иб. ибб. Информационная безопасность предполагает отсутствие угроз, направленных на
 Скачать 3.29 Mb.
|
|
Тема 8. Системы обнаружения атак и вторжений Содержание темы: 1. Противодействие сетевым атакам. 2. Методы автоматизации процессов анализа защищенности автоматизированных систем (АС). 3. Классификация программных средств анализа защищенности. 4. Классификация систем обнаружения атак. 5. Методы построения систем обнаружения атак. 6. Защита от компьютерных вирусов. Вопрос 1. Противодействие сетевым атакам. Сетевая атака – любое действие, выполняемое нарушителем путем использования уязвимостей информационной системы для реализации угрозы. Уязвимость информационной системы – любая характеристика или элемент информационной системы, использование которых нарушителем может привести к реализации угрозы. Сообщения о проникновении в корпоративные сети и атаках на Web-сервера в последнее время появляются с большой частотой. Число и сложность предлагаемых на рынке информационных технологий периодически растет. Не редко злоумышленники преодолевают установленные в компании или банке защитные средства (системы аутентификации, межсетевые экраны и т.д.), установленные для разграничения доступа к ресурсам корпоративной сети. С увеличением квалификации злоумышленники становятся более изощренными в разработке и применении методов проникновения за защитную преграду. Обнаружить таких злоумышленников очень трудно. Они маскируются под авторизованных пользователей, используют промежуточные узлы для сокрытия своего истинного адреса, осуществляют атаки, распределенные во времени (в течение нескольких часов) и пространстве (одновременно с нескольких узлов) и т.д. Многие атаки осуществляются за очень короткое время (минуты и даже секунды), что также не позволяет обнаружить и предотвратить их стандартными защитными средствами. Связано это с тем, что большинство компьютерных защитных систем построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах. Согласно этим моделям субъекту (пользователю или программе) на основе заданных правил разрешается или запрещается доступ к какому-либо объекту (например, файлу). Однако действия, производимые субъектом над объектом, никак не регламентируется и таким образом невозможно, например, предотвратить копирование файла пользователем, которому доступ к данному файлу разрешен. Существуют несколько различных средств защиты информации по противодействию сетевым атакам (Табл. 8.1.). Таблица 8.1. Средства защиты информации по противодействию сетевым атакам
Рассмотренные на прошлых лекциях межсетевые экраны, системы разграничения доступа и криптографические комплексыне в состоянии гарантированнозащитить информационные ресурсы сети от атак, направленных из внутренней сети и от несанкционированного использования модемов подключенных к рабочим станциям. Атаки, направленные из внутренней сети не видны для МЭ, поскольку сетевые пакеты, реализующие эти атаки, не проходят через него. В этом случае МЭ, установленный на границе сети, не может обеспечить защиты. Политика безопасности организации должна предусматривать и защиту от внутренних угроз, что достигается как административными мерами, так и техническими (физическая защита доступа к носителям, разграничение доступа к внутренним прикладным службам и др.). Иногда целесообразно установить МЭ во внутренней сети организации между сетевыми сегментами, в которых циркулируют данные с разными уровнями доступа (конфиденциальности) или необходимо обеспечить защиту критически важных служб. Несанкционированное использование модемов, подключенных к рабочим станциям пользователей, является одной из самых опасных и трудно обнаруживаемых угроз безопасности. Действительно, все усилия по обеспечению надежной защиты сети могут быть сведены на нет при непосредственном подключении рабочего места к Интернет через модемное (коммутируемое) соединение. Причем подключение не обязательно может использоваться для доступа в Интернет. Возможны соединения и к серверам других организаций, и к отдельным компьютерам, например домашним. Часто модемы входят в состав рабочих мест пользователей. Пользователям достаточно лишь настроить сетевое соединение. Причины наличия модемов: модемы встроены в портативные компьютеры или поставлялись вместе с компьютерами; модемы предназначены для обеспечения факсимильной связью рабочих мест пользователей. И в первом, и во втором случае проблема может быть решена только организационным путем – модемы должны быть изъяты из системных блоков, а факсимильная связь должна быть организована, например, через сетевой факс-сервер. Развитие современных систем и средств связи (мобильная связь, беспроводные устройства доступа, персональные цифровые помощники и органайзеры) только усугубляет проблему несанкционированных сетевых подключений. Таким образом, самым уязвимым местом информационной безопасности организации являются пользователи защищаемой сети. Вопрос 2. Методы автоматизации процессов анализа защищенности автоматизированных систем (АС). Уровень защищенности компьютерных систем от угроз безопасности определяется многими факторами. При этом одним из определяющих факторов является адекватность конфигурации системного и прикладного ПО, средств защиты информации и активного сетевого оборудования существующим рискам. Перечисленные компоненты АС имеют сотни параметров, значения которых оказывают влияние на защищенности системы, что делает их ручной анализ трудновыполнимой задачей. Поэтому в современных АС для анализа конфигурационных параметров системного и прикладного ПО, технических средств и средств защиты информации зачастую используются специализированные программные средства. Существуют два метода автоматизации процессов анализа защищённости: использование технологии интеллектуальных программных агентов; активное тестирование механизмов защиты путем эмуляции действий злоумышленника по осуществлению попыток сетевого вторжения в АС. В первом случае система защиты строится на архитектуре консоль/менеджер/агент. На каждую из контролируемых систем устанавливается программный агент, который и выполняет соответствующие настройки ПО и проверяет их правильность, контролирует целостность файлов, своевременность установки пакетов программных коррекций, а также выполняет другие полезные задачи по контролю защищенности АС. (Управление агентами осуществляется по сети программой менеджером.) Менеджеры являются центральными компонентами подобных систем. Они посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные, полученные от агентов в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т. п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход был использован при построении комплексной системы управления безопасностью организации Symantec ESM. Для активного тестирования механизмов защиты путем эмуляции действий злоумышленника по осуществлению попыток сетевого вторжения в АС, применяются сетевые сканеры, эмулирующие действия потенциальных нарушителей. В основе работы сетевых сканеров лежит база данных, содержащая описание известных уязвимостей ОС, МЭ, маршрутизаторов и сетевых протоколов, а также алгоритмов осуществления попыток вторжения (сценариев атак). Рассматриваемые ниже сетевые сканеры Nessus и Symantec NetRecon являются достойными представителями данного класса программных средств анализа защищенности. Вопрос 3. Классификация программных средств анализа защищенности. Таким образом, программные средства анализа защищенности условно можно разделить на два класса: 1) Первый класс, к которому принадлежат сетевые сканеры, иногда называют средствами анализа защищенности сетевого уровня. 2) Второй класс, к которому относятся все остальные рассмотренные здесь средства, иногда называют средствами анализа защищенности системного уровня. Данные классы средств имеют свои достоинства и недостатки, а на практике взаимно дополняют друг друга. 1) Сетевые сканеры являются, пожалуй, наиболее доступными и широко используемыми средствами анализа защищенности. Основной принцип их функционирования заключается в эмуляции действий потенциального злоумышленника по осуществлению сетевых атак. Поиск уязвимостей путем имитации возможных атак является одним из наиболее эффективных способов анализа защищенности АС, который дополняет результаты анализа конфигурации по шаблонам, выполняемый локально с использованием шаблонов (списков проверки). Сканер является необходимым инструментом в арсенале любого администратора безопасности АС. Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды сетевых протоколов, они выполняют четыре основные задачи: идентификацию доступных сетевых ресурсов; идентификацию доступных сетевых служб; идентификацию имеющихся уязвимостей сетевых служб; выдачу рекомендаций по устранению уязвимостей. В функциональность сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут предоставить ему доступные сетевые службы. Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит, таких как host, showmount, traceout, rusers, finger, ping и т. п. При этом используются известные уязвимости сетевых служб, сетевых протоколов и ОС для осуществления удаленных атак на системные ресурсы и осуществляется документирование удачных попыток. В настоящее время существует большое количество как коммерческих, так и свободно распространяемых сканеров, как универсальных, таки специализированных, предназначенных для выявления только определенного класса уязвимостей. Многие из них можно найти в сети Интернет. Число уязвимостей в базах данных современных сканеров медленно, но уверенно приближается к 1000.Одним из наиболее продвинутых коммерческих продуктов этого класса является сетевой сканер NetRecon компании Symantec, база данных которого содержит около 800 уязвимостей UNIX, Windows и NetWare систем и постоянно обновляется через Web. К лучшим представителям коммерческих продуктов анализа защищенности сетевого уровня можно отнести Internet Security Scanner компании ISS, Network Associates CyberCop. Преимущества сетевых сканеров. Для функционирования сетевого сканера необходим только один компьютер, имеющий сетевой доступ к анализируемым системам, поэтому в отличие от продуктов, построенных на технологии программных агентов, нет необходимости устанавливать в каждой анализируемой системе своего агента (своего для каждой ОС). Кроме того, сканеры являются более простым, доступным, дешевым и, во многих случаях, более эффективным средством анализа защищенности. К недостаткам сетевых сканеров можно отнести большие временные затраты, необходимые для сканирования всех сетевых компьютеров из одной системы, и создание большой нагрузки на сеть. Кроме того, в общем случае трудно отличить сеанс сканирования от действительных попыток осуществления атак. Сетевыми сканерами также с успехом пользуются злоумышленники. 2) Мощным средством анализа защищенности системного уровня, выполняющим проверки конфигурационных параметров ОС и приложений «изнутри» является автоматизированная система управления безопасностью предприятия ESM компании Symantec и System Scanner компании ISS. Система ESM построена на архитектуре консоль/менеджер/агент. Программные агенты ESM устанавливаются на каждом контролируемом компьютере сети, выполняя проверки параметров ПО, связанных с безопасностью, и корректируя их по мере необходимости. Также средствами контроля целостности и анализа защищенности ОС являются: утилита С2 Configuration в Windows NT Resource Kit, утилита ASET в ОС Solaris и т.п. Имеется немало свободно распространяемых и широко используемых продуктов, предназначенных для решения подобных задач, таких как программа COPS для ОС UNIX. Однако эти средства, в отличие от ESM и System Scanner, позволяют обеспечить только некоторый базовый уровень защищенности самой ОС. Преимущества систем анализа защищенности, построенных на интеллектуальных программных агентах: Являются потенциально более мощным средством, чем сетевые сканеры; Программные агенты обычно способны выполнять более сложные проверки и анализировать параметры ПО, недоступные сетевым сканерам, т. к. они действуют изнутри; Анализ защищенности, выполняемый программными агентами, может планироваться по времени и выполняться одновременно на всех контролируемых компьютерах; Программные агенты не оказывают большого влияния на пропускную способность сети; Осуществляют шифрование (защита данных путем использования криптографических методов и гарантия невозможности чтения информации без знания секретного ключа) результатов проверок при передаче данных по сети. Однако, несмотря на все свои достоинства, использование программных агентов не может заменить сетевого сканирования, поэтому эти средства лучше применять совместно. Вопрос 4. Классификация систем обнаружения атак. Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся и системы разграничения доступа, и межсетевые экраны, и системы аутентификации, сильно ограничены и во многих случаях не могут обеспечить эффективной защиты. Следовательно, необходимы динамические методы, позволяющие обнаруживать и предотвращать нарушения безопасности. Одной из технологий, которая может быть применена для обнаружения нарушений, которые не могут быть идентифицированы при помощи моделей контроля доступа является технология обнаружения атак (intrusion detection). Исторически сложилось, что технологии, по которым строятся системы обнаружения атак (intrusion detection systems) принято условно делить на две категории: обнаружение аномального поведения (anomaly detection) и обнаружение злоупотреблений (misuse detection). Однако в практической деятельности применяется другая классификация: Система обнаружения атак на уровне сети (network-based) анализирует сетевой трафик. Принципиальное преимущество сетевых систем обнаружения атак в том, что они идентифицируют нападения прежде, чем они достигнут атакуемого узла. Эти системы проще для развертывания в крупных сетях, потому что они не требуют установки на различные платформы, используемые в организации. Кроме того, системы обнаружения атак на уровне сети практически не снижают производительности сети. Система обнаружения атак на уровне хоста (host-based) анализирует регистрационные журналы операционной системы или приложений. Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы, что накладывает на них определенные ограничения. Используя знание того, как должна себя "вести" операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, существенно снижает производительность защищаемого хоста. Такие системы сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени (например, система "Операционный день банка" или система диспетчерского управления). Однако, несмотря ни на что, оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут быть неплохим выбором. Но, если вы хотите защитить большую часть сетевых узлов организации, то системы обнаружения атак на уровне сети, вероятно, будут лучшим выбором, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемого при помощи системы обнаружения атак. Она сможет без дополнительной настройки защищать дополнительные узлы, в то время как в случае применения системы, функционирующей на уровне хостов, понадобится ее установка и настройка на каждый защищаемый хост. Каждый из классов имеет свои достоинства и недостатки. Необходимо заметить, что лишь некоторые системы обнаружения атак могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себе возможности нескольких категорий. Тем не менее, эта классификация отражают ключевые возможности, отличающие одну систему обнаружения атак от другой. Вопрос 5. Методы построения систем обнаружения атак. Системы обнаружения аномального поведения. Технология, по которой построены данные системы, основана на гипотезе, что аномальное поведение пользователя (т.е. атака или какое-нибудь враждебное действие) часто проявляется как отклонение от нормального поведения. Примером аномального поведения может служить большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора или использование периферийных устройств, которые обычно не задействуются пользователем. Если бы мы смогли описать профиль нормального поведения пользователя, то любое отклонение от него можно охарактеризовать как аномальное поведение. Однако аномальное поведение не всегда является атакой. Например, одновременная посылка большого числа запросов об активности станций от администратора системы сетевого управления. Многие системы обнаружения атак идентифицируют этот пример, как атаку типа "отказ в обслуживании" ("denial of service"). С учетом этого факта можно заметить, что возможны два крайних случая при эксплуатации системы: обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак; пропуск атаки, которая не подпадает под определение аномального поведения. Этот случай гораздо опаснее, чем ложное отнесение аномального поведения к классу атак. Поэтому при настройке и эксплуатации систем этой категории администраторы сталкиваются со следующими проблемами: построение профиля пользователя. Трудно формализуемая и трудоемкая задача, требующая от администратора большой предварительной работы; определение граничных значений характеристик поведения пользователя для снижения вероятности появления одного из двух вышеназванных крайних случаев. В настоящий момент эта технология не получила широкого распространения. Системы обнаружения злоупотреблений. Другой подход к обнаружению атак - обнаружение злоупотреблений, которое заключается в описании атаки в виде шаблона (pattern) или сигнатуры (signature) и поиска данного шаблона в контролируемом пространстве (сетевом трафике или журнале регистрации). Примером злоупотребления является использование уязвимостей в почтовой программе sendmail и сетевом сервисе finger, которое были реализованы в нашумевшем в конце 80-х годов "Черве Морриса". Эта технология очень похожа на обнаружение вирусов (антивирусные системы являются ярким примером системы обнаружения атак), т.е. система может обнаружить все известные атаки, но она мало приспособлена для обнаружения новых, еще неизвестных, атак. Подход, реализованный в таких системах, очень прост и именно на нем основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Однако администраторы сталкиваются с проблемами и при эксплуатации этих систем. Первая проблема заключается в создании механизма описания сигнатур, т.е. языка описания атак. А вторая проблема, плавно вытекающая из первой, как записать атаку, чтобы зафиксировать все возможные ее модификации? Как уже было отмечено выше, существует два класса систем, обнаруживающих атаки на сетевом и операционном уровне. Идеальным решением была бы система обнаружения атак, объединяющая в себе оба эти подхода. Как правило, системы обнаружения атак на уровне сети работают в реальном режиме времени, в то время как системы, функционирующие на уровне хоста, обеспечивают автономный анализ регистрационных журналов операционной системы или приложений. Однако бывают и исключения. Например, системный агент вышеупомянутой системы RealSecure функционирует в реальном масштабе времени. Преимущества и недостатки каждого из подходов зависят от того, как будет применяться система обнаружения атак. В случае высококритичных систем, таких как, например, "Банковский операционный день", обнаружение атак в реальном режиме времени является обязательным, т.к. злоумышленник может проникнуть в систему, сделать все, что необходимо и исчезнуть в течение нескольких минут или даже секунд. Однако и автономный анализ имеет немалое значение. Он позволяет проводить более подробное исследование того, когда и как злоумышленники проникли в вашу систему. Это позволит выработать вам эффективные меры противодействия нападавшим. Реализован, такой анализ может быть по-разному. Начиная от простой генерации отчета с информацией обо всех или выбранных прошедших событиях, и заканчивая воспроизведением (playback) в реальном времени всех действий, производимых при атаке (как это, например, реализовано в системе RealSecure). Заметим, что анализ данных "постфактум" полезен только при наличии квалифицированного обученного персонала. Требуемый состав персонала для эксплуатации системы обнаружения атак очень трудно определить, поскольку это зависит от объема данных, требующих анализа. Как минимум, система обнаружения атак должна выдавать сигнал о тревоге на консоль администратора или уведомлять его по электронной почте. Большинство представленных на рынке систем обладает этими возможностями. Наиболее "продвинутые" системы предлагают и другие варианты уведомления. Например, система обнаружения атак RealSecure позволяет посылать уведомление об атаке на консоль некоторых межсетевых экранов (например, Lucent Managed Firewall), систем сетевого управления (например, HP OpenView или CA Unicenter), а также генерировать сигнал тревоги и передавать его на пейджер, факс или телефон. Кроме уведомления, системы обнаружения атак предлагают и другие варианты реагирования - реконфигурация межсетевых экранов и маршрутизаторов, автоматическое завершение атаки с атакующим узлом, блокировка учетной записи атакующего пользователя и т.д. Второе, на что следует обратить свой взгляд, является архитектура системы. Существует два распространенных варианта - архитектура "автономный агент" и "агент-менеджер". В обоих случаях вы устанавливаете компоненты системы обнаружения атак на выделенные компьютеры, но во втором случае вы сможете централизованно управлять модулями слежения с единой консоли (менеджера) и удаленно собирать регистрационные данные, не посещая каждый узел, на котором установлена система обнаружения атак. В небольших сетях это не имеет большого значения, однако, для крупных организаций, в которых филиалы разнесены по разным территориям и даже городам, это принципиальный момент. В целом, все требования, которые необходимо учитывать при выборе систем обнаружения атак можно условно разделить на несколько групп: инсталляция и развертывание системы; безопасность самой системы; обнаружение атак; реагирование на атаки; конфигурация системы; контроль событий; управление данными системы; производительность системы; архитектура системы; техническая поддержка системы. Система обнаружения атак, это больше, чем несколько модулей слежения, установленных на различных узлах корпоративной сети. Эффективная и надежная система обнаружения атак позволяет собирать и анализировать информацию от множества удаленных системных и сетевых агентов на центральной консоли. Она позволяет сохранять эту информацию для более позднего анализа, и предоставляет средства для проведения такого анализа. Эта система постоянно контролирует все установленные агенты и мгновенно реагирует в случае возникновения тревоги. И, наконец, система обнаружения атак не более чем дорогостоящая игрушка, если в штате сотрудников нет экспертов в области защиты информации, которые знают, как использовать эту систему и как реагировать на постоянно растущую информационную угрозу. Использование всех этих компонентов в комплексе образует реальную и эффективную систему обнаружения атак. Вопрос 6. Защита от компьютерных вирусов. Под компьютерным вирусом будем понимать компьютерную программу, разработанную с целью нанесения ущерба пользователям вычислительной системы. Основной особенностью большинства компьютерных вирусов является способность к скрытому саморазмножению. Саморазмножение, или репродуцирование вируса, выполняется путем включения в исполняемые или хранящиеся программы своей, возможно модифицированной копии, сохраняющей способность к дальнейшему саморазмножению. Свойство саморазмножения вирусов само по себе представляет одну из его опасностей и может привести к снижению, вплоть до нуля, производительности вычислительной системы (ВС). Это происходит за счет повышения количества ресурсов ВС, расходуемых на выполнение программ-вирусов: увеличивается время процессора, расходуемое на выполнение саморазмножающихся вирусных программ; увеличивается пространство оперативной памяти зараженного компьютера, которое последовательно занимают получаемые в результате саморазмножения копии вируса; увеличиваются объемы ресурсов внешних устройств, задействованных в процессе саморазмножения. В технической литературе, посвященной проблемам компьютерных вирусов, часто встречаются термины, заимствованные из других отраслей науки. К таким терминам относятся, например, следующие - троянская программа, люк, червь и другие. Под троянской программой понимается программа, имеющая законный доступ к компьютерной системе, но выполняющая вместе с основные и скрытые (необъявленные) функции, реализуемые посредством ее вирусоподобного компонента. Люк - это недоработка внутри операционной системы, позволяющая вирусу получить ее привилегированную функцию или запрещенный режим работы. Червем называют вирус, обладающий способностью распространения в вычислительной сети на основе маскировки под системные средства поиска ее свободных ресурсов. Жизненный цикл компьютерного вируса может включать следующие этапы: внедрение (инфицирование); латентная фаза, в течение которой вирус не выполняет никаких действий; инкубационный период, в процессе которого вирус осуществляет саморазмножение; этап выполнения специальных целевых функций; фаза проявления, в процессе которой компьютерный вирус явно дает понять пользователю, что его компьютер заражен. Перечисленные этапы, кроме первого, могут выполняться в любой последовательности, повторяться, и не все являются обязательными. Особую опасность представляют стадии выполнения специальных функций и саморазмножения, которые могут иметь катастрофические последствия для компьютерной системы. По отношению к саморазмножению имеется в виду полная потеря работоспособности отдельных компьютеров или вычислительной сети в целом. Первой и обязательной стадией жизненного цикла вируса является внедрение в компьютерную систему с целью ее заражения (инфицирования). Инфицирование компьютера возможно только при запуске на выполнение зараженной или вирусоподобной программы. После активизации вируса могут заражаться выполняемые программы, а также программы, хранящиеся на внешних запоминающих устройствах. Как правило, копия вируса вставляется в инфицируемую программу таким образом, чтобы при запуске на выполнение зараженной программы вирус получал управление первым. Признаком инфицирования компьютерной системы является заражение любой ее программы. В процессе латентной фазы вирус не выполняет никаких действий до тех пор, пока не установятся условия его активизации. В случае наступления состояния компьютерной системы, при котором выполняются условия активизации вируса, его текущая латентная фаза заканчивается, и вирус может начать либо инкубационный период, либо стадию выполнения специальных целевых функций, либо стадию проявления. Как правило, после латентной фазы наступает инкубационный период. Саморазмножение в процессе инкубационного периода может осуществляться вплоть до уничтожения вирусоносителя. Одновременно или после определенного числа внедренных копий вирус может приступить к выполнению специальных целевых функций. Активизация вирусом процесса реализации специальных функций начинается при наступлении условий их активизации, запрограммированных в теле вируса. Вирус может иметь также фазу проявления, которая сопровождается визуальными или звуковыми эффектами. Отдельные вирусы явно сообщают пользователю о себе и заражении компьютера. Так как вирус является программой, то он может активизироваться и распространяться только путем запуска зараженных или вирусоподобных программ. Соответственно, вирус может внедряться только в другие программы. При этом под программой здесь понимается любая последовательность команд, подлежащих выполнению процессором или другой программой. Например, макросы, включаемые в файлы документов редактора Word, также, по сути, являются программами, так как представляют собой последовательности команд, выполняемых редактором для автоматизации действий пользователя. Программы могут содержаться в файлах или некоторых компонентах системной области диска, участвующих в процессе загрузки операционной системы. Согласно этому различают: файловые вирусы, инфицирующие программные файлы; загрузочные (бутовые) вирусы, заражающие системные программы, хранящиеся в системных областях дисков. Следует иметь в виду, что основную свою часть, называемую еще телом, вирус может хранить не только в программах, а в любой области внешней или внутренней памяти компьютера. В программах же должна храниться та часть вируса, которая используется для его активизации. Например, существует целый класс вирусов использующих для хранения своих тел свободные области дисковой памяти. Для маскировки и предотвращения доступа к этим областям со стороны других программ вирусы помечают кластеры этих областей как дефектные. После своей активизации вирус такого класса сразу же загружает в оперативную память из соответствующих кластеров своё тело и передаёт ему управление. Для поиска и обезвреживания вирусов используют антивирусные программные средства, называемые сканерами (Doctor Web, AVP Касперского и т.д.). Эти программы ориентированы на обнаружение фиксированного набора вирусов, количество которых повышается при переходе к более новым версиям этих антивирусных программ. Кроме того, они позволяют восстанавливать заражённые файлы и загрузчики, а при невозможности восстановления файлов их уничтожение. Существуют следующие виды программ-сканеров: Транзитные, загружаемые в оперативную память только для поиска и обезвреживания вирусов; Резидентные, которые после запуска остаются в оперативной памяти резидентно и проверяют программные файлы при возникновении с ними определённых событий (запуск, копирование, переименование, создание). Наибольшая результативность достигается при совместном использовании транзитного и резидентного сканеров, когда обеспечивается не только периодический поиск и обезвреживание вирусов на дисковом пространстве и в оперативной памяти, но и контроль на наличие вирусов в программах, к которым происходит обращение. К недостаткам сканеров можно отнести то, что каждый из них позволяет обнаружить далеко не все известные вирусы и, как правило, отстаёт от появления вирусов новых типов. Учитывая частоту появления новых вирусов и их короткий жизненный цикл, следует организовать такое использование программ-сканеров, при котором их версии будут обновляться не реже одного раза в месяц. В противном случае эффективность использования этих антивирусных программ существенно снижается. Своевременное выявление компьютерных вирусов жизненно важно для безопасности предприятия. Борьба с вирусами может не быть успешной, если ограничиться только сканированием на наличие вирусов персональных данных пользователей на серверах и файловых систем их компьютеров. Одной из самых опасных и распространенных видов угроз информационной безопасности является распространение деструктивного кода в виде вирусов и так называемых троянских программ. Средством их распространения являются различные прикладные протоколы, позволяющие передавать файлы с одного компьютера на другой. Это, прежде всего, относится к протоколам FTP, SMTP и HTTP, которые используют для решения своих задач практически все организации.  Рис. 8.1. Клиент-серверная модель протокола CVP Наиболее надежная защита от компьютерных вирусов может быть обеспечена только в том случае, если проверка на их наличие производится во всех точках доступа в сеть предприятия. Поскольку МЭ с точки зрения прохождения сетевого трафика обеспечивает единую точку входа (выхода) в сеть, то целесообразно возложить на него также и функции антивирусной защиты. Межсетевой экран, поддерживающий протокол перенаправления содержания CVP, выступает как клиент сервера CVP (рис.8.1.). На сервере CVP осуществляется обработка информационных потоков (в данном случае - обнаружение вирусов), поступающих от клиента. При обнаружении вируса антивирусный сервер производит его удаление либо осуществляет другие необходимые действия. Результат обработки возвращается обратно МЭ. Например, организации необходимо обеспечить проверку всех вложений электронной почты на наличие компьютерных вирусов. Это легко обеспечить, проводя проверку почты проходящей через шлюз с FireWall-1. В этом случае FireWall-1 перехватит все потоки данных, отвечающие соответствующим правилам политики безопасности и, используя протокол перенаправления содержания (CVP), перенаправит их на сервер антивирусной проверки. Прежде, чем вернуть полученные данные, сервер антивирусной проверки выполнит необходимые действия по сканированию вложений почты на наличие в них вирусов и лечению зараженных данных. Получив данные обратно, FireWall-1 отправляет их получателю. Таким образом, ни одно соединение не будет организованно напрямую без соответствующей проверки. Антивирусный сервер для повышения производительности может быть расположен как на отдельно выделенном компьютере, так и на компьютере с МЭ. Благодаря такому подходу, администратор информационной безопасности предприятия может легко реализовать оптимальную схему борьбы с компьютерными вирусами, быстро развернуть ее и администрировать весь комплекс из общего центра управления. Вместо настройки двух совершенно независимых программных продуктов, администратор безопасности определяет правила разграничения доступа и правила проверки информационных потоков в общей политике безопасности, посредством ее редактора (FireWall-1 Security Policy Editor). По умолчанию для сервера CVP выделяется транспортный порт TCP 18181. Протокол CVP поддерживают такие хорошо зарекомендовавшие себя антивирусные программы, как AVP for Fire Wall (лаборатория Касперского), Norton AntiVirus for Fire Wall (Symantec). Известны и другие решения реализации антивирусной защиты. Так, например, в МЭ BlackHole 4.11 компании Milky Way. Некоторые производители МЭ ранее включали в состав своих продуктов антивирусные средства. Однако из-за сложности поддержки антивирусных баз самими производителями МЭ такие решения быстро «умирали». Следует обратить внимание на совместимость МЭ и CVP-сервера. К сожалению, протокол CVP на сегодняшний день не стандартизирован и его реализации сильно отличаются у различных производителей. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||