Skip navigation
IDG.bg PC World Computerworld CIO CFO Networkworld Business How Кариерна зона
вход регистрация бюлетини

Какво се крие зад защитната стена?

Networkworld България - брой 4, 2002 г. / Съдържание
682 прочитания, 0

Може ли антивирусните продукти и филтрите за съдържание да усилят сигурността ви? Каре Питайте това, когато избирате продукти за сигурност: - Лесно ли се използва и достатъчно добра защита ли ви дава? - Може ли планираните обновявания на антивирусната програма да се стартират автоматично в непикови часове? - Каква честотна лента консумират тези обновявания? - Как работят съвместно в мрежата различните внедрени продукти за сигурност? Трудно ли се изолират евентуални точки на пробив или повреда? - Как производителят извършва обновяване на вирусните дефиниции (чрез собствени ресурси или външни фирми като Trend Micro, Norman Virus Control или BitDeffender? - Как ще следите “кръпките” за познати уязвими места и как ще проверите дали са разгърнати в цялата ви мрежа? - Къде е най-доброто място за инсталиране на антивирусна защита във вашата мрежа - в потребителските компютри, на сървърите и/или е-пощенските шлюзове? - Как производителите на филтри за съдържание обновяват списъците с URL адресите? - Дават ли ви те възможност да съставяте собствени списъци? - Чувствителен ли е филтърът за съдържание към контекста и не блокира повече, отколкото ви се иска? Сигурността е суеверие. Никъде в природата не се среща абсолютна сигурност. Ние обаче се опитваме да я постигнем, а различни продукти и производители се пробват да ни помогнат. Най-популярни са защитните стени - те се внедряват повсеместно и се сдобиват с все повече възможности и функционалност. Но firewall продуктите, поставени до корпоративните мрежови портали, за да ограничат достъпа от И’нет, са само част от интелигентната стратегия за сигурност. Те не ни предпазват от вируси, които проникват през сървърите за е-поща. Те не гарантират защита и срещу отделни служители, които свалят програми от сайтове или разменят електронни съобщения с прикачени файлове, което увеличава риска за вашата компания. За да се справите с тези пробойни в сигурността, можете да потърсите устройства за управление на проверено съдържание (SCM) като антивирусни пакети или програми за филтриране на съдържание. Според неотдавнашно проучване на IDC на SCM пазара световните приходи в този сегмент са достигнали $2 млрд. през 2001 г., или с 22% повече от тези през 2000 г. Ръстът се дължи основно на усъвършенстваните техники, използвани за анализ на реални или възможни уязвими места в корпоративната система за сигурност. Прогнозите гласят, че този пазар може да достигне $4,8 млрд. до 2006 г. (вж. графиката). През миналия месец Miercom, специализирана в тестове на мрежови продукти, изследва възможностите на 6 антивирусни продукта и 6 устройства за филтриране на съдържание. Като цяло тестваните решения се справиха добре - хванаха 99,9% от вирусите, пуснати към тях и блокираха достъпа до точно определени Web сайтове почти безукорно. Продуктите, които предлагат по-широки защитни възможности обаче, са и по-трудни за конфигуриране и използване. Лесна употреба или повече опции В съвременните продукти за сигурност се открояват 3 тенденции. Първо, всички производители са се заели сериозно със задачата да улеснят използването на техните системи. Филтърът на съдържание Sentian FS/Red Hat Linux изисква само да маркирате кутийки, за да изберете кои сайтове ще блокирате. Web Filter и E-mail Filter на Surf Control използват прости drag&drop операции, за да зададат правилата за сигурност. Олекотената употреба обаче води до по-малка мащабируемост. Продуктите, които изискват повече време за внедряване, като Norton Anti-Virus Corporate Edition на Symantec и Anti-Virus for Workstations/Servers на F-Secure, предлагат и повече защитни възможности, по-гъвкава настройка на параметрите и на правилата за сигурност. За успешна работа с тези програми се изисква и известен опит. Засилва се и тенденцията производителите да внедряват многобройни защитни функции като антивирусни програми, филтриране на съдържание и средства за откриване на прониквания (IDS) в една система. Fortinet FortiGate-400 включва firewall, VPN, IDS, филтър на сайтове и сканиране на вируси от Web и електронна поща в едно устройство, което дава възможност в реално време да се сканира HTTP, SMTP, IMAP (Internet Message Access Protocol) и POP3 трафик. SME Server на Mitel е мрежово устройство, осигуряващо антивирусна SMTP защита, файлов сървър, content филтър, Web и FTP сървър, SMTP/POP3 пощенски сървър, LDAP сървър и IP Security VPN. Продуктът на CacheFlow Security Gateway 800 съчетава филтриране на съдържание, Web кеширане и ускоряване. Устройството намалява натоварването върху съществуващите защитни стени, приемайки и филтрирайки съдържанието от Web сървърите по даден протокол, като HTTP или FTP трафик, тип на файла (напр. изпълними и MIME). Поддържат се и антивирусни скенери на други производители. Антивирусни продукти Оценките колко вируси се създават в целия свят за 1 седмица варират от стотици до хиляди. Истината сигурно е някъде по средата. Но дори 100 нови вируса на седмица са твърде много и няма антивирусна програма, която може да хване всеки новопоявил се. Експерти по сигурността смятат, че не е необходимо антивирусните продукти да предлагат защита срещу огромен брой познати вируси, особено ако те не са широко разпространени. Всички обаче са на мнение, че е по-важно да се докладва веднага за тези като Klez вируса напр., които плъзват навсякъде изключително бързо или са особено опасни. Klez атакува mail продуктите на Microsoft. Той нахлува в личните списъци с адреси на потребителите, изпраща оттам вируси до всички, създавайки верижна реакция, която се разпростира като пожар навсякъде. Някои производители на антивирусни програми препоръчват ежедневни обновявания на БД с вирусните сигнатури. Всички тествани продукти предлагат възможност да си направиш разписание за тези ъпдейти, което се стартира автоматично в непикови часове. Така се ограничава влиянието върху производителността на мрежата (И’нет връзката). Някои компании като GFI Ltd. и F-Secure поддържат повече от един сканиращ за вируси механизъм, предлагайки на потребителите да увеличат шанса си да хванат зловредна програма, изтървана от един от тях. GFI Mail Security поддържа 3 механизма, които сканират последователно входящата поща. Потребителите могат да променят реда на сканиране, така че да използват предимствата на всеки от тях. Алтернативата на продукт с няколко сканиращи подпрограми е да се инсталират антивирусни пакети на различни производители на различни места в мрежата - един върху сървъра и клиентските машини и друг върху е-пощенските шлюзове. Така обаче не може да се централизира управлението на антивирусните ресурси. Този подход би увеличил натоварването на честотните канали, тъй като различните продукти зареждат различен набор от вирусни сигнатури. Пред потребителите стои и въпросът къде да внедрят антивирусните програми. Използвайки антивирусен софтуер в е-пощенските сървъри, ще предпази сървърите и клиентските компютри от вируси, нахлуващи през електронните съобщения. Така се намалява броят на алармите до ИТ отдела, тъй като вирусите се блокират още на шлюза. Този род инсталация обаче не предпазва от опасността някой да вкара вируси в клиентски компютър през заразена дискета. Защитата на e-mail шлюза не ни защитава и срещу Web създадените вируси. В Черния списък Всички антивирусни програми са открили почти всички предприети при теста вирусни атаки, които са включвали 4 категории вируси - създадени в Web скрипт вируси, троянски коне, червеи и стари вируси. Обект на експеримента е бил пускане на широк набор от вируси към машините, за да се проследи за общи уязвими места. Някои от вирусите са взети от vx.netlux.org, хранилище със сорс кодове на вируси. Тестовият пакет е съгласуван и с най-големия склад с вируси - WildList (www.wildlist.org), разработен през 1993 г. WildList се е превърнал в индустриален стандарт, използван от много производители за тестване и сертифициране на своите продукти. Експериментът на NW и Miercom включва 20 избрани вируса, включително Melissa, Klez H., HTML Party, Nimda.A, CodeRed A., EvilBot и LoveLetter. Филтриране на съдържание Основната функция на подобен филтър е да определи най-посещаваните сайтове и да блокира достъпа до онези, които компанията счита, че са неподходящи (напр. с порнографско съдържание, на расистки организации или комарджийски), или губят прекалено много време на служителите (напр. за онлайн покупки, спортни, за забавления и др.). Решението как и защо една организация ще ползва продукт за филтриране на съдържанието не трябва да се взема лековато. Тук съществуват много проблеми, касаещи правата на личността срещу тези на компанията, като въпросът има и редица правни аспекти. Фирмите трябва да дефинират ясно защо, къде, кога и как ще използват подобни “сита” в своите мрежи. За да тества възможностите на продуктите за филтрация, екипът първо е преровил И’нет и е създал списък с Web сайтове, разделен по различни целеви категории, включително “за над 18 г.”, хакерски, е-пазаруване и онлайн залагания. С помощта на програма с отворен код, наречена wget, която сваля цели Web сайтове, е създаден скрипт, с който се зареждат 65 сайта от “забранения” списък. След това се проверява всеки от продуктите какво съдържание е блокирал и какво е пропуснал. Като цяло програмите се справят добре. Symantec Web Security е пропуснал 1 сайт “за възрастни”, Sentian на N2H2 не е отфилтрирал един порносайт, а Security Gateway 800 на CacheFlow не е спрял един хазартен. Тестът включва и опит за надхитряне на програмата, като вместо URL в web браузъра се изписва директно IP адреса на “забранен” сайт. Избира се блокиран сайт, който използва разпределение на натоварването и множество IP адреси, някои от които не фигурират в списъците за филтриране на съдържание. След това се отменя функцията на DNS да получи обратна връзка и да извлече IP адреса от URL и така да запише всички адреси на този сайт в content филтъра. За да се коригира подобен пропуск, във филтъра се създава допълнително правило да блокира всички места, които не могат да бъдат свързани с конкретен URL. Отделните филтри се различават по възможността си да спират информация, базирайки се не само на думи, а и на контекста, който се влага в тях. Web Security на Symantec е сред продуктите, които поддържат технологията Dynamic Document Review, която осигурява подробно, "чувствително" към смисъла на думите, сканиране на Web страници, които в друг случай биха били блокирани от филтъра. По този начин потребителите ще имат достъп до информация от сайтове, включващи изрази като "sex education" (сексуално възпитание) или "breast cancer" (рак на гърдата). Продуктите за филтриране на съдържание лесно се интегрират в мрежата с минимално спиране на някои функции (под 1 минута). Човешкият фактор Тъй като филтрите на съдържание и антивирусния софтуер играят голяма роля в корпоративната система за сигурност, важно е да се знае и как хората могат да надхитрят и най-добре разработените защитни планове. Няма продукт в областта на компютърната сигурност, който да е предпазен от грешка на потребителя, липсата на опит в защитните процедури, неправилно конфигуриране, неточна употреба на пароли или злонамерена намеса "отвътре". Човешките същества често намират "цаката" на устройствата и може би дори предпочитат предизвикателствата на по-сложните "за разбиване" продукти. графика Защитете вашето съдържание Нарастващата сложност на технологиите, използвани за откриване на слабите места в сигурността на компютърните системи е причина според IDC за нарастване на продажбата на софтуер за управление на сигурността. Световните приходи от подобен род продукти ще достигнат $4,8 млрд. през 2006 г. Антивирусен софтуер Софтуер за web филтриране Сканиране на e-mail системи Общо Каре Кои вируси ни тормозиха през август Kaspersky Labs представи собствена класация на 20-те най-разпространени вирусни програми през август 2002. Броят им представлява процент от заразяванията, причинени от дадена програма спрямо общия брой вирусни инциденти, регистрирани от лабораторията. I-Worm.Klez 76,45% I-Worm.Lentin 21,66% Win95.CIH 0,45% Abba 0,24% I-Worm.Hybris 0,10% Win32.FunLove 0,07% I-Worm.Sircam 0,03% I-Worm.Magistr 0,01% Win95.Tecata 0,01% I-Worm.HappyTime 0,01% Trojan.Win32.Filecoder 0,01% Backdoor.Antilam 0,01% Armageddon 0,01% Backdoor.Arcanum 0,01% Attention 0,01% I-Worm.BadtransII 0,01% Backdoor.Antilam 0,01% Backdoor.Cabrotor 0,01% Trojan.PSW.Stealth 0,01% Backdoor.Death 0,01%

(08.09.2002)

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Какво се крие зад защитната стена? "



    

© Ай Си Ти Медиа ЕООД 1997 - 2012 съгласно общи условия за ползване