Данная аксиома, в принципе, очевидна: чем более доступна, удобна, быстра и многофункциональна ВС, тем она менее безопасна. Примеров можно привести массу. Например, служба DNS: удобно, но опасно.

7.6 Методы защиты от удаленных атак в сети Internet

7.6.1 Административные методы защиты от удаленных атак

Для защиты системы от разного рода удаленных воздействий самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с системным администратором системы постарается решить весь комплекс задач по обеспечению требуемого необходимого уровня безопасности для распределенной ВС. Это довольно сложная комплексная задача, для решения которой необходимо определить, что (список контролируемых объектов и ресурсов РВС), от чего (анализ возможных угроз данной РВС) и как (выработка требований, определение политики безопасности и выработка административных и программно-аппаратных мер по обеспечению на практике разработанной политики безопасности) защищать.

Наиболее простыми и дешевыми являются административные методы защиты от информационно-раз- рушающих воздействий. В следующих пунктах рассматриваются возможные административные методы защиты от описанных выше удаленных атак на хосты Internet (в общем случае на IP-сети).

Защита от анализа сетевого трафика

Данный вид атаки, позволяющий кракеру при помощи программного прослушивания канала передачи сообщений в сети перехватывать любую информацию, которой обмениваются удаленные пользователи, если по каналу передаются только нешифрованные сообщения. Также было показано, что базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают элементарную криптозащиту передаваемых по сети даже идентификаторов (имен) и аутентификаторов (паролей) пользователей. Поэтому администраторам сетей, очевидно, можно порекомендовать не допускать использование этих базовых протоколов для предоставления удаленного авторизованного доступа к ресурсам своих систем и считать анализ сетевого трафика той постоянно присутствующей угрозой, которую невозможно устранить, но можно сделать ее осуществление по сути бессмысленным, применяя стойкие криптоалгоритмы защиты IP-потока.

Защита от ложного объекта

Использование в сети Internet службы DNS в ее нынешнем виде может позволить кракеру получить глобальный контроль над соединениями путем навязывания ложного маршрута через хост кракера - ложный DNS-сервер. Осуществление этой удаленной атаки, основанной на потенциальных уязвимостях службы DNS, может привести к катастрофическим последствиям для огромного числа пользователей Internet и стать причиной массового нарушения информационной безопасности данной глобальной сети.

Ни административно, ни программно нельзя защититься от атаки на существующую версию службы DNS. Оптимальным с точки зрения безопасности решением будет вообще отказаться от использования службы DNS в вашем защищенном сегменте! Конечно, совсем отказаться от использования имен при обращении к хостам для пользователей будет очень неудобно. Поэтому можно предложить следующее компромиссное решение: использовать имена, но отказаться от механизма удаленного DNS-поиска. Это возвращение к схеме, использовавшейся до появления службы DNS с выделенными DNS-серве- рами. Тогда на каждой машине в сети существовалhosts файл, в котором находилась информация о соответствующих именах и IP-адресах всех хостов в сети. Очевидно, что на сегодняшний день администратору можно внести в подобный файл информацию о лишь наиболее часто посещаемых пользователями данного сегмента серверах сети. Поэтому использование на практике данного решения чрезвычайно затруднено и, видимо, нереально (что, например, делать с броузерами, которые используют URL с именами?).

Для затруднения осуществления данной удаленной атаки можно предложить администраторам использовать для службы DNS вместо протокола UDP, который устанавливается по умолчанию, протокол TCP (хотя из документации далеко не очевидно, как его сменить). Это существенно затруднит для атакующего передачу на хост ложного DNS-ответа без приема DNS-запроса.

Защита от отказа в обслуживании

Как не раз уже отмечалось, нет и не может быть приемлемых способов защиты от отказа в обслуживании в существующем стандарте IPv4 сети Internet. Это связано с тем, что в данном стандарте невозможен контроль за маршрутом сообщений. Поэтому невозможно обеспечить надежный контроль за сетевыми соединениями, так как у одного субъекта сетевого взаимодействия существует возможность занять неограниченное число каналов связи с удаленным объектом и при этом остаться анонимным. Из-за этого любой сервер в сети Internet может быть полностью парализован при помощи удаленной атаки «отказ в обслуживании».

Единственное, что можно предложить для повышения надежности работы системы, подвергаемой данной атаке, - это использовать как можно более мощные компьютеры. Чем больше число и частота работы процессоров, чем больше объем оперативной памяти, тем более надежной будет работа сетевой ОС, когда на нее обрушится направленный "шторм" ложных запросов на создание соединения. Кроме того, необходимо использование соответствующих вашим вычислительным мощностям операционных систем с внутренней очередью, способной вместить большое число запросов на подключение. Ведь от того, что вы, например, поставите на суперЭВМ операционную систему Linux или Windows NT, у которых длина очереди для одновременно обрабатываемых запросов около 10, а таймаут очистки очереди несколько минут, то, несмотря на все вычислительные мощности компьютера, ОС будет полностью парализована атакующим.

Общий вывод по противодействию данной атаки в существующем стандарте IPv4 следующий: просто расслабьтесь и надейтесь на то, что вы ни для кого не представляете интереса, или покупайте суперЭВМ с соответствующей ей сетевой ОС.

7.6.2. Программно-аппаратные методы защиты от удаленных атак в сети Internet

К программно-аппаратным средствам обеспечения информационной безопасности средств связи в вычислительных сетях относятся:

Аппаратные шифраторы сетевого трафика;

Методика Firewall, реализуемая на базе программно-аппаратных средств;

Защищенные сетевые криптопротоколы;

Программно-аппаратные анализаторы сетевого трафика;

Защищенные сетевые ОС.

Существует огромное количество литературы, посвященной этим средствам защиты, предназначенным для использования в сети Internet (за последние два года практически в каждом номере любого компьютерного журнала можно найти статьи на эту тему).

7.6.2.1 Методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте IP-сети

Межсетевое экранирование следует рассматривать как самостоятельный (причем принципиально важный) сервис безопасности. Сетевые реализации данного сервиса, называемые межсетевые экранами (предлагаемый перевод английского термина firewall ), распространены весьма широко; сложилась терминология, оформилась классификация механизмов.

Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множе-

ства к серверам из другого множества . Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем.

В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует (то есть осуществляет перемещение данных). В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу "перебросить" их "на другую сторону". Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю.

Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов. Обычно экран не является симметричным, для него определены понятия "внутри"

и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана - устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до и независимо от всех прочих системных защитных средств.

Экранирование позволяет поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом. Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.

Важным понятием экранирования является зона риска , которая определяется как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Как правило, для повышения надежности защиты экран реализуют как совокупность элементов, так что "взлом" одного из них еще не открывает доступ ко всей внутренней сети.

Таким образом, межсетевое экранирование и с точки зрения сочетания с другими сервисами безопасности, и с точки зрения внутренней организации использует идею многоуровневой защиты, за счет чего внутренняя сеть оказывается в пределах зоны риска только в случае преодоления злоумышленником нескольких, no-разноиу организованных защитных рубежей.

В общем случае методика Firewall реализует следующие основные три функции:

1. Многоуровневая фильтрация сетевого трафика

Фильтрация обычно осуществляется на трех уровнях OSI:

Сетевом (IP); транспортном (TCP, UDP);

прикладном (FTP, TELNET, HTTP, SMTP и т. д.).

Фильтрация сетевого трафика является основной функцией систем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности

в выделенном сегменте IP-сети, то есть, настроив соответствующим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящихся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. Можно провести аналогию с администратором локальной ОС, который для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например), что позволяет разграничить доступ субъектов системы к ее объектам в соответствии с заданными администратором правами доступа. Те же рассуждения применимы к Firewall-фильтрации:

в качестве субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, - IP-адреса хостов, используемые транспортные протоколы и службы предоставления удаленного доступа.

2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на Firewallхосте

Proxy-схема позволяет, во-первых, при доступе к защищенному Firewall сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя и, во-вторых, является основой для создания приватных сетей с виртуальными IP-адресами. Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy от англ.полномочный ) на хосте Firewall. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента.

3. Создание приватных сетей (Private Virtual Network - PVN) с "виртуальными" IP-адресами (NAT - Network Address Translation)

В том случае, если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети, то ему можно порекомендовать использовать системы Firewall для создания приватной сети (PVN-сеть). Хостам в PVN-сети назначаются любые "виртуальные" IP-ад- реса. Для адресации во внешнюю сеть (через Firewall) необходимо либо использование на хосте Firewall описанных выше proxy-серверов, либо применение специальных систем роутинга (маршрутизации), только через которые и возможна внешняя адресация. Это происходит из-за того, что используемый во внутренней PVN-сети виртуальный IP-адрес, очевидно, не пригоден для внешней адресации (внешняя адресация - это адресация к абонентам, находящимся за пределами PVN-сети). Поэтому proxy-сервер или средство роутинга должно осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания IP-сети выделили недостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом, поэтому для создания полноценной IP-сети с использованием proxy-схемы достаточно только одного выделенного IP-адреса для proxy-сервера).

Итак, любое устройство, реализующее хотя бы одну из этих функций Firewall-методики, и является Firewall-устройством. Например, ничто не мешает вам использовать в качестве Firewall-хоста компьютер с обычной ОС FreeBSD или Linux, у которой соответствующим образом необходимо скомпилировать ядро ОС. Firewall такого типа будет обеспечивать только многоуровневую фильтрацию IP-тра- фика. Другое дело, предлагаемые на рынке мощные Firewall-комплексы, сделанные на базе ЭВМ или мини-ЭВМ, обычно реализуют все функции Firewall-мето-дики и являются полнофункциональными системами Firewall. На следующем рисунке изображен сегмент сети, отделенный от внешней сети полнофункциональным Firewall-хостом.

Рис. 7.5. Обобщенная схема полнофункционального хоста Firewall.

Однако администраторам IP-сетей, поддавшись на рекламу систем Firewall, не стоит заблуждаться на тот счет, что Firewall это гарантия абсолютной защиты от удаленных атак в сети Internet. Firewall - не столько средство обеспечения безопасности, сколько возможность централизованно осуществлять сетевую политику разграничения удаленного доступа к доступным ресурсам вашей сети.

Современные требования к межсетевым экранам

1. Основное требование - это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.

2. Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.

3. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.

4. Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.

5. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.

6. Система управления экранами должна иметь возможность централизованно обеспечивать проведение единой политики безопасности для удаленных филиалов.

7. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения, что является необходимым в случаях работы сотрудников организации в командировках.

Классификация анализируемых межсетевых экранов

Как известно, для проведения сравнительного анализа необходимо, в первую очередь, провести классификацию анализируемых средств. Поскольку межсетевые экраны ориентированы на защиту информации в открытых сетях типа Интернет/Интранет, основой подхода служит семиуровневая модель ISO/OSI (Международной организации по стандартизации). В соответствии с этой моделью МЭ классифицируются по тому, на каком уровне производится фильтрация: канальном, сетевом, транспортном, сеансовом или прикладном. Поэтому можно говорить об экранирующих концентраторах (канальный уровень), маршрутизаторах (сетевой уровень), транспортном экранировании (транспортный уровень), шлюзах сеансового уровня (сеансовый уровень) и прикладных экранах (прикладной уровень).

Необходимо отметить, что в настоящее время наряду с одноуровневыми межсетевыми экранами все большую популярность приобретают комплексные экраны, охватывающие уровни от сетевого до прикладного, поскольку подобные продукты соединяют в себе лучшие свойства одноуровневых экранов разных видов. На схеме 1 представлена структура информационного экранирования между двумя системами при использовании эталонной модели ISO/OSI.

Особенности современных межсетевых экранов

Результаты более тонкого сравнительного анализа различных типов межсетевых экранов приведены в табл. 1.

Тип межсетевого экрана

Экранирующие маршрутизаторы (брандмауэры с фильтрацией пакетов)

Экранирующий шлюз

Принцип работы

Фильтрация пакетов осуществляется в соответствии с IPзаголовком пакета по критерию: то, что явно не запрещено, является разрешенным. Анализируемой информацией является:

- адрес отправителя;

- адрес получателя;

- информация о приложении или протоколе;

- номер порта источника;

- номер порта получателя.

Информационный обмен происходит через хост-бастион, установленный между внутренней и внешней сетями, который принимает решения о возможности маршрутизации трафика. ЭШ бывают двух типов: сеансового и прикладного уровня

· Низкая стоимость

· Минимальное влияние на производительность сети

· Простота конфигурации и установки

· Прозрачность для программного обеспечения

· Отсутствие сквозного прохождения пакетов в случае сбоев

· Усиленные, по сравнению с ЭМ, механизмы защиты, позволяющие использовать дополнительные средства аутентификации, как программные, так и аппаратные

· Использование процедуры трансляции адресов, позволяющей скрытие адресов хостов закрытой сети

· Уязвимость механизма защиты для различных видов сетевых атак, таких как подделка исходных адресов пакетов, несанкционированное изменение содержимого пакетов

· Отсутствие в ряде продуктов поддержки журнала регистрации событий и средств аудита

· Использование только мощных хостов-бастионов из-за большого объема вычислений

· Отсутствие “прозрачности” из-за того, что ЭШ вносят задержки в процесс передачи и требуют от пользователя процедур аутентификации

Таблица 1 - Особенности межсетевых экранов

Как видно из табл.1 межсетевой экран является наиболее распространенным средством усиления традиционных средств защиты от несанкционированного доступа и используется для обеспечения защиты данных при организации межсетевого взаимодействия. Конкретные реализации МЭ в значительной степени зависят от используемых вычислительных платформ, но, тем не менее, все системы этого класса используют два механизма, один из которых обеспечивает блокировку сетевого трафика, а второй, наоборот, разрешает обмен данными. При этом некоторые версии МЭ делают упор на блокировании нежелательного трафика, а другие - на регламентировании разрешенного межмашинного обмена.

Межсетевой экран FireWall/Plus предназначен для решения трех основных задач:

Защита ресурсов корпоративных сетей от атак со стороны Internet;

Реализация мер безопасности (для выделенного сервера/группы серверов);

Разделение сегментов внутренней сети для предотвращения попыток НСД со стороны внутреннего пользователя.

Существенной особенностью данного МЭ является возможность работы с более 390 протоколами различных уровней. Благодаря мощному встроенному языку написания фильтров имеется возможность описать любые условия фильтрации. Такая особенность позволяет более эффективно решать задачи разделения сегментов корпоративной сети, в которой используются продукты, работающие со стеками TCP/IP, IPX, DECNet протоколов. Механизм описания протоколов прикладного уровня позволяет создать специфические схемы разграничения доступа пользователей. FireWall/Plus обеспечивает защиту при работе с Web, FTR, URL, приложениями ActiveX и Java, а также с электронной почтой.

Межсетевой экран FireWall/Plus обеспечивает обнаружение и борьбу со следующими атаками:

Атаки на аутентификацию сервера;

Атаки на протокол finger (с внешней и внутренней стороны);

Определение номера начального пакета соединения TCP;

Незаконная переадресация;

Атаки на DNS-доступ;

Атаки на FTR-аутентификацию;

Атаки на несанкционированную пересылку файлов;

Атаки на удаленную перезагрузку;

Подмена IP-адресов;

Спуфинг МАС-адреса;

Атаки на доступность (шторм запросов);

Атаки на резервный порт сервера;

Атаки с помощью серверов удаленного доступа;

Атаки на анонимный FTR-доступ.

Такое количество блокируемых атак определяется прежде всего тем, что FireWall/Plus поддерживает три метода преобразования сетевых адресов: один к одному; один ко многим; многие ко многим. Ему не нужен собственный IP-адрес. Эта особенность делает его полностью прозрачным в сети и практически неуязвимым при различных атаках. Рассмотренные возможности межсетевого экрана FireWall/Plus, являющегося представителем современного поколения МЭ, показывают, насколько динамично развивается данное направление средств защиты.

Сертификация межсетевых экранов В настоящее время Гостехкомиссией России принят рабочий документ “Средства вычислительной

техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”. Этот документ позволяет не только упорядочить требования по защите информации, предъявляемые к межсетевым экранам, но и сопоставлять защитные свойства изделий этого вида.

С учетом перспектив в области сертификации средств защиты информации под руководством Гостехкомиссии России Центром безопасности информации (г. Юбилейный Московской области) организована разработка типовой методики по проведению сертификационных испытаний межсетевых экранов. Эта методика прошла испытания в ряде лабораторий, аккредитованных в системе сертификации Гостехкомиссии России. В настоящее время на российском рынке уже появились сертифицированные межсетевые экраны высокого класса защищенности, в том числе “Застава-Джет” (2 класс), “Застава” и “AltaVista Firewall 97” (3 класс защищенности). Эти изделия обеспечивают надежную защиту информационных ресурсов от несанкционированного доступа.

7.6.2.2 Программные методы защиты, применяемые в сети Internet

К программным методам защиты в сети Internet можно отнести прежде всего защищенные криптопротоколы, с использованием которых появляется возможность надежной защиты соединения. В следующем пункте пойдет речь о существующих на сегодняшний день в Internet подходах и основных, уже разработанных, криптопротоколах.

К иному классу программных методов защиты от удаленных атак относятся существующие на сегодняшний день программы, основная цель которых - анализ сетевого трафика на предмет наличия одного из известных активных удаленных воздействий.

1. SKIP-технология и криптопротоколы SSL, S-HTTP как основное средство защиты соединения и передаваемых данных в сети Internet

Очевидно, что одна из основных причин успеха удаленных атак на распределенные ВС кроется в использовании сетевых протоколов обмена, которые не могут надежно идентифицировать удаленные объекты, защитить соединение и передаваемые по нему данные. Поэтому совершенно естественно, что в процессе функционирования Internet были созданы различные защищенные сетевые протоколы, использующие криптографию как с закрытым, так и с открытым ключом. Классическая криптография с симметричными криптоалгоритмами предполагает наличие у передающей и принимающей стороны симметричных (одинаковых) ключей для шифрования и дешифрирования сообщений. Эти ключи предполагается распределить заранее между конечным числом абонентов, что в криптографии называется стандартной проблемой статического распределения ключей. Очевидно, что применение классической криптографии с симметричными ключами возможно лишь на ограниченном множестве объектов. В сети Internet для всех ее пользователей решить проблему статического распределения ключей, очевидно, не представляется возможным. Однако одним из первых защищенных протоколов обмена в Internet был протокол Kerberos, основанный именно на статическом распределении ключей для конеч-

ного числа абонентов. Таким же путем, используя классическую симметричную криптографию, вынуждены идти наши спецслужбы, разрабатывающие свои защищенные криптопротоколы для сети Internet. Это объясняется тем, что почему-то до сих пор нет гостированного криптоалгоритма с открытым ключом. Везде в мире подобные стандарты шифрования давно приняты и сертифицированы, а мы, видимо, опять идем другим путем!

Итак, понятно, что для того, чтобы дать возможность защититься всему множеству пользователей сети Internet, а не ограниченному его подмножеству, необходимо использовать динамически вырабатываемые в процессе создания виртуального соединения ключи при использовании криптографии с открытым ключом. Далее мы рассмотрим основные на сегодняшний день подходы и протоколы, обеспечивающие защиту соединения.

SKIP (Secure Key Internet Protocol) - технологией называется стандарт инкапсуляции IP-пакетов, позволяющий в существующем стандарте IPv4 на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. Это достигается следующим образом: SKIP-пакет представляет собой обычный IP-пакет, поле данных которого представляет из себя SKIP-заголовок определенного спецификацией формата и криптограмму (зашифрованные данные). Такая структура SKIP-пакета позволяет беспрепятственно направлять его любому хосту в сети Internet (межсетевая адресация происходит по обычному IP-заголовку в SKIP-пакете). Конечный получатель SKIP-пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCPили UDP-па- кет, который и передает соответствующему обычному модулю (TCP или UDP) ядра операционной системы. В принципе, ничто не мешает разработчику формировать по данной схеме свой оригинальный заголовок, отличный от SKIP-заголовка.

S-HTTP (Secure HTTP) - это разработанный компанией Enterprise Integration Technologies (EIT) специ-

ально для Web защищенный HTTP-протокол. Протокол S-HTTP позволяет обеспечить надежную криптозащиту только HTTP-документов Web-севера и функционирует на прикладном уровне модели OSI. Эта особенность протокола S-HTTP делает его абсолютно специализированным средством защиты соединения, и, как следствие, невозможное его применение для защиты всех остальных прикладных протоколов (FTP, TELNET, SMTP и др.). Кроме того, ни один из существующих на сегодняш-

ний день основных Web-броузеров (ни Netscape Navigator 3.0, ни Microsoft Explorer 3.0) не поддержи-

вают данный протокол.

SSL (Secure Socket Layer) - разработка компании Netscape - универсальный протокол защиты соединения, функционирующий на сеансовом уровне OSI. Этот протокол, использующий криптографию с открытым ключом, на сегодняшний день, по нашему мнению, является единственным универсальным средством, позволяющим динамически защитить любое соединение с использованием любого прикладного протокола (DNS, FTP, TELNET, SMTP и т. д.). Это связано с тем, что SSL, в отличие от S- HTTP, функционирует на промежуточном сеансовом уровне OSI (между транспортным - TCP, UDP, - и прикладным - FTP, TELNET и т. д.). При этом процесс создания виртуального SSL-соединения происходит по схеме Диффи и Хеллмана (п. 6.2), которая позволяет выработать криптостойкий сеансовый ключ, используемый в дальнейшем абонентами SSL-соединения для шифрования передаваемых сообщений. Протокол SSL сегодня уже практически оформился в качестве официального стандарта защиты для HTTP-соединений, то есть для защиты Web-серверов. Его поддерживают, естественно, Netscape Navigator 3.0 и, как ни странно, Microsoft Explorer 3.0 (вспомним ту ожесточенную войну броузеров между компаниями Netscape и Microsoft). Конечно, для установления SSL-соединения с Web-сервером еще необходимо и наличие Web-сервера, поддерживающего SSL. Такие версии Webсерверов уже существуют (SSL-Apachе, например). В заключении разговора о протоколе SSL нельзя не отметить следующий факт: законами США до недавнего времени был запрещен экспорт криптосистем с длиной ключа более 40 бит (недавно он был увеличен до 56 бит). Поэтому в существующих версиях броузеров используются именно 40-битные ключи. Криптоаналитиками путем экспериментов было выяснено, что в имеющейся версии протокола SSL шифрование с использованием 40-битного ключа не является надежной защитой для передаваемых по сети сообщений, так как путем простого перебора (240 комбинаций) этот ключ подбирается за время от 1,5 (на суперЭВМ Silicon Graphics) до 7 суток (в процессе вычислений использовалось 120 рабочих станций и несколько мини ЭВМ).

Итак, очевидно, что повсеместное применение этих защищенных протоколов обмена, особенно SSL (конечно, с длиной ключа более 40 бит), поставит надежный барьер на пути всевозможных удаленных

Которые вынуждены ждать создания физического файла на компьютере пользователя, сетевая защита начинает анализировать входящие потоки данных, поступающие на компьютер пользователя через сеть, и блокирует угрозы прежде, чем они попадают в систему.

Основными направлениями сетевой защиты, которые обеспечивают технологии Symantec, являются:

Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
- Атаки через социальные сети наподобие Facebook;
- Обнаружение вредоносных программ, руткитов и зараженных ботами систем;
- Защита от усложненных угроз;
- Угрозы Нулевого дня;
- Защита от неисправленных уязвимостей ПО;
- Защита от вредоносных доменов и IP-адресов.

Технологии Сетевой защиты

Уровень "Сетевая защиты" включает в себя 3 различные технологии.

Network Intrusion Prevention Solution (Network IPS)

Технология Network IPS понимает и сканирует более 200 различных протоколов. Он интеллектуально и точно «пробивается» сквозь двоичный и сетевой протокол, попутно ища признаки вредоносного трафика. Этот интеллект позволяет обеспечить более точное сетевое сканирование, при этом обеспечивая надежную защиту. В его «сердце» находится движок блокировки эксплойтов, который обеспечивает открытые уязвимости практически непробиваемой защитой. Уникальной особенностью Symantec IPS является то, что никакой настройки этот компонент не требует. Все его функции работают, как говорится, «из коробки». Каждый пользовательский продукт Norton , а также каждый продукт Symantec Endpoint Protection версии 12.1 и новее, обладают данной критичной технологией, включенной по умолчанию.

Защита Браузера

Этот защитный движок располагается внутри браузера. Он способен обнаруживать наиболее сложные угрозы, которые ни традиционный антивирус, ни Network IPS не способны определить. В наше время, многие сетевые атаки используют методы обфускации во избежание обнаружения. Поскольку Защита Браузера работает внутри браузера, она способна изучать пока еще не скрытый (обфускацированный) код, во время того, как он выполняется. Это позволяет обнаружить и заблокировать атаку, в случае, если она была пропущена на нижних уровнях защиты программы.

Un-Authorized Download Protection (UXP)

Находящаяся внутри слоя сетевой защиты, последняя линия обороны помогает прикрыть и «смягчить» последствия использования неизвестных и неисправленных уязвимостей, без использования сигнатур. Это обеспечивает дополнительный слой защиты от атак Нулевого дня.

Ориентируясь на проблемы

Работая вместе, технологии сетевой защиты решают следующие проблемы.

Загрузки методом Drive-by и наборы инструментов для веб-атак

Используя Network IPS, Защиту Браузера, и UXP-технологию, технологии сетевой защиты компании Symantec блокируют загрузки Drive-by и, фактически, не позволяют зловреду даже достичь системы пользователя. Практикуются различные превентивные методы, включающие использование этих самых технологий, включая технологию Generic Exploit Blocking и инструментарий обнаружения веб-атак. Общий веб-инструментарий обнаружения атак анализирует характеристики распространенной веб-атаки, не зависимо от того, какой именно уязвимости касается эта атака. Это позволяет обеспечить дополнительной защитой новые и неизвестные уязвимости. Самое лучшее в этом типе защиты - это то, что если вредоносный файл смог бы «тихо» заразить систему, он все равно был бы проактивно остановлен и удален из системы: ведь именно это поведение обычно пропускается традиционными антивирусными продуктами. Но Symantec продолжает блокировать десятки миллионов вариантов вредоносного ПО, которое обычно не может быть обнаружено другими способами.

Атаки типа «Социальной инженерии»

Поскольку технологии компании Symantec наблюдают за сетевым трафиком и трафиком браузера во время его передачи, они определяют атаки типа «Социальной инженерии», на подобии FakeAV или поддельных кодеков. Технологии предназначены блокировать подобные атаки до того, как они отобразятся на экране пользователя. Большинство других конкурирующих решений не включает в себя этот мощный потенциал.

Symantec блокирует сотни миллионов подобных атак при помощи технологии защиты от сетевых угроз.

Атаки, нацеленные на социальные медиа-приложения

Социальные медиа-приложения в последнее время стали широко востребованы, поскольку они позволяют мгновенно обмениваться различными сообщениями, интересными видео и информацией с тысячами друзей и пользователей. Широкое распространение и потенциал подобных программ, делают их объектом внимания №1 для хакеров. Некоторые распространенные трюки «взломщиков» включают в себя создание поддельных аккаунтов и рассылку спама.

Технология Symantec IPS способна защитить от подобных методов обмана, зачастую предотвращая их до того, как пользователь успеет кликнуть на них мышкой. Symantec останавливает мошеннические и поддельные URL, приложения и другие методы обмана с помощью технологии защиты от сетевых угроз.

Обнаружение вредоносного ПО, руткитов и зараженных ботами систем

Правда было бы неплохо знать, где именно в сети располагается зараженный компьютер? IPS-решения компании Symantec предоставляют эту возможность, также включая в себя обнаружение и восстановление тех угроз, возможно которым удалось обойти другие слои защиты. Решения компании Symantec обнаруживают вредоносов и ботов, которые пытаются совершить автодозвон или загрузить «обновления», чтобы увеличить свою активность в системе. Это позволяет IT-менеджерам, у которых есть четкий лист систем для проверки, получить гарантию того, что их предприятие находится в безопасности. Полиморфные и сложные скрытые угрозы, использующие методы руткитов наподобие Tidserv, ZeroAccess, Koobface и Zbot, могут быть остановлены и удалены при помощи этого метода.

Защита от «запутанных» угроз

Сегодняшние веб-атаки используют комплексные методы усложнения атак. Browser Protection компании Symantec «сидит» внутри браузера, и может обнаружить очень сложные угрозы, которые зачастую не способны увидеть традиционные методы.

Угрозы «Нулевого дня» и неисправленные уязвимости

Одним из прошлых, добавленных компанией защитных дополнений, является дополнительный слой защиты против угроз «Нулевого дня» и неисправленных уязвимостей. Используя безсигнатурную защиту, программа перехватывает вызовы System API и защищает от загрузок вредоносного ПО. Эта технология называется Un-Authorized Download Protection (UXP). Она является последним рубежом опоры внутри экосистемы защиты от сетевых угроз. Это позволяет продукту «прикрыть» неизвестные и непропатченные уязвимости без использования сигнатур. Эта технология включена по умолчанию, и она находится во всех продуктах, выпущенных с момента дебюта Norton 2010.

Защита от неисправленных уязвимостей в ПО

Вредоносные программы зачастую устанавливаются без ведома пользователя, используя уязвимости в ПО. Сетевая защита компании Symantec предоставляют дополнительный слой защиты, именуемый Generic Exploit Blocking (GEB). Независимо от того, установлены ли последние обновления или нет, GEB «в основном» защищает основные узявимости от эксплуатации. Уязвимости в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, или QuickTime сейчас повсеместно распространены. Generic Exploit Protection была создана методом «обратного инжиниринга», выяснив, каким образом уявимость могла быть использована в сети, предоставляя при этом специальный патч на сетевом уровне. Одна-единственная GEB или сигнатура уязвимости, способна предоставить защиту от тысяч вариантов зловредов, новых и неизвестных.

Вредоносные IP и блокировка доменов

Сетевая защита компании Symantec также включает в себя возможность блокировки вредоносных доменов и IP-адресов, при этом останавливая вредоносно ПО и трафик от известных вредоносных сайтов. Благодаря тщательному анализу и обновлению базы веб-сайтов отделом STAR, Symantec предоставляет защиту от постоянно меняющихся угроз в режиме реального времени.

Улучшенное сопротивление к Уклонению

Была добавлена поддержка дополнительных кодировок, чтобы улучшить эффективность детекта атак при помощи техник шифрования, таких как base64 и gzip.

Обнаружение сетевого аудита для применения политик использования и идентификации утечки данных

Сетевой IPS может быть использован для идентификации приложений и инструментов, которые могут нарушить корпоративную политику использования, или для предотвращения утечки данных через сеть. Является возможным обнаружить, предупредить или предотвратить трафик на подобии IM, P2P, социальных медиа, или другого «интересного» вида трафика.

STAR Intelligence Communication Protocol

Технология сетевой защиты сама по себе не работает. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Network IPS соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту.

В следующей статье мы рассмотрим уровень "Поведенческий анализатор".

По материалам Symantec

Нашли опечатку? Выделите и нажмите Ctrl + Enter

Интернет полностью меняет наш образ жизни: работу, учебу, досуг. Эти изменения будут происходить как в уже известных нам областях (электронная коммерция, доступ к информации в реальном времени, расширение возможностей связи и т.д.), так и в тех сферах, о которых мы пока не имеем представления.

Может наступить такое время, когда корпорация будет производить все свои телефонные звонки через Интернет, причем совершенно бесплатно. В частной жизни возможно появление специальных Web-сайтов, при помощи которых родители смогут в любой момент узнать, как обстоят дела у их детей. Наше общество только начинает осознавать безграничные возможности Интернета.

Введение

Одновременно с колоссальным ростом популярности Интернета возникает беспрецедентная опасность разглашения персональных данных, критически важных корпоративных ресурсов, государственных тайн и т.д.

Каждый день хакеры подвергают угрозе эти ресурсы, пытаясь получить к ним доступ при помощи специальных атак, которые постепенно становятся, с одной стороны, более изощренными, а с другой - простыми в исполнении. Этому способствуют два основных фактора.

Во-первых , это повсеместное проникновение Интернета. Сегодня к Сети подключены миллионы устройств, и многие миллионы устройств будут подключены к Интернету в ближайшем будущем, поэтому вероятность доступа хакеров к уязвимым устройствам постоянно возрастает.

Кроме того, широкое распространение Интернета позволяет хакерам обмениваться информацией в глобальном масштабе. Простой поиск по ключевым словам типа «хакер », «взлом », «hack », «crack » или «phreak » даст вам тысячи сайтов, на многих из которых можно найти вредоносные коды и способы их использования.

Во-вторых , это широчайшее распространение простых в использовании операционных систем и сред разработки. Данный фактор резко снижает уровень необходимых хакеру знаний и навыков. Раньше, чтобы создавать и распространять простые в использовании приложения, хакер должен был обладать хорошими навыками программирования.

Теперь, чтобы получить доступ к хакерскому средству, нужно только знать IP-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышью.

Классификация сетевых атак

Сетевые атаки столь же многообразны, как и системы, против которых они направлены. Некоторые атаки отличаются большой сложностью, другие по силам обычному оператору, даже не предполагающему, к каким последствиям может привести его деятельность. Для оценки типов атак необходимо знать некоторые ограничения, изначально присущие протоколу TPC/IP. Сеть

Интернет создавалась для связи между государственными учреждениями и университетами с целью оказания помощи учебному процессу и научным исследованиям. Создатели этой сети не подозревали, насколько широкое распространение она получит. В результате в спецификациях ранних версий Интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми.

Через много лет, после множества рекламаций (Request for Comments, RFC ), наконец стали внедряться средства безопасности для IP. Однако ввиду того, что изначально средства защиты для протокола IP не разрабатывались, все его реализации стали дополняться разнообразными сетевыми процедурами, услугами и продуктами, снижающими риски, присущие этому протоколу. Далее мы кратко рассмотрим типы атак, которые обычно применяются против сетей IP, и перечислим способы борьбы с ними.

Сниффер пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).

При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д .), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют единый пароль для доступа ко всем ресурсам и приложениям.

Если приложение работает в режиме «клиент-сервер », а аутентификационные данные передаются по сети в читаемом текстовом формате, то эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют человеческие слабости (методы атак часто базируются на методах социальной инженерии).

Они прекрасно представляют себе, что мы пользуемся одним и тем же паролем для доступа к множеству ресурсов, и потому им часто удается, узнав наш пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в Сеть и к ее ресурсам.

Снизить угрозу сниффинга пакетов можно с помощью следующих средств :

Аутентификация . Сильные средства аутентификации являются важнейшим способом защиты от сниффинга пакетов. Под «сильными » мы понимаем такие методы аутентификации, которые трудно обойти. Примером такой аутентификации являются однократные пароли (One-Time Passwords, OTP ).

ОТР - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке, а во-вторых, по вводимому вами пин-коду. Для аутентификации в системе ОТР также требуются пин-код и ваша личная карточка.

Под «карточкой » (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает данный пароль с помощью сниффера, то эта информация будет бесполезной, поскольку в этот момент пароль уже будет использован и выведен из употребления.

Отметим, что этот способ борьбы со сниффингом эффективен только в случаях перехвата паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.

Коммутируемая инфраструктура . Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не устраняет угрозы сниффинга, но заметно снижает ее остроту.

Антиснифферы . Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Антиснифферы измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать лишний трафик. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.

Криптография . Этот самый эффективный способ борьбы со сниффингом пакетов хотя и не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, то хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). Криптография Cisco на сетевом уровне базируется на протоколе IPSec, который представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К другим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Layer) .

IP-спуфинг

IP-спуфинг происходит в том случае, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами: хакер может воспользоваться или IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам.

Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Как правило, IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами.

Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений - если главная задача заключается в получении от системы важного файла, то ответы приложений не имеют значения.

Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, он получит все пакеты и сможет отвечать на них так, как будто является санкционированным пользователем.

Угрозу спуфинга можно ослабить (но не устранить) с помощью перечисленных ниже меров:

• Контроль доступа . Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети.

  Правда, это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса; если же санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным;

• Фильтрация RFC 2827 . Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным сетевым гражданином). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации.

  Данный тип фильтрации, известный под названием RFC 2827, может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24.

Отметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Например , фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего трафика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).

Наиболее эффективный метод борьбы с IP-спуфингом - тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов.

Поэтому внедрение дополнительных методов аутентификации делает подобные атаки бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

Отказ в обслуживании

Denial of Service (DoS) , без сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Среди хакеров атаки DoS считаются детской забавой, а их применение вызывает презрительные усмешки, поскольку для организации DoS требуется минимум знаний и умений.

Тем не менее именно простота реализации и огромные масштабы причиняемого вреда привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность. Если вы хотите больше узнать об атаках DoS, вам следует рассмотреть их наиболее известные разновидности, а именно:

• TCP SYN Flood;
• Ping of Death;
• Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K);
• Trinco;
• Stacheldracht;
• Trinity.

Прекрасным источником информации по вопросам безопасности является группа экстренного реагирования на компьютерные проблемы (Computer Emergency Response Team, CERT), опубликовавшая отличную работу по борьбе с атаками DoS.

Атаки DoS отличаются от атак других типов. Они не нацелены ни на получение доступа к вашей сети, ни на получение из этой сети какой-либо информации, но атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания рядовых пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol ).

Большинство атак DoS рассчитано не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов.

Данный тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если не остановить у провайдера трафик, предназначенный для переполнения вашей сети, то сделать это на входе в сеть вы уже не сможете, поскольку вся полоса пропускания будет занята. Когда атака данного типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (distributed DoS, DDoS ).

Угроза атак типа DoS может быть снижена тремя способами:

• Функции антиспуфинга . Правильная конфигурация функций антиспуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции как минимум должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
• Функции анти-DoS . Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах способна ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
• Ограничение объема трафика (traffic rate limiting) . Организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Типичным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.

Парольные атаки

Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack ), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль зачастую можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры нередко пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack ).

Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакеру предоставляется доступ к ресурсам, то он получает его на правах обычного пользователя, пароль которого был подобран.

Если этот пользователь имеет значительные привилегии доступа, хакер может создать себе «проход » для будущего доступа, который будет действовать, даже если пользователь изменит свои пароль и логин.

Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: к корпоративной, персональной и к системам Интернета. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, то хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.

Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают вышеуказанные методы аутентификации.

При использовании обычных паролей старайтесь придумать такой, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д.).

Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать их на бумаге. Чтобы избежать этого, пользователи и администраторы могут использовать ряд последних технологических достижений.

Так, например, существуют прикладные программы, шифрующие список паролей, который можно хранить в карманном компьютере. В результате пользователю нужно помнить только один сложный пароль, тогда как все остальные будут надежно защищены приложением.

Для администратора существует несколько методов борьбы с подбором паролей. Один из них заключается в использовании средства L0phtCrack , которое часто применяют хакеры для подбора паролей в среде Windows NT. Это средство быстро покажет вам, легко ли подобрать пароль, выбранный пользователем. Дополнительную информацию можно получить по адресу http://www.l0phtcrack.com/ .

Атаки типа Man-in-the-Middle

Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак данного типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации.

Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Отметим, что если хакер получит информацию о криптографической сессии (например, ключ сессии), то это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.

Атаки на уровне приложений

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них - использование хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP ). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа).

Сведения об атаках на уровне приложений широко публикуются, чтобы дать администраторам возможность исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им совершенствоваться.

Главная проблема при атаках на уровне приложений заключается в том, что хакеры часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку web-сервер предоставляет пользователям Web-страницы, то межсетевой экран должен обеспечивать доступ к этому порту. С точки зрения межсетевого экрана атака рассматривается как стандартный трафик для порта 80.

Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернете новые уязвимые места прикладных программ. Самое главное здесь - хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

• читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений;
• подпишитесь на услуги по рассылке данных о слабых местах прикладных программ: Bugtrad (http://www.securityfocus.com ).

Сетевая разведка

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования и сканирования портов.

Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате он добывает информацию, которую можно использовать для взлома.

Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, то вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев.

Кроме того, сканировать порты можно и без предварительного эхо-тестирования - просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство:

1. пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами);
2. кроме системного администрирования, пользуйтесь системами распознавания атак (IDS) - двумя взаимодополняющими друг друга технологиями ID:
   • сетевая система IDS (NIDS) отслеживает все пакеты, проходящие через определенный домен. Когда система NIDS видит пакет или серию пакетов, совпадающих с сигнатурой известной или вероятной атаки, она генерирует сигнал тревоги и/или прекращает сессию;
   • система IDS (HIDS) защищает хост с помощью программных агентов. Эта система борется только с атаками против одного хоста.

В своей работе системы IDS пользуются сигнатурами атак, которые представляют собой профили конкретных атак или типов атак. Сигнатуры определяют условия, при которых трафик считается хакерским. Аналогами IDS в физическом мире можно считать систему предупреждения или камеру наблюдения.

Самым большим недостатком IDS является их способность генерировать сигналы тревоги. Чтобы минимизировать количество ложных сигналов тревоги и добиться корректного функционирования системы IDS в сети, необходима тщательная настройка этой системы.

Злоупотребление доверием

Собственно говоря, этот тип действий не является в полном смысле слова атакой или штурмом. Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети.

В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом любого из них приводит к взлому всех остальных, так как эти серверы доверяют другим системам своей сети.

Другим примером является установленная с внешней стороны межсетевого экрана система, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, ни при каких условиях не должны пользоваться абсолютным доверием со стороны защищенных экраном систем.

Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.

Переадресация портов

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост.

Внешний хост может подключаться к хосту общего доступа (DMZ), но не к тому, что установлен с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний.

Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat. Более подробную информацию можно получить на сайте http://www.avian.org .

Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. предыдущий раздел). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).

Несанкционированный доступ

Несанкционированный доступ не может быть выделен в отдельный тип атаки, поскольку большинство сетевых атак проводятся именно ради получения несанкционированного доступа. Чтобы подобрать логин Тelnet, хакер должен сначала получить подсказку Тelnet на своей системе. После подключения к порту Тelnet на экране появляется сообщение «authorization required to use this resource» («Для пользования этим ресурсом нужна авторизация »).

Если после этого хакер продолжит попытки доступа, они будут считаться несанкционированными. Источник таких атак может находиться как внутри сети, так и снаружи.

Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола.

В качестве примера можно рассмотреть недопущение хакерского доступа к порту Telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.

Вирусы и приложения типа «троянский конь»

Рабочие станции конечных пользователей очень уязвимы для вирусов и троянских коней. Вирусами называются вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. В качестве примера можно привести вирус, который прописывается в файле command.com (главном интерпретаторе систем Windows) и стирает другие файлы, а также заражает все другие найденные им версии command.com.

Троянский конь - это не программная вставка, а настоящая программа, которая на первый взгляд кажется полезным приложением, а на деле исполняет вредную роль. Примером типичного троянского коня является программа, которая выглядит, как простая игра для рабочей станции пользователя.

Однако пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все абоненты получают по почте игру, вызывая ее дальнейшее распространение.

Борьба с вирусами и троянскими конями ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и, возможно, на уровне сети. Антивирусные средства обнаруживают большинство вирусов и троянских коней и пресекают их распространение.

Получение самой свежей информации о вирусах поможет бороться с ними более эффективно. По мере появления новых вирусов и троянских коней предприятие должно устанавливать новые версии антивирусных средств и приложений.

При написании статьи использованы материалы, предоставленные компанией Cisco Systems.

Хорошо Плохо

Издавна за покоем жителей городов следили охранники и дозорные, которые в случае возникновения внештатной ситуации били тревогу. В виртуальном мире эта задача возложена на системы обнаружения (отражения) атак , или СОА (Intrusion Detection System – IDS). Первые системы обнаружения атак появились давно, начало их разработки связано с публикацией в 1980 году статьи «Computer Security Threat Monitoring and Surveillance» Джона Андерсона. С нее началось развитие систем обнаружения атак, хотя активно использовать их начали позже – приблизительно в начале 1990-х, после осознания опасностей виртуального мира.

В русском названии таких систем есть некоторая путаница: дословно Intrusion Detection System переводится как «система обнаружения вторжений», и во многих источниках используется именно оно. Однако последствием атаки необязательно должно быть вторжение, хотя сам факт атаки будет также зафиксирован такой системой. Правильнее использовать слово «атака».

Традиционно СОА делятся на системы, защищающие отдельный узел (Host IDS), и сетевые (Network IDS), контролирующие сетевые пакеты. Существуют также гибридные СОА, сочетающие возможности обеих систем. На определенном этапе разработчики захотели не только обнаруживать атаки, но и останавливать их. Так появились системы остановки атак. Любая СОА состоит из датчиков, собирающих информацию, и механизма анализа и принятия решений. Датчики для обнаружения подозрительных событий анализируют журналы работы системы, системные вызовы, поведение приложений, целостность файлов и сетевые пакеты. В качестве критерия используются наборы сигнатур, хотя все более популярными становятся средства, реагирующие на аномалии.

Сегодня для полноценной защиты уже не хватает связки антивирус – брандмауэр, поэтому разработчики предлагают СОА и для домашнего использования. Чтобы не пугать пользователя новыми названиями, при характеристике продукта применяются термины вроде «комплексное решение по защите» или «брандмауэр с расширенными возможностями». Таким примером является брандмауэр Outpost Firewall Pro, рассмотренный в предыдущей главе. В нем присутствует отдельный модуль, обеспечивающий защиту от сетевых атак. В главе 3 вы ознакомились с системами защиты компьютера, которые можно отнести к СОА, защищающим отдельный узел.

На домашнем компьютере функциональность СОА, используемых при защите сетей и серверов корпораций и потребляющих при этом большое количество ресурсов, не нужна. Для настольных систем предлагаются интегрированные решения, включающие антивирус, брандмауэр и СОА.

Ранее для защиты от хакеров «Лаборатория Касперского» предлагала брандмауэр Kaspersky Anti-Hacker, в задачу которого входили контроль над входящими и исходящими соединениями и пресечение любых враждебных действий до нанесения ими вреда. С помощью этого приложения можно было скрыть компьютер, работающий в сети. Kaspersky Anti-Hacker продается в интернет-магазинах до сих пор, но на момент написания данной книги упоминание о нем исчезло с сайта «Лаборатории Касперского». Вместо него появилось комплексное решение, предназначенное для защиты от основных угроз (вирусов, хакеров, спама и шпионских программ), – Kaspersky Internet Security.

Эта программа способна полностью защитить домашний компьютер. С одной стороны, цена одного такого продукта меньше, чем суммарная стоимость всех решений, входящих в его состав. Кроме того, интеграция уменьшает возможность возникновения системных конфликтов. С другой стороны, если вирус или шпионская программа все-таки попадет на компьютер, она может одним действием полностью лишить его защиты. Это непросто, однако вероятность такого события исключать не стоит.

Большая часть этапов установки Kaspersky Internet Security совпадает с установкой «Антивируса Касперского». Однако есть отличия, связанные с особенностями этого продукта. На начальном этапе программа установки попробует связаться с сервером компании для проверки наличия обновлений. При отсутствии соединения с Интернетом некоторое время придется подождать. После принятия лицензионного соглашения предлагается выбрать один из двух вариантов установки:

Быстрая установка – будут установлены все компоненты программы с параметрами работы по умолчанию;

Выборочная установка – установка отдельных компонентов с возможностью предварительной настройки; данный режим рекомендуется для опытных пользователей.

Рекомендуется выбрать быструю установку: в этом случае будет обеспечена максимальная защита компьютера. Если в каком-либо модуле не будет необходимости, его всегда можно отключить. Далее мастер проверит установленные программы и, если найдет несовместимые с KIS, выведет их список. Если вы продолжите установку, данные приложения будут удалены во избежание конфликтов. Если будут найдены конфигурационные файлы от предыдущей установки «Антивируса Касперского» или KIS, последует запрос на сохранение этих параметров. Если программы, мешающие работе KIS, удалялись, после этого, возможно, потребуется перезагрузка компьютера.

Как и в «Антивирусе Касперского», после установки программы запустится Мастер предварительной настройки . Если был выбран вариант Быстрая установка , мастер предложит активизировать продукт. После перезагрузки двойным щелчком на значке в Панели задач можно вызывать окно настройки параметров работы KIS (рис. 5.1).

Рис. 5.1. Окно настройки Kaspersky Internet Security

Большая часть пунктов меню совпадает с настройками «Антивируса Касперского», однако в меню Защита есть несколько новых пунктов:

Сетевой экран – вывод статуса и быстрый доступ к настройкам режима работы встроенного межсетевого экрана, системы обнаружения вторжений, модулей Анти-Реклама и Анти-Банер , просмотр сетевой активности компьютера;

Анти-Шпион – вывод статуса работы и быстрый доступ к настройкам модулей Анти-Шпион , Анти-Фишинг , Анти-Дозвон и Защита конфиденциальных данных ;

Анти-Спам – вывод статуса работы, запуск мастера обучения и быстрый доступ к настройкам модуля Анти-Спам ;

Родительский контроль – вывод статуса работы, активизация и деактивизация и быстрый доступ к настройкам этого модуля.

Разберем особенности новых функций и некоторые настройки.

Внимание!

После установки все вышеперечисленные функции отключены, что снижает безопасность системы, поэтому следует просмотреть вкладки и активизировать нужные.

Для активизации сетевого экрана достаточно нажать ссылку Включить на соответствующей вкладке. Окно настройки параметров можно вызвать нажатием кнопки Настройка внизу окна и выбором соответствующего пункта или из соответствующего пункта меню Защита . Нажав ссылку Просмотреть текущую сетевую активность , вы отобразите количество активных приложений, использующих сеть, а также количество открытых соединений и портов.

В окне настроек модуля доступны несколько областей, в каждой из которых, установив соответствующий флажок, можно включить/отключить Сетевой экран полностью либо один из его компонентов – систему фильтрации, систему обнаружения вторжений, Анти-Рекламу или Анти-Баннер (рис. 5.2). В области настройки брандмауэра имеется ползунок, используя который, можно выставить один из пяти уровней защиты:

Разрешать все – разрешена любая сетевая активность без ограничений, соответствует отключению брандмауэра;

Минимальная защита – разрешены все сетевые соединения, кроме запрещенных правилами;

Обучающий режим – пользователь самостоятельно решает, какую сетевую активность разрешать или запрещать; при попытке получить доступ к сети приложения, для которого не создано правило, у пользователя запрашивается подтверждение и на основе ответа создается новое правило;

Максимальная защита – все неразрешенные соединения блокируются;

Блокировать все – все соединения блокируются, запрещен доступ к локальной сети и Интернету; необходимо использовать в случае обнаружения сетевых атак либо при работе в опасной сети.

Рис. 5.2. Настройки модуля Сетевой экран

Во время установки создаются правила для всех приложений, однако они не всегда оптимальны для конкретной системы, поэтому рекомендуется изменить уровень защиты с минимального, который установлен по умолчанию, на обучающий. К режиму максимальной защиты следует переходить только если вы уверены, что созданы все разрешающие правила. Однако после установки нового программного обеспечения следует снова вернуться в обучающий режим защиты. При работе системы в обучающем режиме пользователю выводится уведомление (рис. 5.3).

Рис. 5.3. Уведомление о сетевой активности

Оно содержит описание активности и информацию, необходимую для принятия решения: вид соединения (входящее, исходящее), протокол, приложение, удаленный IP-адрес и порт, локальный порт. На основании полученных данных можно выбрать нужное действие, нажав соответствующую кнопку – Разрешить или Запретить . Выбор варианта Отключить режим обучения отключит этот режим работы модуля.

Если установлен флажок Создать правило , то на основании выбранного ответа формируется новое правило, и во время последующей сетевой активности этого приложения при совпадении параметров запроса программа не будет беспокоить пользователя. В раскрывающемся списке необходимо выбрать тип активности, к которому применимо выбранное действие. Доступно несколько вариантов:

Любая активность – любая сетевая активность этого приложения;

Выборочно – конкретная активность, которую следует указать в окне создания правила;

Этот адрес – активность приложения, удаленный адрес сетевого соединения которого совпадает с указанным; может быть полезна, если вы хотите ограничить работу в сети для выбранного приложения указанными адресами.

Можно также выбрать одну из предустановок, описывающих характер приложения: Почтовая программа , Браузер , Менеджер загрузки , FTP-клиент , Telnet-клиент или Синхронизатор часов .

Модуль обнаружения вторжения компонента Сетевой экран реагирует на активность, характерную для сетевых атак. При обнаружении попытки атаковать компьютер на экране появится соответствующее уведомление с указанием информации об атакующем компьютере: вид атаки, IP-адрес атакующего, протокол и сервис, который подвергся атаке, дата и время. При этом система блокирует IP-адрес атакующего компьютера на один час. Изменить время блокировки можно в области Система обнаружения вторжений в поле возле флажка Добавить атакующий компьютер в список блокирования на .

Тоньше всего можно настроить работу модуля Сетевой экран с помощью правил. В поставку включен набор правил для наиболее известных приложений, сетевая активность которых проанализирована специалистами и которые имеют четкое определение – полезная или опасная. Для одной программы можно создать несколько как разрешающих, так и запрещающих правил. В большинстве случаев для создания правил достаточно использовать обучающий режим и в диалоговом окне задавать условия, при которых программа будет получать доступ в сеть. Однако может возникнуть ситуация, когда потребуется отредактировать созданное правило, например, если был ошибочно блокирован доступ в сеть полезному приложению. Правила можно создавать самостоятельно. Чтобы перейти к окну редактирования правил, нажмите кнопку Настройка в области Система фильтрации . В появившемся окне перейдите на вкладку Правила для приложений (рис. 5.4).

Рис. 5.4. Окно настройки правил для приложений

Все правила на этой вкладке можно сгруппировать двумя способами. Если установлен флажок , отображается список приложений, для которых имеются сформированные правила. Для каждой программы выводится следующая информация: имя и значок приложения, командная строка для запуска (если есть), корневой каталог, в котором расположен исполняемый файл приложения, и количество созданных для нее правил.

Дважды щелкнув кнопкой мыши на выбранном приложении, можно просмотреть и изменить список правил. Щелчок на правиле покажет его свойства: разрешено или запрещено, исходящий, входящий поток или оба направления, протокол, удаленный и локальный порт, удаленный IP-адрес и время суток, в течение которого действует правило (рис. 5.5). Дважды щелкнув на правиле или выбрав правило и нажав кнопку Изменить , вы получите доступ к окну редактирования правила, в котором можно изменить любой из указанных параметров. Нажав кнопку Добавить , можно самостоятельно создать новое правило. Порядок редактирования и создания правил напоминает редактирование правил в Outpost Firewall (см. соответствующий раздел).

Рис. 5.5. Свойства правила

Обратите внимание на кнопки Экспорт и Импорт : с их помощью можно быстро перенести сформированные правила на другие компьютеры, что удобно для быстрой настройки правил модуля Сетевой экран . Нажмите кнопку Экспорт и укажите расположение и имя файла, в который нужно сохранить настройки, после чего перенесите файл на другой компьютер, нажмите Импорт и выберите файл с сохраненными настройками.

Чтобы получать предупреждение или записывать в отчет срабатывание правила, необходимо установить флажки Показывать предупреждение и Записывать в отчет в окне Редактирование правила .

При снятом флажке Группировать правила по приложениям все правила будут показаны без группировки по имени приложения.

Если вы обнаружили, что приложение не может получить доступ в сеть, одной из причин может быть установка запрещающего правила в модуле Сетевой экран . Самым быстрым способом проверить это является временная приостановка работы Сетевого экрана . Это можно сделать несколькими способами. Можно выбрать в окне настроек уровень защиты Разрешить все либо снять флажок Включить Сетевой экран и нажать кнопку Применить . Если после этого приложение будет работать нормально, значит, дело в запрещающем правиле. Ситуацию легко исправить: зайдите в окно настройки правил для приложений, выберите приложение и просмотрите все созданные для него правила, обращая особое внимание на запрещающие. В крайнем случае можно отметить приложение, щелкнув на нем кнопкой мыши, и нажать кнопку Удалить , чтобы удалить все созданные для него правила. Затем выберите обучающий режим безопасности и создавайте новые правила по мере необходимости.

Кроме Правила для приложений окно настройки Анти-Хакера содержит еще три вкладки. Вкладка Правила для пакетов похожа на описанную выше, только в ней можно задавать правила фильтрации для пакетов (рис. 5.6).

Рис. 5.6. Окно создания правил для пакетов

Записанные на этой вкладке правила действуют на более низком уровне, поэтому применяются независимо от приложения, которое генерирует или принимает их. При необходимости, например, глобально запретить доступ к некому ресурсу или сервису (локальному или удаленному) здесь следует указать необходимые параметры, тогда, сменив приложение, нельзя будет обойти запрет, созданный для конкретной программы. Для каждого правила фильтрации приводится следующая информация: имя правила, разрешающее или запрещающее, протокол передачи, направление пакета и параметры сетевого соединения, по которому передается пакет. Правило можно отключить, сняв соответствующий флажок.

Мастер найдет все сетевые интерфейсы, имеющиеся на компьютере, и определит для каждого политику безопасности, то есть степень доверия находящим ся в этих зонах компьютерам. Список сетевых интерфейсов доступен на вкладке Зоны : здесь можно отредактировать список сетевых интерфейсов и изменить политику безопасности.

Если во время установки будут найдены не все интерфейсы, нажмите кнопку Найти для повторного поиска. Если это не поможет, следует нажать кнопку Добавить и в появившемся окне ввести имя, адрес подсети и сетевую маску. Степень доверия характеризуется статусом сети. Статус может принимать следующие значения:

Доверенная – разрешены все соединения без ограничений;

Локальная сеть – другим компьютерам разрешен доступ к локальным файлам и принтерам, разрешена отправка сообщений об ошибках (протокол ICMP), а режим невидимости по умолчанию выключен; сетевая активность приложений регулируется правилами;

Интернет – запрещен доступ к файлам и принтерам и отправка ICMP-сообщений, режим невидимости включен; сетевая активность приложений регулируется правилами.

Для всех зон, кроме Интернета, можно изменить статус. Для этого необходимо щелкнуть на названии в области Описание . Зона Интернет всегда имеет статус Интернет , и изменить ее невозможно, поэтому при работе в Сети пользователь будет максимально защищен. Режим невидимости можно изменить несколькими способами, самый простой – установка одноименного флажка.

Примечание

В режиме невидимости нет ничего необычного. Удаленному компьютеру отсылается ICMP-пакет с кодом ECHO_REQUEST. Вручную такую проверку можно запустить, выполнив команду Пуск > Выполнить и введя в открывшемся окне команду ping имя_узла. Если компьютер включен в сеть, в ответ должен прийти пакет с кодом ECHO_REPLY. В режиме невидимости такие пакеты блокируются, значит, для большинства приложений, первоначально проверяющих его работоспособность, он невидим.

На вкладке Дополнительно с помощью переключателя можно выбрать один из двух режимов работы:

Максимальная скорость – режим, обеспечивающий максимальную скорость сетевых игр, но в то же время возможны проблемы с совместимостью, которые можно частично решить, отключив режим невидимости .

Чтобы новые параметры, выбранные на вкладке Дополнительно , вступили в силу, следует перезагрузить компьютер.

В модуль Сетевой экран входят еще два компонента.

Анти-Реклама – блокирует всплывающие окна, используемые для рекламирования продуктов или услуг и не несущие полезной нагрузки. При попытке открыть такое окно его вывод блокируется, а пользователю выводится предупреждение, в котором он может принять решение о блокировке или разрешении вывода. Корректно работает с модулем, блокирующим всплывающие окна в Microsoft Internet Explorer, который входит в состав пакета обновлений Service Pack 2 для Microsoft Windows XP.

Всплывающие окна не всегда содержат рекламу, на некоторых сайтах таким образом показывается окно выбора файлов для загрузки либо более быстрого доступа или вывода некоторой информации. Чтобы модуль Анти-Реклама не блокировал такие окна, их необходимо внести в список доверенных. Для этого нажмите кнопку Доверенные адреса , которая расположена в области Блокирование всплывающих окон , затем нажмите кнопку Добавить и в появившемся окне введите адрес ресурса, всплывающие окна которого не должны блокироваться. При этом можно использовать маски. Например, http://microsoft * определит все адреса, начинающие со слова microsoft, как доверенные. С помощью флажков, которые расположены в области Доверенная зона , можно определить узлы, входящие в доверенную зону Microsoft Internet Explorer и локальной сети, как доверенные.

Примечание

В Internet Explorer можно указать список узлов, которые пользователь считает надежными. Для этого выполните в окне браузера команду Сервис > Свойства обозревателя, перейдите на вкладку Безопасность, щелкните на значке Надежные узлы и нажмите кнопку Узлы, расположенную ниже. В появившемся окне введите веб-ресурсы, которым доверяете.

В стандартную поставку компонента Анти-Баннер включен список шаблонов часто встречающихся баннеров. Нажав кнопку Настройка , расположенную в области Блокирование рекламных баннеров , вы можете самостоятельно задать список запрещенных и разрешенных баннеров. Появившееся окно содержит три вкладки (рис. 5.7).

Рис. 5.7. Настройка блокировки баннеров

На вкладке Общие размещен список баннеров, сформированных специалистами «Лаборатории Касперского». Этот список недоступен для редактирования, но вы можете отключить любое правило, сняв соответствующий флажок. Для анализа баннеров, не попадающих под маски стандартного списка, установите флажок Использовать методы эвристического анализа – загружаемые изображения будут анализироваться на предмет наличия специфических для баннеров признаков. На вкладках «Черный» список и «Белый» список указываются пользовательские маски для баннеров, которые необходимо блокировать и разрешать. Занести в список новую маску просто. Перейдите на нужную вкладку, нажмите кнопку Добавить и в появившемся окне введите полный адрес (URL) баннера либо шаблон. В последнем случае при открытии баннера Анти-Баннер будет искать в его адресе указанную последовательность символов. Заданные на этих вкладках адреса действуют только на отображение баннеров, поэтому можно указать адрес целого сайта, например http://www.test.com/ , и баннеры, принадлежащие этому сайту, будут блокироваться. Кнопки Экспорт и Импорт , расположенные на этих вкладках, помогут быстро перенести сформированные списки на другие компьютеры.

Чтобы закончить рассказ о Kaspersky Internet Security, рассмотрим три оставшихся модуля: Анти-Шпион , Анти-Спам и Родительский контроль . Подробнее о шпионских программах рассказано в главе 6, о борьбе со спамом – в главе 8, о программах родительского контроля – в главе 9, фишинг-атаки рассмотрены в главе 7.

Модуль Анти-Шпион позволяет защититься от навязчивой рекламы, выводимой в окне браузера в виде баннеров и всплывающих окон. Использование этого модуля дает возможность распознать известные способы мошенничества в Интернете, попытки кражи конфиденциальной информации (паролей, номеров кредитных карт), неавторизованного доступа в Интернет и несанкционированного пользования платными ресурсами.

Выбрав модуль Анти-Шпион в главном окне программы, вы получите общую статистику работы и текущий статус модуля в целом и его отдельных компонентов. Здесь же можно временно приостановить или остановить работу модуля, а также включить защиту, если она была отключена.

Рис. 5.8. Окно настройки модуля Анти-Шпион

Все настройки в Kaspersky Internet Security однотипны, поэтому, освоив один компонент, найти настройки другого просто. Сняв флажок Включить Анти-Шпион и нажав кнопку Применить , можно отключить модуль. Анти-Шпион состоит из трех компонентов:

Анти-Фишинг – защищает от фишинг-атак, отслеживая попытки открытия известных фишинг-сайтов: в состав Kaspersky Internet Security включена информация обо всех известных в настоящее время сайтах, которые используются для проведения такого рода атак; при обновлении сигнатур угроз этот список также обновляется;

Анти-Дозвон – блокирует попытку установки модемных соединений с платными ресурсами Интернета;

Предотвращение передачи конфиденциальных данных – распознает и предупреждает пользователя (в настройках по умолчанию) о попытке передачи конфиденциальных данных или попытке получения доступа к персональным данным или паролям.

Аналогично для модуля Анти-Дозвон : если вы хотите разрешать соединения по определенным номерам без запроса программы, добавьте их в список доверенных номеров. Для этого нажмите кнопку Доверенные номера и введите телефонный номер или шаблон. Чтобы временно убрать номер из списка, снимите соответствующий флажок, а если номер необходимо удалить совсем, выберите его с помощью кнопки мыши и нажмите кнопку Удалить .

Удобно, что в поставке Kaspersky Internet Security содержится комплекс приложений, необходимых для полноценной защиты системы. Зарегистрировав почтовый ящик, вы вскоре обнаружите в нем письма, не предназначенные лично вам, для чего полезно наличие модуля Анти-Спам , который умеет обнаруживать такие послания.

Выбрав модуль Анти-Спам в главном окне программы, вы сможете получить информацию о статусе его работы и статистику проверенных с момента запуска сообщений и сообщений, распознанных как спам. Щелкнув на любом месте области Открыть отчет , можно получить более детальную информацию. Нажатие кнопки Настройка приведет к окну настройки работы модуля (рис. 5.9).

Рис. 5.9. Окно настройки модуля Анти-Спам

Все электронные сообщения, которые модуль распознал как спам , помечаются в поле Тема меткой [!! SPAM] . Сообщения, вероятно, являющиеся потенциальным спамом , помечаются как [?? Probable Spam] . Больше никаких операций Анти-Спам не производит и письма самостоятельно не удаляет, даже если они однозначно классифицированы как спам.

По умолчанию защита от спама включена. Чтобы ее отключить, снимите флажок Включить Анти-Спам , а если защиту нужно временно приостановить, воспользуйтесь кнопками в главном окне программы. Для удобства в приложении введены уровни агрессивности работы модуля – нужный уровень выбирается с помощью ползунка, расположенного в одноименной области окна настройки.

Возможен следующий выбор:

Разрешать все – самый низкий уровень контроля: спамом признается только почта, которая содержит строки из «черного» списка фраз или отправитель которой включен в «черный» список;

Низкий – более строгий уровень, в котором производится полный анализ, но уровень реакции механизмов анализа поступающих писем установлен ниже обычного, поэтому вероятность прохождения спама выше, хотя потери меньшие; рекомендуется использовать, если вы получаете много полезных писем, ошибочно принимаемых за спам;

Высокий – уровень с более строгими порогами срабатывания механизмов определения, поэтому в спам могут попасть письма, таковым не являющиеся; письма анализируются на основании «белого» и «черного» списков и с применением современных технологий фильтрации; рекомендуется, когда адрес получателя неизвестен спамерам;

Блокировать все – самый высокий уровень: только письма из «белого» списка будут проходить беспрепятственно, остальные будут помечаться как спам.

Можно указать параметры определения спама самостоятельно. Для этого нажмите кнопку Настройка в области Уровень агрессивности . В появившемся окне находятся четыре вкладки. Вкладки «Белый» список и «Черный» список схожи по настройкам, только прописанные в них параметры будут вызывать различную реакцию Анти-Спама . Все, что занесено в «Белый» список , однозначно будет относиться к нормальной почте, а то, что будет в «Черном» списке , укажет на спам. Каждая вкладка разделена на два блока. В верхней части записываются адреса электронной почты, внизу – ключевые фразы. Адреса электронной почты могут заполняться вручную или при обучении модуля Анти-Спам . Чтобы вручную задать электронный адрес, письма с которого не будут рассматриваться как спам, перейдите на вкладку «Белый» список и установите флажок Я хочу получать письма от следующих отправителей , затем нажмите Добавить и в появившемся поле введите адрес. Можно вводить полный электронный адрес, к примеру [email protected] , а можно использовать шаблоны. Например, шаблон *@mail.ru укажет Анти-Спаму , что все письма, пришедшие с сервера mail.ru , подпадают под правило.

Чтобы добавить строку, на основании которой письмо будет расценено как полезное, установите флажок Я хочу получать письма, содержащие следующие фразы , нажмите кнопку Добавить и введите фразу или шаблон. Можете договориться с друзьями, чтобы они всегда подписывали письма какой-либо фразой, которая занесена в «Белый» список , тогда письма, пришедшие от них, не попадут в спам.

Аналогично заполняются почтовые адреса и фразы на вкладке «Черный» список . Установите флажок Я не хочу получать письма от следующих отправителей для активизации фильтра по почтовому адресу. Для включения фильтрации по ключевым словам предназначен флажок Я не хочу получать письма, содержащие следующие фразы .

При занесении ключевой фразы требуется дополнительно указать соответствующий ей весовой коэффициент . Самому подобрать коэффициент сложно, если вы сомневаетесь, укажите значение 50 или воспользуйтесь имеющимися правилами как подсказкой. Письмо будет отнесено к спаму, если его суммарный коэффициент превысит определенное число. В отличие от «белого» списка, в «черный» разработчики занесли фразы, наиболее часто употребляемые спамерами.

Для распознавания спама модуль Анти-Спам использует различные технологии, которые можно включить и отключить на вкладке Распознавание спама (рис. 5.10).

Рис. 5.10. Настройка технологий фильтрации спама

В области Фильтры указывается, какие технологии задействовать для обнаружения спама:

Самообучающийся алгоритм iBayes – анализ текста почтового сообщения на предмет наличия фраз, относящихся к спаму;

Технология GSG – анализ изображений, помещенных в письмо: на основании сопоставления с уникальными графическими сигнатурами делается вывод о принадлежности изображения к графическому спаму;

Технология PDB – анализ заголовков: на основании набора эвристических правил делается предположение о принадлежности письма к спаму;

Технология Recent Terms – анализ текста сообщения на наличие фраз, типичных для спама; в качестве эталона используются базы, подготовленные специалистами «Лаборатории Касперского».

В областях Фактор спама и Фактор потенциального спама указывается коэффициент, при превышении которого письмо будет расценено как спам или потенциальный спам. По умолчанию выбраны оптимальные значения; используя ползунок, можно самостоятельно выставить необходимый уровень. Поэкспериментировав, вы найдете приемлемые параметры.

Вкладка Дополнительно позволяет указать дополнительные критерии, по которым будет определяться спам (неправильные параметры сообщения, наличие некоторых типов html-вставок и пр.). Необходимо установить соответствующий флажок и задать фактор спама в процентах. По умолчанию фактор спама во всех критериях равен 80 %, а письмо будет признано как спам, если сумма всех критериев будет равна 100 %. Если хотите, чтобы все письма, которые вам не адресованы, считались спамом, установите флажок Адресованные не мне , после чего нажмите кнопку Мои адреса , затем Добавить и введите все используемые вами почтовые адреса. Теперь при анализе нового сообщения будет проверен адрес получателя, и если адрес не совпадет ни с одним адресом списка, сообщению будет присвоен статус спама. Когда вы вернетесь в главное окно настроек Анти-Спама , в нем будет задан уровень агрессивности Пользовательский .

Чтобы повысить эффективность модуля Анти-Спам , необходимо обучить его, указывая, какие письма являются спамом, а какие – обычной корреспонденцией. Для обучения используется несколько подходов. Например, чтобы адреса корреспондентов, с которыми вы общаетесь, автоматически заносились в «белый» список, нужно установить флажок Обучаться на исходящих письмах (он расположен в поле Обучение окна настройки модуля Анти-Спам ). Для обучения будут использованы только первые 50 писем, затем обучение завершится. По окончании обучения следует уточнить «белый» список адресов, чтобы убедиться, что в нем находятся нужные записи.

В области Обучение расположена кнопка Мастер обучения . Нажав ее, вы в пошаговом режиме сможете обучить Анти-Спам , указывая папки почтового клиента, содержащие спам и обычные письма. Такое обучение рекомендуется произвести в самом начале работы. После вызова мастера обучения нужно пройти четыре шага.

1. Определение папок, содержащих полезную корреспонденцию.

2. Указание папок, в которых находится спам.

3. Автоматическое обучение Анти-Спам . Почтовые адреса отправителей полезной почты заносятся в «белый» список.

4. Сохранение результата работы мастера обучения. Здесь можно добавить результаты работы к старой базе либо заменить ее новой.

В целях экономии времени мастер обучает Анти-Спам только на 50 письмах в каждой папке. Чтобы алгоритм Байеса, используемый для распознавания спама, работал правильно, следует произвести обучение как минимум на 50 письмах полезной почты и 50 письмах спама.

У пользователя не всегда может быть столько писем, но это не проблема. Обучить Анти-Спам можно в процессе работы. Возможны два варианта обучения:

С использованием почтового клиента;

С использованием отчетов Анти-Спам .

Во время установки модуль Анти-Спам встраивается в следующие почтовые клиенты:

Microsoft Office Outlook – на панели появляются кнопки Спам и Не Спам , а в окне, вызываемом командой меню Сервис > Параметры , вкладка Анти-Спам ;

Microsoft Outlook Express – в окне появляются кнопки Спам и Не Спам и кнопка Настройка ;

The Bat! – новые компоненты не появляются, но Анти-Спам реагирует на выбор пунктов Пометить как спам и Пометить как НЕ спам в меню Специальное .

Обучение с использованием отчетов просто. Выберите модуль Анти-Спам в главном окне программы и щелкните на области Открыть отчет . Заголовки всех писем отображаются на вкладке События открывшегося окна. Выделите с помощью кнопки мыши письмо, которое будет использовано для обучения Анти-Спама , нажмите кнопку Действия и выберите один из четырех вариантов: Отметить как спам , Отметить как не спам , Добавить в «белый» список или Добавить в «черный» список . После этого Анти-Спам будет обучаться. Обратите внимание, что при нехватке записей в базе данных в заголовке этого окна отобразится надпись, говорящая, сколько еще писем требуется для обучения модуля.

Если в окне настроек Анти-Спама установлен флажок Открывать Диспетчер писем при получении почты , вы получаете еще одну возможность регулирования поступающей почты. При соединении с почтовым сервером будет открываться Диспетчер писем , который позволяет просмотреть список сообщений на сервере без их загрузки на компьютер (рис. 5.11).

Рис. 5.11. Диспетчер писем

Здесь отображается информация, необходимая для принятия решения: отправитель, получатель, тема и размер сообщения. В столбце Причина может показываться комментарий модуля Анти-Спам .

По умолчанию Анти-Спам анализирует проходящие письма вне зависимости от установленного почтового клиента. Если в качестве последнего используется один из почтовых клиентов, перечисленных выше, такая двойная работа излишняя, поэтому стоит снять флажок Обрабатывать трафик POP3/SMTP/IMAP , который находится в области Встраивание в систему . Установите его, только если используете отличную от перечисленных почтовую программу. Если интеграция с указанными почтовыми клиентами не требуется, снимите флажок Включить поддержку Microsoft Office Outlook/The Bat! .

Отказавшись от приема ненужных или подозрительных сообщений, можно не только сэкономить трафик, но и снизить вероятность загрузки на компьютер спама и вирусов. При выборе сообщения внизу отобразится его заголовок, содержащий дополнительную информацию об отправителе письма. Для удаления ненужного сообщения установите флажок напротив письма в столбце Удалить и нажмите кнопку Удалить выбранные . Если вы хотите, чтобы Диспетчер показывал только новые сообщения на сервере, проследите, чтобы был установлен флажок Показывать только новые сообщения .

У большинства сегодняшних систем защиты компьютера имеются недостатки. Главным из них является то, что они не могут защитить систему от новых видов атак или вирусов, не занесенных в базы.

Примечание

В специальной литературе для обозначения новых неизвестных видов атак часто используется термин zero-day (0-day) attack.

На обучение проактивных систем уходит некоторое время, в течение которого решение о допуске программы принимает пользователь. Подобные системы сегодня задают все меньше вопросов, однако от пользователя требуется некий уровень понимания происходящего в системе – хотя бы такой, чтобы появление нового процесса вызывало подозрение. Созданные профили будут известны только на одном компьютере, поэтому в случае атаки на другую машину обучение придется повторять сначала. Вероятность возникновения ошибки велика, особенно учитывая характерный для проактивных систем высокий процент ошибок.

Создателям общественной системы предотвращения атак (Community Intrusion Prevention System, CIPS) Prevx (http://www.prevx.com/ ), английской компании Prevx Limited, удалось найти золотую середину. Эта система только набирает популярность, однако оригинальность решения и эффективность делают ее достойной рассмотрения.

Впервые прототип нового типа системы отражения атак был представлен общественности в феврале 2004 года и назывался Prevx Home . Уникального в представленной системе было много. В отличие от антивирусных систем, использующих для определения злонамеренных файлов сигнатуры, или некоторых систем, работающих со списком разрешенных приложений, в новой системе применялись правила, которые описывали поведение и средства контроля целостности программ. Причем в список попадали как заведомо хорошие, так и плохие программы, что позволяло быстро определить характер нового приложения или процесса на компьютере. Однако не это главное.

В системе используется единая база данных Community Watch. Она является наиболее мощным источником информации, определяющим существование, распространение и деятельность как благоприятного, так и злонамеренного программного обеспечения. Используя информацию, собранную в этой базе данных, можно проследить и проанализировать в реальном времени поведение и распространение обществом каждой программы. На каждом клиентском компьютере устанавливаются агенты безопасности , которые отслеживают ситуацию в защищаемой системе. При установке нового приложения либо появлении нового, неизвестного локальной базе процесса агент по Интернету отсылает запрос к центральной базе и на основании полученной информации делает вывод о ее благонадежности.

Если в центральной базе данных нет информации о новой программе, новый модуль заносится в нее и помечается как неизвестный, и пользователь предупреждается о возможном риске. В отличие от антивирусов, требующих некоторого времени для анализа специалистами, Community Watch в большинстве случаев способна самостоятельно определить характер программы, основываясь на поведенческих характеристиках. Для этого используется методика Four Axes of Evil, которая определяет характер программы по четырем составляющим: скрытность, поведение, происхождение и распространение. В результате создается ее описание, содержащее приблизительно 120 параметров, позволяющих однозначно идентифицировать эту программу в будущем, то есть если неизвестная базе утилита выполняет те же действия, что и известная зловредная программа, ее назначение очевидно. Если данных, собранных агентом, недостаточно для принятия однозначного решения, база данных может потребовать копию программы для проверки. По заявлению разработчиков, только небольшой процент случаев требует особого вмешательства специалистов.

При первом запуске база данных содержала информацию о миллионе событий, а через 20 месяцев в ней уже была информация о миллиарде. Такой принцип работы позволяет устранить ложные срабатывания, поэтому неудивительно, что вскоре появилась программа нового поколения – Prevx1, тестирование которой началось с 16 июля 2005 года. Результат превзошел все ожидания: 100 тыс. разбросанных по всему миру компьютеров с установленными на них Prevx1 оказались способными противостоять новым угрозам в реальном времени.

Сегодня оптимизированная база данных содержит более 10 млн уникальных событий и 220 тыс. вредных объектов. Ежедневно система автоматически обнаруживает и нейтрализует свыше 400 вредных приложений и около 10 тыс. программ различного назначения. Антивирусам не угнаться за такой производительностью. По статистике, приведенной на сайте, новый пользователь, подключившийся к Prevx1, в 19 % случаев находит у себя в системе вредоносные программы. Prevx1 может использоваться автономно, самостоятельно защищая компьютер, и совместно с другими продуктами, усиливающими ее действие: брандмауэром, антивирусом и программами для поиска шпионских модулей.

Для установки Prevx потребуется компьютер, имеющий не менее 256 Мбайт оперативной памяти и процессор с частотой 600 Мгц, работающий под управлением Windows 2000/XP/2003 и Vista. Это минимальные требования, для комфортной работы желательно использовать более современное оборудование.

Существует несколько вариантов продукта, каждый из которых имеет свои особенности, рассчитанные на конкретные условия применения, и соответствующую стоимость. Доступна также бесплатная версия продукта Prevx Computer Security Investigator (CSI), получить которую можно по адресу http://free.prevx.com/ .

Разработчики поступили просто: наличие бесплатной версии привлекает к проекту новых пользователей, которые добавляют свои сигнатуры в базу данных сообщества и тестируют на своем оборудовании непроверенное программное обеспечение. Версию Free можно установить обычным образом на жесткий диск или на USB-устройство хранения информации. Единственное ограничение этой версии – невозможность удаления найденных вредоносных файлов (производится только проверка компьютера). Зато ее можно производить любое количество раз для подстраховки, запуская вручную или по расписанию, и в случае обнаружения проблем принимать меры с помощью других утилит, описанных в данной книге.

Установка Prevx1 не вызывает сложностей, но для верификации требуется подключение к Интернету. Запустите исполняемый файл, подтвердите согласие с лицензией, установив флажок и нажав кнопку Continue (Продолжить). Начнется сканирование системной области, по окончании которого будет выведен результат (рис. 5.12).

Рис. 5.12. Консоль управления Prevx CSI

Обратите внимание на сообщение после System Status . Если значок напротив окрашен в зеленый цвет и подписан Clean , это означает, что на компьютере не обнаружено вредоносных программ. Если значок красный и подпись Infected – на компьютере найдены вредоносные программы и следует принять меры. Если на компьютере будет обнаружена неизвестная программа, значок окрасится в желтый предупреждающий цвет, в этом случае пользователь должен быть внимателен, так как это может быть вредоносная программа.

Prevx должен обновлять локальную базу по мере необходимости, если соединение производится через прокси-сервер, его настройки следует указать на вкладке Configure в поле Activate Proxy Support . Автоматическую проверку системы можно установить на вкладке Scheduler . Установите флажок Scan my system every и с помощью раскрывающихся списков, расположенных справа, укажите периодичность и время проверки. Можно выбрать ежедневную проверку (Day ) или указать на один из дней недели. Чтобы проверка производилась, если компьютер был выключен, установите флажок If my computer is not powered is on at the scheduled time . Для проверки компьютера после загрузки системы установите Scan automatically on bootup .

Сетевая защита и брандмауэр

Понимая опасность атак, многие исследовательские центры и ча­стные компании занимались решением этой проблемы. Разработанный метод защиты похож на стену, окружающую со всех сторон компьютер, поэтому он и получил назва­ние Firewall (пожарная стена), иначе сетевой экран или фильтр, который отфильтровывает запросы сетевых пользователей к системе. В официальной русской версии Windows XP он переве­ден как брандмауэр .

Брандмауэр – специальное программное обеспече­ние, поставляемое вместе с операционной системой или устанавливаемое пользователем, которое позволяет запретить любой доступ нежелательных пользователей из сети к системе. Брандмауэр помогает повысить безопасность компьютера. Ограничивает информацию, поступающую на компьютер с других компьютеров, позволяя лучше контролировать данные на компьютере и обеспечивая линию обороны компьютера от людей или программ (включая вирусы и «черви»), которые несанкционированно пытаются подключиться к компьютеру. Брандмауэр – это пограничный пост, на котором проверяется информация (трафик), приходящая из Интернета или по локальной сети. В ходе проверки брандмауэр отклоняет или пропускает информацию на компьютер в соответствии с установленными параметрами.

В состав Windows XP входит встро­енная версия брандмауэра (в пакет обновления SP2 для Microsoft Windows XP брандмауэр включен по умолчанию), основной алгоритм работы которого обеспечивает защиту от несанкционированных пользователей. Практически невозможно найти уязвимость, которая бы обеспечивала проникновение взломщика на защищенную сетевым экраном систему. Функции, выполняемые брандмауэром :

Блокировка доступа на компьютер вирусам и «червям»;

Запрос пользователя о выборе блокировки или разрешения для определенных запросов на подключение;

Ведение журнала безопасности и по желанию пользователя запись разрешенных и заблокированных попыток подключения к компьютеру, журнал может оказаться полезным для диагностики неполадок.

Идея атак взломщиков основывается на работе низкоуровневых алгоритмов обработки сетевых запросов, в некоторых старых версиях программного обеспечения их можно было пытаться использовать для возможного проникновения через сетевой экран. В современных версиях брандмауэра , если грамотно его настроить, можно избежать любых атак взломщиков.

Когда на компьютер поступает непредусмотренный запрос (кто-то пытается подключиться из Интернета или по локальной сети), брандмауэр блокирует подключение. Если на компьютере используются программы передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр запрашивает пользователя о блокировании или разрешении подключения. Если пользователь разрешает подключение, брандмауэр создает исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы. Предусмотрена так же возможность отключения брандмауэра для отдельных подключений к Интернету или локальной сети, но это повышает вероятность нарушения безопасности компьютера.

Настройка брандмауэра

Если брандмауэр подключен, то для его настройки следует:

Войти в систему под учетной записью системного администратора;

Открыть папку, в которой находятся сетевые подключения:

Пуск\Настройка\Панель управления\Сетевые подключения (рис.1.);

Выбрать строку, например, (рис.2.);

Во вкладке Общие сделать щелчок по кнопке Свойства (рис.2.);

Появится дополнительное окно Свойства , в котором выбрать вкладку Дополнительно (рис.1.2.);

Во вкладке Дополнительно нажать кнопку Параметры (рис.3.);

Появится окно программы Брандмауэр Windows (рис.3.).

Аналогичное окно появится при выборе программы Брандмауэр Windows из списка программ в Панели управления :

Пуск – Настройки – Панель управления – Брандмауэр Windows (рис.4.)

Для получения подробной информации в окне программы Брандмауэр Windows следует сделать щелчок по ссылке Подробнее о Брандмауэре Windows . Появится окно Центр справки и поддержки, в котором будет приведена вся информация о назначении и использовании брандмауэра .

Рисунок 1. Окно программы Сетевые подключения

Рисунок 2. Окна программы Подключение по локальной сети

Рисунок 3. Окно вкладки Дополнительно и окно программы Брандмауэр

Рисунок 4. Окно Панель управления и окно программы Брандмауэр Windows

Закладка Общие окна настроек брандмауэра является главной, по умолчанию брандмауэр включен (рис.4.). Закладка содержит ряд опций.

Опция Включить (рекомендуется) включает брандмауэр . Опция Не разрешать исключения может использоваться только вместе с опцией Включить (рекомендуется) . Она позволяет повысить уровень безопас­ности системы в случае ее использования в публичных местах, таких как аэропорты, кафе, кинотеатры и пр., оборудованные досту­пом в Интернет. Уровень безопасности будет увеличен за счет запрета работы программ, к которым разрешается получать доступ из сети, прегражденной сетевым фильтром. Сообщения об отказе доступа пользователям к таким приложениям система генерировать не будет.

Опция Выключить (не рекомендуется) полностью выключает брандмауэр . В этом случае система оказывается совершенно незащищенной от атак извне. Единственный случай, когда это может быть оправдано, это когда нужно кратковременно протестировать работу какого-либо приложения, которое не хочет работать с активным сетевым экраном.

Брандмауэр Windows блокирует входящие сетевые подключения, исключая программы и службы, выбранные пользователем. Добавление исключений улучшает работу некоторых программ, но повышает риск безопасности. Закладка Исключения позволяет указать программы и сервисы, к которым могут быть осуществлены соединения пользователей со стороны Интернета (рис.5.). Фактически, для этих программных продуктов сетевой фильтр работать не будет, пропуская все запросы к ним через себя.

Рисунок 5. Закладка Исключения

Закладка Исключения представляет собой список программ и сервисов, к которым можно разрешить доступ со стороны Интернета, посредством установки рядом с ними флажка. Опция Отображать уведомление , когда брандмауэр блокирует программу , в случае ее активиза­ции, заставляет Windows выдавать сообщение о попытке доступа из сети. По умолчанию опция включена, т.к. она помогает лучше понять процессы, происходящие внутри сис­темы. Если на закладке Общие установлена опция Не разрешать исключения сообщение выда­ваться не будет.

Для удаления программы или сервиса из списка разрешенных объектов к обращению из сети Интернет следует выделить объект из списка окна и нажать кнопку Удалить . Данную операцию стоит про­водить с программами или сервисами, которые больше не должны быть дос­тупны для пользователей из Интернета.

Для редактирования определенного объекта из списка программ и сервисов, разрешенных к обращению из Интернета следует выделить редактируемый объект и нажать кнопку Изменить , появится окно Изменение программы (рис.6). Диалоговое окно содержит имя редактируемой программы и путь к ее исполняемому файлу. Кнопка Изменить область позволяет указать, каким именно сетевым компьютерам будет доступна выбранная программа или сервис. В данном окне можно указать три режима, в соответствии с которыми будет осуществляться доступ из сети к программе или сервису, располо­женному в системе.

Режим Любой компьютер (включая из Интернета) указывает, что доступ к данной программе будет возможен со всех сетевых компьютеров, включая расположенные в Интернете. Не рекомендуется выбирать режим без особой необходимости, т.к. будет предоставлена возможность любому пользователю извне пробовать подключаться к определенному программному обеспечению. А в случае наличия в нем уязвимостей, пользователь может по­лучить доступ к системе или нарушить ее нормальное функционирование.

Режим Только локальная сеть (подсеть) позволяет сделать возможным дос­туп к программному обеспечению только из сети, в которой нахо­дится система, что значительно снижает риск взлома даже при нали­чии уязвимостей в программном обеспечении. Если нужно разрешить доступ только с некоторых сетевых компью­теров, рекомендуется использовать третью опциею.

Рисунок 6. Диалоговое окно Изменение программы

Рисунок 7. Диалоговое окно Изменение области

Режим Особый список позволяет указать в нижележащем поле ввода список IP-адресов (сетевой адрес вида a.b.c.d ) компьютеров, которым будет разрешен доступ к выбранному сервису или про­грамме. Это наиболее удобный и безопасный способ осуществления разрешения на доступ из сети, так как в этом случае всегда можно кон­тролировать компьютеры, которые его получают, и быть уверенными в том, что система надежно защищена от атак. Рекомендуется использовать данный режим (если позволяет ситуация), как самый оптимальный из всех. Кнопка ОК сохраняет внесенные изменения в окне, кнопка Отмена – их отменяет.

Рисунок 8. Диалоговое окно Добавление программы

В закладке Исключения кнопка Добавить программу позволяет добавить программы, к которым следует разрешить доступ со стороны сети (рис.8.). Из предлагаемого списка требуется выбрать нужное приложение или воспользоваться кнопкой Обзор и указать его исполняемый файл в файловой системе компьютера. С помощью кнопки Изменить область можно указать с каких се­тевых компьютеров будет возможен доступ к данному приложению. Кнопка ОК сохраняет внесенные изменения, закрывая окно добавления про­граммы, кнопка Отмена

В закладке Исключения нажатие кнопки Добавить порт выводит диалоговое окно Добавление порта (рис.9.). Номер порта представляет собой канал, выраженный целочисленным десятичным числом, по которому приложения могут обмениваться информацией. Если используемому приложению требуется открыть определенный канал, то в поле Имя следует ввести имя приложения, в поле Номер порта – номер порта, сообщенный приложением. Флажковые опции TCP и UDP позволяют указать какой порт требуется приложению. Если необходимо создать два порта с одинаковыми номерами, но разными типами (TCP или UDP ), то следует дважды воспользоваться функцией дополнения порта (кнопкой Добавить порт ) (рис.9.), и с помощью кнопки Изменить область указать с каких сетевых компьютеров будет возможен доступ к данному порту. Кнопка ОК сохраняет внесенные изменения, кнопка Отмена приводит к отмене всех дополнений сделан­ных в окне.

Рисунок 9. Диалоговое окно Добавление порта