Авербах В.С. Учебное пособие-Введение в вычислительные сети
Подождите немного. Документ загружается.
передачи. На сегодняшний день оборудование Wi-Fi представлено в широком
ассортименте всеми известными производителями сетевого оборудования, такими
как Cisco, Linksys, D-Link, Asusteck, ZyXEL, Z-com и др.
Преимущества Wi-Fi:
позволяет развернуть сеть без прокладки кабеля, может уменьшить стоимость
развёртывания и расширения сети. Места, где нельзя проложить кабель, например,
вне помещений и в зданиях, имеющих историческую ценность, могут
обслуживаться беспроводными сетями.
Wi-Fi - устройства широко распространены на рынке. А устройства разных
производителей могут взаимодействовать на базовом уровне сервисов.
Wi-Fi сети поддерживают роуминг, поэтому клиентская станция может
перемещаться в пространстве, переходя от одной точки доступа к другой.
Wi-Fi - это набор глобальных стандартов. В отличие от сотовых телефонов,
Wi-Fi оборудование может работать в разных странах по всему миру.
Недостатки Wi-Fi:
Довольно высокое по сравнению с другими стандартами потребление энергии,
что уменьшает время жизни батарей и повышает температуру устройства;
самый популярный стандарт шифрования, Wired Equivalent Privacy или WEP,
может быть относительно легко взломан даже при правильной конфигурации (из-за
слабой стойкости ключа). Несмотря на то, что новые устройства поддерживают
более совершенный протокол Wi-Fi Protected Access (WPA), многие старые точки
доступа не поддерживают его и требуют замены. Принятий протокол WPA2 в июне
2004 сделал доступной более безопасную схему, которая доступна в новом
оборудовании. Обе схемы требуют более стойкий пароль, чем те, которые обычно
назначаются пользователями. Многие организации используют дополнительное
шифрование (например, VPN) для защиты от вторжения;
Wi-Fi имеют ограниченный радиус действия;
наложение сигналов закрытой или использующей шифрование точки доступа
и открытой точки доступа, работающих на одном или соседних каналах может
помешать доступу к открытой точке доступа. Эта проблема может возникнуть при
181
большой плотности точек доступа, например, в больших многоквартирных домах,
где многие жильцы ставят свои точки доступа Wi-Fi;
неполная совместимость между устройствами разных производителей или
неполное соответствие стандарту может привести к ограничению возможностей
соединения или уменьшению скорости.
В последние годы Wi-Fi технологии становятся все более совершенными и
качество их соединения и безопасность стремительно приближается к
возможностям обычного, широко используемого, проводного соединения.
182
14.СЕТЕВАЯ БЕЗОПАСНОСТЬ
14.1.Классификация сетевых угроз
Автономной локальной сети страшны лишь физические (или почти
физические) способы вторжения и вирусы, которые могут быть занесены с сменных
носителей информации. Сеть или компьютер, подключенные к Internet,
подвергаются гораздо большему количеству опасностей. Чтобы представить, от чего
защищаться, зачем и чем, попытаемся классифицировать эти угрозы. На рис.69
графически представлена классификация угроз.
Рис.69. Классификация сетевых угроз
Рассмотрим кратко каждую из этих угроз.
Хакеры. Предположим, Вы – обычный пользователь Internet. Дома имеете
беспроводную сеть из настольного компьютера и ноутбука. Вы интересны любому
хакеру своими регистрационными данными. Перехватив их, злоумышленник может
пользоваться сетью Internet за Ваш счёт. Если Вы пользуетесь какой – либо
183
Неосторожное
поведение пользователя
Черви и троянцы
Компьютерные вирусы
Хакеры
онлайновой платёжной системой, хакер постарается узнать Ваш пароль и
скопировать с Вашего компьютера файл с ключами для доступа к этой системе. Для
хакеров также может быть интересна Ваша электронная почта: некто хочет почитать
её или отправить письмо от Вашего имени. Некоторые пользователи Internet хранят
на жёстком диске незашифрованные данные к кредитной карточке, что тоже может
представлять интерес для хакера. Так что, даже если Вы простой пользователь, для
хакеров Вы тоже можете представлять интерес.
Сетевые черви и вирусы. Это вредоносные программы. Бывают вирусы,
распространяющиеся по сети, и те, что размножаются, инфицируя другие
программы. Вирус (почтовый червь) можно получить по электронной почте в виде
вложенного файла. Internet – червь может проникнуть в компьютер прямо из сети.
Почтовые черви очень изобретательны. Можно получить сообщение, вполне
безопасное с виду, например, маркированное как ответ на Ваше сообщение, или как
сообщение с почтового сервера. В письме может быть текст, предлагающий Вам
открыть интересное вложение, которое выглядит как файл .jpg. На самом деле это
может быть не картинка, а вредоносная программа. Черви, как и хакеры, применяют
методы социальной инженерии, прикидываясь полезными, интересными, нужными.
Поэтому, если у Вас есть хоть малейшее сомнение, не открывайте вложения
неожидаемых почтовых сообщений.
Вирус может быть разрушительным оружием для Вашего компьютера:
испортить или стереть данные, замедлить работу, удалить нужные файлы, украсть
информацию (переслать по определённому адресу) и т.д. Сетевые черви в
последнее время занимаются не похищением информации (хотя такое случается), а
превращением компьютеров в "зомби". Такие компьютеры могут использоваться
злоумышленниками, например, для рассылки спама и для организации масштабных
атак на определённые ресурсы. Подробней рассмотрим классификацию
компьютерных угроз в соответствии с моделью OSI.
14.2.Сетевые угрозы и некоторые уровни OSI.
Начнём с физического уровня. Этот уровень отвечает за физическую
передачу сигналов в среде передачи данных. Очевидной является возможность атак,
184
направленных на ухудшение рабочих характеристик среды: например, для
беспроводной сети это может быть создание помех, которые "забивают" полезный
сигнал.
На канальном уровне работают протоколы, обеспечивающие доступ к среде
передачи данных. Например, IEEE 802.3 – протокол Ethernet, обеспечивающий
метод доступа CSMA/CD. Сетевые адаптеры "слушают" среду, передают данные в
определённое время, не имеют права затягивать передачу. А если какой-нибудь
адаптер начнёт передавать данные в произвольном порядке, никого не слушая?
Получится вариант DOS – атаки, который работает на канальном уровне. Атаки,
использующие ошибки в стандартах и их реализациях, называются Denial of Service
("отказ в обслуживании"), или DOS-атаки.
На сетевом уровне, где работает протокол IP, возможны атаки, связанные с
неправильной маршрутизацией IP – пакетов. Транспортный уровень тоже уязвим:
протоколы TCP и UDP тоже могут быть атакованы. В основном, атаки связаны с
тем, что сообщения делятся на пакеты, передаваемые к узлу назначения. Если
компьютер – отправитель начнёт слать пакеты некоторого сообщения, но некоторые
пакеты не будут отправлены, то на компьютере – приёмнике система будет хранить
принятые пакеты в ожидании продолжения, которого не будет . Это тоже вариант
DOS – атаки. Для сеансового уровня характерна операция установления соединения
компьютеров, передающих и принимающих информацию. Известен вариант DOS –
атаки, называющийся SYN – Flood. Название пошло от названия служебного бита,
используемого при создании запроса на соединение. Получив запрос, сервер
отправляет ответ иждёт подтверждения приёма ответа, после чего начнётся обмен
данными. А если подтверждения нет, серверу приходится ждать несколько секунд.
Если злоумышленник сгенерирует несколько тысяч неправильных пакетов с
запросом на соединение,он сможет на время парализовать работу сервера. Если
работают много компьютеров – злоумышленников, то они выведут из рабочего
состояния даже крупный сервер, у которого не останется времени на обработку
запросов настоящих пользователей.
185
Атаки на более высоких уровнях OSI могут проводиться, например, с
использованием уязвимостей протоколов и программного обеспечения. Все эти
сетевые угрозы означают, что мы должны уметь защищаться. Защита состоит из
нескольких важных составляющих (рис.70).
Рис.70. Структура защитной системы компьютера.
Во-первых, это файрволл, или как его ещё называют, брандмауер. Это
программные комплексы, главным назначением которых является фильтрация
входящего и исходящего трафика, а также блокирование несанкционированного
доступа из сети к вашему ПК. С помощью файрволла можно контролировать
программы, которые пытаются получить доступ в Internet в своих собственных
целях, блокировать атаки из сети, а также блокировать загрузку ненужного
рекламного контента.
14.3.Антивирусы.
Краткий обзор антивирусных программ. На сегодняшний день перечень
доступных антивирусных программ весьма обширен. Они различаются как по цене
(от весьма дорогих до абсолютно бесплатных), так и по своим функциональным
возможностям. Наиболее мощные (и как правило, наиболее дорогие) антивирусные
Осведомлённый пользователь
Резервное копирование
Обновление системы
Файрволл Шифрование Антивирус
Компьютер
186
программы представляют собой на самом деле пакеты специализированных утилит,
способных при совместном их использовании поставить заслон практически
любому виду зловредных программ. Вот типовой (но, возможно, неполный)
перечень тех функций, которые способны выполнять такие антивирусные пакеты:
сканирование памяти и содержимого дисков по расписанию;
cканирование памяти компьютера, а также записываемых и читаемых файлов
в реальном режиме времени с помощью резидентного модуля;
выборочное сканирование файлов с измененными атрибутами;
распознавание поведения, характерного для компьютерных вирусов;
блокировка и/или удаление выявленных вирусов;
восстановление зараженных информационных объектов;
принудительная проверка подключенных к корпоративной сети компьютеров;
удаленное обновление антивирусного программного обеспечения и баз
данных с информацией о вирусах, в том числе автоматическое обновление баз
данных по вирусам через Internet;
фильтрация трафика Интернета на предмет выявления вирусов в
передаваемых программах и документах;
выявление потенциально опасных Java-апплетов и модулей ActiveX;
ведение протоколов, содержащих информацию о событиях, касающихся
антивирусной защиты.
К наиболее мощным и популярным на сегодняшний день (в России)
антивирусным пакетам относятся:
Антивирус Dr.Web. Доктор Веб - одна из самых известных и популярных
отечественных антивирусных программ. Имеет эвристический анализатор,
позволяющий с большой долей вероятности обнаруживать неизвестные вирусы.
Программа допускает автоматическую загрузку из Интернета новых баз данных
вирусов и автообновление самой программы, что позволяет оперативно реагировать
на появление новых вирусов.
Антивирус N3OD2. Очень быстро работающая антивирусная программа,
эффективно защищающая от всех видов вирусов и "шпионских" программ. NOD32
187
обладает всеми возможностями, характерными для современных средств защиты
компьютера, причем по некоторым очень важным параметрам NOD32 превосходит
абсолютное большинство популярных антивирусных программ. Это единственный
антивирус в мире, который уже более 7 лет не пропустил ни один активный на
момент тестирования вирус, а также не менее мощный и встроенный виртуальный
эмулятор для обнаружения полиморфных вирусов.
Norton AntiVirus. Это одна из самых известных в мире антивирусных
программ. Производится американской компанией Symantec. Данный антивирус
находит и удаляет вирусы и программы-шпионы, автоматически блокирует
программы-шпионы, не позволяет рассылать зараженные письма, автоматически
распознает и блокирует вирусы, программы-шпионы и троянские компоненты,
обнаруживает угрозы, скрытые в операционной системе, выполняет функцию
защиты от интернет-червей, функцию просмотра электронной почты.
Panda Antivirus. Panda Antivirus 2007 делает защиту ПК максимально
простой: антивирус автоматически блокирует и уничтожает все типы вирусов и
шпионов, так что можно пользоваться Интернетом и электронной почтой без риска
для безопасности. Продукт представляет легкое и высокоэффективное решение с
высокой скоростью работы.
Антивирус Касперского. Антивирус Касперского - одна из популярнейших и
наиболее качественных антивирусных программ. За счет специального алгоритма
работы у нее очень высокий процент определения вирусов, в том числе и еще не
известных. Антивирус Касперского умеет проверять на вирусы почтовые базы
данных и получаемые письма вместе с приложениями к ним, очень хорошо
определяет макровирусы, внедренные в документы Microsoft Office, а также
проверяет наиболее популярные форматы архивов.
Популярность перечисленных выше пакетов обусловлена прежде всего тем,
что в них реализован комплексный подход к борьбе с вредоносными программами.
Последние версии антивирусных программ содержат в своем составе также и
средства борьбы с вредоносными программами, проникающими из сети.
14.4.Технологии выявления и нейтрализации компьютерных вирусов.
188
Специалисты в области антивирусной защиты (в частности, Е. Касперский)
выделяют пять типов антивирусов, реализующих соответствующие технологии:
сканеры, мониторы, ревизоры изменений, иммунизаторы и поведенческие
блокираторы. Принцип работы антивирусного сканера состоит в том, что он
просматривает файлы, оперативную память и загрузочные секторы дисков на
предмет наличия вирусных масок, то есть уникального программного кода вируса.
Вирусные маски (описания) известных вирусов содержатся в антивирусной базе
данных сканера, и если он встречает программный код, совпадающий с одним из
этих описаний, то он выдает сообщение об обнаружении соответствующего вируса.
Мониторы. Развитие аппаратных возможностей компьютеров и появление
более совершенных операционных систем сделало возможным разработку второго
вида антивирусных программ - антивирусных мониторов. На данный момент
различаются три основных типа: файловые мониторы, мониторы для почтовых
программ и мониторы для специальных приложений. По своей сути все они
являются разновидностью сканеров, которые постоянно находятся в памяти
компьютера и осуществляют автоматическую проверку всех используемых файлов в
масштабе реального времени. Современные мониторы осуществляют проверку в
момент открытия и закрытия программы. Таким образом, исключается возможность
запуска ранее инфицированных файлов и заражения файла резидентным вирусом.
Для включения антивирусной защиты, пользователю достаточно загрузить монитор
при запуске операционной системы или приложения. Как правило, это делает сам
антивирусный пакет в процессе его установки
Ревизоры изменений. Третья разновидность антивирусов - ревизоры
изменений (integrity checkers). Эта технология защиты основана на том факте, что
вирусы являются обычными компьютерными программами, имеющими способность
тайно создавать новые или внедряться в уже существующие объекты (файлы,
загрузочные секторы). Иными словами, они оставляют следы в файловой системе,
которые затем можно отследить и выявить факт присутствия вредоносной
программы. Принцип работы ревизоров изменений основан на снятии оригинальных
"отпечатков" (CRC-сумм) с файлов, системных секторов и системного реестра. Эти
189
"отпечатки" сохраняются в базе данных. При следующем запуске ревизор сверяет
"отпечатки" с их оригиналами и сообщает пользователю о произошедших
изменениях, отдельно выделяя вирусоподобные и другие, не подозрительные,
изменения. В 1990 году первые вирусы-невидимки (stealth) Frodo и Whale чуть было
не поставили под сомнение эффективность этого типа антивирусов. Технология
работы вирусов-невидимок основывается на сокрытии своего присутствия в системе
при помощи подстановки в случае попытки проверки зараженных файлов и
загрузочных секторов антивирусными программами их "чистых" вариантов. Такие
вирусы перехватывают прерывания обращения к диску и, при обнаружении
попытки запустить или прочитать зараженный объект, подставляют его
незараженную копию. Несмотря на это, ревизоры "научились" обращаться к дискам
непосредственно через драйвер дисковой подсистемы IOS (супервизор ввода-
вывода), минуя системные прерывания, что позволило им успешно обнаруживать
даже вирусы-невидимки.
Иммунизаторы. Они делятся на два вида: иммунизаторы, сообщающие о
заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.
Первые обычно записываются в конец файлов (по принципу файлового вируса) и
при запуске файла каждый раз проверяют его на изменение. Недостаток у таких
иммунизаторов всего один, но он принципиален: абсолютная неспособность
обнаружить заражение вирусами-невидимками, принцип маскировки которых
описан выше. Второй тип иммунизаторов защищает систему от поражения каким-
либо определенным вирусом. Файлы модифицируются таким образом, что вирус
принимает их за уже зараженные. Например, чтобы предотвратить заражение COM-
файла вирусом Jerusalem достаточно дописать в его конец строку MSDos. Для
защиты от резидентного вируса в память компьютера заносится программа,
имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что
система уже заражена. Второй тип иммунизации не может быть признан
универсальным, поскольку нельзя иммунизировать файлы от всех известных
вирусов: у каждого из них свои приемы определения зараженности файлов. Кроме
того, многие вирусы не проверяют файлы на предмет присутствия в них своей
190