Като цяло всяка мрежова атака може да бъде разделена на 5 етапа (Таблица 3). В реална ситуация някои стъпки могат да бъдат пропуснати.
Таблица 3. Основни класове мрежови атаки
|
Клас мрежова атака |
Описание на класа |
|
1. Изследване |
Получаване на обща информация за компютърна система(KS) |
|
1.1 Социално инженерство |
Получаване на информация чрез учтиво втриване в доверие по телефона, електронна пощаи т.н. |
|
1.2 Директна инвазия |
Получаване на информация чрез физически достъп до мрежово оборудване |
|
1.3 Изхвърляне на отломки |
Извличане на информация от кошчета за боклук или архиви |
|
1.4 Търсене в WEB |
Получаване на информация от Интернет чрез обществени търсачки |
|
1.5 Проучване на WHOIS |
Получаване на информация от регистрационни данни за собствениците на имена на домейни, IP адреси и автономни системи |
|
1.6 Изследване на DNS зони |
Получаване на информация чрез използване на услуга за име на домейн |
|
2. Сканиране |
Получаване на информация за инфраструктурата и вътрешната структура на КС |
|
2.1 Търсене активни устройства |
Получаване на информация за активни устройства на CS |
|
2.2 Проследяване на маршрути |
Дефиниция на топологията на CS |
|
2.3 Сканиране на портове |
Получаване на информация за активни услугиработещи в COP |
|
3. Получаване на достъп |
Получаване на привилегировани права за управление на KS възли |
|
3.1 Препълване на стека |
Произволно изпълнение на код в резултат на причинена от нападателя грешка в софтуер |
|
3.2 Атака на пароли |
Избор на пароли от списък със стандартни или с помощта на специално генериран речник, прихващане на пароли |
|
3.3 Атаки върху WEB - приложения |
Получаване на достъп в резултат на използване на уязвимости в отворени WEB приложения на CS |
|
3.4 Смъркане |
Получаване на достъп чрез пасивно (подслушване) и активно (подмяна на адресати) прихващане на CS трафик |
|
3.5 Прихващане на комуникационна сесия |
Използване на получените права за постигане на целите на хакването |
|
4.1 Поддържане на достъп |
Инсталиране на системи за дистанционно управление |
|
4.2 DOS атаки |
Деактивиране на устройства и отделни CS услуги |
|
4.3 Работа с поверителна информация |
Прихващане, копиране и/или унищожаване на информация |
|
5. Покриване на следи |
Прикриване на факта на проникване в CS от защитни системи |
|
5.1 Изтриване на системни регистрационни файлове |
Изтриване на данни от архиви на приложения и услуги на KS |
|
5.2 Скриване на признаци за присъствие в мрежата |
Тунелиране в рамките на стандартни протоколи (HTTP, ICMP, TCP заглавки и др.) |
Нека разгледаме основните методи и средства за защита срещу изброените мрежови заплахи.
Социално инженерство.Най-добрата защита срещу социалното инженерство е информираността на потребителите. Необходимо е да се информират всички служители за съществуването на социално инженерство и ясно да се дефинират онези видове информация, които не могат да бъдат разкривани по телефона под никакъв предлог. Ако организацията предоставя опции за предоставяне на каквато и да е информация по телефона (телефонни номера, идентификационни данни и т.н.), тогава тези процедури трябва да бъдат ясно регламентирани, например чрез използване на методи за проверка на самоличността на обаждащия се.
Директна инвазия:
* контрол на достъпа (системи за контрол на достъпа, дневник на посетителите, значки и др.);
* физическа охрана на оборудването (механични, електронни брави);
* заключване на компютър, скрийнсейвъри;
* криптиране на файловата система.
Събиране на боклук.Добре познатият шредер за хартия е най-добрата защита срещу тези, които ровят из кофите за боклук. Служителите трябва да имат безпрепятствен достъп до такива машини, за да могат да унищожат всякаква ценна информация. Като алтернатива, всеки потребител получава отделен кош за отпадъци, съдържащ важна информация, откъдето документите отиват в шредера всяка вечер. Служителите трябва да бъдат ясно инструктирани как да боравят с поверителна информация.
Търсете в WEB.Основният метод за защита е неразкриването на информация. Необходимо е да се направи списък с информация, необходима и достатъчна, за да бъде публикувана в публични ресурси в Интернет. Излишните данни за компанията могат да "помагат" на нападателя да реализира намеренията си. Служителите трябва да носят отговорност за разпространението на поверителна информация. Публикуването трябва да се проверява периодично. лична информация сами по себе сиили с участието на трети страни.
Изследване на WHOIS.Не съществува общи начинизащита от получаване на регистрационни данни от нарушител. Има препоръки, според които информацията в съответните бази данни трябва да бъде максимално точна и правдоподобна. Това позволява на администраторите на различни компании да комуникират безпроблемно помежду си и да улесняват търсенето на натрапници.
Изследване на DNS зони.На първо място, трябва да проверите дали няма изтичане на данни на DNS сървъра, което възниква поради наличието на ненужна информация там. Тази информация може да бъде имена, съдържащи имена на операционни системи, записи като HINFO или TXT. Второ, трябва правилно да конфигурирате DNS сървъра, за да ограничите трансферите на зони. Трето, необходимо е да конфигурирате граничния рутер така, че само резервни сървъри DNS, синхронизиране с централен сървър. Трябва също да използвате разделянето на външния и вътрешния DNS сървър. Вътрешният сървър е конфигуриран да разрешава само имена на вътрешна мрежа, а правилата за пренасочване се използват за разрешаване на имена на външни мрежи. Тоест външният DNS сървър не трябва да "знае" нищо за вътрешната мрежа.
Търсете активни устройства и проследявайте маршрути.Методът на защита е да се инсталират и конфигурират защитни стени за филтриране на пакети по такъв начин, че да филтрират заявки от програми, използвани от нападател. Например, блокирането на ICMP заявки от ненадеждни източници ще направи проследяването много трудно.
Сканиране на портове.Първото и най-важно нещо е да затворите всички неизползвани портове. Например, ако не използвате TELNET, тогава трябва да затворите съответния порт. При разгръщане нова система, трябва предварително да разберете портовете, които използва, и да ги отворите според нуждите. В особено важни системипрепоръчва се премахване на програми, съответстващи на ненужни услуги. За най-добра системна настройка се счита, че броят на инсталираните услуги и инструменти е минимален. Второ, необходимо е самостоятелно да тествате собствената си система за проникване, като по този начин предопределите действията на натрапника. За да се предпазите от по-сложни скенери, се препоръчва използването на филтри за пакети със състояние. Тези филтри проверяват протоколни пакети и пропускат само тези, които съответстват на установените сесии.
Общите препоръки за борба с обхождането са навременно прилагане на пакети за сигурност, системи за откриване на проникване (IDS), системи за предотвратяване на проникване (IPS) за мрежата и за хостове и тяхното навременно актуализиране.
Препълване на стека.Методи за защита срещу от този типатаките могат да бъдат разделени на две категории.
- 1. Методи, използвани от системните администратори и персонала по сигурността по време на експлоатацията, конфигурирането и поддръжката на системите: навременно прилагане на корекции към системите, проследяване на актуализации инсталирани продукти, сервизни пакети за тях, премахване ненужни програмии услуги, контрол и филтриране на входящ/изходящ трафик, конфигуриране на неизпълним стек. Много IDS са способни да откриват атаки за препълване на памет, базирани на подпис.
- 2. Методи, използвани от разработчиците на софтуер в процеса на създаване на програми: елиминиране на програмни грешки чрез проверка на пространството на наличната памет, количеството входна информация, преминаваща през приложението. Въздържайте се от използване на проблемни функции от гледна точка на сигурността; компилиране на програми със специални средства.
Горните методи помагат да се сведе до минимум броят на атаките за препълване на стека, но не гарантират пълна безопасностсистеми.
Атаки с пароли.На първо място, силни пароли. Тези пароли са дълги най-малко 9 знака и съдържат Специални символи... Следва редовната смяна на паролите. За да работи правилно, се препоръчва да разработите специфична за организацията политика за пароли и да съобщите съдържанието й на всички потребители. Няма да е излишно да предоставите на служителите конкретни препоръки за създаване на пароли. Второ, препоръчително е да се използват системи с вградена проверка за "слабост" на паролите. Ако няма такава проверка, тогава трябва да се разгърне допълнителен софтуер, който има подобна функционалност. Повечето ефективен метод- отхвърляне на пароли и използване на системи за удостоверяване (смарт карти и др.). Препоръчително е редовно да тествате собствените си пароли. Добра практика е да се защитят хеширани файлове с пароли, както и техните сенчести копия.
Атаки срещу WEB-приложения.За да се предпазите от отвличане на акаунт, е необходимо да се покаже същата грешка на екрана, ако потребителското име или паролата са въведени неправилно. Това ще затрудни нападателят да наложи вашата ID или парола. Най-добрата защита срещу атаки за проследяване на връзката е хеширането предавана информацияза връзка, динамична промяна на идентификатора на сесията, край на неактивна сесия. Най-опасните атаки са SQL инжектиране в приложение. Защитата срещу тях е разработването на WEB-приложения по такъв начин, че да могат внимателно да филтрират данните, посочени от потребителя. Приложението не трябва да се доверява сляпо на въведената информация, тъй като може да съдържа знаци, които могат да се използват за модифициране на SQL команди. Приложението трябва да премахне специалните символи, преди да обработи заявката на потребителя.
Трябва да се отбележи, че днес активно се развива посоката WAF (Web Application Firewall) - защитна стена на ниво приложение, която предоставя изчерпателни методи за защита на WEB-ресурси. За съжаление, поради високата си цена, тези решения са достъпни предимно само за големи компании.
Смъркане.Първият е криптиране на данни, предавани по мрежата. За това се използват протоколи - HTTPS, SSH, PGP, IPSEC. Второто е внимателното боравене със сертификатите за сигурност, игнорирането на съмнителните сертификати. Използването на съвременни превключватели, които ви позволяват да конфигурирате MAC филтриране на портове, внедрява статична ARP таблица. Използвайте VLAN.
IP спуфинг. Тази заплахамогат да бъдат сведени до минимум чрез следните мерки.
- 1. Контрол на достъпа. На границата на мрежата са инсталирани филтри за пакети, за да филтрират целия трафик във външната мрежа, където адресът на източника в пакетите съдържа един от адресите на вътрешната мрежа.
- 2. Филтриране на RFC2827. Той намалява изходящия трафик във вашата вътрешна мрежа, където на нито един от IP адресите на вашата организация не е присвоен адресът на източника.
- 3. Изпълнение допълнителни видовеудостоверяването (двуфакторно) и криптографското криптиране правят подобни атаки напълно неефективни.
Прихващане на комуникационна сесия.Този тип атаки може да се бори ефективно само с помощта на криптография. Това може да бъде SSL-протокол, VPN-мрежи и т.н. За най-критичните системи е препоръчително да се използва криптиране и във вътрешни мрежи. Нападател, който прихване трафика на криптирана сесия, няма да може да получи ценна информация от нея.
DOS атаки.За да опишем средствата за защита срещу DOS атаки, нека разгледаме тяхната класификация. Тези атаки обикновено попадат в две категории: прекратяване на услугата и изчерпване на ресурсите (Таблица 5). Прекратяване на услугите - повреда или изключване на конкретен сървър, използван в мрежата. Изчерпване на ресурсите – загуба на компютърни или мрежови ресурси, за да се попречи на потребителите да получат атакуваната услуга. И двата вида атаки могат да се извършват както локално, така и отдалечено (през мрежата).
Защита срещу прекратяване на локални услуги: актуални пачове за сигурност за локални системи, редовно коригиране на грешки, диференциране на правата за достъп, прилагане на програми за проверка на целостта на файловете.
Защита срещу изчерпване на местните ресурси: прилагане на принципа на най-малко привилегии при предоставяне на права за достъп, увеличаване системни ресурси(памет, скорост на процесора, честотна лента на комуникационните канали и др.), използването на IDS.
Защита срещу дистанционно прекратяване на услугите: корекция, бърза реакция.
Най-добрата защита срещу изчерпване на ресурсите от разстояние е бързият отговор на атака. Съвременните IDS системи и сътрудничеството с доставчик могат да помогнат за това. Както в предишните параграфи, системите трябва да се актуализират и коригират своевременно. Използвайте функции против подправяне. Ограничете количеството трафик от доставчика. Най-критичните системи изискват адекватна честотна лента и излишни връзки.
Поддържане на достъп. Вируси и троянски коне.Най-добрата защита е ефективният антивирусен софтуер (софтуер), който работи както на ниво потребител, така и на ниво мрежа. За да се гарантира високо ниво на сигурност срещу тези заплахи, са необходими редовни актуализации на антивирусен софтуер и сигнатури на известни вируси. Втората стъпка е получаването реални актуализацииоперационни системи, задаващи политики за сигурност на приложенията в съответствие с настоящите препоръки на техните разработчици. Необходимо е да се обучават потребителите в уменията за "безопасна" работа в Интернет и с електронна поща. Защитата срещу "ROOTKIT" се осигурява от политики за контрол на достъпа, антивирусен софтуер, използване на подправи и системи за откриване на проникване.
Прикриване на следи.След атака нападателят обикновено се опитва да избегне откриването от администраторите по сигурността. За тези цели той променя или изтрива лог файловете, съхраняващи историята на действията на нарушителя. Създаване ефективна защита, което не позволява на нападателя да променя регистрационните файлове, е съществено условиесигурност. Количеството усилия, необходими за защита на регистрационната информация на дадена система, зависи от нейната стойност. Първата стъпка за гарантиране на целостта и полезността на регистрационните файлове е да се даде възможност за регистрация на критични системи. За да се избегне ситуация, в която в случай на непреодолима сила да се окаже, че логовете са деактивирани, е необходимо да се създаде политика за сигурност, в която да се регулират процедурите за регистриране. Препоръчваме ви редовно да проверявате системите си, за да сте сигурни, че отговарят на тази политика. Друга необходима мярка за защита на регистрационните файлове е диференцирането на правата за достъп до тези файлове. Ефективно приеманезащитата на регистрационната информация е инсталирането на специален сървър за регистрация на събития, осигуряващ подходящо ниво на сигурност. Добри са и такива методи за защита като криптиране на регистрационни файлове и разрешаване на запис само до края на файла. Използване на IDS системи. Можете да защитите от тунелиране на две места: на целевия компютър и в мрежата. На целевия компютър защитата се осигурява от права за достъп, антивирусен софтуер, сигурна конфигурация и инсталиране на актуализации. На мрежово ниво тунелирането може да бъде открито от системи за откриване на проникване.
Основните методи за защита срещу мрежови атаки бяха изброени по-горе. На тяхна основа се изграждат комплексни решения, които могат да комбинират редица функции за защита на информацията и да се използват в специфичен модул от мрежовата инфраструктура.
Дълго време спокойствието на жителите на градовете се наблюдаваше от охрана и стражи, които в случай на извънредна ситуация биеха тревога. Във виртуалния свят тази задача е поверена системи за откриване (отблъскване) на атаки, или СОА (Система за откриване на проникване - IDS). Първите системи за откриване на атаки се появиха отдавна, началото на тяхното развитие е свързано с публикуването през 1980 г. на статията „Наблюдение и наблюдение на заплахите за компютърна сигурност“ от Джон Андерсън. С него започва развитието на системите за откриване на атаки, въпреки че те започват да се използват активно по-късно - около началото на 90-те години, след осъзнаване на опасностите от виртуалния свят.
Има известно объркване в руското име на такива системи: буквално Система за откриване на проникване се превежда като "система за откриване на проникване" и се използва в много източници. Последицата от атака обаче не е задължително да бъде проникване, въпреки че самият факт на атаката също ще бъде записан от такава система. По-правилно е да се използва думата "атака".
Традиционно SOA се разделят на системи, които защитават отделен възел(IDS на хоста) и мрежа(Network IDS), които контролират мрежови пакети. Съществуват и хибридни SOA, които съчетават възможностите на двете системи. На определен етап разработчиците искаха не само да открият атаки, но и да ги спрат. Така се появиха системите за спиране на атаки. Всяка SOA се състои от сензори, които събират информация, и механизъм за анализ и вземане на решения. Сензорите анализират системните регистрационни файлове, за да открият подозрителни събития, системни повиквания, поведението на приложението, целостта на файла и мрежовите пакети. Като критерий се използват набори от подписи, въпреки че инструментите, които реагират на аномалии, стават все по-популярни.
Днес пакетът антивирусна - защитна стена вече не е достатъчен за пълна защита, така че разработчиците предлагат SOA и за домашна употреба. За да не се плаши потребителят с новите имена, при описанието на продукта се използват термини като „цялостно решение за сигурност“ или „разширена защитна стена“. Пример е Защитна стена на Outpost Firewall Pro, разгледан в предишната глава. Той съдържа отделен модул, който осигурява защита срещу мрежови атаки. В Глава 3 научихте за системите за компютърна сигурност, които могат да бъдат класифицирани като SOA, които защитават отделен възел.
На домашен компютър функционалността на SOA, която се използва за защита на корпоративни мрежи и сървъри и консумира голямо количество ресурси, не е необходима. За настолни системи ние предлагаме интегрирани решения, които включват антивирусна, защитна стена и SOA.
5.2. Защита на вашия компютър с Kaspersky Internet Security
По-рано, за да се предпази от хакери, Kaspersky Lab предлагаше защитната стена на Kaspersky Anti-Hacker, чиято задача беше да контролира входящите и изходящите връзки и да потиска всякакви враждебни действия, преди да бъдат нанесени вреда. С това приложение беше възможно да се скрие компютър, работещ в мрежата. Kaspersky Anti-Hacker все още се продава в онлайн магазините, но към момента на писане на тази статия споменаването за него изчезна от уебсайта на Kaspersky Lab. Вместо това се появи цялостно решение, предназначено за защита срещу големи заплахи (вируси, хакери, спам и шпионски софтуер) - Kaspersky интернет сигурност.
Тази програма е в състояние да защити напълно домашен компютър... От една страна, цената на един такъв продукт е по-малка от общата цена на всички решения, включени в него. Освен това интеграцията намалява потенциала за системни конфликти. От друга страна, ако вирус или шпионски софтуер попадне на вашия компютър, той може напълно да лиши компютъра ви от защита с едно действие. Това не е лесно, но не бива да се изключва вероятността от подобно събитие.
Инсталиране на Kaspersky Internet Security
Повечето от етапите Инсталации на Kaspersky Internet Security е същото като инсталирането на Kaspersky Anti-Virus. Има обаче разлики поради характеристиките на този продукт. Първоначално инсталаторът ще се опита да се свърже със сървъра на компанията, за да провери за актуализации. Ако няма интернет връзка, ще трябва да изчакате известно време. След като приемете лицензионното споразумение, ви се предлага да изберете една от двете опции за инсталиране:
Бърз монтаж- всички програмни компоненти ще бъдат инсталирани с настройки по подразбиране;
Персонализирана инсталация- монтаж на отделни компоненти с възможност предварителна настройка; този режим се препоръчва за напреднали потребители.
Препоръчително е да изберете експресна инсталация: в този случай ще бъде осигурена максимална защита на вашия компютър. Ако модулът не е необходим, той винаги може да бъде изключен. След това съветникът ще провери инсталирани програмии ако намери несъвместим с KIS, показва списък с тях. Ако продължите с инсталацията, данните на приложението ще бъдат премахнати, за да се избегнат конфликти. Ако бъдат намерени конфигурационни файлове от предишна инсталация на Kaspersky Anti-Virus или KIS, ще бъдете подканени да запазите тези настройки. Ако програмите, които пречат на работата на KIS, са премахнати, след това може да се наложи да рестартирате компютъра.
Както в Kaspersky Anti-Virus, след инсталиране на програмата, Съветник за предварително зададени настройки... Ако е избрана опцията Бърз монтаж, съветникът ще предложи да активирате продукта. След рестартиране щракнете двукратно върху иконата Ленти на задачитеможете да извикате прозореца за настройка на параметрите на операцията KIS (фиг. 5.1).
Ориз. 5.1.Прозорец Настройки на Kasperskyинтернет сигурност
Повечето от елементите на менюто съвпадат с настройките на Kaspersky Anti-Virus, но в менюто Защитаима няколко нови точки:
защитна стена- показване на състоянието и бърз достъп до настройките на режима на работа на вградената защитна стена, система за откриване на проникване, модули Антирекламаи Анти-Банер, преглеждане на мрежовата активност на компютъра;
Антишпионски- показване на състоянието на работата и бърз достъп до настройките на модулите Антишпионски, Анти-фишинг, Анти-набиранеи Защита на поверителни данни;
Анти спам- показване на състоянието на работата, стартиране на съветника за обучение и бърз достъп до настройките на модула Анти спам;
Родителски контрол- извеждане на работния статус, активиране и деактивиране и бърз достъп до настройките на този модул.
Нека да разгледаме характеристиките на новите функции и някои настройки.
Внимание!
След инсталацията всички горепосочени функции са деактивирани, което намалява сигурността на системата, така че трябва да прегледате разделите и да активирате тези, от които се нуждаете.
Настройки на защитната стена
За да активирате защитната стена, просто щракнете върху връзката Включив съответния раздел. Прозорецът за настройка на параметрите може да бъде извикан чрез натискане на бутона Персонализиранев долната част на прозореца и като изберете съответния елемент или от съответния елемент от менюто Защита... Като щракнете върху връзката Преглед на текущата мрежова активност, ще покажете броя на активните приложения, използващи мрежата, както и броя на отворените връзки и портове.
В прозореца за настройки на модула са налични няколко области, във всяка от които, като поставите отметка в съответното квадратче, можете да активирате / деактивирате защитна стенаизцяло или един от неговите компоненти - система за филтриране, система за откриване на проникване, Антирекламиили Анти-банер(фиг.5.2). В областта на настройките на защитната стена има плъзгач, с помощта на който можете да зададете едно от петте нива на защита:
Разрешете всичко- всяка мрежова дейност е разрешена без ограничения, съответства на деактивиране на защитната стена;
Минимална защита- всички мрежови връзки са разрешени, освен забранените от правилата;
Режим на преподаване- потребителят самостоятелно решава коя мрежова активност да разреши или откаже; когато приложение се опитва да осъществи достъп до мрежата, за която не е създадено правило, потребителят получава подкана за потвърждение и се създава ново правило въз основа на отговора;
Максимална защита- всички неоторизирани връзки са блокирани;
Блокирайте всички- всички връзки са блокирани, достъпът до локалната мрежа и интернет е отказан; трябва да се използва при откриване на мрежови атаки или при работа в опасна мрежа.
Ориз. 5.2.Настройки на модула на защитната стена
По време на инсталацията се създават правила за всички приложения, но те не винаги са оптимални за конкретна система, така че се препоръчва да промените нивото на защита от минималното, което е зададено по подразбиране, към обучение. Трябва да преминете към режим на максимална защита само ако сте сигурни, че всички разрешителни правила са създадени. Въпреки това, след като инсталирате нов софтуер, трябва да се върнете отново към режима на защита на обучението. Когато системата работи в режим на обучение, на потребителя се показва известие (фиг. 5.3).
Ориз. 5.3.Уведомление за мрежова активност
Той съдържа описание на дейността и информация, необходима за вземане на решение: тип връзка (входяща, изходяща), протокол, приложение, отдалечен IP адрес и порт, локален порт. Въз основа на получените данни можете да изберете желаното действие, като щракнете върху съответния бутон - Позволяваили Забранете... Избор на опция Деактивирайте режима на обучениеще деактивира този режим на работа на модула.
Ако квадратчето за отметка е отметнато Създайте правило, тогава се формира ново правило въз основа на избрания отговор и по време на последващата мрежова активност на това приложение, ако параметрите на заявката съвпадат, програмата няма да притеснява потребителя. В падащия списък трябва да изберете вида дейност, за която е приложимо избраното действие. Предлагат се няколко опции:
Всякаква дейност- всяка мрежова активност на това приложение;
Избирателно- конкретна дейност, която трябва да бъде посочена в прозореца за създаване на правило;
Този адрес- активност на приложението, отдалечен адрес мрежова връзкакойто съвпада с посочения; може да бъде полезно, ако искате да ограничите мрежовата активност за избраното приложение до посочените адреси.
Можете също да изберете една от предварително зададените настройки, които описват естеството на приложението: Програма за поща, Браузър, Мениджър на изтеглянията, FTP клиент, Telnet клиентили Синхронизатор на часовник.
Компонентен модул за откриване на проникване защитна стенареагира на активност, типична за мрежови атаки. Ако бъде открит опит за атака на компютър, на екрана ще се появи съответно известие, което показва информация за атакуващия компютър: тип атака, IP адрес на атакуващия, протокол и услуга, която е била атакувана, дата и час. В този случай системата блокира IP адреса на атакуващия компютър за един час. Можете да промените времето за блокиране в зоната Система за откриване на проникванев полето до знамето Добавете атакуващия компютър към списъка с блокирани.
Задаване на правила за приложения
Най-хубавото нещо е да персонализирате работата на модула защитна стенаизползвайки правилата. Пакетът включва набор от правила за най-известните приложения, чиято мрежова активност е анализирана от специалисти и които имат ясна дефиниция – полезни или опасни. За една програма можете да създадете няколко разрешаващи и забраняващи правила. В повечето случаи, за да създадете правила, е достатъчно да използвате режима на обучение и в диалоговия прозорец да посочите условията, при които програмата ще има достъп до мрежата. Въпреки това, може да възникне ситуация, когато трябва да редактирате създаденото правило, например, ако полезно приложение е погрешно блокирано за достъп до мрежата. Можете сами да създавате правила. За да отидете в прозореца за редактиране на правила, щракнете върху бутона Персонализиранев района на Система за филтриране... В прозореца, който се показва, отидете на раздела Правила за кандидатстване(фиг. 5.4).
Ориз. 5.4.Прозорец за настройки на правилата на приложението
Всички правила в този раздел могат да бъдат групирани по два начина. Ако е поставена отметка, се показва списък с приложения, за които има генерирани правила. За всяка програма се показва следната информация: името и иконата на приложението, командния ред за стартиране (ако има такъв), основната директория, в която се намира изпълнимият файл на приложението, и броя на правилата, създадени за него.
Като щракнете двукратно върху избраното приложение, можете да прегледате и промените списъка с правила. Щракването върху правило ще покаже неговите свойства: разрешено или отказано, изходящо, входящо или и двете посоки, протокол, отдалечен и локален порт, отдалечен IP адрес и час от деня, през който правилото е в сила (Фигура 5.5). Като щракнете двукратно върху правило или като изберете правило и щракнете върху бутона Промяна, ще получите достъп до прозореца за редактиране на правила, където можете да промените всеки от посочените параметри. С натискане на бутона Добавете, можете сами да създадете ново правило. Процедурата за редактиране и създаване на правила е подобна на правилата за редактиране в Outpost Firewall (вижте съответния раздел).
Ориз. 5.5.Свойства на правилото
Обърнете внимание на бутоните Експортиранеи Импортиране: те могат да се използват за бързо прехвърляне на генерираните правила към други компютри, което е удобно за бързо конфигуриране на правилата на модула защитна стена... Щракнете върху бутона Експортиранеи посочете местоположението и името на файла, където искате да запишете настройките, след което прехвърлете файла на друг компютър, щракнете Импортиранеи изберете файла със запазените настройки.
За да получите предупреждение или да запишете задействане на правило в отчет, трябва да поставите отметка в квадратчетата Показване на предупреждениеи Пишете, за да докладватев прозореца Редактиране на правило.
Когато няма отметка Групови правила по приложениевсички правила ще бъдат показани без групиране по име на приложението.
Ако установите, че приложението няма достъп до мрежата, една от причините може да е настройката на правило за отказ в модула защитна стена... Най-бързият начин да проверите това е временно да спрете работата. защитна стена... Това може да стане по няколко начина. Можете да изберете нивото на защита в прозореца с настройки Разрешаване на всичкиили премахнете отметката от квадратчето Активирайте защитната стенаи натиснете бутона Приложи... Ако след това приложението работи нормално, тогава проблемът е в правилото за отказ. Ситуацията е лесна за коригиране: отидете в прозореца с настройки за правила за приложения, изберете приложение и прегледайте всички правила, създадени за него, като обърнете специално внимание на тези, които ги забраняват. В краен случай можете да маркирате приложението, като щракнете върху него и натиснете бутона Изтрийза да изтриете всички правила, които сте създали за него. След това изберете режима за сигурност на обучението и създайте нови правила, ако е необходимо.
с изключение Правила за кандидатстванепрозорец за персонализиране Анти-хакерсъдържа още три раздела. Раздел Правила за пакетае подобен на описания по-горе, само че в него можете да зададете правила за филтриране на пакети (фиг. 5.6).
Ориз. 5.6.Прозорецът за създаване на правила за пакети
Правилата, написани в този раздел, работят на по-ниско ниво, така че се прилагат независимо от приложението, което ги генерира или получава. Ако е необходимо, например, глобално да откажете достъп до определен ресурс или услуга (локален или отдалечен), тук трябва да посочите необходимите параметри, тогава чрез промяна на приложението ще бъде невъзможно да се заобиколи забраната, създадена за конкретна програма. За всяко правило за филтриране се предоставя следната информация: името на правилото, разрешаване или отказване, протоколът за предаване, посоката на пакета и параметрите на мрежовата връзка, през която се предава пакетът. Правилото може да бъде деактивирано, като премахнете отметката от съответното квадратче.
Помощникът ще намери всички мрежови интерфейси на компютъра и ще дефинира политика за сигурност за всеки, тоест степента на доверие към компютрите, разположени в тези зони. Списък мрежови интерфейсиналични в раздела Зони: тук можете да редактирате списъка с мрежови интерфейси и да промените политиката за сигурност.
Ако не всички интерфейси са намерени по време на инсталацията, щракнете върху намирамза повторно търсене... Ако това не помогне, трябва да натиснете бутона Добаветеи в прозореца, който се показва, въведете името, адреса на подмрежата и мрежовата маска. Степента на доверие се характеризира със състоянието на мрежата. Състоянието може да приеме следните стойности:
Доверен- всички връзки са разрешени без ограничения;
Локалната мрежа- достъпът на други компютри е разрешен локални файловеи принтери, изпращането на съобщения за грешки е разрешено (протокол ICMP), а режимът на невидимост е деактивиран по подразбиране; мрежовата активност на приложенията се регулира от правила;
интернет- отказан достъп до файлове и принтери и изпращане на ICMP съобщения, режимът на невидимост е включен; мрежовата активност на приложенията се регулира от правила.
За всички зони с изключение на Интернет можете да промените състоянието. За да направите това, кликнете върху името в областта Описание... зона интернетвинаги има статут интернет, и е невъзможно да го промените, следователно, когато работите в интернет, потребителят ще бъде максимално защитен. Режимът на невидимост може да бъде променен по няколко начина, най-простият е да поставите отметка в едноименното квадратче.
Забележка
Няма нищо необичайно в стелт режима. ICMP пакет с кода ECHO_REQUEST се изпраща до отдалечения компютър. Можете да стартирате такава проверка ръчно, като изпълните командата Старт > Изпълнете и въведете командата ping hostname в прозореца, който се отваря. Ако компютърът е свързан към мрежата, в отговор трябва да дойде пакет с кода ECHO_REPLY. В невидимия режим такива пакети са блокирани, което означава, че за повечето приложения, които първоначално проверяват неговата работоспособност, той е невидим.
В раздела Освен товас помощта на превключвателя можете да изберете един от двата режима на работа:
Максимална скорост- осигуряване на режим максимална скоростмрежови игри, но в същото време може да има проблеми със съвместимостта, които могат да бъдат частично решени чрез деактивиране стелт режим.
За да изберете новите опции в раздела Освен товаса влезли в сила, трябва да рестартирате компютъра си.
В модула защитна стенаса включени още два компонента.
Антиреклама- Блокира изскачащи прозорци, използвани за рекламиране на продукти или услуги, и не носят полезен товар. Когато се направи опит за отваряне на такъв прозорец, неговият изход се блокира и потребителят получава предупреждение, в което той може да реши да блокира или разреши изхода. Работи правилно с блокирането на изскачащи прозорци в Microsoft Internet Explorerкойто е включен в Service Pack 2 за Microsoft Windows XP.
Изскачащите прозорци не винаги съдържат реклами; на някои сайтове по този начин се показва прозорец за избор на файлове за изтегляне или за по-бърз достъп или показване на някаква информация. Така че модулът Антирекламане блокира такива прозорци, те трябва да бъдат добавени към списъка с доверени. За да направите това, натиснете бутона Доверени адреси, който се намира в района Блокиране на изскачащи прозорци, след което натиснете бутона Добаветеи в прозореца, който се показва, въведете адреса на ресурса, чиито изскачащи прозорци не трябва да бъдат блокирани. В този случай можете да използвате маски. Например, http: // microsoft *ще открие всички адреси, започващи с думи microsoftкато доверен. Използване на квадратчетата за отметка, разположени в района Доверена зона, можете да дефинирате сайтове, включени в доверената зона на Microsoft Internet Explorer и локалната мрежа като доверени.
Забележка
В Internet Explorer можете да посочите списък със сайтове, които потребителят счита за доверени. За да направите това, изпълнете командата Service в прозореца на браузъра > Internet Options, отидете на раздела Защита, щракнете върху иконата Trusted Sites и щракнете върху бутона Сайтове по-долу. В прозореца, който се показва, въведете уеб ресурсите, на които имате доверие.
В стандартната доставка на компонента Анти-банервключва списък с често срещани шаблони за банери. С натискане на бутона Персонализиранеразположени в района Блокиране рекламни банери , можете сами да зададете списъка със забранени и разрешени банери. Прозорецът, който се появява, съдържа три раздела (фиг. 5.7).
Ориз. 5.7.Настройки за блокиране на банер
В раздела Обще публикуван списък с банери, създадени от специалисти от Kaspersky Lab. Този списък не може да се редактира, но можете да деактивирате всяко правило, като премахнете отметката от съответното квадратче. За да анализирате банери, които не попадат под маските на стандартния списък, поставете отметка в квадратчето Използвайте евристични методи за анализ- качените изображения ще бъдат анализирани за наличието на характеристики, специфични за банера. На раздели „Черен списъки „Бял списъкПосочва персонализирани маски за банери, които трябва да бъдат блокирани и разрешени. Лесно е да изброите нова маска. Отидете до раздела, който искате, щракнете върху бутона Добаветеи в прозореца, който се показва, въведете пълен адрес(URL) банер или шаблон. В последния случай при отваряне на банера Анти-банерще търси адреса си за определената последователност от знаци. Адресите, посочени в тези раздели, засягат само показването на банери, така че можете да посочите адреса на целия сайт, напр. http://www.test.com/, и банери, принадлежащи на този сайт, ще бъдат блокирани. Бутони Експортиранеи Импортиранеразположени в тези раздели, ще ви помогне бързо да прехвърлите генерираните списъци на други компютри.
Антишпионски модул
За да завършим историята за Kaspersky Internet Security, нека да разгледаме трите оставащи модула: Антишпионски, Анти спами Родителски контрол... Повече за шпионски софтуеробхванати в глава 6, анти-спам в глава 8, софтуер за родителски контрол в глава 9 и фишинг атаки в глава 7.
модул Антишпионскиви позволява да се предпазите от натрапчива рекламасе показва в прозореца на браузъра под формата на банери и изскачащи прозорци. Използването на този модул прави възможно разпознаването на известни методи за измами в Интернет, опити за кражба на поверителна информация (пароли, номера на кредитни карти), неоторизиран достъп до Интернет и неоторизирано използване на платени ресурси.
Чрез избор на модул Антишпионскив главния прозорец на програмата ще получите обща статистика за работата и текущото състояние на модула като цяло и неговите отделни компоненти. Тук можете временно да поставите на пауза или да спрете модула, както и да активирате защитата, ако е била деактивирана.
Ориз. 5.8.Прозорец за настройки на модула Anti-Spy
Всички настройки в Kaspersky Internet Security са от един и същи тип, следователно, след като овладеете един компонент, е лесно да намерите настройките за друг. Като премахнете отметката от квадратчето Активирайте Anti-Spyи натискане на бутона Приложи, можете да деактивирате модула. Антишпионскисе състои от три компонента:
Анти-фишинг- защитава от фишинг атаки чрез наблюдение на опитите за отваряне на известни фишинг сайтове: Kaspersky Internet Security включва информация за всички известни в момента сайтове, които се използват за извършване на такива атаки; когато подписите на заплахата се актуализират, този списък също се актуализира;
Анти-набиране- блокира опит за установяване на модемни връзки с платени интернет ресурси;
Предотвратяване на предаването на чувствителни данни- разпознава и предупреждава потребителя (в настройките по подразбиране) за опит за прехвърляне на поверителни данни или опит за получаване на достъп до лични данни или пароли.
Същото и за модула Анти-набиране: ако искате да разрешите връзки към определени номера, без да питате програмата, добавете ги към списъка с доверени номера. За да направите това, натиснете бутона Доверени номераи въведете телефонен номер или шаблон. За да премахнете временно номер от списъка, премахнете отметката от съответното квадратче и ако номерът трябва да бъде премахнат напълно, изберете го с бутона на мишката и щракнете Изтрий.
Конфигуриране на модула Anti-Spam
Удобно е, че доставката на Kaspersky Internet Security съдържа набор от приложения, необходими за пълноценна защита на системата. След като сте регистрирали пощенска кутия, скоро ще намерите в нея писма, които не са предназначени лично за вас, за които наличието на модула е полезно. Анти спамкойто знае как да открие такива съобщения.
Чрез избор на модул Анти спамв главния прозорец на програмата можете да получите информация за състоянието на нейната работа и статистика на съобщенията, проверени от момента на стартиране, и съобщенията, разпознати като спам. Кликване навсякъде в района Отворете отчета, можете да получите по-подробна информация. Натискане на бутон Персонализиранеще доведе до прозореца за настройка на работата на модула (фиг. 5.9).
Ориз. 5.9.Прозорец за настройки на модула за защита от спам
Всички имейли, които модулът разпознава като спамса отбелязани в полето Темаетикет [!! СПАМ]... Съобщенията вероятно ще бъдат потенциален спамса маркирани като [?? Вероятен спам]... Без повече операции Анти спамне създава и не изтрива съобщения самостоятелно, дори ако те недвусмислено са класифицирани като спам.
По подразбиране защитата от спам е активирана. За да го деактивирате, премахнете отметката от квадратчето. Активирайте анти-спами ако защитата трябва временно да бъде спряна, използвайте бутоните в главния прозорец на програмата. За удобство приложението въведе нива на агресивност на модула - желаното ниво се избира с помощта на плъзгача, разположен в едноименната област в прозореца с настройки.
Възможни са следните избори:
Разрешете всичко- най-ниското ниво на контрол: само поща, която съдържа редове от черния списък с фрази или чийто подател е включен в черния списък, се счита за спам;
Къс- по-строго ниво, при което се извършва пълен анализ, но нивото на реакция на механизмите за анализ на входящите писма е зададено по-ниско от обикновено, така че вероятността за преминаване на спам е по-висока, въпреки че загубите са по-ниски; препоръчително е да го използвате, ако получавате много полезни имейли, които погрешно се приемат за спам;
Високо- ниво с по-строги прагове за задействане на механизми за откриване, така че спамът може да получава съобщения, които не са; писмата се анализират на базата на "бели" и "черни" списъци и с помощта на съвременни технологии за филтриране; препоръчва се, когато адресът на получателя е неизвестен за спамърите;
Блокирайте всички- най-високото ниво: само писма от "белия" списък ще преминават безпрепятствено, останалите ще бъдат маркирани като спам.
Можете сами да зададете параметрите за откриване на спам. За да направите това, натиснете бутона Персонализиранев района на Ниво на агресивност... В прозореца, който се показва, има четири раздела. раздели „Бял списъки „Черен списъкса сходни по настройки, само параметрите, предписани в тях, ще предизвикат различна реакция Анти спам... Всичко, което е включено в „Бял списък, определено ще се отнася за нормална поща и какво ще бъде в "Черен" списък, ще означава спам. Всеки раздел е разделен на два блока. В горната част са написани имейл адресите, в долната част - ключови фрази. Имейл адресите могат да се попълват ръчно или по време на обучение по модул Анти спам... За ръчна настройка имейл адрес, съобщения от които няма да се считат за спам, отидете в раздела „Бял списъки поставете отметка в квадратчето Искам да получавам имейли от следните подателислед това натиснете Добаветеи в полето, което се показва, въведете адреса. Можете да въведете пълен имейл адрес, например [защитен с имейл] , но можете да използвате шаблони. Например шаблонът *@mail.ruще посочи Анти спамче всички писма от сървъра mail.ruпопадат под правилото.
За да добавите ред, въз основа на който имейлът ще се счита за полезен, поставете отметка в квадратчето Бих искал да получавам имейли, съдържащи следните фрази, Натисни бутона Добаветеи въведете фраза или шаблон. Можете да се съгласите с приятелите си, така че те винаги да подписват писма с всяка фраза, която е въведена „Бял списък, тогава писмата от тях няма да попаднат в спам.
Имейл адресите и фразите в раздела се попълват по същия начин. „Черен списък... Поставете отметка в квадратчето Не искам да получавам имейли от следните подателиза да активирате филтъра по пощенски адрес. За да активирате филтриране по ключови думи, използвайте квадратчето за отметка Не искам да получавам имейли, съдържащи следните фрази.
При влизане ключова фразасе изисква допълнително да се посочи съответният коефициент на тегло... Трудно е да изберете сами коефициента, ако имате съмнения, посочете стойността 50 или използвайте съществуващите правила като ръководство. Един имейл ще бъде класифициран като спам, ако общият му коефициент надвишава определено число. За разлика от "белия" списък, разработчиците добавиха фразите, най-често използвани от спамърите, към "черния" списък.
За модул за разпознаване на спам Анти спамизползва различни технологии, които могат да се включват и изключват в раздела Разпознаване на спам(фиг. 5.10).
Ориз. 5.10.Конфигуриране на технологии за филтриране на спам
В района на Филтриопределя кои технологии да се използват за откриване на спам:
Самообучаващ се алгоритъм на iBayes – анализ на текста на имейл съобщение за наличие на фрази, свързани със спам;
GSG технология – анализ на изображения, поставени в писмо: въз основа на сравнение с уникални графични подписи се прави извод, че изображението принадлежи към графичен спам;
PDB технология – анализ на заглавки: въз основа на набор от евристични правила се прави предположение, че съобщението принадлежи към спам;
Технология Recent Terms - анализ на текста на съобщението за фрази, характерни за спам; Базите данни, изготвени от специалистите на Kaspersky Lab, се използват като справка.
В райони Фактор на спами Потенциален фактор за спаме посочен коефициентът, над който съобщението ще се счита за спам или потенциален спам. Оптималните стойности са избрани по подразбиране; с помощта на плъзгача можете самостоятелно да зададете необходимото ниво. С малко експериментиране ще намерите приемливи параметри.
Раздел Освен товави позволява да зададете допълнителни критерии, по които ще се определя спамът (неправилни параметри на съобщението, наличието на някои видове html-вмъквания и т.н.). Трябва да изберете подходящото квадратче и да зададете коефициента на спам като процент. По подразбиране коефициентът на спам във всички критерии е 80%, а писмото ще бъде разпознато като спам, ако сборът от всички критерии е равен на 100%. Ако искате всички съобщения, които не са адресирани до вас, да се считат за спам, поставете отметка в квадратчето Не е адресирано до мени след това натиснете бутона Моите адреси, тогава Добаветеи въведете всички пощенски адреси, които използвате. Сега, когато се анализира ново съобщение, адресът на получателя ще бъде проверен и ако адресът не съвпада с нито един адрес в списъка, на съобщението ще бъде присвоен статус на спам. Когато се върнете в главния прозорец с настройки Анти спам, в него ще бъде зададено нивото на агресивност Персонализиран.
Обучение за борба със спам
За подобряване на ефективността на модула Анти спам, е необходимо да го обучите, като посочите кои писма са спам и кои са редовна кореспонденция. За обучение се използват няколко подхода. Например, за да могат адресите на кореспондентите, с които общувате, да бъдат автоматично добавени към "белия" списък, трябва да поставите отметка в квадратчето Тренирайте за изходящи имейли(намира се в полето Образованиепрозорци за настройки на модула Анти спам). Само първите 50 букви ще бъдат използвани за обучение, след което обучението ще бъде завършено. В края на обучението трябва да изясните „белия“ списък с адреси, за да сте сигурни, че съдържа необходимите записи.
В района на Образованиебутонът се намира Магистър на обучението... Като щракнете върху него, можете да преподавате стъпка по стъпка Анти спамкато посочите папките на пощенския клиент, съдържащи спам и обикновени съобщения. Това обучение се препоръчва в самото начало на работа. След като се обадите на съветника за обучение, трябва да преминете през четири стъпки.
1. Определение на папки, съдържащи полезна кореспонденция.
2. Посочване на папки, съдържащи спам.
3. Автоматично обучение Анти спам. Пощенски адресиДобрите изпращачи на поща са в белия списък.
4. Запазване на резултата от обучителния майстор. Тук можете да добавите работни резултати към старата база данни или да я замените с нова.
За да спести време, учителят преподава Анти спамсамо 50 букви във всяка папка. За да работи правилно байесовият алгоритъм, използван за разпознаване на спам, трябва да обучите поне 50 добра поща и 50 спама.
Потребителят може да не винаги има толкова много имейли, но това не е проблем. Влак Анти спаме възможно в хода на работа. Има две възможности за обучение:
Използване на имейл клиент;
Използване на отчети Анти спам.
По време на инсталацията модулът Анти спаминтегрира се в следните имейл клиенти:
Microsoft Office Outlook - бутоните се появяват на панела Спами Не е спам, и в прозореца, извикан от командата на менюто Инструменти> Опции, раздел Анти спам;
Microsoft Outlook Express - в прозореца се появяват бутони Спами Не е спами бутона Персонализиране;
Прилепът! - нови компоненти не се появяват, но Анти спамреагира на избора на артикули Сигнализирайте като спами Сигнализирайте като НЕ спамв менюто Специален.
Ученето с отчети е лесно. Изберете модул Анти спамв главния прозорец на програмата и щракнете върху областта Отворете отчета... Всички заглавки на имейли се показват в раздела Развитияотворения прозорец. Изберете с бутона на мишката буквата, която да се използва за обучение Анти спам, Натисни бутона Действияи изберете една от четирите опции: отбележи като спам, Маркирайте като неспам, Добавяне към белия списъкили Добавяне към черния списък... След това Анти спамще бъдат обучени. Моля, имайте предвид, че ако няма достатъчно записи в базата данни, заглавието на този прозорец ще покаже надпис колко още букви са необходими за обучение на модула.
Ако в прозореца за настройки Анти спамотметнато квадратче Отворете Mail Dispatcher, когато получавате поща, получавате друга опция за ограничаване на входящата поща. Когато се свържете с пощенския сървър, той ще се отвори Пощенски диспечер, което ви позволява да видите списъка със съобщения на сървъра, без да ги изтегляте на вашия компютър (фиг. 5.11).
Ориз. 5.11.Пощенски диспечер
Той показва информацията, необходима за вземане на решение: подател, получател, тема и размер на съобщението. В колоната Причинаможе да се покаже коментар на модула Анти спам.
По подразбиране Анти спаманализира преминаващите писма независимо от инсталирания пощенски клиент. Ако един от пощенските клиенти, изброени по-горе, се използва като последния, такава двойна работа е ненужна, така че трябва да премахнете отметката от квадратчето Обработвайте POP3 / SMTP / IMAP трафиккойто е в района Интегриране в системата... Инсталирайте го само ако използвате програма за електронна поща, различна от изброените. Ако не се изисква интеграция с посочените имейл клиенти, премахнете отметката от квадратчето Активирайте поддръжката на Microsoft Office Outlook/ Прилепът!.
Отказвайки да получавате ненужни или подозрителни съобщения, можете не само да спестите трафик, но и да намалите вероятността от изтегляне на спам и вируси на вашия компютър. Когато изберете съобщение, по-долу ще се покаже заглавката му, съдържаща допълнителна информация за подателя на писмото. За да изтриете ненужно съобщение, поставете отметка в квадратчето до съобщението в колоната Изтрийи натиснете бутона Изтрий избраното... Ако искаш Диспечерпоказва само нови съобщения на сървъра, уверете се, че квадратчето е отметнато Показване само на нови съобщения.
5.3. Система за обществена сигурност Prevx1
Повечето от съвременните системи за компютърна защита имат недостатъци. Основното е, че не могат да защитят системата от нови видове атаки или вируси, които не са включени в базите данни.
Забележка
В техническата литература терминът атака от нулев ден (0-дневна) често се използва за обозначаване на нови неизвестни видове атаки.
Отнема известно време за обучение на проактивни системи, през което решението за допускане на програмата се взема от потребителя. Такива системи днес задават все по-малко въпроси, но от потребителя се изисква известно ниво на разбиране на случващото се в системата – поне такова, че появата на нов процес да буди подозрение. Създадените профили ще бъдат известни само на един компютър, така че в случай на атака на друга машина, обучението ще трябва да се повтори отначало. Вероятността от грешка е висока, особено като се има предвид високата честота на грешки, характерна за проактивните системи.
Създателите на системата за предотвратяване на проникване в Общността (CIPS) Prevx ( http://www.prevx.com/), английската компания Prevx Limited, успя да намери средата. Тази система само набира популярност, но оригиналността на решението и неговата ефективност си струва да се обмисли.
Принцип на действие
За първи път прототип на нов тип система за защита от атака беше представен на обществеността през февруари 2004 г. и беше наречен Prevx Начало... В представената система имаше много уникални неща. За разлика от антивирусните системи, които използват подписи за идентифициране на злонамерени файлове, или някои системи, които работят със списък с разрешени приложения, новата система прилага правила, които описват поведението и контролират целостта на програмите. Освен това списъкът включваше както известни добри, така и лоши програми, което направи възможно бързото определяне на естеството на ново приложение или процес на компютър. Това обаче не е основното.
Системата използва единна база данни за наблюдение на общността. Това е най-мощният източник на информация, който определя съществуването, разпространението и дейността както на полезен, така и на злонамерен софтуер. Използвайки информацията, събрана в тази база данни, е възможно да се проследява и анализира в реално време поведението и разпространението на всяка програма от общността. Всеки клиентски компютър се инсталира агенти по сигурносттакоито следят ситуацията в защитената система. Когато се инсталира ново приложение или се появи нов процес, непознат за локалната база данни, агентът изпраща заявка до централната база данни през Интернет и въз основа на получената информация прави заключение за нейната надеждност.
Ако няма информация за новата програма в централната база данни, нов модулсе въвежда в него и се маркира като неизвестен, а потребителят е предупреден възможен риск... За разлика от антивирусите, които изискват известно време, за да бъдат анализирани от специалисти, Community Watch в повечето случаи е в състояние самостоятелно да определи естеството на програмата въз основа на поведенчески характеристики. За това се използва методологията Four Axes of Evil, която определя естеството на програмата според четири компонента: секретност, поведение, произход и разпространение. В резултат на това се създава описание, съдържащо приблизително 120 параметъра, които позволяват недвусмислено идентифициране на тази програма в бъдеще, тоест ако помощна програма, неизвестна за базата данни, изпълнява същите действия като известна злонамерена програма, нейната цел е очевидно. Ако данните, събрани от агента, не са достатъчни за вземане на недвусмислено решение, базата данни може да изисква копие на програмата за проверка. Според разработчиците само малък процент от случаите изискват специална намеса от специалисти.
При първото стартиране базата данни съдържаше информация за милион събития, а след 20 месеца вече съдържаше информация за милиард. Този принцип на действие ви позволява да премахнете фалшиви положителни резултатиследователно не е изненадващо, че скоро се появи програма от ново поколение - Prevx1, чието тестване започна на 16 юли 2005 г. Резултатът надмина всички очаквания: 100 000 компютъра с инсталиран Prevx1 по целия свят успяха да издържат на нови заплахи в реално време.
Днес оптимизираната база данни съдържа над 10 милиона уникални събития и 220 хиляди опасни обекти. Всеки ден системата автоматично открива и неутрализира над 400 вредни приложения и около 10 хиляди програми за различни цели. Антивирусите не могат да се справят с такава производителност. Според статистиката на сайта, нов потребител, който се свързва с Prevx1, открива зловреден софтуер в системата си в 19% от случаите. Prevx1 може да се използва автономно, като защитава компютъра ви самостоятелно и във връзка с други продукти, които подобряват ефекта му: защитна стена, антивирусни и шпионски софтуер скенери.
Работа с Prevx CSI
За да инсталирате Prevx, ви е необходим компютър с поне 256 MB RAM и 600 MHz процесор, работещ под Windows 2000 / XP / 2003 и Vista. то минимални изисквания, за удобна работапрепоръчително е да използвате по-модерно оборудване.
Има няколко опции за продукти, всяка със свои собствени характеристики, предназначени за специфични условия на употреба и съответната цена. Има и безплатна версия на Prevx Computer Security Investigator (CSI), налична от http://free.prevx.com/.
Разработчиците го направиха просто: наличност безплатна версияпривлича нови потребители към проекта, които добавят своите подписи към базата данни на общността и тестват непроверен софтуер на своя хардуер. Може да се инсталира безплатна версия по обичайния начинкъм твърд диск или USB устройство за съхранение. Единственото ограничение на тази версия е невъзможността за изтриване на намерените злонамерени файлове (извършва се само компютърно сканиране). Но това може да се направи произволен брой пъти от съображения за безопасност, като се започне ръчно или по график, и ако бъдат открити проблеми, предприемете действия, като използвате други помощни програми, описани в тази книга.
Инсталирането на Prevx1 е лесно, но е необходима интернет връзка за проверка. Стартирайте изпълнимия файл, потвърдете съгласието си с лиценза, като поставите отметка в квадратчето и щракнете върху бутона продължи(Продължете). Ще започне сканирането на системната област, след което ще се покаже резултатът (фиг. 5.12).
Ориз. 5.12. Prevx CSI конзола за управление
Обърнете внимание на съобщението след това Състояние на системата... Ако иконата отсреща е оцветена в зелен цвяти подписа Чисти, това означава, че на компютъра не е намерен зловреден софтуер. Ако иконата е червена и подписът Заразен- на компютъра е намерен зловреден софтуер и трябва да се предприемат действия. Ако на компютъра бъде открита неизвестна програма, иконата ще стане жълт предупредителен цвят, в който случай потребителят трябва да бъде внимателен, тъй като може да е злонамерена програма.
Prevx трябва да актуализира локалната база данни според нуждите, ако връзката се осъществява чрез прокси сървър, нейните настройки трябва да бъдат посочени в раздела Конфигуриранев полето Активирайте поддръжка на прокси... В раздела може да се настрои автоматична проверка на системата Планировчик... Поставете отметка в квадратчето Сканирайте системата ми всекии използвайте падащите списъци вдясно, за да посочите честотата и времето на проверката. Може да избира ежедневна проверка (ден) или посочете един от дните от седмицата. За да сканирате дали компютърът е изключен, поставете отметка в квадратчето Ако компютърът ми не е захранен, е включен в насроченото време... За да проверите компютъра си след стартиране на системата, инсталирайте Сканирайте автоматично при стартиране.
¾ програми са включени външни медиипамет
¾ RAM
¾ зони за компютърна система
¾ компютърен хардуер
37. Основното средство за антивирусна защита е...
¾ периодична проверка на списъка с автоматично заредени програми
¾ използване на защитни стени при работа в интернет
¾ периодични проверки на вашия компютър с помощта на антивирусен софтуер
¾ периодична проверка на списъка със заредени програми
38. Електронни цифров подписпозволява...
¾ препращайте съобщения по таен канал
¾ възстановяване на повредени съобщения ения
¾ уверете се, че подателят и целостта на съобщението
¾ криптирайте съобщението, за да го запазите в тайна
39. Абсолютната защита на вашия компютър от мрежови атаки е възможна, когато...
¾ използване на най-новите антивирусни инструменти
¾ използване на лицензиран софтуер
¾ инсталиране на защитна стена
¾ няма връзка
40. Най-опасната част от гледна точка на вирусната активност електронна пощае…
¾ приставка
¾ заглавие
41. Умишлена заплахаинформационната сигурност е...
¾ повреда на кабела, през който се осъществява предаването, поради метеорологични условия
¾ администраторска грешка
¾ наводнение
42. Регистрирането на потребителски действия позволява...
¾ да реконструира хода на събитията при прилагането на заплахи за информационната сигурност
¾ гарантиране на поверителността на информацията
¾ разрешаване на проблеми с контрола на достъпа
43. Антивирусният пакет НЕ е...
¾ Антивирус на Касперски
¾ Symantec AntiVirus
¾ Norton AntiVirus
¾ Microsoft AntiVirus
44. Мрежовите червеи са...
¾ програми, които променят файлове на дискове и се разпространяват в рамките на компютъра
¾ програми, които не променят файлове на дискове, но се разпространяват в компютърна мрежа, проникват в операционната система на компютъра, намират адресите на други компютри или потребители и изпращат свои копия на тези адреси
¾ програми, разпространявани само чрез електронна поща през Интернет
¾ Зловредни програми, чието действие е да създават неизправности, когато компютърът се захранва от електронна поща. мрежата
45. Продуктите за компютърна сигурност НЕ включват...
¾ Програма AntiViral Toolking Pro (AVP).
¾ специални системина базата на криптография
¾ електронни таблици
¾ WinZip и WinRar програми
46. Компютърните вируси са...
¾ зловреден софтуер, който възниква поради повреди в хардуера на компютъра
¾ програми, които са написани от хакери специално, за да навредят на потребителя
¾ програми, които са резултат от грешки в операционната система
¾ вируси, подобни по природа на биологичните вируси
47. Отличителни чертикомпютърните вируси са
¾ значителен обем програмен код
¾ възможността за самостоятелно стартиране и копиране на кода няколко пъти
¾ способността да пречи на правилната работа на компютъра
¾ лекота на разпознаване
48. Включени техники за компютърна сигурност (посочете грешен отговор)
¾ легален
¾ организационни и технически
¾ политически
¾ икономически
49. Отрицателните последици от развитието на съвременните информационни технологии включват...
¾ формиране на единно информационно пространство
¾ работата с информация става основно съдържание на професионалната дейност
¾ широко разпространение на информационните технологии във всички области човешка дейност
¾ достъпност на личната информация за обществото, нахлуването на информационните технологии в личния живот на хората
50. Осигуряването на защита на информацията се извършва от дизайнери и разработчици на софтуер в следните направления (посочете грешен отговор)
¾ защита срещу повреди на оборудването
¾ защита срещу случайна загуба на информация
¾ защита срещу умишлено изкривяване на информацията
¾ разработване на правна рамка за борба с престъпленията в областта на информационните технологии
¾ защита срещу неоторизиран достъп до информация
51. Развит пазар на информационни продукти и услуги, промени в структурата на икономиката, масово използване на информация и комуникационни технологииса знаци:
¾ най-високата степен на развитие на цивилизацията
¾ информационна криза
¾ информационно общество
52. Какво не е свързано с обектите на информационната сигурност на Руската федерация?
¾ природни и енергийни ресурси
¾ информационни ресурсиот всякакъв вид
¾ информационни системи от различни класове и предназначения, информационни технологии
¾ система за формиране на общественото съзнание
¾ правата на гражданите, юридически лицаи държавата за получаване, разпространение, използване и защита на информация и интелектуална собственост
53. За да напишете самостоятелна работа, сте копирали пълния текст на нормативния правен акт от Интернет. Нарушихте ли авторските права с това?
¾ не, тъй като разпоредбите не са обект на авторско право
¾ не, ако има разрешение от собственика на сайта
54. Мога ли да използвам статии от различни списанияи вестници на политически, икономически, религиозни или социални теми, които да подготвят с тяхното използване учебен материал?
¾ да, след получаване на съгласието на притежателите на авторски права
¾ да, като се посочват източниците на заемане
¾ да, без да се иска съгласието на носителите на авторските права, но със задължителното посочване на източника на заемане и имената на авторите
55. Статия публикувана в Интернет счита ли се за авторско право?
¾ не, ако статията е публикувана за първи път в Интернет
¾ да, при условие че същата статия е публикувана в печат в рамките на 1 година
¾ да, тъй като всяка статия е обект на авторско право като научно или литературно произведение
56. В какви случаи авторските права няма да бъдат нарушени при споделяне на вашите компютърни игри с други хора?
¾ ако копия от тях компютърни игриса публикувани и въведени в граждански оборот със съгласието на автора
¾ ако собствениците на разменените копия на компютърни игри са ги закупили по силата на споразумение за продажба/замяна
¾ ако в същото време са изпълнени условията, посочени в предходните параграфи
¾ ако се разпределят под наем
57. Основните извършени действия (фази). компютърен вирус:
¾ инфекция
¾ блокиращи програми
¾ проявление
¾ възпроизвеждане
¾ маскировка
58. Антивирусните програми не включват:
¾ преводачи
¾ одитори
¾ пазач
¾ ваксини
59. Предназначение на антивирусните програми за откриване:
¾ откриване и унищожаване на вируси
¾ откриване на вируси
¾ дезинфекция на заразени файлове
¾ унищожаване на заразени файлове
¾ дезинфекция на заразени файлове
¾ контрол на начините за разпространение на вируси
60. Недостатъците на антивирусните инструменти включват:
¾ невъзможност за лечение на "подозрителни" обекти
¾ разнообразие от настройки
¾ автоматична проверка на всички отворени файлове
¾ необходимостта от постоянно актуализиране на вирусни бази данни
61. Антивирусният пакет е:
¾ Антивирус на Касперски
¾ Symantec AntiVirus
¾ Norton AntiVirus
¾ Microsoft AntiVirus
62. Необходимият минимум от средства за защита срещу вируси включва:
¾ атестация на помещения
¾ контрол за излизане
¾ входящ контрол
¾ архивиране
¾ превенция
63. Криптографската трансформация на информация е:
¾ въвеждане на система за пароли
¾ криптиране на данни
¾ ограничаване на достъпа до информация
¾ резервна информация
64. Най-ефективните средства за защита срещу мрежови атаки:
¾ използване на защитни стени или FireWall
¾ посещение само на надеждни интернет сайтове
¾ използване на антивирусен софтуер
¾ използване само на сертифицирани браузъри при достъп до Интернет
65. FireWall е:
¾ програма за поща
¾ същото като интернет браузъра
¾ същото като защитната стена
¾ графичен редактор
66. Регистрирането на потребителски действия позволява:
¾ гарантиране на конфиденциалност
¾ управлява достъпа до информация
¾ да се реконструират събития при изпълнение на заплахи за информационната сигурност
¾ възстановяване на загубена информация
67. Мрежовият одит включва:
¾ антивирусно сканиранемрежата
¾ селективен одит на потребителите
¾ одит на сигурността на всяка нова система по време на инсталирането й в мрежата
¾ регистриране на действията на всички потребители в мрежата
68. Слой със защитени гнезда:
¾ не използва криптиране на данни
¾ Осигурява сигурен трансфер на данни
¾ не може да използва криптиране с публичен ключ
¾ това не е протокол, програма
69. Най-ефективното средство за защита срещу мрежови атаки е...
¾ Използване на защитни стени или защитна стена;
¾ Посещение само на "надеждни" интернет сайтове;
¾ Използване на антивирусни програми;
¾ Използвайте само сертифициран софтуер за браузър при достъп до Интернет.
70. Обикновено се използва компресирано изображение на изходния текст ...
¾ Като ключ за криптиране на текст;
¾ Да създаде електронен цифров подпис;
¾ Като публичен ключ в симетричните алгоритми;
¾ В резултат на криптиране на текста, за да го изпратите по незащитен канал.
71. От горното: 1) пароли за достъп, 2) дескриптори, 3) криптиране, 4) хеширане, 5) установяване на права за достъп, 6) забрана на печат,
средствата за компютърна защита на информацията включват:
72. Не може да се случи заразяване с компютърен вирус
¾ При отваряне на файл, прикачен към пощата;
¾ При включване и изключване на компютъра;
¾ При копиране на файлове;
¾ Когато стартирате програмния файл за изпълнение.
73. Електронният цифров подпис на документ ви позволява да разрешите проблема с ______________ документ(и)
¾ Режим на достъп
¾ Стойности
¾ Автентичност
¾ Секретност
74. Резултатът от прилагането на заплахи за информационната сигурност може да бъде
¾ Унищожаване на I/O устройства
¾ Промяна на конфигурацията на периферните устройства
¾ Разрушаване на комуникационните канали
¾ Инжектиране на дезинформация
75. Електронният цифров подпис установява _____ информация
¾ Консистенция
¾ Автентичност
¾ Непоследователност
76. Софтуерните средства за защита на информацията в компютърна мрежа са:
1) Firewall, 2) Brandmauer, 3) Sniffer, 4) Backup.
77. За безопасното използване на ресурсите в Интернет, протоколът е предназначен ...
20.06.05 37КИнтернет напълно променя начина ни на живот: работа, учене, свободно време. Тези промени ще се осъществят както във вече познати ни области (електронна търговия, достъп до информация в реално време, разширяване на комуникационните възможности и т.н.), така и в онези области, за които все още нямаме представа.
Може да дойде моментът, когато корпорацията ще извършва всичките си телефонни разговори през интернет, и то напълно безплатно. В личния живот е възможно да се появят специални уеб сайтове, с помощта на които родителите могат по всяко време да разберат как се справят децата им. Нашето общество тепърва започва да осъзнава неограничените възможности на Интернет.
Въведение
Наред с огромния ръст в популярността на Интернет, съществува безпрецедентна опасност от разкриване на лични данни, критични корпоративни ресурси, държавни тайни и т.н.
Всеки ден хакерите заплашват тези ресурси, опитвайки се да получат достъп до тях чрез специални атаки, които постепенно стават, от една страна, по-сложни, а от друга, по-лесни за изпълнение. Това се улеснява от два основни фактора.
Първо, това е повсеместното проникване на Интернет. Днес милиони устройства са свързани с интернет и много милиони устройства ще бъдат свързани с интернет в близко бъдеще, така че вероятността хакери да получат достъп до уязвими устройства непрекъснато нараства.
Освен това широкото използване на Интернет позволява на хакерите да обменят информация в глобален мащаб. Едно просто търсене на ключови думи като "хакер", "хак", "хак", "крак" или "фрейк" ще ви даде хиляди сайтове, много от които могат да бъдат намерени злонамерени кодовеи как да ги използваме.
Второ, има широко разпространение на лесни за използване операционни системи и среди за разработка. Този фактор драстично намалява нивото на знания и умения, изисквани от хакера. Преди това, за да създава и разпространява лесни за използване приложения, хакерът трябваше да има добри умения за програмиране.
Сега за достъп хакерски инструмент, просто трябва да знаете IP адреса на желания сайт и за да стартирате атака, просто щракнете с мишката.
Класификация на мрежовите атаки
Мрежовите атаки са толкова разнообразни, колкото и системите, срещу които са насочени. Някои атаки са много сложни, други са по силите на обикновен оператор, който дори не знае до какво могат да доведат последствията от неговата дейност. За да се оцени видовете атаки, е необходимо да се знаят някои от присъщите ограничения на TPC/IP протокола. мрежа
Интернет е създаден за комуникация между държавни агенции и университети с цел оказване на помощ учебен процеси научни изследвания. Създателите на тази мрежа нямаха представа колко разпространена ще бъде тя. В резултат на това в ранните спецификации на интернет протокол (IP) липсваха изисквания за сигурност. Ето защо много IP реализации са по своята същност уязвими.
През годините, след много заявки (заявка за коментари, RFC), IP сигурността най-накрая започна да се прилага. Въпреки това, поради факта, че първоначално инструментите за сигурност за IP протокола не са разработени, всички негови реализации започнаха да се допълват с различни мрежови процедури, услуги и продукти, които намаляват рисковете, присъщи на този протокол. След това ще разгледаме набързо видовете атаки, които обикновено се използват срещу IP мрежи, и ще изброим начини за борба с тях.
Снифер на пакети
Сниферът за пакети е приложна програма, която използва мрежова карта, работеща в безразборен режим (в този режим всички пакети, получени чрез физически канали, мрежовият адаптер изпраща на приложението за обработка).
В същото време сниферът прихваща всички мрежови пакети, които се предават през определен домейн. В момента сниферите работят в мрежи на напълно законно основание. Използват се за отстраняване на неизправности и анализ на трафика. Въпреки това, поради факта, че някои мрежови приложения предават данни към текстов формат (Telnet, FTP, SMTP, POP3 и др..), с помощта на снифер можете да разберете полезни, а понякога конфиденциална информация(например потребителски имена и пароли).
Прихващането на потребителски имена и пароли е много опасно, тъй като потребителите често използват едно и също потребителско име и парола за множество приложения и системи. Много потребители обикновено имат една парола за достъп до всички ресурси и приложения.
Ако приложението работи в режим клиент-сървър и данните за удостоверяване се предават по мрежата в четим текстов формат, тогава тази информация най-вероятно може да се използва за достъп до други корпоративни или външни ресурси. Хакерите познават твърде добре и използват човешките слабости (методите за атака често се основават на методи на социално инженерство).
Те перфектно си представят, че използваме една и съща парола за достъп до много ресурси и затова често успяват, след като са научили паролата ни, да получат достъп до важна информация... В най-лошия случай хакерът получава достъп до потребителски ресурс на системно ниво и с негова помощ създава нов потребител, който може да бъде използван по всяко време за достъп до мрежата и нейните ресурси.
Можете да смекчите заплахата от подслушване на пакети, като използвате следните инструменти:
Удостоверяване. Силните удостоверения са най-важният начин за защита срещу подслушване на пакети. Под „силни“ имаме предвид методи за удостоверяване, които са трудни за заобикаляне. Пример за такова удостоверяване са еднократните пароли (OTP).
OTP е технология за двуфакторно удостоверяване, която комбинира това, което имате с това, което знаете. Типичен примердвуфакторната автентификация е операцията на обикновен банкомат, който ви разпознава, първо, по вашата пластмасова карта, и второ, по въведения от вас ПИН код. За автентификация в OTP системата са необходими още ПИН код и вашата лична карта.
Токенът е хардуерен или софтуерен инструмент, който генерира на случаен принцип уникална еднократна еднократна парола. Ако хакер разбере дадена паролас помощта на снифер тази информация ще бъде безполезна, тъй като в този момент паролата вече ще бъде използвана и изтеглена от употреба.
Имайте предвид, че този метод против подсмърчане е ефективен само в случаите, когато пароли са прихванати. Сниферите, които прихващат друга информация (например имейл съобщения), не губят своята ефективност.
Комутирана инфраструктура... Друг начин за борба с подслушването на пакети във вашата мрежова среда е изграждането на комутирана инфраструктура. Ако, например, цяла организация използва комутиран Ethernet, хакерите имат достъп само до трафика на порта, към който са свързани. Комутираната инфраструктура не елиминира заплахата от подслушване, но значително намалява нейната тежест.
Анти-смърчачи. Третият начин за борба с подслушването е да инсталирате хардуер или софтуер, който може да разпознава сниферите, работещи във вашата мрежа. Тези инструменти не могат напълно да премахнат заплахата, но като много други инструменти за мрежова сигурност, те са включени обща системазащита. Анти-сниферите измерват отзивчивостта на хоста и определят дали хостовете трябва да се справят с ненужния трафик. Един такъв продукт, доставен от LOpht Heavy Industries, се нарича AntiSniff.
Криптография. Този най-ефективен начин за справяне с подслушването на пакети, въпреки че не предотвратява подслушването и не разпознава работата на сниферите, прави тази работа безполезна. Ако комуникационният канал е криптографски защитен, тогава хакерът не прихваща съобщението, а шифрованата (тоест неразбираема последователност от битове). Включена криптография на Cisco мрежов слойсе основава на протокола IPSec, който е стандартен метод за сигурна комуникация между устройства, използващи IP протокола. Към други криптографски протоколи управление на мрежатавключват протоколи SSH (Secure Shell) и SSL (Secure Socket Layer).
IP спуфинг
IP спуфинг възниква, когато хакер, независимо дали е вътре или извън корпорация, се представя за оторизиран потребител. Това може да стане по два начина: хакерът може да използва или IP адрес, който е в обхвата на разрешените IP адреси, или оторизиран външен адрес, който има разрешен достъп до определени мрежови ресурси.
Атаките с IP спуфинг често са отправна точка за други атаки. Класически пример е DoS атака, която започва с адрес на някой друг, който крие истинската самоличност на хакера.
Обикновено IP спуфингът е ограничен до вмъкване на фалшива информация или злонамерени команди в нормалния поток от данни между клиентски и сървърни приложения или комуникации между партньори.
За двупосочна комуникация хакерът трябва да промени всички таблици за маршрутизиране, за да насочи трафика към подправен IP адрес. Някои хакери обаче дори не се опитват да получат отговор от приложения - ако основната задача е да получат от системата важен файлтогава отговорите на приложението са без значение.
Ако хакерът успее да промени таблиците за маршрутизиране и да насочи трафика към фалшив IP адрес, той ще получи всички пакети и ще може да отговори на тях, сякаш е оторизиран потребител.
Заплахата от измама може да бъде смекчена (но не и елиминирана) чрез използване на следните мерки:
- Контрол на достъпа... Най-лесният начин да предотвратите IP спуфинг е правилно да конфигурирате контрола на достъпа. За да намалите ефективността на IP спуфинг, конфигурирайте контрола на достъпа, за да отрежете всеки трафик, идващ от външната мрежа с адрес на източник, който трябва да се намира във вашата мрежа.
Това обаче помага за борба с IP спуфинг, когато са разрешени само вътрешни адреси; ако някои адреси на външната мрежа също са разрешени, този методстава неефективен;
- Филтриране на RFC 2827. Можете да попречите на потребителите на вашата мрежа да измамят мрежите на други хора (и да станете добър гражданин на мрежата). Това изисква отхвърляне на всеки изходящ трафик, чийто изходен адрес не е един от IP адресите на вашата организация.
Този тип филтриране, известен като RFC 2827, може да се извърши и от вашия интернет доставчик. В резултат на това целият трафик, който няма очакван адрес на източник на конкретен интерфейс, се отхвърля. Например, ако доставчикът на интернет услуги предоставя връзка с IP адрес 15.1.1.0/24, той може да конфигурира филтъра така, че само трафик, идващ от 15.1.1.0/24, да бъде разрешен от този интерфейс към рутера на ISP.
Имайте предвид, че докато всички доставчици не въведат този тип филтриране, неговата ефективност ще бъде много по-ниска от възможното. Освен това, колкото по-далече от филтрираните устройства, толкова по-трудно е да се извърши точно филтриране. Например филтрирането по RFC 2827 на ниво рутер за достъп изисква целият трафик да преминава от главния мрежов адрес (10.0.0.0/8), докато на ниво на разпространение (в тази архитектура) можете да ограничите трафика по-точно (адрес - 10.1. 5,0/24).
Най-ефективният метод за справяне с IP спуфинг е същият като при подслушване на пакети: атаката трябва да бъде напълно неефективна. IP спуфингът може да функционира само ако удостоверяването се основава на IP адреси.
Следователно, въвеждането на допълнителни методи за удостоверяване прави подобни атаки безполезни. Най-добрата гледка допълнително удостоверяванее криптографски. Ако това не е възможно, двуфакторната автентификация с помощта на еднократни пароли може да даде добри резултати.
Отказ на услуга
Отказ от услуга (DoS) без съмнение е най-известната форма на хакерски атаки. Освен това срещу този тип атака е най-трудно да се създаде стопроцентова защита. DoS атаките се считат за детска игра сред хакерите и използването им предизвиква презрителни усмивки, тъй като организацията на DoS изисква минимум знания и умения.
Въпреки това, простотата на внедряване и абсолютната величина на вредата са тези, които причиняват DoS, за да привлече вниманието на администраторите на мрежовата сигурност. Ако искате да научите повече за DoS атаките, трябва да разгледате по-добре познатите разновидности, които са:
- TCP SYN Flood;
- Пинг на смъртта;
- Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K);
- Тринко;
- Stacheldracht;
- Троица.
Отличен източник на информация за сигурността е екипът за спешно реагиране на компютър (CERT), който има отлична работа по противодействие на DoS атаките.
DoS атаките са различни от другите видове атаки. Те не целят нито да получат достъп до вашата мрежа, нито да получат информация от тази мрежа, но DoS атака прави вашата мрежа недостъпна за нормална употребачрез превишаване на допустимите граници за работа на мрежата, операционната система или приложението.
За някои приложения от страна на сървъра (като уеб сървър или FTP сървър), DoS атаките могат да отнемат всички налични връзки за тези приложения и да ги задържат, като не позволяват на обикновените потребители да обслужват. DoS атаките могат да използват общи интернет протоколи като TCP и ICMP ( Протокол за интернет контролни съобщения).
Повечето DoS атаки не са предназначени за насочване софтуерни грешкиили пробив в сигурността, а по-скоро обща слабост в архитектурата на системата. Някои атаки анулират производителността на мрежата, като заливат мрежата с нежелани и ненужни пакети или като докладват фалшива информация за сегашно състояниемрежови ресурси.
Този тип атака е трудно да се предотврати, тъй като изисква координация с доставчика. Ако не спрете трафика от доставчика, предназначен да препълни вашата мрежа, тогава няма да можете да направите това на входа на мрежата, тъй като цялата честотна лента ще бъде заета. Когато този тип атака се извършва едновременно чрез множество устройства, говорим за разпределена DoS (DDoS) атака.
Заплахата от DoS атаки може да бъде смекчена по три начина:
- Функции против спуфинг... Правилното конфигуриране на функциите против спуфинг на вашите рутери и защитни стени ще помогне за намаляване на риска от DoS. Като минимум тези функции трябва да включват филтриране по RFC 2827. Освен ако хакерът не успее да прикрие истинската си самоличност, е малко вероятно той да започне атака.
- Anti-DoS функции. Правилната конфигурация на анти-DoS функции на рутери и защитни стени може да ограничи ефективността на атаките. Тези функции често ограничават броя на полуотворените канали във всеки даден момент.
- Ограничаване на скоростта на трафика... Организацията може да поиска от интернет доставчика да ограничи количеството трафик. Този тип филтриране ви позволява да ограничите количеството на некритичния трафик, преминаващ през вашата мрежа. Типичен пример е ограничаването на количеството ICMP трафик, който се използва само за диагностични цели. (D) DoS атаките често използват ICMP.
Атаки с парола
Хакерите могат да извършват атаки с пароли, използвайки различни техники, като атаки с груба сила, троянски коне, IP спуфинг и подслушване на пакети. Въпреки че потребителското име и паролата често могат да бъдат получени чрез IP спуфинг и подслушване на пакети, хакерите често се опитват да отгатнат паролата и потребителското име, използвайки множество опити за достъп. Този подход се нарича атака с груба сила.
Често се използва за такава атака специална програмакойто се опитва да получи достъп до ресурса обща употреба(например към сървъра). Ако в резултат на това хакерът получи достъп до ресурси, той го получава като редовен потребителчиято парола е избрана.
Ако този потребител има значителни привилегии за достъп, хакерът може да създаде "проход" за себе си за бъдещ достъп, който ще бъде валиден дори ако потребителят промени своята парола и вход.
Друг проблем възниква, когато потребителите използват една и съща (макар и много добра) парола за достъп до много системи: корпоративни, лични и интернет системи. Тъй като силата на паролата е равна на силата на най-слабия хост, хакер, който научи паролата чрез този хост, получава достъп до всички други системи, където се използва същата парола.
Атаките с пароли могат да бъдат избегнати, като не се използват пароли текстова форма... Еднократните пароли и/или криптографската автентификация могат на практика да премахнат заплахата от подобни атаки. За съжаление, не всички приложения, хостове и устройства поддържат горните методи за удостоверяване.
Когато използвате обикновени пароли, опитайте се да измислите такава, която би била трудна за отгатване. Минималната дължина на паролата трябва да бъде най-малко осем знака. Паролата трябва да включва главни букви, цифри и специални знаци (#,%, $ и т.н.).
Най-добрите пароли са трудни за отгатване и запомняне, което принуждава потребителите да ги записват на хартия. За да избегнат това, потребителите и администраторите могат да използват редица от най-новите технологични постижения.
Например, има приложни програми, които криптират списък с пароли, които можете да съхранявате във вашия Pocket PC. В резултат на това потребителят трябва да запомни само една сложна парола, докато всички останали ще бъдат надеждно защитени от приложението.
Има няколко метода за администратора да се бори с отгатването на парола. Единият е да използвате инструмента L0phtCrack, който често се използва от хакери за отгатване на пароли в Windows NT. Този инструмент бързо ще ви покаже дали е лесно да отгатнете паролата, която потребителят е избрал. Повече информация можете да получите на http://www.l0phtcrack.com/.
Атаки на човек по средата
Да атакуваш тип Man-in-the-Middleхакерът се нуждае от достъп до пакетите, предавани по мрежата. Такъв достъп до всички пакети, предавани от доставчика към всяка друга мрежа, може например да бъде получен от служител на този доставчик. Този тип атака често използва снифери на пакети, транспортни протоколи и протоколи за маршрутизиране.
Атаките се извършват с цел кражба на информация, прихващане на текущата сесия и получаване на достъп до частни мрежови ресурси, за анализиране на трафика и получаване на информация за мрежата и нейните потребители, за извършване на DoS атаки, изкривяване на предаваните данни и въвеждане на неоторизирана информация в мрежови сесии.
Атаките на човек в средата могат да бъдат ефективно борени само с помощта на криптография. Ако хакер прихване данните от криптирана сесия, на екрана му ще се появи не прихванатото съобщение, а безсмислен набор от знаци. Имайте предвид, че ако хакер получи информация за криптографска сесия (например ключ за сесия), това може да направи възможна атака Man-in-the-Middle дори в криптирана среда.
Атаки на слоя на приложения
Атаките на приложния слой могат да се извършват по няколко начина. Най-често срещаният от тях е използването на добре познати слабости в сървърния софтуер (sendmail, HTTP, FTP). Използвайки тези слабости, хакерите могат да получат достъп до компютъра от името на потребителя, който изпълнява приложението (обикновено това не е обикновен потребител, а привилегирован администратор с права за достъп до системата).
Атаките на ниво приложение са широко разгласени, за да се даде възможност на администраторите да отстранят проблема с коригиращи модули (пачове). За съжаление, много хакери също имат достъп до тази информация, което им позволява да се подобрят.
Основният проблем с атаките на приложния слой е, че хакерите често използват портове, на които е разрешено да преминават през защитната стена. Например, хакер, използващ известна слабост в уеб сървър, често използва за атака TCP порт 80. Тъй като уеб сървърът предоставя на потребителите уеб страници, защитната стена трябва да осигури достъп до този порт. От гледна точка на защитната стена, атаката се третира като стандартен трафик на порт 80.
Атаките на приложния слой не могат да бъдат напълно изключени. Хакерите непрекъснато откриват и публикуват нови уязвимости в приложните програми в Интернет. Най-важното тук е добрата системна администрация. Ето някои стъпки, които можете да предприемете, за да намалите уязвимостта си към този тип атаки:
- четене на регистрационни файлове на операционната система и мрежови регистрационни файлове и/или ги анализирайте с помощта на специални аналитични приложения;
- Абонирайте се за услугата за разпространение на слабости на приложения: Bugtrad (http://www.securityfocus.com).
Мрежово разузнаване
Мрежовото разузнаване е събирането на информация за мрежа, използвайки публично достъпни данни и приложения. Когато подготвя атака срещу мрежа, хакерът по правило се опитва да получи възможно най-много информация за нея. Разузнаването на мрежата се извършва под формата на DNS заявки, пингове и сканиране на портове.
DNS заявките ви помагат да разберете кой притежава конкретен домейн и какви адреси са присвоени на този домейн. Пингирането на адреси, изложени на DNS, ви позволява да видите кои хостове всъщност работят във вашата среда. След като получи списък с хостове, хакерът използва инструменти за сканиране на портове, за да състави пълен списък с услуги, поддържани от тези хостове. Накрая хакерът анализира характеристиките на приложенията, работещи на хостовете. В резултат на това той извлича информация, която може да се използва за хакване.
Невъзможно е напълно да се отървете от мрежовата интелигентност. Ако например деактивирате ICMP ехо и ехо отговор на периферни рутери, ще се отървете от пинговете, но ще загубите данните, необходими за диагностициране на мрежови грешки.
Освен това можете да сканирате портове, без първо да пингувате – просто отнема повече време, тъй като ще трябва да сканирате и несъществуващи IP адреси. IDS системите на ниво мрежа и хост обикновено вършат добра работа, като уведомяват администратора за текущо мрежово разузнаване, което ви позволява да се подготвите по-добре за предстояща атака и да предупредите ISP, в чиято мрежа системата проявява прекомерно любопитство:
- използвайте най-новите версии на операционни системи и приложения и най-новите модули за корекция (пачове);
- В допълнение към системното администриране, използвайте системи за откриване на атаки (IDS) - две допълващи се ID технологии:
- Мрежови IDS (NIDS) следи всички пакети, преминаващи през конкретен домейн. Когато системата NIDS види пакет или серия от пакети, които съответстват на подписа на известна или вероятна атака, тя генерира аларма и/или прекратява сесията;
- IDS (HIDS) защитава хоста със софтуерни агенти. Тази система се бори само с атаки срещу един хост.
IDS работят с помощта на сигнатури за атака, които са профили на специфични атаки или типове атаки. Подписите определят условията, при които трафикът се счита за хакерски. Аналозите на IDS във физическия свят могат да се считат за система за предупреждение или камера за наблюдение.
Най-големият недостатък на IDS е способността им да генерират аларми. Необходима е внимателна конфигурация, за да се сведат до минимум фалшивите аларми и да се гарантира правилното функциониране на системата IDS в мрежата.
Злоупотреба с доверие
Строго погледнато, този вид действие не е в пълния смисъл на думата нападение или нападение. Това е злонамерено използване на отношения на доверие, които съществуват в мрежата. Класически пример за такава злоупотреба е ситуацията на ръба на корпоративната мрежа.
Този сегмент често е домакин на DNS, SMTP и HTTP сървъри. Тъй като всички те принадлежат към един и същи сегмент, хакването на всеки от тях води до хакване на всички останали, тъй като тези сървъри се доверяват на други системи в тяхната мрежа.
Друг пример е система, инсталирана извън защитната стена, която има връзка на доверие със системата, инсталирана от нейната вътре... Ако външна система е компрометирана, хакерът може да използва връзката на доверие, за да проникне в системата, защитена от защитната стена.
Рискът от нарушаване на доверието може да бъде смекчен чрез по-строг контрол на нивата на доверие във вашата мрежа. Системите извън защитната стена не трябва при никакви обстоятелства да бъдат напълно доверени от системите, защитени от защитната стена.
Отношенията на доверие трябва да бъдат ограничени до определени протоколи и, ако е възможно, да бъдат удостоверени не само с IP адреси, но и с други параметри.
Пренасочване на портове
Пренасочването на портове е форма на злоупотреба с доверие, при която компрометиран хост се използва за преминаване на трафик през защитната стена, която е в противен случайопределено ще бъде отхвърлен. Представете си защитна стена с три интерфейса, всеки от които има специфичен хост, свързан към него.
Външният хост може да се свърже със споделения хост (DMZ), но не и към този, инсталиран от вътрешната страна на защитната стена. Споделеният хост може да се свързва както с вътрешен, така и с външен хост. Ако хакер поеме споделен хост, той може да инсталира софтуер на него, който пренасочва трафика от външния хост директно към вътрешния хост.
Въпреки че това не нарушава никакви правила, действащи на екрана, външният хост в резултат на пренасочването получава директен достъп до защитения хост. Пример за приложение, което може да осигури този достъп, е netcat. Повече информация можете да намерите на http://www.avian.org.
Основният начин за справяне с пренасочването на портове е използването на модели на силно доверие (вижте предишния раздел). Освен това не позволявайте на хакер да инсталира свой собствен софтуерможе да хоства IDS система (HIDS).
Неоторизиран достъп
Неоторизираният достъп не може да бъде категоризиран като отделен тип атака, тъй като повечето мрежови атаки се извършват именно за получаване на неоторизиран достъп. За да получи логин за Telnet, хакерът трябва първо да получи подкана за Telnet в своята система. След свързване към порта Telnet, съобщението "изисква се упълномощаване за използване на този ресурс" (" Изисква се разрешение за използване на този ресурс.»).
Ако след това хакерът продължи да се опитва да получи достъп, той ще се счита за неоторизиран. Източникът на такива атаки може да бъде локализиран както вътре в мрежата, така и извън нея.
Начини за справяне с неоторизиран достъпса доста прости. Основното тук е да намалите или напълно да премахнете способността на хакера да получи достъп до системата с помощта на неоторизиран протокол.
Като пример, помислете за предотвратяване на достъп на хакери до Telnet порта на сървър, който предоставя уеб услуги на външни потребители. Без достъп до този порт, хакерът не може да го атакува. Що се отнася до защитната стена, основната й задача е да предотврати най-простите опити за неоторизиран достъп.
Вируси и приложения за троянски кон
Работните станции за крайни потребители са силно уязвими към вируси и троянски коне. Вирусите са злонамерени програми, които са вградени в други програми, за да изпълняват определена нежелана функция на работна станциякраен потребител. Пример е вирус, който се регистрира във файла command.com (основния интерпретатор на Windows) и изтрива други файлове и заразява всички други версии на command.com, които намери.
Троянският кон не е вложка, а истинска програма, която на пръв поглед изглежда полезно приложение, но всъщност играе вредна роля. Пример за типичен троянски кон е програма, която изглежда така проста играза работната станция на потребителя.
Въпреки това, докато потребителят играе играта, програмата изпраща свое копие по имейл на всеки абонат, вписан в адресната книга на този потребител. Всички абонати получават играта по пощата, което води до по-нататъшното й разпространение.
Борбата с вируси и троянски коне се осъществява с ефективен антивирусен софтуер, работещ на потребителско ниво и евентуално на мрежово ниво. Антивирусните инструменти откриват и спират повечето вируси и троянски коне.
Получаването на най-новата информация за вирусите ще ви помогне да се борите с тях по-ефективно. Тъй като се появяват нови вируси и троянски коне, предприятията трябва да инсталират нови версии на антивирусни инструменти и приложения.
При писането на тази статия са използвани материали, предоставени от Cisco Systems.
Добро Лошо
Мрежова защита и защитна стена
Осъзнавайки опасността от атаки, много изследователски центрове и частни компании са се справили с този проблем. Разработеният метод за защита е подобен на стена, обграждаща компютъра от всички страни, поради което и получи името защитна стена(fire wall), в противен случай защитна стена или филтър, който филтрира заявки от мрежови потребители към системата. В официалната руска версия Уиндоус експисе превежда като защитна стена.
защитна стена- специален софтуер, доставен с операционната система или инсталиран от потребителя, който ви позволява да откажете всякакъв достъп нежелани потребителиот мрежата към системата. защитна стенапомага за подобряване на сигурността на вашия компютър. Ограничава информацията, която идва към вашия компютър от други компютри, като ви позволява да контролирате по-добре данните на вашия компютър и осигурява линията на защита на вашия компютър срещу хора или програми (включително вируси и червеи), които неупълномощено се опитват да се свържат с вашия компютър. защитна стена- Това е граничен пост, където се проверява информация (трафик), идваща от интернет или през локална мрежа. По време на проверката защитна стенаотхвърля или предава информация на компютъра в съответствие със зададените параметри.
Част Уиндоус експивключена вградена версия защитна стена(в сервизния пакет SP2за Защитна стена на Microsoft Windows XPактивиран по подразбиране), основният алгоритъм на който осигурява защита от неоторизирани потребители. Почти невъзможно е да се намери уязвимост, която би позволила на натрапник да проникне в система, защитена от защитна стена. Функции, изпълнявани от защитна стена:
Блокиране на достъпа до компютъра за вируси и "червеи";
Подканете потребителя да избере да блокира или разреши определени заявки за връзка;
Поддържането на дневник за сигурност и, по избор, запис на разрешени и блокирани опити за свързване с компютър, дневникът може да бъде полезен за диагностициране на проблеми.
Идеята за кракер атаки се основава на работата на алгоритми от ниско ниво за обработка на мрежови заявки, в някои по-стари версии на софтуера те могат да бъдат опитани да бъдат използвани за евентуално проникване през защитната стена. В съвременните версии защитна стенаако го конфигурирате правилно, можете да избегнете всякакви хакерски атаки.
Когато компютърът получи неочаквана заявка (някой се опитва да се свърже от интернет или локална мрежа), защитна стенаблокира връзката. Ако компютърът ви използва програми за незабавни съобщения или онлайн игри, които трябва да получават информация от интернет или локална мрежа, защитна стенамоли потребителя да блокира или разреши връзката. Ако потребителят разреши връзката, защитна стенасъздава изключение, за да не смущава потребителя с искания за информация за тази програма в бъдеще. Има и възможност за изключване защитна стеназа отделни връзки към интернет или локална мрежа, но това увеличава вероятността от компрометиране на сигурността на вашия компютър.
Конфигуриране на защитната стена
Ако защитна стенасвързан, тогава за да го конфигурирате трябва:
Влезте в системата като системен администратор;
Отворете папката, където се намират мрежовите връзки:
Старт \ Настройки \ Контролен панел \ Мрежови връзки(Фиг. 1.);
Изберете линия, например (фиг. 2.);
В раздела Общнаправи щракване с бутон Имоти(фиг. 2.);
Ще се появи допълнителен прозорец Имотив който да изберете раздела Освен това(фиг. 1.2.);
В раздела Освен тованатиснете бутона Настроики(фиг. 3.);
Ще се появи прозорецът на програмата Защитна стена на Windows (фиг. 3.).
Подобен прозорецсе появява, когато изберете програма Защитна стена на Windowsот списъка с програми в Контролни панели:
Старт - Настройки - Контролен панел - Защитна стена на Windows(фиг. 4.)
Получавам подробна информацияв прозореца на програмата Защитна стена на Windowsвръзката трябва да се щракне Повече за защитната стена на Windows... Ще се появи прозорец Център за помощ и поддръжка,която ще предостави цялата информация за предназначението и използването защитна стена.
Фигура 1. Прозорец на програмата Интернет връзка
Фигура 2. Програмни прозорци LAN връзка
Фигура 3. Прозорец на раздел Освен товаи прозорец на програмата защитна стена
Фигура 4. Прозорец Контролен панели прозорец на програмата Защитна стена на Windows
Отметка Общпрозорци за настройки защитна стенае основният, по подразбиране защитна стенавключени (фиг. 4.). Разделът съдържа редица опции.
Вариант Активиране (препоръчително)включва защитна стена... Вариант Не допускайте изключенияможе да се използва само заедно с опцията Активиране (препоръчително)... Позволява ви да повишите нивото на сигурност на системата, когато се използва на обществени места като летища, кафенета, кина и др., оборудвани с достъп до Интернет. Нивото на сигурност ще се повиши чрез забрана на работата на програми, на които е разрешен достъп от мрежа, блокирана от мрежов филтър. Системата няма да генерира съобщения за отказ на потребителски достъп до такива приложения.
Вариант Изключете (не се препоръчва)напълно се изключва защитна стена... В този случай системата е напълно незащитена от външни атаки. Единственият случай, когато това може да бъде оправдано, е когато трябва да тествате накратко работата на приложение, което не иска да работи с активна защитна стена.
Защитна стена на Windowsблокира входящите мрежови връзки, с изключение на програми и услуги, избрани от потребителя. Добавянето на изключения подобрява производителността на някои програми, но увеличава риска за сигурността. Отметка Изключенияви позволява да зададете програми и услуги, към които потребителите могат да се свързват от Интернет (фиг. 5.). Всъщност за тези софтуерни продукти мрежов филтърняма да работи, като предава всички заявки към тях през себе си.
Фигура 5. Таб Изключения
Отметка Изключенияе списък с програми и услуги, на които може да бъде разрешен достъп от интернет, като поставите отметка в квадратчето до тях. Вариант Показване на известие, когато защитната стена блокира програмата, ако е активиран, сили Windowsпоказва съобщение за опит за достъп от мрежата. Опцията е активирана по подразбиране, т.к помага за по-добро разбиране на процесите, протичащи в системата. Ако на отметка Общинсталирана опция Не допускайте изключениясъобщението няма да се покаже.
За да премахнете програма или услуга от списъка с разрешени обекти, до които има достъп от Интернет, изберете обекта от списъка с прозорци и щракнете Изтрий... Тази операция трябва да се извърши с програми или услуги, които вече не трябва да са достъпни за потребителите от Интернет.
За да редактирате конкретен обект от списъка с програми и услуги, разрешени за достъп от Интернет, изберете обекта, който се редактира, и натиснете бутона Промяна, ще се появи прозорец Промяна на програмата(фиг. 6). Диалоговият прозорец съдържа името на програмата, която се редактира, и пътя до нейния изпълним файл. Бутон Променете зонатави позволява да зададете кои мрежови компютри ще имат достъп до избраната програма или услуга. В този прозорец можете да посочите три режима, в съответствие с които ще се осъществява достъп от мрежата до програмата или услугата, намиращи се в системата.
режим Всеки компютър (включително от интернет)показва, че достъпът до тази програма ще бъде възможен от всички мрежови компютри, включително тези, които се намират в Интернет. Не е препоръчително да избирате режима ненужно, т.к всеки потребител отвън ще получи възможност да се опита да се свърже с определен софтуер. И ако съдържа уязвимости, потребителят може да получи достъп до системата или да наруши нормалната й работа.
режим Само локална мрежа (подмрежа)ви позволява да направите възможен достъп до софтуера само от мрежата, в която се намира системата, което значително намалява риска от хакване, дори ако има уязвимости в софтуера. Ако трябва да разрешите достъп само от някои мрежови компютри, се препоръчва да използвате третата опция.
Фигура 6. Диалогов прозорец Промяна на програмата
Фигура 7. Диалогов прозорец Промяна на района
режим Специален списъкви позволява да посочите списък в полето за въвеждане по-долу IP адреси(мрежов адрес на формуляра a.b.c.d) компютри, на които ще бъде разрешен достъп до избраната услуга или програма. Това е най-удобният и сигурен начин за прилагане на разрешение за достъп от мрежата, тъй като в този случай винаги можете да контролирате компютрите, които го получават, и да сте сигурни, че системата е надеждно защитена от атаки. Препоръчително е да използвате този режим (ако ситуацията позволява), като най-оптималният от всички. Бутон Добрезаписва направените промени в прозореца, бутона Отмяна- ги отменя.
Фигура 8. Диалогов прозорец Добавяне на програма
В отметката Изключениябутон Добавете програмави позволява да добавяте програми, към които трябва да разрешите достъп от мрежата (фиг. 8.). От предложения списък трябва да изберете желаното приложение или да използвате бутона Прегледи насочете неговия изпълним файл във файловата система на компютъра. Използване на бутона Променете зонатаможете да посочите кои мрежови компютри ще имат достъп до това приложение. Бутон Добрезаписва направените промени чрез затваряне на прозореца за добавяне на програма, бутона Отмяна
В отметката Изключениянатискане на бутон Добавете портпоказва диалогов прозорец Добавяне на порт(фиг. 9.). Номерът на порта е канал, изразен като цяло число десетично числочрез които приложенията могат да обменят информация. Ако приложението, което използвате, трябва да отвори определен канал, тогава в полето иметрябва да въведете името на приложението в полето Номер на пристанищеНомерът на порта, докладван от приложението. Опции в квадратчето за отметка TCPи UDPви позволяват да посочите от кой порт се нуждае приложението. Ако трябва да създадете два порта с един и същи номер, но различни видове (TCPили UDP), тогава трябва да използвате функцията за увеличаване на портовете два пъти (с помощта на Добавете порт) (фиг. 9.), и с помощта на бутона Променете зонатапосочете от кои мрежови компютри ще бъде възможен достъп това пристанище... Бутон Добрезапазва направените промени, бутонът Отмянаводи до анулиране на всички допълнения, направени към прозореца.
Фигура 9. Диалогов прозорец Добавяне на порт
