Средства защиты сетевого действия

Сетевая защита в комп системах реализуется 2-мя основными способами:

· с использованием межсетевых экранов

· путём организации виртуальных частных сетей

VPN это технология объединяющая доверенные сети,узлы и пользователей через открытые сети к которым нет доверия.

СЗИ сетевого действия программные и прогр.-аппаратные устанавливаются на тех ПК в составе ЛВС обмен информации между которые в открытом режиме нецелесообразен. СЗИ этого класса основывается на криптометодах ЗИ. Если ПК работает не в защищенном режиме, то в сотаве ЛВС он присутствует как полноправная рабочая станция. Перевод ПК в защищ режим означает шифрование всего входящго и и исход трафика включая адресную и служебную информацию или только пакетированные данные. ПЭВМ на которых не установл соотв ПО просто не видят в сети станции, работающие под управлением сетевой СЗИ. Классическим примером комплексного ЗИ включ функцию VPN явл отечественное аппарано-програмное средство зациты ВиПиНет. Сетерые решения и технологии данного ПО позволяют:

1. защищать передачу данных, переговоров, видео информацию, инф ресурсы пользователей и корпоративной сети при работе с любыми приложениями Internet и Ethernet.

 

Антивирусные средства

Антивирусная защита - это защита информации, компонентов инф системы от вредоносных комп программ(вирусов). Под антивирусной защитой понимается обнаружение вредоносного ПО и блокирование и изолирование заражённых объектов, а так же удаление вирусов из заражённых объектов(лечение)

База данных признаков вредоносных комп программ- это составная часть средст антивирусной защиты (САВЗ), содерж информацию о вредоносных комп программ(вирусов) – сигнатуры, использ для обнаружения вредоносных комп программ и их обработки (антивир. базы)

Средство антивирусной защиты - это программное средство, реализ функции обнаружения комп программ, либо иной комп информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования комп информации или нейтрализации средств защиты информации, а так же реагирование на обнаружение этих программ и информации.

 

Требования к средствам антивирусной защиты

Требования к САВЗ приведены:

1. 1 требования к средствам антивир защиты(утверждены ВСТЭК РФ №28 от 20.03.12, вступаютв действия с 01.09.12)

2. информационное сообщение ФСТЭК РФ «Об утверждении требований к средствам антивирусной защиты №240 / /////от 20июня 2012г

Требования к САВЗ вкл общие требования к САВЗ и требования к функциям безопасности САВЗ.

Для дифференциации требований к функциям безопасности САВЗ установлено 6 классов защиты САВЗ(самый низкий 6, самый высокий 1).

САВЗ соотв 6 классу применяются в ИСПДН (инф сист персон данных) 3 и 4 класса.

САВЗ 5– ИСПДН 2

САВЗ 4– применяется в гос инф системах, в которых обрабатывается инф ограниченного доступа, не содерж сведений, составляющих ГТ, а так же в ИСПДН 1 класса и в ИС общего пользования 2 класса (ИСПДН- (документ №1 «порядок проведени классификации инф систем перональных данных», утверждён приказом «3-х»: ФСБ ФСТЭК Мин №55/86/20от 13 февраля 2008г) ИС-(Док №2 «Требования к ЗИ, содерж в инф системах общего пользования» утверждено приказом ФСБ РФ и ФСТЭК РФ №416/489от 31авг2010г))

САВЗ 3,2,1 –применяется в ИС, в которых обрабатыв информ,содержащая сведения составл ГТ.

Выделяют следующие типы антивир защиты:

· А –это средства антивир защиты, предназначенные для централизованного администрирования САВЗ, с установленные на компоненты ИС

· Б- это средства антивир защиты, предназначенные для применения на серверах ИС

· В- это средства антивир защиты, предназначенных для применения на автоматизированных местах ИС

· Г- это средства антивир защиты, предназ для применения на автономных рабочих станциях

САВЗ типа А не применяется на ОС самостоятельно, а предназначен только для использования совместно с средствами антивирусной защиты типа Б, В.

 

С 1авг 2012г сертификация средст ЗИ, реализующих функции антивирусной защиты в системе сертификации ФСТЭК РФ проводится на соответствии док№1

 

Лекция 03.11.12

Функции антивирусов:

Цель любой антивирусной программы- обнаружить вирусы и устранить возможные опасные последствия.

В антивир прогр можно выявить 3 основные функции:

1- обнаружение вирусов: (состоит в выявлении заражённого объекта, решение что делать с заражённым объектом, как правило, должен принять пользователь)

2- Удаление вирусов: (состоит в отключении активного вируса, блокировании средств его запуска, удаление вируса из ОЗУ, возможна так же корректировка файлов, используемых при загрузке системы, а так же переноска зараженных файлов в отдельный каталог «карантин». В «карантин» как правило помещаются файлы если вирус обнаружен в момент копирования этих файлов на ПК, и этот файл в дальнейшем не может быть запущен случайно или автоматически)

3- Восстановление заражённых объектов(лечение): (при лечении вирус уничтожается и восстанавливается прежняя работа системы или программы. Это возможно потому что вирус не вносит координальных изменений в заражённую программу, поэтому в файле зараженным вирусом остаётся всё необходимое для его восстановления)

 

Защита от проникновения вирусов(известный тип)

Обнаружение основанное на сигнатурах- это метод работы антивирусов, при котором программа, рассматривая файл или пакет, обращается к словарю с известными вирусами, составленными авторами программы. В случае соответствия какого либо участка кода в рассматриваемой программе известного кода в вирусном словаре, программа антивирус может перейти к выполнению одного из следующих действий:

1- Удаление заражённого файла

2- Помещение файла в карантин

3- Антивир прогр может попытаться восстановить файлы, т.е. произвести процедуру лечения.

Для получении наилучших результатов при использ антивируса необходимо периодически пополнять словарь известных вирусов новыми записями(on-line режим через Internet). Антивир ПО, созданные на основе этого метода обычно просматривают файлы, когда комп система создаёт, открывает, закрывает, посылает файлы. Т.О. вирус можно обнаружить сразу же после занесения в ПК и до того,как они смогут причинить какой то вред.

Хотя антивирусные программы созданные на основе этого метода (поиск в словаре) при обычных обстоятельствах могут хорошо защитить ПК, авторы вирусов стараются держаться впереди на пол шага от этих программ, создавая вирусы в которых некоторые части кода перезаписываются, модифицируются, шифруются и искажаются так, чтобы невозможно было обнаружить совпадение с записью в словаре.

Сигнатуры антивирусов создаются в результате анализа нескольких копий файлов, принадлежащих одному вирусу. Сигнатура должна содержать только уникальные стоки из этого файла, настолько характерные, ч то могут гарантировать должное срабатывание. Разработка сигнатур - это ручной процесс трудно поддающийся автоматизации. Базы сигнатур должны пополняться регулярно, тк большинство антивирусов не в состоянии обнаруживать новые вирусы самостоятельно. Любой владелец антивируса зависимого от сигнатур, обречён на их регулярное обновление, что составляет основу бизнес моделей производителей антивирусов.

В большинстве антивирусного ПО база сигнатур явл ядром продукта- наиболее трудоёмкой и ценной частью. Поэтому большинство производителей держат сигнатуры закрытыми. Проблемы разработки сигнатур и слабого распределения некоторых представителей вредоносного по, приводит к тому, что разработанные в разных компаниях сигнатуры содержат определение для разных подмножеств вирусов.

Недостатки и достоинства сигнатурного сканирования:

1- позволяет определять конкретную атаку с высокой точностью и малой долей ложных вызовов (+)

2- неспособны выявить новые атаки(-)

3- беззащитны перед полиморфными вирусами и изменёнными версиями того же вируса(-)

4- требуют регулярного и оперативного обновления(-)

5- требуют ручного анализа вируса (-)

 

 

Углубленный анализ на наличие вирусов(лингвистический метод)

 

Лингвистическое сканирование- это совокупность функций антивируса нацеленных на обнаружение вирусов, которых нет в базе. Метод лингвистического сканирования призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные вирусы в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100%. Практически все современные антивирусы применяют технологию лингвистического анализа программного кода. Эта методика позволяет обнаруживать ранее неизвестные инфекции, однако лечение в таких случаях практически всегда оказывается невозможным. методы лингвистического сканирования не обеспечивают какой-либо гарантированной защиты от новых отсутствующих в сигнатурном наборе вирусов. Что обусловлено в качестве объекта анализа сигнатур ранее известных вирусов, а качестве правил лингвистической проверки- знаний о полиморфизме сигнатур. Полностью исключить ложное срабатывание этого метода нельзя.

 

Недостатки лингвистического сканирования:

1- чрезмерная подозрительность анализатора может вызывать ложное срабатывание, при наличии в программе фрагментов кода, выполняющего действие или последовательность, которые свойственны некоторым вирусам.

2- наличие простых методик обмана лингвистического анализатора.

Несмотря на заявления и рекламный проспект разработчиков антивирусного ПО относительно совершенствования лингвистических механизмов – лингвистическое сканирование далеко от совершенства. (По данным тестов 40 -50 %) Даже при при успешном определении, лечение неизвестного вируса явл невозможным.

 

Защита от диструктивных воздействий при размножении вируса.(про-активная защита)

Про-активная технологии – совокупность технологий и методов, используемых в антивирусном ПО основной целью которых, в отличие от сигнатурных технологий, явл предотвращение заражение пользователей, а не поиск известного вредоносного ПО.

Технологии про-активной защиты.

1- Лингвистич анализ –позволяет на основе анализа кода выполняего приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность. Эффективность данной технологии не явл высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а так же большим набором техник авторов вредоносного ПО для обхода лингвистического компонента вредоносного ПО

2- Эмуляция кода – технология эмуляции может запускать приложение имитируя варианты работы ЦП. выполнение приложения в режиме эмуляции не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.

НЕДОСТАТКИ:

-эмуляция занимает много времени и ресурсов ПК пользователя

- современное вредоносного ПО может определить, что оно выполняется в эмулированной среде и прекратить свою работу.

3- Анализ поведения- технология основывается на перехвате всех важных системных функций или установки мини фильтров, что позволяет отслеживать всю активность в системе пользователя. Позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействий вирусным угрозам.

4- Песочника – ограничение привилегий выполнения. Эта технология работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя. Ограничение активности достигается за счёт выполнения неизвестных приложений в ограниченной среде- песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации.

5- Виртуализация рабочего окружения- технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жёсткий диск, вместо выполнения записи на реальный жёсткий диск выполняет запись на специальную дисковую область. ТО даже в том случае если пользователь запустит вредоносное ПО оно проживёт не далее, чем до очистки буфера, которое по умолчанию выполняется после отключения ПК.

Лекция 10.11.12

…………………..

 

…………………………

 

………………………….

 

В настоящее время анализ трафика пакетов производится и на транспортном уровне. Каждый IP исследуется на соответствие множеству правил. Эти правила устанавливают разрешения связей на заголовках сетевого и транспортного уровней моделей ТСП\ИП, а так же анализируется направление передвижения пакета. Фильтры пакетов контролируют

1- физический интерфейс откуда пришёл пакет

2- IP адрес источника

3- IP адрес назначения

4- тип транспортного уровня (TCP, UDP,ICMP) TCP-гарантированная доставка, в отличие от UDP

5- транспортные порты источника и назначения

Схема архитектуры фильтрации пакетов

 

 

уровень прикладной

-------------------------------

 

область ядра отфильтр.пакеты

сет.стек

 

вхпакет----àбуферàПФ список правил