Over het algemeen kan elke netwerkaanval worden onderverdeeld in 5 fasen (tabel 3). In een echte situatie kunnen sommige stappen worden overgeslagen.
Tabel 3. Hoofdklassen van netwerkaanvallen
|
Netwerk aanvalsklasse |
Klassebeschrijving |
|
1. Onderzoek |
Algemene informatie krijgen over computer systeem(KS) |
|
1.1 Sociale techniek |
Informatie ontvangen door via de telefoon het vertrouwen in te wrijven, e-mail enzovoort. |
|
1.2 Directe invasie |
Informatie verkrijgen via fysieke toegang tot netwerkapparatuur |
|
1.3 Afval dumpen |
Informatie ophalen uit prullenbakken of archieven |
|
1.4 Zoeken in WEB |
Informatie verkrijgen van internet via openbare zoekmachines |
|
1.5 WHOIS verkennen |
Informatie verkrijgen uit registratiegegevens over de eigenaren van domeinnamen, IP-adressen en autonome systemen |
|
1.6 DNS-zones verkennen |
Informatie verkrijgen door het gebruik van een domeinnaamservice |
|
2. Scannen |
Informatie verkrijgen over de infrastructuur en interne structuur van de CS |
|
2.1 Zoeken actieve apparaten |
Informatie verkrijgen over actieve apparaten van de CS |
|
2.2 Routes traceren |
Definitie van CS-topologie |
|
2.3 Poortscan |
Informatie krijgen over actieve diensten actief in de COP |
|
3. Toegang verkrijgen |
Bevoorrechte rechten verkrijgen om KS-knooppunten te beheren |
|
3.1 Stapeloverloop |
Uitvoering van willekeurige code als gevolg van een door een aanvaller veroorzaakte fout in software |
|
3.2 Aanval op wachtwoorden |
Selectie van wachtwoorden uit een lijst met standaard wachtwoorden of met behulp van een speciaal gegenereerd woordenboek, onderschepping van wachtwoorden |
|
3.3 Aanvallen op WEB - toepassingen |
Toegang verkrijgen door misbruik te maken van kwetsbaarheden in open WEB-applicaties van de CS |
|
3.4 Snuiven |
Toegang verkrijgen door passieve (afluisteren) en actieve (substitutie van geadresseerden) onderschepping van CS-verkeer |
|
3.5 Onderschepping van een communicatiesessie |
Exploitatie van de verkregen rechten om de doelen van hacking te bereiken |
|
4.1 Toegang behouden |
Externe beheersystemen installeren |
|
4.2 DOS-aanvallen |
Apparaten en individuele CS-services uitschakelen |
|
4.3 Omgaan met vertrouwelijke informatie |
Onderscheppen, kopiëren en/of vernietigen van informatie |
|
5. Bedekkende sporen |
Verhulling van het feit van penetratie in de CS van beveiligingssystemen |
|
5.1 Systeemlogboeken wissen |
Verwijderen van gegevens uit archieven van applicaties en diensten van KS |
|
5.2 Tekenen van netwerkaanwezigheid verbergen |
Tunneling binnen standaardprotocollen (HTTP, ICMP, TCP-headers, enz.) |
Laten we eens kijken naar de belangrijkste methoden en middelen voor bescherming tegen de vermelde netwerkbedreigingen.
Social engineering. De beste verdediging tegen social engineering is gebruikersbewustzijn. Het is noodzakelijk om alle werknemers te informeren over het bestaan van social engineering en duidelijk te definiëren welke soorten informatie onder geen enkel voorwendsel aan de telefoon mogen worden bekendgemaakt. Als de organisatie mogelijkheden biedt voor het telefonisch verstrekken van informatie (telefoonnummers, identificatiegegevens, etc.), dan dienen deze procedures duidelijk te worden geregeld, bijvoorbeeld door middel van methoden om de identiteit van de beller te verifiëren.
Directe invasie:
* toegangscontrole (toegangscontrolesystemen, bezoekerslogboek, badges, enz.);
* fysieke beveiliging van apparatuur (mechanische, elektronische sloten);
* computervergrendeling, schermbeveiligingen;
* encryptie van het bestandssysteem.
Afvalinzameling. De bekende papierversnipperaar is de beste verdediging tegen wie door de vuilnisbakken snuffelt. Medewerkers moeten ongehinderd toegang hebben tot dergelijke machines, zodat ze alle waardevolle informatie kunnen vernietigen. Als alternatief krijgt elke gebruiker een aparte afvalbak met belangrijke informatie, van waaruit elke nacht documenten naar de shredder gaan. Werknemers moeten duidelijke instructies krijgen over hoe ze met vertrouwelijke informatie moeten omgaan.
Zoek in het WEB. De belangrijkste beschermingsmethode is het niet-openbaar maken van informatie. Het is noodzakelijk om de lijst met informatie noodzakelijk en voldoende te maken om op openbare bronnen op internet te worden geplaatst. Overmatige gegevens over het bedrijf kunnen een aanvaller "helpen" om zijn bedoelingen te realiseren. Werknemers moeten verantwoordelijk worden gehouden voor de verspreiding van vertrouwelijke informatie. Publicatie moet periodiek worden gecontroleerd. persoonlijke informatie zelfstandig of met de betrokkenheid van externe bedrijven.
WHOIS verkennen. Bestaat niet gemeenschappelijke manieren bescherming tegen het verkrijgen van registratiegegevens door een indringer. Er zijn aanbevelingen volgens welke de informatie in de relevante databases zo nauwkeurig en geloofwaardig mogelijk moet zijn. Hierdoor kunnen beheerders van verschillende bedrijven naadloos met elkaar communiceren en het zoeken naar indringers vergemakkelijken.
DNS-zones verkennen. Allereerst moet u controleren of er geen datalek is op de DNS-server, wat optreedt door de aanwezigheid van onnodige informatie daar. Deze informatie kan namen zijn die de naam van besturingssystemen bevatten, records zoals HINFO of TXT. Ten tweede moet u de DNS-server correct configureren om zoneoverdrachten te beperken. Ten derde is het nodig om de grensrouter zo te configureren dat alleen: back-upservers DNS, synchroniseren met een centrale server. U moet ook de scheiding van de externe en interne DNS-servers gebruiken. De interne server is geconfigureerd om alleen interne netwerknamen om te zetten en doorstuurregels worden gebruikt om externe netwerknamen om te zetten. Dat wil zeggen, de externe DNS-server mag niets "weten" over het interne netwerk.
Zoek naar actieve apparaten en traceer routes. De beveiligingsmethode is het installeren en configureren van firewalls om pakketten zo te filteren dat verzoeken van programma's die door een aanvaller worden gebruikt, worden weggefilterd. Als u bijvoorbeeld ICMP-verzoeken van niet-vertrouwde bronnen blokkeert, wordt het traceren erg moeilijk.
Poort scannen. Het eerste en belangrijkste is om alle ongebruikte poorten te sluiten. Als u bijvoorbeeld TELNET niet gebruikt, moet u de bijbehorende poort sluiten. Bij het inzetten nieuw systeem, moet u van tevoren weten welke poorten het gebruikt en deze openen als dat nodig is. in het bijzonder belangrijke systemen het wordt aanbevolen om programma's te verwijderen die overeenkomen met onnodige services. De beste systeeminstelling wordt beschouwd als die waarin het aantal geïnstalleerde services en tools minimaal is. Ten tweede is het noodzakelijk om uw eigen systeem onafhankelijk te testen op penetratie, waardoor de acties van de indringer vooraf worden bepaald. Ter bescherming tegen geavanceerdere scanners wordt het gebruik van stateful pakketfilters aanbevolen. Deze filters onderzoeken protocolpakketten en laten alleen de pakketten door die overeenkomen met vastgestelde sessies.
Algemene aanbevelingen voor anti-crawling zijn het tijdig toepassen van beveiligingspakketten, inbraakdetectiesystemen (IDS), inbraakpreventiesystemen (IPS) voor het netwerk en voor hosts, en het tijdig bijwerken ervan.
Stapel overloop. Methoden van bescherming tegen: van dit type aanvallen kunnen worden onderverdeeld in twee categorieën.
- 1. Methoden die worden gebruikt door systeembeheerders en beveiligingspersoneel tijdens de werking, configuratie en onderhoud van systemen: tijdige toepassing van patches op systemen, bijhouden van updates geïnstalleerde producten, service packs voor hen, verwijdering onnodige programma's en services, controle en filtering van inkomend/uitgaand verkeer, configureren van een niet-uitvoerbare stack. Veel IDS's zijn in staat om op handtekeningen gebaseerde geheugenoverloopaanvallen te detecteren.
- 2. Methoden die door softwareontwikkelaars worden gebruikt bij het maken van programma's: eliminatie van programmeerfouten door de beschikbare geheugenruimte te controleren, de hoeveelheid invoerinformatie die door de toepassing gaat. Zich onthouden van het gebruik van problematische functies vanuit veiligheidsoogpunt; compilatie van programma's met speciale middelen.
De bovenstaande methoden helpen om het aantal stack-overflow-aanvallen te minimaliseren, maar ze bieden geen garantie volledige veiligheid systemen.
Wachtwoord aanvallen. Eerst en vooral sterke wachtwoorden. Deze wachtwoorden zijn minimaal 9 tekens lang en bevatten: Speciale symbolen... Het volgende is de regelmatige verandering van wachtwoorden. Om dit correct te laten werken, wordt aanbevolen dat u een organisatiespecifiek wachtwoordbeleid ontwikkelt en de inhoud ervan aan alle gebruikers communiceert. Het is niet overbodig om medewerkers specifieke aanbevelingen te geven voor het aanmaken van wachtwoorden. Ten tweede wordt het aanbevolen om systemen te gebruiken met ingebouwde controle op "zwakte" van wachtwoorden. Als een dergelijke controle niet aanwezig is, moet aanvullende software worden geïmplementeerd met vergelijkbare functionaliteit. Meest effectieve methode- afwijzing van wachtwoorden en het gebruik van authenticatiesystemen (smartcards, enz.). Het wordt aanbevolen om regelmatig uw eigen wachtwoorden te testen. Het is een goede gewoonte om gehashte wachtwoordbestanden en hun schaduwkopieën te beschermen.
Aanvallen op WEB-applicaties. Om te beschermen tegen accountkaping, is het noodzakelijk om dezelfde fout op het scherm weer te geven als de gebruikersnaam of het wachtwoord onjuist is ingevoerd. Dit maakt het voor een aanvaller moeilijk om je ID of wachtwoord brute force te forceren. De beste verdediging tegen connectie-tracking-aanvallen is hashing verzonden informatie over verbinding, dynamische wijziging van sessie-ID, einde van inactieve sessie. De gevaarlijkste aanvallen zijn SQL-injectie in een applicatie. Bescherming daartegen is het zo ontwikkelen van WEB-applicaties dat ze de door de gebruiker opgegeven data zorgvuldig kunnen filteren. De applicatie mag de ingevoerde informatie niet blindelings vertrouwen, aangezien deze tekens kan bevatten die kunnen worden gebruikt om SQL-commando's te wijzigen. De toepassing moet speciale tekens verwijderen voordat het verzoek van de gebruiker wordt verwerkt.
Opgemerkt moet worden dat de WAF-richting (Web Application Firewall) momenteel actief bezig is met het ontwikkelen van een firewall op applicatieniveau die uitgebreide methoden biedt voor het beschermen van WEB-bronnen. Helaas zijn deze oplossingen vanwege hun hoge kosten voornamelijk alleen beschikbaar voor grote bedrijven.
Snuiven. De eerste is codering van gegevens die via het netwerk worden verzonden. Hiervoor worden protocollen gebruikt - HTTPS, SSH, PGP, IPSEC. De tweede is een zorgvuldige omgang met beveiligingscertificaten, waarbij twijfelachtige certificaten worden genegeerd. Het gebruik van moderne schakelaars waarmee u MAC-filtering op poorten kunt configureren, implementeert een statische ARP-tabel. Gebruik VLAN's.
IP-spoofing. deze bedreiging kan worden geminimaliseerd door de volgende maatregelen.
- 1. Toegangscontrole. Aan de rand van het netwerk zijn pakketfilters geïnstalleerd om al het verkeer op het externe netwerk uit te filteren, waarbij het bronadres in de pakketten een van de adressen van het interne netwerk bevat.
- 2. RFC2827 filteren. Het vermindert uitgaand verkeer op uw interne netwerk waar geen van de IP-adressen van uw organisatie het bronadres is toegewezen.
- 3. Implementatie extra soorten authenticatie (twee-factor) en cryptografische codering maken dergelijke aanvallen volledig ondoeltreffend.
Onderschepping van een communicatiesessie. Dit type aanval kan alleen effectief worden bestreden met behulp van cryptografie. Dit kan SSL-protocol zijn, VPN-netwerken, etc. Voor de meest kritische systemen is het aan te raden om encryptie ook in interne netwerken te gebruiken. Een aanvaller die het verkeer van een versleutelde sessie onderschept, zal er geen waardevolle informatie uit kunnen halen.
DOS-aanvallen. Laten we, om de beschermingsmiddelen tegen DOS-aanvallen te beschrijven, eens kijken naar hun classificatie. Deze aanvallen vallen over het algemeen in twee categorieën uiteen: beëindiging van de dienst en uitputting van hulpbronnen (tabel 5). Beëindiging van services - storing of afsluiten van een specifieke server die op het netwerk wordt gebruikt. Uitputting van bronnen - het verspillen van computer- of netwerkbronnen om te voorkomen dat gebruikers de aangevallen service ontvangen. Beide soorten aanvallen kunnen zowel lokaal als op afstand (via het netwerk) worden uitgevoerd.
Bescherming tegen beëindiging van lokale diensten: up-to-date beveiligingspatches voor lokale systemen, regelmatige foutcorrectie, differentiatie van toegangsrechten, toepassing van programma's om de integriteit van bestanden te controleren.
Bescherming tegen uitputting van lokale bronnen: toepassen van het principe van de minste bevoegdheden bij het toewijzen van toegangsrechten, toenemende systeembronnen(geheugen, processorsnelheid, bandbreedte van communicatiekanalen, enz.), het gebruik van IDS.
Bescherming tegen beëindiging van diensten op afstand: patching, snelle reactie.
De beste verdediging tegen uitputting van hulpbronnen op afstand is een snelle reactie op een aanval. Moderne IDS-systemen en samenwerking met een provider kunnen hierbij helpen. Net als in de vorige paragrafen moeten systemen tijdig worden bijgewerkt en gecorrigeerd. Gebruik anti-spoofing-functies. Beperk de hoeveelheid verkeer van de provider. De meest kritische systemen vereisen voldoende bandbreedte en redundante koppelingen.
Toegang behouden. Virussen en Trojaanse paarden. De beste bescherming is effectieve antivirussoftware (software) die zowel op gebruikersniveau als op netwerkniveau werkt. Om een hoog beveiligingsniveau tegen deze bedreigingen te garanderen, zijn regelmatige updates van antivirussoftware en handtekeningen van bekende virussen vereist. De tweede stap is het krijgen van actuele updates besturingssystemen, het instellen van applicatiebeveiligingsbeleid in overeenstemming met de huidige aanbevelingen van hun ontwikkelaars. Het is noodzakelijk om gebruikers te onderwijzen in de vaardigheden van "veilig" werken op internet en met e-mail. Bescherming tegen "ROOTKIT" wordt geboden door toegangscontrolebeleid, antivirussoftware, het gebruik van spoofs en inbraakdetectiesystemen.
Sporen bedekken. Na een aanval probeert een aanvaller meestal detectie door beveiligingsbeheerders te voorkomen. Voor deze doeleinden wijzigt of verwijdert hij de logbestanden waarin de geschiedenis van de acties van de overtreder is opgeslagen. creatie effectieve bescherming, die voorkomt dat een aanvaller de logbestanden wijzigt, is essentiële voorwaarde veiligheid. De hoeveelheid inspanning die nodig is om de registratie-informatie van een bepaald systeem te beschermen, hangt af van de waarde ervan. De eerste stap om de integriteit en bruikbaarheid van de logbestanden te waarborgen, is om registratie op kritieke systemen mogelijk te maken. Om te voorkomen dat in geval van overmacht blijkt dat de logs zijn uitgeschakeld, is het noodzakelijk om een beveiligingsbeleid te creëren waarin de logprocedures worden geregeld. We raden u aan uw systemen regelmatig te controleren om er zeker van te zijn dat ze aan dit beleid voldoen. Een andere noodzakelijke maatregel om logbestanden te beschermen is de differentiatie van toegangsrechten tot deze bestanden. Effectieve ontvangst bescherming van registratie-informatie is de installatie van een speciale gebeurtenisregistratieserver, die zorgt voor het juiste beveiligingsniveau. Ook goed zijn beschermingsmethoden zoals het versleutelen van logbestanden en het toestaan om alleen naar het einde van het bestand te schrijven. Gebruik van IDS-systemen. U kunt op twee plaatsen beveiligen tegen tunneling: op de doelcomputer en op het netwerk. Op de doelcomputer wordt bescherming verzekerd door toegangsrechten, antivirussoftware, veilige configuratie en installatie van updates. Op netwerkniveau kan tunneling worden gedetecteerd door inbraakdetectiesystemen.
De belangrijkste beschermingsmethoden tegen netwerkaanvallen zijn hierboven opgesomd. Op basis hiervan worden complexe oplossingen gebouwd die een aantal functies voor het beschermen van informatie kunnen combineren en in een specifieke module van de netwerkinfrastructuur kunnen worden gebruikt.
Lange tijd werd de rust van de inwoners van de steden bewaakt door bewakers en schildwachten, die bij een noodsituatie alarm sloegen. In de virtuele wereld is deze taak toevertrouwd aan: systemen voor het detecteren van (afstotende) aanvallen, of СОА (Inbraakdetectiesysteem - IDS). De eerste systemen voor het detecteren van aanvallen verschenen lang geleden, het begin van hun ontwikkeling wordt geassocieerd met de publicatie in 1980 van het artikel "Computer Security Threat Monitoring and Surveillance" door John Anderson. De ontwikkeling van aanvalsdetectiesystemen begon ermee, hoewel ze later - rond het begin van de jaren negentig - actief werden gebruikt, nadat ze zich bewust waren van de gevaren van de virtuele wereld.
Er is enige verwarring in de Russische naam van dergelijke systemen: letterlijk wordt Intrusion Detection System vertaald als "intrusion detection system", en het wordt in veel bronnen gebruikt. Het gevolg van een aanval hoeft echter geen inbraak te zijn, hoewel het feit van een aanval ook door een dergelijk systeem wordt geregistreerd. Het is juister om het woord "aanval" te gebruiken.
Traditioneel zijn SOA onderverdeeld in systemen die beschermen: aparte knoop(Host IDS), en netwerk(Network IDS), die netwerkpakketten besturen. Er zijn ook hybride SOA die de mogelijkheden van beide systemen combineren. Op een bepaald moment wilden de ontwikkelaars aanvallen niet alleen detecteren, maar ook stoppen. Zo ontstonden de systemen om aanvallen te stoppen. Elke SOA bestaat uit sensoren die informatie verzamelen en een analyse- en besluitvormingsmechanisme. Sensoren analyseren de systeemlogboeken om verdachte gebeurtenissen te detecteren, systeemoproepen, toepassingsgedrag, bestandsintegriteit en netwerkpakketten. Sets van handtekeningen worden als criterium gebruikt, hoewel tools die reageren op anomalieën steeds populairder worden.
Tegenwoordig is een antivirus-firewallbundel niet langer voldoende voor volledige bescherming, dus bieden de ontwikkelaars SOA ook voor thuisgebruik aan. Om de gebruiker niet te intimideren met de nieuwe namen, worden bij het beschrijven van het product termen als "uitgebreide beveiligingsoplossing" of "geavanceerde firewall" gebruikt. Een voorbeeld is: Buitenpost firewall Firewall Pro besproken in het vorige hoofdstuk. Het bevat een aparte module die bescherming biedt tegen netwerkaanvallen. In hoofdstuk 3 heb je geleerd over computerbeveiligingssystemen, die kunnen worden geclassificeerd als SOA's die een afzonderlijk knooppunt beschermen.
Op een thuiscomputer is de functionaliteit van SOA, die wordt gebruikt om bedrijfsnetwerken en servers te beschermen en een grote hoeveelheid bronnen te verbruiken, niet nodig. Voor desktopsystemen bieden we geïntegreerde oplossingen met antivirus, firewall en SOA.
5.2. Uw computer beschermen met Kaspersky Internet Security
Voorheen bood Kaspersky Lab ter bescherming tegen hackers de Kaspersky Anti-Hacker-firewall aan, wiens taak het was om inkomende en uitgaande verbindingen te controleren en vijandige acties te onderdrukken voordat ze schade zouden oplopen. Met deze applicatie was het mogelijk om een computer die op het netwerk werkte te verbergen. Kaspersky Anti-Hacker is nog steeds te koop in online winkels, maar op het moment van schrijven is de vermelding ervan verdwenen van de Kaspersky Lab-website. In plaats daarvan verscheen er een uitgebreide oplossing die was ontworpen om te beschermen tegen grote bedreigingen (virussen, hackers, spam en spyware) - Kaspersky Internet beveiliging.
Dit programma is in staat om volledig te beschermen thuis computer... Enerzijds is de prijs van een dergelijk product lager dan de totale kosten van alle oplossingen die erin zijn opgenomen. Bovendien vermindert integratie de kans op systeemconflicten. Aan de andere kant, als een virus of spyware op uw computer terechtkomt, kan dit uw computer in één handeling volledig ontnemen. Dit is niet eenvoudig, maar de kans op een dergelijke gebeurtenis moet niet worden uitgesloten.
Kaspersky Internet Security installeren
De meeste etappes Kaspersky-installaties Internet Security is hetzelfde als de installatie van Kaspersky Anti-Virus. Er zijn echter verschillen vanwege de kenmerken van dit product. In eerste instantie zal het installatieprogramma proberen contact op te nemen met de server van het bedrijf om te controleren op updates. Als er geen internetverbinding is, moet u even wachten. Na het accepteren van de licentieovereenkomst, wordt u aangeboden om een van de twee installatie-opties te kiezen:
Snelle installatie- alle programmacomponenten worden standaard geïnstalleerd;
Aangepaste installatie- installatie van individuele componenten met de mogelijkheid voorinstelling; deze modus wordt aanbevolen voor gevorderde gebruikers.
Het wordt aanbevolen om de snelle installatie te kiezen: in dit geval wordt de maximale bescherming van uw computer geboden. Als een module niet nodig is, kan deze altijd worden uitgeschakeld. Vervolgens controleert de wizard geïnstalleerde programma's en, als het incompatibel wordt gevonden met KIS, wordt er een lijst van weergegeven. Als u doorgaat met de installatie, worden de applicatiegegevens verwijderd om conflicten te voorkomen. Als configuratiebestanden van een eerdere installatie van Kaspersky Anti-Virus of KIS worden gevonden, wordt u gevraagd deze instellingen op te slaan. Als de programma's die de werking van KIS belemmeren, zijn verwijderd, moet u daarna mogelijk de computer opnieuw opstarten.
Net als bij Kaspersky Anti-Virus, na installatie van het programma, Vooraf ingestelde wizard... Als de optie was geselecteerd Snelle installatie, zal de wizard aanbieden om het product te activeren. Dubbelklik na het opnieuw opstarten op het pictogram in Taakbalken u kunt het venster oproepen voor het instellen van de parameters van de KIS-bewerking (Fig. 5.1).
Rijst. 5.1. Venster Kaspersky-instellingen Internet beveiliging
De meeste menu-items vallen samen met de instellingen van Kaspersky Anti-Virus, maar in het menu Bescherming er zijn een aantal nieuwe punten:
Firewall- statusweergave en snelle toegang tot de instellingen van de bedrijfsmodus van de ingebouwde firewall, inbraakdetectiesysteem, modules Anti-reclame en Anti-Baner, het bekijken van de netwerkactiviteit van de computer;
Anti-spion- weergave van de status van het werk en snelle toegang tot de instellingen van de modules Anti-spion, Anti-phishing, Anti-kiezen en Vertrouwelijke gegevens beschermen;
Anti spam- de status van het werk weergeven, de trainingswizard starten en snelle toegang tot de module-instellingen Anti spam;
Ouderlijk toezicht- output van de werkstatus, activering en deactivering en snelle toegang tot de instellingen van deze module.
Laten we eens kijken naar de kenmerken van de nieuwe functies en enkele instellingen.
Aandacht!
Na de installatie zijn alle bovenstaande functies uitgeschakeld, wat de beveiliging van het systeem vermindert, dus u moet de tabbladen bekijken en de tabbladen activeren die u nodig hebt.
Firewall-instellingen
Om de firewall te activeren, klikt u op de link Aanzetten op het juiste tabblad. Het parameterinstelvenster kan worden opgeroepen door op de knop te drukken Maatwerk onderaan het venster en door het juiste item of uit het overeenkomstige menu-item te selecteren Bescherming... Door op de link te klikken Huidige netwerkactiviteit bekijken, toont u het aantal actieve applicaties dat gebruik maakt van het netwerk, evenals het aantal open verbindingen en poorten.
Er zijn verschillende gebieden beschikbaar in het module-instellingenvenster, in elk daarvan kunt u, door het bijbehorende selectievakje aan te vinken, in-/uitschakelen Firewall geheel of een van zijn componenten - een filtersysteem, een inbraakdetectiesysteem, Anti-advertenties of Anti-banner(afb.5.2). Er is een schuifregelaar in het gebied met firewall-instellingen, waarmee u een van de vijf beschermingsniveaus kunt instellen:
Sta alles toe- elke netwerkactiviteit is zonder beperkingen toegestaan, komt overeen met het uitschakelen van de firewall;
Minimale bescherming- alle netwerkverbindingen zijn toegestaan, behalve diegene die verboden zijn door de regels;
Lesmodus- de gebruiker beslist zelfstandig welke netwerkactiviteit hij toestaat of weigert; wanneer een toepassing toegang probeert te krijgen tot het netwerk waarvoor geen regel is gemaakt, wordt de gebruiker om bevestiging gevraagd en wordt op basis van het antwoord een nieuwe regel gemaakt;
Maximale bescherming- alle ongeautoriseerde verbindingen worden geblokkeerd;
Blokkeer alles- alle verbindingen worden geblokkeerd, toegang tot het lokale netwerk en internet wordt geweigerd; moet worden gebruikt wanneer netwerkaanvallen worden gedetecteerd of wanneer in een gevaarlijk netwerk wordt gewerkt.
Rijst. 5.2. Instellingen firewallmodule
Tijdens de installatie worden regels gemaakt voor alle toepassingen, maar deze zijn niet altijd optimaal voor een specifiek systeem, dus het wordt aanbevolen om het beveiligingsniveau te wijzigen van het minimum, dat standaard is ingesteld, naar training. U moet alleen overschakelen naar de maximale beschermingsmodus als u zeker weet dat alle toegestane regels zijn gemaakt. Na het installeren van nieuwe software moet u echter weer terugkeren naar de trainingsbeveiligingsmodus. Wanneer het systeem in de trainingsmodus werkt, wordt er een melding weergegeven aan de gebruiker (Fig. 5.3).
Rijst. 5.3. Melding netwerkactiviteit
Het bevat een beschrijving van de activiteit en informatie die nodig is om een beslissing te nemen: type verbinding (inkomend, uitgaand), protocol, applicatie, extern IP-adres en poort, lokale poort. Op basis van de ontvangen gegevens kunt u de gewenste actie selecteren door op de bijbehorende knop te klikken - Toestaan of Verbieden... Optie selectie Leermodus uitschakelen zal deze werkingsmodus van de module uitschakelen.
Als het selectievakje is aangevinkt Creëer regel, dan wordt een nieuwe regel gevormd op basis van het geselecteerde antwoord, en tijdens de daaropvolgende netwerkactiviteit van deze applicatie, als de verzoekparameters overeenkomen, zal het programma de gebruiker niet storen. In de vervolgkeuzelijst moet u het type activiteit selecteren waarop de geselecteerde actie van toepassing is. Er zijn verschillende opties beschikbaar:
Elke activiteit- elke netwerkactiviteit van deze applicatie;
selectief- specifieke activiteit die moet worden gespecificeerd in het venster voor het maken van regels;
Dit adres- applicatieactiviteit, extern adres netwerkverbinding die overeenkomt met de opgegeven; kan handig zijn als u de netwerkactiviteit voor de geselecteerde toepassing wilt beperken tot de opgegeven adressen.
U kunt ook een van de voorinstellingen kiezen die de aard van de toepassing beschrijven: Mailprogramma, Browser, Downloadmanager, FTP-client, Telnet-client of Klok synchronisatie.
Component Inbraakdetectiemodule Firewall reageert op activiteit die typerend is voor netwerkaanvallen. Als een poging om een computer aan te vallen wordt gedetecteerd, verschijnt een bijbehorende melding op het scherm met informatie over de aanvallende computer: het type aanval, het IP-adres van de aanvaller, het protocol en de service die is aangevallen, datum en tijd. In dit geval blokkeert het systeem het IP-adres van de aanvallende computer gedurende één uur. U kunt de blokkeringstijd in het gebied wijzigen Inbraakdetectiesysteem in het vak naast de vlag Voeg de aanvallende computer toe aan de blokkeerlijst op.
Regels instellen voor applicaties
Het beste is om het werk van de module aan te passen Firewall met behulp van de regels. Het pakket bevat een set regels voor de meest bekende toepassingen, waarvan de netwerkactiviteit is geanalyseerd door specialisten en die een duidelijke definitie hebben - nuttig of gevaarlijk. Voor één programma kunt u verschillende regels voor toelaten en weigeren maken. In de meeste gevallen volstaat het om voor het maken van regels de trainingsmodus te gebruiken en in het dialoogvenster de voorwaarden op te geven waaronder het programma toegang krijgt tot het netwerk. Er kan zich echter een situatie voordoen waarin u de gemaakte regel moet bewerken, bijvoorbeeld als een nuttige toepassing ten onrechte de toegang tot het netwerk heeft geblokkeerd. U kunt zelf regels maken. Om naar het venster voor het bewerken van regels te gaan, klik op de knop Maatwerk in de buurt van Filtratiesysteem:... Ga in het venster dat verschijnt naar het tabblad Toepassingsregels(afb. 5.4).
Rijst. 5.4. Venster met instellingen voor toepassingsregels
Alle regels op dit tabblad kunnen op twee manieren worden gegroepeerd. Als het selectievakje is ingeschakeld, wordt een lijst met toepassingen weergegeven waarvoor regels zijn gegenereerd. Voor elk programma wordt de volgende informatie weergegeven: de naam en het pictogram van de toepassing, de opdrachtregel die moet worden gestart (indien aanwezig), de hoofdmap waarin het uitvoerbare bestand van de toepassing zich bevindt en het aantal regels dat ervoor is gemaakt.
Door op de geselecteerde toepassing te dubbelklikken, kunt u de lijst met regels bekijken en wijzigen. Als u op een regel klikt, worden de eigenschappen ervan weergegeven: toegestaan of geweigerd, uitgaand, inkomend of beide richtingen, protocol, externe en lokale poort, extern IP-adres en tijdstip waarop de regel van kracht is (Figuur 5.5). Door te dubbelklikken op een regel, of door een regel te selecteren en op de knop te klikken Wijziging, krijgt u toegang tot het regelbewerkingsvenster, waar u een van de opgegeven parameters kunt wijzigen. Door op de knop te drukken Toevoegen, kunt u zelf een nieuwe regel maken. De procedure voor het bewerken en maken van regels is vergelijkbaar met het bewerken van regels in Outpost Firewall (zie de overeenkomstige sectie).
Rijst. 5.5. Regeleigenschappen
Let op de knoppen Exporteren en Importeren: ze kunnen worden gebruikt om de gegenereerde regels snel naar andere computers over te dragen, wat handig is om snel moduleregels te configureren Firewall... Klik op de knop Exporteren en specificeer de locatie en naam van het bestand waar u de instellingen wilt opslaan, breng het bestand vervolgens over naar een andere computer, klik op Importeren en selecteer het bestand met de opgeslagen instellingen.
Om een waarschuwing te ontvangen of een regel die wordt geactiveerd in een rapport vast te leggen, moet u de selectievakjes aanvinken Toon waarschuwing en Schrijf om te rapporteren in het raam Een regel bewerken.
Indien niet aangevinkt Regels groeperen op toepassing alle regels worden weergegeven zonder te groeperen op toepassingsnaam.
Als u merkt dat de toepassing geen toegang heeft tot het netwerk, kan een van de redenen de instelling van een weigerregel in de module zijn Firewall... De snelste manier om dit te controleren is door het werk tijdelijk op te schorten. Firewall... Dit kan op verschillende manieren. U kunt het beschermingsniveau selecteren in het instellingenvenster Sta alles toe ofwel het vinkje weghalen firewall aanzetten en druk op de knop Van toepassing zijn... Als de applicatie daarna normaal werkt, zit het probleem in de weigerregel. De situatie is eenvoudig op te lossen: ga naar het instellingenvenster voor regels voor applicaties, selecteer een applicatie en bekijk alle regels die ervoor zijn gemaakt, met speciale aandacht voor degenen die ze verbieden. Als laatste redmiddel kunt u de toepassing markeren door erop te klikken en op de knop te drukken Verwijderen om alle regels die u ervoor hebt gemaakt te verwijderen. Selecteer vervolgens de trainingsbeveiligingsmodus en maak zo nodig nieuwe regels.
Daarnaast Toepassingsregels aanpassingsvenster Anti-hacker bevat nog drie tabbladen. Tab Pakket regels is vergelijkbaar met degene die hierboven is beschreven, alleen kunt u hierin filterregels voor pakketten instellen (Fig. 5.6).
Rijst. 5.6. Het venster voor het maken van regels voor pakketten
De regels die op dit tabblad zijn geschreven, werken op een lager niveau, dus ze worden toegepast ongeacht de toepassing die ze genereert of ontvangt. Als het bijvoorbeeld nodig is om de toegang tot een bepaalde bron of dienst (lokaal of extern) globaal te weigeren, moet u hier de nodige parameters opgeven, en door de toepassing te wijzigen, is het onmogelijk om het verbod te omzeilen dat is gemaakt voor een specifiek programma. Voor elke filterregel wordt de volgende informatie verstrekt: de naam van de regel, het toestaan of weigeren, het transmissieprotocol, de richting van het pakket en de parameters van de netwerkverbinding waarmee het pakket wordt verzonden. De regel kan worden uitgeschakeld door het bijbehorende selectievakje uit te schakelen.
De wizard vindt alle netwerkinterfaces op de computer en definieert voor elk een beveiligingsbeleid, dat wil zeggen de mate van vertrouwen met de computers in deze zones. Lijst Netwerk interfaces beschikbaar op het tabblad Zones: hier kunt u de lijst met netwerkinterfaces bewerken en het beveiligingsbeleid wijzigen.
Als niet alle interfaces worden gevonden tijdens de installatie, klikt u op de Vinden voor Onderzoek... Als dit niet helpt, drukt u op de knop Toevoegen en voer in het venster dat verschijnt de naam, het subnetadres en het netmasker in. De mate van vertrouwen wordt gekenmerkt door de status van het netwerk. De status kan de volgende waarden aannemen:
vertrouwd- alle verbindingen zijn zonder beperkingen toegestaan;
Het lokale netwerk- andere computers hebben toegang lokale bestanden en printers, is het verzenden van foutmeldingen toegestaan (ICMP-protocol) en is de onzichtbaarheidsmodus standaard uitgeschakeld; netwerkactiviteit van applicaties wordt gereguleerd door regels;
internet- toegang tot bestanden en printers geweigerd en ICMP-berichten verzenden, onzichtbaarheidsmodus is ingeschakeld; netwerkactiviteit van applicaties wordt beheerst door regels.
Voor alle zones behalve internet kunt u de status wijzigen. Klik hiervoor op de naam in het gebied Beschrijving... Zone internet heeft altijd de status internet, en het is onmogelijk om deze te wijzigen, daarom wordt de gebruiker tijdens het werken op internet maximaal beschermd. De onzichtbaarheidsmodus kan op verschillende manieren worden gewijzigd, het eenvoudigst is om het vakje met dezelfde naam aan te vinken.
Opmerking
Er is niets ongewoons aan de stealth-modus. Een ICMP-pakket met de ECHO_REQUEST-code wordt naar de externe computer verzonden. U kunt een dergelijke controle handmatig starten door de opdracht Start uit te voeren > Voer de opdracht uit en voer de opdracht ping hostnaam in het geopende venster in. Als de computer is aangesloten op het netwerk, moet als reactie een pakket met de ECHO_REPLY-code komen. In de onzichtbare modus worden dergelijke pakketten geblokkeerd, wat betekent dat het voor de meeste toepassingen die in eerste instantie de bruikbaarheid controleren, onzichtbaar is.
Op het tabblad aanvullend met de schakelaar kunt u een van de twee bedrijfsmodi selecteren:
Maximum snelheid- modus verstrekken maximum snelheid netwerkgames, maar tegelijkertijd kunnen er compatibiliteitsproblemen zijn die gedeeltelijk kunnen worden opgelost door uit te schakelen sluipmodus.
De nieuwe opties op het tabblad selecteren aanvullend in werking zijn getreden, moet u uw computer opnieuw opstarten.
In de module Firewall nog twee componenten zijn inbegrepen.
Anti-reclame- Blokkeert pop-ups die worden gebruikt om producten of diensten te adverteren en die geen lading bevatten. Wanneer een poging wordt gedaan om zo'n venster te openen, wordt de uitvoer ervan geblokkeerd en krijgt de gebruiker een waarschuwing te zien waarin hij kan beslissen om de uitvoer te blokkeren of toe te staan. Werkt correct met de pop-upblokkering in Microsoft Internet Explorer die is opgenomen in Service Pack 2 voor Microsoft Windows XP.
Pop-upvensters bevatten niet altijd advertenties; op sommige sites wordt op deze manier een venster getoond voor het selecteren van bestanden om te downloaden of voor snellere toegang of het weergeven van bepaalde informatie. Zodat de module Anti-reclame dergelijke vensters niet heeft geblokkeerd, moeten ze worden toegevoegd aan de vertrouwde lijst. Druk hiervoor op de knop Vertrouwde adressen, die zich in het gebied bevindt Pop-upblokkering en druk vervolgens op de knop Toevoegen en voer in het venster dat verschijnt het adres in van de bron waarvan de pop-upvensters niet mogen worden geblokkeerd. In dit geval kunt u maskers gebruiken. Bijvoorbeeld, http: // microsoft * zal alle adressen detecteren die beginnen met woorden microsoft als vertrouwd. Met behulp van de selectievakjes in het gebied Vertrouwde zone, kunt u sites die zijn opgenomen in de vertrouwde zone van Microsoft Internet Explorer en het lokale netwerk als vertrouwd definiëren.
Opmerking
In Internet Explorer kunt u een lijst met sites opgeven die de gebruiker als vertrouwd beschouwt. Voer hiervoor de opdracht Service uit in het browservenster > Internet-opties, ga naar het tabblad Beveiliging, klik op het pictogram Vertrouwde sites en klik op de onderstaande knop Sites. Voer in het venster dat verschijnt de webbronnen in die u vertrouwt.
In de standaard levering van het onderdeel Anti-banner inclusief een lijst met veelgebruikte bannersjablonen. Door op de knop te drukken Maatwerk gelegen in de omgeving Blokkeren reclamebanners , kunt u zelf de lijst met verboden en toegestane banners instellen. Het venster dat verschijnt, bevat drie tabbladen (Fig. 5.7).
Rijst. 5.7. Instellingen voor bannerblokkering
Op het tabblad Komen vaak voor er is een lijst met banners geplaatst die door specialisten van Kaspersky Lab zijn gemaakt. Deze lijst kan niet worden bewerkt, maar u kunt elke regel uitschakelen door het bijbehorende selectievakje uit te schakelen. Om banners te analyseren die niet onder de maskers van de standaardlijst vallen, vinkt u het vakje aan Heuristische analysemethoden gebruiken- geüploade afbeeldingen worden geanalyseerd op de aanwezigheid van bannerspecifieke functies. Op tabbladen "Zwarte lijst en "Witte lijst Specificeert aangepaste maskers voor banners die moeten worden geblokkeerd en toegestaan. Het is gemakkelijk om een nieuw masker op te geven. Ga naar het gewenste tabblad, klik op de knop Toevoegen en typ in het venster dat verschijnt volledig adres(URL) banner of sjabloon. In het laatste geval, bij het openen van de banner Anti-banner zoekt in zijn adres naar de opgegeven reeks tekens. De adressen die op deze tabbladen worden vermeld, hebben alleen invloed op de weergave van banners, dus u kunt bijvoorbeeld het adres van de hele site opgeven http://www.test.com/, en banners die bij deze site horen, worden geblokkeerd. Toetsen Exporteren en Importeren die zich op deze tabbladen bevinden, helpen u de gegenereerde lijsten snel naar andere computers over te dragen.
Antispionagemodule
Laten we, om het verhaal over Kaspersky Internet Security af te ronden, eens kijken naar de drie resterende modules: Anti-spion, Anti spam en Ouderlijk toezicht... Meer over spyware behandeld in hoofdstuk 6, antispam in hoofdstuk 8, software voor ouderlijk toezicht in hoofdstuk 9, en phishing-aanvallen in hoofdstuk 7.
module Anti-spion stelt u in staat uzelf te beschermen tegen opdringerige reclame weergegeven in het browservenster in de vorm van banners en pop-upvensters. Het gebruik van deze module maakt het mogelijk om bekende methoden van fraude op internet, pogingen tot het stelen van vertrouwelijke informatie (wachtwoorden, creditcardnummers), ongeoorloofde toegang tot internet en ongeoorloofd gebruik van betaalde bronnen te herkennen.
Door een module te kiezen Anti-spion in het hoofdvenster van het programma ontvangt u algemene werkstatistieken en de huidige status van de module als geheel en zijn afzonderlijke componenten. Hier kunt u de module tijdelijk pauzeren of stoppen, en de beveiliging inschakelen als deze is uitgeschakeld.
Rijst. 5.8. Venster met instellingen voor Anti-Spy-module
Alle instellingen in Kaspersky Internet Security zijn van hetzelfde type, dus als u het ene onderdeel onder de knie hebt, is het gemakkelijk om de instellingen voor een ander onderdeel te vinden. Door het vinkje uit te schakelen Anti-spion inschakelen en op de knop drukken Van toepassing zijn, kunt u de module uitschakelen. Anti-spion bestaat uit drie componenten:
Anti-phishing- beschermt tegen phishing-aanvallen door pogingen om bekende phishing-sites te openen te monitoren: Kaspersky Internet Security bevat informatie over alle momenteel bekende sites die worden gebruikt om dergelijke aanvallen uit te voeren; wanneer de dreigingshandtekeningen worden bijgewerkt, wordt deze lijst ook bijgewerkt;
Anti-kiezen- blokkeert een poging om modemverbindingen tot stand te brengen met betaalde internetbronnen;
Voorkomen van overdracht van gevoelige gegevens- herkent en waarschuwt de gebruiker (in de standaardinstellingen) over een poging om vertrouwelijke gegevens over te dragen of een poging om toegang te krijgen tot persoonlijke gegevens of wachtwoorden.
Zo ook voor de module Anti-kiezen: als u verbindingen met bepaalde nummers wilt toestaan zonder het programma te vragen, voeg ze dan toe aan de lijst met vertrouwde nummers. Druk hiervoor op de knop Vertrouwde nummers en voer een telefoonnummer of patroon in. Om een nummer tijdelijk uit de lijst te verwijderen, schakelt u het bijbehorende vakje uit en als het nummer volledig moet worden verwijderd, selecteert u het met de muisknop en klikt u op Verwijderen.
De Anti-Spam-module configureren
Handig is dat de levering van Kaspersky Internet Security een reeks programma's bevat die nodig zijn voor volledige systeembescherming. Nadat je een mailbox hebt aangemeld, vind je er al snel brieven in die niet voor jou persoonlijk bedoeld zijn, waarvoor de aanwezigheid van de module handig is. Anti spam wie weet hoe dergelijke berichten te detecteren.
Door een module te kiezen Anti spam in het hoofdvenster van het programma kunt u informatie krijgen over de status van zijn werk en statistieken van berichten die vanaf het moment van lancering zijn gecontroleerd en berichten die als spam zijn herkend. Overal in het gebied klikken Rapport openen, kunt u meer gedetailleerde informatie krijgen. Druk op de knop Maatwerk leidt naar het venster voor het instellen van de modulewerking (Fig. 5.9).
Rijst. 5.9. Venster met instellingen voor Anti-Spam-module
Alle e-mails die de module herkent als spam zijn gemarkeerd in de doos Onderwerp label [!! SPAM]... Berichten zijn waarschijnlijk potentiële spam zijn gemarkeerd als [?? waarschijnlijk spam]... Geen operaties meer Anti spam produceert en verwijdert zelf geen berichten, zelfs niet als ze ondubbelzinnig als spam zijn geclassificeerd.
Spambeveiliging is standaard ingeschakeld. Schakel het selectievakje uit om het uit te schakelen. Anti-spam inschakelen, en als de bescherming tijdelijk moet worden onderbroken, gebruikt u de knoppen in het hoofdvenster van het programma. Voor het gemak heeft de applicatie niveaus van agressiviteit van de module geïntroduceerd - het gewenste niveau wordt geselecteerd met behulp van de schuifregelaar in het gebied met dezelfde naam in het instellingenvenster.
De volgende keuzes zijn mogelijk:
Sta alles toe- het laagste controleniveau: alleen e-mail die regels bevat van de zwarte lijst met zinnen of waarvan de afzender op de zwarte lijst staat, wordt als spam beschouwd;
Kort- een strenger niveau, waarin een volledige analyse wordt uitgevoerd, maar het reactieniveau van de mechanismen voor het analyseren van inkomende brieven is lager ingesteld dan gebruikelijk, dus de kans op het passeren van spam is groter, hoewel de verliezen lager zijn; het wordt aanbevolen om het te gebruiken als u veel nuttige e-mails ontvangt die worden aangezien voor spam;
Hoog- een niveau met strengere drempels voor het activeren van detectiemechanismen, zodat spam berichten kan krijgen die dat niet zijn; brieven worden geanalyseerd op basis van "witte" en "zwarte" lijsten en met behulp van moderne filtertechnologieën; aanbevolen wanneer het adres van de ontvanger onbekend is bij spammers;
Blokkeer alles- het hoogste niveau: alleen brieven van de "witte" lijst gaan ongehinderd door, de rest wordt als spam gemarkeerd.
U kunt de parameters voor spamdetectie zelf opgeven. Druk hiervoor op de knop Maatwerk in de buurt van Agressiviteitsniveau... Er zijn vier tabbladen in het venster dat verschijnt. Tabbladen "Witte lijst en "Zwarte lijst zijn vergelijkbaar in instellingen, alleen de parameters die erin worden voorgeschreven, zullen een andere reactie veroorzaken Anti spam... Alles wat er in zit "Witte lijst, zal zeker verwijzen naar normale post, en wat komt er in? "Zwarte lijst, geeft spam aan. Elk tabblad is verdeeld in twee blokken. Bovenaan staan de e-mailadressen, onderaan de sleutelzinnen. E-mailadressen kunnen handmatig of tijdens moduletraining worden ingevuld Anti spam... Handmatig instellen e-mailadres, berichten waarvan niet als spam wordt beschouwd, ga naar het tabblad "Witte lijst en vink het vakje aan Ik wil e-mails ontvangen van de volgende afzenders druk dan op Toevoegen en voer in het veld dat verschijnt het adres in. U kunt bijvoorbeeld een volledig e-mailadres invoeren [e-mail beveiligd] , maar u kunt sjablonen gebruiken. Bijvoorbeeld de sjabloon *@mail.ru zal aangeven Anti spam dat alle brieven van de server mail.ru vallen onder de regel.
Om een regel toe te voegen op basis waarvan de e-mail als nuttig wordt beschouwd, selecteert u het selectievakje Ik wil graag e-mails ontvangen met de volgende zinnen:, druk op de knop Toevoegen en voer een zin of patroon in. Je kunt met je vrienden afspreken dat ze letters altijd ondertekenen met elke zin die wordt ingevoerd in "Witte lijst, dan komen de brieven van hen niet in de spam terecht.
E-mailadressen en zinnen op het tabblad worden op dezelfde manier ingevuld. "Zwarte lijst... Vink het vakje aan Ik wil geen e-mails ontvangen van de volgende afzenders om het filter op postadres te activeren. Gebruik het selectievakje om filteren op trefwoorden in te schakelen Ik wil geen e-mails ontvangen met de volgende zinnen.
Bij binnenkomst belangrijkste zin het is vereist om bovendien de overeenkomstige aan te geven gewichtscoëfficiënt... Het is moeilijk om zelf de coëfficiënt te kiezen, geef bij twijfel de waarde aan 50 of gebruik de bestaande regels als richtlijn. Een e-mail wordt geclassificeerd als spam als de totale ratio een bepaald aantal overschrijdt. In tegenstelling tot de "witte" lijst, hebben de ontwikkelaars de zinnen die het meest worden gebruikt door spammers toegevoegd aan de "zwarte" lijst.
Voor spamherkenningsmodule Anti spam maakt gebruik van verschillende technologieën die op het tabblad kunnen worden in- en uitgeschakeld Spamherkenning(afb. 5.10).
Rijst. 5.10. Spamfiltertechnologieën configureren
In de buurt van Filters specificeert welke technologieën moeten worden gebruikt om spam te detecteren:
Zelflerend iBayes-algoritme - analyse van de tekst van een e-mailbericht op de aanwezigheid van zinnen met betrekking tot spam;
GSG-technologie - analyse van afbeeldingen geplaatst in een brief: op basis van vergelijking met unieke grafische handtekeningen wordt geconcludeerd dat de afbeelding tot grafische spam behoort;
PDB-technologie - header-analyse: op basis van een reeks heuristische regels wordt aangenomen dat het bericht tot spam behoort;
Recente termen-technologie - analyse van berichttekst voor zinnen die typisch zijn voor spam; databases die zijn opgesteld door specialisten van Kaspersky Lab worden gebruikt als referentie.
In gebieden Spamfactor en Potentiële spamfactor de coëfficiënt wordt gespecificeerd waarboven het bericht als spam of potentiële spam wordt beschouwd. Optimale waarden zijn standaard geselecteerd; met behulp van de schuifregelaar kunt u zelfstandig het gewenste niveau instellen. Met wat experimenteren zul je acceptabele parameters vinden.
Tab aanvullend stelt u in staat om aanvullende criteria te specificeren op basis waarvan spam wordt bepaald (onjuiste berichtparameters, de aanwezigheid van sommige typen html-inserts, enz.). U moet het juiste selectievakje selecteren en de spamfactor als percentage instellen. Standaard is de spamfactor in alle criteria 80%, en de brief wordt herkend als spam als de som van alle criteria gelijk is aan 100%. Als je wilt dat alle berichten die niet aan jou zijn geadresseerd als spam worden beschouwd, vink dan het vakje aan Niet aan mij geadresseerd en druk vervolgens op de knop Mijn adressen, dan Toevoegen en voer alle postadressen in die u gebruikt. Nu wordt bij het analyseren van een nieuw bericht het adres van de ontvanger gecontroleerd en als het adres met geen enkel adres in de lijst overeenkomt, krijgt het bericht de spamstatus. Wanneer u terugkeert naar het hoofdinstellingenvenster Anti spam, het niveau van agressiviteit wordt erin ingesteld Aangepast.
Anti-Spam training
Om de efficiëntie van de module te verbeteren: Anti spam, het is noodzakelijk om hem te trainen, aan te geven welke brieven spam zijn en welke reguliere correspondentie. Voor training worden verschillende benaderingen gebruikt. Om bijvoorbeeld de adressen van de correspondenten waarmee u communiceert automatisch te laten toevoegen aan de "witte" lijst, moet u het selectievakje aanvinken Train op uitgaande e-mails(het bevindt zich in het veld) Onderwijs venster met module-instellingen Anti spam). Alleen de eerste 50 letters worden gebruikt voor de training, daarna wordt de training voltooid. Aan het einde van de training moet u de "witte" lijst met adressen verduidelijken om ervoor te zorgen dat deze de vereiste vermeldingen bevat.
In de buurt van Onderwijs de knop bevindt zich Meester van leren... Door erop te klikken, kunt u stap voor stap lesgeven Anti spam door de e-mailclientmappen op te geven die spam en reguliere berichten bevatten. Deze training wordt aanbevolen aan het begin van het werk. Nadat u de trainingswizard hebt gebeld, moet u vier stappen doorlopen.
1. Definitie van mappen met nuttige correspondentie.
2. Het specificeren van mappen die spam bevatten.
3. Automatisch leren Anti spam. Postadressen Goede afzenders van e-mail staan op de witte lijst.
4. Opslaan van het resultaat van de trainingsmaster. Hier kunt u werkresultaten toevoegen aan de oude database of deze vervangen door een nieuwe.
Om tijd te besparen, geeft de meester les Anti spam slechts 50 letters in elke map. Om ervoor te zorgen dat het Bayesiaanse algoritme dat wordt gebruikt om spam te herkennen, correct werkt, moet u minimaal 50 goede e-mail en 50 spam trainen.
De gebruiker heeft misschien niet altijd zoveel e-mails, maar dit is geen probleem. Trein Anti spam het is mogelijk tijdens het werk. Er zijn twee opleidingsmogelijkheden:
Een e-mailclient gebruiken;
Rapporten gebruiken Anti spam.
Tijdens de installatie wordt de module Anti spam integreert in de volgende e-mailclients:
Microsoft Office Outlook - knoppen verschijnen op het paneel Spam en Geen spam, en in het venster dat wordt aangeroepen door de menuopdracht Extra> Opties, tabblad Anti spam;
Microsoft Outlook Express - knoppen verschijnen in het venster Spam en Geen spam en de knop Maatwerk;
De vleermuis! - nieuwe componenten verschijnen niet, maar Anti spam reageert op de selectie van items Markeer als spam en Markeer als GEEN spam op het menu Speciaal.
Leren met rapporten is eenvoudig. Selecteer module Anti spam in het hoofdprogrammavenster en klik op het gebied Rapport openen... Alle e-mailheaders worden weergegeven op het tabblad Evenementen het geopende raam. Selecteer met de muisknop de letter die voor de training moet worden gebruikt Anti spam, druk op de knop Acties en kies een van de vier opties: Markeer als spam, Markeren als geen spam, Toevoegen aan witte lijst of Voeg toe aan de zwarte lijst... Daarna Anti spam zal worden opgeleid. Houd er rekening mee dat als er niet genoeg records in de database zijn, de titel van dit venster een inscriptie zal weergeven die aangeeft hoeveel letters er nog nodig zijn om de module te trainen.
Als in het instellingenvenster Anti spam selectievakje aangevinkt Open Mail Dispatcher bij het ontvangen van e-mail, krijg je een andere optie om inkomende e-mail te beperken. Wanneer u verbinding maakt met de e-mailserver, wordt deze geopend E-mailverzender, waarmee u de lijst met berichten op de server kunt bekijken zonder ze naar uw computer te downloaden (Fig. 5.11).
Rijst. 5.11. E-mailverzender
Het toont de informatie die nodig is om een beslissing te nemen: afzender, ontvanger, onderwerp en berichtgrootte. In de kolom Oorzaak een modulecommentaar kan worden getoond Anti spam.
Standaard Anti spam analyseert passerende brieven ongeacht de geïnstalleerde e-mailclient. Als een van de hierboven genoemde e-mailclients als laatste wordt gebruikt, is dergelijk dubbel werk niet nodig, dus u moet het vinkje weghalen POP3 / SMTP / IMAP-verkeer afhandelen die in de buurt is Integratie in het systeem... Installeer het alleen als u een ander e-mailprogramma gebruikt dan de vermelde. Als integratie met de opgegeven e-mailclients niet vereist is, schakelt u het selectievakje uit Microsoft-ondersteuning inschakelen Office Outlook/ De vleermuis!.
Door te weigeren onnodige of verdachte berichten te ontvangen, kunt u niet alleen verkeer besparen, maar ook de kans verkleinen dat u spam en virussen naar uw computer downloadt. Wanneer u een bericht selecteert, wordt de kop hieronder weergegeven, met aanvullende informatie over de afzender van de brief. Om een onnodig bericht te verwijderen, vink je het vakje naast het bericht in de kolom aan Verwijderen en druk op de knop Verwijder geselecteerde... Als je wilt Verzender toonde alleen nieuwe berichten op de server, zorg ervoor dat het selectievakje is aangevinkt Alleen nieuwe berichten weergeven.
5.3. Openbaar beveiligingssysteem
De meeste hedendaagse computerbeveiligingssystemen hebben gebreken. De belangrijkste is dat ze het systeem niet kunnen beschermen tegen nieuwe soorten aanvallen of virussen die niet in de databases zijn opgenomen.
Opmerking
In de technische literatuur wordt de term zero-day (0-day) attack vaak gebruikt om nieuwe onbekende typen aanvallen aan te duiden.
Het aanleren van proactieve systemen kost enige tijd, waarbij de beslissing over de toelating van het programma door de gebruiker wordt genomen. Dergelijke systemen stellen tegenwoordig steeds minder vragen, maar een bepaald niveau van begrip van wat er in het systeem gebeurt, wordt van de gebruiker gevraagd - in ieder geval zodanig dat het ontstaan van een nieuw proces argwaan wekt. De aangemaakte profielen zijn slechts op één computer bekend, dus bij een aanval op een andere machine zal de training vanaf het begin moeten worden herhaald. De kans op een fout is groot, zeker gezien het hoge foutenpercentage dat kenmerkend is voor proactieve systemen.
De makers van het Community Intrusion Prevention System (CIPS) Prevx ( http://www.prevx.com/), het Engelse bedrijf Prevx Limited, een middenweg weten te vinden. Dit systeem wint alleen maar aan populariteit, maar de originaliteit van de oplossing en de effectiviteit ervan maken het het overwegen waard.
Werkingsprincipe
Voor het eerst werd in februari 2004 een prototype van een nieuw type aanvalsverdedigingssysteem aan het publiek gepresenteerd onder de naam Vorige Home... Er waren veel unieke dingen in het gepresenteerde systeem. In tegenstelling tot antivirussystemen, die handtekeningen gebruiken om kwaadaardige bestanden te identificeren, of sommige systemen die werken met een lijst met toegestane applicaties, paste het nieuwe systeem regels toe die het gedrag beschrijven en de integriteit van programma's controleren. Bovendien bevatte de lijst zowel bekende goede als slechte programma's, waardoor snel de aard van een nieuwe applicatie of proces op een computer kon worden bepaald. Dit is echter niet het belangrijkste.
Het systeem maakt gebruik van een enkele Community Watch-database. Het is de krachtigste informatiebron die het bestaan, de distributie en de activiteiten van zowel nuttige als schadelijke software bepaalt. Met behulp van de informatie die in deze database is verzameld, is het mogelijk om het gedrag en de verspreiding van elk programma door de gemeenschap in realtime te volgen en te analyseren. Elke clientcomputer wordt geïnstalleerd veiligheidsagenten die de situatie in het beveiligde systeem monitoren. Wanneer een nieuwe applicatie wordt geïnstalleerd of een nieuw proces verschijnt dat de lokale database niet kent, stuurt de agent via internet een verzoek naar de centrale database en trekt op basis van de ontvangen informatie een conclusie over de betrouwbaarheid ervan.
Als er geen informatie over het nieuwe programma in de centrale database is, nieuwe module wordt erin ingevoerd en gemarkeerd als onbekend, en de gebruiker wordt gewaarschuwd voor mogelijk risico... In tegenstelling tot antivirussen, die enige tijd nodig hebben om door specialisten te worden geanalyseerd, is Community Watch in de meeste gevallen in staat om de aard van het programma onafhankelijk te bepalen op basis van gedragskenmerken. Hiervoor wordt gebruik gemaakt van de Four Axes of Evil-methodiek, die de aard van het programma bepaalt aan de hand van vier componenten: geheimhouding, gedrag, herkomst en verspreiding. Als resultaat wordt er een beschrijving van gemaakt, die ongeveer 120 parameters bevat die het mogelijk maken om dit programma in de toekomst ondubbelzinnig te identificeren, dat wil zeggen, als een hulpprogramma dat onbekend is in de database dezelfde acties uitvoert als een bekend kwaadaardig programma, het doel ervan ligt voor de hand. Als de door de agent verzamelde gegevens niet voldoende zijn om een eenduidige beslissing te nemen, kan de database ter verificatie een kopie van het programma vragen. Volgens de ontwikkelaars vereist slechts een klein percentage van de gevallen speciale tussenkomst van specialisten.
Bij de eerste lancering bevatte de database informatie over een miljoen gebeurtenissen en na 20 maanden bevatte deze al informatie over een miljard. Met dit werkingsprincipe kunt u elimineren: valse positieven Daarom is het niet verwonderlijk dat er snel een nieuwe generatie programma verscheen - Prevx1, waarvan de tests op 16 juli 2005 begonnen. Het resultaat overtrof alle verwachtingen: 100.000 computers met Prevx1 geïnstalleerd over de hele wereld waren bestand tegen nieuwe bedreigingen in realtime.
Tegenwoordig bevat de geoptimaliseerde database meer dan 10 miljoen unieke gebeurtenissen en 220 duizend gevaarlijke objecten. Elke dag detecteert en neutraliseert het systeem automatisch meer dan 400 schadelijke applicaties en ongeveer 10 duizend programma's voor verschillende doeleinden. Antivirussen kunnen dergelijke prestaties niet bijhouden. Volgens de statistieken op de website vindt een nieuwe gebruiker die verbinding maakt met Prevx1 in 19% van de gevallen malware in zijn systeem. Prevx1 kan autonoom worden gebruikt en beschermt uw computer op zichzelf en in combinatie met andere producten die het effect ervan vergroten: firewall, antivirus en spywarescanners.
Werken met Prevx CSI
Om Prevx te installeren heeft u een computer nodig met minimaal 256 MB RAM en een 600 MHz processor met Windows 2000 / XP / 2003 en Vista. Deze minimumvereisten, voor comfortabel werken het is raadzaam om modernere apparatuur te gebruiken.
Er zijn verschillende productopties, elk met hun eigen kenmerken, ontworpen voor specifieke gebruiksomstandigheden en de bijbehorende kosten. Er is ook een gratis versie van Prevx Computer Security Investigator (CSI) beschikbaar via: http://free.prevx.com/.
De ontwikkelaars deden het eenvoudig: beschikbaarheid gratis versie trekt nieuwe gebruikers aan voor het project die hun handtekeningen toevoegen aan de communitydatabase en niet-geverifieerde software op hun hardware testen. Gratis versie kan worden geïnstalleerd op de gebruikelijke manier naar een harde schijf of USB-opslagapparaat. De enige beperking van deze versie is de onmogelijkheid om de gevonden kwaadaardige bestanden te verwijderen (er wordt alleen een computerscan uitgevoerd). Maar het kan om veiligheidsredenen een willekeurig aantal keren worden gedaan, handmatig of volgens een schema, en als er problemen worden gevonden, actie ondernemen met behulp van andere hulpprogramma's die in dit boek worden beschreven.
Het installeren van Prevx1 is eenvoudig, maar voor verificatie is een internetverbinding vereist. Voer het uitvoerbare bestand uit, bevestig uw akkoord met de licentie door het vakje aan te vinken en op de knop te klikken Doorgaan(Doorgaan). Het scannen van het systeemgebied begint, waarna het resultaat wordt weergegeven (Fig. 5.12).
Rijst. 5.12. Prevx CSI-beheerconsole
Let op het bericht na Systeem status... Als het pictogram hiernaast is ingekleurd groene kleur en ondertekend Schoon, betekent dit dat er geen malware op de computer is gevonden. Als het pictogram rood is en de handtekening Besmet- er is malware op de computer gevonden en er moet actie worden ondernomen. Als er een onbekend programma op de computer wordt gedetecteerd, zal het pictogram een gele waarschuwingskleur krijgen. In dat geval moet de gebruiker voorzichtig zijn, aangezien het een kwaadaardig programma kan zijn.
Prevx moet de lokale database bijwerken als dat nodig is, als de verbinding wordt gemaakt via een proxyserver, moeten de instellingen worden opgegeven op het tabblad Configureren in het veld Proxy-ondersteuning activeren... Automatische systeemcontrole kan worden ingesteld op het tabblad Planner... Vink het vakje aan Scan mijn systeem elke en gebruik de vervolgkeuzelijsten aan de rechterkant om de frequentie en het tijdstip van de controle te specificeren. Kan kiezen dagelijkse check (Dag) of geef een van de dagen van de week aan. Vink het vakje aan om te scannen of de computer was uitgeschakeld Als mijn computer niet is ingeschakeld, is op de geplande tijd ingeschakeld... Om uw computer te controleren na het opstarten van het systeem, installeert u: Automatisch scannen bij opstarten.
¾ programma's aan externe media geheugen
¾ RAM
¾ computersysteemgebieden
¾computerhardware
37. Het belangrijkste middel voor antivirusbescherming is ...
¾ periodiek de lijst met automatisch geladen programma's controleren
¾ firewalls gebruiken bij het werken op internet
¾ periodieke controles van uw computer met antivirussoftware
¾ periodieke controle van de lijst met geladen programma's
38. Elektronisch digitale handtekening laat toe...
¾ berichten doorsturen via een geheim kanaal
¾ beschadigde berichten herstellen enia
¾ zorg ervoor dat de afzender en de integriteit van het bericht
¾ versleutel het bericht om het geheim te houden
39. Absolute bescherming van uw computer tegen netwerkaanvallen is mogelijk wanneer ...
¾ met behulp van de nieuwste antivirusprogramma's
¾ met gelicentieerde software
¾ een firewall installeren
¾ geen verbinding
40. Het gevaarlijkste deel in termen van virale activiteit e-mail is een…
¾ bijlage
¾ titel
41. Opzettelijke bedreiging informatiebeveiliging is...
¾ schade aan de kabel waardoor de transmissie gaande is, als gevolg van weersomstandigheden
¾ beheerdersfout
overstroming
42. Door gebruikersacties te loggen...
¾ reconstrueren van de gang van zaken bij de implementatie van bedreigingen voor de informatiebeveiliging
¾ zorgen voor vertrouwelijkheid van informatie
¾ problemen met toegangscontrole oplossen
43. Een antiviruspakket is NIET...
¾ Kaspersky Anti-Virus
¾Symantec AntiVirus
¾ Norton AntiVirus
¾Microsoft AntiVirus
44. Netwerkwormen zijn...
¾ programma's die bestanden op schijven wijzigen en binnen de computer worden gedistribueerd
¾ programma's die geen bestanden op schijven wijzigen, maar in een computernetwerk worden gedistribueerd, het besturingssysteem van de computer binnendringen, de adressen van andere computers of gebruikers vinden en kopieën van zichzelf naar deze adressen sturen
¾ programma's die alleen via e-mail via internet worden verspreid
¾ Kwaadaardige programma's die tot doel hebben storingen te veroorzaken wanneer de computer wordt gevoed via e-mail. het netwerk
45. Computerbeveiligingsproducten bevatten GEEN...
¾ AntiViral Toolking Pro (AVP)-programma
¾ speciale systemen gebaseerd op cryptografie
¾ rekenbladen
¾ WinZip- en WinRar-programma's
46. Computervirussen zijn...
¾ malware die optreedt als gevolg van storingen in de computerhardware
¾ programma's die speciaal door hackers zijn geschreven om de gebruiker te schaden
¾ programma's die het gevolg zijn van fouten in het besturingssysteem
¾virussen die qua aard vergelijkbaar zijn met biologische virussen
47. Onderscheidende kenmerken computervirus zijn
¾aanzienlijk volume programmacode:
¾ de mogelijkheid om de code meerdere keren zelfstandig uit te voeren en te kopiëren
¾ de mogelijkheid om de juiste werking van de computer te verstoren
¾ gemak van herkenning
48. Computerbeveiligingstechnieken aan (fout antwoord aangeven)
¾ legaal
¾ organisatorisch en technisch
¾ politiek
¾ economisch
49. De negatieve gevolgen van de ontwikkeling van moderne informatietechnologieën zijn onder meer ...
¾ vorming van een enkele informatieruimte
¾ werken met informatie wordt de belangrijkste inhoud van professionele activiteit
¾ wijdverbreid gebruik van informatietechnologie op alle gebieden menselijke activiteit
¾ toegankelijkheid van persoonlijke informatie voor de samenleving, de invasie van informatietechnologie in het privéleven van mensen
50. Ervoor zorgen dat de bescherming van informatie wordt uitgevoerd door ontwerpers en softwareontwikkelaars in de volgende richtingen (geef het verkeerde antwoord aan)
¾ bescherming tegen apparatuurstoringen
¾ bescherming tegen onopzettelijk verlies van informatie
¾ bescherming tegen opzettelijke vervorming van informatie
¾ ontwikkeling van een wettelijk kader voor de bestrijding van misdrijven op het gebied van informatietechnologie
¾ bescherming tegen ongeoorloofde toegang tot informatie
51. Ontwikkelde markt van informatieproducten en -diensten, veranderingen in de structuur van de economie, massaal gebruik van informatie en communicatietechnologieën zijn tekens:
¾ de hoogste graad van ontwikkeling van de beschaving
¾ informatiecrisis
¾ informatiemaatschappij
52. Wat is niet gerelateerd aan de objecten van informatiebeveiliging van de Russische Federatie?
¾ natuurlijke en energiebronnen
¾ informatiebronnen van alle soorten
¾ informatiesystemen van verschillende klassen en doeleinden, informatietechnologieën
¾ systeem van vorming van het publieke bewustzijn
¾ de rechten van burgers, rechtspersonen en de staat voor de ontvangst, distributie, gebruik en bescherming van informatie en intellectueel eigendom
53. Voor het schrijven van een zelfstandig werk hebt u de volledige tekst van de normatieve wet van internet gekopieerd. Heb je daarmee het auteursrecht geschonden?
¾ nee, want op regelgeving rust geen copyright
¾ niet, als er toestemming is van de site-eigenaar
54. Kan ik artikelen gebruiken van verschillende tijdschriften en kranten over politieke, economische, religieuze of sociale onderwerpen om het gebruik ervan voor te bereiden lesmateriaal?
¾ ja, na toestemming van de auteursrechthebbenden
¾ ja, met vermelding van de bronnen van lenen
¾ ja, zonder de toestemming van de auteursrechthebbenden te vragen, maar met de verplichte vermelding van de bron van ontlening en de namen van de auteurs
55. Wordt een artikel dat op internet is gepubliceerd beschouwd als auteursrechtelijk beschermd?
¾ niet als het artikel voor het eerst op internet is gepubliceerd
¾ ja, mits hetzelfde artikel binnen 1 jaar in druk verschijnt
¾ ja, aangezien elk artikel auteursrechtelijk beschermd is als een wetenschappelijk of literair werk
56. In welke gevallen wordt het auteursrecht niet geschonden bij het delen van uw computerspelletjes met andere mensen?
¾ als kopieën hiervan computer spelletjes werden gepubliceerd en in de civiele circulatie gebracht met toestemming van de auteur
¾ als de eigenaren van de uitgewisselde exemplaren van computerspellen deze hebben gekocht onder een verkoop-/ruilovereenkomst
¾ indien tegelijkertijd wordt voldaan aan de voorwaarden genoemd in de vorige paragrafen
¾ als ze worden verdeeld door verhuur
57. De belangrijkste uitgevoerde acties (fasen) computervirus:
infectie
¾ programma's blokkeren
¾ manifestatie
¾ reproductie
vermomming
58. Antivirusprogramma's omvatten niet:
¾ tolken
¾ accountants
wachter
¾ vaccins
59. Doel van antivirusdetectieprogramma's:
¾ detectie en vernietiging van virussen
¾ virusdetectie
¾ desinfectie van geïnfecteerde bestanden
¾ vernietiging van geïnfecteerde bestanden
¾ desinfectie van geïnfecteerde bestanden
¾ controle over de manieren om virussen te verspreiden
60. De nadelen van antivirusprogramma's zijn onder meer:
¾ onmogelijkheid om "verdachte" objecten te genezen
¾ verschillende instellingen
¾ automatische controle van alle geopende bestanden
¾ de noodzaak van constante updates van virusdatabases
61. Het antiviruspakket is:
¾ Kaspersky Anti-Virus
¾Symantec AntiVirus
¾ Norton AntiVirus
¾Microsoft AntiVirus
62. Het vereiste minimum aan beschermingsmiddelen tegen virussen omvat:
¾ attest van panden
¾ uitgangscontrole
¾ inkomende controle
¾ archiveren
¾ preventie
63. Cryptografische transformatie van informatie is:
¾ invoering van een wachtwoordsysteem
¾ gegevensversleuteling
¾ toegang tot informatie beperken
¾ back-up informatie
64. De meest effectieve manier om te beschermen tegen netwerkaanvallen:
¾ firewalls of FireWall gebruiken
¾ alleen vertrouwde internetsites bezoeken
¾ antivirussoftware gebruiken
¾ alleen gecertificeerde browsers gebruiken bij toegang tot internet
65. FireWall is:
¾ mailprogramma
¾ hetzelfde als de internetbrowser
¾ hetzelfde als firewall
¾grafische editor
66. Het loggen van gebruikersacties maakt het volgende mogelijk:
¾ zorg voor vertrouwelijkheid
¾ toegang tot informatie beheren
¾ gebeurtenissen bij de implementatie van bedreigingen voor informatiebeveiliging te reconstrueren
¾ verloren informatie herstellen
67. Netwerkaudit omvat:
¾ antivirus scan het netwerk
¾ selectieve audit van gebruikers
¾ beveiligingsaudit van elk nieuw systeem tijdens de installatie in het netwerk
¾ loggen van de acties van alle gebruikers op het netwerk
68. Secure Sockets-laag:
¾ maakt geen gebruik van gegevensversleuteling
¾ Biedt veilige gegevensoverdracht
¾ kan geen versleuteling met openbare sleutels gebruiken
¾ dit is geen protocol, een programma
69. De meest effectieve manier om te beschermen tegen netwerkaanvallen is ...
¾ Firewalls gebruiken, of Firewall;
¾ Alleen "betrouwbare" internetsites bezoeken;
¾ Gebruik van antivirusprogramma's;
¾ Gebruik alleen gecertificeerde browsersoftware bij toegang tot internet.
70. Een gecomprimeerde afbeelding van de brontekst wordt vaak gebruikt ...
¾ Als sleutel voor het versleutelen van tekst;
¾ Om een elektronische digitale handtekening te maken;
¾ Als publieke sleutel in symmetrische algoritmen;
¾ Als gevolg van het versleutelen van de tekst om deze over een onbeveiligd kanaal te verzenden.
71. Van het bovenstaande: 1) toegangswachtwoorden, 2) descriptoren, 3) codering, 4) hashing, 5) toegangsrechten vaststellen, 6) afdrukken verbieden,
de middelen voor computerbeveiliging van informatie zijn onder meer:
72. Er kan geen computervirusinfectie plaatsvinden
¾ Bij het openen van een bestand als bijlage bij e-mail;
¾ Bij het in- en uitschakelen van de computer;
¾ Bij het kopiëren van bestanden;
¾ Wanneer u het programmabestand uitvoert voor uitvoering.
73. Elektronische digitale handtekening van een document stelt u in staat om het probleem van ______________ document(en) op te lossen
¾ Toegangsmodus
¾ Waarden
¾ Authenticiteit
¾ Geheimhouding
74. Het resultaat van de implementatie van bedreigingen voor informatiebeveiliging kan zijn:
¾ I/O-apparaten vernietigen
¾ De configuratie van randapparatuur wijzigen
¾ Vernietiging van communicatiekanalen
¾Injectie van verkeerde informatie
75. Elektronische digitale handtekening stelt _____ informatie vast
¾ Consistentie
¾ Authenticiteit
¾ Inconsistentie
76. Softwaretools voor informatiebeveiliging in een computernetwerk zijn:
1) Firewall, 2) Brandmauer, 3) Sniffer, 4) Back-up.
77. Voor een veilig gebruik van bronnen op internet is het protocol ontworpen ...
06/20/05 37KHet internet verandert onze manier van leven volledig: werk, studie, vrije tijd. Deze veranderingen zullen zowel plaatsvinden op gebieden die ons al bekend zijn (e-commerce, realtime toegang tot informatie, uitbreiding van communicatiemogelijkheden, etc.), als op gebieden waar we nog geen idee van hebben.
De tijd kan komen dat het bedrijf al zijn telefoongesprekken via internet zal voeren, en dat helemaal gratis. In het privéleven is het mogelijk dat er speciale websites verschijnen, met behulp waarvan ouders op elk moment kunnen weten hoe het met hun kinderen gaat. Onze samenleving begint zich net de onbegrensde mogelijkheden van internet te realiseren.
Invoering
Naast de enorme groei in populariteit van internet, bestaat er een ongekend gevaar om persoonlijke gegevens, kritieke bedrijfsbronnen, staatsgeheimen, enz. openbaar te maken.
Elke dag bedreigen hackers deze bronnen en proberen ze toegang te krijgen met speciale aanvallen, die geleidelijk aan de ene kant geavanceerder en aan de andere kant gemakkelijker uit te voeren zijn. Dit wordt mogelijk gemaakt door twee belangrijke factoren.
Ten eerste is het de alomtegenwoordige penetratie van internet. Tegenwoordig zijn miljoenen apparaten verbonden met internet en in de nabije toekomst zullen vele miljoenen apparaten met internet zijn verbonden, dus de kans dat hackers toegang krijgen tot kwetsbare apparaten neemt voortdurend toe.
Bovendien stelt het wijdverbreide gebruik van internet hackers in staat om wereldwijd informatie uit te wisselen. Een simpele zoekopdracht op trefwoorden zoals "hacker", "hack", "hack", "crack" of "phreak" levert u duizenden sites op, waarvan er vele te vinden zijn kwaadaardige codes en hoe ze te gebruiken.
Ten tweede is er een wijdverbreide acceptatie van gebruiksvriendelijke besturingssystemen en ontwikkelomgevingen. Deze factor vermindert het niveau van kennis en vaardigheden dat de hacker nodig heeft drastisch. Voorheen moest een hacker over goede programmeervaardigheden beschikken om gebruiksvriendelijke applicaties te maken en te verspreiden.
Nu om toegang te krijgen hacker-tool, je hoeft alleen maar het IP-adres van de gewenste site te weten en om een aanval uit te voeren, hoef je alleen maar met de muis te klikken.
Classificatie van netwerkaanvallen
Netwerkaanvallen zijn net zo divers als de systemen waartegen ze zijn gericht. Sommige aanvallen zijn zeer complex, andere vallen binnen de macht van een gewone operator, die niet eens weet waartoe de gevolgen van zijn activiteit kunnen leiden. Om de soorten aanvallen te beoordelen, is het noodzakelijk om enkele van de inherente beperkingen van het TPC / IP-protocol te kennen. Netto
Het internet is gemaakt voor communicatie tussen overheidsinstanties en universiteiten om hulp te bieden onderwijsproces en wetenschappelijk onderzoek. De makers van dit netwerk hadden geen idee hoe wijdverbreid het zou zijn. Als gevolg hiervan ontbraken de vroege specificaties van het Internet Protocol (IP) aan beveiligingsvereisten. Dit is de reden waarom veel IP-implementaties inherent kwetsbaar zijn.
In de loop der jaren, na vele verzoeken (Request for Comments, RFC's), is IP-beveiliging eindelijk begonnen te implementeren. Vanwege het feit dat aanvankelijk de beveiligingshulpmiddelen voor het IP-protocol echter niet waren ontwikkeld, werden al zijn implementaties aangevuld met verschillende netwerk procedures, diensten en producten die de risico's die inherent zijn aan dit protocol beperken. Vervolgens zullen we snel kijken naar de soorten aanvallen die vaak worden gebruikt tegen IP-netwerken en manieren opsommen om ze te bestrijden.
Pakket sniffer
Een pakketsniffer is een applicatieprogramma dat een netwerkkaart gebruikt die in promiscue modus werkt (in deze modus worden alle pakketten die via fysieke kanalen, de netwerkadapter verzendt naar de applicatie voor verwerking).
Tegelijkertijd onderschept de sniffer alle netwerkpakketten die via een specifiek domein worden verzonden. Momenteel opereren sniffers op netwerken op een volledig legale basis. Ze worden gebruikt voor probleemoplossing en verkeersanalyse. Vanwege het feit dat sommige netwerktoepassingen gegevens verzenden naar: tekstformaat (Telnet, FTP, SMTP, POP3, enz..), met behulp van een sniffer kun je erachter komen wat nuttig is, en soms vertrouwelijke informatie(bijvoorbeeld gebruikersnamen en wachtwoorden).
Het onderscheppen van gebruikersnamen en wachtwoorden is erg gevaarlijk omdat gebruikers vaak dezelfde gebruikersnaam en hetzelfde wachtwoord gebruiken voor meerdere applicaties en systemen. Veel gebruikers hebben over het algemeen één wachtwoord om toegang te krijgen tot alle bronnen en applicaties.
Als de toepassing in client-servermodus draait en authenticatiegegevens in een leesbaar tekstformaat via het netwerk worden verzonden, kan deze informatie hoogstwaarschijnlijk worden gebruikt om toegang te krijgen tot andere bedrijfs- of externe bronnen. Hackers kennen de menselijke zwakheden te goed en maken daar misbruik van (aanvalsmethoden zijn vaak gebaseerd op social engineering-methoden).
Ze stellen zich perfect voor dat we hetzelfde wachtwoord gebruiken om toegang te krijgen tot veel bronnen, en daarom slagen ze er vaak in om, nadat ze ons wachtwoord hebben geleerd, toegang te krijgen tot belangrijke informatie... In het ergste geval krijgt een hacker toegang tot een gebruikersbron op systeemniveau en creëert met zijn hulp een nieuwe gebruiker die op elk moment kan worden gebruikt om toegang te krijgen tot het netwerk en zijn bronnen.
U kunt de dreiging van pakketsniffing verminderen door de volgende hulpmiddelen te gebruiken::
authenticatie. Sterke authenticaties zijn de belangrijkste manier om te beschermen tegen packet sniffing. Met "sterk" bedoelen we authenticatiemethoden die moeilijk te omzeilen zijn. Een voorbeeld van een dergelijke authenticatie is One-Time Passwords (OTP).
OTP is een twdie combineert wat je hebt met wat je weet. typisch voorbeeld two-factor authenticatie is de werking van een reguliere geldautomaat, die u enerzijds herkent aan uw plastic kaart en anderzijds aan de pincode die u invoert. Voor authenticatie in het OTP-systeem is ook een pincode en uw persoonlijke kaart vereist.
Een token is een hardware- of softwaretool die willekeurig een uniek eenmalig eenmalig wachtwoord genereert. Als een hacker erachter komt gegeven wachtwoord met behulp van een sniffer is deze informatie nutteloos, aangezien op dat moment het wachtwoord al in gebruik is en buiten gebruik wordt gesteld.
Merk op dat deze anti-sniffing-methode alleen effectief is in gevallen waarin wachtwoorden worden onderschept. Sniffers die andere informatie onderscheppen (bijvoorbeeld e-mailberichten) verliezen hun effectiviteit niet.
Geschakelde infrastructuur... Een andere manier om pakketsniffing in uw netwerkomgeving tegen te gaan, is door een geschakelde infrastructuur te bouwen. Als een hele organisatie bijvoorbeeld geschakeld Ethernet gebruikt, kunnen hackers alleen toegang krijgen tot het verkeer op de poort waarop ze zijn aangesloten. De geschakelde infrastructuur neemt de dreiging van snuiven niet weg, maar vermindert de ernst ervan aanzienlijk.
Anti-snuffelaars. De derde manier om sniffing tegen te gaan, is door hardware of software te installeren die de sniffers op uw netwerk kan herkennen. Deze tools kunnen de dreiging niet volledig elimineren, maar net als veel andere netwerkbeveiligingstools zijn ze opgenomen in: gemeenschappelijk systeem bescherming. Anti-sniffers meten het reactievermogen van de host en bepalen of hosts onnodig verkeer moeten afhandelen. Een dergelijk product, geleverd door LOpht Heavy Industries, heet AntiSniff.
cryptografie. Deze meest effectieve manier om met pakketsniffen om te gaan, hoewel het afluisteren niet verhindert en het werk van sniffers niet herkent, maakt dit werk nutteloos. Als het communicatiekanaal cryptografisch veilig is, onderschept de hacker niet het bericht, maar de cijfertekst (dat wil zeggen een onbegrijpelijke reeks bits). Cisco-cryptografie aan netwerklaag is gebaseerd op het IPSec-protocol, een standaardmethode voor veilige communicatie tussen apparaten die gebruikmaken van het IP-protocol. Naar andere cryptografische protocollen netwerkbeheer omvatten SSH (Secure Shell) en SSL (Secure Socket Layer) protocollen.
IP-spoofing
IP-spoofing vindt plaats wanneer een hacker, binnen of buiten een bedrijf, zich voordoet als een geautoriseerde gebruiker. Dit kan op twee manieren: een hacker kan ofwel een IP-adres gebruiken dat binnen het bereik van geautoriseerde IP-adressen valt, of een geautoriseerd extern adres dat toegang heeft tot bepaalde netwerkbronnen.
IP-spoofing-aanvallen zijn vaak het startpunt voor andere aanvallen. Een klassiek voorbeeld is een DoS-aanval die begint met het adres van iemand anders die de ware identiteit van de hacker verbergt.
IP-spoofing is doorgaans beperkt tot het invoegen van valse informatie of kwaadaardige opdrachten in de normale gegevensstroom tussen client- en servertoepassingen of peer-to-peer-communicatie.
Voor tweerichtingscommunicatie moet een hacker alle routeringstabellen aanpassen om het verkeer naar een vervalst IP-adres te leiden. Sommige hackers proberen echter niet eens een reactie van applicaties te krijgen - als de belangrijkste taak is om van het systeem te komen belangrijk bestand dan zijn de sollicitatiereacties niet relevant.
Als de hacker erin slaagt de routeringstabellen te wijzigen en het verkeer naar een vals IP-adres te leiden, ontvangt hij alle pakketten en kan hij erop reageren alsof hij een geautoriseerde gebruiker is.
De spoofingdreiging kan worden beperkt (maar niet geëlimineerd) door de volgende maatregelen te nemen:
- Toegangscontrole... De eenvoudigste manier om IP-spoofing te voorkomen, is door de toegangscontrole correct te configureren. Om de effectiviteit van IP-spoofing te verminderen, configureert u toegangscontrole om al het verkeer dat afkomstig is van het externe netwerk met een bronadres dat zich binnen uw netwerk moet bevinden, af te sluiten.
Dit helpt echter om IP-spoofing tegen te gaan wanneer alleen interne adressen zijn geautoriseerd; als sommige adressen van het externe netwerk ook geautoriseerd zijn, deze methode wordt ineffectief;
- RFC 2827 filteren. U kunt voorkomen dat gebruikers van uw netwerk andermans netwerken spoofen (en zo een goede netwerkburger worden). Dit vereist het weigeren van uitgaand verkeer waarvan het bronadres niet een van de IP-adressen van uw organisatie is.
Dit type filtering, ook wel RFC 2827 genoemd, kan ook door uw ISP worden uitgevoerd. Als gevolg hiervan wordt al het verkeer dat geen bronadres heeft dat op een bepaalde interface wordt verwacht, weggegooid. Als de ISP bijvoorbeeld een verbinding biedt met een IP-adres van 15.1.1.0/24, kan hij het filter zo configureren dat alleen verkeer afkomstig van 15.1.1.0/24 van die interface naar de router van de ISP wordt toegestaan.
Merk op dat totdat alle providers dit type filtering implementeren, de effectiviteit ervan veel lager zal zijn dan mogelijk. Bovendien, hoe verder weg van de gefilterde apparaten, hoe moeilijker het is om nauwkeurige filtratie uit te voeren. RFC 2827-filtering op het niveau van de toegangsrouter vereist bijvoorbeeld dat al het verkeer van het hoofdnetwerkadres (10.0.0.0/8) gaat, terwijl u op het distributieniveau (in deze architectuur) het verkeer nauwkeuriger kunt beperken (adres - 10.1. 5.0/24).
De meest effectieve methode om IP-spoofing aan te pakken is dezelfde als voor packet sniffing: de aanval moet volledig ondoeltreffend worden gemaakt. IP-spoofing kan alleen werken als authenticatie is gebaseerd op IP-adressen.
Daarom maakt de introductie van aanvullende authenticatiemethoden dergelijke aanvallen nutteloos. Het beste uitzicht extra authenticatie is cryptografisch. Als dit niet mogelijk is, kan tweefactorauthenticatie met eenmalige wachtwoorden goede resultaten opleveren.
Dienstweigering
Denial of Service (DoS) is zonder twijfel de meest bekende vorm van hackeraanvallen. Bovendien is het tegen dit type aanval het moeilijkst om honderd procent verdediging te creëren. DoS-aanvallen worden door hackers als kinderspel beschouwd en het gebruik ervan veroorzaakt minachtende grijns, aangezien de organisatie van DoS een minimum aan kennis en vaardigheden vereist.
Het is echter de eenvoud van implementatie en de enorme omvang van de schade die ervoor zorgt dat DoS de aandacht trekt van netwerkbeveiligingsbeheerders. Als u meer wilt weten over DoS-aanvallen, kunt u de meer bekende varianten overwegen, namelijk:
- TCP SYN overstroming;
- Ping van de dood;
- Tribe Flood Network (TFN) en Tribe Flood Network 2000 (TFN2K);
- Trinco;
- Stacheldracht;
- drie-eenheid.
Een uitstekende bron van beveiligingsinformatie is het Computer Emergency Response Team (CERT), dat uitstekend werk verricht bij het tegengaan van DoS-aanvallen.
DoS-aanvallen verschillen van andere soorten aanvallen. Ze zijn niet gericht op het verkrijgen van toegang tot uw netwerk of het verkrijgen van informatie uit dit netwerk, maar een DoS-aanval maakt uw netwerk ontoegankelijk voor normaal gebruik door de aanvaardbare limieten voor de werking van het netwerk, het besturingssysteem of de applicatie te overschrijden.
Voor sommige server-side applicaties (zoals een webserver of FTP-server), kunnen DoS-aanvallen alle beschikbare verbindingen voor die applicaties in beslag nemen en ze bezig houden, waardoor gewone gebruikers niet kunnen bedienen. DoS-aanvallen kunnen gebruikmaken van veelgebruikte internetprotocollen zoals TCP en ICMP ( Internet Controle Bericht Protocol).
De meeste DoS-aanvallen zijn niet bedoeld als doelwit software fouten of een inbreuk op de beveiliging, maar eerder een algemene zwakte in de systeemarchitectuur. Sommige aanvallen doen de netwerkprestaties teniet door het netwerk te overspoelen met ongewenste en onnodige pakketten of door valse informatie te rapporteren over: huidige toestand netwerk middelen.
Dit type aanval is moeilijk te voorkomen omdat het afstemming met de provider vereist. Als je het verkeer van de provider dat bedoeld is om je netwerk te laten overlopen niet tegenhoudt, dan kun je dit niet doen bij de ingang van het netwerk, omdat dan de hele bandbreedte wordt ingenomen. Wanneer dit type aanval gelijktijdig via meerdere apparaten wordt uitgevoerd, spreken we van een gedistribueerde DoS (DDoS)-aanval.
De dreiging van DoS-aanvallen kan op drie manieren worden beperkt:
- Anti-spoofing-functies... Het correct configureren van anti-spoofing-functies op uw routers en firewalls zal het risico op DoS helpen verminderen. Deze functies moeten minimaal RFC 2827-filtering bevatten.Tenzij een hacker zijn ware identiteit kan verbergen, is het onwaarschijnlijk dat hij een aanval uitvoert.
- Anti-DoS-functies. Een juiste configuratie van anti-DoS-functies op routers en firewalls kan de effectiviteit van aanvallen beperken. Deze functies beperken vaak het aantal halfopen kanalen op een bepaald moment.
- Verkeerssnelheid beperken... De organisatie kan de ISP vragen de hoeveelheid verkeer te beperken. Met dit type filtering kunt u de hoeveelheid niet-kritiek verkeer dat door uw netwerk gaat, beperken. Een typisch voorbeeld is het beperken van de hoeveelheid ICMP-verkeer die alleen voor diagnostische doeleinden wordt gebruikt. (D) DoS-aanvallen maken vaak gebruik van ICMP.
Wachtwoord aanvallen
Hackers kunnen wachtwoordaanvallen uitvoeren met behulp van verschillende technieken, zoals brute force-aanvallen, Trojaanse paarden, IP-spoofing en packet sniffing. Hoewel de login en het wachtwoord vaak kunnen worden verkregen via IP-spoofing en packet sniffing, proberen hackers vaak het wachtwoord te raden en zich aan te melden met talloze toegangspogingen. Deze aanpak wordt een brute force-aanval genoemd.
Vaak gebruikt voor zo'n aanval speciaal programma die probeert toegang te krijgen tot de bron normaal gebruik(bijvoorbeeld naar de server). Als de hacker daardoor toegang krijgt tot bronnen, dan krijgt hij die als gewone gebruiker wiens wachtwoord is gekozen.
Als deze gebruiker aanzienlijke toegangsrechten heeft, kan de hacker een "passage" voor zichzelf maken voor toekomstige toegang, die geldig is, zelfs als de gebruiker zijn wachtwoord en login verandert.
Een ander probleem doet zich voor wanneer gebruikers hetzelfde (zij het zeer goede) wachtwoord gebruiken om toegang te krijgen tot veel systemen: bedrijfs-, persoonlijke en internetsystemen. Aangezien de sterkte van het wachtwoord gelijk is aan de sterkte van de zwakste host, krijgt een hacker die het wachtwoord via deze host te weten komt, toegang tot alle andere systemen waar hetzelfde wachtwoord wordt gebruikt.
Wachtwoordaanvallen kunnen worden voorkomen door geen wachtwoorden te gebruiken in tekstvorm... Eenmalige wachtwoorden en/of cryptografische authenticatie kunnen de dreiging van dergelijke aanvallen vrijwel ongedaan maken. Helaas ondersteunen niet alle applicaties, hosts en apparaten bovenstaande authenticatiemethoden.
Als je gewone wachtwoorden gebruikt, probeer er dan een te bedenken die moeilijk te raden is. De minimale wachtwoordlengte moet minimaal acht tekens zijn. Het wachtwoord moet hoofdletters, cijfers en speciale tekens bevatten (#,%, $, enz.).
De beste wachtwoorden zijn moeilijk te raden en moeilijk te onthouden, waardoor gebruikers ze op papier moeten schrijven. Om dit te voorkomen, kunnen gebruikers en beheerders gebruik maken van een aantal van de nieuwste technologische ontwikkelingen.
Er zijn bijvoorbeeld applicatieprogramma's die een lijst met wachtwoorden coderen die u in uw Pocket PC kunt opslaan. Als gevolg hiervan hoeft de gebruiker slechts één complex wachtwoord te onthouden, terwijl de rest betrouwbaar wordt beschermd door de applicatie.
Er zijn verschillende methoden voor de beheerder om het raden van wachtwoorden tegen te gaan. Een daarvan is om de L0phtCrack-tool te gebruiken, die vaak door hackers wordt gebruikt om wachtwoorden te raden in Windows NT. Deze tool laat je snel zien of het wachtwoord dat de gebruiker heeft gekozen gemakkelijk te raden is. Meer informatie kan worden verkregen op http://www.l0phtcrack.com/.
Man-in-the-Middle-aanvallen
Aanvallen typ Man-in-the-Middle de hacker heeft toegang nodig tot de pakketten die via het netwerk worden verzonden. Dergelijke toegang tot alle pakketten die van de provider naar een ander netwerk worden verzonden, kan bijvoorbeeld worden verkregen door een medewerker van deze provider. Dit type aanval maakt vaak gebruik van pakketsniffers, transportprotocollen en routeringsprotocollen.
Aanvallen worden uitgevoerd met als doel het stelen van informatie, het onderscheppen van de huidige sessie en het verkrijgen van toegang tot private netwerkbronnen, het analyseren van verkeer en het verkrijgen van informatie over het netwerk en zijn gebruikers, het uitvoeren van DoS-aanvallen, het vervormen van verzonden gegevens en het invoeren van ongeautoriseerde informatie in netwerk sessies.
Man-in-the-Middle-aanvallen kunnen alleen effectief worden bestreden met behulp van cryptografie. Als een hacker de gegevens van een versleutelde sessie onderschept, zal niet het onderschepte bericht op zijn scherm verschijnen, maar een nietszeggende reeks karakters. Merk op dat als een hacker informatie verkrijgt over een cryptografische sessie (bijvoorbeeld een sessiesleutel), dit zelfs in een versleutelde omgeving een Man-in-the-Middle-aanval mogelijk kan maken.
Aanvallen op applicatielaag
Applicatielaagaanvallen kunnen op verschillende manieren worden uitgevoerd. De meest voorkomende hiervan is het misbruiken van bekende zwakheden in serversoftware (sendmail, HTTP, FTP). Met behulp van deze zwakke punten kunnen hackers toegang krijgen tot de computer namens de gebruiker die de toepassing uitvoert (meestal is dit geen eenvoudige gebruiker, maar een bevoorrechte beheerder met systeemtoegangsrechten).
Aanvallen op applicatieniveau worden op grote schaal gepubliceerd om beheerders de mogelijkheid te geven het probleem op te lossen met corrigerende modules (patches). Helaas hebben ook veel hackers toegang tot deze informatie, waardoor ze zichzelf kunnen verbeteren.
Het grootste probleem met aanvallen op de applicatielaag is dat hackers vaak poorten gebruiken die door de firewall mogen. Een hacker die bijvoorbeeld misbruik maakt van een bekende zwakte in een webserver, maakt bij een aanval vaak gebruik van TCP-poort 80. Aangezien de webserver gebruikers webpagina's biedt, moet de firewall toegang tot die poort bieden. Vanuit het oogpunt van de firewall wordt de aanval behandeld als standaardverkeer op poort 80.
Aanvallen op de applicatielaag kunnen niet volledig worden uitgesloten. Hackers ontdekken en publiceren voortdurend nieuwe kwetsbaarheden in applicatieprogramma's op internet. Het allerbelangrijkste hierbij is een goed systeembeheer. Hier zijn enkele stappen die u kunt nemen om uw kwetsbaarheid voor dit type aanval te verminderen:
- logbestanden van het besturingssysteem en netwerklogbestanden lezen en/of analyseren met behulp van speciale analytische toepassingen;
- Abonneer u op de Application Weakness Distribution Service: Bugtrad (http://www.securityfocus.com).
Netwerkintelligentie
Netwerkintelligentie is het verzamelen van informatie over een netwerk met behulp van openbaar beschikbare gegevens en toepassingen. Bij het voorbereiden van een aanval op een netwerk probeert een hacker er in de regel zoveel mogelijk informatie over te verkrijgen. Netwerkverkenning wordt gedaan in de vorm van DNS-query's, pings en poortscans.
DNS-query's helpen u te begrijpen wie de eigenaar is van een bepaald domein en welke adressen aan dat domein zijn toegewezen. Door DNS-blootgestelde adressen te pingen, kunt u zien welke hosts daadwerkelijk in uw omgeving worden uitgevoerd. Na het verkrijgen van een lijst met hosts, gebruikt een hacker hulpprogramma's voor het scannen van poorten om een volledige lijst met services samen te stellen die door die hosts worden ondersteund. Ten slotte analyseert de hacker de kenmerken van de applicaties die op de hosts draaien. Als resultaat haalt hij er informatie uit die kan worden gebruikt voor hacking.
Het is onmogelijk om netwerkintelligentie volledig kwijt te raken. Als u bijvoorbeeld ICMP-echo en echo-antwoord op perifere routers uitschakelt, verwijdert u de pings, maar verliest u de gegevens die nodig zijn om netwerkstoringen te diagnosticeren.
Bovendien kunt u poorten scannen zonder eerst te pingen - het duurt alleen langer, omdat u ook niet-bestaande IP-adressen moet scannen. IDS-systemen op netwerk- en hostniveau zijn er doorgaans goed in om de beheerder op de hoogte te stellen van voortdurende netwerkintelligentie, waardoor u zich beter kunt voorbereiden op een dreigende aanval en de ISP kunt waarschuwen op wiens netwerk het systeem buitensporige nieuwsgierigheid vertoont:
- gebruik de nieuwste versies van besturingssystemen en applicaties en de nieuwste correctiemodules (patches);
- Gebruik naast systeembeheer ook Attack Detection Systems (IDS) - twee complementaire ID-technologieën:
- Network IDS (NIDS) controleert alle pakketten die door een specifiek domein gaan. Wanneer het NIDS-systeem een pakket of reeks van pakketten ziet die overeenkomen met de handtekening van een bekende of waarschijnlijke aanval, genereert het een alarm en/of beëindigt het de sessie;
- IDS (HIDS) beschermt de host met softwareagents. Dit systeem bestrijdt alleen aanvallen tegen een enkele host.
IDS's werken met behulp van aanvalssignaturen, dit zijn profielen van specifieke aanvallen of aanvalstypes. Handtekeningen definiëren de voorwaarden waaronder verkeer als hacker wordt beschouwd. Analogen van IDS in de fysieke wereld kunnen worden beschouwd als een waarschuwingssysteem of een bewakingscamera.
Het grootste nadeel van IDS is hun vermogen om alarmen te genereren. Zorgvuldige configuratie is vereist om valse alarmen tot een minimum te beperken en de correcte werking van het IDS-systeem op het netwerk te garanderen.
misbruik van vertrouwen
Strikt genomen is dit soort actie niet in de volledige betekenis van het woord een aanval of aanval. Het is een kwaadaardig gebruik van vertrouwensrelaties die op het netwerk bestaan. Een klassiek voorbeeld van dergelijk misbruik is de situatie aan de rand van het bedrijfsnetwerk.
Dit segment host vaak DNS-, SMTP- en HTTP-servers. Omdat ze allemaal tot hetzelfde segment behoren, leidt het hacken van een van hen tot het hacken van alle andere, omdat deze servers andere systemen op hun netwerk vertrouwen.
Een ander voorbeeld is een systeem dat buiten de firewall is geïnstalleerd en een vertrouwensrelatie heeft met het systeem dat vanaf zijn . is geïnstalleerd binnen... Als een extern systeem wordt gecompromitteerd, kan de hacker de vertrouwensrelatie gebruiken om het door de firewall beschermde systeem te infiltreren.
Het risico van een vertrouwensbreuk kan worden beperkt door een strakkere controle van de vertrouwensniveaus binnen uw netwerk. Systemen buiten de firewall mogen in geen geval volledig worden vertrouwd door de systemen die door de firewall worden beschermd.
Vertrouwensrelaties moeten worden beperkt tot bepaalde protocollen en, indien mogelijk, niet alleen worden geverifieerd door IP-adressen, maar ook door andere parameters.
Port forwarding
Port forwarding is een vorm van misbruik van vertrouwen waarbij een gecompromitteerde host wordt gebruikt om verkeer door de firewall te leiden anders zou zeker worden afgewezen. Stel je een firewall voor met drie interfaces, die elk een specifieke host hebben.
De externe host kan verbinding maken met de gedeelde host (DMZ), maar niet met de host die aan de binnenkant van de firewall is geïnstalleerd. Een gedeelde host kan verbinding maken met zowel een interne als een externe host. Als een hacker een shared host overneemt, kan hij daarop software installeren die het verkeer van de externe host rechtstreeks naar de interne host leidt.
Hoewel dit niet in strijd is met de geldende regels op het scherm, krijgt de externe host als gevolg van de omleiding directe toegang tot de beschermde host. Een voorbeeld van een applicatie die deze toegang kan bieden is netcat. Meer informatie is te vinden op http://www.avian.org.
De belangrijkste manier om met port forwarding om te gaan, is het gebruik van sterke vertrouwensmodellen (zie de vorige sectie). Voorkom bovendien dat een hacker zijn eigen installeert software kan een IDS-systeem (HIDS) hosten.
Onbevoegde toegang
Ongeautoriseerde toegang kan niet worden aangemerkt als een apart type aanval, aangezien de meeste netwerkaanvallen juist worden uitgevoerd om ongeautoriseerde toegang te verkrijgen. Om een Telnet-login op te halen, moet een hacker eerst een Telnet-prompt op zijn systeem krijgen. Nadat verbinding is gemaakt met de Telnet-poort, wordt het bericht "autorisatie vereist om deze bron te gebruiken" (" Voor het gebruik van deze bron is autorisatie vereist.»).
Als de hacker daarna blijft proberen toegang te krijgen, wordt hij als ongeautoriseerd beschouwd. De bron van dergelijke aanvallen kan zowel binnen als buiten het netwerk liggen.
Manieren om ermee om te gaan onbevoegde toegang zijn vrij eenvoudig. Het belangrijkste hier is om het vermogen van de hacker om toegang te krijgen tot het systeem met behulp van een ongeautoriseerd protocol te verminderen of volledig te elimineren.
Overweeg bijvoorbeeld om te voorkomen dat hackers toegang krijgen tot de Telnet-poort op een server die webservices levert aan externe gebruikers. Zonder toegang tot deze poort kan een hacker deze niet aanvallen. Wat betreft de firewall, zijn belangrijkste taak is het voorkomen van de eenvoudigste pogingen tot ongeautoriseerde toegang.
Virussen en Trojaanse paardentoepassingen
Werkstations van eindgebruikers zijn zeer kwetsbaar voor virussen en Trojaanse paarden. Virussen zijn schadelijke programma's die zijn ingesloten in andere programma's om een bepaalde ongewenste functie op uit te voeren werkstation eindgebruiker. Een voorbeeld is een virus dat zichzelf registreert in het command.com-bestand (de belangrijkste Windows-interpreter) en andere bestanden wist en alle andere gevonden versies van command.com infecteert.
Het Trojaanse paard is geen insert, maar een echt programma dat op het eerste gezicht lijkt nuttige toepassing, maar speelt in feite een schadelijke rol. Een voorbeeld van een typisch Trojaans paard is een programma dat eruitziet als: eenvoudig spel voor het werkstation van de gebruiker.
Terwijl de gebruiker het spel speelt, stuurt het programma echter een kopie van zichzelf per e-mail naar elke abonnee die in het adresboek van die gebruiker is ingevoerd. Alle abonnees ontvangen het spel per post, wat aanleiding geeft tot verdere distributie.
De strijd tegen virussen en Trojaanse paarden wordt uitgevoerd met effectieve antivirussoftware die draait op gebruikersniveau en mogelijk op netwerkniveau. Antivirustools detecteren en stoppen de meeste virussen en Trojaanse paarden.
Door de laatste informatie over virussen te krijgen, kunt u ze effectiever bestrijden. Naarmate er nieuwe virussen en Trojaanse paarden verschijnen, moeten bedrijven nieuwe versies van antivirusprogramma's en -toepassingen installeren.
Bij het schrijven van dit artikel is gebruik gemaakt van materialen van Cisco Systems.
Goed slecht
Netwerkbeveiliging en firewall
Veel onderzoekscentra en particuliere bedrijven zijn zich bewust van het gevaar van aanvallen en hebben dit probleem aangepakt. De ontwikkelde beschermingsmethode is vergelijkbaar met een muur die de computer aan alle kanten omringt, vandaar de naam Firewall(firewall), anders een firewall of filter dat verzoeken van netwerkgebruikers naar het systeem filtert. In de officiële Russische versie Windows XP het is vertaald als firewall.
Firewall- speciale software die bij het besturingssysteem is geleverd of door de gebruiker is geïnstalleerd, waarmee u elke toegang kunt weigeren ongewenste gebruikers van het netwerk naar het systeem. Firewall helpt de beveiliging van uw computer te verbeteren. Beperkt informatie die van andere computers naar uw computer komt, waardoor u de gegevens op uw computer beter kunt beheren en uw computer kunt beschermen tegen mensen of programma's (inclusief virussen en wormen) die ongeoorloofd verbinding proberen te maken met uw computer. Firewall- Dit is een grenspost waar informatie (verkeer) afkomstig van internet of over een lokaal netwerk wordt gecontroleerd. Tijdens de controle firewall weigert of geeft informatie door aan de computer in overeenstemming met de ingestelde parameters.
Een deel Windows XP ingebouwde versie inbegrepen firewall(in het servicepack) SP2 voor Microsoft Windows XP-firewall standaard ingeschakeld), waarvan het belangrijkste algoritme bescherming biedt tegen onbevoegde gebruikers. Het is bijna onmogelijk om een kwetsbaarheid te vinden waarmee een indringer een systeem kan binnendringen dat wordt beschermd door een firewall. Functies uitgevoerd door firewall:
Toegang tot de computer blokkeren voor virussen en "wormen";
De gebruiker vragen om te kiezen om bepaalde verbindingsverzoeken te blokkeren of toe te staan;
Door een beveiligingslogboek bij te houden en, optioneel, een overzicht van toegestane en geblokkeerde pogingen om verbinding te maken met een computer, kan het logboek handig zijn voor het diagnosticeren van problemen.
Het idee van crackeraanvallen is gebaseerd op het werk van low-level algoritmen voor het verwerken van netwerkverzoeken, in sommige oudere versies van de software zou kunnen worden geprobeerd om ze te gebruiken voor mogelijke penetratie door de firewall. In moderne versies firewall als u het correct configureert, kunt u hackaanvallen vermijden.
Wanneer de computer een onverwacht verzoek ontvangt (iemand probeert verbinding te maken vanaf internet of een lokaal netwerk), firewall blokkeert de verbinding. Als uw computer instant messaging-programma's of online games gebruikt die informatie van internet of een lokaal netwerk moeten ontvangen, firewall vraagt de gebruiker om de verbinding te blokkeren of toe te staan. Als de gebruiker de verbinding toestaat, firewall maakt een uitzondering om de gebruiker in de toekomst niet te storen met verzoeken om informatie over dit programma. Er is ook de mogelijkheid om uit te schakelen firewall voor individuele verbindingen met internet of een lokaal netwerk, maar dit vergroot de kans dat de beveiliging van uw computer in gevaar komt.
De firewall configureren
Als firewall aangesloten, dan moet u om het te configureren:
Log in op het systeem als systeembeheerder;
Open de map waar de netwerkverbindingen zich bevinden:
Start \ Instellingen \ Configuratiescherm \ Netwerkverbindingen(figuur 1.);
Selecteer een lijn, bijvoorbeeld (Figuur 2.);
Op het tabblad Komen vaak voor maak een klik op de knop Eigenschappen(Figuur 2.);
Er verschijnt een extra venster Eigenschappen waarin het tabblad moet worden geselecteerd aanvullend(afb. 1.2.);
Op het tabblad aanvullend druk op de knop Parameters:(afb. 3);
Het programmavenster verschijnt Windows-firewall (afb. 3.).
soortgelijk venster verschijnt wanneer u een programma selecteert Windows-firewall uit de lijst met programma's in Controle panelen:
Start - Instellingen - Configuratiescherm - Windows Firewall(afb. 4.)
voor het krijgen van gedetailleerde informatie in het programmavenster Windows-firewall er moet op de link worden geklikt Meer over Windows Firewall... Er verschijnt een venster Help- en ondersteuningscentrum, die alle informatie geeft over het doel en het gebruik firewall.
Figuur 1. Programmavenster Netwerk connecties
Afbeelding 2. Programmavensters lAN-verbinding
Afbeelding 3. Tabvenster aanvullend en programmavenster Firewall
Afbeelding 4. Venster Controlepaneel en programmavenster Windows-firewall
Bladwijzer Komen vaak voor instellingen vensters firewall is standaard de belangrijkste firewall meegeleverd (afb. 4.). Het tabblad bevat een aantal opties.
Optie Inschakelen (aanbevolen) omvat firewall... Optie Geen uitzonderingen toestaan kan alleen worden gebruikt in combinatie met de optie Inschakelen (aanbevolen)... Hiermee kunt u het beveiligingsniveau van het systeem verhogen wanneer het wordt gebruikt op openbare plaatsen zoals luchthavens, cafés, bioscopen, enz., uitgerust met internettoegang. Het beveiligingsniveau wordt verhoogd door de werking te verbieden van programma's die toegang hebben vanaf een netwerk dat wordt geblokkeerd door een netwerkfilter. Het systeem genereert geen berichten over de weigering van gebruikerstoegang tot dergelijke toepassingen.
Optie Uitzetten (niet aanbevolen) gaat volledig uit firewall... In dit geval is het systeem volledig onbeschermd tegen aanvallen van buitenaf. Het enige geval waarin dit gerechtvaardigd is, is wanneer u kort de werking moet testen van een applicatie die niet wil werken met een actieve firewall.
Windows-firewall blokkeert inkomende netwerkverbindingen, met uitzondering van door de gebruiker geselecteerde programma's en diensten. Het toevoegen van uitzonderingen verbetert de prestaties van sommige programma's, maar verhoogt het beveiligingsrisico. Bladwijzer Uitzonderingen stelt u in staat om programma's en services te specificeren waarmee gebruikers verbinding kunnen maken vanaf internet (Fig. 5). In feite, voor deze softwareproducten netwerkfilter zal niet werken, alle verzoeken aan hen doorgeven via zichzelf.
Afbeelding 5. Tabblad Uitzonderingen
Bladwijzer Uitzonderingen is een lijst met programma's en services die toegang kunnen krijgen vanaf internet door het vakje ernaast aan te vinken. Optie Melding weergeven, wanneer de firewall het programma blokkeert, indien geactiveerd, krachten ramen een bericht weergeven over een poging om toegang te krijgen vanaf het netwerk. De optie is standaard ingeschakeld, omdat: het helpt om de processen die plaatsvinden binnen het systeem beter te begrijpen. Als op een bladwijzer Komen vaak voor optie geïnstalleerd Geen uitzonderingen toestaan het bericht wordt niet weergegeven.
Als u een programma of service wilt verwijderen uit de lijst met toegestane objecten die vanaf internet toegankelijk zijn, selecteert u het object in de vensterlijst en klikt u op Verwijderen... Deze operatie moet worden uitgevoerd met programma's of services die niet langer beschikbaar zouden moeten zijn voor gebruikers van internet.
Om een specifiek object te bewerken uit de lijst met programma's en services die toegankelijk zijn vanaf internet, selecteert u het object dat wordt bewerkt en drukt u op de knop Wijziging, er verschijnt een venster Programmawijziging(afb. 6). Het dialoogvenster bevat de naam van het programma dat wordt bewerkt en het pad naar het uitvoerbare bestand. Knop Verander gebied stelt u in staat om aan te geven welke netwerkcomputers toegang hebben tot het geselecteerde programma of de geselecteerde service. In dit venster kunt u drie modi specificeren op basis waarvan toegang van het netwerk tot het programma of de service in het systeem wordt uitgevoerd.
Modus Elke computer (ook van internet) geeft aan dat toegang tot dit programma voor iedereen mogelijk is netwerkcomputers, inclusief die op internet. Het wordt niet aanbevolen om de modus onnodig te selecteren, omdat: elke gebruiker van buitenaf krijgt de kans om te proberen verbinding te maken met bepaalde software. En als het kwetsbaarheden bevat, kan de gebruiker toegang krijgen tot het systeem of de normale werking ervan verstoren.
Modus Alleen lokaal netwerk (subnet) stelt u in staat om toegang tot de software alleen mogelijk te maken vanaf het netwerk waarin het systeem zich bevindt, wat het risico op hacken aanzienlijk vermindert, zelfs als er kwetsbaarheden in de software zijn. Als u alleen toegang vanaf bepaalde netwerkcomputers moet toestaan, is het raadzaam om de derde optie te gebruiken.
Afbeelding 6. Dialoogvenster Programmawijziging
Afbeelding 7. Dialoogvenster Het gebied wijzigen
Modus Speciale lijst stelt u in staat om een lijst op te geven in het invoerveld hieronder IP-adressen(netwerkadres van het formulier a.b.c.d) computers die toegang krijgen tot de geselecteerde service of het geselecteerde programma. Dit is de handigste en veiligste manier om toestemming voor toegang vanaf het netwerk te implementeren, aangezien u in dit geval altijd de computers kunt controleren die deze ontvangen en er zeker van zijn dat het systeem betrouwbaar is beschermd tegen aanvallen. Het wordt aanbevolen om deze modus te gebruiken (als de situatie dit toelaat), omdat dit de meest optimale is. Knop oke slaat de wijzigingen op die in het venster zijn aangebracht, de knop Annulering- annuleert ze.
Afbeelding 8. Dialoogvenster Een programma toevoegen
In de bladwijzer Uitzonderingen knop Een programma toevoegen stelt u in staat om programma's toe te voegen waartoe u toegang vanaf het netwerk moet toestaan (Fig. 8). Selecteer uit de voorgestelde lijst de gewenste toepassing of gebruik de knop Overzicht en het uitvoerbare bestand naar het bestandssysteem van de computer verwijzen. De knop gebruiken Verander gebied u kunt specificeren welke netwerkcomputers toegang hebben tot deze applicatie. Knop oke slaat de wijzigingen op die zijn gemaakt door het venster voor het toevoegen van een programma te sluiten, de knop Annulering
In de bladwijzer Uitzonderingen druk op de knop Poort toevoegen geeft een dialoogvenster weer Een poort toevoegen(afb. 9.). Het poortnummer is een kanaal, uitgedrukt als een geheel getal decimaal getal waarmee applicaties informatie kunnen uitwisselen. Als de applicatie die je gebruikt een bepaald kanaal moet openen, dan in het veld Naam u moet de naam van de toepassing invoeren in het veld Poortnummer Is het poortnummer gerapporteerd door de applicatie. Selectievakjes TCP en UDP kunt u specificeren welke poort de toepassing nodig heeft. Als u twee poorten met hetzelfde nummer moet maken, maar verschillende soorten (TCP of UDP), dan moet u de functie voor poortvergroting twee keer gebruiken (met de Poort toevoegen) (fig. 9.), en met de knop Verander gebied specificeren vanaf welke netwerkcomputers toegang mogelijk is deze poort... Knop oke slaat de aangebrachte wijzigingen op, de knop Annulering leidt tot de annulering van alle toevoegingen aan het venster.
Afbeelding 9. Dialoogvenster Een poort toevoegen
