Zaštita od mrežnih napada

Mrežni napad je radnja kibernetičkog kriminalca koja ima za cilj stjecanje kontrole nad određenu mrežu dodjeljivanjem administrativnih prava. Konačni cilj hakera je destabilizirati stranice i poslužitelje, onesposobiti ih i dobiti osobne podatke svakog korisnika mreže.

Mrežni napadi i metode obrane

Danas kibernetički kriminalci koriste sljedeće vrste napada:

• bombardiranje poštom;
• prekoračenje međuspremnika;
• posebne aplikacije;
• mrežna inteligencija;
• IP spoofing;
• Čovjek-u-sredini;
• XSS napad;
• DDOS napad;
• phishing itd.

Svaki od ovih napada na lokalnu mrežu je specifičan. Sukladno tome, administratori koriste raznim sredstvima zaštita od mrežnih napada.

Primjerice, bit Mailbombera je masovno slanje pisama na e-mail adresu žrtve. Kao rezultat toga, kriminalac izaziva kvar poštanskog sandučića ili cijelog poslužitelja pošte. Za zaštitu od ove vrste napada IT stručnjaci koriste posebno konfigurirani poslužitelj. Ako aplikacija “vidi” da s određene adrese dolazi previše pisama (iznad postavljenog limita), automatski šalje sva pisma u smeće.

Vrlo često napadači koriste metodu koja se zove prelijevanje međuspremnika. Zahvaljujući prisutnosti specifičnih mrežnih i softverskih ranjivosti, oni mogu provocirati kršenje granica RAM memorija, prijevremeno gašenje prilagođena aplikacija ili obavljanje bilo koje binarni kod. Sukladno tome, zaštita od mrežnih napada sastoji se od pronalaženja i uklanjanja ranjivosti.

Najčešća metoda napada na lokalne mreže je korištenje posebnog softvera. Ovaj računalni virusi, trojanski konji, snifferi i rootkiti. Virus je određeni softver koji je ugrađen u drugi (često potpuno legalan) program i izvodi određenu radnju na računalu korisnika. Na primjer, šifrira datoteke, registrira se u BIOS-u, što onemogućuje učitavanje softverske platforme itd. Trojanski konji su aplikacije koje obavljaju određenu funkciju, kao što je krađa zaduženja i kreditne kartice korisnika, dobiti pristup svojim elektroničkim novčanicima. Snifferi presreću pakete podataka koje računalo šalje određenom mjestu. Zahvaljujući tome, kibernetički kriminalac može saznati prijavu i lozinku za internetsko bankarstvo i druge važne informacije.

Za zaštitu podataka na mrežama koriste se antivirusni programi, vatrozidi, enkripcija, anti-snifferi i anti-rootkitovi.

ICS - sveobuhvatna metoda zaštite od mrežnih napada

Naša tvrtka razvija ICS - program za zaštitu od mrežnih napada. ICS integrira DLP modul koji sprječava curenje povjerljivih podataka, detektor napada Suricata i vatrozid za web aplikacije. Osim toga, ako je potrebno, korisnici mogu kupiti Anti-Virus i Anti-Spam od Kaspersky Laba ili Dr.Weba za ICS.

Internet Control Server je sveobuhvatna zaštita za cijelu mrežu i pojedinačno računalo!

Ovaj je aksiom u načelu očigledan: što je zrakoplov pristupačniji, praktičniji, brži i multifunkcionalniji, to je manje siguran. Može se navesti puno primjera. Na primjer, DNS servis: zgodan, ali opasan.

7.6 Metode zaštite od daljinski napadi na internetu

7.6.1 Administrativne metode zaštite od daljinskih napada

Da biste zaštitili sustav od raznih vrsta daljinskih utjecaja, najispravniji korak u tom smjeru bio bi pozvati stručnjaka sigurnost informacija, koji će zajedno sa sistemskim administratorom sustava pokušati riješiti cijeli niz problema kako bi se osigurala potrebna razina sigurnosti distribuiranog zrakoplova. Ovo je prilično složen kompleksan zadatak, za čije je rješenje potrebno utvrditi što (popis kontroliranih objekata i resursa RVS), od čega (analiza mogućih prijetnji ovom RVS) i kako (razvijanje zahtjeva, definiranje sigurnosnu politiku i razvoj administrativnih i hardversko-softverskih mjera kako bi se u praksi osigurala razvijena sigurnosna politika).

Najjednostavnije i najjeftinije su administrativne metode zaštite od informacijsko destruktivnih utjecaja. Sljedeći paragrafi govore o mogućim administrativnim metodama zaštite od gore opisanih daljinskih napada na internetska računala (općenito, na IP mreži).

Zaštita od analize mrežni promet

Ova vrsta napada omogućuje krekeru da presretne sve informacije koje se razmjenjuju između udaljenih korisnika programskim slušanjem kanala prijenosa poruka na mreži ako se kanalom prenose samo nekriptirane poruke. Također je pokazano da osnovni aplikacijski protokoli daljinski pristup TELNET i FTP ne pružaju osnovnu kriptografsku zaštitu čak ni korisničkih identifikatora (imena) i autentifikatora (lozinki) koji se prenose preko mreže. Stoga se mrežnim administratorima očito može savjetovati da ne dopuste njihovu upotrebu osnovni protokoli pružiti daljinski ovlašteni pristup resursima svojih sustava i smatraju analizu mrežnog prometa stalno prisutnom prijetnjom koja se ne može eliminirati, ali se njezina implementacija može suštinski obesmisliti korištenjem jakih kriptografskih algoritama za zaštitu IP protoka.

Zaštita od lažnih predmeta

Korištenje DNS usluge na Internetu u njenom trenutnom obliku može omogućiti krekeru da dobije globalnu kontrolu nad vezama nametanjem lažne rute kroz host krekera - lažni DNS poslužitelj. Ovaj udaljeni napad, temeljen na potencijalnim ranjivostima DNS servisa, mogao bi dovesti do katastrofalnih posljedica za ogroman broj korisnika interneta i uzrokovati masovno narušavanje informacijske sigurnosti ove globalne mreže.

Ne postoji administrativna ili programska obrana od napada na postojeću verziju DNS usluge. Najbolje rješenje sa sigurnosne točke gledišta bilo bi da uopće ne koristite DNS uslugu na svom sigurnom segmentu! Naravno, potpuno odustajanje od korištenja imena pri pristupu hostovima bit će vrlo nezgodno za korisnike. Stoga možemo predložiti sljedeće kompromisno rješenje: koristiti imena, ali napustiti mehanizam daljinskog DNS traženja. Ovo je povratak na dizajn prije DNS-a s namjenskim DNS poslužiteljima. Zatim je na svakom stroju na mreži postojala datoteka hosts, koja je sadržavala informacije o odgovarajućim imenima i IP adresama svih hostova na mreži. Očito je da danas administrator u takvu datoteku može unijeti podatke samo o mrežnim poslužiteljima koje korisnici određenog segmenta najčešće posjećuju. Stoga je korištenje ovog rješenja u praksi iznimno teško i, naizgled, nerealno (što bismo, na primjer, trebali učiniti s preglednicima koji koriste URL-ove s imenima?).

Kako biste otežali ovaj udaljeni napad, možete predložiti administratorima da umjesto toga koriste DNS za uslugu UDP protokol, koji je instaliran prema zadanim postavkama, TCP protokol (iako je iz dokumentacije daleko od očitog kako ga promijeniti). To će znatno otežati napadaču slanje lažnog DNS odgovora hostu bez primanja DNS zahtjeva.

Zaštita od uskraćivanja usluge

Kao što je već više puta navedeno, nema i ne može biti prihvatljivih metoda zaštite od odbijanja usluge u postojećem internetskom standardu IPv4. To je zbog činjenice da je u ovom standardu nemoguće kontrolirati rutu poruka. Stoga je nemoguće osigurati pouzdanu kontrolu nad mrežnim vezama, budući da jedan subjekt mrežne interakcije ima priliku zauzeti neograničen broj komunikacijskih kanala s udaljenim objektom i pritom ostati anoniman. Zbog toga se bilo koji poslužitelj na internetu može potpuno paralizirati korištenjem udaljenog napada uskraćivanjem usluge.

Jedina stvar koja se može predložiti za povećanje pouzdanosti sustava podložnog određenom napadu je korištenje što većeg broja moćna računala. Kako veći broj i radne frekvencije procesora, što je veća količina RAM-a, to će rad mrežnog OS-a biti pouzdaniji kada ga pogodi usmjerena “oluja” lažnih zahtjeva za stvaranje veze. Osim toga, morate koristiti operativne sustave koji odgovaraju vašoj računalnoj snazi ​​s internim redom koji može primiti veliki broj zahtjeva za povezivanje. Uostalom, ako, na primjer, instalirate operativni sustav Linux ili Windows NT na superračunalo, gdje je duljina reda čekanja za istovremeno obrađene zahtjeve oko 10, a vrijeme čekanja za brisanje čekanja nekoliko minuta, tada, unatoč svoj računskoj snazi računalo, OS će biti potpuno paraliziran u napadu.

Opći zaključak za suzbijanje ovog napada u postojećem IPv4 standardu je sljedeći: samo se opustite i nadajte se da nikome niste zanimljivi ili kupite superračunalo s odgovarajućim mrežnim OS-om.

7.6.2. Programske i hardverske metode zaštite od daljinskih napada na Internetu

Programska i hardverska oprema za osiguranje informacijske sigurnosti komunikacija u računalnim mrežama uključuje:

Hardverski uređaji za šifriranje mrežnog prometa;

Firewall tehnika, implementirana na bazi softvera i hardvera;

Sigurni mrežni kripto protokoli;

Softverski i hardverski analizatori mrežnog prometa;

Sigurni mrežni operativni sustavi.

Ogromna je literatura posvećena ovim sigurnosnim alatima namijenjenim korištenju na Internetu (u zadnje dvije godine članci o ovoj temi mogu se pronaći u gotovo svakom broju računalnog časopisa).

7.6.2.1 Vatrozidna tehnika kao glavno softversko i hardversko sredstvo implementacije mrežne sigurnosne politike u namjenskom segmentu IP mreže

Vatrozid treba promatrati kao neovisnu (i temeljno važnu) sigurnosnu uslugu. Mrežne implementacije ove usluge, nazvane vatrozidi (predloženi prijevod engleskog izraza firewall), vrlo su raširene; formirana je terminologija i formirana je klasifikacija mehanizama.

Formalna formulacija problema probira je sljedeća. Neka postoje dva skupa informacijskih sustava. Zaslon je sredstvo za ograničavanje pristupa klijentima iz jednog skupa

veze s poslužiteljima iz drugog skupa. Zaslon obavlja svoje funkcije kontrolirajući sve protoke informacija između dva skupa sustava.

U najjednostavnijem slučaju, zaslon se sastoji od dva mehanizma, od kojih jedan ograničava kretanje podataka, a drugi, naprotiv, olakšava (to jest, pomiče podatke). U općenitijem slučaju, prikladno je zamisliti zaslon (polupropusnu ljusku) kao niz filtara. Svaki od njih može odgoditi (ne propustiti) podatke, ili ih može odmah "baciti" "na drugu stranu". Osim toga, moguće je prenijeti dio podataka u sljedeći filter za nastavak analize ili obraditi podatke u ime primatelja i vratiti rezultat pošiljatelju.

Osim funkcija kontrole pristupa, zasloni također pružaju sječa razmjene informacija. Obično zaslon nije simetričan; za njega su definirani koncepti "unutra".

i "izvan". U ovom slučaju, zadatak zaštite je formuliran kao zaštita unutarnjeg područja od potencijalno neprijateljskog vanjskog. Stoga se vatrozidi instaliraju kako bi zaštitili lokalnu mrežu organizacije koja ima pristup otvorenom okruženju poput Interneta. Drugi primjer zaslona je sigurnosni uređaj porta, koji kontrolira pristup komunikacijskom portu računala prije i neovisno o svim drugim sigurnosnim kontrolama sustava.

Oklop dopušta održavati dostupnost usluge unutarnje područje, smanjujući ili čak eliminirajući opterećenje izazvano vanjskim djelovanjem. Ranjivost internih sigurnosnih usluga je smanjena, budući da u početku napadač treće strane mora nadvladati zaslon gdje su zaštitni mehanizmi konfigurirani posebno pažljivo i čvrsto. Osim toga, sustav oklopa, za razliku od univerzalnog, može se projektirati na jednostavniji, a time i sigurniji način. Zaštita također omogućuje kontrolu protoka informacija usmjerenih na vanjsko područje, što pomaže u održavanju povjerljivosti.

Važan koncept u zaštiti je zona rizika, koja se definira kao skup sustava koji postaju dostupni napadaču nakon probijanja štita ili bilo koje njegove komponente. U pravilu, kako bi se povećala pouzdanost zaštite, zaslon se implementira kao skup elemenata, tako da "hakiranje" jednog od njih još ne otvara pristup cijeloj internoj mreži.

Dakle, vatrozid, kako sa stajališta kombinacije s drugim sigurnosnim servisima, tako i sa stajališta interne organizacije, koristi ideju višerazinske zaštite, zbog koje se interna mreža pojavljuje u zoni rizika samo ako napadač svladava nekoliko, nimalo različito organiziranih zaštitnih linija.

Općenito, tehnika vatrozida implementira sljedeće tri glavne funkcije:

1. Višerazinsko filtriranje mrežnog prometa

Filtriranje se obično vrši na tri OSI sloja:

Mreža (IP); transport (TCP, UDP);

aplikacije (FTP, TELNET, HTTP, SMTP, itd.).

Filtriranje mrežnog prometa glavna je funkcija sustava vatrozida i omogućuje administratoru mrežne sigurnosti da centralno implementira potrebnu politiku mrežne sigurnosti

V namjenski segment IP mreže, odnosno odgovarajućom konfiguracijom Vatrozida možete dopustiti ili zabraniti korisnicima vanjske mreže kako pristup odgovarajućim host servisima ili hostovima koji se nalaze u zaštićenom segmentu, tako i pristup korisnicima iz interne mreže odgovarajućim resursima. vanjske mreže. Može se povući analogija s lokalnim administratorom OS-a, koji, kako bi implementirao sigurnosnu politiku u sustav, dodjeljuje potrebne odgovarajuće odnose između subjekata (korisnika) i objekata sustava (na primjer, datoteka), što omogućuje ograničavanje pristup subjekata sustava njegovim objektima u skladu s pravima pristupa koje odredi administrator. Isto razmišljanje vrijedi i za filtriranje vatrozida:

V djelovat će kao subjekti interakcije IP adrese korisničkih računala, a kao objekti kojima se mora ograničiti pristup - IP adrese računala, korišteni transportni protokoli i usluge daljinskog pristupa.

2. Proxy shema s dodatnom identifikacijom i autentifikacijom korisnika na hostu Vatrozida

Proxy shema omogućuje, prvo, da se prilikom pristupa mrežnom segmentu zaštićenom vatrozidom izvrši dodatna identifikacija i autentifikacija na njemu udaljeni korisnik i drugo, to je osnova za stvaranje privatnih mreža s virtualnim IP adresama. Smisao proxy sheme je stvoriti vezu s krajnjim odredištem preko srednjeg proxy poslužitelja (proxy od engleskog autorized) na hostu Vatrozida. Na ovom proxy poslužitelju moguće je izvršiti dodatnu identifikaciju pretplatnika.

3. Stvaranje privatnih mreža (Private Virtualna mreža- PVN) s "virtualnim" IP adresama (NAT - prijevod mrežne adrese)

Ako administrator mrežne sigurnosti smatra preporučljivim sakriti pravu topologiju svoje interne IP mreže, tada mu se može preporučiti korištenje sustava vatrozida za stvaranje privatne mreže (PVN mreže). Domaćinima u PVN mreži dodijeljene su bilo koje "virtualne" IP adrese. Za adresiranje vanjske mreže (putem Firewalla) potrebno je ili koristiti gore opisane proxy poslužitelje na hostu Firewalla ili koristiti posebne sustave usmjeravanja, samo preko kojih je moguće eksterno adresiranje. To se događa jer virtualna IP adresa koja se koristi u unutarnjoj PVN mreži očito nije prikladna za vanjsko adresiranje (vanjsko adresiranje je obraćanje pretplatnicima koji se nalaze izvan PVN mreže). Stoga proxy poslužitelj ili alat za usmjeravanje mora komunicirati s pretplatnicima iz vanjske mreže sa svoje stvarne IP adrese. Usput, ova je shema prikladna ako vam je dodijeljen nedovoljan broj IP adresa za stvaranje IP mreže (u IPv4 standardu to se događa cijelo vrijeme, tako da za stvaranje pune IP mreže pomoću proxy sheme, samo jedna dodijeljena IP adresa dovoljna je za proxy poslužitelj).

Dakle, svaki uređaj koji implementira barem jednu od ovih funkcija Firewall tehnike je Firewall uređaj. Na primjer, ništa vas ne sprječava da koristite računalo s uobičajenim FreeBSD ili Linux operativnim sustavom kao host vatrozida, čija jezgra OS-a mora biti kompajlirana u skladu s tim. Vatrozid ove vrste omogućit će samo višerazinsko filtriranje IP prometa. Druga stvar je da moćni Firewall kompleksi koji se nude na tržištu, izrađeni na temelju računala ili mini-računala, obično implementiraju sve funkcije Firewall metode i potpuno su funkcionalni Firewall sustavi. Sljedeća slika prikazuje mrežni segment odvojen od vanjske mreže potpuno funkcionalnim hostom vatrozida.

Riža. 7.5. Generalizirani dijagram potpuno funkcionalnog hosta vatrozida.

Međutim, administratori IP mreže, nakon što su podlegli oglašavanju Firewall sustava, ne bi trebali biti u zabludi da je Firewall jamstvo apsolutne zaštite od udaljenih napada na Internetu. Vatrozid nije toliko sigurnosni alat koliko je prilika za središnju implementaciju mrežne politike za ograničavanje udaljenog pristupa dostupnim resursima na vašoj mreži.

Suvremeni zahtjevi za vatrozid

1. Glavni zahtjev je osigurati sigurnost unutarnje (zaštićene) mreže i potpunu kontrolu nad vanjskim vezama i komunikacijskim sesijama.

2. Sigurnosni sustav mora imati moćne i fleksibilne kontrole za laku i potpunu implementaciju sigurnosne politike organizacije.

3. Vatrozid bi trebao raditi neprimjetno za korisnike lokalne mreže i ne bi im otežavao provođenje pravnih radnji.

4. Procesor vatrozida mora biti brz, raditi dovoljno učinkovito i moći obraditi sav dolazni i odlazni promet u vršnim vremenima tako da ne može biti blokiran. veliki iznos poziva i ometati njegov rad.

5. Sam sigurnosni sustav mora biti pouzdano zaštićen od bilo kakvih neovlaštenih utjecaja, budući da je ključ povjerljivih informacija u organizaciji.

6. Sustav za upravljanje zaslonom mora moći centralno provoditi jednoobraznu sigurnosnu politiku za udaljene podružnice.

7. Vatrozid mora imati mogućnost autorizacije pristupa korisnika putem vanjskih veza, što je neophodno kada zaposlenici organizacije rade na službenim putovanjima.

Klasifikacija analiziranih vatrozida

Kao što je poznato, za provođenje komparativne analize potrebno je, prije svega, klasificirati analizirana sredstva. Budući da su vatrozidi usmjereni na zaštitu informacija u otvorene mreže Internet/Intranet tip, osnova pristupa je sedmoslojni ISO/OSI (International Organisation for Standardization) model. U skladu s ovim modelom, ME-ovi su klasificirani prema razini na kojoj se vrši filtriranje: kanal, mreža, transport, sesija ili aplikacija. Stoga možemo govoriti o zaštitnim koncentratorima ( sloj veze), usmjerivače (mrežni sloj), zaštitu prijenosa (transportni sloj), pristupnike sloja sesije (sloj sesije) i aplikacijske štitove (sloj aplikacije).

Treba napomenuti da trenutno, zajedno s jednorazinskim vatrozidima, postaju sve popularniji složeni vatrozidi koji pokrivaju razine od mreže do aplikacije, jer takvi proizvodi kombiniraju najbolja svojstva jednorazinskih vatrozida različitih vrsta. Slika 1 prikazuje strukturu zaštite informacija između dva sustava kada se koristi ISO/OSI referentni model.

Značajke suvremenih vatrozida

Rezultati detaljnije usporedne analize različitih vrsta vatrozida dati su u tablici. 1.

Vrsta vatrozida

Zaštitni usmjerivači (vatrozidi za filtriranje paketa)

Probirni prolaz

Princip rada

Filtriranje paketa provodi se prema IP zaglavlju paketa prema kriteriju: dopušteno je ono što nije izričito zabranjeno. Analizirane informacije su:

- adresa pošiljatelja;

- adresa primatelja;

- informacije o aplikaciji ili protokolu;

- izvorni broj priključka;

- broj priključka primatelja.

Razmjena informacija odvija se preko bastion hosta instaliranog između unutarnje i vanjske mreže, koji donosi odluke o mogućnosti usmjeravanja prometa. Postoje dvije vrste ES-a: sesija i razina aplikacije

· Niska cijena

· Minimalni utjecaj na performanse mreže

· Jednostavna konfiguracija i instalacija

· Transparentnost softvera

· Nema prolaska paketa u slučaju kvarova

· Poboljšani mehanizmi zaštite u usporedbi s EM-om, omogućujući korištenje dodatnih alata za provjeru autentičnosti, softverskih i hardverskih

· Korištenje postupka prevođenja adresa za skrivanje adresa hostova na zatvorenoj mreži

· Ranjivost zaštitnog mehanizma na različite vrste mrežnih napada, kao što su lažiranje adresa izvora paketa, neovlaštena izmjena sadržaja paketa

· Nedostatak podrške za zapisnik događaja i alata za reviziju u brojnim proizvodima

· Korištenje samo moćnih bastion hosts zbog velike količine računanja

· Nedostatak transparentnosti zbog činjenice da ES uvode kašnjenja u proces prijenosa i zahtijevaju postupke provjere autentičnosti od korisnika

Tablica 1 - Značajke vatrozida

Kao što se može vidjeti iz tablice 1, vatrozid je najčešće sredstvo za poboljšanje tradicionalnih načina zaštite od neovlaštenog pristupa i koristi se za osiguranje zaštite podataka prilikom organiziranja međumrežne interakcije. Specifične implementacije ME uvelike ovise o korištenim računalnim platformama, ali ipak svi sustavi ove klase koriste dva mehanizma, od kojih jedan osigurava blokiranje mrežnog prometa, a drugi, naprotiv, omogućuje razmjenu podataka. U isto vrijeme, neke verzije ME-a usmjerene su na blokiranje neželjenog prometa, dok su druge usmjerene na reguliranje dopuštene razmjene između strojeva.

Vatrozid FireWall/Plus dizajniran je za rješavanje tri glavna problema:

Zaštita korporativnih mrežnih resursa od napada s Interneta;

Implementacija sigurnosnih mjera (za namjenski poslužitelj/grupu poslužitelja);

Odvajanje internih mrežnih segmenata za sprječavanje pokušaja neovlaštenog pristupa od strane internog korisnika.

Značajna značajka ovog ME je mogućnost rada s više od 390 protokola različitih razina. Zahvaljujući snažnom ugrađenom jeziku za pisanje filtera, moguće je opisati sve uvjete filtriranja. Ova značajka omogućuje učinkovitije rješavanje problema odvajanja segmenata korporativne mreže koja koristi proizvode koji rade s TCP/IP, IPX i DECNet protokolima. Mehanizam za opisivanje protokola na razini aplikacije omogućuje vam stvaranje specifičnih shema za ograničavanje korisničkog pristupa. FireWall/Plus pruža sigurnost za Web, FTR, URL, ActiveX i Java aplikacije te e-poštu.

Vatrozid FireWall/Plus otkriva i bori se protiv sljedećih napada:

Napadi provjere autentičnosti poslužitelja;

Napadi na protokol prstiju (izvana i iznutra);

Određivanje broja početnog paketa TCP veze;

Nezakonito preusmjeravanje;

Napadi na DNS pristup;

Napadi na FTR autentifikaciju;

Napadi na neovlašteni prijenos datoteka;

Napadi daljinskim ponovnim pokretanjem;

lažiranje IP adresa;

lažiranje MAC adrese;

Napadi na dostupnost (oluja zahtjeva);

Napadi na rezervni port poslužitelja;

Napadi pomoću poslužitelja s udaljenim pristupom;

Napadi na anonimni FTR pristup.

Ovaj broj blokiranih napada prvenstveno je određen činjenicom da FireWall/Plus podržava tri metode prevođenja mrežnih adresa: jedan na jedan; jedan prema mnogima; mnogi mnogima. Ne treba vlastitu IP adresu. Ova značajka ga čini potpuno transparentnim na mreži i gotovo neranjivim na razne napade. Razmotrene mogućnosti vatrozida FireWall/Plus, koji je predstavnik moderne generacije vatrozida, pokazuju koliko se dinamično razvija ovo područje sigurnosnih alata.

Certifikacija vatrozida Trenutno je Državna tehnička komisija Rusije usvojila radni dokument „Računalni alati

tehnologija. Vatrozidi. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama.” Ovaj dokument omogućuje ne samo pojednostavljenje zahtjeva za zaštitu informacija za vatrozide, već i usporedbu zaštitnih svojstava proizvoda ove vrste.

Uzimajući u obzir izglede u području certificiranja sredstava informacijske sigurnosti, pod vodstvom Državne tehničke komisije Rusije, Centar za informacijsku sigurnost (Yubileiny, Moskovska regija) organizirao je razvoj standardne metodologije za provođenje certifikacijskih testova vatrozida . Ova tehnika je ispitana u nizu laboratorija akreditiranih u sustavu certificiranja Državne tehničke komisije Rusije. Trenutno uključeno rusko tržište već su se pojavili certificirani vatrozidi visoka klasa sigurnosti, uključujući “Zastava-Jet” (klasa 2), “Zastava” i “AltaVista Firewall 97” (klasa sigurnosti 3). Ovi proizvodi pružaju pouzdanu zaštitu izvori informacija od neovlaštenog pristupa.

7.6.2.2 Metode zaštite softvera koje se koriste na Internetu

DO Softverske metode zaštite na Internetu uključuju prije svega sigurne kripto protokole, pomoću kojih je moguće pouzdano zaštititi vezu. Sljedeći odlomak raspravljat će o pristupima koji trenutno postoje na internetu i glavnim kripto protokolima koji su već razvijeni.

DO Druga klasa softverskih metoda za zaštitu od udaljenih napada uključuje programe koji danas postoje, a čija je glavna svrha analizirati mrežni promet na prisutnost jednog od poznatih aktivnih udaljenih napada.

1. SKIP tehnologija i kripto protokoli SSL, S-HTTP kao glavni način zaštite veze i prenesenih podataka na internetu

Očito, jedan od glavnih razloga uspjeha daljinskih napada na distribuirane zrakoplove leži u korištenju mrežnih protokola za razmjenu koji ne mogu pouzdano identificirati udaljene objekte niti zaštititi vezu i podatke koji se njome prenose. Stoga je sasvim prirodno da se tijekom funkcioniranja Interneta razni sigurni mrežni protokoli, koristeći kriptografiju privatnog i javnog ključa. Klasična kriptografija sa simetričnim kriptografskim algoritmima pretpostavlja da odašiljačka i primateljska strana imaju simetrične (identične) ključeve za šifriranje i dešifriranje poruka. Pretpostavlja se da se ti ključevi unaprijed distribuiraju između konačnog broja pretplatnika, što se u kriptografiji naziva standardnim statičkim problemom distribucije ključeva. Očito je da je korištenje klasične kriptografije sa simetričnim ključevima moguće samo na ograničenom skupu objekata. Na Internetu očito nije moguće riješiti problem distribucije statičkih ključeva za sve njegove korisnike. Međutim, jedan od prvih protokola sigurne razmjene na Internetu bio je Kerberos protokol, baziran upravo na statičkoj distribuciji ključeva za krajnje korisnike.

veliki broj pretplatnika. Naše obavještajne službe prisiljene su slijediti isti put, koristeći klasičnu simetričnu kriptografiju, kada razvijaju svoje sigurne kripto protokole za Internet. To se objašnjava činjenicom da iz nekog razloga još uvijek ne postoji odobreni kriptografski algoritam s javnim ključem. Svugdje u svijetu slični standardi enkripcije odavno su usvojeni i certificirani, ali mi, očito, opet idemo drugim putem!

Dakle, jasno je da je potrebno koristiti dinamički generirane u procesu stvaranja virtualna veza ključeve kada se koristi kriptografija s javnim ključem. Zatim ćemo pogledati glavne trenutne pristupe i protokole koji pružaju sigurnost veze.

SKIP (Secure Key Internet Protocol) je tehnologija koja se naziva standard enkapsulacije IP paketa koja omogućuje, u postojećem IPv4 standardu, zaštitu veze i podataka koji se preko nje prenose na mrežnoj razini. To se postiže na sljedeći način: SKIP paket je obični IP paket čije je podatkovno polje SKIP zaglavlje specifikacijski definiranog formata i kriptogram (kriptirani podaci). Ova struktura SKIP paketa omogućuje njegovo neprimjetno prosljeđivanje bilo kojem hostu na Internetu (internetsko adresiranje se događa korištenjem uobičajenog IP zaglavlja u SKIP paketu). Konačni primatelj SKIP paketa, koristeći algoritam koji su unaprijed odredili programeri, dešifrira kriptogram i formira regularni TCP ili UDP paket, koji se šalje odgovarajućem regularnom modulu (TCP ili UDP) jezgre operacijskog sustava. U principu, ništa ne sprječava programera da prema ovoj shemi formira vlastito originalno zaglavlje, različito od SKIP zaglavlja.

S-HTTP (Secure HTTP) je razvijen od strane poduzeća Integration Technologies (EIT) spec

Zaštićeni HTTP protokol za web. S-HTTP protokol omogućuje pouzdanu kriptografsku zaštitu samo za HTTP dokumente web poslužitelja i radi na razina primjene OSI modeli. Ova značajka S-HTTP protokola čini ga apsolutno specijaliziranim sredstvom za zaštitu veze i, kao rezultat toga, nemoguće ga je koristiti za zaštitu svih drugih aplikacijskih protokola (FTP, TELNET, SMTP, itd.). Osim toga, niti jedan od trenutno postojećih

Danas su podržani glavni web preglednici (ni Netscape Navigator 3.0 ni Microsoft Explorer 3.0)

implementirati ovaj protokol.

SSL (Secure Socket Layer) - koji je razvio Netscape - je univerzalni sigurnosni protokol veze koji radi na razini OSI sesije. Ovaj protokol, koji koristi kriptografiju s javnim ključem, danas je, po našem mišljenju, jedini univerzalni alat koji vam omogućuje da dinamički osigurate bilo koju vezu koristeći aplikacijski protokol(DNS, FTP, TELNET, SMTP, itd.). To je zbog činjenice da SSL, za razliku od S-HTTP-a, radi na srednjoj razini OSI sesije (između prijenosa - TCP, UDP - i aplikacije - FTP, TELNET, itd.). U ovom slučaju, proces stvaranja virtualne SSL veze odvija se prema shemi Diffie i Hellman (klauzula 6.2), koja vam omogućuje da razvijete ključ sesije otporan na kripto, koji naknadno koriste pretplatnici SSL veze za šifriranje prenesenih poruke. SSL protokol danas se praktički uobličio kao službeni sigurnosni standard za HTTP veze, odnosno za zaštitu web poslužitelja. Podržava ga, naravno, Netscape Navigator 3.0 i, čudno, Microsoft Explorer 3.0 (sjetite se onog žestokog rata preglednika između Netscapea i Microsofta). Naravno, da biste uspostavili SSL vezu s web poslužiteljem, morate imati i web poslužitelj koji podržava SSL. Takve verzije web poslužitelja već postoje (SSL-Apache, na primjer). Zaključujući razgovor o SSL protokolu, ne možemo ne primijetiti sljedeću činjenicu: američki zakoni donedavno su zabranjivali izvoz kriptosustava s duljinom ključa većom od 40 bita (nedavno je povećana na 56 bita). Stoga, u postojeće verzije preglednici koriste 40-bitne ključeve. Eksperimentima su kriptoanalitičari utvrdili da u trenutnoj verziji SSL protokola enkripcija pomoću 40-bitnog ključa nije pouzdana zaštita za poruke koje se prenose mrežom, budući da se jednostavnim pretraživanjem (240 kombinacija) taj ključ odabire u vremenu od 1,5 (na superračunalu Silicon Graphics) do 7 dana (u procesu izračuna korišteno je 120 radnih stanica i nekoliko miniračunala).

Dakle, očito je da će raširena uporaba ovih protokola sigurne razmjene, posebice SSL-a (naravno, s duljinom ključa većom od 40 bita), postaviti pouzdanu prepreku na putu svih vrsta daljinskih

Pošaljite svoj dobar rad u bazu znanja jednostavno je. Koristite obrazac u nastavku

Studenti, diplomanti, mladi znanstvenici koji koriste bazu znanja u svom studiju i radu bit će vam vrlo zahvalni.

Slični dokumenti

Generalizirani model procesa otkrivanja napada. Obrazloženje i izbor kontrolirani parametri i softver za razvoj sustava za otkrivanje napada. Glavne prijetnje i ranjivosti. Korištenje sustava za otkrivanje napada u komutiranim mrežama.

diplomski rad, dodan 21.06.2011


Računalni napadi i tehnologije za njihovu detekciju. Sustavi za otkrivanje mrežnih napada i vatrozidi. Softverski alati za sigurnosnu analizu i ublažavanje prijetnji. Implementacija softverskih alata za otkrivanje napada za informacijski sistem poduzeća.

kolegij, dodan 16.03.2015


Metode za otkrivanje napada na mrežu i razine sustava. Administrativne metode zaštite od raznih vrsta udaljenih napada. Obavijesti o hakiranju. Odgovor nakon invazije. Preporuke za pohranjivanje informacija i njihovu kontrolu na Internetu.

kolegij, dodan 21.01.2011


Klasifikacija mrežnih napada prema razini OSI modela, prema vrsti, prema lokaciji napadača i napadnutog objekta. Sigurnosni problem IP mreže. Prijetnje i ranjivosti bežičnih mreža. Klasifikacija IDS sustava za detekciju napada. XSpider koncept.

kolegij, dodan 04.11.2014


Metode suprotstavljanja mrežnim napadima. Algoritam djelovanja na razini mreže. Metode za provedbu napada lozinkom. Čovjek u sredini napada. Mrežna inteligencija, neovlašten pristup. Port prosljeđivanje. Virusi i aplikacije trojanskog konja.

kolegij, dodan 20.04.2015


Sigurnosni problem operativnog sustava. Funkcije sigurnosnog podsustava. Identifikacija korisnika, softverske prijetnje (napadi). Vrste mrežnih napada. Životni ciklus razvoj sigurnih softverskih proizvoda. Procjena napada na softver.

prezentacija, dodano 24.01.2014


Načini korištenja tehnologije neuronske mreže u sustavima za otkrivanje upada. Ekspertni sustavi za detekciju mrežnih napada. Umjetne mreže, genetski algoritmi. Prednosti i nedostaci sustava za detekciju upada temeljenih na neuronskim mrežama.

test, dodan 30.11.2015


Praktičnost i mogućnosti sustava za prevenciju napada Snort, vrste dodataka: predprocesori, moduli za detekciju, izlazni moduli. Metode detekcije napada i lanac pravila sustava Snort. Ključni koncepti, princip rada i ugrađene akcije iptables.

test, dodan 17.01.2015

zaštita računalne mreže

Mrežna zaštita i vatrozid

Koliko god sustav bio siguran, uvijek postoji rizik da će ga netko izvan računalne mreže pokušati hakirati. Jedino rješenje koje vam omogućuje da riješite ovaj problem u većini slučajeva je pravovremeno ažuriranje verzije softvera. Ali čak iu ovom slučaju možete pronaći neke osobitosti u funkcioniranju softvera i koristiti ih za hakiranje sustava. Na primjer: korištenje korisnika demo verzija razvojni programer više ne podržava programski proizvod ili verziju softvera koji se koristi. U tim situacijama, ako se ne koriste dodatne mjere, korisnik može biti bespomoćan od vanjskih napada.

Shvaćajući opasnost takvih situacija, mnogi istraživački centri i privatne tvrtke rade na rješavanju ovog problema. Programeri su obrazložili: budući da mrežni haker ne bi trebao hakirati korisnikovo računalo, on jednostavno ne bi trebao dobiti pristup njemu, tj. Potrebno je osigurati da je pristup računalu zabranjen neovlaštenim korisnicima. Razvijena metoda zaštite slična je zidu koji sa svih strana okružuje računalo, po čemu je i dobila naziv Vatrozid(fire wall), inače firewall ili filter, koji filtrira zahtjeve korisnika mreže prema sustavu. U službenoj ruskoj verziji Windows XP prevodi se kao vatrozid.

Vatrozid- ovo je poseban softver koji se isporučuje s operacijski sustav ili korisnički podesiv, koji vam omogućuje da zabranite bilo kakav pristup sustavu neželjenim korisnicima s mreže. Vatrozid Pomaže poboljšati sigurnost računala. Ograničava informacije koje u vaše računalo dolaze s drugih računala, omogućujući vam bolju kontrolu podataka na vašem računalu i pružajući vašem računalu liniju obrane od ljudi ili programa (uključujući viruse i crve) koji se neovlašteno pokušavaju povezati s vašim računalom . Vatrozid je granična postaja na kojoj se provjeravaju informacije (promet) koje dolaze s interneta ili putem lokalne mreže. Tijekom pregleda vatrozid odbija ili prosljeđuje informaciju računalu u skladu s utvrđenim parametrima.

Dio Windows XP uključena ugrađena verzija vatrozid(u paketu ažuriranja SP2 Za Microsoft Windows XP vatrozid omogućeno prema zadanim postavkama), čiji glavni algoritam rada pruža zaštitu od neovlaštenih korisnika. Gotovo je nemoguće pronaći ranjivost koja bi napadaču omogućila prodor u sustav zaštićen vatrozidom. Obavljene funkcije vatrozid:

• - blokiranje pristupa računalu za viruse i crve;
• - poticanje korisnika da odabere hoće li blokirati ili dopustiti određene zahtjeve za povezivanje;
• - vođenje sigurnosnog dnevnika i, na zahtjev korisnika, bilježenje dopuštenih i blokiranih pokušaja povezivanja s računalom može biti korisno za dijagnosticiranje problema.

Ideja hakerskih napada temelji se na radu algoritama niske razine za obradu mrežnih zahtjeva; u nekim starijim verzijama softvera oni bi se mogli koristiti za eventualni prodor kroz vatrozid. U moderne verzije vatrozid, ako ga ispravno konfigurirate, možete izbjeći sve hakerske napade.

Kada vaše računalo primi neočekivani zahtjev (netko se pokušava spojiti s interneta ili lokalne mreže), vatrozid blokira vezu. Ako vaše računalo koristi programe za prijenos trenutne poruke ili mrežne igre koje trebaju primati informacije s interneta ili lokalne mreže, vatrozid traži od korisnika da blokira ili dopusti vezu. Ako korisnik dopusti vezu, vatrozid stvara iznimku kako ubuduće ne bi ometao korisnika sa zahtjevima u vezi s primanjem informacija za ovaj program. Moguće je i isključivanje vatrozid za pojedinačne internetske ili lokalne mrežne veze, ali to povećava vjerojatnost povrede računalne sigurnosti.

Dugo su vrijeme mir stanovnika grada nadzirali stražari i stražari, koji su u slučaju opasnosti oglašavali alarm. U virtualnom svijetu taj je zadatak povjeren sustavi za detekciju (refleksiju) napada ili SOA ( Otkrivanje upada Sustav – IDS). Prvi sustavi za detekciju napada pojavili su se davno, a njihov razvoj započeo je 1980. godine objavljivanjem članka Johna Andersona “Computer Security Threat Monitoring and Surveillance”. Započeo je razvoj sustava za detekciju napada, iako su se počeli aktivno koristiti kasnije - otprilike početkom 1990-ih, nakon spoznaje opasnosti virtualnog svijeta.

Postoji određena zabuna u ruskom nazivu takvih sustava: Intrusion Detection System doslovno se prevodi kao "sustav za otkrivanje upada", a mnogi izvori koriste ovo ime. No, posljedica napada ne mora nužno biti upad, iako će sama činjenica napada također biti evidentirana takvim sustavom. Ispravnije je koristiti riječ "napad".

Tradicionalno, COA se dijele na sustave koji štite odvojeni čvor(Host IDS), i mreža(Network IDS), praćenje mrežnih paketa. Postoje i hibridni SOA-i koji kombiniraju mogućnosti obaju sustava. U određenoj fazi programeri su htjeli ne samo otkriti napade, već ih i zaustaviti. Tako su se pojavili sustavi za zaustavljanje napada. Svaki SOA sastoji se od senzora koji prikupljaju informacije i mehanizma za analizu i donošenje odluka. Senzori za otkrivanje sumnjivih događaja analiziraju zapise sustava, sistemske pozive, ponašanje aplikacije, integritet datoteke i mrežni paketi. Skupovi potpisa koriste se kao kriteriji, iako alati temeljeni na anomalijama postaju sve popularniji.

Danas za potpunu zaštitu kombinacija antivirusa i vatrozida više nije dovoljna, pa programeri nude SOA za kućnu upotrebu. Kako se korisnik ne bi plašio novim imenima, pri opisu proizvoda koriste se izrazi poput “sveobuhvatno sigurnosno rješenje” ili “napredni vatrozid”. Takav primjer je vatrozid Outpost Firewall Pro, o kojem je bilo riječi u prethodnom poglavlju. Sadrži zaseban modul koji pruža zaštitu od mrežnih napada. U 3. poglavlju naučili ste o računalnim sigurnosnim sustavima, koji se mogu klasificirati kao SOA koji štite jedan čvor.

Na kućnom računalu nije potrebna funkcionalnost SOA-e koja se koristi za zaštitu korporativnih mreža i poslužitelja te troši veliku količinu resursa. Za stolni sustavi Nude se integrirana rješenja, uključujući antivirusni program, vatrozid i SOA.

Prethodno je Kaspersky Lab za zaštitu od hakera ponudio Kaspersky Anti-Hacker vatrozid, čija je zadaća bila kontrolirati dolazne i odlazne veze i zaustaviti bilo kakve neprijateljske radnje prije nego što uzrokuju štetu. Pomoću ove aplikacije bilo je moguće sakriti računalo koje radi na mreži. Kaspersky Anti-Hacker još uvijek se prodaje u internetskim trgovinama, ali u vrijeme pisanja ove knjige, njegovo spominjanje je nestalo s web stranice Kaspersky Laba. Umjesto toga, pojavilo se sveobuhvatno rješenje dizajnirano za zaštitu od velikih prijetnji (virusa, hakera, neželjene pošte i špijunskog softvera) - Kaspersky sigurnost na internetu.

Ovaj program može u potpunosti zaštititi kućno računalo. S jedne strane, cijena jednog takvog proizvoda manja je od ukupne cijene svih rješenja koja ulaze u njegov sastav. Osim toga, integracija smanjuje mogućnost sukoba sustava. S druge strane, ako virus ili špijunski softver ipak dospiju na vaše računalo, mogu ga jednom radnjom potpuno lišiti zaštite. To nije lako, ali se ne može isključiti mogućnost takvog događaja.

Većina koraka instalacije Kaspersky Internet Sigurnost se podudara s instalacijom programa Kaspersky Anti-Virus. Međutim, postoje razlike zbog značajki ovog proizvoda. Na početno stanje Instalater će pokušati kontaktirati poslužitelj tvrtke kako bi provjerio postoje li ažuriranja. Ako nema internetske veze, morat ćete pričekati neko vrijeme. Nakon prihvaćanja licencnog ugovora, od vas se traži da odaberete jednu od dvije opcije instalacije:

Brza montaža – sve komponente programa bit će instalirane sa zadanim radnim parametrima;

Prilagođena instalacija- instalacija pojedinačne komponente s mogućnošću predpodešavanja; ovaj način rada Preporuča se za napredne korisnike.

Preporučljivo je odabrati brzu instalaciju: u tom slučaju bit će osigurana maksimalna zaštita vašeg računala. Ako neki modul nije potreban, uvijek ga možete onemogućiti. Zatim će čarobnjak provjeriti instalirane programe i, ako pronađe one koji nisu kompatibilni s KIS-om, prikazat će njihov popis. Ako nastavite s instalacijom, podaci aplikacije bit će uklonjeni kako bi se izbjegli sukobi. Ako konfiguracijske datoteke iz prethodna instalacija Kaspersky Anti-Virus ili KIS, od vas će se tražiti da spremite ove postavke. Ako su programi koji ometaju KIS uklonjeni, možda ćete morati ponovno pokrenuti računalo.

Kao iu Kaspersky Anti-Virusu, program će se pokrenuti nakon instalacije Čarobnjak za unaprijed postavljene postavke. Ako je opcija bila odabrana Brza montaža, čarobnjak će ponuditi aktivaciju proizvoda. Nakon ponovnog pokretanja dvaput kliknite na ikonu u Trake zadataka možete pozvati prozor za podešavanje radnih parametara KIS-a (slika 5.1).

Riža. 5.1. Prozor postavki programa Kaspersky Internet Security

Većina stavki izbornika podudara se s postavkama programa Kaspersky Anti-Virus, međutim, u izborniku Zaštita ima nekoliko novih stavki:

Vatrozid– prikaz statusa i brzi pristup postavkama za način rada ugrađenog vatrozida, protuprovalnog sustava, modula Anti-reklama I Anti-banner, pregled aktivnosti računalne mreže;

Protušpijun– prikaz statusa rada i brzi pristup postavkama modula Protušpijun, Anti-phishing, Anti-Dialer I Zaštita povjerljivih podataka;

Protiv neželjene pošte– prikaz statusa rada, pokretanje čarobnjaka za obuku i brzi pristup postavkama modula Protiv neželjene pošte;

Roditeljska kontrola– prikaz statusa rada, aktivacija i deaktivacija te brzi pristup postavkama ovog modula.

Pogledajmo značajke novih funkcija i neke postavke.

Pažnja!

Nakon instalacije, sve gore navedene funkcije su onemogućene, što smanjuje sigurnost sustava, stoga biste trebali pregledati kartice i aktivirati one koje su vam potrebne.

Da biste aktivirali vatrozid, samo kliknite vezu Upaliti na odgovarajućoj kartici. Prozor za postavke parametara može se pozvati pritiskom na tipku postavke na dnu prozora i odabirom odgovarajuće stavke ili iz odgovarajuće stavke izbornika Zaštita. Klikom na poveznicu Pogledajte trenutnu mrežnu aktivnost, prikazat ćete broj aktivnih aplikacija koje koriste mrežu, kao i broj otvorenih veza i portova.

Postoji nekoliko područja dostupnih u prozoru postavki modula, u svakom od njih možete omogućiti/onemogućiti označavanjem odgovarajućeg okvira Vatrozid u cijelosti ili jednu njegovu komponentu - sustav za filtriranje, sustav za otkrivanje upada, Anti-reklama ili Anti-Banner(Slika 5.2). U području postavki vatrozida nalazi se klizač pomoću kojeg možete postaviti jednu od pet razina zaštite:

Dopusti sve– svaka mrežna aktivnost dopuštena je bez ograničenja, što odgovara onemogućavanju vatrozida;

Minimalna zaštita– dopuštene su sve mrežne veze, osim onih koje su zabranjene pravilima;

Način treninga– korisnik samostalno odlučuje koju će mrežnu aktivnost dopustiti ili zabraniti; prilikom pokušaja pristupa mreži aplikacije za koju nije kreirano pravilo, od korisnika se traži potvrda i na temelju odgovora kreira se novo pravilo;

Maksimalna zaštita– sve nerazriješene veze su blokirane;

Blokiraj sve– sve veze su blokirane, pristup lokalnoj mreži i internetu je zabranjen; mora se koristiti u slučaju otkrivanja mrežnih napada ili pri radu u opasnoj mreži.

Riža. 5.2. Postavke modula vatrozida

Tijekom instalacije kreiraju se pravila za sve aplikacije, ali nisu uvijek optimalna za pojedini sustav, stoga se preporučuje promijeniti razinu zaštite sa zadanog minimuma na obuku. Za način rada maksimalnu zaštitu Trebali biste nastaviti samo ako ste sigurni da su stvorena sva dopuštajuća pravila. Međutim, nakon instaliranja novog softvera trebali biste se ponovno vratiti u zaštitni način rada za vježbanje. Kada sustav radi u načinu rada za obuku, korisnik je obaviješten (Slika 5.3).

Riža. 5.3. Obavijest o mrežnoj aktivnosti

Sadrži opis aktivnosti i informacije potrebne za donošenje odluke: tip veze (dolazna, odlazna), protokol, aplikacija, udaljena IP adresa i port, lokalni port. Na temelju dobivenih podataka možete odabrati potrebna radnja klikom na odgovarajući gumb – Dopusti ili Zabraniti. Odaberite opciju Onemogući mod treningaće onemogućiti ovaj način rada modula.

Ako je potvrdni okvir označen Stvorite pravilo, tada se na temelju odabranog odgovora generira novo pravilo, a tijekom naknadne mrežne aktivnosti ove aplikacije, ako se parametri zahtjeva podudaraju, program neće smetati korisniku. Na padajućem popisu morate odabrati vrstu aktivnosti na koju se odnosi odabrana radnja. Dostupno je nekoliko opcija:

Bilo kakva aktivnost– bilo koja mrežna aktivnost ove aplikacije;

Selektivno– određena aktivnost koju treba navesti u prozoru za kreiranje pravila;

Ova adresa– aktivnost aplikacije, udaljena adresa Mrežna veza koji se podudara s navedenim; može biti korisno ako želite ograničiti mrežnu aktivnost za odabranu aplikaciju na određene adrese.

Također možete odabrati jednu od unaprijed postavljenih postavki koje opisuju prirodu aplikacije: Program za poštu, preglednik, Upravitelj preuzimanja, FTP klijent, Telnet klijent ili Sinkronizator sata.

Komponenta Modul za otkrivanje upada Vatrozid odgovara na aktivnosti tipične za mrežne napade. Ako se otkrije pokušaj napada na računalo, na ekranu će se pojaviti odgovarajuća obavijest s podacima o računalu koje napada: vrsta napada, IP adresa napadača, protokol i usluga koja je napadnuta, datum i vrijeme. U tom slučaju sustav blokira IP adresu napadačkog računala na jedan sat. Možete promijeniti vrijeme blokiranja u tom području Sustav za detekciju upada u polju pored potvrdnog okvira Dodajte računalo koje napada na popis za blokiranje na.

Možete fino podesiti rad modula Vatrozid koristeći pravila. Isporuka uključuje skup pravila za najpoznatije aplikacije, čija je mrežna aktivnost analizirana od strane stručnjaka i koja imaju jasnu definiciju - korisna ili opasna. Za jedan program možete stvoriti nekoliko dopuštajućih i zabranjujućih pravila. U većini slučajeva, za stvaranje pravila, dovoljno je koristiti način obuke iu dijaloškom okviru postaviti uvjete pod kojima će program dobiti pristup mreži. Međutim, može doći do situacije kada trebate urediti stvoreno pravilo, na primjer, ako je mrežni pristup korisnoj aplikaciji greškom blokiran. Pravila možete kreirati sami. Za odlazak na prozor za uređivanje pravila kliknite gumb postavke u području Sustav filtracije. U prozoru koji se pojavi idite na karticu Pravila primjene(Slika 5.4).

Riža. 5.4. Prozor za postavljanje pravila aplikacije

Sva pravila na ovoj kartici mogu se grupirati na dva načina. Ako je potvrdni okvir označen, prikazuje se popis aplikacija za koje su generirana pravila. Za svaki program se prikazuje sljedeće informacije: naziv i ikona aplikacije, naredbeni redak pokrenuti (ako postoji), korijenski direktorij u kojem se nalazi izvršna datoteka aplikaciju i broj pravila kreiranih za nju.

Duplim klikom na odabranu aplikaciju možete pregledavati i uređivati ​​popis pravila. Klikom na pravilo prikazat će se njegova svojstva: dopušteno ili odbijeno, odlazni, dolazni ili u oba smjera, protokol, udaljeni i lokalni port, udaljena IP adresa i doba dana tijekom kojeg je pravilo na snazi ​​(Slika 5.5). Duplim klikom na pravilo ili odabirom pravila i klikom Promijeniti, imat ćete pristup prozoru za uređivanje pravila, gdje možete promijeniti bilo koji od navedenih parametara. Pritiskom na gumb Dodati, možete sami izraditi novo pravilo. Procedura za uređivanje i stvaranje pravila je slična uređivanju pravila u Outpost Firewallu (pogledajte odgovarajući odjeljak).

Riža. 5.5. Svojstva pravila

Obratite pozornost na gumbe Izvoz I Uvoz: uz njihovu pomoć možete brzo prenijeti generirana pravila na druga računala, što je zgodno za brzo postavljanje pravila modula Vatrozid. Pritisnite gumb Izvoz i odredite mjesto i naziv datoteke u koju želite spremiti postavke, zatim datoteku prenesite na drugo računalo, kliknite Uvoz i odaberite datoteku sa spremljenim postavkama.

Da biste primili upozorenje ili aktiviranje pravila snimanja u izvješću, morate potvrditi okvire Prikaži upozorenje I Napiši da prijaviš u prozoru Uređivanje pravila.

Na neprovjereno Grupirajte pravila prema primjeni sva će pravila biti prikazana bez grupiranja prema nazivu aplikacije.

Ako ustanovite da aplikacija ne može pristupiti mreži, jedan od razloga može biti to što ste postavili pravilo odbijanja u modulu Vatrozid. Najbrži način da to provjerite je da privremeno obustavite rad Vatrozid . To se može učiniti na nekoliko načina. Razinu zaštite možete odabrati u prozoru postavki Dopusti sve ili poništite okvir Omogući vatrozid i pritisnite tipku primijeniti. Ako nakon toga aplikacija radi normalno, onda je problem u pravilu zabrane. Situacija se može lako ispraviti: idite na prozor postavki pravila aplikacije, odaberite aplikaciju i pregledajte sva pravila stvorena za nju, obraćajući posebnu pozornost na ona koja su zabranjena. U krajnjem slučaju, aplikaciju možete označiti klikom na nju tipkom miša i klikom Izbrisati za brisanje svih pravila stvorenih za njega. Zatim odaberite način učenja sigurnosti i prema potrebi izradite nova pravila.

Osim Pravila primjene prozor postavki Anti-haker sadrži još tri kartice. tab Pravila paketa sličan onom gore opisanom, samo u njemu možete postaviti pravila filtriranja za pakete (Sl. 5.6).

Riža. 5.6. Prozor za kreiranje pravila za pakete

Pravila napisana na ovoj kartici djeluju na nižoj razini, pa se primjenjuju bez obzira na aplikaciju koja ih generira ili prihvaća. Ako je potrebno, na primjer, globalno zabraniti pristup određenom resursu ili usluzi (lokalni ili udaljeni), ovdje trebate navesti potrebne parametre; tada promjenom aplikacije neće biti moguće zaobići zabranu stvorenu za određeni program. Za svako pravilo filtriranja navedeni su sljedeći podaci: naziv pravila, dopuštenje ili zabrana, protokol prijenosa, smjer paketa i parametri mrežne veze preko koje se paket prenosi. Pravilo se može onemogućiti brisanjem odgovarajućeg potvrdnog okvira.

Čarobnjak će pronaći sva mrežna sučelja dostupna na računalu i za svako odrediti sigurnosnu politiku, odnosno stupanj povjerenja računalima koja se nalaze u tim zonama. Popis mrežnih sučelja dostupan je na kartici Zone: Ovdje možete urediti popis mrežnih sučelja i promijeniti sigurnosnu politiku.

Ako tijekom instalacije nisu pronađena sva sučelja, kliknite Pronaći ponovno tražiti. Ako to ne pomogne, trebate kliknuti gumb Dodati i u prozoru koji se pojavi unesite ime, podmrežnu adresu i mrežnu masku. Stupanj povjerenja karakterizira status mreže. Status može imati sljedeće vrijednosti:

Pouzdan– dopušteni su svi priključci bez ograničenja;

Lokalna mreža– dopušten pristup drugim računalima lokalne datoteke i pisači, dopušteno je slanje poruka o pogrešci (ICMP protokol), a nevidljivi način rada je prema zadanim postavkama onemogućen; mrežna aktivnost aplikacije regulirana je pravilima;

Internet– zabranjen je pristup datotekama i pisačima te slanje ICMP poruka, omogućen je stealth način rada; mrežna aktivnost aplikacije regulirana je pravilima.

Za sve zone osim Interneta možete promijeniti status. Da biste to učinili, kliknite na ime u području Opis. Zona Internet uvijek ima status Internet, a nemoguće ga je promijeniti, pa će pri radu na Internetu korisnik biti maksimalno zaštićen. Način nevidljivosti može se promijeniti na više načina, a najjednostavniji je označavanjem istoimene kućice.

Bilješka

Nema ničeg neobičnog u stealth modu. ICMP paket s kodom ECHO_REQUEST šalje se udaljenom računalu. Možete ručno pokrenuti takvu provjeru izvršavanjem naredbe Start > Izvršite i unesite u prozor koji se otvori ping naredba naziv_čvora. Ako je računalo spojeno na mrežu, odgovor bi trebao biti paket s kodom ECHO_REPLY. U stealth modu takvi paketi su blokirani, što znači da je za većinu aplikacija koje inicijalno provjeravaju njegovu funkcionalnost nevidljiv.

Na kartici Dodatno Pomoću prekidača možete odabrati jedan od dva načina rada:

Maksimalna brzina– način rada koji pruža maksimalnu brzinu mrežne igre, ali u isto vrijeme mogu postojati problemi s kompatibilnošću koji se mogu djelomično riješiti onemogućavanjem stealth mod.

Kako biste osigurali da su nove opcije odabrane na kartici Dodatno, stupili na snagu, trebali biste ponovno pokrenuti računalo.

Na modul Vatrozid uključuje još dvije komponente.

Anti-reklama– blokira skočne prozore koji se koriste za oglašavanje proizvoda ili usluga, a ne nose korisno opterećenje. Kada pokušate otvoriti takav prozor, njegov izlaz se blokira, a korisnik dobiva upozorenje u kojem može odlučiti hoće li blokirati ili dopustiti izlaz. Ispravno radi s modulom za blokiranje skočnih prozora u Microsoft Internet Exploreru, koji je uključen u paket ažuriranja Servisni paket 2 za Microsoft Windows XP.

Skočni prozori ne sadrže uvijek oglašavanje na nekim stranicama; ovo prikazuje prozor za odabir datoteka za preuzimanje ili za brži pristup ili prikaz nekih informacija. Na modul Anti-reklama nisu blokirali takve prozore, moraju se dodati na popis pouzdanih. Da biste to učinili, kliknite gumb Pouzdane adrese, koji se nalazi na području Bloker skočnih prozora, zatim kliknite gumb Dodati i u prozor koji se pojavi unesite adresu resursa čiji skočni prozori ne bi trebali biti blokirani. U ovom slučaju možete koristiti maske. Na primjer, http://microsoft* identificirat će sve adrese koje počinju s riječju microsoft kao pouzdane. Pomoću potvrdnih okvira koji se nalaze u području Pouzdana zona, možete definirati računala uključena u pouzdanu zonu Microsoft Internet Explorera i lokalnu mrežu kao pouzdane.

Bilješka

U Internet Exploreru možete odrediti popis stranica koje korisnik smatra pouzdanima. Da biste to učinili, pokrenite naredbu Usluga u prozoru preglednika > Internetske mogućnosti, idite na karticu Sigurnost, kliknite ikonu Pouzdana mjesta i kliknite gumb Stranice ispod. U prozor koji se pojavi unesite web resurse u koje imate povjerenja.

Uključeno u standardnu ​​isporuku komponenti Anti-Banner Uključen je popis predložaka bannera koji se često pojavljuju. Pritiskom na gumb postavke, koji se nalazi u okolici Blokiranje reklamnih bannera, možete samostalno postaviti popis zabranjenih i dopuštenih bannera. Prozor koji se pojavi sadrži tri kartice (Sl. 5.7).

Riža. 5.7. Postavljanje blokiranja bannera

Na kartici Su česti Objavljen je popis bannera koje su izradili stručnjaci Kaspersky Laba. Ovaj popis nije moguće uređivati, ali možete onemogućiti bilo koje pravilo poništavanjem odgovarajućeg potvrdnog okvira. Analizirati bannere koji ne potpadaju pod maske standardni popis, potvrdite okvir Koristiti heurističke metode analize– učitane slike će se analizirati na prisutnost značajki specifičnih za banner. Na karticama „Crna lista I „Bijela lista Određuje prilagođene maske za bannere koje je potrebno blokirati i dopustiti. Dodavanje nove maske na popis je jednostavno. Idite na željenu karticu, kliknite gumb Dodati i u prozoru koji se pojavi unesite puna adresa(URL) banner ili predložak. U potonjem slučaju, prilikom otvaranja bannera Anti-Banner tražit će navedeni niz znakova u svojoj adresi. Adrese navedene na ovim karticama utječu samo na prikaz bannera, tako da možete odrediti adresu cijele stranice, npr. http://www.test.com/, a banneri koji pripadaju ovoj stranici bit će blokirani. Gumbi Izvoz I Uvoz, koji se nalazi na ovim karticama, pomoći će vam da brzo prenesete generirane popise na druga računala.

Da završimo priču o Kaspersky Internet Security-u, pogledajmo tri preostala modula: Protušpijun, Protiv neželjene pošte I Roditeljska kontrola. Više informacija o špijunskom softveru opisano je u poglavlju 6, o borbi protiv spama - u poglavlju 8, o programima roditeljske kontrole– u 9. poglavlju, phishing napadi se raspravljaju u 7. poglavlju.

Modul Protušpijun omogućuje vam da se zaštitite od nametljivo oglašavanje, prikazan u prozoru preglednika u obliku natpisa i skočnih prozora. Korištenje ovog modula omogućuje prepoznavanje poznatih metoda internetskih prijevara, pokušaja krađe povjerljivih podataka (lozinki, brojeva kreditnih kartica), neovlaštenog pristupa internetu i neovlaštenog korištenja plaćenih resursa.

Odabir modula Protušpijun u glavnom prozoru programa dobit ćete opću statistiku rada i trenutno stanje modula u cjelini i njegovih pojedinačnih komponenti. Ovdje možete privremeno pauzirati ili zaustaviti rad modula, kao i uključiti zaštitu ako je bila onemogućena.

Riža. 5.8. Prozor postavki modula Anti-Spy

Sve postavke u Kaspersky Internet Securityu su iste, stoga, nakon što ste svladali jednu komponentu, lako je pronaći postavke druge. Poništavanje oznake Omogući Anti-Spy i pritiskom na dugme primijeniti, možete onemogućiti modul. Protušpijun sastoji se od tri komponente:

Anti-phishing– štiti od phishing napada praćenjem pokušaja otvaranja poznatih phishing stranica: Kaspersky Internet Security uključuje informacije o svim trenutno poznatim stranicama koje se koriste za izvođenje takvih napada; kada se ažuriraju potpisi prijetnji, ažurira se i ovaj popis;

Anti-Dialer– blokira pokušaj uspostavljanja modemske veze s plaćenim internetskim resursima;

Sprječavanje prijenosa osjetljivih podataka– prepoznaje i upozorava korisnika (u zadanim postavkama) o pokušaju prijenosa povjerljivih podataka ili pokušaju pristupa osobnim podacima ili lozinkama.

Isto tako i za modul Anti-Dialer: Ako želite dopustiti povezivanje s određenim brojevima bez pitanja programa, dodajte ih na popis pouzdanih brojeva. Da biste to učinili, kliknite gumb Brojevi od povjerenja i ući broj telefona ili šablona. Kako biste privremeno uklonili broj s popisa, poništite odgovarajući okvir, a ako želite potpuno ukloniti broj, označite ga tipkom miša i kliknite Izbrisati.

Zgodno, Kaspersky Internet Security sadrži skup aplikacija potrebnih za potpunu zaštitu sustava. Nakon što ste registrirali poštanski sandučić, uskoro ćete u njemu pronaći pisma koja nisu namijenjena vama osobno, za što je prisutnost modula korisna Protiv neželjene pošte, koji može otkriti takve poruke.

Odabir modula Protiv neželjene pošte u glavnom prozoru programa možete dobiti informacije o statusu njegovog rada i statistiku poruka skeniranih od pokretanja i poruka koje su prepoznate kao spam. Klikom bilo gdje u tom području Otvori izvješće, možete dobiti detaljnije informacije. Pritisak na gumb postavkeće dovesti do prozora postavki rada modula (Sl. 5.9).

Riža. 5.9. Prozor postavki modula Anti-Spam

Sve e-poruke koje je modul prepoznao spam, označeni su u polju Predmet označiti [!! SPAM]. Poruke koje će vjerojatno biti potencijalni spam, označeni su kao [?? Vjerojatna neželjena pošta]. Nema više operacija Protiv neželjene pošte ne proizvodi niti briše poruke samostalno, čak i ako su jasno klasificirane kao spam.

Zaštita od spama je prema zadanim postavkama uključena. Da biste ga onemogućili, poništite okvir Omogući zaštitu od neželjene pošte, a ako trebate privremeno pauzirati zaštitu, koristite gumbe u glavnom prozoru programa. Radi praktičnosti, aplikacija je uvela razine agresivnosti rada modula - željena razina odabire se pomoću klizača koji se nalazi u istoimenom području u prozoru postavki.

Dostupno sljedeći izbor:

Dopusti sve– najniža razina kontrole: spamom se prepoznaje samo pošta koja sadrži retke s „crne“ liste fraza ili čiji se pošiljatelj nalazi na „crnoj“ listi;

Kratak– stroža razina na kojoj se proizvodi puna analiza, ali je razina reakcije mehanizama za analizu dolaznih pisama postavljena niže nego inače, pa je vjerojatnost prolaska neželjene pošte veća, iako su gubici manji; preporučuje se ako primate mnogo korisnih e-poruka koje se greškom smatraju neželjenom poštom;

visoko– razina sa strožim pragovima za pokretanje mehanizama otkrivanja, tako da e-poruke koje nisu spam mogu završiti kao spam; pisma se analiziraju na temelju "bijelih" i "crnih" lista i korištenjem modernih tehnologija filtriranja; preporučuje se kada adresa primatelja nije poznata pošiljateljima neželjene pošte;

Blokiraj sve- najviše visoka razina: samo e-mailovi s “bijele” liste će nesmetano prolaziti, ostali će biti označeni kao spam.

Parametre otkrivanja neželjene pošte možete odrediti sami. Da biste to učinili, kliknite gumb postavke u području Razina agresivnosti. Prozor koji se pojavi sadrži četiri kartice. Kartice „Bijela lista I „Crna lista slične su postavke, samo će parametri navedeni u njima izazvati različite reakcije Protiv neželjene pošte. Sve što je uključeno u „Bijela lista, svakako će se odnositi na normalnu poštu, a što će biti u "Crna" lista, označit će neželjenu poštu. Svaka je kartica podijeljena u dva bloka. E-mail adrese su napisane na vrhu, a ključne fraze na dnu. E-mail adrese mogu se ispuniti ručno ili tijekom modularne obuke Protiv neželjene pošte. Da biste ručno postavili adresu e-pošte s koje se poruke e-pošte neće smatrati neželjenom poštom, idite na karticu „Bijela lista i potvrdite okvir Želim primati e-poštu od sljedećih pošiljatelja, zatim kliknite Dodati i unesite adresu u polje koje se pojavi. Na primjer, možete unijeti punu adresu e-pošte [e-mail zaštićen] , ili možete koristiti predloške. Na primjer, predložak *@mail.ru naznačit će Protiv neželjene pošte da sva pisma koja dolaze s poslužitelja mail.ru, potpadaju pod pravilo.

Da biste dodali redak na temelju kojeg će se e-pošta smatrati korisnom, potvrdite okvir Želim primati e-poruke koje sadrže sljedeće fraze, pritisni gumb Dodati i unesite izraz ili uzorak. Možete se dogovoriti sa svojim prijateljima da uvijek potpisuju pisma nekom frazom koja je uključena „Bijela lista, pisma koja dolaze od njih neće završiti u neželjenoj pošti.

Poštanske adrese i fraze na kartici se popunjavaju na sličan način. „Crna lista. Označite kućicu Ne želim primati e-poštu od sljedećih pošiljatelja za aktiviranje filtra adresom e-pošte. Da biste omogućili filtriranje po ključnim riječima, koristite potvrdni okvir Ne želim primati e-poruke koje sadrže sljedeće fraze.

Prilikom unosa ključne fraze potrebno je dodatno naznačiti odgovarajuću ključnu frazu. težinski koeficijent. Teško je sami odabrati koeficijent, ako ste u nedoumici, navedite vrijednost 50 ili koristite postojeća pravila kao savjet. Pismo će biti klasificirano kao spam ako njegov ukupni koeficijent premašuje određeni broj. Za razliku od "bijelog" popisa, programeri su na "crni" popis uključili fraze koje najčešće koriste spameri.

Modul za prepoznavanje spama Protiv neželjene pošte koristi različite tehnologije koje se mogu uključiti i isključiti na kartici Otkrivanje spama(Slika 5.10).

Riža. 5.10. Konfiguriranje tehnologija filtriranja neželjene pošte

U području Filteri označava koje tehnologije koristiti za otkrivanje neželjene pošte:

Samoučeći algoritam iBayes – analiza teksta e-poruke na prisutnost izraza koji se odnose na spam;

GSG tehnologija – analiza slika postavljenih u pismo: na temelju usporedbe s jedinstvenim grafičkim potpisima donosi se zaključak da slika pripada grafičkom spamu;

PDB tehnologija – analiza zaglavlja: na temelju skupa heurističkih pravila donosi se pretpostavka je li pismo spam;

Tehnologija Recent Terms – analiza teksta poruke na fraze tipične za spam; kao standard se koriste baze podataka koje su pripremili stručnjaci Kaspersky Laba.

U regijama Faktor neželjene pošte I Potencijalni faktor neželjene pošte označava koeficijent iznad kojeg će se pismo smatrati spamom ili potencijalnim spamom. Odabrano prema zadanim postavkama optimalne vrijednosti; pomoću klizača možete sami postaviti potrebna razina. Nakon eksperimentiranja, pronaći ćete prihvatljive parametre.

tab Dodatno omogućuje vam da odredite dodatne kriterije po kojima će se detektirati spam (netočni parametri poruke, prisutnost određenih vrsta HTML umetaka itd.). Morate označiti odgovarajući okvir i postaviti faktor neželjene pošte kao postotak. Prema zadanim postavkama faktor neželjene pošte u svim kriterijima je 80%, a pismo će biti prepoznato kao neželjena pošta ako je zbroj svih kriterija 100%. Ako želite da se sve poruke e-pošte koje nisu upućene vama smatraju neželjenom poštom, potvrdite okvir Nije upućeno meni, zatim pritisnite gumb Moje adrese, onda Dodati i unesite sve poštanske adrese koje koristite. Sada će se prilikom analize nove poruke provjeravati adresa primatelja, a ako adresa ne odgovara niti jednoj adresi na popisu, poruci će se dodijeliti status neželjene pošte. Kada se vratite u glavni prozor postavki Protiv neželjene pošte, postavit će razinu agresivnosti Prilagođen.

Za poboljšanje učinkovitosti modula Protiv neželjene pošte, potrebno ga je istrenirati naznačujući koja su pisma spam, a koja redovna korespondencija. Za obuku se koristi nekoliko pristupa. Na primjer, kako bi se adrese dopisnika s kojima komunicirate automatski dodale na "bijelu" listu, morate potvrditi okvir Učite iz odlazne e-pošte(nalazi se u polju Obrazovanje prozori postavki modula Protiv neželjene pošte). Za obuku će se koristiti samo prvih 50 slova, a zatim će obuka završiti. Nakon završetka obuke, trebali biste pregledati svoj bijeli popis adresa kako biste bili sigurni da se na njemu nalaze potrebni unosi.

U području Obrazovanje gumb se nalazi Majstor obuke. Klikom na nju možete podučavati korak po korak Protiv neželjene pošte, označavajući mape klijenata e-pošte koje sadrže neželjenu i uobičajenu e-poštu. Preporučljivo je takvu obuku provesti na samom početku rada. Nakon pozivanja čarobnjaka za obuku morate proći kroz četiri koraka.

1. Identificirajte mape koje sadrže korisnu korespondenciju.

2. Oznaka mapa koje sadrže spam.

3. Automatsko učenje Protiv neželjene pošte. Poštanske adrese pošiljatelja korisna pošta dodaju se na "bijelu" listu.

4. Spremanje rezultata rada majstora obuke. Ovdje možete dodati rezultate svog rada u staru bazu podataka ili je zamijeniti novom.

Da uštedi vrijeme, majstor podučava Protiv neželjene pošte samo na 50 slova u svakoj mapi. Kako bi Bayesov algoritam koji se koristi za prepoznavanje neželjene pošte ispravno radio, potrebno ga je uvježbati na najmanje 50 korisnih e-poruka i 50 neželjenih e-poruka.

Korisnik možda nema uvijek toliko e-mailova, ali to nije problem. Vlak Protiv neželjene pošte moguće tijekom rada. Postoje dvije mogućnosti treninga:

Korištenje klijenta e-pošte;

Korištenje izvješća Protiv neželjene pošte.

Tijekom instalacije modula Protiv neželjene pošte ugrađen je u sljedeće klijente e-pošte:

Microsoft Office Outlook - gumbi se pojavljuju na ploči Spam I Nije spam, te u prozoru koji se poziva naredbom izbornika Alati > Opcije, tab Protiv neželjene pošte;

Microsoft Outlook Express– gumbi se pojavljuju u prozoru Spam I Nije spam i gumb postavke;

Šišmiš! – nove komponente se ne pojavljuju, ali Protiv neželjene pošte reagira na odabir predmeta Označi kao neželjenu I Označi kao NIJE neželjena pošta na jelovniku Posebna.

Obuka korištenjem izvješća je jednostavna. Odaberite modul Protiv neželjene pošte u glavnom prozoru programa i kliknite na područje Otvori izvješće. Zaglavlja svih e-poruka prikazana su na kartici Događaji otvoren prozor. Pomoću tipke miša odaberite slovo koje će se koristiti za obuku Protiv neželjene pošte, pritisni gumb Radnje i odaberite jednu od četiri opcije: Označi kao neželjenu, Označi da nije spam, Dodaj na bijelu listu ili Dodaj na crnu listu. Nakon toga Protiv neželjene pošte bit će obučeni. Imajte na umu da će se, ako u bazi podataka nema dovoljno zapisa, u naslovu ovog prozora prikazati poruka koja pokazuje koliko je još slova potrebno za obuku modula.

Ako u prozoru postavki Protiv neželjene pošte potvrdni okvir označen Otvorite Upravitelj pošte kada primate poštu, dobivate još jednu priliku regulirati dolaznu poštu. Prilikom povezivanja sa poslužitelj pošte otvorit će se Upravitelj pošte, koji vam omogućuje pregled popisa poruka na poslužitelju bez njihovog preuzimanja na vaše računalo (Sl. 5.11).

Riža. 5.11. Upravitelj pošte

Ovo prikazuje podatke potrebne za donošenje odluke: pošiljatelja, primatelja, predmet i veličinu poruke. U stupcu Uzrok može se prikazati komentar modula Protiv neželjene pošte.

Zadano Protiv neželjene pošte analizira dolaznu e-poštu bez obzira na instalirani klijent e-pošte. Ako se jedan od gore navedenih klijenata e-pošte koristi kao potonji, takav dvostruki rad je nepotreban, stoga biste trebali poništiti odabir Obrada POP3/SMTP/IMAP prometa, koji je u okolici Integracija sustava. Instalirajte ga samo ako koristite program za e-poštu koji nije naveden. Ako je integracija s navedenim mail klijenti nije potrebno, odznačite Omogućite Microsoftovu podršku Office Outlook/Šišmiš!.

Odbijanjem uzimanja nepotrebnih ili sumnjive poruke, ne samo da možete uštedjeti promet, već i smanjiti vjerojatnost preuzimanja neželjene pošte i virusa na vaše računalo. Kada odaberete poruku, ispod će se pojaviti njezin naslov koji sadrži Dodatne informacije o pošiljatelju pisma. Za uklanjanje nepotrebna poruka potvrdite okvir pored slova u stupcu Izbrisati i pritisnite tipku Ukloni odabrano. Ako želiš Dispečer pokazao samo nove poruke na poslužitelju, provjerite je li potvrdni okvir označen Prikaži samo nove poruke.

Većina današnjih računalnih sigurnosnih sustava ima nedostatke. Glavni je taj što ne mogu zaštititi sustav od novih vrsta napada ili virusa koji nisu uključeni u bazu podataka.

Bilješka

U stručnoj literaturi pojam zero-day (0-day) napad često se koristi za nove nepoznate vrste napada.

Za obuku proaktivnih sustava potrebno je neko vrijeme, tijekom kojeg korisnik donosi odluku o prihvaćanju programa. Takvi sustavi danas postavljaju sve manje pitanja, ali se od korisnika traži određena razina razumijevanja onoga što se u sustavu događa – barem takva da pojava novog procesa izaziva sumnju. Izrađeni profili bit će poznati samo na jednom računalu, pa će se u slučaju napada na drugo računalo obuka morati ponoviti iznova. Vjerojatnost pojave pogreške je velika, posebno s obzirom na visoku stopu pogreške tipičnu za proaktivne sustave.

Tvorcima Sustava za sprječavanje upada u zajednici (CIPS) Prevx ( http://www.prevx.com/), engleska tvrtka Prevx Limited, uspjela pronaći zlatna sredina. Ovaj sustav tek dobiva na popularnosti, ali originalnost rješenja i učinkovitost čine ga vrijednim pažnje.

Po prvi put, prototip novog tipa sustava za odbijanje napada javnosti je predstavljen u veljači 2004. godine i nazvan je Prevx Početna. U predstavljenom sustavu bilo je mnogo jedinstvenih stvari. Za razliku od antivirusni sustavi sustavi koji koriste potpise za prepoznavanje zlonamjernih datoteka, ili neki sustavi koji rade s popisom dopuštenih aplikacija, novi sustav koristi pravila koja opisuju ponašanje i kontrole za integritet programa. Štoviše, popis je uključivao i očito dobre i loši programi, što je omogućilo brzo određivanje prirode nove aplikacije ili procesa na računalu. Međutim, to nije glavna stvar.

Sustav koristi jedinstvenu bazu podataka Community Watch. To je najmoćniji izvor informacija koji određuje postojanje, distribuciju i aktivnosti benignog i zlonamjernog softvera. Korištenjem informacija prikupljenih u ovoj bazi podataka, ponašanje i javno širenje svakog programa može se pratiti i analizirati u stvarnom vremenu. Instaliran na svakom klijentskom računalu sigurnosni agenti, koji prate stanje u štićenom sustavu. Prilikom instaliranja nove aplikacije ili pojave novog procesa nepoznatog lokalnoj bazi podataka, agent putem interneta šalje zahtjev središnjoj bazi podataka i na temelju dobivenih informacija donosi zaključak o njegovoj pouzdanosti.

Ako nema podataka o novom programu u središnjoj bazi podataka, novi modul upisuje se i označava kao nepoznato, a korisnik se upozorava na mogući rizik. Za razliku od antivirusa, koji zahtijevaju određeno vrijeme za analizu stručnjaka, Community Watch u većini slučajeva može samostalno odrediti prirodu programa na temelju karakteristika ponašanja. U tu svrhu koristi se tehnika Četiri osi zla koja određuje prirodu programa prema četiri komponente: tajnosti, ponašanju, podrijetlu i distribuciji. Kao rezultat toga, kreira se opis koji sadrži približno 120 parametara koji omogućuju nedvosmislenu identifikaciju ovog programa u budućnosti, odnosno, ako uslužni program nepoznat bazi podataka izvodi iste radnje kao poznati zlonamjerni program, njegova je svrha očita . Ako podaci koje je prikupio agent nisu dovoljni za donošenje jasne odluke, baza podataka može zahtijevati kopiju programa radi provjere. Prema programerima, samo mali postotak slučajeva zahtijeva posebnu intervenciju stručnjaka.

Baza je pri prvom pokretanju sadržavala podatke o milijun događaja, a nakon 20 mjeseci već oko milijardu. Ovaj princip rada eliminira lažno pozitivni, stoga ne čudi što se ubrzo pojavio program nove generacije - Prevx1 čije je testiranje započelo 16. srpnja 2005. godine. Rezultat je nadmašio sva očekivanja: 100 tisuća računala razasutih po cijelom svijetu s instaliranim Prevx1 uspjeli su se oduprijeti novim prijetnjama u stvarnom vremenu.

Danas optimizirana baza podataka sadrži više od 10 milijuna jedinstvenih događaja i 220 tisuća štetnih objekata. Svaki dan sustav automatski detektira i neutralizira preko 400 štetnih aplikacija i oko 10 tisuća programa za razne namjene. Antivirusi ne mogu pratiti takve performanse. Prema statistikama danim na web stranici, novi korisnik koji se spoji na Prevx1 u svom sustavu u 19% slučajeva pronalazi malware. Prevx1 se može koristiti samostalno, štiteći vaše računalo samostalno, ali iu kombinaciji s drugim proizvodima koji pojačavaju njegov učinak: firewall, antivirus i programi za otkrivanje spywarea.

Da biste instalirali Prevx, trebat će vam računalo s najmanje 256 MB RAM-a i procesorom od 600 MHz sa sustavom Windows 2000/XP/2003 i Vista. Ovo su minimalni zahtjevi za ugodan rad Preporučljivo je koristiti moderniju opremu.

Postoji nekoliko opcija proizvoda, od kojih svaka ima svoje karakteristike, dizajnirane za specifične uvjete primjene i odgovarajući trošak. Besplatna verzija Prevx Computer Security Investigatora (CSI) također je dostupna i može se nabaviti na: http://free.prevx.com/.

Programeri su to učinili jednostavno: dostupnost besplatna verzija privlači nove korisnike u projekt, koji dodaju svoje potpise u bazu podataka zajednice i testiraju neprovjereni softver na svojoj opremi. Besplatna verzija može se instalirati kao i obično na tvrdi disk ili USB uređaj za pohranu. Jedino ograničenje ove verzije je nemogućnost brisanja pronađenog zlonamjerne datoteke(provjerava se samo računalo). Ali to se može učiniti bilo koji broj puta radi sigurnosti, pokrenuti ga ručno ili prema rasporedu, a ako se otkriju problemi, poduzmite radnje koristeći druge pomoćne programe opisane u ovoj knjizi.

Instalacija Prevx1 je jednostavna, ali za provjeru je potrebna internetska veza. Pokrenite izvršnu datoteku, složite se s licencom označavanjem okvira i klikom na gumb Nastaviti(Nastaviti). Započet će skeniranje područja sustava, nakon čega će se prikazati rezultat (Slika 5.12).

Riža. 5.12. Prevx CSI upravljačka konzola

Obratite pozornost na poruku nakon Status sustava. Ako je ikona nasuprot obojena zelene boje i potpisao Čist, to znači da na računalu nije otkriven zlonamjerni softver. Ako je ikona crvena i potpis Zaražen– na računalu je pronađen malware i potrebno je nešto poduzeti. Ako se na računalu otkrije nepoznati program, ikona će postati žuta boja upozorenja, u tom slučaju korisnik mora biti oprezan jer se može raditi o zlonamjernom programu.

Prevx bi trebao ažurirati lokalnu bazu podataka prema potrebi; ako se veza ostvaruje preko proxy poslužitelja, njegove postavke trebaju biti navedene na kartici Konfigurirati u polju Aktivirajte proxy podršku. Na kartici se može postaviti automatska provjera sustava Planer. Označite kućicu Skeniraj moj sustav svakih i pomoću padajućih popisa s desne strane odredite učestalost i vrijeme skeniranja. Možete odabrati dnevnu provjeru ( Dan) ili označite jedan od dana u tjednu. Za skeniranje ako je računalo bilo isključeno, potvrdite okvir Ako moje računalo nije uključeno, uključeno je u zakazano vrijeme. Da biste provjerili svoje računalo nakon pokretanja sustava, instalirajte Skeniraj automatski pri pokretanju sustava.