Сен 072011
 

Статья находится в процессе редактирования. Поэтому некоторые моменты могут быть изложены неточно.

 

Сетевой экран KIS имеет очень широкую функциональность: возможно создавать правила для пакетов и программ разделяя их действие по трем категориям сетей. Особенно это удобно для владельцев мобильных устройств, использующих их в корпоративных, домашних и других публичных проводных и беспроводных сетях. Категории сетей интуитивно понятны. Это «Доверенные сети», «Локальные сети» и «Публичные сети».

После установки KIS сетевой экран уже настроен. Разрешения по умолчанию таковы, что безусловно разрешен доступ для всех установленных программ к «Доверенным сетям», избранных программ к «Локальным сетям» и «Публичным сетям». К избранным программам относятся все, входящие в группу «Доверенные». Аналогичным образом обстоит дело с входящими соединениями.

Настройки по умолчанию безусловно хороши и позволяют без проблем работать в любой группе сетей. Однако, контроль доступа к сети для установленных программ по умолчанию отключен. Кроме того, если по ошибке подключить «Публичную сеть» как локальную или доверенную компьютер может подвергнутся атаке, которую сетевой экран попросту не будет блокировать. Поэтому, если необходимо обеспечить повышенный уровень безопасности, менее зависящий от человеческого фактора, и активизировать контроль доступа к сети для установленных программ, необходимо изменить правила сетевого экрана.

Чтобы иметь возможность вернуть все настройки сетевого экрана к настройкам по умолчанию, рекомендуется создавать новые правила, а правила по умолчанию попросту отключить. Чтобы не запутаться, где правила по умолчанию, а где новые, можно новые правила помечать каким либо префиксом.

Начать стоит с настройки пакетных правил.

Разрешаем входящий трафик: подключения для Torrent клиента (порт 38700) и ICMP (ping, tracert). Если торрент, ping и tracert без надобности, то можно эти правила отключить или вовсе не создавать.

Разрешаем исходящий трафик по правилам программ TCP и UDP (это ключевой момент).

Запрещаем входящие и исходящие TCP, UDP.

Чтобы не засорять статью лишними скриншотами, привожу только необходимый минимум.

Для вступления в действие пакетных правил может потребоваться перезагрузка.

Фаза вторая, разрешаем доверенным программам выход в сеть: вкладка «Правила программ».

По началу можно не заморачиваться с настройками отдельных правил для каждой программы, а установить для группы программ MICROSOFT (она создается KIS по умолчанию) разрешающие правила, а для всех остальных «Запрос действия». И в течении некоторого времени работать в таком режиме. Накопив необходимый опыт, можно будет устанавливать  правила для отдельных программ. Рекомендую сортировать программы по категориям, чтобы они не лежали в куче, а находились в категориях, созданных таким образом, чтобы можно было легко найти нужную.

Единственная программа, которая не подчиняется правилам, как нетрудно догадаться, это сам KIS. Несмотря на полный запрет выхода в сеть он спокойно ходит туда и обратно.

Для некоторых программ может потребоваться установить не только разрешение для правил по умолчанию для выбранных сетей, но и создать отдельное разрешающее правило. Не знаю баг это или фича, но некоторые программы так и не могут без отдельного разрешающего правила, казалось бы дублирующего, выйти в сеть.

В заключение отмечу, что повышая таким образом защищенность системы, теряется ее гибкость. Видимо поэтому сетевые правила, установленные в KIS по умолчанию разрешают выход в сеть любой программе. Впрочем, это вполне понятный компромисс между свободой и безопасностью.

Статья относится к KIS 2011 и 2012.