Восстановление данных
Шрифт:
Системы обнаружения атак
Системы обнаружения атак (или IDS – Intrusion Detection System) предназначены для выявления вторжений путем регистрации некорректной или аномальной деятельности пакетов данных, циркулирующих в локальной сети или поступающих на отдельный компьютер из внешней сети.
Сама по себе сетевая атака зачастую не несет непосредственной угрозы компьютерным данным или локальной сети. Она лишь является частью общей стратегии злоумышленника, направленной на достижение некой цели. Например, атака может заключаться в сканировании портов компьютера с целью выявления незащищенных «точек входа» либо в регистрации и анализе
Атаки, направленные на захват ресурсов, обычно приводят к тому, что атакованный веб-сервер перестает обслуживать «нормальные» запросы. Поэтому подобные атаки называются атаками на отказ в обслуживании – Denied of Service (DoS). Атаки типа DoS являются сегодня одними из наиболее распространенных.
Для обнаружения атак используется либо технология обнаружения аномального поведения (anomaly detection), либо технология обнаружения злоупотреблений (misuse detection). Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиске данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Подобные системы очень похожи на антивирусные сканеры. Именно на такой технологии основаны практически все предлагаемые сегодня системы обнаружения атак.
Необходимо отметить, что многие персональные брандмауэры содержат функции (или модули) обнаружения атак. Разумеется, они не могут претендовать на высокую эффективность, однако для «типовых» ситуаций вполне пригодны. Например, в составе рассмотренного выше брандмауэра Outpost Firewall имеется специальный модуль обнаружения атак – Детектор атак (рис. 2.31).
Детектор атак регистрирует сведения обо всех попытках подключения к портам компьютера и адрес источника такой попытки. Для атак типа DoS модуль использует в качестве защитной меры блокирование атакуемого порта или блокирование источника угрозы (рис. 2.32).
Рис. 2.32. Брандмауэр Outpost Firewall защищает от DoS-атак
Более мощными функциями по обнаружению и блокированию атак обладает пакет BlacklCE компании PC Protection (до версии 3.0 пакет именовался BlacklCE Defender). Он ориентирован на «домашних» пользователей (оценочную версию можно найти, например, по адресуgetFile5.pl/BIPCPEvalSetup.exe). Этот инструмент, напротив, содержит в своем составе брандмауэр в качестве дополнительного модуля. Брандмауэр блокирует связь с теми внешними абонентами, которые были идентифицированы основным модулем как источники атак.
Сетевые сканеры и антиспамеры
Данные два типа инструментов принципиально различаются по своему предназначению и включены в один подраздел только потому, что и те и другие будут описаны вкратце.
Сетевые сканеры (или системы анализа защищенности) – это программы, которые просматривают узлы сети (ПЭВМ и серверы) с целью получения следующей информации:
имя и роль узла;
используемые сетевые сервисы (наличие средств электронной почты, вебсерверов и т. д.);
типы и версии используемых ОС и прикладного ПО;
учетные записи (параметры
общие параметры политики безопасности (система паролей, категории пользователей и т. д.);
наличие незарегистрированных устройств (модемов, ноутбуков, анализаторов протоколов).
На основе полученной информации сканер выдает рекомендации по изменению установленных параметров защиты и/или оповещает администратора сети о наличии неизвестных устройств. Сетевые сканеры – это достаточно дорогие и сложные инструменты, и «домашними» пользователями практически не используются.
Антиспамеры предназначены для блокирования спама.
ПРИМЕЧАНИЕ
Сегодня мало кто помнит, откуда появилось само слово «спам». Оказывается, Spam – зарегистрированная торговая марка консервов компании Hormel Foods Corporation. Компьютерный термин Spam (спам) происходит от пародии британской комик-группы, в которой изображалось, что посетители ресторана вынуждены слушать хор, воспевающий мясные консервы. Отсюда и пошло наименование навязчивой сетевой рекламы в новостных конференциях. Этим же словом называли сообщения, которые принудительно рассылаются подписчикам телеконференций для напоминания о тематике дискуссионных списков. Позднее и другие непрошенные рекламные сообщения в электронной почте стали называть «спамом», а отправителей подобных посланий – спамерами.
Принцип работы антиспамеров основан на фильтрации сообщений, поступающих по электронной почте, на основе некоторых правил. В отличие от сетевых сканеров антиспамеры получили широкое распространение среди пользователей домашних компьютеров. Причем существует достаточно много бесплатных антиспамеров, неплохо справляющихся со своими обязанностями.
Одна из таких программ – SpamPal (www.spampal.com). В процессе работы SpamPal сверяет каждое входящее письмо с некоторым числом списков DNSBL. На панели настроек можно выбрать списки, с которыми вы хотите сверять свои почтовые сообщения.
ПРИМЕЧАНИЕ
DNSBL (DNS Black List – «черный список» DNS») – это динамически обновляющийся список IP-адресов серверов, с помощью которых производились массовые рассылки почты (то есть замеченных в распространении спама).
Если вы получаете много спама с одного и того же адреса, то можно занести этот адрес в индивидуальный «черный список»; соответствующий адрес будет автоматически блокироваться программой SpamPal.
В программе предусмотрен также «белый список». Особенность «белого списка» состоит в том, что включенные в него адреса никогда не помечаются как спам. Это полезно в тех случаях, когда адрес вашего надежного абонента относится к провайдеру, занесенному в один из списков DNSBL.
Записи «белого списка» имеют более высокий приоритет по сравнению с записями «черного списка». Поэтому можно, например, добавить в «черный список» запись *@mail.com, а в «белый список» – конкретных надежных адресатов, почтовые ящики которых зарегистрированы на Hotmail.
Остается только добавить, что программа SpamPal имеет русскоязычный интерфейс и локализованный вариант документации.
Средства криптографической защиты
Суть криптографической защиты данных заключается в их шифровании. Зашифровать можно данные любого типа: текст, графику, видео, аудио, исполняемые файлы и т. д. Очевидно, что криптозащита обеспечивает конфиденциальность данных, но никак не может помочь в деле сохранения их целостности и доступности.