Существует огромное множество различных конфигураций компьютеров, операционных систем и сетевого оборудования, однако, это не становится препятствием для доступа в глобальную сеть. Такая ситуация стала возможной, благодаря универсальному сетевому протоколу TCP/IP, устанавливающему определенные стандарты и правила для передачи данных через интернет. К сожалению, подобная универсальность привела к тому, что компьютеры, использующие данный протокол, стали уязвимы для внешнего воздействия, а поскольку протокол TCP/IP используется на всех компьютерах, подключенных к интернету, у злоумышленников нет необходимости разрабатывать индивидуальные средства доступа к чужим машинам.

Сетевая атака – это попытка воздействовать на удаленный компьютер с использованием программных методов. Как правило, целью сетевой атаки является нарушение конфиденциальности данных, то есть, кража информации. Кроме того, сетевые атаки проводятся для получения доступа к чужому компьютеру и последующего изменения файлов, расположенных на нем.

Есть несколько типов классификации сетевых атак. Один из них – по принципу воздействия. Пассивные сетевые атаки направлены на получение конфиденциальной информации с удаленного компьютера. К таким атакам, например, относится чтение входящих и исходящих сообщений по электронной почте. Что касается активных сетевых атак, то их задачей является не только доступ к тем или иным сведениям, но и их модификация. Одно из наиболее значимых различий между этими типами атак заключается в том, что обнаружить пассивное вмешательство практически невозможно, в то время как последствия активной атаки, как правило, заметны.

Кроме того, атаки классифицируются по тому, какие задачи они преследуют. Среди основных задач, как правило, выделяют нарушение работы компьютера, несанкционированный доступ к информации и скрытое изменение данных, хранящихся на компьютере. К примеру, взлом школьного сервера с целью изменить оценки в журналах относится к активным сетевым атакам третьего типа.

Технологии защиты

Методы защиты от сетевых атак разрабатываются и совершенствуются постоянно, однако полной гарантии ни один из них не дает. Дело в том, что любая статичная защита имеет слабые места, так как невозможно защититься от всего сразу. Что же касается динамических методов защиты, таких как статистические, экспертные, защиты с нечеткой логикой и нейронные сети, то они тоже имеют свои слабые места, поскольку основаны преимущественно на анализе подозрительных действий и сравнении их с известными методами сетевых атак. Следовательно, перед неизвестными типами атак большинство систем защиты пасует, начиная отражение вторжения слишком поздно. Тем не менее, современные защитные системы позволяют настолько осложнить злоумышленнику доступ к данным, что рациональнее бывает поискать другую жертву.

Задание. Установить и настроить межсетевой экран.

Нижеприведенный текст взят с одного из сайтов с сохранением стиля автора.

Изначально межсетевой экран (файервол) служил для ограничения доступа к локальным сетям извне. Сейчас популярны комплексные решения. Если речь идет о "профессиональном" применении, то это отдельное устройство, умеющее не только фильтровать пакеты, но и обнаружить попытку сетевой атаки. Нам, простым пользователям, достаточно иметь программный файервол. Даже "простенький" файервол не ограничивается контролем интернет-трафика, он предупреждает о любой подозрительной активности приложений, спрашивая пользователя о том, что разрешать делать приложению, а что - нет. Это является и "недостатком". Первое время придется отвечать на вопросы, причем отвечать правильно. Я видел ситуации, когда пользователь ошибочно заблокировал доступ в интернет своему интернет-браузеру. В итоге - соединение с провайдером устанавливается, но, ни один сайт не открывается.

К файерволам мы вернемся очень скоро, ведь настала пора перейти к чисто сетевой безопасности.

Прежде, чем освещать сетевые атаки, неплохо ознакомиться с принципами функционирования сетей. Эти знания могут оказаться полезными и для устранения неполадок своими силами. Тех, кто желает всерьез изучить проблему, отсылаю к серьезным материалам. Простому человеку не обязательно читать всякие RTFSы. Моя цель - помочь пользователю обоснованно выбрать уровень защиты. Здесь приходится руководствоваться необходимой достаточностью, а определение этой "достаточности" - индивидуально.

Если вы - пользователь Интернет, ваш компьютер постоянно отправляет и получает данные. Отправляются запросы на получение информации, сама информация (например, почта). Получаются служебные ответы (готовность сервера, данные о размере скачиваемого файла и т.д.), и сами данные.

Представим себе работу двух штабов дружественных армий во время совместных учений. Российский генерал просит китайского поддержать наступление огнем с моря. Как происходит обмен информацией? Составляется письмо, передается шифровальщику, уже зашифрованное - радисту. Последний отстукивает письмо в эфир азбукой Морзе. Китайский радист получает "морзянку", шифровальщик расшифровывает, с удивлением обнаруживает, что послание на русском языке и отдает его переводчикам. Только теперь можно считать, что письмо дошло до адресата. Заметим, что нашим генералам по рангу не положено задумываться об азбуке Морзе, методах шифрования и радиопередатчиках. Также, как пользователь не обязан ничего знать о семи сетевых уровнях взаимодействия. Самым интересным для нас является IP - протокол интернета. Этот протокол должен понимать любой компьютер в сети Интернет, как все радисты способны пользоваться "морзянкой". Известно, что, при организации связи часто используются кабельные линии. Если на пути встречается преграда, например - река, то в место разрыва по берегам устанавливают два приемо-передатчика (ретрансляторы, это выгоднее, чем тянуть по дну кабель), далее могут использоваться и спутниковые каналы, и снова кабельная линия. Два "радиста" используют морзянку и могут ничего не знать о методах передачи сигнала по кабельным или радиоканалам с их аппаратурой уплотнения. Сети передачи данных, на которых базируется интернет, столь же сложны, но оконечные устройства, например Ваш компьютер, понимает IP, независимо от установленной операционной системы.

В соответствии с концепцией IP, данные преобразуются в отдельные "пакеты", которые могут (но не обязаны) нести в себе помимо куска данных и информации о пункте отправки и назначения, сведения о том, кусок чего именно содержится в пакете, как его стыковать с остальными частями. Понятно, что не существует идеальных каналов для передачи данных, а значит часть пакетов будет содержать ошибки, пакеты достигают цели в "неправильной" последовательности или вообще не достигают. Иногда это не критично. Поскольку теряется лишь небольшая часть пакетов, передачу можно повторить несколько раз (разумный подход, если сообщение небольшое). Сетевик увидит здесь дейтаграммный протокол (UDP), который базируется на протоколе IP и не гарантирует доставку сообщений. Протоколы TCP/IP располагают средствами для надежной доставки за счет установления виртуального соединения. В процессе такого соединения общаются уже две пользовательские программы. "Принимающая" сторона уведомляется о количестве отправленных пакетов и способе их стыковки, и, если какой-то пакет не дошел, просит повторить отправку. Здесь уже можно сделать два практических вывода. Первый: если сигнал сильно искажается или много помех, то значительная часть пакетов проходят с ошибками, что приводит к множеству повторных отправок, то есть, снижается реальная скорость передачи данных. Отсюда и возникает понятие ширины (пропускной способности) канала. Второй вывод: если отправит все заявленные пакеты кроме одного, принимающая сторона не закроет виртуального соединения, ожидая опаздывающего. Если насоздавать множество таких соединений, принимающему компьютеру будет тяжко, поскольку под каждое соединение резервируется участок памяти, а память не резиновая. По такому принципу строили сетевые атаки, "подвешивая" компьютер жертвы.

Чтобы понять процесс установления соединения, необходимо рассмотреть систему идентификации компьютеров в сети. Если мы говорим об интернет, то у каждого компьютера есть уникальное имя, называемое IP - адресом. выглядит он может примерно так: 213.180.204.11 Трудновато для запоминания, поэтому придумали доменные имена, состоящие из "нормальных" символов, например www.yandex.ru. Если в командной строке Вашего интернет-браузера набрать http://213.180.204.11, то это будет равноценно http://www.yandex.ru. Каждое доменное имя соответствует определенному IP - адресу. Как я узнал IP знаменитой поисковой системы? Можно использовать специальную программку, а можно выполнить команду "ping". Если у Вас Windows, нажмите кнопку "Пуск", кликните на пункте "выполнить". Нам предлагают выполнить на компьютере какую-нибудь команду, скомандуем cmd (введем cmd в поле "открыть"), откроется окно командного интерпретатора. Теперь мы можем видеть вводимые команды и результат их выполнения. Итак, командуем ping yandex.ru, жмем "Enter" и получаем результат. Результат будет положительным, если ваш компьютер подключен к Интернет. В этом случае Вам покажут время прохождения пробных пакетов до сервера yandex, а заодно ip - адрес. В роле "переводчика" выступает DNS - сервер, специальный компьютер, хранящий таблицы соответствия доменных имен ip-адресам, причем таких компьютером может быть много. Интернет изначально задумывался как отказоустойчивая сеть (для военных в США), а надежность должно было обеспечить отсутствие единого центра. Группа пакетов, отправленная в рамках одного соединения, может идти разными путями (на то она и всемирная паутина), управляется этот процесс маршрутизаторами, хранящими различные пути до различных подсетей. Теперь понятно, почему очередность поступления пакетов адресату может отличаться от исходной. Также понятно, что, если злодей подменит запись в таблице адресов, то вместо нужного сайта клиент может угодить на сайт-двойник, где введет свои пароли и другие данные. Утешает то, что подмена таблиц публичных DNS является весьма трудным делом. Но, следует помнить, что браузер первым делом просматривает локальную таблицу, хранящуюся в специальном файле на Вашем компьютере. Если вирусу удастся внести туда свою запись, то введя www.yandex.ru, Вы запросто можете попасть на совершенно другой сайт, быть может, внешне похожий. Если ваш файервол сообщает, что какая-то программа пытается изменить файл с таблицей адресов, стоит обследовать компьютер на предмет опасной заразы.

Для установления соединения мало знать адрес компьютера. Непременными атрибутами запроса на подключение являются протокол (язык, на котором решено общаться) и номер порта, к которому мы подключаемся. Протокол мы каждый раз указываем в адресной строке браузера (тот самый http, хотя можно набрать ftp и связаться с ftp-сервером, если он есть на сервере). Номер порта обычно явно не указывается, в этом случае для http подразумевается порт 80, на котором "висит" интернет-сервер (не в смысле "мощный компьютер", а в смысле "программа, обслуживающая клиентские приложения". На компьютере может быть запущено множество сервисов (тот же ftp), каждый слушает "свой" порт. Если интернет-браузеры обеспечивают в основном подключение по http и просмотр web-страниц, то для подключения к другим сервисам существуют специальные программы, как стандартные, так и "хакерские" Если установлена программа ICQ, то она открывает свой порт и "слушает" его на предмет желающих подключиться и пообщаться. Чем больше на машине запущено сетевых сервисов, тем больше вероятность, что среди них найдется уязвимый, ведь каждый открытый порт - дверь систему, а надежен ли замок - тот еще вопрос. Существует целый класс программ - сканеры портов, которые опрашивают заданный диапазон портов, перебирая номера и выдают список открытых. Забегая вперед, скажу, что есть "сканеры безопасности", которые не только сканируют порты, но и исследуют в автоматическом режиме целевой хост на наличие всех известных уязвимостей.

Итак, сетевые атаки. Банки и без моей помощи разберутся с хакерами, мне ближе проблемы простого пользователя. Об этом и поговорим.

Удаленный взлом компьютера становится не таким простым делом. Если интересно, кто и как занимался этим лет пять назад, вот ссылка на приговор горе-хакерам, в котором описана вся технология взлома (в начале и в конце документа). Во времена Windows 98 любой школьник мог проделать такие штуки. С Windows XP эти фокусы не проходят, а методы взлома Linux знают только профи, которые и у себя в банке неплохо зарабатывают. Для проникновения на чужой компьютер необходимо иметь теперь приличную квалификацию, а персонального внимания толкового злодея удостаиваются не все. Мой компьютер вряд ли кого-то заинтересует. Другое дело, что сканированием портов все же многие балуются. Уж не знаю, чего они там ищут, но раздражает сильно. Трафик то я оплачиваю! Замечу, что адрес, с которого осуществляется сканирование, зачастую принадлежит ничего не подозревающему добропорядочному пользователю. Скорее всего, у последнего поселился червь, выискивающий очередную жертву.

Если Ваш компьютер кого-то и заинтересовал, то это близкие Вам люди. Я имею в виду деловых партнеров, начальство и ревнивых супругов. В интернете можно найти массу шпионских программ, типа клавиатурных шпионов. Если на компьютере стоит такая программа, то все, что набрано на клавиатуре, включая пароли к электронной почте, записывается в специальный файл и может быть негласно отправлено по электронной почте "хозяину".

Даже если Вам нечего скрывать, трояны, живущие в компьютере, могут интенсивно загружать линию, увеличивая трафик и мешая прохождению полезной информации. Кроме того, неграмотно написанные программы часто отнимают у компьютера системные ресурсы, а то и нарушают целостность операционной системы. Как плачевный итог - переустановка и связанные с этим потеря времени и денег.

Теперь рассмотрим наиболее популярные способы заполучить на компьютер трояна (как этого избежать - в следующей главе).

Способ первый - заразить компьютер компактным вирусом, единственной функцией которого является закачка из интернета и инсталляция полноценного "троянского коня"

Способ второй - зайти "не на тот" сайт. А уж заставить открыть страницу, содержащую опасное содержимое - дело техники и психологии.

Способ третий - дать злоумышленнику посидеть за вашим компьютером. Известны также случаи, когда посетитель в организации просто незаметно вставлял специально приготовленную "флэшку" в USB-порт, дальше - понятно.

Еще одна неприятная реалия сетевой жизни - сниффинг . По простому - перехват трафика. Из предыдущей главы (руководствуясь здравым смыслом) ясно, что исходящие пакеты уходят в некотором смысле "в эфир". По крайней мере, в пределах одной подсети они доступны всем, а это - не так уж мало. Другое дело, что "порядочный" компьютер воспринимает только адресованную ему информацию. Если же злодей установил программу - сниффер (нюхач), то может читать передаваемые данные. Восстановить весь поток - невыполнимая задача, поскольку соединение с источником не устанавливается и запросить повторную отправку потерянных пакетов не удастся (это была бы наглость - подслушивать соседей за стенкой, да еще переспрашивать, когда не расслышали). Сниффинг используют для перехвата паролей, передающихся в открытом (незашифрованном) виде.

Сознавая уровень реальной опасности, можно разумно подойти к защите своего компьютера от различных напастей. Здесь поход простой: стоимость сейфа не должна превышать стоимость хранимых в нем ценностей. Многое Вы можете сделать сами, с этого и начнем.

1. Устанавливаем нормальную операционную систему. Исходить приходится из того, что большинству пользователей подходят ОС от Microsoft. В этом случае вариантов нет - Windows XP c SP2 (как минимум). SP2 - это второй пакет обновлений, закрывший многие дыры в безопасности. Сгодилась бы и Windows 2000, но ее перестали поддерживать, а уязвимости находят все новые и новые.

2. Настраиваем минимальную защиту: включаем брандмауэр (если установлен SP2, то включен по умолчанию) для всех соединений. Делается это так: Пуск>Панель управления>Сетевые подключения, откроется окно со значками настроенных подключений. Кликаем правой кнопкой мыши по значку подключения, выбираем пункт "свойства", жмем на вкладку "дополнительно", потом в зоне "брандмауэр Windows" нажимаем кнопку "параметры". Если установлено значение "выключить", меняем его на "включить" и подтверждаем кнопкой ОК.

3. Устанавливаем антивирусное программное обеспечение. Как бы ни ругали антивирус Касперского (притормаживает работу компьютера), разумной альтернативы я не вижу. Обновляем антивирусные базы через интернет до актуального состояния. Теперь можно покопаться в настройках (в разных версиях это выглядит по-разному, поэтому подробно описывать не буду). Имеет смысл отключить ежедневную полную проверку компьютера. Обычно я отключаю автоматическое обновление, поскольку большинство компьютеров не подключены к Интернет постоянно.

4. Находим в "Панели управления" раздел "администрирование", в нем "службы" и отключаем все ненужное. Первым делом - службу сообщений. Объясню, почему. Может быть вы сталкивались с ситуацией, когда во время работы в Интернет периодически всплывает сообщение, в котором вас пугают разными ошибками в системе и прочими вирусами, предлагая зайти на такой-то сайт, где вам помогут избавиться от проблем. На самом деле, посетив такой сайт, эти проблемы можно нажить. Служба сообщений предназначена прежде всего для работы в локальной сети, с ее помощью администратор сети может оповещать пользователей о чем либо. Злодеи же используют ее для заманивания на сайты-ловушки. Еще можно смело отключать "Telnet", "Удаленный реестр" и "Сервер", если ваш компьютер не планируется использовать в качестве сервера. Чем меньше служб запущено, тем быстрее работает компьютер. Там еще много чего можно отключить, но, действовать следует с осторожностью. Если не уверены, лучше пригласите специалиста.

5. Если Вы не сделали этого ранее, установите пароли для всех пользователей позаковыристей. Последнее означает, что хороший пароль должен быть длинным и состоять из цифр, букв в разных регистрах и специальных символов.

Когда я настраиваю клиентам компьютер, то обычно останавливаюсь на этом. Для большинства это вполне достаточный уровень защиты. Тем, кто всерьез озабочен безопасностью, следует предпринять еще ряд мер предосторожности.

6. Наделить всех пользователей только минимально необходимыми правами. Например, запретить всем, кроме "Администратора", устанавливать программы. Даже если Вы единственный пользователь, создайте вторую учетную запись с ограниченными правами, и входите в систему под именем Администратор только в случае необходимости. Дело в том, что некоторые уязвимости позволяют злодею исполнять на компьютере команды от имени текущего пользователя. А если у такового прав - минимум, то и использовать уязвимость не удастся.

7. Иногда при вводе пароля, например для доступа к своему почтовому ящику, система предлагает сохранить пароль. Я всегда отказываюсь, чего и Вам советую. Это - хорошая привычка.

8. Установите полноценный файервол. Встроенный брандмауэр Windows многие действия программ попросту не отслеживает.

После установки Ubuntu в качестве основной ОС вы должны научиться устанавливать защиту от полезных нагрузок, передаваемых с помощью USB-уточек (Rubber Ducky), от изъятия ваших данных правоохранительными органами и в целом уменьшить количество мишеней, по которым можно нанести удар. При защите от сетевых атак вам необходимо минимизировать раскрытие информации о ваших аппаратных средствах, предотвратить работу снифферов пакетов, ужесточить правила брандмауэра и многое другое.

Продолжаем нашу мини-серию по усилению защиты операционной системы Ubuntu. В этой части вы научитесь подделывать MAC-адрес с целью запутывания пассивных хакеров, отключать неиспользуемые сетевые службы, такие как CUPS и Avahi, создавать правила брандмауэра для определенных портов с целью блокировки попыток несанкционированного доступа и изъятия ваших данных, защищаться от сниффинга паролей и cookie-файлов в ваших пакетах с помощью VPN.

Если вы пропустили предыдущую статью, то обязательно с ней ознакомьтесь, даже если у вас уже установлена Ubuntu и вы просто хотите усилить ее защиту. Вы узнаете, что побудило нас писать эту серию из четырех частей.

Шаг 1. Защититесь от определения вашего оборудования

При подключении к новым Wi-Fi сетям и маршрутизаторам подделывайте MAC-адрес вашего Wi-Fi адаптера. Конечно, это не помешает мотивированному хакеру узнать, какую операционную систему вы используете, но может его запутать и не дать ему собрать информацию о вашем оборудовании.

Например, хакер, подключенный к Wi-Fi сети в кафе, может сосредоточить свои усилия на взломе любых устройств, кроме Apple. Если же вы появляетесь в сети с , то злоумышленник полностью проигнорирует ваше устройство. Или же он может попробовать на вашем устройстве некоторые атаки, специфичные для MacOS, которые не сработают, потому что вы на самом деле не используете MacBook, вы только отображаетесь в сети так, как будто используете технику Apple. В сочетании с поддельным User-Agent браузера это сможет действительно запутать не очень умного противника.

Чтобы изменить MAC-адрес в Ubuntu, откройте Network Manager и перейдите в меню «Edit» вашего Wi-Fi-соединения. На вкладке «Identity» введите в поле «Cloned Address» MAC-адрес, который вы хотите использовать.

Шаг 2. Защититесь от атак на «слушающие» сервисы

Когда фоновый процесс (или сервис) находится в состоянии « » (прослушивания) , то это означает, что другие службы (сервисы) и приложения на вашем устройстве и в сети могут с ним взаимодействовать. Эти «слушающие» службы всегда ожидают на вход какие-нибудь данные, получив которые, сервис должен дать определенный ответ. Любая служба с локальным адресом 0.0.0.0, находясь в состоянии прослушивания, скорее всего, будет доступна для всех пользователей в данной локальной сети и, возможно, в Интернете тоже.

У свежеустановленной Ubuntu будет всего несколько запущенных сервисов, поэтому по умолчанию не нужно беспокоиться о страшном прослушивании портов. Но всегда помните о приложениях, которые вы еще установите в будущем. Они могут открыть порты для прослушивания, не сообщая вам об этом.

Чтобы отслеживать то, какие фоновые процессы находятся в состоянии прослушивания, мы будем использовать netstat - инструмент, используемый для вывода информации о сетевых подключениях, открытых портах и запущенных сервисах. Поскольку мы использовали минимальную установку Ubuntu, то необходимый нам набор утилит net-tools для работы с сетями (включая netstat) придется установить вручную. Это можно сделать с помощью команды sudo apt-get install net-tools.

Sudo apt-get install net-tools Reading package lists... Done Building dependency tree Reading state information... Done The following NEW packages will be installed: net-tools 0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded. Need to get 194 kB of archives. After this operation, 803 kB of additional disk space will be used. Selecting previously unselected package net-tools. (Reading database ... 149085 files and directories currently installed.) Preparing to unpack .../net-tools_1.60+git20161116.90da8a0-1ubuntu1_amd64.deb ... Unpacking net-tools (1.60+git20161116.90da8a0-1ubuntu1) ... Processing triggers for man-db (2.8.3-2) ... Setting up net-tools (1.60+git20161116.90da8a0-1ubuntu1) ...

Используйте следующую команду netstat для просмотра служб в состоянии «LISTEN».

Sudo netstat -ntpul Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 651/systemd-resolve tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 806/cupsd tcp6 0 0::1:631:::* LISTEN 806/cupsd udp 47616 0 127.0.0.53:53 0.0.0.0:* 651/systemd-resolve udp 0 0 0.0.0.0:631 0.0.0.0:* 812/cups-browsed udp 2304 0 0.0.0.0:5353 0.0.0.0:* 750/avahi-daemon: r udp 0 0 0.0.0.0:38284 0.0.0.0:* 750/avahi-daemon: r udp6 0 0:::37278:::* 750/avahi-daemon: r udp6 25344 0:::5353:::* 750/avahi-daemon: r

Systemd-resolve используется для разрешения доменных имен и, понятное дело, его не стоит ни изменять, ни удалять. Про «cupsd» и «avahi-daemon» мы поговорим ниже в следующих разделах.

Отключите или удалите CUPS

В 2011 году в avahi-daemon была обнаружена уязвимость, - DDoS. Хотя этот CVE довольно старый и у него весьма незначительная степень серьезности, но, тем не менее, он демонстрирует, каким образом хакер в локальной сети обнаруживает уязвимости в сетевых протоколах и манипулирует запущенными службами на устройстве жертвы.

Если вы не планируете взаимодействовать с продуктами или сервисами Apple на других устройствах, avahi-daemon можно отключить, используя следующую команду sudo systemctl disa avahi-daemon.

Sudo systemctl disable avahi-daemon Synchronizing state of avahi-daemon.service with SysV service script with /lib/systemd/systemd-sysv-install. Executing: /lib/systemd/systemd-sysv-install disable avahi-daemon Removed /etc/systemd/system/dbus-org.freedesktop.Avahi.service. Removed /etc/systemd/system/sockets.target.wants/avahi-daemon.socket.

Avahi также можно полностью удалить с помощью sudo apt-get purge avahi-daemon.

Sudo apt-get purge avahi-daemon Reading package lists... Done Building dependency tree Reading state information... Done The following packages will be REMOVED: avahi-daemon* (0.7-3.1ubuntu1) avahi-utils* (0.7-3.1ubuntu1) libnss-mdns* (0.10-8ubuntu1) 0 upgraded, 0 newly installed, 3 to remove and 0 not upgraded. After this operation, 541 kB disk space will be freed. Do you want to continue? y

Шаг 3. Защитите ваши порты

Хакер-любитель может попытаться извлечь данные через или создать обратный шелл на (прямо указанный в Википедии в качестве дефолтного порта для Metasploit). Брандмауэр, который разрешает только исходящие пакеты на нескольких портах, будет блокировать любые входящие пакеты.

Для управления доступностью портов мы будем использовать - программу, которая представляет собой простой интерфейс для настройки брандмауэров. UFW буквально означает Uncomplicated FireWall. Он действует как фронтенд для (пакетный фильтр) и не предназначен для обеспечения полной функциональности брандмауэра, а вместо этого является удобным средством добавления или удаления правил брандмауэра.

1. Запретите все входящие и исходящие соединения

Чтобы включить UFW, используйте команду sudo ufw enable.

Sudo ufw enable Firewall is active and enabled on system startup

Отключите все входящие соединения с помощью этой команды:

Sudo ufw default deny incoming

Затем запретите все переадресации:

Sudo ufw default deny forward

И запретите все исходящие соединения:

Sudo ufw default deny outgoing

С этого момента доступ к Интернету с помощью Firefox или любого другого приложения у вас будет закрыт.

2. Найдите ваш Wi-Fi интерфейс

Чтобы разрешить исходящие подключения, сначала нужно найти имя Wi-Fi-адаптера, используя команду ifconfig -a.

Ifconfig -a enp0s8: flags=4163 mtu 1500 inet 192.168.1.44 netmask 255.255.255.0 broadcast 192.168.1.255 ether e8:e1:e8:c2:bc:b9 txqueuelen 1000 (Ethernet) RX packets 631 bytes 478024 (478.0 KB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 594 bytes 60517 (60.5 KB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 device interrupt 16 base 0xd040 lo: flags=73 mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 inet6::1 prefixlen 128 scopeid 0x10 loop txqueuelen 1000 (Local Loopback) RX packets 259 bytes 17210 (17.2 KB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 259 bytes 17210 (17.2 KB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Для целей этой статьи мы используем Ubuntu в VirtualBox, поэтому имя нашего интерфейса «enp0s8». Команда ifconfig может отображать ваш беспроводной интерфейс как «wlp3s0», «wlp42s0» или что-то в этом роде.

3. Создайте исключения брандмауэра и настройте защищенное разрешение DNS

Разрешить DNS, HTTP и HTTPS трафик на беспроводном интерфейсе можно с помощью этих трех команд.

Sudo ufw allow out on to 1.1.1.1 proto udp port 53 comment "allow DNS on " sudo ufw allow out on to any proto tcp port 80 comment "allow HTTP on " sudo ufw allow out on to any proto tcp port 443 comment "allow HTTPS on "

Адрес «1.1.1.1» в команде DNS - это новый DNS-резолвер . Многие интернет-пользователи не понимают, что даже если они просматривают веб-сайт с использованием зашифрованного соединения (небольшой зеленый замочек в строке URL), Интернет-провайдеры все равно могут видеть имя каждого домена, посещаемого с помощью DNS-запросов. Использование DNS-резолвера CloudFlare поможет предотвратить попытки Интернет-провайдеров (ISP) отслеживать ваш трафик.

4. Обновите конфигурацию DNS в Network Manger’е

После установки правил UFW в Network Manager перейдите в меню «Edit» вашего Wi-Fi-соединения и измените поле DNS на 1.1.1.1. Отключитесь и снова подключитесь к Wi-Fi сети, чтобы изменения DNS вступили в силу.

Просмотрите вновь созданные правила с помощью команды sudo ufw status numbered.

Sudo ufw status numbered Status: active To Action From -- ------ ---- [ 1] 1.1.1.1 53/udp ALLOW OUT Anywhere on enp0s8 (out) # allow DNS on enp0s8 [ 2] 443/tcp ALLOW OUT Anywhere on enp0s8 (out) # allow HTTPS on enp0s8 [ 3] 80/tcp ALLOW OUT Anywhere on enp0s8 (out) # allow HTTP on enp0s8

Ubuntu сможет делать стандартные HTTP/HTTPS запросы на портах 80 и 443 на указанном вами беспроводном интерфейсе. Если эти правила слишком строгие для вашей повседневной активности, то можно разрешить все исходящие пакеты с помощью этой команды:

Sudo ufw default allow outgoing

5. Мониторьте брандмауэр

Если вы пытаетесь отладить входящие или исходящие соединения, то для этого можно использовать команду tail с аргументом -f, чтобы следить за сообщениями и расхождениями в логах UFW в реальном времени. Полностью эта команда будет выглядеть так:

Tail -f /var/log/ufw.log kernel: [ 3900.250931] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47090 DF PROTO=TCP SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0 kernel: [ 3901.280089] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47091 DF PROTO=TCP SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0

В приведенных выше логах UFW блокирует исходящие соединения (OUT=) с нашего локального IP-адреса (192.168.1.44) на сервер Null Byte (104.193.19.59), используя TCP с портом назначения (DPT) 9999. Это можно резолвить с помощью этой команды UFW:

Sudo ufw allow out on from 192.168.1.44 to 104.193.19.59 proto tcp port 9999

Для получения дополнительной информации по UFW можно почитать маны (страницы руководства) - man ufw.

Читатели, интересующиеся очень тонкой настройкой брандмауэра, обязательно должны .

Шаг 4. Защититесь от пакетного сниффинга и перехвата файлов cookie

Атаки, направленные на манипуляции пакетами, можно предотвратить с помощью виртуальной частной сети (VPN). VPN предлагает набор технологий, которые:

• Препятствуют хакерам в сетях Wi-Fi манипулировать пакетами и отслеживать вашу активность.
• Запрещают Интернет-провайдерам следить за вашей активностью и продавать ваши данные на сторону.
• Помогают обходить блокировки цензурных органов (вроде РКН), когда Интернет-провайдеры или сетевые брандмауэры блокируют доступ к определенным веб-сайтам.

Ценник большинства платных VPN-сервисов начинается с $5 в месяц. Вот некоторые заслуживающие внимания VPN-провайдеры: ProtonVPN, Mullvad, VyprVPN и .

Следующий шаг - усиление защиты приложений и создание «песочниц»

Вот и все, что касается установления защиты вашего присутствия и деятельности в Интернете. В следующей статье мы поговорим о приложениях для создания песочниц и обеспечения безопасности вашей системы в случае, если на устройстве будет запущена какая-нибудь вредоносная программа. После этого мы погрузимся в аудит с помощью антивирусного ПО и мониторинг системных логов.

Издавна за покоем жителей городов следили охранники и дозорные, которые в случае возникновения внештатной ситуации били тревогу. В виртуальном мире эта задача возложена на системы обнаружения (отражения) атак , или СОА (Intrusion Detection System – IDS). Первые системы обнаружения атак появились давно, начало их разработки связано с публикацией в 1980 году статьи «Computer Security Threat Monitoring and Surveillance» Джона Андерсона. С нее началось развитие систем обнаружения атак, хотя активно использовать их начали позже – приблизительно в начале 1990-х, после осознания опасностей виртуального мира.

В русском названии таких систем есть некоторая путаница: дословно Intrusion Detection System переводится как «система обнаружения вторжений», и во многих источниках используется именно оно. Однако последствием атаки необязательно должно быть вторжение, хотя сам факт атаки будет также зафиксирован такой системой. Правильнее использовать слово «атака».

Традиционно СОА делятся на системы, защищающие отдельный узел (Host IDS), и сетевые (Network IDS), контролирующие сетевые пакеты. Существуют также гибридные СОА, сочетающие возможности обеих систем. На определенном этапе разработчики захотели не только обнаруживать атаки, но и останавливать их. Так появились системы остановки атак. Любая СОА состоит из датчиков, собирающих информацию, и механизма анализа и принятия решений. Датчики для обнаружения подозрительных событий анализируют журналы работы системы, системные вызовы, поведение приложений, целостность файлов и сетевые пакеты. В качестве критерия используются наборы сигнатур, хотя все более популярными становятся средства, реагирующие на аномалии.

Сегодня для полноценной защиты уже не хватает связки антивирус – брандмауэр, поэтому разработчики предлагают СОА и для домашнего использования. Чтобы не пугать пользователя новыми названиями, при характеристике продукта применяются термины вроде «комплексное решение по защите» или «брандмауэр с расширенными возможностями». Таким примером является брандмауэр Outpost Firewall Pro, рассмотренный в предыдущей главе. В нем присутствует отдельный модуль, обеспечивающий защиту от сетевых атак. В главе 3 вы ознакомились с системами защиты компьютера, которые можно отнести к СОА, защищающим отдельный узел.

На домашнем компьютере функциональность СОА, используемых при защите сетей и серверов корпораций и потребляющих при этом большое количество ресурсов, не нужна. Для настольных систем предлагаются интегрированные решения, включающие антивирус, брандмауэр и СОА.

Ранее для защиты от хакеров «Лаборатория Касперского» предлагала брандмауэр Kaspersky Anti-Hacker, в задачу которого входили контроль над входящими и исходящими соединениями и пресечение любых враждебных действий до нанесения ими вреда. С помощью этого приложения можно было скрыть компьютер, работающий в сети. Kaspersky Anti-Hacker продается в интернет-магазинах до сих пор, но на момент написания данной книги упоминание о нем исчезло с сайта «Лаборатории Касперского». Вместо него появилось комплексное решение, предназначенное для защиты от основных угроз (вирусов, хакеров, спама и шпионских программ), – Kaspersky Internet Security.

Эта программа способна полностью защитить домашний компьютер. С одной стороны, цена одного такого продукта меньше, чем суммарная стоимость всех решений, входящих в его состав. Кроме того, интеграция уменьшает возможность возникновения системных конфликтов. С другой стороны, если вирус или шпионская программа все-таки попадет на компьютер, она может одним действием полностью лишить его защиты. Это непросто, однако вероятность такого события исключать не стоит.

Большая часть этапов установки Kaspersky Internet Security совпадает с установкой «Антивируса Касперского». Однако есть отличия, связанные с особенностями этого продукта. На начальном этапе программа установки попробует связаться с сервером компании для проверки наличия обновлений. При отсутствии соединения с Интернетом некоторое время придется подождать. После принятия лицензионного соглашения предлагается выбрать один из двух вариантов установки:

Быстрая установка – будут установлены все компоненты программы с параметрами работы по умолчанию;

Выборочная установка – установка отдельных компонентов с возможностью предварительной настройки; данный режим рекомендуется для опытных пользователей.

Рекомендуется выбрать быструю установку: в этом случае будет обеспечена максимальная защита компьютера. Если в каком-либо модуле не будет необходимости, его всегда можно отключить. Далее мастер проверит установленные программы и, если найдет несовместимые с KIS, выведет их список. Если вы продолжите установку, данные приложения будут удалены во избежание конфликтов. Если будут найдены конфигурационные файлы от предыдущей установки «Антивируса Касперского» или KIS, последует запрос на сохранение этих параметров. Если программы, мешающие работе KIS, удалялись, после этого, возможно, потребуется перезагрузка компьютера.

Как и в «Антивирусе Касперского», после установки программы запустится Мастер предварительной настройки . Если был выбран вариант Быстрая установка , мастер предложит активизировать продукт. После перезагрузки двойным щелчком на значке в Панели задач можно вызывать окно настройки параметров работы KIS (рис. 5.1).

Рис. 5.1. Окно настройки Kaspersky Internet Security

Большая часть пунктов меню совпадает с настройками «Антивируса Касперского», однако в меню Защита есть несколько новых пунктов:

Сетевой экран – вывод статуса и быстрый доступ к настройкам режима работы встроенного межсетевого экрана, системы обнаружения вторжений, модулей Анти-Реклама и Анти-Банер , просмотр сетевой активности компьютера;

Анти-Шпион – вывод статуса работы и быстрый доступ к настройкам модулей Анти-Шпион , Анти-Фишинг , Анти-Дозвон и Защита конфиденциальных данных ;

Анти-Спам – вывод статуса работы, запуск мастера обучения и быстрый доступ к настройкам модуля Анти-Спам ;

Родительский контроль – вывод статуса работы, активизация и деактивизация и быстрый доступ к настройкам этого модуля.

Разберем особенности новых функций и некоторые настройки.

Внимание!

После установки все вышеперечисленные функции отключены, что снижает безопасность системы, поэтому следует просмотреть вкладки и активизировать нужные.

Для активизации сетевого экрана достаточно нажать ссылку Включить на соответствующей вкладке. Окно настройки параметров можно вызвать нажатием кнопки Настройка внизу окна и выбором соответствующего пункта или из соответствующего пункта меню Защита . Нажав ссылку Просмотреть текущую сетевую активность , вы отобразите количество активных приложений, использующих сеть, а также количество открытых соединений и портов.

В окне настроек модуля доступны несколько областей, в каждой из которых, установив соответствующий флажок, можно включить/отключить Сетевой экран полностью либо один из его компонентов – систему фильтрации, систему обнаружения вторжений, Анти-Рекламу или Анти-Баннер (рис. 5.2). В области настройки брандмауэра имеется ползунок, используя который, можно выставить один из пяти уровней защиты:

Разрешать все – разрешена любая сетевая активность без ограничений, соответствует отключению брандмауэра;

Минимальная защита – разрешены все сетевые соединения, кроме запрещенных правилами;

Обучающий режим – пользователь самостоятельно решает, какую сетевую активность разрешать или запрещать; при попытке получить доступ к сети приложения, для которого не создано правило, у пользователя запрашивается подтверждение и на основе ответа создается новое правило;

Максимальная защита – все неразрешенные соединения блокируются;

Блокировать все – все соединения блокируются, запрещен доступ к локальной сети и Интернету; необходимо использовать в случае обнаружения сетевых атак либо при работе в опасной сети.

Рис. 5.2. Настройки модуля Сетевой экран

Во время установки создаются правила для всех приложений, однако они не всегда оптимальны для конкретной системы, поэтому рекомендуется изменить уровень защиты с минимального, который установлен по умолчанию, на обучающий. К режиму максимальной защиты следует переходить только если вы уверены, что созданы все разрешающие правила. Однако после установки нового программного обеспечения следует снова вернуться в обучающий режим защиты. При работе системы в обучающем режиме пользователю выводится уведомление (рис. 5.3).

Рис. 5.3. Уведомление о сетевой активности

Оно содержит описание активности и информацию, необходимую для принятия решения: вид соединения (входящее, исходящее), протокол, приложение, удаленный IP-адрес и порт, локальный порт. На основании полученных данных можно выбрать нужное действие, нажав соответствующую кнопку – Разрешить или Запретить . Выбор варианта Отключить режим обучения отключит этот режим работы модуля.

Если установлен флажок Создать правило , то на основании выбранного ответа формируется новое правило, и во время последующей сетевой активности этого приложения при совпадении параметров запроса программа не будет беспокоить пользователя. В раскрывающемся списке необходимо выбрать тип активности, к которому применимо выбранное действие. Доступно несколько вариантов:

Любая активность – любая сетевая активность этого приложения;

Выборочно – конкретная активность, которую следует указать в окне создания правила;

Этот адрес – активность приложения, удаленный адрес сетевого соединения которого совпадает с указанным; может быть полезна, если вы хотите ограничить работу в сети для выбранного приложения указанными адресами.

Можно также выбрать одну из предустановок, описывающих характер приложения: Почтовая программа , Браузер , Менеджер загрузки , FTP-клиент , Telnet-клиент или Синхронизатор часов .

Модуль обнаружения вторжения компонента Сетевой экран реагирует на активность, характерную для сетевых атак. При обнаружении попытки атаковать компьютер на экране появится соответствующее уведомление с указанием информации об атакующем компьютере: вид атаки, IP-адрес атакующего, протокол и сервис, который подвергся атаке, дата и время. При этом система блокирует IP-адрес атакующего компьютера на один час. Изменить время блокировки можно в области Система обнаружения вторжений в поле возле флажка Добавить атакующий компьютер в список блокирования на .

Тоньше всего можно настроить работу модуля Сетевой экран с помощью правил. В поставку включен набор правил для наиболее известных приложений, сетевая активность которых проанализирована специалистами и которые имеют четкое определение – полезная или опасная. Для одной программы можно создать несколько как разрешающих, так и запрещающих правил. В большинстве случаев для создания правил достаточно использовать обучающий режим и в диалоговом окне задавать условия, при которых программа будет получать доступ в сеть. Однако может возникнуть ситуация, когда потребуется отредактировать созданное правило, например, если был ошибочно блокирован доступ в сеть полезному приложению. Правила можно создавать самостоятельно. Чтобы перейти к окну редактирования правил, нажмите кнопку Настройка в области Система фильтрации . В появившемся окне перейдите на вкладку Правила для приложений (рис. 5.4).

Рис. 5.4. Окно настройки правил для приложений

Все правила на этой вкладке можно сгруппировать двумя способами. Если установлен флажок , отображается список приложений, для которых имеются сформированные правила. Для каждой программы выводится следующая информация: имя и значок приложения, командная строка для запуска (если есть), корневой каталог, в котором расположен исполняемый файл приложения, и количество созданных для нее правил.

Дважды щелкнув кнопкой мыши на выбранном приложении, можно просмотреть и изменить список правил. Щелчок на правиле покажет его свойства: разрешено или запрещено, исходящий, входящий поток или оба направления, протокол, удаленный и локальный порт, удаленный IP-адрес и время суток, в течение которого действует правило (рис. 5.5). Дважды щелкнув на правиле или выбрав правило и нажав кнопку Изменить , вы получите доступ к окну редактирования правила, в котором можно изменить любой из указанных параметров. Нажав кнопку Добавить , можно самостоятельно создать новое правило. Порядок редактирования и создания правил напоминает редактирование правил в Outpost Firewall (см. соответствующий раздел).

Рис. 5.5. Свойства правила

Обратите внимание на кнопки Экспорт и Импорт : с их помощью можно быстро перенести сформированные правила на другие компьютеры, что удобно для быстрой настройки правил модуля Сетевой экран . Нажмите кнопку Экспорт и укажите расположение и имя файла, в который нужно сохранить настройки, после чего перенесите файл на другой компьютер, нажмите Импорт и выберите файл с сохраненными настройками.

Чтобы получать предупреждение или записывать в отчет срабатывание правила, необходимо установить флажки Показывать предупреждение и Записывать в отчет в окне Редактирование правила .

При снятом флажке Группировать правила по приложениям все правила будут показаны без группировки по имени приложения.

Если вы обнаружили, что приложение не может получить доступ в сеть, одной из причин может быть установка запрещающего правила в модуле Сетевой экран . Самым быстрым способом проверить это является временная приостановка работы Сетевого экрана . Это можно сделать несколькими способами. Можно выбрать в окне настроек уровень защиты Разрешить все либо снять флажок Включить Сетевой экран и нажать кнопку Применить . Если после этого приложение будет работать нормально, значит, дело в запрещающем правиле. Ситуацию легко исправить: зайдите в окно настройки правил для приложений, выберите приложение и просмотрите все созданные для него правила, обращая особое внимание на запрещающие. В крайнем случае можно отметить приложение, щелкнув на нем кнопкой мыши, и нажать кнопку Удалить , чтобы удалить все созданные для него правила. Затем выберите обучающий режим безопасности и создавайте новые правила по мере необходимости.

Кроме Правила для приложений окно настройки Анти-Хакера содержит еще три вкладки. Вкладка Правила для пакетов похожа на описанную выше, только в ней можно задавать правила фильтрации для пакетов (рис. 5.6).

Рис. 5.6. Окно создания правил для пакетов

Записанные на этой вкладке правила действуют на более низком уровне, поэтому применяются независимо от приложения, которое генерирует или принимает их. При необходимости, например, глобально запретить доступ к некому ресурсу или сервису (локальному или удаленному) здесь следует указать необходимые параметры, тогда, сменив приложение, нельзя будет обойти запрет, созданный для конкретной программы. Для каждого правила фильтрации приводится следующая информация: имя правила, разрешающее или запрещающее, протокол передачи, направление пакета и параметры сетевого соединения, по которому передается пакет. Правило можно отключить, сняв соответствующий флажок.

Мастер найдет все сетевые интерфейсы, имеющиеся на компьютере, и определит для каждого политику безопасности, то есть степень доверия находящим ся в этих зонах компьютерам. Список сетевых интерфейсов доступен на вкладке Зоны : здесь можно отредактировать список сетевых интерфейсов и изменить политику безопасности.

Если во время установки будут найдены не все интерфейсы, нажмите кнопку Найти для повторного поиска. Если это не поможет, следует нажать кнопку Добавить и в появившемся окне ввести имя, адрес подсети и сетевую маску. Степень доверия характеризуется статусом сети. Статус может принимать следующие значения:

Доверенная – разрешены все соединения без ограничений;

Локальная сеть – другим компьютерам разрешен доступ к локальным файлам и принтерам, разрешена отправка сообщений об ошибках (протокол ICMP), а режим невидимости по умолчанию выключен; сетевая активность приложений регулируется правилами;

Интернет – запрещен доступ к файлам и принтерам и отправка ICMP-сообщений, режим невидимости включен; сетевая активность приложений регулируется правилами.

Для всех зон, кроме Интернета, можно изменить статус. Для этого необходимо щелкнуть на названии в области Описание . Зона Интернет всегда имеет статус Интернет , и изменить ее невозможно, поэтому при работе в Сети пользователь будет максимально защищен. Режим невидимости можно изменить несколькими способами, самый простой – установка одноименного флажка.

Примечание

В режиме невидимости нет ничего необычного. Удаленному компьютеру отсылается ICMP-пакет с кодом ECHO_REQUEST. Вручную такую проверку можно запустить, выполнив команду Пуск > Выполнить и введя в открывшемся окне команду ping имя_узла. Если компьютер включен в сеть, в ответ должен прийти пакет с кодом ECHO_REPLY. В режиме невидимости такие пакеты блокируются, значит, для большинства приложений, первоначально проверяющих его работоспособность, он невидим.

На вкладке Дополнительно с помощью переключателя можно выбрать один из двух режимов работы:

Максимальная скорость – режим, обеспечивающий максимальную скорость сетевых игр, но в то же время возможны проблемы с совместимостью, которые можно частично решить, отключив режим невидимости .

Чтобы новые параметры, выбранные на вкладке Дополнительно , вступили в силу, следует перезагрузить компьютер.

В модуль Сетевой экран входят еще два компонента.

Анти-Реклама – блокирует всплывающие окна, используемые для рекламирования продуктов или услуг и не несущие полезной нагрузки. При попытке открыть такое окно его вывод блокируется, а пользователю выводится предупреждение, в котором он может принять решение о блокировке или разрешении вывода. Корректно работает с модулем, блокирующим всплывающие окна в Microsoft Internet Explorer, который входит в состав пакета обновлений Service Pack 2 для Microsoft Windows XP.

Всплывающие окна не всегда содержат рекламу, на некоторых сайтах таким образом показывается окно выбора файлов для загрузки либо более быстрого доступа или вывода некоторой информации. Чтобы модуль Анти-Реклама не блокировал такие окна, их необходимо внести в список доверенных. Для этого нажмите кнопку Доверенные адреса , которая расположена в области Блокирование всплывающих окон , затем нажмите кнопку Добавить и в появившемся окне введите адрес ресурса, всплывающие окна которого не должны блокироваться. При этом можно использовать маски. Например, http://microsoft * определит все адреса, начинающие со слова microsoft, как доверенные. С помощью флажков, которые расположены в области Доверенная зона , можно определить узлы, входящие в доверенную зону Microsoft Internet Explorer и локальной сети, как доверенные.

Примечание

В Internet Explorer можно указать список узлов, которые пользователь считает надежными. Для этого выполните в окне браузера команду Сервис > Свойства обозревателя, перейдите на вкладку Безопасность, щелкните на значке Надежные узлы и нажмите кнопку Узлы, расположенную ниже. В появившемся окне введите веб-ресурсы, которым доверяете.

В стандартную поставку компонента Анти-Баннер включен список шаблонов часто встречающихся баннеров. Нажав кнопку Настройка , расположенную в области Блокирование рекламных баннеров , вы можете самостоятельно задать список запрещенных и разрешенных баннеров. Появившееся окно содержит три вкладки (рис. 5.7).

Рис. 5.7. Настройка блокировки баннеров

На вкладке Общие размещен список баннеров, сформированных специалистами «Лаборатории Касперского». Этот список недоступен для редактирования, но вы можете отключить любое правило, сняв соответствующий флажок. Для анализа баннеров, не попадающих под маски стандартного списка, установите флажок Использовать методы эвристического анализа – загружаемые изображения будут анализироваться на предмет наличия специфических для баннеров признаков. На вкладках «Черный» список и «Белый» список указываются пользовательские маски для баннеров, которые необходимо блокировать и разрешать. Занести в список новую маску просто. Перейдите на нужную вкладку, нажмите кнопку Добавить и в появившемся окне введите полный адрес (URL) баннера либо шаблон. В последнем случае при открытии баннера Анти-Баннер будет искать в его адресе указанную последовательность символов. Заданные на этих вкладках адреса действуют только на отображение баннеров, поэтому можно указать адрес целого сайта, например http://www.test.com/ , и баннеры, принадлежащие этому сайту, будут блокироваться. Кнопки Экспорт и Импорт , расположенные на этих вкладках, помогут быстро перенести сформированные списки на другие компьютеры.

Чтобы закончить рассказ о Kaspersky Internet Security, рассмотрим три оставшихся модуля: Анти-Шпион , Анти-Спам и Родительский контроль . Подробнее о шпионских программах рассказано в главе 6, о борьбе со спамом – в главе 8, о программах родительского контроля – в главе 9, фишинг-атаки рассмотрены в главе 7.

Модуль Анти-Шпион позволяет защититься от навязчивой рекламы, выводимой в окне браузера в виде баннеров и всплывающих окон. Использование этого модуля дает возможность распознать известные способы мошенничества в Интернете, попытки кражи конфиденциальной информации (паролей, номеров кредитных карт), неавторизованного доступа в Интернет и несанкционированного пользования платными ресурсами.

Выбрав модуль Анти-Шпион в главном окне программы, вы получите общую статистику работы и текущий статус модуля в целом и его отдельных компонентов. Здесь же можно временно приостановить или остановить работу модуля, а также включить защиту, если она была отключена.

Рис. 5.8. Окно настройки модуля Анти-Шпион

Все настройки в Kaspersky Internet Security однотипны, поэтому, освоив один компонент, найти настройки другого просто. Сняв флажок Включить Анти-Шпион и нажав кнопку Применить , можно отключить модуль. Анти-Шпион состоит из трех компонентов:

Анти-Фишинг – защищает от фишинг-атак, отслеживая попытки открытия известных фишинг-сайтов: в состав Kaspersky Internet Security включена информация обо всех известных в настоящее время сайтах, которые используются для проведения такого рода атак; при обновлении сигнатур угроз этот список также обновляется;

Анти-Дозвон – блокирует попытку установки модемных соединений с платными ресурсами Интернета;

Предотвращение передачи конфиденциальных данных – распознает и предупреждает пользователя (в настройках по умолчанию) о попытке передачи конфиденциальных данных или попытке получения доступа к персональным данным или паролям.

Аналогично для модуля Анти-Дозвон : если вы хотите разрешать соединения по определенным номерам без запроса программы, добавьте их в список доверенных номеров. Для этого нажмите кнопку Доверенные номера и введите телефонный номер или шаблон. Чтобы временно убрать номер из списка, снимите соответствующий флажок, а если номер необходимо удалить совсем, выберите его с помощью кнопки мыши и нажмите кнопку Удалить .

Удобно, что в поставке Kaspersky Internet Security содержится комплекс приложений, необходимых для полноценной защиты системы. Зарегистрировав почтовый ящик, вы вскоре обнаружите в нем письма, не предназначенные лично вам, для чего полезно наличие модуля Анти-Спам , который умеет обнаруживать такие послания.

Выбрав модуль Анти-Спам в главном окне программы, вы сможете получить информацию о статусе его работы и статистику проверенных с момента запуска сообщений и сообщений, распознанных как спам. Щелкнув на любом месте области Открыть отчет , можно получить более детальную информацию. Нажатие кнопки Настройка приведет к окну настройки работы модуля (рис. 5.9).

Рис. 5.9. Окно настройки модуля Анти-Спам

Все электронные сообщения, которые модуль распознал как спам , помечаются в поле Тема меткой [!! SPAM] . Сообщения, вероятно, являющиеся потенциальным спамом , помечаются как [?? Probable Spam] . Больше никаких операций Анти-Спам не производит и письма самостоятельно не удаляет, даже если они однозначно классифицированы как спам.

По умолчанию защита от спама включена. Чтобы ее отключить, снимите флажок Включить Анти-Спам , а если защиту нужно временно приостановить, воспользуйтесь кнопками в главном окне программы. Для удобства в приложении введены уровни агрессивности работы модуля – нужный уровень выбирается с помощью ползунка, расположенного в одноименной области окна настройки.

Возможен следующий выбор:

Разрешать все – самый низкий уровень контроля: спамом признается только почта, которая содержит строки из «черного» списка фраз или отправитель которой включен в «черный» список;

Низкий – более строгий уровень, в котором производится полный анализ, но уровень реакции механизмов анализа поступающих писем установлен ниже обычного, поэтому вероятность прохождения спама выше, хотя потери меньшие; рекомендуется использовать, если вы получаете много полезных писем, ошибочно принимаемых за спам;

Высокий – уровень с более строгими порогами срабатывания механизмов определения, поэтому в спам могут попасть письма, таковым не являющиеся; письма анализируются на основании «белого» и «черного» списков и с применением современных технологий фильтрации; рекомендуется, когда адрес получателя неизвестен спамерам;

Блокировать все – самый высокий уровень: только письма из «белого» списка будут проходить беспрепятственно, остальные будут помечаться как спам.

Можно указать параметры определения спама самостоятельно. Для этого нажмите кнопку Настройка в области Уровень агрессивности . В появившемся окне находятся четыре вкладки. Вкладки «Белый» список и «Черный» список схожи по настройкам, только прописанные в них параметры будут вызывать различную реакцию Анти-Спама . Все, что занесено в «Белый» список , однозначно будет относиться к нормальной почте, а то, что будет в «Черном» списке , укажет на спам. Каждая вкладка разделена на два блока. В верхней части записываются адреса электронной почты, внизу – ключевые фразы. Адреса электронной почты могут заполняться вручную или при обучении модуля Анти-Спам . Чтобы вручную задать электронный адрес, письма с которого не будут рассматриваться как спам, перейдите на вкладку «Белый» список и установите флажок Я хочу получать письма от следующих отправителей , затем нажмите Добавить и в появившемся поле введите адрес. Можно вводить полный электронный адрес, к примеру [email protected] , а можно использовать шаблоны. Например, шаблон *@mail.ru укажет Анти-Спаму , что все письма, пришедшие с сервера mail.ru , подпадают под правило.

Чтобы добавить строку, на основании которой письмо будет расценено как полезное, установите флажок Я хочу получать письма, содержащие следующие фразы , нажмите кнопку Добавить и введите фразу или шаблон. Можете договориться с друзьями, чтобы они всегда подписывали письма какой-либо фразой, которая занесена в «Белый» список , тогда письма, пришедшие от них, не попадут в спам.

Аналогично заполняются почтовые адреса и фразы на вкладке «Черный» список . Установите флажок Я не хочу получать письма от следующих отправителей для активизации фильтра по почтовому адресу. Для включения фильтрации по ключевым словам предназначен флажок Я не хочу получать письма, содержащие следующие фразы .

При занесении ключевой фразы требуется дополнительно указать соответствующий ей весовой коэффициент . Самому подобрать коэффициент сложно, если вы сомневаетесь, укажите значение 50 или воспользуйтесь имеющимися правилами как подсказкой. Письмо будет отнесено к спаму, если его суммарный коэффициент превысит определенное число. В отличие от «белого» списка, в «черный» разработчики занесли фразы, наиболее часто употребляемые спамерами.

Для распознавания спама модуль Анти-Спам использует различные технологии, которые можно включить и отключить на вкладке Распознавание спама (рис. 5.10).

Рис. 5.10. Настройка технологий фильтрации спама

В области Фильтры указывается, какие технологии задействовать для обнаружения спама:

Самообучающийся алгоритм iBayes – анализ текста почтового сообщения на предмет наличия фраз, относящихся к спаму;

Технология GSG – анализ изображений, помещенных в письмо: на основании сопоставления с уникальными графическими сигнатурами делается вывод о принадлежности изображения к графическому спаму;

Технология PDB – анализ заголовков: на основании набора эвристических правил делается предположение о принадлежности письма к спаму;

Технология Recent Terms – анализ текста сообщения на наличие фраз, типичных для спама; в качестве эталона используются базы, подготовленные специалистами «Лаборатории Касперского».

В областях Фактор спама и Фактор потенциального спама указывается коэффициент, при превышении которого письмо будет расценено как спам или потенциальный спам. По умолчанию выбраны оптимальные значения; используя ползунок, можно самостоятельно выставить необходимый уровень. Поэкспериментировав, вы найдете приемлемые параметры.

Вкладка Дополнительно позволяет указать дополнительные критерии, по которым будет определяться спам (неправильные параметры сообщения, наличие некоторых типов html-вставок и пр.). Необходимо установить соответствующий флажок и задать фактор спама в процентах. По умолчанию фактор спама во всех критериях равен 80 %, а письмо будет признано как спам, если сумма всех критериев будет равна 100 %. Если хотите, чтобы все письма, которые вам не адресованы, считались спамом, установите флажок Адресованные не мне , после чего нажмите кнопку Мои адреса , затем Добавить и введите все используемые вами почтовые адреса. Теперь при анализе нового сообщения будет проверен адрес получателя, и если адрес не совпадет ни с одним адресом списка, сообщению будет присвоен статус спама. Когда вы вернетесь в главное окно настроек Анти-Спама , в нем будет задан уровень агрессивности Пользовательский .

Чтобы повысить эффективность модуля Анти-Спам , необходимо обучить его, указывая, какие письма являются спамом, а какие – обычной корреспонденцией. Для обучения используется несколько подходов. Например, чтобы адреса корреспондентов, с которыми вы общаетесь, автоматически заносились в «белый» список, нужно установить флажок Обучаться на исходящих письмах (он расположен в поле Обучение окна настройки модуля Анти-Спам ). Для обучения будут использованы только первые 50 писем, затем обучение завершится. По окончании обучения следует уточнить «белый» список адресов, чтобы убедиться, что в нем находятся нужные записи.

В области Обучение расположена кнопка Мастер обучения . Нажав ее, вы в пошаговом режиме сможете обучить Анти-Спам , указывая папки почтового клиента, содержащие спам и обычные письма. Такое обучение рекомендуется произвести в самом начале работы. После вызова мастера обучения нужно пройти четыре шага.

1. Определение папок, содержащих полезную корреспонденцию.

2. Указание папок, в которых находится спам.

3. Автоматическое обучение Анти-Спам . Почтовые адреса отправителей полезной почты заносятся в «белый» список.

4. Сохранение результата работы мастера обучения. Здесь можно добавить результаты работы к старой базе либо заменить ее новой.

В целях экономии времени мастер обучает Анти-Спам только на 50 письмах в каждой папке. Чтобы алгоритм Байеса, используемый для распознавания спама, работал правильно, следует произвести обучение как минимум на 50 письмах полезной почты и 50 письмах спама.

У пользователя не всегда может быть столько писем, но это не проблема. Обучить Анти-Спам можно в процессе работы. Возможны два варианта обучения:

С использованием почтового клиента;

С использованием отчетов Анти-Спам .

Во время установки модуль Анти-Спам встраивается в следующие почтовые клиенты:

Microsoft Office Outlook – на панели появляются кнопки Спам и Не Спам , а в окне, вызываемом командой меню Сервис > Параметры , вкладка Анти-Спам ;

Microsoft Outlook Express – в окне появляются кнопки Спам и Не Спам и кнопка Настройка ;

The Bat! – новые компоненты не появляются, но Анти-Спам реагирует на выбор пунктов Пометить как спам и Пометить как НЕ спам в меню Специальное .

Обучение с использованием отчетов просто. Выберите модуль Анти-Спам в главном окне программы и щелкните на области Открыть отчет . Заголовки всех писем отображаются на вкладке События открывшегося окна. Выделите с помощью кнопки мыши письмо, которое будет использовано для обучения Анти-Спама , нажмите кнопку Действия и выберите один из четырех вариантов: Отметить как спам , Отметить как не спам , Добавить в «белый» список или Добавить в «черный» список . После этого Анти-Спам будет обучаться. Обратите внимание, что при нехватке записей в базе данных в заголовке этого окна отобразится надпись, говорящая, сколько еще писем требуется для обучения модуля.

Если в окне настроек Анти-Спама установлен флажок Открывать Диспетчер писем при получении почты , вы получаете еще одну возможность регулирования поступающей почты. При соединении с почтовым сервером будет открываться Диспетчер писем , который позволяет просмотреть список сообщений на сервере без их загрузки на компьютер (рис. 5.11).

Рис. 5.11. Диспетчер писем

Здесь отображается информация, необходимая для принятия решения: отправитель, получатель, тема и размер сообщения. В столбце Причина может показываться комментарий модуля Анти-Спам .

По умолчанию Анти-Спам анализирует проходящие письма вне зависимости от установленного почтового клиента. Если в качестве последнего используется один из почтовых клиентов, перечисленных выше, такая двойная работа излишняя, поэтому стоит снять флажок Обрабатывать трафик POP3/SMTP/IMAP , который находится в области Встраивание в систему . Установите его, только если используете отличную от перечисленных почтовую программу. Если интеграция с указанными почтовыми клиентами не требуется, снимите флажок Включить поддержку Microsoft Office Outlook/The Bat! .

Отказавшись от приема ненужных или подозрительных сообщений, можно не только сэкономить трафик, но и снизить вероятность загрузки на компьютер спама и вирусов. При выборе сообщения внизу отобразится его заголовок, содержащий дополнительную информацию об отправителе письма. Для удаления ненужного сообщения установите флажок напротив письма в столбце Удалить и нажмите кнопку Удалить выбранные . Если вы хотите, чтобы Диспетчер показывал только новые сообщения на сервере, проследите, чтобы был установлен флажок Показывать только новые сообщения .

У большинства сегодняшних систем защиты компьютера имеются недостатки. Главным из них является то, что они не могут защитить систему от новых видов атак или вирусов, не занесенных в базы.

Примечание

В специальной литературе для обозначения новых неизвестных видов атак часто используется термин zero-day (0-day) attack.

На обучение проактивных систем уходит некоторое время, в течение которого решение о допуске программы принимает пользователь. Подобные системы сегодня задают все меньше вопросов, однако от пользователя требуется некий уровень понимания происходящего в системе – хотя бы такой, чтобы появление нового процесса вызывало подозрение. Созданные профили будут известны только на одном компьютере, поэтому в случае атаки на другую машину обучение придется повторять сначала. Вероятность возникновения ошибки велика, особенно учитывая характерный для проактивных систем высокий процент ошибок.

Создателям общественной системы предотвращения атак (Community Intrusion Prevention System, CIPS) Prevx (http://www.prevx.com/ ), английской компании Prevx Limited, удалось найти золотую середину. Эта система только набирает популярность, однако оригинальность решения и эффективность делают ее достойной рассмотрения.

Впервые прототип нового типа системы отражения атак был представлен общественности в феврале 2004 года и назывался Prevx Home . Уникального в представленной системе было много. В отличие от антивирусных систем, использующих для определения злонамеренных файлов сигнатуры, или некоторых систем, работающих со списком разрешенных приложений, в новой системе применялись правила, которые описывали поведение и средства контроля целостности программ. Причем в список попадали как заведомо хорошие, так и плохие программы, что позволяло быстро определить характер нового приложения или процесса на компьютере. Однако не это главное.

В системе используется единая база данных Community Watch. Она является наиболее мощным источником информации, определяющим существование, распространение и деятельность как благоприятного, так и злонамеренного программного обеспечения. Используя информацию, собранную в этой базе данных, можно проследить и проанализировать в реальном времени поведение и распространение обществом каждой программы. На каждом клиентском компьютере устанавливаются агенты безопасности , которые отслеживают ситуацию в защищаемой системе. При установке нового приложения либо появлении нового, неизвестного локальной базе процесса агент по Интернету отсылает запрос к центральной базе и на основании полученной информации делает вывод о ее благонадежности.

Если в центральной базе данных нет информации о новой программе, новый модуль заносится в нее и помечается как неизвестный, и пользователь предупреждается о возможном риске. В отличие от антивирусов, требующих некоторого времени для анализа специалистами, Community Watch в большинстве случаев способна самостоятельно определить характер программы, основываясь на поведенческих характеристиках. Для этого используется методика Four Axes of Evil, которая определяет характер программы по четырем составляющим: скрытность, поведение, происхождение и распространение. В результате создается ее описание, содержащее приблизительно 120 параметров, позволяющих однозначно идентифицировать эту программу в будущем, то есть если неизвестная базе утилита выполняет те же действия, что и известная зловредная программа, ее назначение очевидно. Если данных, собранных агентом, недостаточно для принятия однозначного решения, база данных может потребовать копию программы для проверки. По заявлению разработчиков, только небольшой процент случаев требует особого вмешательства специалистов.

При первом запуске база данных содержала информацию о миллионе событий, а через 20 месяцев в ней уже была информация о миллиарде. Такой принцип работы позволяет устранить ложные срабатывания, поэтому неудивительно, что вскоре появилась программа нового поколения – Prevx1, тестирование которой началось с 16 июля 2005 года. Результат превзошел все ожидания: 100 тыс. разбросанных по всему миру компьютеров с установленными на них Prevx1 оказались способными противостоять новым угрозам в реальном времени.

Сегодня оптимизированная база данных содержит более 10 млн уникальных событий и 220 тыс. вредных объектов. Ежедневно система автоматически обнаруживает и нейтрализует свыше 400 вредных приложений и около 10 тыс. программ различного назначения. Антивирусам не угнаться за такой производительностью. По статистике, приведенной на сайте, новый пользователь, подключившийся к Prevx1, в 19 % случаев находит у себя в системе вредоносные программы. Prevx1 может использоваться автономно, самостоятельно защищая компьютер, и совместно с другими продуктами, усиливающими ее действие: брандмауэром, антивирусом и программами для поиска шпионских модулей.

Для установки Prevx потребуется компьютер, имеющий не менее 256 Мбайт оперативной памяти и процессор с частотой 600 Мгц, работающий под управлением Windows 2000/XP/2003 и Vista. Это минимальные требования, для комфортной работы желательно использовать более современное оборудование.

Существует несколько вариантов продукта, каждый из которых имеет свои особенности, рассчитанные на конкретные условия применения, и соответствующую стоимость. Доступна также бесплатная версия продукта Prevx Computer Security Investigator (CSI), получить которую можно по адресу http://free.prevx.com/ .

Разработчики поступили просто: наличие бесплатной версии привлекает к проекту новых пользователей, которые добавляют свои сигнатуры в базу данных сообщества и тестируют на своем оборудовании непроверенное программное обеспечение. Версию Free можно установить обычным образом на жесткий диск или на USB-устройство хранения информации. Единственное ограничение этой версии – невозможность удаления найденных вредоносных файлов (производится только проверка компьютера). Зато ее можно производить любое количество раз для подстраховки, запуская вручную или по расписанию, и в случае обнаружения проблем принимать меры с помощью других утилит, описанных в данной книге.

Установка Prevx1 не вызывает сложностей, но для верификации требуется подключение к Интернету. Запустите исполняемый файл, подтвердите согласие с лицензией, установив флажок и нажав кнопку Continue (Продолжить). Начнется сканирование системной области, по окончании которого будет выведен результат (рис. 5.12).

Рис. 5.12. Консоль управления Prevx CSI

Обратите внимание на сообщение после System Status . Если значок напротив окрашен в зеленый цвет и подписан Clean , это означает, что на компьютере не обнаружено вредоносных программ. Если значок красный и подпись Infected – на компьютере найдены вредоносные программы и следует принять меры. Если на компьютере будет обнаружена неизвестная программа, значок окрасится в желтый предупреждающий цвет, в этом случае пользователь должен быть внимателен, так как это может быть вредоносная программа.

Prevx должен обновлять локальную базу по мере необходимости, если соединение производится через прокси-сервер, его настройки следует указать на вкладке Configure в поле Activate Proxy Support . Автоматическую проверку системы можно установить на вкладке Scheduler . Установите флажок Scan my system every и с помощью раскрывающихся списков, расположенных справа, укажите периодичность и время проверки. Можно выбрать ежедневную проверку (Day ) или указать на один из дней недели. Чтобы проверка производилась, если компьютер был выключен, установите флажок If my computer is not powered is on at the scheduled time . Для проверки компьютера после загрузки системы установите Scan automatically on bootup .

Каждую сетевую атаку можно в общем случае разбить на 5 этапов (таблица 3). В реальной ситуации некоторые шаги могут быть пропущены.

Таблица 3. Основные классы сетевых атак

Рассмотрим основные способы и средства защиты от перечисленных сетевых угроз .

Социотехника. Наилучший метод защиты от социотехники -- осведомленность пользователя. Необходимо сообщить всем сотрудникам о существовании социотехники и четко определить те виды информации, которые ни под каким предлогом нельзя разглашать по телефону. Если в организации предусмотрены варианты предоставления какой-либо информации по телефону (номеров телефонов, идентификационных данных и др.), то следует четко регламентировать данные процедуры, например, используя методы проверки подлинности звонящего.

Непосредственное вторжение:

ѕ контрольно-пропускной режим (системы контроля доступа, журнал посетителей, бейджи и др.);

ѕ физическая безопасность оборудования (механические, электронные замки);

ѕ блокировка компьютера, хранители экрана;

ѕ шифрование файловой системы.

Разгребание мусора. Хорошо известная всем бумагорезательная машина (шредер) -- самая лучшая защита против тех, кто роется в мусорных корзинах. У сотрудников должен быть беспрепятственный доступ к таким машинам, чтобы они могли уничтожить всю сколько-нибудь ценную информацию. Другой вариант: каждому пользователю предоставляется отдельная урна для бумаг, содержащих важные сведения, откуда каждую ночь документы поступают на бумагорезательную машину. Сотрудники должны быть четко информированы о том, как обращаться с конфиденциальной информацией.

Поиск в WEB. Основной способ защиты -- неразглашение информации. Нужно сделать необходимым и достаточным перечень информации, подлежащей размещению на публичных ресурсах в сети интернет. Избыточные данные о компании могут «помочь» злоумышленнику в реализации его намерений. Сотрудники должны нести ответственность за распространение конфиденциальной информации. Периодически следует проводить проверку публичной информации собственными силами или с привлечением сторонних компаний.

Изучение WHOIS. Не существует общих способов защиты от получения регистрационных данных злоумышленником. Существуют рекомендации, согласно которым информация в соответствующих базах должна быть как можно более точной и правдоподобной. Это позволяет администраторам различных компаний беспрепятственно связываться друг с другом и способствовать поиску злоумышленников.

Изучение DNS-зон. В первую очередь необходимо проверить, что на DNS-сервере нет утечки данных, которая возникает за счет наличия там лишних сведений. Такими сведениями могут быть имена, содержащие название операционных систем, записи типа HINFO или TXT. Во-вторых, необходимо корректно настроить DNS-сервер, чтобы ограничить передачу зоны. В-третьих, необходимо настроить граничный маршрутизатор таким образом, чтобы доступ к 53-му порту (TCP и UDP) имели только резервные серверы DNS, производящие синхронизацию с центральным сервером. Также следует использовать разделение внешнего и внутреннего DNS-серверов. Внутренний сервер настраивается таким образом, чтобы он мог разрешать имена только внутренней сети, а для разрешения имен внешней сети используются правила пересылки. То есть внешний DNS-сервер не должен ничего «знать» про внутреннюю сеть.

Поиск активных устройств и трассировка маршрутов. Способ защиты -- установка и настройка межсетевых экранов на фильтрацию пакетов таким образом, чтобы отсеивать запросы программ, используемых злоумышленником. Например, блокировка ICMP запросов от ненадежных источников сильно затруднит трассировку.

Сканирование портов. Первое и самое важное -- закрытие всех неиспользуемых портов. Например, если вы не используете TELNET, то необходимо закрыть соответствующий порт. При развертывании новой системы, необходимо заранее выяснить используемые ей порты и открывать их по мере необходимости. В особенно важных системах рекомендуется удалить программы, соответствующие ненужным сервисам. Лучшей считается такая настройка систем, в которой число установленных сервисов и инструментов минимально. Второе -- необходимо самостоятельно тестировать собственную систему на проникновение, тем самым предопределяя действия нарушителя. Для защиты от более совершенных сканеров рекомендуется применять пакетные фильтры с контролем состояния системы. Такие фильтры исследуют пакеты протоколов и пропускают только те из них, которые соответствуют установленным сессиям.

Общие рекомендации против сканирования -- своевременное применение пакетов безопасности, использование для сети и для хостов систем обнаружения вторжений (IDS), систем предотвращения вторжений (IPS), своевременное их обновление.

Переполнение стека. Способы защиты от данного типа атак можно разделить на две категории.

• 1. Методы, которые применяют системные администраторы и сотрудники службы безопасности при эксплуатации, настройке и сопровождении систем: своевременное применение патчей к системам, отслеживание обновлений установленных продуктов, сервис-паков для них, удаление лишних программ и сервисов, контроль и фильтрация входящего/исходящего трафика, настройка неисполняемого стека. Многие IDS способны обнаруживать атаки переполнения памяти по сигнатурам.
• 2. Методы, используемые разработчиками программного обеспечения в процессе создания программ: устранение ошибок программирования, путем проверки пространства доступной памяти, объема проходящей вводимой информации через приложение. Воздержание от использования проблемных функций с точки зрения безопасности; компиляция программ специальными средствами.

Вышеописанные методы помогают минимизировать количество атак на переполнение стековой памяти, но не гарантирует полную безопасность системы.

Атаки на пароли. Первое и самое главное -- «сильные» пароли. Это пароли длиной не менее 9-и знаков и содержащие специальные символы. Далее -- регулярная смена паролей. Чтобы это все корректно работало, рекомендуется выработать адаптированную под конкретную организацию политику паролей и довести ее содержание до всех пользователей. Не лишним будет предоставить сотрудникам конкретные рекомендации по созданию паролей. Второе -- рекомендуется использовать системы со встроенной проверкой на «слабость» паролей. Если такой проверки нет, то следует развернуть дополнительное программное обеспечение, выполняющее имеющее схожий функционал. Самый эффективный способ -- отказ от паролей и использование систем аутентификации (смарт-карты и др.). Рекомендуется регулярно производить тестовые «взломы» собственных паролей. Хорошей практикой является защита файлов с хешированными паролями, а также их теневых копий.

Атаки на WEB-приложения. Для того чтобы защититься от похищения учетных записей, необходимо выводить на экран одну и ту же ошибку при неправильном вводе логина или пароля. Это затруднит злоумышленнику перебор вашего ID или пароля. Лучшая защита от атак, отслеживающих соединение -- хеширование передаваемой информации о соединении, динамическая смена сеансового ID, завершение неактивного сеанса. Самые опасные атаки -- внедрение SQL-кода в приложение. Защита от них -- разработка WEB-приложений таким образом, чтобы они могли тщательно фильтровать указанные пользователем данные. Приложение не должно слепо доверять вводимой информации, поскольку в ней могут содержаться символы, с помощью которых модифицируются SQL-команды. Приложение должно удалять специальные символы, прежде чем обработать запрос пользователя.

Следует отметить, что на сегодняшний день активно развивается направление WAF (Web Application Firewall) -- файервол уровня приложений, предоставляющий комплексные методы защиты WEB-ресурсов. К сожалению, эти решения ввиду высокой стоимости доступны в основном только крупным компаниям.

Сниффинг. Первое -- шифрование данных, передаваемых по сети. Для этого используются протоколы -- HTTPS, SSH, PGP, IPSEC. Второе -- внимательное обращение с сертификатами безопасности, игнорирование сомнительных сертификатов. Использование современных коммутаторов, позволяющих настроить MAC-фильтрацию на портах, реализовать статическую ARP-таблицу. Использовать VLAN-ы.

IP-спуфинг. Данную угрозу можно минимизировать следующими мерами.

• 1. Контроль доступа. На границе сети устанавливаются пакетные фильтры, позволяющие отсеивать весь трафик внешней сети, где в пакетах исходным адресом указан один из адресов внутренней сети.
• 2. Фильтрация RFC2827. Она заключается в отсечении исходящего трафика внутренней сети, в котором исходным адресом не обозначен ни один из IP-адресов вашей организации.
• 3. Внедрение дополнительных видов аутентификации (двухфакторной) и криптографического шифрования делает такие атаки абсолютно неэффективными.

Перехват сеанса связи. Эффективно бороться с этим видом атак можно только с помощью криптографии. Это может быть SSL-протокол, VPN-сети и др. Для наиболее критичных систем целесообразно использовать шифрование и во внутренних сетях. Атакующий, перехвативший трафик зашифрованной сессии не сможет получить из него какой-либо ценной информации.

DOS-атаки. Для описания средств защиты от DOS-атак рассмотрим их классификацию. Эти атаки, как правило, разделяются на две категории: прекращение сервисов и истощение ресурсов (таблица 5). Прекращение сервисов -- сбой или отключение конкретного сервера, используемого в сети. Истощение ресурсов -- расходование компьютерных или сетевых ресурсов с целью помешать пользователям в получении атакуемого сервиса. Оба вида атак могут проводиться как локально, так и дистанционно (через сеть).

Защита против прекращения локальных сервисов: актуальные патчи безопасности локальных систем, регулярное исправление ошибок, разграничение прав доступа, применение программ проверки целостности файлов.

Защита против локального истощения ресурсов: применение принципа наименьшего количества привилегий при назначении прав доступа, увеличение системных ресурсов (память, скорость процессора, пропускная способность каналов связи и т.д.), применение IDS.

Защита против дистанционного прекращения сервисов: применение патчей, быстрое реагирование.

Лучшей защитой от дистанционного истощения ресурсов является быстрое реагирование на атаку. В этом могут помочь современные IDS-системы, сотрудничество с провайдером. Как и в предыдущих пунктах, следует своевременно обновлять и исправлять системы. Использовать функции анти-спуфинга. Ограничивать объем трафика со стороны провайдера. Для наиболее критичных систем необходимо иметь адекватную пропускную способность и избыточные линии связи.

Поддержание доступа. Вирусы и «троянские кони». Лучшая защита -- эффективное антивирусное программное обеспечение (ПО), работающее как на пользовательском уровне, так и на уровне сети. Для обеспечения высокого уровня безопасностей от этих угроз требуется регулярное обновление антивирусного ПО и сигнатур известных вирусов. Вторым шагом является получение актуальных обновлений операционных систем, настройка политик безопасности приложений в соответствии с актуальными рекомендациями их разработчиков. Необходимо обучить пользователей навыкам «безопасной» работы в Интернете и с электронной почтой. Защита от «ROOTKIT» обеспечивается политиками разграничения доступа, антивирусным программным обеспечением, применением обманок и системами обнаружения вторжений.

Заметание следов. После атаки злоумышленник, как правило, пытается избежать ее обнаружения администраторами безопасности. Для этих целей он производит изменение или удаление лог-файлов, хранивших историю действий нарушителя. Создание эффективной защиты, предотвращающей изменение лог-файлов злоумышленником, является важнейшим условием безопасности. Количество усилий, которые необходимо затратить на защиту регистрационной информации данной системы, зависит от ее ценности. Первым шагом для обеспечения целостности и полноценности лог-файлов является включение регистрации в особо важных системах. Чтоб избежать ситуации, когда в случае форс-мажора оказывается, что журналы отключены, необходимо создать политику безопасности, в которой бы регламентировались процедуры ведения журналов. Рекомендуется регулярно проводить проверки систем на соответствие данной политики. Другой необходимой мерой защиты лог-файлов является разграничение прав доступа на эти файлы. Эффективным приемом защиты регистрационной информации является установка выделенного сервера регистрации событий, обеспечив соответствующий уровень безопасности. Также хороши такие способы защиты как шифрование лог-файлов и разрешение на запись только в конец файла. Использование систем IDS. Защититься против туннелирования можно в двух местах: на конечном компьютере и в сети. На конечном компьютере защита обеспечивается правами доступа, антивирусным ПО, безопасной конфигурацией и установкой обновлений. На уровне сети туннелирование можно обнаружить системами обнаружения вторжений.

Выше были перечислены основные способы защиты от сетевых атак. На их основании строятся комплексные решения, которые могут совмещать в себе ряд функций по защите информации и использоваться в конкретном модуле сетевой инфраструктуры.