Контролирането на това кои програми се свързват с интернет е една от онези задачи, които много потребители пренебрегват... докато нещо не се обърка. Автоматични актуализации, които прекъсват функциите, приложения с досадни реклами, игри, които позволяват на децата ви да говорят с непознати, или софтуер, който изпраща повече данни за акаунта, отколкото е необходимо. Това са само няколко примера защо е важно да овладеете правилата на защитната стена за блокиране на приложения.
Добрата новина е, че както в Windows (например, можете да се научите да Блокиране на програми в Windows 11) както в macOS и дори Linux, имате няколко начина да разрешаване или блокиране на мрежовия трафик за всяко приложениеНезависимо дали използвате вградените защитни стени на системата, решения за сигурност на трети страни (като ESET), защитни стени за уеб приложения (WAF) или чрез манипулиране на iptables в GNU/Linux системи, ще разгледаме това внимателно и подробно, използвайки ясен и практичен език.
Защо блокирането на приложения във вашата защитна стена може да ви спести много проблеми
Защитната стена действа като филтър, който решава какъв трафик влиза и какъв излиза. на вашия екип или мрежа, следвайки набор от правила, които вие или самата система сте дефинирали. Типичното сравнение е това на граничния контрол: всичко, което влиза и излиза, се проверява, а всичко, което не отговаря на критериите, се пропуска.
Като блокирате определени приложения със защитната стена, можете за предотвратяване на неоторизирани връзки, намаляване на риска от злонамерен софтуер и ограничаване на изпращането на информация които не желаете да споделяте. Освен това, вие предотвратявате някои програми да изискват данни от външни сървъри или да изтеглят съдържание, което може да е неподходящо или дори опасно.
В ежедневието това се превръща в много конкретни неща: Спрете автоматичните актуализации, които могат да нарушат съвместимостта, и премахнете рекламите, вградени в някои безплатни приложения. или да предотвратите свързването на програма, когато сте в обществена Wi-Fi мрежа със съмнителна сигурност. Цял набор от досадни проблеми и рискове, с които можете да се справите с няколко добре дефинирани правила.
Ако имате деца у дома, защитната стена също е мощен съюзник: Можете да блокирате онлайн трафика от определени игрални или социални медийни платформи. за да им се попречи да общуват с непознати без надзор. Това не е цялостно решение за родителски контрол, но е важен стълб на тази защита.
В професионална и образователна среда, контролирането на приложенията през защитната стена помага за предотвратяване на изтичане на данни, намаляване на повърхността за атака и ограничаване на използването на неоторизирани инструментиКлючът е в намирането на баланс: не става въпрос за блокиране на всичко, а за това да си позволите само това, от което наистина имате нужда.
Блокиране на приложения в Windows 10 и 11 с помощта на защитната стена на Windows
В Windows най-директният метод за контрол на това кои програми имат достъп до интернет е чрез използване на Защитна стена на Windows Defender с разширена защитаНе е най-лесният за ползване интерфейс в света, но позволява много фин контрол чрез входящи и изходящи правила.
за блокиране на достъпа до интернет за определена програма В Windows 10 или 11 типичната процедура включва създаване на изходящо правило, свързано с изпълнимия файл на приложението. По този начин, дори ако приложението се опита да се свърже, защитната стена ще блокира трафика, преди той да напусне компютъра.
Обичайно е да се работи с пълния път на .exe файла. Изпълнимите файлове обикновено се намират в „C:\Program Files“ или „C:\Program Files (x86)“последвано от името на папката на приложението и основния изпълним файл. Познаването на този път или намирането му с помощта на файловия мениджър е ключово за правилното създаване на правилото.
След като сте намерили приложението, можете да дефинирате правило, което Блокиране на връзката във всички мрежови профили: Домейн, Частен и ПубличенТова гарантира, че приложението няма да се свърже от домашната ви Wi-Fi мрежа, служебна мрежа или обществена точка за достъп, освен ако не промените тази настройка.
Как да създадете правило за излизане в Windows, за да блокирате приложение
Класическият работен процес за блокиране на приложение с правило за изходящ трафик в защитната стена на Windows Базира се на конзолата „Разширена сигурност“, където можете да създавате, редактирате и изтривате персонализирани правила. Въпреки че може да изглежда объркващо, след като го направите няколко пъти, става доста автоматично.
На тази конзола, „Правилата за изходящи съобщения“ контролират какво вашият компютър се опитва да изпрати към мрежатаАко блокирате приложение тук, целият изходящ трафик от него ще бъде блокиран. След това можете да прегледате този списък, за да запомните какво сте блокирали и да го деблокирате по всяко време.
Когато конфигурирате правилото, ще видите опции за избор на типа на правилото (в този случай „Програма“), пътя до изпълнимия файл, действието, което да се извърши, и мрежовите профили, където се прилага. Ключовото действие е „Блокиране на връзката“което гарантира, че комуникацията ще се провали.
Последната стъпка е да дадете на правилото разпознаваемо име. Използването на ясни и последователни имена ще ви спести главоболия когато след известно време трябва да откриете кое правило засяга конкретно приложение, за да го разрешите отново.
Временно блокиране на програми със защитната стена на Windows
Има моменти, когато не искаш трайно блокиране на достъпа до интернет на дадено приложениено само за известно време: докато правите тест, докато използвате определена мрежа или докато сте в класната стая със студенти, например.
Защитната стена на Windows няма бутон за „пауза“ за приложения, но ви позволява да активиране и деактивиране на отделни правила с щракване с десен бутонНа практика това работи като превключвател за съответното приложение: когато правилото е включено, връзката се прекъсва; когато го изключите, програмата възстановява достъпа до мрежата.
Тази техника има предимството, че Не е нужно да изтривате правилото или да го създавате отново от нулата. Когато искате да възобновите блокирането, просто превключете между „Активиране на правилото“ и „Деактивиране на правилото“ в зависимост от вашите нужди.
Ако работите с няколко различни приложения и политики, е добре да поддържате малка Вътрешна документация за това кои правила са временни и кои са постоянниза да не се окажете със защитна стена, пълна със забравени правила, за които вече не знаете дали все още имат смисъл.
Създайте „бял списък“ с разрешени приложения в Windows
В допълнение към блокирането, защитната стена на Windows ви позволява дефинирайте кои програми имат изрично разрешение да преминават през защитната стенаТова обикновено се нарича „бял списък“ и е идеалното допълнение към подхода за блокиране на случаи поотделно.
На екрана „Разрешаване на приложение или функция през защитната стена на Windows Defender“ ще видите списък с програми и услуги. Чрез поставяне или премахване на отметката от квадратчетата „Частна“ и „Публична“, вие решавате в какъв тип мрежа могат да комуникират.Пълното премахване на отметката от дадено приложение също може да служи като бърз метод за блокиране.
Ако програмата, която ви интересува, не е в този списък, можете да използвате опцията за „Разрешаване на друго приложение“ ръчно да добави своя изпълним файлВъпреки че името подсказва, че ще го разрешите, след като е в списъка, нищо не ви пречи да го махнете отметката, за да го блокирате. Донякъде е нелогично, но така е проектиран интерфейсът.
Имайте предвид това Активирането на приложение в публични мрежи означава излагането му на потенциално враждебна средакато например Wi-Fi в кафене или хотел. За услуги, които обработват чувствителни данни, е много по-разумно да се придържате към надеждни частни мрежи.
Други начини за прекъсване на достъпа до интернет в Windows
Ако това, което търсите, е пълно прекъсване на връзката, без толкова много нюанси, Режимът „Самолет“ остава най-мощният и бърз пряк пътАктивирате го от Центъра за действия и всички връзки (Wi-Fi, мобилни данни и др.) се прекъсват едновременно, така че никое приложение няма да може да комуникира с външния свят.
За случаите, когато защитната стена на Windows е недостатъчна, има доста широка екосистема от защитни стени на трети страни за WindowsМного от тях са безплатни. Тези инструменти обикновено предлагат по-интуитивни интерфейси, правила, базирани на помощници, и допълнителни функции, като например наблюдение на връзката в реално време или предварително конфигурирани профили.
Струва си да се помни, че лошата разширена конфигурация може да бъде дори по-лоша от това да не се докосва нищо: Създаването, промяната или изтриването на правила без пълно разбиране на техния ефект може да остави пропуски в сигурността или да повреди критични приложения.Винаги е най-добре да действате бавно, да тествате нещата и, ако е възможно, да запазите резервно копие на настройките си.
Накрая, ако в даден момент нещата се усложнят или започнете да забелязвате странно поведение, винаги можете да прибегнете до опцията възстановяване на защитната стена до състоянието ѝ по подразбиранеТова е нещо като бутон за „фабрично нулиране“ за защитната стена, много полезен, когато не знаете коя промяна е повредила системата.
Правила за защитната стена в продуктите на ESET за Windows (Home and Small Office)
Ако използвате пакет за сигурност като този от ESET на Windows, имате собствена интегрирана защитна стена на продукта Това ви позволява да създавате специфични правила за разрешаване или блокиране на комуникацията между приложенията. Този филтриращ слой допълва или замества вградената защитна стена на Windows, в зависимост от конфигурацията.
От главния прозорец на програмата можете да получите достъп до Разширени настройки чрез натискане на клавиша F5Вътре съответният раздел е „Защита на мрежовия достъп“, където се показват разделът „Защитна стена“ и бутонът „Редактиране“ до „Правила“.
Там ще намерите списъка със съществуващите правила и опцията за „Добавяне“, за да създадете ново правилоПо този начин вие дефинирате описателно име, избирате действието (разрешаване, блокиране, питане и т.н.), посочвате засегнатото приложение и посоката на трафика.
Чрез разширяване на полето „Приложение“ ще можете да Навигирайте през системата, докато не намерите изпълнимия файл на приложението, което искате да контролирате.В „Посока“ решавате дали правилото се прилага за входящи връзки, изходящи връзки или и за двете, което предлага значителна гъвкавост в зависимост от вашата цел.
След като тези параметри са конфигурирани, потвърдете с „OK“ и след това с различните бутони „Accept“. Запазете промените и активирайте правилото.От този момент нататък защитната стена на ESET ще прилага избраната политика към целия трафик, генериран от това приложение, интегрирайки се с останалата част от пакета (откриване на заплахи, регистриране и др.).
Защитна стена на Windows: Мрежови профили, допълнителни настройки и сигурност
В допълнение към правилата за всяка програма, защитната стена на Windows ви позволява да настройвате как се държи в зависимост от типа мрежа, към която сте свързанидомейн (обикновено корпоративни среди), частен (вашият дом, вашият малък офис) или публичен (отворени или ненадеждни мрежи).
Основната разлика между маркирането на мрежа като частна или публична е нивото на експозиция, което приемате: В частни мрежи обикновено позволявате на други устройства да ви виждат и дори да се свързват с вас., докато в публичните мрежи предпочитате да останете възможно най-незабелязани.
Във всеки профил можете да активирате или деактивирате защитната стена и да регулирате опции като например „Блокиране на всички входящи връзки, включително тези от списъка с разрешени приложения“Това поле превръща профила в изключително ограничителен режим: всичко, което се опита да влезе, се отхвърля, дори ако приложението е маркирано като разрешено.
Има и преки пътища към функции като Разрешете конкретни приложения през защитната стена, стартирайте инструмента за отстраняване на неизправности в мрежата, конфигурирайте блокиращи известия или въведете „Разширени настройки“ да променя правилата за сигурност на влизане, излизане и свързване.
Ако настройката се усложни или подозирате, че нещо се е променило без вашето съгласие, самата система предлага опция за нулиране на защитните стени до стойностите им по подразбиранеТова изчиства персонализираните правила и връща към фабричните настройки или политики, зададени от вашата организация, ако сте в управлявана среда.
Правила в WAF (Web Application Firewall) и тяхната роля в защитата на онлайн услугите
Когато говорим за приложения, които се намират в интернет (уеб страници, API, SaaS услуги...), друг ключов елемент влиза в действие: WAF или защитна стена за уеб приложенияЗа разлика от системната защитна стена, WAF се фокусира върху проверката на HTTP/HTTPS заявки, насочени към уеб приложение, и вземането на решение какво да се прави с тях.
Правилата на WAF описват Какво трябва да разглежда системата във всяка заявка (заглавки, параметри, тяло, IP адрес, маршрут и т.н.), какви условия да активира и какво действие да предприеме? когато тази комбинация е изпълнена. Няколко правила, организирани и приоритизирани, съставляват това, което се нарича „политика за сигурност“.
Тъй като уеб приложенията се променят постоянно и Нови заплахи се появяват всеки денПолитиките за WAF не могат да бъдат статични. Необходимо е непрекъснато да се актуализира и усъвършенства този набор от правила, за да се обхванат нови маршрути, параметри, услуги и вектори на атака.
Доставчиците на WAF обикновено включват предварително дефинирани „готови за употреба“ набори от правилаВъз основа на сигнатури на известни атаки, списъци със злонамерени IP адреси, модели на инжектиране и др. Колкото по-пълен и актуален е този начален набор, толкова по-добро ниво на защита предлага началният продукт.
В напредналите решения тези правила се захранват от глобална информация за заплахи (злонамерени IP канали, „honeypots“, мрежи за подвеждане, машинно обучение) който открива подозрително поведение в реално време и автоматично настройва политиката за сигурност, за да се справи с нападателите.
Метаданни, условия, действия и приоритет в правилата на WAF
Дизайнът на WAF правило обикновено включва няколко блока: метаданни, условия и действияРазбирането на тази схема помага за изграждането на по-ясни и лесни за поддържане правила.
В метаданните дефинирате ясно име, описание и състояние на правилото (активирано или деактивирано)Тази информация се записва и в събития за сигурност, така че когато нещо се задейства, бързо да знаете кое правило е приложено и защо.
Условията представляват „ако това се случи...“. За всяко правило могат да се конфигурират множество условияНапример: ако пътят е /login, методът е POST, параметърът „потребител“ съдържа подозрителни символи и IP адресът е в определен диапазон. Правилото влиза в сила само когато всички тези условия са изпълнени.
Действието е „направете това друго нещо“. В зависимост от вида на правилото, можете блокиране на заявката, разрешаване на заявката, пренасочване на заявката, промяна на заглавките, ограничаване на скоростта на трафика, броене на опити или прилагане на допълнителни контролиВсяко семейство от действия често се групира в различни видове правила (пренасочване, сигурност, пренаписване, ограничаване на скоростта и др.).
На ниво изпълнение, WAF-овете обикновено установяват ред на приоритет сред типовете правилаНапример, първо обработете правилата за пренасочване, след това правилата за сигурност, накрая правилата за пренаписване… и във всяка група задайте вътрешен приоритет на правилата. По този начин контролирате кои правила имат приоритет, когато няколко могат да се прилагат за една и съща заявка.
Предварително дефинирани правила, персонализирани правила и модели за положителна/отрицателна сигурност
Доставчици като Radware организират своите WAF политики чрез комбиниране предварително дефинирани правила (поддържани автоматично от производителя) с персонализирани правила (определени от клиента), за да се прецизира поведението в много специфични среди.
Предварително дефинирани правила могат да бъдат генерирани от алгоритми за машинно обучение, масивен анализ на данни за трафика и данни от активни нападателиТова позволява защитата да се адаптира към нови уязвимости и модели на атака, без администраторът да се налага да прекарва цял ден в настройване на конфигурацията.
Персонализираните правила, от друга страна, са тези, които създавате сами за коригирайте WAF според специфичната логика на вашето приложение: защита на определени маршрути, прилагане на квоти към крайни точки на API, блокиране на конкретни държави, контрол на доставката на отговори, управление на ботове и др.
Добрата политика за WAF съчетава негативен модел на сигурност (определящ какво е забранено) и позитивен модел на сигурност (определящ какво е разрешено)При негативния подход разчитате на списъци със сигнатури и модели, за които знаете, че са злонамерени. При позитивния подход определяте какъв тип вход е валиден за всеки параметър и блокирате всичко, което попада извън тези диапазони, което е от решаващо значение за спиране на zero-day атаки.
Работата единствено с положителни или отрицателни правила може да стане много скъпа и податлива на грешки, ако се извършва ръчно. Ето защо съвременните WAF включват автоматизация и автоматично генериране на политики, които наблюдават легитимни транзакции, профилират нормален трафик и предлагат правила за „разрешения“ въз основа на това поведение.
Автоматично генериране и непрекъсната оптимизация на WAF политики
За да се сведе до минимум ръчният труд и рискът от създаване на пропуски в безопасността, много WAF внедряват механизми за автоматично генериране на политики, използващи машинно обучениеСистемата наблюдава как се държи легитимният трафик, какви стойности обикновено имат параметрите, какви маршрути се използват и как, и оттам предлага или създава правила, които описват този модел като приемлив.
Този подход позволява коригират положителните профили на безопасност, без да разчитат толкова много на човешкото окоминимизиране на грешки в конфигурацията, които биха могли да оставят приложението беззащитно или, обратно, да блокират прекомерно добрите потребители.
Същевременно е от съществено значение WAF да провежда периодични прегледи. дневници на активността и генериране на предложения за непрекъсната оптимизацияИдеята е да се поддържа високо ниво на сигурност, като същевременно се намаляват фалшивите положителни резултати, така че защитата да не пречи на нормалния трафик.
Комбинацията от машинно обучение, преглед на лог файлове и външна информация за заплахи позволява на WAF развива се успоредно с вашето приложение и екосистемата от атаки, която го заобикаля.без да ви принуждава да преформулирате полицата от нулата на всеки няколко месеца.
Блокиране на приложения в Linux: iptables, потребителски групи и филтри за дестинации
В Linux системите подходът е различен: Няма универсален графичен панел, но има мощна подсистема за филтриране на пакети, базирана на iptables или nftables.В зависимост от дистрибуцията и версията, можете да блокирате трафика глобално, по потребител, по група или по адрес на местоназначение.
Първа идея за блокиране на конкретна програма може да бъде прекратете достъпа до адресите или домейните, които използватеЗа да откриете тези дестинации, имате няколко опции: използвайте netstat (или ss), докато приложението се свързва, или наблюдавайте DNS заявки с услуги като dnsmasq, изпълнявани в подробен режим.
След като домейните бъдат идентифицирани, можете да ги пренасочите към вашата машина, като добавите записи от типа „127.0.0.1 домейн_за_блокиране“ в /etc/hostsПо този начин всеки опит за разрешаване на този домейн ще остане локален и приложението няма да може да се свърже с реалния сървър.
Ако предпочитате да работите директно с IP адреси, можете също да създадете правила за iptables като „iptables -I OUTPUT -s ip_a_block -j DROP“Тези правила отхвърлят целия изходящ трафик към този адрес. За да се гарантира, че ще оцелят след рестартиране, е обичайна практика да се включват в скриптове за зареждане като /etc/rc.local (преди реда "exit 0") или да се използват системи за запазване/възстановяване на правила.
Недостатъкът на този подход е, че Блокадата засяга цялата системаВсяко приложение, което иска да комуникира с тези домейни или IP адреси, ще бъде засегнато, не само това, което ви интересува. Освен това, тези адреси може да принадлежат на споделени услуги, от които се нуждаете в други контексти.
Филтриране по потребителска група в Linux за блокиране само на определени приложения
По-добра алтернатива е да се облегнете на Системата за потребителски разрешения и групи в LinuxИдеята е да се създаде специална група за „филтрирани“ процеси и да се каже на iptables да блокира целия трафик, идващ от процеси, изпълнявани с тази група.
Типичният поток би бил нещо подобно: първо Създавате нова група (например „филтрирана“) с groupaddСлед това добавяте потребителите, които искате да контролирате (например „студент“), към групата с adduser, така че тези потребители също да принадлежат към тази група.
След това дефинирате правилото iptables, например „iptables -A ИЗХОД -m собственик –gid-собственик филтриран -j ОТХВЪРЛЯНЕ“Това указва на системата, че всеки изходен пакет, генериран от процес, чиято ефективна група е „филтрирана“, трябва да бъде отхвърлен.
За да стартирате програма под тази конкретна група, можете да използвате командата „sg филтър „име на програма““Това променя основната група на процеса на „филтриран“ по време на изпълнение. От този момент нататък ограниченията на iptables се прилагат само за тези процеси, без да засягат останалата част от системата.
Този подход позволява проектиране на различни групи с различни нива на достъпТова позволява на някои приложения да изпращат трафик само до определени дестинации или протоколи, докато други са напълно блокирани. Това е особено полезно в образователни или споделени среди, където множество потребители споделят машина и е необходимо да се ограничи трафикът само до определени инструменти.
Когато комбинирате тази техника с филтриране на домейни и портове, Можете да изградите много прецизни правила за всеки контекст на употреба, макар и за сметка на по-голяма административна сложност и необходимостта от щателно тестване на всяка промяна.
