6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Какие антивирусы используются в современных межсетевых экранах

Содержание

Какие антивирусы используются в современных межсетевых экранах

Один в поле не воин: межсетевые экраны и антивирусы — братья навеки!

В наш век информационных технологий компьютер просто обязан быть подключенным к глобальной или, в крайнем случае, локальной вычислительной сети. Без этого он превращается или в печатную машинку, или в калькулятор

Сети — это источник информации. А ведь вычислительная техника сегодня применяется именно для получения и переработки информации. Но, как только пользователь выходит в сеть, он сталкивается с проблемами сетевой безопасности, с хакерами, вирусами, ошибками ПО, способными повлечь утечку ценной информации. И тут уж пользователю приходится вплотную познакомиться с огромным спектром программного обеспечения, защищающего его от всяких напастей: с антивирусными продуктами, межсетевыми экранами разных классов и мощностей, а также с тонкостями настройки браузеров, почтовых клиентов, с дисциплиной в сети (этого не закачивай, того не запускай, туда не ходи и т.п.).

Firewall — не панацея. Защита должна быть комплексной!

И вот пользователь (или администратор сети) решился себя защитить. Поставил себе на рабочую станцию (сервер) межсетевой экран (firewall), научился им пользоваться (а я должен заметить, что это очень непростой класс программ, требующий от пользователей некоторых знаний), настроил его, создал все необходимые правила. Но и этого мало. Допустим, от прямых хакерских атак, DoS-атак, от backdoor- и какой-то разновидности троянских программ вы в определенной степени защищены — но ведь это далеко не все!

Защита от хакеров более актуальна для серверов, оказывающих какие-либо услуги (хранение информации и предоставление ее пользователям, доступ к глобальной сети Internet и т.п.). Конечным же пользователем межсетевой экран может применяться для разграничения доступа различных приложений к ресурсам сети.

Наиболее актуальной проблемой для такого пользователя остаются вирусы, черви и троянские программы. По статистике антивирусных компаний, более 95% всех вредоносных программ, распространяющихся в глобальной сети составляют сетевые черви, из них 99% — почтовые.

В связи с тем что почтовые черви распространяются чрез электронную почту, практически все межсетевые экраны оказываются неэффективны. Откуда firewall’у знать: пользователь ли отправляет письмо — или же это червь рассылает себя. Некоторые администраторы почтовых серверов в борьбе с вирусами применяют самые кардинальные меры — почтовый сервер не пропускает файлы, имеющие запускные расширения (EXE, COM, PIF, BAT, CMD, SCR и т.п.). Но ведь это тоже не выход. Так, сетевой червь I-Worm.Lentin отправляет свои копии в ZIP-архиве (неужели теперь и архивы резать будем?).

Кроме того, чаще всего пользователи сами находят проблемы на свою голову: открывают файлы, приходящие по электронной почте невесть откуда (и нередко таящие за двойными расширениями тела червей), посещают сомнительные веб-сайты, закачивают и запускают разнообразные «ускорители интернета» или новые хранители экрана. Не зря ведь самым узким звеном в любой системе безопасности считается человек.

Некоторые межсетевые экраны имеют возможность запоминать информацию о приложении в момент создания правила для доступа этого приложения к ресурсам сети. При каждом повторном доступе производится проверка соответствия этой информации. Таким образом, в случае изменения приложения или используемых им модулей firewall выдаст предупреждение вроде: «Приложение … было модифицировано. Разрешить ему установить соединение?». Такая возможность может оказаться очень полезной для конечного пользователя и при правильном использовании должна препятствовать доступу «троянизированных» приложений к ресурсам сети.

Все эти факторы расширяют функционал межсетевых экранов, дополняя его следующими возможностями:

  • защитой от DoS атак;
  • ограничением возможностей удаленного доступа к системным ресурсам компьютера;
  • разграничением доступа приложений к ресурсам сети;
  • детектированием почтовых и сетевых червей, создающих для распространения собственное соединение с удаленным ресурсом;
  • детектированием троянских программ, создающих собственное соединение для передачи данных;
  • детектированием backdoor-программ (приложений для удаленного доступа) использующих прямое соединение;
  • блокированием доступа «троянизированных» приложений к ресурсам сети.

Не антивирусом единым

Думаю, никого не надо убеждать в необходимости использования антивирусных продуктов. Вирусы, черви, троянские программы сопровождают электронно-вычислительную технику повсюду — даже независимо от наличия или отсутствия подключения к сети. И люди уже привыкли более или менее часто пользоваться антивирусами. В конце концов, пользователь не может (да и не должен) знать особые приметы и тонкости работы десятков тысяч вредоносных программ, которые уже детектируются и нейтрализуются антивирусными продуктами. Не станем обсуждать сейчас, какие антивирусы хороши, а какие плохи,- не в этом цель данной статьи. Если человек пользуется любым более или менее качественным антивирусным продуктом, обладающим необходимым набором модулей, и регулярно его обновляет — это уже неплохо.

Существуют два принципиально разных метода детектирования вредоносных программ антивирусными продуктами:

  • поиск известных вирусов по присутствующим в антивирусных базах вирусным сигнатурам;
  • поиск неизвестных вирусов по характерным для вирусов участкам кода.

Суть первого метода (поиск по сигнатурам) — в том, что антивирусные компании анализируют каждый (!) поступивший к ним вирус и добавляют соответствующую сигнатуру, которая будет обнаруживать только этот вирус. Для похожих вирусов (их семейств) выделяются также универсальные сигнатуры, способные обнаружить также и новые модификации данных вирусов. Для каждой антивирусной записи делается свой модуль лечения, благодаря которому антивирус сможет исцелить зараженный файл.

Преимущества данного метода очевидны: он практически не дает ложных срабатываний антивируса (при условии качественного добавления антивирусной записи), определяет каждый конкретный вирус и может его обезвредить (насколько это возможно в принципе). Но отсюда же выплывают и недостатки: невозможность обнаружения новых вирусов, необходимость постоянного обновления антивирусных баз.

Кардинально отличается от сигнатурного метода метод эвристического поиска. Эвристические анализаторы различных продуктов могут работать по-разному. Фактически каждый из них — это know-how той или иной компании. Но вся работа эвристических анализаторов сводится к одному: поиск последовательностей кода (исполняемых команд), характерных для того или иного типа вирусов.

Основной сложностью при реализации алгоритмов эвристического поиска является отсеивание ложных срабатываний. Вроде бы при детектировании вирусов все просто: если программа размножается — значит, это вирус. Остается только написать модуль, который сможет проанализировать предоставляемый код и с высокой долей вероятности определить, не обладает ли код «подозрительными» функциями.

С троянскими программами все намного сложнее. Зачастую даже специалисту по информационной безопасности, бывает тяжело сказать: является данная программа троянской или нет. По какому критерию программа относится к троянской: «если программа делает что-то, о чем пользователь не знает и чего не желает выполнять» или «если программа нарушает логику работы компьютера». Согласитесь — определения весьма расплывчатые. А как же с этой проблемой справиться модулю эвристического поиска, не имеющему человеческого опыта и интеллекта?

Именно из-за описанных выше проблем эвристические анализаторы способны обнаруживать далеко не все вредоносные программы. Для некоторых типов вирусов этот показатель близок к ста процентам — для других же может колебаться в пределах 30-60% (для троянских программ этот показатель всегда ниже, чем для вирусов). Кроме того, эвристические анализаторы могут иногда ошибаться и обзывать вирусами вполне мирные и привычные нам программы — это называется ложным срабатыванием.

Антивирусные продукты, как правило, используют оба метода поиска вирусов, что несколько замедляет их работу, зато увеличивает количество детектируемых вирусов.

Описанные достоинства и недостатки определяют возможности антивирусных продуктов:

  • обнаружение и нейтрализация огромной базы (десятки тысяч) известных вирусов и вредоносных программ;
  • обнаружение средствами эвристического поиска подозрительных файлов;
  • нейтрализация/изолирование зараженных и подозрительных файлов;
  • обращение повышенного внимания пользователя на подозрительные вирусы файлы.

Давайте дружить семьями

Итак, подводим итоги. Одно средство защиты не способно перекрыть все секторы безопасности. Рядовой пользователь, не владеющий коммерческой или государственной тайной, при разумном подходе может довериться антивирусным продуктам и целиком на них положиться. Но в случае с корпоративными вычислительными сетями, берегущими свою информацию, картина совершенно иная. Вирус или вредоносная программа может быть написана специально для них. Учитывая, что злоумышленник может знать, какими антивирусами пользуется компания, он имеет возможность использовать те же программы, чтобы определить, обнаруживается написанный им вирус или нет. Если вирус обнаруживается, злоумышленник продолжает вносить в него необходимые изменения — до тех пор пока вредоносная программа не перестанет детектироваться. Таким образом, всегда остается ненулевая вероятность попадания на ваш компьютер троянской программы или вируса, не обнаруживаемого установленным у вас антивирусом.

Теперь о том, что касается межсетевых экранов. Можете ли вы, работая в глобальной сети Интернет или в вашей локальной сети и защищаясь только межсетевым экраном, быть уверенными, что от вас не уходит ценная информация? Однозначно нет. Зачастую вредоносные программы пересылают злоумышленнику похищенную информацию посредством тех же каналов и протоколов, которые вы сами обычно используете при обмене данными. То есть:

  • отправив письмо используемым вами почтовым клиентом;
  • открыв используемым вами браузером веб-страницу на специальном сайте и передав туда информацию;
  • отправив данные через IRC, ICQ или другие средства связи.

Какую же картину мы наблюдаем? Средства защиты обязательно должны комбинироваться. Каждый продукт должен отвечать за свой сектор комплексной системы защиты информации. Антивирусы пусть обнаруживают уже известные вирусы и обращают внимание пользователя на подозрительные файлы. Межсетевые экраны пусть разграничивают доступ приложений к локальным и глобальным сетям, а также отслеживают попытки «чужих» приложений обратиться к сети. Пользователь же, работающий с вычислительной системой, должен соблюдать основные принципы безопасной работы, придерживаться рекомендаций специалистов по информационной безопасности и помогать программам, защищающим его систему: обновлять их, следит за их работоспособностью, внимательно относится к поступающим сообщениями о подозрительных действиях. Администраторы, в свою очередь, обязаны максимально ограничивать возможность пользователя активизировать инфицированный или подозрительный файл.

Для корпоративных сетей система защиты информации еще более усложняется. В основном, это происходит из-за необходимости защиты не только и не столько рабочих станций, а еще и серверов различного назначения (почтовых, файловых, веб, внутренних баз данных и др.).

На рисунке ниже приведены основные методы проникновения вирусной угрозы и методы их пресечения. При таком подходе продукты, предназначенные для защиты информации, дополняют друг друга. Кроме того, желательно, чтобы на рабочих станциях и на серверах устанавливались антивирусные продукты различных разработчиков, поскольку чаще всего на маршруте своего следования файлы проверяются, как минимум, дважды — и, чем большим количеством различных антивирусов они будут проверенны, тем выше вероятность детектирования вируса.

Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке программных средств защиты информации. Как правило, требуется создание отдельной организационно-технической системы.

Читать еще:  Режимы чтения для браузера Google Chrome

В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего устанавливаемого ПО. Программные средства должны удовлетворять возложенным на них задачам, техническим возможностям защищаемых ПК, а также грамотности пользователей в вопросах антивирусной/сетевой защиты.

Антивирусные программы и межсетевые экраны

Антивирусная программа (АП) — программа для обнаружения компьютерных вирусов, а также нежелательных программ и восстановления зараженных файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы.

Первые антивирусные программы появились в 1984 года (первый вирус для персональных компьютеров Apple появился в 1977 году, и только в 1981 году появились вирусы, представляющие какую-либо угрозу).

Методы обнаружения вирусов АП:

  • 1. сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах;
  • 2. обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
  • 1 метод:

АП, анализируя файл, обращается к антивирусным базам АП. В случае соответствия какого-либо участка кода просматриваемого файла (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:

  • 1. Удалить инфицированный файл.
  • 2. Заблокировать доступ к инфицированному файлу.
  • 3. Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).
  • 4. Попытаться «вылечить» файл, удалив тело вируса из файла.
  • 5. В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы.

Вирусная база регулярно обновляется производителем антивирусов, пользователям рекомендуется обновлять их как можно чаще

Если программа пытается выполнить какие-либо подозрительные с точки зрения антивирусной программы действия, то такая активность будет заблокирована, или же антивирус может предупредить пользователя о потенциально опасных действиях такой программы.

В настоящее время подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.

Метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако такой метод даёт большое количество ложных срабатываний.

  • 1. Avast Antivirus Professional
  • 2. AVG Anti-Virus & Anti-Spyware
  • 3. Avira Antivir
  • 4. Dr.Web (4,1%)
  • 5. Eset Nod32 (7,5%)
  • 6. Kaspersky Anti-Virus (4,3%)
  • 7. Norton Anti-Virus
  • 8. Outpost Antivirus Pro
  • 9. Panda Antivirus

Бесплатные АП защищают систему не хуже, чем их платные аналоги. Единственное неудобство — это необходимость регистрации.

Бесплатные антивирусные программы:

  • 1. Avira Free AntiVirus:
  • 2. Avast Free Antivirus
  • 3. AVG Free Antivirus
  • 4. Panda Active Scan Free Antivirus
  • 5. PC Tools
  • 1. ни одна из существующих антивирусных технологий не может обеспечить полной защиты от вирусов;
  • 2. АП забирает часть вычислительных ресурсов системы, нагружая центральный процессор и жёсткий диск;
  • 3. Антивирусные программы могут видеть угрозу там, где её нет (ложные срабатывания);
  • 4. Антивирусные программы загружают обновления из Интернета, тем самым расходуя трафик.
  • 1. Применение комплекса антивирусных программ
  • 2. Необходимо периодическое обновление антивирусных программ
  • 3. Проверка информации поступающей извне.
  • 4. Периодическая проверка всего компьютера.
  • 5. Осторожность с незнакомыми файлами. Их действия могут не соответствовать названию.
  • 9. Межсетевые экраны

Межсетевомй экрамн — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Межсетевые экраны также называют:

  • 1. Брандмамуэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».
  • 2. Файрвомл, файервомл — образованo транслитерацией английского термина firewall, эквивалентного термину межсетевой экран, в настоящее время не является официальным заимствованным словом в русском языке;
  • 3. Информационные мембраны (редко используется).

Аппаратный брэндмауэр — это просто некий ящик, включаемый между локальной и внешней сетями, позволяющий или запрещающий обмен данными на основании предопределенных правил;

Программный файрвол это программа, установленная на компьютере и делающая, в общем, то же самое. Преимущество последнего в том, что можно устанавливать правила в зависимости от программы, обменивающейся данными, а недостаток в том, что надежность программного брандмауэра зависит от того, насколько толково им управляет пользователь.

Основной задачей сетевого экрана является защита компьютерных сетей от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Сетевые экраны делятся на:

  • 1. традиционный сетевой — программа (или неотъемлемая часть операционной системы) на шлюзе (сервер, передающий трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
  • 2. персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Межсетевой экран может реализовать ряд политик доступа к сервисам по следующим принципам:

  • 1. Запретить доступ из Интернета во внутреннюю сеть и разрешить доступ из внутренней сети в Интернет.
  • 2. Разрешить ограниченный доступ во внутреннюю сеть из Интернета, обеспечивая работу только отдельных авторизованных систем, например информационных и почтовых серверов.

При работе с МЭ, прежде всего, необходимо установить, насколько «доверительной» или «подозрительной» должна быть система защиты. Правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

  • 1. Запрещать все, что не разрешено в явной форме.
  • 2. Разрешать все, что не запрещено в явной форме.

1. Отслеживанием всех подозрительных контактов. Какие-то программы с твоего компьютера могут пытаться отправлять некие данные в Интернет, а также получать оттуда информацию.

В ряде случаев — почтовая программа, мессенджер (ICQ, MSN) — это вполне нормально, но если совершенно неизвестная тебе программа вдруг пытается самостоятельно установить контакт с Интернетом — с высокой долей вероятности это троян.

  • 2. Блокированием всех портов, не нужных для работы, и анализом трафика, идущего через открытые порты. Как мы уже говорили, с Интернетом компьютер общается через порты. Через них же осуществляются атаки на компьютер. Файрвол стоит на страже этих портов, предупреждая тебя обо всех несанкционированных попытках проникновения.
  • 3. Наблюдением за выполняемыми (запускаемыми) программами.
  • 4. При первом запуске программы брандмауэр запоминает её данные. И если в момент очередного запуска выяснится, что программа вдруг изменилась, брандмауэр тебя об этом обязательно предупредит (если он настроен соответствующим образом).

Ведь если программу изменил не ты (например, поставив новую версию), это может означать, что программа заражена вирусом.

Наиболее популярны сегодня Outpost Firewall, Norton Personal Firewall, Zone Alarm, Kerio, McAfee, Kaspersky Anti-Hacker и другие.

Обзор межсетевых экранов и систем обнаружения вторжений, сертифицированных ФСТЭК России

Мы рассмотрели последние изменения требований ФСТЭК России к межсетевым экранам и системам обнаружения вторжений: профили защиты и проверка соответствия уровню доверия при сертификации. По состоянию на февраль 2020 года сертифицированные по уровню доверия межсетевые экраны и системы обнаружения вторжений отсутствуют, а по профилю защиты для обзора выделено 28 продуктов, из них — только 5 зарубежных. По каждому представлено краткое описание и указан срок действия сертификата соответствия.

Введение

Технологии стремительно развиваются с каждым годом: появляются новые способы обработки и хранения данных, процессы переходят на «цифру», разрабатываются новые системы. Параллельно им прогрессируют и способы несанкционированного доступа. Поэтому важной и нужной мерой представляется, в частности, совершенствование регулирования в сфере защиты информации. В реестре операторов персональных данных Роскомнадзора имеется уже 404 тысячи записей, в реестре федеральных государственных информационных систем Минкомсвязи России — 341 система, по предварительным расчётам ФСТЭК России в стране — 25 тысяч объектов критической информационной инфраструктуры. Эти системы требуется защищать (большинство — в обязательном порядке) с применением сертифицированных межсетевых экранов и систем обнаружения вторжений.

После утверждения профилей защиты для продуктов и решений такого рода далеко не все из них были проверены по новым требованиям: в частности, по шести классам защищённости нет ни одного сертифицированного средства защиты информации. Сильно изменились требования к производителям и их разработкам. Как следствие, в реестре ФСТЭК России пока отсутствуют продукты, которые сертифицированы по-новому. Зарубежным решениям стало особенно сложно пройти эту процедуру.

В обзоре рассматриваются межсетевые экраны и системы обнаружения вторжений, имеющие действующий сертификат ФСТЭК России, которые допустимо использовать для защиты объектов информатизации по состоянию на февраль 2020 года.

Выбрать подходящий и соответствующий требованиям регулятора продукт для корпоративной сети — проблемная задача для большинства организаций. В обзоре представлены последние изменения требований к этим видам средств защиты, а также приведён перечень из реестра с краткими описаниями решений.

Требования ФСТЭК России к межсетевым экранам и средствам обнаружения вторжений

Изменения в системе сертификации средств защиты информации, уровни доверия

Средства защиты информации (СЗИ) содержат программный код, в котором могут присутствовать компоненты, позволяющие провести успешную атаку на охраняемые объекты. Не указанные в документации или описанные с искажениями функциональные возможности, использование которых приводит к нарушению информационной безопасности, называются недекларированными. До недавних изменений ФСТЭК России подтверждала отсутствие скрытых возможностей по четырём уровням контроля, руководствуясь следующими нормативными актами:

  • «Положение о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27 октября 1995 г. № 199);
  • руководящий документ «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (утверждён приказом Гостехкомиссии России от 4 июня 1999 г. № 114).

В 2018 и 2019 годах появились новые документы:

  • «Положение о системе сертификации средств защиты информации» (утверждено приказом ФСТЭК России от 3 апреля 2018 г. № 55, вступило в силу 1 августа 2018 г.);
  • «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131, вступили в силу 1 августа 2018 г., применяются при проведении сертификационных испытаний с 1 мая 2019 г.);
  • «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении» (утверждена ФСТЭК России 11 февраля 2019 г., применяется при проведении сертификационных испытаний с 1 мая 2019 г.).

Перечислим основные изменения:

  • Увеличение срока действия сертификата соответствия до 5 лет.
  • Возможность применения средств защиты информации по окончании срока действия сертификата.
  • Детализация процедур сертификации и установление сроков их осуществления.
  • Определение порядка, согласно которому в сертифицированные СЗИ вносятся изменения.
  • Повышение требований, предъявляемых к заявителю на сертификацию и к изготовителю СЗИ.
  • Уточнение схем сертификации, введение процедуры проверки технической поддержки.
  • Установление критериев, на основании которых можно отказать в принятии решения о проведении сертификации, приостановить и прекратить действие сертификатов.
  • Возможность контроля за проведением сертификации.

Требования к изготовителю средств защиты информации

Производители должны обладать соответствующим разрешением ФСТЭК России в зависимости от того, какого рода данные они собираются охранять: лицензией на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, или на деятельность по разработке и производству средств защиты конфиденциальной информации.

Требования доверия

С 1 мая 2019 года подаются только заявки на сертификацию средств защиты информации по «Требованиям к уровням доверия». Если процесс проверки был запущен до этой даты, то можно завершить сертификацию на соответствие старому руководящему документу по уровню контроля недекларированных возможностей.

Критерии оценки СЗИ и профили защиты не затрагивают уровни доверия и применяются только в части общих предписаний, а также требований к функциям безопасности.

«Требования к уровням доверия» предъявляются к программным и программно-аппаратным средствам технической защиты информации, средствам обеспечения безопасности информационных технологий, включая защищённые СЗИ. Они представляют собой обязательную часть технического регулирования продукции, работ и услуг по защите сведений, составляющих государственную тайну или относящихся к иной информации ограниченного доступа (в том числе — охраняемой в соответствии с российским законодательством). Документ устанавливает уровни, характеризующие безопасность применения средств для обработки и защиты информации; самый низкий уровень — 6-й, самый высокий — 1-й.

Таблица 1. Соответствие между уровнями доверия и системами различных типов

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

Читать еще:  Программа аутлук как пользоваться?

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Погружение в Iptables – теория и настройка

Создание доменного пользователя и ввод компьютера в домен

Установка OpenMeetings по шагам

Что такое Big Data?

Что такое сервер и какие они бывают?

Свитер и борода — как стать системным администратором?

URL и URI — в чем различие?

Grandstream GXP1628

Антивирусное обеспечение организации

Зима сетевые угрозы близко

Что такое антивирусная защита? Примеры решений

Антивирусная защита (AV-защита) компаний призвана обеспечить безопасность данных, составляющих коммерческую тайну, а также всех остальных, хранящихся и используемых в корпоративной компьютерной сети и извне нее, но имеющих отношение к организации.

Важно учитывать, что если пользовательские антивирусы в основном отражают атаки вирусов, распространяющихся автоматически сразу на всех, то коммерческий AV-продукт уже должен «уметь» отражать индивидуальные несанкционированные попытки завладения информацией. Если злоумышленникам нет особого смысла стараться проникнуть на частный компьютер, то на компьютерную сеть организации уже вполне может быть предпринято серьезное вторжение по чисто коммерческим соображениям. И, чем выше капитализация компании, тем лучше должна быть AV-защита.

Если частное лицо задается вопросом «платить за антивирус, или не платить», то даже для малого бизнеса такой вариант неприемлем, так как компьютеры там работают не только с информацией, но и с электронными деньгами. В случае вирусной атаки убытки будут слишком значительными.

От корпоративного и «гражданского» антивируса требуются различные задачи. Например, продукт для простого пользователя должен «уметь» инсталлироваться на зараженный компьютер. То есть, когда вирус уже сработал, и пользователь «спохватился» об установке антивируса. Такая типичная для простого человека ситуация не должна происходить в организации. Там всегда установлен тот или иной антивирусный софт, который обязан постоянно обновляться. При этом от корпоративного антивируса сохраняется требование сложной задачи — «лечение» зараженной системы с восстановлением большого количества файлов. Корпоративный продукт отличается, он гораздо сложнее и стоит дороже пользовательского.

Виды угроз

Компьютерный вирус — вредоносная программа, обладающая свойствами распространения, (аналогия с распространяющимися биологическими вирусами). Термин «вирус» применяют и к другим рукотворным объектам информационной среды, например «вирусные» рекламные ролики, информационные вбросы, фейки. Цели разработки компьютерных вирусов различные. Первоначально они возникли как любительские изыскания, затем перешли на серьезную коммерческую основу с появлением электронных денег, так как появилась прямая возможность их (деньги) похитить. Сейчас индустрия антивирусных программ защищает не только личные, коммерческие, но и корпоративные и государственные интересы.

Но «вирус» — это несколько устаревшее название, которое, тем не менее, до сих пор крайне популярно в непрофессиональных кругах. Подробнее почитать про другие типы вредоносов можно почитать в другой нашей статье: https://wiki.merionet.ru/seti/19/tipy-vredonosnogo-po/

Антивирусные базы — основы антивирусов

Сигнатурный анализ невозможен без базы вирусов, которая содержит все опасные образцы кода. При этом нет никакой необходимости включать в базу буквально все, иначе она будет иметь слишком большой объем, и сравнение с ней затребует значительной вычислительной мощности. Достаточно добавить лишь те фрагменты кода, без которых создание программы, имеющей свойство самостоятельно распространяться (вируса), невозможно. Сигнатурный анализ повсеместно используется в антивирусном ПО, и сейчас переходит в интернет среду для анализа трафика на провайдерах.

База антивируса содержит не образцы вирусов, а сигнатуры — фрагменты кода, общие для многих вредоносных программ. Чем больше сигнатур содержит база — тем лучше защита, а чем меньше ее объем в байтах — тем меньше системных ресурсов потребляет антивирус.

Рейтинг AV-защиты от различных разработчиков

Для антивирусов важны объективные и независимые тесты надежности. Показатель защиты должен сопоставляться с потребляемой вычислительной мощностью, которая хотя и становится все более значительной, но не бесконечна. Вряд ли кому будут нужны антивирусы, сильно замедляющие работу компьютеров. Антивирусное ПО разрабатывается для различного железа: офисные компьютеры, мобильные устройства, специальное оборудование, например, медицинская техника, терминалы POS, промышленные компьютеры. В защите нуждается абсолютно все. Основные организации, тестирующие софт для AV-защиты и составляющие рейтинги и рекомендации:

  • AV-Test.
  • ICRT (Международная Ассамблея Потребительских Испытаний).
  • Лаборатория Касперского.
  • Роскачество.

AV-тест критически оценен лабораторией Касперского, которая официально призывает не доверять его сертификатам. Другие организации из этого списка отрицательных оценок в публичном поле не получали.

Эволюция антивирусов, что изменилось с начала 21 века?

Самые первые антивирусы, появившиеся еще в 90-х годах, использовали только сигнатурный анализ. Количество всех известных вредоносных программ на то время было невелико, и их всех можно было занести в базу. Критерий защиты был простой — кто больше вирусов «знает», тот и лучше. Операционные системы того времени (на начало 2000-х годов) не обновлялись так часто, как сейчас, и поэтому имеющиеся уязвимости держались долго, что и использовалось многочисленными хакерскими группировками. Незначительное распространение вирусов при весьма слабых антивирусах связывалось с отсутствием прямой коммерческой заинтересованности. То есть автор вируса не получал денег напрямую от проводимых атак с помощью своего детища. С распространением электронных денег (и криптовалют в особенности), ситуация в корне поменялась.

После 2010 года антивирусы дополнились облачными технологиями, причем облако может быть не только файловым хранилищем, но еще и аналитическим центром по отслеживанию всех кибератак в мире, что чрезвычайно важно для их пресечения.

Чисто сигнатурный подход уже не актуален, так как производство компьютерных вирусов поставлено хакерскими группировками на поток. Их появляются тысячи в день.

Последней новинкой в антивирусной индустрии являются алгоритмы машинного обучения вкупе с облачными технологиями big-data. Именно такое решение предлагается в сегменте корпоративной AV-защиты. Защита от кибератак переходит на надгосударственный уровень. Появляются ассоциации кибербезопасности. Особенность современных антивирусов — кроссплатформенность и наличие версий для защиты специализированного оборудования, например терминалов POS, банкоматов, критических объектов «интернета вещей». Железо в этих устройствах имеет очень небольшую вычислительную мощность, что учитывается при разработке защитного ПО для них.

Пример решения: Microsoft Defender Antivirus

Программное обеспечение от Microsoft лицензировано для применения во многих организациях, в том числе и в ряде компаний государственного сектора. Факт почти повсеместного доверия к ПО этого гиганта IT-индустрии упрощает регистрацию антивирусов в организации. Microsoft Defender Antivirus при тестировании в лаборатории AV-Comparatives (коммерческие версии) уверенно справляется с банковскими троянами MRG-Effitas.

Встроенный «защитник Windows 10» (пользовательское название Microsoft Defender Antivirus) стал корпоративным антивирусом лишь недавно. Ранее в его лицензионном соглашении стояла рекомендация «только для частного применения» и лицензия не позволяла его применять не по назначению. С изменением правил он стал чуть ли не единственным бесплатным коммерческим антивирусом. Правда, пока что только для мелкого бизнеса с числом рабочих станций не более 10.

Решения Лаборатории Касперского для крупного бизнеса

Крупному бизнесу приходится сталкиваться с угрозами иного уровня, чем частым лицам и мелким компаниям. В профессиональной среде это отмечается термином «целевые атаки», которые проводятся именно на крупный бизнес во всех странах мира. С целью защиты от них задействуются технологии машинного обучения, облачные данные и весь предыдущий опыт, в который входят десятки тысяч отраженных угроз, постоянный учет и коррекция ошибок. Корпоративные продукты от Касперского используют более 270000 компаний по всему миру. Примеры решений AV-защиты от всем известной компании:

  • KasperskyAtniTargetedAttack (Основной антивирусный продукт для крупного бизнеса, помимо стандартных функций безопасности нацелен на выявление ранее неизвестных атак, где не походит сигнатурный метод).
  • Kaspersky Endpoint Detection and Response («внутренний» антивирус для обнаружения и пресечения инцидентов на местах внутри корпорации, а не интернета извне).
  • KasperskyEmbeddedSystemsSecurity (для банкоматов и POS-терминалов с учетом требований их маломощного «железа»).
Пример решения: ESET NOD32 Antivirus Business Edition

Типовой антивирус для малого бизнеса. Использует технологии облачной защиты — подключение к ESET Live Grid с динамически обновляемыми базами и своевременными оповещениями о киберугрозах со всего мира, что ставит его на один уровень с передовыми продуктами Касперского. ESET NOD32 Antivirus Business Edition не работает на мобильных устройствах, поэтому подходит преимущественно для офисов со стандартными рабочими станциями. Корпорация ESET имеет хорошую репутацию, а тысячи компаний — значительный положительный опыт использования ее продукции.

Заключение

Антивирусная защита постоянно совершенствуется по мере роста IT-технологий. В нее вкладываются значительные инвестиции, так как любая организация вне зависимости от своего масштаба заинтересована в кибербезопасности. AV-защита проводится в комплексе с другими технологиями и правилами информационной безопасности — то есть используется «эшелонированный» подход — на периметре сети устанавливается межсетевой экран следующего поколения с включенной системой предотвращения угроз, отдельно защищается электронная почта и доступ в интернет, все подозрительные файлы отправляются в песочницу и пр. Таким образом, система защиты становится похожа на луковицу — тем, что у нее также много слоев, и из-за этого преодолеть ее становится сложнее.

Кроме того, очень популярна практика установки на предприятиях устанавливается система DLP, отслеживающая попытки несанкционированного доступа и неправильного использования данных. Сотрудники проходят тренинги, обучение «цифровой гигиене», правилам защиты коммерческой тайны. Все используемое программное обеспечение должно быть лицензионным, где разработчики ради сохранения репутации гарантирует сохранность данных. Сервера снабжаются функцией резервного копирования, доступ к информации обеспечивается только для проверенных лиц, что обеспечивается системой СКУД.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

😪 Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

😍 Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Брандмауэр и антивирус 2020

Статистические данные показывают, что средний подросток проводит до трех часов в день на платформах социальных сетей, независимо от того, работают ли их смартфоны или настольные компьютеры, а средний взрослый человек проводит около двух часов каждый день, отправляясь в Интернет через настольный компьютер или ноутбук. В начале технологической революции люди теперь проводят больше времени, проверяя Интернет каждое утро, чем с утренними делами. Интернет и социальные сети, безусловно, являются игроками, которые изменили лицо онлайн-экосистемы. Интернет-фиксация подпитывает разную зависимость в эту эпоху цифровых технологий. Поскольку Интернет делает все настолько доступным, он также оставляет вас уязвимым для онлайн-рисков безопасности. Это правда, что Интернет стал более чем необходимостью в нашей повседневной жизни, но это так же опасно. Интернет предлагает много социальных пособий, но не без справедливой доли связанных с этим рисков.

Что такое брандмауэр?

Поскольку интернет соединяет миллионы компьютеров по всему миру, чтобы создать огромную сеть, это может быть опасное место. Он создает риски не только для главного компьютера, но и для подключенных к нему компьютеров, что делает его еще более важным для защиты вашей сети от вредоносного вреда. Здесь вы видите брандмауэр. Брандмауэр — это аппаратная система безопасности, предназначенная для защиты вашего персонального компьютера и частной сети от входящего и исходящего трафика. Он предназначен для защиты как общедоступных, так и частных сетей от неизвестных угроз. Проще говоря, брандмауэр выступает в качестве барьера между вашей сетью и Интернетом. Он контролирует входящий и исходящий трафик для возможного нарушения, чтобы предотвратить несанкционированный доступ. Он анализирует пакеты данных, отправленные на основе заранее определенного набора или правил, и решает, какой из них следует пройти, и какой из них следует ограничить. Основная цель брандмауэра — запретить кому-либо или кому-либо войти в вашу сеть.

Что такое антивирус?

Хотя брандмауэр защищает ваши надежные сети от несанкционированного доступа, вам нужна сложная система безопасности для защиты ваших компьютеров от угроз, которые уже находятся в системе. Антивирус — это программа, которая обнаруживает и устраняет те угрозы, которые могут поставить под угрозу безопасность вашей системы или сети. Антивирус — это программное обеспечение или набор программ, предназначенных для защиты вашей системы от вирусов и червей, троянских коней, шпионских программ, вредоносных программ или чего-либо подозрительного, что может поставить под угрозу ваш компьютер. Это программа, изначально предназначенная для обнаружения, предотвращения и удаления вирусов с компьютера, отсюда и название. Даже электронные письма, которые вы получаете ежедневно, не полностью защищены, особенно вложения, полученные вместе с электронными письмами — они могут содержать вирус. Он находит программы или файлы или программное обеспечение, которые могут поставить под угрозу безопасность вашей системы, используя уязвимости в программах. Если и когда вирус обнаружен, антивирусное программное обеспечение использует различные меры безопасности, такие как карантин, исправление или постоянное удаление для защиты системы.

Читать еще:  5 советов, которые помогут сделать хороший сайт

Разница между брандмауэром и антивирусом

Основы брандмауэра и антивируса

Брандмауэр и антивирус — это механизмы безопасности, предназначенные для защиты вашей системы. Брандмауэр — это низкоуровневая система сетевой безопасности, предназначенная для защиты вашей системы и сети от вредоносного вреда. Он защищает как государственные, так и частные сети от угроз безопасности. С другой стороны, антивирус — это программная утилита, предназначенная для защиты вашего компьютера от внутренних угроз, таких как вирусы, вредоносные программы, программы-шпионы и т. Д.

Функция брандмауэра и антивируса

Брандмауэр также можно назвать «фильтром пакетов». Он действует как барьер между вашим компьютером и сетью, контролируя входящий и исходящий трафик и анализируя пакеты данных, которые перемещаются по сети. По сути, он фильтрует пакеты перед их отправкой, а если обнаружен подозрительный, он отбрасывает пакеты. Антивирус — это набор программ, предназначенных для поиска уязвимостей в вашей системе и принятия необходимых мер.

Назначение брандмауэра и антивируса

Целью брандмауэра является ограничение любого несанкционированного доступа в систему путем мониторинга сетевого трафика внутри и вне системы. Он проверяет поток данных из Интернета в систему, чтобы решить, какой из них следует разрешить, а какой должен быть ограничен. Целью антивирусной программы является обнаружение, сканирование, предотвращение и удаление вредоносных программ, которые могут поставить под угрозу ваш компьютер.

уровень

Брандмауэр обычно работает на уровне сетевого протокола, чтобы защитить общественные и частные сети от нежелательного вторжения. Настройка брандмауэра имеет свои преимущества, но также имеет свои недостатки. Он может только предотвращать несанкционированный доступ между компьютерными сетями на основе заранее определенного набора сетевых протоколов. С другой стороны, антивирус работает на уровне файлов, что означает, что программа сканирует только вредоносные программы, установленные в вашей системе, такие как черви, трояны, рекламное ПО, шпионское ПО, вредоносное ПО, руткиты, кейлогеры и т. Д.

Межсетевой экран против антивируса: сравнительная таблица

Краткое описание брандмауэра и антивируса

Хотя это может предполагать, что брандмауэры и антивирусные программы основаны на одной и той же концепции, то есть на распознавании, но с различными реализациями.Оба они обладают различными возможностями обнаружения, чтобы разгадать скрытые уязвимости в системе или по сети. Брандмауэр действует как барьер между системой и сетью, тогда как антивирус — это программная программа, предназначенная для обнаружения и устранения вирусов, вредоносных программ, троянов, шпионских программ, руткитов и клавиатурных шпионов из системы. Проще говоря, брандмауэр защищает вашу систему от несанкционированного доступа, когда он подключен к Интернету, контролируя и фильтруя входящие и исходящие данные. Антивирус — это программная утилита, предназначенная для ограничения проникновения вирусов в систему.

Межсетевые экраны или файерволы

Межсетевым экраном называется программно-аппаратный или программный элемент, контролирующий на основе заданных параметров сетевой трафик, а в случае необходимости и фильтрующий его. Также может называться фаейрволом (Firewall) или брандмауэром.

Назначение межсетевых экранов

Сетевой экран используется для защиты отдельных сегментов сети или хостов от возможного несанкционированного проникновения через уязвимости программного обеспечения, установленного на ПК, или протоколов сети. Работа межсетевого крана заключается в сравнении характеристик проходящего сквозь него трафика с шаблонами уже известного вредоносного кода.

Наиболее часто сетевой экран инсталлируется на границе периметра локальной сети, где он выполняет защиту внутренних узлов. Тем не менее, атаки могут инициироваться изнутри, поэтому при атаке на сервер той же сети, межсетевой экран не воспримет это как угрозу. Это стало причиной, по которой брандмауэры стали устанавливать не только на границе сети, но и между её сегментами, что значительно повышает степень безопасности сети.

История создания

Свою историю сетевые экраны начинают с конца восьмидесятых прошлого века, когда Интернет ещё не стал повседневной вещью для большинства людей. Их функцию выполняли маршрутизаторы, осуществлявшие анализ трафика на основе данных из протокола сетевого уровня. Затем, с развитием сетевых технологий, эти устройства смогли использовать данные уже транспортного уровня. По сути, маршрутизатор являет собой самую первую в мире реализацию программно-аппаратного брандмауэра.

Программные сетевые экраны возникли много позже. Так, Netfilter/iptables, межсетевой экран для Linux, был создан только в 1998 году. Связано это с тем, что ранее функцию фаейрвола выполняли, и весьма успешно, антивирусные программы, но с конца 90-х вирусы усложнились, и появление межсетевого экрана стало необходимым.

Фильтрация трафика

Трафик фильтруется на основе заданных правил – ruleset. По сути, межсетевой экран представляет собой последовательность анализирующих и обрабатываемых трафик фильтров согласно данному пакету конфигураций. У каждого фильтра своё назначение; причём, последовательность правил может значительно влиять на производительность экрана. К примеру, большинство файрволов при анализе трафика последовательно сравнивают его с известными шаблонами из списка – очевидно, что наиболее популярные виды должны располагаться как можно выше.

Принципов, по которому осуществляется обработка входящего трафика, бывает два. Согласно первому разрешаются любые пакеты данных, кроме запрещённых, поэтому если он не попал ни под какое ограничение из списка конфигураций, он передается далее. Согласно второму принципу, разрешаются только те данные, которые не запрещены – такой метод обеспечивает самую высокую степень защищенности, однако существенно нагружает администратора.

Межсетевой экран выполняет две функции: deny, запрет данных – и allow – разрешение на дальнейшую передачу пакет. Некоторые брандмауэры способны выполнять также операцию reject – запретить трафик, но сообщить отправителю о недоступности сервиса, чего не происходит при выполнении операции deny, обеспечивающей таким образом большую защиту хоста.

Типы межсетевых экранов (Firewall)

Чаще всего межсетевые экраны классифицируют по поддерживаемому уровню сетевой модели OSI. Различают:

  • Управляемые коммутаторы;
  • Пакетные фильтры;
  • Шлюзы сеансового уровня;
  • Посредники прикладного уровня;
  • Инспекторы состояния.

Управляемые коммутаторы

Нередко причисляются к классу межсетевых экранов, но осуществляют свою функцию на канальном уровне, поэтому не способны обработать внешний трафик.

Некоторые производители (ZyXEL, Cisco) добавили в свой продукт возможность обработки данных на основе MAC-адресов, которые содержатся в заголовках фреймов. Тем не менее, даже этот метод не всегда приносит ожидаемый результат, так как мак-адрес можно легко изменить с помощью специальных программ. В связи с этим в наши дни коммутаторы чаще всего ориентируются на другие показатели, а именно на VLAN ID.

Виртуальные локальные сети позволяют организовывать группы хостов, в которые данные стопроцентно изолированы от внешних серверов сети.

В рамках корпоративных сетей управляемые коммутаторы могут стать весьма эффективным и сравнительно недорогим решением. Главным их минусом является неспособность обрабатывать протоколы более высоких уровней.

Пакетные фильтры

Пакетные фильтры используются на сетевом уровне, осуществляя контроль трафика на основе данных из заголовка пакетов. Нередко способны обрабатывать также заголовки протоколов и более высокого уровня – транспортного (UDP, TCP), Пакетные фильтры стали самыми первыми межсетевыми экранами, остаются самыми популярными и на сегодняшний день. При получении входящего трафика анализируются такие данные, как: IP получателя и отправителя, тип протокола, порты получателя и источника, служебные заголовки сетевого и транспортного протоколов.

Уязвимость пакетных фильтров заключается в том, что они могут пропустить вредоносный код, если он разделен на сегменты: пакеты выдают себя за часть другого, разрешённого контента. Решение этой проблемы заключается в блокировании фрагментированных данных, некоторые экраны способны также дефрагментировать их на собственном шлюзе – до отправки в основной узел сети. Тем не менее, даже в этом случае межсетевой экран может стать жертвой DDos-атаки.

Пакетные фильтры реализуются в качестве компонентов ОС, пограничных маршрутизаторов или персональных сетевых экранов.

Пакетные фильтры отличаются высокой скоростью анализа пакетов, отлично выполняют свои функции на границах с сетями низкой степени доверия. Тем не менее, они неспособны анализировать высокие уровни протоколов и легко могут жертвами атак, при которых подделывается сетевой адрес.

Шлюзы сеансового уровня

Использование сетевого экрана позволяет исключить прямое взаимодействие внешних серверов с узлом – в данном случае он играет роль посредника, называемого прокси. Он проверяет каждый входящий пакет, не пропуская те, что не принадлежат установленному ранее соединению. Те пакеты, которые выдают себя за пакеты уже завершённого соединения, отбрасываются.

Шлюз сеансового уровня – единственное связующее звено между внешней и внутренней сетями. Таким образом, определить топологию сети, которую защищает шлюз сеансового уровня, становится затруднительно, что значительно повышает её защищённость от DoS-атак.

Тем не менее, даже у этого решения есть значительный минус: ввиду отсутствия возможности проверки содержания поля данных хакер относительно легко может передать в защищаемую сеть трояны.

Посредники прикладного уровня

Как и шлюзы сеансового уровня, фаейрволы прикладного уровня осуществляют посредничество между двумя узлами, но отличаются существенным преимуществом – способностью анализировать контекст передаваемых данных. Сетевой экран подобного типа может определять и блокировать нежелательные и несуществующие последовательности команд (подобное часто означает ДОС-атаку), а также запрещать некоторые из них вообще.

Посредники прикладного уровня определяют и тип передаваемой информации – ярким примером являются почтовые службы, запрещающие передачу исполняемых файлов. Кроме этого они могут осуществлять аутентификацию пользователя, наличие у SSL-сертификатов подписи от конкретного центра.

Главным минусом такого типа сетевого экрана является долгий анализ пакетов, требующий серьёзных временных затрат. Помимо этого, у посредников прикладного уровня нет автоподключения поддержки новых протоколов и сетевых приложений.

Инспекторы состояния

Создатели инспекторов состояния поставили перед собой цель собрать воедино преимущества каждого их выше перечисленных типов сетевых экранов, получив таким образом брандмауэр, способный обрабатывать трафик как на сетевом, так и на прикладном уровнях.

Инспекторы состояния осуществляют контроль:

  • всех сессий – основываясь на таблице состояний,
  • всех передаваемых пакетов данных – на основе заданной таблицы правил,
  • всех приложений, на основе разработанных посредников.

Фильтрация трафика инспектора состояния происходит тем же образом, что и при использовании шлюзов сеансового уровня, благодаря чему его производительность гораздо выше, чем у посредников прикладного уровня. Инспекторы состояния отличаются удобным и понятным интерфейсом, лёгкой настройкой, обладают широкими возможностями расширения.

Реализация межсетевых экранов

Межсетевые экраны (Firewall) могут быть либо программно-аппаратными, ибо программными. Первые могут быть выполнены как в виде отдельного модуля в маршрутизаторе или коммутаторе, так и специального устройства.

Чаще всего пользователи выбирают исключительно программные межсетевые экраны – по той причине, что для их использования достаточно лишь установки специального софта. Тем не менее, в организациях нередко найти свободный компьютер под заданную цель, бывает затруднительно – к тому же, отвечающий всем техническим требованиям, зачастую довольно высоким.

Именно поэтому крупные компании предпочитают установку специализированных программно-аппаратных комплексов, получивших название «security appliance». Работают они чаще всего на основе систем Linux или же FreeBSD, ограниченных функционалом для выполнения заданной функции.

Такое решение имеет следующие преимущества:

  • Лёгкое и просто управление: контроль работы программно-аппаратного комплекса осуществляется с любого стандартного протокола (Telnet, SNMP) – или защищённого (SSL, SSH).
  • Высокая производительность: работа операционной системы направлена на одну единственную функцию, из неё исключены любые посторонние сервисы.
  • Отказоустойчивость: программно-аппаратные комплексы эффективно выполняют свою задачу, вероятность сбоя практически исключена.

Ограничения межсетевого экрана (Firewall-а)

Сетевой экран не проводит фильтрацию тех данных, которые не может интерпретировать. Пользователь сам настраивает, что делать с нераспознанными данными – в файле конфигураций, согласно которым и осуществляется обработка такого трафика. К таким пакетам данным относятся трафик из протоколов SRTP, IPsec, SSH, TLS, которые используют криптографию для скрытия содержимого, протоколы, шифрующие данные прикладного уровня (S/MIME и OpenPGP). Также невозможна фильтрация туннелирования трафика, если механизм того туннелирования непонятен сетевому экрану. Значительная часть недостатков межсетевых экранов исправлена в UTM-системах — Unified Threat Management, иногда их так же называют NextGen Firewall.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector