Antivirus and firewalls

1. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ ВАРНА
ЦЕНТЪР МАГИСТЪРСКО ОБУЧЕНИЕ
РЕФЕРАТ
Tема: Антивирусен софтуер и защитни стени
Изготвил: Проверил:
инж. Владимир Борисов доц. д-р Стефан Дражев
Ф. Номер 9379

2. I. ВИРУСИ.................................................................................................................................. 3
1. КАКВО Е КОМПЮТЪРЕН ВИРУС? ................................................................................................... 3
2. КАК ВИРУСИТЕ СЕ ПОЯВЯВАТ В КОМПЮТЪРНИТЕ СИСТЕМИ?............................................................... 3
3. КАК ВИРУСА ЗАРАЗЯВА СИСТЕМАТА? ............................................................................................. 4
4. КАКВО ПРАВИ ВИРУСЪТ? ............................................................................................................ 5
5. ВИСОКОТЕХНИЧНИ ЗАПЛАХИ ....................................................................................................... 5
II. ТРОЯНСКИ КОНЕ ................................................................................................................... 6
1. КАКВО Е ТРОЯНСКИ КОН? ........................................................................................................... 6
2. ТРОЯНСКИТЕ КОНЕ НЕ СА ВИРУСИ ................................................................................................. 7
3. КАК ТРОЯНСКИТЕ КОНЕ СЕ ПОЯВЯВАТ В КОМПЮТЪРНИТЕ СИСТЕМИ? ................................................... 7
4. КАКВО ПРАВИ ТРОЯНСКИЯ КОН? .................................................................................................. 8
III. АНТИВИРУСЕН СОФТУЕР ...................................................................................................... 9
1. ОБЩИ ХАРАКТЕРИСТИКИ ............................................................................................................ 9
2. МЕТОДИ ЗА ОТКРИВАНЕ НА ВИРУСИ............................................................................................ 10
2.1 РЕЧНИК НА ВИРУСИТЕ ....................................................................................................................... 10
4.1 ИДЕНТИФИЦИРАНЕ ПО ПОДОЗРИТЕЛНО ПОВЕДЕНИЕ ............................................................................ 11
4.2 ДРУГИ МЕТОДИ ............................................................................................................................... 11
3. DETECTION NAMES ................................................................................................................... 11
4. GENERIC DETECTION ................................................................................................................. 12
5. АНТИВИРУСНИ СОФТУЕРНИ ПРОДУКТИ ........................................................................................ 13
4.1 ESET NOD32 ANTIVIRUS .................................................................................................................. 13
4.2 KASPERSKI ....................................................................................................................................... 14
4.3 MICROSOFT SECURITY ESSENTIALS ....................................................................................................... 15
IV. ЗАЩИТНИ СТЕНИ ............................................................................................................... 15
1. ОБЩИ ХАРАКТЕРИСТИКИ .......................................................................................................... 15
2. ВИДОВЕ ЗАЩИТНИ СТЕНИ ......................................................................................................... 16
4.1 ЗАЩИТНИ СТЕНИ НА МРЕЖОВО НИВО................................................................................................. 16
4.2 ЗАЩИТНИ СТЕНИ НА ПРИЛОЖНО НИВО............................................................................................... 17
4.3 ВЕРИЖНИ ЗАЩИТНИ СТЕНИ ............................................................................................................... 19
3. СОФТУЕРНИ ЗАЩИТНИ СТЕНИ .................................................................................................... 19
4. СОФТУЕРНИ ПРОДУКТИ ............................................................................................................ 21
4.1 F-SECURE INTERNET SECURITY 2011.................................................................................................... 21
4.2 MCAFEE INTERNET SECURITY .............................................................................................................. 22
4.3 NORTON INTERNET SECURITY.............................................................................................................. 23
4.4 ZONEALARM PRO ............................................................................................................................. 24
V. РЕЧНИК НА ТЕРМИНИТЕ ..................................................................................................... 25

3. I. Вируси
1. Какво е компютърен вирус?
Компютърният вирус е програма проектирана да зарази
компютърна система, да създаде свое копие, използвайки
системните ресурси, без знанието и позволението на
собственика или потребителя. За да се репликира един
вирус е необходимо компютърна програма да прочете
неговия код. Най-обичайният начин, по който това се случва
е когато вирусът се прикрепи към друга програма, наричана
хост програма(host program). Веднъж закрепил се вирусът
към хост програма, компютърната система е заразена. Всеки
път когато тази програма бъде изпълнявана, вирусът
създава свое копие. Всяко новосъздадено копие на свой ред
се прикрепя към друга хост програма и много скоро след
многократното изпълнение на заразените хост програми,
цялата компютърна система буквално се пренасища с копия
на вируса. Вирусите също така могат да предизвикат
определени действия, които да поразят ефективността на
цялата система.
2. Как вирусите се появяват в компютърните
системи?
Вирусите използват така наречените трансмисионни вектори
(transmission vectors) , за да попаднат в компютърната
система. Трансмисионните вектори могат да бъдат:
Мултимедийни устройства (CD, DVD, USB, Floppy и
др.)
Интернет (e-mails, злонамерени уеб страници,
сваляне на файлове и др.)
Мрежова среда (споделени папки, публични мрежи
и др.)
Създателят на вируса трябва да намери начин да внедри
вируса нелегално в потребителската система или да заблуди

4. самия потребител сам да направи това. Някои от методите,
които хакерите използват са:
Да открият незащитена компютърна система и
незабелязано да внедрят злонамерения софтуер
Да открият слабост в една защитена компютърна
система и да използват тази слабост
Да заблудят потребителя, че вирусния файл е
нещо безобидно
Дори след като вирусът попадне в компютърната система,
той трябва да изпълни своя код преди системата да се счита
за заразена. Възможно е една компютърна система да има
вирус, но той да не е успял да се инсталира успешно.
Пример: Един вирус може да бъде внедрен, чрез е-мейл
съобщение, маскиран като прикачен файл. Има два метода,
при които вирусът да попадне в компютърната система:
Вирусът да е програмиран така, че да открие
слабост в системата и да се инсталира автоматично, без да е
необходимо потребителят да прави каквото и да е действие.
Чрез съобщение в самия е-мейл да изкуши
потребителя да кликне върху прикачения файл и по този
начин да стартира вируса, който ще се инсталира в
системата.
Втория метод е доста по срещан поради факта, че се
изискват по-малко умения по програмиране и става по-
лесно.
3. Как вируса заразява системата?
Точния механизъм, по който вирусите се инсталират в
компютърните системи зависи от обекта, който са
програмирани да заразят. Обектите, които могат да бъдат
заразени могат да бъдат:
Файлове – вирусите най-често атакуват системни
файлове или файлове с данни, като инжектират своя
собствен код в програмния код на файловете. Вендъж
инсталиран злонамереният софтуер нарушава нормалното
състояние на операционната система, принуждавайки
компютъра да изпълнява инструкции, зададени му от

5. вирусната програма. Тези вируси са познати като файлови
вируси (file viruses)
Макроси – други вируси атакуват макросите, които
отговарят за изпълнението на рутинни последователности от
инструкции а различни програми. Макросите се обикновено
включени в програмите за улеснение на потребителите.
Скриптовете, които се намират в изпълнимите файлове, са
аналогични на макросите и също са обект на атаки от страна
на вирусите. Тези вируса са познати като макро или скрип
вируси (macro or script viruses)
Master Boot Record (MBR) – MBR е критична зона,
която съдържа инструкции как ще се зареди операционната
система. MBR е обект на атака от страна на boot sector
вирусите.
Обикновено един вирус има за цел до порази един тип
обект.
4. Какво прави вирусът?
След като вирусът успешно е заразил обектът на своята цел,
в общи линии компютърната система и под контрола на
създателя на злонамерения софтуер. Взависимост от
находчивостта и уменията по програмиране на създателя,
операционната система може да бъде принудена да
извършва всякакви дейности. Някои от тези дейности
включват:
Файлови опрерации като редактиране, създаване,
изтриване на файлове
Системни операции като стартиране, инсталиране
или изтриване на програми и процеси
Механични действия като отваряне на CD ROM или
изключване на монитора
Трансфер на данни или файлове към отдалечени
компютри
5. Високотехнични заплахи
В ранните години вирусите са по-скоро дразнещи отколкото
опасни, суздавани предимно от аматьори, търсещи слава. В
днешно време с усъвършенстването на операционните
системи и софтуера, създателите на злонамерени програми

6. също започват да пишат все по-сложни и комплексни
вируси. Такива комплексни вируса биха могли да атакуват
множество типове обекти, да бъдар разпространявани по
различни през различни трансмисионни вектори и да имат
много по тежки последствия за компютърните системи.
Някои от комплексните вируси са:
Комбинирани заплахи (Blended Threats) – Много от
тези заплахи се характеризират не само като вируси, но и
като „троянски коне” и „червеи”. Например един такъв вирус
може да се репликира не само когато хост програмата бъде
стартирана, но да разпространява своите копия през
локалната мрежа.
Полиморфични заплахи (Polymorphic Threats) –
Друга вариация на стандартния вирус е полиморфичния
вирус. Както се разбира от името му, този софтуер може да
се трансформира и да променя кода си, за да бъде по-
трудно откриван от защитните програми. За да могат да
променят своя код, полиморфичните вируси се криптират от
мини програма, която им дава тази функционалност.
Метаморфични заплахи (Metamorphic threats) –
подобен тип вирус е метаморфичния, който също може да
променя своя код.
Вирусите в днешно време са трудни за откриване и
премахване от заразените компютърни системи. Все повече
хора използват интернет базирани услуги като търсене,
банкиране, споделяне на файлове и данни, е-мейл и др.
Това от своя страна е един стимул за авторите на
злонамерен софтуер да бъдат все по-креативни и по-
иновативни. Това което те предимно търсят е финансова
изгода, чрез кражби на кредитни карти, детайли на банкови
сметни, поверителна информация и др.
II. Троянски коне
1. Какво е троянски кон?
Троянският кон е програма, която извършва неоторизирани
и непозволени от потребителя действия. Част от действията,
които извършвани от троянския кон са:

7. Копира информация, съхранявана в определени
файлове на компютъра
Модифицира инициира мрежови връзки
Инсталира и стартира програми
Свързва се и комуникира с друг компютър или
сървър
Легална програма, която също извършва непозволени
действия, поради грешка в кода си, също се определя като
троянски кон. Този тип злонамерен софтуер е обикновено
много добре прикрит или прикрепен към други легални
програми. Например една обикновена игра може да се окаже
троянски кон и докато играта си върви троянският кон да
събира и изпраща информация от компютъра към външно
устройство. За да изглеждат достатъчно надеждни и да не
събуждат подоздрението на потребителите, троянските коне
биват скривани като видио или аудио файлове, документи и
легални програми. Друга популярна тактика е да се скрие
троянски кон в ъпдейт към някаква програма.
2. Троянските коне не са вируси
За много хора вирусите и троянските коне са едно и също
нещо. Технически това са два различни типа софтуер.
Въпреки, че е възможно да предизвикват един и същи ефект
върху операционната система, обикновено са необходими
предприемането на различни мерки за идентифициране,
спиране и изтриване на злонамерения софтуер. Основната
особеност при троянските коне е, че те имат за цел да
шпионират и извличат ценна информация незабелязано от
потребилските компютри. Друга характерна черта е, че те не
разпространяват свои копия, както е при вирусите, а
използват едно копие, което еднократно намира своята цел.
3. Как троянските коне се появяват в компютърните
системи?
До преди няколко години бе обичайна практика троянските
коне да бъдат изпращани на потребителите като прикачени
файлове в е-мейл съобщения. Изпращачът на подобен тип
съобщения се надява потребителят да бъде заинтересуван
от съдържанието в писмото, да свали и стартира прикачения

8. към него файл. В последните години с развитието на
Интернет достъпа, все повече хора са онлайн, което е добра
възможност за хакерите да намерят своите „жертви”. Най-
често те се заразяват когато просто сърфират в Интернет.
Някои от стратегиите за разпространение на трояски коне
включват:
Компроментирани легални сайтове със прикрепен
към тях злонамерен софтуер
Създаване на копие на уеб страница, където се
съдържат троянски коне, които да поразят нищо
неподозиращите посетители на уеб сайта
Пренасочване на потребители към
компроментирани портали, чрез SEO
Кражба на легални е-мейли или акаунти, от които
се изпращат пренасочващи връзки към компроментирани
страници
Обикновено сайтовете съдържащи злонамерен софтуер са
специално от хакерите, като тези сайтове са активни от
няколко часа до няколко дни преди да бъдат свалени от
самите тях. Тези сайтове са така проектирано, че да улавят
слабостите на браузърите на потребителите, карайки ги
автоматично да свалят троянските коне на твърдите
дискове.
4. Какво прави троянския кон?
Веднъж стартиран, троянският кон най-често атакува
личната информация на потребителя или тази на неговата
компютърна система. Този софтуер е проектиран да търси
определен тип информация като пароли, номера на
кредитни карти и други или да шпионира потребителя
събирайки информация от неговите действия. Троянските
коне, които атакуват компютърната система имат за цел да
контролират цялата система или части от нея като отварят
мрежови портове или инсталират програми, които да
позволят на хакера да придобие пълен контрол върху
компютъра. Могат да бъдар разграничени следните типове
троянски коне:
Trojan Spy – шпионира действията на потребителя
и ги съхранява в лог файл. Действията могат да включват

9. операции с мишка и клавиатура, манипулиране на файлове
и регистри, интернет активност. Събраните данни се
изпращат към външен сайт или устройство.
Trojan Thief – събира информация за чувствителна
информация като пароли, логини, верификационни номера и
ги изпраща към външен сайт или устройство.
Trojan Dropper – този тип файл троянски кон
внедрява няколко файла от тялото си в определени места от
диска.
Trojan Downloader – сваля файлов е директно от
Интернет и ги изпълнява на заразената машина. Някои от
този тип троянски коне могат да използват стандартни
програми като програми за FTP за сваляне на файлове.
Trojan Proxy – този тип следи за определени
портове и събира информация за трафика, който може да
бъде пренасочен взависимост от конфигурацията на
троянския кон.
Съществуват и по-усъвършенствани троянски коне, които да
изпълняват повече от една функция.
III. Антивирусен софтуер
1. Общи характеристики
Антивирусните програми защитават компютърната система
от вируси като инспектират компютърната памет и
файловата система в търсене на злонамерен софтуер. Този
процес на инспектиране се нарича сканиране. Създателите
на антивирусен софтуер използват две основни стратегии –
on demand и on access сканиране. При on demand
сканирането, потребителите сами активират и стартират
антивирусната програма всеки път когато искат да направят
проверка. При on access сканирането, антивирусната
програма се включва автоматично всеки път когато се
използва ресурс от компютърната памет или файловата
система. Въпреки приликите между двете стратегии, те са и
много различни. On access сканиращата програма трябва да
действа между програмите и операционната система и да
следи за работата на програмите с файловете, паметта и

10. мрежовите ресурси в реално време. Голямото
предизвикателство тук е антивирусните програми да могат
да сканират компютърната система без да нарушават
цялостната й производителност.
2. Методи за откриване на вируси
Антивирусните програми обикновено използват два основни
метода за откриване на вируси и троянски коне:
Инспектиране на файловете за познати
вируси на базата на речник на вирусите
Идентифициране на подозрителни програми,
които могат да бъдат индикация за зараза
Повечето от комерсиалните софтуерни продукти използват и
двата метода.
2.1 Речник на вирусите
При този метод, антивирусната програма проверява файла и
се объща към своя речник с дефиниции на познати вируси,
определени от създателя на софтуера. Ако част от кода във
файла съвпадне с дефиниция от речника, антивирусната
програма може да предприеме следните действия:
Изтриване на файла и премахване на вируса
Поставяне на файла под карантина, като по
този начин се забранява достъпа до този файл и
вирусът не може да се разпространи
Опит да се поправи или изчисти файла като се
премахне самия вирус от него
За да бъде успешен този метод за отстраняване на вируси е
необходимо периодично да бъдат актуализирани речниците
на съответните антивирусни програми, като това най-често
става чрез инсталирането на онлайн ъпдейти. Въпреки, че
този метод се счита за успешен, създателите на вируси се
опитват да създават все по сложни полиморфични вируси,
които да крипитират и променят част от своя код, за да не
бъдат разпознати от сигнатурите в речниците.

11. 4.1 Идентифициране по подозрително поведение
Този метод не открива вируси по предварително зададени
сигнатури, а наблюдава и изследва поведението на
програмите. Ако една програма например направи опит за
запише данни в изпълним файл бива маркирано като
подозрително поведение и се извежда съобщение на
потребителя като същевременно му се продоставят опции за
евентуалните действия които могат да бъдат направени. По
този начин могат да бъдат засичани вируси, които не
съществува в нито един речник на познатите до момента
вируси. Като недостатък може да се отчете, че се генерират
много фалшиви сигнали, които объркват потребителите.
Сложните програми, които се пишат в днешно време са
програмирани да правят обръщения и промени в други
изпълними файлове, което се отчита от антивирусния
софтуер. От тук нататък зависи от самия потребител дали
ще изтълкува получените сигнали като някакъв вид заплаха
или пробив в сигурността и какви действия ще предприеме.
4.2 Други методи
Някои антивирусни програми се опитват да емулират
началото на кода на изпълнимия файл при неговото
стартиране и ако се установи, че този файл или програма
използва някакъв тип променящ се код се предполага, че е
заразен с вирус.
3. Detection names
При откриването на вирус в системата, антивирусният
софтуер обикновено ще изведе съобщение за това какво е
открил. Тези съобщения съдържат доста информация, която
може да бъде полезна за потребителите. Нека приемем, че
антивирусната програма е открила следната заплаха:
Worm:W32/Mabezat.B
Този ред може да бъде разделен на следните компоненти:
Type Platform Family Variant
Worm W32 Mabezat B

12. Type индентифицира вида на заплахата. В този случай
имаме злонамерен софтуер от тип Worm (червей), който
може да се репликира през мрежата и да нанесе сериозни
щети на заразения компютър.
Platform е архитектурата на операционната система, в която
вирусът ще функционира коректно. Обикновено вирусите
оперират в определени операционни системи. В случая този
вирус е предназначен за 32-битова операционна система на
Windows.
Family е уникалното име, което получава съответния вирус.
В този случай това е Mabezat. Терминът Family се използва
поради факта, че създателите на злонамерен софтуер много
често създават подобрени или нови версии на един и същ
вирус.
Variant идентифицира версията на вируса в рамките на
Family. В този случай версия В, която е вариация на
оригиналната версия Worm:W32/Mabezat. Обикновено
вариантите се подреждат по хронологичен ред.
4. Generic Detection
Преди 2007 година общото количество на вирусите в
Интернет пространството е достатъчно малък (няколко
хиляди), за да могат антивирусните компании да засичат
индивидуално всеки един вирусен софтуер. В последните
години количеството на вирусите се е увеличило от няколко
хиляди до няколко милиона. Това прави индивидуалното
откриване на всеки един вирус неефективно. Поради тази
причина антивирусните програми днес използват Generic
Detection за откриване на злонамерен софтуер. Този метод
на откриване може да обхване широк набор от вирусен
софтуер. Фактът, че Generic Detection може да създаде една
единствена дефиниция, която да откире стотици видове
злонамерен софтуер, прави този метод изключително
ефективен.
Също като стандартния Detection метод, Generic Detection
използва установени имена за вирусите, които се откриват.
Форматът при General Detection има следния вид:

13. Trojan:W32/Daonol.gen!C
Този ред може да бъде разделен на следните компоненти:
Type Platform Family Generic Set
Trojan W32 Daonol .gen C
Type, Platform и Family са идентитични като при стандартния
метод Detection.
Generic показва, че не се идентифицира точно определен
вирусен софтуер
Set, за разлика от Variant, който определя версията на
сканирания вирус, определя версията на дефиницията
създадена от Generic Detection за откриване на съответния
вирус. В този случай е версия C на дефиницията, която
Generic Detection използва за октриването на заразения
файл.
5. Антивирусни софтуерни продукти
4.1 ESET NOD32 Antivirus
ESET NOD32 Antivirus е антивирусна система от ново
поколение, която предоставя защита от широк спектър
постоянно еволюиращи заплахи - вируси, червеи, троянски
коне, шпионски и рекламен софтуер, rootkits и phishing
атаки.
Системата предлага най-добрата проактивна защита на
пазара, като засича непознатия зловреден код в реално
време още преди да са излезли дефинициите за него.
Благодарение на технологията ThreatSense и напредналите
евристики, на които е базиран алгоритъма на продуктите на
ESET, заплахите се идентифицират проактивно и така се
предотвратяват до 80% от т.нар zero-day атаки. ThreatSense
е антивирусната технология, която е допуснала най-малко
false postitives при провежданите тестове и с
бързодействието си продължава да се нарежда сред
фаворитите на престижните издания Virus Bulletin и AV-
Comparatives.

14. Характеристики:
максимална защита от вируси, червеи, троянски коне,
шпионски и рекламен софтуер, rootkits и phishing атаки
отлична защита от новопоявили се заплахи чрез
технологията за проактивно засичане
минимално влияние върху системните ресурси
сканиране в background режим
нищожен брой регистрирани false positives
намален размер на обновяванията
Предимства:
безпрецедентна бързина на сканиране и засичане на
зловреден код
подобрен алгоритъм за чистене на засечените заплахи
не натоварва системните ресурси
зарежда се изключително бързо
лесен за инсталиране, настройка и поддръжка
интуитивен интерфейс
не притеснява потребителя с чести диалогови прозорци
и съобщения
не натоварва трафика на компютъра
не спира, нито забавя работата на потребителя
незабележимо присъствие върху машината на
потребителя
работи най-добре, когато е легална
4.2 Kasperski
Kaspersky Anti-Virus & Internet Security съдържа в себе си
няколко модула, чрез които защитава компютъра от
различни видове вируси, както и повишава сигурността от
атаки на непознати вируси.
Kaspersky Anti-Virus & Internet Security осигурява постоянна
автоматизирана защита за Вас и Вашето семейство докато
работите, банкирате, пазарувате или играете online.
Програмата има всичко от което се нуждаете за сигурно и
безопасно пребиваване в Интернет.
Kaspersky Anti-Virus ползва оригинални алгоритми за
откриване на вируси, които позволяват откриването и на
неизвестни до момента вредители. Освен файлове

15. програмата сканира и пощенски бази данни и получавани
съобщения заедно с прикачените файлове и отлично
определя макровируси в документи на Microsoft Office.
Kaspersky Anti-Virus поддържа проверка на популярните
видове архиви.
4.3 Microsoft Security Essentials
Microsoft Security Essentials напълно безплатна система за
защита от вируси, зловреден и шпионски софтуер. Тя е
разработена и се предлага в резултат на ангажимента на
Майкрософт към Trustworthy Computing, чиято основна цел е
потребителите да са защитени и свободни при работата си с
компютър. Microsoft Security Essentials е сертифицирана
независимо и от West Coast Labs и е подсигурена от
световния екип на Майкрософт за сигурност. В основата на
системата са решенията за сигурност, насочени към бизнеса.
Няма нужда от регистрация, пробни версии или подновяване
на абонамент.
Идеална защита на вашата система в реално време,
отличава се с опростен интерфейс, който няма да
представлява затруднение и за най-неопитните
потребители. Лека и безупречна, ненатоварваща
операционната система.Нови дефиниции всеки ден. Microsoft
препоръчват, премахването на всякакъв друг антивирусен
софтуер преди инсталиране на този!
IV. Защитни стени
1. Общи характеристики
Тяхната роля е да се изолират пристигащи или заминаващи
зловредни пакети, в колкото се може по-голям процент.
Защитната стена застава по средата на потока от данни
между интернет и компютърната система. Трябва да бъде
настроена така, че да може да пропуска тези пакети данни,
които са жизнено необходими за работата на машината в
мрежата, като например потока данни на порт 80, за да
могат да се виждат сайтовете и да се забранят онези данни,

16. които могат да са опасни. Ако някоя програма от интернет
се опита да се свърже с определен порт на потребителския
компютър, който не е дефиниран като жизнено необходим
би следвало да бъде блокиран. Също така защитната стена
предпазва от програмите, които се намират на твърдият
диск да се свързват свободно към интернет. Това ще рече,
че се проверява всяка една програма по отделно, опитваща
се да се свърже към интернет. За да се допусне да се
свърже, тя трябва да има специално разрешение от
потребителя. Ако няма разрешение да го направи няма да
получи достъп до интернет. Също така защитните стени са
много полезни с това, че могат да предоставят различни
допълнителни екстри като например ограничаване на
определен тип информация да може да се достъва в
интернет. Например, не искате някой, който изполва
компютъра ви да може да гледа филми в интернет, тогава
спокойно може да забраните това като кажете на защитната
стена да не допуска стартиране на филмови файлове от
интернет.
2. Видове защитни стени
За нуждите на различните видове потребители, може да се
внедрят три вида защитни сетени: на мрежово ниво, на
приложно ниво и верижни защитни стени. Всеки един от
трите вида използва различен подход. След като се
определят нуждите от защитна стена, трябва да се определи
от какъв тип да бъде тя.
4.1 Защитни стени на мрежово ниво
Обикновенно такава стена се явява екраниращ рутер или
специален компютър, проверяващ пакетните адреси. В тях
се съдържат адресите на изпращащия и на приемащия
компютър, както и различна информация за самия пакет.
Стената използва тази информация за определяне на
достъпа му.
Може например да се конфигурира така, че да блокира
всички входящи съобщения от определен сайт, както и
изходящи пак за този сайт. Обикновенно се инструктира и
блокиране на пакет с файл, който съдържа IP адресите на

17. сайтовете, чийто пакети трябва да бъдат блокирани. След
като открие пакет, съдържащ подобен адрес, той бива
отхвърлен. Такива адреси за блокиране на определени
сайтове се наричат черен списък. Пристигащият пакет може
да съдържа всякакъв вид информация, като електронно
съобщение, Telnet заявка за регистриране (заявка за
отдалечен достъп до нашия компютър). В зависимост от
това, как е конструиран екраниращия файл, рутерът може
да разпознае и изпълни определени действия за всяка една
заявка. Например може да се програмира така, че да
позволява Интернет потребителите да разглеждат нашите
Web страници, но да нямат възможност за FTP трансфер от
или към сървъра. Може да се програмира да позволява FTP
достъп на потребителите от сървъра (да свалят файлове), но
не и към сайта (да качват файлове). Обикновенно се
настройва така, че да се взема под внимание следната
информация във всеки един пакет:
Сорс адреса, от който пристигат данните.
Адреса-предназначение, към който са насочени
данните.
Сесийния протокол, като TCP, UDP или ICMP.
Дали пакетът е начало на заявка за връзка.
Ако е инсталирана и конфигурирана правилно
мрежовата защитна стена, тя трябва да е изключително
бърза и почти веднага да става прозрачна за
потребителите(освен ако не се опитват да изпълняват
блокирана дейност). Разбира се за потребителите от “черния
списък” това ще бъде непробиваема преграда.
4.2 Защитни стени на приложно ниво
Приложната защитна стена обикновенно се явява хост
компютър, изпълняващ прокси-сървърен софтуер, но поради
наличието на този софтуер, често пъти е наричан и прокси
сървър. Името му идва от думата прокси, което означава
действия от името на друг (заместник, пълномощник). Тези
сървъри комуникират от името на потребителите със
сървърите извън мрежата. С други думи, те контролират
трафика между две мрежи. В някои случаи може да
контролират всички комуникации на определени

18. потребители. Например потребител от мрежата, който
получава достъп до Интернет чрез прокси сървър, ще се
появи за другите компютри като самия сървър. В мрежата
той може да получава достъп до защитено приложение (като
поверителна база данни), без да е необходимо постоянно да
въвежда пароли.
Когато се използва подобна защитна стена, мрежата не е
свързана към Интернет. Така трафикът, който тече по
вътрешната мрежа, не може да си взаимодейства с този
отвън, тъй като няма никакъв физически контакт. Прокси
сървърът предава изолирано копие на всеки един одобрен
пакет от едната към другата мрежа. Приложните стени
успешно маскират основата на първоначалната връзка и
защитават мрежата от Интернет потребители, които се
опитват да съберат нежелана информация.
Тъй като прокси сървърите разпознават мрежовите
протоколи, може да се укаже на сървъра да контролира
услугите, които да се изпълняват в мрежата, и то по подобен
на програмирането на рутер начин. Например може да се
инструктира така, че да позволява на клиентите да
изпълняват ftp сваляния на файлове, но не и качвания.
Сървърите са валидни за множество услуги, като HTTP,
Telnet, FTP и Gopher достъп, но за разлика от един рутер, за
всяка една такава услуга трябва да има определен прокси
сървър.
Ако се използва Windows NT-базиран сървър, Microsoft
Internet Information Server и Netscape Commerse Server
включват поддръжка на прокси сървър. При използване на
прокси сървър, мрежовите потребители трябва да използват
клиентски програми, поддържащи прокси операции. Много
TCP/IP протоколи, включително HTTP, FTP и други, са
създадени и с тази възможност. В повечето Web браузъри
може лесно да се конфигурира насочване към прокси
сървъра. За нещастие, някои други Интернет протоколи не
поддържат добре този род услуги. Тогава трябва да се
конфигурира Интернет приложението да бъде съвместимо
или не с прокси функциите. Например приложения с
поддръжка на SOCKS прокси протокол са добро решение,
ако базираме целия мрежов достъп на SOCKS. При това
обаче трябва предварително да сме наясно дали
потребителите ни използват клиентски софтуер, поддържащ
прокси услуги.

19. Приложните защитни стени позволяват лесно наблюдение на
вида и количеството трафик, влизащ в нашия сайт. Тъй като
създават бариера между локалната мрежа и Интернет, са
добър избор при изисквания за висока безопастност. Но
понеже програмата трябва да анализира пакетите и да
решава дали да позволи достъп или не, мрежовата
производителност се намалява. С други думи, една
приложна стена е значително по-бавна от мрежовата, затова
при планиране на такъв род защита трябва да използваме
най-бързия компютър, който имаме в наличност.
4.3 Верижни защитни стени
Тази стена е подобна на приложната, тъй като и двете са
прокси сървъри. Разликата е, че не изисква използването на
специфични прокси-клиент приложения за всяка услуга,
поддържана в мрежата, като FTP или HTTP.
При този род защита се създава верига между клиента и
сървъра, без да се налага приложението да знае това.
Клиентът и сървърът комуникират директно, без да се
налага да се обръщат към тази верига. Тази технология
защитава началото на всяка една транзакция без да пречи
на по-нататъшното ǔ предаване. Предимството е, че
предлага услуга за раличен набор протоколи, така че при
използването на верижна защитна стена за HTTP, FTP или
Тelnet не се налага да се променя съществуващото
приложение или да се добавят нови приложни прокси
сървъри за всяко едно от тях. Тя позволява използването на
досегашния софтуер, а самата тя използва един-единствен
прокси сървър.
3. Софтуерни защитни стени
Общо взето, всички защитни стени са направени така, че да
изключват системите за сканиране и проникване в тях. Това
се извършва чрез просто блокиране на портовете. Някои
софтуерни защитни стени освен това предотвратяват
изтичането на информация от компютъра, като блокират
достъпа на непроверени услуги и приложения до мрежата.
Софтуерните защитни стени могат да бъдат инсталирани на

20. всеки персонален компютър, който има нужда от защита,
докато хардуерните защитават централно всички компютри
в мрежата. Но поради това, че първите работят локално, те
познават в подробности всичко, което става в една систма.
Докато една хардуерна защитна стена най-вероятно ще
разреши всякакъв трафик на електрона поща през порт 25.
Софтуерната обаче може да направи разлика между
Microsoft Outlook и троянски коне.
Обикновенно когато една програма се опита да осъществи
достъп до Интернет за първи път, софтуерните защитни
стени питат дали да и разрешат достъп. Някои защитни
стени вече разпознават често използвани приложения (като
AOL Instant Messenger, Lotus Notes и Microsoft Office) и
създават съответните правила по време на установяването
си. В идеалния случай след малко обучение защитната стена
ще може да ви предпазва с минимален брой прекъсвания.
Защитните стени показват слабостите си, когато се натъкнат
на програми, за които нямат приети по подразбиране
правила. Например, когато непозната Lsass.exe програма
опита да осъществи достъп до Интернет, стената пита дали
да разреши достъпа. Но стената ще каже повече неща за
програмите, които познава добре. В този случай ще ни
уведоми, че Lsass.exe е “локален сървър за защитна
идентификация, който генерира процеса, използван от
услугата Winlogon за идентификация на потребители”. Може
също така да каже нещо и за сървъра с който си
комуникира. Стената може да се накара да пита всеки път,
но подобни въпроси постепенно стават много досадни.
Въпреки това е по-добре да пита отколкото да разчитате на
вече веднъж настроена защитна стена. Предимствата на
този род защита са: че са евтини, работят добре при добра
настройка, работят на ниво прилжения, идеални са за една
машина с много потребители, анализират входящия и
изходящия трафик, удобни за пътуващи потребители, лесно
се обновяват. Някои от недостатъците са им:
може да се окажат твърде сложни за начинаещи
не скриват персоналните компютри от външния свят
понякога са досадни
споделят уязвимите места на операционните системи

21. 4. Софтуерни продукти
4.1 F-Secure Internet Security 2011
F-Secure Internet Security 2011 е по-лесен за управление,
включва многослойна защита и не натоварва компютрите, а
всички настоящи потребители на защитния софтуер ще
могат да направят безплат5ен ъпгрейд към него.
На разположение е нова версия на интегрирания продукт за
защита на домашни потребители Internet Security (2011) на
финландския разработчик F-Secure, информираха от
българския дистрибутор на компанията Инфодизайн
България ООД.
Според заявленията на разработчика, F-Secure Internet
Security 2011 е проектиран да бъде непробиваем. Това
означава, че намеса от страна на потребителя ще бъде
изисквана единствено в краен случай. Потребителският
интерфейс е крайно достъпен, а инсталацията - разбираема.
За максимално удобство, различните компоненти на
продукта могат да бъдат включени или изключени с едно
единствено натискане на мишката, като всичко това е
придружено и с възможност за безплатна помощ по телефон
или имейл, достъпна всеки ден и по всяко време на
денонощието.
F-Secure Internet Security 2011 включва пълен набор от
защитните технологии на финландците. Предвидена е
многослойна защита срещу всички видове злонамерени
атаки, независимо дали атакуват браузера, файловата
система или се опитват да подведат потребителите да
активират линк или да отворят прикачен файл. Т.е.
функционалността осигурява пълна защита срещу вируси и
шпионски софтуер, защитна стена (firewall), защита на
браузъра за откриване на опасни сайтове, защита срещу
кражба на самоличност, блокиране на спам и фишинг мейли
и родителски контрол.
Тази версия на пакета е базирана и на нова фирмена
технология – т.нар. „интелигентен облак". F-Secure Internet
Security 2011 осъществява достъп до "облака" в рамките на
милисекунди с цел да прецени репутацията на файловете,
което гарантира високата точност на засичане и максимална
защита в реално време за потребителите. Освен това,
функционалността на F-Secure Internet Security 2011 не е за

22. сметка на производителността, подчертават още от
компанията. Продуктът работи бързо и използва минимум
оперативна памет, така че да не забавя машината. За
доказателство на това твърдение от компанията цитира
скорошен тест, проведен от AV-Comparatives.org,
(Австрийска организация с нестопанска цел, провеждаща
независими проучвания на антивирусни софтуерни
продукти), в който F-Secure Internet Security 2011 е получил
най-високата оценка Advanced+ за производителност.
4.2 McAfee Internet Security
Това е пакет от продукти, който не само съдържа McAfee
Firewall, но и антивирусно приложение McAfee VirusScan,
както и много други полезни инструменти: блокиране на
реклами, родителски контрол, филтър за cookies и
инструмент за изчистване на данните от историята на
вашите посещения в Интернет. Както повечето продукти в
групата защитната стена е най-подходяща за напреднали
потребители, поради наличието на малко съвети при
определянето на правилата.
Пакетът McAfee Internet Security има полезен съветник за
установяване. Странно, но защитната стена е изключена по
предположение и така може без да искате да оставите
системата незащитена. При активиране на защитната стена
друг съветник ви помага да я конфигурирате за локалната
мрежа. Тя разпознава с лекота кои програми имат нужда от
Интернтет и създава съответните правила.
Пакета съдържа различни инструменти, които са много
полезни. Защитната стена предлага много опции за
сигурност – например предупреждение на потребителя,
когато модемът установява връска тихо, и блокиране на
достъпа на неоторизирани програми, сайтове с вируси или
Active X конзоли. Инсрументът Internet Security Check
извършва сканиране за проблеми, свързани със сигурността:
за браузъри, нуждаещи се от обновяване
за наличието на Web бъгове
троянски коне
шпионски и рекламен софтуер (spyware/adware)
за програми, следящи това, което въвеждате от
клавиатурата

23. за открит идентификационен номер на централния
процесор
много други
Приложеният антивирусен софтуер проверява за вируси,
сканира електронна поща и спира враждебни скриптове и
приложени файлове, както изпращани така и получавани.
Включва и много ефективен и интересен инструмент Visual
Trace – за IP проследяване, с който могат да се открият
местонахожденията на дадени IP адреси.
4.3 Norton Internet Security
Norton Internet Security е изграден на базата на Norton
Personal Firewall. Тази програма, чиито впечатляващи
възможности са лекота на използване и проста инсталация.
Пакета притежава много възможности, в това число
популярното антивирусно приложение на Norton,
родителски контрол, блокиране на реклами. След бърза
инсталация следва съветник за локални мрежи (ако има
такава). Той лесно установява персонални компютри в
локална мрежа, така че да работят зад защитната стена. С
Program Scan се поверяват всички приложения с Интернет
възможности и може бързо и лесно да се определят
съответните правила. След установяването LiveUpdate се
стартира автоматично и изтегля последните изменения на
продукта. Защитната стена открива всеки опит за сканиране
на портовете. При засичане на нови мрежови приложения,
стената предупреждава със съобщение и предлага
блокиране, разрешение за достъп или да се конфигурира
ръчно. Защитната стена разпознава повечето изпълними
файлове, като използвакакто файлови имена, така и
контролни суми, за да е сигурно, че не е имало намеса в
тях. Системата за откриване на прониквания използва
сигнатури за откриване на най-често срещаните видове
атаки. Тези сигнатури се обновяват редовно. Ако се открие
атака отвън, адресът източник се блокира за 30 минути.
Тази опция може да се деактивира, но не може да се
променя интервала от време. Privacy Control дава
възможност за въвеждане номера на кредитни карти или
друга важна инфомация и гарантира, че те няма да бъдат
изпращани напълно открити в Интернет. Norton AntiVirus е

24. един от най-добрите антивирусни продукти на пазара.
Неговите инструменти за родителски контрол дават
възможност да се блокират Web сайтове и Usenet групи за
новини.
Web сайтът за проверка на сигурността, който е достъпен от
таблото за управление на защитната стена, е изумителен
инструмент. Той стартира Active X контрол, за да изпита
връзката за отворени портове, за наличие на антивирусни
програми и за много други. Чрез Visual Trace може да се
определи приблизително местонахождението на дадена
машина. Може да се каже, че това е един много добър пакет
който включва всичко необходимо за защита на даден
потребител.
4.4 ZoneAlarm Pro
ZoneAlarm Pro има блокировка на появяващи се реклами,
управление на cookies, проследяване на хакери (откриване
и получаване на ISP данни), блокиране на цели зони и др.
ZoneAlarm приежава много добър вграден съветник за
установяване на ICS. Той намалява проблемите с
конфигурирането. Стената използва три зони за мрежова
сигурност: Trusted (доверена), Интернет и Blocked
(блокирана). В тези зони може да се разполагат определени
компютри, поредици ICIPS адреси и еднородни локатори на
ресурси (URLs). Доверената зона разрешава целия достъп.
Интернет блокира определени видове достъп, а блокираната
зона блокира всичко. Хубаво е също, че ZoneAlarm
препоръчва локалната мрежа да бъде в Интернет зоната а
не в доверената. AlertAdvisor на ZoneAlarm уведомява за
програмите, използващи достъп до Интернет. Когато се
открие ново приложение се отваря питащ прозорец как
зонира новото приложение. Защитната стена следи и
информира (IP адрес и вида атака) за опити за
прониквания. Може да се настрой да пази от никакви до
много детайлни log файлове. Стената успешно разпознава
опитите за сканирания и прикрива портовете. Интерфейсът
е изчистен и удобен, но има по-малко опции. Това може да
се разглежда и като добре и като лошо, зависи от
индивидуалните предпочитания.

25. V. Речник на термините
Worm - A program that replicates by sending copies of itself from one infected
system to other systems or devices accessible over a network.
Virus - A malicious program which integrates into and affects a program or file
on a computer system, without the knowledge or consent of the user.
W32 - W32 is the platform designator for the version of Microsoft Windows
designed to run on computers systems with a 32-bit processor chip.
Variant - A malicious program that bears sufficient similarity to a previously
identified program to be categorized as a member of the same "family" of
malware.
Signature - A sufficiently unique section of code that can be used by an
antivirus application as a program's identifying marker. Depending on the
antivirus in question, a signature may also be known as a "detection" or
"definition".
Spam - A communication that is unsolicited and sent out in massive amounts. A
more formal term for this material is 'junk mail' or 'unsolicited bulk mail'.
Spoofing - The act of falsifying characteristics or data, usually in order to
conduct a malicious activity. For example, if a spam e-mail’s header is replaced
with a false sender address in order to hide the actual source of the spam, the e-
mail header is said to be ”spoofed”.
Source code - The human-readable form of a program's code.
Spyware - A program that may compromise a user's personal or confidential
information. Spyware may be installed on a system without a user's
authorization or knowledge.
SQL Injection - A type of attack that exploits poor user-input filtering to inject
and run executable command into improperly configured Structured Query

26. Language (SQL) databases. Technically, a few types of SQL injection attacks are
possible, but the end result of all successful SQL injection attacks is that an
attacker can manipulate or even gain total control over the database.
Stealth Virus - Any virus that attempts to keep its presence undetected can be
classed as a 'stealth virus'.
Time Bomb - A destructive action - usually performed by malware on a system
or network - that is triggered when a specific time or date condition is met.
Trojan - A program that appears to perform one action, while silently performing
another action without the knowledge or authorization of the user.
Rootkit - A standalone software component that attempts to hide processes,
files, registry data and network connections. The term 'rootkit' may also be used
to describe cloaking or stealth techniques a malware uses to hide itself or
disguise its actions.
Replication - The act of creating a copy of a malicious program's code, usually
in order to infect a new target, or distribute a copy to a new computer system.
'Replication' is often used interchangeably with the term, 'propagation'.
Resident - A virus which remains in a computer system's memory after it has
been executed and its host program has been closed is said to be 'resident' in
the memory.
Rogue - An antivirus or antispyware application that does not provide the
functionality claimed, and may not work at all. Rogues are often promoted by
deceptive or fraudulent means.
Patch - A small program, or code, issued by an application vendor in order to fix
issues or problems discovered in a program or operating system. Patches are
usually issued to fix bugs, vulnerabilities or usability issues.
Pharming - A type of social engineering attack in which a fraudulent website is
used to trick a user into giving out their sensitive personal information, such as
their banking or e-mail account details.
Phishing - A type of social engineering attack in which fraudulent
communications are used to trick the user into giving out sensitive information,

27. such as passwords, account information and other details. Phishing is a criminal
activity in many jurisdictions.
Polymorphic Virus - A virus that mutates, or modifies, its own code at various
intervals. The changes in code typically occur each time the virus replicates, or
infects a new machine.
Port - A type of data connection used by computer systems to transfer data
directly between two or more computers or resources.
Non-memory Resident - A virus that independently searches for and infects
new targets on a computer system, rather than installing itself into memory and
infecting executable files launched by the user.
Metamorphic Virus - A virus that rewrites its own code at each iteration, so
that each succeeding version appears different from the preceding one. Despite
the changes, the malware's functionalities remain the same.
Memory Resident - A virus that remains in a computer system's memory after
its host file has been closed is said to be 'resident' in the memory.
Macro - A type of scripted 'operation' found in some applications thats allows
users to automate certain functions or instructions.
Keylogger - A program or hardware component that surreptitiously monitors
and stores all the strokes typed into a keyboard. Some keylogger programs will
also forward the stored information to an external server for easier retrieval by
the attacker.
IRC Worm - A type of worm that uses Internet Relay Chat (IRC) networks to
spread copies of itself to new victim machines.
IIS Worm - A script or code that scans for and infects webservers running
Microsoft Internet Information Server (IIS) software.
Hacker - A general term mostly used by laypersons and the popular media to
refer to an individual who gains, or attempts to gain, unauthorized access to a
computer system or resource, usually for malicious or criminal purposes.

28. Generic Detection - A new type of sophisticated detection that is being
increasingly used by antivirus programs to identify programs with malicious
characteristics.
Firewall - A hardware device or application that regulates access to a computer
system or network.
File Virus - A type of virus that infects files saved on a computer system,
typically executable (EXE) and/or command (COM) files.
E-mail Worm - A standalone program that distributes copies of itself through e-
mail networks, usually in an infectious e-mail attachment. Often, these infected
e-mails are sent to e-mail addresses that the worm harvests from files on an
infected computer.
Exploit - An object, a program, a section of code, even a string of characters -
that takes advantage of a vulnerability in a program or operating system to
perform various actions.
Denial of Service (DoS) - A type of Internet-based attack that aims to deny
legitimate users access to a service (for example, a website or a network) by
overloading a relevant computer resource or network device.
Dropper - A malware whose primary aim is to drop other malware onto the
system.
Cookie - A simple data file containing information related to a website visitor's
activities. The information contained in the cookie can include such details as the
user's site preferences, contents of their electronic carts and so on.
Cross Site Scripting - A type of attack in which malicious scripts are injected
into a legitimate website in oder to be served to subsequent site visitors.
Click Jacking - A type of online attack that involves misappropriating a user's
actions on a website to perform unauthorized and unintended actions.
Backdoor - A remote administration utility which bypasses normal security
mechanisms to secretly control a program, computer or network. These utilities
may be legitimate, and may be used for legitimate reasons by authorized
administrators, but they may also be misused by attackers.

29. Bluetooth Worm - A platform-specific type of worm that propagates primarily
over a Bluetooth network. This type of worm is almost always designed to
function on mobile devices, which make more use of Bluetooth connectivity than
computers.
Boot Virus - This type of virus, more commonly known as a boot sector or boot
virus, infects the Master Boot Record (MBR) or DOS Boot Record (DBR) of a hard
drive, as well as the Floppy Boot Record (FBR) of floppy disks. Boot viruses are
quite rare nowadays, as most motherboards now have protection against boot
viruses - access to MBR is denied without user permission.
Brute Force - A type of attack that typically targets authentication mechanisms
such as passwords.
Antispyware - A program that scans the computer system for spyware
programs. Most anti-spyware programs include disinfection/removal functionality
in order to uninstall any spyware found on the system.
Antivirus - A program that scans for and identifies malicious files on a computer
system.
Antivirus Database - A collection of virus detections or signatures used by an
antivirus program during its scanning process to identify malware.

30. Използвана литература:
1. http://www.f-secure.com/en/web/home_global/home
2. http://www.symantec.com/index.jsp
3. http://www.eset.bg/
4. http://www.microsoft.com/bg-
bg/security_essentials/default.aspx
5. http://www.kaspersky.com/homeuser?thru=reseller%3Dg
oogle_bsbul_k%26gclid%3DCPGUsf-
zmagCFQEhfAodmB3J2g
6. http://www.zonealarm.com/
7. http://technology.inc.com/security/articles/200609/firewal
l.html
8. http://www.antivirusworld.com/articles/antivirus.php