Τι είναι μια επίθεση δικτύου. Επιθέσεις δικτύου
Μόλις εγκαταστήσετε το Ubuntu ως το κύριο λειτουργικό σας σύστημα, θα πρέπει να μάθετε πώς να προστατεύεστε από ωφέλιμα φορτία Rubber Ducky, την κατάσχεση των δεδομένων σας από τις αρχές επιβολής του νόμου και γενικά να μειώσετε τον αριθμό των στόχων που μπορείτε να πετύχετε. Όταν αμύνεστε από επιθέσεις δικτύου, πρέπει να ελαχιστοποιήσετε την αποκάλυψη πληροφοριών σχετικά με το υλικό σας, να αποτρέψετε την εκτέλεση sniffer πακέτων, να αυστηροποιήσετε τους κανόνες του τείχους προστασίας και πολλά άλλα.
Συνεχίζουμε τη μίνι σειρά μας για την ενίσχυση της προστασίας του λειτουργικού συστήματος Ubuntu. Σε αυτό το μέρος, θα μάθετε πώς να πλαστογραφείτε μια διεύθυνση MAC για να μπερδέψετε τους παθητικούς χάκερ, να απενεργοποιήσετε τις αχρησιμοποίητες υπηρεσίες δικτύου όπως το CUPS και το Avahi, να δημιουργήσετε κανόνες τείχους προστασίας για συγκεκριμένες θύρες για να αποκλείσετε μη εξουσιοδοτημένες απόπειρες πρόσβασης και να λάβετε τα δεδομένα σας, να προστατεύσετε από την εισπνοή κωδικού πρόσβασης και cookie αρχεία στα πακέτα σας χρησιμοποιώντας ένα VPN.
Εάν χάσατε το προηγούμενο άρθρο, φροντίστε να το ελέγξετε, ακόμα κι αν έχετε ήδη εγκατεστημένο το Ubuntu και θέλετε απλώς να ενισχύσετε την ασφάλειά του. Θα μάθετε τι μας παρακίνησε να γράψουμε αυτή τη σειρά τεσσάρων μερών.
Βήμα 1: Προστατέψτε τον εαυτό σας από τον εντοπισμό του υλικού σας
Όταν συνδέεστε σε νέα δίκτυα Wi-Fi και δρομολογητές, παραποιήστε τη διεύθυνση MAC του προσαρμογέα Wi-Fi σας. Φυσικά, αυτό δεν θα εμποδίσει έναν παρακινημένο χάκερ να γνωρίζει ποιο λειτουργικό σύστημα χρησιμοποιείτε, αλλά μπορεί να τον μπερδέψει και να τον εμποδίσει να συλλέξει πληροφορίες για το υλικό σας.
Για παράδειγμα, ένας χάκερ που είναι συνδεδεμένος σε ένα δίκτυο Wi-Fi σε ένα καφέ μπορεί να επικεντρώσει τις προσπάθειές του σε συσκευές εισβολής εκτός της Apple. Εάν εμφανιστείτε στο δίκτυο με το , ο εισβολέας θα αγνοήσει εντελώς τη συσκευή σας. Ή μπορεί να δοκιμάσει ορισμένες επιθέσεις ειδικά για MacOS στη συσκευή σας που δεν θα λειτουργήσουν επειδή στην πραγματικότητα δεν χρησιμοποιείτε MacBook, εμφανίζεστε μόνο στο διαδίκτυο σαν να χρησιμοποιείτε υλικό Apple. Σε συνδυασμό με ένα ψεύτικο πρόγραμμα περιήγησης User-Agent, αυτό μπορεί πραγματικά να μπερδέψει έναν όχι και τόσο έξυπνο αντίπαλο.
Για να αλλάξετε τη διεύθυνση MAC στο Ubuntu, ανοίξτε τη Διαχείριση δικτύου και μεταβείτε στο μενού "Επεξεργασία" της σύνδεσής σας Wi-Fi. Στην καρτέλα Identity, εισαγάγετε τη διεύθυνση MAC που θέλετε να χρησιμοποιήσετε στο πεδίο Cloned Address.
Βήμα 2: Προστασία από επιθέσεις σε υπηρεσίες ακρόασης
Όταν μια διαδικασία (ή υπηρεσία) στο παρασκήνιο βρίσκεται σε κατάσταση " " (ακρόαση), σημαίνει ότι άλλες υπηρεσίες και εφαρμογές στη συσκευή και το δίκτυό σας μπορούν να αλληλεπιδράσουν μαζί της. Αυτές οι υπηρεσίες «ακρόασης» περιμένουν πάντα κάποια δεδομένα ως είσοδο, μετά τη λήψη των οποίων η υπηρεσία πρέπει να δώσει μια συγκεκριμένη απάντηση. Οποιαδήποτε υπηρεσία με τοπική διεύθυνση 0.0.0.0, ενώ βρίσκεται σε κατάσταση ακρόασης, πιθανότατα θα είναι διαθέσιμη σε όλους τους χρήστες σε ένα δεδομένο τοπικό δίκτυο και πιθανώς και στο Διαδίκτυο.
Ένα πρόσφατα εγκατεστημένο Ubuntu θα έχει μόνο λίγες υπηρεσίες που εκτελούνται, επομένως δεν χρειάζεται να ανησυχείτε για την επίφοβη θύρα που ακούει από προεπιλογή. Έχετε όμως πάντα υπόψη σας τις εφαρμογές που θα εγκαταστήσετε στο μέλλον. Μπορεί να ανοίξουν θύρες ακρόασης χωρίς να σας το πουν.
Για να παρακολουθούμε ποιες διεργασίες παρασκηνίου ακούν, θα χρησιμοποιήσουμε το netstat, ένα εργαλείο που χρησιμοποιείται για την εμφάνιση πληροφοριών σχετικά με συνδέσεις δικτύου, ανοιχτές θύρες και υπηρεσίες που εκτελούνται. Εφόσον χρησιμοποιήσαμε μια ελάχιστη εγκατάσταση του Ubuntu, το σύνολο των βοηθητικών προγραμμάτων net-tools που χρειαζόμαστε για την εργασία με δίκτυα (συμπεριλαμβανομένου του netstat) θα πρέπει να εγκατασταθεί χειροκίνητα. Αυτό μπορεί να γίνει χρησιμοποιώντας την εντολή sudo apt-get install net-tools.
Sudo apt-get install net-tools Ανάγνωση λιστών πακέτων... Ολοκληρώθηκε Δημιουργία δέντρου εξάρτησης Ανάγνωση πληροφοριών κατάστασης... Ολοκληρώθηκε Θα εγκατασταθούν τα ακόλουθα ΝΕΑ πακέτα: net-tools 0 αναβαθμισμένο, 1 πρόσφατα εγκατεστημένο, 0 για κατάργηση και 0 μη αναβαθμισμένο . Πρέπει να αποκτήσετε αρχεία 194 kB. Μετά από αυτή τη λειτουργία, θα χρησιμοποιηθούν 803 kB επιπλέον χώρου στο δίσκο. Επιλογή μη επιλεγμένων πακέτων net-εργαλείων. (Ανάγνωση βάσης δεδομένων ... 149085 αρχεία και κατάλογοι εγκατεστημένα αυτήν τη στιγμή.) Προετοιμασία για αποσυσκευασία .../net-tools_1.60+git20161116.90da8a0-1ubuntu1_amd64.deb ... Αποσυσκευασία net-tools (1.60+git201901111u). ... Επεξεργασία ενεργειών για man-db (2.8.3-2) ... Ρύθμιση net-tools (1.60+git20161116.90da8a0-1ubuntu1) ...
Χρησιμοποιήστε την ακόλουθη εντολή netstat για να προβάλετε υπηρεσίες σε κατάσταση "LISTEN".
Sudo netstat -ntpul Ενεργές συνδέσεις Διαδικτύου (μόνο διακομιστές) Proto Recv-Q Send-Q Τοπική Διεύθυνση Εξωτερική Διεύθυνση Κατάσταση PID/Όνομα προγράμματος tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 651/systemd-resolve 0120 tcp. .0.1:631 0.0.0.0:* LISTEN 806/cupsd tcp6 0 0::1:631:::* LISTEN 806/cupsd udp 47616 0 127.0.0.53:53 0.0.0-5100. 0.0.0.0:631 0.0.0.0:* 812/κούπες-browsed udp 2304 0 0.0.0.0:5353 0.0.0.0:* 750/avahi-daemon: r udp 0 0 0.0.080.0:00.8 avahi-daemon: r udp6 0 0:::37278:::* 750/avahi-daemon: r udp6 25344 0:::5353:::* 750/avahi-daemon: r
Το Systemd-resolve χρησιμοποιείται για την επίλυση ονομάτων τομέα και, φυσικά, δεν πρέπει να αλλάξει ή να αφαιρεθεί. Θα μιλήσουμε για το "cupsd" και το "avahi-daemon" παρακάτω στις επόμενες ενότητες.
Απενεργοποιήστε ή αφαιρέστε τα CUPS
Το 2011, ανακαλύφθηκε μια ευπάθεια DDoS στο avahi-daemon. Αν και αυτό το CVE είναι αρκετά παλιό και έχει πολύ χαμηλό επίπεδο σοβαρότητας, ωστόσο δείχνει πώς ένας χάκερ σε ένα τοπικό δίκτυο ανακαλύπτει ευπάθειες στα πρωτόκολλα δικτύου και χειρίζεται τις υπηρεσίες που εκτελούνται στη συσκευή του θύματος.
Εάν δεν σκοπεύετε να αλληλεπιδράσετε με προϊόντα ή υπηρεσίες της Apple σε άλλες συσκευές, το avahi-daemon μπορεί να απενεργοποιηθεί χρησιμοποιώντας την ακόλουθη εντολή: sudo systemctl disa avahi-daemon.
Το Sudo systemctl απενεργοποιεί το avahi-daemon Συγχρονισμός κατάστασης του avahi-daemon.service με το σενάριο υπηρεσίας SysV με /lib/systemd/systemd-sysv-install. Εκτέλεση: /lib/systemd/systemd-sysv-install disable avahi-daemon Αφαιρέθηκε /etc/systemd/system/dbus-org.freedesktop.Avahi.service. Καταργήθηκε το /etc/systemd/system/sockets.target.wants/avahi-daemon.socket.
Το Avahi μπορεί επίσης να αφαιρεθεί εντελώς χρησιμοποιώντας sudo apt-get purge avahi-daemon.
Sudo apt-get purge avahi-daemon Ανάγνωση λιστών πακέτων... Ολοκληρώθηκε Δημιουργία δέντρου εξάρτησης Ανάγνωση πληροφοριών κατάστασης... Ολοκληρώθηκε Τα ακόλουθα πακέτα θα ΚΑΤΑΡΓΗΘΟΥΝ: avahi-daemon* (0.7-3.1ubuntu1) avahi-utils* (0.7-3.1 ubuntu1) libnss-mdns* (0.10-8ubuntu1) 0 αναβαθμισμένο, 0 πρόσφατα εγκατεστημένο, 3 για κατάργηση και 0 μη αναβαθμισμένο. Μετά από αυτή τη λειτουργία, θα ελευθερωθεί χώρος στο δίσκο 541 kB. Θέλετε να συνεχίσετε; y
Βήμα 3: Προστατέψτε τις θύρες σας
Ένας ερασιτέχνης χάκερ θα μπορούσε να προσπαθήσει να εξάγει δεδομένα μέσω ή να δημιουργήσει ένα αντίστροφο κέλυφος στο (αναφέρεται ρητά στη Wikipedia ως η προεπιλεγμένη θύρα για το Metasploit). Ένα τείχος προστασίας που επιτρέπει μόνο τα εξερχόμενα πακέτα σε λίγες θύρες θα μπλοκάρει τυχόν εισερχόμενα πακέτα.
Για τη διαχείριση της διαθεσιμότητας των θυρών, θα χρησιμοποιήσουμε ένα πρόγραμμα που παρέχει μια απλή διεπαφή για τη διαμόρφωση των τειχών προστασίας. UFW κυριολεκτικά σημαίνει Uncomplicated Firewall. Λειτουργεί ως διεπαφή στο (φίλτρο πακέτων) και δεν προορίζεται να παρέχει πλήρη λειτουργικότητα τείχους προστασίας, αλλά είναι ένα βολικό μέσο για την προσθήκη ή την αφαίρεση κανόνων τείχους προστασίας.
1. Αρνηθείτε όλες τις εισερχόμενες και εξερχόμενες συνδέσεις
Για να ενεργοποιήσετε το UFW, χρησιμοποιήστε την εντολή sudo ufw enable.
Το τείχος προστασίας Sudo ufw enable είναι ενεργό και ενεργοποιημένο κατά την εκκίνηση του συστήματος
Απενεργοποιήστε όλες τις εισερχόμενες συνδέσεις με αυτήν την εντολή:
Sudo ufw προεπιλεγμένη άρνηση εισερχόμενης
Στη συνέχεια, απενεργοποιήστε όλες τις ανακατευθύνσεις:
Sudo ufw προεπιλεγμένη άρνηση προώθησης
Και αρνηθείτε όλες τις εξερχόμενες συνδέσεις:
Sudo ufw προεπιλεγμένη άρνηση εξερχόμενης
Από εδώ και στο εξής, δεν θα έχετε πλέον πρόσβαση στο Διαδίκτυο χρησιμοποιώντας τον Firefox ή οποιαδήποτε άλλη εφαρμογή.
2. Βρείτε τη διεπαφή Wi-Fi σας
Για να επιτρέψετε τις εξερχόμενες συνδέσεις, πρέπει πρώτα να βρείτε το όνομα του προσαρμογέα Wi-Fi χρησιμοποιώντας την εντολή ifconfig -a.
Ifconfig -a enp0s8: flags=4163
Για τους σκοπούς αυτού του άρθρου, χρησιμοποιούμε το Ubuntu στο VirtualBox, επομένως το όνομα της διεπαφής μας είναι "enp0s8". Η εντολή ifconfig μπορεί να εμφανίζει την ασύρματη διεπαφή σας ως "wlp3s0", "wlp42s0" ή κάτι τέτοιο.
3. Δημιουργήστε εξαιρέσεις τείχους προστασίας και διαμορφώστε την ασφαλή ανάλυση DNS
Μπορείτε να επιτρέψετε την κυκλοφορία DNS, HTTP και HTTPS στην ασύρματη διεπαφή χρησιμοποιώντας αυτές τις τρεις εντολές.
Sudo ufw επιτρέπεται η έξοδος στη θύρα 1.1.1.1 proto udp 53 σχόλιο "επιτρέπει το DNS on " sudo ufw επιτρέπει την είσοδο σε οποιαδήποτε θύρα proto tcp 80 σχόλιο "επιτρέπει το HTTP on " sudo ufw επιτρέπεται η έξοδος σε οποιαδήποτε θύρα proto tcp 443 σχόλιο "επιτρέπεται HTTPS σε "
Η διεύθυνση "1.1.1.1" στην εντολή DNS είναι η νέα λύση επίλυσης DNS. Πολλοί χρήστες του διαδικτύου δεν συνειδητοποιούν ότι ακόμα κι αν περιηγούνται σε έναν ιστότοπο χρησιμοποιώντας μια κρυπτογραφημένη σύνδεση (το μικρό πράσινο λουκέτο στη γραμμή URL), οι ISP μπορούν να δουν το όνομα κάθε τομέα που επισκέπτονται χρησιμοποιώντας ερωτήματα DNS. Η χρήση του προγράμματος επίλυσης DNS του CloudFlare θα βοηθήσει στην αποτροπή των Παρόχων Υπηρεσιών Διαδικτύου (ISP) από το να προσπαθήσουν να καταλάβουν την επισκεψιμότητά σας.
4. Ενημερώστε τη διαμόρφωση DNS στο Network Manger
Αφού ορίσετε τους κανόνες UFW στο Network Manager, μεταβείτε στο μενού "Επεξεργασία" της σύνδεσής σας Wi-Fi και αλλάξτε το πεδίο DNS σε 1.1.1.1. Αποσυνδεθείτε και επανασυνδεθείτε στο δίκτυο Wi-Fi για να τεθούν σε ισχύ οι αλλαγές DNS.
Δείτε τους νέους κανόνες χρησιμοποιώντας την εντολή sudo ufw status numbered.
Κατάσταση Sudo ufw με αρίθμηση Κατάσταση: ενεργό Προς ενέργεια Από ------- ---- [ 1] 1.1.1.1 53/udp ALLOW OUT Anywhere on enp0s8 (out) # allow DNS στο enp0s8 [ 2] 443/tcp ALLOW OUT Anywhere on enp0s8 (out) # allow HTTPS on enp0s8 [ 3] 80/tcp ALLOW OUT Anywhere on enp0s8 (out) # allow HTTP on enp0s8
Το Ubuntu θα μπορεί να κάνει τυπικά αιτήματα HTTP/HTTPS στις θύρες 80 και 443 στην ασύρματη διεπαφή που καθορίζετε. Εάν αυτοί οι κανόνες είναι πολύ αυστηροί για τις καθημερινές σας δραστηριότητες, μπορείτε να επιτρέψετε όλα τα εξερχόμενα πακέτα χρησιμοποιώντας αυτήν την εντολή:
Το Sudo ufw προεπιλογή επιτρέπει την έξοδο
5. Παρακολουθήστε το τείχος προστασίας σας
Εάν προσπαθείτε να εντοπίσετε σφάλματα εισερχόμενες ή εξερχόμενες συνδέσεις, μπορείτε να χρησιμοποιήσετε την εντολή tail με το όρισμα -f για να παρακολουθείτε μηνύματα και αποκλίσεις στα αρχεία καταγραφής UFW σε πραγματικό χρόνο. Αυτή η εντολή θα μοιάζει πλήρως με αυτό:
Ουρά -f /var/log/ufw.log πυρήνας: [ 3900.250931] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x04 DPTF40 SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0 πυρήνας: [ 3901.280089] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.1500PR=104.1500EC=104.193 L=64 = 47091 DF PROTO=TCP SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0
Στα παραπάνω αρχεία καταγραφής, το UFW αποκλείει τις εξερχόμενες συνδέσεις (OUT=) από την τοπική μας διεύθυνση IP (192.168.1.44) στον διακομιστή Null Byte (104.193.19.59) χρησιμοποιώντας TCP με θύρα προορισμού (DPT) 9999. Αυτό μπορεί να επιλυθεί χρησιμοποιώντας αυτό εντολή UFW:
Το Sudo ufw επιτρέπει την έξοδο από 192.168.1.44 έως 104.193.19.59 proto tcp port 9999
Για περισσότερες πληροφορίες σχετικά με το UFW, μπορείτε να διαβάσετε τις σελίδες man (man ufw).
Οι αναγνώστες που ενδιαφέρονται για πολύ ακριβή ρύθμιση ενός τείχους προστασίας θα πρέπει οπωσδήποτε.
Βήμα 4: Προστατευτείτε από το sniffing πακέτων και την υποκλοπή cookie
Οι επιθέσεις χειρισμού πακέτων μπορούν να αποτραπούν χρησιμοποιώντας ένα εικονικό ιδιωτικό δίκτυο (VPN). Το VPN προσφέρει ένα σύνολο τεχνολογιών που:
- Σταματήστε τους χάκερ σε δίκτυα Wi-Fi να χειρίζονται πακέτα και να παρακολουθούν τη δραστηριότητά σας.
- Να απαγορεύετε στους παρόχους Διαδικτύου να παρακολουθούν τη δραστηριότητά σας και να πωλούν τα δεδομένα σας σε τρίτους.
- Βοηθούν στην παράκαμψη του αποκλεισμού από αρχές λογοκρισίας (όπως το RKN), όταν οι πάροχοι Διαδικτύου ή τα τείχη προστασίας δικτύου εμποδίζουν την πρόσβαση σε ορισμένους ιστότοπους.
Οι περισσότερες πληρωμένες υπηρεσίες VPN ξεκινούν από 5 $ το μήνα. Μερικοί αξιοσημείωτοι πάροχοι VPN είναι: ProtonVPN, Mullvad, VyprVPN και .
Το επόμενο βήμα είναι η ενίσχυση της προστασίας εφαρμογών και η δημιουργία sandboxes
Αυτό είναι για τη δημιουργία προστασίας για την παρουσία και τις δραστηριότητές σας στο διαδίκτυο. Στο επόμενο άρθρο, θα μιλήσουμε για εφαρμογές για τη δημιουργία sandboxes και τη διατήρηση του συστήματός σας ασφαλές σε περίπτωση που εκτελείται κάποιο κακόβουλο λογισμικό στη συσκευή σας. Μετά από αυτό, θα ασχοληθούμε με τον έλεγχο με λογισμικό προστασίας από ιούς και την παρακολούθηση των αρχείων καταγραφής του συστήματος.
Άρνηση ευθύνης: Αυτό το άρθρο είναι γραμμένο μόνο για εκπαιδευτικούς σκοπούς. Ο συγγραφέας ή ο εκδότης δεν δημοσίευσε αυτό το άρθρο για κακόβουλους σκοπούς. Εάν οι αναγνώστες επιθυμούν να χρησιμοποιήσουν τις πληροφορίες για προσωπικό όφελος, ο συγγραφέας και ο εκδότης δεν ευθύνονται για οποιαδήποτε βλάβη ή ζημιά προκληθεί.Κεφάλαιο 5. Προστασία από επιθέσεις δικτύου
Η ασφάλεια των πληροφοριών σε δίκτυα υπολογιστών και μεμονωμένους υπολογιστές επιτυγχάνεται με την εφαρμογή μιας ενιαίας πολιτικής προστατευτικών μέτρων, καθώς και ενός συστήματος νομικών, οργανωτικών και μηχανικών μέτρων.
Κατά την ανάπτυξη του απαιτούμενου επιπέδου προστασίας πληροφοριών στο δίκτυο, λαμβάνεται υπόψη η αμοιβαία ευθύνη του προσωπικού και της διοίκησης, ο σεβασμός των συμφερόντων του ατόμου και της επιχείρησης και η αλληλεπίδραση με τις υπηρεσίες επιβολής του νόμου. Η διασφάλιση της ασφάλειας των πληροφοριών επιτυγχάνεται μέσω νομικών, οργανωτικών, διοικητικών και μηχανικών μέτρων.
Η προστασία των εταιρικών δικτύων διαφέρει από την προστασία των υπολογιστών των οικιακών χρηστών (αν και η προστασία μεμονωμένων σταθμών εργασίας αποτελεί αναπόσπαστο μέρος της προστασίας των δικτύων). Και κυρίως επειδή αυτό το ζήτημα αντιμετωπίζεται (ή μάλλον θα έπρεπε) από αρμόδιους ειδικούς σε θέματα ασφάλειας υπολογιστών. Επιπλέον, η βάση ενός εταιρικού συστήματος ασφάλειας δικτύου είναι η επίτευξη συμβιβασμού μεταξύ της ευκολίας χρήσης για τους τελικούς χρήστες και των απαιτήσεων των ειδικών τεχνικών.
Ένα σύστημα υπολογιστή μπορεί να θεωρηθεί από δύο οπτικές γωνίες: μπορεί να θεωρηθεί μόνο ως χρήστες σε σταθμούς εργασίας ή μπορεί να θεωρηθεί μόνο ως η λειτουργία ενός λειτουργικού συστήματος δικτύου. Ένα δίκτυο υπολογιστών μπορεί επίσης να θεωρηθεί μια συλλογή πακέτων πληροφοριών που διέρχονται από καλώδια.
Υπάρχουν πολλά επίπεδα αναπαράστασης δικτύου. Μπορείτε να προσεγγίσετε το πρόβλημα της ασφάλειας δικτύου με τον ίδιο τρόπο - σε διαφορετικά επίπεδα. Κατά συνέπεια, οι μέθοδοι προστασίας θα είναι διαφορετικές για κάθε επίπεδο. Όσο περισσότερα στρώματα προστατεύονται, τόσο πιο αξιόπιστα προστατεύεται το σύστημα στο σύνολό του.
Ο πρώτος, πιο προφανής και πιο δύσκολος στην πράξη, τρόπος είναι να εκπαιδεύσετε το προσωπικό σε συμπεριφορά που κάνει μια επίθεση δικτύου πιο δύσκολη. Αυτό δεν είναι καθόλου τόσο απλό όσο φαίνεται με την πρώτη ματιά. Είναι απαραίτητο να εισαχθούν περιορισμοί στη χρήση του Διαδικτύου και οι χρήστες συχνά δεν έχουν ιδέα σε τι οφείλονται αυτοί οι περιορισμοί (δεν διαθέτουν τέτοια προσόντα), επομένως προσπαθούν με κάθε δυνατό τρόπο να παραβιάσουν τις υπάρχουσες απαγορεύσεις. Επιπλέον, οι απαγορεύσεις πρέπει να διατυπωθούν με σαφήνεια. Για παράδειγμα, ένας απλός χρήστης είναι απίθανο να κατανοήσει τη συμβουλή να μην χρησιμοποιεί εφαρμογές-πελάτες με ανεπαρκώς ασφαλές πρωτόκολλο, αλλά είναι σχεδόν βέβαιο ότι θα κατανοήσει την οδηγία να μην εκτελείται το ICQ στον υπολογιστή του και θα διαμαρτυρηθεί αρκετά βίαια. Δεν είναι τυχαίο που λένε ότι το ICQ είναι το λουλούδι στον τάφο του χρόνου εργασίας.
Το σύνολο των μέτρων ασφάλειας των πληροφοριών θα πρέπει να βασίζεται σε μια στρατηγική προστασίας πληροφοριών. Καθορίζει τους στόχους, τα κριτήρια, τις αρχές και τις διαδικασίες που απαιτούνται για τη δημιουργία ενός αξιόπιστου συστήματος ασφαλείας. Μια καλά ανεπτυγμένη στρατηγική θα πρέπει να αντικατοπτρίζει όχι μόνο τον βαθμό προστασίας, την αναζήτηση κενών, το πού θα εγκατασταθούν τείχη προστασίας ή διακομιστές μεσολάβησης κ.λπ. Πρέπει επίσης να ορίζει με σαφήνεια τις διαδικασίες και τον τρόπο εφαρμογής τους προκειμένου να διασφαλίζεται αξιόπιστη προστασία.
Το πιο σημαντικό χαρακτηριστικό της συνολικής στρατηγικής ασφάλειας πληροφοριών είναι η μελέτη του συστήματος ασφαλείας. Μπορούν να διακριθούν δύο κύριες κατευθύνσεις:
– ανάλυση προστατευτικού εξοπλισμού·
– προσδιορισμός του γεγονότος εισβολής.
Με βάση την έννοια της ασφάλειας πληροφοριών, αναπτύσσεται μια στρατηγική ασφάλειας πληροφοριών και μια αρχιτεκτονική συστήματος ασφάλειας πληροφοριών. Το επόμενο στάδιο μιας γενικευμένης προσέγγισης για τη διασφάλιση της ασφάλειας είναι ο καθορισμός μιας πολιτικής, το περιεχόμενο της οποίας είναι τα πιο ορθολογικά μέσα και πόροι, προσεγγίσεις και στόχοι του υπό εξέταση έργου.
Συνιστάται η ανάπτυξη μιας ιδέας προστασίας σε τρία στάδια. Στο πρώτο στάδιο, η ρύθμιση προστασίας στόχου πρέπει να οριστεί σαφώς, δηλαδή ποιες πραγματικές αξίες, διαδικασίες παραγωγής, προγράμματα, σύνολα δεδομένων πρέπει να προστατευθούν. Σε αυτό το στάδιο, είναι σκόπιμο να διαφοροποιούνται ανάλογα με τη σημασία μεμονωμένα αντικείμενα που απαιτούν προστασία.
Στο δεύτερο στάδιο, θα πρέπει να διενεργηθεί ανάλυση εγκληματικών πράξεων που θα μπορούσαν ενδεχομένως να διαπραχθούν κατά του προστατευόμενου αντικειμένου. Είναι σημαντικό να προσδιοριστεί ο βαθμός πραγματικού κινδύνου των πιο διαδεδομένων εγκλημάτων, όπως η οικονομική κατασκοπεία, η τρομοκρατία, η δολιοφθορά και η διάρρηξη. Στη συνέχεια, πρέπει να αναλύσετε τις πιο πιθανές ενέργειες των εισβολέων σε σχέση με τα κύρια αντικείμενα που χρειάζονται προστασία.
Το κύριο καθήκον του τρίτου σταδίου είναι η ανάλυση της κατάστασης, συμπεριλαμβανομένων των ειδικών τοπικών συνθηκών, των διαδικασιών παραγωγής και των υφιστάμενων τεχνικών μέσων προστασίας.
Η ιδέα προστασίας πρέπει να περιέχει κατάλογο οργανωτικών, τεχνικών και άλλων μέτρων που διασφαλίζουν το υψηλότερο δυνατό επίπεδο ασφάλειας για δεδομένο εναπομένον κίνδυνο και ελάχιστο κόστος για την εφαρμογή τους.
Η πολιτική ασφαλείας είναι ένα γενικό έγγραφο που παραθέτει κανόνες πρόσβασης, καθορίζει τον τρόπο με τον οποίο θα εφαρμοστεί η πολιτική και περιγράφει τη βασική αρχιτεκτονική του περιβάλλοντος ασφαλείας. Αυτό το ίδιο το έγγραφο συνήθως αποτελείται από πολλές σελίδες κειμένου. Αποτελεί τη βάση της φυσικής αρχιτεκτονικής του δικτύου και οι πληροφορίες που περιέχει καθορίζουν την επιλογή των προϊόντων ασφαλείας. Σε αυτήν την περίπτωση, το έγγραφο μπορεί να μην περιλαμβάνει μια πλήρη λίστα απαραίτητων αγορών, αλλά η επιλογή συγκεκριμένων εξαρτημάτων μετά την προετοιμασία του θα πρέπει να είναι προφανής.
Οι πολιτικές ασφαλείας υπερβαίνουν κατά πολύ την απλή ιδέα του «να κρατάμε έξω τους εισβολείς». Αυτό είναι ένα πολύ περίπλοκο έγγραφο που ορίζει την πρόσβαση σε δεδομένα, «τη φύση της περιήγησης στο WWW, τη χρήση κωδικών πρόσβασης ή κρυπτογράφησης, τη στάση απέναντι στα συνημμένα email, τη χρήση Java και ActiveX και πολλά άλλα. Αναλυτικά αυτούς τους κανόνες για άτομα ή ομάδες. Δεν πρέπει να ξεχνάμε τη βασική φυσική προστασία - εάν κάποιος μπορεί να εισβάλει στην αίθουσα διακομιστή και να αποκτήσει πρόσβαση στον κεντρικό διακομιστή αρχείων ή να φύγει από το γραφείο με εφεδρικές δισκέτες και δίσκους στην τσέπη του, τότε όλα τα άλλα μέτρα γίνονται εντελώς ανόητα και ανόητα.
Φυσικά, η πολιτική δεν θα πρέπει να επιτρέπει σε ξένους να διεισδύσουν στο δίκτυο, αλλά θα πρέπει επίσης να καθιερώσει τον έλεγχο σε δυνητικά αδίστακτους και μη αποδοτικούς υπαλλήλους του οργανισμού σας. Το σύνθημα κάθε διαχειριστή συστήματος ασφαλείας είναι «Μην εμπιστεύεσαι κανέναν!»
Το πρώτο βήμα στη χάραξη πολιτικής είναι να αποφασίσετε ποιοι χρήστες θα πρέπει να έχουν πρόσβαση σε ποιες πληροφορίες και υπηρεσίες, την πιθανότητα βλάβης και ποιες προστασίες υπάρχουν ήδη. Επιπλέον, η πολιτική ασφαλείας θα πρέπει να υπαγορεύει μια ιεραρχία δικαιωμάτων πρόσβασης, δηλαδή, οι χρήστες θα πρέπει να έχουν πρόσβαση μόνο στις πληροφορίες που πραγματικά χρειάζονται για να κάνουν τη δουλειά τους.
Η πολιτική ασφαλείας πρέπει απαραίτητα να αντικατοπτρίζει τα ακόλουθα:
– έλεγχος πρόσβασης (απαγόρευση πρόσβασης του χρήστη σε υλικά που δεν επιτρέπεται να χρησιμοποιήσει).
– αναγνώριση και έλεγχος ταυτότητας (χρήση κωδικών πρόσβασης ή άλλων μηχανισμών για την επαλήθευση της κατάστασης του χρήστη).
– λογιστική (καταγραφή όλων των ενεργειών των χρηστών στο δίκτυο).
– διαδρομή ελέγχου (το αρχείο καταγραφής σάς επιτρέπει να προσδιορίσετε πότε και πού σημειώθηκε παραβίαση ασφαλείας).
– ακρίβεια (προστασία από τυχόν τυχαίες παραβιάσεις).
– αξιοπιστία (αποτροπή μονοπώλησης των πόρων του συστήματος από έναν χρήστη).
– ανταλλαγή δεδομένων (προστασία όλων των επικοινωνιών).
Η πρόσβαση καθορίζεται από πολιτικές τείχους προστασίας: η πρόσβαση σε πόρους συστήματος και δεδομένα δικτύου μπορεί να περιγραφεί σε επίπεδο λειτουργικού συστήματος και, εάν είναι απαραίτητο, να συμπληρωθεί με προγράμματα ασφαλείας τρίτων. Οι κωδικοί πρόσβασης μπορεί να είναι το πιο πολύτιμο μέρος του περιβάλλοντος ασφαλείας σας, αλλά εάν χρησιμοποιηθούν ή χρησιμοποιούνται εσφαλμένα, μπορούν να γίνουν το κλειδί για το δίκτυό σας. Μια καλή πολιτική κωδικών πρόσβασης είναι ιδιαίτερα χρήσιμη κατά τη διαχείριση προσωρινών προϋπολογισμών για να διασφαλιστεί ότι κάποιος δεν χρησιμοποιεί έγκυρο κωδικό πρόσβασης αφού οι προσωρινοί υπάλληλοι ή οι εργολάβοι έχουν ολοκληρώσει την εργασία τους.
Ορισμένα λειτουργικά συστήματα προσφέρουν επίσης μια τέτοια επιλογή όπως πιστοποίηση, δηλαδή εισάγουν ένα ελάχιστο επίπεδο δυσκολίας κωδικού πρόσβασης. Σε αυτά τα συστήματα, ο διαχειριστής ασφαλείας μπορεί απλώς να ορίσει τον κανόνα "Δεν είναι εύκολο να μαντέψει κανείς τους κωδικούς πρόσβασης". Για παράδειγμα, το σύστημα δεν δέχεται κωδικό πρόσβασης που περιέχει μόνο το όνομα και την ηλικία του χρήστη. Οι τελικοί χρήστες συνήθως, παρά όλες τις προειδοποιήσεις, επιλέγουν τα πιο απλά μονοπάτια. Εάν πρέπει να αντιμετωπίσουν πάρα πολλούς κωδικούς πρόσβασης, θα χρησιμοποιήσουν τον ίδιο κωδικό πρόσβασης ή θα ορίσουν εύκολους κωδικούς πρόσβασης ή χειρότερα, θα τους γράψουν σε ένα κομμάτι χαρτί και θα τους κρατήσουν σε ένα συρτάρι ή ακόμη και θα κολλήσουν το φύλλο κωδικού πρόσβασης στην οθόνη τους.
Η πληθώρα συσκευών ασφαλείας, τείχη προστασίας, πύλες και VPN (εικονικά ιδιωτικά δίκτυα), καθώς και η αυξανόμενη ζήτηση για πρόσβαση σε εταιρικά δεδομένα από υπαλλήλους, συνεργάτες και πελάτες, δημιουργεί ένα περίπλοκο περιβάλλον ασφαλείας που είναι δύσκολο να διαχειριστεί. Οι κανόνες για πολλές από τις αναφερόμενες συσκευές πρέπει συχνά να καθορίζονται χωριστά.
Καθώς οι μεγάλες εταιρείες συνεχίζουν να συγχωνεύονται και να αποκτούν μικρότερες εταιρείες, το περιβάλλον ασφαλείας (και το δίκτυο συνολικά) γίνεται όλο και πιο τυχαίο και πολυεπίπεδο. Όταν συμβαίνει αυτό, η διαχείριση των κανόνων γίνεται απίστευτα δύσκολη.
Τα τείχη προστασίας (τόσο το υλικό όσο και το λογισμικό) σάς επιτρέπουν να προσδιορίσετε ποιος έχει το δικαίωμα πρόσβασης στο δίκτυό σας από έξω. Όλα τα τείχη προστασίας εφαρμόζουν ορισμένους κανόνες. Η διαφορά είναι το επίπεδο λεπτομέρειας και η ευκολία χρήσης που παρέχει η διεπαφή διαχείρισης. Στην ιδανική περίπτωση, ένα τείχος προστασίας επιλύει τρία κρίσιμα προβλήματα:
– ορίστε κανόνες από μια διαισθητική γραφική διεπαφή.
– έλεγχος της πρόσβασης μέχρι το επίπεδο μεμονωμένων αρχείων και αντικειμένων.
– ομαδοποιήστε αρχεία και αντικείμενα για συλλογική εφαρμογή κανόνων σε αυτά προκειμένου να απλοποιηθεί η διαχείριση.
Σε επίπεδο δικτύου, μπορείτε να διαχειριστείτε την προστασία χρησιμοποιώντας κανόνες με διάφορους τρόπους. Ένας συνηθισμένος τρόπος είναι η διευθυνσιοδότηση, όπου οι χρήστες εκχωρούνται σε ένα συγκεκριμένο εσωτερικό υποδίκτυο για να περιορίσουν το επίπεδο πρόσβασής τους. Το φιλτράρισμα πακέτων επιτρέπει στα πακέτα να επιτρέπονται ή να αποκλείονται όταν περνούν ορισμένα όρια, ανάλογα με τη διεύθυνση αποστολέα ή παραλήπτη.
Τα συστήματα προστασίας λειτουργούν σε επίπεδο εφαρμογής. Σε αυτήν την περίπτωση, τα συστήματα ή οι εφαρμογές στις οποίες απευθύνονται τα πακέτα ζητούν από τον χρήστη έναν κωδικό πρόσβασης, τον επαληθεύουν και στη συνέχεια παραχωρούν πρόσβαση σύμφωνα με προκαθορισμένους κανόνες.
Έτσι, όπως ήδη καταλαβαίνετε, η βάση οποιασδήποτε προστασίας είναι μια συστηματική προσέγγιση. Για να δημιουργήσετε μια πραγματικά αποτελεσματική άμυνα, πρέπει να το σκεφτείτε προσεκτικά. Για κάθε υπολογιστή που «κοιτάζει» το δίκτυο, τρία πράγματα είναι κρίσιμα:
– τείχος προστασίας
– antivirus;
– κρίσιμες ενημερώσεις για το λειτουργικό σας σύστημα.
Αυτό ισχύει τόσο για έναν οικιακό υπολογιστή όσο και για έναν συνδεδεμένο σε εταιρικό δίκτυο. Ας ρίξουμε μια πιο προσεκτική ματιά σε καθένα από αυτά τα σημεία.
5.1. Τείχος προστασίας
Το τείχος προστασίας είναι ένα μέσο προστασίας από εισβολή από το εξωτερικό και από ορισμένους τύπους hacking από το εσωτερικό. Το τείχος προστασίας είναι ένας συνδυασμός υλικού και λογισμικού που χρησιμοποιείται για την προστασία ενός δικτύου από εξωτερικές παρεμβολές. Χρησιμοποιώντας τείχη προστασίας, μπορείτε να αυξήσετε σημαντικά την ασφάλεια του τοπικού σας δικτύου.
Στη βιβλιογραφία σχετικά με τα τείχη προστασίας, μπορείτε συχνά να δείτε τον όρο προμαχώνας host. Το όνομα "προμαχώνας" προέρχεται από μια μεσαιωνική λέξη που περιγράφει τα τείχη ενός κάστρου. Ένας προμαχώνας είναι ένα ειδικό οχυρωμένο μέρος μέσα στα τείχη ενός κάστρου, σχεδιασμένο να αποκρούει επιθέσεις. Ένας υπολογιστής προμαχώνας είναι ένας υπολογιστής που έχει εγκατασταθεί ειδικά για προστασία από επιθέσεις στο δίκτυο.
Οι σχεδιαστές δικτύων χρησιμοποιούν υπολογιστές προμαχώνων ως πρώτη γραμμή άμυνας. Ο προμαχώνας υπολογιστής είναι ένα είδος «φραγμού» για όλες τις επικοινωνίες μεταξύ του δικτύου και του Διαδικτύου. Με άλλα λόγια, κανένας υπολογιστής στο δίκτυο δεν μπορεί να έχει πρόσβαση στο Διαδίκτυο εκτός από τον υπολογιστή προμαχώνα και, από την άλλη πλευρά, κανένας χρήστης εκτός δικτύου δεν μπορεί να έχει πρόσβαση στο δίκτυο χωρίς να περάσει από τον υπολογιστή προμαχώνα.
Με τη χρήση της κεντρικής πρόσβασης στο δίκτυο μέσω ενός υπολογιστή, η ασφάλεια του δικτύου απλοποιείται. Επιπλέον, παρέχοντας πρόσβαση στο Διαδίκτυο σε έναν μόνο υπολογιστή στο δίκτυο, ο προγραμματιστής διευκολύνει πολύ τον προγραμματιστή να επιλέξει το κατάλληλο λογισμικό για την προστασία του δικτύου. Τα περισσότερα περιβάλλοντα Unix, συμπεριλαμβανομένου του Linux, είναι κατάλληλα για χρήση υπολογιστή προμαχώνα. Σε περιβάλλον Unix, μπορείτε να εγκαταστήσετε έναν υπολογιστή προμαχώνα με το κόστος ενός σταθμού εργασίας ή μιας μηχανής διακομιστή, επειδή το λειτουργικό σύστημα έχει ήδη τη δυνατότητα να υποστηρίζει και να διαμορφώνει ένα τείχος προστασίας IP. Με αυτόν τον τρόπο, μπορείτε να εξοικονομήσετε το κόστος εγκατάστασης ενός δρομολογητή τείχους προστασίας (δηλαδή, χωρίς να χρειάζεται να αγοράσετε πρόσθετο υλικό δικτύου που θα μπορούσε να σας κοστίσει χιλιάδες δολάρια). Επιπλέον, με το Unix μπορείτε ελεύθερα να διαμορφώσετε και να δείτε την κυκλοφορία δικτύου.
Οι περισσότερες εταιρείες παρέχουν στους υπαλλήλους τους πρόσβαση στο Διαδίκτυο. Εάν οι εργαζόμενοι έχουν πρόσβαση στο Διαδίκτυο, η εταιρεία θα πρέπει να διασφαλίσει ότι η σύνδεση στο Διαδίκτυο πραγματοποιείται μέσω τείχους προστασίας. Στην αρχή αυτού του κεφαλαίου, είπαμε ότι ένα τείχος προστασίας είναι ένας συνδυασμός υλικού και λογισμικού για την προστασία της σύνδεσης μεταξύ δύο ή περισσότερων δικτύων. Ένα τείχος προστασίας παρέχει κεντρικό έλεγχο της ασφάλειας του δικτύου. Συνήθως κατασκευάζεται με βάση έναν λεγόμενο υπολογιστή προμαχώνων.
Εκτός από το παραδοσιακό υλικό και λογισμικό τείχους προστασίας, για μεγαλύτερη ασφάλεια, μπορείτε να χρησιμοποιήσετε έναν δρομολογητή τείχους προστασίας, ο οποίος είναι υλικό και λογισμικό που φιλτράρει πακέτα δεδομένων με βάση κριτήρια που καθορίζονται από τον διαχειριστή. Μπορείτε να δημιουργήσετε έναν δρομολογητή θωράκισης που βασίζεται σε υπολογιστή ή υπολογιστή που εκτελεί Unix.
Το πρώτο επίπεδο προστασίας από εισβολή σε διασυνδεδεμένα δίκτυα είναι ένας δρομολογητής ασπίδας, ο οποίος εκτελεί φιλτράρισμα πακέτων στα επίπεδα δικτύου και ζεύξης δεδομένων, ανεξάρτητα από το επίπεδο εφαρμογής. Επομένως, ένας δρομολογητής θωράκισης σάς επιτρέπει να ελέγχετε την κίνηση των δεδομένων στο δίκτυο χωρίς να αλλάξετε τις εφαρμογές πελάτη ή διακομιστή.
Αν και αυτός ο δρομολογητής είναι σχετικά φθηνός και εύκολος στη χρήση, μπορεί να μην παρέχει μεγάλη ασφάλεια. Το κύριο πλεονέκτημά του είναι ότι λειτουργεί αποκλειστικά στα επίπεδα δικτύου και μεταφοράς του μοντέλου ISO/OSI.
Ωστόσο, αυτό είναι ένα δίκοπο μαχαίρι. Για την πραγματική προστασία ενός δικτύου από ανεπιθύμητες εξωτερικές παρεμβολές, ένα τείχος προστασίας πρέπει να προστατεύει κάθε επίπεδο του πρωτοκόλλου TCP/IP. Το κύριο μειονέκτημα των shield routers είναι ότι φιλτράρουν δεδομένα με βάση ανεπαρκή δεδομένα. Οι περιορισμοί που τίθενται στα επίπεδα δικτύου και συνδέσμων επιτρέπουν την πρόσβαση μόνο σε διευθύνσεις IP, αριθμούς θυρών και σημαίες TCP. Λόγω της έλλειψης πληροφοριών περιβάλλοντος, οι δρομολογητές ενδέχεται να αντιμετωπίζουν προβλήματα φιλτραρίσματος πρωτοκόλλων όπως το UDP.
Οι διαχειριστές που εργάζονται με δρομολογητές ελέγχου θα πρέπει να γνωρίζουν ότι οι περισσότερες συσκευές φιλτραρίσματος πακέτων, συμπεριλαμβανομένων των δρομολογητών ελέγχου, δεν διαθέτουν μηχανισμούς ελέγχου ή συναγερμού. Με άλλα λόγια, οι δρομολογητές μπορούν να επιτεθούν και να απωθήσουν μεγάλο αριθμό από αυτούς χωρίς καν να το γνωρίζουν οι διαχειριστές. Επομένως, για την προστασία των δικτύων, οι διαχειριστές πρέπει επιπλέον να χρησιμοποιούν άλλες τεχνολογίες φιλτραρίσματος πακέτων σε συνδυασμό με τη χρήση τείχους προστασίας.
Επειδή τα τείχη προστασίας παρέχουν δυνατότητες φιλτραρίσματος στα υψηλότερα επίπεδα του μοντέλου ISO/OSI, και όχι μόνο στα επίπεδα δικτύου και συνδέσμων δεδομένων, οι πλήρεις πληροφορίες επιπέδου εφαρμογής μπορούν να χρησιμοποιηθούν για κριτήρια επιλογής. Ταυτόχρονα, θα γίνει φιλτράρισμα τόσο σε επίπεδο δικτύου όσο και σε επίπεδο μεταφοράς. Εδώ το τείχος προστασίας ελέγχει τις κεφαλίδες IP και TCP των πακέτων που διέρχονται από αυτό. Έτσι, το τείχος προστασίας απορρίπτει ή επιτρέπει στα πακέτα να περάσουν με βάση προκαθορισμένους κανόνες φιλτραρίσματος.
Όπως ήδη αναφέρθηκε, ένα τείχος προστασίας ελέγχει την αμοιβαία πρόσβαση των δικτύων μεταξύ τους. Συνήθως ένα τείχος προστασίας εγκαθίσταται μεταξύ ενός τοπικού δικτύου και του Διαδικτύου. Αποτρέπει τους χρήστες σε όλο τον κόσμο από την είσοδο σε ένα ιδιωτικό δίκτυο και ελέγχει την πρόσβαση στα δεδομένα που είναι αποθηκευμένα σε αυτό. Ωστόσο, είναι σημαντικό να θυμάστε ότι ένα τείχος προστασίας δεν είναι ένα κομμάτι υλικού ή λογισμικού που θα κάνει τα πάντα για εσάς (παρά τα όσα ισχυρίζονται οι πωλητές). Απλώς παρέχει εκτεταμένες ευκαιρίες για μέγιστη προστασία δικτύου από εξωτερικές παρεμβολές, χωρίς να δημιουργεί ιδιαίτερη ταλαιπωρία στους εγγεγραμμένους χρήστες του δικτύου. Για να δημιουργήσετε το καλύτερο τείχος προστασίας, απλώς αποσυνδέστε φυσικά το δίκτυό σας από το Διαδίκτυο.
Όπως ήδη γνωρίζετε, όλες οι επικοινωνίες δικτύου απαιτούν φυσική σύνδεση. Εάν το δίκτυο δεν είναι συνδεδεμένο στο Διαδίκτυο, οι χρήστες του δεν θα μπορέσουν ποτέ να διεισδύσουν ή να επιτεθούν στο τοπικό δίκτυο. Για παράδειγμα, εάν μια εταιρεία χρειάζεται μόνο ένα εσωτερικό δίκτυο που παρέχει πρόσβαση σε μια βάση δεδομένων πωλήσεων και δεν χρειάζεται να διεισδύσει στο δίκτυο από έξω, μπορεί να απομονώσει φυσικά το δίκτυο υπολογιστών από τον υπόλοιπο κόσμο.
Η ανάγκη για ένα τείχος προστασίας προκύπτει όταν μια εταιρεία θέλει να συνδέσει το τοπικό της δίκτυο με τον υπόλοιπο κόσμο χρησιμοποιώντας το Διαδίκτυο.
Για την κάλυψη των αναγκών ενός ευρέος φάσματος χρηστών, υπάρχουν τρεις τύποι τείχη προστασίας: επίπεδο δικτύου, επίπεδο εφαρμογής και επίπεδο σχήματος. Καθένας από αυτούς τους τρεις τύπους ακολουθεί διαφορετική προσέγγιση στην ασφάλεια του δικτύου. Εξετάστε κάθε τύπο ξεχωριστά. Η απόφασή σας πρέπει να λαμβάνει υπόψη τον τύπο και τον βαθμό προστασίας που απαιτείται για το δίκτυο, και αυτό είναι που καθορίζει την απαιτούμενη σχεδίαση τείχους προστασίας. Να θυμάστε ότι τα περισσότερα τείχη προστασίας υποστηρίζουν ένα ή περισσότερα επίπεδα κρυπτογράφησης. Η κρυπτογράφηση είναι ένας τρόπος για την προστασία των μεταδιδόμενων πληροφοριών από την υποκλοπή. Πολλά τείχη προστασίας που παρέχουν δυνατότητες κρυπτογράφησης προστατεύουν τα δεδομένα που εξέρχονται από το δίκτυο κρυπτογραφώντας τα αυτόματα πριν σταλούν στο Διαδίκτυο. Επιπλέον, αποκρυπτογραφούν αυτόματα τα εισερχόμενα δεδομένα πριν τα στείλουν στο τοπικό δίκτυο. Χρησιμοποιώντας τις δυνατότητες κρυπτογράφησης που παρέχονται από τα τείχη προστασίας, μπορείτε να στείλετε δεδομένα μέσω Διαδικτύου σε απομακρυσμένους χρήστες χωρίς να ανησυχείτε μήπως κάποιος τα υποκλέψει και τα διαβάσει κατά λάθος.
Ένα τείχος προστασίας επιπέδου δικτύου είναι ένας δρομολογητής θωράκισης ή ένας ειδικός υπολογιστής που εξετάζει τις διευθύνσεις πακέτων προκειμένου να προσδιορίσει εάν το πακέτο πρέπει να επιτρέπεται στο τοπικό δίκτυο ή όχι. Όπως συζητήθηκε, τα πακέτα περιέχουν διευθύνσεις IP προέλευσης και προορισμού, καθώς και μια σειρά από άλλες πληροφορίες που χρησιμοποιεί το τείχος προστασίας για τον έλεγχο της πρόσβασης στο πακέτο.
Θα μπορούσατε, για παράδειγμα, να διαμορφώσετε ένα τείχος προστασίας επιπέδου δικτύου ή έναν δρομολογητή για να αποκλείει όλα τα μηνύματα που προέρχονται από την τοποθεσία ενός συγκεκριμένου ανταγωνιστή και όλα τα μηνύματα που αποστέλλονται στον διακομιστή ενός ανταγωνιστή από το δίκτυό σας. Συνήθως, η διαμόρφωση ενός δρομολογητή ελέγχου για τον αποκλεισμό ορισμένων πακέτων γίνεται χρησιμοποιώντας ένα αρχείο που περιέχει τις διευθύνσεις IP των τοποθεσιών (προορισμών) των οποίων τα πακέτα πρέπει να αποκλειστούν. Όταν ο δρομολογητής διαλογής συναντήσει ένα πακέτο που περιέχει τη διεύθυνση που ορίζεται σε αυτό το αρχείο, απορρίπτει το πακέτο και το εμποδίζει να εισέλθει ή να εξέλθει από το τοπικό δίκτυο. Οι προγραμματιστές δικτύου αποκαλούν συχνά αυτή τη μέθοδο "μαύρη λίστα". Τα περισσότερα λογισμικά δρομολογητή θωράκισης σάς επιτρέπουν να βάζετε στη μαύρη λίστα (μπλοκάρετε) μηνύματα από εξωτερικούς ιστότοπους (με άλλα λόγια, εξωτερικά δίκτυα), αλλά όχι από συγκεκριμένους χρήστες ή υπολογιστές στο δίκτυό σας.
Να θυμάστε ότι το πακέτο που φτάνει στον δρομολογητή θωράκισης μπορεί να περιέχει οποιαδήποτε πληροφορία, όπως ένα μήνυμα email, ένα αίτημα σύνδεσης Telnet (αίτημα από απομακρυσμένο χρήστη για πρόσβαση στον υπολογιστή σας). Ανάλογα με τον τρόπο κατασκευής του αρχείου δρομολογητή ασπίδας, ο δρομολογητής επιπέδου δικτύου θα παρέχει διαφορετική λειτουργικότητα για κάθε τύπο αιτήματος. Για παράδειγμα, μπορείτε να προγραμματίσετε το δρομολογητή σας έτσι ώστε οι χρήστες του Διαδικτύου να μπορούν να βλέπουν την ιστοσελίδα σας, αλλά δεν μπορούν να χρησιμοποιήσουν το FTP για τη μεταφορά αρχείων προς ή από τον διακομιστή σας. Ή μπορείτε να προγραμματίσετε τον δρομολογητή σας ώστε να επιτρέπει στους χρήστες του Διαδικτύου να κάνουν λήψη αρχείων από τον διακομιστή σας στον δικό τους, αλλά να μην τους επιτρέπετε να κάνουν λήψη αρχείων από τους διακομιστές τους στον δικό σας. Συνήθως, ένας δρομολογητής θωράκισης προγραμματίζεται έτσι ώστε να λαμβάνει υπόψη τις ακόλουθες πληροφορίες για να αποφασίσει εάν θα αφήσει ένα πακέτο να περάσει ή όχι:
– διεύθυνση πηγής πακέτου.
– διεύθυνση προορισμού πακέτου·
– τύπος πρωτοκόλλου περιόδου λειτουργίας δεδομένων (για παράδειγμα, TCP, UDP ή ICMP).
– θύρα προέλευσης και θύρα εφαρμογής προορισμού για την απαιτούμενη υπηρεσία.
– εάν το πακέτο είναι αίτημα σύνδεσης. Εάν έχετε εγκαταστήσει και ρυθμίσει σωστά το τείχος προστασίας του επιπέδου δικτύου σας, η λειτουργία του θα είναι αρκετά γρήγορη και σχεδόν αόρατη στους χρήστες. Φυσικά, για όσους βρίσκονται στη μαύρη λίστα, αυτό δεν θα ισχύει καθόλου.
Ένα τείχος προστασίας επιπέδου εφαρμογής είναι συνήθως ένας προσωπικός υπολογιστής που χρησιμοποιεί λογισμικό διακομιστή διαμεσολάβησης. Ως εκ τούτου, ονομάζεται συχνά διακομιστής μεσολάβησης. Το όνομα "διακομιστής διαμεσολάβησης" προέρχεται από τη λέξη "διαμεσολαβητής" - αναπληρωτής, διαμεσολαβητής.
Οι ενδιάμεσοι διακομιστές παρέχουν επικοινωνία μεταξύ των χρηστών του τοπικού δικτύου και των διακομιστών του συνδεδεμένου (εξωτερικού) δικτύου. Με άλλα λόγια, ο ενδιάμεσος διακομιστής ελέγχει τη μεταφορά δεδομένων μεταξύ των δύο δικτύων. Σε ορισμένες περιπτώσεις, μπορεί να διαχειριστεί όλα τα μηνύματα πολλών χρηστών του δικτύου. Για παράδειγμα, ένας χρήστης δικτύου που έχει πρόσβαση στο Διαδίκτυο μέσω ενός διακομιστή μεσολάβησης θα φαίνεται ότι είναι ο διακομιστής μεσολάβησης σε άλλους υπολογιστές στο Διαδίκτυο (με άλλα λόγια, ο χρήστης χρησιμοποιεί τη διεύθυνση TCP του διακομιστή μεσολάβησης).
Σε ένα δίκτυο, ένας ενδιάμεσος διακομιστής μπορεί να παρέχει πρόσβαση σε ορισμένες μυστικές πληροφορίες (για παράδειγμα, μια μυστική βάση δεδομένων) χωρίς να μεταδίδει (σε απλό κείμενο) τον κωδικό πρόσβασης του πελάτη. Όταν χρησιμοποιείτε ένα τείχος προστασίας επιπέδου δικτύου, το τοπικό σας δίκτυο δεν είναι συνδεδεμένο στο Διαδίκτυο. Επιπλέον, η ροή δεδομένων που κινείται σε ένα δίκτυο δεν διασταυρώνεται ποτέ με τη ροή δεδομένων που κινείται σε άλλο δίκτυο, επειδή τα καλώδια δικτύου αυτών των δικτύων δεν είναι συνδεδεμένα μεταξύ τους. Ο διακομιστής διαμεσολάβησης μεταδίδει ένα ξεχωριστό αντίγραφο για κάθε πακέτο που προέρχεται από το ένα δίκτυο στο άλλο, ανεξάρτητα από το αν το πακέτο περιέχει εισερχόμενα ή εξερχόμενα δεδομένα. Ένα τείχος προστασίας επιπέδου εφαρμογής καλύπτει αποτελεσματικά την προέλευση του αιτήματος σύνδεσης και προστατεύει το δίκτυό σας από χρήστες του Διαδικτύου που ενδέχεται να προσπαθήσουν να αποκτήσουν πληροφορίες σχετικά με το ιδιωτικό σας δίκτυο.
Επειδή ο Διακομιστής Διαμεσολάβησης κατανοεί πρωτόκολλα δικτύου, μπορείτε να τον προγραμματίσετε ώστε να παρακολουθεί την υπηρεσία που χρειάζεστε. Για παράδειγμα, ένας διακομιστής μεσολάβησης μπορεί να ρυθμιστεί ώστε να επιτρέπει στους πελάτες να κάνουν λήψη αρχείων ftp από τον διακομιστή σας, αλλά δεν θα επιτρέπει στους πελάτες να πραγματοποιούν λήψη αρχείων ftp στον διακομιστή σας.
Οι διακομιστές διαμεσολάβησης παρέχουν πολλές λειτουργίες πρόσβασης όπως HTTP, Telnet, FTP. Σε αντίθεση με έναν δρομολογητή, πρέπει να εγκαταστήσετε διαφορετικούς διακομιστές μεσολάβησης για διαφορετικές υπηρεσίες δικτύου. Οι πιο δημοφιλείς ενδιάμεσοι διακομιστές για δίκτυα που βασίζονται σε Unix και Linux είναι το TIS Internet Firewall Toolkit και το SOCKS. Για περισσότερες πληροφορίες σχετικά με τον διακομιστή διαμεσολάβησης του TIS Internet Firewall Toolkit, επισκεφθείτε την τοποθεσία Web στη διεύθυνση http://www.tis.com/docs/products/fivtk/index.html.
Εάν χρησιμοποιείτε διακομιστή που βασίζεται σε Windows NT, ο διακομιστής μεσολάβησης υποστηρίζεται τόσο από τον Microsoft Internet Information Server όσο και από τον Netscape Commerce Server. Μετά την εγκατάσταση του Application Layer Mediation Server, οι χρήστες στο δίκτυό σας πρέπει να χρησιμοποιούν λογισμικό πελάτη που υποστηρίζει τον διακομιστή διαμεσολάβησης.
Οι σχεδιαστές δικτύων έχουν δημιουργήσει πολλά πρωτόκολλα TCP/IP, συμπεριλαμβανομένων των HTTP, FTP και άλλων, που υποστηρίζουν έναν ενδιάμεσο διακομιστή. Τα περισσότερα προγράμματα περιήγησης στο Web μπορούν εύκολα να ρυθμιστούν από τους χρήστες ώστε να υποστηρίζουν έναν διακομιστή μεσολάβησης χρησιμοποιώντας τις προτιμήσεις λογισμικού του προγράμματος περιήγησης. Δυστυχώς, άλλα πρωτόκολλα Διαδικτύου δεν είναι ικανά να υποστηρίζουν ενδιάμεσους διακομιστές. Σε τέτοιες περιπτώσεις, πρέπει να επιλέξετε μια εφαρμογή Διαδικτύου με βάση το εάν είναι συμβατή ή όχι με τυπικά ενδιάμεσα πρωτόκολλα. Για παράδειγμα, οι εφαρμογές που υποστηρίζουν το πρωτόκολλο διακομιστή μεσολάβησης SOCKS είναι μια καλή επιλογή εάν ολόκληρο το δίκτυό σας βασίζεται στο SOCKS.
Όταν εγκαθιστάτε ένα τείχος προστασίας σε επίπεδο εφαρμογής, θα πρέπει επίσης να αξιολογήσετε εάν οι χρήστες στο δίκτυό σας θα χρησιμοποιούν λογισμικό πελάτη που υποστηρίζει υπηρεσίες μεσίτη. Ένα τείχος προστασίας επιπέδου εφαρμογής παρέχει τη δυνατότητα εύκολης παρακολούθησης των τύπων και των ποσοτήτων των μεταφορών δεδομένων στον ιστότοπό σας. Επειδή τα τείχη προστασίας επιπέδου εφαρμογών δημιουργούν έναν καθορισμένο φυσικό διαχωρισμό μεταξύ του τοπικού δικτύου και του Διαδικτύου, πληρούν τις υψηλότερες απαιτήσεις ασφαλείας. Ωστόσο, επειδή το πρόγραμμα πρέπει να αναλύει πακέτα και να λαμβάνει αποφάσεις σχετικά με τον έλεγχο της πρόσβασης σε αυτά, τα τείχη προστασίας σε επίπεδο εφαρμογής αναπόφευκτα μειώνουν την απόδοση του δικτύου. Με άλλα λόγια, είναι σημαντικά πιο αργά από τα τείχη προστασίας σε επίπεδο δικτύου.
Εάν αποφασίσετε να χρησιμοποιήσετε ένα τείχος προστασίας σε επίπεδο εφαρμογής, θα πρέπει να χρησιμοποιήσετε έναν ταχύτερο υπολογιστή ως διακομιστή μεσολάβησης.
Ένα τείχος προστασίας επιπέδου επικοινωνίας είναι παρόμοιο με ένα τείχος προστασίας επιπέδου εφαρμογής, καθώς είναι και οι δύο διακομιστές μεσολάβησης. Η διαφορά είναι ότι ένα τείχος προστασίας επιπέδου επικοινωνίας δεν απαιτεί ειδικές εφαρμογές για την επικοινωνία μεταξύ του διακομιστή διαμεσολάβησης και του πελάτη. Όπως αναφέρθηκε, τα τείχη προστασίας επιπέδου εφαρμογών απαιτούν ειδικό λογισμικό διακομιστή διαμεσολάβησης για κάθε υπηρεσία δικτύου, όπως FTP ή HTTP.
Ένα τείχος προστασίας επιπέδου επικοινωνίας δημιουργεί επικοινωνία μεταξύ ενός πελάτη και ενός διακομιστή χωρίς να απαιτεί από τις εφαρμογές να γνωρίζουν τίποτα για την υπηρεσία που παρέχεται. Με άλλα λόγια, ο πελάτης και ο διακομιστής επικοινωνούν μέσω του τείχους προστασίας επιπέδου σύνδεσης χωρίς να επικοινωνούν με το ίδιο το τείχος προστασίας. Τα τείχη προστασίας επιπέδου επικοινωνίας προστατεύουν μόνο το αρχικό στάδιο της συναλλαγής και δεν παρεμποδίζουν την περαιτέρω πρόοδό της.
Το πλεονέκτημα των τείχη προστασίας επιπέδου σύνδεσης είναι ότι υποστηρίζουν μεγάλο αριθμό πρωτοκόλλων. Όπως ήδη γνωρίζετε, ένα τείχος προστασίας επιπέδου εφαρμογής απαιτεί ξεχωριστό μεσολαβητή επιπέδου εφαρμογής για κάθε τύπο υπηρεσίας που παρέχεται από το τείχος προστασίας. Από την άλλη πλευρά, εάν χρησιμοποιείτε ένα τείχος προστασίας επιπέδου σύνδεσης για HTTP, FTP ή Telnet, δεν χρειάζεται να αλλάξετε υπάρχουσες εφαρμογές ή να προσθέσετε νέους διακομιστές μεσολάβησης για κάθε υπηρεσία. Το τείχος προστασίας του επιπέδου σύνδεσης επιτρέπει στους χρήστες να εργάζονται με υπάρχον λογισμικό.
Επιπλέον, τα τείχη προστασίας επιπέδου σύνδεσης χρησιμοποιούν μόνο έναν διακομιστή μεσολάβησης. Όπως θα περίμενε κανείς, η χρήση ενός διακομιστή μεσολάβησης είναι πολύ πιο εύκολη από την εγκατάσταση πολλών.
Ας περάσουμε λοιπόν από τη θεωρία στην πράξη. Ας εξετάσουμε το ενδεχόμενο να βελτιώσουμε την προσωπική προστασία του υπολογιστή σας χρησιμοποιώντας το γνωστό τείχος προστασίας Agnitum Outpost 2.1. Αυτός είναι ο αναμφισβήτητος ηγέτης μεταξύ της οικογένειας των προσωπικών τείχη προστασίας, η οποία έχει επανειλημμένα επιβεβαιώσει έξοχα τη φήμη της. Σημειώνω ότι δεν μιλάμε για επαγγελματικό τείχος προστασίας εγκατεστημένο σε διακομιστή, αλλά για προσωπική προστασία. Παρόλο που ο συγγραφέας έχει εμπειρία στη χρήση αυτού του προγράμματος σε διακομιστές, η προστασία διακομιστή εξακολουθεί να είναι θέμα άλλων προγραμμάτων.
Το Agnitum Outpost Firewall (http://www.agnitum.com/products/outpost/) είναι ένας από τους νεότερους εκπροσώπους αυτής της κατηγορίας προγραμμάτων. Όμως, παρά τη νεότητά του, είναι σοβαρός ανταγωνιστής ακόμη και για το Zone Alarm. Το πρόγραμμα, το οποίο βγήκε από τη δοκιμή beta όχι πολύ καιρό πριν, έχει εγκατασταθεί στους υπολογιστές πολλών χρηστών του Διαδικτύου και, όπως φαίνεται, η πλειοψηφία δεν πρόκειται να αποχωριστεί αυτό το προϊόν λογισμικού.
Η μεγάλη δημοτικότητα του προγράμματος είναι αρκετά κατανοητή: ένα ισχυρό τείχος προστασίας, η δυνατότητα σύνδεσης πρόσθετων μονάδων και όλα όσα μπορεί να χρειαστεί ένας συνηθισμένος χρήστης υπάρχουν ήδη από τη στιγμή της εγκατάστασης και επιπλέον, μια από τις καθοριστικές στιγμές κατά την επιλογή ενός Το πρόγραμμα είναι η ρωσική διεπαφή.
Μπορεί να συγκριθεί με μια κλειδαριά στην πόρτα του σπιτιού σας. Πιθανότατα εμπιστεύεστε τους περισσότερους γείτονές σας χωρίς φόβο ότι θα εισβάλουν στο σπίτι σας, θα καταστρέψουν ή θα κλέψουν οτιδήποτε. Συνήθως μόνο μερικά από αυτά δεν είναι αξιόπιστα. Ωστόσο, εάν η περιοχή σας είναι πυκνοκατοικημένη, ο αριθμός των αναξιόπιστων ανθρώπων αυξάνεται.
Στο Διαδίκτυο βλέπουμε μια παρόμοια κατάσταση, μόνο ο αριθμός των γειτόνων είναι εκατοντάδες εκατομμύρια. Μόνο ένα μικρό ποσοστό αυτού του αριθμού ανθρώπων έχει τάσεις χούλιγκαν, αλλά αυτό είναι ήδη πολύ. Το Outpost Firewall όχι μόνο κλείνει τις πόρτες στον υπολογιστή σας, αλλά τον κάνει και αόρατο στο Διαδίκτυο. Υπό κανονικές συνθήκες, ένας υπολογιστής στέλνει τη διεύθυνσή του μέσω του δικτύου. Είναι σαν την πινακίδα του σπιτιού σας ή την πινακίδα του αυτοκινήτου σας. Αυτή η διεύθυνση μπορεί να δει και άλλοι χρήστες. Το Outpost το καθιστά αόρατο στο Διαδίκτυο, συμπεριλαμβανομένων των χάκερ: απλώς δεν θα μπορούν να προσδιορίσουν ότι ο υπολογιστής σας είναι συνδεδεμένος στο δίκτυο.
Κύρια πλεονεκτήματα του Outpost Firewall:
– προστατεύει τον υπολογιστή αμέσως μετά την εγκατάσταση.
– έχει προεπιλεγμένες ρυθμίσεις για νέους χρήστες.
– η βέλτιστη προστασία πραγματοποιείται αυτόματα κατά την εγκατάσταση.
– Οι έμπειροι χρήστες μπορούν να διαμορφώσουν το τείχος προστασίας όπως θέλουν.
– κάνει τον υπολογιστή αόρατο στο Διαδίκτυο.
– προστατεύει τις ανοιχτές θύρες υπολογιστή από εισβολές.
– ο χρήστης μπορεί να εκχωρήσει μια λίστα αξιόπιστων εφαρμογών.
– τη χρήση πρόσθετων για τη βελτίωση της λειτουργικότητας του τείχους προστασίας.
– προστατεύει τον υπολογιστή από έλεγχο από απομακρυσμένο κεντρικό υπολογιστή.
– προειδοποιεί τον χρήστη για μια προσπάθεια από μια κρυφή εφαρμογή να στείλει ένα «σήμα απόκρισης» στον χάκερ.
– υποστηρίζει όλες τις πιο πρόσφατες εκδόσεις των Windows, διατηρώντας τις λειτουργίες του σε περίπτωση ενημερώσεων συστήματος.
– χρησιμοποιεί λίγους πόρους συστήματος για την εργασία του και δεν θα επηρεάσει σημαντικά την απόδοση του συστήματός σας.
– Το αρχείο καταγραφής συμβάντων σάς επιτρέπει να βλέπετε οποιοδήποτε συμβάν συμβαίνει εντός του συστήματος.
– πέρασε με επιτυχία τα γνωστά «τεστ ευπάθειας»·
– πολύγλωσση υποστήριξη: Το Outpost Firewall διατίθεται σε 14 γλώσσες, συμπεριλαμβανομένων των ρωσικών.
Η εμφάνιση του προγράμματος δεν ξεχωρίζει με κανέναν τρόπο μεταξύ των εφαρμογών των Windows, όλα είναι αυστηρά. Το παράθυρο του προγράμματος χωρίζεται σε τρία κύρια μέρη: τη γραμμή του κύριου μενού στο επάνω μέρος. Στα αριστερά βρίσκονται τα κύρια στοιχεία, όπως συνδέσεις, αρχεία καταγραφής και πρόσθετα. στα δεξιά είναι ο πίνακας πληροφοριών.
Αμέσως μετά την εγκατάσταση του Outpost Firewall, θα πρέπει να κοιτάξετε στις «Ρυθμίσεις». Εκεί μπορείτε να προσδιορίσετε εάν το πρόγραμμα πρέπει να ξεκινήσει μαζί με τη φόρτωση του λειτουργικού συστήματος, εάν οι ρυθμίσεις πρέπει να προστατεύονται με κωδικό πρόσβασης, να προσθέσετε βασικές εφαρμογές που θα πρέπει να έχουν πρόσβαση στο Διαδίκτυο, να ορίσετε γενικούς κανόνες για "ενεργές" εφαρμογές, κατανοήστε την πολιτική προγράμματος και διαμορφώστε/κατεβάστε πρόσθετες ενότητες.
Το Outpost Firewall pro έρχεται με 6 επιπλέον ενότητες - Διαφήμιση, Περιεχόμενο, DNS, Ενεργό περιεχόμενο, Προστασία αρχείων, Ανιχνευτής επιθέσεων:
- Διαφήμιση. Η ενότητα χρησιμοποιείται για τον καθαρισμό σελίδων HTML από παρεμβατικά διαφημιστικά banner, καθήκον των οποίων, σύμφωνα με πολλούς χρήστες, είναι να αποσπάσουν περισσότερη επισκεψιμότητα για τον εαυτό τους. Η μέθοδος αντιμετώπισης του είναι αρκετά απλή: είτε κόψτε μια γραμμή που περιγράφηκε προηγουμένως από τον κώδικα html είτε κόψτε την εικόνα σε ένα συγκεκριμένο μέγεθος, το οποίο μπορείτε να ορίσετε μόνοι σας. Εάν το banner εξακολουθεί να σας εκνευρίζει, τότε υπάρχει ένα ειδικό καλάθι για αυτόν τον σκοπό, στο οποίο μπορείτε απλά να το στείλετε μεταφέροντάς το.
– DNS. Αυτή η ενότητα αποθηκεύει ονόματα DNS για μετέπειτα χρήση στη λειτουργική μονάδα Active Content.
– Ενεργό περιεχόμενο. Αυτή η ενότητα ελέγχει τη λειτουργία των ακόλουθων στοιχείων: ActiveX; Java applets; προγράμματα σε γλώσσες Java Script και VB Script. κουλουράκι; αναδυόμενα παράθυρα? συνδέσμους (παραπομπές), δηλαδή τη δυνατότητα λήψης της διεύθυνσης URL από την οποία μεταβήκατε σε μια δεδομένη ιστοσελίδα. Εναπόκειται σε εσάς να αποφασίσετε τι θα πρέπει να απαγορεύεται ή να επιτρέπεται, αλλά συνιστώ ανεπιφύλακτα να δώσετε προσοχή στο στοιχείο "Αναδυόμενα παράθυρα". Αλλά μην ξεχνάτε ότι όσο περισσότερους περιορισμούς ορίζετε στο περιεχόμενο μιας ιστοσελίδας, τόσο λιγότερες είναι οι πιθανότητες να τη δείτε με τη μορφή που ήθελε ο συγγραφέας της.
– Προστασία αρχείων. Η μονάδα έχει σχεδιαστεί για να οργανώνει τον έλεγχο των συνημμένων αρχείων που φτάνουν στο γραμματοκιβώτιό σας. Μπορείτε να ρυθμίσετε το αρχείο να σαρώνεται για ιούς ή να λαμβάνετε μια ειδοποίηση από το Outpost Firewall.
Μπορείτε να δημιουργήσετε τον δικό σας κανόνα για κάθε τύπο αρχείου.
– Ανιχνευτής επίθεσης. Η μονάδα σάς επιτρέπει να ορίσετε τις συνθήκες υπό τις οποίες εκδίδεται μια προειδοποίηση όταν γίνεται επίθεση στον υπολογιστή σας. Υπάρχουν τρία κύρια επίπεδα:
επίπεδο συναγερμού παρανοϊκού – εκδίδεται προειδοποίηση εάν εντοπιστεί έστω και μία σάρωση θύρας.
κανονικό επίπεδο συναγερμού - εκδίδεται μια προειδοποίηση εάν σαρωθούν πολλές θύρες ή θύρες με αριθμούς που ορίζονται στο σύστημα (δηλαδή σε καταστάσεις που το σύστημα αναγνωρίζει ως επίθεση στον υπολογιστή). αδιάφορο επίπεδο συναγερμού – εκδίδεται προειδοποίηση σε περίπτωση ξεκάθαρης πολλαπλής επίθεσης. Για να κάνετε λήψη νέων εκδόσεων στοιχείων προγράμματος από τον ιστότοπο του προγραμματιστή, είναι βολικό να χρησιμοποιήσετε το σύστημα αυτόματης ενημέρωσης, ώστε να έχετε πάντα την πιο πρόσφατη έκδοση του προγράμματος.
Έτσι, εάν χρειάζεστε ένα αδιαπέραστο προσωπικό τείχος προστασίας με προηγμένες ρυθμίσεις, χρήσιμα πρόσθετα και ρωσική διεπαφή, τότε το Outpost Firewall pro είναι για εσάς.
Το Outpost Firewall λειτουργεί με όλες τις εκδόσεις των Windows, συμπεριλαμβανομένων των Windows XP. Είναι αλήθεια ότι η εταιρεία ανάπτυξης απαιτεί 500 ρούβλια για όλη την ευχαρίστηση, αλλά αυτό δεν είναι λόγος να πέσετε σε απόγνωση. Υπάρχει μια δωρεάν έκδοση του προγράμματος που δεν διαθέτει κάποιες πρόσθετες δυνατότητες, αλλά εξακολουθεί να είναι ένα εξαιρετικό προσωπικό τείχος προστασίας. Παρεμπιπτόντως, κατά τη γνώμη μου, 500 ρούβλια. ένα αρκετά ρεαλιστικό ποσό για την αγορά αυτού του προγράμματος, ειδικά για όσους χρησιμοποιούν ενεργά το Διαδίκτυο.
Ας δούμε τώρα τη ρύθμιση αυτού του προγράμματος.
Ορισμένες από τις ρυθμίσεις πραγματοποιούνται απευθείας στο στάδιο εγκατάστασης του προϊόντος: Το Outpost θα αναζητήσει προγράμματα που ανταλλάσσουν δεδομένα μέσω του Δικτύου και θα δημιουργήσει κανόνες για αυτά που θεωρεί απαραίτητους. Ο χρήστης καλείται να αποδεχτεί αυτούς τους όρους επιλέγοντας το πλαίσιο ελέγχου. Μια λίστα προγραμμάτων που συνδέονται στο διαδίκτυο είναι διαθέσιμη για προβολή κάνοντας κλικ στο κουμπί Περισσότερες λεπτομέρειες.
Στην περίπτωση που φαίνεται στο σχήμα, αυτή η λίστα είναι αρκετά μεγάλη. Για παράδειγμα, δεν είναι απολύτως απαραίτητο, για παράδειγμα, το Adobe Acrobat να συνδεθεί στον διακομιστή του εν αγνοία μου για να ελέγξει για ενημερώσεις, και αυτός είναι ο λόγος για τον οποίο αφαιρέθηκε η σημαία απέναντι από αυτό το προϊόν: εάν χρειαστεί, θα το ενεργοποιήσουμε επί. Χαίρομαι που ακόμη και στο στάδιο της εγκατάστασης, το Outpost μπήκε στον κόπο να δημιουργήσει κανόνες για όλα τα προγράμματα περιήγησης αλληλογραφίας και πελάτες FTP που είναι διαθέσιμα στο σύστημα.
Το επόμενο βήμα σας ζητά να αποδεχτείτε τους κανόνες για τις συνδέσεις δικτύου, εάν υπάρχουν. Η περιέργεια από αυτή την άποψη ικανοποιείται κάνοντας κλικ στο γνωστό κουμπί "Περισσότερα".
Η φαινομενικά υπερβολική καχυποψία του Outpost είναι κατανοητή: εάν μια μονάδα spyware (θυμάστε το hacking "από μέσα";) ή μια άλλη ανεπιθύμητη εφαρμογή έχει εγκατασταθεί στο σύστημα, είναι πολύ πιο εύκολο να απαγορεύσετε τη δραστηριότητα δικτύου του εχθρού στο αρχικό στάδιο.
Τώρα ας διαμορφώσουμε τις κύριες παραμέτρους του τείχους προστασίας, για τις οποίες στο μενού «Επιλογές» του κύριου παραθύρου επιλέγουμε την εντολή «Γενικά» (F2). Από προεπιλογή, επιλέγεται η «Κανονική λειτουργία» φόρτωσης του προγράμματος, στην οποία το Outpost ενεργοποιείται κάθε φορά που εκκινείται το λειτουργικό σύστημα και τοποθετεί το εικονίδιό του στην περιοχή ειδοποιήσεων.
Για λήψη στο παρασκήνιο, θα πρέπει να ελέγξετε την παράμετρο με το ίδιο όνομα στην ενότητα "Λήψη" και εάν για κάποιο λόγο η αυτόματη εκκίνηση του τείχους προστασίας δεν είναι επιθυμητή, απλώς ενεργοποιήστε την επιλογή "Να μην γίνει λήψη".
Όλες οι ρυθμίσεις του προγράμματος μπορούν να προστατεύονται με κωδικό πρόσβασης. Δεν θα συνιστούσα να παραμελήσετε αυτήν την ευκαιρία: η ασφάλεια του υπολογιστή δεν ανέχεται την επιπολαιότητα.
Στην ενότητα "Προστασία με κωδικό πρόσβασης", πρέπει να επιλέξετε την επιλογή "Ενεργοποίηση" και να χρησιμοποιήσετε το κουμπί "Ορισμός" για να εισαγάγετε τους απαιτούμενους χαρακτήρες.
Στη συνέχεια, στο παράθυρο ρυθμίσεων, μεταβείτε στην καρτέλα «Πολιτικές», όπου υποδεικνύονται 5 τρόποι λειτουργίας του προγράμματος. Η λειτουργία "Να επιτρέπεται" θα δώσει ελευθερία σε όλες τις εφαρμογές που δεν απαγορεύονταν ρητά, δηλαδή δεν ήταν στη λίστα "Απαγορευμένες εφαρμογές". στη λειτουργία "Αποκλεισμός", όλες οι εφαρμογές που δεν επιτρέπονται ρητά θα απαγορεύονται. Η λειτουργία "Απόρριψη" θα αποκλείσει σίγουρα την πρόσβαση στο δίκτυο για όλες τις εφαρμογές και η λειτουργία "Απενεργοποίηση" θα καθησυχάσει εντελώς όλη την επαγρύπνηση του Outpost Firewall.
Από προεπιλογή, επιλέγεται η λειτουργία εκπαίδευσης: σε αυτήν την περίπτωση, ο χρήστης καλείται κάθε φορά είτε να αποδεχτεί έναν έτοιμο κανόνα για μια εφαρμογή (για παράδειγμα, για έναν τυπικό πελάτη ηλεκτρονικού ταχυδρομείου), είτε να δημιουργήσει ο ίδιος έναν τέτοιο κανόνα, ή να απαγορεύσει άνευ όρων μια συγκεκριμένη εφαρμογή από τη δραστηριότητα του δικτύου. Αυτή η λειτουργία είναι απόλυτα κατάλληλη για τη συντριπτική πλειοψηφία των χρηστών.
Τώρα σχετικά με τη ρύθμιση εφαρμογών και τη δημιουργία κανόνων. Η ρύθμιση εφαρμογών ελέγχεται από την καρτέλα με το ίδιο όνομα στο παράθυρο παραμέτρων (Εικ. 3). Η ενότητα Επίπεδο χρήστη παραθέτει όλες τις εφαρμογές στις οποίες επιτρέπεται η δραστηριότητα δικτύου. Αλλά συχνά προκύπτουν αμφιβολίες σχετικά με το εάν είναι απαραίτητο, για παράδειγμα, να επιτραπεί στο DWWIN.EXE να έχει πρόσβαση στο Διαδίκτυο. Για να μάθετε το «πραγματικό όνομα του ανιχνευτή», θα πρέπει να επιλέξετε το όνομα της εφαρμογής, να κάνετε κλικ στο κουμπί «Επεξεργασία» και να επιλέξετε την εντολή «Δημιουργία κανόνα» στο αναπτυσσόμενο μενού.
Στο παράθυρο που άνοιξε, μου είπαν ότι η εφαρμογή DWWIN.EXE δεν είναι τίποτα άλλο από Αναφορά σφαλμάτων εφαρμογής της Microsoft, η οποία συνδέεται μέσω TCP σε έναν διακομιστή που είναι γνωστός σε όλους. Προτιμώ να αποφεύγω την αποστολή αναφορών σφαλμάτων. Επομένως, απαγόρευσα την εκκίνηση του DWWIN.EXE με την εντολή «Αλλαγή» › «Απαγόρευση» της εκκίνησης αυτής της εφαρμογής. Για πολλά προγράμματα, το Outpost συνοδεύεται από βέλτιστους κανόνες από την αρχή. Για παράδειγμα, εάν αποφασίσετε να εγκαταστήσετε και να εκτελέσετε το Outlook Express, το τείχος προστασίας θα προσφερθεί αμέσως να επιτρέψει σε αυτήν την εφαρμογή να είναι ενεργή βάσει ενός έτοιμου κανόνα ειδικά για το συγκεκριμένο πρόγραμμα-πελάτη email.
Τώρα ας προσπαθήσουμε να δημιουργήσουμε κανόνες για εφαρμογές χρησιμοποιώντας δύο συγκεκριμένα παραδείγματα. Κατά την εκκίνηση του γνωστού προγράμματος-πελάτη P2P eMule, το τείχος προστασίας προτρέπει τον χρήστη να επιλέξει τι θα κάνει με αυτήν την εφαρμογή. Σε αυτήν την περίπτωση, ο «γάιδαρος» επιδιώκει να συνδεθεί στη διεύθυνση IP 207.44.142.33 μέσω της θύρας 4661 (Εικ. 4.).
Ας φανταστούμε ότι αυτό δεν είναι eMule, αλλά ένα συγκεκριμένο πρόγραμμα που επιτρέπεται να έχει πρόσβαση στο Διαδίκτυο, αλλά όχι σε κάθε διεύθυνση. Στη συνέχεια, επιλέξτε τη μόνη επιλογή "Άλλο" και κάντε κλικ στο κουμπί "OK", μετά από το οποίο θα ανοίξει το παράθυρο δημιουργίας κανόνων με μια περιγραφή του τι ακριβώς προσπαθούσε να κάνει αυτό το πρόγραμμα.
Φυσικά, η δραστηριότητα του mule που εμφανίζεται είναι απολύτως φυσιολογική, επιπλέον, είναι ευπρόσδεκτη από εμάς, επομένως θα επιλέξουμε "Να επιτραπούν αυτά τα δεδομένα", μετά από το οποίο θα έχουμε έναν κανόνα όπως ο κανόνας EMULE # 1, ο οποίος περιγράφει και επιτρέπει αυτόν τον συγκεκριμένο τύπο δραστηριότητα εφαρμογής (Εικ. 5).
Την επόμενη φορά, εάν η δραστηριότητα είναι διαφορετικού είδους (διαφορετική απομακρυσμένη διεύθυνση, πρωτόκολλο ή θύρα), θα χρειαστεί να επαναλάβετε αυτούς τους χειρισμούς.
Εάν η δραστηριότητα δικτύου που ζητά πρόσβαση στο Δίκτυο είναι απαράδεκτη (για παράδειγμα, δεν είμαστε ικανοποιημένοι με την απομακρυσμένη διεύθυνση), τότε στο παράθυρο διαλόγου επεξεργασίας κανόνων θα πρέπει να επιλέξουμε «Αποκλεισμός». Την επόμενη φορά (στο παράδειγμά μας, στην περίπτωση μιας διαφορετικής, επιθυμητής διεύθυνσης IP), μπορούμε να δημιουργήσουμε έναν κανόνα, αντίθετα, που να επιτρέπει μια τέτοια δραστηριότητα. Τελικά, όταν μια εφαρμογή εξαντλήσει όλες τις τυπικές δραστηριότητές της, θα δημιουργηθούν όλοι οι κανόνες που περιγράφουν αυτήν την εφαρμογή.
Ένα άλλο παράδειγμα: το άγρυπνο Outpost με προειδοποίησε ότι ο υπολογιστής προσπαθούσε να δημιουργήσει μια σύνδεση χρησιμοποιώντας το λεγόμενο πρωτόκολλο IGMP με την απομακρυσμένη διεύθυνση 224.0.0.22 και μου ζήτησε να επιβεβαιώσω το δικαίωμά του να το κάνει. Αφενός δεν έχω κανένα λόγο να μην εμπιστεύομαι το Outpost, αφετέρου υπάρχει ήδη κάτι να σκεφτώ εδώ.
Σε αυτήν την περίπτωση, το λειτουργικό μου σύστημα στέλνει ένα λεγόμενο πακέτο «εκπομπής» με σκοπό να ενημερώσει όλους τους υπολογιστές στο τοπικό μου οικιακό δίκτυο ότι ο υπολογιστής μου είναι ενεργοποιημένος και τίποτα περισσότερο. Εάν δεν έχετε δίκτυο και η σύνδεσή σας με τον πάροχο γίνεται απευθείας, τότε αυτό το πακέτο και το μήνυμα προορίζονται ειδικά για τον πάροχο. Με άλλα λόγια, δεν είναι τίποτα άλλο από δραστηριότητα των Windows. Εάν διαθέτετε μόνιμη διεύθυνση IP και δεν θέλετε οι άνθρωποι στο δίκτυό σας να γνωρίζουν ότι βρίσκεστε «στον κόσμο», τότε είναι καλύτερο να απαγορεύσετε μια τέτοια δραστηριότητα. Όσον αφορά τη διεύθυνση 224.0.0.22, αυτή είναι η τυπική διεύθυνση που χρησιμοποιείται από τα Windows σε αυτήν την περίπτωση: το πρόγραμμα δρομολόγησης στέλνει περιοδικά αιτήματα στην ομάδα εργασίας για να ζητήσει τη συμμετοχή ενός συγκεκριμένου μηχανήματος σε ένα δεδομένο τοπικό δίκτυο.
Ας προχωρήσουμε στη ρύθμιση των παραμέτρων δικτύου. Καρτέλα "Σύστημα". Από προεπιλογή, το Outpost βρίσκει αυτόματα και εφαρμόζει νέες ρυθμίσεις σύνδεσης δικτύου, επιτρέποντας όλες τις συνδέσεις NetBIOS. Το αν θα εμπιστευτείτε ή όχι αυτήν ή την άλλη τοπική διεύθυνση εξαρτάται από εσάς (ενότητα "Ρυθμίσεις δικτύου").
Στην ενότητα «ICMP» › «Παράμετροι» υπάρχουν ρυθμίσεις για μηνύματα πρωτοκόλλου ICMP που μεταδίδονται όταν συμβαίνουν διάφορες καταστάσεις, συμπεριλαμβανομένων εσφαλμένων. Δημιουργούνται από προγράμματα που αναλύουν την κατάσταση του Δικτύου, συμπεριλαμβανομένων των ping και traceroute. Για κανονική λειτουργία στο Διαδίκτυο, πρέπει να μπορείτε να λαμβάνετε τρεις τύπους μηνυμάτων ICMP ("απάντηση ηχούς", "μη προσβάσιμος παραλήπτης" και "λήγει το χρονικό όριο του προγράμματος δεδομένων") και να στέλνετε δύο ("μη προσβάσιμο από τον παραλήπτη" και "αίτημα ηχούς" ) . Συνιστάται να απενεργοποιήσετε τη λήψη και την αποστολή άλλων μηνυμάτων - τότε θα αποκλειστούν.
Το Outpost χρησιμοποιεί αυτές τις ρυθμίσεις από προεπιλογή, επομένως δεν θα χρειαστεί να διαμορφώσετε ξανά τίποτα. Ωστόσο, εάν είστε έμπειρος χρήστης και πρέπει να επιτρέψετε τη λήψη ή την αποστολή μηνυμάτων ICMP που έχουν αποκλειστεί από το τείχος προστασίας, μπορείτε να το κάνετε εύκολα με ένα κλικ στο αντίστοιχο παράθυρο ρυθμίσεων (Εικ. 6).
Η λειτουργία Stealth είναι ενεργοποιημένη από προεπιλογή (ενότητα "Λειτουργία λειτουργίας") και οι παράμετροι για την επεξεργασία γενικών κανόνων βρίσκονται στην ενότητα με το ίδιο όνομα. Κατά την ταπεινή μου γνώμη, δεν χρειάζεται να αλλάξουμε τους γενικούς κανόνες που ορίζονται από τους προγραμματιστές.
Όπως αναφέρθηκε παραπάνω, το Agnitum Outpost Firewall έχει αρθρωτή δομή, δηλαδή έχει τη δυνατότητα να συνδέσει ορισμένες εκτελέσιμες μονάδες. Ας δούμε τις ρυθμίσεις των κύριων προσθηκών.
Η λειτουργική μονάδα Interactive Elements μπορεί να αποκλείσει ανεπιθύμητα στοιχεία ActiveX, μικροεφαρμογές Java και αναδυόμενα παράθυρα (όλα επιτρέπονται από προεπιλογή). Για να καλέσετε τις ρυθμίσεις, επιλέξτε το όνομα αυτής της μονάδας και επιλέξτε την εντολή «Ιδιότητες» από το μενού περιβάλλοντος (Εικ. 7). Εκεί μπορείτε επίσης να απαγορεύσετε την κλήση ανεπιθύμητων διευθύνσεων URL: καρτέλα "Εξαιρέσεις" › Κουμπί "Προσθήκη".
Το πρόσθετο Attack Detector είναι ενεργοποιημένο από προεπιλογή και είναι ένα από τα κύρια και πιο χρήσιμα εργαλεία αυτού του τείχους προστασίας. Στο μενού περιβάλλοντος, επιλέξτε την εντολή «Επιλογές» και ανοίξτε το παράθυρο ρυθμίσεων του ανιχνευτή επίθεσης. Χρησιμοποιώντας τον κινητήρα, θα ορίσουμε ένα από τα τρία επίπεδα συναγερμού στα οποία το πρόγραμμα θα εκδώσει μια προειδοποίηση.
Από προεπιλογή, επιλέγεται το επίπεδο στο οποίο εντοπίζεται η επίθεση κατά τη σάρωση πολλών θυρών. Είναι καλή ιδέα να ελέγξετε τις επιλογές «Αποκλεισμός εισβολέα», «Αποκλεισμός υποδικτύου εισβολέα» και «Αποκλεισμός τοπικής θύρας εάν εντοπιστεί επίθεση DoS». Όλες οι πληροφορίες σχετικά με τις προσπάθειες σύνδεσης στον υπολογιστή σας θα εμφανιστούν στον πίνακα πληροφοριών στα δεξιά. Ας ρίξουμε μια πιο προσεκτική ματιά σε δύο πρακτικά παραδείγματα.
Εάν το Outpost αναφέρει αιτήματα σύνδεσης, αλλά εμφανίζει μηδενικές τιμές για επιθέσεις και σαρώσεις θυρών, μην ανησυχείτε - αυτή είναι η κανονική δραστηριότητα δικτύου. Φυσικά, ένας υπολογιστής τοπικού δικτύου με τη διεύθυνση που εμφανίζεται στο μήνυμα μπορεί να έχει μολυνθεί από ιό. Αλλά αυτό δεν είναι επίθεση.
Αλλά η ζωή δεν είναι πάντα τόσο ανέφελη: στην Εικ. 8. (στιγμιότυπο οθόνης από την προηγούμενη έκδοση του προγράμματος) δείχνει ένα παράδειγμα πραγματικής επίθεσης RST και το Outpost παρέχει αμέσως πληροφορίες σχετικά με την IP του εισβολέα και την πραγματική διεύθυνση URL.
Οι ρυθμίσεις της ενότητας διαφήμισης καθιστούν δυνατό τον αποκλεισμό διαφημίσεων τόσο με συμβολοσειρές HTML όσο και με μέγεθος banner (και οι δύο παράμετροι είναι ενεργοποιημένες από προεπιλογή). Το εργαλείο "Trash" για διαφήμιση είναι βολικό όταν κάνετε σερφ: απλώς σύρετε ένα ανεπιθύμητο banner σε αυτό το καλάθι για να απαλλαγείτε από συγκεκριμένες διαφημίσεις για πάντα.
Στην καρτέλα "Γενικά" στο παράθυρο ρυθμίσεων, μπορείτε να προσθέσετε μια λίστα με αξιόπιστους ιστότοπους των οποίων τα banner δεν θα αποκλειστούν.
Η ενότητα "Περιεχόμενο" σάς επιτρέπει να "βελτιστοποιήσετε" την απαγόρευση ορισμένων σελίδων στο Διαδίκτυο. Στην καρτέλα «Αποκλεισμός από περιεχόμενο», αρκεί να εισαγάγετε «άσεμνες» λέξεις, ώστε η σελίδα που περιέχει αυτές τις γραμμές να μην εμφανίζεται από το πρόγραμμα περιήγησης: πολύ χρήσιμο για γονείς που αγαπούν τα παιδιά...
Στην καρτέλα "Αποκλεισμός ιστότοπου", ένας διαχειριστής του οικιακού συστήματος μπορεί να εισαγάγει μια ομάδα απαγορευμένων διευθύνσεων URL που δεν θέλουν να βλέπουν οι οικικοί χρήστες.
Φυσικά, ένα τέτοιο πρόγραμμα χρειάζεται ένα ημερολόγιο όπου θα τηρούνται αρχεία καταγραφής εργασιών. Το παράθυρο καταγραφής Outpost χρησιμοποιείται για την προβολή των τρεχουσών πληροφοριών που παρέχονται από το τείχος προστασίας.
Για να καλέσετε το "Μητρώο" πρέπει να ανοίξετε το μενού "Εργαλεία" του κύριου παραθύρου και να επιλέξετε την εντολή "Προβολή αρχείου καταγραφής" ή να χρησιμοποιήσετε το κουμπί "Εμφάνιση αρχείου καταγραφής" στον πίνακα πληροφοριών.
Επιπλέον, μπορούν να προβληθούν όλες οι αναφορές σχετικά με το έργο που έγινε για μια δεδομένη περίοδο: για παράδειγμα, ποιες επιθέσεις έγιναν (και εάν υπήρξαν). τι ύποπτα πακέτα πέρασαν μπροστά στο άγρυπνο βλέμμα του Outpost κ.λπ.
Από το βιβλίο Προστασία του υπολογιστή σας συγγραφέας Γιαρεμτσούκ Σεργκέι ΑκίμοβιτςΚεφάλαιο 5 Συστήματα ανάκλασης επίθεσης Λόγοι εμφάνισης και αρχή λειτουργίας Προστασία του υπολογιστή σας με χρήση του συστήματος δημόσιας ασφάλειας Kaspersky Internet Security Prevx1 Για την προστασία των συστημάτων υπολογιστών, επί του παρόντος έχουν αναπτυχθεί πολλά προγράμματα που εκτελούν μια συγκεκριμένη εργασία.
Από το βιβλίο Εργασία σε φορητό υπολογιστή συγγραφέας Sadovsky AlexeyΚεφάλαιο 20 Προστασία από ιούς Kaspersky Anti-Virus NOD32 Οι γιατροί λένε: η πρόληψη είναι η καλύτερη θεραπεία. Αυτά τα λόγια δεν ισχύουν μόνο για την ιατρική. Πριν από αρκετές δεκαετίες, οι υπολογιστές άρχισαν επίσης να μολύνονται. Οι ιοί υπολογιστών δημιουργήθηκαν από ανθρώπους. Για τι; Αυτό δεν είναι αληθινό
Από το βιβλίο Προστατέψτε τον υπολογιστή σας 100% από ιούς και χάκερ συγγραφέας Μπόιτσεφ Όλεγκ Μιχαήλοβιτς1.3. Ορισμένοι τύποι επιθέσεων δικτύου Οι επιθέσεις δικτύου αποτελούν εδώ και καιρό το υπόβαθρο του σύγχρονου κυβερνοχώρου. Κλοπή εμπιστευτικών δεδομένων, κλοπή κωδικών πρόσβασης, παραβίαση (hacking, που έχει ως αποτέλεσμα την αντικατάσταση της κύριας σελίδας του ιστότοπου) ιστοτόπων και
Από το βιβλίο Wi-Fi. Ασύρματο δίκτυο από τον Ρος ΤζονΚεφάλαιο 4 Προστασία κατά του κακόβουλου λογισμικού; Σύντομη ταξινόμηση κακόβουλου λογισμικού; Επιλέγοντας το καλύτερο antivirus; Προστατεύετε τον υπολογιστή σας από δούρειους ίππους; Πρακτικός εξορκισμός - αποβολή του "κακού κώδικα" με γυμνά χέρια Οι τελευταίες εκδόσεις κακόβουλου λογισμικού που δεν ανιχνεύονται
Από το βιβλίο Fundamentals of Computer Science: Textbook for Universities συγγραφέας Malinina Larisa AlexandrovnaΚεφάλαιο 4. Εγκατάσταση και διαμόρφωση διεπαφών δικτύου Η εγκατάσταση ενός προσαρμογέα ασύρματου δικτύου είναι ευκολότερη από την εγκατάσταση ενός σημείου πρόσβασης, καθώς οι περισσότεροι προσαρμογείς δικτύου είναι συσκευές plug-and-play. Ανεξαρτήτως σωματικής
Από το βιβλίο Linux Network Tools του Smith Roderick W.Κεφάλαιο 11 Προστασία πληροφοριών 11.1. Βασικές αρχές της προστασίας των πληροφοριών και των πληροφοριών που συνιστούν κρατικά μυστικά Η έννοια της «πληροφορίας» χρησιμοποιείται σήμερα πολύ ευρέως και ευέλικτα. Είναι δύσκολο να βρεθεί ένας τομέας γνώσης όπου δεν χρησιμοποιείται. Τεράστιες πληροφορίες
Από το βιβλίο Firebird DATABASE DEVELOPER'S GUIDE από την Borri HelenΚεφάλαιο 1 Διαμόρφωση δικτύωσης πυρήνα «Όλοι οι δρόμοι οδηγούν στη Ρώμη», λέει η παροιμία. Κάτι παρόμοιο μπορεί να ειπωθεί για τα εργαλεία δικτύωσης Linux. Σε αυτήν την περίπτωση, ο πυρήνας του λειτουργικού συστήματος παίζει το ρόλο της Ρώμης. Αργά ή γρήγορα, όλη η κίνηση δικτύου θα υποβληθεί σε επεξεργασία από τον πυρήνα. Διάφορος
Από το βιβλίο Δημιουργία Παιχνιδιών για Κινητά Τηλέφωνα από τον Morrison MichaelΚεφάλαιο 2 Διαμόρφωση δικτύωσης TCP/IP Αν και ο πυρήνας είναι το κύριο συστατικό ενός συστήματος Linux και, μεταξύ άλλων εργασιών, ελέγχει τη διαδικασία επικοινωνίας μέσω του δικτύου, η εγκατάσταση ενός συστήματος για δικτύωση δεν τελειώνει με τη διαμόρφωση του πυρήνα. Σε αυτό
Από το βιβλίο Επίθεση στο Διαδίκτυο συγγραφέας Medvedovsky Ilya DavydovichΚΕΦΑΛΑΙΟ 34. Προστασία διακομιστή. Η εγκατάσταση διακομιστή περιλαμβάνει μια βάση δεδομένων ταυτότητας χρήστη για την αποθήκευση μιας περιγραφής όλων των χρηστών που έχουν πρόσβαση στον διακομιστή Firebird. Ένας κωδικός πρόσβασης με διάκριση πεζών-κεφαλαίων πρέπει να ορίζεται για κάθε χρήστη και πρέπει να είναι
Από το βιβλίο Προστασία από τους χάκερς των εταιρικών δικτύων συγγραφέας άγνωστος συγγραφέαςΚεφάλαιο 14 Βασικά στοιχεία των διαδικτυακών παιχνιδιών για κινητά
Από το βιβλίο IT Security: αξίζει να ρισκάρετε την εταιρεία; από τη Linda McCarthyΚεφάλαιο 6 Λόγοι για την επιτυχία των απομακρυσμένων επιθέσεων «Αυτό που επινοείται από ένα άτομο μπορεί να γίνει κατανοητό από ένα άλλο», είπε ο Χολμς. Α. Κόναν Ντόιλ. Dancing men Στα δύο προηγούμενα κεφάλαια δείχθηκε ότι οι γενικές αρχές της κατασκευής κατανεμημένων υπολογιστών καθιστούν δυνατή τη διάκριση ενός συνόλου
Από το βιβλίο του συγγραφέαΚεφάλαιο 8 Πώς να προστατευτείτε από απομακρυσμένες επιθέσεις στο Διαδίκτυο - ...Πείτε μου ειλικρινά - υπάρχει διέξοδος από αυτόν τον εφιάλτη; «Υπάρχει πάντα διέξοδος», απάντησε ο Ηρακλής Πουαρό. Α. Κρίστι. The Labors of Hercules Πριν μιλήσουμε για τις διάφορες πτυχές της παροχής πληροφοριών
Από το βιβλίο του συγγραφέαΚεφάλαιο 9 Το παρελθόν και το παρόν των λειτουργικών συστημάτων δικτύου Το αιώνιο και απαίσιο όνειρο των ιών είναι η απόλυτη παγκόσμια κυριαρχία, και όσο τρομερές κι αν είναι οι μέθοδοι που χρησιμοποιούν αυτή τη στιγμή, δεν μπορούν να τους αρνηθεί κανείς την επιμονή, την εφευρετικότητα και την ικανότητα
Από το βιβλίο του συγγραφέαΚεφάλαιο 3 Τάξεις επίθεσης Αυτό το κεφάλαιο συζητά τα ακόλουθα θέματα: Επισκόπηση των κλάσεων επίθεσης Περίληψη Τεχνικών δοκιμών ευπάθειας · Σημειώσεις · Συχνές ερωτήσεις
Από το βιβλίο του συγγραφέαΚεφάλαιο 12 Παραπλάνηση αντικειμένων δικτύου: Επιθέσεις σε αξιόπιστη ταυτότητα Αυτό το κεφάλαιο συζητά τα ακόλουθα θέματα: Ορισμός της πλαστογράφησης Θεωρητικά θεμέλια της πλαστογράφησης Η εξέλιξη της εμπιστοσύνης Καθιέρωση ταυτότητας στα δίκτυα υπολογιστών Η ικανότητα αμφισβήτησης της εξαπάτησης
Από το βιβλίο του συγγραφέαΚεφάλαιο 1 Εκτροπή επιθέσεων Η ανίχνευση, η απομόνωση και η επίλυση συμβάντων μοιάζει πολύ με τον αφοπλισμό εκρηκτικών συσκευών—όσο πιο γρήγορα και καλύτερα το κάνετε, τόσο λιγότερη ζημιά θα προκαλέσει στο σύστημά σας ένα περιστατικό ασφαλείας. Gene Schultz, Αρχηγός
Υπάρχει μια τεράστια ποικιλία διαφορετικών διαμορφώσεων υπολογιστών, λειτουργικών συστημάτων και εξοπλισμού δικτύου, ωστόσο, αυτό δεν αποτελεί εμπόδιο για την πρόσβαση στο παγκόσμιο δίκτυο. Αυτή η κατάσταση κατέστη δυνατή χάρη στο παγκόσμιο πρωτόκολλο δικτύου TCP/IP, το οποίο θεσπίζει ορισμένα πρότυπα και κανόνες για τη μετάδοση δεδομένων μέσω Διαδικτύου. Δυστυχώς, αυτή η καθολικότητα οδήγησε στο γεγονός ότι οι υπολογιστές που χρησιμοποιούν αυτό το πρωτόκολλο έχουν γίνει ευάλωτοι σε εξωτερική επιρροή και δεδομένου ότι το πρωτόκολλο TCP/IP χρησιμοποιείται σε όλους τους υπολογιστές που είναι συνδεδεμένοι στο Διαδίκτυο, οι εισβολείς δεν χρειάζεται να αναπτύξουν μεμονωμένα μέσα πρόσβασης σε άλλα άτομα. μηχανές.
Μια επίθεση δικτύου είναι μια προσπάθεια επηρεασμού ενός απομακρυσμένου υπολογιστή χρησιμοποιώντας μεθόδους λογισμικού. Κατά κανόνα, ο σκοπός μιας επίθεσης δικτύου είναι η παραβίαση του απορρήτου των δεδομένων, δηλαδή η κλοπή πληροφοριών. Επιπλέον, πραγματοποιούνται επιθέσεις δικτύου για να αποκτήσουν πρόσβαση στον υπολογιστή κάποιου άλλου και στη συνέχεια να αλλάξουν αρχεία που βρίσκονται σε αυτόν.
Υπάρχουν διάφοροι τύποι ταξινόμησης επιθέσεων δικτύου. Ένα από αυτά βασίζεται στην αρχή της επιρροής. Οι παθητικές επιθέσεις δικτύου στοχεύουν στη λήψη εμπιστευτικών πληροφοριών από έναν απομακρυσμένο υπολογιστή. Τέτοιες επιθέσεις, για παράδειγμα, περιλαμβάνουν την ανάγνωση εισερχόμενων και εξερχόμενων μηνυμάτων email. Όσον αφορά τις ενεργές επιθέσεις δικτύου, το καθήκον τους δεν είναι μόνο η πρόσβαση σε ορισμένες πληροφορίες, αλλά και η τροποποίησή τους. Μία από τις πιο σημαντικές διαφορές μεταξύ αυτών των τύπων επιθέσεων είναι ότι η παθητική παρεμβολή είναι σχεδόν αδύνατο να εντοπιστεί, ενώ τα αποτελέσματα μιας ενεργητικής επίθεσης είναι συνήθως αισθητά.
Επιπλέον, οι επιθέσεις ταξινομούνται ανάλογα με τους στόχους που εξυπηρετούν. Μεταξύ των κύριων εργασιών, κατά κανόνα, είναι η διακοπή της λειτουργίας του υπολογιστή, η μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες και η κρυφή τροποποίηση των δεδομένων που είναι αποθηκευμένα στον υπολογιστή. Για παράδειγμα, η παραβίαση ενός σχολικού διακομιστή με σκοπό την αλλαγή βαθμών σε περιοδικά ταξινομείται ως ενεργή επίθεση δικτύου τρίτου τύπου.
Τεχνολογίες προστασίας
Μέθοδοι προστασίας από επιθέσεις δικτύου αναπτύσσονται και βελτιώνονται συνεχώς, αλλά καμία από αυτές δεν παρέχει πλήρη εγγύηση. Γεγονός είναι ότι κάθε στατική άμυνα έχει αδυναμίες, αφού είναι αδύνατο να προστατευτείς από τα πάντα ταυτόχρονα. Όσον αφορά τις δυναμικές μεθόδους προστασίας, όπως τα στατιστικά, τα εξειδικευμένα, η ασαφής λογική και τα νευρωνικά δίκτυα, έχουν επίσης τις αδυναμίες τους, αφού βασίζονται κυρίως στην ανάλυση ύποπτων ενεργειών και στη σύγκριση τους με γνωστές μεθόδους επιθέσεων δικτύου. Κατά συνέπεια, τα περισσότερα αμυντικά συστήματα υποχωρούν σε άγνωστους τύπους επιθέσεων, αρχίζοντας να αποκρούουν την εισβολή πολύ αργά. Ωστόσο, τα σύγχρονα συστήματα ασφαλείας καθιστούν τόσο δύσκολη την πρόσβαση σε δεδομένα από έναν εισβολέα που είναι πιο λογικό να αναζητήσει άλλο θύμα.
20/06/05 37ΚΤο Διαδίκτυο αλλάζει εντελώς τον τρόπο ζωής μας: εργασία, μελέτη, ελεύθερος χρόνος. Αυτές οι αλλαγές θα συμβούν τόσο σε τομείς που ήδη γνωρίζουμε (ηλεκτρονικό εμπόριο, πρόσβαση σε πληροφορίες σε πραγματικό χρόνο, αυξημένες δυνατότητες επικοινωνίας κ.λπ.) όσο και σε εκείνους τους τομείς για τους οποίους δεν έχουμε ακόμη ιδέα.
Μπορεί να έρθει η στιγμή που μια εταιρεία θα πραγματοποιήσει όλες τις τηλεφωνικές της κλήσεις μέσω Διαδικτύου, εντελώς δωρεάν. Στην ιδιωτική ζωή, μπορεί να εμφανιστούν ειδικές ιστοσελίδες, με τη βοήθεια των οποίων οι γονείς μπορούν ανά πάσα στιγμή να μάθουν πώς είναι τα παιδιά τους. Η κοινωνία μας μόλις αρχίζει να συνειδητοποιεί τις απεριόριστες δυνατότητες του Διαδικτύου.
Εισαγωγή
Ταυτόχρονα με την τεράστια αύξηση της δημοτικότητας του Διαδικτύου, προκύπτει ένας άνευ προηγουμένου κίνδυνος αποκάλυψης προσωπικών δεδομένων, κρίσιμων εταιρικών πόρων, κρατικών μυστικών κ.λπ.
Καθημερινά, οι χάκερ απειλούν αυτούς τους πόρους προσπαθώντας να αποκτήσουν πρόσβαση σε αυτούς χρησιμοποιώντας ειδικές επιθέσεις που σταδιακά γίνονται πιο εξελιγμένες αφενός και ευκολότερες στην εκτέλεση από την άλλη. Σε αυτό συμβάλλουν δύο βασικοί παράγοντες.
Πρώτον, πρόκειται για την ευρεία διείσδυση του Διαδικτύου. Υπάρχουν εκατομμύρια συσκευές συνδεδεμένες στο Διαδίκτυο σήμερα, και πολλά εκατομμύρια συσκευές θα συνδεθούν στο Διαδίκτυο στο εγγύς μέλλον, καθιστώντας όλο και πιο πιθανό ότι οι χάκερ θα αποκτήσουν πρόσβαση σε ευάλωτες συσκευές.
Επιπλέον, η ευρεία χρήση του Διαδικτύου επιτρέπει στους χάκερ να ανταλλάσσουν πληροφορίες σε παγκόσμια κλίμακα. Μια απλή αναζήτηση για λέξεις-κλειδιά όπως "hacker", "hacking", "hack", "crack" ή "phreak" θα σας επιστρέψει χιλιάδες ιστότοπους, πολλοί από τους οποίους περιέχουν κακόβουλο κώδικα και πώς να τον χρησιμοποιήσετε.
Δεύτερον, αυτή είναι η ευρύτερη διανομή εύχρηστων λειτουργικών συστημάτων και περιβαλλόντων ανάπτυξης. Αυτός ο παράγοντας μειώνει απότομα το επίπεδο γνώσεων και δεξιοτήτων που απαιτούνται από έναν χάκερ. Προηγουμένως, για να δημιουργήσει και να διανείμει εύχρηστες εφαρμογές, ένας χάκερ έπρεπε να έχει καλές δεξιότητες προγραμματισμού.
Τώρα, για να αποκτήσετε πρόσβαση στο εργαλείο ενός χάκερ, χρειάζεται μόνο να γνωρίζετε τη διεύθυνση IP του επιθυμητού ιστότοπου και για να πραγματοποιήσετε μια επίθεση, μόνο ένα κλικ του ποντικιού.
Ταξινόμηση επιθέσεων δικτύου
Οι επιθέσεις δικτύου είναι τόσο διαφορετικές όσο και τα συστήματα που στοχεύουν. Ορισμένες επιθέσεις είναι πολύ περίπλοκες, ενώ άλλες είναι μέσα στις δυνατότητες ενός απλού χειριστή, ο οποίος δεν φαντάζεται καν τις συνέπειες των δραστηριοτήτων του. Για να αξιολογήσετε τους τύπους επιθέσεων, πρέπει να γνωρίζετε ορισμένους από τους εγγενείς περιορισμούς του πρωτοκόλλου TPC/IP. Καθαρά
Το Διαδίκτυο δημιουργήθηκε για την επικοινωνία μεταξύ κρατικών υπηρεσιών και πανεπιστημίων για να βοηθήσει την εκπαιδευτική διαδικασία και την επιστημονική έρευνα. Οι δημιουργοί αυτού του δικτύου δεν είχαν ιδέα πόσο διαδεδομένο θα γινόταν. Ως αποτέλεσμα, οι προδιαγραφές των πρώιμων εκδόσεων του Πρωτοκόλλου Διαδικτύου (IP) δεν είχαν απαιτήσεις ασφαλείας. Αυτός είναι ο λόγος για τον οποίο πολλές υλοποιήσεις IP είναι εγγενώς ευάλωτες.
Μετά από πολλά χρόνια, μετά από πολλά παράπονα (Request for Comments, RFC), επιτέλους άρχισαν να εφαρμόζονται μέτρα ασφαλείας για το IP. Ωστόσο, λόγω του γεγονότος ότι δεν αναπτύχθηκαν αρχικά μέτρα ασφαλείας για το πρωτόκολλο IP, όλες οι υλοποιήσεις του άρχισαν να συμπληρώνονται με μια ποικιλία διαδικασιών δικτύου, υπηρεσιών και προϊόντων που μειώνουν τους κινδύνους που ενυπάρχουν σε αυτό το πρωτόκολλο. Στη συνέχεια, θα δούμε εν συντομία τους τύπους επιθέσεων που χρησιμοποιούνται συνήθως σε δίκτυα IP και θα απαριθμήσουμε τρόπους καταπολέμησής τους.
Ανιχνευτής πακέτων
Ο ανιχνευτής πακέτων είναι ένα πρόγραμμα εφαρμογής που χρησιμοποιεί μια κάρτα δικτύου που λειτουργεί σε ακατάλληλη λειτουργία (σε αυτήν τη λειτουργία, ο προσαρμογέας δικτύου στέλνει όλα τα πακέτα που λαμβάνονται μέσω φυσικών καναλιών στην εφαρμογή για επεξεργασία).
Σε αυτήν την περίπτωση, ο ανιχνευτής παρεμποδίζει όλα τα πακέτα δικτύου που μεταδίδονται μέσω ενός συγκεκριμένου τομέα. Επί του παρόντος, οι sniffers λειτουργούν σε δίκτυα σε απολύτως νόμιμη βάση. Χρησιμοποιούνται για τη διάγνωση βλαβών και την ανάλυση της κυκλοφορίας. Ωστόσο, λόγω του γεγονότος ότι ορισμένες εφαρμογές δικτύου μεταδίδουν δεδομένα σε μορφή κειμένου ( Telnet, FTP, SMTP, POP3 κ.λπ..), χρησιμοποιώντας ένα sniffer μπορείτε να μάθετε χρήσιμες και μερικές φορές εμπιστευτικές πληροφορίες (για παράδειγμα, ονόματα χρήστη και κωδικούς πρόσβασης).
Η υποκλοπή σύνδεσης και κωδικού πρόσβασης αποτελεί σημαντική απειλή επειδή οι χρήστες χρησιμοποιούν συχνά το ίδιο όνομα σύνδεσης και κωδικό πρόσβασης για πολλαπλές εφαρμογές και συστήματα. Πολλοί χρήστες έχουν γενικά έναν μόνο κωδικό πρόσβασης για πρόσβαση σε όλους τους πόρους και τις εφαρμογές.
Εάν η εφαρμογή εκτελείται σε λειτουργία πελάτη-διακομιστή και τα δεδομένα ελέγχου ταυτότητας μεταδίδονται μέσω του δικτύου σε αναγνώσιμη μορφή κειμένου, τότε αυτές οι πληροφορίες πιθανότατα μπορούν να χρησιμοποιηθούν για πρόσβαση σε άλλους εταιρικούς ή εξωτερικούς πόρους. Οι χάκερ γνωρίζουν και εκμεταλλεύονται πολύ καλά τις ανθρώπινες αδυναμίες (οι μέθοδοι επίθεσης συχνά βασίζονται σε μεθόδους κοινωνικής μηχανικής).
Γνωρίζουν πολύ καλά ότι χρησιμοποιούμε τον ίδιο κωδικό πρόσβασης για πρόσβαση σε πολλούς πόρους και ως εκ τούτου συχνά καταφέρνουν να αποκτήσουν πρόσβαση σε σημαντικές πληροφορίες μαθαίνοντας τον κωδικό πρόσβασής μας. Στη χειρότερη περίπτωση, ένας χάκερ αποκτά πρόσβαση σε έναν πόρο χρήστη σε επίπεδο συστήματος και τον χρησιμοποιεί για να δημιουργήσει έναν νέο χρήστη που μπορεί να χρησιμοποιηθεί ανά πάσα στιγμή για πρόσβαση στο Δίκτυο και στους πόρους του.
Μπορείτε να μειώσετε την απειλή sniffing πακέτων χρησιμοποιώντας τα ακόλουθα εργαλεία:
:Αυθεντικοποίηση. Ο ισχυρός έλεγχος ταυτότητας είναι η πιο σημαντική άμυνα ενάντια στο sniffing πακέτων. Με τον όρο «ισχυρή» εννοούμε μεθόδους ελέγχου ταυτότητας που είναι δύσκολο να παρακαμφθούν. Ένα παράδειγμα τέτοιου ελέγχου ταυτότητας είναι οι κωδικοί πρόσβασης μίας χρήσης (OTP).
Το OTP είναι μια τεχνολογία ελέγχου ταυτότητας δύο παραγόντων που συνδυάζει αυτό που έχετε με αυτό που γνωρίζετε. Χαρακτηριστικό παράδειγμα ελέγχου ταυτότητας δύο παραγόντων είναι η λειτουργία ενός κανονικού ΑΤΜ, το οποίο σας αναγνωρίζει, πρώτον, από την πλαστική σας κάρτα και δεύτερον, από τον κωδικό PIN που εισάγετε. Απαιτούνται επίσης ένας κωδικός PIN και η προσωπική σας κάρτα για έλεγχο ταυτότητας στο σύστημα OTP.
Με τον όρο «κάρτα» (token) εννοούμε ένα εργαλείο υλικού ή λογισμικού που δημιουργεί (με μια τυχαία αρχή) έναν μοναδικό κωδικό πρόσβασης μίας χρήσης. Εάν ένας χάκερ ανακαλύψει αυτόν τον κωδικό πρόσβασης χρησιμοποιώντας ένα sniffer, τότε αυτές οι πληροφορίες θα είναι άχρηστες, καθώς εκείνη τη στιγμή ο κωδικός πρόσβασης θα χρησιμοποιηθεί ήδη και θα αποσυρθεί.
Σημειώστε ότι αυτή η μέθοδος καταπολέμησης του sniffing είναι αποτελεσματική μόνο σε περιπτώσεις υποκλοπής κωδικού πρόσβασης. Τα sniffer που υποκλοπούν άλλες πληροφορίες (όπως μηνύματα email) παραμένουν αποτελεσματικά.
Αλλαγή υποδομής
. Ένας άλλος τρόπος για να καταπολεμήσετε το sniffing πακέτων στο περιβάλλον δικτύου σας είναι να δημιουργήσετε μια υποδομή μεταγωγής. Εάν, για παράδειγμα, ολόκληρος ο οργανισμός χρησιμοποιεί dial-up Ethernet, οι χάκερ μπορούν να έχουν πρόσβαση μόνο στην κίνηση που έρχεται στη θύρα στην οποία είναι συνδεδεμένοι. Μια υποδομή μεταγωγής δεν εξαλείφει την απειλή του sniffing, αλλά μειώνει σημαντικά τη σοβαρότητά της.Antisniffers. Ο τρίτος τρόπος για να καταπολεμήσετε το sniffing είναι να εγκαταστήσετε υλικό ή λογισμικό που αναγνωρίζει τα sniffer που εκτελούνται στο δίκτυό σας. Αυτά τα εργαλεία δεν μπορούν να εξαλείψουν πλήρως την απειλή, αλλά, όπως πολλά άλλα εργαλεία ασφάλειας δικτύου, περιλαμβάνονται στο συνολικό σύστημα προστασίας. Τα Antisniffers μετρούν τους χρόνους απόκρισης του κεντρικού υπολογιστή και καθορίζουν εάν οι κεντρικοί υπολογιστές πρέπει να επεξεργαστούν την περιττή κίνηση. Ένα τέτοιο προϊόν, διαθέσιμο από την LOpht Heavy Industries, ονομάζεται AntiSniff.
Κρυπτογράφηση. Αυτός ο πιο αποτελεσματικός τρόπος για την καταπολέμηση του sniffing πακέτων, αν και δεν αποτρέπει την υποκλοπή και δεν αναγνωρίζει το έργο των sniffers, αλλά καθιστά αυτό το έργο άχρηστο. Εάν το κανάλι επικοινωνίας είναι κρυπτογραφικά ασφαλές, τότε ο χάκερ δεν αναχαιτίζει το μήνυμα, αλλά το κρυπτογραφημένο κείμενο (δηλαδή μια ακατανόητη ακολουθία bit). Η κρυπτογράφηση επιπέδου δικτύου Cisco βασίζεται στο IPSec, η οποία είναι μια τυπική μέθοδος για ασφαλή επικοινωνία μεταξύ συσκευών που χρησιμοποιούν το πρωτόκολλο IP. Άλλα πρωτόκολλα διαχείρισης κρυπτογραφικού δικτύου περιλαμβάνουν τα πρωτόκολλα SSH (Secure Shell) και SSL (Secure Socket Layer).
Παραπλάνηση IP
Η πλαστογράφηση IP συμβαίνει όταν ένας χάκερ, εντός ή εκτός μιας εταιρείας, υποδύεται έναν εξουσιοδοτημένο χρήστη. Αυτό μπορεί να γίνει με δύο τρόπους: ο χάκερ μπορεί να χρησιμοποιήσει είτε μια διεύθυνση IP που βρίσκεται εντός του εύρους των εξουσιοδοτημένων διευθύνσεων IP είτε μια εξουσιοδοτημένη εξωτερική διεύθυνση στην οποία επιτρέπεται η πρόσβαση σε ορισμένους πόρους δικτύου.
Οι επιθέσεις πλαστογράφησης IP είναι συχνά το σημείο εκκίνησης για άλλες επιθέσεις. Ένα κλασικό παράδειγμα είναι μια επίθεση DoS, η οποία ξεκινά από τη διεύθυνση κάποιου άλλου, κρύβοντας την πραγματική ταυτότητα του χάκερ.
Συνήθως, η πλαστογράφηση IP περιορίζεται στην εισαγωγή ψευδών πληροφοριών ή κακόβουλων εντολών στην κανονική ροή δεδομένων που μεταδίδονται μεταξύ μιας εφαρμογής πελάτη και διακομιστή ή μέσω ενός καναλιού επικοινωνίας μεταξύ ομότιμων συσκευών.
Για αμφίδρομη επικοινωνία, ο χάκερ πρέπει να αλλάξει όλους τους πίνακες δρομολόγησης για να κατευθύνει την κυκλοφορία στην ψευδή διεύθυνση IP. Ορισμένοι χάκερ, ωστόσο, δεν προσπαθούν καν να λάβουν απάντηση από τις εφαρμογές - εάν ο κύριος στόχος είναι να λάβουν ένα σημαντικό αρχείο από το σύστημα, τότε οι απαντήσεις των εφαρμογών δεν έχουν σημασία.
Εάν ένας χάκερ καταφέρει να αλλάξει τους πίνακες δρομολόγησης και να κατευθύνει την κυκλοφορία σε μια ψευδή διεύθυνση IP, θα λάβει όλα τα πακέτα και θα μπορεί να απαντήσει σε αυτά σαν να ήταν εξουσιοδοτημένος χρήστης.
Ο κίνδυνος πλαστογράφησης μπορεί να μετριαστεί (αλλά όχι να εξαλειφθεί) με τα ακόλουθα μέτρα:
- Έλεγχος πρόσβασης. Ο ευκολότερος τρόπος για να αποτρέψετε την πλαστογράφηση IP είναι να διαμορφώσετε σωστά τα στοιχεία ελέγχου πρόσβασης. Για να μειώσετε την αποτελεσματικότητα της πλαστογράφησης IP, διαμορφώστε τον έλεγχο πρόσβασης ώστε να απορρίπτει οποιαδήποτε κίνηση προέρχεται από εξωτερικό δίκτυο με διεύθυνση πηγής που θα πρέπει να βρίσκεται μέσα στο δίκτυό σας.
Είναι αλήθεια ότι αυτό βοηθά στην καταπολέμηση της πλαστογράφησης IP, όταν μόνο οι εσωτερικές διευθύνσεις είναι εξουσιοδοτημένες. Εάν ορισμένες εξωτερικές διευθύνσεις δικτύου είναι επίσης εξουσιοδοτημένες, αυτή η μέθοδος καθίσταται αναποτελεσματική.
- Φιλτράρισμα RFC 2827. Μπορείτε να σταματήσετε τους χρήστες στο δίκτυό σας να πλαστογραφούν τα δίκτυα άλλων (και να γίνετε καλός διαδικτυακός πολίτης). Για να το κάνετε αυτό, πρέπει να απορρίψετε οποιαδήποτε εξερχόμενη επισκεψιμότητα της οποίας η διεύθυνση πηγής δεν είναι μία από τις διευθύνσεις IP του οργανισμού σας.
Αυτός ο τύπος φιλτραρίσματος, γνωστός ως RFC 2827, μπορεί επίσης να εκτελεστεί από τον πάροχο υπηρεσιών διαδικτύου (ISP). Ως αποτέλεσμα, όλη η επισκεψιμότητα που δεν έχει διεύθυνση πηγής που αναμένεται σε μια συγκεκριμένη διεπαφή απορρίπτεται. Για παράδειγμα, εάν ένας ISP παρέχει σύνδεση με τη διεύθυνση IP 15.1.1.0/24, μπορεί να διαμορφώσει ένα φίλτρο έτσι ώστε να επιτρέπεται μόνο η κίνηση που προέρχεται από την 15.1.1.0/24 από αυτήν τη διεπαφή προς τον δρομολογητή του ISP.
Σημειώστε ότι έως ότου όλοι οι πάροχοι εφαρμόσουν αυτόν τον τύπο φιλτραρίσματος, η αποτελεσματικότητά του θα είναι πολύ χαμηλότερη από ό,τι είναι δυνατόν. Επιπλέον, όσο πιο μακριά βρίσκεστε από τις συσκευές που φιλτράρονται, τόσο πιο δύσκολο είναι να εκτελέσετε ακριβές φιλτράρισμα. Για παράδειγμα, το φιλτράρισμα RFC 2827 σε επίπεδο δρομολογητή πρόσβασης απαιτεί τη διέλευση όλης της κίνησης από την κύρια διεύθυνση δικτύου (10.0.0.0/8), ενώ σε επίπεδο διανομής (σε μια δεδομένη αρχιτεκτονική) είναι δυνατός ο ακριβέστερος περιορισμός της κυκλοφορίας (διεύθυνση - 10.1.5.0/24).
Η πιο αποτελεσματική μέθοδος καταπολέμησης της πλαστογράφησης IP είναι η ίδια όπως στην περίπτωση του sniffing πακέτων: πρέπει να κάνετε την επίθεση εντελώς αναποτελεσματική. Η πλαστογράφηση IP μπορεί να λειτουργήσει μόνο εάν ο έλεγχος ταυτότητας βασίζεται σε διευθύνσεις IP.
Επομένως, η εισαγωγή πρόσθετων μεθόδων ελέγχου ταυτότητας καθιστά άχρηστες τέτοιες επιθέσεις. Ο καλύτερος τύπος πρόσθετου ελέγχου ταυτότητας είναι ο κρυπτογραφικός. Εάν αυτό δεν είναι δυνατό, ο έλεγχος ταυτότητας δύο παραγόντων με χρήση κωδικών πρόσβασης μίας χρήσης μπορεί να δώσει καλά αποτελέσματα.
Άρνηση παροχής υπηρεσιών
Το Denial of Service (DoS) είναι χωρίς αμφιβολία η πιο γνωστή μορφή επιθέσεων hacking. Επιπλέον, αυτού του είδους οι επιθέσεις είναι οι πιο δύσκολο να δημιουργηθούν 100% προστασία. Μεταξύ των χάκερ, οι επιθέσεις DoS θεωρούνται παιδικό παιχνίδι και η χρήση τους προκαλεί περιφρονητικά χαμόγελα, καθώς η οργάνωση DoS απαιτεί ελάχιστες γνώσεις και δεξιότητες.
Ωστόσο, ακριβώς η ευκολία υλοποίησης και η τεράστια ζημιά που προκαλείται είναι που το DoS προσελκύει την προσοχή των διαχειριστών που είναι υπεύθυνοι για την ασφάλεια του δικτύου. Εάν θέλετε να μάθετε περισσότερα σχετικά με τις επιθέσεις DoS, θα πρέπει να εξετάσετε τους πιο διάσημους τύπους, και συγκεκριμένα:
- TCP SYN Flood;
- Ping of Death;
- Tribe Flood Network (TFN) και Tribe Flood Network 2000 (TFN2K).
- Trinco;
- Stacheldracht;
- Τριάδα.
Μια εξαιρετική πηγή πληροφοριών ασφαλείας είναι η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών (CERT), η οποία έχει δημοσιεύσει εξαιρετική δουλειά για την καταπολέμηση των επιθέσεων DoS.
Οι επιθέσεις DoS διαφέρουν από άλλους τύπους επιθέσεων. Δεν αποσκοπούν στην απόκτηση πρόσβασης στο δίκτυό σας, ούτε στη λήψη πληροφοριών από αυτό το δίκτυο, αλλά μια επίθεση DoS καθιστά το δίκτυό σας μη διαθέσιμο για κανονική χρήση υπερβαίνοντας τα αποδεκτά όρια του δικτύου, του λειτουργικού συστήματος ή της εφαρμογής.
Στην περίπτωση ορισμένων εφαρμογών διακομιστή (όπως διακομιστής Web ή διακομιστή FTP), οι επιθέσεις DoS μπορεί να περιλαμβάνουν την ανάληψη όλων των συνδέσεων που είναι διαθέσιμες σε αυτές τις εφαρμογές και τη διατήρησή τους κατειλημμένες, αποτρέποντας την εξυπηρέτηση των απλών χρηστών. Οι επιθέσεις DoS μπορούν να χρησιμοποιούν κοινά πρωτόκολλα Διαδικτύου όπως TCP και ICMP ( Πρωτόκολλο μηνυμάτων ελέγχου Διαδικτύου).
Οι περισσότερες επιθέσεις DoS δεν στοχεύουν σφάλματα λογισμικού ή τρύπες ασφαλείας, αλλά γενικές αδυναμίες στην αρχιτεκτονική του συστήματος. Ορισμένες επιθέσεις ακρωτηριάζουν την απόδοση του δικτύου πλημμυρίζοντας το με ανεπιθύμητα και περιττά πακέτα ή παραπλανητικές πληροφορίες σχετικά με την τρέχουσα κατάσταση των πόρων του δικτύου.
Αυτός ο τύπος επίθεσης είναι δύσκολο να αποφευχθεί επειδή απαιτεί συντονισμό με τον πάροχο. Εάν δεν σταματήσετε την κίνηση που προορίζεται να κατακλύσει το δίκτυό σας στον πάροχο, τότε δεν θα μπορείτε πλέον να το κάνετε αυτό στην είσοδο του δικτύου, καθώς όλο το εύρος ζώνης θα είναι κατειλημμένο. Όταν αυτός ο τύπος επίθεσης εκτελείται ταυτόχρονα μέσω πολλών συσκευών, μιλάμε για μια κατανεμημένη επίθεση DoS (κατανεμημένο DoS, DDoS).
Η απειλή επιθέσεων DoS μπορεί να μειωθεί με τρεις τρόπους:
- Λειτουργίες κατά της πλαστογράφησης. Η σωστή διαμόρφωση των λειτουργιών κατά της πλαστογράφησης στους δρομολογητές και τα τείχη προστασίας θα συμβάλει στη μείωση του κινδύνου DoS. Τουλάχιστον, αυτά τα χαρακτηριστικά θα πρέπει να περιλαμβάνουν φιλτράρισμα RFC 2827 Εάν ένας χάκερ δεν μπορεί να συγκαλύψει την πραγματική του ταυτότητα, είναι απίθανο να πραγματοποιήσει επίθεση.
- Λειτουργίες Anti-DoS. Η σωστή διαμόρφωση των λειτουργιών anti-DoS σε δρομολογητές και τείχη προστασίας μπορεί να περιορίσει την αποτελεσματικότητα των επιθέσεων. Αυτές οι δυνατότητες περιορίζουν συχνά τον αριθμό των μισάνοιχτων καναλιών ανά πάσα στιγμή.
- Περιορισμός ρυθμού κυκλοφορίας. Ένας οργανισμός μπορεί να ζητήσει από τον πάροχο υπηρεσιών διαδικτύου του (ISP) να περιορίσει το μέγεθος της επισκεψιμότητας. Αυτός ο τύπος φιλτραρίσματος σάς επιτρέπει να περιορίσετε την ποσότητα της μη κρίσιμης κίνησης που διέρχεται από το δίκτυό σας. Χαρακτηριστικό παράδειγμα είναι ο περιορισμός του όγκου της κίνησης ICMP, ο οποίος χρησιμοποιείται μόνο για διαγνωστικούς σκοπούς. (Δ) Οι επιθέσεις DoS χρησιμοποιούν συχνά ICMP.
Επιθέσεις με κωδικό πρόσβασης
Οι χάκερ μπορούν να πραγματοποιήσουν επιθέσεις με κωδικό πρόσβασης χρησιμοποιώντας μια σειρά μεθόδων, όπως επίθεση ωμής βίας, δούρειος ίππος, πλαστογράφηση IP και sniffing πακέτων. Παρόλο που η σύνδεση και ο κωδικός πρόσβασης μπορούν συχνά να αποκτηθούν μέσω πλαστογράφησης IP και sniffing πακέτων, οι χάκερ προσπαθούν συχνά να μαντέψουν τον κωδικό πρόσβασης και να συνδεθούν μέσω πολλαπλών προσπαθειών πρόσβασης. Αυτή η προσέγγιση ονομάζεται απλή αναζήτηση (brute force attack).
Συχνά, μια τέτοια επίθεση χρησιμοποιεί ένα ειδικό πρόγραμμα που προσπαθεί να αποκτήσει πρόσβαση σε έναν δημόσιο πόρο (για παράδειγμα, έναν διακομιστή). Εάν, ως αποτέλεσμα, παραχωρηθεί στον χάκερ πρόσβαση σε πόρους, τότε τον λαμβάνει με τα δικαιώματα ενός τακτικού χρήστη του οποίου επιλέχθηκε ο κωδικός πρόσβασης.
Εάν αυτός ο χρήστης έχει σημαντικά δικαιώματα πρόσβασης, ο χάκερ μπορεί να δημιουργήσει ένα «πάσο» για μελλοντική πρόσβαση που θα παραμείνει έγκυρο ακόμα κι αν ο χρήστης αλλάξει τον κωδικό πρόσβασης και τη σύνδεσή του.
Ένα άλλο πρόβλημα προκύπτει όταν οι χρήστες χρησιμοποιούν τον ίδιο (ακόμη και πολύ καλό) κωδικό πρόσβασης για πρόσβαση σε πολλά συστήματα: εταιρικά, προσωπικά και συστήματα Διαδικτύου. Δεδομένου ότι η ισχύς ενός κωδικού πρόσβασης είναι ίση με την ισχύ του πιο αδύναμου κεντρικού υπολογιστή, ένας χάκερ που μαθαίνει τον κωδικό πρόσβασης μέσω αυτού του κεντρικού υπολογιστή αποκτά πρόσβαση σε όλα τα άλλα συστήματα όπου χρησιμοποιείται ο ίδιος κωδικός πρόσβασης.
Οι επιθέσεις κωδικών πρόσβασης μπορούν να αποφευχθούν με τη μη χρήση κωδικών πρόσβασης απλού κειμένου. Οι κωδικοί πρόσβασης μίας χρήσης ή/και ο κρυπτογραφικός έλεγχος ταυτότητας μπορούν ουσιαστικά να εξαλείψουν την απειλή τέτοιων επιθέσεων. Δυστυχώς, δεν υποστηρίζουν όλες οι εφαρμογές, οι κεντρικοί υπολογιστές και οι συσκευές τις παραπάνω μεθόδους ελέγχου ταυτότητας.
Όταν χρησιμοποιείτε κανονικούς κωδικούς πρόσβασης, προσπαθήστε να βρείτε έναν που θα ήταν δύσκολο να μαντέψει κανείς. Το ελάχιστο μήκος κωδικού πρόσβασης πρέπει να είναι τουλάχιστον οκτώ χαρακτήρες. Ο κωδικός πρόσβασης πρέπει να περιλαμβάνει κεφαλαίους χαρακτήρες, αριθμούς και ειδικούς χαρακτήρες (#, %, $, κ.λπ.).
Οι καλύτεροι κωδικοί πρόσβασης είναι δύσκολο να μαντευτούν και δύσκολο να θυμηθούν, αναγκάζοντας τους χρήστες να τους γράψουν σε χαρτί. Για να αποφευχθεί αυτό, οι χρήστες και οι διαχειριστές μπορούν να χρησιμοποιήσουν μια σειρά από πρόσφατες τεχνολογικές εξελίξεις.
Για παράδειγμα, υπάρχουν προγράμματα εφαρμογών που κρυπτογραφούν μια λίστα κωδικών πρόσβασης που μπορούν να αποθηκευτούν σε έναν υπολογιστή τσέπης. Ως αποτέλεσμα, ο χρήστης χρειάζεται να θυμάται μόνο έναν σύνθετο κωδικό πρόσβασης, ενώ όλοι οι άλλοι θα προστατεύονται αξιόπιστα από την εφαρμογή.
Υπάρχουν πολλές μέθοδοι για να καταπολεμήσει ο διαχειριστής την εικασία κωδικού πρόσβασης. Ένα από αυτά είναι η χρήση του εργαλείου L0phtCrack, το οποίο χρησιμοποιείται συχνά από χάκερ για να μαντέψουν τους κωδικούς πρόσβασης στο περιβάλλον των Windows NT. Αυτό το εργαλείο θα σας δείξει γρήγορα εάν ο κωδικός πρόσβασης που έχει επιλέξει ο χρήστης είναι εύκολο να μαντέψει. Για περισσότερες πληροφορίες, επισκεφθείτε τη διεύθυνση http://www.l0phtcrack.com/.
Επιθέσεις Man-in-the-Middle
Για μια επίθεση Man-in-the-Middle, ένας χάκερ χρειάζεται πρόσβαση σε πακέτα που μεταδίδονται μέσω του δικτύου. Αυτή η πρόσβαση σε όλα τα πακέτα που μεταδίδονται από έναν πάροχο σε οποιοδήποτε άλλο δίκτυο μπορεί, για παράδειγμα, να αποκτηθεί από έναν υπάλληλο αυτού του παρόχου. Συχνά χρησιμοποιούνται sniffer πακέτων, πρωτόκολλα μεταφοράς και πρωτόκολλα δρομολόγησης για αυτόν τον τύπο επίθεσης.
Οι επιθέσεις πραγματοποιούνται με στόχο την κλοπή πληροφοριών, την υποκλοπή της τρέχουσας συνεδρίας και την απόκτηση πρόσβασης σε ιδιωτικούς πόρους δικτύου, την ανάλυση της κυκλοφορίας και τη λήψη πληροφοριών σχετικά με το δίκτυο και τους χρήστες του, την πραγματοποίηση επιθέσεων DoS, την παραμόρφωση των μεταδιδόμενων δεδομένων και την εισαγωγή μη εξουσιοδοτημένων πληροφοριών σε συνεδρίες δικτύου.
Οι επιθέσεις Man-in-the-Middle μπορούν να καταπολεμηθούν αποτελεσματικά μόνο χρησιμοποιώντας κρυπτογραφία. Εάν ένας χάκερ υποκλέψει δεδομένα από μια κρυπτογραφημένη συνεδρία, αυτό που θα εμφανιστεί στην οθόνη του δεν είναι το υποκλαπόμενο μήνυμα, αλλά ένα σύνολο χαρακτήρων χωρίς νόημα. Σημειώστε ότι εάν ένας χάκερ λάβει πληροφορίες σχετικά με μια κρυπτογραφική περίοδο λειτουργίας (για παράδειγμα, ένα κλειδί συνεδρίας), αυτό θα μπορούσε να καταστήσει δυνατή μια επίθεση Man-in-the-Middle ακόμη και σε ένα κρυπτογραφημένο περιβάλλον.
Επιθέσεις σε επίπεδο εφαρμογής
Οι επιθέσεις σε επίπεδο εφαρμογής μπορούν να πραγματοποιηθούν με διάφορους τρόπους. Το πιο συνηθισμένο από αυτά είναι η χρήση γνωστών αδυναμιών σε λογισμικό διακομιστή (sendmail, HTTP, FTP). Εκμεταλλευόμενοι αυτές τις αδυναμίες, οι χάκερ μπορούν να αποκτήσουν πρόσβαση σε έναν υπολογιστή ως χρήστης που εκτελεί την εφαρμογή (συνήθως όχι κανονικός χρήστης, αλλά προνομιούχος διαχειριστής με δικαιώματα πρόσβασης στο σύστημα).
Πληροφορίες σχετικά με επιθέσεις σε επίπεδο εφαρμογής δημοσιεύονται ευρέως για να δώσουν στους διαχειριστές την ευκαιρία να διορθώσουν το πρόβλημα χρησιμοποιώντας διορθωτικές ενότητες (patch). Δυστυχώς, πολλοί χάκερ έχουν επίσης πρόσβαση σε αυτές τις πληροφορίες, κάτι που τους επιτρέπει να βελτιωθούν.
Το κύριο πρόβλημα με τις επιθέσεις σε επίπεδο εφαρμογής είναι ότι οι χάκερ χρησιμοποιούν συχνά θύρες που επιτρέπεται να περάσουν μέσα από το τείχος προστασίας. Για παράδειγμα, ένας χάκερ που εκμεταλλεύεται μια γνωστή αδυναμία σε έναν διακομιστή Ιστού θα χρησιμοποιεί συχνά τη θύρα 80 σε μια επίθεση TCP Δεδομένου ότι ο διακομιστής Ιστού παρέχει ιστοσελίδες στους χρήστες, το τείχος προστασίας πρέπει να παρέχει πρόσβαση σε αυτήν τη θύρα. Από την άποψη του τείχους προστασίας, η επίθεση αντιμετωπίζεται ως τυπική κίνηση στη θύρα 80.
Οι επιθέσεις σε επίπεδο εφαρμογής δεν μπορούν να εξαλειφθούν πλήρως. Οι χάκερ ανακαλύπτουν και δημοσιεύουν συνεχώς νέα τρωτά σημεία σε προγράμματα εφαρμογών στο Διαδίκτυο. Το πιο σημαντικό εδώ είναι η καλή διαχείριση του συστήματος. Ακολουθούν ορισμένα μέτρα που μπορείτε να λάβετε για να μειώσετε την ευπάθειά σας σε αυτόν τον τύπο επίθεσης:
- να διαβάζει αρχεία καταγραφής λειτουργικού συστήματος και δικτύου και/ή να τα αναλύει χρησιμοποιώντας ειδικές αναλυτικές εφαρμογές·
- Εγγραφείτε στην υπηρεσία αναφοράς ευπάθειας εφαρμογής: Bugtrad (http://www.securityfocus.com).
Ευφυΐα δικτύου
Η ευφυΐα δικτύου αναφέρεται στη συλλογή πληροφοριών δικτύου χρησιμοποιώντας δημόσια διαθέσιμα δεδομένα και εφαρμογές. Όταν προετοιμάζει μια επίθεση εναντίον ενός δικτύου, ένας χάκερ προσπαθεί συνήθως να πάρει όσο το δυνατόν περισσότερες πληροφορίες σχετικά με αυτό. Η αναγνώριση δικτύου πραγματοποιείται με τη μορφή ερωτημάτων DNS, ping και σάρωσης θυρών.
Τα ερωτήματα DNS σάς βοηθούν να κατανοήσετε σε ποιον ανήκει ένας συγκεκριμένος τομέας και ποιες διευθύνσεις έχουν εκχωρηθεί σε αυτόν τον τομέα. Οι διευθύνσεις ping που αποκαλύπτονται από το DNS σάς επιτρέπουν να δείτε ποιοι κεντρικοί υπολογιστές εκτελούνται πραγματικά σε ένα δεδομένο περιβάλλον. Αφού λάβει μια λίστα κεντρικών υπολογιστών, ο χάκερ χρησιμοποιεί εργαλεία σάρωσης θυρών για να συντάξει μια πλήρη λίστα υπηρεσιών που υποστηρίζονται από αυτούς τους κεντρικούς υπολογιστές. Τέλος, ο χάκερ αναλύει τα χαρακτηριστικά των εφαρμογών που εκτελούνται στους κεντρικούς υπολογιστές. Ως αποτέλεσμα, λαμβάνει πληροφορίες που μπορούν να χρησιμοποιηθούν για hacking.
Είναι αδύνατο να απαλλαγούμε εντελώς από την ευφυΐα δικτύου. Εάν, για παράδειγμα, απενεργοποιήσετε το ICMP echo και echo reply σε δρομολογητές edge, θα απαλλαγείτε από τη δοκιμή ping, αλλά χάνετε τα δεδομένα που απαιτούνται για τη διάγνωση αστοχιών δικτύου.
Επιπλέον, μπορείτε να σαρώσετε θύρες χωρίς προκαταρκτική δοκιμή ping - απλώς θα χρειαστεί περισσότερος χρόνος, καθώς θα πρέπει να σαρώσετε ανύπαρκτες διευθύνσεις IP. Τα συστήματα IDS σε επίπεδο δικτύου και κεντρικού υπολογιστή συνήθως κάνουν καλή δουλειά ειδοποιώντας τους διαχειριστές για συνεχή αναγνώριση δικτύου, επιτρέποντάς τους να προετοιμαστούν καλύτερα για μια επερχόμενη επίθεση και να ειδοποιήσουν τον πάροχο υπηρεσιών Διαδικτύου (ISP) στο δίκτυο του οποίου το σύστημα είναι υπερβολικά περίεργο:
- χρήση των πιο πρόσφατων εκδόσεων λειτουργικών συστημάτων και εφαρμογών και των πιο πρόσφατων μονάδων διόρθωσης (patch).
- Εκτός από τη διαχείριση συστήματος, χρησιμοποιήστε συστήματα ανίχνευσης επιθέσεων (IDS) - δύο συμπληρωματικές τεχνολογίες ID:
- Network IDS System (NIDS) παρακολουθεί όλα τα πακέτα που διέρχονται από έναν συγκεκριμένο τομέα. Όταν το σύστημα NIDS βλέπει ένα πακέτο ή μια σειρά πακέτων που ταιριάζουν με την υπογραφή μιας γνωστής ή πιθανής επίθεσης, δημιουργεί συναγερμό και/ή τερματίζει τη συνεδρία.
- Το σύστημα IDS (HIDS) προστατεύει τον κεντρικό υπολογιστή χρησιμοποιώντας πράκτορες λογισμικού. Αυτό το σύστημα καταπολεμά επιθέσεις μόνο εναντίον ενός και μόνο κεντρικού υπολογιστή.
Στην εργασία τους, τα συστήματα IDS χρησιμοποιούν υπογραφές επίθεσης, οι οποίες είναι προφίλ συγκεκριμένων επιθέσεων ή τύπους επιθέσεων. Οι υπογραφές καθορίζουν τις συνθήκες υπό τις οποίες η κυκλοφορία θεωρείται χάκερ. Τα ανάλογα του IDS στον φυσικό κόσμο μπορούν να θεωρηθούν σύστημα προειδοποίησης ή κάμερα παρακολούθησης.
Το μεγαλύτερο μειονέκτημα των IDS είναι η ικανότητά τους να δημιουργούν συναγερμούς. Για να ελαχιστοποιηθεί ο αριθμός των ψευδών συναγερμών και να διασφαλιστεί η σωστή λειτουργία του συστήματος IDS στο δίκτυο, απαιτείται προσεκτική διαμόρφωση του συστήματος.
Κατάχρηση εμπιστοσύνης
Αυστηρά μιλώντας, αυτό το είδος δράσης δεν είναι με την πλήρη έννοια της λέξης επίθεση ή επίθεση. Αντιπροσωπεύει την κακόβουλη εκμετάλλευση των σχέσεων εμπιστοσύνης που υπάρχουν σε ένα δίκτυο. Κλασικό παράδειγμα τέτοιας κατάχρησης είναι η κατάσταση στο περιφερειακό τμήμα του εταιρικού δικτύου.
Αυτό το τμήμα συχνά φιλοξενεί διακομιστές DNS, SMTP και HTTP. Δεδομένου ότι ανήκουν όλοι στο ίδιο τμήμα, η εισβολή οποιουδήποτε από αυτά οδηγεί σε χακάρισμα όλων των άλλων, καθώς αυτοί οι διακομιστές εμπιστεύονται άλλα συστήματα στο δίκτυό τους.
Ένα άλλο παράδειγμα είναι ένα σύστημα εγκατεστημένο στο εξωτερικό του τείχους προστασίας που έχει σχέση εμπιστοσύνης με ένα σύστημα που είναι εγκατεστημένο στο εσωτερικό του τείχους προστασίας. Εάν ένα εξωτερικό σύστημα παραβιαστεί, ο χάκερ μπορεί να χρησιμοποιήσει τη σχέση εμπιστοσύνης για να διεισδύσει στο σύστημα που προστατεύεται από το τείχος προστασίας.
Ο κίνδυνος παραβίασης της εμπιστοσύνης μπορεί να μειωθεί ελέγχοντας πιο αυστηρά τα επίπεδα εμπιστοσύνης στο δίκτυό σας. Τα συστήματα που βρίσκονται εκτός του τείχους προστασίας δεν πρέπει ποτέ να έχουν απόλυτη εμπιστοσύνη από συστήματα που προστατεύονται από το τείχος προστασίας.
Οι σχέσεις εμπιστοσύνης θα πρέπει να περιορίζονται σε συγκεκριμένα πρωτόκολλα και, εάν είναι δυνατόν, να επαληθεύονται από παραμέτρους διαφορετικές από τις διευθύνσεις IP.
Port Forwarding
Η προώθηση θύρας είναι μια μορφή κατάχρησης εμπιστοσύνης στην οποία χρησιμοποιείται ένας παραβιασμένος κεντρικός υπολογιστής για τη διέλευση κίνησης μέσω ενός τείχους προστασίας που διαφορετικά θα απορριφόταν. Ας φανταστούμε ένα τείχος προστασίας με τρεις διεπαφές, καθεμία από τις οποίες συνδέεται με έναν συγκεκριμένο κεντρικό υπολογιστή.
Ένας εξωτερικός κεντρικός υπολογιστής μπορεί να συνδεθεί σε έναν κοινόχρηστο κεντρικό υπολογιστή (DMZ), αλλά όχι σε έναν εγκατεστημένο στο εσωτερικό του τείχους προστασίας. Ένας κοινόχρηστος κεντρικός υπολογιστής μπορεί να συνδεθεί τόσο σε εσωτερικό όσο και σε εξωτερικό κεντρικό υπολογιστή. Εάν ένας χάκερ αναλάβει έναν κοινόχρηστο κεντρικό υπολογιστή, μπορεί να εγκαταστήσει λογισμικό σε αυτόν που ανακατευθύνει την κίνηση από τον εξωτερικό κεντρικό υπολογιστή απευθείας στον εσωτερικό.
Αν και αυτό δεν παραβιάζει κανέναν από τους κανόνες στην οθόνη, ο εξωτερικός κεντρικός υπολογιστής αποκτά άμεση πρόσβαση στον προστατευμένο κεντρικό υπολογιστή ως αποτέλεσμα της ανακατεύθυνσης. Ένα παράδειγμα εφαρμογής που μπορεί να παρέχει τέτοια πρόσβαση είναι το netcat. Περισσότερες πληροφορίες μπορείτε να βρείτε στη διεύθυνση http://www.avian.org.
Ο κύριος τρόπος για την καταπολέμηση της προώθησης θυρών είναι η χρήση μοντέλων ισχυρής εμπιστοσύνης (βλ. προηγούμενη ενότητα). Επιπλέον, ένα κεντρικό σύστημα IDS (HIDS) μπορεί να εμποδίσει έναν χάκερ να εγκαταστήσει το λογισμικό του σε έναν κεντρικό υπολογιστή.
Μη εξουσιοδοτημένη πρόσβαση
Η μη εξουσιοδοτημένη πρόσβαση δεν μπορεί να αναγνωριστεί ως ξεχωριστός τύπος επίθεσης, καθώς οι περισσότερες επιθέσεις δικτύου πραγματοποιούνται ακριβώς για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση. Για να μαντέψει μια σύνδεση Telnet, ένας χάκερ πρέπει πρώτα να λάβει μια υπόδειξη Telnet στο σύστημά του. Μετά τη σύνδεση στη θύρα Telnet, εμφανίζεται στην οθόνη το μήνυμα "απαιτείται εξουσιοδότηση για τη χρήση αυτού του πόρου" (" Απαιτείται εξουσιοδότηση για τη χρήση αυτού του πόρου.»).
Εάν ο χάκερ συνεχίσει να επιχειρεί πρόσβαση μετά από αυτό, θα θεωρηθεί μη εξουσιοδοτημένος. Η πηγή τέτοιων επιθέσεων μπορεί να είναι είτε εντός του δικτύου είτε εκτός.
Οι μέθοδοι για την καταπολέμηση της μη εξουσιοδοτημένης πρόσβασης είναι αρκετά απλές. Το κύριο πράγμα εδώ είναι να μειωθεί ή να εξαλειφθεί εντελώς η δυνατότητα του χάκερ να αποκτήσει πρόσβαση στο σύστημα χρησιμοποιώντας ένα μη εξουσιοδοτημένο πρωτόκολλο.
Για παράδειγμα, εξετάστε το ενδεχόμενο να αποτρέψετε την πρόσβαση των χάκερ στη θύρα Telnet σε έναν διακομιστή που παρέχει υπηρεσίες Web σε εξωτερικούς χρήστες. Χωρίς πρόσβαση σε αυτή τη θύρα, ένας χάκερ δεν θα μπορεί να της επιτεθεί. Όσο για το τείχος προστασίας, το κύριο καθήκον του είναι να αποτρέπει τις απλούστερες προσπάθειες μη εξουσιοδοτημένης πρόσβασης.
Ιοί και εφαρμογές δούρειου ίππου
Οι σταθμοί εργασίας τελικού χρήστη είναι πολύ ευάλωτοι σε ιούς και δούρειους ίππους. Οι ιοί είναι κακόβουλα προγράμματα που εισάγονται σε άλλα προγράμματα για να εκτελέσουν μια συγκεκριμένη ανεπιθύμητη λειτουργία στο σταθμό εργασίας του τελικού χρήστη. Ένα παράδειγμα είναι ένας ιός που είναι γραμμένος στο αρχείο command.com (ο κύριος διερμηνέας των συστημάτων Windows) και διαγράφει άλλα αρχεία και επίσης μολύνει όλες τις άλλες εκδόσεις του command.com που βρίσκει.
Ο Δούρειος ίππος δεν είναι ένθετο λογισμικού, αλλά ένα πραγματικό πρόγραμμα που με την πρώτη ματιά φαίνεται να είναι μια χρήσιμη εφαρμογή, αλλά στην πραγματικότητα παίζει επιβλαβή ρόλο. Ένα παράδειγμα τυπικού δούρειου ίππου είναι ένα πρόγραμμα που μοιάζει με απλό παιχνίδι για το σταθμό εργασίας του χρήστη.
Ωστόσο, ενώ ο χρήστης παίζει το παιχνίδι, το πρόγραμμα στέλνει ένα αντίγραφο του εαυτού του μέσω email σε κάθε συνδρομητή στο βιβλίο διευθύνσεων αυτού του χρήστη. Όλοι οι συνδρομητές λαμβάνουν το παιχνίδι μέσω ταχυδρομείου, προκαλώντας την περαιτέρω διανομή του.
Η καταπολέμηση των ιών και των δούρειων ίππων πραγματοποιείται με τη βοήθεια αποτελεσματικού λογισμικού προστασίας από ιούς που λειτουργεί σε επίπεδο χρήστη και, πιθανώς, σε επίπεδο δικτύου. Τα προϊόντα προστασίας από ιούς εντοπίζουν τους περισσότερους ιούς και δούρειους ίππους και σταματούν την εξάπλωσή τους.
Η λήψη των πιο πρόσφατων πληροφοριών σχετικά με τους ιούς θα σας βοηθήσει να τους καταπολεμήσετε πιο αποτελεσματικά. Καθώς εμφανίζονται νέοι ιοί και δούρειοι ίπποι, οι επιχειρήσεις πρέπει να εγκαταστήσουν νέες εκδόσεις εργαλείων και εφαρμογών προστασίας από ιούς.
Κατά τη σύνταξη αυτού του άρθρου, χρησιμοποιήθηκαν υλικά που παρέχονται από τη Cisco Systems.
Καλό κακό
Τα οποία αναγκάζονται να περιμένουν τη δημιουργία ενός φυσικού αρχείου στον υπολογιστή του χρήστη, η προστασία δικτύου αρχίζει να αναλύει τις εισερχόμενες ροές δεδομένων που εισέρχονται στον υπολογιστή του χρήστη μέσω του δικτύου και αποκλείει τις απειλές πριν εισέλθουν στο σύστημα.
Οι κύριοι τομείς προστασίας δικτύου που παρέχονται από τις τεχνολογίες της Symantec είναι:
Drive-by λήψεις, διαδικτυακές επιθέσεις.
- Επιθέσεις «Social Engineering»: FakeAV (ψεύτικα antivirus) και κωδικοποιητές.
- Επιθέσεις μέσω κοινωνικών δικτύων όπως το Facebook.
- Ανίχνευση κακόβουλου λογισμικού, rootkits και συστημάτων που έχουν μολυνθεί με bots.
- Προστασία από προηγμένες απειλές.
- Απειλές μηδενικής ημέρας.
- Προστασία από ευπάθειες λογισμικού που δεν έχουν επιδιορθωθεί.
- Προστασία από κακόβουλους τομείς και διευθύνσεις IP.
Τεχνολογίες Προστασίας Δικτύων
Το επίπεδο «Προστασία Δικτύου» περιλαμβάνει 3 διαφορετικές τεχνολογίες.
Λύση αποτροπής εισβολής δικτύου (Network IPS)
Η τεχνολογία IPS δικτύου κατανοεί και σαρώνει πάνω από 200 διαφορετικά πρωτόκολλα. Διεισδύει έξυπνα και με ακρίβεια σε δυαδικά πρωτόκολλα και πρωτόκολλα δικτύου, αναζητώντας σημάδια κακόβουλης κυκλοφορίας στην πορεία. Αυτή η ευφυΐα επιτρέπει την ακριβέστερη σάρωση δικτύου, ενώ εξακολουθεί να παρέχει ισχυρή προστασία. Στην «καρδιά» του βρίσκεται μια μηχανή αποκλεισμού εκμετάλλευσης που παρέχει ανοιχτά τρωτά σημεία με σχεδόν αδιαπέραστη προστασία. Ένα μοναδικό χαρακτηριστικό του Symantec IPS είναι ότι αυτό το στοιχείο δεν απαιτεί καμία ρύθμιση παραμέτρων. Όλες οι λειτουργίες του λειτουργούν, όπως λένε, "out of the box". Κάθε καταναλωτικό προϊόν Norton και κάθε προϊόν Symantec Endpoint Protection έκδοση 12.1 και νεότερη, έχει αυτή την κρίσιμη τεχνολογία ενεργοποιημένη από προεπιλογή.
Προστασία προγράμματος περιήγησης
Αυτή η μηχανή ασφαλείας βρίσκεται μέσα στο πρόγραμμα περιήγησης. Είναι σε θέση να ανιχνεύει τις πιο σύνθετες απειλές που ούτε το παραδοσιακό πρόγραμμα προστασίας από ιούς ούτε το δίκτυο IPS μπορούν να ανιχνεύσουν. Σήμερα, πολλές επιθέσεις δικτύου χρησιμοποιούν τεχνικές συσκότισης για να αποφύγουν τον εντοπισμό. Επειδή η Προστασία προγράμματος περιήγησης εκτελείται μέσα στο πρόγραμμα περιήγησης, είναι σε θέση να μελετήσει τον κώδικα που δεν είναι ακόμη κρυμμένος (συσκοτισμένος) ενώ εκτελείται. Αυτό σας επιτρέπει να ανιχνεύσετε και να αποκλείσετε μια επίθεση εάν χάθηκε σε χαμηλότερα επίπεδα προστασίας του προγράμματος.
Προστασία μη εξουσιοδοτημένης λήψης (UXP)
Εντός του επιπέδου άμυνας δικτύου, η τελευταία γραμμή άμυνας βοηθά στην κάλυψη και τον μετριασμό των επιπτώσεων άγνωστων και μη επιδιορθωμένων τρωτών σημείων, χωρίς τη χρήση υπογραφών. Αυτό παρέχει ένα επιπλέον επίπεδο προστασίας από επιθέσεις Zero Day.
Εστιάζοντας στα προβλήματα
Σε συνεργασία, οι τεχνολογίες ασφάλειας δικτύου επιλύουν τα ακόλουθα προβλήματα.
Drive-by λήψεις και κιτ διαδικτυακών επιθέσεων
Χρησιμοποιώντας τεχνολογία δικτύου IPS, Προστασία προγράμματος περιήγησης και UXP, οι τεχνολογίες προστασίας δικτύου της Symantec αποκλείουν τις λήψεις Drive-by και ουσιαστικά εμποδίζουν το κακόβουλο λογισμικό να φτάσει ακόμη και στο σύστημα του χρήστη. Εφαρμόζονται διάφορες προληπτικές μέθοδοι που περιλαμβάνουν τη χρήση των ίδιων τεχνολογιών, συμπεριλαμβανομένης της τεχνολογίας Generic Exploit Blocking και των εργαλείων ανίχνευσης επιθέσεων στο διαδίκτυο. Ένα κοινό εργαλείο ανίχνευσης διαδικτυακών επιθέσεων αναλύει τα χαρακτηριστικά μιας κοινής διαδικτυακής επίθεσης, ανεξάρτητα από τη συγκεκριμένη ευπάθεια που στοχεύει η επίθεση. Αυτό σας επιτρέπει να παρέχετε πρόσθετη προστασία για νέα και άγνωστα τρωτά σημεία. Το καλύτερο πράγμα σχετικά με αυτόν τον τύπο προστασίας είναι ότι εάν ένα κακόβουλο αρχείο μολύνει "σιωπηλά" ένα σύστημα, θα εξακολουθούσε να διακόπτεται προληπτικά και να αφαιρείται από το σύστημα: αυτή είναι ακριβώς η συμπεριφορά που συνήθως χάνουν τα παραδοσιακά προϊόντα προστασίας από ιούς. Ωστόσο, η Symantec συνεχίζει να αποκλείει δεκάδες εκατομμύρια παραλλαγές κακόβουλου λογισμικού που συνήθως δεν μπορούν να εντοπιστούν με άλλα μέσα.
Επιθέσεις Κοινωνικής Μηχανικής
Επειδή η τεχνολογία της Symantec παρακολουθεί την κυκλοφορία του δικτύου και του προγράμματος περιήγησης καθώς ταξιδεύει, εντοπίζει επιθέσεις «Κοινωνικής Μηχανικής», όπως FakeAV ή πλαστού κωδικοποιητές. Οι τεχνολογίες έχουν σχεδιαστεί για να εμποδίζουν τέτοιες επιθέσεις πριν εμφανιστούν στην οθόνη του χρήστη. Οι περισσότερες άλλες ανταγωνιστικές λύσεις δεν περιλαμβάνουν αυτήν την ισχυρή δυνατότητα.
Η Symantec μπλοκάρει εκατοντάδες εκατομμύρια από αυτούς τους τύπους επιθέσεων με την ηλεκτρονική τεχνολογία προστασίας από απειλές.
Επιθέσεις που στοχεύουν εφαρμογές κοινωνικής δικτύωσης
Οι εφαρμογές μέσων κοινωνικής δικτύωσης έχουν γίνει πρόσφατα ευρέως δημοφιλείς καθώς σας επιτρέπουν να μοιράζεστε άμεσα διάφορα μηνύματα, ενδιαφέροντα βίντεο και πληροφορίες με χιλιάδες φίλους και χρήστες. Η ευρεία διανομή και οι δυνατότητες τέτοιων προγραμμάτων τα καθιστούν τον Νο. 1 στόχο για τους χάκερ. Μερικά κοινά κόλπα χάκερ περιλαμβάνουν τη δημιουργία ψεύτικων λογαριασμών και την αποστολή ανεπιθύμητων μηνυμάτων.
Η τεχνολογία IPS της Symantec μπορεί να προστατεύσει από αυτούς τους τύπους μεθόδων εξαπάτησης, συχνά αποτρέποντάς τις πριν καν ο χρήστης κάνει κλικ πάνω τους. Η Symantec σταματά τα δόλια και πλαστά URL, εφαρμογές και άλλες μεθόδους εξαπάτησης με την ηλεκτρονική τεχνολογία προστασίας από απειλές.
Ανίχνευση κακόβουλου λογισμικού, rootkits και συστημάτων που έχουν μολυνθεί από bot
Δεν θα ήταν ωραίο να γνωρίζουμε ακριβώς πού στο δίκτυο βρίσκεται ο μολυσμένος υπολογιστής; Οι λύσεις IPS της Symantec παρέχουν αυτή τη δυνατότητα, συμπεριλαμβανομένης της ανίχνευσης και ανάκτησης απειλών που μπορεί να έχουν παρακάμψει άλλα επίπεδα προστασίας. Οι λύσεις της Symantec εντοπίζουν κακόβουλο λογισμικό και ρομπότ που προσπαθούν να δημιουργήσουν αυτόματα τηλεφωνητές ή να πραγματοποιήσουν λήψη «ενημερώσεων» για να αυξήσουν τη δραστηριότητά τους στο σύστημα. Αυτό επιτρέπει στους διαχειριστές IT, οι οποίοι έχουν μια σαφή λίστα συστημάτων προς επανεξέταση, να έχουν διαβεβαίωση ότι η επιχείρησή τους είναι ασφαλής. Οι πολυμορφικές και σύνθετες stealth απειλές που χρησιμοποιούν τεχνικές rootkit όπως το Tidserv, το ZeroAccess, το Koobface και το Zbot μπορούν να σταματήσουν και να αφαιρεθούν χρησιμοποιώντας αυτήν τη μέθοδο.
Προστασία από συγκεχυμένες απειλές
Οι σημερινές διαδικτυακές επιθέσεις χρησιμοποιούν πολύπλοκες τεχνικές για να αυξήσουν την πολυπλοκότητα των επιθέσεων τους. Η Προστασία προγράμματος περιήγησης της Symantec βρίσκεται μέσα στο πρόγραμμα περιήγησης και μπορεί να ανιχνεύσει πολύ περίπλοκες απειλές που συχνά δεν μπορούν να εντοπίσουν οι παραδοσιακές μέθοδοι.
Απειλές μηδενικής ημέρας και μη επιδιορθωμένα τρωτά σημεία
Μία από τις προηγούμενες προσθήκες ασφαλείας που έχει προσθέσει η εταιρεία είναι ένα επιπλέον επίπεδο προστασίας από απειλές μηδενικής ημέρας και μη επιδιορθωμένα τρωτά σημεία. Χρησιμοποιώντας προστασία χωρίς υπογραφή, το πρόγραμμα παρεμποδίζει τις κλήσεις API συστήματος και προστατεύει από λήψεις κακόβουλου λογισμικού. Αυτή η τεχνολογία ονομάζεται Un-Authorized Download Protection (UXP). Είναι η τελευταία γραμμή υποστήριξης εντός του οικοσυστήματος προστασίας από απειλές δικτύου. Αυτό επιτρέπει στο προϊόν να «καλύπτει» άγνωστα και μη επιδιορθωμένα τρωτά σημεία χωρίς τη χρήση υπογραφών. Αυτή η τεχνολογία είναι ενεργοποιημένη από προεπιλογή και έχει βρεθεί σε κάθε προϊόν που κυκλοφόρησε από το ντεμπούτο του Norton 2010.
Προστασία από ευπάθειες λογισμικού που δεν έχουν επιδιορθωθεί
Τα κακόβουλα προγράμματα εγκαθίστανται συχνά εν αγνοία του χρήστη, χρησιμοποιώντας τρωτά σημεία στο λογισμικό. Η ασφάλεια δικτύου Symantec παρέχει ένα πρόσθετο επίπεδο προστασίας που ονομάζεται Generic Exploit Blocking (GEB). Ανεξάρτητα από το αν έχουν εγκατασταθεί ή όχι οι πιο πρόσφατες ενημερώσεις, η GEB «ως επί το πλείστον» προστατεύει τα υποκείμενα τρωτά σημεία από την εκμετάλλευση. Τα τρωτά σημεία στα Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, στοιχεία ελέγχου ActiveX ή QuickTime είναι πλέον πανταχού παρόντα. Η Generic Exploit Protection δημιουργήθηκε με «αντίστροφη μηχανική» με τον τρόπο που θα μπορούσε να γίνει εκμετάλλευση της ευπάθειας στο δίκτυο, παρέχοντας παράλληλα μια ειδική ενημέρωση κώδικα σε επίπεδο δικτύου. Ένα μόνο GEB, ή υπογραφή ευπάθειας, μπορεί να παρέχει προστασία από χιλιάδες παραλλαγές κακόβουλου λογισμικού, νέες και άγνωστες.
Κακόβουλες διευθύνσεις IP και αποκλεισμός τομέα
Η προστασία δικτύου της Symantec περιλαμβάνει επίσης τη δυνατότητα αποκλεισμού κακόβουλων τομέων και διευθύνσεων IP, ενώ ταυτόχρονα διακόπτεται το κακόβουλο λογισμικό και η κυκλοφορία από γνωστούς κακόβουλους ιστότοπους. Μέσω της αυστηρής ανάλυσης και ενημέρωσης των βάσεων δεδομένων ιστότοπων του STAR, η Symantec παρέχει προστασία σε πραγματικό χρόνο από διαρκώς μεταβαλλόμενες απειλές.
Βελτιωμένη αντίσταση αποφυγής
Έχει προστεθεί υποστήριξη για πρόσθετες κωδικοποιήσεις για τη βελτίωση της αποτελεσματικότητας της ανίχνευσης επιθέσεων χρησιμοποιώντας τεχνικές κρυπτογράφησης όπως το base64 και το gzip.
Ανίχνευση ελέγχου δικτύου για την επιβολή πολιτικών χρήσης και τον εντοπισμό διαρροής δεδομένων
Το IPS δικτύου μπορεί να χρησιμοποιηθεί για τον εντοπισμό εφαρμογών και εργαλείων που ενδέχεται να παραβιάζουν τις εταιρικές πολιτικές χρήσης ή για την αποτροπή διαρροής δεδομένων σε όλο το δίκτυο. Είναι δυνατός ο εντοπισμός, η προειδοποίηση ή η αποτροπή επισκεψιμότητας όπως IM, P2P, μέσα κοινωνικής δικτύωσης ή άλλοι «ενδιαφέροντες» τύποι επισκεψιμότητας.
Πρωτόκολλο επικοινωνίας STAR Intelligence
Η τεχνολογία ασφάλειας δικτύου δεν λειτουργεί από μόνη της. Ο κινητήρας επικοινωνεί με άλλες υπηρεσίες ασφαλείας χρησιμοποιώντας το πρωτόκολλο STAR Intelligence Communication (STAR ICB). Ο κινητήρας Network IPS συνδέεται με τον κινητήρα Symantec Sonar και, στη συνέχεια, με τον κινητήρα Insight Reputation. Αυτό σας επιτρέπει να παρέχετε πιο ενημερωτική και ακριβή προστασία.
Στο επόμενο άρθρο θα δούμε το επίπεδο του Αναλυτή Συμπεριφοράς.
Βασισμένο σε υλικά της Symantec
Βρήκατε τυπογραφικό λάθος; Επισημάνετε και πατήστε Ctrl + Enter
