Classificatie van netwerkaanvallen en de belangrijkste beschermingsmethoden ertegen.

Bescherming tegen netwerkaanvallen

Een netwerkaanval is een actie van een cybercrimineel die erop gericht is controle te krijgen over een specifiek netwerk door het toekennen van beheerdersrechten. De ultieme taak van een hacker is om sites en servers te destabiliseren, uit te schakelen en persoonlijke gegevens van elke netwerkgebruiker te verkrijgen.

Netwerkaanvallen en verdedigingsmethoden

Cybercriminelen gebruiken tegenwoordig de volgende soorten aanvallen:

• postbombardementen;
• buffer overloop;
• speciale toepassingen;
• netwerk intelligentie;
• IP-spoofing;
• Man in het midden;
• XSS-aanval;
• DDOS-aanval;
• phishing enz.

Elk van deze aanvallen op een lokaal netwerk is specifiek. Dienovereenkomstig gebruiken beheerders verschillende verdedigingen tegen netwerkaanvallen.

De essentie van de "Milebomber" is bijvoorbeeld het massaal verzenden van brieven naar de e-mail van het slachtoffer. Als gevolg hiervan veroorzaakt de crimineel een storing in de werking van de mailbox of de gehele mailserver. Ter bescherming tegen dit soort aanvallen gebruiken IT-professionals een speciaal geconfigureerde server. Als de applicatie "ziet" dat er te veel brieven worden ontvangen van een bepaald adres (boven de ingestelde limiet), dan stuurt het automatisch alle brieven naar de prullenbak.

Vaak gebruiken aanvallers een dergelijke methode als bufferoverloop. Vanwege de aanwezigheid van specifieke netwerk- en softwarekwetsbaarheden, slagen ze erin om schending van RAM-grenzen, voortijdige beëindiging van een aangepaste toepassing of de uitvoering van binaire code uit te lokken. Dienovereenkomstig bestaat bescherming tegen netwerkaanvallen uit het vinden en elimineren van kwetsbaarheden.

De meest voorkomende methode van aanvallen op lokale netwerken is het gebruik van speciale software. Dit zijn computervirussen, Trojaanse paarden, sniffers en rootkits. Een virus is specifieke software die is ingebed in een ander (vaak vrij legaal) programma en een specifieke actie uitvoert op de pc van de gebruiker. Het versleutelt bijvoorbeeld bestanden, schrijft zichzelf naar het BIOS, waardoor het onmogelijk is om het softwareplatform te laden, enz. Trojaanse paarden zijn applicaties die een specifieke functie vervullen, ze stelen bijvoorbeeld gegevens van de debet- en creditcards van een gebruiker en krijgen toegang tot hun elektronische portemonnee. Sniffers onderscheppen datapakketten die een computer naar een bepaalde site stuurt. Hierdoor kan een cybercrimineel logins en wachtwoorden van internetbankieren en andere belangrijke informatie achterhalen.

Om gegevens in netwerken te beschermen, worden antivirusprogramma's, firewalls, encryptie, anti-sniffers en anti-rootkits gebruikt.

ICS - een uitgebreide methode voor bescherming tegen netwerkaanvallen

Ons bedrijf ontwikkelt ICS - een programma om te beschermen tegen netwerkaanvallen. De ICS integreert een DLP-module die lekkage van vertrouwelijke gegevens voorkomt, een Suricata-aanvalsdetector en een Web Application Firewall. Bovendien kunnen gebruikers, indien nodig, Anti-Virus en Antispam aanschaffen bij Kaspersky Lab of Dr.Web voor ICS.

Internet Control Server is een uitgebreide bescherming van zowel het hele netwerk als een individuele pc!

Dit axioma ligt in principe voor de hand: hoe toegankelijker, handiger, sneller en multifunctioneler vliegtuigen, hoe minder veilig het is. Er zijn veel voorbeelden. Bijvoorbeeld DNS-service: handig maar gevaarlijk.

7.6 Methoden voor bescherming tegen aanvallen op afstand op internet

7.6.1 Administratieve beschermingsmethoden tegen aanvallen op afstand

Om het systeem te beschermen tegen verschillende soorten externe invloeden, zou de meest juiste stap in deze richting zijn om een ​​uit te nodigen, die samen met de systeembeheerder van het systeem zal proberen het hele scala aan taken op te lossen om ervoor te zorgen dat de vereist vereist beveiligingsniveau voor een gedistribueerd vliegtuig. Dit is een vrij moeilijke complexe taak, voor de oplossing waarvan moet worden bepaald wat (de lijst van gecontroleerde objecten en middelen van het DCS), van wat (analyse van mogelijke bedreigingen voor dit DCS) en hoe (ontwikkeling van eisen, vaststelling van een beveiligingsbeleid en het ontwikkelen van administratieve en hardware-software maatregelen om in de praktijk het ontwikkelde beveiligingsbeleid te beschermen.

De eenvoudigste en goedkoopste zijn administratieve beschermingsmethoden tegen informatievernietigende invloeden. De volgende clausules bespreken mogelijke administratieve beschermingsmethoden tegen de hierboven beschreven aanvallen op afstand op internethosts (in het algemeen op een IP-netwerk).

Bescherming tegen analyse van netwerkverkeer

Met dit type aanval kan een cracker alle informatie onderscheppen die wordt uitgewisseld tussen externe gebruikers met behulp van software die luistert op het berichttransmissiekanaal op het netwerk, als alleen niet-versleutelde berichten via het kanaal worden verzonden. Er werd ook aangetoond dat de basistoepassingsprotocollen van TELNET en FTP voor toegang op afstand niet voorzien in elementaire codering van zelfs identifiers (namen) en authenticators (wachtwoorden) van gebruikers die via het netwerk worden verzonden. Daarom kunnen netwerkbeheerders uiteraard worden geadviseerd om deze onderliggende protocollen niet te gebruiken om op afstand te voorzien geautoriseerd toegang krijgen tot de bronnen van hun systemen en de analyse van netwerkverkeer beschouwen als die constant aanwezige bedreiging die niet kan worden geëlimineerd, maar je kunt de implementatie ervan in wezen zinloos maken door sterke crypto-algoritmen te gebruiken om de IP-stroom te beschermen.

Bescherming tegen valse objecten

Door DNS in zijn huidige vorm op internet te gebruiken, zou een cracker wereldwijde controle over verbindingen kunnen krijgen door een lokroute door de lokmiddel-DNS-server van de kraker te forceren. Op basis van mogelijke DNS-kwetsbaarheden zou deze aanval op afstand desastreuze gevolgen kunnen hebben voor een groot aantal internetgebruikers en zou kunnen leiden tot een massale inbreuk op de cyberbeveiliging van dit wereldwijde netwerk.

Er is geen administratieve of programmatische verdediging tegen een aanval op een bestaande versie van de DNS-service. De beste beveiligingsoplossing zou zijn om helemaal te stoppen met het gebruik van de DNS-service in uw beveiligde segment! Het zal natuurlijk erg onhandig zijn voor gebruikers om het gebruik van namen bij het verwijzen naar hosts volledig te verlaten. Daarom kunnen we de volgende afwegingsoplossing bieden: gebruik namen, maar verlaat het externe DNS-opzoekmechanisme. Dit is een terugval op het schema dat werd gebruikt vóór de komst van DNS met speciale DNS-servers. Vervolgens was er op elke machine op het netwerk een hosts-bestand met informatie over de bijbehorende namen en IP-adressen van alle hosts op het netwerk. Het is duidelijk dat vandaag de dag de beheerder in een dergelijk bestand informatie kan invoeren over alleen de meest bezochte netwerkservers door gebruikers van dit segment. Daarom is het gebruik van deze oplossing in de praktijk uiterst moeilijk en blijkbaar onrealistisch (wat te doen met bijvoorbeeld browsers die URL's met namen gebruiken?).

Om de implementatie van deze aanval op afstand te compliceren, kun je voorstellen dat beheerders TCP gebruiken voor de DNS-service in plaats van UDP, dat standaard is geïnstalleerd (hoewel het verre van duidelijk is uit de documentatie hoe dit te veranderen). Dit maakt het voor een aanvaller veel moeilijker om een ​​nep DNS-antwoord naar de host te sturen zonder het DNS-verzoek te accepteren.

Denial of service bescherming

Zoals meer dan eens is opgemerkt, is en kan er geen acceptabele manier zijn om te beschermen tegen denial of service in de bestaande IPv4-standaard van internet. Dit komt doordat het in deze standaard onmogelijk is om de route van berichten te controleren. Daarom is het onmogelijk om betrouwbare controle over netwerkverbindingen te garanderen, aangezien een subject van netwerkinteractie de mogelijkheid heeft om een ​​onbeperkt aantal communicatiekanalen te bezetten met een object op afstand en tegelijkertijd anoniem te blijven. Hierdoor kan elke server op internet volledig worden verlamd door een remote denial of service-aanval.

Het enige dat kan worden voorgesteld om de betrouwbaarheid van het aan deze aanval onderworpen systeem te verbeteren, is door zo krachtig mogelijke computers te gebruiken. Hoe hoger het aantal en de frequentie van de processors, hoe groter de hoeveelheid RAM, hoe betrouwbaarder het netwerkbesturingssysteem zal zijn wanneer het wordt getroffen door een gerichte "storm" van valse verbindingsverzoeken. Bovendien moet u besturingssystemen gebruiken die geschikt zijn voor uw verwerkingskracht, met een interne wachtrij die een groot aantal verbindingsverzoeken kan verwerken. Inderdaad, uit het feit dat u bijvoorbeeld op een supercomputer het besturingssysteem Linux of Windows NT plaatst, waarvan de wachtrijlengte voor gelijktijdig verwerkte verzoeken ongeveer 10 is, en de time-out voor het wissen van de wachtrij enkele minuten is, dan, ondanks alle rekenkracht van de computer, zal het besturingssysteem volledig verlamd aanvallen.

De algemene conclusie over het tegengaan van deze aanval in de bestaande IPv4-standaard is als volgt: leun achterover en hoop dat niemand je interesseert, of koop een supercomputer met een bijbehorend netwerk-OS.

7.6.2. Hardware- en softwaremethoden voor bescherming tegen aanvallen op afstand op internet

De software en hardware voor het waarborgen van informatiebeveiliging van communicatiefaciliteiten in computernetwerken omvatten:

Hardware encryptors van netwerkverkeer;

Firewall-methode, geïmplementeerd op basis van software en hardware;

Beschermde netwerkcryptoprotocollen;

Hardware en software netwerkverkeer analyzers;

Beveiligde netwerkbesturingssystemen.

Er is een enorme hoeveelheid literatuur gewijd aan deze beveiligingshulpmiddelen die zijn ontworpen voor gebruik op internet (in de afgelopen twee jaar zijn er artikelen over dit onderwerp gevonden in bijna elke uitgave van elk computertijdschrift).

7.6.2.1 Firewall-techniek als de belangrijkste hardware- en softwaretool voor het implementeren van netwerkbeveiligingsbeleid in een specifiek segment van het IP-netwerk

Firewall moet worden gezien als een op zichzelf staande (en fundamenteel belangrijke) beveiligingsservice. Netwerkimplementaties van deze service, firewalls genoemd (de voorgestelde vertaling van de Engelse term firewall), zijn vrij wijdverbreid; terminologie heeft ontwikkeld, heeft een classificatie van mechanismen vorm gekregen.

De formele setting van het screeningsprobleem is als volgt. Laat er twee sets van informatiesystemen zijn. Het scherm is een middel om de toegang van de klant van één set af te bakenen

links naar servers van een andere set... Het scherm vervult zijn functie door alle informatiestromen tussen twee sets systemen te regelen.

In het eenvoudigste geval bestaat het scherm uit twee mechanismen, waarvan één de verplaatsing van gegevens beperkt en de tweede het juist vergemakkelijkt (dat wil zeggen, het voert de verplaatsing van gegevens uit). In een meer algemeen geval wordt het scherm (semi-permeabele schaal) gemakshalve gezien als een opeenvolging van filters. Elk van hen kan de gegevens vertragen (niet overslaan), of ze onmiddellijk "overdragen" naar de andere kant. Daarnaast is het toegestaan ​​om een ​​deel van de gegevens over te dragen naar het volgende filter om de analyse voort te zetten, of om gegevens namens de geadresseerde te verwerken en het resultaat terug te sturen naar de afzender.

Naast de functies van toegangscontrole voeren de schermen ook loggen informatie uitwisselingen. Meestal is het scherm niet symmetrisch, de begrippen "binnen" zijn hiervoor gedefinieerd

en "buiten". In dit geval wordt het probleem van afscherming geformuleerd als het beschermen van het binnengebied tegen het potentieel vijandige buitengebied. Firewalls worden bijvoorbeeld geïnstalleerd om het lokale netwerk te beschermen van een organisatie die toegang heeft tot een open omgeving zoals internet. Een ander voorbeeld van een scherm is een poortwachter die de toegang tot de communicatiepoort van de computer controleert vóór en onafhankelijk van alle andere systeembeveiligingsmaatregelen.

Afscherming maakt het mogelijk servicebeschikbaarheid behouden het interne gebied, waardoor de belasting veroorzaakt door externe activiteit wordt verminderd of volledig wordt geëlimineerd. De kwetsbaarheid van interne beveiligingsdiensten wordt verminderd, aangezien een externe aanvaller in eerste instantie een scherm moet overwinnen waarop afweermechanismen bijzonder zorgvuldig en rigide zijn geconfigureerd. Bovendien kan het afschermingssysteem, in tegenstelling tot het universele, eenvoudiger en dus veiliger worden ingericht. Afscherming maakt het ook mogelijk om informatiestromen naar het externe gebied te beheersen, wat helpt om de vertrouwelijkheid te behouden.

Een belangrijk concept van afscherming is de risicozone, die wordt gedefinieerd als de set systemen die beschikbaar komen voor een aanvaller nadat ze het schild of een van de onderdelen ervan zijn gepasseerd. Om de betrouwbaarheid van de bescherming te verbeteren, wordt het scherm in de regel geïmplementeerd als een reeks elementen, zodat het "hacken" van een van hen nog geen toegang tot het volledige interne netwerk geeft.

Firewalling gebruikt dus zowel vanuit het oogpunt van combinatie met andere beveiligingsdiensten als vanuit het oogpunt van de interne organisatie het idee van meerlaagse bescherming, waardoor het interne netwerk zich alleen binnen de risicozone bevindt als de aanvaller overwint verschillende, niet anders georganiseerde verdedigingslinies.

Over het algemeen implementeert de Firewall-techniek de volgende drie hoofdfuncties:

1. Filtering op meerdere niveaus van netwerkverkeer

Filteren gebeurt meestal op drie OSI-lagen:

Netwerk (IP); vervoer (TCP, UDP);

toegepast (FTP, TELNET, HTTP, SMTP, enz.).

Het filteren van netwerkverkeer is de belangrijkste functie van firewallsystemen en stelt de netwerkbeveiligingsbeheerder in staat om centraal het vereiste netwerkbeveiligingsbeleid te implementeren

v speciaal segment IP-netwerken, d.w.z. door de firewall dienovereenkomstig te configureren, kunt u gebruikers de toegang van het externe netwerk tot de corresponderende hostservices of hosts in het beschermde segment toestaan ​​of weigeren, evenals de toegang van gebruikers van het interne netwerk tot het corresponderende bronnen van het externe netwerk. U kunt een analogie trekken met de lokale OS-beheerder, die, om het beveiligingsbeleid in het systeem te implementeren, op de nodige manier de juiste relaties tussen de onderwerpen (gebruikers) en systeemobjecten (bijvoorbeeld bestanden) toewijst, waardoor het is mogelijk om de toegang van de systeemonderwerpen tot zijn objecten te beperken in overeenstemming met de toegangsrechten die zijn opgegeven door de beheerder. ... Dezelfde redenering is van toepassing op Firewall-filtering:

v als onderwerpen van interactie zullen zijn De IP-adressen van de hosts van de gebruikers en de objecten waartoe de toegang moet worden beperkt, zijn de IP-adressen van de hosts, de gebruikte transportprotocollen en de externe toegangsservices.

2. Proxy-schema met aanvullende identificatie en authenticatie van gebruikers op de Firewall-host

Het proxyschema maakt het ten eerste mogelijk om bij toegang tot een beveiligd Firewall-netwerksegment aanvullende identificatie en authenticatie van een externe gebruiker uit te voeren en ten tweede vormt het de basis voor het creëren van privénetwerken met virtuele IP-adressen. De betekenis van het proxy-schema is om een ​​verbinding tot stand te brengen met de eindbestemming via een tussenliggende proxyserver (proxy van de Engelse autoriteit) op de Firewall-host. Op deze proxyserver kan een aanvullende identificatie van de abonnee worden uitgevoerd.

3. Creatie van privénetwerken (Private Virtual Network - PVN) met "virtuele" IP-adressen (NAT - Network Address Translation)

In het geval dat de netwerkbeveiligingsbeheerder het gepast acht om de echte topologie van zijn interne IP-netwerk te verbergen, kan hem worden geadviseerd om Firewall-systemen te gebruiken om een ​​particulier netwerk (PVN-netwerk) te creëren. Hosts in het PVN-netwerk krijgen "virtuele" IP-adressen toegewezen. Voor adressering naar het externe netwerk (via de Firewall) is het noodzakelijk om ofwel de hierboven beschreven proxyservers op de Firewall-host te gebruiken, ofwel speciale routeringssystemen (routing) te gebruiken, alleen via welke externe adressering mogelijk is. Dit komt doordat het virtuele IP-adres dat in het interne PVN-netwerk wordt gebruikt duidelijk niet geschikt is voor externe adressering (externe adressering is adressering aan abonnees buiten het PVN-netwerk). Daarom moet een proxyserver of routeringstool vanaf zijn echte IP-adres communiceren met abonnees van het externe netwerk. Overigens is dit schema handig als je een onvoldoende aantal IP-adressen hebt gekregen om een ​​IP-netwerk te creëren (in de IPv4-standaard gebeurt dit de hele tijd, dus om een ​​volwaardig IP-netwerk te creëren met behulp van een proxy-schema, slechts één dedicated IP-adres is voldoende (adressen voor de proxyserver).

Dus elk apparaat dat ten minste één van deze functies van de Firewall-techniek implementeert, is een Firewall-apparaat. Niets verhindert u bijvoorbeeld om een ​​computer met een normaal FreeBSD- of Linux-besturingssysteem als Firewall-host te gebruiken, waarvoor u de OS-kernel dienovereenkomstig moet compileren. Dit type firewall biedt alleen filtering op meerdere niveaus van IP-verkeer. Een ander ding is dat de krachtige Firewall-complexen die op de markt worden aangeboden, gemaakt op basis van een computer of minicomputer, meestal alle functies van de Firewall-methode implementeren en volledig functionele Firewall-systemen zijn. De volgende afbeelding toont een netwerksegment dat van het externe netwerk is gescheiden door een volledig functionele Firewall-host.

Rijst. 7.5. Algemeen diagram van een volledig functionele Firewall-host.

Beheerders van IP-netwerken, die bezwijken voor reclame voor Firewall-systemen, mogen zich echter niet vergissen in het feit dat Firewall een garantie is voor absolute bescherming tegen aanvallen op afstand op internet. Firewall is niet zozeer een beveiligingshulpmiddel als wel de mogelijkheid om centraal een netwerkbeleid te implementeren voor het afbakenen van externe toegang tot beschikbare bronnen op uw netwerk.

Moderne vereisten voor firewalls

1. De belangrijkste vereiste is het waarborgen van de veiligheid van het interne (beveiligde) netwerk en volledige controle over externe verbindingen en communicatiesessies.

2. Het afschermingssysteem moet krachtige en flexibele controles hebben om het beveiligingsbeleid van de organisatie gemakkelijk en volledig af te dwingen.

3. De firewall moet onzichtbaar werken voor gebruikers van het lokale netwerk en mag hun juridische acties niet belemmeren.

4. De firewall-processor moet snel zijn, efficiënt genoeg werken en in staat zijn om alle inkomende en uitgaande verkeer in piekmodus te verwerken, zodat deze niet door een groot aantal oproepen kan worden geblokkeerd en de werking ervan kan verstoren.

5. Het beveiligingssysteem zelf moet betrouwbaar worden beschermd tegen ongeoorloofde invloeden, aangezien het de sleutel is tot vertrouwelijke informatie in de organisatie.

6. Het schermbeheersysteem moet centraal een uniform beveiligingsbeleid kunnen afdwingen voor afgelegen vestigingen.

7. De firewall moet een middel hebben om gebruikerstoegang via externe verbindingen te autoriseren, wat nodig is in gevallen waarin medewerkers van de organisatie op zakenreizen werken.

Classificatie van geanalyseerde firewalls

Zoals u weet, is het voor het uitvoeren van een vergelijkende analyse allereerst noodzakelijk om de geanalyseerde middelen te classificeren. Aangezien firewalls gericht zijn op het beschermen van informatie in open netwerken zoals internet/intranet, is de basis van de aanpak het zevenlagenmodel van ISO/OSI (International Organization for Standardization). In overeenstemming met dit model worden ME's geclassificeerd volgens het niveau waarop filtering wordt uitgevoerd: kanaal, netwerk, transport, sessie of applicatie. Daarom kunnen we praten over afschermingshubs (linklaag), routers (netwerklaag), transportafscherming (transportlaag), sessielaaggateways (sessielaag) en applicatieschilden (applicatielaag).

Opgemerkt moet worden dat tegenwoordig, samen met enkellaagse firewalls, complexe schermen, die de lagen van netwerk tot applicatie bedekken, steeds populairder worden, omdat dergelijke producten de beste eigenschappen van verschillende soorten enkellaagse schermen combineren. Figuur 1 toont de structuur van informatieafscherming tussen twee systemen met behulp van het ISO / OSI-referentiemodel.

Kenmerken van moderne firewalls

De resultaten van een meer subtiele vergelijkende analyse van verschillende soorten firewalls worden weergegeven in de tabel. 1.

Firewall-type

Afschermingsrouters (firewalls voor pakketfiltering)

Afschermingsgateway

Werkingsprincipe

Pakketfiltering wordt uitgevoerd in overeenstemming met de IP-header van het pakket volgens het criterium: wat niet expliciet verboden is, is toegestaan. De geanalyseerde informatie is:

- adres van de afzender;

- adres van de ontvanger;

- applicatie- of protocolinformatie;

- bronpoortnummer;

- bestemmingspoortnummer.

Informatie-uitwisseling vindt plaats via een hostbastion dat is geïnstalleerd tussen de interne en externe netwerken, dat beslissingen neemt over de mogelijkheid van verkeersroutering. ES zijn van twee soorten: sessie- en applicatielaag

· Goedkoop

· Minimale impact op netwerkprestaties

· Eenvoudig te configureren en te installeren

· Transparantie voor software

· Geen doorgifte van pakketten bij storingen

· Verbeterde, in vergelijking met EM, beschermingsmechanismen, waardoor het gebruik van aanvullende authenticatiemiddelen, zowel software als hardware

· Een adresvertalingsprocedure gebruiken om de adressen van hosts op een gesloten netwerk te verbergen

· Kwetsbaarheid van het beschermingsmechanisme voor verschillende soorten netwerkaanvallen, zoals het vervalsen van de bronadressen van pakketten, ongeoorloofde wijziging van de inhoud van pakketten

· Het gebrek aan ondersteuning voor gebeurtenislogboeken en audittools in een aantal producten

· Alleen krachtig gebruiken bastion-hosts vanwege de grote hoeveelheid berekeningen

· Gebrek aan doorzichtigheid" vanwege het feit dat ES vertragingen in het transmissieproces veroorzaakt en authenticatieprocedures van de gebruiker vereist

Tabel 1 - Kenmerken van firewalls

Zoals te zien is in tabel 1, is een firewall het meest gebruikelijke middel om traditionele beschermingsmiddelen tegen ongeoorloofde toegang te verbeteren en wordt het gebruikt om gegevensbescherming te waarborgen bij het organiseren van firewalls. De specifieke implementaties van de ME hangen grotendeels af van de gebruikte computerplatforms, maar niettemin gebruiken alle systemen van deze klasse twee mechanismen, waarvan één het netwerkverkeer blokkeert en het tweede juist gegevensuitwisseling mogelijk maakt. Tegelijkertijd richten sommige versies van de ME zich op het blokkeren van ongewenst verkeer, terwijl andere op het reguleren van de toegestane machine-naar-machine-communicatie.

De FireWall / Plus-firewall is ontworpen om drie hoofdtaken op te lossen:

Bescherming van bedrijfsnetwerkbronnen tegen aanvallen vanaf internet;

Implementatie van beveiligingsmaatregelen (voor een dedicated server / groep servers);

Scheiding van segmenten van het interne netwerk om pogingen tot sabotage door de interne gebruiker te voorkomen.

Een essentieel kenmerk van deze ME is de mogelijkheid om te werken met meer dan 390 protocollen van verschillende niveaus. Dankzij de krachtige ingebouwde taal voor het schrijven van filters is het mogelijk om eventuele filtervoorwaarden te beschrijven. Deze functie maakt het mogelijk om de problemen van het verdelen van segmenten van een bedrijfsnetwerk efficiënter op te lossen, dat producten gebruikt die werken met stapels TCP / IP-, IPX- en DECNet-protocollen. Het mechanisme voor het beschrijven van de protocollen van het applicatieniveau stelt u in staat specifieke schema's te maken voor het afbakenen van gebruikerstoegang. FireWall / Plus biedt beveiliging voor web-, FTR-, URL-, ActiveX- en Java-toepassingen en e-mail.

FireWall / Plus-firewall biedt detectie en bestrijding van de volgende aanvallen:

Server authenticatie aanvallen;

Vingerprotocolaanvallen (van buitenaf en van binnenuit);

Bepaling van het nummer van het initiële pakket van de TCP-verbinding;

Illegaal doorschakelen;

DNS-toegangsaanvallen;

FTR-authenticatie-aanvallen;

Ongeautoriseerde bestandsoverdrachtaanvallen;

Aanvallen op afstand opnieuw opstarten;

IP-adressen spoofen;

Het vervalsen van MAC-adressen;

Beschikbaarheidsaanvallen (request storm);

Aanvallen op de back-uppoort van de server;

Serveraanvallen op afstand;

Aanvallen op anonieme FTR-toegang.

Dit aantal geblokkeerde aanvallen wordt voornamelijk bepaald door het feit dat FireWall/Plus drie methoden ondersteunt voor het converteren van netwerkadressen: één naar één; een te veel; veel te veel. Het heeft geen eigen IP-adres nodig. Deze functie maakt het volledig transparant op het netwerk en praktisch onkwetsbaar voor verschillende aanvallen. De weloverwogen mogelijkheden van de FireWall/Plus firewall, die representatief is voor de moderne generatie ME, laten zien hoe dynamisch deze richting van bescherming zich ontwikkelt.

Certificering van firewalls Op dit moment heeft de Technische Staatscommissie van Rusland een werkdocument "Means of Computing" aangenomen

technologie. Firewalls. Bescherming tegen ongeoorloofde toegang tot informatie. Indicatoren van beveiliging tegen ongeoorloofde toegang tot informatie ”. Dit document maakt het niet alleen mogelijk om de informatiebeveiligingsvereisten voor firewalls te stroomlijnen, maar ook om de beschermende eigenschappen van dit soort producten te vergelijken.

Rekening houdend met de vooruitzichten op het gebied van certificering van informatiebeveiligingstools onder leiding van de technische staatscommissie van Rusland, heeft het informatiebeveiligingscentrum (Yubileiny, regio Moskou) de ontwikkeling georganiseerd van een standaardmethodologie voor het uitvoeren van certificeringstests van firewalls. Deze techniek is getest in een aantal laboratoria die zijn geaccrediteerd in het certificeringssysteem van de Staatstechnische Commissie van Rusland. Op dit moment zijn er al gecertificeerde hoogwaardige beveiligingsfirewalls op de Russische markt verschenen, waaronder Zastava-Jet (2e klasse), Zastava en AltaVista Firewall 97 (3e beveiligingsklasse). Deze producten bieden betrouwbare bescherming van informatiebronnen tegen ongeoorloofde toegang.

7.6.2.2 Softwarebeveiligingsmethoden die op internet worden gebruikt

TOT De geprogrammeerde beveiligingsmethoden op internet omvatten in de eerste plaats veilige crypto-protocollen, waarmee het mogelijk wordt om de verbinding betrouwbaar te beschermen. In de volgende paragraaf zullen we het hebben over de benaderingen die tegenwoordig op internet bestaan ​​en de belangrijkste, reeds ontwikkelde, cryptoprotocollen.

TOT Een andere klasse van softwaremethoden voor bescherming tegen aanvallen op afstand omvat momenteel bestaande programma's, waarvan het belangrijkste doel is om het netwerkverkeer te analyseren op de aanwezigheid van een van de bekende actieve aanvallen op afstand.

1. SKIP-technologie en crypto-protocollen SSL, S-HTTP als het belangrijkste middel om verbindingen en verzonden gegevens op internet te beschermen

Het is duidelijk dat een van de belangrijkste redenen voor het succes van aanvallen op afstand op gedistribueerde vliegtuigen ligt in het gebruik van netwerkcommunicatieprotocollen die niet op betrouwbare wijze objecten op afstand kunnen identificeren, de verbinding en de gegevens die erover worden verzonden, kunnen beschermen. Daarom is het heel natuurlijk dat tijdens het functioneren van internet verschillende veilige netwerkprotocollen zijn gecreëerd met behulp van zowel private als public key cryptografie. Klassieke cryptografie met symmetrische crypto-algoritmen gaat ervan uit dat de verzendende en ontvangende zijde symmetrische (identieke) sleutels hebben voor het versleutelen en ontsleutelen van berichten. Deze sleutels worden verondersteld vooraf te worden verdeeld over een eindig aantal abonnees, wat in cryptografie het standaard statische sleuteldistributieprobleem wordt genoemd. Het is duidelijk dat het gebruik van klassieke symmetrische sleutelcryptografie alleen mogelijk is op een beperkt aantal objecten. Het is duidelijk dat het niet mogelijk is om het probleem van de distributie van statische sleutels op internet voor al zijn gebruikers op te lossen. Een van de eerste veilige uitwisselingsprotocollen op internet was echter het Kerberos-protocol, precies gebaseerd op de statische distributie van sleutels voor de uiteindelijke

aantal abonnees. Onze speciale diensten, die hun eigen veilige crypto-protocollen voor internet ontwikkelen, worden gedwongen om dezelfde weg te gaan, met behulp van klassieke symmetrische cryptografie. Dit is te wijten aan het feit dat er om de een of andere reden nog steeds geen gehost crypto-algoritme met openbare sleutel is. Overal ter wereld zijn dergelijke encryptiestandaarden al lang geaccepteerd en gecertificeerd, en blijkbaar gaan we weer de andere kant op!

Het is dus duidelijk dat om het mogelijk te maken om de hele set internetgebruikers te beschermen, en niet een beperkte subset daarvan, het noodzakelijk is om sleutels te gebruiken die dynamisch worden gegenereerd tijdens het maken van een virtuele verbinding met behulp van cryptografie met openbare sleutels. Vervolgens zullen we kijken naar de belangrijkste benaderingen en protocollen van vandaag die verbindingsbeveiliging bieden.

SKIP (Secure Key Internet Protocol) is een technologie die een standaard wordt genoemd voor het inkapselen van IP-pakketten, waarmee de bestaande IPv4-standaard op netwerkniveau de bescherming van de verbinding en de gegevens die erover worden verzonden, kan garanderen. Dit wordt op de volgende manier bereikt: Een SKIP-pakket is een regulier IP-pakket, waarvan het gegevensveld een SKIP-header van een gespecificeerd formaat en een cryptogram (versleutelde gegevens) is. Een dergelijke structuur van een SKIP-pakket maakt het mogelijk om het vrijelijk naar elke host op internet te sturen (internetadressering vindt plaats volgens de gebruikelijke IP-header in een SKIP-pakket). De uiteindelijke ontvanger van het SKIP-pakket decodeert het cryptogram volgens een algoritme dat vooraf is bepaald door de ontwikkelaars en vormt een normaal TCP- of UDP-pakket, dat wordt verzonden naar de overeenkomstige normale module (TCP of UDP) van de kernel van het besturingssysteem. In principe belet niets de ontwikkelaar om zijn eigen originele header te vormen volgens dit schema, dat verschilt van de SKIP-header.

S-HTTP (Secure HTTP) is een speciaal ontwikkeld door Enterprise Integration Technologies (EIT)

Webspecifiek beveiligd HTTP-protocol. Het S-HTTP-protocol biedt alleen sterke cryptografische bescherming voor webserver-HTTP-documenten en werkt op de applicatielaag van het OSI-model. Deze eigenschap van het S-HTTP-protocol maakt het een absoluut gespecialiseerd middel om een ​​verbinding te beveiligen, en als gevolg daarvan kan het niet worden gebruikt om alle andere toepassingsprotocollen (FTP, TELNET, SMTP, enz.) te beschermen. Bovendien is geen van de bestaande

mainstream webbrowsers (noch Netscape Navigator 3.0, noch Microsoft Explorer 3.0) ondersteunen

Dit protocol wordt gebruikt.

SSL (Secure Socket Layer) is de ontwikkeling van Netscape - een universeel verbindingsbeveiligingsprotocol dat werkt op de OSI-sessielaag. Dit protocol, dat cryptografie met openbare sleutels gebruikt, is naar onze mening vandaag de enige universele tool waarmee u elke verbinding dynamisch kunt beveiligen met elk toepassingsprotocol (DNS, FTP, TELNET, SMTP, enz.). Dit komt door het feit dat SSL, in tegenstelling tot S-HTTP, op het intermediaire OSI-sessieniveau werkt (tussen transport - TCP, UDP - en applicatie - FTP, TELNET, enz.). In dit geval vindt het proces van het maken van een virtuele SSL-verbinding plaats volgens het Diffie en Hellman-schema (clausule 6.2), waarmee u een cryptografisch sterke sessiesleutel kunt genereren, die vervolgens door abonnees van de SSL-verbinding wordt gebruikt om verzonden berichten te coderen . SSL is nu praktisch ingeburgerd als de officiële beveiligingsstandaard voor HTTP-verbindingen, dat wil zeggen voor het beveiligen van webservers. Het wordt natuurlijk ondersteund door Netscape Navigator 3.0 en, vreemd genoeg, Microsoft Explorer 3.0 (onthoud die felle browseroorlog tussen Netscape en Microsoft). Om een ​​SSL-verbinding met een webserver tot stand te brengen, hebt u natuurlijk ook een webserver nodig die SSL ondersteunt. Dergelijke versies van webservers bestaan ​​al (bijvoorbeeld SSL-Apache). Ter afsluiting van het gesprek over het SSL-protocol kan men niet anders dan het volgende feit opmerken: tot voor kort was de export van cryptosystemen met een sleutellengte van meer dan 40 bits door de Amerikaanse wetgeving verboden (deze werd onlangs verhoogd tot 56 bits). Daarom worden in de bestaande versies van browsers precies 40-bits sleutels gebruikt. Crypto-analisten hebben door experimenten ontdekt dat in de bestaande versie van het SSL-protocol encryptie met een 40-bits sleutel geen betrouwbare bescherming is voor berichten die via het netwerk worden verzonden, omdat deze sleutel met eenvoudige brute-force (240 combinaties) wordt geselecteerd in een tijd van 1,5 (op een supercomputer Silicon Graphics) tot 7 dagen (120 werkstations en verschillende minicomputers werden gebruikt in het rekenproces).

Het is dus duidelijk dat het wijdverbreide gebruik van deze veilige uitwisselingsprotocollen, met name SSL (uiteraard met een sleutellengte van meer dan 40 bits), een betrouwbare barrière zal vormen voor alle soorten externe

Lange tijd werd de rust van de inwoners van de steden bewaakt door bewakers en schildwachten, die bij een noodsituatie alarm sloegen. In de virtuele wereld is deze taak toevertrouwd aan: systemen voor het detecteren van (afstotende) aanvallen, of СОА (Inbraakdetectiesysteem - IDS). De eerste systemen voor het detecteren van aanvallen verschenen lang geleden, het begin van hun ontwikkeling wordt geassocieerd met de publicatie in 1980 van het artikel "Computer Security Threat Monitoring and Surveillance" door John Anderson. De ontwikkeling van aanvalsdetectiesystemen begon ermee, hoewel ze later - rond het begin van de jaren negentig - actief werden gebruikt, nadat ze zich de gevaren van de virtuele wereld realiseerden.

Er is enige verwarring in de Russische naam van dergelijke systemen: letterlijk wordt Intrusion Detection System vertaald als "intrusion detection system", en het wordt in veel bronnen gebruikt. Het gevolg van een aanval hoeft echter geen inbraak te zijn, hoewel het feit van een aanval ook door een dergelijk systeem wordt geregistreerd. Het is juister om het woord "aanval" te gebruiken.

Traditioneel zijn SOA onderverdeeld in systemen die beschermen: aparte knoop(Host IDS), en netwerk(Network IDS), die netwerkpakketten besturen. Er zijn ook hybride SOA die de mogelijkheden van beide systemen combineren. Op een bepaald moment wilden de ontwikkelaars aanvallen niet alleen detecteren, maar ook stoppen. Zo ontstonden de systemen om aanvallen te stoppen. Elke SOA bestaat uit sensoren die informatie verzamelen en een analyse- en besluitvormingsmechanisme. Sensoren analyseren systeemlogboeken, systeemaanroepen, toepassingsgedrag, bestandsintegriteit en netwerkpakketten om verdachte gebeurtenissen te detecteren. Sets van handtekeningen worden als criterium gebruikt, hoewel tools die reageren op anomalieën steeds populairder worden.

Tegenwoordig is een antivirus-firewallbundel niet langer voldoende voor volledige bescherming, dus bieden de ontwikkelaars SOA ook voor thuisgebruik aan. Om de gebruiker niet te intimideren met de nieuwe namen, worden bij het beschrijven van het product termen als "uitgebreide beveiligingsoplossing" of "geavanceerde firewall" gebruikt. Een voorbeeld is de Outpost Firewall Pro-firewall die in het vorige hoofdstuk is besproken. Het bevat een aparte module die bescherming biedt tegen netwerkaanvallen. In hoofdstuk 3 heb je geleerd over computerbeveiligingssystemen, die kunnen worden geclassificeerd als SOA's die een afzonderlijk knooppunt beschermen.

Op een thuiscomputer is de functionaliteit van SOA, die wordt gebruikt om bedrijfsnetwerken en servers te beschermen en een grote hoeveelheid bronnen te verbruiken, niet nodig. Voor desktopsystemen bieden we geïntegreerde oplossingen met antivirus, firewall en SOA.

Voorheen bood Kaspersky Lab ter bescherming tegen hackers de Kaspersky Anti-Hacker-firewall aan, wiens taak het was om inkomende en uitgaande verbindingen te controleren en vijandige acties te onderdrukken voordat ze schade zouden oplopen. Met deze applicatie was het mogelijk om een ​​computer die op het netwerk werkte te verbergen. Kaspersky Anti-Hacker is nog steeds te koop in online winkels, maar op het moment van schrijven is de vermelding ervan verdwenen van de Kaspersky Lab-website. In plaats daarvan verscheen een uitgebreide oplossing die is ontworpen om te beschermen tegen de belangrijkste bedreigingen (virussen, hackers, spam en spyware) - Kaspersky Internet Security.

Dit programma is in staat om uw thuiscomputer volledig te beschermen. Enerzijds is de prijs van een dergelijk product lager dan de totale kosten van alle oplossingen die erin zijn opgenomen. Bovendien vermindert integratie de kans op systeemconflicten. Aan de andere kant, als een virus of spyware op uw computer terechtkomt, kan dit uw computer in één handeling volledig ontnemen. Dit is niet eenvoudig, maar de kans op een dergelijke gebeurtenis moet niet worden uitgesloten.

De meeste installatiestappen voor Kaspersky Internet Security vallen samen met de installatie van Kaspersky Anti-Virus. Er zijn echter verschillen vanwege de kenmerken van dit product. In eerste instantie zal het installatieprogramma proberen contact op te nemen met de server van het bedrijf om te controleren op updates. Als er geen internetverbinding is, moet u even wachten. Na het accepteren van de licentieovereenkomst, wordt u aangeboden om een ​​van de twee installatie-opties te kiezen:

Snelle installatie- alle programmacomponenten worden standaard geïnstalleerd;

Aangepaste installatie- installatie van afzonderlijke componenten met de mogelijkheid om vooraf te configureren; deze modus wordt aanbevolen voor gevorderde gebruikers.

Het wordt aanbevolen om de snelle installatie te kiezen: in dit geval wordt de maximale bescherming van uw computer geboden. Als een module niet nodig is, kan deze altijd worden uitgeschakeld. Vervolgens zal de wizard de geïnstalleerde programma's controleren en, als deze niet compatibel zijn met KIS, een lijst ervan weergeven. Als u doorgaat met de installatie, worden de applicatiegegevens verwijderd om conflicten te voorkomen. Als configuratiebestanden van een eerdere installatie van Kaspersky Anti-Virus of KIS worden gevonden, wordt u gevraagd deze instellingen op te slaan. Als de programma's die de werking van KIS belemmeren, zijn verwijderd, moet u daarna mogelijk de computer opnieuw opstarten.

Net als bij Kaspersky Anti-Virus, na installatie van het programma, Vooraf ingestelde wizard... Als de optie was geselecteerd Snelle installatie, zal de wizard aanbieden om het product te activeren. Dubbelklik na het opnieuw opstarten op het pictogram in Taakbalken u kunt het venster oproepen voor het instellen van de parameters van de KIS-bewerking (Fig. 5.1).

Rijst. 5.1. Instellingenvenster van Kaspersky Internet Security

De meeste menu-items vallen samen met de instellingen van Kaspersky Anti-Virus, maar in het menu Bescherming er zijn een aantal nieuwe punten:

Firewall- statusweergave en snelle toegang tot de instellingen van de bedrijfsmodus van de ingebouwde firewall, inbraakdetectiesysteem, modules Anti-reclame en Anti-Baner, het bekijken van de netwerkactiviteit van de computer;

Anti-spion- weergave van de status van het werk en snelle toegang tot de instellingen van de modules Anti-spion, Anti-phishing, Anti-kiezen en Vertrouwelijke gegevens beschermen;

Anti spam- de status van het werk weergeven, de trainingswizard starten en snelle toegang tot de module-instellingen Anti spam;

Ouderlijk toezicht- output van de werkstatus, activering en deactivering en snelle toegang tot de instellingen van deze module.

Laten we eens kijken naar de kenmerken van de nieuwe functies en enkele instellingen.

Aandacht!

Na de installatie zijn alle bovenstaande functies uitgeschakeld, wat de beveiliging van het systeem vermindert, dus u moet de tabbladen bekijken en de tabbladen activeren die u nodig hebt.

Om de firewall te activeren, klikt u op de link Aanzetten op het juiste tabblad. Het parameterinstelvenster kan worden opgeroepen door op de knop te drukken Maatwerk onderaan het venster en door het juiste item of uit het overeenkomstige menu-item te selecteren Bescherming... Door op de link te klikken Huidige netwerkactiviteit bekijken, toont u het aantal actieve applicaties dat gebruik maakt van het netwerk, evenals het aantal open verbindingen en poorten.

Er zijn verschillende gebieden beschikbaar in het module-instellingenvenster, in elk daarvan kunt u, door het bijbehorende selectievakje aan te vinken, in-/uitschakelen Firewall geheel of een van zijn componenten - een filtersysteem, een inbraakdetectiesysteem, Anti-advertenties of Anti-banner(afb.5.2). Er is een schuifregelaar in het gebied met firewall-instellingen, waarmee u een van de vijf beschermingsniveaus kunt instellen:

Sta alles toe- elke netwerkactiviteit is zonder beperkingen toegestaan, komt overeen met het uitschakelen van de firewall;

Minimale bescherming- alle netwerkverbindingen zijn toegestaan, behalve diegene die verboden zijn door de regels;

Lesmodus- de gebruiker beslist zelfstandig welke netwerkactiviteit hij toestaat of weigert; wanneer een toepassing toegang probeert te krijgen tot het netwerk waarvoor geen regel is gemaakt, wordt de gebruiker om bevestiging gevraagd en wordt op basis van het antwoord een nieuwe regel gemaakt;

Maximale bescherming- alle ongeautoriseerde verbindingen worden geblokkeerd;

Blokkeer alles- alle verbindingen worden geblokkeerd, toegang tot het lokale netwerk en internet wordt geweigerd; moet worden gebruikt wanneer netwerkaanvallen worden gedetecteerd of wanneer in een gevaarlijk netwerk wordt gewerkt.

Rijst. 5.2. Instellingen firewallmodule

Tijdens de installatie worden regels gemaakt voor alle toepassingen, maar deze zijn niet altijd optimaal voor een specifiek systeem, dus het wordt aanbevolen om het beveiligingsniveau te wijzigen van het minimum, dat standaard is ingesteld, naar training. U moet alleen overschakelen naar de maximale beschermingsmodus als u zeker weet dat alle toegestane regels zijn gemaakt. Na het installeren van nieuwe software moet u echter weer terugkeren naar de trainingsbeveiligingsmodus. Wanneer het systeem in de trainingsmodus werkt, wordt er een melding weergegeven aan de gebruiker (Fig. 5.3).

Rijst. 5.3. Melding netwerkactiviteit

Het bevat een beschrijving van de activiteit en informatie die nodig is om een ​​beslissing te nemen: type verbinding (inkomend, uitgaand), protocol, applicatie, extern IP-adres en poort, lokale poort. Op basis van de ontvangen gegevens kunt u de gewenste actie selecteren door op de bijbehorende knop te klikken - Toestaan of Verbieden... Optie selectie Leermodus uitschakelen zal deze werkingsmodus van de module uitschakelen.

Als het selectievakje is aangevinkt Creëer regel, dan wordt een nieuwe regel gevormd op basis van het geselecteerde antwoord, en tijdens de daaropvolgende netwerkactiviteit van deze applicatie, als de verzoekparameters overeenkomen, zal het programma de gebruiker niet storen. In de vervolgkeuzelijst moet u het type activiteit selecteren waarop de geselecteerde actie van toepassing is. Er zijn verschillende opties beschikbaar:

Elke activiteit- elke netwerkactiviteit van deze applicatie;

selectief- specifieke activiteit die moet worden gespecificeerd in het venster voor het maken van regels;

Dit adres- activiteit van de applicatie, waarvan het externe adres van de netwerkverbinding overeenkomt met de opgegeven; kan handig zijn als u de netwerkactiviteit voor de geselecteerde toepassing wilt beperken tot de opgegeven adressen.

U kunt ook een van de voorinstellingen kiezen die de aard van de toepassing beschrijven: Mailprogramma, Browser, Downloadmanager, FTP-client, Telnet-client of Klok synchronisatie.

Component Inbraakdetectiemodule Firewall reageert op activiteit die typerend is voor netwerkaanvallen. Als een poging om een ​​computer aan te vallen wordt gedetecteerd, verschijnt een bijbehorende melding op het scherm met informatie over de aanvallende computer: het type aanval, het IP-adres van de aanvaller, het protocol en de service die is aangevallen, datum en tijd. In dit geval blokkeert het systeem het IP-adres van de aanvallende computer gedurende één uur. U kunt de blokkeringstijd in het gebied wijzigen Inbraakdetectiesysteem in het vak naast de vlag Voeg de aanvallende computer toe aan de blokkeerlijst op.

Het beste is om het werk van de module aan te passen Firewall met behulp van de regels. Het pakket bevat een set regels voor de meest bekende toepassingen, waarvan de netwerkactiviteit is geanalyseerd door specialisten en die een duidelijke definitie hebben - nuttig of gevaarlijk. Voor één programma kunt u verschillende regels voor toelaten en weigeren maken. In de meeste gevallen volstaat het om voor het maken van regels de trainingsmodus te gebruiken en in het dialoogvenster de voorwaarden op te geven waaronder het programma toegang krijgt tot het netwerk. Er kan zich echter een situatie voordoen waarin u de gemaakte regel moet bewerken, bijvoorbeeld als een nuttige toepassing ten onrechte de toegang tot het netwerk heeft geblokkeerd. U kunt zelf regels maken. Om naar het venster voor het bewerken van regels te gaan, klik op de knop Maatwerk in de buurt van Filtratiesysteem:... Ga in het venster dat verschijnt naar het tabblad Toepassingsregels(afb. 5.4).

Rijst. 5.4. Venster met instellingen voor toepassingsregels

Alle regels op dit tabblad kunnen op twee manieren worden gegroepeerd. Als het selectievakje is ingeschakeld, wordt een lijst met toepassingen weergegeven waarvoor regels zijn gegenereerd. Voor elk programma wordt de volgende informatie weergegeven: de naam en het pictogram van de toepassing, de opdrachtregel die moet worden gestart (indien aanwezig), de hoofdmap waarin het uitvoerbare bestand van de toepassing zich bevindt en het aantal regels dat ervoor is gemaakt.

Door op de geselecteerde toepassing te dubbelklikken, kunt u de lijst met regels bekijken en wijzigen. Als u op een regel klikt, worden de eigenschappen ervan weergegeven: toegestaan ​​of geweigerd, uitgaand, inkomend of beide richtingen, protocol, externe en lokale poort, extern IP-adres en tijdstip waarop de regel van kracht is (Figuur 5.5). Door te dubbelklikken op een regel, of door een regel te selecteren en op de knop te klikken Wijziging, krijgt u toegang tot het regelbewerkingsvenster, waar u een van de opgegeven parameters kunt wijzigen. Door op de knop te drukken Toevoegen, kunt u zelf een nieuwe regel maken. De procedure voor het bewerken en maken van regels is vergelijkbaar met het bewerken van regels in Outpost Firewall (zie de overeenkomstige sectie).

Rijst. 5.5. Regeleigenschappen

Let op de knoppen Exporteren en Importeren: ze kunnen worden gebruikt om de gegenereerde regels snel naar andere computers over te dragen, wat handig is om snel moduleregels te configureren Firewall... Klik op de knop Exporteren en specificeer de locatie en naam van het bestand waar u de instellingen wilt opslaan, breng het bestand vervolgens over naar een andere computer, klik op Importeren en selecteer het bestand met de opgeslagen instellingen.

Om een ​​waarschuwing te ontvangen of een regel die wordt geactiveerd in een rapport vast te leggen, moet u de selectievakjes aanvinken Toon waarschuwing en Schrijf om te rapporteren in het raam Een regel bewerken.

Indien niet aangevinkt Regels groeperen op toepassing alle regels worden weergegeven zonder te groeperen op toepassingsnaam.

Als u merkt dat de toepassing geen toegang heeft tot het netwerk, kan een van de redenen de instelling van een weigerregel in de module zijn Firewall... De snelste manier om dit te controleren is door het werk tijdelijk op te schorten. Firewall... Dit kan op verschillende manieren. U kunt het beschermingsniveau selecteren in het instellingenvenster Sta alles toe ofwel het vinkje weghalen firewall aanzetten en druk op de knop Van toepassing zijn... Als de applicatie daarna normaal werkt, zit het probleem in de weigerregel. De situatie is eenvoudig op te lossen: ga naar het instellingenvenster voor regels voor applicaties, selecteer een applicatie en bekijk alle regels die ervoor zijn gemaakt, met speciale aandacht voor degenen die ze verbieden. Als laatste redmiddel kunt u de toepassing markeren door erop te klikken en op de knop te drukken Verwijderen om alle regels die u ervoor hebt gemaakt te verwijderen. Selecteer vervolgens de trainingsbeveiligingsmodus en maak zo nodig nieuwe regels.

behalve Toepassingsregels aanpassingsvenster Anti-hacker bevat nog drie tabbladen. Tab Pakket regels is vergelijkbaar met degene die hierboven is beschreven, alleen kunt u hierin filterregels voor pakketten instellen (Fig. 5.6).

Rijst. 5.6. Het venster voor het maken van regels voor pakketten

De regels die op dit tabblad zijn geschreven, werken op een lager niveau, dus ze worden toegepast ongeacht de toepassing die ze genereert of ontvangt. Als het bijvoorbeeld nodig is om de toegang tot een bepaalde bron of dienst (lokaal of extern) globaal te weigeren, moet u hier de nodige parameters opgeven, en door de toepassing te wijzigen, is het onmogelijk om het verbod te omzeilen dat is gemaakt voor een specifiek programma. Voor elke filterregel wordt de volgende informatie verstrekt: de naam van de regel, het toestaan ​​of weigeren, het transmissieprotocol, de richting van het pakket en de parameters van de netwerkverbinding waarmee het pakket wordt verzonden. De regel kan worden uitgeschakeld door het bijbehorende selectievakje uit te schakelen.

De wizard vindt alle netwerkinterfaces op de computer en definieert voor elk een beveiligingsbeleid, dat wil zeggen de mate van vertrouwen met de computers in deze zones. De lijst met netwerkinterfaces is beschikbaar op het tabblad Zones: hier kunt u de lijst met netwerkinterfaces bewerken en het beveiligingsbeleid wijzigen.

Als tijdens de installatie niet alle interfaces worden gevonden, klikt u op de Vind opnieuw te zoeken. Als dit niet helpt, drukt u op de knop Toevoegen en voer in het venster dat verschijnt de naam, het subnetadres en het netmasker in. De mate van vertrouwen wordt gekenmerkt door de status van het netwerk. De status kan de volgende waarden aannemen:

vertrouwd- alle verbindingen zijn zonder beperkingen toegestaan;

Het lokale netwerk- andere computers hebben toegang tot lokale bestanden en printers, het verzenden van foutmeldingen is toegestaan ​​(ICMP-protocol) en de onzichtbaarheidsmodus is standaard uitgeschakeld; netwerkactiviteit van applicaties wordt gereguleerd door regels;

internet- toegang tot bestanden en printers geweigerd en ICMP-berichten verzenden, onzichtbaarheidsmodus is ingeschakeld; netwerkactiviteit van applicaties wordt beheerst door regels.

Voor alle zones behalve internet kunt u de status wijzigen. Klik hiervoor op de naam in het gebied Beschrijving... Zone internet heeft altijd de status internet, en het is onmogelijk om deze te wijzigen, daarom wordt de gebruiker tijdens het werken op internet maximaal beschermd. De onzichtbaarheidsmodus kan op verschillende manieren worden gewijzigd, het eenvoudigst is om het vakje met dezelfde naam aan te vinken.

Opmerking

Er is niets ongewoons aan de stealth-modus. Een ICMP-pakket met de ECHO_REQUEST-code wordt naar de externe computer verzonden. U kunt een dergelijke controle handmatig starten door de opdracht Start uit te voeren > Voer de opdracht uit en voer de opdracht ping hostnaam in het geopende venster in. Als de computer is aangesloten op het netwerk, moet als reactie een pakket met de ECHO_REPLY-code komen. In de onzichtbare modus worden dergelijke pakketten geblokkeerd, wat betekent dat het voor de meeste toepassingen die in eerste instantie de bruikbaarheid controleren, onzichtbaar is.

Op het tabblad aanvullend met de schakelaar kunt u een van de twee bedrijfsmodi selecteren:

Maximum snelheid- een modus die de maximale snelheid van netwerkgames biedt, maar tegelijkertijd kunnen er compatibiliteitsproblemen zijn, die gedeeltelijk kunnen worden opgelost door uit te schakelen sluipmodus.

De nieuwe opties op het tabblad selecteren aanvullend in werking zijn getreden, moet u uw computer opnieuw opstarten.

In de module Firewall nog twee componenten zijn inbegrepen.

Anti-reclame- Blokkeert pop-ups die worden gebruikt om producten of diensten te adverteren en die geen lading bevatten. Wanneer een poging wordt gedaan om zo'n venster te openen, wordt de uitvoer ervan geblokkeerd en krijgt de gebruiker een waarschuwing te zien waarin hij kan beslissen om de uitvoer te blokkeren of toe te staan. Werkt correct met de pop-upblokkering in Microsoft Internet Explorer, die wordt meegeleverd met Service Pack 2 voor Microsoft Windows XP.

Pop-upvensters bevatten niet altijd advertenties; op sommige sites wordt op deze manier een venster getoond voor het selecteren van bestanden om te downloaden of voor snellere toegang of het weergeven van bepaalde informatie. Zodat de module Anti-reclame dergelijke vensters niet heeft geblokkeerd, moeten ze worden toegevoegd aan de vertrouwde lijst. Druk hiervoor op de knop Vertrouwde adressen, die zich in het gebied bevindt Pop-upblokkering en druk vervolgens op de knop Toevoegen en voer in het venster dat verschijnt het adres in van de bron waarvan de pop-upvensters niet mogen worden geblokkeerd. In dit geval kunt u maskers gebruiken. Bijvoorbeeld, http: // microsoft * zal alle adressen die beginnen met het woord microsoft als vertrouwd definiëren. Met behulp van de selectievakjes in het gebied Vertrouwde zone, kunt u sites die zijn opgenomen in de vertrouwde zone van Microsoft Internet Explorer en het lokale netwerk als vertrouwd definiëren.

Opmerking

In Internet Explorer kunt u een lijst met sites opgeven die de gebruiker als vertrouwd beschouwt. Voer hiervoor de opdracht Service uit in het browservenster > Internet-opties, ga naar het tabblad Beveiliging, klik op het pictogram Vertrouwde sites en klik op de onderstaande knop Sites. Voer in het venster dat verschijnt de webbronnen in die u vertrouwt.

In de standaard levering van het onderdeel Anti-banner inclusief een lijst met veelgebruikte bannersjablonen. Door op de knop te drukken Maatwerk gelegen in de omgeving Advertentiebanners blokkeren, kunt u zelf de lijst met verboden en toegestane banners instellen. Het venster dat verschijnt, bevat drie tabbladen (Fig. 5.7).

Rijst. 5.7. Instellingen voor bannerblokkering

Op het tabblad Algemeen er is een lijst met banners geplaatst die door specialisten van Kaspersky Lab zijn gemaakt. Deze lijst kan niet worden bewerkt, maar u kunt elke regel uitschakelen door het bijbehorende selectievakje uit te schakelen. Om banners te analyseren die niet onder de maskers van de standaardlijst vallen, vinkt u het vakje aan Heuristische analysemethoden gebruiken- geüploade afbeeldingen worden geanalyseerd op de aanwezigheid van bannerspecifieke functies. Op tabbladen "Zwarte lijst en "Witte lijst Specificeert aangepaste maskers voor banners die moeten worden geblokkeerd en toegestaan. Het is gemakkelijk om een ​​nieuw masker op te geven. Ga naar het gewenste tabblad, klik op de knop Toevoegen en voer in het venster dat verschijnt het volledige adres (URL) van de banner of sjabloon in. In het laatste geval, bij het openen van de banner Anti-banner zoekt in zijn adres naar de opgegeven reeks tekens. De adressen die op deze tabbladen worden vermeld, hebben alleen invloed op de weergave van banners, dus u kunt bijvoorbeeld het adres van de hele site opgeven http://www.test.com/, en banners die bij deze site horen, worden geblokkeerd. Toetsen Exporteren en Importeren die zich op deze tabbladen bevinden, helpen u de gegenereerde lijsten snel naar andere computers over te dragen.

Laten we, om het verhaal over Kaspersky Internet Security af te ronden, eens kijken naar de drie resterende modules: Anti-spion, Anti spam en Ouderlijk toezicht... Voor meer informatie over spyware, zie hoofdstuk 6, antispam in hoofdstuk 8, software voor ouderlijk toezicht in hoofdstuk 9, en phishing-aanvallen in hoofdstuk 7.

module Anti-spion stelt u in staat uzelf te beschermen tegen opdringerige advertenties die in het browservenster worden weergegeven in de vorm van banners en pop-ups. Het gebruik van deze module maakt het mogelijk om bekende methoden van fraude op internet, pogingen tot het stelen van vertrouwelijke informatie (wachtwoorden, creditcardnummers), ongeoorloofde toegang tot internet en ongeoorloofd gebruik van betaalde bronnen te herkennen.

Door een module te kiezen Anti-spion in het hoofdvenster van het programma ontvangt u algemene werkstatistieken en de huidige status van de module als geheel en zijn afzonderlijke componenten. Hier kunt u de module tijdelijk pauzeren of stoppen, en de beveiliging inschakelen als deze is uitgeschakeld.

Rijst. 5.8. Venster met instellingen voor Anti-Spy-module

Alle instellingen in Kaspersky Internet Security zijn van hetzelfde type, dus als u het ene onderdeel onder de knie hebt, is het gemakkelijk om de instellingen voor een ander onderdeel te vinden. Door het vinkje uit te schakelen Anti-spion inschakelen en op de knop drukken Van toepassing zijn, kunt u de module uitschakelen. Anti-spion bestaat uit drie componenten:

Anti-phishing- beschermt tegen phishing-aanvallen door pogingen om bekende phishing-sites te openen te monitoren: Kaspersky Internet Security bevat informatie over alle momenteel bekende sites die worden gebruikt om dergelijke aanvallen uit te voeren; wanneer de dreigingshandtekeningen worden bijgewerkt, wordt deze lijst ook bijgewerkt;

Anti-kiezen- blokkeert een poging om modemverbindingen tot stand te brengen met betaalde internetbronnen;

Voorkomen van overdracht van gevoelige gegevens- herkent en waarschuwt de gebruiker (in de standaardinstellingen) over een poging om vertrouwelijke gegevens over te dragen of een poging om toegang te krijgen tot persoonlijke gegevens of wachtwoorden.

Zo ook voor de module Anti-kiezen: als u verbindingen met bepaalde nummers wilt toestaan ​​zonder het programma te vragen, voeg ze dan toe aan de lijst met vertrouwde nummers. Druk hiervoor op de knop Vertrouwde nummers en voer een telefoonnummer of patroon in. Om een ​​nummer tijdelijk uit de lijst te verwijderen, schakelt u het bijbehorende vakje uit en als het nummer volledig moet worden verwijderd, selecteert u het met de muisknop en klikt u op Verwijderen.

Handig is dat de levering van Kaspersky Internet Security een reeks programma's bevat die nodig zijn voor volledige systeembescherming. Nadat je een mailbox hebt aangemeld, vind je er al snel brieven in die niet voor jou persoonlijk bedoeld zijn, waarvoor de aanwezigheid van de module handig is. Anti spam wie weet hoe dergelijke berichten te detecteren.

Door een module te kiezen Anti spam in het hoofdvenster van het programma kunt u informatie krijgen over de status van zijn werk en statistieken van berichten die vanaf het moment van lancering zijn gecontroleerd en berichten die als spam zijn herkend. Overal in het gebied klikken Rapport openen, kunt u meer gedetailleerde informatie krijgen. Druk op de knop Maatwerk leidt naar het venster voor het instellen van de modulewerking (Fig. 5.9).

Rijst. 5.9. Venster met instellingen voor Anti-Spam-module

Alle e-mails die de module herkent als spam zijn gemarkeerd in de doos Thema label [!! SPAM]... Berichten zijn waarschijnlijk potentiële spam zijn gemarkeerd als [?? waarschijnlijk spam]... Geen operaties meer Anti spam produceert en verwijdert zelf geen berichten, zelfs niet als ze ondubbelzinnig als spam zijn geclassificeerd.

Spambeveiliging is standaard ingeschakeld. Schakel het selectievakje uit om het uit te schakelen. Anti-spam inschakelen, en als de bescherming tijdelijk moet worden onderbroken, gebruikt u de knoppen in het hoofdvenster van het programma. Voor het gemak heeft de applicatie niveaus van agressiviteit van de module geïntroduceerd - het gewenste niveau wordt geselecteerd met behulp van de schuifregelaar in het gebied met dezelfde naam in het instellingenvenster.

De volgende keuzes zijn mogelijk:

Sta alles toe- het laagste controleniveau: alleen e-mail die regels bevat van de zwarte lijst met zinnen of waarvan de afzender op de zwarte lijst staat, wordt als spam beschouwd;

Kort- een strenger niveau, waarin een volledige analyse wordt uitgevoerd, maar het reactieniveau van de mechanismen voor het analyseren van inkomende brieven is lager ingesteld dan gebruikelijk, waardoor de kans op het passeren van spam groter is, hoewel de verliezen lager zijn; het wordt aanbevolen om het te gebruiken als u veel nuttige e-mails ontvangt die worden aangezien voor spam;

Hoog- een niveau met strengere drempels voor het activeren van detectiemechanismen, zodat spam berichten kan krijgen die dat niet zijn; brieven worden geanalyseerd op basis van "witte" en "zwarte" lijsten en met behulp van moderne filtertechnologieën; aanbevolen wanneer het adres van de ontvanger onbekend is bij spammers;

Blokkeer alles- het hoogste niveau: alleen brieven van de "witte" lijst gaan ongehinderd door, de rest wordt als spam gemarkeerd.

U kunt de parameters voor spamdetectie zelf opgeven. Druk hiervoor op de knop Maatwerk in de buurt van Agressiviteitsniveau... Er zijn vier tabbladen in het venster dat verschijnt. Tabbladen "Witte lijst en "Zwarte lijst zijn vergelijkbaar in instellingen, alleen de parameters die erin worden voorgeschreven, zullen een andere reactie veroorzaken Anti spam... Alles wat er in zit "Witte lijst, zal zeker verwijzen naar normale post, en wat komt er in? "Zwarte lijst, geeft spam aan. Elk tabblad is verdeeld in twee blokken. Bovenaan staan ​​de e-mailadressen, onderaan de sleutelzinnen. E-mailadressen kunnen handmatig of tijdens moduletraining worden ingevuld Anti spam... Om handmatig een e-mailadres in te stellen waarvan berichten niet als spam worden beschouwd, gaat u naar de "Witte lijst en vink het vakje aan Ik wil e-mails ontvangen van de volgende afzenders druk dan op Toevoegen en voer in het veld dat verschijnt het adres in. U kunt bijvoorbeeld een volledig e-mailadres invoeren [e-mail beveiligd] , maar u kunt sjablonen gebruiken. Bijvoorbeeld de sjabloon *@mail.ru zal aangeven Anti spam dat alle brieven van de server mail.ru vallen onder de regel.

Om een ​​regel toe te voegen op basis waarvan de e-mail als nuttig wordt beschouwd, selecteert u het selectievakje Ik wil graag e-mails ontvangen met de volgende zinnen:, druk op de knop Toevoegen en voer een zin of patroon in. Je kunt met je vrienden afspreken dat ze letters altijd ondertekenen met elke zin die wordt ingevoerd in "Witte lijst, dan komen de brieven van hen niet in de spam terecht.

E-mailadressen en zinnen op het tabblad worden op dezelfde manier ingevuld. "Zwarte lijst... Vink het vakje aan Ik wil geen e-mails ontvangen van de volgende afzenders om het filter op postadres te activeren. Gebruik het selectievakje om filteren op trefwoorden in te schakelen Ik wil geen e-mails ontvangen met de volgende zinnen.

Wanneer u een sleutelzin invoert, moet u bovendien de bijbehorende sleutelzin aangeven gewichtscoëfficiënt... Het is moeilijk om zelf de coëfficiënt te kiezen, geef bij twijfel de waarde aan 50 of gebruik de bestaande regels als richtlijn. Een e-mail wordt geclassificeerd als spam als de totale ratio een bepaald aantal overschrijdt. In tegenstelling tot de "witte" lijst, hebben de ontwikkelaars de zinnen die het meest worden gebruikt door spammers toegevoegd aan de "zwarte" lijst.

Voor spamherkenningsmodule Anti spam maakt gebruik van verschillende technologieën die op het tabblad kunnen worden in- en uitgeschakeld Spamherkenning(afb. 5.10).

Rijst. 5.10. Spamfiltertechnologieën configureren

In de buurt van Filters specificeert welke technologieën moeten worden gebruikt om spam te detecteren:

Zelflerend iBayes-algoritme - analyse van de tekst van een e-mailbericht op de aanwezigheid van zinnen met betrekking tot spam;

GSG-technologie - analyse van afbeeldingen geplaatst in een brief: op basis van vergelijking met unieke grafische handtekeningen wordt geconcludeerd dat de afbeelding tot grafische spam behoort;

PDB-technologie - header-analyse: op basis van een reeks heuristische regels wordt aangenomen dat het bericht tot spam behoort;

Recente termen-technologie - analyse van berichttekst voor zinnen die typisch zijn voor spam; databases die zijn opgesteld door specialisten van Kaspersky Lab worden gebruikt als referentie.

In gebieden Spamfactor en Potentiële spamfactor de coëfficiënt wordt gespecificeerd waarboven het bericht als spam of potentiële spam wordt beschouwd. Optimale waarden zijn standaard geselecteerd; met behulp van de schuifregelaar kunt u zelfstandig het gewenste niveau instellen. Met wat experimenteren zul je acceptabele parameters vinden.

Tab aanvullend stelt u in staat om aanvullende criteria te specificeren op basis waarvan spam wordt bepaald (onjuiste berichtparameters, de aanwezigheid van sommige typen html-inserts, enz.). U moet het juiste selectievakje selecteren en de spamfactor als percentage instellen. Standaard is de spamfactor in alle criteria 80%, en de brief wordt herkend als spam als de som van alle criteria gelijk is aan 100%. Als je wilt dat alle berichten die niet aan jou zijn geadresseerd als spam worden beschouwd, vink dan het vakje aan Niet aan mij geadresseerd en druk vervolgens op de knop Mijn adressen, dan Toevoegen en voer alle postadressen in die u gebruikt. Nu wordt bij het analyseren van een nieuw bericht het adres van de ontvanger gecontroleerd en als het adres met geen enkel adres in de lijst overeenkomt, krijgt het bericht de spamstatus. Wanneer u terugkeert naar het hoofdinstellingenvenster Anti spam, het niveau van agressiviteit wordt erin ingesteld Aangepast.

Om de efficiëntie van de module te verbeteren: Anti spam, het is noodzakelijk om hem te trainen, aan te geven welke brieven spam zijn en welke reguliere correspondentie. Voor training worden verschillende benaderingen gebruikt. Om bijvoorbeeld de adressen van de correspondenten waarmee u communiceert automatisch te laten toevoegen aan de "witte" lijst, moet u het selectievakje aanvinken Train op uitgaande e-mails(het bevindt zich in het veld) Opleiding venster met module-instellingen Anti spam). Alleen de eerste 50 letters worden gebruikt voor de training, daarna wordt de training voltooid. Aan het einde van de training moet u de "witte" lijst met adressen verduidelijken om ervoor te zorgen dat deze de vereiste vermeldingen bevat.

In de buurt van Opleiding de knop bevindt zich Meester van leren... Door erop te klikken, kunt u stap voor stap lesgeven Anti spam door de e-mailclientmappen op te geven die spam en reguliere berichten bevatten. Deze training wordt aanbevolen aan het begin van het werk. Nadat u de trainingswizard hebt gebeld, moet u vier stappen doorlopen.

1. Definitie van mappen met nuttige correspondentie.

2. Het specificeren van mappen die spam bevatten.

3. Automatisch leren Anti spam... Goede afzenders van e-mail staan ​​op de witte lijst.

4. Opslaan van het resultaat van de trainingsmaster. Hier kunt u werkresultaten toevoegen aan de oude database of deze vervangen door een nieuwe.

Om tijd te besparen, geeft de meester les Anti spam slechts 50 letters in elke map. Om ervoor te zorgen dat het Bayesiaanse algoritme dat wordt gebruikt om spam te herkennen, correct werkt, moet u minimaal 50 goede e-mail en 50 spam trainen.

De gebruiker heeft misschien niet altijd zoveel e-mails, maar dit is geen probleem. Trein Anti spam het is mogelijk tijdens het werk. Er zijn twee opleidingsmogelijkheden:

Een e-mailclient gebruiken;

Rapporten gebruiken Anti spam.

Tijdens de installatie wordt de module Anti spam integreert in de volgende e-mailclients:

Microsoft Office Outlook - knoppen verschijnen op het paneel Spam en Geen spam, en in het venster dat wordt aangeroepen door de menuopdracht Extra> Opties, tabblad Anti spam;

Microsoft Outlook Express - knoppen verschijnen in het venster Spam en Geen spam en de knop Maatwerk;

De vleermuis! - nieuwe componenten verschijnen niet, maar Anti spam reageert op de selectie van items Markeer als spam en Markeer als GEEN spam op het menu Speciaal.

Leren met rapporten is eenvoudig. Selecteer module Anti spam in het hoofdprogrammavenster en klik op het gebied Rapport openen... Alle e-mailheaders worden weergegeven op het tabblad ontwikkelingen het geopende raam. Selecteer met de muisknop de letter die voor de training moet worden gebruikt Anti spam, druk op de knop Acties en kies een van de vier opties: Markeer als spam, Markeren als geen spam, Toevoegen aan witte lijst of Voeg toe aan de zwarte lijst... Daarna Anti spam zal worden opgeleid. Houd er rekening mee dat als er niet genoeg records in de database zijn, de titel van dit venster een inscriptie zal weergeven die aangeeft hoeveel letters er nog nodig zijn om de module te trainen.

Als in het instellingenvenster Anti spam selectievakje aangevinkt Open Mail Dispatcher bij het ontvangen van e-mail, krijg je een andere optie om inkomende e-mail te beperken. Wanneer u verbinding maakt met de e-mailserver, wordt deze geopend E-mailverzender, waarmee u de lijst met berichten op de server kunt bekijken zonder ze naar uw computer te downloaden (Fig. 5.11).

Rijst. 5.11. E-mailverzender

Het toont de informatie die nodig is om een ​​beslissing te nemen: afzender, ontvanger, onderwerp en berichtgrootte. In de kolom Oorzaak een modulecommentaar kan worden getoond Anti spam.

Standaard Anti spam analyseert passerende brieven ongeacht de geïnstalleerde e-mailclient. Als een van de hierboven genoemde e-mailclients als laatste wordt gebruikt, is dergelijk dubbel werk niet nodig, dus u moet het vinkje weghalen POP3 / SMTP / IMAP-verkeer afhandelen die in de buurt is Integratie in het systeem... Installeer het alleen als u een ander e-mailprogramma gebruikt dan de vermelde. Als integratie met de opgegeven e-mailclients niet vereist is, schakelt u het selectievakje uit Schakel ondersteuning in voor Microsoft Office Outlook / The Bat!.

Door te weigeren onnodige of verdachte berichten te ontvangen, kunt u niet alleen verkeer besparen, maar ook de kans verkleinen dat u spam en virussen naar uw computer downloadt. Wanneer u een bericht selecteert, wordt de kop hieronder weergegeven, met aanvullende informatie over de afzender van de brief. Om een ​​onnodig bericht te verwijderen, vink je het vakje naast het bericht in de kolom aan Verwijderen en druk op de knop Verwijder geselecteerde... Als je wilt Verzender toonde alleen nieuwe berichten op de server, zorg ervoor dat het selectievakje is aangevinkt Alleen nieuwe berichten weergeven.

De meeste hedendaagse computerbeveiligingssystemen hebben gebreken. De belangrijkste is dat ze het systeem niet kunnen beschermen tegen nieuwe soorten aanvallen of virussen die niet in de databases zijn opgenomen.

Opmerking

In de technische literatuur wordt de term zero-day (0-day) attack vaak gebruikt om nieuwe onbekende typen aanvallen aan te duiden.

Het aanleren van proactieve systemen kost enige tijd, waarbij de beslissing over de toelating van het programma door de gebruiker wordt genomen. Dergelijke systemen stellen tegenwoordig steeds minder vragen, maar een bepaald niveau van begrip van wat er in het systeem gebeurt, wordt van de gebruiker gevraagd - in ieder geval zodanig dat het ontstaan ​​van een nieuw proces argwaan wekt. De aangemaakte profielen zijn slechts op één computer bekend, dus bij een aanval op een andere machine zal de training vanaf het begin moeten worden herhaald. De kans op een fout is groot, zeker gezien het hoge foutenpercentage dat kenmerkend is voor proactieve systemen.

De makers van het Community Intrusion Prevention System (CIPS) Prevx ( http://www.prevx.com/), het Engelse bedrijf Prevx Limited, een middenweg weten te vinden. Dit systeem wint alleen maar aan populariteit, maar de originaliteit van de oplossing en de effectiviteit ervan maken het het overwegen waard.

Voor het eerst werd in februari 2004 een prototype van een nieuw type aanvalsverdedigingssysteem aan het publiek gepresenteerd onder de naam Vorige Home... Er waren veel unieke dingen in het gepresenteerde systeem. In tegenstelling tot antivirussystemen, die handtekeningen gebruiken om kwaadaardige bestanden te identificeren, of sommige systemen die werken met een lijst met toegestane applicaties, paste het nieuwe systeem regels toe die het gedrag beschrijven en de integriteit van programma's controleren. Bovendien bevatte de lijst zowel bekende goede als slechte programma's, waardoor snel de aard van een nieuwe applicatie of proces op een computer kon worden bepaald. Dit is echter niet het belangrijkste.

Het systeem maakt gebruik van een enkele Community Watch-database. Het is de krachtigste informatiebron die het bestaan, de distributie en de activiteiten van zowel nuttige als schadelijke software bepaalt. Met behulp van de informatie die in deze database is verzameld, is het mogelijk om het gedrag en de verspreiding van elk programma door de gemeenschap in realtime te volgen en te analyseren. Elke clientcomputer wordt geïnstalleerd veiligheidsagenten die de situatie in het beveiligde systeem monitoren. Wanneer een nieuwe applicatie wordt geïnstalleerd of een nieuw proces verschijnt dat de lokale database niet kent, stuurt de agent via internet een verzoek naar de centrale database en trekt op basis van de ontvangen informatie een conclusie over de betrouwbaarheid ervan.

Als er geen informatie over het nieuwe programma in de centrale database is, wordt de nieuwe module erin ingevoerd en als onbekend gemarkeerd en wordt de gebruiker gewaarschuwd voor het mogelijke risico. In tegenstelling tot antivirussen, die enige tijd nodig hebben om door specialisten te worden geanalyseerd, is Community Watch in de meeste gevallen in staat om de aard van het programma onafhankelijk te bepalen op basis van gedragskenmerken. Hiervoor wordt gebruik gemaakt van de Four Axes of Evil-methodiek, die de aard van het programma bepaalt aan de hand van vier componenten: geheimhouding, gedrag, herkomst en verspreiding. Als resultaat wordt er een beschrijving van gemaakt, die ongeveer 120 parameters bevat die het mogelijk maken om dit programma in de toekomst ondubbelzinnig te identificeren, dat wil zeggen, als een hulpprogramma dat onbekend is in de database dezelfde acties uitvoert als een bekend kwaadaardig programma, het doel ervan ligt voor de hand. Als de door de agent verzamelde gegevens niet voldoende zijn om een ​​eenduidige beslissing te nemen, kan de database ter verificatie een kopie van het programma vragen. Volgens de ontwikkelaars vereist slechts een klein percentage van de gevallen speciale tussenkomst van specialisten.

Bij de eerste lancering bevatte de database informatie over een miljoen gebeurtenissen en na 20 maanden bevatte deze al informatie over een miljard. Dit werkingsprincipe maakt het mogelijk om valse positieven te elimineren, dus het is niet verwonderlijk dat een nieuwe generatie programma, Prevx1, snel verscheen, waarvan het testen op 16 juli 2005 begon. Het resultaat overtrof alle verwachtingen: 100.000 computers met Prevx1 geïnstalleerd over de hele wereld waren bestand tegen nieuwe bedreigingen in realtime.

Tegenwoordig bevat de geoptimaliseerde database meer dan 10 miljoen unieke gebeurtenissen en 220 duizend gevaarlijke objecten. Elke dag detecteert en neutraliseert het systeem automatisch meer dan 400 schadelijke applicaties en ongeveer 10 duizend programma's voor verschillende doeleinden. Antivirussen kunnen dergelijke prestaties niet bijhouden. Volgens de statistieken op de website vindt een nieuwe gebruiker die verbinding maakt met Prevx1 in 19% van de gevallen malware in zijn systeem. Prevx1 kan autonoom worden gebruikt en beschermt uw computer op zichzelf en in combinatie met andere producten die het effect ervan vergroten: firewall, antivirus en spywarescanners.

Om Prevx te installeren heeft u een computer nodig met minimaal 256 MB RAM en een 600 MHz processor met Windows 2000 / XP / 2003 en Vista. Dit zijn de minimumvereisten, voor comfortabel werken is het wenselijk om modernere apparatuur te gebruiken.

Er zijn verschillende productopties, elk met hun eigen kenmerken, ontworpen voor specifieke gebruiksomstandigheden en de bijbehorende kosten. Er is ook een gratis versie van Prevx Computer Security Investigator (CSI) beschikbaar via: http://free.prevx.com/.

De ontwikkelaars deden het eenvoudig: de gratis versie trekt nieuwe gebruikers aan voor het project, die hun handtekeningen toevoegen aan de gemeenschapsdatabase en niet-geverifieerde software op hun hardware testen. De gratis versie kan op de gebruikelijke manier op een harde schijf of USB-opslagapparaat worden geïnstalleerd. De enige beperking van deze versie is de onmogelijkheid om de gevonden kwaadaardige bestanden te verwijderen (er wordt alleen een computerscan uitgevoerd). Maar het kan om veiligheidsredenen een willekeurig aantal keren worden gedaan, handmatig of volgens een schema, en als er problemen worden gevonden, actie ondernemen met behulp van andere hulpprogramma's die in dit boek worden beschreven.

Het installeren van Prevx1 is eenvoudig, maar voor verificatie is een internetverbinding vereist. Voer het uitvoerbare bestand uit, bevestig uw akkoord met de licentie door het vakje aan te vinken en op de knop te klikken Doorgaan met(Doorgaan). Het scannen van het systeemgebied begint, waarna het resultaat wordt weergegeven (Fig. 5.12).

Rijst. 5.12. Prevx CSI-beheerconsole

Let op het bericht na Systeem status... Als het pictogram hiernaast groen gekleurd en ondertekend is Schoon, betekent dit dat er geen malware op de computer is gevonden. Als het pictogram rood is en de handtekening Besmet- er is malware gevonden op de computer en er moet actie worden ondernomen. Als er een onbekend programma op de computer wordt gedetecteerd, zal het pictogram een ​​gele waarschuwingskleur krijgen. In dat geval moet de gebruiker voorzichtig zijn, aangezien het een kwaadaardig programma kan zijn.

Prevx moet de lokale database bijwerken als dat nodig is, als de verbinding wordt gemaakt via een proxyserver, moeten de instellingen worden opgegeven op het tabblad Configureren in het veld Proxy-ondersteuning activeren... Automatische systeemcontrole kan worden ingesteld op het tabblad Planner... Vink het vakje aan Scan mijn systeem elke en gebruik de vervolgkeuzelijsten aan de rechterkant om de frequentie en het tijdstip van de controle te specificeren. U kunt ervoor kiezen om dagelijks te controleren ( Dag) of geef een van de dagen van de week aan. Vink het vakje aan om te scannen of de computer was uitgeschakeld Als mijn computer niet is ingeschakeld, is op de geplande tijd ingeschakeld... Om uw computer te controleren na het opstarten van het systeem, installeert u: Automatisch scannen bij opstarten.

¾ programma's op externe opslagmedia

¾ RAM

¾ computersysteemgebieden

¾computerhardware

37. Het belangrijkste middel voor antivirusbescherming is ...

¾ periodiek de lijst met automatisch geladen programma's controleren

¾ firewalls gebruiken bij het werken op internet

¾ periodieke controles van uw computer met antivirussoftware

¾ periodieke controle van de lijst met geladen programma's

38. Elektronische digitale handtekening maakt het mogelijk ...

¾ berichten doorsturen via een geheim kanaal

¾ beschadigde berichten herstellen enia

¾ zorg ervoor dat de afzender en de integriteit van het bericht

¾ versleutel het bericht om het geheim te houden

39. Absolute bescherming van uw computer tegen netwerkaanvallen is mogelijk wanneer ...

¾ met behulp van de nieuwste antivirusprogramma's

¾ met gelicentieerde software

¾ een firewall installeren

¾ geen verbinding

40. Het gevaarlijkste deel van een e-mail vanuit het oogpunt van virale activiteit is ...

¾ bijlage

¾ titel

41. Een opzettelijke bedreiging voor de veiligheid van informatie is...

¾ schade aan de kabel waardoor de transmissie plaatsvindt door weersomstandigheden

¾ beheerdersfout

overstroming

42. Door gebruikersacties te loggen...

¾ reconstrueren van de gang van zaken bij de implementatie van bedreigingen voor de informatiebeveiliging

¾ zorgen voor vertrouwelijkheid van informatie

¾ problemen met toegangscontrole oplossen

43. Een antiviruspakket is NIET...

¾ Kaspersky Anti-Virus

¾Symantec AntiVirus

¾ Norton AntiVirus

¾Microsoft AntiVirus

44. Netwerkwormen zijn...

¾ programma's die bestanden op schijven wijzigen en binnen de computer worden gedistribueerd

¾ programma's die geen bestanden op schijven wijzigen, maar in een computernetwerk worden gedistribueerd, het besturingssysteem van de computer binnendringen, de adressen van andere computers of gebruikers vinden en kopieën van zichzelf naar deze adressen sturen

¾ programma's die alleen via e-mail via internet worden verspreid

¾ Kwaadaardige programma's die tot doel hebben storingen te veroorzaken wanneer de computer wordt gevoed via e-mail. het netwerk

45. Computerbeveiligingsproducten bevatten GEEN...

¾ AntiViral Toolking Pro (AVP)-programma

¾ speciale systemen op basis van cryptografie

¾ rekenbladen

¾ WinZip- en WinRar-programma's

46. Computervirussen zijn...

¾ malware die optreedt als gevolg van storingen in de computerhardware

¾ programma's die speciaal door hackers zijn geschreven om de gebruiker te schaden

¾ programma's die het gevolg zijn van fouten in het besturingssysteem

¾virussen die qua aard vergelijkbaar zijn met biologische virussen

47. Onderscheidende kenmerken van een computervirus zijn:

¾ aanzienlijke hoeveelheid programmacode

¾ de mogelijkheid om de code meerdere keren zelfstandig uit te voeren en te kopiëren

¾ de mogelijkheid om de juiste werking van de computer te verstoren

¾ gemak van herkenning

48. Computerbeveiligingstechnieken aan (fout antwoord aangeven)

¾ legaal

¾ organisatorisch en technisch

¾ politiek

¾ economisch

49. De negatieve gevolgen van de ontwikkeling van moderne informatietechnologieën zijn onder meer ...

¾ vorming van een enkele informatieruimte

¾ werken met informatie wordt de belangrijkste inhoud van professionele activiteit

¾ wijdverbreid gebruik van informatietechnologieën op alle gebieden van menselijke activiteit

¾ toegankelijkheid van persoonlijke informatie voor de samenleving, de invasie van informatietechnologie in het privéleven van mensen

50. Ervoor zorgen dat de bescherming van informatie wordt uitgevoerd door ontwerpers en softwareontwikkelaars in de volgende richtingen (geef het verkeerde antwoord aan)

¾ bescherming tegen apparatuurstoringen

¾ bescherming tegen onopzettelijk verlies van informatie

¾ bescherming tegen opzettelijke vervorming van informatie

¾ ontwikkeling van een wettelijk kader voor de bestrijding van misdrijven op het gebied van informatietechnologie

¾ bescherming tegen ongeoorloofde toegang tot informatie

51. Een ontwikkelde markt van informatieproducten en -diensten, een verandering in de structuur van de economie, het massale gebruik van informatie- en communicatietechnologieën zijn tekenen van:

¾ informatiecultuur

¾ de hoogste graad van ontwikkeling van de beschaving

¾ informatiecrisis

¾ informatiemaatschappij

informatieverslaving

52. Wat is niet gerelateerd aan de objecten van informatiebeveiliging van de Russische Federatie?

¾ natuurlijke en energiebronnen

¾ informatiebronnen van alle soorten

¾ informatiesystemen van verschillende klassen en doeleinden, informatietechnologieën

¾ systeem van vorming van het publieke bewustzijn

¾ de rechten van burgers, rechtspersonen en de staat om informatie en intellectueel eigendom te ontvangen, verspreiden, gebruiken en beschermen

53. Voor het schrijven van een zelfstandig werk hebt u de volledige tekst van de normatieve wet van internet gekopieerd. Heb je daarmee het auteursrecht geschonden?

¾ nee, want op regelgeving rust geen copyright

¾ niet, als er toestemming is van de site-eigenaar

54. Is het mogelijk om artikelen uit verschillende tijdschriften en kranten over politieke, economische, religieuze of sociale onderwerpen te gebruiken om educatief materiaal voor te bereiden?

¾ ja, na toestemming van de auteursrechthebbenden

¾ ja, met vermelding van de bronnen van lenen

¾ ja, zonder de toestemming van de auteursrechthebbenden te vragen, maar met de verplichte vermelding van de bron van ontlening en de namen van de auteurs

55. Wordt een artikel dat op internet is gepubliceerd beschouwd als auteursrechtelijk beschermd?

¾ niet als het artikel voor het eerst op internet is gepubliceerd

¾ ja, mits hetzelfde artikel binnen 1 jaar in druk verschijnt

¾ ja, aangezien elk artikel auteursrechtelijk beschermd is als een wetenschappelijk of literair werk

56. In welke gevallen wordt het auteursrecht niet geschonden bij het delen van uw computerspelletjes met andere mensen?

¾ als kopieën van deze computerspellen zijn gepubliceerd en in de civiele circulatie zijn gebracht met toestemming van de auteur

¾ als de eigenaren van de uitgewisselde exemplaren van computerspellen deze hebben gekocht onder een verkoop-/ruilovereenkomst

¾ indien tegelijkertijd wordt voldaan aan de voorwaarden genoemd in de vorige paragrafen

¾ als ze worden verdeeld door verhuur

57. De belangrijkste acties (fasen) uitgevoerd door een computervirus:

infectie

¾ programma's blokkeren

¾ manifestatie

¾ reproductie

vermomming

58. Antivirusprogramma's omvatten niet:

¾ tolken

¾ accountants

wachter

¾ vaccins

59. Doel van antivirusdetectieprogramma's:

¾ detectie en vernietiging van virussen

¾ virusdetectie

¾ desinfectie van geïnfecteerde bestanden

¾ vernietiging van geïnfecteerde bestanden

¾ desinfectie van geïnfecteerde bestanden

¾ controle over de manieren om virussen te verspreiden

60. De nadelen van antivirusprogramma's zijn onder meer:

¾ onmogelijkheid om "verdachte" objecten te genezen

¾ verschillende instellingen

¾ automatische controle van alle geopende bestanden

¾ de noodzaak van constante updates van virusdatabases

61. Het antiviruspakket is:

¾ Kaspersky Anti-Virus

¾Symantec AntiVirus

¾ Norton AntiVirus

¾Microsoft AntiVirus

62. Het vereiste minimum aan beschermingsmiddelen tegen virussen omvat:

¾ attest van panden

¾ uitgangscontrole

¾ inkomende controle

¾ archiveren

¾ preventie

63. Cryptografische transformatie van informatie is:

¾ invoering van een wachtwoordsysteem

¾ gegevensversleuteling

¾ toegang tot informatie beperken

¾ back-up informatie

64. De meest effectieve manier om te beschermen tegen netwerkaanvallen:

¾ firewalls of FireWall gebruiken

¾ alleen vertrouwde internetsites bezoeken

¾ antivirussoftware gebruiken

¾ alleen gecertificeerde browsers gebruiken bij toegang tot internet

65. FireWall is:

¾ mailprogramma

¾ hetzelfde als de internetbrowser

¾ hetzelfde als firewall

¾grafische editor

66. Het loggen van gebruikersacties maakt het volgende mogelijk:

¾ zorg voor vertrouwelijkheid

¾ toegang tot informatie beheren

¾ gebeurtenissen bij de implementatie van bedreigingen voor informatiebeveiliging te reconstrueren

¾ verloren informatie herstellen

67. Netwerkaudit omvat:

¾ antivirus netwerkscan

¾ selectieve audit van gebruikers

¾ beveiligingsaudit van elk nieuw systeem tijdens de installatie in het netwerk

¾ loggen van de acties van alle gebruikers op het netwerk

68. Secure Sockets-laag:

¾ maakt geen gebruik van gegevensversleuteling

¾ Biedt veilige gegevensoverdracht

¾ kan geen versleuteling met openbare sleutels gebruiken

¾ dit is geen protocol, een programma

69. De meest effectieve manier om te beschermen tegen netwerkaanvallen is ...

¾ Firewalls gebruiken, of Firewall;

¾ Alleen "betrouwbare" internetsites bezoeken;

¾ Gebruik van antivirusprogramma's;

¾ Gebruik alleen gecertificeerde browsersoftware bij toegang tot internet.

70. Een gecomprimeerde afbeelding van de brontekst wordt vaak gebruikt ...

¾ Als sleutel voor het versleutelen van tekst;

¾ Om een ​​elektronische digitale handtekening te maken;

¾ Als publieke sleutel in symmetrische algoritmen;

¾ Als gevolg van het versleutelen van de tekst om deze over een onbeveiligd kanaal te verzenden.

71. Van het bovenstaande: 1) toegangswachtwoorden, 2) descriptoren, 3) codering, 4) hashing, 5) toegangsrechten vaststellen, 6) afdrukken verbieden,

de middelen voor computerbeveiliging van informatie zijn onder meer:

72. Er kan geen computervirusinfectie plaatsvinden

¾ Bij het openen van een bestand als bijlage bij e-mail;

¾ Bij het in- en uitschakelen van de computer;

¾ Bij het kopiëren van bestanden;

¾ Wanneer u het programmabestand uitvoert voor uitvoering.

73. Elektronische digitale handtekening van een document stelt u in staat om het probleem van ______________ document(en) op te lossen

¾ Toegangsmodus

¾ Waarden

¾ Authenticiteit

¾ Geheimhouding

74. Het resultaat van de implementatie van bedreigingen voor informatiebeveiliging kan zijn:

¾ I/O-apparaten vernietigen

¾ De configuratie van randapparatuur wijzigen

¾ Vernietiging van communicatiekanalen

¾Injectie van verkeerde informatie

75. Elektronische digitale handtekening stelt _____ informatie vast

¾ Consistentie

¾ Authenticiteit

¾ Inconsistentie

76. Softwaretools voor informatiebeveiliging in een computernetwerk zijn:
1) Firewall, 2) Brandmauer, 3) Sniffer, 4) Back-up.

77. Voor een veilig gebruik van bronnen op internet is het protocol ontworpen ...

Door te wachten op het aanmaken van een fysiek bestand op de computer van de gebruiker, begint netwerkbeveiliging de inkomende gegevensstromen die via het netwerk naar de computer van de gebruiker komen te analyseren en blokkeert bedreigingen voordat ze het systeem binnenkomen.

De belangrijkste gebieden van firewallbescherming die de technologieën van Symantec bieden, zijn:

Drive-by downloads, webaanvallen;
- Aanvallen zoals "Social Engineering": FakeAV (nep antivirus) en codecs;
- Aanvallen via sociale netwerken zoals Facebook;
- Detectie van malware, rootkits en door bots geïnfecteerde systemen;
- Bescherming tegen geavanceerde bedreigingen;
- Bedreigingen van Zero Day;
- Bescherming tegen niet-gepatchte softwarekwetsbaarheden;
- Bescherming tegen kwaadaardige domeinen en IP-adressen.

Netwerkbeveiligingstechnologieën

De laag "Netwerkbeveiliging" omvat 3 verschillende technologieën.

Oplossing voor netwerkinbraakpreventie (netwerk-IPS)

Network IPS-technologie begrijpt en scant meer dan 200 verschillende protocollen. Het "breekt" intelligent en nauwkeurig door het binaire en netwerkprotocol, terwijl het op zoek is naar tekenen van kwaadaardig verkeer. Deze intelligentie maakt nauwkeuriger netwerkscannen mogelijk en biedt toch robuuste beveiliging. De kern is een engine voor het blokkeren van exploits die open kwetsbaarheden biedt met vrijwel ondoordringbare bescherming. Uniek aan Symantec IPS is dat er geen configuratie voor nodig is. Alle functies werken, zoals ze zeggen, "out of the box". Op elk Norton-product voor consumenten en op elk Symantec Endpoint Protection 12.1 of hoger is deze kritieke technologie standaard ingeschakeld.

Browserbeveiliging

Deze beveiligingsengine bevindt zich in de browser. Het is in staat om de meest geavanceerde bedreigingen te detecteren die noch traditionele antivirus noch Network IPS kunnen detecteren. Tegenwoordig gebruiken veel netwerkaanvallen verduisteringstechnieken om detectie te omzeilen. Omdat Browser Protection in de browser werkt, is het in staat om de nog niet verborgen (versluierde) code te onderzoeken terwijl deze wordt uitgevoerd. Hiermee kunt u een aanval detecteren en blokkeren als deze werd gemist op de lagere niveaus van de bescherming van het programma.

Niet-geautoriseerde downloadbeveiliging (UXP)

De laatste verdedigingslinie bevindt zich in de netwerkverdedigingslaag en helpt de gevolgen van het misbruiken van onbekende en niet-gepatchte kwetsbaarheden te dekken en te "verzachten", zonder het gebruik van handtekeningen. Dit biedt een extra beschermingslaag tegen Zero Day-aanvallen.

Focussen op problemen

Door samen te werken lossen firewalltechnologieën de volgende problemen op.

Drive-by downloads en Web Attack Toolkits

Door gebruik te maken van Network IPS, Browser Protection en UXP-technologie, blokkeren de firewalltechnologieën van Symantec Drive-by-downloads en voorkomen ze zelfs dat malware het systeem van de gebruiker bereikt. Er worden verschillende preventieve methoden toegepast, waaronder het gebruik van deze technologieën, waaronder Generic Exploit Blocking-technologie en detectietools voor webaanvallen. Generic Web Attack Detection Tool analyseert de kenmerken van een veelvoorkomende webaanval, ongeacht op welke kwetsbaarheid de aanval betrekking heeft. Dit biedt extra bescherming voor nieuwe en onbekende kwetsbaarheden. Het beste van dit type bescherming is dat als een kwaadaardig bestand het systeem "stil" zou kunnen infecteren, het nog steeds proactief zou worden gestopt en van het systeem zou worden verwijderd: dit is het gedrag dat traditionele antivirusproducten meestal missen. Maar Symantec blijft tientallen miljoenen varianten van malware blokkeren die normaal gesproken niet op een andere manier zouden worden gedetecteerd.

Social engineering-aanvallen

Omdat de technologie van Symantec het netwerk- en browserverkeer controleert terwijl het reist, detecteert het Social Engineering-aanvallen zoals FakeAV of valse codecs. Technologieën zijn ontworpen om dergelijke aanvallen te blokkeren voordat ze op het scherm van de gebruiker worden weergegeven. De meeste andere concurrerende oplossingen bevatten dit krachtige potentieel niet.

Symantec blokkeert honderden miljoenen van deze aanvallen met technologie voor bescherming tegen netwerkbedreigingen.

Aanvallen gericht op sociale-mediatoepassingen

Er is recentelijk veel vraag naar sociale media-applicaties geworden, omdat ze u in staat stellen om onmiddellijk verschillende berichten, interessante video's en informatie uit te wisselen met duizenden vrienden en gebruikers. De wijdverbreide beschikbaarheid en het potentieel van dergelijke programma's maken ze de nummer 1 plek voor hackers. Enkele veelvoorkomende hacktrucs zijn het maken van nepaccounts en het verzenden van spam.

Symantec IPS-technologie kan bescherming bieden tegen dergelijke misleidingsmethoden, waardoor ze vaak worden voorkomen voordat de gebruiker tijd heeft om erop te klikken. Symantec stopt frauduleuze en vervalste URL's, apps en andere frauduleuze methoden met online technologie voor bescherming tegen bedreigingen.

Detectie van malware, rootkits en door bots geïnfecteerde systemen

Zou het niet fijn zijn om precies te weten waar de geïnfecteerde computer zich op het netwerk bevindt? De IPS-oplossingen van Symantec bieden deze mogelijkheid, inclusief de detectie en herstel van bedreigingen die mogelijk andere verdedigingslagen hebben omzeild. De oplossingen van Symantec detecteren malware en bots die proberen uit te bellen of "updates" te downloaden om hun activiteit op het systeem te vergroten. Hierdoor kunnen IT-managers, die een duidelijk overzicht van systemen hebben om te controleren, er zeker van zijn dat hun onderneming veilig is. Polymorfe en geavanceerde verborgen bedreigingen die gebruikmaken van rootkit-technieken zoals Tidserv, ZeroAccess, Koobface en Zbot kunnen met deze methode worden gestopt en verwijderd.

Bescherming tegen versluierde bedreigingen

De webaanvallen van tegenwoordig maken gebruik van geavanceerde technieken om aanvallen geavanceerder te maken. Symantec Browser Protection zit in een browser en kan zeer geavanceerde bedreigingen detecteren die traditionele methoden vaak niet zien.

Zero Day Threats en niet-gepatchte kwetsbaarheden

Een van de verdedigingen die het bedrijf in het verleden heeft toegevoegd, is een extra beschermingslaag tegen zero-day-bedreigingen en niet-gepatchte kwetsbaarheden. Door gebruik te maken van bescherming tegen ondertekening onderschept het programma systeem-API-aanroepen en beschermt het tegen malwaredownloads. Deze technologie wordt Un-Authorized Download Protection (UXP) genoemd. Het is de laatste steunpilaar binnen het ecosysteem voor de verdediging van netwerkbedreigingen. Hierdoor kan het product onbekende en niet-gepatchte kwetsbaarheden "dekken" zonder handtekeningen te gebruiken. Deze technologie is standaard ingeschakeld en is te vinden in alle producten die zijn uitgebracht sinds het debuut van Norton 2010.

Bescherming tegen niet-gepatchte softwarekwetsbaarheden

Kwaadaardige programma's worden vaak geïnstalleerd zonder medeweten van de gebruiker, gebruikmakend van kwetsbaarheden in de software. Symantec Network Security biedt een extra beschermingslaag genaamd Generic Exploit Blocking (GEB). Ongeacht of de nieuwste updates zijn geïnstalleerd of niet, GEB beschermt "in principe" basiskwetsbaarheden tegen misbruik. Kwetsbaarheden in Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, ActiveX-besturingselementen of QuickTime zijn nu alomtegenwoordig. Generic Exploit Protection is reverse-engineered om erachter te komen hoe kwetsbaarheden op het netwerk kunnen worden misbruikt, terwijl er een aangepaste patch op de netwerklaag wordt geboden. Een enkele GEB, of kwetsbaarheidshandtekening, kan bescherming bieden tegen duizenden varianten van malware, nieuw en onbekend.

Kwaadaardige IP's en domeinblokkering

Symantec Network Security biedt ook de mogelijkheid om kwaadaardige domeinen en IP-adressen te blokkeren en tegelijkertijd malware en verkeer van bekende kwaadaardige sites tegen te houden. Symantec biedt realtime bescherming tegen steeds veranderende bedreigingen door de websitedatabase zorgvuldig te controleren en bij te werken door STAR.

Verbeterde weerstand tegen ontduiking

Ondersteuning voor extra coderingen is toegevoegd om de prestaties van aanvalsdetectie te verbeteren met behulp van coderingstechnieken zoals base64 en gzip.

Netwerkauditdetectie voor het afdwingen van gebruiksbeleid en het identificeren van gegevenslekken

Network IPS kan worden gebruikt om applicaties en tools te identificeren die mogelijk in strijd zijn met het bedrijfsbeleid, of om datalekken via het netwerk te voorkomen. Het is mogelijk om verkeer zoals IM, P2P, sociale media of ander "interessant" verkeer te detecteren, te voorkomen of te voorkomen.

STAR Intelligence-communicatieprotocol

Firewall-technologie alleen werkt niet. De engine communiceert met andere beveiligingsdiensten via het STAR Intelligence Communication (STAR ​​ICB) protocol. De Network IPS-engine maakt verbinding met de Symantec Sonar-engine en vervolgens met de Insight Reputation-engine. Dit zorgt voor meer informatieve en nauwkeurige bescherming.

In het volgende artikel zullen we kijken naar het niveau van de Behavioural Analyzer.

Gebaseerd op materialen van Symantec

Een typfout gevonden? Markeer en druk op Ctrl + Enter