- •Глава 8. Компьютерные вирусы и борьба с ними...........................................................65
- •Глава 9. Средства защиты сети .........................................................................................73
- •Глава 8. Компьютерные вирусы и борьба с ними
- •8.1. Общие сведения о компьютерных вирусах
- •8.2. Классификация вирусов
- •8.3. Файловые вирусы
- •8.4. Макровирусы
- •8.5. Сетевые черви
- •8.6. Загрузочные вирусы
- •8.7. Троянские кони
- •8.8. Технологии маскировки вирусов
- •8.9. Тенденции современных компьютерных вирусов
- •8.10. Борьба с вирусами
- •Глава 9. Средства защиты сети
- •9.1. Межсетевые экраны
- •9.2. Виртуальные частные сети (vpn)
- •9.3. Системы обнаружения вторжений (ids)
Глава 9. Средства защиты сети
Если локальная сеть организации или персональный компьютер пользователя имеют
выход в сеть Интернет, количество угроз безопасности увеличивается в десятки раз по
сравнению с изолированной сетью или компьютером. Сетевые вирусы, попытки проник-
новения в систему извне (используя подобранный или украденный пароль, уязвимости
программного обеспечения и т.д.), перехват и подмена данных, передаваемых в сеть или
получаемых из сети — вот перечень наиболее типичных угроз.
Существует ряд средств, методов и технологий защиты информации, учитывающих
специфику сетевых атак. К ним, в частности, относятся межсетевые экраны (брандмау-
эры), виртуальные частные сети (VPN) и системы обнаружения вторжений.
9.1. Межсетевые экраны
Межсетевой экран (брандмауэр, файрвол) — комплекс аппаратных и/или про-
граммных средств, осуществляющий контроль и фильтрацию проходящих через него се-
тевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Межсетевой экран, как правило, обладает несколькими интерфейсами, по одному на
каждую из сетей, к которым он подключен. Набор правил политики определяет, каким об-
разом трафик передается из одной сети в другую. Если в правиле отсутствует явное раз-
решение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.
Межсетевой экран может выступать в роли proxy-сервера. Proxy-сервер — это про-
грамма или узел сети, играющий роль посредника между внутренней сетью организации и
внешней сетью (например, Интернет). В этом случае он может также скрывать внутренние
адреса компьютеров организации. Эта функция называется трансляцией сетевых адресов
(NAT — Network Address Translation). Когда какой-то узел внутренней сети хочет переда-
вать информацию вовне, он отправляет ее proxy-серверу (одновременно являющемуся
межсетевым экраном). Проверив передаваемые пакеты на соответствие политике фильт-
рации, межсетевой экран инициирует новое соединение, и передает пакеты уже от своего
имени. В результате скрывается схема внутренней адресации сети и тем самым сущест-
венно затрудняется ее анализ злоумышленником (с целью обнаружения уязвимостей).
Существует ряд классификаций межсетевых экранов по различным критериям:
1. В зависимости от охвата контролируемых потоков данных.
—
—
Традиционный межсетевой экран — программа, установленная на шлюзе (сервере пе-
редающем трафик между сетями) или аппаратное решение, контролирующие входя-
щие и исходящие потоки данных между подключенными сетями. Основная задача та-
кого брандмауэра — предотвращение несанкционированного доступа во внутреннюю
сеть организации.
Персональный межсетевой экран — программа, установленная на пользовательском
компьютере и предназначенная для защиты от несанкционированного доступа только
этого компьютера.
2. В зависимости от уровня модели OSI, на котором происходит контроль доступа.
—
—
—
Работающие на сетевом уровне — фильтрация происходит на основе адресов отпра-
вителя и получателя пакетов, номеров портов транспортного уровня модели OSI и ста-
тических правил, заданных администратором;
Работающие на сеансовом уровне — отслеживаются сеансы между приложениями и
не пропускаются пакеты, нарушающие спецификации TCP/IP (такие пакеты часто ис-
пользуются в злонамеренных операциях: сканировании ресурсов, взломах через не-
правильные реализации TCP/IP, обрыв/замедление соединений и т.д.).
Работающие на уровне приложений — фильтрация на основании анализа данных при-
ложения, передаваемых внутри пакета; передача потенциально опасной и нежелатель-
ной информации блокируется на основании политик и настроек.
3. В зависимости от отслеживания активных соединений.
— Stateless (простая фильтрация) — не отслеживают текущие соединения (например,
TCP), а фильтруют поток данных исключительно на основе статических правил;
— Stateful (фильтрация с учётом контекста) — отслеживают текущие соединения и
пропускают только такие пакеты, которые удовлетворяют логике и алгоритмам работы
соответствующих протоколов и приложений.
Рассмотрим некоторые популярные брандмауэры, реализованные в виде прикладных
программ.
1. Outpost Firewall Pro. Персональный брандмауэер, обладает следующими функ-
циональными возможностями:
—
—
—
—
—
предотвращение несанкционированного доступа к данным;
сокрытие присутствия зщищаемой системы в сети (таким образом она делается «неви-
димой» для взломщиков);
анализ входящих почтовых сообщений и блокировка потенциально опасных;
мониторинг и анализ сетевой активности системы;
блокировка доступа к «запрещенным» сайтам (для детей или сотрудников).
2. ZoneAlarm Pro. Мощный брандмауэр с гибко настраиваемыми функциональными
возможностями, включающими:
—
—
—
—
—
—
фильтр приложений, позволяющий устанавливать права для каждой программы, ис-
пользуемой в сети;
поддержку цифровой подписи;
подробный лог-файл событий и средства для его анализа, с последующей выдачей тек-
стовых и графических отчетов;
настраиваемый контроль cookies;
механизм мгновенной автоматической или ручной блокировки доступа приложений к
Интернет;
автоматическую проверку вложений электронной почты.