Анализ средств защиты информации в ЛВС

F-Prot Professional

Достоинства: почти безупречное обнаружение вирусов; широкие возможности настройки; способность при обнаружении вируса посылать сигнал тревоги по электронной почте.

Недостатки: необходимость пароля и переустановки программы для обновления версий; весьма посредственные способности удаления вирусов.

Цена немалая - 99 долл., однако предлагаемая за эти деньги F-Prot Professional представляет собой действенную и эффективную антивирусную утилиту, напичканную возможностями, которые понравятся администраторам локальных сетей. Если, однако, ваша система с установленной на ней Windows 95 работает вне сети и вы нуждаетесь всего лишь в ненавязчивой антивирусной защите, то предусмотренные в F-Prot Professional всякие локально-сетевые наращения могут быть для вас излишеством. Кроме того, вы, возможно, захотите иметь пакет, лучше удаляющий вирусы: F-Prot Professional обнаружила 99% использованных в нашем тесте вирусов, поражающих файлы, но лишь 78% из них смогла уничтожить.

Набор базовых функций F-Prot Professional сравним с аналогичными наборами других рассмотренных пакетов. В дополнение к этому F-Prot Professional, подобно пакетам ThunderByte и McAfee VirusScan, допускает расширенные возможности контроля за тем, какие именно диски, папки или файлы должны быть включены в регулярное сканирование или исключены из него. Это позволяет сэкономить время, игнорируя файлы, которые вы просканировали ранее и которые, как вам известно, не были изменены. F-Prot Professional - единственный из протестированных нами пакетов, который при обнаружении вируса посылает по локальной сети электронное письмо с сигналом тревоги, он даже способен переслать администратору сети зараженный файл.

Главным недостатком F-Prot Professional является способ обновления файла с сигнатурами вирусов. Хотя обновленные файлы доступны в Web, вам приходится сперва узнать у фирмы пароль: только воспользовавшись им, вы сможете переустанавливать программу для включения в нее обновленного файла - дополнительные операции, не требуемые ни одним из протестированных пакетов.

IBM AntiVirus v. 2.5

Недостатки: консервативный способ дезинфекции негативно отражается на способности программы удалять вирусы.

Согласно документации в IBM AntiVirus заложена самая передовая технология, позволяющая распознавать новые типы вирусов. Этот пакет ценой в 49 долл. неплохо справился с использованными в нашем тесте "дикими" вирусами, заражающими файлы, однако в силу ряда проблем, связанных с этой программой, рекомендовать его было бы нелегко.

IBM AntiVirus - это единственная из протестированных нами программ, которая не удаляет файловый вирус в том случае, если она не уверена в том, что это можно сделать, не повредив зараженный файл. Соответственно, если программа находит вирус, который она не может удалить без ущерба для файла, единственное, что вам остается, это удалить зараженный файл; при этом предполагается, что вы можете вновь установить его с исходного диска или резервной копии. В результате IBM AntiVirus оказалась в состоянии спасти только 32% файлов, зараженных "дикими" вирусами. Однако, подобно большинству других программ, IBM AntiVirus удалила 100% вирусов, поражающих загрузочный сектор.

Помимо ограниченной способности к удалению вирусов, у данной программы имеются и другие обескураживающие свойства. Например, при первой установке она создает аварийную загрузочную дискету, но единственный способ создать еще одну - вернуться назад и воспользоваться установочными дискетами. В других программах соответствующий процесс реализуется проще.

Достоинством программы является то, что файлы, необходимые для ее обновления, доступны на Web-сервере IBM, и главный экран программы предлагает удобное меню для их установки. Если на вашем компьютере несколько операционных систем, то эта программа для вас - она поставляется с версиями для Windows 95, Windows 3.1, DOS и OS/2 в одном весьма недорогом пакете (версия для Windows NT включена в издание программы для предпринимателей - Eneterprise Edition).

McAfee VirusScan for Windows 95

McAfee VirusScan - один из наиболее известных антивирусных пакетов. По результатам нашего теста Norton AntiVirus фирмы Symantec отловил все 13 macro-вирусов, тогда как McAfee VirusScan один упустил - это был относительно редкий вирус Imposter. Еще важнее то, что у VirusScan хуже, чем у любого другого пакета, обстоят дела с обнаружением "диких" разновидностей файловых вирусов. Программа смогла обнаружить лишь 93% таких вирусов. Из всех протестированных программ худший показатель только у ближайшего родственника программы - версии VirusScan для Windows NT (92%).

Если бы его эффективность была выше, VirusScan был бы привлекательным пакетом. Он легко и быстро устанавливается с использованием настроек по умолчанию, но его можно настроить и по собственному усмотрению. Вы можете сканировать все файлы или только программные, распространять или не распространять процедуру сканирования на сжатые файлы.

VirusScan является также единственной из рассмотренных нами программ, которая всего лишь за 45 долл. включает версии для всех основных операционных систем - Windows 95, 3.x и NT, DOS и OS/2.

Зато вам придется платить за поддержку программы. Обновленные версии базы данных свободно доступны в Web, но, согласно Web-странице McAfee, работа этих обновлений не гарантируется без подписки на план технической поддержки компании. Зарегистрированные пользователи получают одно бесплатное обновление программы в течение первых трех месяцев ее эксплуатации. После этого контракт на техническое обслуживание за 49 долл. в год дает вам право на свободное получение неограниченного количества обновленных версий программы и списков сигнатур вирусов, а также на круглосуточные телефонные консультации. http://www.mcafee.com/.

Norton AntiVirus 2.0 for Windows

Стоящая 70 долл. программа Norton AntiVirus 2.0 компании Symantec - один из наименее удачных пакетов с точки зрения удаления вирусов; ее результат - 77%. Она, однако, вошла в число всего лишь четырех из девяти протестированных программ, сумевших обнаружить каждый отдельно взятый "дикий" вирус. В целом это быстрый, надежный и простой в обращении инструмент, который начинающие пользователи могут установить на свой компьютер с тем, чтобы больше о нем не заботиться, а опытные пользователи могут настроить нужным для себя образом.

В интерфейсе программы Norton AntiVirus имеется функция LiveUpdate, позволяющая щелчком на одной-единственной кнопке обновлять через Web как программу, так и набор сигнатур вирусов. Уникальный Мастер по борьбе с вирусами (Virus Repair Wizard) выдает подробную информацию об обнаруженном вирусе, а также предоставляет вам возможность выбора: удалять вирус либо в автоматическом режиме, либо более осмотрительно, посредством пошаговой процедуры, которая позволяет увидеть каждое из выполняемых в процессе удаления действий.

Управление всеми основными функциями - заказ на сканирование конкретных дисков, каталогов или файлов, включение и отключение резидентного сканирования - для удобства вынесено непосредственно на главный экран. И всего лишь на расстоянии пары щелчков мыши находятся более продвинутые функции - такие, как обнаружение изменений в размере файла, автоматическое сканирование и выдача отчета.

ThunderByte AntiVirus Utilities

Достоинства: достаточно хорошая способность к обнаружению файловых вирусов; исключительное удобство сканирования.

Недостатки: предпоследний результат по удалению вирусов из числа протестированных программ; для новичков процедура удаления слишком сложна.

На первый взгляд кажется, что программа ThunderByte AntiVirus Utilities (100 долл.) предлагает тот же набор инструментов, что и программы-конкуренты, включая простые в установке обновленные наборы сигнатур вирусов, которые можно загружать из Web. При более внимательном рассмотрении, однако, обнаруживается, что этот пакет включает ряд весьма продвинутых функций, тогда как некоторых других функций в нем нет.

Устроенный наподобие Проводника в Windows 95 интерфейс ThunderByte содержит ряд удобных дополнительных возможностей, которых вы не найдете в большинстве пакетов. Вы можете распространять или не рапространять сканирование на конкретные диски, папки или файлы. Вы даже можете (что очень удобно) осуществить сканирование конкретных файлов, папок или дисков на лету, просто щелкнув на них правой кнопкой мыши в Проводнике или на Рабочем столе. Но в то же время в ThunderByte отсутствуют некоторые свойства, необходимые любой антивирусной программе. Наиболее вопиющей является неспособность ThunderByte удалять вирусы из загрузочного сектора, хотя программа и обнаружила в нашем тесте все 100% таких вирусов. Она также не смогла просканировать сжатые файлы, а это означает, что вирус в архивированном файле мог остаться незамеченным.

Реализованная в ThunderByte сверхосмотрительная процедура удаления вирусов чрезвычайно полезна для корпоративного использования на многих ПК (при этом забота об удалении вирусов может быть оставлена системным администраторам), но она, скорее всего, разочарует новичков или не слишком профессиональных пользователей. Для удаления файловых вирусов (кроме macro-вирусов) следует сперва создать дискету, содержащую отдельную DOS-утилиту под названием TBCLEAN, и вставить ее в дисковод вашего компьютера перед его включением. Загрузка с дискеты уменьшает шансы на то, что вирус будет активен в памяти во время сканирования, поскольку при этом не осуществляется доступ к инфицированным загрузочному сектору и файлам. (Прилагаемое к программе краткое руководство не описывает эту важнейшую процедуру.)http://www.thunderbyte.com/.

Заключение

Многие производители сетевого и телекоммуникационного оборудования обеспечивают поддержку работы с Kerberos в своих устройствах. Так, фирма TELEBIT, являясь крупнейшим поставщиком маршрутизаторов для связи по коммутируемым и выделенным линиям, недавно анонсировала поддержку Kerberos-клиента семейством маршрутизаторов NetBlazer. Снабженные UNIX-подобной операционной системой, устройства NetBlazer обеспечивают их удаленное конфигурирование по сети с помощью функций telnet и rlogin .Поэтому работоспособность сети, в особенности если это сеть достаточно больших размеров, сильно зависит от защищенности коммуникационных узлов, которыми являются маршрутизаторы NetBlazer, от непредвиденных или злонамеренных изменений конфигурации. Использование Kerberos в таких сетях позволит обеспечить доступ к внутренним установкам маршрутизатора только администраторам сети. Следует, однако, отметить, что использование Kerberos не является решением всех проблем, связанных с попытками несанкционированного доступа в сеть (например, он бессилен, если кто-либо узнал пароль пользователя), поэтому его наличие не исключает других стандартных средств поддержания соответствующего уровня секретности в сети. Несмотря на это, Kerberos в настоящее время является одним из наиболее известных способов защиты сети от несанкционированного доступа. Основываясь исключительно на программных средствах и не требуя дополнительных “железных” устройств, он обеспечивает защиту сети с минимальным воздействием на трафик. Kerberos обеспечивает такой уровень защиты сети, при котором подключение к ней не дает возможности доступа к важной информации без регистрации пользователя в секретной базе Kerberos (что может быть проделано только с участием администратора сети). При этом для пользователя сети такая защита практически прозрачна, поскольку требует от него лишь дополнительного ввода пароля.

В случае с Kerberos неприятность заключалась не в алгоритме шифрования, а в способе получения случайных чисел, т.е. в методе реализации алгоритма. Когда в октябре прошлого года пришло известие о просчетах в системе генерации случайных чисел в программных продуктах Netscape, обнаруженных студентами университета Беркли, Стивен Лодин обнаружил подобную неприятность с Kerberos. Совместно с Брайаном Доулом он сумел найти брешь и в системе Kerberos. Действующие лица этой истории - не дилетанты. Выпускники университета Purdue (штат Иллинойс) сотрудничали с лабораторией COAST (Computer Operations, Audit and Security Technology), профессионально занятой вопросами компьютерной безопасности и руководимой проф. Спаффордом, который является также основателем PCERT (Purdue Computer Emergency Response Team) - университетского отряда “быстрого реагирования” на компьютерные ЧП. PCERT, в свою очередь, член аналогичной международной организации FIRST (Forum of Incident Response Team).

Характерно содержание первого обращения к прессе (от 16 февраля 1996 г.), которое от лица первооткрывателей сделал проф. Спаффорд. В нем, наряду с информацией о ненадежности системы паролей и возможностях ее взлома в течение пяти минут, говорится о задержке дальнейшего распространения технической информации до тех пор, пока разработчиками не будут внесены коррективы препятствующие несанкционированному доступу.