12 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Какие антивирусы используются в современных межсетевых экранах

Какие антивирусы используются в современных межсетевых экранах

Один в поле не воин: межсетевые экраны и антивирусы – братья навеки!

В наш век информационных технологий компьютер просто обязан быть подключенным к глобальной или, в крайнем случае, локальной вычислительной сети. Без этого он превращается или в печатную машинку, или в калькулятор

Сети – это источник информации. А ведь вычислительная техника сегодня применяется именно для получения и переработки информации. Но, как только пользователь выходит в сеть, он сталкивается с проблемами сетевой безопасности, с хакерами, вирусами, ошибками ПО, способными повлечь утечку ценной информации. И тут уж пользователю приходится вплотную познакомиться с огромным спектром программного обеспечения, защищающего его от всяких напастей: с антивирусными продуктами, межсетевыми экранами разных классов и мощностей, а также с тонкостями настройки браузеров, почтовых клиентов, с дисциплиной в сети (этого не закачивай, того не запускай, туда не ходи и т.п.).

Firewall – не панацея. Защита должна быть комплексной!

И вот пользователь (или администратор сети) решился себя защитить. Поставил себе на рабочую станцию (сервер) межсетевой экран (firewall), научился им пользоваться (а я должен заметить, что это очень непростой класс программ, требующий от пользователей некоторых знаний), настроил его, создал все необходимые правила. Но и этого мало. Допустим, от прямых хакерских атак, DoS-атак, от backdoor- и какой-то разновидности троянских программ вы в определенной степени защищены – но ведь это далеко не все!

Защита от хакеров более актуальна для серверов, оказывающих какие-либо услуги (хранение информации и предоставление ее пользователям, доступ к глобальной сети Internet и т.п.). Конечным же пользователем межсетевой экран может применяться для разграничения доступа различных приложений к ресурсам сети.

Наиболее актуальной проблемой для такого пользователя остаются вирусы, черви и троянские программы. По статистике антивирусных компаний, более 95% всех вредоносных программ, распространяющихся в глобальной сети составляют сетевые черви, из них 99% – почтовые.

В связи с тем что почтовые черви распространяются чрез электронную почту, практически все межсетевые экраны оказываются неэффективны. Откуда firewall’у знать: пользователь ли отправляет письмо – или же это червь рассылает себя. Некоторые администраторы почтовых серверов в борьбе с вирусами применяют самые кардинальные меры – почтовый сервер не пропускает файлы, имеющие запускные расширения (EXE, COM, PIF, BAT, CMD, SCR и т.п.). Но ведь это тоже не выход. Так, сетевой червь I-Worm.Lentin отправляет свои копии в ZIP-архиве (неужели теперь и архивы резать будем?).

Кроме того, чаще всего пользователи сами находят проблемы на свою голову: открывают файлы, приходящие по электронной почте невесть откуда (и нередко таящие за двойными расширениями тела червей), посещают сомнительные веб-сайты, закачивают и запускают разнообразные “ускорители интернета” или новые хранители экрана. Не зря ведь самым узким звеном в любой системе безопасности считается человек.

Некоторые межсетевые экраны имеют возможность запоминать информацию о приложении в момент создания правила для доступа этого приложения к ресурсам сети. При каждом повторном доступе производится проверка соответствия этой информации. Таким образом, в случае изменения приложения или используемых им модулей firewall выдаст предупреждение вроде: “Приложение … было модифицировано. Разрешить ему установить соединение?”. Такая возможность может оказаться очень полезной для конечного пользователя и при правильном использовании должна препятствовать доступу “троянизированных” приложений к ресурсам сети.

Все эти факторы расширяют функционал межсетевых экранов, дополняя его следующими возможностями:

  • защитой от DoS атак;
  • ограничением возможностей удаленного доступа к системным ресурсам компьютера;
  • разграничением доступа приложений к ресурсам сети;
  • детектированием почтовых и сетевых червей, создающих для распространения собственное соединение с удаленным ресурсом;
  • детектированием троянских программ, создающих собственное соединение для передачи данных;
  • детектированием backdoor-программ (приложений для удаленного доступа) использующих прямое соединение;
  • блокированием доступа “троянизированных” приложений к ресурсам сети.

Не антивирусом единым

Думаю, никого не надо убеждать в необходимости использования антивирусных продуктов. Вирусы, черви, троянские программы сопровождают электронно-вычислительную технику повсюду – даже независимо от наличия или отсутствия подключения к сети. И люди уже привыкли более или менее часто пользоваться антивирусами. В конце концов, пользователь не может (да и не должен) знать особые приметы и тонкости работы десятков тысяч вредоносных программ, которые уже детектируются и нейтрализуются антивирусными продуктами. Не станем обсуждать сейчас, какие антивирусы хороши, а какие плохи,- не в этом цель данной статьи. Если человек пользуется любым более или менее качественным антивирусным продуктом, обладающим необходимым набором модулей, и регулярно его обновляет – это уже неплохо.

Существуют два принципиально разных метода детектирования вредоносных программ антивирусными продуктами:

  • поиск известных вирусов по присутствующим в антивирусных базах вирусным сигнатурам;
  • поиск неизвестных вирусов по характерным для вирусов участкам кода.

Суть первого метода (поиск по сигнатурам) – в том, что антивирусные компании анализируют каждый (!) поступивший к ним вирус и добавляют соответствующую сигнатуру, которая будет обнаруживать только этот вирус. Для похожих вирусов (их семейств) выделяются также универсальные сигнатуры, способные обнаружить также и новые модификации данных вирусов. Для каждой антивирусной записи делается свой модуль лечения, благодаря которому антивирус сможет исцелить зараженный файл.

Читать еще:  Smart world что это за программа?

Преимущества данного метода очевидны: он практически не дает ложных срабатываний антивируса (при условии качественного добавления антивирусной записи), определяет каждый конкретный вирус и может его обезвредить (насколько это возможно в принципе). Но отсюда же выплывают и недостатки: невозможность обнаружения новых вирусов, необходимость постоянного обновления антивирусных баз.

Кардинально отличается от сигнатурного метода метод эвристического поиска. Эвристические анализаторы различных продуктов могут работать по-разному. Фактически каждый из них – это know-how той или иной компании. Но вся работа эвристических анализаторов сводится к одному: поиск последовательностей кода (исполняемых команд), характерных для того или иного типа вирусов.

Основной сложностью при реализации алгоритмов эвристического поиска является отсеивание ложных срабатываний. Вроде бы при детектировании вирусов все просто: если программа размножается – значит, это вирус. Остается только написать модуль, который сможет проанализировать предоставляемый код и с высокой долей вероятности определить, не обладает ли код “подозрительными” функциями.

С троянскими программами все намного сложнее. Зачастую даже специалисту по информационной безопасности, бывает тяжело сказать: является данная программа троянской или нет. По какому критерию программа относится к троянской: “если программа делает что-то, о чем пользователь не знает и чего не желает выполнять” или “если программа нарушает логику работы компьютера”. Согласитесь – определения весьма расплывчатые. А как же с этой проблемой справиться модулю эвристического поиска, не имеющему человеческого опыта и интеллекта?

Именно из-за описанных выше проблем эвристические анализаторы способны обнаруживать далеко не все вредоносные программы. Для некоторых типов вирусов этот показатель близок к ста процентам – для других же может колебаться в пределах 30-60% (для троянских программ этот показатель всегда ниже, чем для вирусов). Кроме того, эвристические анализаторы могут иногда ошибаться и обзывать вирусами вполне мирные и привычные нам программы – это называется ложным срабатыванием.

Антивирусные продукты, как правило, используют оба метода поиска вирусов, что несколько замедляет их работу, зато увеличивает количество детектируемых вирусов.

Описанные достоинства и недостатки определяют возможности антивирусных продуктов:

  • обнаружение и нейтрализация огромной базы (десятки тысяч) известных вирусов и вредоносных программ;
  • обнаружение средствами эвристического поиска подозрительных файлов;
  • нейтрализация/изолирование зараженных и подозрительных файлов;
  • обращение повышенного внимания пользователя на подозрительные вирусы файлы.

Давайте дружить семьями

Итак, подводим итоги. Одно средство защиты не способно перекрыть все секторы безопасности. Рядовой пользователь, не владеющий коммерческой или государственной тайной, при разумном подходе может довериться антивирусным продуктам и целиком на них положиться. Но в случае с корпоративными вычислительными сетями, берегущими свою информацию, картина совершенно иная. Вирус или вредоносная программа может быть написана специально для них. Учитывая, что злоумышленник может знать, какими антивирусами пользуется компания, он имеет возможность использовать те же программы, чтобы определить, обнаруживается написанный им вирус или нет. Если вирус обнаруживается, злоумышленник продолжает вносить в него необходимые изменения – до тех пор пока вредоносная программа не перестанет детектироваться. Таким образом, всегда остается ненулевая вероятность попадания на ваш компьютер троянской программы или вируса, не обнаруживаемого установленным у вас антивирусом.

Теперь о том, что касается межсетевых экранов. Можете ли вы, работая в глобальной сети Интернет или в вашей локальной сети и защищаясь только межсетевым экраном, быть уверенными, что от вас не уходит ценная информация? Однозначно нет. Зачастую вредоносные программы пересылают злоумышленнику похищенную информацию посредством тех же каналов и протоколов, которые вы сами обычно используете при обмене данными. То есть:

  • отправив письмо используемым вами почтовым клиентом;
  • открыв используемым вами браузером веб-страницу на специальном сайте и передав туда информацию;
  • отправив данные через IRC, ICQ или другие средства связи.

Какую же картину мы наблюдаем? Средства защиты обязательно должны комбинироваться. Каждый продукт должен отвечать за свой сектор комплексной системы защиты информации. Антивирусы пусть обнаруживают уже известные вирусы и обращают внимание пользователя на подозрительные файлы. Межсетевые экраны пусть разграничивают доступ приложений к локальным и глобальным сетям, а также отслеживают попытки “чужих” приложений обратиться к сети. Пользователь же, работающий с вычислительной системой, должен соблюдать основные принципы безопасной работы, придерживаться рекомендаций специалистов по информационной безопасности и помогать программам, защищающим его систему: обновлять их, следит за их работоспособностью, внимательно относится к поступающим сообщениями о подозрительных действиях. Администраторы, в свою очередь, обязаны максимально ограничивать возможность пользователя активизировать инфицированный или подозрительный файл.

Для корпоративных сетей система защиты информации еще более усложняется. В основном, это происходит из-за необходимости защиты не только и не столько рабочих станций, а еще и серверов различного назначения (почтовых, файловых, веб, внутренних баз данных и др.).

На рисунке ниже приведены основные методы проникновения вирусной угрозы и методы их пресечения. При таком подходе продукты, предназначенные для защиты информации, дополняют друг друга. Кроме того, желательно, чтобы на рабочих станциях и на серверах устанавливались антивирусные продукты различных разработчиков, поскольку чаще всего на маршруте своего следования файлы проверяются, как минимум, дважды – и, чем большим количеством различных антивирусов они будут проверенны, тем выше вероятность детектирования вируса.

Читать еще:  Iphone 4 не заряжается показывает молнию

Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке программных средств защиты информации. Как правило, требуется создание отдельной организационно-технической системы.

В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего устанавливаемого ПО. Программные средства должны удовлетворять возложенным на них задачам, техническим возможностям защищаемых ПК, а также грамотности пользователей в вопросах антивирусной/сетевой защиты.

Антивирусные программы и межсетевые экраны

Антивирусная программа (АП) – программа для обнаружения компьютерных вирусов, а также нежелательных программ и восстановления зараженных файлов, а также для профилактики – предотвращения заражения (модификации) файлов или операционной системы.

Первые антивирусные программы появились в 1984 года (первый вирус для персональных компьютеров Apple появился в 1977 году, и только в 1981 году появились вирусы, представляющие какую-либо угрозу).

Методы обнаружения вирусов АП:

  • 1. сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах;
  • 2. обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
  • 1 метод:

АП, анализируя файл, обращается к антивирусным базам АП. В случае соответствия какого-либо участка кода просматриваемого файла (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:

  • 1. Удалить инфицированный файл.
  • 2. Заблокировать доступ к инфицированному файлу.
  • 3. Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).
  • 4. Попытаться «вылечить» файл, удалив тело вируса из файла.
  • 5. В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы.

Вирусная база регулярно обновляется производителем антивирусов, пользователям рекомендуется обновлять их как можно чаще

Если программа пытается выполнить какие-либо подозрительные с точки зрения антивирусной программы действия, то такая активность будет заблокирована, или же антивирус может предупредить пользователя о потенциально опасных действиях такой программы.

В настоящее время подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.

Метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако такой метод даёт большое количество ложных срабатываний.

  • 1. Avast Antivirus Professional
  • 2. AVG Anti-Virus & Anti-Spyware
  • 3. Avira Antivir
  • 4. Dr.Web (4,1%)
  • 5. Eset Nod32 (7,5%)
  • 6. Kaspersky Anti-Virus (4,3%)
  • 7. Norton Anti-Virus
  • 8. Outpost Antivirus Pro
  • 9. Panda Antivirus

Бесплатные АП защищают систему не хуже, чем их платные аналоги. Единственное неудобство – это необходимость регистрации.

Бесплатные антивирусные программы:

  • 1. Avira Free AntiVirus:
  • 2. Avast Free Antivirus
  • 3. AVG Free Antivirus
  • 4. Panda Active Scan Free Antivirus
  • 5. PC Tools
  • 1. ни одна из существующих антивирусных технологий не может обеспечить полной защиты от вирусов;
  • 2. АП забирает часть вычислительных ресурсов системы, нагружая центральный процессор и жёсткий диск;
  • 3. Антивирусные программы могут видеть угрозу там, где её нет (ложные срабатывания);
  • 4. Антивирусные программы загружают обновления из Интернета, тем самым расходуя трафик.
  • 1. Применение комплекса антивирусных программ
  • 2. Необходимо периодическое обновление антивирусных программ
  • 3. Проверка информации поступающей извне.
  • 4. Периодическая проверка всего компьютера.
  • 5. Осторожность с незнакомыми файлами. Их действия могут не соответствовать названию.
  • 9. Межсетевые экраны

Межсетевомй экрамн – комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Межсетевые экраны также называют:

  • 1. Брандмамуэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».
  • 2. Файрвомл, файервомл — образованo транслитерацией английского термина firewall, эквивалентного термину межсетевой экран, в настоящее время не является официальным заимствованным словом в русском языке;
  • 3. Информационные мембраны (редко используется).

Аппаратный брэндмауэр – это просто некий ящик, включаемый между локальной и внешней сетями, позволяющий или запрещающий обмен данными на основании предопределенных правил;

Программный файрвол это программа, установленная на компьютере и делающая, в общем, то же самое. Преимущество последнего в том, что можно устанавливать правила в зависимости от программы, обменивающейся данными, а недостаток в том, что надежность программного брандмауэра зависит от того, насколько толково им управляет пользователь.

Основной задачей сетевого экрана является защита компьютерных сетей от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Сетевые экраны делятся на:

  • 1. традиционный сетевой – программа (или неотъемлемая часть операционной системы) на шлюзе (сервер, передающий трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
  • 2. персональный сетевой экран – программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
Читать еще:  Продавливается экран iphone 5s

Межсетевой экран может реализовать ряд политик доступа к сервисам по следующим принципам:

  • 1. Запретить доступ из Интернета во внутреннюю сеть и разрешить доступ из внутренней сети в Интернет.
  • 2. Разрешить ограниченный доступ во внутреннюю сеть из Интернета, обеспечивая работу только отдельных авторизованных систем, например информационных и почтовых серверов.

При работе с МЭ, прежде всего, необходимо установить, насколько «доверительной» или «подозрительной» должна быть система защиты. Правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

  • 1. Запрещать все, что не разрешено в явной форме.
  • 2. Разрешать все, что не запрещено в явной форме.

1. Отслеживанием всех подозрительных контактов. Какие-то программы с твоего компьютера могут пытаться отправлять некие данные в Интернет, а также получать оттуда информацию.

В ряде случаев – почтовая программа, мессенджер (ICQ, MSN) – это вполне нормально, но если совершенно неизвестная тебе программа вдруг пытается самостоятельно установить контакт с Интернетом – с высокой долей вероятности это троян.

  • 2. Блокированием всех портов, не нужных для работы, и анализом трафика, идущего через открытые порты. Как мы уже говорили, с Интернетом компьютер общается через порты. Через них же осуществляются атаки на компьютер. Файрвол стоит на страже этих портов, предупреждая тебя обо всех несанкционированных попытках проникновения.
  • 3. Наблюдением за выполняемыми (запускаемыми) программами.
  • 4. При первом запуске программы брандмауэр запоминает её данные. И если в момент очередного запуска выяснится, что программа вдруг изменилась, брандмауэр тебя об этом обязательно предупредит (если он настроен соответствующим образом).

Ведь если программу изменил не ты (например, поставив новую версию), это может означать, что программа заражена вирусом.

Наиболее популярны сегодня Outpost Firewall, Norton Personal Firewall, Zone Alarm, Kerio, McAfee, Kaspersky Anti-Hacker и другие.

Зачем нужен шлюзовый антивирус?

Антивирусная защита корпоративных сетей сегодня равна защите бизнеса. Угрозы из интернета – это реальность текущего дня. Управление бизнес-процессами, бухучет и операционная деятельность зачастую ведутся в сети в электронных системах. Работа онлайн с банками и налоговой – тоже обычное дело для современного предприятия. Подставить компанию под удар может любой сотрудник, который “снес” со своего компьютера антивирус или выключил его, чтобы тот не тормозил систему. Чтобы купировать проблему, нужен антивирус для шлюза. Он позволяет выявить угрозы на первом уровне защиты, еще до того, как они дотянутся до компьютеров локальной сети.

Чем полезен антивирус для шлюза и как он работает

Шлюзовый антивирус перепроверяет наличие вредоносного кода в любой точке его возможного входа: с рабочих станций, мобильных устройств, порталов, корпоративных почтовых систем и так далее. Проверку контролирует администратор и она не зависит от политик безопасности, созданных для пользователей.

Что делает антивирус для шлюза? Он перехватывает и анализирует данные (то есть трафик) из Интернета. Если данные выглядят подозрительно и представляют угрозу, шлюз блокирует их поступление на корпоративные компьютеры и другие устройства.

Шлюзовый антивирус обычно проверяет данные, поступающие по самым популярным сетевым протоколам, то есть HTTP, FTP и SMTP, защищая и веб-трафик, и файловые, и почтовые системы. Для большей надежности шлюз обычно имеет несколько антивирусных модулей, они же сетевые корпоративные антивирусы. Их можно использовать одновременно или по отдельности.

Сетевая антивирусная защита от Смарт-Софт

Универсальный шлюз безопасности (UTM) и система обнаружения (предотвращения) вторжений Traffic Inspector Next Generation.

Антивирусная проверка трафика в Traffic Inspector Next Generation:
технические характеристики и настройки >>

Антивирусная проверка в данном решении может быть реализована следующими способами:

  1. Платный “Антивирус Касперского”, установленный на аппаратной платформе Traffic Inspector Next Generation. Плагин поддерживает проверку HTTP-, HTTPS-трафика (требует настройки функционала SSL Bump). Взаимодействие данного плагина с прокси-сервером Squid осуществляется по протоколу ICAP (Internet Content Adaptation Protocol).
  2. Бесплатный антивирус ClamAV, также установленный на аппаратной платформе Traffic Inspector Next Generation. Поддерживает проверку HTTP-, HTTPS-трафика (требует настройки функционала SSL Bump). Взаимодействие данного плагина с прокси-сервером Squid осуществляется по протоколу ICAP через посредника – службу C-ICAP. ClamAV не поддерживается ICAP нативно.
  3. Внешний антивирус, работающий на стороннем хосте “Лаборатории Касперского”. Данный способ заключается в настройке веб-прокси Squid для взаимодействия с внешним антивирусом на удаленном хосте по протоколу ICAP.

Резюме

Работа шлюзовых антивирусов не влияет на работу антивирусов, установленных на компьютерах пользователей и не конфликтует с ними. Можно ли вообще отказаться от последних? Нет, ведь вредоносное ПО сотрудник может принести на “флешке”, и тогда антивирус, установленный на шлюзе, окажется беспомощен. Лучшее решение для защита корпоративных сетей – это совместная работа шлюзового антивируса и антивирусов, установленных на компьютерах.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Статьи c упоминанием слов: