8. Cетевые экраны (firewall). Их назначение.

Сетевым или межсетевым экраном (другие определения: firewall, брандмауэр) называется комплекс аппаратных и программных средств, который контролирует и фильтрует проходящие через него сетевые пакеты в соответствии с заданными правилами.

Назначение

Изоляция и защита приложений, машин и сервисов во внутренней сети от поступающего из внешней сети Интернет нежелательного трафика.

Запрещение или ограничение доступа хостов внутренней сети к внешним web- сервисам.

Поддержка преобразования сетевых адресов (NAT, network address translation), что позволяет использовать во внутренней сети приватные IP адреса.

Виды

Межсетевые экраны по охвату контролируемых потоков данных разделяются на:

традиционные. Это программа (или неотъемлемая составляющая операционной системы) на шлюзе (передающем трафик между сетями сервере) или аппаратный межсетевой экран, который контролирует исходящие и входящие потоки информации между подключенными сетями;

персональные. Это программы, установленные на пользовательском компьютере и предназначенные для его защиты от несанкционированного доступа.

В зависимости того, на каком уровне происходит контроль доступа, межсетевые экраны делятся на:

работающие на сетевом уровне. Фильтрация осуществляется на основе IP-адресов получателя и отправителя пакетов, заданных администратором статических правил и протоколов транспортного уровня модели OSI;

работающие на сеансовом уровне. Межсетевой экран отслеживает сеансы между приложениями, не пропускает пакеты, нарушающие спецификации TCP/IP, часто используемые в злонамеренных операциях — инъекциях данных, сканировании ресурсов, обрыве (замедлении) соединений, взломах через ошибочные реализации TCP/IP;

работающие на уровне приложений. Фильтрация осуществляется за счет анализа передаваемых внутри пакета данных приложения. Такой межсетевой экран дает возможность блокировать передачу потенциально опасной и нежелательной информации на основании настроек и политик.

По способу отслеживания активных соединений различают следующие сетевые экраны:

с простой фильтрацией (stateless). Они не отслеживают текущие соединения, а осуществляют фильтрацию потока данных только на основе статических условий;

с фильтрацией с учётом контекста (stateful packet inspection (SPI). Такие сетевые краны отслеживают текущие соединения и пропускают только пакеты, удовлетворяющие алгоритмам работы и логике соответствующих приложений и протоколов.

8. Основные аспекты развития вредоносных программ.

Троянские программы

В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:

Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.

Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра. Как правило, для этого используются IRC-каналы или веб-сайты, куда автором выкладываются команды для машин-зомби. Существуют и более сложные варианты, например многие из вариантов Agobot объединяют зараженные компьютеры в единую P2P-сеть.

Использование зараженных машин для рассылки через них спама или организации DDoS-атак.

Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader.

Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.

Фактически «дропперы» являются своеобразными архивами, внутрь которых может быть помещено все что угодно. Очень часто они применяются для установки в систему уже известных «троянцев», поскольку написать «дроппер» гораздо проще, чем переписывать «троянца», пытаясь сделать его недетектируемым для антивируса. Весьма значительную часть «дропперов» составляют их реализации на скрипт-языках VBS и JS, что объясняется сравнительной простотой программирования на них и универсальностью подобных программ.

«Даунлоадеры», или «загрузчики», активно используются вирусописателями как по причинам, описанным выше для «дропперов» (скрытая установка уже известных троянцев), так и по причине их меньшего по сравнению с «дропперами» размера, а также благодаря возможности обновлять устанавливаемые троянские программы. Здесь также выделяется группа программ на скрипт-языках, причем, как правило, использующих различные уязвимости в Internet Explorer.

Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.

Классические вирусы

Что касается классических файловых вирусов, царствовавших в 90-х годах прошлого века, то в настоящее время они практически исчезли, уступив свое место сетевым червям. Сейчас можно насчитать с десяток файловых вирусов, которые продолжают оставаться активными и даже иногда испытывают всплески активности. Эти всплески связаны с недавно проявившейся у таких вирусов побочной способностью заражать исполняемые файлы почтовых червей. Таким путем они пересылают себя вместе с инфицированными червями электронными письмами, в качестве своеобразных прилипал. Очень часто попадаются экземпляры почтовых червей Mydoom, NetSky или Bagle, зараженные такими файловыми вирусами, как Funlove, Xorala, Parite или Spaces.

В целом опасность появления нового файлового вируса, способного вызвать глобальную эпидемию, сейчас практически равна нулю. Даже появление первого вируса, работающего на Win64-платформе (Win64.Rugrat.a), не сможет изменить эту ситуацию в ближайшем будущем.

Новые среды и возможности

Если попробовать оценить проявляющиеся новые возможности вредоносных программ, то нельзя не отметить весьма вероятное увеличение числа программ, написанных на языке программирования .NET. Первые концептуальные вирусы и черви на этом языке появились довольно давно, и с каждым днем популярность этой платформы все увеличивается, что, в конечном итоге, неминуемо привлечет внимание вирусописателей.

Linux-платформы, вероятно, по-прежнему будут оставаться полем действия программ класса rootkit, а также простейших файловых вирусов. Однако основная угроза для них будет исходить не от вирусов, а от обнаруживаемых уязвимостей в программных продуктах для данной платформы, что в принципе также может дать вирусописателям помощь в достижении их цели — тотального контроля за все большим числом машин в интернете.

И напоследок обратимся к такому пока экзотическому классу как вредоносные программы для КПК. Стремительный рост популярности ОС Windows Mobile 2003, широкие возможности сетевой коммутации данных устройств и наличие среды разработки приложений (.NET framework) неминуемо приведут к появлению в скором времени не только троянских программ (для PalmOS они уже существуют), но и их более опасных разновидностей, не исключая и сетевых червей.