Prensipte bu aksiyom açıktır: ne kadar erişilebilir, kullanışlı, hızlı ve çok işlevli uçaksa, o kadar az güvenlidir. Bir sürü örnek var. Örneğin, DNS hizmeti: kullanışlı ama tehlikeli.

7.6 Uzaktan saldırılara karşı koruma yöntemleri İnternet ağları

7.6.1 Uzaktan saldırılara karşı yönetimsel koruma yöntemleri

Sistemi her türlü uzaktan etkiden korumak için, bu yönde atılacak en doğru adım, sistemin sistem yöneticisi ile birlikte tüm görevleri çözmeye çalışacak bir bilgi güvenliği uzmanı davet etmek olacaktır. gereklidir gereken seviye dağıtılmış uçaklar için güvenlik. Bu, çözüm için neyin (DCS'nin kontrol edilen nesnelerinin ve kaynaklarının listesi), neyden (bu DCS'ye yönelik olası tehditlerin analizi) ve nasıl (gereksinimlerin geliştirilmesi, bir güvenlik politikasının tanımlanması ve uygulanması için idari ve donanım-yazılım önlemlerinin geliştirilmesi, geliştirilen güvenlik politikası) korunması.

En basit ve en ucuz olanı, bilgi yıkıcı etkilere karşı idari koruma yöntemleridir. Aşağıdaki maddeler, İnternet ana bilgisayarlarına (içinde) yukarıda açıklanan uzaktan saldırılara karşı olası yönetimsel koruma yöntemlerini tartışmaktadır. Genel dava IP ağında).

Ağ trafiği analizine karşı koruma

Bu tür bir saldırı, kanal üzerinden yalnızca şifrelenmemiş mesajlar iletiliyorsa, bir korsanın ağdaki mesaj iletim kanalını dinleyen yazılımı kullanarak uzak kullanıcılar arasında değiş tokuş edilen herhangi bir bilgiyi engellemesine izin verir. Ayrıca, uzaktan erişim TELNET ve FTP'nin temel uygulama protokollerinin, ağ üzerinden iletilen kullanıcıların tanımlayıcılarının (adlarının) ve kimlik doğrulayıcılarının (parolalarının) temel şifrelemesini sağlamadığı da gösterilmiştir. Bu nedenle, ağ yöneticilerine, uzaktan erişim sağlamak için bu temel protokolleri kullanmamaları açıkça tavsiye edilebilir. yetkili sistemlerinin kaynaklarına erişin ve ağ trafiği analizini ortadan kaldırılamayan sürekli mevcut bir tehdit olarak kabul edin, ancak IP akışını korumak için güçlü şifreleme algoritmaları kullanarak bunun uygulanmasını temelde anlamsız hale getirebilirsiniz.

Yanlış nesne koruması

DNS'yi İnternet'te mevcut biçiminde kullanmak, bir korsanın, korsanın tuzak DNS sunucusu üzerinden bir tuzak rota oluşturmaya zorlayarak bağlantılar üzerinde küresel kontrol elde etmesine izin verebilir. Bu uzaktan saldırının uygulanması, potansiyel güvenlik açıkları DNS hizmetleri, çok sayıda İnternet kullanıcısı için feci sonuçlara yol açabilir ve bu küresel ağın bilgi güvenliğinin büyük ölçüde ihlal edilmesine neden olabilir.

DNS hizmetinin mevcut bir sürümüne yönelik bir saldırıya karşı herhangi bir yönetimsel veya programlı savunma yoktur. En iyi güvenlik çözümü, güvenli segmentinizde DNS hizmetini kullanmayı tamamen durdurmak olacaktır! Elbette, kullanıcıların ana bilgisayarlardan bahsederken ad kullanımını tamamen bırakmaları çok sakıncalı olacaktır. Bu nedenle, aşağıdaki ödünleşim çözümünü sunabiliriz: adları kullanın, ancak uzak DNS arama mekanizmasını bırakın. Bu, atanmış DNS sunucularıyla DNS'nin ortaya çıkmasından önce kullanılan şemaya bir geri dönüş. Daha sonra ağdaki her makinede, ağdaki tüm ana bilgisayarların karşılık gelen adları ve IP adresleri hakkında bilgi içeren bir ana bilgisayar dosyası vardı. Bugün yöneticinin böyle bir dosyaya yalnızca bu segmentin kullanıcıları tarafından en sık ziyaret edilen ağ sunucuları hakkında bilgi girebileceği açıktır. Bu nedenle, bu çözümü pratikte kullanmak son derece zordur ve görünüşe göre gerçekçi değildir (örneğin, adları olan URL'leri kullanan tarayıcılarla ne yapmalı?).

Bu uzaktan saldırının uygulanmasını karmaşıklaştırmak için, yöneticilerin DNS hizmeti için varsayılan olarak yüklenen UDP yerine TCP kullanmasını önerebilirsiniz (ancak bunun nasıl değiştirileceği belgelerden çok açık değildir). Bu, bir saldırganın DNS isteğini kabul etmeden ana bilgisayara sahte bir DNS yanıtı göndermesini çok daha zor hale getirir.

Hizmet reddi koruması

Birden fazla kez belirtildiği gibi, İnternet'in mevcut IPv4 standardında hizmet reddine karşı korumanın kabul edilebilir bir yolu yoktur ve olamaz. Bunun nedeni, içinde bu standart mesajların rotasını kontrol etmek imkansızdır. Bu nedenle, ağ etkileşiminin bir konusu, uzak bir nesneyle sınırsız sayıda iletişim kanalını işgal etme ve aynı zamanda anonim kalma fırsatına sahip olduğundan, ağ bağlantıları üzerinde güvenilir bir kontrol sağlamak imkansızdır. Bu nedenle, İnternet üzerindeki herhangi bir sunucu, uzaktan hizmet reddi saldırısı ile tamamen felç olabilir.

Bu saldırıya maruz kalan sistemin güvenilirliğini artırmak için önerilebilecek tek şey, bilgisayarları olabildiğince güçlü kullanmaktır. İşlemcilerin sayısı ve frekansı ne kadar yüksek olursa, RAM miktarı o kadar büyük olur, ağ işletim sistemi yönlendirilmiş bir yanlış bağlantı istekleri "fırtınası" tarafından vurulduğunda o kadar güvenilir olur. Ayrıca, barındırabilecek dahili bir sıra ile bilgi işlem gücünüze uygun işletim sistemlerini kullanmanız gerekir. Büyük sayı bağlantı istekleri. Sonuçta, örneğin, aynı anda işlenen istekler için kuyruk uzunluğu yaklaşık 10 olan ve sırayı temizlemek için zaman aşımı süresi birkaç dakika olan Linux veya Windows NT işletim sistemini bir süper bilgisayara koyduğunuzdan, o zaman, buna rağmen Her şeyin işlem gücü bilgisayar, işletim sistemi saldırgan tarafından tamamen felç olacaktır.

Mevcut IPv4 standardında bu saldırıya karşı koymaya ilişkin genel sonuç şudur: sadece arkanıza yaslanın ve kimsenin ilgisini çekmediğini ummanız veya ilgili ağ işletim sistemine sahip bir süper bilgisayar satın almanız yeterlidir.

7.6.2. İnternetteki uzaktan saldırılara karşı donanım ve yazılım koruma yöntemleri

Bilgisayar ağlarında iletişim olanaklarının bilgi güvenliğini sağlamaya yönelik yazılım ve donanım şunları içerir:

Ağ trafiğinin donanım şifreleyicileri;

Yazılım ve donanım bazında uygulanan güvenlik duvarı yöntemi;

Korumalı ağ kripto protokolleri;

Donanım ve yazılım ağ trafiği analizörleri;

Korumalı ağ işletim sistemleri.

var büyük miktarİnternette kullanılmak üzere tasarlanmış bu güvenlik araçlarıyla ilgili literatür (son iki yılda, herhangi bir bilgisayar dergisinin hemen hemen her sayısında bu konuyla ilgili makaleler bulabilirsiniz).

7.6.2.1 IP ağının özel bir bölümünde ağ güvenlik politikasını uygulamak için ana donanım ve yazılım aracı olarak güvenlik duvarı tekniği

Güvenlik duvarı, bağımsız (ve temelde önemli) bir güvenlik hizmeti olarak görülmelidir. Ağ uygulamaları güvenlik duvarları (İngilizce güvenlik duvarı teriminin önerilen çevirisi) adı verilen bu hizmet çok yaygındır; terminoloji gelişti, mekanizmaların bir sınıflandırması şekillendi.

Tarama probleminin resmi ayarı aşağıdaki gibidir. İki grup bilgi sistemi olsun. Ekran, bir kümeden istemci erişimini sınırlamanın bir yoludur

başka bir kümeden sunuculara bağlantılar... Ekran, iki sistem grubu arasındaki tüm bilgi akışlarını kontrol ederek işlevini yerine getirir.

En basit durumda, ekran, biri verilerin hareketini kısıtlayan, ikincisi ise aksine kolaylaştıran (yani, verilerin hareketini gerçekleştirir) iki mekanizmadan oluşur. Daha genel bir durumda, ekran (yarı geçirgen kabuk) uygun bir şekilde bir dizi filtre olarak düşünülür. Her biri verileri geciktirebilir (atlayamaz) veya hemen "diğer tarafa" "aktarabilir". Ayrıca, analize devam etmek için verilerin bir kısmının bir sonraki filtreye aktarılmasına veya muhatap adına verilerin işlenmesine ve sonucun göndericiye iade edilmesine izin verilir.

Erişim kontrolü işlevlerine ek olarak, ekranlar ayrıca Kerestecilik bilgi alışverişi. Genellikle ekran simetrik değildir, bunun için "iç" kavramları tanımlanmıştır.

ve "dışarıda". Bu durumda, perdeleme sorunu, iç bölgeyi potansiyel olarak düşmanca bir dış bölgeden korumak olarak formüle edilir. Bu nedenle, erişime sahip bir kuruluşun yerel ağını korumak için güvenlik duvarları kurulur. açık ortam internete benzer. Ekranın başka bir örneği, bilgisayarın iletişim bağlantı noktasına erişimi diğer tüm sistem güvenlik denetimlerinden önce ve bağımsız olarak denetleyen bir bağlantı noktası korumasıdır.

ekranlama sağlar hizmet kullanılabilirliğini korumak iç alan, dış aktivitenin neden olduğu yükü azaltır veya tamamen ortadan kaldırır. Başlangıçta üçüncü taraf bir saldırganın, savunma mekanizmalarının özellikle dikkatli ve katı bir şekilde yapılandırıldığı bir ekranı aşması gerektiğinden, iç güvenlik hizmetlerinin güvenlik açığı azalır. Ek olarak, ekranlama sistemi, evrensel olanın aksine, daha basit ve dolayısıyla daha güvenli bir şekilde düzenlenebilir. Ekranlama ayrıca, gizliliğin korunmasına yardımcı olan harici alana yönlendirilen bilgi akışlarının kontrol edilmesini mümkün kılar.

Önemli bir koruma kavramı, bir saldırganın kalkanı veya herhangi bir bileşenini geçtikten sonra kullanılabilir hale gelen sistemler kümesi olarak tanımlanan risk bölgesidir. Kural olarak, korumanın güvenilirliğini artırmak için, ekran bir dizi öğe olarak uygulanır, böylece bunlardan birinin "hacklenmesi" henüz tüm dahili ağa erişimi açmaz.

Bu nedenle, hem diğer güvenlik hizmetleriyle kombinasyon açısından hem de iç organizasyon açısından güvenlik duvarı, iç ağın yalnızca risk bölgesi içinde olması nedeniyle çok katmanlı koruma fikrini kullanır. Saldırgan, farklı olmayan bir şekilde organize edilmiş birkaç savunma hattının üstesinden gelir.

Genel olarak, Güvenlik Duvarı tekniği aşağıdaki üç ana işlevi uygular:

1. Ağ trafiğinin çok düzeyli filtrelemesi

Filtreleme tipik olarak üç OSI katmanında yapılır:

Ağ (IP); ulaşım (TCP, UDP);

uygulanır (FTP, TELNET, HTTP, SMTP, vb.).

Ağ trafiğini filtrelemek, Güvenlik Duvarı sistemlerinin ana işlevidir ve ağ güvenliği yöneticisinin gerekli ağ güvenlik politikasını merkezi olarak uygulamasını sağlar.

v özel segment IP ağları, yani Güvenlik Duvarını buna göre yapılandırarak, kullanıcıların aşağıdakilerden erişimine izin verebilir veya engelleyebilirsiniz. harici ağ ana bilgisayarların ilgili hizmetlerine veya korunan segmentte bulunan ana bilgisayarlara ve kullanıcıların dahili ağdan harici ağın karşılık gelen kaynaklarına erişimi. Sistemde güvenlik politikasını uygulamak için nesneler (kullanıcılar) ve sistem nesneleri (örneğin dosyalar) arasında gerekli ilişkileri atayan yerel işletim sistemi yöneticisi ile bir benzetme yapmak mümkündür. sistem öznelerinin erişimini, yönetici tarafından belirlenen erişim haklarına uygun olarak nesnelerine sınırlamak mümkündür. ... Aynı mantık, Güvenlik Duvarı filtrelemesi için de geçerlidir:

v etkileşim konuları olarak Kullanıcıların ana bilgisayarlarının IP adresleri ve erişimin kısıtlanması gereken nesneler, ana bilgisayarların IP adresleri, kullanılan taşıma protokolleri ve uzaktan erişim hizmetleridir.

2. Güvenlik Duvarı ana bilgisayarındaki kullanıcıların ek kimlik ve kimlik doğrulamasını içeren proxy şeması

Proxy şeması, ilk olarak, korunan bir Güvenlik Duvarı ağ kesimine erişirken, üzerinde uzak bir kullanıcının ek tanımlama ve kimlik doğrulamasını gerçekleştirmesine izin verir ve ikinci olarak, sanal IP adresleriyle özel ağlar oluşturmanın temelidir. Proxy şemasının anlamı, Güvenlik Duvarı ana bilgisayarındaki bir ara proxy sunucusu (İngilizce yetkiliden proxy) aracılığıyla nihai hedefle bağlantı oluşturmaktır. Abonenin ek tanımlaması bu proxy sunucusunda gerçekleştirilebilir.

3. Özel ağların oluşturulması (Özel sanal ağ- PVN) "sanal" IP adresleri ile (NAT - Ağ Adresi Çevirisi)

Ağ güvenliği yöneticisinin kendi dahili IP ağının gerçek topolojisini gizlemeyi uygun görmesi durumunda, özel bir ağ (PVN ağı) oluşturmak için Güvenlik Duvarı sistemlerini kullanması tavsiye edilebilir. PVN ağındaki ana bilgisayarlara herhangi bir "sanal" IP adresi atanır. Harici ağa (Güvenlik Duvarı aracılığıyla) adresleme için, Güvenlik Duvarı ana bilgisayarında yukarıda açıklanan proxy sunucularının kullanılması veya yalnızca harici adreslemenin mümkün olduğu özel yönlendirme (yönlendirme) sistemlerinin kullanılması gerekir. Bunun nedeni, dahili PVN ağında kullanılan sanal IP adresinin açıkça harici adreslemeye uygun olmamasıdır (harici adresleme, PVN ağı dışındaki abonelere adreslemedir). Bu nedenle, bir proxy sunucusu veya yönlendirme aracı, gerçek IP adresinden harici ağdaki abonelerle iletişim kurmalıdır. Bu arada, bir IP ağı oluşturmak için tahsis edilmişseniz, bu şema uygundur. yetersiz miktar IP adresleri (IPv4 standardında bu her zaman olur, bu nedenle, bir proxy şeması kullanarak tam teşekküllü bir IP ağı oluşturmak için, bir proxy sunucusu için yalnızca bir özel IP adresi yeterlidir).

Dolayısıyla, Güvenlik Duvarı tekniğinin bu işlevlerinden en az birini uygulayan herhangi bir cihaz, bir Güvenlik Duvarı cihazıdır. Örneğin, OS çekirdeğini buna göre derlemeniz gereken bir Güvenlik Duvarı ana bilgisayarı olarak normal bir FreeBSD veya Linux işletim sistemine sahip bir bilgisayarı kullanmanızı hiçbir şey engelleyemez. Bu tür güvenlik duvarı, yalnızca IP trafiğinin çok düzeyli filtrelemesini sağlar. Diğer bir husus ise, bir bilgisayar veya mini bilgisayar bazında yapılan, piyasada sunulan güçlü Güvenlik Duvarı komplekslerinin, genellikle Güvenlik Duvarı yönteminin tüm işlevlerini yerine getirmesi ve tamamen işlevsel Güvenlik Duvarı sistemleri olmasıdır. Aşağıdaki şekil, tamamen işlevsel bir Güvenlik Duvarı ana bilgisayarı tarafından harici ağdan ayrılmış bir ağ kesimini göstermektedir.

Pirinç. 7.5. Tamamen işlevsel bir Güvenlik Duvarı ana bilgisayarının genelleştirilmiş şeması.

Bununla birlikte, Güvenlik Duvarı sistemlerinin reklamlarına yenik düşen IP ağlarının yöneticileri, Güvenlik Duvarının İnternet'teki uzaktan saldırılara karşı mutlak koruma garantisi olduğu konusunda yanılgıya düşmemelidir. Güvenlik duvarı, ağınızdaki mevcut kaynaklara uzaktan erişimi sınırlamak için merkezi olarak bir ağ politikası uygulama yeteneği kadar bir güvenlik aracı değildir.

Güvenlik duvarları için modern gereksinimler

1. Ana gereksinim, dahili (korumalı) ağın güvenliğini ve harici bağlantılar ve iletişim oturumları üzerinde tam kontrol sağlamaktır.

2. Koruma sistemi, kuruluşun güvenlik politikasını kolayca ve tamamen uygulamak için güçlü ve esnek kontrollere sahip olmalıdır.

3. Güvenlik duvarı, yerel ağ kullanıcıları için görünmez bir şekilde çalışmalı ve yasal işlem gerçekleştirmelerini engellememelidir.

4. Güvenlik duvarı işlemcisi hızlı olmalı, yeterince verimli çalışmalı ve çok sayıda çağrı tarafından bloke edilmemesi ve kesintiye uğramaması için tüm gelen ve giden trafiği en yüksek seviyelerde işleyebilmelidir.

5. Güvenlik sisteminin kendisi, yetkisiz etkilerden güvenilir bir şekilde korunmalıdır, çünkü bu anahtardır. kesin bilgi Organizasyonda.

6. Ekran yönetim sistemi, uzak şubeler için merkezi olarak tek tip bir güvenlik politikası uygulayabilmelidir.

7. Güvenlik duvarı, kuruluş çalışanlarının iş gezilerinde çalıştığı durumlarda gerekli olan, harici bağlantılar aracılığıyla kullanıcı erişimine izin veren bir araca sahip olmalıdır.

Analiz edilen güvenlik duvarlarının sınıflandırılması

Bildiğiniz gibi, tutmak için Karşılaştırmalı analiz her şeyden önce, analiz edilen araçları sınıflandırmak gerekir. Güvenlik duvarları, içindeki bilgileri korumaya odaklandığından, açık ağlarİnternet / İntranet türü, yaklaşımın temeli ISO / OSI'nin (Uluslararası Standardizasyon Örgütü) yedi seviyeli modelidir. Bu modele göre ME'ler filtrelemenin gerçekleştirildiği seviyeye göre sınıflandırılır: kanal, ağ, taşıma, oturum veya uygulama. Bu nedenle, ekranlama hub'ları (bağlantı katmanı), yönlendiriciler (ağ katmanı), aktarım koruma (taşıma katmanı), oturum katmanı ağ geçitleri (oturum katmanı) ve uygulama kalkanları (uygulama katmanı) hakkında konuşabiliriz.

Şu anda, tek katmanlı güvenlik duvarlarıyla birlikte, ağdan uygulamaya katmanları kapsayan karmaşık ekranların popülerlik kazandığına dikkat edilmelidir, çünkü bu tür ürünler bir araya geldiğinden. en iyi özellikler farklı türlerde tek seviyeli ekranlar. Şekil 1, ISO / OSI referans modelini kullanan iki sistem arasındaki bilgi kalkanının yapısını göstermektedir.

Modern güvenlik duvarlarının özellikleri

Daha sofistike bir karşılaştırmalı analizin sonuçları farklı şekiller güvenlik duvarları tabloda verilmiştir. 1.

Güvenlik duvarı türü

Koruyucu yönlendiriciler (paket filtreleme güvenlik duvarları)

Koruyucu ağ geçidi

Çalışma prensibi

Paket filtreleme, şu kritere göre paketin IP başlığına göre gerçekleştirilir: açıkça yasaklanmayanlara izin verilir. Analiz edilen bilgiler şunlardır:

- gönderenin adresi;

- alıcının adresi;

- uygulama veya protokol bilgileri;

- kaynak bağlantı noktası numarası;

- hedef bağlantı noktası numarası.

Bilgi alışverişi, trafik yönlendirme olasılığı hakkında kararlar veren iç ve dış ağlar arasında kurulu bir kale ana bilgisayarı aracılığıyla gerçekleşir. ES iki tiptir: oturum ve uygulama katmanı

· Düşük maliyetli

· Ağ performansı üzerinde minimum etki

· Yapılandırması ve kurulumu kolay

· Yazılım için şeffaflık

· Arıza durumunda paket geçişi yok

· EM ile karşılaştırıldığında geliştirilmiş koruma mekanizmaları, hem yazılım hem de donanım olmak üzere ek kimlik doğrulama araçlarının kullanılmasına izin verir

· Kapalı bir ağdaki ana bilgisayarların adreslerini gizlemek için bir adres çevirme prosedürü kullanma

· Savunma mekanizmasının güvenlik açığı farklı şekiller paketlerin kaynak adreslerini sızdırma, paketlerin içeriğinde yetkisiz değişiklikler gibi ağ saldırıları

· Bazı ürünlerde olay günlüğü ve denetim araçları için destek eksikliği

· Sadece güçlü kullanma büyük miktarda hesaplama nedeniyle kale ana bilgisayarları

· "Şeffaflık" eksikliği ES'nin iletim sürecinde gecikmeler oluşturması ve kullanıcıdan kimlik doğrulama prosedürleri gerektirmesi nedeniyle

Tablo 1 - Güvenlik duvarlarının özellikleri

Tablo 1'den görülebileceği gibi, bir güvenlik duvarı, yetkisiz erişime karşı geleneksel koruma araçlarını geliştirmenin en yaygın yoludur ve güvenlik duvarlarını düzenlerken veri korumasını sağlamak için kullanılır. ME'nin özel uygulamaları büyük ölçüde kullanılan bilgi işlem platformlarına bağlıdır, ancak yine de, bu sınıfın tüm sistemleri, biri ağ trafiğinin engellenmesini sağlayan ve ikincisi ise tam tersine veri alışverişine izin veren iki mekanizma kullanır. Aynı zamanda, ME'nin bazı sürümleri istenmeyen trafiği engellemeye odaklanırken, diğerleri - izin verilen makineler arası iletişimi düzenlemeye odaklanır.

FireWall / Plus güvenlik duvarı, üç ana görevi çözmek için tasarlanmıştır:

kaynak koruması kurumsal ağlar internetten gelen saldırılardan;

Güvenlik önlemlerinin uygulanması (özel bir sunucu / sunucu grubu için);

Dahili kullanıcının kurcalama girişimlerini önlemek için dahili ağ bölümlerinin ayrılması.

Bu ME'nin önemli bir özelliği, çeşitli seviyelerde 390'dan fazla protokolle çalışma yeteneğidir. Filtre yazmak için güçlü yerleşik dil sayesinde, herhangi bir filtreleme koşulunu tanımlamak mümkündür. Bu özellik, TCP / IP, IPX, DECNet protokollerinin yığınlarıyla çalışan ürünleri kullanan bir şirket ağının bölümlerini bölme sorunlarını daha verimli bir şekilde çözmeyi mümkün kılar. Uygulama düzeyindeki protokolleri tanımlama mekanizması, kullanıcı erişiminin sınırlandırılması için özel şemalar oluşturmanıza olanak tanır. FireWall / Plus, Web, FTR, URL, ActiveX ve Java uygulamaları ve e-posta için güvenlik sağlar.

FireWall / Plus güvenlik duvarı, aşağıdaki saldırılara karşı algılama ve mücadele sağlar:

Sunucu kimlik doğrulama saldırıları;

Parmak protokolü saldırıları (dışarıdan ve içeriden);

TCP bağlantısının ilk paket numarasının belirlenmesi;

Yasadışı çağrı yönlendirme;

DNS erişim saldırıları;

FTR kimlik doğrulama saldırıları;

Yetkisiz dosya aktarım saldırıları;

Uzaktan yeniden başlatma saldırıları;

Sahte IP adresleri;

MAC adreslerini yanıltma;

Kullanılabilirlik saldırıları (istek fırtınası);

Sunucunun yedekleme bağlantı noktasına yapılan saldırılar;

Uzaktan erişim sunucusu saldırıları;

Anonim FTR erişimine yönelik saldırılar.

Bu engellenen saldırı sayısı, öncelikle FireWall / Plus'ın ağ adreslerini dönüştürmek için üç yöntemi desteklemesiyle belirlenir: bire bir; birden çok; çoktan çoka. Kendi IP adresine ihtiyacı yoktur. Bu özellik, onu ağ üzerinde tamamen şeffaf ve çeşitli saldırılara karşı neredeyse savunmasız hale getirir. Temsili olan FireWall / Plus güvenlik duvarının dikkate alınan yetenekleri modern nesil ME, koruyucu ekipmanın bu yönünün ne kadar dinamik bir şekilde geliştiğini gösterin.

Güvenlik duvarlarının sertifikasyonu Şu anda, Rusya Devlet Teknik Komisyonu, “Bilgisayar Yöntemleri” adlı bir çalışma belgesini kabul etti.

teknoloji. Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri”. Bu belge, yalnızca güvenlik duvarları için bilgi güvenliği gereksinimlerini düzenlemeye değil, aynı zamanda bu tür ürünlerin koruyucu özelliklerini karşılaştırmaya da izin verir.

Bilgi güvenliği araçlarının sertifikalandırılması alanındaki beklentileri dikkate alarak, Rusya Devlet Teknik Komisyonu öncülüğünde, Bilgi Güvenliği Merkezi (Yubileiny, Moskova Bölgesi), güvenlik duvarlarının sertifika testlerini yürütmek için standart bir metodolojinin geliştirilmesini organize etti. . Bu teknik, Rusya Devlet Teknik Komisyonu'nun sertifikasyon sisteminde akredite edilmiş bir dizi laboratuvarda test edilmiştir. Şu anda açık Rus pazarı Zastava-Jet (2. sınıf), Zastava ve AltaVista Firewall 97 (3. sınıf güvenlik) dahil olmak üzere, sertifikalı yüksek sınıf güvenlik duvarları zaten ortaya çıktı. Bu ürünler güvenilir koruma sağlar bilgi kaynakları yetkisiz erişimden.

7.6.2.2 İnternette kullanılan yazılım koruma yöntemleri

İLE İnternette programlanmış koruma yöntemleri, her şeyden önce, kullanımı güvenli bir şekilde bağlantıyı korumanın mümkün olduğu güvenli kripto protokollerini içerir. sonraki paragrafta bir konuşma olacak Bugün internette var olan yaklaşımlar ve halihazırda geliştirilmiş temel kripto protokolleri hakkında.

İLE Uzaktan saldırılara karşı korumanın başka bir yazılım yöntemi sınıfı, ana amacı bilinen aktif uzaktan saldırılardan birinin varlığı için ağ trafiğini analiz etmek olan mevcut programları içerir.

1. SKIP teknolojisi ve kripto protokolleri SSL, S-HTTP, İnternet'teki bağlantıları ve iletilen verileri korumanın ana yolu olarak

Açıktır ki, dağıtılmış uçaklara uzaktan saldırıların başarısının ana nedenlerinden biri, uzaktaki nesneleri güvenilir bir şekilde tanımlayamayan, bağlantıyı ve bunun üzerinden iletilen verileri koruyamayan ağ iletişim protokollerinin kullanılmasında yatmaktadır. Bu nedenle, İnternet'in işleyişi sırasında hem özel hem de genel anahtar şifrelemesi kullanılarak çeşitli güvenli ağ protokollerinin oluşturulması oldukça doğaldır. Simetrik kriptoalgoritmalı klasik kriptografi, gönderen ve alan tarafların mesajları şifrelemek ve şifresini çözmek için simetrik (özdeş) anahtarlara sahip olduğunu varsayar. Bu anahtarların, kriptografide sonlu sayıda abone arasında önceden dağıtılması gerekir. standart bir problem statik anahtar dağıtımı. Klasik simetrik anahtar kriptografisinin kullanımının yalnızca sınırlı sayıda nesne üzerinde mümkün olduğu açıktır. Açıkçası, tüm kullanıcıları için İnternette statik anahtar dağıtımı sorununu çözmek mümkün değildir. Bununla birlikte, İnternet'teki ilk güvenli değişim protokollerinden biri, kesin olarak nihai anahtarların statik dağılımına dayanan Kerberos protokolüydü.

abone sayısı. İnternet için kendi güvenli kripto protokollerini geliştiren özel servislerimiz, klasik simetrik kriptografiyi kullanarak aynı yola gitmek zorunda kalıyor. Bunun nedeni, herhangi bir nedenle hala barındırılan açık anahtar şifreleme algoritmasının olmamasıdır. Dünyanın her yerinde, bu tür şifreleme standartları uzun zamandır kabul edildi ve onaylandı ve görünüşe göre biz yine diğer yöne gidiyoruz!

Bu nedenle, sınırlı bir alt kümesini değil, tüm İnternet kullanıcıları kümesini korumayı mümkün kılmak için, açık anahtar şifrelemesi kullanılarak sanal bir bağlantı oluşturma sürecinde dinamik olarak oluşturulan anahtarların kullanılması gerektiği açıktır. Ardından, günümüzde bağlantı güvenliğini sağlayan ana yaklaşımlara ve protokollere bakacağız.

SKIP (Güvenli Anahtar İnternet Protokolü) - IP paketlerini kapsüllemek için standart olarak adlandırılan ve mevcut IPv4 standardının ağ katmanı bağlantının ve bunun üzerinden iletilen verilerin korunmasını sağlamak. Bu, şu şekilde elde edilir: Bir SKIP paketi, veri alanı belirli bir formatta bir SKIP başlığı ve bir kriptogram (şifreli veri) olan normal bir IP paketidir. Bir SKIP paketinin böyle bir yapısı, İnternet üzerindeki herhangi bir ana bilgisayara serbestçe yönlendirilmesine izin verir (internet adresi, bir SKIP paketindeki olağan IP başlığına göre gerçekleşir). SKIP paketinin son alıcısı, geliştiriciler tarafından önceden belirlenen bir algoritmaya göre kriptogramın şifresini çözer ve işletim sistemi çekirdeğinin karşılık gelen normal modülüne (TCP veya UDP) iletilen düzenli bir TCP veya UDP paketi oluşturur. Prensip olarak, hiçbir şey geliştiricinin SKIP başlığından farklı olan bu şemaya göre kendi orijinal başlığını oluşturmasını engellemez.

S-HTTP (Güvenli HTTP), Enterprise Integration Technologies (EIT) tarafından özel olarak geliştirilmiş bir

Web'e özel güvenli HTTP protokolü. S-HTTP protokolü, yalnızca Web Sunucusu HTTP belgeleri için güçlü kriptografik koruma sağlar ve OSI modelinin uygulama katmanında çalışır. Bu özellik S-HTTP protokolü onu bağlantı güvenliğini sağlamak için kesinlikle özel bir araç yapar ve sonuç olarak diğer tüm uygulama protokollerini (FTP, TELNET, SMTP, vb.) korumak için kullanılamaz. Ayrıca, mevcut hiçbir

ana web tarayıcılarının günü (ne Netscape Navigator 3.0, ne de Microsoft Gezgini 3.0) desteklenmiyor

Bu protokol kullanılır.

SSL (Güvenli Yuva Katmanı) - bir oturum üzerinde çalışan evrensel bir bağlantı güvenlik protokolü olan Netscape'in geliştirilmesi OSI katmanı... Açık anahtar kriptografisini kullanan bu protokol, bugün bizim görüşümüze göre, herhangi bir uygulama protokolünü (DNS, FTP, TELNET, SMTP, vb.) kullanarak herhangi bir bağlantıyı dinamik olarak korumanıza izin veren tek evrensel araçtır. Bunun nedeni, S-HTTP'den farklı olarak SSL'nin ara OSI oturum düzeyinde (taşıma - TCP, UDP - ve uygulama - FTP, TELNET, vb. arasında) çalışmasıdır. Bu durumda, sanal bir SSL bağlantısı oluşturma işlemi, daha sonra SSL bağlantısının aboneleri tarafından şifreleme için kullanılan kriptografik olarak güçlü bir oturum anahtarı oluşturmanıza izin veren Diffie ve Hellman şemasına (madde 6.2) göre gerçekleşir. iletilen mesajlar... SSL artık HTTP bağlantıları için, yani Web sunucularının güvenliğini sağlamak için resmi güvenlik standardı olarak pratik olarak oluşturulmuştur. Elbette Netscape Navigator 3.0 ve garip bir şekilde Microsoft Explorer 3.0 (Netscape ve Microsoft arasındaki şiddetli tarayıcı savaşını hatırlayın) tarafından destekleniyor. Elbette bir Web sunucusuna SSL bağlantısı kurmak için SSL'yi destekleyen bir Web sunucusuna da ihtiyacınız var. Web sunucularının bu tür sürümleri zaten mevcuttur (örneğin, SSL-Apache). SSL protokolü ile ilgili konuşmanın sonunda şunu belirtmek gerekir. sonraki gerçek: ABD yasaları yakın zamana kadar anahtar uzunluğu 40 bitten fazla olan kriptosistemlerin dışa aktarılmasını yasaklıyordu (son zamanlarda 56 bite yükseltildi). Bu nedenle tarayıcıların mevcut sürümlerinde tam olarak 40 bitlik anahtarlar kullanılmaktadır. Kriptoanalistler, deneyler yoluyla mevcut sürümde SSL protokolü 40 bitlik bir anahtar kullanarak şifreleme, ağ üzerinden iletilen mesajlar için güvenilir bir koruma değildir, çünkü basit bir aramayla (240 kombinasyon) bu anahtar 1,5 (Silicon Graphics süper bilgisayarında) ile 7 gün (120 iş istasyonu ve birkaç mini bilgisayar).

Dolayısıyla, bu güvenli değişim protokollerinin, özellikle SSL'nin (tabii ki 40 bitten daha uzun bir anahtar uzunluğuna sahip) yaygın olarak kullanılmasının, her türlü uzaktan kumandanın önüne güvenilir bir bariyer koyacağı açıktır.

Ağ saldırılarına karşı koruma

Bir ağ saldırısı, belirli bir ağ üzerinde kontrol elde etmeyi amaçlayan bir siber suçlu tarafından yapılan bir eylemdir. idari haklar... Bir bilgisayar korsanının nihai görevi, siteleri ve sunucuları istikrarsızlaştırmak, devre dışı bırakmak ve her ağ kullanıcısından kişisel veriler elde etmektir.

Ağ saldırıları ve savunma yöntemleri

Siber suçlular günümüzde aşağıdaki saldırı türlerini kullanmaktadır:

• posta bombardımanı;
• arabellek taşması;
• özel uygulamalar;
• ağ zekası;
• IP sahtekarlığı;
• Ortadaki adam;
• XSS saldırısı;
• DDOS saldırısı;
• kimlik avı vb.

Yerel alan ağına yapılan bu saldırılardan herhangi biri spesifiktir. Buna göre yöneticiler ağ saldırılarına karşı çeşitli savunmalar kullanırlar.

Örneğin, "Milebomber"ın özü, mağdurun e-postasına toplu mektup gönderilmesidir. Sonuç olarak, suçlu, posta kutusunun veya tüm posta sunucusunun çalışmasında bir başarısızlığa neden olur. Bu tür saldırılara karşı korunmak için BT uzmanları şunları kullanır: özel bir şekilde yapılandırılmış sunucu Uygulama, belirli bir adresten (belirlenen sınırın üzerinde) çok fazla mektup geldiğini "görürse", tüm mektupları otomatik olarak çöp kutusuna gönderir.

Saldırganlar sıklıkla arabellek taşması gibi bir yöntem kullanır. Belirli ağ ve yazılım güvenlik açıklarının varlığı nedeniyle, RAM sınırlarının ihlaline, özel bir uygulamanın erken sonlandırılmasına veya herhangi bir ikili kodun yürütülmesine neden olmayı başarırlar. Buna göre, ağ saldırılarına karşı koruma, güvenlik açıklarının bulunması ve ortadan kaldırılmasından oluşur.

Yerel ağlara yapılan saldırıların en yaygın yöntemi özel yazılımların kullanılmasıdır. Bunlar bilgisayar virüsleri, Truva atları, koklayıcılar ve rootkit'lerdir. Virüs, başka bir (genellikle oldukça yasal) programa yerleştirilmiş ve kullanıcının bilgisayarında belirli bir eylem gerçekleştiren belirli bir yazılımdır. Örneğin, dosyaları şifreler, kendisini BIOS'a kaydeder, imkansız indirme yazılım platformu vb. Truva atları, çalıştıran uygulamalardır. Özel fonksiyonörneğin, kullanıcının banka ve kredi kartlarının verilerini çalarlar, elektronik cüzdanlarına erişim sağlarlar. Sniffer'lar, bir bilgisayarın belirli bir siteye gönderdiği veri paketlerini yakalar. Bu sayede bir siber suçlu, İnternet bankacılığından giriş bilgilerini ve şifreleri ve diğer önemli bilgileri öğrenebilir.

Ağlardaki verileri korumak için, antivirüs yazılımı, güvenlik duvarları, şifreleme, sniffers ve anti-rootkit'ler.

ICS - ağ saldırılarına karşı kapsamlı bir koruma yöntemi

Şirketimiz, ağ saldırılarına karşı koruma sağlayan bir program olan ICS geliştiriyor. ICS, gizli verilerin sızmasını önleyen bir DLP modülünü, bir Suricata saldırı algılayıcısını ve bir Web Uygulaması Güvenlik Duvarını bütünleştirir. Ek olarak, gerekirse kullanıcılar, Kaspersky Lab veya Dr.Web for ICS'den Anti-Virüs ve Antispam satın alabilir.

İnternet Kontrol Sunucusu (şimdiki değeri) kapsamlı koruma hem tüm ağ hem de tek bir PC!

Bölüm 5. Ağ saldırılarına karşı koruma

Bilgisayar ağlarının bilgi güvenliği ve bireysel bilgisayarlar birleşik bir koruyucu önlemler politikasının yanı sıra yasal, organizasyonel ve mühendislik-teknik önlemler sistemi izlenerek elde edilir.

Ağda gerekli bilgi koruma seviyesini geliştirirken, personel ve yönetimin karşılıklı sorumluluğu, bireyin ve işletmenin çıkarlarına saygı, ile etkileşim kanun yaptırımı... Bilgi güvenliğinin sağlanması yasal, organizasyonel, idari ve mühendislik ve teknik önlemlerle sağlanır.

Kurumsal ağların güvenliğini sağlamak, ev kullanıcılarının bilgisayarlarını korumaktan farklıdır (her ne kadar bireysel iş istasyonlarını korumak ağ güvenliğinin ayrılmaz bir parçası olsa da). Ve her şeyden önce, çünkü bu konu (daha doğrusu, gerekir) konusunda yetkin uzmanlarla ele alınmaktadır. bilgisayar Güvenliği... Ayrıca, kurumsal ağ güvenliğinin temeli, son kullanıcılar için kullanıcı deneyimi ile teknisyenin gereksinimleri arasında bir uzlaşma sağlamaktır.

Bir bilgisayar sistemi iki açıdan görüntülenebilir: içinde yalnızca iş istasyonlarındaki kullanıcıları görmek ve yalnızca bir ağ işletim sisteminin işleyişini dikkate almak. Bir bilgisayar ağını, kablolardan bilgi geçen bir dizi paket olarak düşünmek de mümkündür.

Ağ sunumunun birkaç seviyesi vardır. Ağ güvenliği sorununa aynı şekilde, farklı seviyelerde yaklaşabilirsiniz. Buna göre koruma yöntemleri her seviye için farklı olacaktır. Seviyeler ne kadar çok korunursa, sistem bir bütün olarak o kadar güvenilir bir şekilde korunur.

Birincisi, en barizi ve pratikte en zoru, ağ saldırısını zorlaştıran davranışlarda personelin eğitilmesidir. Bu hiç de ilk bakışta göründüğü kadar kolay değil. İnternet kullanımına kısıtlamalar getirmek gerekir ve kullanıcılar genellikle bu kısıtlamaların ne olduğu hakkında hiçbir fikre sahip değildir (bu tür niteliklere sahip değildirler), bu nedenle mevcut yasakları mümkün olan her şekilde ihlal etmeye çalışırlar. Ayrıca, yasaklar açıkça formüle edilmelidir. Örneğin, yeterince güvenli protokole sahip istemci uygulamalarını kullanmama tavsiyesi, sıradan bir kullanıcı tarafından anlaşılma olasılığı düşüktür, ancak tavsiye, sizin uygulamanızda çalıştırılmaması tavsiyesidir. ICQ bilgisayar neredeyse kesinlikle anlayacak ve şiddetle protesto edecek. ICQ'nun çalışma zamanının mezarında bir çiçek olduğu söylenmesi tesadüf değildir.

Bilgi güvenliği önlemleri kompleksi, bir bilgi koruma stratejisine dayanmalıdır. Güvenilir bir güvenlik sistemi oluşturmak için gereken amaçları, kriterleri, ilkeleri ve prosedürleri tanımlar. İyi tasarlanmış bir strateji, yalnızca koruma derecesinden, boşlukların bulunmasından, güvenlik duvarlarının veya proxy sunucularının kurulduğu yerlerden vb. fazlasını yansıtmamalıdır. Ayrıca, güvenilir korumayı garanti etmek için prosedürleri ve bunların nasıl uygulanacağını açıkça tanımlaması gerekir.

Genel bilgi koruma stratejisinin en önemli özelliği güvenlik sisteminin incelenmesidir. İki ana alan ayırt edilebilir:

- koruyucu ekipmanın analizi;

- istila gerçeğinin belirlenmesi.

Bilgi güvenliği stratejisi ve bilgi güvenliği sistem mimarisi, bilgi güvenliği konsepti temelinde geliştirilmektedir. Güvenliği sağlamaya yönelik genelleştirilmiş yaklaşımın bir sonraki aşaması, içeriği en rasyonel araç ve kaynaklar, yaklaşımlar ve ele alınan soruna yönelik hedefler olan bir politika tanımlamaktır.

Üç aşamada bir koruma konseptinin geliştirilmesi tavsiye edilmektedir. İlk aşamada, korumanın hedef ayarı, yani hangi gerçek değerlerin, üretim süreçlerinin, programların, veri dizilerinin korunması gerektiği açıkça tanımlanmalıdır. Bu aşamada, koruma gerektiren bireysel nesnelerin önemine göre ayrım yapılması tavsiye edilir.

İkinci aşamada, korunan nesneye karşı işlenebilecek suç fiillerinin analizi yapılmalıdır. Ekonomik casusluk, terörizm, sabotaj ve hırsızlık gibi yaygın suçların gerçek tehlike derecesini belirlemek önemlidir. Ardından, korumaya ihtiyaç duyan ana nesnelerle ilgili olarak saldırganların en olası eylemlerini analiz etmeniz gerekir.

Üçüncü aşamanın ana görevi, belirli yerel koşullar, üretim süreçleri ve mevcut teknik koruma araçları dahil olmak üzere durumu analiz etmektir.

Koruma kavramı, maksimum koruma sağlayan organizasyonel, teknik ve diğer önlemlerin bir listesini içermelidir. olası seviye belirli bir artık risk altında güvenlik ve asgari maliyetler onların uygulanması için.

Koruma politikası (şimdiki değeri) ortak belge erişim kurallarını listeler, ilkenin nasıl uygulandığını tanımlar ve güvenlik ortamının temel mimarisini tanımlar. Kendi başına, bu belge genellikle birkaç sayfa metinden oluşur. Ağın fiziksel mimarisinin temelini oluşturur ve içerdiği bilgiler güvenlik ürünlerinin seçimini belirler. Bu durumda, belge şunları içermeyebilir: tam liste gerekli satın alımlar, ancak belirli bileşenlerin seçimi, hazırlandıktan sonra açık olmalıdır.

Güvenlik politikası, "davetsiz misafirleri dışarıda tutmak" basit fikrinin çok ötesine geçer. Bu, verilere erişimi tanımlayan çok karmaşık bir belgedir, “WWW'de gezinmenin doğası, parola veya şifreleme kullanımı, e-posta eklerine yönelik tutumlar, Java'yı kullanmak ve ActiveX ve daha fazlası. Bu kuralları bireyler veya gruplar için detaylandırır. Temel fiziksel korumayı unutmamalıyız - eğer biri sunucu odasına girip ana dosya sunucusuna erişebilirse veya ofisten cebinde yedek disketler ve disklerle ayrılabilirse, diğer tüm önlemler tamamen anlamsız ve aptal hale gelir.

Elbette, politika dışarıdan kişilerin ağa girmesine izin vermemeli, ancak aynı zamanda kuruluşunuzun potansiyel olarak vicdansız ve icracı olmayan çalışanları üzerinde kontrol sağlamalıdır. Herhangi bir güvenlik yöneticisinin sloganı “Kimseye Güvenme!”dir.

Bir politika geliştirmenin ilk adımı, hangi bilgi ve hizmetlerin hangi kullanıcılara sunulacağına, zarar olasılığının ne olduğuna ve halihazırda hangi korumanın mevcut olduğuna karar vermektir. Ek olarak, güvenlik politikası erişim hakları hiyerarşisini belirlemelidir, yani kullanıcılara yalnızca işlerini yapmak için gerçekten ihtiyaç duydukları bilgilere erişim verilmelidir.

Güvenlik politikası mutlaka aşağıdakileri yansıtmalıdır:

- erişim kontrolü (kullanıcının kullanmasına izin verilmeyen materyallere erişiminin yasaklanması);

- tanımlama ve kimlik doğrulama (bir kullanıcının durumunu kontrol etmek için şifreler veya diğer mekanizmaların kullanılması);

- muhasebe (ağdaki tüm kullanıcı eylemlerinin kaydı);

- denetim günlüğü (günlük, bir güvenlik ihlalinin ne zaman ve nerede meydana geldiğini belirlemenizi sağlar);

- doğruluk (herhangi bir kazara ihlale karşı koruma);

- güvenilirlik (bir kullanıcı tarafından sistem kaynaklarının tekelleştirilmesinin önlenmesi);

- veri alışverişi (tüm iletişimlerin korunması).

Erişim, güvenlik duvarı politikası tarafından belirlenir: sistem kaynaklarına ve ağdan gelen verilere erişim, işletim sistemi düzeyinde tanımlanabilir ve gerekirse üçüncü taraf güvenlik yazılımı ile desteklenebilir. Parolalar, güvenlik ortamınızın en değerli parçası olabilir, ancak yanlış veya yanlış kullanılırsa ağınızın anahtarı haline gelebilirler. Siyaset doğru kullanım Parolalar, geçici işçiler veya yükleniciler işi tamamladıktan sonra birinin geçerli bir parola kullanmaması için zaman bütçelerini yönetirken özellikle yararlıdır.

Bazı işletim sistemleri ayrıca kalifiye olma yeteneği sunar, yani şifreler için minimum zorluk seviyesi sunarlar. Bu sistemlerde, güvenlik yöneticisi basitçe "Kolayca tahmin edilen parolaları kullanmayın" kuralını ayarlayabilir. Örneğin, sistem sadece kullanıcının adını ve yaşını içeren bir şifreyi kabul etmeyecektir. Son kullanıcılar ise tüm uyarılara rağmen genellikle en basit yolu seçiyor. Çok fazla şifre ile uğraşmak zorunda kalırlarsa, aynı şifreyi kullanacaklar veya hatırlaması kolay şifreler oluşturacaklar veya daha kötüsü, bunları bir kağıda yazıp bir çekmecede tutacaklar, hatta yapıştıracaklar. monitörde şifre parçası.

Çok sayıda güvenlik cihazı, güvenlik duvarı, ağ geçidi ve VPN'nin (sanal özel ağ) yanı sıra çalışanlardan, ortaklardan ve müşterilerden gelen kurumsal verilere erişim talebinin artması, yönetilmesi zor olan karmaşık bir güvenlik ortamı yaratır. Listelenen cihazların çoğu için kuralların genellikle ayrı ayrı ayarlanması gerekir.

Büyük şirketler birleşmeye ve daha küçük şirketleri devralmaya devam ettikçe, savunma ortamı (ve bir bütün olarak ağ) giderek daha gelişigüzel ve katmanlı hale geliyor. Bu olduğunda, kuralları yönetmek ezici bir şekilde zorlaşır.

Güvenlik duvarları (hem donanım hem de yazılım), ağınıza dışarıdan kimin erişme hakkına sahip olduğunu belirlemenize olanak tanır. Tüm güvenlik duvarları belirli kuralları uygular; fark, yönetim arayüzü tarafından sağlanan ayrıntı düzeyi ve kullanım kolaylığında yatmaktadır. İdeal olarak, bir güvenlik duvarı üç şey yapabilir:

- sezgisel bir grafik arayüzden kurallar belirleyin;

- bireysel dosya ve nesnelerin düzeyine kadar erişimi kontrol edin;

- yönetimi basitleştirmek için kuralların toplu olarak uygulanması için dosyaları ve nesneleri gruplandırmak.

Ağ düzeyinde kurallar, korumayı çeşitli şekillerde yönetmek için kullanılabilir. En yaygın yollardan biri, kullanıcılar erişim düzeylerini sınırlamak için belirli bir dahili alt ağa atandığında adreslemedir. Paket filtreleme, gönderenin veya alıcının adresine bağlı olarak paketleri bazı sınırları geçtiği anda geçirmenize veya engellemenize olanak tanır.

Koruma sistemleri uygulama düzeyinde çalışır; bu durumda paketlerin yönlendirildiği sistem veya uygulamalar kullanıcıdan bir şifre ister, şifreyi doğrular ve daha sonra önceden tanımlanmış kurallara göre erişim izni verir.

Bu nedenle, zaten anladığınız gibi, herhangi bir korumanın temeli sistematik bir yaklaşımdır. Gerçekten etkili bir savunma oluşturmak için, bunun hakkında dikkatlice düşünmeniz gerekir. Ağa "bakan" herhangi bir bilgisayar için, kritik değerüç şey var:

- güvenlik duvarı;

- antivirüs;

- işletim sisteminiz için kritik güncellemeler.

Bu hem ev bilgisayarı hem de şirket ağına bağlı olanlar için geçerlidir. Bu noktaların her birine daha yakından bakalım.

5.1. güvenlik duvarı

Güvenlik duvarı, dışarıdan gelen izinsiz girişlere ve içeriden bazı bilgisayar korsanlığı türlerine karşı koruma sağlayan bir araçtır. Güvenlik duvarı, bir ağı davetsiz misafirlerden korumak için kullanılan bir donanım ve yazılımın birleşimidir. Güvenlik duvarlarını kullanarak yerel ağınızın güvenliğini önemli ölçüde artırabilirsiniz.

Güvenlik duvarı literatüründe, genellikle bastion host terimiyle karşılaşacaksınız. "Bastion" adı, kalenin duvarlarını tanımlayan bir ortaçağ kelimesinden gelir. Tabya, kalenin duvarları içinde saldırıları püskürtmek için tasarlanmış özel bir müstahkem yerdir. Bir kale bilgisayarı, özellikle ağ saldırılarına karşı savunmak için kurulmuş bir bilgisayardır.

Ağ tasarımcıları, ilk savunma hattı olarak kale bilgisayarlarını kullanır. Kale bilgisayarı, ağ ve İnternet arasındaki tüm iletişim için bir tür "damper" dir. Diğer bir deyişle, ağ üzerindeki hiçbir bilgisayar, kale bilgisayarı dışında İnternet'e erişemez ve diğer yandan, (ağ ile ilgili olarak) hiçbir harici kullanıcı, kale bilgisayarından geçmeden ağa erişemez.

Ağa tek bir bilgisayar üzerinden merkezi erişimi kullanarak, ağın güvenliğini sağlamak daha kolaydır. Ayrıca, geliştirici, ağdaki yalnızca bir bilgisayara İnternet erişimi sağlayarak, ağı korumak için doğru yazılımı seçmesini çok daha kolaylaştırır. Linux dahil çoğu Unix ortamı, bir kale bilgisayarı kullanmaya çok uygundur. Bir Unix ortamında, işletim sistemi zaten bir IP güvenlik duvarını koruma ve yapılandırma yeteneğine sahip olduğundan, bir iş istasyonu veya sunucu sınıfı makine maliyeti karşılığında bir kale bilgisayarı kurabilirsiniz. Bu şekilde, bir güvenlik duvarı yönlendiricisi kurmaktan tasarruf edebilirsiniz (yani, size birkaç bin dolara mal olabilecek ek ağ ekipmanı satın almamak). Ayrıca Unix ile ağ trafiğini özgürce yapılandırabilir ve görüntüleyebilirsiniz.

Çoğu şirket çalışanlarına İnternet erişimi sağlar. Çalışanların internete erişimi varsa, şirket internet bağlantısının brandmaz'er üzerinden gerçekleştiğinden emin olmalıdır. Bu bölümün başında, bir güvenlik duvarının, iki veya daha fazla ağın bağlantısını güvence altına almak için donanım ve yazılımın bir kombinasyonu olduğu söylendi. Güvenlik duvarı yeteneği sağlar Merkezi Yönetim ağ güvenliği. Genellikle sözde kale bilgisayarı temelinde inşa edilir.

Geleneksel güvenlik duvarı donanım ve yazılımına ek olarak, daha fazla güvenlik için, yönetici tarafından belirlenen kriterlere göre veri paketlerini filtreleyen donanım ve yazılım olan bir koruyucu yönlendirici kullanabilirsiniz. PC tabanlı veya Unix tabanlı bir koruyucu yönlendirici oluşturabilirsiniz.

Birbirine bağlı ağlarda izinsiz girişlere karşı ilk koruma katmanı, uygulama katmanından bağımsız olarak ağ ve veri bağlantısı katmanlarında paket filtrelemesi gerçekleştiren bir koruyucu yönlendiricidir. Bu nedenle, koruyucu yönlendirici, istemci veya sunucu uygulamalarını değiştirmeden ağdaki verilerin hareketini kontrol etmenizi sağlar.

Bu yönlendirici nispeten ucuz ve kullanımı kolay olmasına rağmen, yeterli düzeyde koruma sağlamaz. Başlıca avantajı, yalnızca ağ üzerinde çalışması ve taşıma seviyeleri ISO/OSI modelleri.

Ancak bu iki ucu keskin bir kılıçtır. Ağı istenmeyen dış izinsiz girişlerden gerçekten korumak için, bir güvenlik duvarı TCP / IP protokolünün her katmanını korumalıdır. Koruyucu yönlendiricilerin ana dezavantajı, verileri yetersiz verilere göre filtrelemeleridir. Ağ ve bağlantı katmanlarındaki kısıtlamalar yalnızca IP adreslerine, bağlantı noktası numaralarına ve TCP bayraklarına erişime izin verir. Bağlamsal bilgi eksikliği nedeniyle, yönlendiriciler UDP gibi protokollerle filtreleme sorunları yaşayabilir.

Koruyucu yönlendiricilerle çalışan yöneticiler, koruyucu yönlendiriciler de dahil olmak üzere çoğu paket filtreleme aygıtının denetim ve alarm mekanizmalarına sahip olmadığını hatırlamalıdır. Başka bir deyişle, yönlendiriciler, yöneticilerin farkında bile olmadan çok sayıda yönlendirici tarafından saldırıya uğrayabilir ve geri çevrilebilir. Bu nedenle yöneticiler, ağları korumak için güvenlik duvarlarıyla bağlantılı olarak ek olarak diğer paket filtreleme teknolojilerini kullanmalıdır.

Güvenlik duvarları, ISO/OSI modelinin sadece ağ ve veri bağlantı katmanlarında değil, daha üst katmanlarında da filtreleme yetenekleri sağladığı için kullanabilirsiniz. tüm bilgiler uygulama seviyesi. Aynı zamanda hem ağ hem de taşıma katmanlarında filtreleme gerçekleşecektir. Burada güvenlik duvarı, içinden geçen paketlerin IP ve TCP başlıklarını kontrol eder. Böylece güvenlik duvarı, önceden tanımlanmış filtreleme kurallarına göre paketleri bırakır veya izin verir.

Belirtildiği gibi, güvenlik duvarı ağların birbirine karşılıklı erişimini kontrol eder. Tipik olarak, yerel ağ ile İnternet arasında bir güvenlik duvarı kurulur. Dünyanın her yerinden kullanıcıların girmesini engeller özel ağ ve içinde depolanan verilere erişimi kontrol eder. Ancak, bir güvenlik duvarının (tüm satıcıların güvencelerine rağmen) sizin için her şeyi yapan ayrı bir donanım veya yazılım parçası olmadığını unutmamak önemlidir. Yalnızca, kayıtlı ağ kullanıcılarına herhangi bir özel rahatsızlık yaratmadan, ağın yetkisiz müdahalelerden korunmasını en üst düzeye çıkarmak için kapsamlı yetenekler sağlar. Mümkün olan en iyi güvenlik duvarını oluşturmak için ağınızın İnternet bağlantısını fiziksel olarak kesmeniz yeterlidir.

Bildiğiniz gibi, tüm ağ iletişimleri fiziksel bir bağlantı gerektirir. Ağ internete bağlı değilse, kullanıcıları yerel ağa asla sızamaz veya saldıramaz. Örneğin, bir şirketin yalnızca bir satış veritabanına erişim sağlayan ve dışarıdan girilmesi gerekmeyen bir dahili ağa ihtiyacı varsa, bilgisayar ağı fiziksel olarak dünyanın geri kalanından izole edilebilir.

Güvenlik duvarı ihtiyacı, bir şirket yerel ağını İnternet kullanarak dünyanın geri kalanına bağlamak istediğinde ortaya çıkar.

Çok çeşitli kullanıcıların gereksinimlerini karşılamak için üç tür güvenlik duvarı vardır: ağ katmanı, uygulama katmanı ve şema katmanı. Bu üç türün her biri, ağın güvenliğini sağlamak için farklı bir yaklaşım benimser. Her türü ayrı ayrı düşünün. Çözümünüz, ağ için gereken koruma türünü ve derecesini dikkate almalıdır ve bu, gerekli güvenlik duvarı tasarımını belirleyen şeydir. Çoğu güvenlik duvarının bir veya daha fazla şifreleme düzeyini desteklediğini unutmayın. Şifreleme, iletilen bilgileri müdahaleye karşı korumanın bir yoludur. Şifreleme yetenekleri sağlayan pek çok güvenlik duvarı, ağdan ayrılan verileri İnternet'e gitmeden önce otomatik olarak şifreleyerek korur. Ayrıca, yerel ağa göndermeden önce gelen verilerin şifresini otomatik olarak çözerler. Güvenlik duvarları tarafından sağlanan şifreleme özelliklerini kullanarak, birisinin yanlışlıkla araya girip okumasından endişe etmeden, uzaktaki kullanıcılara İnternet üzerinden veri gönderebilirsiniz.

Ağ katmanı güvenlik duvarı, bir paketin yerel ağa girmesine izin verilip verilmediğini belirlemek için paketlerin adreslerini kontrol eden koruyucu bir yönlendirici veya özel bilgisayardır. Daha önce belirtildiği gibi, paketler kaynak ve hedefin IP adreslerini ve güvenlik duvarının pakete erişimi kontrol etmek için kullandığı bir sürü başka bilgiyi içerir.

Örneğin, ağ katmanı güvenlik duvarınızı veya yönlendiricinizi, belirli bir rakibin sitesinden gelen tüm mesajları ve ağınızdan bir rakibin sunucusuna gönderilen tüm mesajları engelleyecek şekilde yapılandırabilirsiniz. Tipik olarak, bir koruyucu yönlendirici, paketleri engellenmesi gereken sitelerin (hedeflerin) IP adreslerini içeren bir dosya kullanarak belirli paketleri engellemek üzere yapılandırılır. Koruyucu yönlendirici, bu dosyada tanımlanan bir adresi içeren bir paketle karşılaştığında, paketi düşürür ve yerel ağa girmesini veya yerel ağa girmesini engeller. Ağ tasarımcıları genellikle bu yöntemi kara listeye alma yöntemi olarak adlandırır. Çoğu koruyucu yönlendirici yazılımı, harici sitelerden (diğer bir deyişle harici ağlardan) gelen mesajları kara listeye almanıza (engellemenize) izin verir, ancak ağınızdaki belirli kullanıcılardan veya bilgisayarlardan değil.

Koruyucu yönlendiriciye gelen bir paketin, bir e-posta mesajı, bir Telnet oturum açma talebi (uzak bir kullanıcının bilgisayarınıza erişme talebi) gibi herhangi bir miktarda bilgi içerebileceğini unutmayın. Koruyucu yönlendirici dosyanızı nasıl oluşturduğunuza bağlı olarak, ağ katmanı yönlendiricisi, her bir istek türü için farklı işlevler sağlayacaktır. Örneğin, yönlendiricinizi, İnternet kullanıcılarının Web sayfanızı görüntüleyebilecekleri, ancak sunucunuza veya sunucunuzdan dosya göndermek için FTP kullanamayacakları şekilde programlayabilirsiniz. Veya yönlendiricinizi, İnternet kullanıcılarının sunucunuzdan sunucularına dosya indirmesine izin verecek, ancak sunucularından dosyaların sizinkine indirilmesine izin vermeyecek şekilde programlayabilirsiniz. Tipik olarak, bir koruyucu yönlendirici, bir paketin içinden geçip geçmeyeceğine karar vermek için aşağıdaki bilgilere bakacak şekilde programlanır:

- paket kaynak adresi;

- paketin hedefinin adresi;

- veri oturumunun protokol türü (örneğin, TCP, UDP veya ICMP);

- talep edilen hizmet için kaynak bağlantı noktası ve hedef uygulama bağlantı noktası;

- paketin bir bağlantı isteği olup olmadığı. Ağ katmanı güvenlik duvarını doğru şekilde kurduysanız ve yapılandırdıysanız, çalışması oldukça hızlı olacak ve kullanıcılar tarafından neredeyse görünmez olacaktır. Tabii ki kara listedekiler için durum hiç de öyle olmayacak.

Uygulama Katmanı Güvenlik Duvarı genellikle Kişisel bilgisayar proxy sunucu yazılımını kullanan. Bu nedenle, genellikle bir proxy sunucusu olarak adlandırılır. "Proxy sunucusu" adı, "proxy" kelimesinden gelir - bir proxy, bir aracı.

Arabuluculuk sunucuları, yerel ağ kullanıcıları ile bağlı (harici) ağın sunucuları arasında iletişim sağlar. Başka bir deyişle, arabuluculuk sunucusu, iki ağ arasındaki veri aktarımını kontrol eder. Bazı durumlarda, birkaç ağ kullanıcısının tüm mesajlarını yönetebilir. Örneğin, bir aracı sunucu aracılığıyla İnternet'e erişimi olan bir ağ kullanıcısı, İnternet'teki diğer bilgisayarlara bir aracı sunucu olarak görünecektir (başka bir deyişle, kullanıcı, aracı sunucunun TCP adresini kullanmaktadır).

Ağda, bir aracı sunucu belirli bir ağda erişim sağlayabilir. sınıflandırılmış bilgi(örneğin, gizli bir veritabanı) müşterinin parolasını (düz metin olarak) iletmeden. Bir ağ katmanı güvenlik duvarı kullandığınızda, yerel ağınız İnternet'e bağlı değildir. Ayrıca, bir ağ üzerinden dolaşan veri akışı, bu ağların ağ kabloları birbirine bağlı olmadığı için, başka bir ağ üzerinden dolaşan veri akışına asla müdahale etmez. Arabuluculuk Sunucusu, paketin gelen veya giden veri içerip içermediğine bakılmaksızın bir ağdan gelen her paket için ayrı bir kopya iletir. Uygulama katmanı güvenlik duvarı, bağlantı isteğinin kaynağını etkin bir şekilde maskeler ve ağınızı, özel ağınız hakkında bilgi edinmeye çalışabilecek İnternet kullanıcılarından korur.

Arabuluculuk Sunucusu ağ protokollerini tanıdığı için, hangi hizmete ihtiyacınız olduğunu takip etmek için programlayabilirsiniz. Örneğin, bir proxy sunucusu, istemcilerin sunucunuzdan ftp dosyalarını kullanarak indirmesine izin verecek, ancak ftp dosyalarının sunucunuza indirilmesine izin vermeyecek şekilde yapılandırılabilir.

Arabuluculuk sunucuları, HTTP, Telnet, FTP gibi birçok erişim işlevi sağlar. Bir yönlendiriciden farklı olarak, farklı ağ hizmetleri için farklı Arabuluculuk Sunucuları kurmanız gerekir. Unix ve Linux tabanlı ağlar için en popüler proxy sunucuları TIS Internet Firewall Toolkit ve SOCKS'tur. Almak ek bilgi TIS İnternet Güvenlik Duvarı Araç Takımı Aracılık Sunucusu için, http://www.tis.com/docs/products/fivtk/index.html adresindeki Web sitesini ziyaret edin.

üzerinde bir sunucu kullanıyorsanız Windows tabanlı NT, Arabuluculuk Sunucusu, hem Microsoft Internet Information Server hem de Netscape Commerce Server tarafından desteklenir. Uygulama katmanı uzlaştırma sunucusunu yükledikten sonra, ağınızdaki kullanıcılar, uzlaştırma sunucusunu destekleyen istemci yazılımını kullanmalıdır.

Ağ tasarımcıları, bir proxy sunucusunu destekleyen HTTP, FTP ve diğerleri dahil olmak üzere birçok TCP / IP protokolü oluşturmuştur. Çoğu Web tarayıcısında, kullanıcılar tarayıcı yazılımı tercihlerini kullanarak bunları Arabuluculuk Sunucusunu destekleyecek şekilde kolayca yapılandırabilir. Ne yazık ki, İnternet protokollerinin geri kalanı proxy sunucularını destekleyemez. Bu gibi durumlarda, standart aracı protokollerle uyumlu olup olmadığına göre bir İnternet uygulaması seçmelisiniz. Örneğin, ağınızın tamamı SOCKS tabanlıysa, SOCKS proxy protokolünü destekleyen uygulamalar iyi bir seçimdir.

Uygulama düzeyinde bir güvenlik duvarı kurduğunuzda, ağ kullanıcılarınızın aracı hizmetlerini destekleyen istemci yazılımı kullanıp kullanmayacağını da değerlendirmelisiniz. Uygulama Katmanı Güvenlik Duvarı, sitenizdeki veri aktarımlarının türlerini ve miktarlarını kolayca izleme olanağı sağlar. Uygulama katmanı güvenlik duvarları, yerel ağ ile İnternet arasında belirli bir fiziksel ayrım oluşturduğundan, en yüksek güvenlik gereksinimlerini karşılar. Ancak, programın paketleri analiz etmesi ve erişim kontrolü hakkında kararlar vermesi gerektiğinden, uygulama katmanı güvenlik duvarları kaçınılmaz olarak ağ performansını düşürür. Başka bir deyişle, ağ katmanı güvenlik duvarlarından önemli ölçüde daha yavaştırlar.

Uygulama düzeyinde bir güvenlik duvarı kullanmayı seçerseniz, proxy sunucusu olarak daha hızlı bir bilgisayar kullanmalısınız.

İletişim katmanı güvenlik duvarı, her ikisinin de proxy sunucusu olması bakımından uygulama katmanı güvenlik duvarına benzer. Aradaki fark, bağlantı katmanı güvenlik duvarının proxy sunucusu ve istemci arasında iletişim kurmak için özel uygulamalar gerektirmemesidir. Belirtildiği gibi, uygulama katmanı güvenlik duvarları, FTP veya HTTP gibi her ağ hizmeti için özel proxy sunucu yazılımı gerektirir.

Bağlantı katmanı güvenlik duvarı, uygulamaların sağlanan hizmet hakkında hiçbir şey bilmesini gerektirmeden istemci ve sunucu arasında iletişim kurar. Başka bir deyişle, istemci ve sunucu, güvenlik duvarının kendisiyle iletişim kurmadan bağlantı katmanı güvenlik duvarı aracılığıyla iletişim kurar. Bağlantı katmanı güvenlik duvarları, bir işlemin yalnızca ilk aşamasını korur ve bir işlemin sonraki seyrine müdahale etmez.

Bağlantı katmanı güvenlik duvarlarının avantajı, hizmet vermeleridir. çok sayıda protokoller. Bildiğiniz gibi, uygulama katmanı güvenlik duvarı, güvenlik duvarının sağladığı her hizmet türü için ayrı bir uygulama katmanı aracısı gerektirir. Öte yandan, HTTP, FTP veya Telnet için bir bağlantı katmanı güvenlik duvarı kullanıyorsanız, her hizmet için mevcut uygulamaları değiştirmeniz veya yeni arabuluculuk sunucuları eklemeniz gerekmez. Bir iletişim katmanı güvenlik duvarı, kullanıcıların mevcut yazılımlarla çalışmasına olanak tanır.

Ayrıca, bağlantı katmanı güvenlik duvarları yalnızca bir Arabuluculuk Sunucusu kullanır. Tahmin edebileceğiniz gibi, tek bir Arabuluculuk Sunucusu kullanmak, birkaç tane kurmaktan çok daha kolaydır.

Öyleyse teoriden pratiğe geçelim. Tanınmış Agnitum Outpost Güvenlik Duvarı 2.1'i kullanarak bilgisayarınız için kişisel korumayı nasıl güçlendireceğinizi düşünün. Kişisel güvenlik duvarları ailesi arasında tartışmasız liderdir ve sayısız durumda kanıtlanmış bir sicile sahiptir. Sunucuda kurulu profesyonel bir güvenlik duvarından değil, kişisel korumadan bahsettiğimizi unutmayın. Yazarın bu programı sunucularda da kullanma tecrübesi olmasına rağmen, sunucu koruması hala diğer programlar için bir konudur.

Agnitum Outpost Firewall (http://www.agnitum.com/products/outpost /) bu sınıf programların en genç temsilcilerinden biridir. Ancak gençliğine rağmen Zone Alarm için bile ciddi bir rakip. Beta testinden henüz çıkmamış olan program, pek çok internet kullanıcısının bilgisayarına yerleşmiş ve görünen o ki çoğu bu yazılım ürününden ayrılmayacaktır.

Programın geniş popülaritesi oldukça anlaşılabilir: güçlü bir güvenlik duvarı, ek modülleri bağlama yeteneği ve sıradan bir kullanıcının ihtiyaç duyabileceği her şey, kurulum anından itibaren zaten oradadır ve ayrıca, bir seçim yaparken belirleyici anlardan biri. program Rus arayüzüdür.

Evinizin kapısındaki bir kilide benzetilebilir. Elbette, komşularınızın çoğuna evinizi istila edeceklerinden, bir şeyleri mahvedeceklerinden veya bir şeyler çalacaklarından korkmadan güveniyorsunuz. Genellikle sadece birkaçı güvenilmezdir. Ancak bölgeniz yoğun nüfusluysa güvenilmez insan sayısı artar.

İnternette de benzer bir durum görüyoruz, sadece komşu sayısı yüz milyonlarda. Bu sayıda insanın sadece küçük bir yüzdesi holigan eğilimlerine sahiptir, ancak bu zaten çok fazla. Outpost Firewall, bilgisayarınızın "kapılarını" kapatmakla kalmaz, aynı zamanda internette görünmez olmasını da sağlar. Normal şartlar altında bir bilgisayar, adresini ağ üzerinden gönderir. Evinizin plakası veya arabanızın plakası gibi. Bu adres diğer kullanıcılar tarafından görülebilir. Outpost, bilgisayar korsanları da dahil olmak üzere İnternette görünmez hale getirir: bilgisayarınızın ağa bağlı olup olmadığını belirleyemezler.

Outpost Güvenlik Duvarı'nın başlıca avantajları:

- kurulumdan hemen sonra bilgisayarınızı korur;

- yeni kullanıcılar için varsayılan ayarlara sahiptir;

- optimum koruma, kurulum sırasında otomatik olarak çalışır;

- ileri düzey kullanıcılar güvenlik duvarını istedikleri zaman yapılandırabilir;

- bilgisayarı İnternette görünmez yapar;

- korur açık portlar izinsiz girişlerden bilgisayar;

- kullanıcı bir liste atayabilir güvenilir uygulamalar;

- güvenlik duvarının işlevselliğini geliştirmek için eklentilerin kullanılması;

- bilgisayarı uzak bir siteden izlenmekten korur;

- gizli uygulamanın bilgisayar korsanına bir "yanıt sinyali" gönderme girişimi hakkında kullanıcıyı uyarır;

- Bir sistem güncellemesi durumunda işlevlerini koruyarak Windows'un en son sürümlerini destekler;

- çalışması için birkaç sistem kaynağı kullanır ve sisteminizin performansını önemli ölçüde etkilemez;

- Olay Günlüğü, sistemde meydana gelen herhangi bir olayı görmenizi sağlar;

- bilinen "güvenlik açığı testleri" başarıyla geçmiştir;

- çok dilli destek: Outpost Güvenlik Duvarı, Rusça da dahil olmak üzere 14 dilde teslim edilir.

Programın görünümü kesinlikle Windows uygulamaları arasında öne çıkmıyor, her şey katı. Program penceresi üç ana bölüme ayrılmıştır: en üstteki ana menü çubuğu; solda bağlantılar, günlük dosyaları ve eklentiler gibi ana bileşenler; sağda bir bilgi paneli var.

Outpost Firewall'u kurduktan hemen sonra "Seçenekler"e bakmalısınız. Orada programın işletim sistemi önyüklemesiyle birlikte başlatılıp başlatılmayacağını, ayarların bir parola ile korunup korunmayacağını belirleyebilir, İnternet'e erişim sağlaması gereken temel uygulamaları ekleyebilir, "etkin" uygulamalar için genel kurallar belirleyebilir, bunları anlayabilirsiniz. uygulama politikası ve ek modülleri yapılandırın / yükleyin.

Outpost Firewall pro altı ek modülle birlikte gelir - Reklamcılık, İçerik, DNS, Aktif İçerik, Dosya Koruması, Saldırı Algılama:

- Reklam. Modül, HTML sayfalarını izinsiz girişlerden temizlemeye yarar reklam afişleri, görevi, birçok kullanıcının görüşüne göre, kendileri için daha fazla trafik ısırmaktır. Mücadele yöntemi oldukça basittir: daha önce açıklanan satırı html kodundan kesin veya resmi kendiniz ayarlayabileceğiniz belirli bir boyuta kesin. Afiş hala rahatsız etmeye devam ederse, bunun için normal transferle gönderilebileceği özel bir sepet vardır;

-DNS. Bu modül, DNS adlarını Etkin İçerik modülünde daha sonra kullanmak üzere kaydeder;

- Aktif içerik. Bu modül, aşağıdaki öğelerin çalışmasını kontrol eder: ActiveX; Java uygulamaları Java Script ve VB Script'teki programlar; kurabiye; açılır pencereler; bağlantılar (yönlendirenler), yani belirli bir Web sayfasına gittikleri URL'yi alma yeteneği. Neyin yasaklanması veya izin verilmesi gerektiği size kalmış, ancak "Pop-up'lar" maddesine dikkat etmenizi şiddetle tavsiye ederim. Ancak, belirlediğiniz bir web sayfasının içeriği üzerinde ne kadar fazla kısıtlama olursa, onu yazarının planladığı biçimde görme şansınız o kadar az olduğunu unutmayın;

- Dosya koruması. Modül, posta kutunuza gelen ekli dosyaların kontrolünü düzenlemek için tasarlanmıştır. Dosyayı virüslere karşı taranacak şekilde ayarlayabilir veya Outpost Güvenlik Duvarından bir bildirim alabilirsiniz.

Her dosya türü için kendi kuralınızı oluşturabilirsiniz;

- Saldırı Dedektörü. Modül, bilgisayarınıza bir saldırı yapıldığında hangi koşullar altında uyarı verileceğini belirlemenizi sağlar. Üç ana seviye vardır:

paranoyak alarm seviyesi - tek bir port taraması bile tespit edildiğinde bir uyarı verilir;

normal alarm seviyesi - sistemde tanımlanmış numaralara sahip birkaç port veya port taranırsa (yani, sistemin bir bilgisayara saldırı olarak tanıdığı durumlarda) bir uyarı verilir; kayıtsız alarm seviyesi - kesin bir çoklu saldırı durumunda bir uyarı verilir. Geliştiricinin sitesinden program bileşenlerinin yeni sürümlerini indirmek için otomatik güncelleme sistemini kullanmak uygundur, böylece programın her zaman yeni bir sürümüne sahip olursunuz.

Bu nedenle, gelişmiş ayarlara, kullanışlı eklentilere ve bir Rus arayüzüne sahip aşılmaz bir kişisel güvenlik duvarına ihtiyacınız varsa, Outpost Firewall pro tam size göre.

Outpost Güvenlik Duvarı herkesle çalışır Windows sürümleri Windows XP dahil. Doğru, geliştirici şirket tüm zevk için 500 ruble talep ediyor, ancak bu umutsuzluk için bir neden değil. var ücretsiz sürüm biraz eksik olan bir program ilave fonksiyonlar ama yine de mükemmel kişisel güvenlik duvarı olmaya devam ediyor. Bu arada, bence 500 ruble. özellikle interneti aktif olarak kullananlar için bu programın satın alınması için çok gerçek bir miktar.

Şimdi bu programın kurulumuna bakalım.

Bazı ayarlar doğrudan ürün kurulumu aşamasında yapılır: Outpost, Ağ üzerinden veri alışverişi yapan programları arayacak ve onlar için ihtiyaç duyduğunu düşündüğü kurallar oluşturacaktır. Kullanıcıdan, onay kutusunu işaretleyerek bu koşulları kabul etmesi istenir. Ağa bağlı programların listesi, Ayrıntılar düğmesi tıklanarak görüntülenebilir.

Şekilde gösterilen durumda bu liste oldukça uzundur. Örneğin, örneğin Adobe Acrobat'ın benim bilgim olmadan güncellemeleri kontrol etmek için sunucusuna bağlanmasına kesinlikle gerek yoktur, bu nedenle bu ürünün önündeki bayrak işaretlenmemiş: ihtiyacınız varsa çevirin üzerinde. Kurulum aşamasında bile Outpost'un sistemde bulunan tüm posta ve FTP istemcileri tarayıcıları için kurallar oluşturmaya özen göstermesine sevindim.

Bir sonraki adım, varsa ağ bağlantıları için kuralları kabul etmektir. Bu konudaki merak, tanıdık "Daha Fazla" düğmesine basılarak giderilir.

Outpost'un görünüşte aşırı şüphesi anlaşılabilir: eğer bir casus yazılım modülü ("içeriden" hack'leri hatırlıyor musunuz?) Veya sisteme başka bir istenmeyen uygulama yerleşmişse, düşmanın ağ etkinliğini daha ilk aşamada yasaklamak çok daha kolaydır.

Şimdi ana pencerenin "Seçenekler" menüsünde "Genel" (F2) komutunu seçen güvenlik duvarının ana parametrelerini yapılandıralım. Varsayılan olarak, Outpost'un işletim sistemi her önyüklendiğinde açıldığı ve simgesini bildirim alanına yerleştirdiği "Normal" önyükleme modu seçilidir.

yüklemek için arka fon aynı adı taşıyan "İndir" bölümünün parametresine dikkat edilmelidir ve herhangi bir nedenle güvenlik duvarının otomatik olarak başlatılması istenmiyorsa, "Yükleme" seçeneğini etkinleştirmek yeterlidir.

Tüm program ayarları parola korumalı olabilir. Bu fırsatı ihmal etmenizi tavsiye etmem: bilgisayar güvenliği önemsizliğe müsamaha göstermez.

"Parola koruması" bölümünde, "Etkinleştir" seçeneğini seçin ve gerekli karakterleri girmek için "Ayarla" düğmesini kullanın.

Ardından, ayarlar penceresinde, program işleminin 5 modunun belirtildiği "Politikalar" sekmesine gidin. "İzin Ver" modu, açıkça yasaklanmamış, yani "Yasaklanmış Uygulamalar" listesinde olmayan tüm uygulamalara özgürlük verecektir; "Engelle" modunda, açıkça izin verilmeyen tüm uygulamalar yasaklanacaktır; "Reddet" modu, tüm uygulamalara ağ erişimini açık bir şekilde kapatacak ve "Devre Dışı Bırak" modu, Outpost Güvenlik Duvarı'nın uyanıklığını tamamen azaltacaktır.

Varsayılan olarak, öğrenme modu seçilidir: bu durumda, kullanıcıdan bir uygulama için hazır bir kuralı kabul etmesi her istendiğinde (örneğin, standart e-posta istemci), ya kendiniz böyle bir kural oluşturun ya da bu ya da bu uygulama için ağ etkinliğini koşulsuz olarak yasaklayın. Bu mod, kullanıcıların büyük çoğunluğu için mükemmeldir.

Şimdi uygulamaları ayarlama ve kurallar oluşturma hakkında. Uygulama ayarları, parametreler penceresindeki aynı isimli sekme ile kontrol edilir (Şekil 3). "Özel Düzey" bölümü, ağ etkinliğine izin verilen tüm uygulamaları listeler. Ancak, örneğin DWWIN.EXE için İnternet erişiminin etkinleştirilmesinin gerekli olup olmadığı konusunda genellikle şüpheler ortaya çıkar. "İzcinin gerçek adını" öğrenmek için, uygulamanın adını seçmeli, "Değiştir" düğmesine basmalı ve açılır menüden "Kural oluştur" komutunu seçmelisiniz.

Açılan pencerede DWWIN.EXE uygulamasının Microsoft'tan başka bir şey olmadığı söylendi. Uygulama hatası Raporlama, TCP üzerinden bilinen bir sunucuya bağlanma. Hata raporları göndermeden yapmayı tercih ederim. Bu nedenle DWWIN.EXE'nin başlatılmasını “Değiştir” ›“ Yasak ”komutuyla bu uygulamanın başlatılmasını yasakladım. Birçok program için Outpost, kutudan çıkan en uygun kurallara sahiptir. Örneğin, Outlook Express'i yüklemeye ve çalıştırmaya karar verirseniz, güvenlik duvarı, bu belirli posta istemcisi için hazır bir kurala dayalı olarak hemen bu uygulamaya yönelik etkinliğe izin vermeyi teklif edecektir.

Şimdi iki özel örnek kullanarak uygulamalar için kurallar oluşturmaya çalışalım. Ünlü eMule P2P istemcisini başlatırken, güvenlik duvarı kullanıcıdan uygulamayla ne yapacağını seçmesini ister. Bu durumda eşek, 4661 numaralı bağlantı noktası üzerinden 207.44.142.33 IP adresine bağlanmaya çalışır (Şekil 4.).

Bunun eMule değil, çevrimiçi olmasına izin verilen, ancak her adrese gitmeyen bir program olduğunu düşünelim. Ardından, yalnızca "Diğerleri" parametresini seçeceğiz ve "Tamam" düğmesine basacağız, ardından bu programın tam olarak ne yapmaya çalıştığının bir açıklamasını içeren bir kural oluşturmak için bir pencere açılacaktır.

Tabii ki, gösterilen katır etkinliği kesinlikle normaldir, ayrıca memnuniyetle karşılarız, bu nedenle "Bu verilere izin ver" i seçin, ardından bu özel uygulama türünü tanımlayan ve izin veren EMULE Kural # 1 gibi bir kuralımız olacak (Şek. 5).

Bir dahaki sefere, aktivite farklı türdeyse (başka bir uzak adres, protokol veya port), bu manipülasyonları tekrarlamanız gerekecek.

Ağa erişim talep eden ağ etkinliği kabul edilemezse (örneğin, uzak adresten memnun değiliz), o zaman kural düzenleme iletişim kutusunda "Engelle"yi seçin. Bir dahaki sefere (bizim örneğimizde, farklı, arzu edilen bir IP adresi olması durumunda), tam tersine böyle bir aktiviteye izin veren bir kural oluşturabiliriz. Sonunda, uygulama tipik etkinliğinin tüm türlerini tükettiğinde, bu uygulamayı tanımlayan tüm kuralları oluşturmuş olacağız.

Başka bir örnek: uyanık Karakol, bilgisayarın 224.0.0.22 uzak adresiyle sözde IGMP protokolünü kullanarak bağlantı kurmaya çalıştığı konusunda beni uyardı ve bunu yapma hakkını onaylamamı istedi. Bir yandan Outpost'a güvenmemek için hiçbir nedenim yok, diğer yandan zaten düşünülecek bir şey var.

Bu durumda, işletim sistemim yerel ev ağımdaki tüm bilgisayarları bilgisayarımı açma konusunda bilgilendirmek amacıyla "yayın" adı verilen bir paket gönderir, başka bir şey değil. Bir ağınız yoksa ve sağlayıcıyla bağlantınız doğrudan yapılıyorsa, bu paket ve mesaj özellikle sağlayıcıya yöneliktir. Başka bir deyişle, bir Windows etkinliğinden başka bir şey değildir. Kalıcı bir IP adresiniz varsa ve ağınızın “yayınlandığınızı” bilmesini istemiyorsanız, bu tür etkinlikleri yasaklamak daha iyidir. 224.0.0.22 adresine gelince, bu standart adres bu durumda Windows tarafından kullanılır: yönlendirme programı periyodik olarak istek gönderir çalışma Grubu belirli bir makinenin belirli bir yerel ağa ait olmasını istemek için.

Ağ parametrelerini yapılandırmaya geçelim. Sistem sekmesi. Outpost, varsayılan olarak, tüm NetBIOS bağlantılarına izin vererek yeni ağ bağlantısı ayarlarını otomatik olarak algılar ve uygular. Buna veya yerel adrese güvenip güvenmemek size bağlıdır ("Ağ Ayarları" bölümü).

"ICMP" ›" Parametreler "bölümü, hatalı olanlar da dahil olmak üzere çeşitli durumlarda iletilen ICMP mesajları için ayarları içerir. Ping ve traceroute dahil olmak üzere Ağın durumunu analiz eden programlar tarafından oluşturulurlar. İnternette normal çalışma için, üç tip ICMP mesajının ("yankı yanıtı", "alıcı kullanılamıyor" ve "datagram için zaman aşımı") alındığından ve iki ("alıcıya erişilemiyor" ve "yankı isteği" gönderildiğinden emin olmanız gerekir. ") ... Diğer mesajların alınmasını ve gönderilmesini kapatmanız önerilir - o zaman engellenirler.

Outpost varsayılan olarak bu ayarları kullanır, bu nedenle herhangi bir şeyi yeniden yapılandırmanıza gerek yoktur. Ancak deneyimli bir kullanıcıysanız ve güvenlik duvarı tarafından engellenen ICMP mesajlarının alınmasına veya gönderilmesine izin vermeniz gerekiyorsa, bunu ilgili ayarlar penceresinde tek bir tıklama ile kolayca yapabilirsiniz (Şekil 6).

Gizli mod varsayılan olarak etkindir ("İşletim modu" bölümü) ve genel kuralları düzenleme parametreleri aynı adı taşıyan bölümde bulunur. Benim düşünceme göre, geliştiriciler tarafından belirlenen genel kuralları değiştirmeye gerek yok.

Yukarıda bahsedildiği gibi Agnitum Outpost Firewall modüler bir yapıya sahiptir, yani bazı çalıştırılabilir modülleri bağlayabilme özelliğine sahiptir. Ana eklentilerin ayarlarını ele alalım.

"Etkileşimli Öğeler" modülü, istenmeyen ActiveX denetimlerini, Java uygulamalarını ve açılır pencereleri engelleyebilir (varsayılan olarak tümüne izin verilir). Ayarları çağırmak için adı vurgulayın bu modülün ve bağlam menüsünün "Özellikler" komutunu seçin (Şek. 7). Burada ayrıca istenmeyen URL'lerin çağrılmasını da yasaklayabilirsiniz: "İstisnalar" sekmesi ›"Ekle" düğmesi.

Attack Detector eklentisi varsayılan olarak etkindir ve ana ve en çok kullanılanlardan biridir. kullanışlı araçlar verilen güvenlik duvarı. Bağlam menüsünde "Parametreler" komutunu seçin ve Saldırı Dedektörü ayarları penceresini açın. Kaydırıcıyı kullanarak, programın bir uyarı vereceği üç alarm seviyesinden birini ayarlayın.

Varsayılan olarak, birden çok bağlantı noktası taranırken saldırının tanındığı düzey seçilir. "Saldırganı engelle", "Saldırganın alt ağını engelle" ve "DoS saldırısı tespit edilirse yerel bağlantı noktasını engelle" seçeneklerini işaretlemek gereksiz değildir. Bilgisayarınıza bağlanma girişimleriyle ilgili tüm bilgiler sağdaki bilgi panelinde görüntülenecektir. Uygulamadan iki örneğe daha yakından bakalım.

Outpost bağlantı isteklerini bildiriyor ancak saldırılar ve bağlantı noktası taramaları için sıfır değer gösteriyorsa endişelenmenize gerek yok - bu normal ağ etkinliğidir. Tabii ki, mesajda gösterilen adrese sahip yerel ağdaki bilgisayara bir virüs bulaşmış olabilir. Ama bu bir saldırı değil.

Ancak hayat her zaman bu kadar bulutsuz değildir: şek. 8. (programın önceki sürümünden ekran görüntüsü) gerçek bir RST saldırısının bir örneğini gösterir ve Outpost, saldırganın IP'si ve gerçek URL ile ilgili bilgileri anında görüntüler.

"Reklamcılık" modülünün ayarları, reklamları hem HTML satırlarına hem de afişlerin boyutuna göre engellemeyi mümkün kılar (varsayılan olarak her iki parametre de etkindir). Reklamlar için "Çöp Kutusu" aracı, sörf yaparken kullanışlıdır: belirli reklamlardan kalıcı olarak kurtulmak için istenmeyen bir başlığı bu çöp kutusuna sürükleyip bırakmanız yeterlidir.

Ayarlar penceresindeki "Genel" sekmesinde, banner'ları engellenmeyecek güvenilir sitelerin bir listesini ekleyebilirsiniz.

"İçerik" modülü, belirli İnternet sayfalarına yönelik yasağı "ince ayar yapmanızı" sağlar. "İçeriğe göre engelleme" sekmesinde, bu satırları içeren sayfanın tarayıcı tarafından görüntülenmemesi için "müstehcen" kelimeler girmek yeterlidir: çocuk seven ebeveynler için çok faydalı ...

"Web Sitelerini Engelleme" sekmesinde, ev sistem yöneticisi, ev sistemlerinin düşünmek istemediği bir grup yasak URL'yi girebilir.

Elbette böyle bir program, işin loglarının tutulacağı bir dergiye ihtiyaç duyar. Outpost's Log penceresi, güvenlik duvarı tarafından sağlanan güncel bilgileri görüntülemek için kullanılır.

"Günlüğü" çağırmak için ana pencerenin "Servis" menüsünü açmanız ve "Günlüğü Görüntüle" komutunu seçmeniz veya bilgi panelindeki "Günlüğü Göster" düğmesini kullanmanız gerekir.

Ayrıca, belirli bir dönem için yapılan çalışmalara ilişkin tüm raporlar görüntülenebilir: örneğin, hangi saldırıların gerçekleştirildiği (ve herhangi bir saldırının yapılıp yapılmadığı); Outpost'un uykusuz gözünün önünden hangi şüpheli paketler geçti vs.