Методи боротьби з цими загрозами
Фільтрація.Можна реалізувати систему фільтрів, що дозволяють відсікати вхідну кореспонденцію за адресою, темою чи змістом листа. Фільтри зазвичай розміщуються на стороні клієнта, і користувач сам може задавати необхідні параметри. Як приклад можна назвати системи Spam Buster виробництва компанії Contact Plus, MailWasher, Active Email Monitor (VicMan Software), eMailTrackerPro (Visualware), Spamkiller (Novasoft) та ін Крім фільтрації спаму такі програми можуть виконувати функції очищення поштової скриньки, перевірки пошти, читання заголовків листів і т.д. Система фільтрів встановлюється на поштовому сервері; в такому випадку нагадують спам листи відсікаються ще до потрапляння в скриньку користувача. Також може бути реалізований захист на основі «спам-листів», що містять список Internet-провайдерів, з адрес яких проводиться несанкціонована розсилка рекламного характеру. Прикладами можуть служити служба Mail-Filtering Service проекту Mail Abuse Prevention Project і Realtime Blackhole List, база даних по відкритих поштових серверів (під відкритістю в даному випадку розуміється відсутність адекватного адміністрування, що призводить до неконтрольованих розсилках спаму через такі поштові сервери).Огляди подібних продуктів регулярно публікуються. Створити систему антивірусного і антиспамового захисту загалом нескладно як для користувача загальнодоступній комунікаційного середовища, так і для ІТ-підрозділу організації, що розгорнула на своїй обчислювальної інфраструктурі корпоративну поштову систему. Після вибору і установки засобів антивірусного і антиспамового захисту найголовніше - їх акуратне і своєчасне оновлення.
Шифрування.Від фальшивих адрес можна захиститися за допомогою використання шифрування для приєднання до листів електронних підписів. Одним популярним методом є використання шифрування з відкритими ключами. Односпрямована хеш-функція листи шифрується, використовуючи секретний ключ відправника. Одержувач використовує відкритий ключ відправника для розшифровки хеш-функції і порівнює його з хеш-функцією, розрахованою за отриманим повідомленням. Це гарантує, що повідомлення насправді написано відправником, і не було змінено в дорозі. Найпопулярніші комерційні програми використовують алгоритми RC2, RC4, або RC5 фірми RSA. Від перехоплення можна захиститися за допомогою шифрування вмісту повідомлення або каналу, по якому він передається. Якщо канал зв'язку зашифрований, то системні адміністратори на обох його кінцях таки можуть читати або змінювати повідомлення. Було запропоновано багато різних схем шифрування електронної пошти, але жодна з них не стала масовою. Одним з найпопулярніших додатків є PGP. У минулому використання PGP було проблематичним, оскільки в ній використовувалося шифрування, підпадає під заборону на експорт із США. Комерційна версія PGP включає в себе плагіни для декількох популярних поштових програм, що робить її особливо зручною для включення до листа електронного підпису та шифрування листи клієнтом. Останні версії PGP використовують ліцензовану версію алгоритму шифрування з відкритими ключами RSA.
Спам.
Спам (eng. - spam) — масова розсилка кореспонденції, що засмічує звичайні поштові скриньки, політичною та іншою реклами або іншого виду повідомлень особам, які не висловили бажання її одержувати. Спам найчастіше використовується для реклами товарів і послуг. Спамери розсилають велику кількість рекламних повідомлень і наживаються на тих, хто на них відповідає. Крім того, зловмисники використовують спам для проведення фішингових атак і поширення шкідливих програм. За останні десять років сфера застосування спаму розширилася, а обсяг доставки - виріс значно. Спочатку спам розсилався безпосередньо на поодинокі адреси користувачів, і його було легко блокувати. З часом з'явилися високошвидкісні інтернет-канали, які дали швидку і дешеву можливість масово розсилати спам-повідомлення. В свою чергу виробники апаратного забезпечення навчилися оснащувати обладнання засобами захисту від несанкціонованого доступу, а спам-фільтри не ставали більш ефективними. Однак спам теж еволюціонував: удосконалилися не тільки способи розсилки, але і прийоми, що допомагають зловмисникам обійти спам-фільтри. Протистояння спамерів і тих, хто захищає інтернет-канали від повного засмічення, триває. Спамери отримують адреси е-пошти для своїх БД за доп різних методів. Наприклад: словник атак, е-мейл комбайн, реєстрація користувачів на відповідних сайтах. Словник атак. При використанні словника атак спамери використовують ПЗ для випадкового формування адрес е-пошти популярних поштових служб. Зазвичай атака по словнику буде підбирати слова, які могли б підійти під назвою е-пошти. Щоб уникати цього треба використовувати в адресі е-пошти спеціальні символи, такі як підкреслення або цифри. Е-мейл комбайн. Деякі спамери викор-ть спеціальне ПЗ під назвою «комбайн електронної пошти», які сканують веб-сторінки і шукають в них адреси е-пошти. Основними цілями для таких комбайнів є дошки оголошень і сайти соц. мереж. Третім способом є реєстрація е-пошти на сайтах, які тією чи іншою мірою пов’язані зі спамерами. Часто адреса, з якої прийшов спам не відповідає дійсності, тому для виявлення джерела необхідно переглядати повний заголовок поштового повідомлення. Способи поширення спаму:
- електронна пошта;
- миттєві повідомлення;
- блоги;
- SMS-повідомлення.
Засоби боротьби зі спамом:
- Превентивні заходи захисту:
- не слід публікувати свою адресу на загальнодоступних сайтах;
- ніколи не слід відповідати на спам або переходити за що містяться в ньому посиланнях, в тому числі і за посиланнями, призначеним нібито для відписки від розсилки;
- не варто реєструватися на підозрілих сайтах;
- вибираючи собі ім'я електронної пошти варто, за можливості, обирати довге й незручне для вгадування ім'я.
- Фільтрація
- автоматична фільтрація - програмне забезпечення для автоматичного визначення спаму (т. зв. Спам-фільтри). Воно може бути призначене для кінцевих користувачів або для використання на серверах;
- неавтоматична фільтрація - багато програм та поштові сервіси в інтернеті дозволяють користувачеві задавати власні фільтри. Такі фільтри можуть складатися з слів, або, рідше, регулярних виразів, залежно від наявності або відсутності яких повідомлення потрапляє або не потрапляє у сміттєвий ящик.
- Чорні списки - перелік фізичних або юридичних осіб, занесених у відповідний список, які з якихось причин визнані недружніми по відношенню до суб'єкта-упорядника списку. До них відносяться:
- списки IP-адреси комп'ютерів, про які відомо, що з них ведеться розсилка спаму;
- списки комп'ютерів, які можна використовувати для розсилки - «відкриті релеї» і «відкриті проксі», а також - списки «діалапу» - клієнтських адрес, на яких не може бути поштових серверів;
- чорні списки, запит до яких здійснюється через службу DNS. локальний список або список, підтримуваний кимось ще.
7. Віруси.
Вірус (eng. - virus) - це програма, яка реплікує саму себе. Вона поширюється шляхом копіювання самої себе на комп'ютер або впровадження комп'ютерного коду в програму або файли операційної системи. Віруси не завжди пошкоджують файли або комп'ютери, зазвичай вони впливають на продуктивність і стабільність системи. Щоб вірус міг заразити комп'ютер або почати поширюватися, зазвичай необхідно виконати будь-яку дію, наприклад відкрити заражене вкладення електронної пошти або відкрити вікно на зараженому сайті. Комп віруси створюються з різною метою: деякі просто, щоб доказати своє «Я», деякі з метою відкривання чорного ходу в комп’ютер, деякі з метою розподілених атак, а деякі навіть з метою здобуття розвідувальної інф-ї для спеціальних служб. Дуже часто для поширення вірусів використовуються переносні носії, заражені сайти та е-пошта. При е-пошті вірус є приєднаним файлом і може маскуватись напр. під фотографію або якусь програму. Після його активації такий поштовий вірус зчитує адресну книгу користувача і розсилається його друзям і знайомим. Відомі програмні віруси можна класифікувати за такими ознаками:
- середовищі існування
- способу зараження довкілля
- впливу
- особливостями алгоритму
У залежності від середовища перебування віруси можна розділити на:
- мережеві
- файлові
- завантажувальні
- файлово-завантажувальні.
За особливостями алгоритму віруси важко класифікувати за великої різноманітності. Найпростіші віруси - паразитичні, вони змінюють вміст файлів і секторів диска і можуть бути досить легко виявлені і знищені. У віруси-станції, звані хробаками, які поширюються по комп'ютерних мережах, обчислюють адреси мережних комп'ютерів і записують за цими адресами свої копії. Віруси-невидимки, звані «стелс-вірусами», які дуже важко виявити і знешкодити, так як вони перехоплюють звертання операційної системи до уражених файлів і секторів дисків і підставляють замість свого тіла незаражені ділянки диска. Найбільш важко знайти віруси-мутанти (поліморфні віруси), що містять алгоритми шифрування-розшифрування, завдяки яким копії одного і того ж вірусу не мають ні одного повторюється ланцюжка байтів. Є й так звані «квазівірусние» або «троянські» програми, які хоча і не здатні до само поширення, але дуже небезпечні, тому що, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків.
Віруси, що поширюються по електронній пошті.
Пристосувавшись до комп'ютерного оточенню, автори вірусів створили вірус, що поширюється по електронній пошті. Наприклад, велике враження справив в березні 1999 року вірус Melissa. Цей вірус розповсюджувався в документах Microsoft Word, що відправляються по електронній пошті, і діяв так: Хтось створив вірус у вигляді документа Word і відправив його до групи новин Інтернету. Користувач, що завантажив документ і відкрив його, автоматично запускає вірус. Потім вірус розсилає документ (і тим самим себе) в повідомленні електронної пошти перші 50 людям з адресної книги користувача. Повідомлення електронної пошти містить дружнє послання із зазначенням імені, тому отримувач відкриває документ, думаючи, що він безпечний. Вірус на зараженій машині створює 50 нових повідомлень. Заражаючи комп'ютери таким чином, вірус Melissa став самим швидко поширюється вірусом серед відомих у той час. Як уже згадувалося, під час вірусної атаки кілька великих компаній змушені були закрити свої системи електронної пошти. З'явився 4 травня 2000 вірус ILOVEYOU був ще простіше. У ньому була програма у вигляді вкладення. Спроба відкрити вкладення запускала програму вірусу. Вірус розсилав свої копії особам, зазначеним в адресній книзі зараженого комп'ютера, після чого починав псувати на ньому файли. Це найпростіше, що вірус може зробити. Така програма більше схожа на розповсюджуваного по електронній пошті троянського коня, ніж на вірус.
Тема 14. Проксі-сервери
1.Поняття кешуючих серверів. 2. Поняття трансляції адреса. 3. Проксі-сервери Лінукс. 4. Проксі-сервери Віндовс. 5. Конфігурування кешуючих серверів.
14.1 Поняття кешуючих серверів
Проксі-сервер - сервер (комп'ютерна система або програма) в комп'ютерних мережах, що дозволяє клієнтам виконувати непрямі (через посередництво проксі-сервера) запити до мережевих сервісів. Одним із шляхів використання проксі-сервера є забезпечення кешування даних, тобто повторне використання кеш-образів контенту, коли це можливо. Наявність проксі-сервера з кешем у комп'ютерній мережі дозволяє зберегти пропускну спроможність каналу зв'язку, знизити затримки в мережі, а також зняти навантаження із сервера, де розміщуються дані. Пропускна здатність зберігається завдяки тому, що для завантаження вмісту і отримання даних із веб-сервера потрібне тільки одне з'єднання між ним та проксі-сервером. Затримка знижується, тому що клієнт може швидше отримувати дані із найближчого проксі-сервера з кешем не з'єднуючись із Інтернетом. Крім цього, зменшується навантаження на сервер, що містить дані, оскільки безпосередньо до нього звертається менше клієнтів. В такому випадку проксі-сервер розміщуються не в локальні мережі користувачів, а у Інтернеті. Для клієнтів він видається звичайним сервером із даними. Запити до такого проксі перенаправляються на один або більше оригінальних серверів, які його обробляють. Відгук повертається, так ніби він прийшов прямо з веб-сервера. Найбільш важливим аспектом для кешуючих проксі-серверів є необхідність забезпечення того, щоб він кешував тільки те, що насправді можна кешувати. Динамічний, регулярно змінюваний вміст не кращий вибір для кешування, так як це може вплинути на стабільність програми, заснованого на цьому контенті. У випадку коли зберігається HTTP-контент, заголовки HTTP відображають можливість кешування контенту за допомогою покажчиків «cache».
Найчастіше проксі-сервери застосовуються для наступних цілей:
· Забезпечення доступу з комп’ютерів локальної мережі в Інтернет.
· Кешування даних: якщо часто відбуваються звернення до одних і тих же зовнішніх ресурсів, то можна тримати їх копію на проксі-сервер і видавати за запитом, знижуючи тим самим навантаження на канал у зовнішню мережу і прискорюючи отримання клієнтом запитаної інформації.
· Стиснення даних: проксі-сервер завантажує інформацію з Інтернету і передає інформацію кінцевому користувачеві в стислому вигляді. Такі проксі-сервери використовуються в основному з метою економії зовнішнього трафіку.
· Захист локальної мережі від зовнішнього доступу: наприклад, можна налаштувати проксі-сервер так, що локальні комп’ютери будуть звертатися до зовнішніх ресурсів тільки через нього, а зовнішні комп’ютери не зможуть звертатися до локальних взагалі (вони «бачать» тільки проксі-сервер).
· Обмеження доступу з локальної мережі до зовнішньої: наприклад, можна заборонити доступ до певних веб-сайтів, обмежити використання інтернету якимось локальним користувачам, встановлювати квоти на трафік або смугу пропускання, фільтрувати рекламу і віруси.
· Анонімізації доступу до різних ресурсів. Проксі-сервер може приховувати відомості про джерело запиту або користувача. У такому разі цільової сервер бачить лише інформацію про проксі-сервер, наприклад, IP-адресу, але не має можливості визначити дійсне джерело запиту. Існують також спотворюють проксі-сервери, які передають цільовим сервера неправдиву інформацію про справжній користувача.
· Обхід обмежень доступу. Проксі-сервери популярні серед користувачів невільних країн, де доступ до деяких ресурсів обмежений законодавчо і фільтрується.
· Проксі-сервер, до якого може отримати доступ будь-який користувач мережі інтернет, називається відкритим.
2. Поняття трансляції адреса.
NAT (від англ. Network Address Translation — перетворення (трансляція) мережевих адрес) — це механізм в комп'ютерних мережах TCP/IP, який дозволяє перетворювати IP-адресу транзитних пакетів. Механізм NAT визначається RFC 1631. Перетворення адрес методом NAT може здійснюватись практично будь-яким пристроєм маршрутизації — маршрутизатором, сервером доступу, міжмережевим екраном. Завдяки NAT можна, використовуючи одну або кілька зовнішніх IP-адрес, виданих провайдером, підключити до мережі практично будь-яку кількість комп'ютерів. Більшість маршрутизаторів дозволяють виконувати трансляцію адрес, завдяки чому їх можна використовувати для підключення невеликих мереж до інтернету, використовуючи одну зовнішню IP-адресу. Дві ключові проблеми постають перед Інтернетом:
- брак адресного простору
- ефективність маршрутизації.
Трансляція мережевих адрес дозволяє IP-мережам організацій виглядати зовні так, ніби вони використовують адресний простір, відмінний від того, який вони насправді використовують. Таким чином, NAT дає можливість організаціям з внутрішнім простором підключатися до Інтернету шляхом трансляції своїх адрес глобально. Також NAT надає більш гнучку стратегію для тих організацій, які часто змінюють своїх інтернет-провайдерів. Поняття, використовувані при механізмі NAT: внутрішня локальна адреса - IP-адреса, приписана станції у внутрішній мережі. Ця адреса може бути не зареєстрована, якщо вона не видана постачальником мережевого сервісу. Внутрішня глобальна адреса - зареєстрована IP-адреса, яку представляє одна або більше локальних IP-адрес для зовнішнього світу. Зовнішня локальна адреса – це IP-адреса зовнішньої мережі в такому вигляді, як вона виглядає для внутрішньої мережі. Не будучи обов'язково легальною адресою, вона береться з адресного простору. Зовнішня глобальна адреса - IP-адреса, приписана станції у зовнішній мережі її власником. Існує кілька варіантів побудови механізму трансляції протоколів і адрес із збереженням стану з'єднань.
- Існує поняття трансляції від джерела.
- Існує поняття трансляції по призначенню.
Трансляція адреси від джерела дозволяє адресувати внутрішні адреси у реальні. Трансляція по призначенню дозволяє робити перетворення адреси із зовнішньої у внутрішню.
3. Проксі-сервери Лінукс.
Проксі-сервер (англ. proxy server) — це програма або окремий комп'ютер, який спеціалізується на обробці запитів до мережі і збереженні результатів запитів в своєму локальному кешу. Весь трафік від користувача до серверів в інтернеті і назад йде через цей комп'ютер. Проксі-сервер економить час, який абонент витрачає на очікування відповіді з боку сервера (залежно від часу доби популярні сервери можуть бути перенагружені) і доставку інформації по глобальній мережі. Крім того, іноді проксі-сервер дозволяє отримати інформацію навіть з віддаленого сервера, недоступного зараз, завдяки тому, що ця інформація була раніше кешована цим проксі-сервером. Найвідомішими проксі-серварами під лінукс є :
- Squid
- 3proxy
- Apache Traffic Server
Squid (англ. squid - «кальмар») - програмний пакет, який реалізує функцію кешуючого проксі-сервера для протоколів HTTP, FTP, Gopher і (в разі відповідних налаштувань) HTTPS. Squid розроблений як програма з відкритим вихідним кодом (поширюється відповідно до GNU GPL). Всі запити виконує як один неблокуючий процес введення / виводу.Використовується в UNIX-подібних системах і в ОС сімейства Windows NT. Має можливість взаємодії з Active Directory Windows Server шляхом аутентифікації через LDAP, що дозволяє використовувати розмежування доступу до інтернет ресурсів користувачів, які мають облікові записи на Windows Server, також дозволяє організувати «нарізку» інтернет трафіку для різних користувачів. Використовується разом з движками Mediawiki на wiki хостингах. Використання кешуючого проксі-сервера стає вигідним приблизно з 2000 відвідувачами на добу. 3proxy – безкоштовний кросплатформенний проксі сервер. Основними відмітними особливостями є невеликий розмір (кілька сотень кілобайт) і переносимість (є версії для x86 і x64 платформ). Програма не має графічного інтерфейсу, її налаштування проводиться шляхом написання конфігураційного файлу. Існує можливість запуску програми як в консольному режимі, так і у фоновому режимі - у вигляді служби або демона.
Основні можливості:
- Підтримка протоколів HTTP, HTTPS, SOCKS, POP3, SMTP;
- Переадресація TCP і UDP трафіку (англ. Port mapping);
- Об'єднання проксі серверів в ланцюжок (англ. Proxy chaining);
- Обмеження пропускної здатності каналу;
- Контроль доступу (ACL);
- Ведення журналів.
Недоліки:
- Відсутність підтримки кешування веб-сторінок;
- Складність налаштування;
Останнім часом деякі антивірусні пакети некоректно розпізнають 3proxy як зловмисне програмне забезпечення ( троянська програма). Розробники антивірусів зазвичай мотивують це тим, що «хакери» без відома користувачів іноді встановлюють його на комп'ютери жертв і використовують для розсилки спама. Тим не менше, програма сама по собі не є шкідливою. Apache Traffic Server (TS) - модульний високопродуктивний веб-сервер і кешуючий проксі-сервер, який можна порівняти за можливостями з Nginx і Squid. Створений в Inktomi як комерційний продукт Inktomi Traffic Server. Пізніше Inktomi була придбана компанією Yahoo, і TS широко використовувався для основних веб-сервісів Yahoo (Sports, Mail, Finance). У липні 2009 Yahoo передала програму з вихідними текстами в проект Інкубатор Apache. 21 квітня 2010, статус Traffic Server був підвищений до повноцінного проекту (TLP). Продуктивність Traffic Server може досягати 200 тисяч запитів в секунду на невеликих об'єктах, що зберігаються в кеші. На виставці Cloud Computing Expo 2009, представники Yahoo заявили, що TS обслуговує близько 400 терабайт трафіку щодня, використовуючи для цього всього 150 серверів. Yahoo TS використовується для публікації статичного контенту (зображення, JavaScript, CSS, HTML) і передачі запитів на динамічний контент до класичних веб-серверів, таких як Apache HTTP Server.
4. Проксі-сервери Віндовс.
Для Windows систем найбільш поширеними проксі-серверами є: UserGate; Kerio Control; CCProxy; Microsoft Forefront; Microsoft ISA Server; WinGate; Eserv; Cool-proxy; HandyCache; та інші.
UserGate Proxy & Firewall
- Інтернет шлюз класу UTM для сімейств операційної системи Microsoft Windows. Основні функції програми - надання доступу в Інтернет, захист локальної мережі і внутрішніх сервісів, управління доступом користувачів до ресурсів зовнішніх мереж, ведення статистики.
Kerio Control
- Це програмний міжмережевий екран, розроблений компаніями Kerio Technologies і Tiny Software. Основними функціями програми є: організація безпечного користувача доступу в Інтернет, надійна мережева захист ЛВС, економія трафіку і робочого часу співробітників за рахунок обмеження нецільового доступу до різних категорій веб-контенту.
СCProxy
- Дуже швидкий, легкий і досить функціональний проксі-сервер. Якщо потрібно оперативно підняти проксі, то CCProxy - це саме те, що треба. Підтримка всіх необхідних протоколів (HTTP, HTTPS, FTP, Gopher, SOCKS4 / 5, Telnet і т.д.), переадресація портів, кеш, квоти по швидкості, контент-фільтри, а також кілька методів авторизації. Основні можливості CCProxy:
- підтримка HTTP, FTP, Gopher, SOCKS4 / 5, Telnet, Secure (HTTPS), News (NNTP), RTSP;
- розмежування прав користувачів
- веб фільтр
- контроль за трафіком
- вбудований кеш
- дозвіл діапазону Web/IP/MAC/IP
- повноваження каскадування
- автоматичне з'єднання і розрив зв'язку за розкладом.
Дата добавления: 2016-10-17; просмотров: 1136;