Вычислительные системы, сети и телекоммуникации Лекция 10. Антивирусная защита. Брандмауеры.
advertisement
Вычислительные системы, сети и телекоммуникации Лекция 10. Антивирусная защита. Брандмауеры. Антиспамовая защита Проф., д.т.н. Гусева А.И. , ассистент Киреев В.С., . аспирант Цыплаков А.C. 2008 г. Классификация вирусов Компьютерный вирус - это программа, способная создавать свои дубликаты и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. Основные цели любого компьютерного вируса - это распространение на другие ресурсы компьютера и выполнение специальных действий при определенных событиях или действиях пользователя. Классификация вирусов Червь (сетевой червь) - это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом. Классификация вирусов Троян (троянский конь) - программа, основной целью которой является вредоносное воздействие по отношению к компьютерной системе путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Классификация вирусов Вредоносная программа: riskware - утилиты удаленного управления, которыми часто пользуются администраторы больших сетей, клиенты IRC, программы для загрузки файлов из Интернет, утилиты восстановления забытых паролей и другие; Классификация вирусов Вредоносная программа: adware - условно-бесплатные программы, которые в качестве платы за свое использование демонстрируют пользователю рекламу, чаще всего в виде графических баннеров; Классификация вирусов Вредоносная программа: pornware - к этому классу относятся утилиты, так или иначе связанные с показом пользователям информации порнографического характера; утилиты для взлома - к этому виду программ относятся программы скрытия кода зараженных файлов от антивирусной проверки, конструкторы вирусов и подобные утилиты. Классификация вирусов Другие виды вредоносных программ: утилиты для взлома - к этому виду программ относятся программы скрытия кода зараженных файлов от антивирусной проверки, конструкторы вирусов и подобные утилиты. Классификация антивирусных программ Антивирусный комплекс набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз Классификация антивирусных программ В соответствии с типом защищаемого компьютера антивирусные пакеты делятся на: Антивирусный комплекс для защиты рабочих станций - обеспечивает безопасную работу на рассматриваемом компьютере - для этого необходима проверка в режиме реального времени, проверка по требованию и проверка локальной электронной почты. Антивирусный комплекс для защиты сетевые серверов - производит проверку файлов в режиме реального времени и проверку по требованию. Классификация антивирусных программ Антивирусный комплекс для защиты почтовых систем предназначен для проверки всех проходящих электронных писем на наличие в них вирусов. Поэтому к нему предъявляются требования по наличию собственно программы для проверки всей принимаемой и отправляемой почтовой корреспонденции в режиме реального времени, и дополнительно механизма проверки по требованию почтовых баз данных. Антивирусный комплекс для шлюза осуществляет только проверку проходящих через шлюз данных. Методы, используемые в антивирусных программах Сигнатурные методы - точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов Сигнатурой вируса считается совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом). Все вместе сигнатуры известных вирусов составляют антивирусную базу. Задачу выделения сигнатур, как правило, решают люди - эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска. . Методы, используемые в антивирусных программах Преимущества сигнатурных методов: • точное распознавание вирусов •возможность лечения заражённых файлов . Недостатки сигнатурных методов: •непригодность для защиты от новых вирусов. Методы, используемые в антивирусных программах Эвристические методы - приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен. Эвристический анализ основывается на предположении, что новые вирусы часто оказываются похожи на какиелибо из уже известных. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов. Методы, используемые в антивирусных программах Преимущества эвристических методов: • возможность обнаруживать неизвестные ранее вредоносные программы. Недостатки эвристических методов: •вероятность ложного срабатывания •невозможность лечения •низкая эффективность против новаторских вирусов. Примеры антивирусных программ (ESET NOD32) Антиспамовые средства Простейшие способы ручной или автоматической фильтрации почты по заголовкам. Во многих почтовых программах можно настроить автоматическую фильтрацию по заголовкам писем. Однако в последнем случае требуется очень тонкая и вдумчивая подгонка условий оценки и можно получить много нареканий от своих нерадивых корреспондентов по сбоям в работе такого фильтра. Антиспамовые средства Специальные службы фильтрации, которые могут находиться у почтового провайдера или на отдельном сервере. В некоторых случаях вся почта отправляется на определенный адрес, где фильтруется, и к пользователю приходит уже чистой. Этот метод — самый простой для пользователя, но, как правило, и наименее контролируемый. Антиспамовые средства Входные фильтры, основанные на анализе IP-адреса хоста, передающего спам (который можно узнать, например, по отзывам пострадавших), и использовать общие базы данных с адресами таких спамеров (DNSBL — DNS Black Lists). Однако сегодня это уже малоэффективный способ борьбы с современными методами спама. Антиспамовые средства Существует фильтрация на основе автоматического пополнения access-листа адресами спамеров. Например, при такой фильтрации может использоваться встречный анализ подозрительности отправляющего хоста, однако данный фильтр плох тем, что требует постоянного контроля и тонкой настройки. Причем первое письмо от потенциального спамера он в любом случае пропустит, что делает его работу малоэффективной в современных условиях. Антиспамовые средства И наконец, существуют программы или встраиваемые модули для анализа содержимого письма. Программы для такой проверки (их может быть несколько) принимают информацию от почтовой программы, а возвращают, как правило, свою оценку и рекомендацию к дальнейшему действию. Пример фильтрации почты по заголовкам (Microsoft Outlook) Брандмауэры (межсетевые экраны) Брандмауэр, или межсетевой экран-это система, предотвращающая несанкционированный доступ извне во внутреннюю сеть. Брандмауэры бывают аппаратными или программными, прикладного уровня или с пакетной фильтрацией. Брандмауэры (межсетевые экраны) Аппаратный брандмауэр это устройство, которое подключается к сети физически, фильтрует входящий и исходящий трафик и защищает от нежелательных проникновений во внутреннюю сеть или на персональный компьютер. Брандмауэры (межсетевые экраны) Программный брандмауэр выполняет те же функции, но является не внешним аппаратным устройством, а программой, установленной на компьютере. В роли параметров фильтрации выступают адреса получателя и отправителя каждого сетевого пакета, протокол передачи данных (например, HTTP, FTP и т.д.), приложение, которое отсылает или принимает сетевой пакет и т.д. Брандмауэры (межсетевые экраны) Брандмауэры прикладного уровня, или проксиэкраны, представляют собой программные пакеты, базирующиеся на операционных системах общего назначения или на аппаратной платформе межсетевых экранов. Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты. Брандмауэры (межсетевые экраны) Брандмауэры с пакетной фильтрацией могут также быть программными пакетами, базирующимися на операционных системах общего назначения, либо на аппаратных платформах межсетевых экранов. При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на межсетевом экране, а направляются непосредственно к конечной системе. Примеры брандмауэров (Брандмауэр Windows) Примеры брандмауэров (ZoneAlarm Pro)
