Защита от сетевых атак
Сетевая атака — это действие киберпреступника, которое ориентировано на получение контроля над определенной сетью путем присвоения административных прав. Конечной задачей хакера является дестабилизация сайтов и серверов, вывод их из строя, получение личных данных каждого пользователя сети.
Сетевые атаки и методы защиты
Сегодня киберпреступники используют следующие виды атак:
- mailbombing;
- переполнение буфера;
- специальные приложения;
- сетевую разведку;
- IP-спуфинг;
- Man-in-the-Middle;
- XSS-атаку;
- DDOS-атаку;
- фишинг и т.д.
Любая из этих атак на локальную сеть специфична. Соответственно, администраторы используют различные средства защиты от сетевых атак.
Например, сутью «Майлбомбера» является массовая отсылка писем на e-mail жертвы. В итоге преступник провоцирует отказ в работе ящика или же всего почтового сервера. Для защиты от этого типа атак IT-специалисты используют специальным образом настроенный сервер. Если приложение «видит», что с определенного адреса поступает слишком много писем (сверх установленного лимита), то автоматически отправляет все письма в корзину.
Довольно часто злоумышленники используют такой метод, как переполнение буфера. Благодаря наличию конкретных сетевых и программных уязвимостей им удается спровоцировать нарушение границ оперативной памяти, преждевременное завершение работы пользовательского приложения или выполнение любого двоичного кода. Соответственно защита от атак по сети состоит в поиске и устранении уязвимостей.
Наиболее распространенным методом атак на локальные сети является применение специального софта. Это компьютерные вирусы, троянские кони, снифферы, а также руткиты. Вирус — это определенный софт, который встраивается в иную (часто вполне легальную) программу и выполняет определенное действие на ПК пользователя. Например, шифрует файлы, прописывает себя в BIOS, что делает невозможной загрузку программной платформы и т.д. Троянские программы — это приложения, которые выполняют определенную функцию, например, воруют данные дебетовых и кредитных карт пользователя, получают доступ к его электронным кошелькам. Снифферы перехватывают пакеты данных, которые компьютер отправляет на тот или иной сайт. Благодаря этому киберпреступник может узнать логины и пароли от интернет-банкинга и другую важную информацию.
Для защиты данных в сетях используются антивирусные программы, файерволы, шифрование, антиснифферы и антируткиты.
ИКС — комплексный метод защиты от сетевых атак
Наша компания занимается разработкой ИКС — программы защиты от сетевых атак. В ИКС инетгрированы DLP-модуль, предотвращающий утечку конфиденциальных данных, детектор атак Suricata, и Web Application Firewall. Кроме того, при необходимости пользователи могут приобрести Антивирус и Антиспам от «Лаборатории Касперского» или Dr.Web для ИКС.
Интернет Контроль Сервер — это комплексная защита как всей сети, так и отдельного ПК!
Задание. Установить и настроить межсетевой экран.
Нижеприведенный текст взят с одного из сайтов с сохранением стиля автора.
Изначально межсетевой экран (файервол) служил для ограничения доступа к локальным сетям извне. Сейчас популярны комплексные решения. Если речь идет о "профессиональном" применении, то это отдельное устройство, умеющее не только фильтровать пакеты, но и обнаружить попытку сетевой атаки. Нам, простым пользователям, достаточно иметь программный файервол. Даже "простенький" файервол не ограничивается контролем интернет-трафика, он предупреждает о любой подозрительной активности приложений, спрашивая пользователя о том, что разрешать делать приложению, а что - нет. Это является и "недостатком". Первое время придется отвечать на вопросы, причем отвечать правильно. Я видел ситуации, когда пользователь ошибочно заблокировал доступ в интернет своему интернет-браузеру. В итоге - соединение с провайдером устанавливается, но, ни один сайт не открывается.
К файерволам мы вернемся очень скоро, ведь настала пора перейти к чисто сетевой безопасности.
Прежде, чем освещать сетевые атаки, неплохо ознакомиться с принципами функционирования сетей. Эти знания могут оказаться полезными и для устранения неполадок своими силами. Тех, кто желает всерьез изучить проблему, отсылаю к серьезным материалам. Простому человеку не обязательно читать всякие RTFSы. Моя цель - помочь пользователю обоснованно выбрать уровень защиты. Здесь приходится руководствоваться необходимой достаточностью, а определение этой "достаточности" - индивидуально.
Если вы - пользователь Интернет, ваш компьютер постоянно отправляет и получает данные. Отправляются запросы на получение информации, сама информация (например, почта). Получаются служебные ответы (готовность сервера, данные о размере скачиваемого файла и т.д.), и сами данные.
Представим себе работу двух штабов дружественных армий во время совместных учений. Российский генерал просит китайского поддержать наступление огнем с моря. Как происходит обмен информацией? Составляется письмо, передается шифровальщику, уже зашифрованное - радисту. Последний отстукивает письмо в эфир азбукой Морзе. Китайский радист получает "морзянку", шифровальщик расшифровывает, с удивлением обнаруживает, что послание на русском языке и отдает его переводчикам. Только теперь можно считать, что письмо дошло до адресата. Заметим, что нашим генералам по рангу не положено задумываться об азбуке Морзе, методах шифрования и радиопередатчиках. Также, как пользователь не обязан ничего знать о семи сетевых уровнях взаимодействия. Самым интересным для нас является IP - протокол интернета. Этот протокол должен понимать любой компьютер в сети Интернет, как все радисты способны пользоваться "морзянкой". Известно, что, при организации связи часто используются кабельные линии. Если на пути встречается преграда, например - река, то в место разрыва по берегам устанавливают два приемо-передатчика (ретрансляторы, это выгоднее, чем тянуть по дну кабель), далее могут использоваться и спутниковые каналы, и снова кабельная линия. Два "радиста" используют морзянку и могут ничего не знать о методах передачи сигнала по кабельным или радиоканалам с их аппаратурой уплотнения. Сети передачи данных, на которых базируется интернет, столь же сложны, но оконечные устройства, например Ваш компьютер, понимает IP, независимо от установленной операционной системы.
В соответствии с концепцией IP, данные преобразуются в отдельные "пакеты", которые могут (но не обязаны) нести в себе помимо куска данных и информации о пункте отправки и назначения, сведения о том, кусок чего именно содержится в пакете, как его стыковать с остальными частями. Понятно, что не существует идеальных каналов для передачи данных, а значит часть пакетов будет содержать ошибки, пакеты достигают цели в "неправильной" последовательности или вообще не достигают. Иногда это не критично. Поскольку теряется лишь небольшая часть пакетов, передачу можно повторить несколько раз (разумный подход, если сообщение небольшое). Сетевик увидит здесь дейтаграммный протокол (UDP), который базируется на протоколе IP и не гарантирует доставку сообщений. Протоколы TCP/IP располагают средствами для надежной доставки за счет установления виртуального соединения. В процессе такого соединения общаются уже две пользовательские программы. "Принимающая" сторона уведомляется о количестве отправленных пакетов и способе их стыковки, и, если какой-то пакет не дошел, просит повторить отправку. Здесь уже можно сделать два практических вывода. Первый: если сигнал сильно искажается или много помех, то значительная часть пакетов проходят с ошибками, что приводит к множеству повторных отправок, то есть, снижается реальная скорость передачи данных. Отсюда и возникает понятие ширины (пропускной способности) канала. Второй вывод: если отправит все заявленные пакеты кроме одного, принимающая сторона не закроет виртуального соединения, ожидая опаздывающего. Если насоздавать множество таких соединений, принимающему компьютеру будет тяжко, поскольку под каждое соединение резервируется участок памяти, а память не резиновая. По такому принципу строили сетевые атаки, "подвешивая" компьютер жертвы.
Чтобы понять процесс установления соединения, необходимо рассмотреть систему идентификации компьютеров в сети. Если мы говорим об интернет, то у каждого компьютера есть уникальное имя, называемое IP - адресом. выглядит он может примерно так: 213.180.204.11 Трудновато для запоминания, поэтому придумали доменные имена, состоящие из "нормальных" символов, например www.yandex.ru. Если в командной строке Вашего интернет-браузера набрать http://213.180.204.11, то это будет равноценно http://www.yandex.ru. Каждое доменное имя соответствует определенному IP - адресу. Как я узнал IP знаменитой поисковой системы? Можно использовать специальную программку, а можно выполнить команду "ping". Если у Вас Windows, нажмите кнопку "Пуск", кликните на пункте "выполнить". Нам предлагают выполнить на компьютере какую-нибудь команду, скомандуем cmd (введем cmd в поле "открыть"), откроется окно командного интерпретатора. Теперь мы можем видеть вводимые команды и результат их выполнения. Итак, командуем ping yandex.ru, жмем "Enter" и получаем результат. Результат будет положительным, если ваш компьютер подключен к Интернет. В этом случае Вам покажут время прохождения пробных пакетов до сервера yandex, а заодно ip - адрес. В роле "переводчика" выступает DNS - сервер, специальный компьютер, хранящий таблицы соответствия доменных имен ip-адресам, причем таких компьютером может быть много. Интернет изначально задумывался как отказоустойчивая сеть (для военных в США), а надежность должно было обеспечить отсутствие единого центра. Группа пакетов, отправленная в рамках одного соединения, может идти разными путями (на то она и всемирная паутина), управляется этот процесс маршрутизаторами, хранящими различные пути до различных подсетей. Теперь понятно, почему очередность поступления пакетов адресату может отличаться от исходной. Также понятно, что, если злодей подменит запись в таблице адресов, то вместо нужного сайта клиент может угодить на сайт-двойник, где введет свои пароли и другие данные. Утешает то, что подмена таблиц публичных DNS является весьма трудным делом. Но, следует помнить, что браузер первым делом просматривает локальную таблицу, хранящуюся в специальном файле на Вашем компьютере. Если вирусу удастся внести туда свою запись, то введя www.yandex.ru, Вы запросто можете попасть на совершенно другой сайт, быть может, внешне похожий. Если ваш файервол сообщает, что какая-то программа пытается изменить файл с таблицей адресов, стоит обследовать компьютер на предмет опасной заразы.
Для установления соединения мало знать адрес компьютера. Непременными атрибутами запроса на подключение являются протокол (язык, на котором решено общаться) и номер порта, к которому мы подключаемся. Протокол мы каждый раз указываем в адресной строке браузера (тот самый http, хотя можно набрать ftp и связаться с ftp-сервером, если он есть на сервере). Номер порта обычно явно не указывается, в этом случае для http подразумевается порт 80, на котором "висит" интернет-сервер (не в смысле "мощный компьютер", а в смысле "программа, обслуживающая клиентские приложения". На компьютере может быть запущено множество сервисов (тот же ftp), каждый слушает "свой" порт. Если интернет-браузеры обеспечивают в основном подключение по http и просмотр web-страниц, то для подключения к другим сервисам существуют специальные программы, как стандартные, так и "хакерские" Если установлена программа ICQ, то она открывает свой порт и "слушает" его на предмет желающих подключиться и пообщаться. Чем больше на машине запущено сетевых сервисов, тем больше вероятность, что среди них найдется уязвимый, ведь каждый открытый порт - дверь систему, а надежен ли замок - тот еще вопрос. Существует целый класс программ - сканеры портов, которые опрашивают заданный диапазон портов, перебирая номера и выдают список открытых. Забегая вперед, скажу, что есть "сканеры безопасности", которые не только сканируют порты, но и исследуют в автоматическом режиме целевой хост на наличие всех известных уязвимостей.
Итак, сетевые атаки. Банки и без моей помощи разберутся с хакерами, мне ближе проблемы простого пользователя. Об этом и поговорим.
Удаленный взлом компьютера становится не таким простым делом. Если интересно, кто и как занимался этим лет пять назад, вот ссылка на приговор горе-хакерам, в котором описана вся технология взлома (в начале и в конце документа). Во времена Windows 98 любой школьник мог проделать такие штуки. С Windows XP эти фокусы не проходят, а методы взлома Linux знают только профи, которые и у себя в банке неплохо зарабатывают. Для проникновения на чужой компьютер необходимо иметь теперь приличную квалификацию, а персонального внимания толкового злодея удостаиваются не все. Мой компьютер вряд ли кого-то заинтересует. Другое дело, что сканированием портов все же многие балуются. Уж не знаю, чего они там ищут, но раздражает сильно. Трафик то я оплачиваю! Замечу, что адрес, с которого осуществляется сканирование, зачастую принадлежит ничего не подозревающему добропорядочному пользователю. Скорее всего, у последнего поселился червь, выискивающий очередную жертву.
Если Ваш компьютер кого-то и заинтересовал, то это близкие Вам люди. Я имею в виду деловых партнеров, начальство и ревнивых супругов. В интернете можно найти массу шпионских программ, типа клавиатурных шпионов. Если на компьютере стоит такая программа, то все, что набрано на клавиатуре, включая пароли к электронной почте, записывается в специальный файл и может быть негласно отправлено по электронной почте "хозяину".
Даже если Вам нечего скрывать, трояны, живущие в компьютере, могут интенсивно загружать линию, увеличивая трафик и мешая прохождению полезной информации. Кроме того, неграмотно написанные программы часто отнимают у компьютера системные ресурсы, а то и нарушают целостность операционной системы. Как плачевный итог - переустановка и связанные с этим потеря времени и денег.
Теперь рассмотрим наиболее популярные способы заполучить на компьютер трояна (как этого избежать - в следующей главе).
Способ первый - заразить компьютер компактным вирусом, единственной функцией которого является закачка из интернета и инсталляция полноценного "троянского коня"
Способ второй - зайти "не на тот" сайт. А уж заставить открыть страницу, содержащую опасное содержимое - дело техники и психологии.
Способ третий - дать злоумышленнику посидеть за вашим компьютером. Известны также случаи, когда посетитель в организации просто незаметно вставлял специально приготовленную "флэшку" в USB-порт, дальше - понятно.
Еще одна неприятная реалия сетевой жизни - сниффинг . По простому - перехват трафика. Из предыдущей главы (руководствуясь здравым смыслом) ясно, что исходящие пакеты уходят в некотором смысле "в эфир". По крайней мере, в пределах одной подсети они доступны всем, а это - не так уж мало. Другое дело, что "порядочный" компьютер воспринимает только адресованную ему информацию. Если же злодей установил программу - сниффер (нюхач), то может читать передаваемые данные. Восстановить весь поток - невыполнимая задача, поскольку соединение с источником не устанавливается и запросить повторную отправку потерянных пакетов не удастся (это была бы наглость - подслушивать соседей за стенкой, да еще переспрашивать, когда не расслышали). Сниффинг используют для перехвата паролей, передающихся в открытом (незашифрованном) виде.
Сознавая уровень реальной опасности, можно разумно подойти к защите своего компьютера от различных напастей. Здесь поход простой: стоимость сейфа не должна превышать стоимость хранимых в нем ценностей. Многое Вы можете сделать сами, с этого и начнем.
1. Устанавливаем нормальную операционную систему. Исходить приходится из того, что большинству пользователей подходят ОС от Microsoft. В этом случае вариантов нет - Windows XP c SP2 (как минимум). SP2 - это второй пакет обновлений, закрывший многие дыры в безопасности. Сгодилась бы и Windows 2000, но ее перестали поддерживать, а уязвимости находят все новые и новые.
2. Настраиваем минимальную защиту: включаем брандмауэр (если установлен SP2, то включен по умолчанию) для всех соединений. Делается это так: Пуск>Панель управления>Сетевые подключения, откроется окно со значками настроенных подключений. Кликаем правой кнопкой мыши по значку подключения, выбираем пункт "свойства", жмем на вкладку "дополнительно", потом в зоне "брандмауэр Windows" нажимаем кнопку "параметры". Если установлено значение "выключить", меняем его на "включить" и подтверждаем кнопкой ОК.
3. Устанавливаем антивирусное программное обеспечение. Как бы ни ругали антивирус Касперского (притормаживает работу компьютера), разумной альтернативы я не вижу. Обновляем антивирусные базы через интернет до актуального состояния. Теперь можно покопаться в настройках (в разных версиях это выглядит по-разному, поэтому подробно описывать не буду). Имеет смысл отключить ежедневную полную проверку компьютера. Обычно я отключаю автоматическое обновление, поскольку большинство компьютеров не подключены к Интернет постоянно.
4. Находим в "Панели управления" раздел "администрирование", в нем "службы" и отключаем все ненужное. Первым делом - службу сообщений. Объясню, почему. Может быть вы сталкивались с ситуацией, когда во время работы в Интернет периодически всплывает сообщение, в котором вас пугают разными ошибками в системе и прочими вирусами, предлагая зайти на такой-то сайт, где вам помогут избавиться от проблем. На самом деле, посетив такой сайт, эти проблемы можно нажить. Служба сообщений предназначена прежде всего для работы в локальной сети, с ее помощью администратор сети может оповещать пользователей о чем либо. Злодеи же используют ее для заманивания на сайты-ловушки. Еще можно смело отключать "Telnet", "Удаленный реестр" и "Сервер", если ваш компьютер не планируется использовать в качестве сервера. Чем меньше служб запущено, тем быстрее работает компьютер. Там еще много чего можно отключить, но, действовать следует с осторожностью. Если не уверены, лучше пригласите специалиста.
5. Если Вы не сделали этого ранее, установите пароли для всех пользователей позаковыристей. Последнее означает, что хороший пароль должен быть длинным и состоять из цифр, букв в разных регистрах и специальных символов.
Когда я настраиваю клиентам компьютер, то обычно останавливаюсь на этом. Для большинства это вполне достаточный уровень защиты. Тем, кто всерьез озабочен безопасностью, следует предпринять еще ряд мер предосторожности.
6. Наделить всех пользователей только минимально необходимыми правами. Например, запретить всем, кроме "Администратора", устанавливать программы. Даже если Вы единственный пользователь, создайте вторую учетную запись с ограниченными правами, и входите в систему под именем Администратор только в случае необходимости. Дело в том, что некоторые уязвимости позволяют злодею исполнять на компьютере команды от имени текущего пользователя. А если у такового прав - минимум, то и использовать уязвимость не удастся.
7. Иногда при вводе пароля, например для доступа к своему почтовому ящику, система предлагает сохранить пароль. Я всегда отказываюсь, чего и Вам советую. Это - хорошая привычка.
8. Установите полноценный файервол. Встроенный брандмауэр Windows многие действия программ попросту не отслеживает.
Издавна за покоем жителей городов следили охранники и дозорные, которые в случае возникновения внештатной ситуации били тревогу. В виртуальном мире эта задача возложена на системы обнаружения (отражения) атак , или СОА (Intrusion Detection System – IDS). Первые системы обнаружения атак появились давно, начало их разработки связано с публикацией в 1980 году статьи «Computer Security Threat Monitoring and Surveillance» Джона Андерсона. С нее началось развитие систем обнаружения атак, хотя активно использовать их начали позже – приблизительно в начале 1990-х, после осознания опасностей виртуального мира.
В русском названии таких систем есть некоторая путаница: дословно Intrusion Detection System переводится как «система обнаружения вторжений», и во многих источниках используется именно оно. Однако последствием атаки необязательно должно быть вторжение, хотя сам факт атаки будет также зафиксирован такой системой. Правильнее использовать слово «атака».
Традиционно СОА делятся на системы, защищающие отдельный узел (Host IDS), и сетевые (Network IDS), контролирующие сетевые пакеты. Существуют также гибридные СОА, сочетающие возможности обеих систем. На определенном этапе разработчики захотели не только обнаруживать атаки, но и останавливать их. Так появились системы остановки атак. Любая СОА состоит из датчиков, собирающих информацию, и механизма анализа и принятия решений. Датчики для обнаружения подозрительных событий анализируют журналы работы системы, системные вызовы, поведение приложений, целостность файлов и сетевые пакеты. В качестве критерия используются наборы сигнатур, хотя все более популярными становятся средства, реагирующие на аномалии.
Сегодня для полноценной защиты уже не хватает связки антивирус – брандмауэр, поэтому разработчики предлагают СОА и для домашнего использования. Чтобы не пугать пользователя новыми названиями, при характеристике продукта применяются термины вроде «комплексное решение по защите» или «брандмауэр с расширенными возможностями». Таким примером является брандмауэр Outpost Firewall Pro, рассмотренный в предыдущей главе. В нем присутствует отдельный модуль, обеспечивающий защиту от сетевых атак. В главе 3 вы ознакомились с системами защиты компьютера, которые можно отнести к СОА, защищающим отдельный узел.
На домашнем компьютере функциональность СОА, используемых при защите сетей и серверов корпораций и потребляющих при этом большое количество ресурсов, не нужна. Для настольных систем предлагаются интегрированные решения, включающие антивирус, брандмауэр и СОА.
5.2. Защита компьютера с помощью Kaspersky Internet Security
Ранее для защиты от хакеров «Лаборатория Касперского» предлагала брандмауэр Kaspersky Anti-Hacker, в задачу которого входили контроль над входящими и исходящими соединениями и пресечение любых враждебных действий до нанесения ими вреда. С помощью этого приложения можно было скрыть компьютер, работающий в сети. Kaspersky Anti-Hacker продается в интернет-магазинах до сих пор, но на момент написания данной книги упоминание о нем исчезло с сайта «Лаборатории Касперского». Вместо него появилось комплексное решение, предназначенное для защиты от основных угроз (вирусов, хакеров, спама и шпионских программ), – Kaspersky Internet Security.
Эта программа способна полностью защитить домашний компьютер. С одной стороны, цена одного такого продукта меньше, чем суммарная стоимость всех решений, входящих в его состав. Кроме того, интеграция уменьшает возможность возникновения системных конфликтов. С другой стороны, если вирус или шпионская программа все-таки попадет на компьютер, она может одним действием полностью лишить его защиты. Это непросто, однако вероятность такого события исключать не стоит.
Установка Kaspersky Internet Security
Большая часть этапов установки Kaspersky Internet Security совпадает с установкой «Антивируса Касперского». Однако есть отличия, связанные с особенностями этого продукта. На начальном этапе программа установки попробует связаться с сервером компании для проверки наличия обновлений. При отсутствии соединения с Интернетом некоторое время придется подождать. После принятия лицензионного соглашения предлагается выбрать один из двух вариантов установки:
Быстрая установка – будут установлены все компоненты программы с параметрами работы по умолчанию;
Выборочная установка – установка отдельных компонентов с возможностью предварительной настройки; данный режим рекомендуется для опытных пользователей.
Рекомендуется выбрать быструю установку: в этом случае будет обеспечена максимальная защита компьютера. Если в каком-либо модуле не будет необходимости, его всегда можно отключить. Далее мастер проверит установленные программы и, если найдет несовместимые с KIS, выведет их список. Если вы продолжите установку, данные приложения будут удалены во избежание конфликтов. Если будут найдены конфигурационные файлы от предыдущей установки «Антивируса Касперского» или KIS, последует запрос на сохранение этих параметров. Если программы, мешающие работе KIS, удалялись, после этого, возможно, потребуется перезагрузка компьютера.
Как и в «Антивирусе Касперского», после установки программы запустится Мастер предварительной настройки . Если был выбран вариант Быстрая установка , мастер предложит активизировать продукт. После перезагрузки двойным щелчком на значке в Панели задач можно вызывать окно настройки параметров работы KIS (рис. 5.1).
Рис. 5.1. Окно настройки Kaspersky Internet Security
Большая часть пунктов меню совпадает с настройками «Антивируса Касперского», однако в меню Защита есть несколько новых пунктов:
Сетевой экран – вывод статуса и быстрый доступ к настройкам режима работы встроенного межсетевого экрана, системы обнаружения вторжений, модулей Анти-Реклама и Анти-Банер , просмотр сетевой активности компьютера;
Анти-Шпион – вывод статуса работы и быстрый доступ к настройкам модулей Анти-Шпион , Анти-Фишинг , Анти-Дозвон и Защита конфиденциальных данных ;
Анти-Спам – вывод статуса работы, запуск мастера обучения и быстрый доступ к настройкам модуля Анти-Спам ;
Родительский контроль – вывод статуса работы, активизация и деактивизация и быстрый доступ к настройкам этого модуля.
Разберем особенности новых функций и некоторые настройки.
Внимание!
После установки все вышеперечисленные функции отключены, что снижает безопасность системы, поэтому следует просмотреть вкладки и активизировать нужные.
Настройки параметров работы сетевого экрана
Для активизации сетевого экрана достаточно нажать ссылку Включить на соответствующей вкладке. Окно настройки параметров можно вызвать нажатием кнопки Настройка внизу окна и выбором соответствующего пункта или из соответствующего пункта меню Защита . Нажав ссылку Просмотреть текущую сетевую активность , вы отобразите количество активных приложений, использующих сеть, а также количество открытых соединений и портов.
В окне настроек модуля доступны несколько областей, в каждой из которых, установив соответствующий флажок, можно включить/отключить Сетевой экран полностью либо один из его компонентов – систему фильтрации, систему обнаружения вторжений, Анти-Рекламу или Анти-Баннер (рис. 5.2). В области настройки брандмауэра имеется ползунок, используя который, можно выставить один из пяти уровней защиты:
Разрешать все – разрешена любая сетевая активность без ограничений, соответствует отключению брандмауэра;
Минимальная защита – разрешены все сетевые соединения, кроме запрещенных правилами;
Обучающий режим – пользователь самостоятельно решает, какую сетевую активность разрешать или запрещать; при попытке получить доступ к сети приложения, для которого не создано правило, у пользователя запрашивается подтверждение и на основе ответа создается новое правило;
Максимальная защита – все неразрешенные соединения блокируются;
Блокировать все – все соединения блокируются, запрещен доступ к локальной сети и Интернету; необходимо использовать в случае обнаружения сетевых атак либо при работе в опасной сети.
Рис. 5.2. Настройки модуля Сетевой экран
Во время установки создаются правила для всех приложений, однако они не всегда оптимальны для конкретной системы, поэтому рекомендуется изменить уровень защиты с минимального, который установлен по умолчанию, на обучающий. К режиму максимальной защиты следует переходить только если вы уверены, что созданы все разрешающие правила. Однако после установки нового программного обеспечения следует снова вернуться в обучающий режим защиты. При работе системы в обучающем режиме пользователю выводится уведомление (рис. 5.3).
Рис. 5.3. Уведомление о сетевой активности
Оно содержит описание активности и информацию, необходимую для принятия решения: вид соединения (входящее, исходящее), протокол, приложение, удаленный IP-адрес и порт, локальный порт. На основании полученных данных можно выбрать нужное действие, нажав соответствующую кнопку – Разрешить или Запретить . Выбор варианта Отключить режим обучения отключит этот режим работы модуля.
Если установлен флажок Создать правило , то на основании выбранного ответа формируется новое правило, и во время последующей сетевой активности этого приложения при совпадении параметров запроса программа не будет беспокоить пользователя. В раскрывающемся списке необходимо выбрать тип активности, к которому применимо выбранное действие. Доступно несколько вариантов:
Любая активность – любая сетевая активность этого приложения;
Выборочно – конкретная активность, которую следует указать в окне создания правила;
Этот адрес – активность приложения, удаленный адрес сетевого соединения которого совпадает с указанным; может быть полезна, если вы хотите ограничить работу в сети для выбранного приложения указанными адресами.
Можно также выбрать одну из предустановок, описывающих характер приложения: Почтовая программа , Браузер , Менеджер загрузки , FTP-клиент , Telnet-клиент или Синхронизатор часов .
Модуль обнаружения вторжения компонента Сетевой экран реагирует на активность, характерную для сетевых атак. При обнаружении попытки атаковать компьютер на экране появится соответствующее уведомление с указанием информации об атакующем компьютере: вид атаки, IP-адрес атакующего, протокол и сервис, который подвергся атаке, дата и время. При этом система блокирует IP-адрес атакующего компьютера на один час. Изменить время блокировки можно в области Система обнаружения вторжений в поле возле флажка Добавить атакующий компьютер в список блокирования на .
Настройка правил для приложений
Тоньше всего можно настроить работу модуля Сетевой экран с помощью правил. В поставку включен набор правил для наиболее известных приложений, сетевая активность которых проанализирована специалистами и которые имеют четкое определение – полезная или опасная. Для одной программы можно создать несколько как разрешающих, так и запрещающих правил. В большинстве случаев для создания правил достаточно использовать обучающий режим и в диалоговом окне задавать условия, при которых программа будет получать доступ в сеть. Однако может возникнуть ситуация, когда потребуется отредактировать созданное правило, например, если был ошибочно блокирован доступ в сеть полезному приложению. Правила можно создавать самостоятельно. Чтобы перейти к окну редактирования правил, нажмите кнопку Настройка в области Система фильтрации . В появившемся окне перейдите на вкладку Правила для приложений (рис. 5.4).
Рис. 5.4. Окно настройки правил для приложений
Все правила на этой вкладке можно сгруппировать двумя способами. Если установлен флажок , отображается список приложений, для которых имеются сформированные правила. Для каждой программы выводится следующая информация: имя и значок приложения, командная строка для запуска (если есть), корневой каталог, в котором расположен исполняемый файл приложения, и количество созданных для нее правил.
Дважды щелкнув кнопкой мыши на выбранном приложении, можно просмотреть и изменить список правил. Щелчок на правиле покажет его свойства: разрешено или запрещено, исходящий, входящий поток или оба направления, протокол, удаленный и локальный порт, удаленный IP-адрес и время суток, в течение которого действует правило (рис. 5.5). Дважды щелкнув на правиле или выбрав правило и нажав кнопку Изменить , вы получите доступ к окну редактирования правила, в котором можно изменить любой из указанных параметров. Нажав кнопку Добавить , можно самостоятельно создать новое правило. Порядок редактирования и создания правил напоминает редактирование правил в Outpost Firewall (см. соответствующий раздел).
Рис. 5.5. Свойства правила
Обратите внимание на кнопки Экспорт и Импорт : с их помощью можно быстро перенести сформированные правила на другие компьютеры, что удобно для быстрой настройки правил модуля Сетевой экран . Нажмите кнопку Экспорт и укажите расположение и имя файла, в который нужно сохранить настройки, после чего перенесите файл на другой компьютер, нажмите Импорт и выберите файл с сохраненными настройками.
Чтобы получать предупреждение или записывать в отчет срабатывание правила, необходимо установить флажки Показывать предупреждение и Записывать в отчет в окне Редактирование правила .
При снятом флажке Группировать правила по приложениям все правила будут показаны без группировки по имени приложения.
Если вы обнаружили, что приложение не может получить доступ в сеть, одной из причин может быть установка запрещающего правила в модуле Сетевой экран . Самым быстрым способом проверить это является временная приостановка работы Сетевого экрана . Это можно сделать несколькими способами. Можно выбрать в окне настроек уровень защиты Разрешить все либо снять флажок Включить Сетевой экран и нажать кнопку Применить . Если после этого приложение будет работать нормально, значит, дело в запрещающем правиле. Ситуацию легко исправить: зайдите в окно настройки правил для приложений, выберите приложение и просмотрите все созданные для него правила, обращая особое внимание на запрещающие. В крайнем случае можно отметить приложение, щелкнув на нем кнопкой мыши, и нажать кнопку Удалить , чтобы удалить все созданные для него правила. Затем выберите обучающий режим безопасности и создавайте новые правила по мере необходимости.
Кроме Правила для приложений окно настройки Анти-Хакера содержит еще три вкладки. Вкладка Правила для пакетов похожа на описанную выше, только в ней можно задавать правила фильтрации для пакетов (рис. 5.6).
Рис. 5.6. Окно создания правил для пакетов
Записанные на этой вкладке правила действуют на более низком уровне, поэтому применяются независимо от приложения, которое генерирует или принимает их. При необходимости, например, глобально запретить доступ к некому ресурсу или сервису (локальному или удаленному) здесь следует указать необходимые параметры, тогда, сменив приложение, нельзя будет обойти запрет, созданный для конкретной программы. Для каждого правила фильтрации приводится следующая информация: имя правила, разрешающее или запрещающее, протокол передачи, направление пакета и параметры сетевого соединения, по которому передается пакет. Правило можно отключить, сняв соответствующий флажок.
Мастер найдет все сетевые интерфейсы, имеющиеся на компьютере, и определит для каждого политику безопасности, то есть степень доверия находящим ся в этих зонах компьютерам. Список сетевых интерфейсов доступен на вкладке Зоны : здесь можно отредактировать список сетевых интерфейсов и изменить политику безопасности.
Если во время установки будут найдены не все интерфейсы, нажмите кнопку Найти для повторного поиска. Если это не поможет, следует нажать кнопку Добавить и в появившемся окне ввести имя, адрес подсети и сетевую маску. Степень доверия характеризуется статусом сети. Статус может принимать следующие значения:
Доверенная – разрешены все соединения без ограничений;
Локальная сеть – другим компьютерам разрешен доступ к локальным файлам и принтерам, разрешена отправка сообщений об ошибках (протокол ICMP), а режим невидимости по умолчанию выключен; сетевая активность приложений регулируется правилами;
Интернет – запрещен доступ к файлам и принтерам и отправка ICMP-сообщений, режим невидимости включен; сетевая активность приложений регулируется правилами.
Для всех зон, кроме Интернета, можно изменить статус. Для этого необходимо щелкнуть на названии в области Описание . Зона Интернет всегда имеет статус Интернет , и изменить ее невозможно, поэтому при работе в Сети пользователь будет максимально защищен. Режим невидимости можно изменить несколькими способами, самый простой – установка одноименного флажка.
Примечание
В режиме невидимости нет ничего необычного. Удаленному компьютеру отсылается ICMP-пакет с кодом ECHO_REQUEST. Вручную такую проверку можно запустить, выполнив команду Пуск > Выполнить и введя в открывшемся окне команду ping имя_узла. Если компьютер включен в сеть, в ответ должен прийти пакет с кодом ECHO_REPLY. В режиме невидимости такие пакеты блокируются, значит, для большинства приложений, первоначально проверяющих его работоспособность, он невидим.
На вкладке Дополнительно с помощью переключателя можно выбрать один из двух режимов работы:
Максимальная скорость – режим, обеспечивающий максимальную скорость сетевых игр, но в то же время возможны проблемы с совместимостью, которые можно частично решить, отключив режим невидимости .
Чтобы новые параметры, выбранные на вкладке Дополнительно , вступили в силу, следует перезагрузить компьютер.
В модуль Сетевой экран входят еще два компонента.
Анти-Реклама – блокирует всплывающие окна, используемые для рекламирования продуктов или услуг и не несущие полезной нагрузки. При попытке открыть такое окно его вывод блокируется, а пользователю выводится предупреждение, в котором он может принять решение о блокировке или разрешении вывода. Корректно работает с модулем, блокирующим всплывающие окна в Microsoft Internet Explorer, который входит в состав пакета обновлений Service Pack 2 для Microsoft Windows XP.
Всплывающие окна не всегда содержат рекламу, на некоторых сайтах таким образом показывается окно выбора файлов для загрузки либо более быстрого доступа или вывода некоторой информации. Чтобы модуль Анти-Реклама не блокировал такие окна, их необходимо внести в список доверенных. Для этого нажмите кнопку Доверенные адреса , которая расположена в области Блокирование всплывающих окон , затем нажмите кнопку Добавить и в появившемся окне введите адрес ресурса, всплывающие окна которого не должны блокироваться. При этом можно использовать маски. Например, http://microsoft * определит все адреса, начинающие со слова microsoft, как доверенные. С помощью флажков, которые расположены в области Доверенная зона , можно определить узлы, входящие в доверенную зону Microsoft Internet Explorer и локальной сети, как доверенные.
Примечание
В Internet Explorer можно указать список узлов, которые пользователь считает надежными. Для этого выполните в окне браузера команду Сервис > Свойства обозревателя, перейдите на вкладку Безопасность, щелкните на значке Надежные узлы и нажмите кнопку Узлы, расположенную ниже. В появившемся окне введите веб-ресурсы, которым доверяете.
В стандартную поставку компонента Анти-Баннер включен список шаблонов часто встречающихся баннеров. Нажав кнопку Настройка , расположенную в области Блокирование рекламных баннеров , вы можете самостоятельно задать список запрещенных и разрешенных баннеров. Появившееся окно содержит три вкладки (рис. 5.7).
Рис. 5.7. Настройка блокировки баннеров
На вкладке Общие размещен список баннеров, сформированных специалистами «Лаборатории Касперского». Этот список недоступен для редактирования, но вы можете отключить любое правило, сняв соответствующий флажок. Для анализа баннеров, не попадающих под маски стандартного списка, установите флажок Использовать методы эвристического анализа – загружаемые изображения будут анализироваться на предмет наличия специфических для баннеров признаков. На вкладках «Черный» список и «Белый» список указываются пользовательские маски для баннеров, которые необходимо блокировать и разрешать. Занести в список новую маску просто. Перейдите на нужную вкладку, нажмите кнопку Добавить и в появившемся окне введите полный адрес (URL) баннера либо шаблон. В последнем случае при открытии баннера Анти-Баннер будет искать в его адресе указанную последовательность символов. Заданные на этих вкладках адреса действуют только на отображение баннеров, поэтому можно указать адрес целого сайта, например http://www.test.com/ , и баннеры, принадлежащие этому сайту, будут блокироваться. Кнопки Экспорт и Импорт , расположенные на этих вкладках, помогут быстро перенести сформированные списки на другие компьютеры.
Модуль Анти-Шпион
Чтобы закончить рассказ о Kaspersky Internet Security, рассмотрим три оставшихся модуля: Анти-Шпион , Анти-Спам и Родительский контроль . Подробнее о шпионских программах рассказано в главе 6, о борьбе со спамом – в главе 8, о программах родительского контроля – в главе 9, фишинг-атаки рассмотрены в главе 7.
Модуль Анти-Шпион позволяет защититься от навязчивой рекламы, выводимой в окне браузера в виде баннеров и всплывающих окон. Использование этого модуля дает возможность распознать известные способы мошенничества в Интернете, попытки кражи конфиденциальной информации (паролей, номеров кредитных карт), неавторизованного доступа в Интернет и несанкционированного пользования платными ресурсами.
Выбрав модуль Анти-Шпион в главном окне программы, вы получите общую статистику работы и текущий статус модуля в целом и его отдельных компонентов. Здесь же можно временно приостановить или остановить работу модуля, а также включить защиту, если она была отключена.
Рис. 5.8. Окно настройки модуля Анти-Шпион
Все настройки в Kaspersky Internet Security однотипны, поэтому, освоив один компонент, найти настройки другого просто. Сняв флажок Включить Анти-Шпион и нажав кнопку Применить , можно отключить модуль. Анти-Шпион состоит из трех компонентов:
Анти-Фишинг – защищает от фишинг-атак, отслеживая попытки открытия известных фишинг-сайтов: в состав Kaspersky Internet Security включена информация обо всех известных в настоящее время сайтах, которые используются для проведения такого рода атак; при обновлении сигнатур угроз этот список также обновляется;
Анти-Дозвон – блокирует попытку установки модемных соединений с платными ресурсами Интернета;
Предотвращение передачи конфиденциальных данных – распознает и предупреждает пользователя (в настройках по умолчанию) о попытке передачи конфиденциальных данных или попытке получения доступа к персональным данным или паролям.
Аналогично для модуля Анти-Дозвон : если вы хотите разрешать соединения по определенным номерам без запроса программы, добавьте их в список доверенных номеров. Для этого нажмите кнопку Доверенные номера и введите телефонный номер или шаблон. Чтобы временно убрать номер из списка, снимите соответствующий флажок, а если номер необходимо удалить совсем, выберите его с помощью кнопки мыши и нажмите кнопку Удалить .
Настройка модуля Анти-Спам
Удобно, что в поставке Kaspersky Internet Security содержится комплекс приложений, необходимых для полноценной защиты системы. Зарегистрировав почтовый ящик, вы вскоре обнаружите в нем письма, не предназначенные лично вам, для чего полезно наличие модуля Анти-Спам , который умеет обнаруживать такие послания.
Выбрав модуль Анти-Спам в главном окне программы, вы сможете получить информацию о статусе его работы и статистику проверенных с момента запуска сообщений и сообщений, распознанных как спам. Щелкнув на любом месте области Открыть отчет , можно получить более детальную информацию. Нажатие кнопки Настройка приведет к окну настройки работы модуля (рис. 5.9).
Рис. 5.9. Окно настройки модуля Анти-Спам
Все электронные сообщения, которые модуль распознал как спам , помечаются в поле Тема меткой [!! SPAM] . Сообщения, вероятно, являющиеся потенциальным спамом , помечаются как [?? Probable Spam] . Больше никаких операций Анти-Спам не производит и письма самостоятельно не удаляет, даже если они однозначно классифицированы как спам.
По умолчанию защита от спама включена. Чтобы ее отключить, снимите флажок Включить Анти-Спам , а если защиту нужно временно приостановить, воспользуйтесь кнопками в главном окне программы. Для удобства в приложении введены уровни агрессивности работы модуля – нужный уровень выбирается с помощью ползунка, расположенного в одноименной области окна настройки.
Возможен следующий выбор:
Разрешать все – самый низкий уровень контроля: спамом признается только почта, которая содержит строки из «черного» списка фраз или отправитель которой включен в «черный» список;
Низкий – более строгий уровень, в котором производится полный анализ, но уровень реакции механизмов анализа поступающих писем установлен ниже обычного, поэтому вероятность прохождения спама выше, хотя потери меньшие; рекомендуется использовать, если вы получаете много полезных писем, ошибочно принимаемых за спам;
Высокий – уровень с более строгими порогами срабатывания механизмов определения, поэтому в спам могут попасть письма, таковым не являющиеся; письма анализируются на основании «белого» и «черного» списков и с применением современных технологий фильтрации; рекомендуется, когда адрес получателя неизвестен спамерам;
Блокировать все – самый высокий уровень: только письма из «белого» списка будут проходить беспрепятственно, остальные будут помечаться как спам.
Можно указать параметры определения спама самостоятельно. Для этого нажмите кнопку Настройка в области Уровень агрессивности . В появившемся окне находятся четыре вкладки. Вкладки «Белый» список и «Черный» список схожи по настройкам, только прописанные в них параметры будут вызывать различную реакцию Анти-Спама . Все, что занесено в «Белый» список , однозначно будет относиться к нормальной почте, а то, что будет в «Черном» списке , укажет на спам. Каждая вкладка разделена на два блока. В верхней части записываются адреса электронной почты, внизу – ключевые фразы. Адреса электронной почты могут заполняться вручную или при обучении модуля Анти-Спам . Чтобы вручную задать электронный адрес, письма с которого не будут рассматриваться как спам, перейдите на вкладку «Белый» список и установите флажок Я хочу получать письма от следующих отправителей , затем нажмите Добавить и в появившемся поле введите адрес. Можно вводить полный электронный адрес, к примеру [email protected] , а можно использовать шаблоны. Например, шаблон *@mail.ru укажет Анти-Спаму , что все письма, пришедшие с сервера mail.ru , подпадают под правило.
Чтобы добавить строку, на основании которой письмо будет расценено как полезное, установите флажок Я хочу получать письма, содержащие следующие фразы , нажмите кнопку Добавить и введите фразу или шаблон. Можете договориться с друзьями, чтобы они всегда подписывали письма какой-либо фразой, которая занесена в «Белый» список , тогда письма, пришедшие от них, не попадут в спам.
Аналогично заполняются почтовые адреса и фразы на вкладке «Черный» список . Установите флажок Я не хочу получать письма от следующих отправителей для активизации фильтра по почтовому адресу. Для включения фильтрации по ключевым словам предназначен флажок Я не хочу получать письма, содержащие следующие фразы .
При занесении ключевой фразы требуется дополнительно указать соответствующий ей весовой коэффициент . Самому подобрать коэффициент сложно, если вы сомневаетесь, укажите значение 50 или воспользуйтесь имеющимися правилами как подсказкой. Письмо будет отнесено к спаму, если его суммарный коэффициент превысит определенное число. В отличие от «белого» списка, в «черный» разработчики занесли фразы, наиболее часто употребляемые спамерами.
Для распознавания спама модуль Анти-Спам использует различные технологии, которые можно включить и отключить на вкладке Распознавание спама (рис. 5.10).
Рис. 5.10. Настройка технологий фильтрации спама
В области Фильтры указывается, какие технологии задействовать для обнаружения спама:
Самообучающийся алгоритм iBayes – анализ текста почтового сообщения на предмет наличия фраз, относящихся к спаму;
Технология GSG – анализ изображений, помещенных в письмо: на основании сопоставления с уникальными графическими сигнатурами делается вывод о принадлежности изображения к графическому спаму;
Технология PDB – анализ заголовков: на основании набора эвристических правил делается предположение о принадлежности письма к спаму;
Технология Recent Terms – анализ текста сообщения на наличие фраз, типичных для спама; в качестве эталона используются базы, подготовленные специалистами «Лаборатории Касперского».
В областях Фактор спама и Фактор потенциального спама указывается коэффициент, при превышении которого письмо будет расценено как спам или потенциальный спам. По умолчанию выбраны оптимальные значения; используя ползунок, можно самостоятельно выставить необходимый уровень. Поэкспериментировав, вы найдете приемлемые параметры.
Вкладка Дополнительно позволяет указать дополнительные критерии, по которым будет определяться спам (неправильные параметры сообщения, наличие некоторых типов html-вставок и пр.). Необходимо установить соответствующий флажок и задать фактор спама в процентах. По умолчанию фактор спама во всех критериях равен 80 %, а письмо будет признано как спам, если сумма всех критериев будет равна 100 %. Если хотите, чтобы все письма, которые вам не адресованы, считались спамом, установите флажок Адресованные не мне , после чего нажмите кнопку Мои адреса , затем Добавить и введите все используемые вами почтовые адреса. Теперь при анализе нового сообщения будет проверен адрес получателя, и если адрес не совпадет ни с одним адресом списка, сообщению будет присвоен статус спама. Когда вы вернетесь в главное окно настроек Анти-Спама , в нем будет задан уровень агрессивности Пользовательский .
Обучение Анти-Спам
Чтобы повысить эффективность модуля Анти-Спам , необходимо обучить его, указывая, какие письма являются спамом, а какие – обычной корреспонденцией. Для обучения используется несколько подходов. Например, чтобы адреса корреспондентов, с которыми вы общаетесь, автоматически заносились в «белый» список, нужно установить флажок Обучаться на исходящих письмах (он расположен в поле Обучение окна настройки модуля Анти-Спам ). Для обучения будут использованы только первые 50 писем, затем обучение завершится. По окончании обучения следует уточнить «белый» список адресов, чтобы убедиться, что в нем находятся нужные записи.
В области Обучение расположена кнопка Мастер обучения . Нажав ее, вы в пошаговом режиме сможете обучить Анти-Спам , указывая папки почтового клиента, содержащие спам и обычные письма. Такое обучение рекомендуется произвести в самом начале работы. После вызова мастера обучения нужно пройти четыре шага.
1. Определение папок, содержащих полезную корреспонденцию.
2. Указание папок, в которых находится спам.
3. Автоматическое обучение Анти-Спам . Почтовые адреса отправителей полезной почты заносятся в «белый» список.
4. Сохранение результата работы мастера обучения. Здесь можно добавить результаты работы к старой базе либо заменить ее новой.
В целях экономии времени мастер обучает Анти-Спам только на 50 письмах в каждой папке. Чтобы алгоритм Байеса, используемый для распознавания спама, работал правильно, следует произвести обучение как минимум на 50 письмах полезной почты и 50 письмах спама.
У пользователя не всегда может быть столько писем, но это не проблема. Обучить Анти-Спам можно в процессе работы. Возможны два варианта обучения:
С использованием почтового клиента;
С использованием отчетов Анти-Спам .
Во время установки модуль Анти-Спам встраивается в следующие почтовые клиенты:
Microsoft Office Outlook – на панели появляются кнопки Спам и Не Спам , а в окне, вызываемом командой меню Сервис > Параметры , вкладка Анти-Спам ;
Microsoft Outlook Express – в окне появляются кнопки Спам и Не Спам и кнопка Настройка ;
The Bat! – новые компоненты не появляются, но Анти-Спам реагирует на выбор пунктов Пометить как спам и Пометить как НЕ спам в меню Специальное .
Обучение с использованием отчетов просто. Выберите модуль Анти-Спам в главном окне программы и щелкните на области Открыть отчет . Заголовки всех писем отображаются на вкладке События открывшегося окна. Выделите с помощью кнопки мыши письмо, которое будет использовано для обучения Анти-Спама , нажмите кнопку Действия и выберите один из четырех вариантов: Отметить как спам , Отметить как не спам , Добавить в «белый» список или Добавить в «черный» список . После этого Анти-Спам будет обучаться. Обратите внимание, что при нехватке записей в базе данных в заголовке этого окна отобразится надпись, говорящая, сколько еще писем требуется для обучения модуля.
Если в окне настроек Анти-Спама установлен флажок Открывать Диспетчер писем при получении почты , вы получаете еще одну возможность регулирования поступающей почты. При соединении с почтовым сервером будет открываться Диспетчер писем , который позволяет просмотреть список сообщений на сервере без их загрузки на компьютер (рис. 5.11).
Рис. 5.11. Диспетчер писем
Здесь отображается информация, необходимая для принятия решения: отправитель, получатель, тема и размер сообщения. В столбце Причина может показываться комментарий модуля Анти-Спам .
По умолчанию Анти-Спам анализирует проходящие письма вне зависимости от установленного почтового клиента. Если в качестве последнего используется один из почтовых клиентов, перечисленных выше, такая двойная работа излишняя, поэтому стоит снять флажок Обрабатывать трафик POP3/SMTP/IMAP , который находится в области Встраивание в систему . Установите его, только если используете отличную от перечисленных почтовую программу. Если интеграция с указанными почтовыми клиентами не требуется, снимите флажок Включить поддержку Microsoft Office Outlook/The Bat! .
Отказавшись от приема ненужных или подозрительных сообщений, можно не только сэкономить трафик, но и снизить вероятность загрузки на компьютер спама и вирусов. При выборе сообщения внизу отобразится его заголовок, содержащий дополнительную информацию об отправителе письма. Для удаления ненужного сообщения установите флажок напротив письма в столбце Удалить и нажмите кнопку Удалить выбранные . Если вы хотите, чтобы Диспетчер показывал только новые сообщения на сервере, проследите, чтобы был установлен флажок Показывать только новые сообщения .
5.3. Общественная система безопасности Prevx1
У большинства сегодняшних систем защиты компьютера имеются недостатки. Главным из них является то, что они не могут защитить систему от новых видов атак или вирусов, не занесенных в базы.
Примечание
В специальной литературе для обозначения новых неизвестных видов атак часто используется термин zero-day (0-day) attack.
На обучение проактивных систем уходит некоторое время, в течение которого решение о допуске программы принимает пользователь. Подобные системы сегодня задают все меньше вопросов, однако от пользователя требуется некий уровень понимания происходящего в системе – хотя бы такой, чтобы появление нового процесса вызывало подозрение. Созданные профили будут известны только на одном компьютере, поэтому в случае атаки на другую машину обучение придется повторять сначала. Вероятность возникновения ошибки велика, особенно учитывая характерный для проактивных систем высокий процент ошибок.
Создателям общественной системы предотвращения атак (Community Intrusion Prevention System, CIPS) Prevx (http://www.prevx.com/ ), английской компании Prevx Limited, удалось найти золотую середину. Эта система только набирает популярность, однако оригинальность решения и эффективность делают ее достойной рассмотрения.
Принцип работы
Впервые прототип нового типа системы отражения атак был представлен общественности в феврале 2004 года и назывался Prevx Home . Уникального в представленной системе было много. В отличие от антивирусных систем, использующих для определения злонамеренных файлов сигнатуры, или некоторых систем, работающих со списком разрешенных приложений, в новой системе применялись правила, которые описывали поведение и средства контроля целостности программ. Причем в список попадали как заведомо хорошие, так и плохие программы, что позволяло быстро определить характер нового приложения или процесса на компьютере. Однако не это главное.
В системе используется единая база данных Community Watch. Она является наиболее мощным источником информации, определяющим существование, распространение и деятельность как благоприятного, так и злонамеренного программного обеспечения. Используя информацию, собранную в этой базе данных, можно проследить и проанализировать в реальном времени поведение и распространение обществом каждой программы. На каждом клиентском компьютере устанавливаются агенты безопасности , которые отслеживают ситуацию в защищаемой системе. При установке нового приложения либо появлении нового, неизвестного локальной базе процесса агент по Интернету отсылает запрос к центральной базе и на основании полученной информации делает вывод о ее благонадежности.
Если в центральной базе данных нет информации о новой программе, новый модуль заносится в нее и помечается как неизвестный, и пользователь предупреждается о возможном риске. В отличие от антивирусов, требующих некоторого времени для анализа специалистами, Community Watch в большинстве случаев способна самостоятельно определить характер программы, основываясь на поведенческих характеристиках. Для этого используется методика Four Axes of Evil, которая определяет характер программы по четырем составляющим: скрытность, поведение, происхождение и распространение. В результате создается ее описание, содержащее приблизительно 120 параметров, позволяющих однозначно идентифицировать эту программу в будущем, то есть если неизвестная базе утилита выполняет те же действия, что и известная зловредная программа, ее назначение очевидно. Если данных, собранных агентом, недостаточно для принятия однозначного решения, база данных может потребовать копию программы для проверки. По заявлению разработчиков, только небольшой процент случаев требует особого вмешательства специалистов.
При первом запуске база данных содержала информацию о миллионе событий, а через 20 месяцев в ней уже была информация о миллиарде. Такой принцип работы позволяет устранить ложные срабатывания, поэтому неудивительно, что вскоре появилась программа нового поколения – Prevx1, тестирование которой началось с 16 июля 2005 года. Результат превзошел все ожидания: 100 тыс. разбросанных по всему миру компьютеров с установленными на них Prevx1 оказались способными противостоять новым угрозам в реальном времени.
Сегодня оптимизированная база данных содержит более 10 млн уникальных событий и 220 тыс. вредных объектов. Ежедневно система автоматически обнаруживает и нейтрализует свыше 400 вредных приложений и около 10 тыс. программ различного назначения. Антивирусам не угнаться за такой производительностью. По статистике, приведенной на сайте, новый пользователь, подключившийся к Prevx1, в 19 % случаев находит у себя в системе вредоносные программы. Prevx1 может использоваться автономно, самостоятельно защищая компьютер, и совместно с другими продуктами, усиливающими ее действие: брандмауэром, антивирусом и программами для поиска шпионских модулей.
Работа с Prevx CSI
Для установки Prevx потребуется компьютер, имеющий не менее 256 Мбайт оперативной памяти и процессор с частотой 600 Мгц, работающий под управлением Windows 2000/XP/2003 и Vista. Это минимальные требования, для комфортной работы желательно использовать более современное оборудование.
Существует несколько вариантов продукта, каждый из которых имеет свои особенности, рассчитанные на конкретные условия применения, и соответствующую стоимость. Доступна также бесплатная версия продукта Prevx Computer Security Investigator (CSI), получить которую можно по адресу http://free.prevx.com/ .
Разработчики поступили просто: наличие бесплатной версии привлекает к проекту новых пользователей, которые добавляют свои сигнатуры в базу данных сообщества и тестируют на своем оборудовании непроверенное программное обеспечение. Версию Free можно установить обычным образом на жесткий диск или на USB-устройство хранения информации. Единственное ограничение этой версии – невозможность удаления найденных вредоносных файлов (производится только проверка компьютера). Зато ее можно производить любое количество раз для подстраховки, запуская вручную или по расписанию, и в случае обнаружения проблем принимать меры с помощью других утилит, описанных в данной книге.
Установка Prevx1 не вызывает сложностей, но для верификации требуется подключение к Интернету. Запустите исполняемый файл, подтвердите согласие с лицензией, установив флажок и нажав кнопку Continue (Продолжить). Начнется сканирование системной области, по окончании которого будет выведен результат (рис. 5.12).
Рис. 5.12. Консоль управления Prevx CSI
Обратите внимание на сообщение после System Status . Если значок напротив окрашен в зеленый цвет и подписан Clean , это означает, что на компьютере не обнаружено вредоносных программ. Если значок красный и подпись Infected – на компьютере найдены вредоносные программы и следует принять меры. Если на компьютере будет обнаружена неизвестная программа, значок окрасится в желтый предупреждающий цвет, в этом случае пользователь должен быть внимателен, так как это может быть вредоносная программа.
Prevx должен обновлять локальную базу по мере необходимости, если соединение производится через прокси-сервер, его настройки следует указать на вкладке Configure в поле Activate Proxy Support . Автоматическую проверку системы можно установить на вкладке Scheduler . Установите флажок Scan my system every и с помощью раскрывающихся списков, расположенных справа, укажите периодичность и время проверки. Можно выбрать ежедневную проверку (Day ) или указать на один из дней недели. Чтобы проверка производилась, если компьютер был выключен, установите флажок If my computer is not powered is on at the scheduled time . Для проверки компьютера после загрузки системы установите Scan automatically on bootup .
Порядок действий при обнаружении сетевых атак.
1. Классификация сетевых атак
1.1. Снифферы пакетов
Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки ). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен.
1.2. IP-спуфинг
IP-спуфинг происходит, когда хакер, находящийся внутри системы или вне ее выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример — атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.
Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения.
Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.
1.3. Отказ в обслуживании (Denial of Service — DoS )
DoS является наиболее известной формой хакерских атак. Против атак такого типа труднее всего создать стопроцентную защиту.
Наиболее известные разновидности DoS:
- TCP SYN Flood Ping of Death Tribe Flood Network (TFN );
- Tribe Flood Network 2000 (TFN2K );
- Trinco;
- Stacheldracht;
- Trinity.
Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.
В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер ) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol ). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже невозможно, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, атака является распределенной DoS (DDoS — distributed DoS ).
1.4. Парольные атаки
Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack ), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и снифинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack ). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу ). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя «проход» для будущего доступа, который будет действовать даже если пользователь изменит свой пароль и логин.
Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший ) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.
1.5. Атаки типа Man-in-the-Middle
Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
1.6. Атаки на уровне приложений
Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании слабостей серверного программного обеспечения (sendmail, HTTP, FTP ). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа ). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей ). Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.
1.7. Сетевая разведка
Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep ) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.
1.8. Злоупотребление доверием
Этот тип действий не является «атакой» или «штурмом» . Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы, хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.
1.9. Переадресация портов
Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Примером приложения, которое может предоставить такой доступ, является netcat.
1.10. Несанкционированный доступ
Несанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атак проводятся ради получения несанкционированного доступа. Чтобы подобрать логин telnet, хакер должен сначала получить подсказку telnet на своей системе. После подключения к порту telnet на экране появляется сообщение «authorization required to use this resource» (для пользования этим ресурсов нужна авторизация ). Если после этого хакер продолжит попытки доступа, они будут считаться «несанкционированными» . Источник таких атак может находиться как внутри сети, так и снаружи.
1.11. Вирусы и приложения типа «троянский конь»
Рабочие станции клиентов очень уязвимы для вирусов и троянских коней. «Троянский конь» — это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль.
2. Методы противодействия сетевым атакам
2.1. Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:
2.1.1. Аутентификация - Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под «сильным» мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP — One-Time Passwords ). ОТР — это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Под «карточкой» (token ) понимается аппаратное или программное средство, генерирующее (по случайному принципу ) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей.
2.1.2. Коммутируемая инфраструктура - Еще одним способом борьбы со сниффингом пакетов в сетевой среде является создание коммутируемой инфраструктуры, при этом хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктуры не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
2.1.3. Анти-снифферы - Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые «анти-снифферы» измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать «лишний» трафик.
2.1.4. Криптография - Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов).
2.2. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:
2.2.1. Контроль доступа - Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, контроль доступа настраивается на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.
2.2.2. Фильтрация RFC 2827 - пресечение попытки спуфинга чужих сетей пользователями корпоративной сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов Банка. Этот тип фильтрации, известный под названием «RFC 2827», может выполнять и провайдер (ISP ). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе.
2.2.3. Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
2.3. Угроза атак типа DoS может снижаться следующими способами:
2.3.1. Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
2.3.2. Функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции ограничивают число полуоткрытых каналов в любой момент времени.
2.3.3. Ограничение объема трафика (traffic rate limiting ) – договор с провайдером (ISP ) об ограничении объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D ) DoS часто используют ICMP.
2.3.4. Блокирование IP адресов – после анализа DoS атаки и выявления диапазона IP адресов, с которых осуществляется атака, обратиться к провайдеру для их блокировки.
2.4. Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. Не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.
При использовании обычных паролей, необходимо придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д. ). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать пароли на бумаге.
2.5. Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что, если хакер получит информацию о криптографической сессии (например, ключ сессии ), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.
2.6. Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернете все новые уязвимые места прикладных программ. Самое главное — хорошее системное администрирование.
Меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:
- чтение и/или анализ лог-файлов операционных систем и сетевые лог-файлов с помощью специальных аналитических приложений;
- своевременное обновление версий операционных систем и приложений и установка последних коррекционных модулей (патчей );
- использование систем распознавания атак (IDS ).
2.7. Полностью избавиться от сетевой разведки невозможно. Если отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто этой займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP ), в сети которого установлена система, проявляющая чрезмерное любопытство.
2.8. Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.
2.9. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. п. 2.8 ). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS ).
2.10. Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.
2.11. Борьба с вирусами и «троянскими конями» ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и на уровне сети. Антивирусные средства обнаруживают большинство вирусов и «троянских коней» и пресекают их распространение.
3. Алгоритм действий при обнаружении сетевых атак
3.1. Большая часть сетевых атак блокируется автоматически установленными средствами защиты информации (межсетевые экраны, средства доверенной загрузки, сетевые маршрутизаторы, антивирусные средства и т.п. ).
3.2. К атакам, требующим вмешательства персонала для их блокировки или снижения тяжести последствий относятся атаки типа DoS.
3.2.1. Выявление DoS атаки осуществляется путем анализа сетевого трафика. Начало атаки характеризуется «забиванием » каналов связи с помощью ресурсоемких пакетов с поддельными адресами. Подобная атака на сайт интернет-банкинга усложняет доступ легитимных пользователей и веб-ресурс может стать недоступным.
3.2.2. В случае выявления атаки системный администратор выполняет следующие действия:
- осуществляет ручное переключение маршрутизатора на резервный канал и обратно с целью выявления менее загруженного канала (канала с более широкой пропускной способностью);
- выявляет диапазон IP – адресов, с которых осуществляется атака;
- отправляет провайдеру заявку на блокировку IP адресов из указанного диапазона.
3.3. DoS атака, как правило, используется для маскировки успешно проведенной атаки на ресурсы клиента с целью затруднить ее обнаружение. Поэтому при выявлении DoS атаки необходимо провести анализ последних транзакций с целью выявления необычных операций, осуществить (при возможности) их блокировку, связаться с клиентами по альтернативному каналу для подтверждения проведенных транзакций.
3.4. В случае получения от клиента информации о несанкционированных действиях осуществляется фиксация всех имеющихся доказательств, проводится внутреннее расследование и подается заявление в правоохранительные органы.
Скачать ZIP файл (24151)
Пригодились документы - поставь «лайк»:
