Hantar kerja baik anda di pangkalan pengetahuan adalah mudah. Gunakan borang di bawah
Pelajar, pelajar siswazah, saintis muda yang menggunakan pangkalan pengetahuan dalam pengajian dan kerja mereka akan sangat berterima kasih kepada anda.
Dokumen yang serupa
Model umum proses pengesanan serangan. Justifikasi dan pemilihan parameter dan perisian terkawal untuk membangunkan sistem pengesanan serangan. Ancaman dan kelemahan utama. Menggunakan sistem pengesanan serangan dalam rangkaian bertukar.
tesis, ditambah 06/21/2011
Serangan komputer dan teknologi untuk pengesanan mereka. Sistem rangkaian pengesanan serangan dan tembok api. Alat perisian untuk analisis keselamatan dan pengurangan ancaman. Pelaksanaan alat perisian untuk mengesan serangan untuk sistem maklumat perusahaan.
kerja kursus, ditambah 03/16/2015
Kaedah untuk mengesan serangan pada rangkaian dan tahap sistem. Kaedah pentadbiran perlindungan terhadap pelbagai jenis serangan jauh. Pemberitahuan hack. Tindak balas selepas pencerobohan. Cadangan untuk menyimpan maklumat dan mengawalnya di Internet.
kerja kursus, ditambah 01/21/2011
Klasifikasi serangan rangkaian mengikut tahap model OSI, mengikut jenis, mengikut lokasi penyerang dan objek yang diserang. Masalah keselamatan rangkaian IP. Ancaman dan kelemahan rangkaian tanpa wayar. Klasifikasi sistem pengesanan serangan IDS. Konsep XSpider.
kerja kursus, ditambah 11/04/2014
Kaedah untuk menentang serangan rangkaian. Algoritma tindakan di peringkat rangkaian. Kaedah untuk menjalankan serangan kata laluan. Serangan Man-in-the-Middle. kecerdasan rangkaian, akses tidak dibenarkan. Port forwarding. Virus dan aplikasi kuda Trojan.
kerja kursus, ditambah 04/20/2015
Masalah keselamatan sistem pengendalian. Fungsi subsistem keselamatan. Pengenalan pengguna, ancaman perisian (serangan). Jenis serangan rangkaian. Kitaran hayat pembangunan keselamatan produk perisian. Penilaian serangan ke atas perisian.
pembentangan, ditambah 01/24/2014
Kaedah menggunakan teknologi rangkaian saraf dalam sistem pengesanan pencerobohan. Sistem pakar untuk mengesan serangan rangkaian. Rangkaian buatan, algoritma genetik. Kebaikan dan keburukan sistem pengesanan pencerobohan berdasarkan rangkaian saraf.
ujian, ditambah 30/11/2015
Kemudahan dan keupayaan sistem pencegahan serangan Snort, jenis pemalam: prapemproses, modul pengesanan, modul output. Kaedah pengesanan serangan dan rantai peraturan sistem Snort. Konsep kunci, prinsip operasi dan tindakan terbina dalam iptables.
ujian, ditambah 01/17/2015
Perlindungan terhadap serangan rangkaian
Serangan rangkaian ialah tindakan oleh penjenayah siber yang bertujuan untuk mendapatkan kawalan ke atas rangkaian tertentu dengan memperuntukkan hak pentadbiran. Matlamat utama penggodam adalah untuk menjejaskan kestabilan tapak dan pelayan, melumpuhkannya, dan mendapatkan data peribadi setiap pengguna rangkaian.
Serangan rangkaian dan kaedah pertahanan
Hari ini, penjenayah siber menggunakan jenis serangan berikut:
- pengeboman mel;
- limpahan penampan;
- aplikasi khas;
- kecerdasan rangkaian;
- IP spoofing;
- Lelaki-di-Tengah;
- Serangan XSS;
- serangan DDOS;
- pancingan data, dsb.
Mana-mana serangan ini pada rangkaian tempatan adalah khusus. Sehubungan itu, pentadbir menggunakan pelbagai cara perlindungan terhadap serangan rangkaian.
Sebagai contoh, intipati Mailbomber ialah penghantaran surat secara besar-besaran ke alamat e-mel mangsa. Akibatnya, penjenayah mencetuskan kegagalan peti mel atau keseluruhan pelayan mel. Untuk melindungi daripada jenis serangan ini, pakar IT menggunakan pelayan yang dikonfigurasikan khas. Jika aplikasi "melihat" itu alamat tertentu Jika terlalu banyak e-mel tiba (melebihi had yang ditetapkan), ia secara automatik menghantar semua e-mel ke tong sampah.
Selalunya, penyerang menggunakan kaedah yang dipanggil buffer overflow. Terima kasih kepada ketersediaan rangkaian tertentu dan kelemahan perisian mereka berjaya mencetuskan pelanggaran sempadan memori capaian rawak, penutupan pramatang aplikasi tersuai atau melaksanakan apa-apa kod binari. Sehubungan itu, perlindungan terhadap serangan rangkaian terdiri daripada mencari dan menghapuskan kelemahan.
Kaedah yang paling biasa untuk menyerang rangkaian tempatan adalah menggunakan perisian khas. Ini adalah virus komputer, Trojan horse, sniffers, dan rootkit. Virus ialah perisian tertentu yang dibenamkan ke dalam program lain (selalunya benar-benar sah) dan melakukan tindakan tertentu pada PC pengguna. Sebagai contoh, ia menyulitkan fail, mendaftarkan dirinya dalam BIOS, yang melakukannya mustahil untuk dimuat turun platform perisian, dsb. Kuda Trojan ialah aplikasi yang melaksanakan fungsi tertentu, seperti mencuri debit dan kad kredit pengguna, dapatkan akses kepadanya dompet elektronik. Sniffers memintas paket data yang dihantar oleh komputer ke tapak tertentu. Terima kasih kepada ini, penjenayah siber boleh mengetahui log masuk dan kata laluan untuk perbankan dalam talian dan maklumat penting lain.
Untuk melindungi data pada rangkaian, ia digunakan program antivirus, firewall, penyulitan, anti-penghidu dan anti-rootkit.
ICS - kaedah perlindungan menyeluruh terhadap serangan rangkaian
Syarikat kami sedang membangunkan ICS - program untuk melindungi daripada serangan rangkaian. ICS menyepadukan modul DLP yang menghalang kebocoran data sulit, pengesan serangan Suricata dan Tembok Api Aplikasi Web. Di samping itu, jika perlu, pengguna boleh membeli Anti-Virus dan Anti-Spam daripada Kaspersky Lab atau Dr.Web untuk ICS.
Pelayan Kawalan Internet ialah perlindungan menyeluruh kedua-dua keseluruhan rangkaian dan PC individu!
Untuk masa yang lama, ketenteraman penduduk bandar dipantau oleh pengawal dan pengawal, yang membunyikan penggera sekiranya berlaku kecemasan. Di alam maya, tugas ini diamanahkan sistem pengesanan (pantulan) serangan, atau SOA (Pencerobohan Sistem Pengesanan– IDS). Sistem pengesanan serangan pertama muncul lama dahulu; pembangunan mereka bermula dengan penerbitan pada tahun 1980 artikel "Pemantauan dan Pengawasan Ancaman Keselamatan Komputer" oleh John Anderson. Ia memulakan pembangunan sistem pengesanan serangan, walaupun ia mula digunakan secara aktif kemudian - kira-kira pada awal 1990-an, selepas menyedari bahaya dunia maya.
Terdapat beberapa kekeliruan dalam nama Rusia sistem sedemikian: Sistem Pengesanan Pencerobohan secara literal diterjemahkan sebagai "sistem pengesanan pencerobohan," dan banyak sumber menggunakan nama ini. Walau bagaimanapun, akibat daripada serangan itu tidak semestinya pencerobohan, walaupun fakta serangan itu sendiri juga akan direkodkan oleh sistem sedemikian. Lebih tepat menggunakan perkataan "serangan".
Secara tradisinya, COA dibahagikan kepada sistem yang melindungi nod berasingan(ID hos), dan rangkaian(Network IDS) mengawal paket rangkaian. Terdapat juga SOA hibrid yang menggabungkan keupayaan kedua-dua sistem. hidup pada peringkat tertentu pembangun mahu bukan sahaja mengesan serangan, tetapi juga menghentikannya. Ini adalah bagaimana sistem untuk menghentikan serangan muncul. Mana-mana SOA terdiri daripada penderia yang mengumpul maklumat dan analisis dan mekanisme membuat keputusan. Penderia menganalisis log sistem, panggilan sistem, gelagat aplikasi, integriti fail dan paket rangkaian untuk mengesan peristiwa yang mencurigakan. Set tandatangan digunakan sebagai kriteria, walaupun alat berasaskan anomali semakin popular.
Hari ini, untuk perlindungan lengkap, gabungan antivirus dan firewall tidak lagi mencukupi, jadi pembangun menawarkan SOA untuk kegunaan rumah. Untuk tidak menakutkan pengguna dengan nama baharu, apabila menerangkan produk, istilah seperti "penyelesaian keselamatan menyeluruh" atau "firewall lanjutan" digunakan. Contohnya seperti itu Tembok api luar Firewall Pro, dibincangkan dalam bab sebelumnya. Ia mengandungi modul berasingan yang menyediakan perlindungan terhadap serangan rangkaian. Dalam Bab 3, anda mempelajari tentang sistem keselamatan komputer, yang boleh diklasifikasikan sebagai SOA yang melindungi satu nod.
Pada komputer rumah, fungsi SOA, digunakan untuk melindungi rangkaian korporat dan pelayan dan pada masa yang sama memakan sejumlah besar sumber tidak diperlukan. Untuk sistem desktop Penyelesaian bersepadu ditawarkan, termasuk antivirus, firewall dan SOA.
5.2. Melindungi komputer anda menggunakan Kaspersky Internet Security
Sebelum ini, untuk melindungi daripada penggodam, Kaspersky Lab menawarkan tembok api Anti-Penggodam Kaspersky, yang tugasnya adalah untuk mengawal sambungan masuk dan keluar dan menghentikan sebarang tindakan bermusuhan sebelum ia menyebabkan bahaya. Menggunakan aplikasi ini, adalah mungkin untuk menyembunyikan komputer yang berfungsi pada rangkaian. Kaspersky Anti-Hacker masih dijual di kedai dalam talian, tetapi pada masa menulis buku ini, sebutan mengenainya telah hilang dari laman web Kaspersky Lab. Sebaliknya, penyelesaian komprehensif telah muncul direka bentuk untuk melindungi daripada ancaman utama (virus, penggodam, spam dan perisian pengintip) - Kaspersky Keselamatan Internet.
Program ini boleh melindungi komputer rumah anda sepenuhnya. Di satu pihak, harga satu produk sedemikian adalah kurang daripada jumlah kos semua penyelesaian yang termasuk dalam komposisinya. Di samping itu, penyepaduan mengurangkan kemungkinan konflik sistem. Sebaliknya, jika virus atau perisian pengintip masuk ke komputer anda, ia boleh melucutkan perlindungannya sepenuhnya dalam satu tindakan. Ini tidak mudah, tetapi kemungkinan acara sebegini tidak boleh diketepikan.
Memasang Kaspersky Internet Security
Kebanyakan langkah pemasangan untuk Kaspersky Internet Security bertepatan dengan pemasangan Kaspersky Anti-Virus. Walau bagaimanapun, terdapat perbezaan kerana ciri-ciri produk ini. Pada mulanya, pemasang akan cuba menghubungi pelayan syarikat untuk menyemak kemas kini. Jika tiada sambungan Internet, anda perlu menunggu seketika. Selepas menerima perjanjian lesen, anda digesa untuk memilih salah satu daripada dua pilihan pemasangan:
Pemasangan pantas – semua komponen program akan dipasang dengan parameter pengendalian lalai;
Pemasangan tersuai- pemasangan komponen individu dengan kemungkinan pra-tetapan; mod ini Disyorkan untuk pengguna lanjutan.
Adalah disyorkan untuk memilih pemasangan pantas: dalam kes ini, perlindungan maksimum untuk komputer anda akan disediakan. Jika mana-mana modul tidak diperlukan, anda sentiasa boleh melumpuhkannya. Seterusnya, wizard akan menyemak program yang dipasang dan, jika ia mendapati program yang tidak serasi dengan KIS, akan memaparkan senarainya. Jika anda meneruskan pemasangan, data aplikasi akan dialih keluar untuk mengelakkan konflik. Jika fail konfigurasi ditemui dari pemasangan sebelumnya Kaspersky Anti-Virus atau KIS, anda akan digesa untuk menyimpan tetapan ini. Jika program yang mengganggu KIS telah dialih keluar, anda mungkin perlu memulakan semula komputer anda.
Seperti dalam Kaspersky Anti-Virus, selepas memasang program ia akan bermula Wizard Pratetap. Jika pilihan telah dipilih Pemasangan pantas, wizard akan menawarkan untuk mengaktifkan produk. Selepas but semula Klik dua kali pada ikon dalam Bar tugas anda boleh memanggil tetingkap untuk menyediakan parameter pengendalian KIS (Gamb. 5.1).
nasi. 5.1. Tetingkap tetapan Kaspersky Internet Security
Kebanyakan item menu bertepatan dengan tetapan Kaspersky Anti-Virus, bagaimanapun, dalam menu Perlindungan terdapat beberapa item baru:
Firewall– paparan status dan akses pantas kepada tetapan untuk mod pengendalian tembok api terbina dalam, sistem pengesanan pencerobohan, modul Anti Pengiklanan Dan Anti sepanduk, melihat aktiviti rangkaian komputer;
Anti-Spy– paparan status kerja dan akses pantas kepada tetapan modul Anti-Spy, Anti-Pancingan data, Anti-Pendail Dan Melindungi data sulit;
Anti spam– memaparkan status kerja, melancarkan wizard latihan dan akses pantas kepada tetapan modul Anti spam;
Kawalan ibu bapa– paparan status kerja, pengaktifan dan penyahaktifan serta akses pantas kepada tetapan modul ini.
Mari lihat ciri-ciri fungsi baharu dan beberapa tetapan.
Perhatian!
Selepas pemasangan, semua fungsi di atas dinyahdayakan, yang mengurangkan keselamatan sistem, jadi anda harus melihat melalui tab dan mengaktifkan yang anda perlukan.
Tetapan tetapan firewall
Untuk mengaktifkan tembok api, cuma klik pautan Hidupkan pada tab yang sepadan. Tetingkap tetapan parameter boleh dipanggil dengan menekan butang tetapan di bahagian bawah tetingkap dan memilih item yang sesuai atau daripada item menu yang sesuai Perlindungan. Mengklik pautan Lihat aktiviti rangkaian semasa, anda akan memaparkan kuantiti aplikasi aktif menggunakan rangkaian, serta bilangan sambungan dan port terbuka.
Terdapat beberapa kawasan yang tersedia dalam tetingkap tetapan modul, di mana setiap satunya anda boleh dayakan/lumpuhkan dengan menandai kotak yang sesuai Firewall sepenuhnya atau salah satu komponennya - sistem penapisan, sistem pengesanan pencerobohan, Anti Pengiklanan atau Anti-Sepanduk(Gamb. 5.2). Di kawasan tetapan tembok api terdapat peluncur, yang menggunakan mana anda boleh menetapkan satu daripada lima tahap perlindungan:
Benarkan semuanya- mana-mana dibenarkan aktiviti rangkaian tiada sekatan, sepadan dengan melumpuhkan tembok api;
Perlindungan minimum– semua sambungan rangkaian dibenarkan, kecuali yang dilarang oleh peraturan;
Mod latihan– pengguna secara bebas memutuskan aktiviti rangkaian yang dibenarkan atau dilarang; apabila cuba mengakses rangkaian aplikasi yang peraturannya belum dibuat, pengguna diminta untuk pengesahan dan peraturan baharu dibuat berdasarkan respons;
Perlindungan maksimum– semua sambungan yang tidak dapat diselesaikan disekat;
Sekat semuanya– semua sambungan disekat, akses kepada rangkaian tempatan dan Internet adalah dilarang; mesti digunakan sekiranya pengesanan serangan rangkaian atau semasa bekerja dalam rangkaian berbahaya.
nasi. 5.2. Tetapan modul firewall
Semasa pemasangan, peraturan dicipta untuk semua aplikasi, tetapi ia tidak selalu optimum untuk sistem tertentu, jadi disyorkan untuk menukar tahap perlindungan daripada minimum lalai kepada latihan. Anda harus bertukar kepada mod perlindungan maksimum hanya jika anda pasti bahawa semua peraturan membenarkan telah dibuat. Walau bagaimanapun, selepas memasang perisian baharu, anda harus kembali ke mod perlindungan latihan semula. Apabila sistem beroperasi dalam mod latihan, pengguna dimaklumkan (Rajah 5.3).
nasi. 5.3. Pemberitahuan Aktiviti Rangkaian
Ia mengandungi penerangan tentang aktiviti dan maklumat yang diperlukan untuk membuat keputusan: jenis sambungan (masuk, keluar), protokol, aplikasi, alamat IP jauh dan port, pelabuhan tempatan. Berdasarkan data yang diterima, anda boleh memilih tindakan yang diingini dengan mengklik butang yang sepadan - benarkan atau melarang. Pilih satu pilihan Lumpuhkan mod latihan akan melumpuhkan mod operasi modul ini.
Jika kotak semak ditandakan Buat peraturan, maka peraturan baharu dijana berdasarkan respons yang dipilih, dan semasa aktiviti rangkaian seterusnya aplikasi ini, jika parameter permintaan sepadan, program tidak akan mengganggu pengguna. Dalam senarai juntai bawah, anda mesti memilih jenis aktiviti yang digunakan untuk tindakan yang dipilih. Beberapa pilihan tersedia:
Apa-apa aktiviti– sebarang aktiviti rangkaian aplikasi ini;
Secara selektif– aktiviti khusus yang harus dinyatakan dalam tetingkap penciptaan peraturan;
alamat ini- aktiviti aplikasi, alamat jauh sambungan rangkaiannya sepadan dengan yang ditentukan; boleh berguna jika anda ingin mengehadkan aktiviti rangkaian untuk aplikasi yang dipilih kepada alamat yang ditentukan.
Anda juga boleh memilih salah satu pratetap yang menerangkan sifat aplikasi: Program mel, pelayar, Pengurus muat turun, Pelanggan FTP, Pelanggan Telnet atau Penyegerak jam.
Modul Pengesanan Pencerobohan Komponen Firewall bertindak balas kepada aktiviti biasa serangan rangkaian. Jika percubaan untuk menyerang komputer dikesan, pemberitahuan yang sepadan akan muncul pada skrin yang menunjukkan maklumat tentang komputer yang menyerang: jenis serangan, alamat IP penyerang, protokol dan perkhidmatan yang diserang, tarikh dan masa. Dalam kes ini, sistem menyekat alamat IP komputer yang menyerang selama satu jam. Anda boleh menukar masa menyekat di kawasan tersebut Sistem pengesanan pencerobohan dalam medan di sebelah kotak semak Tambahkan komputer yang menyerang pada senarai sekatan dihidupkan.
Menyediakan peraturan aplikasi
Anda boleh memperhalusi pengendalian modul Firewall menggunakan peraturan. Penghantaran termasuk satu set peraturan untuk aplikasi yang paling terkenal, aktiviti rangkaian yang telah dianalisis oleh pakar dan yang mempunyai definisi yang jelas - berguna atau berbahaya. Untuk satu program, anda boleh mencipta beberapa peraturan membenarkan dan menafikan. Dalam kebanyakan kes, untuk membuat peraturan, sudah cukup untuk menggunakan mod latihan dan dalam kotak dialog tetapkan syarat di mana program akan mendapat akses kepada rangkaian. Walau bagaimanapun, situasi mungkin timbul apabila anda perlu mengedit peraturan yang dibuat, contohnya, jika akses rangkaian kepada aplikasi yang berguna telah disekat secara tersilap. Anda boleh membuat peraturan sendiri. Untuk pergi ke tetingkap pengeditan peraturan, klik butang tetapan di kawasan Sistem penapisan. Dalam tetingkap yang muncul, pergi ke tab Peraturan Permohonan(Gamb. 5.4).
nasi. 5.4. Tetingkap untuk menyediakan peraturan aplikasi
Semua peraturan pada tab ini boleh dikumpulkan dalam dua cara. Jika kotak semak dipilih, senarai aplikasi yang terdapat peraturan yang dijana akan dipaparkan. Untuk setiap program, maklumat berikut dipaparkan: nama dan ikon aplikasi, baris arahan untuk dilancarkan (jika ada), direktori akar di mana fail boleh laku aplikasi terletak, dan bilangan peraturan yang dibuat untuknya.
Dengan mengklik dua kali pada aplikasi yang dipilih, anda boleh melihat dan mengedit senarai peraturan. Mengklik pada peraturan akan menunjukkan sifatnya: dibenarkan atau ditolak, keluar, masuk atau kedua-dua arah, protokol, port jauh dan setempat, alamat IP jauh dan masa hari semasa peraturan itu berkuat kuasa (Rajah 5.5). Dengan mengklik dua kali peraturan atau memilih peraturan dan mengklik Ubah, anda akan mempunyai akses kepada tetingkap penyuntingan peraturan, di mana anda boleh menukar mana-mana parameter yang ditentukan. Dengan menekan butang Tambah, anda boleh membuat peraturan baharu sendiri. Prosedur untuk mengedit dan mencipta peraturan adalah serupa dengan peraturan mengedit dalam Outpost Firewall (lihat bahagian yang sepadan).
nasi. 5.5. Sifat peraturan
Beri perhatian kepada butang Eksport Dan Import: dengan bantuan mereka anda boleh dengan cepat memindahkan peraturan yang dihasilkan ke komputer lain, yang sesuai untuk persediaan cepat peraturan modul Firewall. Klik butang Eksport dan nyatakan lokasi dan nama fail yang anda ingin simpan tetapan, kemudian pindahkan fail itu ke komputer lain, klik Import dan pilih fail dengan tetapan yang disimpan.
Untuk menerima amaran atau peraturan rekod yang mencetuskan dalam laporan, anda mesti memilih kotak pilihan Tunjukkan amaran Dan Tulis untuk melaporkan dalam tingkap Mengedit peraturan.
Apabila tidak ditanda Peraturan kumpulan mengikut aplikasi semua peraturan akan ditunjukkan tanpa mengumpulkan nama aplikasi.
Jika anda mendapati bahawa aplikasi tidak boleh mengakses rangkaian, salah satu sebab mungkin anda telah menetapkan peraturan penafian dalam modul Firewall. Paling banyak dengan cara yang pantas semak ini adalah penggantungan sementara Firewall . Ini boleh dilakukan dalam beberapa cara. Anda boleh memilih tahap perlindungan dalam tetingkap tetapan Membenarkan semua atau nyahtanda kotak Dayakan Firewall dan tekan butang Mohon. Jika selepas ini aplikasi berfungsi seperti biasa, maka masalahnya adalah dalam peraturan larangan. Keadaan ini boleh diperbetulkan dengan mudah: pergi ke tetingkap tetapan peraturan aplikasi, pilih aplikasi dan lihat semua peraturan yang dibuat untuknya, pusing Perhatian istimewa kepada yang melarang. DALAM sebagai jalan terakhir Anda boleh menandakan aplikasi dengan mengklik padanya dan mengklik Padam untuk memadam semua peraturan yang dibuat untuknya. Kemudian pilih mod keselamatan pembelajaran dan cipta peraturan baharu mengikut keperluan.
Kecuali Peraturan Permohonan tetingkap tetapan Anti-Penggodam mengandungi tiga lagi tab. Tab Peraturan pakej serupa dengan yang diterangkan di atas, hanya di dalamnya anda boleh menetapkan peraturan penapisan untuk paket (Gamb. 5.6).
nasi. 5.6. Tetingkap untuk membuat peraturan untuk pakej
Peraturan yang ditulis pada tab ini beroperasi pada tahap yang lebih rendah, jadi ia digunakan tanpa mengira aplikasi yang menjana atau menerimanya. Jika perlu, sebagai contoh, untuk melarang akses secara global kepada sumber atau perkhidmatan tertentu (tempatan atau jauh), anda harus menentukan parameter yang diperlukan di sini; kemudian, dengan menukar aplikasi, tidak mungkin untuk memintas larangan yang dibuat untuk program tertentu. Untuk setiap peraturan penapisan, maklumat berikut disediakan: nama peraturan, membenarkan atau menafikan, protokol penghantaran, arah paket dan parameter sambungan rangkaian yang mana paket dihantar. Peraturan boleh dilumpuhkan dengan mengosongkan kotak pilihan yang sepadan.
Wizard akan mencari semua antara muka rangkaian yang tersedia pada komputer dan menentukan dasar keselamatan untuk setiap satu, iaitu, tahap kepercayaan kepada komputer yang terletak di zon ini. Senarai antara muka rangkaian tersedia pada tab Zon: Di sini anda boleh mengedit senarai antara muka rangkaian dan menukar dasar keselamatan.
Jika tidak semua antara muka ditemui semasa pemasangan, klik Cari Untuk carian semula. Jika ini tidak membantu, anda harus mengklik butang Tambah dan dalam tetingkap yang muncul, masukkan nama, alamat subnet dan topeng rangkaian. Tahap kepercayaan dicirikan oleh status rangkaian. Status boleh ambil nilai berikut:
Dipercayai– semua sambungan dibenarkan tanpa sekatan;
Rangkaian tempatan– komputer lain dibenarkan mengakses fail dan pencetak tempatan, dan mesej ralat dibenarkan dihantar ( Protokol ICMP), dan mod siluman dimatikan secara lalai; aktiviti rangkaian aplikasi dikawal oleh peraturan;
Internet– akses kepada fail dan pencetak dan menghantar mesej ICMP adalah dilarang, mod stealth didayakan; aktiviti rangkaian aplikasi dikawal oleh peraturan.
Untuk semua zon kecuali Internet, anda boleh menukar status. Untuk melakukan ini, klik pada nama di kawasan tersebut Penerangan. Kawasan Internet sentiasa ada status Internet, dan adalah mustahil untuk mengubahnya, jadi apabila bekerja di Internet pengguna akan dilindungi secara maksimum. Mod halimunan boleh diubah dalam beberapa cara, yang paling mudah ialah dengan menandakan kotak dengan nama yang sama.
Catatan
Tiada apa-apa yang luar biasa tentang mod siluman. Paket ICMP dengan kod ECHO_REQUEST dihantar ke komputer jauh. Anda boleh menjalankan semakan sedemikian secara manual dengan melaksanakan arahan Mula > Laksanakan dan masukkan perintah ping host_name dalam tetingkap yang terbuka. Jika komputer disambungkan ke rangkaian, tindak balas mestilah paket dengan kod ECHO_REPLY. Dalam mod siluman, paket sedemikian disekat, yang bermaksud bahawa untuk kebanyakan aplikasi yang pada mulanya menyemak fungsinya, ia tidak kelihatan.
Pada tab Selain itu Menggunakan suis anda boleh memilih salah satu daripada dua mod pengendalian:
Kelajuan maksimum– penyediaan mod kelajuan maksimum permainan rangkaian, tetapi pada masa yang sama mungkin terdapat masalah keserasian yang boleh diselesaikan sebahagiannya dengan melumpuhkan mod senyap.
Untuk memastikan bahawa pilihan baharu dipilih pada tab Selain itu, telah berkuat kuasa, anda harus memulakan semula komputer anda.
Kepada modul Firewall termasuk dua komponen lagi.
Anti Pengiklanan– menyekat tetingkap pop timbul yang digunakan untuk mengiklankan produk atau perkhidmatan dan tidak membawa beban yang berguna. Apabila anda cuba membuka tetingkap sedemikian, outputnya disekat, dan pengguna diberi amaran di mana dia boleh memutuskan sama ada untuk menyekat atau membenarkan output. Berfungsi dengan betul dengan penyekat pop timbul Microsoft internet Explorer, yang disertakan dalam Pek Perkhidmatan 2 untuk Microsoft Windows XP.
Tetingkap pop timbul tidak selalu mengandungi pengiklanan; pada sesetengah tapak, ini memaparkan tetingkap untuk memilih fail untuk dimuat turun atau lebih akses cepat atau memaparkan beberapa maklumat. Kepada modul Anti Pengiklanan tidak menyekat tetingkap tersebut, ia mesti ditambahkan ke senarai yang dipercayai. Untuk melakukan ini, klik butang Alamat yang dipercayai, yang terletak di kawasan itu Penyekat pop timbul, kemudian klik butang Tambah dan dalam tetingkap yang muncul, masukkan alamat sumber yang tetingkap pop timbulnya tidak seharusnya disekat. Dalam kes ini, anda boleh menggunakan topeng. Sebagai contoh, http://microsoft* akan mengenal pasti semua alamat bermula dengan perkataan microsoft sebagai dipercayai. Menggunakan kotak pilihan yang terletak di kawasan tersebut Zon yang dipercayai, anda boleh menentukan hos yang termasuk dalam zon dipercayai Microsoft Internet Explorer dan rangkaian tempatan sebagai dipercayai.
Catatan
Dalam Internet Explorer, anda boleh menentukan senarai tapak yang pengguna anggap dipercayai. Untuk melakukan ini, jalankan perintah Perkhidmatan dalam tetingkap penyemak imbas > Pilihan Internet, pergi ke tab Keselamatan, klik ikon Tapak Dipercayai dan klik butang Tapak di bawah. Dalam tetingkap yang muncul, masukkan sumber web yang anda percayai.
Termasuk dalam penghantaran komponen standard Anti-Sepanduk Senarai templat sepanduk yang kerap berlaku disertakan. Dengan menekan butang tetapan, terletak di kawasan itu Menyekat sepanduk pengiklanan, anda boleh menetapkan senarai sepanduk yang dilarang dan dibenarkan secara bebas. Tetingkap yang muncul mengandungi tiga tab (Gamb. 5.7).
nasi. 5.7. Menyediakan penyekatan sepanduk
Pada tab Adalah biasa Senarai sepanduk yang dibuat oleh pakar Kaspersky Lab telah disiarkan. Senarai ini tidak boleh diedit, tetapi anda boleh melumpuhkan sebarang peraturan dengan menyahtanda kotak pilihan yang sepadan. Untuk menganalisis sepanduk yang tidak berada di bawah topeng senarai standard, pilih kotak semak Gunakan kaedah analisis heuristik– imej yang dimuat naik akan dianalisis untuk kehadiran ciri khusus sepanduk. Pada tab "Senarai hitam Dan "Senarai putih Menentukan topeng tersuai untuk sepanduk yang perlu disekat dan dibenarkan. Menambah topeng baharu pada senarai adalah mudah. Pergi ke tab yang dikehendaki, klik butang Tambah dan dalam tetingkap yang muncul, masukkan alamat penuh(URL) sepanduk atau templat. Dalam kes kedua, apabila membuka sepanduk Anti-Sepanduk akan mencari urutan aksara yang ditentukan dalam alamatnya. Alamat yang dinyatakan pada tab ini hanya mempengaruhi paparan sepanduk, jadi anda boleh menentukan alamat keseluruhan tapak, contohnya http://www.test.com/, dan sepanduk kepunyaan tapak ini akan disekat. Butang Eksport Dan Import, yang terletak pada tab ini, akan membantu anda memindahkan senarai yang dijana dengan cepat ke komputer lain.
Modul Anti-Spy
Untuk menyelesaikan cerita tentang Kaspersky Internet Security, mari lihat tiga modul yang tinggal: Anti-Spy, Anti spam Dan Kawalan ibu bapa. Perisian pengintip diliputi dengan lebih terperinci dalam Bab 6, anti-spam dalam Bab 8, program kawalan ibu bapa dalam Bab 9, dan serangan pancingan data dalam Bab 7.
Modul Anti-Spy membolehkan anda melindungi diri anda daripada pengiklanan yang mengganggu, dipaparkan dalam tetingkap penyemak imbas dalam bentuk sepanduk dan pop timbul. Menggunakan modul ini memungkinkan untuk mengenali kaedah yang diketahui Penipuan internet, percubaan mencuri maklumat sulit(kata laluan, nombor kad kredit), akses tanpa kebenaran ke Internet dan penggunaan sumber berbayar tanpa kebenaran.
Memilih modul Anti-Spy dalam tetingkap program utama, anda akan menerima statistik operasi am dan status semasa modul secara keseluruhan dan komponen individunya. Di sini anda boleh menjeda atau menghentikan operasi modul buat sementara waktu, serta membolehkan perlindungan jika ia telah dilumpuhkan.
nasi. 5.8. Tetingkap tetapan modul Anti-Spy
Semua tetapan dalam Kaspersky Internet Security adalah sama, oleh itu, setelah menguasai satu komponen, mudah untuk mencari tetapan yang lain. Nyahtanda Dayakan Anti-Spy dan menekan butang Mohon, anda boleh melumpuhkan modul. Anti-Spy terdiri daripada tiga komponen:
Anti-Pancingan data– melindungi daripada serangan pancingan data dengan menjejaki percubaan untuk membuka tapak pancingan data yang diketahui: Kaspersky Internet Security merangkumi maklumat tentang semua tapak yang diketahui pada masa ini yang digunakan untuk melakukan serangan sedemikian; apabila tandatangan ancaman dikemas kini, senarai ini juga dikemas kini;
Anti-Pendail– menyekat percubaan untuk mewujudkan sambungan modem dengan sumber Internet berbayar;
Menghalang penghantaran data sensitif– mengenali dan memberi amaran kepada pengguna (dalam tetapan lalai) tentang percubaan untuk menghantar data sulit atau percubaan untuk mendapatkan akses kepada data peribadi atau kata laluan.
Begitu juga untuk modul Anti-Pendail: jika anda ingin membenarkan sambungan oleh nombor tertentu tanpa meminta program, tambahkannya ke senarai nombor yang dipercayai. Untuk melakukan ini, klik butang Nombor yang dipercayai dan masukkan nombor telefon atau corak. Untuk mengalih keluar nombor sementara daripada senarai, nyahtanda kotak yang sepadan, dan jika anda perlu mengalih keluar nombor itu sepenuhnya, pilih dengan butang tetikus dan klik Padam.
Mengkonfigurasi modul Anti-Spam
Dengan mudah, Kaspersky Internet Security mengandungi satu set aplikasi yang diperlukan untuk perlindungan sistem yang lengkap. Setelah mendaftarkan peti mel, anda akan menemui surat di dalamnya yang tidak ditujukan untuk anda secara peribadi, yang mana kehadiran modul berguna Anti spam, yang boleh mengesan mesej sedemikian.
Memilih modul Anti spam dalam tetingkap utama program, anda boleh mendapatkan maklumat tentang status operasinya dan statistik mesej yang diimbas sejak pelancaran dan mesej diiktiraf sebagai spam. Mengklik di mana-mana kawasan Buka laporan, anda boleh mendapatkan maklumat yang lebih terperinci. Tekan butang tetapan akan membawa kepada tetingkap tetapan operasi modul (Gamb. 5.9).
nasi. 5.9. Tetingkap tetapan modul anti-Spam
Semua e-mel, yang diiktiraf oleh modul sebagai spam, ditandakan dalam medan Subjek label [!! SPAM]. Mesej mungkin berpotensi spam, ditandakan sebagai [?? Kemungkinan Spam]. Tiada lagi pembedahan Anti spam tidak menghasilkan atau memadam mesej dengan sendirinya, walaupun ia jelas diklasifikasikan sebagai spam.
Secara lalai, perlindungan antispam didayakan. Untuk melumpuhkannya, nyahtanda kotak Dayakan Anti-Spam, dan jika anda perlu menjeda perlindungan buat sementara waktu, gunakan butang dalam tetingkap program utama. Untuk kemudahan, aplikasi telah memperkenalkan tahap keagresifan operasi modul - tahap yang dikehendaki dipilih menggunakan peluncur yang terletak di kawasan dengan nama yang sama dalam tetingkap tetapan.
Tersedia pilihan seterusnya:
Benarkan semuanya- paling Level rendah kawalan: hanya mel yang mengandungi baris daripada senarai frasa "hitam" atau pengirim yang disertakan dalam senarai "hitam" diiktiraf sebagai spam;
Pendek– tahap yang lebih ketat di mana ia dihasilkan analisis penuh, tetapi tahap tindak balas mekanisme untuk menganalisis surat masuk ditetapkan lebih rendah daripada biasa, jadi kebarangkalian penghantaran spam adalah lebih tinggi, walaupun kerugiannya lebih kecil; disyorkan jika anda menerima banyak e-mel berguna yang disalah anggap sebagai spam;
tinggi– tahap dengan ambang yang lebih ketat untuk mencetuskan mekanisme pengesanan, jadi e-mel yang bukan spam mungkin berakhir sebagai spam; huruf dianalisis berdasarkan senarai "putih" dan "hitam" dan menggunakan teknologi penapisan moden; disyorkan apabila alamat penerima tidak diketahui oleh penghantar spam;
Sekat semuanya- paling tahap tinggi: hanya e-mel daripada senarai "putih" akan melalui tanpa halangan, selebihnya akan ditandakan sebagai spam.
Anda boleh menentukan sendiri parameter pengesanan spam. Untuk melakukan ini, klik butang tetapan di kawasan Tahap keagresifan. Tetingkap yang muncul mengandungi empat tab. Tab "Senarai putih Dan "Senarai hitam adalah serupa dalam tetapan, hanya parameter yang dinyatakan di dalamnya akan menyebabkan tindak balas yang berbeza Anti spam. Semua yang termasuk dalam "Senarai putih, pasti akan merujuk kepada mel biasa, dan apa yang akan dimasukkan Senarai "Hitam"., akan menunjukkan spam. Setiap tab dibahagikan kepada dua blok. Alamat e-mel ditulis di bahagian atas dan frasa utama di bahagian bawah. Alamat e-mel boleh diisi secara manual atau semasa latihan modul Anti spam. Untuk menetapkan alamat e-mel secara manual dari mana e-mel tidak akan dianggap sebagai spam, pergi ke tab "Senarai putih dan tandakan kotak Saya ingin menerima e-mel daripada pengirim berikut, kemudian klik Tambah dan masukkan alamat dalam medan yang dipaparkan. Anda boleh memasukkan alamat e-mel penuh, sebagai contoh [e-mel dilindungi] , atau anda boleh menggunakan templat. Contohnya, templat *@mail.ru akan menunjukkan Anti spam bahawa semua surat datang dari pelayan mail.ru, jatuh di bawah peraturan.
Untuk menambah baris berdasarkan e-mel yang akan dianggap berguna, tandai kotak Saya ingin menerima e-mel yang mengandungi frasa berikut, tekan butang Tambah dan masukkan frasa atau corak. Anda boleh bersetuju dengan rakan anda supaya mereka sentiasa menandatangani surat dengan beberapa frasa yang disertakan "Senarai putih, maka surat yang datang daripada mereka tidak akan berakhir dengan spam.
Alamat pos dan frasa pada tab diisi dengan sama. "Senarai hitam. Semak kotak Saya tidak mahu menerima e-mel daripada pengirim berikut untuk mengaktifkan penapis melalui alamat mel. Untuk mendayakan penapisan mengikut kata kunci, gunakan kotak pilihan Saya tidak mahu menerima e-mel yang mengandungi frasa berikut.
Apabila masuk frasa kunci ia dikehendaki untuk tambahan menunjukkan yang sepadan pekali berat. Sukar untuk memilih pekali sendiri, jika ragu-ragu, nyatakan nilainya 50 atau gunakan peraturan sedia ada sebagai pembayang. Surat akan diklasifikasikan sebagai spam jika jumlah pekalinya melebihi nombor tertentu. Tidak seperti senarai "putih", pembangun menyertakan frasa yang paling kerap digunakan oleh spammer dalam senarai "hitam".
Modul pengecaman spam Anti spam menggunakan pelbagai teknologi yang boleh dihidupkan dan dimatikan pada tab Pengesanan spam(Gamb. 5.10).
nasi. 5.10. Mengkonfigurasi teknologi penapisan spam
Di kawasan Penapis menunjukkan teknologi yang hendak digunakan untuk mengesan spam:
Algoritma pembelajaran kendiri iBayes - analisis teks mesej mel untuk kehadiran frasa yang berkaitan dengan spam;
Teknologi GSG – analisis imej yang diletakkan dalam surat: berdasarkan perbandingan dengan tandatangan grafik yang unik, kesimpulan dibuat bahawa imej itu tergolong dalam spam grafik;
Teknologi PDB – analisis pengepala: berdasarkan satu set peraturan heuristik, andaian dibuat sama ada surat itu adalah spam;
Teknologi Terma Terkini – analisis teks mesej untuk frasa tipikal spam; pangkalan data yang disediakan oleh pakar Kaspersky Lab digunakan sebagai standard.
Di kawasan-kawasan Faktor spam Dan Faktor spam yang berpotensi menunjukkan pekali di atas yang mana huruf itu akan dianggap sebagai spam atau berpotensi spam. Dipilih secara lalai nilai optimum; Menggunakan peluncur, anda boleh menetapkan tahap yang diperlukan secara bebas. Selepas bereksperimen, anda akan menemui parameter yang boleh diterima.
Tab Selain itu membolehkan anda menentukan kriteria tambahan yang mana spam akan dikesan (parameter mesej yang salah, kehadiran jenis sisipan HTML tertentu, dsb.). Anda mesti menandakan kotak yang sesuai dan tetapkan faktor spam sebagai peratusan. Secara lalai, faktor spam dalam semua kriteria ialah 80%, dan surat akan diiktiraf sebagai spam jika jumlah semua kriteria ialah 100%. Jika anda mahu semua e-mel yang tidak ditujukan kepada anda dianggap sebagai spam, tandai kotak Tidak ditujukan kepada saya, kemudian tekan butang alamat saya, kemudian Tambah dan masukkan semua alamat surat-menyurat yang anda gunakan. Kini, apabila menganalisis mesej baharu, alamat penerima akan diperiksa dan jika alamat tersebut tidak sepadan dengan mana-mana alamat dalam senarai, mesej tersebut akan diberikan status spam. Apabila anda kembali ke tetingkap tetapan utama Anti spam, ia akan menetapkan tahap keagresifan Adat.
Latihan Anti-Spam
Untuk meningkatkan kecekapan modul Anti spam, adalah perlu untuk melatihnya dengan menunjukkan huruf mana yang spam dan surat-menyurat biasa. Beberapa pendekatan digunakan untuk latihan. Sebagai contoh, agar alamat koresponden yang anda berkomunikasi dapat ditambahkan secara automatik pada senarai "putih", anda perlu menandai kotak Belajar daripada e-mel keluar(ia terletak di padang Pendidikan tetingkap tetapan modul Anti spam). Hanya 50 huruf pertama akan digunakan untuk latihan, kemudian latihan akan tamat. Selepas melengkapkan latihan, anda harus menyemak senarai putih alamat anda untuk memastikan bahawa penyertaan yang diperlukan ada di dalamnya.
Di kawasan Pendidikan butang terletak Sarjana Latihan. Dengan mengkliknya, anda masuk mod langkah demi langkah anda boleh mengajar Anti spam, menunjukkan folder klien mel yang mengandungi spam dan surat biasa. Adalah disyorkan untuk menjalankan latihan sedemikian pada awal kerja. Selepas memanggil wizard latihan, anda perlu melalui empat langkah.
1. Kenal pasti folder yang mengandungi surat-menyurat berguna.
2. Petunjuk folder yang mengandungi spam.
3. Pembelajaran automatik Anti spam. Alamat e-mel pengirim mel berguna ditambahkan pada senarai "putih".
4. Menyimpan hasil kerja tuan latihan. Di sini anda boleh menambah hasil kerja anda ke pangkalan data lama atau menggantikannya dengan yang baharu.
Untuk menjimatkan masa, tuan mengajar Anti spam hanya pada 50 huruf dalam setiap folder. Agar algoritma Bayesian yang digunakan untuk mengecam spam berfungsi dengan betul, ia harus dilatih pada sekurang-kurangnya 50 e-mel berguna dan 50 e-mel spam.
Pengguna mungkin tidak selalu mempunyai begitu banyak e-mel, tetapi ini tidak menjadi masalah. Keretapi Anti spam mungkin semasa bekerja. Terdapat dua pilihan latihan:
Menggunakan klien e-mel;
Menggunakan laporan Anti spam.
Semasa pemasangan modul Anti spam dibina ke dalam klien e-mel berikut:
Microsoft Office Outlook - butang muncul pada panel Spam Dan Bukan spam, dan dalam tetingkap dipanggil oleh arahan menu Alat > Pilihan, tab Anti spam;
Microsoft Outlook Express - butang muncul dalam tetingkap Spam Dan Bukan spam dan butang tetapan;
Kelawar itu! – komponen baru tidak muncul, tetapi Anti spam bertindak balas terhadap pemilihan item Tandai sebagai spam Dan Tandai sebagai BUKAN spam pada menu Istimewa.
Latihan menggunakan laporan adalah mudah. Pilih modul Anti spam dalam tetingkap program utama dan klik pada kawasan tersebut Buka laporan. Pengepala semua e-mel dipaparkan pada tab Peristiwa tingkap dibuka. Menggunakan butang tetikus, pilih huruf yang akan digunakan untuk latihan Anti spam, tekan butang Tindakan dan pilih salah satu daripada empat pilihan: Tandai sebagai spam, Tandai sebagai bukan spam, Tambahkan ke senarai putih atau Tambahkan ke senarai hitam. Selepas itu Anti spam akan dilatih. Sila ambil perhatian bahawa jika tidak terdapat rekod yang mencukupi dalam pangkalan data, mesej akan dipaparkan dalam tajuk tetingkap ini yang menunjukkan berapa banyak lagi huruf yang diperlukan untuk melatih modul.
Jika dalam tetingkap tetapan Anti spam kotak semak ditandai Buka Pengurus Mel apabila menerima mel, anda mendapat satu lagi peluang untuk mengawal selia mel masuk. Apabila berhubung dengan pelayan mel akan buka Pengurus mel, yang membolehkan anda melihat senarai mesej pada pelayan tanpa memuat turunnya ke komputer anda (Gamb. 5.11).
nasi. 5.11. Pengurus mel
Ini memaparkan maklumat yang diperlukan untuk membuat keputusan: penghantar, penerima, subjek dan saiz mesej. Dalam lajur sebab ulasan modul mungkin ditunjukkan Anti spam.
Lalai Anti spam menganalisis e-mel masuk tanpa mengira klien e-mel yang dipasang. Jika salah satu daripada pelanggan e-mel yang disenaraikan di atas digunakan sebagai yang terakhir, kerja berganda tersebut tidak diperlukan, jadi anda harus nyahtanda Proses trafik POP3/SMTP/IMAP, yang berada di kawasan itu Penyepaduan sistem. Pasangnya hanya jika anda menggunakan sesuatu selain daripada yang disenaraikan. program mel. Jika integrasi dengan yang ditentukan pelanggan mel tidak diperlukan, nyahtanda Hidupkan Sokongan Microsoft Tinjauan Pejabat/Kelawar itu!.
Dengan enggan mengambil yang tidak perlu atau mesej yang mencurigakan, anda bukan sahaja boleh menjimatkan trafik, tetapi juga mengurangkan kemungkinan spam dan virus dimuat turun ke komputer anda. Apabila anda memilih mesej, pengepalanya akan muncul di bawah, mengandungi maklumat tambahan tentang pengirim surat. Untuk memadamkan mesej yang tidak perlu, tandai kotak di sebelah mesej dalam lajur Padam dan tekan butang Buang yang ditanda. Jika anda mahu Penghantar hanya menunjukkan mesej baharu pada pelayan, pastikan kotak semak ditandakan Tunjukkan hanya mesej baharu.
5.3. Prevx1 Sistem Keselamatan Awam
Kebanyakan sistem keselamatan komputer hari ini mempunyai kelemahan. Yang utama ialah mereka tidak dapat melindungi sistem daripada jenis serangan atau virus baharu yang tidak termasuk dalam pangkalan data.
Catatan
Dalam literatur khusus, istilah serangan sifar hari (0 hari) sering digunakan untuk merujuk kepada jenis serangan baharu yang tidak diketahui.
Ia mengambil sedikit masa untuk melatih sistem proaktif, di mana pengguna membuat keputusan untuk menerima program. Sistem sedemikian hari ini bertanya lebih sedikit dan lebih sedikit soalan, tetapi pengguna dikehendaki mempunyai tahap pemahaman tertentu tentang apa yang berlaku dalam sistem - sekurang-kurangnya sedemikian rupa sehingga kemunculan proses baharu menimbulkan syak wasangka. Profil yang dibuat hanya akan diketahui pada satu komputer, jadi sekiranya berlaku serangan pada mesin lain, latihan perlu diulang sekali lagi. Kemungkinan ralat berlaku adalah tinggi, terutamanya memandangkan kadar ralat yang tinggi tipikal sistem proaktif.
Kepada pencipta Sistem Pencegahan Pencerobohan Komuniti (CIPS) Prevx ( http://www.prevx.com/), syarikat Inggeris Prevx Limited, berjaya menemui maksud emas. Sistem ini baru mendapat populariti, tetapi keaslian penyelesaian dan kecekapan menjadikannya layak dipertimbangkan.
Prinsip operasi
Buat pertama kalinya, prototaip jenis sistem penahan serangan baharu telah dibentangkan kepada umum pada Februari 2004 dan dipanggil Prevx Home. Terdapat banyak perkara unik dalam sistem yang dibentangkan. Tidak seperti sistem antivirus, yang menggunakan tandatangan untuk mengenal pasti fail berniat jahat, atau beberapa sistem yang berfungsi dengan senarai aplikasi yang dibenarkan, dalam sistem baru peraturan telah digunakan yang menerangkan tingkah laku dan kawalan untuk integriti program. Selain itu, senarai itu termasuk kedua-duanya jelas baik dan program yang tidak baik, yang memungkinkan untuk menentukan dengan cepat sifat aplikasi atau proses baharu pada komputer. Namun, ini bukanlah perkara utama.
Sistem ini menggunakan pangkalan data Tontonan Komuniti tunggal. Ia adalah sumber maklumat yang paling berkuasa yang menentukan kewujudan, pengedaran dan aktiviti kedua-dua perisian jinak dan berniat jahat. Menggunakan maklumat yang dikumpul dalam pangkalan data ini, tingkah laku dan penyebaran awam setiap program boleh dijejaki dan dianalisis dalam masa nyata. Dipasang pada setiap komputer pelanggan ejen keselamatan, yang memantau keadaan dalam sistem yang dilindungi. Apabila memasang aplikasi baharu atau rupa proses baharu yang tidak diketahui oleh pangkalan data tempatan, ejen menghantar permintaan melalui Internet ke pangkalan data pusat dan, berdasarkan maklumat yang diterima, membuat kesimpulan tentang kebolehpercayaannya.
Jika tiada maklumat tentang program baharu dalam pangkalan data pusat, modul baharu dimasukkan ke dalamnya dan ditandakan sebagai tidak diketahui, dan pengguna diberi amaran tentang kemungkinan risiko. Tidak seperti antivirus, yang memerlukan sedikit masa untuk analisis oleh pakar, Community Watch dalam kebanyakan kes dapat menentukan secara bebas sifat program berdasarkan ciri tingkah laku. Untuk tujuan ini, teknik Empat Axes of Evil digunakan, yang menentukan sifat program mengikut empat komponen: kerahsiaan, tingkah laku, asal dan pengedaran. Akibatnya, perihalan dibuat yang mengandungi kira-kira 120 parameter yang memungkinkan untuk mengenal pasti program ini dengan jelas pada masa hadapan, iaitu, jika utiliti yang tidak diketahui oleh pangkalan data melakukan tindakan yang sama seperti program berniat jahat yang diketahui, tujuannya adalah jelas. . Jika data yang dikumpul oleh ejen tidak mencukupi untuk membuat keputusan yang jelas, pangkalan data mungkin memerlukan salinan program untuk pengesahan. Menurut pemaju, hanya peratusan kecil kes memerlukan campur tangan khas daripada pakar.
Apabila mula-mula dilancarkan, pangkalan data itu mengandungi maklumat tentang sejuta peristiwa, dan selepas 20 bulan ia sudah mengandungi maklumat kira-kira satu bilion. Prinsip operasi ini memungkinkan untuk menghapuskan positif palsu, jadi tidak menghairankan bahawa program generasi baru tidak lama lagi muncul - Prevx1, ujian yang bermula pada 16 Julai 2005. Hasilnya melebihi semua jangkaan: 100 ribu komputer yang tersebar di seluruh dunia dengan Prevx1 dipasang pada mereka dapat menahan ancaman baharu dalam masa nyata.
Hari ini, pangkalan data yang dioptimumkan mengandungi lebih daripada 10 juta peristiwa unik dan 220 ribu objek berbahaya. Setiap hari, sistem secara automatik mengesan dan meneutralkan lebih 400 aplikasi berbahaya dan kira-kira 10 ribu program untuk pelbagai tujuan. Antivirus tidak dapat bersaing dengan prestasi sedemikian. Mengikut statistik yang disediakan di laman web, Pengguna baru, yang disambungkan kepada Prevx1, menemui perisian hasad dalam sistemnya dalam 19% kes. Prevx1 boleh digunakan secara bersendirian, melindungi komputer anda sendiri, dan bersama-sama dengan produk lain yang meningkatkan kesannya: tembok api, antivirus dan program untuk mengesan perisian pengintip.
Bekerja dengan Prevx CSI
Untuk memasang Prevx, anda memerlukan komputer dengan sekurang-kurangnya 256 MB RAM dan pemproses 600 MHz yang menjalankan Windows 2000/XP/2003 dan Vista. ini keperluan minimum, Untuk kerja yang selesa Adalah dinasihatkan untuk menggunakan peralatan yang lebih moden.
Terdapat beberapa pilihan produk, setiap satunya mempunyai ciri tersendiri, direka untuk keadaan aplikasi tertentu, dan kos yang sepadan. Versi percuma Prevx Computer Security Investigator (CSI) juga tersedia dan boleh didapati daripada: http://free.prevx.com/.
Pembangun melakukannya dengan mudah: kehadiran versi percuma menarik pengguna baharu ke projek itu, yang menambah tandatangan mereka pada pangkalan data komuniti dan menguji perisian yang belum diuji pada peralatan mereka. Versi Percuma boleh dipasang dengan cara biasa pada HDD atau ke peranti storan USB. Satu-satunya had versi ini ialah ketidakupayaan untuk memadam fail berniat jahat yang dikesan (hanya komputer diimbas). Tetapi ia boleh dilakukan beberapa kali untuk berada di bahagian yang selamat, menjalankannya secara manual atau mengikut jadual, dan jika masalah dikesan, ambil tindakan menggunakan utiliti lain yang diterangkan dalam buku ini.
Pemasangan Prevx1 adalah mudah, tetapi pengesahan memerlukan sambungan Internet. Jalankan fail boleh laku, bersetuju menerima lesen dengan menandakan kotak dan mengklik butang teruskan(Teruskan). Pengimbasan kawasan sistem akan bermula, selepas itu hasilnya akan dipaparkan (Gamb. 5.12).
nasi. 5.12. Prevx Konsol Pengurusan CSI
Perhatikan mesej selepas itu Status Sistem. Jika ikon bertentangan berwarna warna hijau dan ditandatangani Bersih, ini bermakna tiada perisian hasad dikesan pada komputer. Jika ikon berwarna merah dan tandatangan Dijangkiti– perisian hasad ditemui pada komputer dan tindakan perlu diambil. Jika program yang tidak diketahui dikesan pada komputer, ikon akan bertukar warna amaran kuning, dalam kes ini pengguna mesti berhati-hati, kerana ia mungkin program berniat jahat.
Prevx harus mengemas kini pangkalan data tempatan seperti yang diperlukan; jika sambungan dibuat melalui pelayan proksi, tetapannya hendaklah dinyatakan pada tab Konfigurasikan di padang Aktifkan Sokongan Proksi. Pemeriksaan sistem automatik boleh ditetapkan pada tab Penjadual. Semak kotak Imbas sistem saya setiap dan gunakan senarai juntai bawah di sebelah kanan untuk menentukan kekerapan dan masa imbasan. Anda boleh memilih untuk menyemak setiap hari ( Hari) atau nyatakan salah satu hari dalam seminggu. Untuk mengimbas jika komputer dimatikan, tandai kotak Jika komputer saya tidak dihidupkan dihidupkan pada masa yang dijadualkan. Untuk menyemak komputer anda selepas sistem but, pasang Imbas secara automatik semasa boot.
Senaman. Pasang dan konfigurasikan tembok api.
Teks di bawah diambil dari salah satu tapak, mengekalkan gaya pengarang.
Pada mulanya, tembok api (firewall) berfungsi untuk menyekat akses kepada rangkaian tempatan dari luar. Penyelesaian bersepadu kini popular. Jika kita bercakap tentang mengenai penggunaan "profesional", maka ini adalah peranti berasingan yang bukan sahaja dapat menapis paket, tetapi juga mengesan percubaan pada serangan rangkaian. Bagi kami, pengguna biasa, sudah cukup untuk mempunyai tembok api perisian. Malah tembok api "mudah" tidak terhad kepada memantau trafik Internet; ia memberi amaran tentang sebarang aktiviti aplikasi yang mencurigakan, bertanya kepada pengguna perkara yang dibenarkan untuk dilakukan oleh aplikasi dan perkara yang tidak boleh dilakukan. Ini juga merupakan "keburukan". Kali pertama anda perlu menjawab soalan, dan menjawab dengan betul. Saya telah melihat situasi di mana pengguna tersilap menyekat akses Internet kepada pelayar Internet mereka. Akibatnya, sambungan dengan pembekal diwujudkan, tetapi tiada satu tapak pun dibuka.
Kami akan kembali ke firewall tidak lama lagi, kerana masanya telah tiba untuk beralih kepada keselamatan rangkaian tulen.
Sebelum membuat liputan mengenai serangan rangkaian, adalah idea yang baik untuk membiasakan diri dengan cara rangkaian berfungsi. Pengetahuan ini juga mungkin berguna untuk menyelesaikan masalah anda sendiri. Saya merujuk mereka yang ingin mengkaji masalah secara serius kepada bahan yang serius. Kepada orang biasa Tidak perlu membaca semua jenis RTFS. Matlamat saya adalah untuk membantu pengguna membuat pilihan tahap perlindungan termaklum. Di sini kita perlu dipandu oleh kecukupan yang diperlukan, dan definisi "kecukupan" ini adalah individu.
Jika anda seorang pengguna Internet, komputer anda sentiasa menghantar dan menerima data. Permintaan untuk maklumat dihantar, maklumat itu sendiri (contohnya, mel). Respons perkhidmatan diterima (kesediaan pelayan, data tentang saiz fail yang dimuat turun, dsb.), dan data itu sendiri.
Cuba kita bayangkan kerja dua markas tentera mesra semasa latihan bersama. Jeneral Rusia meminta orang Cina menyokong serangan dengan api dari laut. Bagaimana pertukaran maklumat? Surat disusun, dihantar kepada pengendali sifir, dan sudah disulitkan - kepada pengendali radio. Yang terakhir mengetuk surat itu ke udara dalam kod Morse. Pengendali radio Cina menerima kod Morse, kriptografi menguraikannya, terkejut apabila mendapati mesej itu dalam bahasa Rusia dan memberikannya kepada penterjemah. Hanya sekarang kita boleh menganggap bahawa surat itu telah sampai kepada penerima. Ambil perhatian bahawa jeneral kami mengikut pangkat tidak sepatutnya memikirkan kod Morse, kaedah penyulitan dan pemancar radio. Selain itu, pengguna tidak perlu mengetahui apa-apa tentang tujuh tahap rangkaian interaksi. Perkara yang paling menarik bagi kami ialah Protokol Internet. Protokol ini harus difahami oleh mana-mana komputer di Internet, sama seperti semua pengendali radio boleh menggunakan kod Morse. Adalah diketahui bahawa talian kabel sering digunakan semasa mengatur komunikasi. Sekiranya terdapat halangan dalam perjalanan, contohnya sungai, maka dua transceiver (pengulang, ini lebih menguntungkan daripada menarik kabel di bahagian bawah) dipasang di titik putus di sepanjang tebing; kemudian saluran satelit dan sekali lagi saluran kabel boleh digunakan. Dua "operator radio" menggunakan kod Morse dan mungkin tidak tahu apa-apa tentang kaedah penghantaran isyarat melalui kabel atau saluran radio dengan peralatan mampatan mereka. Rangkaian data yang berasaskan Internet adalah sama kompleksnya, tetapi peranti akhir seperti komputer anda memahami IP, tanpa mengira sistem pengendalian yang dipasang.
Selaras dengan konsep IP, data ditukar kepada "paket" yang berasingan, yang boleh (tetapi tidak diperlukan untuk) mengandungi, sebagai tambahan kepada sekeping data dan maklumat tentang titik berlepas dan destinasi, maklumat tentang sekeping apa betul-betul terkandung dalam paket, bagaimana untuk menyambungkannya dengan bahagian yang tinggal. Adalah jelas bahawa tidak ada saluran yang ideal untuk penghantaran data, yang bermaksud bahawa beberapa paket akan mengandungi ralat, paket mencapai sasaran dalam urutan "salah" atau tidak mencapainya sama sekali. Kadang-kadang ini tidak kritikal. Oleh kerana hanya sebahagian kecil daripada paket yang hilang, penghantaran boleh diulang beberapa kali (pendekatan yang munasabah jika mesej kecil). Perangkaian akan melihat di sini protokol datagram (UDP), yang berdasarkan protokol IP dan tidak menjamin penghantaran mesej. Protokol TCP/IP menyediakan cara untuk penghantaran yang boleh dipercayai dengan menubuhkan sambungan maya. Dalam proses sambungan sedemikian, dua program pengguna. Pihak "penerima" dimaklumkan tentang bilangan paket yang dihantar dan kaedah menyertainya, dan jika mana-mana paket tidak sampai, ia meminta untuk menghantar semula. Di sini kita sudah boleh membuat dua kesimpulan praktikal. Pertama: jika isyarat sangat diputarbelitkan atau terdapat banyak gangguan, maka sebahagian besar paket dihantar dengan ralat, yang membawa kepada banyak penghantaran berulang, iaitu, ia berkurangan kelajuan sebenar penghantaran data. Di sinilah timbulnya konsep lebar saluran (kapasiti). Kesimpulan kedua: jika ia menghantar semua paket yang diisytiharkan kecuali satu, pihak penerima tidak akan menutup sambungan maya, menunggu yang lewat. Jika anda membuat banyak sambungan sedemikian, ia akan menjadi sukar untuk komputer penerima, kerana bahagian memori dikhaskan untuk setiap sambungan, dan memori bukan getah. Serangan rangkaian adalah berdasarkan prinsip ini, "menggantung" komputer mangsa.
Untuk memahami proses mewujudkan sambungan, adalah perlu untuk mempertimbangkan sistem untuk mengenal pasti komputer pada rangkaian. Jika kita bercakap tentang Internet, maka setiap komputer mempunyai nama unik yang dipanggil alamat IP. ia mungkin kelihatan seperti ini: 213.180.204.11 Ia agak sukar untuk diingat, jadi mereka menghasilkan nama domain yang terdiri daripada aksara "biasa", contohnya www.yandex.ru. Jika anda menaip http://213.180.204.11 dalam baris arahan pelayar Internet anda, ia akan bersamaan dengan http://www.yandex.ru. setiap satu Nama domain sepadan dengan alamat IP tertentu. Bagaimanakah saya mengetahui IP enjin carian terkenal itu? Anda boleh menggunakan program khas, atau anda boleh melaksanakan arahan "ping". Jika anda mempunyai Windows, klik butang "Mula", klik pada "Jalankan". Kami ditawarkan untuk melaksanakan beberapa arahan pada komputer, kami akan mengarahkan cmd (masukkan cmd dalam medan "terbuka"), dan tetingkap jurubahasa arahan akan dibuka. Sekarang kita boleh melihat arahan yang dimasukkan dan hasil pelaksanaannya. Jadi, kami mengarahkan ping yandex.ru, tekan "Enter" dan dapatkan hasilnya. Hasilnya akan positif jika komputer anda disambungkan ke Internet. Dalam kes ini, anda akan ditunjukkan masa yang diambil untuk pakej percubaan selesai sehingga pelayan yandex, dan pada masa yang sama alamat ip. Peranan "penterjemah" dimainkan oleh pelayan DNS, komputer khas yang menyimpan jadual surat-menyurat antara nama domain dan alamat IP, dan mungkin terdapat banyak komputer sedemikian. Internet pada asalnya dianggap sebagai rangkaian toleran kesalahan (untuk tentera AS), dan kebolehpercayaan sepatutnya memastikan ketiadaan pusat tunggal. Sekumpulan paket yang dihantar melalui satu sambungan boleh mengambil laluan yang berbeza (itulah sebabnya ia adalah World Wide Web); proses ini dikawal oleh penghala yang menyimpan laluan berbeza ke subnet yang berbeza. Kini jelas mengapa susunan paket tiba kepada penerima mungkin berbeza daripada yang asal. Ia juga jelas bahawa jika penjahat menggantikan entri dalam jadual alamat, maka bukannya tapak yang dikehendaki, pelanggan mungkin berakhir di tapak pendua, di mana dia akan memasukkan kata laluannya dan data lain. Penghiburan adalah bahawa memalsukan jadual DNS awam adalah tugas yang sangat sukar. Tetapi, anda harus ingat bahawa penyemak imbas mula-mula melihat jadual setempat, disimpan dalam fail khas pada komputer anda. Jika virus berjaya membuat kemasukannya di sana, maka dengan memasukkan www.yandex.ru, anda boleh dengan mudah berakhir di tapak yang sama sekali berbeza, mungkin serupa dalam penampilan. Jika firewall anda melaporkan bahawa sesetengah program cuba menukar fail jadual alamat, anda harus memeriksa komputer anda untuk mengesan jangkitan berbahaya.
Untuk mewujudkan sambungan, tidak cukup untuk mengetahui alamat komputer. Atribut penting permintaan sambungan ialah protokol (bahasa di mana ia diputuskan untuk berkomunikasi) dan nombor port yang kami sambungkan. Kami menunjukkan protokol setiap kali bar alamat pelayar (http yang sama, walaupun anda boleh menaip ftp dan menghubungi pelayan ftp, jika ada pada pelayan). Nombor port biasanya tidak dinyatakan secara eksplisit; dalam kes ini, http bermaksud port 80, di mana pelayan Internet "bergantung" (bukan dalam erti kata "komputer yang berkuasa", tetapi dalam erti kata "program yang berfungsi aplikasi pelanggan". Komputer boleh menjalankan banyak perkhidmatan (ftp yang sama), masing-masing mendengar portnya sendiri. Jika pelayar Internet menyediakan terutamanya sambungan HTTP dan melihat halaman web, maka untuk menyambung kepada perkhidmatan lain terdapat program khas, seperti standard , dan "penggodam ” Jika program ICQ dipasang, maka ia membuka portnya dan “mendengar” kepadanya untuk mereka yang ingin menyambung dan berkomunikasi. perkhidmatan rangkaian, semakin besar kemungkinan bahawa di kalangan mereka akan ada yang terdedah, kerana setiap orang pelabuhan terbuka- sistem pintu, tetapi sama ada kunci itu boleh dipercayai adalah persoalan lain. Terdapat seluruh kelas program - pengimbas port yang membuat tinjauan julat yang diberikan port, menyusun nombor dan memberikan senarai yang terbuka. Melihat ke hadapan, saya akan mengatakan bahawa terdapat "pengimbas keselamatan" yang bukan sahaja mengimbas port, tetapi juga memeriksa mod automatik hos sasaran untuk semua kelemahan yang diketahui.
Jadi, serangan rangkaian. Bank akan berurusan dengan penggodam walaupun tanpa bantuan saya; masalah pengguna biasa lebih dekat dengan saya. Mari kita bercakap tentang ini.
Menggodam komputer dari jauh tidak lagi begitu mudah. Jika anda berminat dengan siapa yang melakukan ini dan bagaimana lima tahun lalu, berikut ialah pautan kepada keputusan terhadap bakal penggodam, yang menerangkan keseluruhan teknologi penggodaman (pada permulaan dan akhir dokumen). Dalam Windows kali 98 mana-mana budak sekolah boleh melakukan perkara sedemikian. Helah ini tidak berfungsi dengan Windows XP, dan hanya pakar yang tahu cara menggodam Linux, dan mereka membuat wang yang baik di bank mereka sendiri. Untuk menembusi komputer orang lain, anda kini perlu mempunyai kelayakan yang baik, dan tidak semua orang menerima perhatian peribadi penjahat yang bijak. Komputer saya tidak mungkin menarik minat sesiapa. Satu lagi perkara ialah ramai orang masih menikmati pengimbasan port. Saya tidak tahu apa yang mereka cari di sana, tetapi ia sangat menjengkelkan. Saya membayar untuk lalu lintas! Saya perhatikan bahawa alamat dari mana pengimbasan dijalankan selalunya adalah milik pengguna yang tidak curiga dan dihormati. Kemungkinan besar, cacing telah menetap di yang terakhir, mencari mangsa seterusnya.
Jika seseorang berminat dengan komputer anda, maka ini adalah orang yang rapat dengan anda. Saya bercakap tentang rakan kongsi perniagaan, bos dan pasangan yang cemburu. Anda boleh menemui banyak perisian pengintip di Internet, seperti keyloggers. Jika program sedemikian dipasang pada komputer, maka semuanya ditaip pada papan kekunci, termasuk kata laluan e-mel, direkodkan dalam fail khas dan boleh dihantar secara rahsia melalui e-mel kepada "pemilik".
Walaupun anda tidak mempunyai apa-apa untuk disembunyikan, Trojan yang tinggal di komputer anda boleh memuatkan talian secara intensif, meningkatkan trafik dan mengganggu laluan maklumat berguna. Di samping itu, program yang ditulis secara buta huruf sering mengambil alih daripada komputer sumber sistem, atau bahkan melanggar integriti sistem pengendalian. Hasil yang malang ialah pemasangan semula dan kehilangan masa dan wang yang berkaitan.
Sekarang mari kita lihat cara paling popular untuk mendapatkan Trojan pada komputer anda (bagaimana untuk mengelakkan ini adalah dalam bab seterusnya).
Kaedah pertama adalah untuk menjangkiti komputer anda dengan virus kompak, satu-satunya fungsinya ialah memuat turun dari Internet dan memasang "Kuda Trojan" sepenuhnya.
Kaedah kedua ialah pergi ke tapak yang "salah". Dan memaksa seseorang untuk membuka halaman yang mengandungi kandungan berbahaya adalah soal teknologi dan psikologi.
Kaedah ketiga ialah membiarkan penyerang duduk di komputer anda. Terdapat juga kes apabila pelawat ke organisasi hanya memasukkan "pemacu denyar" yang disediakan khas ke dalam port USB, maka ia jelas.
Satu lagi realiti yang tidak menyenangkan kehidupan dalam talian - menghidu. Ringkasnya, pemintasan lalu lintas. Dari bab sebelumnya (menggunakan akal sehat) adalah jelas bahawa paket keluar pergi "di udara" dalam erti kata tertentu. Oleh sekurang-kurangnya, dalam satu subnet ia tersedia untuk semua orang, dan ini tidaklah sedikit. Perkara lain ialah komputer "layak" hanya melihat maklumat yang ditujukan kepadanya. Jika penjahat memasang program sniffer, dia boleh membaca data yang dihantar. Memulihkan keseluruhan aliran adalah tugas yang mustahil, kerana sambungan dengan sumber tidak diwujudkan dan tidak mungkin untuk meminta penghantaran semula paket yang hilang (adalah kesombongan untuk mencuri dengar jiran di belakang dinding, dan juga bertanya lagi apabila mereka melakukannya tidak mendengar). Menghidu digunakan untuk memintas kata laluan yang dihantar dalam bentuk yang jelas (tidak disulitkan).
Mengetahui tahap bahaya sebenar, anda boleh mengambil pendekatan yang munasabah untuk melindungi komputer anda daripada pelbagai serangan. Pendekatan di sini adalah mudah: kos peti besi tidak boleh melebihi kos barang berharga yang disimpan di dalamnya. Anda boleh melakukan banyak perkara sendiri, mari mulakan dengan ini.
1. Pasang sistem pengendalian biasa. Kita harus menganggap bahawa kebanyakan pengguna sesuai untuk OS daripada Microsoft. Dalam kes ini, tiada pilihan - Windows XP dengan SP2 (sekurang-kurangnya). SP2 ialah pakej kemas kini kedua yang menutup banyak lubang keselamatan. Windows 2000 mungkin berfungsi, tetapi mereka berhenti menyokongnya, dan semakin banyak kelemahan ditemui.
2. Sediakan perlindungan minimum: dayakan tembok api (jika SP2 dipasang, ia didayakan secara lalai) untuk semua sambungan. Ini dilakukan seperti ini: Mula>Panel Kawalan>Sambungan Rangkaian, tetingkap dengan ikon untuk sambungan yang dikonfigurasikan akan dibuka. Klik kanan pada ikon sambungan, pilih "sifat", klik pada tab "lanjutan", kemudian di kawasan "Windows Firewall" klik butang "tetapan". Jika nilai ditetapkan kepada "lumpuhkan", tukarkannya kepada "dayakan" dan sahkan dengan butang OK.
3. Pasang perisian anti-virus. Tidak kira betapa mereka mengkritik Kaspersky Anti-Virus (ia memperlahankan komputer), saya tidak nampak alternatif yang munasabah. Kami mengemas kini pangkalan data anti-virus melalui Internet kepada keadaan terkini. Kini anda boleh menyelidiki tetapan (ia kelihatan berbeza dalam versi yang berbeza, jadi saya tidak akan menerangkannya secara terperinci). Masuk akal untuk melumpuhkan harian cek penuh komputer. Saya biasanya mematikannya kemas kini automatik, kerana kebanyakan komputer tidak sentiasa disambungkan ke Internet.
4. Dalam "Panel Kawalan" kami dapati bahagian "pentadbiran", di dalamnya "perkhidmatan" dan lumpuhkan semua yang tidak perlu. Pertama sekali, perkhidmatan pesanan. Saya akan menerangkan sebabnya. Mungkin anda pernah menghadapi situasi di mana, semasa menyemak imbas Internet, mesej muncul secara berkala di mana anda takut pelbagai kesalahan dalam sistem dan virus lain, menawarkan untuk pergi ke tapak sedemikian dan sedemikian di mana mereka akan membantu anda menyingkirkan masalah. Malah, dengan melawati laman sebegini, masalah ini boleh ditimbulkan. Perkhidmatan pemesejan direka terutamanya untuk berfungsi pada rangkaian tempatan; dengan bantuannya, pentadbir rangkaian boleh memberitahu pengguna tentang apa-apa sahaja. Penjahat menggunakannya untuk menarik orang untuk memerangkap tapak. Anda juga boleh melumpuhkan “Telnet”, “Registry Jauh” dan “Pelayan” dengan selamat jika anda tidak bercadang untuk menggunakan komputer anda sebagai pelayan. Semakin sedikit perkhidmatan dijalankan, semakin cepat komputer berjalan. Masih banyak yang boleh dilumpuhkan, tetapi anda harus meneruskan dengan berhati-hati. Jika anda tidak pasti, lebih baik jemput pakar.
5. Jika anda tidak melakukan ini sebelum ini, tetapkan kata laluan untuk semua pengguna. Yang terakhir bermakna kata laluan yang baik harus panjang dan terdiri daripada nombor, huruf dalam kes yang berbeza dan aksara khas.
Apabila saya menyediakan komputer pelanggan, saya biasanya berhenti di situ. Bagi kebanyakan, ini adalah tahap perlindungan yang mencukupi sepenuhnya. Mereka yang sangat mengambil berat tentang keselamatan harus mengambil beberapa langkah berjaga-jaga lain.
6. Berikan semua pengguna hanya hak minimum yang diperlukan. Sebagai contoh, melarang semua orang kecuali "Pentadbir" daripada memasang program. Walaupun anda adalah satu-satunya pengguna, buat yang kedua akaun Dengan hak terhad, dan log masuk sebagai Pentadbir hanya apabila perlu. Hakikatnya ialah beberapa kelemahan membenarkan penyerang untuk melaksanakan arahan pada komputer bagi pihak pengguna semasa. Dan jika orang tersebut mempunyai hak minimum, maka tidak mungkin untuk mengeksploitasi kelemahan itu.
7. Kadangkala apabila memasukkan kata laluan, contohnya untuk mengakses peti mel anda, sistem menggesa anda untuk menyimpan kata laluan. Saya selalu menolak, itulah yang saya nasihatkan anda lakukan. Ini adalah tabiat yang baik.
8. Pasang tembok api penuh. Firewall Windows terbina dalam hanya tidak menjejaki banyak tindakan program.
Selepas memasang Ubuntu sebagai OS utama anda, anda harus belajar cara memasang perlindungan terhadap muatan Rubber Ducky daripada mengambil data anda agensi penguatkuasa undang-undang dan secara amnya mengurangkan bilangan sasaran yang boleh dipukul. Apabila melindungi daripada serangan rangkaian, anda perlu meminimumkan pendedahan maklumat tentang perkakasan anda, menghalang penghidu paket daripada berjalan, mengetatkan peraturan firewall dan banyak lagi.
Kami meneruskan siri mini kami untuk mengukuhkan perlindungan bilik operasi sistem Ubuntu. Dalam bahagian ini, anda akan belajar cara untuk menipu alamat MAC untuk mengelirukan penggodam pasif, melumpuhkan perkhidmatan rangkaian yang tidak digunakan seperti CUPS dan Avahi, mencipta peraturan firewall untuk port tertentu untuk menyekat percubaan akses tanpa kebenaran dan mengambil data anda, melindungi daripada kata laluan dan menghidu kuki . fail dalam pakej anda menggunakan VPN.
Jika anda terlepas artikel sebelumnya, pastikan anda menyemaknya, walaupun anda sudah memasang Ubuntu dan hanya ingin mengukuhkan keselamatannya. Anda akan mengetahui apa yang mendorong kami untuk menulis siri empat bahagian ini.
Langkah 1: Lindungi diri anda daripada pengesanan perkakasan anda
Apabila disambungkan ke Wi-Fi baharu rangkaian dan penghala, menipu alamat MAC penyesuai Wi-Fi anda. Sudah tentu, ini tidak akan menghalang penggodam yang bermotivasi daripada mengetahui sistem pengendalian yang anda gunakan, tetapi ini mungkin mengelirukan dia dan menghalangnya daripada mengumpul maklumat tentang perkakasan anda.
Contohnya, penggodam yang disambungkan ke rangkaian Wi-Fi di kafe boleh menumpukan usahanya pada peranti penggodaman selain Apple. Jika anda muncul di rangkaian dengan , penyerang akan mengabaikan peranti anda sepenuhnya. Atau ia mungkin mencuba beberapa serangan khusus MacOS pada peranti anda yang tidak akan berfungsi kerana anda sebenarnya tidak menggunakan MacBook, anda hanya muncul dalam talian seolah-olah anda menggunakan perkakasan Apple. Digabungkan dengan Ejen Pengguna pelayar palsu, ini benar-benar boleh mengelirukan musuh yang tidak begitu pintar.
Untuk menukar alamat MAC dalam Ubuntu, buka Pengurus Rangkaian dan pergi ke menu "Edit" sambungan Wi-Fi anda. Pada tab Identiti, masukkan alamat MAC yang anda mahu gunakan dalam medan Alamat Klon.
Langkah 2: Lindungi daripada serangan ke atas perkhidmatan mendengar
Apabila proses latar belakang (atau perkhidmatan) berada dalam keadaan “ ” (mendengar), ini bermakna perkhidmatan dan aplikasi lain pada peranti dan rangkaian anda boleh berinteraksi dengannya. Perkhidmatan "mendengar" ini sentiasa mengharapkan beberapa data sebagai input, apabila menerima perkhidmatan yang mesti memberikan respons khusus. Sebarang perkhidmatan dengan alamat tempatan 0.0.0.0, semasa dalam keadaan mendengar, kemungkinan besar akan tersedia kepada semua pengguna pada rangkaian tempatan itu dan mungkin juga di Internet.
Ubuntu yang baru dipasang hanya akan menjalankan beberapa perkhidmatan, jadi tidak perlu risau tentang mendengar port yang digeruni secara lalai. Tetapi sentiasa ingat aplikasi yang akan anda pasang pada masa hadapan. Mereka mungkin membuka port mendengar tanpa memberitahu anda.
Untuk menjejaki apa proses latar belakang berada dalam keadaan mendengar, kami akan menggunakan netstat - alat yang digunakan untuk memaparkan maklumat tentang jaringan rangkaian, pelabuhan terbuka Dan menjalankan perkhidmatan. Oleh kerana kami menggunakan minimum memasang Ubuntu, maka set utiliti alatan bersih yang kami perlukan untuk bekerja dengan rangkaian (termasuk netstat) perlu dipasang secara manual. Ini boleh dilakukan menggunakan arahan sudo apt-get install net-tools.
Sudo apt-get install net-tools Membaca senarai pakej... Selesai Membina pokok pergantungan Membaca maklumat keadaan... Selesai Pakej BARU berikut akan dipasang: net-tools 0 dinaik taraf, 1 baru dipasang, 0 untuk dialih keluar dan 0 tidak dinaik taraf . Perlu mendapatkan 194 kB arkib. Selepas operasi ini, 803 kB ruang cakera tambahan akan digunakan. Memilih alatan bersih pakej yang tidak dipilih sebelum ini. (Membaca pangkalan data ... 149085 fail dan direktori yang sedang dipasang.) Bersedia untuk membongkar .../net-tools_1.60+git20161116.90da8a0-1ubuntu1_amd64.deb ... Membongkar net-tools (1.60+git20161116.90da8a0)-1.90da8a0 ... Memproses pencetus untuk man-db (2.8.3-2) ... Menyediakan net-tools (1.60+git20161116.90da8a0-1ubuntu1) ...
Gunakan perintah netstat berikut untuk melihat perkhidmatan dalam keadaan "LISTEN".
Sudo netstat -ntpul Sambungan Internet aktif (hanya pelayan) Proto Recv-Q Send-Q Alamat Tempatan Alamat Asing Negeri PID/Nama program tcp 0 0 127.0.0.53:53 0.0.0.0:* DENGAR 651/systemd-resolve tcp 0 0 127.0 .0.1:631 0.0.0.0:* DENGAR 806/cupsd tcp6 0 0::1:631:::* DENGAR 806/cupsd udp 47616 0 127.0.0.53:53 0.0.0.0/udd-6repsolve:* 0.0.0.0:631 0.0.0.0:* 812/cups-browsed udp 2304 0 0.0.0.0:5353 0.0.0.0:* 750/avahi-daemon: r udp 0 0 0.0.0.0 0.0.0.0:382. avahi-daemon: r udp6 0 0:::37278:::* 750/avahi-daemon: r udp6 25344 0:::5353:::* 750/avahi-daemon: r
Systemd-resolve digunakan untuk menyelesaikan nama domain dan, sudah tentu, tidak boleh ditukar atau dialih keluar. Kami akan bercakap tentang "cupsd" dan "avahi-daemon" di bawah dalam bahagian berikut.
Lumpuhkan atau alih keluar CUPS
Pada tahun 2011, kelemahan DDoS ditemui dalam avahi-daemon. Walaupun CVE ini agak lama dan mempunyai tahap keterukan yang sangat rendah, namun ia menunjukkan cara penggodam pada rangkaian tempatan menemui kelemahan dalam protokol rangkaian dan memanipulasi menjalankan perkhidmatan pada peranti mangsa.
Jika anda tidak merancang untuk berinteraksi dengan produk atau perkhidmatan Apple pada peranti lain, avahi-daemon boleh dilumpuhkan menggunakan arahan berikut: sudo systemctl disa avahi-daemon.
Sudo systemctl lumpuhkan avahi-daemon Menyegerakkan keadaan avahi-daemon.service dengan skrip perkhidmatan SysV dengan /lib/systemd/systemd-sysv-install. Melaksanakan: /lib/systemd/systemd-sysv-install disable avahi-daemon Dialih keluar /etc/systemd/system/dbus-org.freedesktop.Avahi.service. Dialih keluar /etc/systemd/system/sockets.target.wants/avahi-daemon.socket.
Avahi juga boleh dialih keluar sepenuhnya menggunakan sudo apt-get purge avahi-daemon.
Sudo apt-get purge avahi-daemon Membaca senarai pakej... Selesai Membina pokok pergantungan Membaca maklumat keadaan... Selesai Pakej berikut akan DIBUANG: avahi-daemon* (0.7-3.1ubuntu1) avahi-utils* (0.7-3.1 ubuntu1) libnss-mdns* (0.10-8ubuntu1) 0 dinaik taraf, 0 baru dipasang, 3 untuk dialih keluar dan 0 tidak dinaik taraf. Selepas operasi ini, ruang cakera 541 kB akan dibebaskan. Adakah anda mahu meneruskan? y
Langkah 3: Lindungi port anda
Penggodam amatur boleh cuba mengekstrak data melalui atau mencipta cangkerang terbalik (disenaraikan secara jelas di Wikipedia sebagai port lalai untuk Metasploit). Firewall yang hanya membenarkan paket keluar pada beberapa port akan menyekat mana-mana paket masuk.
Untuk mengurus ketersediaan port, kami akan menggunakan program yang menyediakan antara muka mudah untuk mengkonfigurasi tembok api. UFW secara literal bermaksud FireWall Tidak Rumit. Ia bertindak sebagai bahagian hadapan untuk (penapis paket) dan tidak bertujuan untuk menyediakan kefungsian penuh firewall, tetapi sebaliknya merupakan cara yang mudah untuk menambah atau mengalih keluar peraturan firewall.
1. Tolak semua sambungan masuk dan keluar
Untuk mendayakan UFW, gunakan perintah sudo ufw enable.
Sudo ufw enable Firewall aktif dan didayakan pada permulaan sistem
Lumpuhkan semua sambungan masuk dengan arahan ini:
Sudo ufw lalai menafikan masuk
Kemudian lumpuhkan semua ubah hala:
Sudo ufw lalai menafikan ke hadapan
Dan tolak semua sambungan keluar:
Sudo ufw lalai menafikan keluar
Mulai sekarang, akses kepada Internet daripada menggunakan Firefox atau mana-mana aplikasi lain yang akan anda tutup.
2. Cari antara muka Wi-Fi anda
Untuk membenarkan sambungan keluar, anda perlu mencari nama penyesuai Wi-Fi terlebih dahulu menggunakan arahan ifconfig -a.
Ifconfig -a enp0s8: flags=4163
Untuk tujuan artikel ini, kami menggunakan Ubuntu dalam VirtualBox, jadi nama antara muka kami ialah "enp0s8". Perintah ifconfig mungkin memaparkan antara muka wayarles anda sebagai "wlp3s0", "wlp42s0" atau sesuatu seperti itu.
3. Buat pengecualian firewall dan konfigurasikan resolusi DNS yang selamat
Benarkan trafik DNS, HTTP dan HTTPS dihidupkan antara muka wayarles boleh dilakukan menggunakan tiga arahan ini.
Sudo ufw benarkan keluar ke 1.1.1.1 proto udp port 53 komen "benarkan DNS pada " sudo ufw benarkan keluar ke mana-mana proto tcp port 80 komen "benarkan HTTP on " sudo ufw benarkan keluar ke mana-mana proto tcp port 443 komen "benarkan HTTPS pada "
Alamat "1.1.1.1" dalam arahan DNS ialah penyelesai DNS baharu. Ramai pengguna internet tidak menyedari bahawa walaupun mereka menyemak imbas tapak web menggunakan sambungan yang disulitkan (kunci kunci hijau kecil dalam Rentetan URL), ISP masih boleh melihat nama setiap domain yang dilawati menggunakan pertanyaan DNS. Menggunakan penyelesai DNS CloudFlare akan membantu menghalang Penyedia Perkhidmatan Internet (ISP) daripada cuba mengintip trafik anda.
4. Kemas kini konfigurasi DNS dalam Pengurus Rangkaian
Selepas menetapkan peraturan UFW dalam Pengurus Rangkaian, pergi ke menu Edit sambungan Wi-Fi anda dan tukar medan DNS kepada 1.1.1.1. Putuskan sambungan dan sambung semula ke rangkaian Wi-Fi anda untuk Perubahan DNS dikuatkuasakan.
Lihat peraturan yang baru dibuat menggunakan perintah sudo ufw status bernombor.
Sudo ufw status bernombor Status: aktif Untuk Bertindak Daripada -- ------ ---- [ 1] 1.1.1.1 53/udp BENARKAN KELUAR Di mana-mana sahaja pada enp0s8 (keluar) # benarkan DNS pada enp0s8 [ 2] 443/tcp BENARKAN KELUAR Di mana-mana pada enp0s8 (keluar) # benarkan HTTPS pada enp0s8 [ 3] 80/tcp BENARKAN KELUAR Di mana-mana sahaja pada enp0s8 (keluar) # benarkan HTTP pada enp0s8
Ubuntu akan dapat membuat permintaan HTTP/HTTPS standard pada port 80 dan 443 pada antara muka wayarles yang anda tentukan. Jika peraturan ini terlalu ketat untuk aktiviti harian anda, anda boleh membenarkan semua paket keluar menggunakan arahan ini:
Sudo ufw lalai membenarkan keluar
5. Pantau tembok api anda
Jika anda cuba menyahpepijat sambungan masuk atau keluar, anda boleh menggunakan arahan ekor dengan hujah -f untuk memantau mesej dan percanggahan dalam log UFW dalam masa nyata. Perintah ini akan kelihatan seperti ini sepenuhnya:
Ekor -f /var/log/ufw.log kernel: [ 3900.250931] MASUK= KELUAR=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=09TC PDF=47 SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0 kernel: [ 3901.280089] MASUK= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.193.19.59 47091 DF PROTO=TCP SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0
Dalam log di atas, UFW menyekat sambungan keluar (KELUAR=) daripada kami alamat IP tempatan(192.168.1.44) ke pelayan Null Byte (104.193.19.59) menggunakan TCP dengan port destinasi (DPT) 9999. Ini boleh diselesaikan menggunakan arahan UFW ini:
Sudo ufw benarkan daripada 192.168.1.44 hingga 104.193.19.59 proto tcp port 9999
Untuk maklumat lanjut tentang UFW, anda boleh membaca halaman manual (man ufw).
Pembaca yang berminat untuk memperhalusi tembok api sudah semestinya.
Langkah 4: Lindungi daripada menghidu paket dan pemintasan kuki
Serangan manipulasi paket boleh dicegah dengan menggunakan rangkaian persendirian maya (VPN). VPN menawarkan satu set teknologi yang:
- Hentikan penggodam pada rangkaian Wi-Fi daripada memanipulasi paket dan menjejaki aktiviti anda.
- Larang penyedia Internet daripada memantau aktiviti anda dan menjual data anda kepada pihak ketiga.
- Mereka membantu memintas penyekatan oleh pihak berkuasa penapisan (seperti RKN), apabila penyedia Internet atau tembok api rangkaian menyekat akses ke tapak web tertentu.
Tanda harga terbanyak perkhidmatan VPN berbayar bermula pada $5 sebulan. Beberapa penyedia VPN yang patut diberi perhatian ialah: ProtonVPN, Mullvad, VyprVPN dan .
Langkah seterusnya ialah mengukuhkan perlindungan aplikasi dan mencipta kotak pasir
Itu sahaja untuk mewujudkan perlindungan untuk kehadiran dan aktiviti dalam talian anda. Dalam artikel seterusnya, kami akan bercakap tentang aplikasi untuk mencipta kotak pasir dan memastikan sistem anda selamat sekiranya sebarang perisian hasad dijalankan pada peranti anda. Selepas itu, kami akan menyelami pengauditan dengan perisian antivirus dan log sistem pemantauan.
Penafian tanggungjawab: Artikel ini ditulis untuk tujuan pendidikan sahaja. Pengarang atau penerbit tidak menerbitkan artikel ini untuk tujuan jahat. Jika pembaca ingin menggunakan maklumat untuk kepentingan peribadi, pengarang dan penerbit tidak bertanggungjawab terhadap sebarang bahaya atau kerosakan yang berlaku.
