Лирическое отступление: сетевых атак и методов противодействия такое количество, что, наверно, ни один человек не в состоянии физически столько знать/помнить, невозможно было бы уложиться в рамки форума.
Потому здесь лишь основы. А они в свою очередь послужат руководством к действию для неискушённых пользователей.
На них и ориентирован сей эпос. Вирусные угрозы в современном мире - это априори. Человек может ни разу в жизни не общаться с компьютером, зато знать основы (что они есть, и существует специализированное программное обеспечение для борьбы с ними). А под термином "сетевая безопасность" понимаются мифические существа - хакеры. Но в реальной жизни всё сложнее...

Помимо хакеров и их атак в реальном времени, существует ещё бесчисленная масса вредоносного ПО, способного работать автономно. Основное отличие от вирусов в том, что они больше ориентированы на обратную связь со своим создателем и извлечение какой-либо выгоды от своих действий (в то время как вирусы в своём большинстве просто поражают файлы и сами операционные системы). То есть они проникают на машину жертвы, делают своё дело, после чего так или иначе связываются с создателем/хакером.

По степени опасности можно выделить несколько разновидностей вредоносных программ. Во-первых это программы класса Trojan-Downloader (троянские загрузчики). Подобные программы обычно сами по себе не опасны, но их запуск приводит к скрытной загрузке других вредоносных программ, а те, в свою очередь, тоже могут обладать функциями Trojan-Downloader - в результате получается "эффект снежного кома" и через 5-10 минут на пораженном компьютере оказывается до сотни разнообразных зловредов. С другой стороны очень опасны программы класса Trojan-PSW и TRojan-SPY, поскольку они собирают и отправляют злоумышленнику пароли пользователя или конфиденциальную информацию, что в дальнейшем может нанести пользователю существенный вред. В качестве отдельного класса можно рассматривать ROOTKIT-технологии - они все чаще применяются для маскировки вредоносных программ и их защиты от удаления.

Современные черви (разновидность вредоносного ПО) имеют встроенные модули, предназначенные для их рассылки, и люки для беспрепятственного проникновения (обхода штатных средств защиты операционной системы, инструментарий для использования брешей безопасности) в зараженную машину. Новейшие версии снабжены средствами подавления активности других вирусов или червей. Таким образом могут создаваться целые сети зараженных машин (BotNet), готовых по команде начать, например, DDoS-атаку на определённый сервер или ряд серверов. Для управления такими машинами-зомби в настоящее время может использоваться почти всё, что угодно. Этому способствует также то, что большинство систем более тщательно контролируют входной трафик, а не выходной. Следует иметь в виду, что зараженная машина может служить, помимо DDoS-атак, для сканирования других машин и рассылки спама, вирусов, для хранения нелегальных программных продуктов, для управления самой машиной и кражи документов, хранящихся там, для выявления паролей и ключей, используемых хозяином...


Первый случай атаки с помощью сетевого червя зарегистрирован в ARPANET (Advanced Research Projects Agency Network) в 1988 году (Morris worm), что изменило сетевую среду радикально и навсегда - это было начало. Сеть ARPANET официально была объявлена Internet в 1989 году. Первая программа-sniffer была создана в 1994 году. Первые атаки на систему DNS произошли в 1995 году, тогда же была впервые использована фальсификация адреса отправителя. Гонка в сфере DDoS-атак началась в 1996 году.
Первые Firewall (межсетевые экраны/брандмауэры) появились в конце 80-х годов, а в 1991 году фирма DEC предложила устройство SEAL (Secure External Access Link), устройства же современного типа появились уже в 1993 году (TIS – Trusted Information System). Система firewall в некоторых случаях может заменять маршрутизатор или внешний шлюз сети (gateway). Защищенная часть сети размещается за ним. Пакеты, адресованные Firewall, обрабатываются локально, а не просто переадресуются. Пакеты же, которые адресованы объектам, расположенным за Firewall, не доставляются. По этой причине хакер вынужден иметь дело с системой защиты.

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

• обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
• происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
• отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

• традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями;
• персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером для ограничения доступа к собственным ресурсам.
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны:

• работающие на сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
• работающие на сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных;
• работающие на уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета; такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
В зависимости от отслеживания активных соединений сетевые экраны бывают:

• stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
• stateful (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DDoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Для использования в сети актуальны персональные сетевые экраны. Наиболее известные и (так или иначе) зарекомендовавшие себя продукты:

• Outpost Firewall;
• Kaspersky Internet Security;
• Dr.Web Security Space;
• Jetico Personal Firewall;
• Norton Internet Security;
• McAfee Internet Security;
• ZoneAlarm;
• Kerio Control.

Безопасность - понятие относительное. Максимальная безопасность (один открытый порт "80", отключение Java скриптов, Cookies, ActiveX и т.д.) - это в первую очередь дискомфорт. Ибо придётся вручную писать правила поведения файрволу, будут не работать многие сайты, сетевые игры и программы...
Посоветовать что-то обобщённое, подходящее всем и сразу (в плане выбора софта и его конфигурирования) не представляется реальным. И обычно определяется конечным пользователем опытным путём проб и ошибок. Почему? Да потому что одним к примеру захочется максимальную безопасность, у других из за неё не будут работать онлайн игры, у третьих начнёт тормозить (или вообще перестанет работать) внутрисетевое телевидение, и т.д.
Единственное - всё же нужно ставить файрволы сторонних производителей, а в идеале иметь связку из файрвола и антивируса. На момент написание этого мини экскурса самым популярным межсетевым экраном являлся "Outpost Firewall". Почему сторонние и чем плохи те, которые и так по умолчанию есть в windows? Дело даже не в том, чем они плохи, а в том, что подавляющее большинство хакеров и вредоносного ПО ориентируется именно на операционные системы, работающие по умолчанию (не настроенные, с встроенными средствами защиты)!..
Также существуют разновидности вредоносного ПО, которые внедряются в исполняемые файлы, библиотеки или модули расширения известных программ. Таким образом можно, например, организовать утечку данных с компьютера пользователя. Сетевой трафик, инициированный вредоносным кодом, будет свободно пропускаться межсетевыми экранами, поскольку, с точки зрения оного межсетевого экрана, этот трафик принадлежит приложению, которому разрешен доступ в интернет.
Для того чтобы противодействовать модификации известных приложений вредоносным ПО как раз и применяются "модули контроля целостности приложений" и модули фильтрации уровня доступа приложений. Список приложений, контролируемых этим компонентом, автоматически формируется всеми современными межсетевыми экранами.
Бывает такое, что файрвол информирует вас (обычно для этого используются всплывающие окна, анимация, или значки/анимация в области уведомлений/taskbar) о том, что с момента предыдущего запуска изменился один или несколько модулей контролируемого приложения. Однако изменение исполняемого файла могло произойти как в результате внедрения в приложение вредоносного кода, так и в результате обычного обновления программы. Например, библиотеки, используемые браузером Microsoft Internet Explorer, могут меняться в результате обновления Windows. В таких случаях ваш лучший помощник - собственное внимание и бдительность! К примеру, если ничего явным образом не обновлялось, не просило разрешение на обновление и не информировало о успешном/не успешном обновлении, а вы тем временем побывали на десятке подозрительных сайтов, то с большой долей вероятности вы наблюдаете последствия работы вредоносного ПО. Заблокируйте доступ для этого приложения, и проведите тщательную проверку системы, как на предмет вирусов, так и всего остального (во многих межсетевых экранах встроены модули борьбы с вредоносным ПО, и проверку можно производить непосредственно при помощи них).


(c) 2007 Svin