Сетевая безопасность, часть 2 [APS как ловушка]

Главная - Компьютерные 2 января, 2012

Доброго времени суток дорогие читатели. Наконец-то я сел продолжить статью про APS (которую многие так долго и упорно требовали по средством формы обратной связи ;) ) и готов представить её Вам.

защита от взлома

Для тех кто еще не знает что за APS такое и с чем его едят настоятельно рекомендую ознакомиться с первой статьей под названием “Защита портов” ибо не ознакомившись с оной Вы рискуете не понять о чем пойдет речь т.к. в данном материале предполагается, что Вы уже установили программу, представляете зачем она нужна, имеете фаерволл и готовы заняться непосредственной её настройкой, а так же вниканием в суть и принципы работы.
Собственно, поехали.

Настройка APS.

В первую очередь программу надо настроить. Жмем “Сервис” – “Настройка” и, собственно, приступаем.
Переходим в “Общие” – “Интерфейс“. Устанавливаем там всё по Вашему вкусу или в соответствии с скриншотом ниже (увеличение по клику).

Идем дальше.
Если Вы обычный пользователь, то, думаю, Вам не нужны никакие оповещения по сети\email или запись в syslog, а посему снимите галочки в соответствующих пунктах в разделе настроек “Оповещение“. Тоже самое касается отчетов в разделе настроек “Отчеты” и протоколирования в разделе – кто бы мог подумать :) – “Протоколирование“.

Теперь переходим к настройкам имитации сервисов, но перед этим небольшой вагончик полезной теории, касающейся принципов работы.

Теория и принципы работы APS.

В главном окне программы есть такая вот табличка:

Что это за табличка?  Это список портов и названия вредоносного( не везде, но в большинстве своём) обеспечения (база данных). APS же в свою очередь наблюдает за портами и следит есть ли конкретная гадость используящая конкретный порт или не атакуется ли какой-нибудь порт (например, наиболее любимый хакерами 21-ый порт FTP-сервера) каким-нибудь гадким хакером Пупкиным. Проще говоря, принцип работы программы основан на прослушивании этих самых портов, описанных в базе данных. База данных содержит краткое описание каждого порта – краткие описания содержат или названия использующих порт вирусов, или название стандартного сервиса, которому этот порт соответствует. При обнаружении попытки подключения к прослушиваемому порту программа фиксирует факт подключения в протоколе, анализирует полученные после подключения данные и для некоторых сервисов передает так называемый баннер – некоторый набор текстовых или бинарных данных, передаваемых реальным сервисом после подключения, т.е. симулирует отклик и таким образом защищает Ваш компьютер и реальной атаки не получается. На имитации остановимся подробнее.

Группа параметров “Имитация сервисов” содержит настройки – чего бы Вы думали? :) , правильно, -  системы имитации сервисов. Система имитации может быть выключена (по умолчанию частично оно так и есть) и в этом случае APS не производит активного взаимодействия с атакующим и немедленно разрывает соединение с ним. При включении системы имитации APS может передавать атакующему описанные в базе портов блоки данных, которые содержат типовые отклики имитируемых сервисов (т.е., скажем, кто-то пытается пробиться на FTP-сервер на 21-ом порту, программа это видит и выходит на связь, передавая отклик аля “я вот FTP-сервер, да, я тут, я работаю, на те Вам отклик”, а в этот момент реальный FTP радуется своей жизни). Кроме того, можно включить и настроить режим передачи случайных данных – наличие в ответе APS случайной информации вводит в заблуждение сканеры сетевой безопасности, затрудняет и замедляет их работу. Кроме того, в настройках имитации сервисов TCP можно настроить режим удержания соединения – по умолчанию соединение разрывается сразу после завершения обмена с атакующим, но оно может удерживаться, что еще более существенно замедляет работу некоторых сканеров сетевой безопасности. Таким образом у Вас появляется тележка времени дабы сконфигурировать системы безопасности (в пользовательском случае – это фаерволл) так, чтобы никто с атакующего адреса к Вам не пробрался.

Фактически APS является ловушкой и средством конфигурирования и тестирования систем безопасности. Да, программа умеет блокировать работу сетевых червей и Backdoor модулей. Да, APS умеет разрывать соединения, подпихивать левые данные и тд и тп. Но! Не путайте APS с фаерволлом. Таки APS – это средство контроля за безопасностью, а не сама безопасность. Чтобы было понятнее – есть охранник у магазина, а есть дядя Вася, которому поручено следить за качеством работы этого охранника. Так вот попутно дядя Вася (раз уж он контролирует охранника, то должен знать кое что о принципах его работы, о безопасности, о типах угрозы и тд и тп) может отваживать левых личностей подальше от магазина и говорить охраннику, что мол этого дядьку не пускать – он пытался разбить витрину, но я отнял у него кирпич и, если он вдруг придет еще раз – стреляй на поражение.  Однако, если убрать охранника и оставить дядю Васю одного результаты будут плачевными ибо дядя Вася не имеет соотвествующей квалификации, а точнее имеет другую специальность, а еще точнее попросту не для того предназначен.

Подробнее о том зачем нужен APS читаем в прошлой статье.

Ладно, с теорией и принципами работы, будем считать, разобрались.

Заканчиваем настройку APS.

Возвращаюсь к настройкам имитации сервисов. Дабы не заниматься набором лишних букв просто выставляйте все так как указано на скриншотах(увеличение по клику).

Сервисы TCP:

Сервисы UDP:

С настройками будем считать покончено. Переходим к последнему этапу.

Горим!!! *паника*

Спокойствие, только спокойствие ©.

Как Вы наверное поняли речь пойдет о том, что же делать, когда APS выявил атаку на порт или использование порта каким-нибудь вирусом\червем. О подобном событии программа салютует восклицательным знаком в трее (там где часы) или всплыванием из оного (если Вы включили сие в настройках).

И так, что, собственно, делать.

Во-первых, не надо паниковать. Какой-то там вирус или хакер пупкин – это просто мелочи жизни, причем легко устранимые.
Во-вторых... Во-вторых, всё просто:

  • Смотрим что происходит, т.е. определяем кто творит злодеяния: вирус\троян\червь или хакер пупкин лезет к нам из вне. Выявляем подробности, мол что за порт, что за гадость, откуда, зачем почему и тд и тп.
  • Далее по обстоятельствам.
    Если это хакер\кто-то\что-то еще ломиться из вне, то смотрим лог (т.е. то куда он, собственно, записывает все данные о атаках и тд и тп) фаерволла и выясняем заблокировал ли он атаку. Если нет, то берем адрес с которого ломятся (адрес указывается APS-ом при атаке и в статистике) и добавляем этот адрес в черный список. Если да, то все равно поступаем аналогичным образом (на всякий пожарный :) ). Как вариант можно просто закрыть порт по средством все того же фаерволла. Тонкости закрывания портов и блокировки адресов специфичны для каждого фаерволла, т.е. описать настройки(куда тыкать) я не могу чисто физически. Если что – спрашивайте, что вспомню – подскажу.
    Если это кто-то от нас, т.е. где-то на компьютере уже есть троян\вирус\червь и он использует порт для своих злодеяний, то с помощью фареволла закрываем порт или запрещаем работать конкретной гадости (если она представляет собой exe-файл), а потом сканируемся на вирусы, spyware и тд и тп, находим заразу и устраняем её.
  • Универсальное решение – это отключить интернет и потом устранять проблему в тишине и покое.

Всё. Думали сложно? Ничего подобного.
Еще раз повторюсь, что наличие нормального фаерволла обязательно. О том, что такое фаерволл и зачем он нужен я писал в статье “Защищаемся от хакеров, червей и прочей шушеры“.

Послесловие.

Вот такие пироги.

Это не последняя статья в цикле по защите и безопасности в сетях и интернете. Есть еще много мыслей о статьях на эту тему как совсем простого уровня, так и посложнее.
Если есть вопросы, если что-то не получается или хотите дополнить – пишите или оставляйте комментарии.

Источник: sonikelf.ru

Еще о Сетевая безопасность, часть 2 [APS как ловушка]

Легальное продление Windows Vista
Если Вы вдруг (чего надеюсь не случилось) все таки поставили себе Windows Vista, но исключительно 30-дневную пробную версию и решили
Собираем компьютер своими руками” или “Подключение периферии?
Доброго времени суток, дорогие читатели. Предлагаем Вашему вниманию статью-продолжение-дополнение к некогда опубликованному нами материалу по сборке компьютера. Речь в данной
Заметки о x64. Часть 2
По сравнению с первой заметкой эта будет совсем небольшой. Пара слов о x64-системах Собственно, на днях таки поставил Adobe Photoshop CS4 (хотя
Образцы USB 3.0
Сравнительно недавно я делился с Вами добытой информацией о USB 3.0, а на днях сайт overclockers.ru дружелюбно сообщил о том,
И еще +1000
Буквально за два последних месяца (3-го октября 2009 г. на сайт зашло 947 человек, а 4-го – первая тысяча) посещаемость