандмауера є запобігання потраплянню шкідливих виробів на ваш комп'ютер. Якщо вона вже є, як ви підозрюєте, або навіть встановлена ​​вами «навмисно», настінна пожежна стіна зараз, мабуть, не є найважливішою з ваших проблем. Також у цьому випадку сценарій маршрутизатора не захищає вас; він захищає ваш комп'ютер лише зовні, а не зовні від комп'ютера.

Кілька слів про вбудований брандмауер програми в Mac OS X, хоча він позначений Windows.

• Цей тип брандмауера дозволяє керувати з'єднаннями на основі програми, а не на порту.

• Він контролює лише вхідні з'єднання. Дозволені всі вихідні з'єднання.

• Усі програми [..], які були цифрово підписані органом сертифікації, якому довіряє система (з метою підписання коду), можуть приймати вхідні з'єднання. ( джерело )

Цікаво, як це насправді робить речі більш безпечними. Іншими словами: тип брандмауера може мати велике значення .