Виртуальный защитник: как обеспечить безопасность Windows при помощи *nix-системы, запущенной в виртуальной машине

[SDA]

Большинство из нас привыкло к стандартным решениям, которые не пересматриваются годами. Так защиту винды мы доверяем одному и тому же комплекту программ — файрвол, антивирус, антишпионская программа… Подобный набор есть у каждого, отличаются лишь производители. Мы же попробуем другой путь — использовать в качестве блокпоста *nix-систему, запущенную в виртуальной машине. А насколько этот подход окажется эффективным в каждом конкретном случае, решать уже тебе.

Суть идеи
Встроенные виндовые средства — Windows Firewall и Internet Connection Sharing (Общий доступ к интернету) достаточно неудобны, малофункциональны и не обеспечивают должного уровня защиты. Поэтому, чтобы раздать интернет на несколько компов, с возможностью полноценного контроля всего процесса, требуется либо хардварный роутер, либо одно из софтовых решений, вроде UserGate Proxy & Firewall, NetworkShield Firewall или Kerio WinRoute Firewall. Роутер понятен в настройках, даже самые простые железки имеют минимальные функции фильтра пакетов, маршрутизации, защиты от атак и так далее. Но часто его возможности не дают развернуться на полную, и руки связаны тем, что заложено в него производителем. Более функциональные решения стоят соответственно, но и их возможностей может не хватать (например, шейпинга, учета трафика, мониторинга загрузки канала). Аналогичная ситуация и с софтовыми решениями. За хороший файрвол со всеми наворотами придется заплатить. Не стоит забывать о том, что защита работает, пока пользователь остается в домашней локальной сети, но стоит подключиться к инету через одну из многочисленных точек доступа за пределами дома, как мы оставляем компьютер с Windows Firewall, то есть практически беззащитным.

далее http://www.xakep.ru/post/52771/

[antanta]

Традиционные 3,5 копейки. Насколько я понял, авторы (ксакепы) предлагают использовать, в частности, iptables как альтернативу виндовым файерам. За нестандартность - плюс, за практическую ценность - два минуса. Первый минус - ну не всякий виндоюзер осилит iptables как класс. Отсюда - возможные ошибки в настройке, они же дыры. Даже у линуксоидов уже в ходу какие-то там другие примочки (врать не буду, отсал от жизни). Второй минус - пресловутая мнимая защищенность. Казалось бы - одно упоминание о Linux должно напугать сетевого червя.
Если уж юзер грамотен, то устанавливать сразу и Snort (который требует iptables под nix-ами). Весьма эффективно на шлюзе, должно отработать и на виртуалке. На основе Snort можно соорудить эвристик, который будет детектить и блокировать подозрительный трафик в обоих направлениях. Только вот одна беда - это еще сложнее.