Your SlideShare is downloading. ×
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Antivirus and firewalls
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Antivirus and firewalls

1,913

Published on

Antivirus and firewalls

Antivirus and firewalls

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,913
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
41
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ ВАРНА ЦЕНТЪР МАГИСТЪРСКО ОБУЧЕНИЕ РЕФЕРАТTема: Антивирусен софтуер и защитни стениИзготвил: Проверил:инж. Владимир Борисов доц. д-р Стефан ДражевФ. Номер 9379
  • 2. I. ВИРУСИ.................................................................................................................................. 31. КАКВО Е КОМПЮТЪРЕН ВИРУС? ................................................................................................... 32. КАК ВИРУСИТЕ СЕ ПОЯВЯВАТ В КОМПЮТЪРНИТЕ СИСТЕМИ?............................................................... 33. КАК ВИРУСА ЗАРАЗЯВА СИСТЕМАТА? ............................................................................................. 44. КАКВО ПРАВИ ВИРУСЪТ? ............................................................................................................ 55. ВИСОКОТЕХНИЧНИ ЗАПЛАХИ ....................................................................................................... 5II. ТРОЯНСКИ КОНЕ ................................................................................................................... 61. КАКВО Е ТРОЯНСКИ КОН? ........................................................................................................... 62. ТРОЯНСКИТЕ КОНЕ НЕ СА ВИРУСИ ................................................................................................. 73. КАК ТРОЯНСКИТЕ КОНЕ СЕ ПОЯВЯВАТ В КОМПЮТЪРНИТЕ СИСТЕМИ? ................................................... 74. КАКВО ПРАВИ ТРОЯНСКИЯ КОН? .................................................................................................. 8III. АНТИВИРУСЕН СОФТУЕР ...................................................................................................... 91. ОБЩИ ХАРАКТЕРИСТИКИ ............................................................................................................ 92. МЕТОДИ ЗА ОТКРИВАНЕ НА ВИРУСИ............................................................................................ 102.1 РЕЧНИК НА ВИРУСИТЕ ....................................................................................................................... 104.1 ИДЕНТИФИЦИРАНЕ ПО ПОДОЗРИТЕЛНО ПОВЕДЕНИЕ ............................................................................ 114.2 ДРУГИ МЕТОДИ ............................................................................................................................... 113. DETECTION NAMES ................................................................................................................... 114. GENERIC DETECTION ................................................................................................................. 125. АНТИВИРУСНИ СОФТУЕРНИ ПРОДУКТИ ........................................................................................ 134.1 ESET NOD32 ANTIVIRUS .................................................................................................................. 134.2 KASPERSKI ....................................................................................................................................... 144.3 MICROSOFT SECURITY ESSENTIALS ....................................................................................................... 15IV. ЗАЩИТНИ СТЕНИ ............................................................................................................... 151. ОБЩИ ХАРАКТЕРИСТИКИ .......................................................................................................... 152. ВИДОВЕ ЗАЩИТНИ СТЕНИ ......................................................................................................... 164.1 ЗАЩИТНИ СТЕНИ НА МРЕЖОВО НИВО................................................................................................. 164.2 ЗАЩИТНИ СТЕНИ НА ПРИЛОЖНО НИВО............................................................................................... 174.3 ВЕРИЖНИ ЗАЩИТНИ СТЕНИ ............................................................................................................... 193. СОФТУЕРНИ ЗАЩИТНИ СТЕНИ .................................................................................................... 194. СОФТУЕРНИ ПРОДУКТИ ............................................................................................................ 214.1 F-SECURE INTERNET SECURITY 2011.................................................................................................... 214.2 MCAFEE INTERNET SECURITY .............................................................................................................. 224.3 NORTON INTERNET SECURITY.............................................................................................................. 234.4 ZONEALARM PRO ............................................................................................................................. 24V. РЕЧНИК НА ТЕРМИНИТЕ ..................................................................................................... 25
  • 3. I. Вируси 1. Какво е компютърен вирус?Компютърният вирус е програма проектирана да заразикомпютърна система, да създаде свое копие, използвайкисистемните ресурси, без знанието и позволението насобственика или потребителя. За да се репликира единвирус е необходимо компютърна програма да прочетенеговия код. Най-обичайният начин, по който това се случвае когато вирусът се прикрепи към друга програма, наричанахост програма(host program). Веднъж закрепил се вирусъткъм хост програма, компютърната система е заразена. Всекипът когато тази програма бъде изпълнявана, вирусътсъздава свое копие. Всяко новосъздадено копие на свой редсе прикрепя към друга хост програма и много скоро следмногократното изпълнение на заразените хост програми,цялата компютърна система буквално се пренасища с копияна вируса. Вирусите също така могат да предизвикатопределени действия, които да поразят ефективността нацялата система. 2. Как вирусите се появяват в компютърните системи?Вирусите използват така наречените трансмисионни вектори(transmission vectors) , за да попаднат в компютърнатасистема. Трансмисионните вектори могат да бъдат: Мултимедийни устройства (CD, DVD, USB, Floppy идр.) Интернет (e-mails, злонамерени уеб страници,сваляне на файлове и др.) Мрежова среда (споделени папки, публични мрежии др.)Създателят на вируса трябва да намери начин да внедривируса нелегално в потребителската система или да заблуди
  • 4. самия потребител сам да направи това. Някои от методите,които хакерите използват са: Да открият незащитена компютърна система инезабелязано да внедрят злонамерения софтуер Да открият слабост в една защитена компютърнасистема и да използват тази слабост Да заблудят потребителя, че вирусния файл енещо безобидноДори след като вирусът попадне в компютърната система,той трябва да изпълни своя код преди системата да се считаза заразена. Възможно е една компютърна система да имавирус, но той да не е успял да се инсталира успешно.Пример: Един вирус може да бъде внедрен, чрез е-мейлсъобщение, маскиран като прикачен файл. Има два метода,при които вирусът да попадне в компютърната система: Вирусът да е програмиран така, че да откриеслабост в системата и да се инсталира автоматично, без да енеобходимо потребителят да прави каквото и да е действие. Чрез съобщение в самия е-мейл да изкушипотребителя да кликне върху прикачения файл и по тозиначин да стартира вируса, който ще се инсталира всистемата.Втория метод е доста по срещан поради факта, че сеизискват по-малко умения по програмиране и става по-лесно. 3. Как вируса заразява системата?Точния механизъм, по който вирусите се инсталират вкомпютърните системи зависи от обекта, който сапрограмирани да заразят. Обектите, които могат да бъдатзаразени могат да бъдат: Файлове – вирусите най-често атакуват системнифайлове или файлове с данни, като инжектират своясобствен код в програмния код на файловете. Вендъжинсталиран злонамереният софтуер нарушава нормалнотосъстояние на операционната система, принуждавайкикомпютъра да изпълнява инструкции, зададени му от
  • 5. вирусната програма. Тези вируси са познати като файловивируси (file viruses) Макроси – други вируси атакуват макросите, коитоотговарят за изпълнението на рутинни последователности отинструкции а различни програми. Макросите се обикновеновключени в програмите за улеснение на потребителите.Скриптовете, които се намират в изпълнимите файлове, сааналогични на макросите и също са обект на атаки от странана вирусите. Тези вируса са познати като макро или скрипвируси (macro or script viruses) Master Boot Record (MBR) – MBR е критична зона,която съдържа инструкции как ще се зареди операционнатасистема. MBR е обект на атака от страна на boot sectorвирусите.Обикновено един вирус има за цел до порази един типобект. 4. Какво прави вирусът?След като вирусът успешно е заразил обектът на своята цел,в общи линии компютърната система и под контрола насъздателя на злонамерения софтуер. Взависимост отнаходчивостта и уменията по програмиране на създателя,операционната система може да бъде принудена даизвършва всякакви дейности. Някои от тези дейностивключват: Файлови опрерации като редактиране, създаване,изтриване на файлове Системни операции като стартиране, инсталиранеили изтриване на програми и процеси Механични действия като отваряне на CD ROM илиизключване на монитора Трансфер на данни или файлове към отдалеченикомпютри 5. Високотехнични заплахиВ ранните години вирусите са по-скоро дразнещи отколкотоопасни, суздавани предимно от аматьори, търсещи слава. Вднешно време с усъвършенстването на операционнитесистеми и софтуера, създателите на злонамерени програми
  • 6. също започват да пишат все по-сложни и комплекснивируси. Такива комплексни вируса биха могли да атакуватмножество типове обекти, да бъдар разпространявани поразлични през различни трансмисионни вектори и да иматмного по тежки последствия за компютърните системи.Някои от комплексните вируси са: Комбинирани заплахи (Blended Threats) – Много оттези заплахи се характеризират не само като вируси, но икато „троянски коне” и „червеи”. Например един такъв вирусможе да се репликира не само когато хост програмата бъдестартирана, но да разпространява своите копия презлокалната мрежа. Полиморфични заплахи (Polymorphic Threats) –Друга вариация на стандартния вирус е полиморфичниявирус. Както се разбира от името му, този софтуер може дасе трансформира и да променя кода си, за да бъде по-трудно откриван от защитните програми. За да могат дапроменят своя код, полиморфичните вируси се криптират отмини програма, която им дава тази функционалност. Метаморфични заплахи (Metamorphic threats) –подобен тип вирус е метаморфичния, който също може дапроменя своя код.Вирусите в днешно време са трудни за откриване ипремахване от заразените компютърни системи. Все повечехора използват интернет базирани услуги като търсене,банкиране, споделяне на файлове и данни, е-мейл и др.Това от своя страна е един стимул за авторите назлонамерен софтуер да бъдат все по-креативни и по-иновативни. Това което те предимно търсят е финансоваизгода, чрез кражби на кредитни карти, детайли на банковисметни, поверителна информация и др.II. Троянски коне 1. Какво е троянски кон?Троянският кон е програма, която извършва неоторизирании непозволени от потребителя действия. Част от действията,които извършвани от троянския кон са:
  • 7. Копира информация, съхранявана в определенифайлове на компютъра Модифицира инициира мрежови връзки Инсталира и стартира програми Свързва се и комуникира с друг компютър илисървърЛегална програма, която също извършва непозволенидействия, поради грешка в кода си, също се определя катотроянски кон. Този тип злонамерен софтуер е обикновеномного добре прикрит или прикрепен към други легалнипрограми. Например една обикновена игра може да се окажетроянски кон и докато играта си върви троянският кон дасъбира и изпраща информация от компютъра към външноустройство. За да изглеждат достатъчно надеждни и да несъбуждат подоздрението на потребителите, троянските конебиват скривани като видио или аудио файлове, документи илегални програми. Друга популярна тактика е да се скриетроянски кон в ъпдейт към някаква програма. 2. Троянските коне не са вирусиЗа много хора вирусите и троянските коне са едно и същонещо. Технически това са два различни типа софтуер.Въпреки, че е възможно да предизвикват един и същи ефектвърху операционната система, обикновено са необходимипредприемането на различни мерки за идентифициране,спиране и изтриване на злонамерения софтуер. Основнатаособеност при троянските коне е, че те имат за цел дашпионират и извличат ценна информация незабелязано отпотребилските компютри. Друга характерна черта е, че те неразпространяват свои копия, както е при вирусите, аизползват едно копие, което еднократно намира своята цел. 3. Как троянските коне се появяват в компютърните системи?До преди няколко години бе обичайна практика троянскитеконе да бъдат изпращани на потребителите като прикаченифайлове в е-мейл съобщения. Изпращачът на подобен типсъобщения се надява потребителят да бъде заинтересуванот съдържанието в писмото, да свали и стартира прикачения
  • 8. към него файл. В последните години с развитието наИнтернет достъпа, все повече хора са онлайн, което е добравъзможност за хакерите да намерят своите „жертви”. Най-често те се заразяват когато просто сърфират в Интернет.Някои от стратегиите за разпространение на трояски коневключват: Компроментирани легални сайтове със прикрепенкъм тях злонамерен софтуер Създаване на копие на уеб страница, където сесъдържат троянски коне, които да поразят нищонеподозиращите посетители на уеб сайта Пренасочване на потребители къмкомпроментирани портали, чрез SEO Кражба на легални е-мейли или акаунти, от коитосе изпращат пренасочващи връзки към компроментиранистранициОбикновено сайтовете съдържащи злонамерен софтуер саспециално от хакерите, като тези сайтове са активни отняколко часа до няколко дни преди да бъдат свалени отсамите тях. Тези сайтове са така проектирано, че да улавятслабостите на браузърите на потребителите, карайки гиавтоматично да свалят троянските коне на твърдитедискове. 4. Какво прави троянския кон?Веднъж стартиран, троянският кон най-често атакуваличната информация на потребителя или тази на неговатакомпютърна система. Този софтуер е проектиран да търсиопределен тип информация като пароли, номера накредитни карти и други или да шпионира потребителясъбирайки информация от неговите действия. Троянскитеконе, които атакуват компютърната система имат за цел даконтролират цялата система или части от нея като отварятмрежови портове или инсталират програми, които дапозволят на хакера да придобие пълен контрол върхукомпютъра. Могат да бъдар разграничени следните типоветроянски коне: Trojan Spy – шпионира действията на потребителяи ги съхранява в лог файл. Действията могат да включват
  • 9. операции с мишка и клавиатура, манипулиране на файлове и регистри, интернет активност. Събраните данни се изпращат към външен сайт или устройство. Trojan Thief – събира информация за чувствителна информация като пароли, логини, верификационни номера и ги изпраща към външен сайт или устройство. Trojan Dropper – този тип файл троянски кон внедрява няколко файла от тялото си в определени места от диска. Trojan Downloader – сваля файлов е директно от Интернет и ги изпълнява на заразената машина. Някои от този тип троянски коне могат да използват стандартни програми като програми за FTP за сваляне на файлове. Trojan Proxy – този тип следи за определени портове и събира информация за трафика, който може да бъде пренасочен взависимост от конфигурацията на троянския кон. Съществуват и по-усъвършенствани троянски коне, които да изпълняват повече от една функция.III. Антивирусен софтуер 1. Общи характеристики Антивирусните програми защитават компютърната система от вируси като инспектират компютърната памет и файловата система в търсене на злонамерен софтуер. Този процес на инспектиране се нарича сканиране. Създателите на антивирусен софтуер използват две основни стратегии – on demand и on access сканиране. При on demand сканирането, потребителите сами активират и стартират антивирусната програма всеки път когато искат да направят проверка. При on access сканирането, антивирусната програма се включва автоматично всеки път когато се използва ресурс от компютърната памет или файловата система. Въпреки приликите между двете стратегии, те са и много различни. On access сканиращата програма трябва да действа между програмите и операционната система и да следи за работата на програмите с файловете, паметта и
  • 10. мрежовите ресурси в реално време. Голямотопредизвикателство тук е антивирусните програми да могатда сканират компютърната система без да нарушаватцялостната й производителност. 2. Методи за откриване на вирусиАнтивирусните програми обикновено използват два основниметода за откриване на вируси и троянски коне: Инспектиране на файловете за познати вируси на базата на речник на вирусите Идентифициране на подозрителни програми, които могат да бъдат индикация за заразаПовечето от комерсиалните софтуерни продукти използват идвата метода. 2.1 Речник на вируситеПри този метод, антивирусната програма проверява файла исе объща към своя речник с дефиниции на познати вируси,определени от създателя на софтуера. Ако част от кода въвфайла съвпадне с дефиниция от речника, антивируснатапрограма може да предприеме следните действия: Изтриване на файла и премахване на вируса Поставяне на файла под карантина, като по този начин се забранява достъпа до този файл и вирусът не може да се разпространи Опит да се поправи или изчисти файла като се премахне самия вирус от негоЗа да бъде успешен този метод за отстраняване на вируси енеобходимо периодично да бъдат актуализирани речницитена съответните антивирусни програми, като това най-честостава чрез инсталирането на онлайн ъпдейти. Въпреки, четози метод се счита за успешен, създателите на вируси сеопитват да създават все по сложни полиморфични вируси,които да крипитират и променят част от своя код, за да небъдат разпознати от сигнатурите в речниците.
  • 11. 4.1 Идентифициране по подозрително поведениеТози метод не открива вируси по предварително зададенисигнатури, а наблюдава и изследва поведението напрограмите. Ако една програма например направи опит зазапише данни в изпълним файл бива маркирано катоподозрително поведение и се извежда съобщение напотребителя като същевременно му се продоставят опции заевентуалните действия които могат да бъдат направени. Потози начин могат да бъдат засичани вируси, които несъществува в нито един речник на познатите до моментавируси. Като недостатък може да се отчете, че се генериратмного фалшиви сигнали, които объркват потребителите.Сложните програми, които се пишат в днешно време сапрограмирани да правят обръщения и промени в другиизпълними файлове, което се отчита от антивирусниясофтуер. От тук нататък зависи от самия потребител далище изтълкува получените сигнали като някакъв вид заплахаили пробив в сигурността и какви действия ще предприеме. 4.2 Други методиНякои антивирусни програми се опитват да емулиратначалото на кода на изпълнимия файл при неговотостартиране и ако се установи, че този файл или програмаизползва някакъв тип променящ се код се предполага, че езаразен с вирус. 3. Detection namesПри откриването на вирус в системата, антивирусниятсофтуер обикновено ще изведе съобщение за това какво еоткрил. Тези съобщения съдържат доста информация, коятоможе да бъде полезна за потребителите. Нека приемем, чеантивирусната програма е открила следната заплаха: Worm:W32/Mabezat.BТози ред може да бъде разделен на следните компоненти: Type Platform Family Variant Worm W32 Mabezat B
  • 12. Type индентифицира вида на заплахата. В този случайимаме злонамерен софтуер от тип Worm (червей), койтоможе да се репликира през мрежата и да нанесе сериознищети на заразения компютър.Platform е архитектурата на операционната система, в коятовирусът ще функционира коректно. Обикновено вируситеоперират в определени операционни системи. В случая тозивирус е предназначен за 32-битова операционна система наWindows.Family е уникалното име, което получава съответния вирус.В този случай това е Mabezat. Терминът Family се използвапоради факта, че създателите на злонамерен софтуер многочесто създават подобрени или нови версии на един и същвирус.Variant идентифицира версията на вируса в рамките наFamily. В този случай версия В, която е вариация наоригиналната версия Worm:W32/Mabezat. Обикновеновариантите се подреждат по хронологичен ред. 4. Generic DetectionПреди 2007 година общото количество на вирусите вИнтернет пространството е достатъчно малък (няколкохиляди), за да могат антивирусните компании да засичатиндивидуално всеки един вирусен софтуер. В последнитегодини количеството на вирусите се е увеличило от няколкохиляди до няколко милиона. Това прави индивидуалнотооткриване на всеки един вирус неефективно. Поради тазипричина антивирусните програми днес използват GenericDetection за откриване на злонамерен софтуер. Този методна откриване може да обхване широк набор от вирусенсофтуер. Фактът, че Generic Detection може да създаде еднаединствена дефиниция, която да откире стотици видовезлонамерен софтуер, прави този метод изключителноефективен.Също като стандартния Detection метод, Generic Detectionизползва установени имена за вирусите, които се откриват.Форматът при General Detection има следния вид:
  • 13. Trojan:W32/Daonol.gen!CТози ред може да бъде разделен на следните компоненти: Type Platform Family Generic Set Trojan W32 Daonol .gen CType, Platform и Family са идентитични като при стандартнияметод Detection.Generic показва, че не се идентифицира точно определенвирусен софтуерSet, за разлика от Variant, който определя версията насканирания вирус, определя версията на дефинициятасъздадена от Generic Detection за откриване на съответниявирус. В този случай е версия C на дефиницията, коятоGeneric Detection използва за октриването на заразенияфайл. 5. Антивирусни софтуерни продукти 4.1 ESET NOD32 AntivirusESET NOD32 Antivirus е антивирусна система от новопоколение, която предоставя защита от широк спектърпостоянно еволюиращи заплахи - вируси, червеи, троянскиконе, шпионски и рекламен софтуер, rootkits и phishingатаки.Системата предлага най-добрата проактивна защита напазара, като засича непознатия зловреден код в реалновреме още преди да са излезли дефинициите за него.Благодарение на технологията ThreatSense и напредналитеевристики, на които е базиран алгоритъма на продуктите наESET, заплахите се идентифицират проактивно и така сепредотвратяват до 80% от т.нар zero-day атаки. ThreatSenseе антивирусната технология, която е допуснала най-малкоfalse postitives при провежданите тестове и сбързодействието си продължава да се нарежда средфаворитите на престижните издания Virus Bulletin и AV-Comparatives.
  • 14. Характеристики: максимална защита от вируси, червеи, троянски коне, шпионски и рекламен софтуер, rootkits и phishing атаки отлична защита от новопоявили се заплахи чрез технологията за проактивно засичане минимално влияние върху системните ресурси сканиране в background режим нищожен брой регистрирани false positives намален размер на обновяваниятаПредимства: безпрецедентна бързина на сканиране и засичане на зловреден код подобрен алгоритъм за чистене на засечените заплахи не натоварва системните ресурси зарежда се изключително бързо лесен за инсталиране, настройка и поддръжка интуитивен интерфейс не притеснява потребителя с чести диалогови прозорци и съобщения не натоварва трафика на компютъра не спира, нито забавя работата на потребителя незабележимо присъствие върху машината на потребителя работи най-добре, когато е легална 4.2 KasperskiKaspersky Anti-Virus & Internet Security съдържа в себе синяколко модула, чрез които защитава компютъра отразлични видове вируси, както и повишава сигурността отатаки на непознати вируси.Kaspersky Anti-Virus & Internet Security осигурява постояннаавтоматизирана защита за Вас и Вашето семейство докатоработите, банкирате, пазарувате или играете online.Програмата има всичко от което се нуждаете за сигурно ибезопасно пребиваване в Интернет.Kaspersky Anti-Virus ползва оригинални алгоритми заоткриване на вируси, които позволяват откриването и нанеизвестни до момента вредители. Освен файлове
  • 15. програмата сканира и пощенски бази данни и получавани съобщения заедно с прикачените файлове и отлично определя макровируси в документи на Microsoft Office. Kaspersky Anti-Virus поддържа проверка на популярните видове архиви. 4.3 Microsoft Security Essentials Microsoft Security Essentials напълно безплатна система за защита от вируси, зловреден и шпионски софтуер. Тя е разработена и се предлага в резултат на ангажимента на Майкрософт към Trustworthy Computing, чиято основна цел е потребителите да са защитени и свободни при работата си с компютър. Microsoft Security Essentials е сертифицирана независимо и от West Coast Labs и е подсигурена от световния екип на Майкрософт за сигурност. В основата на системата са решенията за сигурност, насочени към бизнеса. Няма нужда от регистрация, пробни версии или подновяване на абонамент. Идеална защита на вашата система в реално време, отличава се с опростен интерфейс, който няма да представлява затруднение и за най-неопитните потребители. Лека и безупречна, ненатоварваща операционната система.Нови дефиниции всеки ден. Microsoft препоръчват, премахването на всякакъв друг антивирусен софтуер преди инсталиране на този!IV. Защитни стени 1. Общи характеристики Тяхната роля е да се изолират пристигащи или заминаващи зловредни пакети, в колкото се може по-голям процент. Защитната стена застава по средата на потока от данни между интернет и компютърната система. Трябва да бъде настроена така, че да може да пропуска тези пакети данни, които са жизнено необходими за работата на машината в мрежата, като например потока данни на порт 80, за да могат да се виждат сайтовете и да се забранят онези данни,
  • 16. които могат да са опасни. Ако някоя програма от интернетсе опита да се свърже с определен порт на потребителскиякомпютър, който не е дефиниран като жизнено необходимби следвало да бъде блокиран. Също така защитната стенапредпазва от програмите, които се намират на твърдиятдиск да се свързват свободно към интернет. Това ще рече,че се проверява всяка една програма по отделно, опитващасе да се свърже към интернет. За да се допусне да сесвърже, тя трябва да има специално разрешение отпотребителя. Ако няма разрешение да го направи няма даполучи достъп до интернет. Също така защитните стени самного полезни с това, че могат да предоставят различнидопълнителни екстри като например ограничаване наопределен тип информация да може да се достъва винтернет. Например, не искате някой, който изполвакомпютъра ви да може да гледа филми в интернет, тогаваспокойно може да забраните това като кажете на защитнатастена да не допуска стартиране на филмови файлове отинтернет. 2. Видове защитни стениЗа нуждите на различните видове потребители, може да севнедрят три вида защитни сетени: на мрежово ниво, наприложно ниво и верижни защитни стени. Всеки един оттрите вида използва различен подход. След като сеопределят нуждите от защитна стена, трябва да се определиот какъв тип да бъде тя. 4.1 Защитни стени на мрежово нивоОбикновенно такава стена се явява екраниращ рутер илиспециален компютър, проверяващ пакетните адреси. В тяхсе съдържат адресите на изпращащия и на приемащиякомпютър, както и различна информация за самия пакет.Стената използва тази информация за определяне надостъпа му.Може например да се конфигурира така, че да блокиравсички входящи съобщения от определен сайт, както иизходящи пак за този сайт. Обикновенно се инструктира иблокиране на пакет с файл, който съдържа IP адресите на
  • 17. сайтовете, чийто пакети трябва да бъдат блокирани. Следкато открие пакет, съдържащ подобен адрес, той биваотхвърлен. Такива адреси за блокиране на определенисайтове се наричат черен списък. Пристигащият пакет можеда съдържа всякакъв вид информация, като електронносъобщение, Telnet заявка за регистриране (заявка заотдалечен достъп до нашия компютър). В зависимост оттова, как е конструиран екраниращия файл, рутерът можеда разпознае и изпълни определени действия за всяка едназаявка. Например може да се програмира така, че дапозволява Интернет потребителите да разглеждат нашитеWeb страници, но да нямат възможност за FTP трансфер отили към сървъра. Може да се програмира да позволява FTPдостъп на потребителите от сървъра (да свалят файлове), ноне и към сайта (да качват файлове). Обикновенно сенастройва така, че да се взема под внимание следнатаинформация във всеки един пакет: Сорс адреса, от който пристигат данните. Адреса-предназначение, към който са насочениданните. Сесийния протокол, като TCP, UDP или ICMP. Дали пакетът е начало на заявка за връзка. Ако е инсталирана и конфигурирана правилномрежовата защитна стена, тя трябва да е изключителнобърза и почти веднага да става прозрачна запотребителите(освен ако не се опитват да изпълняватблокирана дейност). Разбира се за потребителите от “черниясписък” това ще бъде непробиваема преграда. 4.2 Защитни стени на приложно нивоПриложната защитна стена обикновенно се явява хосткомпютър, изпълняващ прокси-сървърен софтуер, но порадиналичието на този софтуер, често пъти е наричан и проксисървър. Името му идва от думата прокси, което означавадействия от името на друг (заместник, пълномощник). Тезисървъри комуникират от името на потребителите съссървърите извън мрежата. С други думи, те контролираттрафика между две мрежи. В някои случаи може даконтролират всички комуникации на определени
  • 18. потребители. Например потребител от мрежата, койтополучава достъп до Интернет чрез прокси сървър, ще сепояви за другите компютри като самия сървър. В мрежататой може да получава достъп до защитено приложение (катоповерителна база данни), без да е необходимо постоянно давъвежда пароли.Когато се използва подобна защитна стена, мрежата не есвързана към Интернет. Така трафикът, който тече повътрешната мрежа, не може да си взаимодейства с тозиотвън, тъй като няма никакъв физически контакт. Проксисървърът предава изолирано копие на всеки един одобренпакет от едната към другата мрежа. Приложните стениуспешно маскират основата на първоначалната връзка изащитават мрежата от Интернет потребители, които сеопитват да съберат нежелана информация.Тъй като прокси сървърите разпознават мрежовитепротоколи, може да се укаже на сървъра да контролирауслугите, които да се изпълняват в мрежата, и то по подобенна програмирането на рутер начин. Например може да сеинструктира така, че да позволява на клиентите даизпълняват ftp сваляния на файлове, но не и качвания.Сървърите са валидни за множество услуги, като HTTP,Telnet, FTP и Gopher достъп, но за разлика от един рутер, завсяка една такава услуга трябва да има определен проксисървър.Ако се използва Windows NT-базиран сървър, MicrosoftInternet Information Server и Netscape Commerse Serverвключват поддръжка на прокси сървър. При използване напрокси сървър, мрежовите потребители трябва да използватклиентски програми, поддържащи прокси операции. МногоTCP/IP протоколи, включително HTTP, FTP и други, сасъздадени и с тази възможност. В повечето Web браузъриможе лесно да се конфигурира насочване към проксисървъра. За нещастие, някои други Интернет протоколи неподдържат добре този род услуги. Тогава трябва да секонфигурира Интернет приложението да бъде съвместимоили не с прокси функциите. Например приложения споддръжка на SOCKS прокси протокол са добро решение,ако базираме целия мрежов достъп на SOCKS. При товаобаче трябва предварително да сме наясно далипотребителите ни използват клиентски софтуер, поддържащпрокси услуги.
  • 19. Приложните защитни стени позволяват лесно наблюдение навида и количеството трафик, влизащ в нашия сайт. Тъй катосъздават бариера между локалната мрежа и Интернет, садобър избор при изисквания за висока безопастност. Нопонеже програмата трябва да анализира пакетите и дарешава дали да позволи достъп или не, мрежоватапроизводителност се намалява. С други думи, еднаприложна стена е значително по-бавна от мрежовата, затовапри планиране на такъв род защита трябва да използваменай-бързия компютър, който имаме в наличност. 4.3 Верижни защитни стениТази стена е подобна на приложната, тъй като и двете сапрокси сървъри. Разликата е, че не изисква използването наспецифични прокси-клиент приложения за всяка услуга,поддържана в мрежата, като FTP или HTTP.При този род защита се създава верига между клиента исървъра, без да се налага приложението да знае това.Клиентът и сървърът комуникират директно, без да сеналага да се обръщат към тази верига. Тази технологиязащитава началото на всяка една транзакция без да пречина по-нататъшното ǔ предаване. Предимството е, чепредлага услуга за раличен набор протоколи, така че приизползването на верижна защитна стена за HTTP, FTP илиТelnet не се налага да се променя съществуващотоприложение или да се добавят нови приложни проксисървъри за всяко едно от тях. Тя позволява използването надосегашния софтуер, а самата тя използва един-единственпрокси сървър. 3. Софтуерни защитни стениОбщо взето, всички защитни стени са направени така, че даизключват системите за сканиране и проникване в тях. Товасе извършва чрез просто блокиране на портовете. Някоисофтуерни защитни стени освен това предотвратяватизтичането на информация от компютъра, като блокиратдостъпа на непроверени услуги и приложения до мрежата.Софтуерните защитни стени могат да бъдат инсталирани на
  • 20. всеки персонален компютър, който има нужда от защита,докато хардуерните защитават централно всички компютрив мрежата. Но поради това, че първите работят локално, тепознават в подробности всичко, което става в една систма.Докато една хардуерна защитна стена най-вероятно щеразреши всякакъв трафик на електрона поща през порт 25.Софтуерната обаче може да направи разлика междуMicrosoft Outlook и троянски коне.Обикновенно когато една програма се опита да осъществидостъп до Интернет за първи път, софтуерните защитнистени питат дали да и разрешат достъп. Някои защитнистени вече разпознават често използвани приложения (катоAOL Instant Messenger, Lotus Notes и Microsoft Office) исъздават съответните правила по време на установяванетоси. В идеалния случай след малко обучение защитната стенаще може да ви предпазва с минимален брой прекъсвания.Защитните стени показват слабостите си, когато се натъкнатна програми, за които нямат приети по подразбиранеправила. Например, когато непозната Lsass.exe програмаопита да осъществи достъп до Интернет, стената пита далида разреши достъпа. Но стената ще каже повече неща запрограмите, които познава добре. В този случай ще ниуведоми, че Lsass.exe е “локален сървър за защитнаидентификация, който генерира процеса, използван отуслугата Winlogon за идентификация на потребители”. Можесъщо така да каже нещо и за сървъра с който сикомуникира. Стената може да се накара да пита всеки път,но подобни въпроси постепенно стават много досадни.Въпреки това е по-добре да пита отколкото да разчитате навече веднъж настроена защитна стена. Предимствата натози род защита са: че са евтини, работят добре при добранастройка, работят на ниво прилжения, идеални са за еднамашина с много потребители, анализират входящия иизходящия трафик, удобни за пътуващи потребители, лесносе обновяват. Някои от недостатъците са им: може да се окажат твърде сложни за начинаещи не скриват персоналните компютри от външния свят понякога са досадни споделят уязвимите места на операционните системи
  • 21. 4. Софтуерни продукти 4.1 F-Secure Internet Security 2011F-Secure Internet Security 2011 е по-лесен за управление,включва многослойна защита и не натоварва компютрите, авсички настоящи потребители на защитния софтуер щемогат да направят безплат5ен ъпгрейд към него.На разположение е нова версия на интегрирания продукт зазащита на домашни потребители Internet Security (2011) нафинландския разработчик F-Secure, информираха отбългарския дистрибутор на компанията ИнфодизайнБългария ООД.Според заявленията на разработчика, F-Secure InternetSecurity 2011 е проектиран да бъде непробиваем. Товаозначава, че намеса от страна на потребителя ще бъдеизисквана единствено в краен случай. Потребителскиятинтерфейс е крайно достъпен, а инсталацията - разбираема.За максимално удобство, различните компоненти напродукта могат да бъдат включени или изключени с едноединствено натискане на мишката, като всичко това епридружено и с възможност за безплатна помощ по телефонили имейл, достъпна всеки ден и по всяко време наденонощието.F-Secure Internet Security 2011 включва пълен набор отзащитните технологии на финландците. Предвидена емногослойна защита срещу всички видове злонамерениатаки, независимо дали атакуват браузера, файловатасистема или се опитват да подведат потребителите даактивират линк или да отворят прикачен файл. Т.е.функционалността осигурява пълна защита срещу вируси ишпионски софтуер, защитна стена (firewall), защита набраузъра за откриване на опасни сайтове, защита срещукражба на самоличност, блокиране на спам и фишинг мейлии родителски контрол.Тази версия на пакета е базирана и на нова фирменатехнология – т.нар. „интелигентен облак". F-Secure InternetSecurity 2011 осъществява достъп до "облака" в рамките намилисекунди с цел да прецени репутацията на файловете,което гарантира високата точност на засичане и максималназащита в реално време за потребителите. Освен това,функционалността на F-Secure Internet Security 2011 не е за
  • 22. сметка на производителността, подчертават още откомпанията. Продуктът работи бързо и използва минимумоперативна памет, така че да не забавя машината. Задоказателство на това твърдение от компанията цитираскорошен тест, проведен от AV-Comparatives.org,(Австрийска организация с нестопанска цел, провеждащанезависими проучвания на антивирусни софтуернипродукти), в който F-Secure Internet Security 2011 е получилнай-високата оценка Advanced+ за производителност. 4.2 McAfee Internet SecurityТова е пакет от продукти, който не само съдържа McAfeeFirewall, но и антивирусно приложение McAfee VirusScan,както и много други полезни инструменти: блокиране нареклами, родителски контрол, филтър за cookies иинструмент за изчистване на данните от историята навашите посещения в Интернет. Както повечето продукти вгрупата защитната стена е най-подходяща за напредналипотребители, поради наличието на малко съвети приопределянето на правилата.Пакетът McAfee Internet Security има полезен съветник заустановяване. Странно, но защитната стена е изключена попредположение и така може без да искате да оставитесистемата незащитена. При активиране на защитната стенадруг съветник ви помага да я конфигурирате за локалнатамрежа. Тя разпознава с лекота кои програми имат нужда отИнтернтет и създава съответните правила.Пакета съдържа различни инструменти, които са многополезни. Защитната стена предлага много опции засигурност – например предупреждение на потребителя,когато модемът установява връска тихо, и блокиране надостъпа на неоторизирани програми, сайтове с вируси илиActive X конзоли. Инсрументът Internet Security Checkизвършва сканиране за проблеми, свързани със сигурността: за браузъри, нуждаещи се от обновяване за наличието на Web бъгове троянски коне шпионски и рекламен софтуер (spyware/adware) за програми, следящи това, което въвеждате от клавиатурата
  • 23. за открит идентификационен номер на централния процесор много другиПриложеният антивирусен софтуер проверява за вируси,сканира електронна поща и спира враждебни скриптове иприложени файлове, както изпращани така и получавани.Включва и много ефективен и интересен инструмент VisualTrace – за IP проследяване, с който могат да се откриятместонахожденията на дадени IP адреси. 4.3 Norton Internet SecurityNorton Internet Security е изграден на базата на NortonPersonal Firewall. Тази програма, чиито впечатляващивъзможности са лекота на използване и проста инсталация.Пакета притежава много възможности, в това числопопулярното антивирусно приложение на Norton,родителски контрол, блокиране на реклами. След бързаинсталация следва съветник за локални мрежи (ако иматакава). Той лесно установява персонални компютри влокална мрежа, така че да работят зад защитната стена. СProgram Scan се поверяват всички приложения с Интернетвъзможности и може бързо и лесно да се определятсъответните правила. След установяването LiveUpdate сестартира автоматично и изтегля последните изменения напродукта. Защитната стена открива всеки опит за сканиранена портовете. При засичане на нови мрежови приложения,стената предупреждава със съобщение и предлагаблокиране, разрешение за достъп или да се конфигурираръчно. Защитната стена разпознава повечето изпълнимифайлове, като използвакакто файлови имена, така иконтролни суми, за да е сигурно, че не е имало намеса втях. Системата за откриване на прониквания използвасигнатури за откриване на най-често срещаните видовеатаки. Тези сигнатури се обновяват редовно. Ако се откриеатака отвън, адресът източник се блокира за 30 минути.Тази опция може да се деактивира, но не може да сепроменя интервала от време. Privacy Control дававъзможност за въвеждане номера на кредитни карти илидруга важна инфомация и гарантира, че те няма да бъдатизпращани напълно открити в Интернет. Norton AntiVirus е
  • 24. един от най-добрите антивирусни продукти на пазара.Неговите инструменти за родителски контрол даватвъзможност да се блокират Web сайтове и Usenet групи зановини.Web сайтът за проверка на сигурността, който е достъпен оттаблото за управление на защитната стена, е изумителенинструмент. Той стартира Active X контрол, за да изпитавръзката за отворени портове, за наличие на антивируснипрограми и за много други. Чрез Visual Trace може да сеопредели приблизително местонахождението на даденамашина. Може да се каже, че това е един много добър пакеткойто включва всичко необходимо за защита на даденпотребител. 4.4 ZoneAlarm ProZoneAlarm Pro има блокировка на появяващи се реклами,управление на cookies, проследяване на хакери (откриванеи получаване на ISP данни), блокиране на цели зони и др.ZoneAlarm приежава много добър вграден съветник заустановяване на ICS. Той намалява проблемите сконфигурирането. Стената използва три зони за мрежовасигурност: Trusted (доверена), Интернет и Blocked(блокирана). В тези зони може да се разполагат определеникомпютри, поредици ICIPS адреси и еднородни локатори наресурси (URLs). Доверената зона разрешава целия достъп.Интернет блокира определени видове достъп, а блокиранатазона блокира всичко. Хубаво е също, че ZoneAlarmпрепоръчва локалната мрежа да бъде в Интернет зоната ане в доверената. AlertAdvisor на ZoneAlarm уведомява запрограмите, използващи достъп до Интернет. Когато сеоткрие ново приложение се отваря питащ прозорец какзонира новото приложение. Защитната стена следи иинформира (IP адрес и вида атака) за опити запрониквания. Може да се настрой да пази от никакви домного детайлни log файлове. Стената успешно разпознаваопитите за сканирания и прикрива портовете. Интерфейсъте изчистен и удобен, но има по-малко опции. Това може дасе разглежда и като добре и като лошо, зависи отиндивидуалните предпочитания.
  • 25. V. Речник на терминитеWorm - A program that replicates by sending copies of itself from one infectedsystem to other systems or devices accessible over a network.Virus - A malicious program which integrates into and affects a program or fileon a computer system, without the knowledge or consent of the user.W32 - W32 is the platform designator for the version of Microsoft Windowsdesigned to run on computers systems with a 32-bit processor chip.Variant - A malicious program that bears sufficient similarity to a previouslyidentified program to be categorized as a member of the same "family" ofmalware.Signature - A sufficiently unique section of code that can be used by anantivirus application as a programs identifying marker. Depending on theantivirus in question, a signature may also be known as a "detection" or"definition".Spam - A communication that is unsolicited and sent out in massive amounts. Amore formal term for this material is junk mail or unsolicited bulk mail.Spoofing - The act of falsifying characteristics or data, usually in order toconduct a malicious activity. For example, if a spam e-mail’s header is replacedwith a false sender address in order to hide the actual source of the spam, the e-mail header is said to be ”spoofed”.Source code - The human-readable form of a programs code.Spyware - A program that may compromise a users personal or confidentialinformation. Spyware may be installed on a system without a usersauthorization or knowledge.SQL Injection - A type of attack that exploits poor user-input filtering to injectand run executable command into improperly configured Structured Query
  • 26. Language (SQL) databases. Technically, a few types of SQL injection attacks arepossible, but the end result of all successful SQL injection attacks is that anattacker can manipulate or even gain total control over the database.Stealth Virus - Any virus that attempts to keep its presence undetected can beclassed as a stealth virus.Time Bomb - A destructive action - usually performed by malware on a systemor network - that is triggered when a specific time or date condition is met.Trojan - A program that appears to perform one action, while silently performinganother action without the knowledge or authorization of the user.Rootkit - A standalone software component that attempts to hide processes,files, registry data and network connections. The term rootkit may also be usedto describe cloaking or stealth techniques a malware uses to hide itself ordisguise its actions.Replication - The act of creating a copy of a malicious programs code, usuallyin order to infect a new target, or distribute a copy to a new computer system.Replication is often used interchangeably with the term, propagation.Resident - A virus which remains in a computer systems memory after it hasbeen executed and its host program has been closed is said to be resident inthe memory.Rogue - An antivirus or antispyware application that does not provide thefunctionality claimed, and may not work at all. Rogues are often promoted bydeceptive or fraudulent means.Patch - A small program, or code, issued by an application vendor in order to fixissues or problems discovered in a program or operating system. Patches areusually issued to fix bugs, vulnerabilities or usability issues.Pharming - A type of social engineering attack in which a fraudulent website isused to trick a user into giving out their sensitive personal information, such astheir banking or e-mail account details.Phishing - A type of social engineering attack in which fraudulentcommunications are used to trick the user into giving out sensitive information,
  • 27. such as passwords, account information and other details. Phishing is a criminalactivity in many jurisdictions.Polymorphic Virus - A virus that mutates, or modifies, its own code at variousintervals. The changes in code typically occur each time the virus replicates, orinfects a new machine.Port - A type of data connection used by computer systems to transfer datadirectly between two or more computers or resources.Non-memory Resident - A virus that independently searches for and infectsnew targets on a computer system, rather than installing itself into memory andinfecting executable files launched by the user.Metamorphic Virus - A virus that rewrites its own code at each iteration, sothat each succeeding version appears different from the preceding one. Despitethe changes, the malwares functionalities remain the same.Memory Resident - A virus that remains in a computer systems memory afterits host file has been closed is said to be resident in the memory.Macro - A type of scripted operation found in some applications thats allowsusers to automate certain functions or instructions.Keylogger - A program or hardware component that surreptitiously monitorsand stores all the strokes typed into a keyboard. Some keylogger programs willalso forward the stored information to an external server for easier retrieval bythe attacker.IRC Worm - A type of worm that uses Internet Relay Chat (IRC) networks tospread copies of itself to new victim machines.IIS Worm - A script or code that scans for and infects webservers runningMicrosoft Internet Information Server (IIS) software.Hacker - A general term mostly used by laypersons and the popular media torefer to an individual who gains, or attempts to gain, unauthorized access to acomputer system or resource, usually for malicious or criminal purposes.
  • 28. Generic Detection - A new type of sophisticated detection that is beingincreasingly used by antivirus programs to identify programs with maliciouscharacteristics.Firewall - A hardware device or application that regulates access to a computersystem or network.File Virus - A type of virus that infects files saved on a computer system,typically executable (EXE) and/or command (COM) files.E-mail Worm - A standalone program that distributes copies of itself through e-mail networks, usually in an infectious e-mail attachment. Often, these infectede-mails are sent to e-mail addresses that the worm harvests from files on aninfected computer.Exploit - An object, a program, a section of code, even a string of characters -that takes advantage of a vulnerability in a program or operating system toperform various actions.Denial of Service (DoS) - A type of Internet-based attack that aims to denylegitimate users access to a service (for example, a website or a network) byoverloading a relevant computer resource or network device.Dropper - A malware whose primary aim is to drop other malware onto thesystem.Cookie - A simple data file containing information related to a website visitorsactivities. The information contained in the cookie can include such details as theusers site preferences, contents of their electronic carts and so on.Cross Site Scripting - A type of attack in which malicious scripts are injectedinto a legitimate website in oder to be served to subsequent site visitors.Click Jacking - A type of online attack that involves misappropriating a usersactions on a website to perform unauthorized and unintended actions.Backdoor - A remote administration utility which bypasses normal securitymechanisms to secretly control a program, computer or network. These utilitiesmay be legitimate, and may be used for legitimate reasons by authorizedadministrators, but they may also be misused by attackers.
  • 29. Bluetooth Worm - A platform-specific type of worm that propagates primarilyover a Bluetooth network. This type of worm is almost always designed tofunction on mobile devices, which make more use of Bluetooth connectivity thancomputers.Boot Virus - This type of virus, more commonly known as a boot sector or bootvirus, infects the Master Boot Record (MBR) or DOS Boot Record (DBR) of a harddrive, as well as the Floppy Boot Record (FBR) of floppy disks. Boot viruses arequite rare nowadays, as most motherboards now have protection against bootviruses - access to MBR is denied without user permission.Brute Force - A type of attack that typically targets authentication mechanismssuch as passwords.Antispyware - A program that scans the computer system for spywareprograms. Most anti-spyware programs include disinfection/removal functionalityin order to uninstall any spyware found on the system.Antivirus - A program that scans for and identifies malicious files on a computersystem.Antivirus Database - A collection of virus detections or signatures used by anantivirus program during its scanning process to identify malware.
  • 30. Използвана литература: 1. http://www.f-secure.com/en/web/home_global/home 2. http://www.symantec.com/index.jsp 3. http://www.eset.bg/ 4. http://www.microsoft.com/bg- bg/security_essentials/default.aspx 5. http://www.kaspersky.com/homeuser?thru=reseller%3Dg oogle_bsbul_k%26gclid%3DCPGUsf- zmagCFQEhfAodmB3J2g 6. http://www.zonealarm.com/ 7. http://technology.inc.com/security/articles/200609/firewal l.html 8. http://www.antivirusworld.com/articles/antivirus.php

×