Мережева безпека, частина 2 APS як пастка





Доброго часу доби дорогі читачі. Нарешті я сів продовжити статтю про APS (яку багато хто так довго і наполегливо вимагали по засобом форми зворотного зв’язку Мережева безпека, частина 2 APS як пастка ) І готовий представити її Вам.

Мережева безпека, частина 2 APS як пастка

Для тих хто ще не знає що за APS таке і з чим його їдять настійно рекомендую ознайомитися з першою статтею під назвою «Захист портів» бо не ознайомившись з оной Ви ризикуєте не зрозуміти про що піде мова т.к. в даному матеріалі передбачається, що Ви вже встановили програму, уявляєте навіщо вона потрібна, маєте фаєрвол і готові зайнятися безпосередньою її налаштуванням, а так само вниканием в суть і принципи роботи.

Власне, поїхали.

Налаштування APS.

В першу чергу програму треба налаштувати. Тиснемо «Сервіс» — «Налаштування» і, власне, приступаємо.

Переходимо в «Загальні» — «Інтерфейс«. Встановлюємо там все по Вашому смаку або у відповідності зі скріншотом нижче (збільшення по кліку).

Йдемо далі.

Якщо Ви звичайний користувач, то, думаю, Вам не потрібні ніякі оповіщення по мережі email або запис в syslog, а тому зніміть галочки у відповідних пунктах в розділі налаштувань «Оповіщення«. Теж саме стосується звітів в розділі налаштувань «Звіти» і протоколювання в розділі — хто б міг подумати Мережева безпека, частина 2 APS як пастка — «Протоколювання«.

Тепер переходимо до налаштувань імітації сервісів, але перед цим невеликий вагончик корисної теорії, що стосується принципів роботи.

Теорія та принципи роботи APS.

У головному вікні програми є така ось табличка:

Мережева безпека, частина 2 APS як пастка

Що це за табличка? Це список портів і назви шкідливого (не скрізь, але в більшості своїй) забезпечення (база даних). APS ж у свою чергу спостерігає за портами і стежить чи є конкретна гидоту використовує конкретний порт або не атакує чи який-небудь порт (наприклад, найбільш улюблений хакерами 21-ий порт FTP-сервера) яким-небудь гидким хакером Пупкіним. Простіше кажучи, принцип роботи програми заснований на прослуховуванні цих самих портів, описаних в базі даних. База даних містить короткий опис кожного порту — короткі описи містять або назви використовують порт вірусів, або назва стандартного сервісу, якому цей порт відповідає. При виявленні спроби підключення до прослуховують порту програма фіксує факт підключення в протоколі, аналізує отримані після підключення дані і для деяких сервісів передає так званий банер — деякий набір текстових або бінарних даних, переданих реальним сервісом після підключення, тобто симулює відгук і таким чином захищає Ваш комп’ютер і реальної атаки не виходить. На імітації зупинимося докладніше.

Група параметрів «Імітація сервісів» містить налаштування — чого б Ви думали? Мережева безпека, частина 2 APS як пастка , правильно, — системи імітації сервісів. Система імітації може бути вимкнена (за замовчуванням частково воно так і є) і в цьому випадку APS не виробляє активної взаємодії з атакуючим і негайно розриває з’єднання з ним. При включенні системи імітації APS може передавати атакуючому описані в базі портів блоки даних, які містять типові відгуки імітованих сервісів (тобто, скажімо, хтось намагається пробитися на FTP-сервер на 21-му порту, програма це бачить і виходить на зв’язок, передаючи відгук аля «я ось FTP-сервер, так, я тут, я працюю, на ті Вам відгук», а в цей момент реальний FTP радіє своєму житті). Крім того, можна включити і налаштувати режим передачі випадкових даних — наявність у відповіді APS випадкової інформації вводить в оману сканери мережевої безпеки, ускладнює і уповільнює їх роботу. Крім того, в налаштуваннях імітації сервісів TCP можна налаштувати режим утримання з’єднання — за умовчанням з’єднання розривається відразу після завершення обміну з атакуючим, але воно може утримуватися, що ще більш істотно сповільнює роботу деяких сканерів мережевої безпеки. Таким чином у Вас з’являється візок часу щоб конфігурувати системи безпеки (в користувальницькому випадку — це фаєрвол) так, щоб ніхто з атакуючого адреси до Вам не пробрався.

Фактично APS є пасткою і засобом конфігурації і тестування систем безпеки. Так, програма вміє блокувати роботу мережевих черв’яків і Backdoor модулів. Так, APS вміє розривати з’єднання, підпихати ліві дані і тд і тп. Але! Не плутайте APS з фаєрволом. Таки APS — це засіб контролю за безпекою, а не сама безпеку. Щоб було зрозуміліше — є охоронець біля магазину, а є дядько Вася, якому доручено стежити за якістю роботи цього охоронця. Так ось попутно дядя Вася (раз вже він контролює охоронця, то повинен знати дещо що про принципи його роботи, про безпеку, про типи загрози і тд і тп) може відваджувати лівих особистостей подалі від магазину і говорити охоронцеві, що мовляв цього дядька не пускати — він намагався розбити вітрину, але я забрав у нього цеглу і, якщо він раптом прийде ще раз — стріляй на поразку. Однак, якщо прибрати охоронця і залишити дядю Васю одного результати будуть плачевними бо дядя Вася не має відповідної кваліфікації, а точніше має іншу спеціальність, а ще точніше просто не для того призначений.

Докладніше про те навіщо потрібен APS читаємо в минулій статті.

Гаразд, з теорією і принципами роботи, будемо вважати, розібралися.

Закінчуємо настройку APS.

Повертаюся до налаштувань імітації сервісів. Щоб не займатися набором зайвих літер просто виставляйте все так як вказано на скріншотах (збільшення по кліку).

Сервіси TCP:

Сервіси UDP:

З настройками будемо вважати покінчено. Переходимо до останнього етапу.

Горимо !!! * Паніка *

Спокій, тільки спокій (с).

Як Ви напевно зрозуміли мова піде про те, що ж робити, коли APS виявив атаку на порт або використання порту яким-небудь вірусом хробаком. Про подібний подію програма салютує знаком оклику в треї (там де годинник) або спливанням з оного (якщо Ви включили це в настройках).

І так, що, власне, робити.

По-перше, не треба панікувати. Якийсь там вірус або хакер пупкин — це просто дрібниці життя, причому легко переборні.

По-друге .. По-друге, все просто:

Дивимося що відбувається, тобто визначаємо хто творить злодіяння: вірус троян черв’як або хакер пупкин лізе до нас із зовні. Виявляємо подробиці, мовляв що за порт, що за гидота, звідки, навіщо чому і тд і тп.

Далі за обставинами.

Якщо це хакер хтось щось ще ломитися із зовні, то дивимося лог (тобто те куди він, власне, записує всі дані про атаки і тд і тп) фаервола і з’ясовуємо заблокував він атаку. Якщо ні, то беремо адресу з якого ломляться (адреса вказується APS-ом при атаці і в статистиці) і додаємо цю адресу в чорний список. Якщо так, то все одно чинимо аналогічним чином (на всякий пожежний Мережева безпека, частина 2 APS як пастка ). Як варіант можна просто закрити порт по засобом все того ж фаервола. Тонкощі закривання портів і блокування адрес специфічні для кожного фаервола, тобто описати налаштування (куди тикати) я не можу чисто фізично. Якщо що — питайте, що згадаю — підкажу.

Якщо це хтось від нас, тобто десь на комп’ютері вже є троян вірус черв’як і він використовує порт для своїх злодіянь, то за допомогою фаєрвола закриваємо порт або забороняємо працювати конкретної гидоти (якщо вона являє собою exe-файл), а потім скануємо на віруси, spyware і тд і тп, знаходимо заразу і усуваємо її.

Універсальне рішення — це відключити інтернет і потім усувати проблему в тиші і спокої.

Все. Думали складно? Нічого подібного.

Ще раз повторюся, що наявність нормального фаервола обов’язково. Про те, що таке фаєрвол і навіщо він потрібен я писав у статті «Захищаємося від хакерів, черв’яків і іншої шушваль«.

Післямова.

Ось такі пироги.

Це не остання стаття в циклі по захисту і безпеки в мережах та інтернеті. Є ще багато думок про статті на цю тему як зовсім простого рівня, так і складніше.

Якщо є питання, якщо щось не виходить або хочете доповнити — пишіть або залишайте коментарі.