Информационная безопасность

Размещено на http://www.allbest.ru/

Содержание

Вступление: Актуальность и задачи сетевой безопасности

Глава 1: Использование протоколов TSP/IP для заполнения контента, угрозы и их следствия

Глава 2: Применение бранмауэров, фильтрующих пакеты, примеры и их использование

Глава 3: Анализ эффективности использование ОС Linux в анализе и защите контента

Вступление: Актуальность и задачи сетевой безопасности

Рост популярности Интернет-ресурсов приводит к расширению угроз атаки данных, несанкционированному доступу просмотра и изменению данных, потери целостности передаваемых данных и в конечном итоге ставит под сомнение достоверность и конфиденциальность контента, доступного для пользователей корпоративных сетей и разглашению коммерческих и государственных тайн.

А также, широкое распространение простых операционных систем и сред разработки способствует обладанием самого простого набора знаний злоумышленника. Вплоть до того, чтобы залезть на нужный сайт и щёлкнуть мышкой. сетевой безопасность брандмауэр контент

Причин для этого может быть достаточно много:

o Использование общедоступных каналов передачи данных, важнейшие данные передаются по сети не в защищённом виде;

o Уязвимости в процедурах идентификации, реализованных в стеке протоколов TCP/IP;

o Отсутствие в базовой версии стека протоколов TCP/IP механизмов, обеспечивающих конфиденциальность и целостность передаваемых данных;

o Аутентификация отправителя по его IP адресу, которая должна происходить единожды при вхождении в сеанс, чтобы не дать возможность злоумышленнику перехватить логин и пароль пользователя сеанса;

o Отсутствие контроля за маршрутом прохождения передачи сообщения в сети.

Целью защиты контента от угроз и атак становится наиболее рациональное использование протоколов всех уровней и отслеживание пассивных и активных вторжений в вашу сеть путём несанкционированного доступа.

v Для достижения этой цели необходимо ставить следующие задачи:

v Исключение несанкционированного доступа к исполняемым файлам;

v Тестирование приобретаемых программных средств;

v Контроль целостности исполняемых файлов и системных областей;

v Создание замкнутой среды исполнения программ.

В своём реферате я расскажу о минусах повсеместно распространённого стека протоколов TCP/IP, методах и инструментах использования защиты анализа контента, а также их ненадёжность и защищённый анализ в ОС Linux. И подведу итоги сетевой безопасности в настоящее время.

Это позволит дать представление сетевой безопасности, а точнее методам и программным средствам анализа контента.

ГЛАВА 1: Использование протоколов TSP/IP для заполнения контента, угрозы и их следствия

Основной задачей, решаемой при создании сетей, является обеспечение совместимости оборудования по механическим и электрическим характеристикам и совместимости информационного обеспечения по системам кодирования и формату данных. Методологической стандартизации в компьютерных сетях является многоуровневый подход к разработке средств сетевого взаимодействия.

Обмен данными через каналы связи происходит путём перемещения данных с верхнего уровня на нижний, затем по транспортировки по линиям связи и, наконец, обратным воспроизведением в данных компьютере клиента в результате их передвижения с нижнего уровня к верхнему.

Модули, реализующие протоколы соседних уровней и находящиеся в одном узле сети, должны взаимодействовать друг с другом определёнными чёткими правилами и с помощью стандартизированных форматов сообщений. Эти правила принято называть - межсетевым интерфейсом. Межуровневый интерфейс определяет набор сервисов, предоставляемых данным уровнем соседнему. Протоколы определяют правила взаимодействия модулей одного уровня в разных узлах сети, а интерфейсы определяют правила взаимодействия модулей соседних уровней в одном узле.

Стек протоколов TSP/IP является промышленным стандартом стека коммуникационных протоколов, разработанных для глобальных сетей. Стек TSP/IP объединяет набор взаимодействующих между собой протоколов. Самым важным из них является протокол IP, отвечающий за поиск маршрута в Интернете от одного компьютера к другому через множество всевозможных промежуточных сетей, шлюзов и маршрутизаторов по разным путям их следования, а протол TSP служит надёжности доставки сообщения до нужного адреса и целостности передаваемых данных.

Сетевые атаки также разнообразны, как и системы против которых они направлены.Одни атаки отличаются большой сложностью, другие направлены от злоумышленников, не подозревающих о последствиях их деятельности.

Цели нарушителя, осуществляющего атаку:

Ш Нарушение конфиденциальности передаваемой информации;

Ш Нарушение целостности и достоверности передаваемой информации;

Ш Нарушение работоспособности или её отдельных частей.

Классификация сетевых атак

Сетевые атаки столь же разнообразны, как и системы, против которых они направлены. Некоторые атаки отличаются большой сложностью. Другие может осуществить обычный оператор, даже не предполагающий, какие последствия может иметь его деятельность. Для оценки типов атак необходимо знать некоторые ограничения, изначально присущие протоколу TPC/IP. Сеть Интернет создавалась для связи между государственными учреждениями и университетами в помощь учебному процессу и научным исследованиям. Создатели этой сети не подозревали, насколько широко она распространится.

В результате, в спецификациях ранних версий интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми. Через много лет, получив множество рекламаций (RFC - Request for Comments), мы, наконец, стали внедрять средства безопасности для IP.

Однако ввиду того, что изначально средства защиты для протокола IP не разрабатывались, все его реализации стали дополняться разнообразными сетевыми процедурами, услугами и продуктами, снижающими риски, присущие этому протоколу.

Далее мы кратко обсудим типы атак, которые обычно применяются против сетей IP, и перечислим способы борьбы с ними.

Снифферы пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). 

Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют наши человеческие слабости (методы атак часто базируются на методах социальной инженерии). Они прекрасно знают, что мы пользуемся одним и тем же паролем для доступа к множеству ресурсов, и поэтому им часто удается, узнав наш пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам. 

IP-спуфинг

IP-спуфинг происходит, когда хакер, находящийся внутри корпорации или вне ее выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения

Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем

Отказ в обслуживании (Denial of Service - DoS)

DoS, без всякого сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Даже среди хакеров атаки DoS считаются тривиальными, а их применение вызывает презрительные усмешки, потому что для организации DoS требуется минимум знаний и умений. Тем не менее, именно простота реализации и огромный причиняемый вред привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность. Если вы хотите побольше узнать об атаках DoS, вам следует рассмотреть их наиболее известные разновидности, а именно:

· TCP SYN Flood

· Ping of Death

· Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K)

· Trinco

· Stacheldracht

· Trinity

Отличным источником информации по вопросам безопасности является группа экстренного реагирования на компьютерные проблемы (CERT - Computer Emergency Response Team), опубликовавшая отличную работу по борьбе с атаками DoS. Эту работу можно найти на сайтеhttp://www.cert.org/tech_tips/denial_of_service.html

В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов.

Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже не сможете, потому что вся полоса пропускания будет занята.

Когда атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (DDoS - distributed DoS).

Угроза атак типа DoS может снижаться тремя способами:

· Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.

· Функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.

· Ограничение объема трафика (traffic rate limiting) - организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.

Парольные атаки

Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), троянский конь, IP-спуфинг и сниффинг пакетов.

Хотя логин и пароль часто можно получить при помощи IP-спуфинга и снифинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа.

Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу).

Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран.

Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя "проход" для будущего доступа, который будет действовать даже если пользователь изменит свой пароль и логин. 

ГЛАВА 2: Применение бранмауэров, фильтрующих пакеты, примеры и их использование

В данной главе я расскажу немного о брандмауэрах в среде Linux -- что это такое, как они работают и как можно сформировать один из них. Материал данной главы не сделает вас экспертом в области брандмауэров, однако вы познакомитесь с важными концепциями, имеющими отношение к брандмауэрам, кроме того, вы подробнее узнаете о том, как реализовать брандмауэр, фильтрующий пакеты, при помощи программного средства ipchains. В следующей главе будет подробно рассмотрен proxy-брандмауэр на основе squid.

Термин «брандмауэр» (английским эквивалентом является термин firewall) пришел в компьютерную индустрию из автомобилестроения. Этим термином обозначается огнеупорный щит, используемый в автомобилях (а также в некоторых других транспортных средствах), для защиты пассажиров от огня, возникающего в случае аварии в моторном отделении. В компьютерной индустрии брандмауэром называют аппаратное устройство или программное средство, которое защищает пользователей и данные в локальной сети от атак, исходящих из Интернета (или из сети «экстранет»). Брандмауэр может использоваться также для предотвращения подключения пользователей локальной сети к «запрещенным» узлам Интернета. Кроме того, вы можете использовать брандмауэр для разделения внутренней сети на несколько взаимоизолированных областей.

Некоторые люди слишком поздно узнают о том, что универсальный брандмауэр не может защитить локальную сеть от злоумышленников, действующих внутри этой сети. Однако для изоляции различных отделов организации можно с успехом использовать внутренние брандмауэры. Благодаря этому вы сможете ограничить распространение повреждений и защитить, например, бухгалтерию от конструкторского отдела, а конструкторский отдел от отдела продаж. Вряд ли сотрудники этих отделов должны обладать правом просмотра файлов, принадлежащих сотрудникам других отделов.

В среде Linux можно использовать две базовых разновидности брандмауэров. Брандмауэры в среде Linux делятся на пакетные фильтры (packet filters) и брандмауэры рroху. Каждая из этих двух базовых разновидностей обладает двумя под-разновидностями. Пакетные фильтры могут быть пересылающими (forwarding), то есть принимающими решение о том, передавать ли пакет из сети в сеть или нет, и маскирующими (masquerading), то есть модифицирующими адрес-источник и адрес-приемник. Брандмауэры proxy могут быть стандартными (standard), которые иногда называют непроницаемыми (opaque), в которых клиент подключается через специальный порт, а передаваемые данные перенаправляются в другой порт, или прозрачными (transparent), в которых клиент не использует специальный порт, а программное обеспечение брандмауэра перенаправляет пакеты из сети в сеть прозрачно для пользователей.

Любой маршрутизатор, шлюз или сетевой узел, который передает пакет из одной сети в другую, осуществляет модификацию заголовка пакета. Однако в процессе этой модификации адрес-источник и адрес-приемник не меняются. Модифицируется контрольная сумма, TTL и, в некоторых случаях, размер пакета, а также смещение фрагмента (если пакет нуждается в фрагментации). Если в ходе обсуждения я говорю о модификации заголовка, я подразумеваю модификацию адресов, содержащихся в заголовке.

Модель OSI (Open Source Interconnect) является популярной (хотя и не совсем точной, однако вполне удобной теоретической парадигмой) моделью, используемой для описания, каким образом пакеты перемещаются с прикладного уровня (Application layer) на физический уровень (Physical layer). В рамках OSI для объяснения, каким образом работает сетевое программное обеспечение, используется семь уровней. Для целей данной книги важно лишь отметить, что разные программы работают на разных уровнях модели OSI и что это одна из отличительных характеристик между брандмауэрами proxy и пакетными фильтрами. Однако эта разница чрезвычайно важна. Брандмауэры proxy создают большую нагрузку на систему, так как тщательно анализируют полное содержимое пакетов (иначе говоря, они выполняют инспекцию в зависимости от состояния -- stateful inspection). Кроме того, брандмауэры proxy сложнее настроить.

Брандмауэры, фильтрующие пакеты, и брандмауэры proxy выполняют аналогичные функции, однако действуют разными способами. Они работают как щиты, защищающие одни сетевые сегменты от других. В этом отношении брандмауэры обеих разновидностей работают с одинаковой эффективностью. Как те, так и другие требуют присмотра и должного конфигурирования. Если конфигурирование выполнено неправильно, как те, так и другие обеспечат вас ложным ощущением безопасности. Как те, так и другие могут обеспечить некоторый уровень защиты, однако и те и другие одинаково уязвимы перед тщательно спланированной высокотехнологичной атакой.

Физические конфигурации

Обсуждая физическую конфигурацию брандмауэра, вы должны принимать во внимание как оборудование, так и программное обеспечение, используемое для защиты сети. Помните, что основное предназначение брандмауэра -- это защита сети, которой вы доверяете, от сети, которой вы не доверяете. Таким образом, сетевой узел, выполняющий функции брандмауэра, -- это одновременно и ворота, через которые ваша сеть обменивается данными с другой сетью, и объект повышенного внимания со стороны тех, кто намерен обмануть вашу систему защиты. Если они хотят проникнуть внутрь, прежде всего они должны миновать брандмауэр.

Сетевой узел, выполняющий функции брандмауэра

Для начала необходимо решить, каким должен быть сетевой узел, который вы будете использовать в качестве брандмауэра. Вы можете установить брандмауэр, оснащенный всего одним сетевым интерфейсом, и использовать этот интерфейс как для доверенных подключений, так и для подключений, которым вы не доверяете. Однако данная конфигурация предлагает меньший уровень защиты, поэтому, учитывая относительно низкую стоимость современных сетевых карт, всегда рекомендуется оснастить брандмауэр двумя сетевыми интерфейсами. Благодаря этому вы полностью изолируете одну сеть от другой. В подобной конфигурации миновать брандмауэр будет сложнее для злоумышленников.

Планирование

Для начала необходимо выбрать базовую политику функционирования вашего брандмауэра. Эта политика может быть одной из следующих: «разрешить все, что не запрещено» или «запретить все, что не разрешено». Первая из этих политик подразумевает более простое изначальное конфигурирование, однако вторая политика является более естественной для брандмауэра, не выполняющего маскировку IP. Если вы имеете дело с брандмауэром, маскирующим IP (см. главу 18), разница между политиками несущественна, так как вы не можете миновать брандмауэр, просто указав адрес во внутренней сети. В рассматриваемом примере мы имеем дело с немаскирующим брандмауэром и выбираем политику запрета.

Внутренняя сеть спроектирована так, что ей можно полностью доверять, никакие работающие в ней службы недоступны для внешних пользователей. Все службы, которые компания желает сделать доступными для пользователей Интернета (анонимный ftp, http и т. п.), расположены в сети, которая не является доверенной. Этот раздел корпоративной сети часто называют демилитаризованной зоной (Demilitarized Zone, DMZ). Зона DMZ является передним краем обороны. Если злоумышленник пожелает проникнуть в вашу сеть, он прежде всего проявит себя именно в зоне DMZ, Если вы держите свои серверы, предлагающие публичный доступ, в зоне DMZ, это означает, что в вашей сети существуют дополнительные системы, в большей степени подверженные внешним атакам, для наблюдения за которыми требуется дополнительное внимание с вашей стороны. Однако, с другой стороны, такой подход препятствует проникновению злоумышленников внутрь доверенной сети, чего нельзя избежать в случае, если вы организуете перенаправление портов через ваш брандмауэр.

Так как сеть рассматривается как сеть с низким уровнем риска, принимается решение запустить на брандмауэре сервер электронной почты. Сервер POP пoзволит пользователям принимать почту вне зависимости от того, находятся ли они в офисе или дома (от применения ШАР решено отказаться из соображений безопасности). В дальнейшем, когда будет организовано перенаправление портов через брандмауэр, службы SMTP и POP планируется перенести во внутреннюю сеть. После того как эти службы переместятся внутрь (см. главу 18), набор правил брандмауэра останется прежним, так как локальный доступ, равно как и доступ через перенаправление портов, выполняется одинаково. Система DNS будет работать внутри и будет обслуживать только внутреннюю сеть. Первичный и вторичный серверы DNS будут работать на стороне интернет-провайдера, то есть вне сети.

Что не следует отфильтровывать

Некоторые администраторы ошибочно считают, что пакеты ICMP можно не пропускать через брандмауэр, так как эти пакеты не так важны для нормального функционирования сети. Между пакетами ICMP любых типов и пакетами ping ставится знак равенства, что на самом деле неправильно. Помимо запросов ping протокол ICMP используется для передачи через сеть многих других чрезвычайно важных сообщений. В частности, при помощи ICMP через сеть передаются сообщения destination-not-reachable (место назначения недоступно), поэтому если вы блокируете ICMP, внутренние сетевые узлы не смогут принимать подобные сообщения. Помимо этого система OpenLinux использует сообщения ICMP для настройки MTU (Maximum Transmission Unit -- максимально допустимая единица передачи). Для сетевых карт Ethernet значение этого параметра в нормальных условиях равно 1500 для максимизации объема передаваемых данных. Фрагментация пакетов вызывает более длительные задержки, чем уменьшение MTU. По этой причине Linux устанавливает бит DF (Do not Fragment -- не фрагментировать). Если сетевой узел или маршрутизатор требует фрагментации пакета, он не сможет это сделать, так как бит DF установлен, по этой причине пакет отбрасывается, а сетевому узлу-источнику посылается сообщение ICMP. Получив такое сообщение, Linux уменьшает размер MTU и пытается передать пакет снова. Так происходит до тех пор, пока пакет не получается передать к месту назначения. Но если вы полностью блокируете ICMP, операционная система не сможет подобрать наиболее эффективное значение MTU, поэтому обмен данными с некоторыми узлами может происходить чрезвычайно медленно.

Многие администраторы, зная о том, что DNS использует UDP через порт 53, пытаются блокировать TCP через этот порт. Однако следует учитывать, что когда DNS выполняет трансферт зоны или любую другую объемную передачу данных, эта система переключается на использование TCP.

Примеры:

1. Dr.Web для MIMEsweeper устанавливается на те же компьютеры, что и контентный фильтр MIMEsweeper, и выполняет сценарий фильтрации первого типа, рекомендованный компанией ClearSwift.

Продукт подключается к MIMEsweeper в качестве антивирусной и антиспам-политики проверки содержимого почтовых сообщений и осуществляет фильтрацию почты от вирусов, спама и прочей нежелательной корреспонденции. При обнаружении угроз Dr.Web для MIMEsweeper классифицирует нежелательную почту согласно назначенным политикам ClearSwift MIMEsweeper и обезвреживает обнаруженные вредоносные объекты.

Ключевые функции:

Проверка почтовых сообщений и их вложений, включая архивы, до их обработки почтовым сервером

Лечение инфицированных объектов

Изоляция инфицированных и подозрительных файлов в карантине

Фильтрация почты на спам, в том числе с использованием чёрных и белых списков

Ведение статистики работы комплекса

Автоматические обновления

Описание:

Простота установки и настройки

Встроенные в Dr.Web для MIMEsweeper средства конфигурации - мастера создания сценариев - позволяют автоматизированно создавать наиболее современные сценарии проверки сообщений (тип 1 по классификации ClearSwift).

Гибкие настройки

При обнаружении инфицированного объекта плагин пытается вылечить его или сразу удаляет, если опция лечения не выбрана. Если к почтовому сообщению прикреплено несколько файлов или архивов, плагин обезвреживает только зараженные вложения. При обнаружении вируса в теле письма контентный фильтр перемещает письмо в карантин. «Чистые» письма, файлы и архивы передаются получателю без изменений. Вредоносные письма, которые плагин Dr.Web не может нейтрализовать, помечаются и по умолчанию перемещаются в карантин.

Совместимость с DEP

Dr.Web для MIMEsweeper поддерживает технологию предотвращения выполнения данных (Data Execution Prevention, DEP), которая позволяет дополнительно проверять память и предотвращать запуск вредоносного кода. Благодаря этому пользователям не нужно менять режим работы DEP - вредоносные программы не смогут воспользоваться механизмом обработки исключений Windows.

Регистрация событий

Плагин Dr.Web регистрирует ошибки и происходящие события в журнале регистрации событий (Event Log) и текстовом журнале. В эти журналы заносится информация о запуске и остановке плагина, о параметрах модулей, сообщения об обнаружении вирусов для каждого зараженного письма и для каждого вируса в отдельности, сообщения об обнаружении спама. Плагин Dr.Web поддерживает английский и русский языки сообщений в журналах событий.

Карантин

Инфицированные и подозрительные файлы могут перемещаться в карантин. Впоследствии возможна дополнительная обработка этих файлов, в том числе извлечение необходимой информации, лечение или удаление.

Система оповещений

В зависимости от настроек сценария в заголовок и тело обезвреженных писем контентный фильтр может добавлять оповещение о результатах проверки и предпринятых плагином действиях.

Технологии:

Уникальные возможности ядра

Проверка архивов любого уровня вложенности.

Высочайшая точность выявления упакованных вредоносных объектов (даже тех, которые упакованы неизвестным Dr.Web методом), разбор их на компоненты и детальный анализ с целью обнаружения скрытых угроз.

Детектирование и нейтрализация сложных вирусов, таких как Shadow.based (Confiсker), MaosBoot, Rustock.C, Sector - в этом Dr.Web нет равных.

Интеллектуальные технологии проверки памяти позволяют блокировать активные вирусы до появления их копий на жестком диске компьютера, что снижает вероятность использования вредоносным ПО уязвимостей установленных программ или операционной системы.

Обнаружение и нейтрализация вирусов, которые действуют в оперативной памяти и никогда не встречаются в виде отдельных файлов (например, Slammer и CodeRed).

Борьба с неизвестными угрозами

FLY-CODE - не имеющая аналогов технология универсальной распаковки файлов, запакованных неизвестными Dr.Web способами.

Уникальная технология несигнатурного поиска Origins TracingTM позволяет Dr.Web с высокой долей вероятности распознавать вирусы, еще не внесенные в вирусную базу.

Эвристический анализатор Dr.Web эффективно детектирует все распространенные типы угроз, определяя их класс по результатам проведенного разбора и характерным признакам.

Системные требования:

Windows 2000 Server (SP4) или выше.

Windows Server 2003 или выше.

2. MEsweeper Web Appliance -- это надежный двунаправленный фильтр, который обеспечивает защиту в режиме реального времени, блокируя весь нежелательный трафик в соответствии с требуемыми политиками. MIMEsweeper Web Appliance гарантирует бескомпромиссную безопасность и контроль контента. Обеспечивает защиту от угроз Web, Web 2.0, HTTP, HTTPS/SSL и FTP over HTTP, вредоносных программ, а также обратный прокси, позволяющий защитить web-серверы от нежелательного внутреннего и внешнего контента. MIMEsweeper Web Appliance сочетает безопасность уровня предприятия с простым развертыванием.

Основные возможности

MIMEsweeper Content Engine -- самый мощный модуль фильтрации контента в мире, лидирующий по числу установок. Модуль поддерживает управление детальными политиками всех web-сеансов, начиная от элементов ActiveX, потоков мультимедиа, чатов, музыки в формате MP3, блогов, википедии, файлов «cookie» до вложений web-почты в формате MS Office.

Отмеченное многочисленными наградами программное обеспечение Лаборатории Касперского для защиты от вредоносных программ -- бессменный лидер по скорости обнаружения вредоносного кода, в особенности вредоносных программ со сложной структурой

Отмеченное многочисленными наградами программное обеспечение для защиты от шпионских программ от Sunbelt Software -- обладает наиболее полной и автоматически обновляемой базой шпионского ПО, которое обеспечивает круглосуточную защиту от шпионских программ и вредоносных URL-адресов.

Фильтрация URL-адресов -- фильтр URL-адресов, позволяющий администратору безопасности блокировать или разрешать отдельные категории сайтов.

Сканер зашифрованного трафика HTTPS -- проверяет весь зашифрованный трафик на наличие вредоносного кода и нарушение политик контента. Система управления позволяет включать и отключать сканирование трафика HTTPS, назначать другие номера портов HTTPS и применять политику разграничения по сертификатам web-узла, а также создавать «не сканируемый контент» в любых категориях Интернета.

Отмеченный многочисленными наградами пользовательский интерфейс -- упрощает развертывание, поддержку, управление и создание отчетов, минимизируя нагрузку на персонал. Общая консоль управления интегрируется с нашим оборудованием безопасности электронной почты, позволяя предотвращать угрозы со стороны электронной почты и Интернета с одной станции.

Отличительные особенности

Гибкое решение Virtual Web - возможность приобрести систему в виде готового решения на предварительно настроенном оборудовании Dell с установленной операционной системой Linux или в виде «программного» образа для развертывания на подходящей серверной платформе HP или IBM.

MIMEsweeper Web Appliance -- простое решение без компромиссов в вопросах безопасности:

Предустановленные политики по умолчанию позволяют выполнить настройку и ввод в эксплуатацию за считанные минуты, и, кроме того, по умолчанию предоставляются отдельные политики для обратного прокси.

Автоматическое обновление -- всех профилей и URL-адресов для постоянного наблюдения

«Общая консоль политик» -- изменение политик обработки контента на обоих решениях MIMEsweeper Web и Email Appliance для простого и постоянного контроля контента по обоим протоколам.

Составление отчета об угрозах по нескольким протоколам -- все угрозы, включая нежелательную электронную почту, программы-шпионы и вирусы, сгруппированы и представлены в унифицированном виде как для угроз со стороны сети Интернет, так и угроз электронной почты.

Дополнительные возможности

Сканер HTTPS

Сканер зашифрованного трафика HTTPS -- позволяет полностью проверять весь зашифрованный трафик на наличие вредоносного кода и нарушение политик контента. Система управления позволяет включать и отключать сканирование трафика HTTPS, назначать другие номера портов HTTPS и применять политику разграничения по сертификатам web-узла, а также создавать «не сканируемый контент» в любых категориях Интернета. С дополнительным модулем сканирования HTTPS/SSL администратор сможет задать детальные политики сканирования шифрованного трафика независимо от направления передачи (входящий или исходящий трафик).

Обратный прокси

Обратный прокси позволяет сделать публичные web-сервера менее уязвимыми к атакам и несанкционированному трафику, скрывая их IP-адреса за прокси. Пропускная способность составляет 26 Мбит/с и, при необходимости увеличения этого значения, существует возможность приобрести дополнительные модули для повышения пропускной способности.

3. Антивирус Касперского для MIMESweeper обеспечивает антивирусную проверку и лечение сообщений с помощью системы контентной фильтрации Clearswift MIMESweeper.

Антивирус Касперского для MIMESweeper - это дополнительный уровень защиты почтового сервера в организации. Приложение в режиме реального времени обеспечивает антивирусную проверку и лечение входящих и исходящих почтовых сообщений, проходящих через Clearswift MIMESweeper.

Антивирус Касперского для MIMEsweeper

Антивирус Касперского® для MIMESweeper обеспечивает антивирусную проверку и лечение сообщений с помощью системы контентной фильтрации Clearswift MIMESweeper.

Электронная почта - удобное и незаменимое средство делового общения. Однако посредством электронной почты распространяется большая часть вирусов и спама, она может быть каналом утечки конфиденциальных данных.

Антивирус Касперского для MIMESweeper - это дополнительный уровень защиты почтового сервера в организации. Приложение в режиме реального времени обеспечивает антивирусную проверку и лечение входящих и исходящих почтовых сообщений, проходящих через Clearswift MIMESweeper.

Основные возможности

Проверка почтовых сообщений в режиме реального времени;

Масштабируемость приложения;

Отдельные политики безопасности для разных групп пользователей;

Система отчетов и уведомлений о работе приложения;

Автоматическое обновление баз сигнатур.

Дополнительные характеристики

Проверка сообщений в режиме реального времени. Антивирус Касперского осуществляет поиск и удаление всех типов вирусов, червей, троянских и других вредоносных программ в потоке входящих и исходящих почтовых сообщений (включая вложения), проходящих через Clearswift MIMEsweeper.

Управление. Установка, настройка и управление Антивирусом Касперского осуществляется с помощью инструментов администрирования, предусмотренных в Clearswift MIMEsweeper. Возможно удаленное управление настройками приложения через консоль управления Clearswift MIMEsweeper. Масштабируемость. Антивирус Касперского поддерживает кластерные и распределенные конфигурации сети.

Гибкая политика безопасности. В случае, если в настройках приложения Clearswift MIMEsweeper предусмотрены групповые правила обработки сообщений, они могут быть применены и для антивирусной проверки писем.

Отчеты и уведомления. При обнаружении зараженного сообщения администратор системы получает уведомление по электронной почте. Информация о работе приложения фиксируется в специальных журналах и базах данных, что при необходимости позволяет уточнить, откуда прислано зараженное сообщение.

Обновления баз. Обновление антивирусных баз и программных модулей может производиться по запросу или автоматически по расписанию с серверов «Лаборатории Касперского» в сети Интернет или с заданных локальных серверов компании.

Системные требованя

Аппаратные требования:

процессор Intel Pentium III

256 MB RAM

25 MB свободного дискового пространства

Программные требования:

Windows Server 2003 / Windows 2000 Server / Advanced Server с установленным пакетом обновлений 2 или более новым

Clearswift MIMEsweeper for SMTP / Clearswift MIMEsweeper for Exchange / Clearswift MIMEsweeper for Web

Прочие требования:

подключение к сети Интернет (для обновления баз сигнатур)

все прочие требования совпадают с системными требованиями для Clearswift MIMESweeper

Антивирус Касперского для MIMEsweeper является плагином к приложению Clearswift MIMEsweeper. Компания Clearswift предоставляет пользователям программное обеспечение, необходимое для интеграции Антивируса Касперского с Clearswift MIMEsweeper.

4. F-Secure Anti-Virus for MIMESweeper

Электронная почта - это отличное и простое средство для взаимодействия с людьми во всем мире, но также это быстрый и эффективный способ распространения вредоносного контента и различных видов опасного программного кода. Многие пользователи отправляют и получают сообщения, содержание которых незаконно или причиняет неудобства, даже в рабочее время, что может привести к потере конфиденциальной информации компании, а также растрачиванию пропускной способности сети и объема жестких дисков. В силу этих и ряда других причин многие организации считают, что электронная почта наряду с огромными преимуществами несет в себе и значительную угрозу.

F-Secure Anti-Virus for MIMEsweeper - это масштабируемое, высокопроизводительное решение, выполняющее функции сканирования и удаления вирусов с целью защиты трафика, проходящего через системы Clearswith MIMEsweeper и Websweeper. Ведущие в своей области программные средства Clearswift для защиты контента и отмеченное наградами решение F-Secure Anti-Virus полноценно взаимодействуют в одной системе, обеспечивая высочайший уровень безопасности, которого ожидают самые требовательные клиенты. С помощью решений Clearswift компании могут защититься от таких угроз, как спам и почтовые атаки. Объединив эти решения с F-Secure Anti-Virus for MIMEsweeper, вы получите полноценное, интегрированное решение для обеспечения безопасности контента на основе четких правил.

Защита "на лету", в реальном времени

F-Secure Anti-Virus for MIMEsweeper автоматически останавливает "червей", "троянских коней", вирусы, полученные через веб или электронную почту, а также вирусы в Windows, макровирусы и вирусы в DOS-файлах. Кроме того, это решение сканирует содержимое сжатых файлов, таких как ZIP-архивы.

Цельная интеграция

F-Secure Anti-Virus for MIMEsweeper поддерживает новейший интерфейс Content Scanner Scenario interface в системах Clearswift MAILsweeper и Websweeper. Этот интерфейс обеспечивает прямое соединение между Clearswift MIMEsweeper и F-Secure Anti-Virus. Использование этой технологии гарантирует простоту установки и максимальную производительность и надежность сканирования.

Автоматические обновления описаний вирусов

Обновление баз данных описаний вирусов осуществляется в автоматическом и защищенном режиме. Системные администраторы могут всегда быть уверены в том, что у них есть новейшие обновления и им не придется вручную искать их в интернете или перезапускать отдельные системные службы.

Круглосуточные антивирусные исследования

Эффективность антивирусных продуктов определяется в первую очередь качеством исследовательской работы, осуществляемой производителем. Исследовательская группа F-Secure Anti-Virus работает ежедневно и круглосуточно, мгновенно реагируя на новые угрозы. Эксперты с мировым именем разрабатывают средства защиты от новых вирусов сразу после их обнаружения, и нередко - задолго до того, как это сделают другие производители антивирусных решений.

Основные возможности:

Превосходное обнаружение вирусов

Благодаря использованию нескольких разных механизмов сканирования решение F-Secure Anti-Virus for MIMEsweeper обеспечивает тот же уровень защиты, что и несколько разных антивирусных решений одновременно.

Высокая производительность

F-Secure Anti-Virus for MIMEsweeper поддерживает новейшие интеграционные интерфейсы MIMEsweeper и обеспечивает великолепную производительность и надежность.

Простота администрирования

Работой системы F-Secure Anti-Virus for MIMEsweeper можно управлять как в автономном режиме, так и удаленно, с помощью многофункциональной программы F-Secure Policy Manager.

Полностью автоматизированные антивирусные обновления

Антивирусные обновления загружаются автоматически и незаметно в фоновом режиме несколько раз в день, и для этого вам не придется останавливать и снова запускать службы MIMEsweeper.

5. Symantec AntiVirus 4.3 for Clearswift MIMEsweeper (цена)

Ключевые особенности

Предоставляет быстродействующие надежные службы антивирусного осмотра и лечения с высокой степенью масштабируемости для SMTP-трафика, проходящего через продукт для фильтрации содержимого электронной почты - Clearswift MAILsweeper™ для SMTP

Использует лучшие в своей области технологии Symantec, оптимизированные для достижения высоких скоростных характеристик и потребляющие минимум ресурсов существующей сетевой инфраструктуры

Тесно интегрируется с технологиями антивирусной защиты Symantec, например NAVEX™ и LiveUpdate™, обеспечивая автоматическую доставку и установку описаний вирусов и обновлений модулей без прерывания антивирусного осмотра Позволяет осуществлять гибкую централизованную установку, управление политикой, рассылку предупреждений и составление отчетов с консоли управления Clearswift MAILsweeper или Symantec AntiVirus Scan Engine

Работает под управлением операционных систем Sun® Solaris®, Red Hat® Linux® и Microsoft® Windows® 2000

Поддержку продукта осуществляет Symantec Security Response - организация, занимающаяся исследованиями и обслуживанием пользователей в сфере интернет-безопасности и являющаяся мировым лидером в этой области

Продукт выполнен на основе модуля Symantec AntiVirus Scan Engine

Современные быстродействующие службы антивирусного осмотра и лечения для SMTP-трафика

Symantec AntiVirus для Clearswift MIMEsweeper предоставляет быстродействующие надежные службы антивирусного осмотра и лечения, обладающие высокой степенью масштабируемости, для SMTP-трафика, проходящего через продукт для фильтрации содержимого электронной почты - Clearswift MAILsweeper™ для SMTP. Благодаря свободной интеграции с лучшими в своей области технологиями антивирусной защиты Symantec этот продукт является современным решением для обеспечения безопасности электронной почты и защиты от угроз на уровне почтового шлюза.

Symantec AntiVirus для Clearswift MIMEsweeper специально предназначен для защиты трафика, проходящего через Clearswift CS MAILsweeper для SMTP, и потребляет минимум ресурсов сетевой инфраструктуры. В этом продукте применяются проверенные на практике технологии антивирусной защиты Symantec, позволяющие обнаруживать поступающие с сообщениями электронной почты вирусы, "черви" и "троянские" программы в файлах всех основных типов, включая мобильные коды и сжатые файлы. Технологии NAVEX и LiveUpdate, разработанные корпорацией Symantec, обеспечивают автоматическое обновление и установку антивирусных модулей и описаний вирусов без необходимости прерывать антивирусную проверку и перезагружать компьютер; таким образом увеличивается время бесперебойной работы системы и ускоряется доставка и развертывание антивирусных средств.

В продукте Symantec AntiVirus для Clearswift MIMEsweeper имеются надежные средства централизованного управления. Они позволяют системным администраторам задавать политики антивирусных осмотров, изменять настройки системы, получать предупреждения и создавать отчеты, используя консоль управления CS MAILsweeper или Symantec AntiVirus Scan Engine. Благодаря централизованному администрированию упрощается управление различными средами фильтрации веб-ресурсов и антивирусных осмотров и сокращаются затраты времени.Symantec AntiVirus для Clearswift MIMEsweeper работает под управлением операционных систем Microsoft Windows 2000, Sun Solaris и Red Hat Linux. Продукт может быть установлен на том же сервере, что и Clearswift, или на отдельном сервере в сети, что способствует гибкой реализации системы. Поддержку этого продукта, как и всех решений Symantec в области безопасности предприятий, осуществляет Symantec Security Response - организация, занимающаяся исследованиями и обслуживанием пользователей в сфере интернет-безопасности и являющаяся мировым лидером в этой области.

Требования к системе

Для работы требуется MAILsweeper™ для SMTP 4.3 и программный интерфейс Symantec AntiVirus Scenario, разработанный компанией Clearswift для поддержки Symantec AntiVirus. Интерфейс Symantec AntiVirus Scenario доступен для бесплатной загрузки с веб-узла компании Clearswift.

Программа MAILsweeper работает только под управлением операционных систем Windows 2000 Server и Windows 2000 Advanced Server. Если требуется установить компонент Symantec AntiVirus Scan Engine продукта Symantec AntiVirus для Clearswift MIMEsweeper на тех же серверах, что и MAILsweeper, необходимо устанавливать его под управлением операционной системы Windows 2000 Server или Windows 2000 Advanced Server.

Symantec AntiVirus 4.0 для Clearswift MIMEsweeper в системе Windows 2000

Система Windows 2000 Server с установленным пакетом обновления SP2 или Windows 2000 Advanced Server (также с пакетом SP2)

ПК с процессором Pentium® III с тактовой частотой 500 МГц

256 МБ ОЗУ

25 МБ свободного дискового пространства

Одна сетевая интерфейсная плата с TCP/IP и статическим IP-адресом

Для администрирования с помощью веб-интерфейса требуется веб-обозреватель Microsoft Internet Explorer 6.0 (или более поздняя версия)

Для обновления описаний вирусов с применением функции LiveUpdate™ необходимо подключение к Интернету

Symantec AntiVirus 4.0 для Clearswift MIMEsweeper в системе Sun Solaris

Система Solaris 7, 8 или 9

Компьютер с процессором SPARC® с тактовой частотой 400 МГц

256 МБ ОЗУ

35 МБ свободного дискового пространства

Одна сетевая интерфейсная плата с TCP/IP и статическим IP-адресом

Для администрирования с помощью веб-интерфейса требуется веб-обозреватель Microsoft Internet Explorer 6.0 (или более поздняя версия)

Для обновления описаний вирусов с применением функции LiveUpdate™ необходимо подключение к Интернету

Symantec AntiVirus 4.0 для Clearswift MIMEsweeper в системе Red Hat Linux

Система Red Hat Linux 7.2 или 7.3

ПК с процессором Pentium® III с тактовой частотой 500 МГц

256 МБ ОЗУ

25 МБ свободного дискового пространства

Одна сетевая интерфейсная плата с TCP/IP и статическим IP-адресом

Для администрирования с помощью веб-интерфейса требуется веб-обозреватель Microsoft Internet Explorer 6.0 (или более поздняя версия)

Для обновления описаний вирусов с применением функции LiveUpdate™ необходимо подключение к Интернету

Программа: MIMEsweeper for Web версии до 5.1

Уязвимость позволяет злоумышленнику обойти правила фильтрацию и потенциально выполнить злонамеренные действия на целевой системе. Злоумышленник может внедрить ActiveX компоненты в XML код и обойти фильтрацию на Portable Code Manager, что позволит ему потенциально выполнить злонамеренные действия на целевой системе.

ГЛАВА 3: Анализ эффективности использование ОС Linux в анализе и защите контента

Пути защиты от атак

Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:

· Аутентификация - Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под "сильным" мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Passwords). ОТР - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под "карточкой" (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.

· Коммутируемая инфраструктура - Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктуры не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.

· Анти-снифферы - Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые "анти-снифферы" измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" трафик. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff(. Боле подробную информацию можно получить на сайтеhttp://www.l0pht.com/antisniff/

Криптография  - Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). Криптография Cisco на сетевом уровне базируется на протоколе IPSec. IPSec представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К прочим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Layer).

Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

· Контроль доступа - Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.

Фильтрация RFC 2827 - Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным "сетевым гражданином"). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием "RFC 2827", может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Так, например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего трафика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).