Podstawowe metody filtrowania ruchu

Zagrożenia ze strony złośliwych programów

Podstawowe metody filtrowania ruchu

Kontrola zawartości

Jednym z najpospolitszych zagrożeń bezpieczeństwa sieci komputerowych są programy wykorzystujące słabe punkty systemów operacyjnych do "nie kontrolowanej działalności". Programy te mogą służyć zarówno do destrukcji systemów, jak i do nielegalnego uzyskiwania informacji systemowych lub użytkowych. Coraz powszechniejsze wykorzystanie Internetu w systemach przetwarzania danych uczyniło zadanie ochrony tych systemów bardziej skomplikowanym niż dotychczas. Pojawiła się też większa rozmaitość "tworów programowych" stanowiących zagrożenie przenoszone przez Internet. Zagrożenia te to zarówno tradycyjne wirusy, poszerzane o nowe typy plików wykonywalnych, jak i relatywnie nowe programy, powstające z wykorzystaniem techniki komponentowej i rozproszonego przetwarzania, nazywane często wandalami.

Wandale, w przeciwieństwie do wirusów używających innych programów wykonywalnych, są samowykonalnymi miniaplikacjami. Mogą przybierać postać apletów Javy, kontrolek ActiveX, konektorów programowych (plugs-in), skryptów lub form tworzonych w nowych językach programowania, związanych głównie z budową stron webowych. Siedliskami wandali mogą być:

  • Poczta elektroniczna - poza normalną treścią może przenosić różnego rodzaju załączniki, zawierające aplety-wandale, konie trojańskie lub wirusy.

  • Strony webowe - najnowsze techniki internetowe, oparte na Javie czy ActiveX, używane do tworzenia stron dynamicznych, dają możliwość podsyłania złośliwych apletów czy kontrolek utworzonych w celach destrukcyjnych lub wywiadowczych.

  • Sprowadzanie plików - chociaż transfer plików jest powszechny w Internecie, niebezpieczeństwo z tym związane jest znacznie mniejsze niż w poprzednim przypadku. Sprowadzony plik może być bowiem sprawdzony przed wykonaniem.

  • Dostawa zawartości techniką push pozwala na automatyczne dostarczanie zawartości subskrybentowi. Wymaga to zainstalowania na stacji odpowiedniego oprogramowania klienckiego, które odpytuje serwer dostawcy o najnowsze informacje. Może się więc zdarzyć, że tą drogą zostanie dostarczony aplet wandala.
W przeciwieństwie do wirusów (wymagających uruchomienia zarażonego programu w celu spowodowania jego działania) wandale są samowykonywalnymi aplikacjami intenetowymi. Nie replikują się i nie zarażają innych plików, ale za to powodują bezpośrednie zniszczenia. Nie mogą być wykrywane przez tradycyjne programy antywirusowe, ponieważ nie mają wzorców.

Nowe metody zabezpieczeń antywirusowych

Wirusy nowej generacji zmusiły producentów systemów antywirusowych do weryfikacji zasad ich budowy. Tradycyjne oprogramowanie antywirusowe okazało się nieskuteczne w przypadku takich wirusów (robaków) jak CodeRed czy Nimda. Ochrona przed atakami tego typu robaków wymaga stosowania rozbudowanego systemu antywirusowowego, obejmującego: bramy na styku z Internetem, serwery pocztowe i webowe w strefie DMZ (zdemilitaryzowanej), serwery plików w sieci korporacyjnej oraz liczne urządzenia klienckie, w tym komputery naręczne czy inne urządzenia bezprzewodowe. Systemy antywirusowe wzmacnia się mechanizmami filtrowania treści internetowych i przesyłek pocztowych (np. automatyczne usuwanie załączników o określonych rozszerzeniach - .exe, .vbs itp.).

Producenci zaczęli dostarczać scentralizowane konsole do zarządzania oprogramowaniem antywirusowym, umożliwiające prowadzenie jednolitej polityki antywirusowej w obrębie całej sieci przedsiębiorstwa. Istotne jest tu przede wszystkim systematyczne uaktualnianie sygnatur wirusów, które musi być praktycznie wykonywane codziennie (a niekiedy nawet częściej). Konsola pozwala również na centralne rekonfigurowanie zapór ogniowych wyposażonych w oprogramowanie antywirusowe oraz takiego oprogramowania pracującego na stacjach roboczych, a także na czasowe odłączanie takich stacji, jeżeli uległy infekcji.

Pojawiły się też rozwiązania antywirusowe w formie specjalizowanych urządzeń (Symantec Gateway Security - modele 5110, 5200 i 5300, McAfee WebShield e500, oraz AYStripper firm Trend Micro i Ositis). Urządzenia te umieszcza się na styku sieci lokalnej z Internetem.


TOP 200