Восстановление данных. Глава 2. Стратегия защиты и восстановления данных (А. К. Гультяев)

Программные средства указанного типа, как следует из их названия, призваны не допустить к работе с системой или с конкретным набором данных того, кто не имеет на это прав. Причем, когда речь идет о работе с данными, имеется в виду не только пользователь, но и программа (точнее, процесс), которая может быть автоматически запущена на компьютере без ведома легального пользователя.

ПРИМЕЧАНИЕ

Как пользователь, так и процесс, осуществляющий доступ к данным (информационным объектам), в документах Гостехкомиссии именуются субъектами доступа.

Разграничение прав доступа состоит в создании списка легальных пользователей, определении круга полномочий каждого из них и назначении пользователям (или группам пользователей с равными правами) идентификатора (отличительного признака) для входа в систему или для доступа к определенным объектам.

В простейшем случае в качестве такого идентификатора используется пароль – некое секретное слово (а точнее, последовательность символов), известное только его владельцу (и, возможно, администратору системы).

ПРИМЕЧАНИЕ

В многопользовательских системах и системах, обрабатывающих и хранящих критически важные данные, должна применяться специальная политика управления паролями, включающая и правила их выбора (формирования). Не вдаваясь в детали, отметим, что надежность пароля зависит от трех факторов: его длины, количества символов в алфавите, используемого для формирования пароля, и случайности их выбора из этого алфавита. Например, пароль A12#7ячZ на несколько порядков надежнее пароля ИванС.

Однако сама по себе парольная защита не гарантирует соблюдение правил доступа. Достаточно злоумышленнику получить (подсмотреть, скопировать) пароль, и все – защиты нет. Кроме того, даже легальный пользователь может тем или иным образом активизировать процесс, имеющий доступ к защищенным данным. Еще выше вероятность того, что такой процесс инициирует злоумышленник. Причем для этого ему совсем не обязательно иметь физический доступ к клавиатуре и мыши компьютера (вспомните о «троянах» и программах-шпионах).

Итак, для обеспечения надежной защиты конфиденциальных или важных данных от несанкционированного доступа должен применяться набор программных средств, обеспечивающий решение следующих основных задач:

идентификация пользователей, осуществляющих вход в систему или доступ к данным;

контроль действий пользователя, вошедшего в систему;

контроль процессов, которые обращаются к защищаемым данным.

Средства идентификации пользователей

Функции идентификации на основе паролей реализованы сегодня во многих прикладных программах и непосредственно в подсистеме администрирования операционной системы.

В первую очередь отметим, что, в отличие от Windows 9*, система паролей в операционных системах Windows 2000/XP/Server действительно способна разграничить доступ к разным наборам данных для разных пользователей. То же самое относится и к разграничению прав по управлению параметрами системы. Именно поэтому в этих ОС предусмотрен «главный» пользователь – Администратор. Он может создавать новые и удалять имеющиеся учетные записи, назначать и изменять пароли для себя и для других пользователей. Разумеется, Администратор имеет право устанавливать и удалять программное обеспечение, а также изменять системные параметры. На противоположном конце шкалы полномочий стоит пользователь – Гость. Такой пользователь не может закрыть свои данные паролем, да и вообще не может практически ничего (кроме как запустить одну из разрешенных для него программ или подключиться к Интернету со стандартными настройками). Несколько шире возможности у пользователя С ограниченными правами. Он может, помимо запуска программ, устанавливать и изменять пароль для защиты персональных данных (рис. 2.6).

Таким образом, если вы хотите защитить системные настройки вашего компьютера, установленное на нем программное обеспечение и данные от постороннего воздействия, создайте для себя учетную запись с правами администратора, защищенную паролем, а другим потенциальным пользователям отведите роль гостей или пользователей с ограниченными правами.

Тем не менее для разграничения доступа на уровне отдельных информационных объектов (папок, файлов, приложений) зачастую удобнее воспользоваться соответствующими встроенными функциями прикладных программ либо специализированными приложениями.

Например, вы можете «закрыть» паролем документ, созданный в Word, или архив, сгенерированный с помощью архиватора WinRAR (рис. 2.7).

Кроме того, существуют программы, позволяющие закрывать паролем даже те файлы, для которых создавшее их приложение обеспечить парольную защиту не способно.

Пример такой программы – Virtual Password. Она позволяет закрыть паролем любой файл, имеющийся на компьютере, независимо от его типа (рис. 2.8).

Однако, как и у многих подобных программ, пароль в данном случае используется в качестве ключа шифрования. Соответственно при «закрытии» файла его исходное содержимое изменяется, и если вы забудете или потеряете пароль, то вместе с ним потеряете и первоначальное содержимое защищенного файла (правда, Virtual Password перед шифрованием создает резервную копию исходного файла; с одной стороны – это помощь для рассеянных, с другой – новый объект для защиты/нападения).

Для временного блокирования системы (на время отсутствия легального пользователя) могут применяться так называемые хранители экрана, или скринсейверы (от англ. screensaver), снабженные функцией парольной защиты.

Возможен и несколько иной подход, а именно: разрешать делать только то, что не запрещено. Используя соответствующие программы-блокираторы, вы можете запретить запуск конкретных программ, открытие/перемещение/удаление указанных файлов и папок, изменение настроек Рабочего стола и т. п.

Таких программ-блокираторов, реализующих комплексный подход к управлению доступом к ресурсам компьютера, существует не один десяток. Одной из наиболее удачных (по мнению автора) можно считать программу WinLock производства компании Crystal Office Systems. Оценочную версию программы (с несколько ограниченными функциональными возможностями) можно бесплатно получить на веб-сайте компании (www.crystaloffice.com).

Даже в «урезанном» варианте WinLock предоставляет широкие возможности: от блокирования входа в систему до запрета на работу с отдельными устройствами и на открытие конкретных файлов (рис. 2.9).

Средства контроля действий пользователя

Что касается контроля действий пользователя, вошедшего в систему, то для этого совершенно не обязательно стоять у него за спиной. Достаточно установить на компьютер одну или несколько программ, выполняющих соответствующие функции (аналогичные, по сути, функциям программ-шпионов). Например, небольшая (36 Кбайт) бесплатная программка Home Key Logger (http://www.spyarsenal.com) позволяет регистрировать всю информацию, вводимую с клавиатуры, и затем просматривать протокол всех нажатий клавиш (как текстовых, так и управляющих). Причем в файле протокола указываются дата, время, приложение и файл, с которым работал пользователь. Более «продвинутый» вариант программы – Family Key Logger – обеспечивает некоторые дополнительные возможности (в частности, автоматический запуск в скрытом режиме, рис. 2.10).

Возможен также визуальный контроль действий пользователя. Речь идет о программах, создающих снимки экрана (или снимки окон активных приложений) через заданные интервалы времени. Снимки сохраняются в определенной папке в виде набора графических файлов, просмотрев которые, вы можете получить полное представление о том, какие задачи решались на компьютере в ваше отсутствие. Пример такой программы – Spy Camera. Она снабжена минимальным числом настраиваемых параметров (рис. 2.11), однако исправно выполняет свои задачи.

В отличие от многих аналогичных программ, она способна делать снимки экрана во время работы приложений, использующих полноэкранный режим отображения (например, при просмотре видео).

Рис. 2.11. Окно настроек программы Spy Camera

Для сторонников комплексных решений также имеется богатый выбор подходящих программ-наблюдателей с соответствующими возможностями. В качестве примера рассмотрим две из них. Обе программы созданы российскими программистами и относятся к категории условно-бесплатных (Shareware), то есть по истечении определенного интервала времени для продолжения работы с программой следует зарегистрировать используемую копию. Первая программа называется Spylo PC Monitor (автор – Alexei Vylegjanine (Sontrex Software)). Вторая – StatWin (разработка компании Security extensible Research Software (www.sxrsoft.com)).

Spylo PC Monitor обеспечивает:

регистрацию клавиатурного ввода;

контроль запускаемых приложений;

создание снимков экрана для активных приложений;

регистрацию работы в Интернете.

Spylo PC Monitor состоит из двух основных компонентов: монитора, который собирает информацию, и модуля просмотра результатов (Spylo Commander). Монитор работает скрытно и может запускаться автоматически при загрузке системы. При этом ни на панели задач, ни в списке активных приложений, ни в системном трее никаких признаков его присутствия нет.

Spylo Commander может быть вызван обычным способом (если пользователь, запускающий его, знает установленный пароль) и способен «поделиться» всеми данными, собранными монитором (рис. 2.12, вверху).

Рис. 2.12. Окно Spylo Commander программы Spylo PC Monitor

Помимо двух названных модулей в состав Spylo PC Monitor входит утилита Anti-Spy Killer. Она играет роль своеобразного телохранителя для Spylo PC Monitor, поскольку предназначена для борьбы с программами-антишпионами. Для уничтожения «врага» надо указать имя файла, активность которого следует предотвратить, и/или соответствующий параметр системного реестра (рис. 2.12, внизу).

Программа StatWin обладает более широкими возможностями, объединяя, по сути, функции разграничения доступа и функции контроля. При этом StatWin обеспечивает слежение не только за действиями пользователей, но и за активными процессами (рис. 2.13).

Кроме того, программа умеет делать снимки экрана и регистрировать клавиатурный ввод. Более подробно возможности StatWin будут рассмотрены в следующем подразделе.

Средства контроля процессов

Программа Family Key Logger показательна в том плане, что, фиксируя действия пользователя, она практически ничего не сообщает о своей работе. Владельцы компьютеров, имеющие опыт работы с Windows 9*, привыкли использовать три «волшебные» клавиши Ctrl+Alt+Del, чтобы вывести на экран список активных задач и (если необходимо) принудительно завершить некоторые из них. Так вот, Family Key Logger вы не увидите в списке задач, и, соответственно, не сможете принудительно завершить его работу.

Тем не менее, даже используя «штатные» средства Windows, можно обнаружить программы, подобные Family Key Logger. В среде Windows 98 это сделать несколько сложнее, при работе с Windows XP – проще.

В Windows 98, чтобы получить сведения о запущенных процессах, необходимо в меню Пуск открыть подменю Стандартные Служебные, а в нем выбрать пункт Сведения о системе. Затем в левой панели открывшегося окна раскройте раздел Программная среда, а в нем выберите ветвь Системные ловушки (рис. 2.14).

Все приложения, перехватывающие системные сообщения, будут представлены в правой панели окна утилиты.

Чтобы получить список всех активных задач (процессов), требуется активизировать еще одну системную утилиту, которая называется Доктор Ватсон. Для этого в окне Сведения о системе откройте меню Сервис и выберите в нем команду Доктор Ватсон. Указанная утилита после запуска сразу переходит в режим ожидания, сворачивается и оставляет лишь свой значок в системном трее. Для активизации «доктора» щелкните дважды на значке. Далее, чтобы получить список активных процессов, выполните следующие действия.

1. В меню Вид выберите пункт Расширенный вид.

2. Перейдите на вкладку Задачи (рис. 2.15).

Очевидно, что данный вариант далеко не идеален. Чтобы подобным образом выявить «шпионские» задачи, требуется либо знать, как называется соответствующий исполняемый файл (.exe,bat или. com), либо, наоборот, знать перечень всех «санкционированных» программ. И то и другое условие выполнить на практике достаточно сложно. Как, например, догадаться, что исполняемый файл программы Family Key Logger называется Cisvc.exe (см. рис. 2.15)? Кроме того, даже если вы опознаете «врага», запретить его работу с помощью программы Доктор Ватсон невозможно.

Что же делать? Опять-таки воспользоваться услугами одной из специальных программ, обеспечивающих слежение за активными процессами и принудительное их завершение. При работе с операционными системами Windows 9* для указанной цели можно использовать вполне «официальную» утилиту от Microsoft. Утилита называется Process Viewer; она входит в состав пакета Visual Studio, но может использоваться автономно. Утилита собирает сведения обо всех активных процессах и отображает их список в окне (рис. 2.16).

Чтобы завершить какой-либо процесс, достаточно выбрать его в списке и затем на панели инструментов щелкнуть на кнопке Kill Process (Завершить процесс). По сравнению с многочисленными «полулюбительскими» аналогами Process Viewer обладает двумя достоинствами: работает очень корректно и дает достаточно полную информацию о «происхождении» процесса.

При работе с Windows XP процедура получения списка процессов значительно проще. Достаточно открыть с помощью все тех же «волшебных» клавиш Ctrl+Alt+Del окно диспетчера задач и перейти на вкладку Процессы (рис. 2.17).

Рис. 2.17. Просмотр списка выполняемых процессов в Windows XP

Обнаружив подозрительный процесс, вы можете его остановить, просто щелкнув на кнопке Завершить процесс, расположенной в правом нижнем углу окна. Правда, данное окно не содержит сведений о том, в какой папке находится приложение или системный модуль, инициировавший соответствующий процесс.

Обширную информацию по процессам способна предоставить упоминавшаяся выше программа StatWin. Причем с ее помощью вы можете получить статистику не только по активным процессам, но также по завершенным. Весьма полезными также могут оказаться сведения, относящиеся к работе пользователя в Интернете и к использованию подключенного к компьютеру принтера.

Что касается работы в Интернете, то с помощью трех разделов статистики – Модем, Интернет: Сайты и Интернет: Серверы, – представленных на одноименных вкладках основного окна программы, заинтересованное лицо получит следующие основные сведения (рис. 2.18):

общее время, проведенное в Сети;

общий объем переданных и полученных данных;

время и длительность подключения к конкретному веб-серверу или пребывания на веб-сайте.

Кроме того, вы можете задать интервал времени, по истечении которого StatWin должен произвести принудительный разрыв соединения.

Рис. 2.18. Сведения о работе пользователя в Интернете, предоставляемые StatWin

Однако разрыв соединения – это единственный вид активных действий, предусмотренный в StatWin. Он не позволяет завершать нежелательные процессы. Вместе с тем StatWin способен защитить одно из наиболее уязвимых мест системы – системный реестр – от негативного воздействия. Для этого достаточно указать, какой именно ключ (или конкретный параметр) следует защищать.

И все-таки даже при работе в среде Windows XP штатные средства операционной системы не способны уведомить пользователя о присутствии в системе программ типа SpyWare или AdWare. В качестве «контрразведчиков» должны использоваться специальные инструменты.

К достаточно популярным «контрразведчикам» относится, в частности, программа Ad-aware компании Lavasoft Sweden (бесплатную версию программы для персонального использования можно загрузить с веб-сайта www.lavasoftusa.com). Программа умеет сканировать оперативную память, системный реестр и указанные пользователем папки на предмет наличия там шпионских модулей или их частей (рис. 2.19).

Кроме того, Ad-aware умеет находить файлы cookie, созданные веб-серверами с «плохой репутацией». Опознание вредоносного программного обеспечения Ad-aware производит на основе сведений, содержащихся в его базе данных. Делает она это весьма проворно и достаточно эффективно. Например, ей не составило никакого труда обнаружить в оперативной памяти процесс, относящийся к программе Family Key Logger (перехватчик клавиатурного ввода), а также найти среди папок и в реестре всю относящуюся к ней информацию (рис. 2.20).

Сведения о проделанной работе Ad-aware записывает в файл отчета, а сами обнаруженные объекты по желанию пользователя помещает в специальную «карантинную» папку. Оттуда они могут быть удалены либо возвращены на прежнее место. Перед удалением объектов Ad-aware позволяет создать их резервную копию, и если после «чистки» система будет работать некорректно, все можно сделать «как было».

Необходимо отметить, что создатели Ad-aware приписывают программе некие «интеллектуальные» способности, позволяющие ей отыскивать подозрительные объекты, сведения о которых отсутствуют в базе данных программы. Однако это утверждение вызывает сомнения, поскольку Ad-aware не обратила никакого внимания на программу StatWin, работающую как настоящий шпион.

Рис. 2.20. Результаты работы Ad-aware

ПРИМЕЧАНИЕ ____________________

К дополнительным преимуществам Ad-aware по сравнению со многими другими программами этого класса можно отнести возможность установки локализованного (русского) интерфейса и наличие русскоязычного раздела на сайте производителя.

Еще один инструмент, достаточно хорошо зарекомендовавший себя в деле борьбы со «шпионами», – это SpyBot-Search &Destroy (Patrick Michael Kolla / Safer Networking Limited, http://www.safer-networking.org).

Основные возможности программы:

поиск и блокирование программ-шпионов;

поиск и блокирование cookies;

защита системного реестра;

надежное удаление файлов;

поиск и блокирование подозрительных ActiveX;

отображение списка активных процессов и остановка любого из них;

контроль изменений в системе, производимых инсталлируемыми программами.

Несомненными достоинствами SpyBot S &D для российских пользователей можно считать бесплатность программы (автор рассчитывает лишь на «добровольные пожертвования») и наличие русскоязычного варианта интерфейса (рис. 2.21).

Рис. 2.21. Один из режимов работы SpyBot-Search &Destroy

По каждой из вредоносных программ, имеющихся в базе данных SpyBot-Search&Destroy, вы можете получить достаточно подробную информацию. В частности, SpyBot-Search &Destroy сообщит вам о производителе (или распространителе) данного ПО и о тех неприятностях, которые можно от него ожидать. Что касается слежения за текущим состоянием системы, то в составе SpyBot-Search &Destroy имеется специальный модуль, контролирующий обращение приложений к системному реестру. Этот модуль работает постоянно в фоновом режиме и при каждой попытке изменения реестра предлагает пользователю принять или запретить это изменение (рис. 2.22).

SpyBot-Search&Destroy содержит в качестве дополнительного инструмента межсетевой экран (firewall) и модуль для блокирования подозрительных файлов cookies. О том, что собой представляют межсетевые экраны – в следующем подразделе.

Программные средства сетевой защиты

Разумеется, вредоносная программа может «пробраться» на ваш компьютер с взятого у приятеля гибкого диска или с компакт-диска, приложенного к компьютерному журналу. Однако значительно более реальная опасность таится на просторах Интернета (которым, наверное, бабушки скоро будут пугать непослушных внуков, как раньше пугали серым волком). И действительно, чуть ли не ежедневно появляются сообщения о новой напасти, пришедшей неизвестно откуда.

Все виды «защитного» программного обеспечения, рассмотренные в предыдущих разделах, имеют один общий недостаток: они противодействуют тем вредителям, которые уже проникли в компьютер. Среди средств сетевой защиты основная роль отводится инструментам, которые способны предупредить сам факт такого проникновения.

К таким инструментам относятся:

межсетевые экраны;

системы обнаружения атак;

сетевые сканеры;

антиспамеры.

Межсетевые экраны

Иногда вместо термина «межсетевой экран» используются термины брандмауэр (от немецкого слова Brandmauer – «пожарная стена») или firewall (английское слово с тем же значением).

ПРИМЕЧАНИЕ

Почему немецкое слово используется в русской транскрипции, а английское (обычно) в исходной форме? Объясняется это тем, что российские пожарные (в отличие от российских программистов) применяли немецкую терминологию (вспомните, например, брандмейстера). Вне компьютерной сферыбрандмауэром называют стену из негорючих материалов, препятствующую распространению пожара в здании.

Компьютерный брандмауэр (межсетевой экран) призван предотвратить несанкционированный доступ злоумышленников на защищаемую территорию, под которой обычно понимается внутренняя сеть организации или отдельный компьютер. Если межсетевой экран защищает отдельный компьютер, то он обычно называется персональным брандмауэром.

Теперь приведем несколько более строгое определение. Межсетевой экран – это программно-аппаратная система, позволяющая разделить вычислительную сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части сети в другую.

Межсетевой экран отслеживает данные, перемещающиеся в обоих направлениях: извне в защищаемый сегмент и из сегмента наружу. Необходимость блокирования несанкционированного исходящего трафика вызвана возможным присутствием в сегменте программных закладок (в частности, программ типа Spyware или AdWare).

Эффективность применения межсетевых экранов оказалась весьма высокой, и это привело к появлению достаточно большого числа конкурирующих продуктов. Ниже рассмотрены наиболее популярные из них, относящиеся к категории персональных брандмауэров.

Первый из них – ICF (Internet Connection Firewall). Далеко не самый эффективный, но достаточно распространенный, поскольку входит в состав операционной системы Windows XP.

Межсетевой экран Windows XP позволяет настраивать параметры защиты не для компьютера в целом, а для каждого созданного сетевого подключения в отдельности. Чтобы убедиться, что для имеющегося соединения ICF включен, выполните следующие действия.

1. В меню Пуск выберите интересующее сетевое подключение (Настройки Сетевые подключения) и щелкните на его имени правой кнопкой мыши.

2. В контекстном меню подключения выберите пункт Свойства.

3. В открывшейся панели свойств перейдите на вкладку Дополнительно; посмотрите, поставлен ли флажок Защитить мое подключение к Интернету (рис. 2.23).

Когда брандмауэр включен, он блокирует все несанкционированные пакеты, поступающие через сетевой интерфейс. Для проверки пакетов в брандмауэре ICF используется так называемая NAT-таблица потоков (Network Address Translation – преобразование сетевых адресов) с проверкой любого входящего пакета на соответствие записям в этой таблице. Входящие пакеты данных пропускаются только в том случае, если в NAT-таблице имеется соответствующее разрешение (рис. 2.24). Для изменения списка разрешений необходимо открыть окно настроек, щелкнув на кнопке Параметры (см. рис. 2.23).

Если обмен информацией не санкционирован из защищенной сети, входящие данные игнорируются. При этом брандмауэр ICF не посылает пользователю никаких уведомлений, а просто прерывает передачу данных, которые он не запрашивал. Вместо этого брандмауэр может вести журнал безопасности, записывая в него все необходимые сведения о наблюдаемой активности.

ПРИМЕЧАНИЕ ____________________

При использовании ICF следует иметь в виду, что целый ряд защитных функций, реализованных в других брандмауэрах, вынесены в веб-браузер Internet Explorer. Например, Internet Explorer способен блокировать файлы cookie.

Персональные брандмауэры других производителей обладают по сравнению с ICF целым рядом дополнительных (и весьма полезных) возможностей. В частности, они способны ограничить список приложений, получающих доступ в Сеть, запретить или ограничить поступление на компьютер баннерной рекламы, блокировать появление всплывающих окон на веб-страницах, контролировать вложения к электронным письмам и многое другое. Следует также отметить, что многие из популярных брандмауэров предоставляются пользователям бесплатно.

Лидирующие позиции во многих тестовых обзорах часто занимает брандмауэр Agnitum Outpost Firewall, созданный компанией Agnitum Ltd. (www.agnitum.com). Его свободно распространяемая версия (Outpost Firewall Free) по своим возможностям незначительно уступает «профессиональной» (Outpost Firewall Pro) и имеет локализованную (русскоязычную) версию (рис. 2.25).

Рис. 2.25. Брандмауэр Agnitum Outpost Firewall

Outpost Firewall контролирует как входящий, так и исходящий трафик, блокируя доступ в Интернет «подозрительных» приложений. Контроль активности в обоих направлениях производится на основе системы правил. Интересной особенностью Outpost Firewall является то, что правило можно задавать либо явным образом, либо предоставив Outpost Firewall возможность «учиться» правилам вашей работы в Интернете самому. Например, если вы разрешите загрузку веб-страниц с помощью Internet Explorer, то Outpost Firewall автоматически внесет его в список «разрешенных» приложений (рис. 2.26).

Создать правило для IEXPLORE.EXE

Рис. 2.26. Outpost Firewall можетсамообучаться

Помимо режима обучения (он используется по умолчанию) в Outpost Firewall предусмотрено еще 4 режима (политики) работы:

Разрешать – разрешены все соединения, которые не заблокированы явно;

Блокировать – блокируются все соединения, которые не были разрешены явно; в этом режиме для каждого «разрешенного» приложения должно быть задано правило работы;

Запрещать – блокируются все соединения, в том числе разрешенные явно;

Отключить – брандмауэр отключается и, соответственно, допускаются любые соединения.

В Outpost Firewall имеются следующие полезные функции:

работа в режиме невидимки (Stealth), когда компьютер не реагирует на ICMP-сообщения (при этом все соответствующие порты компьютера недоступны);

возможность блокирования загружаемых веб-страниц или фрагментов страниц по HTML-коду; например, можно заблокировать загрузку строк, содержащих ссылку на таблицу стилей или на баннерную рекламу;

возможность блокирования веб-сайтов по их адресам;

возможность блокирования активных элементов веб-страниц (сценариев, элементов ActiveX, Java-апплетов), а также файлов cookie;

кэширование (запоминание) серверов DNS (для ускорения последующего подключения).

Перечень неполон, но весьма показателен.

Необходимо также отметить, что Outpost Firewall – это приложение с открытой архитектурой, и любой пользователь может создать для него собственный подключаемый компонент (plug-in) с целью расширения функциональных возможностей брандмауэра.

С брандмауэром Outpost Firewall сопоставим по популярности брандмауэр Zone-Alarm компании Zone Labs (http://www.zonelabs.com). Как и Outpost Firewall, брандмауэр ZoneAlarm существует в двух вариантах: бесплатном и «профессиональном» (ZoneAlarm Pro). Установив на своем компьютере бесплатный вариант, вы получаете возможность оценить в течение 15 дней те дополнительные возможности, которые предоставляет ZoneAlarm Pro. К таковым относятся (рис. 2.27):

быстрое конфигурирование брандмауэра;

усиленная защита электронной почты;

блокирование всплывающих окон;

контроль файлов cookie.

Рис. 2.27. Дополнительные возможности ZoneAlarm Pro

При отслеживании приложений, пытающихся установить внешнее соединение, ZoneAlarm действует примерно на тех же принципах, что и Outpost Firewall. Контроль данных, поступающих извне, основан на разделении внешнего пространства на три зоны (рис. 2.28):

Blocked Zone – блокируемая зона – сетевые объекты, обращение которых к защищаемому компьютеру должно быть запрещено;

Trusted Zone – доверенная зона – сетевые объекты, обращение которых к защищаемому компьютеру разрешено;

Internet Zone – зона Интернета – сетевые объекты, относительно надежности которых сведений нет.

Рис. 2.28. Правила фильтрации в ZoneAlarm основаны на понятии зоны

При этом для каждой из зон Trusted и Internet может быть установлен определенный уровень безопасности. Например, установив для зоны Trusted наивысший уровень безопасности (High), вы можете превратить ее (скажем, на некий опасный период) в зону Internet (рис. 2.29).

Установка для зон Trusted и Internet низшего уровня безопасности (Low) соответствует временному выключению брандмауэра. Если же, наоборот, требуется срочно блокировать связь с Интернетом, достаточно щелкнуть на кнопке в виде знака Stop, расположенной на панели инструментов основного окна ZoneAlarm (рис. 2.29).

Когда ZoneAlarm обнаруживает попытку несанкционированного выхода какого-либо приложения в Интернет, он выводит на экран диалоговое окно с достаточно подробным описанием ситуации (рис. 2.30).

Рис. 2.30. Окно с сообщением о попытке подключения к Интернету

Получив от владельца компьютера разрешение (или запрет) на допуск приложения в Интернет, ZoneAlarm запоминает выбор (если установить в окне соответствующий флажок) и по данному приложению больше вопросов не задает.

Аналогичные действия выполняются и в случае попытки обращения извне к какому-нибудь порту компьютера.

К недостаткам ZoneAlarm можно отнести то, что он некорректно отображает русскоязычные наименования приложений.

Системы обнаружения атак

Системы обнаружения атак (или IDS – Intrusion Detection System) предназначены для выявления вторжений путем регистрации некорректной или аномальной деятельности пакетов данных, циркулирующих в локальной сети или поступающих на отдельный компьютер из внешней сети.

Сама по себе сетевая атака зачастую не несет непосредственной угрозы компьютерным данным или локальной сети. Она лишь является частью общей стратегии злоумышленника, направленной на достижение некой цели. Например, атака может заключаться в сканировании портов компьютера с целью выявления незащищенных «точек входа» либо в регистрации и анализе сетевого трафика с целью определения его интенсивности, параметров пересылаемых пакетов и т. п. Другими словами, некоторые виды атак можно рассматривать как «разведку боем». В случае успешного проведения такой разведки могут быть начаты непосредственно «боевые действия». Например, злоумышленник может внедрить через незащищенный порт шпионскую программу либо бомбардировать систему ложными сообщениями с целью захвата ее ресурсов.

Атаки, направленные на захват ресурсов, обычно приводят к тому, что атакованный веб-сервер перестает обслуживать «нормальные» запросы. Поэтому подобные атаки называются атаками на отказ в обслуживании – Denied of Service (DoS). Атаки типа DoS являются сегодня одними из наиболее распространенных.

Для обнаружения атак используется либо технология обнаружения аномального поведения (anomaly detection), либо технология обнаружения злоупотреблений (misuse detection). Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиске данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Подобные системы очень похожи на антивирусные сканеры. Именно на такой технологии основаны практически все предлагаемые сегодня системы обнаружения атак.

Необходимо отметить, что многие персональные брандмауэры содержат функции (или модули) обнаружения атак. Разумеется, они не могут претендовать на высокую эффективность, однако для «типовых» ситуаций вполне пригодны. Например, в составе рассмотренного выше брандмауэра Outpost Firewall имеется специальный модуль обнаружения атак – Детектор атак (рис. 2.31).

Детектор атак регистрирует сведения обо всех попытках подключения к портам компьютера и адрес источника такой попытки. Для атак типа DoS модуль использует в качестве защитной меры блокирование атакуемого порта или блокирование источника угрозы (рис. 2.32).

Рис. 2.32. Брандмауэр Outpost Firewall защищает от DoS-атак

Более мощными функциями по обнаружению и блокированию атак обладает пакет BlacklCE компании PC Protection (до версии 3.0 пакет именовался BlacklCE Defender). Он ориентирован на «домашних» пользователей (оценочную версию можно найти, например, по адресу http://download.iss.net/cgi-bin/download/getFile5.pl/BIPCPEvalSetup.exe.) Этот инструмент, напротив, содержит в своем составе брандмауэр в качестве дополнительного модуля. Брандмауэр блокирует связь с теми внешними абонентами, которые были идентифицированы основным модулем как источники атак.

Сетевые сканеры и антиспамеры

Данные два типа инструментов принципиально различаются по своему предназначению и включены в один подраздел только потому, что и те и другие будут описаны вкратце.

Сетевые сканеры (или системы анализа защищенности) – это программы, которые просматривают узлы сети (ПЭВМ и серверы) с целью получения следующей информации:

имя и роль узла;

используемые сетевые сервисы (наличие средств электронной почты, вебсерверов и т. д.);

типы и версии используемых ОС и прикладного ПО;

учетные записи (параметры доступа для различных пользователей);

общие параметры политики безопасности (система паролей, категории пользователей и т. д.);

наличие незарегистрированных устройств (модемов, ноутбуков, анализаторов протоколов).

На основе полученной информации сканер выдает рекомендации по изменению установленных параметров защиты и/или оповещает администратора сети о наличии неизвестных устройств. Сетевые сканеры – это достаточно дорогие и сложные инструменты, и «домашними» пользователями практически не используются.

Антиспамеры предназначены для блокирования спама.

ПРИМЕЧАНИЕ

Сегодня мало кто помнит, откуда появилось само слово «спам». Оказывается, Spam – зарегистрированная торговая марка консервов компании Hormel Foods Corporation. Компьютерный термин Spam (спам) происходит от пародии британской комик-группы, в которой изображалось, что посетители ресторана вынуждены слушать хор, воспевающий мясные консервы. Отсюда и пошло наименование навязчивой сетевой рекламы в новостных конференциях. Этим же словом называли сообщения, которые принудительно рассылаются подписчикам телеконференций для напоминания о тематике дискуссионных списков. Позднее и другие непрошенные рекламные сообщения в электронной почте стали называть «спамом», а отправителей подобных посланий – спамерами.

Принцип работы антиспамеров основан на фильтрации сообщений, поступающих по электронной почте, на основе некоторых правил. В отличие от сетевых сканеров антиспамеры получили широкое распространение среди пользователей домашних компьютеров. Причем существует достаточно много бесплатных антиспамеров, неплохо справляющихся со своими обязанностями.

Одна из таких программ – SpamPal (www.spampal.com). В процессе работы SpamPal сверяет каждое входящее письмо с некоторым числом списков DNSBL. На панели настроек можно выбрать списки, с которыми вы хотите сверять свои почтовые сообщения.

ПРИМЕЧАНИЕ

DNSBL (DNS Black List – «черный список» DNS») – это динамически обновляющийся список IP-адресов серверов, с помощью которых производились массовые рассылки почты (то есть замеченных в распространении спама).

Если вы получаете много спама с одного и того же адреса, то можно занести этот адрес в индивидуальный «черный список»; соответствующий адрес будет автоматически блокироваться программой SpamPal.

В программе предусмотрен также «белый список». Особенность «белого списка» состоит в том, что включенные в него адреса никогда не помечаются как спам. Это полезно в тех случаях, когда адрес вашего надежного абонента относится к провайдеру, занесенному в один из списков DNSBL.

Записи «белого списка» имеют более высокий приоритет по сравнению с записями «черного списка». Поэтому можно, например, добавить в «черный список» запись *@mail.com, а в «белый список» – конкретных надежных адресатов, почтовые ящики которых зарегистрированы на Hotmail.

Остается только добавить, что программа SpamPal имеет русскоязычный интерфейс и локализованный вариант документации.