De procedure voor het implementeren van antivirusbescherming. Antivirusbeveiliging configureren Een antivirusbeveiligingsserver maken

Installatie

VYACHESLAV MEDVEDEV, hoofdanalist van de ontwikkelingsafdeling van Doctor Web

De procedure voor het implementeren van antivirusbescherming

Vaak zijn klanten op het moment van selectie (en soms al op het moment van aankoop) geïnteresseerd in aanbevelingen voor het implementeren van antivirusbescherming of voor het vervangen van een eerder gebruikt product. In dit artikel wordt besproken hoe u het proces goed kunt organiseren

Een uiterst belangrijk punt. Helaas gaan verkoopcontacten in de meeste gevallen met managers en wordt het testprobleem overgedragen aan systeembeheerders. Het resultaat is vaak een rapport dat zelfs de verkoper verrast. Verkeerde productnamen, oude versies, indicaties van een gebrek aan functionaliteit die eigenlijk al jaren bestaat, etc. Alles moet opnieuw worden gedaan, maar de trein is al vertrokken, en de zakelijke eer maakt het moeilijk om toe te geven dat hun specialisten niet over de nodige kwalificaties beschikken.

1) Het bestuderen van de mogelijkheden van de oplossing tijdens testinstallaties van beveiligingssystemen voor werkstations, bestandsservers, mailservers, evenals beheerservers voor antivirusbescherming. Ook hier zijn er verschillende valkuilen. Vreemd genoeg, maar vaak weten klanten niet wat ze nodig hebben. En het zou goed zijn als de vraag over functionaliteit ging, het zou duidelijk zijn. Vaak veroorzaakt zelfs de kwestie van de lijst met software die in de organisatie wordt gebruikt, problemen, die op hun beurt niet toelaten om voorstellen te doen voor de lijst met geleverde software.

Het tweede probleem houdt verband met het feit dat systeembeheerders (die in de regel testen uitvoeren) goed op de hoogte zijn van de gebruikte producten, maar (uiteraard) niet de voor- en nadelen van het te testen product kennen (maar tegelijkertijd tijd dat ze verwachten dat er valkuilen zullen zijn bij aankoop van een product) . Dienovereenkomstig wordt aanbevolen dat u met de toekomstige leverancier een lijst van procedures overeenkomt die met het gekochte product zullen worden geïmplementeerd en stapsgewijze instructies voor deze functionaliteit of, bij afwezigheid van dergelijke instructies, instructies voor het testen opvraagt. Zo voorkom je dat je tijd verspilt aan het bestuderen van niet voor de hand liggende zaken.

2) Het controleren van de geldigheid van het beveiligingsbeleid dat is opgesteld in overeenstemming met het informatiebeveiligingsbeleid van het bedrijf. Omdat elk product de door het bedrijf vereiste functionaliteit op zijn eigen manier implementeert (het staat bijvoorbeeld het gebruik van een willekeurige browser voor beheer toe of niet), kunnen zowel de lijst met procedurestappen als de duur ervan verschillen. In normale tijden is dit niet kritiek, maar bij een viraal incident kan elke seconde kostbaar zijn.

3) Controle van de compatibiliteit van de Dr.Web-software en de software die in het bedrijf wordt gebruikt. Software-incompatibiliteit is niet gebruikelijk, maar een dergelijke mogelijkheid kan niet worden genegeerd. Daarom is deze stap ook verplicht tijdens het testen van het voorgestelde product.

4) Verfijning van het Dr.Web software-implementatieplan op basis van de resultaten van testinstallaties in overeenstemming met de structuur van het bedrijfsnetwerk van het bedrijf en het werkschema van de medewerkers.

a) Verduidelijking van het tijdstip van implementatie van Dr.Web-softwarecomponenten in de voorwaarden van het lokale netwerk van het bedrijf. Heel vaak wordt tijdens het inkoopproces de vraag gesteld over de benodigde tijd voor implementatie. De praktijk leert dat de duur van de inzet in verreweg de meeste gevallen uitsluitend afhangt van de specialisten van het bedrijf. Volgens dezelfde praktijk is een weekend voldoende om een ​​bedrijf volledig over te zetten van het ene beveiligingssysteem naar het andere met het aantal stations dat de duizend nadert.

b) Selecteren van het type implementatie van Dr.Web-software op lokale stations en bestandsservers (AD-beleid, lokale distributies uitvoeren, het netwerk scannen op onbeveiligde stations, enz.). Afhankelijk van de netwerkbandbreedte, Active Directory, filialen en beveiligingsvereisten voor externe medewerkers, kan een bedrijf kiezen uit verschillende implementatieopties (zie afbeelding 1).

c) Het kiezen van de volgorde en het tijdstip van software-implementatie in overeenstemming met de structuur van het bedrijfsnetwerk van het bedrijf en het werkschema van de werknemers. Het is van groot belang om de continuïteit van het bedrijf te waarborgen tijdens de inzet van het beveiligingssysteem. Volgens de wet van gemeenheid kunnen op het moment van gebrek aan bescherming de meest verschrikkelijke infecties optreden.

Een voorbeeld van een implementatieschema voor een antivirusinstallatie in een bedrijfsnetwerk wordt getoond in Fig. 2.

5) Training van beveiligingsbeheerders van bedrijven in het werken met software.

6) Ontwikkeling van procedures met betrekking tot het verwijderen van de gebruikte antivirussoftware en software-installatie.

Vreemd genoeg roept het verwijderen van de gebruikte antivirus veel vragen op. Klanten eisen dat de geïnstalleerde antivirus de eerder gebruikte antivirus verwijdert. Helaas is dit in de meeste gevallen niet mogelijk. Het zelfbeschermingssysteem van de antivirus, ontworpen om indringers te weerstaan, voorkomt dat het door iemand kan worden verwijderd.

a) Ontwikkeling van beschermingsmaatregelen voor de periode van afwezigheid van antivirussoftware op de elementen van het bedrijfsnetwerk. Als alternatief kunt u het scannen van al het inkomende verkeer op de gateway voor een bepaalde periode implementeren en het gebruik van verwisselbare media verbieden.

7) Controleren van het lokale netwerk (beveiligde stations en servers) op de beschikbaarheid van services die nodig zijn voor software-implementatie in het bedrijfsnetwerk. Pas indien nodig de firewallregels aan die in het bedrijfsnetwerk worden gebruikt. Ook dit punt is problematisch. Vreemd genoeg kan geen enkel product uit het niets condenseren op een beschermde computer. Afhankelijk van het gekozen type implementatie, moet u bepaalde poorten openen, de vereiste services inschakelen, enz.

Soms zijn het de beperkingen op de poorten en services die door het bedrijf worden gebruikt als basis voor het kiezen van het type inzet.

8) Goedkeuring van het inzetschema in het bedrijfsnetwerk. De planning naar de medewerkers van het bedrijf brengen in het deel dat hen aangaat. Werknemers van het bedrijf moeten op de hoogte zijn (in het deel dat hen aangaat) over de gebeurtenissen die in het bedrijf worden gehouden. Als onderdeel van de lopende activiteiten moeten de specialisten van het bedrijf snel toegang kunnen krijgen tot de benodigde computers en gebouwen. Vaak is dit niet mogelijk zonder toestemming van de betreffende leider.

Vervangen van antivirussoftware in het bedrijfsnetwerk

1) De benodigde software voorbereiden, afhankelijk van het geselecteerde implementatietype. Het is vrij duidelijk dat voor verschillende besturingssystemen, soorten applicaties, enz. verschillende distributies worden gebruikt.

  • Installatie van hiërarchische netwerkservers, clusterknooppunten en, indien nodig, de benodigde database (zie figuur 3).

  • Implementatie van het Dr.Web-serverredundantiesysteem (zie Fig. 4). Elke server kan crashen. Maar de val van de antivirusserver leidt tot de beëindiging van updates van de beschermde stations. Daarom is redundantie van antivirusservers essentieel.

  • Groepen en beleid instellen.
  • Indien nodig het aanstellen van individuele beheerders van een gebruikersgroep en het beperken van de rechten van deze beheerders in overeenstemming met het in het bedrijf geldende beleid.
  • Uitvoeren van de benodigde werkzaamheden afhankelijk van het gekozen inzetbeleid. Bijvoorbeeld AD-configuratie.

2) Scannen van het bedrijfsnetwerk met Dr.Web CureNet! voor voorheen onbekende malware (Zie Afb. 5). Helaas is er geen garantie dat de pc waarop de installatie moet worden geïnstalleerd, vrij is van malware. Installatie op een geïnfecteerde machine is natuurlijk mogelijk, maar er is altijd een kans dat een actieve malware functionaliteit heeft die erop gericht is de installatie van een antivirusprogramma te voorkomen. Dit zorgt er op zijn minst voor dat het implementatieproces van de bescherming niet op schema ligt, dus het is het beste om kort voor de installatie op malware te controleren.

  • Installeren van het beveiligingssysteem voor werkstations en fileservers volgens de instellingen die in de vorige fase zijn gemaakt.
  • Installatie van een beveiligingssysteem voor mailservers, internetgateways.

5) Werking van de software tijdens de testperiode.

6) Uitvoeren van software-updates in overeenstemming met het geldende beleid in het bedrijf.

7) Periodieke controles van beveiligde werkstations, bestands- en mailservers (Zie Afb. 7).

8) Controle van software-acties op testimpacts van kwaadaardige software.

9) Controle van de procedure voor interactie met technische ondersteuning.

Over het algemeen is er niets ingewikkelds als je je van tevoren op een bepaalde fase voorbereidt.

Veel succes met je inzet!


In contact met

Een server is een gespecialiseerde computer, waarop de acties plaatsvinden zonder de actieve deelname van de gebruiker. Meestal wordt daar servicesoftware geïnstalleerd om bepaalde taken uit te voeren. Via zo'n computer worden gegevens uitgewisseld, acties gestart, wiskundige berekeningen uitgevoerd en nog veel meer. Alle servers verschillen in type, er zijn bijvoorbeeld gaming-, web-, mail- en proxyservers. Elk van deze apparaten voert een duidelijk gedefinieerde taak uit. Vaak is er voor de veilige werking van zo'n machine een antivirusprogramma op geïnstalleerd, dus we willen je graag meer vertellen over dergelijke software, waarbij we een paar specifieke oplossingen uitlichten.

Platform: Windows Server

Het bekende antivirusbedrijf Avast brengt een assembly uit speciaal voor servers, met extra handige tools. Kijk bijvoorbeeld eens naar de functie "Gegevensvernietiging". Het is op zo'n manier geïmplementeerd dat het willekeurig gegenereerde informatie in alle verwijderde gegevens overschrijft, waardoor het niet mogelijk is om de oorspronkelijke staat van het bestand opnieuw te creëren wanneer wordt geprobeerd het te herstellen. Daarnaast is er "Gedragsanalyse"- een tool die verantwoordelijk is voor het scannen van werkapplicaties op verdachte activiteiten. Als Kladblok toegang probeert te krijgen tot dezelfde webcam, wordt een dergelijk verzoek onmiddellijk geblokkeerd. Zo'n voorbeeld is natuurlijk simpel, maar de functie werkt op een hoger niveau.

Avast Business Antivirus Pro heeft ook een ingebouwde firewall, slim scannen, spambeveiliging, wachtwoordbeveiliging en eenvoudiger aanmelden bij accounts. Er is ook een constante vergelijking van waarschijnlijke bedreigingen met de huidige virusdatabase met behulp van de Software defender-technologie. Hiermee kunt u alleen communiceren met geverifieerde gegevens. Op zijn beurt stuurt de CyberCapture-tool verdachte objecten naar het Threat Lab.

Avira Antivirus-server

Platform: Windows Server

Avira Antivirus Server is een speciale oplossing van het ontwikkelbedrijf voor servers met het Windows-besturingssysteem. De makers beloven de meest efficiënte werking met een laag verbruik van systeembronnen, een hoge detectiegraad van bedreigingen en gebruiksgemak. De assembly heeft tools toegevoegd voor bescherming bij toegang, dat wil zeggen, het controleert lopende processen wanneer ze worden geopend door andere applicaties. Er is ook handmatige scanning, waarmee u op elk moment de analyse van de opgegeven media of een aparte map kunt starten.

Nogmaals, we merken op dat de ontwikkelaar bijzondere nadruk legt op een laag verbruik van pc-bronnen en gemak van antivirusbeheer. Constante gratis innovaties en updates van de virusdatabase worden ook beloofd. Als u geïnteresseerd bent om kennis te maken met dit product, kunt u een gratis versie krijgen voor een periode van 30 dagen op de officiële website door het daarvoor bestemde formulier in te vullen. Tijdens het testen zijn alle tools en functies beschikbaar, evenals een gratis contact met de ondersteuningsdienst.

ESET Bestandsbeveiliging

ESET File Security is ontworpen om op Windows- en Linux-servers te draaien en biedt meerlaagse bescherming dankzij de extra ESET Dynamic Threat Defense cloud-sandboxcomponent. Het cloudgebaseerde beveiligingssysteem beschermt automatisch tegen nieuwe bedreigingen zonder te wachten op een update van de detectie-engine (de opgegeven gemiddelde updatetijd is 20 minuten). Ingebouwde bescherming tegen netwerkaanvallen herkent bekende kwetsbaarheden op netwerkniveau en bij gebruik van OneDrive scant de Office 365 OneDrive Storage-engine deze. Ook moet aandacht worden besteed aan het voorkomen van de invloed van botnets. De tool vindt niet alleen een kwaadaardige verbinding, maar detecteert ook dezelfde processen, blokkeert onmiddellijk gevaarlijke activiteiten en stelt de gebruiker hiervan op de hoogte.

Om ESET File Security te beheren, wordt de gebruiker gevraagd de console op Windows of Linux te installeren en is er een virtueel importapparaat om de installatie te vereenvoudigen. U kunt kennis maken met alle functionaliteit van deze antivirus, de gratis versie proberen en de volledige versie kopen op de officiële website van de ontwikkelaars.

kaspersky beveiliging

Platform: Windows Server, Linux

Kaspersky Security for Servers maakt deel uit van de assemblages - Total, Endpoint Security for Business, Kaspersky Security for Virtual and Cloud Environments en Kaspersky Security for Storage Systems. Door een van deze versies aan te schaffen, krijgt u een betrouwbare bescherming voor uw server tegen de nieuwste generatie malware. De software in kwestie heeft geavanceerde serverbeveiliging en biedt bescherming tegen exploits, bescherming van terminalservers, bewaakt extern verkeer, systeemintegriteit en beschermt continu gegevensopslagsystemen met behulp van een tool op meerdere niveaus. Ingebouwde beheersystemen voor beheerdersrechten bieden eenvoudig beheer, meldingen en integratie met SIEM-systemen en Windows-firewallbeheer.

Ik wil graag opmerken dat Kaspersky Security afzonderlijke systeemvereisten heeft voor specifieke opslagplatforms, bijvoorbeeld voor NetApp - Clustered Data ONTAP 8.x en 9.x en Data ONTAP 7.x en 8.x in 7-modus, en voor EMC Isilon - IBM System Storage N-serie. U kunt kennis maken met de lijst met alle vereisten bij het downloaden van de antivirus op de Kaspersky-website.

McAfee VirusScan Enterprise

Platform: Windows Server, Linux

Voorheen installeerden gebruikers McAfee Endpoint Security op hun servers, maar de ontwikkelaars besloten dit product te verbeteren met een verdere naamsverandering. Nu is het VirusScan Enterprise. Iedereen die deze antivirus eerder heeft gebruikt, krijgt een gratis migratie aangeboden. De officiële website biedt alle nodige instructies en lessen over dit onderwerp. De basistoolkit van de nieuwe versie omvat: een firewall, webcontroles voor het delen van informatie over bedreigingen, een verplichte antivirus en opties om misbruik van kwetsbaarheden te voorkomen.

McAfee VirusScan Enterprise maakt ook gebruik van moderne machine learning-technieken. Dergelijke technologieën maken het mogelijk om kwaadaardige code te detecteren door middel van statische en gedragskenmerken. Malware wordt ingesloten zodra het het systeem binnenkomt, waardoor het andere processen niet kan infecteren. Endpoint Detection and Tesponse-technologie is verantwoordelijk voor endpoint-detectie en -respons - hierdoor kunt u met één klik op bedreigingen reageren.

Comodo Antivirus voor Linux

Platform: Linux

De ontwikkelaars van Comodo Antivirus hebben een aparte versie voor besturingssystemen op basis van de Linux-kernel gepresenteerd. Dit programma wordt ondersteund door de meeste distributies, zowel 32-bits als 64-bits.Van de functies wil ik meteen de mailfilter noemen, die compatibel is met populaire mailagents: Postfix, Qmail, Sendmail en Exim MTA. De fabrikant garandeert betrouwbare realtime bescherming, installatiegemak en geen ingewikkelde configuratiestappen. Het antispamsysteem kan volledig met de hand worden bewerkt, maar de standaardinstellingen zorgen voor een goede filtering. Als de gebruiker nog meer controle over bestanden wil krijgen, is er een functie beschikbaar om in te schakelen "Realtime gedragsanalyse". Alle verdachte objecten worden naar de cloud-gedragsanalyseserver gestuurd.

Voor comfortabel gebruik van Comodo Antivirus heeft u een krachtige computer nodig met een minimale processorfrequentie van 2 GHz en 2 GB vrij RAM. U hoeft zich geen zorgen te maken over het uitvoeren van scans: het is voldoende om hun plan slechts één keer te configureren en in de toekomst zullen ze automatisch worden gestart. Het is mogelijk om de analyse op elk geschikt moment te starten door op slechts één knop te drukken. De antivirus in kwestie is open source, gratis verspreid en gedownload van de officiële website.

Chkrootkit

Platform: Linux

Chkrootkit (Check Rootkit) is een programma dat veel wordt gebruikt door systeembeheerders om het besturingssysteem te beschermen tegen bekende rootkits. Een rootkit is een verzameling componenten, zoals scripts, uitvoerbare bestanden of configuratiebestanden, die de functie vervullen van het maskeren, controleren en verzamelen van gegevens. Met behulp van dergelijke tools dringen aanvallers het besturingssysteem binnen en krijgen alle benodigde informatie. De hierboven genoemde software is alleen bedoeld om de computer tegen dit soort activiteiten te beschermen. Chkrootkit vereist geen installatie en kan worden uitgevoerd vanaf een live-cd. Het werk erin wordt uitgevoerd via elke handige console en het beheer is zelfs voor een onervaren gebruiker duidelijk.

Chkrootkit werkt vrij snel, doet zijn werk goed, neemt niet veel ruimte in beslag op de schijf, maar bevat tegelijkertijd een enorm aantal modules voor elk type gebruiker. Op de officiële website zijn er assemblages van het programma in verschillende extensies, en downloaden is beschikbaar vanaf een directe bron of verschillende mirrors.

U hebt kennis gemaakt met antivirusoplossingen die de beste oplossing zijn voor verschillende soorten servers. Zoals u kunt zien, heeft elke software zijn eigen kenmerken, dus het zal in bepaalde situaties het nuttigst zijn.

Het is onmogelijk om de server voor eens en voor altijd te beschermen tegen externe toegang, omdat elke dag nieuwe kwetsbaarheden worden ontdekt en nieuwe manieren om de server te hacken verschijnen. In dit artikel zullen we het hebben over het beschermen van servers tegen ongeoorloofde toegang.

De servers van elk bedrijf kunnen vroeg of laat een doelwit worden voor hacking of een virusaanval. Het resultaat van een dergelijke aanval is doorgaans gegevensverlies, reputatieschade of financiële schade, dus serverbeveiligingsproblemen moeten in de eerste plaats worden aangepakt.

Het moet duidelijk zijn dat bescherming tegen serverhacking een reeks maatregelen is, inclusief maatregelen die een constante monitoring van de serverwerking impliceren en werken om de bescherming te verbeteren. Het is onmogelijk om de server voor eens en voor altijd te beschermen tegen externe toegang, omdat elke dag nieuwe kwetsbaarheden worden ontdekt en nieuwe manieren om de server te hacken verschijnen.

In dit artikel zullen we het hebben over het beschermen van servers tegen ongeoorloofde toegang.

Manieren en methoden om servers te beschermen tegen ongeoorloofde toegang

Fysieke serverbeveiliging

Fysieke bescherming. Het is wenselijk dat de server zich in een beveiligd datacenter bevindt, een afgesloten en bewaakte ruimte, buitenstaanders mogen geen toegang hebben tot de server.

SSH-verificatie instellen

Gebruik bij het instellen van toegang tot de server SSH-sleutelauthenticatie in plaats van een wachtwoord, aangezien dergelijke sleutels veel moeilijker en soms gewoon onmogelijk te kraken zijn met een brute-force-zoekopdracht.

Als je denkt dat je nog steeds een wachtwoord nodig hebt, zorg er dan voor dat je het aantal pogingen om het in te voeren beperkt.

Let op als je een melding als deze ziet als je inlogt:

Laatste mislukte aanmelding: di 28 sep 12:42:35 MSK 2017 van 52.15.194.10 op ssh:notty
Er waren 8243 mislukte inlogpogingen sinds de laatste succesvolle login.

Het kan erop wijzen dat uw server is gehackt. Om de serverbeveiliging te configureren, wijzigt u in dit geval de SSH-poort, beperkt u de lijst met IP's van waaruit toegang tot de server mogelijk is, of installeert u software die buitensporig frequente en verdachte activiteiten automatisch blokkeert.

Installeer regelmatig de laatste updates

Installeer op tijd de nieuwste patches en updates van de serversoftware die u gebruikt - besturingssysteem, hypervisor, databaseserver, om de serverbeveiliging te garanderen.

Het is raadzaam om elke dag te controleren op nieuwe patches, updates en gerapporteerde bugs/kwetsbaarheden om te voorkomen dat aanvallen misbruik maken van zero-day-kwetsbaarheden. Om dit te doen, abonneert u zich op nieuws van het softwareontwikkelingsbedrijf, volgt u de pagina's op sociale netwerken.

Bescherm wachtwoorden

Een van de meest gebruikelijke manieren om toegang te krijgen tot een server is het kraken van het wachtwoord van de server. Volg daarom de bekende, maar niettemin relevante aanbevelingen om de server niet onbeschermd achter te laten:

  • gebruik geen wachtwoorden die gemakkelijk te raden zijn, zoals de naam van het bedrijf;
  • als u nog steeds het standaardwachtwoord voor de beheerdersconsole gebruikt, wijzig dit dan onmiddellijk;
  • wachtwoorden voor verschillende services moeten verschillend zijn;
  • als u uw wachtwoord met iemand moet delen, stuur dan nooit uw IP-adres, gebruikersnaam en wachtwoord in hetzelfde e-mail- of messenger-bericht;
  • U kunt authenticatie in twee stappen instellen om u aan te melden bij het beheerdersaccount.

firewall

  • Zorg ervoor dat de server , is geconfigureerd en altijd actief is.
  • Bescherm zowel inkomend als uitgaand verkeer.
  • Houd bij welke poorten open zijn en met welk doel, open niets onnodigs om het aantal mogelijke kwetsbaarheden voor serverhacking te verminderen.

Met name de firewall is erg handig bij het beschermen van de server tegen ddos-aanvallen, omdat je kunt snel blokkerende firewallregels maken en IP-adressen toevoegen waarvan de aanval afkomstig is, of de toegang tot bepaalde applicaties blokkeren met behulp van bepaalde protocollen.

Monitoring en inbraakdetectie

  • Beperk de software en services die op uw server worden uitgevoerd. Controleer regelmatig alles wat je hebt draaien, en als er onbekende processen worden gevonden, verwijder ze dan onmiddellijk en begin met het controleren op virussen.
  • Controleer regelmatig op tekenen van manipulatie. Een hack kan blijken uit nieuwe gebruikersaccounts die u niet heeft aangemaakt, verplaatst of verwijderd /etc/syslog.conf, verwijderde bestanden /etc/schaduw en /etc/wachtwoord.
  • Houd je server in de gaten, houd de normale snelheid en doorvoer in de gaten, zodat je afwijkingen kunt opmerken, bijvoorbeeld wanneer de belasting van de server veel groter is geworden dan normaal.

VPN en SSL/TLS-codering gebruiken

Als externe toegang tot de server vereist is, mag deze alleen worden toegestaan ​​vanaf bepaalde IP-adressen en plaatsvinden via de VPN.

De volgende stap in het waarborgen van beveiliging kan het opzetten van SSL zijn, dat niet alleen gegevens versleutelt, maar ook de identiteit van andere deelnemers aan de netwerkinfrastructuur verifieert door hen de juiste certificaten te verstrekken.

Server beveiligingscontrole

Het zou een goed idee zijn om de beveiliging van de server onafhankelijk te controleren met behulp van de pentest-methode, d.w.z. aanvalssimulatie om potentiële kwetsbaarheden te vinden en op tijd te elimineren. Het is wenselijk om inhierbij te betrekken, maar sommige tests kunnen onafhankelijk worden uitgevoerd met behulp van serverhackingprogramma's.

Wat bedreigt servers behalve hacken?

Een server kan om een ​​aantal andere redenen uitvallen dan gehackt te zijn. Het kan bijvoorbeeld een malware-infectie zijn of gewoon een fysiek defect van een van de componenten.

Daarom moeten maatregelen om de server te beschermen het volgende omvatten:

  • Programma's installeren en bijwerken om de server te beschermen - antivirusprogramma's.
  • Regelmatig versleutelde kopieën van gegevens minstens één keer per week, omdat volgens statistieken serverharde schijven op de eerste plaats komen wat betreft de frequentie van storingen. Zorg ervoor dat de back-up wordt opgeslagen in een fysiek beveiligde omgeving.
  • Zorgen voor een ononderbroken stroomvoorziening naar de serverruimte.
  • Tijdige fysieke preventie van servers, inclusief stofvrij maken en vervangen van koelpasta.

De ervaring van Integrus-specialisten leert ons dat de beste bescherming tegen dergelijke bedreigingen het toepassen van de best practices op het gebied van serverbeveiligingssystemen is.

Om de veiligheid van de servers van onze klanten te garanderen, gebruiken we een combinatie van tools: firewalls, antivirussen, technologieën voor beveiliging / gebeurtenisbeheer (SIM / SEM), technologieën voor inbraakdetectie / bescherming (IDS / IPS), technologieën voor netwerkgedragsanalyse (NBA) , natuurlijk regulier preventief onderhoud servers en inrichten van beveiligde serverruimtes op turnkey basis. Hiermee kunt u de risico's van hacking of serverstoringen om andere redenen minimaliseren.

We staan ​​klaar om een ​​beveiligingsaudit van de servers van uw bedrijf uit te voeren, specialisten te raadplegen, alle soorten werkzaamheden uit te voeren voor het opzetten van de bescherming van serverapparatuur.

Chita State UniversityEnergie InstituutFaculteit Economie en InformaticaDepartement Toegepaste Informatica en Wiskunde Samenvatting over het onderwerp: PC-gebruiker over het onderwerp: Anti-virussoftware voor servers Voltooid: Art. gr. PI-07-1 Zlova V.V. Gecontroleerd: art. docent cafe Pimmonic IP Tsjita, 2007 Inhoud

Invoering. 3

1 Bestandsservers als een van de bronnen van virusdistributie. 5

2 Antivirussoftware voor LAN-servers. 5

3 Antivirussoftware voor mailservers. acht

4 Kaspersky Anti-Virus. elf

Gevolgtrekking. 17

Lijst met referenties.. 18

Invoering Computervirussen zijn tegenwoordig een van de gevaarlijkste bedreigingen voor informatiebeveiliging. Een computervirus is een speciaal geschreven programma dat zich spontaan aan andere programma's kan hechten, kopieën van zichzelf kan maken en deze kan insluiten in bestanden, computersysteemgebieden en computernetwerken om programma's te verstoren, bestanden en mappen te beschadigen en allerlei soorten interferentie te veroorzaken bij het werken op een computer.

Onder informatiebeveiliging wordt verstaan ​​de bescherming van informatie en de ondersteunende infrastructuur tegen onopzettelijke of kwaadwillende invloeden, met als gevolg schade aan de informatie zelf, de eigenaren of de ondersteunende infrastructuur. De taken van informatiebeveiliging zijn beperkt tot het minimaliseren van schade, het voorspellen en voorkomen van dergelijke effecten.

Voor de meeste organisaties wordt het beschermen van netwerkbronnen tegen ongeautoriseerde toegang een van de meest urgente problemen. Bijzonder zorgwekkend is het feit dat het internet nu op grote schaal wordt gebruikt om verschillende gegevens en vertrouwelijke bedrijfsinformatie te transporteren en op te slaan.

De taak om informatie te beschermen is vooral relevant voor eigenaren van online informatiedatabases, uitgevers van elektronische tijdschriften, enz.

Tot op heden zijn er veel antivirusprogramma's gemaakt om virussen te bestrijden. Een antivirusprogramma (antivirus) is oorspronkelijk een programma voor het detecteren en behandelen van programma's die zijn geïnfecteerd met een computervirus, en om te voorkomen dat een bestand wordt geïnfecteerd door een virus (bijvoorbeeld door vaccinatie). Met veel moderne antivirusprogramma's kunt u ook Trojaanse paarden en andere schadelijke programma's detecteren en verwijderen. Antivirussoftware bestaat uit computerprogramma's die proberen computervirussen en andere schadelijke software op te sporen, te voorkomen en te verwijderen. Antivirussoftware helpt uw ​​computer te beschermen tegen bekende virussen, wormen, Trojaanse paarden en andere schadelijke software die tijdens de werking van de computer kan crashen. Momenteel zijn bestands- en mailservers het belangrijkste hulpmiddel voor gegevensbeheer. Opslag, uitwisseling en verzending van gegevens zijn de belangrijkste taken in dergelijk beheer, maar ze zijn onmogelijk zonder gemakkelijke toegang tot informatie, gegevensintegratie en systeemstabiliteit. De bestandsserver is een van de meest kwetsbare netwerkbronnen. In het geval van een infectie of storing kan de toegang tot andere netwerkbronnen worden beperkt. Eén geïnfecteerd bestand kan leiden tot infectie van een grote hoeveelheid gegevens, verlies van gegevensintegratie en systeemstoringen. Dergelijke risico's leiden tot de hoge kosten van producten voor server- en netwerkresourcebeheer. Bestandsservers "openbare" en elektronische conferenties zijn een van de belangrijkste bronnen van verspreiding van virussen. Bijna elke week is er een bericht dat een gebruiker zijn computer heeft geïnfecteerd met een virus dat afkomstig is van een BBS, ftp-server of van een elektronische conferentie. In dit geval worden de geïnfecteerde bestanden vaak door de virusauteur "geplaatst" op meerdere BBS/ftp's of tegelijkertijd naar verschillende conferenties gestuurd, en deze bestanden worden vermomd als nieuwe versies van bepaalde software (soms - onder nieuwe versies van antivirusprogramma's). ). In het geval van een massale verspreiding van een virus naar ftp/BBS-bestandsservers, kunnen duizenden computers bijna gelijktijdig worden aangetast, maar in de meeste gevallen worden DOS- of Windows-virussen "gelegd", waarvan de verspreidingssnelheid in moderne omstandigheden veel lager is dan macrovirussen. Om deze reden eindigen dergelijke incidenten bijna nooit in massale epidemieën, wat niet gezegd kan worden over macrovirussen. 2 Antivirussoftware voor LAN-servers De problemen van effectieve antivirusbescherming zijn vandaag meer dan ooit actueel, zowel in het bedrijfsleven als bij particuliere gebruikers, maar in tegenstelling tot laatstgenoemde zijn de problemen en taken waarmee bedrijven worden geconfronteerd veel ernstiger en vereisen ze oplossingen van een ander niveau. Beheerders van bedrijfsinformatiesystemen moeten antivirusprogramma's installeren, configureren en updatebeleid instellen, en ervoor zorgen dat antivirusprogramma's constant zijn ingeschakeld op honderden of zelfs duizenden machines - en vaak moet dit handmatig worden gedaan. Lokale netwerken zijn een van de belangrijkste bronnen van virusdistributie. Als u niet de nodige beschermingsmaatregelen neemt, infecteert een geïnfecteerd werkstation bij het betreden van het netwerk een of meer servicebestanden op de server (in het geval van Novell NetWare - LOGIN.COM). De volgende dag starten gebruikers geïnfecteerde bestanden wanneer ze inloggen op het netwerk. In plaats van het LOGIN.COM-servicebestand kunnen ook verschillende op de server geïnstalleerde software, standaardsjabloondocumenten of Excel-spreadsheets die in het bedrijf worden gebruikt, optreden.

Het gevaar van infectie van computernetwerken is reëel voor elke onderneming, maar een virusepidemie kan zich echt ontwikkelen in de lokale netwerken van grote economische en industriële complexen met een territoriaal vertakte infrastructuur. Hun computernetwerken zijn in de regel in fasen gemaakt, met behulp van verschillende hardware en software. Het is duidelijk dat voor dergelijke ondernemingen de kwestie van antivirusbescherming erg moeilijk wordt, niet alleen technisch, maar ook financieel.

Tegelijkertijd wordt de oplossing van dit vraagstuk bereikt door een combinatie van organisatorische maatregelen en software- en hardwareoplossingen. Deze aanpak vereist geen grote technische en onmiddellijke financiële kosten en kan worden gebruikt voor uitgebreide antivirusbescherming van het lokale netwerk van elke onderneming.

De volgende principes kunnen als basis dienen voor het bouwen van een dergelijk antivirusbeveiligingssysteem:

Het principe van het implementeren van een uniform technisch beleid bij het rechtvaardigen van de keuze van antivirusproducten voor verschillende segmenten van het lokale netwerk;

Het principe van volledige dekking van het volledige lokale netwerk van de organisatie door het antivirusbeveiligingssysteem;

Het principe van continuïteit van de controle over het lokale netwerk van de onderneming, voor de tijdige detectie van computerinfecties;

Het principe van gecentraliseerd beheer van antivirusbescherming;

Het principe van het implementeren van een uniform technisch beleid voorziet in het gebruik in alle segmenten van het lokale netwerk alleen antivirussoftware die wordt aanbevolen door de antivirusbeschermingsafdeling van de onderneming. Dit beleid heeft een langetermijnkarakter, wordt goedgekeurd door de bedrijfsleiding en vormt de basis voor een gerichte en langetermijnplanning van kosten voor de aankoop van antivirussoftwareproducten en hun verdere actualisering.

Het principe van volledige dekking van het lokale netwerk door het antivirusbeveiligingssysteem voorziet in de geleidelijke introductie van antivirussoftware in het netwerk totdat het volledig verzadigd is, in combinatie met organisatorische en regimemaatregelen voor het beschermen van informatie.

Het principe van continue controle over de antivirusstatus van een lokaal netwerk impliceert een dergelijke organisatie van de bescherming, die een constante mogelijkheid biedt om de status van het netwerk te bewaken om virussen te detecteren.

Het principe van gecentraliseerd beheer van antivirusbescherming voorziet in het beheer van het systeem door één instantie met behulp van hardware en software. Het is deze instantie die de gecentraliseerde controle in het netwerk organiseert, controlegegevens of rapporten van gebruikers ontvangt van hun werkplekken over de detectie van virussen en zorgt voor de uitvoering van de beslissingen die zijn genomen om het antivirusbeveiligingssysteem te beheren. het lokale netwerk van een grote organisatie is een complex probleem dat niet te herleiden is tot een simpele installatie van antivirusproducten. In de regel is de oprichting van een afzonderlijk subsysteem vereist. Technisch gezien moet bij het oplossen van dit probleem speciale aandacht worden besteed aan het testen van alle nieuw aangeschafte antivirussoftware en het installeren van antiviruspakketten op mailservers. 3 Antivirussoftware voor mailservers

Was aan het begin van de ontwikkeling van computertechnologie het belangrijkste kanaal voor de verspreiding van virussen de uitwisseling van programmabestanden via diskettes, tegenwoordig behoort de palm tot e-mail. E-mail is een handig en onmisbaar middel voor zakelijke communicatie. De meeste virussen en spam worden echter via e-mail verspreid en het kan een kanaal zijn voor het lekken van vertrouwelijke gegevens. Elke dag worden miljoenen en miljoenen berichten verzonden via zijn kanalen, en veel van deze berichten zijn geïnfecteerd met virussen.

Helaas kunnen bijlagebestanden die met e-mailberichten worden verzonden, ook zeer schadelijk zijn voor de gezondheid van uw computer. Wat is het gevaar van bijlagebestanden? Als een dergelijk bestand kan de gebruiker een virus of Trojaans programma of een document in Microsoft Office-formaat (*.doc, *.xls) dat met een computervirus is geïnfecteerd, worden toegestuurd. Door het ontvangen programma uit te voeren voor uitvoering of door een document te openen om het te bekijken, kan de gebruiker een virus initiëren of een Trojaans programma op zijn computer installeren. Bovendien kunnen bijlagebestanden door onjuiste instellingen van het e-mailprogramma of fouten daarin automatisch worden geopend bij het bekijken van de inhoud van ontvangen brieven. Als u in dit geval geen beschermende maatregelen neemt, is het een kwestie van tijd om virussen of andere kwaadaardige programma's op uw computer binnen te dringen. Andere pogingen om via e-mail uw computer binnen te dringen, zijn mogelijk. Ze kunnen bijvoorbeeld een bericht verzenden in de vorm van een HTML-document waarin een Trojan ActiveX-besturingselement is ingesloten. Door zo'n bericht te openen, kunt u dit element downloaden naar uw computer, waarna het onmiddellijk zijn werk zal doen.E-mail trojan - Trojaanse paarden waarmee u wachtwoorden en andere informatie uit bestanden op uw computer kunt "halen" en stuur ze per e-mail naar de eigenaar. Dit kunnen provider-logins en internetwachtwoorden, mailboxwachtwoorden, ICQ- en IRC-wachtwoorden, enz. zijn. Om de eigenaar per post een brief te sturen, neemt de Trojan contact op met de e-mailserver van de site via het SMTP-protocol (bijvoorbeeld smtp.mail.ru). Nadat de benodigde gegevens zijn verzameld, controleert de Trojan of de gegevens zijn verzonden. Zo niet, dan worden de gegevens verzonden en opgeslagen in het register. Als ze al zijn verzonden, wordt de vorige brief uit het register gehaald en vergeleken met de huidige. Als er wijzigingen zijn in de informatie (er zijn nieuwe gegevens verschenen), dan wordt de brief verzonden en worden nieuwe gegevens over wachtwoorden in het register geregistreerd. Kortom, dit type trojan verzamelt gewoon informatie, en het slachtoffer realiseert zich misschien niet eens dat iemand zijn wachtwoord al kent. Het archief van zo'n trojan bevat meestal 4 bestanden: server-editor (configurator), trojan-server, packer (gluer ) bestanden, gebruiksaanwijzing. Als resultaat van het werk kunnen de volgende gegevens worden bepaald: 1) het IP-adres van de computer van het slachtoffer 2) de meest gedetailleerde informatie over het systeem (computer en gebruikersnaam, Windows-versie, modem , enz.); 3) alle wachtwoorden in de cache; 4) alle instellingen voor telefoonverbindingen, inclusief telefoonnummers, logins en wachtwoorden; 5) ICQ-wachtwoorden; 6) het aantal recent bezochte sites. Naast puur administratieve maatregelen moet speciale antivirussoftware (antivirus) worden gebruikt om virussen en andere kwaadaardige programma's te bestrijden. Antivirussoftware kan worden geïnstalleerd op de computers van de afzender en de ontvanger om te beschermen tegen virussen die via e-mail worden verspreid . Deze bescherming is echter vaak niet voldoende. Conventionele antivirusprogramma's die op de computers van internetgebruikers zijn geïnstalleerd, zijn ontworpen om bestanden te scannen en zijn niet altijd in staat om de e-mailgegevensstroom te analyseren. Als de antivirus niet automatisch alle geopende bestanden scant, kan een virus of een Trojaans paard gemakkelijk door de bescherming op de computerschijf sijpelen.Bovendien hangt de effectiviteit van antivirussen sterk af van de naleving van de regels voor het gebruik ervan: het is noodzakelijk om de antivirusdatabase periodiek bij te werken, de juiste instellingen voor de antivirusscanner te gebruiken, enz. Helaas weten veel computerbezitters niet hoe ze antivirusprogramma's correct moeten gebruiken of werken ze de antivirusdatabase niet bij, wat onvermijdelijk leidt tot virusinfectie.Om de relevantie van het probleem van het verspreiden van virussen per e-mail te begrijpen, bieden veel bedrijven speciale anti- virusprogramma's om mailservers te beschermen. Dergelijke antivirusprogramma's analyseren de gegevensstroom die door de mailserver gaat, waardoor de verzending van berichten met geïnfecteerde bijlagebestanden wordt voorkomen. Er is nog een andere oplossing: verbinding maken met mailservers met conventionele antivirusprogramma's die zijn ontworpen om bestanden te scannen.Antivirusbescherming van SMTP- en POP3-mailservers is veel effectiever dan antivirusbescherming van gebruikerscomputers. In de regel is een ervaren beheerder verantwoordelijk voor het instellen van antivirussen op de server, die geen fouten zal maken bij het instellen en bovendien de automatische database-updatemodus via internet zal inschakelen. Gebruikers van beveiligde SMTP- en POP3-servers hoeven zich geen zorgen te maken over het hoofdkanaal voor de verspreiding van virussen - ze zullen berichten ontvangen die al van virussen zijn ontdaan. De acties die door mailservers worden uitgevoerd bij het verzenden en ontvangen van geïnfecteerde berichten zijn afhankelijk van de instellingen van de antivirus en de mailserver zelf. Als een afzender bijvoorbeeld een bericht probeert te verzenden met een geïnfecteerd bestand, zal de beveiligde SMTP-mailserver dit weigeren en zal het e-mailprogramma een waarschuwingsbericht op het scherm weergeven. In plaats daarvan ontvangt u alleen een bericht over de detectie van een virus. Ondanks de steeds toenemende populariteit van het Microsoft Windows-platform, draaien de meeste internetservers tegenwoordig Linux, FreeBSD en soortgelijke UNIX-achtige besturingssystemen. Het belangrijkste voordeel van Linux zijn de zeer lage aanschafkosten. Iedereen kan een Linux-distributie via internet downloaden en op een willekeurig aantal computers installeren. Deze distributie heeft alles wat je nodig hebt om een ​​internetknooppunt te maken, inclusief e-mailservers, afstandsbediening met een tekstconsole, enz. Voor het besturingssysteem van deze serie zijn slechts enkele tientallen virussen gemaakt, wat wijst op een hoge beveiliging.

4 Kaspersky Anti-Virus

Op basis van bovenstaande redenering en voorbeelden kunnen we de basisvereisten formuleren voor antivirussen voor werkstations. Het is duidelijk dat deze eisen zullen verschillen voor werkplekken van verschillende klassen.

Antivirusvereisten voor Windows-werkstations

Net als voorheen zullen de vereisten worden onderverdeeld in verschillende categorieën:

  1. Algemene vereisten- betrouwbaarheid, prestaties, gebruiksgemak, lage kosten - herhalen heeft geen zin
  2. Primaire vereisten:- als gevolg van de hoofdtaak:
    • Controle van alle bestanden op lokale stations die worden geopend - om te lezen, te schrijven, te starten - om computervirussen te detecteren en te neutraliseren
    • Verwisselbare schijven en netwerkstations controleren
    • Geheugencontrole
    • Inkomende en uitgaande berichten controleren op virussen, zowel de berichten zelf als hun bijlagen moeten worden gecontroleerd
    • Scripts en andere actieve elementen van webpagina's controleren
    • Macro's controleren in Microsoft Office-documenten en andere toepassingsbestanden
    • Samengestelde bestanden controleren - archieven, zelfuitpakkende archieven, verpakte uitvoerbare bestanden, e-maildatabases, bestanden in e-mailindeling, OLE-containers
    • Mogelijkheid om standaard verschillende acties te selecteren die op geïnfecteerde bestanden moeten worden uitgevoerd:
      • blokkeren (bij realtime inchecken)
      • loggen (bij controle op aanvraag)
      • verwijdering
      • in quarantaine zetten
      • behandeling
      • actieverzoek gebruiker
    • Behandeling van geïnfecteerde bestanden
    • Behandeling van geïnfecteerde bestanden in archieven
    • Wenselijk - detectie van mogelijk ongewenste programma's (adware en spyware, hacktools, enz.)
  3. Beheervereisten
    • Aanwezigheid van een lokale grafische interface
    • Mogelijkheid tot beheer op afstand en gecentraliseerd (bedrijfsversie)
    • Mogelijkheid om scan- en updatetaken te plannen om uit te voeren
    • Mogelijkheid om taken uit te voeren of actie op aanvraag uit te voeren (handmatig)
    • De mogelijkheid om de acties van een onbevoegde gebruiker met betrekking tot het antiviruscomplex te beperken
  4. Vereisten bijwerken
    • Ondersteuning voor verschillende updatebronnen, nominaal:
      • HTTP- of FTP-bron
      • Lokale of netwerkmap
      • Gecentraliseerd updatesysteem (in bedrijfsversies)
    • Mogelijkheid om antivirusdatabases, antivirusengine en applicatiemodules bij te werken
    • Mogelijkheid om updates handmatig op aanvraag of automatisch volgens een schema uit te voeren
    • Mogelijkheid om updates van antivirusdatabases terug te draaien
  5. Vereisten voor diagnostiek
    • Melding van de lokale gebruiker over belangrijke gebeurtenissen - virusdetectie, wijziging van de antivirusstatus, enz.
    • Logboeken bijhouden van de antivirus en/of individuele taken
    • Melding van de antivirusbeveiligingsbeheerder (in de bedrijfsversie)
Antivirusvereisten voor Linux/Unix-werkstations
  1. Algemene vereisten- praktisch ongewijzigd: betrouwbaarheid, prestaties, lage kosten. Bruikbaarheid in Unix-systemen wordt traditioneel beoordeeld volgens iets andere criteria dan in Windows-systemen, hoewel deze stand van zaken geleidelijk verandert in de richting van unificatie van eisen.
  2. Primaire vereisten:- volgens de bestemming:
    • On-demand scannen van willekeurige bestanden en mappen op virussen
    • Het is wenselijk, maar niet essentieel - om bepaalde mappen in realtime te controleren bij het openen van bestanden. Als dergelijke functionaliteit echt nodig is, dan is dit niet zozeer een werkstation als wel een server - er is geen duidelijk verschil tussen de twee in Unix-systemen.
    • Detectie van virussen in samengestelde objecten - archieven, zelfuitpakkende archieven, verpakte uitvoerbare modules, postdatabases, bestanden met e-mailindeling, OLE-containers - niet beperkt tot indelingen die gebruikelijk zijn in een Unix-omgeving
    • Mogelijkheid om standaard de actie te selecteren die moet worden ondernomen wanneer geïnfecteerde bestanden worden gedetecteerd:
      • verwijderen
      • verplaatsen of hernoemen
      • traktatie
      • schrijf informatie naar een rapport
      • de gebruiker om een ​​actie vragen (bij controle op aanvraag)
    • Behandeling van geïnfecteerde bestanden
    • Wenselijk - de mogelijkheid van behandeling in de archieven
  3. Beheervereisten
    • Lokaal beheer door configuratiebestanden te bewerken
    • Bij voorkeur - afstandsbediening via webinterface
    • Mogelijkheid om taken te plannen om uit te voeren en acties uit te voeren
    • Mogelijkheid om taken en acties handmatig uit te voeren
  4. Vereisten voor diagnostiek
    • Werklogboeken bijhouden
    • Melding van antivirusbeveiligingsbeheerder

Serverbeveiliging

Over het algemeen antivirus bescherming servers is niet zo verschillend van het beschermen van werkstations als van bijvoorbeeld het beschermen van gateways. De belangrijkste bedreigingen en technologieën om ze tegen te gaan blijven hetzelfde - alleen de nadruk verschuift.

Netwerkservers zijn, net als werkstations, natuurlijk onderverdeeld in klassen, afhankelijk van de gebruikte besturingssystemen:

  • Windows-servers
  • Novell Netware-servers
  • Unix-servers

Het principe van verdeling is te wijten aan virusbedreigingen die kenmerkend zijn voor verschillende besturingssystemen en als gevolg daarvan verschillende opties bij het bepalen van de hoofdtaak van antivirus.

In het geval van serverbeschermingsproducten is er geen indeling in persoonlijke en netwerkproducten - alle producten zijn netwerk (corporate). Veel fabrikanten verdelen bedrijfsproducten helemaal niet in werkstation- en bestandsserverproducten - ze hebben één enkel product.

Specifieke bedreigingen en tegenmaatregelen

Alle serverspecifieke bedreigingen houden niet zozeer verband met de functies van serverbesturingssystemen, maar met het gebruik van kwetsbare software die specifiek is voor servers.

Microsoft Windows-servers

Voor Windows-servers zijn dezelfde bedreigingen relevant als voor werkstations onder Windows NT/2000/XP. De verschillen zitten alleen in de overheersende manier van bedienen van servers, wat tot uiting komt in een aantal extra aanvallen die niet typisch zijn voor werkstations.

Gebruikers werken dus zelden direct achter Windows-servers, waardoor mailclients en kantoorapplicaties op servers in de regel niet worden gebruikt. Als gevolg hiervan is er minder vraag naar de vereisten voor e-mailbeveiliging op het niveau van de e-mailclient en aanvullende hulpprogramma's voor het detecteren van macrovirussen in het geval van Windows-servers.

Voorbeeld. Kaspersky Anti-Virus voor Windows-bestandsservers mist, in tegenstelling tot Kaspersky Anti-Virus voor Windows-werkstations, een module voor gedragsanalyse van macro's die worden uitgevoerd bij het werken met Microsoft Office-documenten en een module voor het controleren van inkomende en uitgaande e-mail. Dit betekent niet dat het product geen bescherming heeft tegen macrovirussen en e-mailwormen - zoals al opgemerkt, uiteindelijk worden alle geopende bestanden gecontroleerd door de realtime beveiligingsmodule van het bestandssysteem - het is gewoon dat de specifieke kenmerken van de serverwerking niet nodig zijn extra beschermingsmiddelen, zoals het geval was bij werkstations.

Aan de andere kant kunnen diensten zoals Microsoft SQL Server en Microsoft IIS veel vaker worden gebruikt op Windows-servers dan op werkstations. Net als besturingssystemen die door Microsoft (en niet alleen Microsoft) zijn geproduceerd, kunnen deze services kwetsbaarheden bevatten die herhaaldelijk zijn uitgebuit door virusauteurs.

Voorbeeld. In 2003 verscheen de worm NetWorm.Win32.Slammer en verspreidde zich letterlijk over het internet, gebruikmakend van een kwetsbaarheid in Microsoft SQL Server 2000. Slammer sloeg zijn bestanden niet op schijf op, maar draaide rechtstreeks in de adresruimte van de SQL Server-toepassing. Daarna voerde de worm in een eindeloze lus een aanval uit op willekeurige IP-adressen op het netwerk, in een poging dezelfde kwetsbaarheid te gebruiken om binnen te dringen. Als gevolg van de activiteit van de worm werden servers en internetcommunicatiekanalen zodanig overbelast dat hele netwerksegmenten niet beschikbaar waren. Zuid-Korea is bijzonder hard getroffen door de epidemie. Het is vermeldenswaard dat de worm geen andere acties heeft uitgevoerd, behalve reproductie.

Voorbeeld. Zelfs eerder, in 2001, werd een kwetsbaarheid in Microsoft IIS 5.0 uitgebuit door de NetWorm.Win32-worm. CodeRed.a. De gevolgen van de epidemie waren niet zo indrukwekkend als in het geval van de Slammer-worm, maar aan de andere kant werd met behulp van met CodeRed .a geïnfecteerde computers een niet mislukte poging gedaan om een ​​DDoS-aanval uit te voeren op de Amerikaanse website van het Witte Huis (www. .whitehouse.gov). CodeRed .a heeft ook geen bestanden opgeslagen op de getroffen servers.

De eigenaardigheid van beide wormen is dat de module voor het controleren van het bestandssysteem (op verzoek of bij toegang) machteloos tegen hen is. Deze wormen slaan geen kopieën van zichzelf op schijf op en tonen over het algemeen op geen enkele manier hun aanwezigheid in het systeem, behalve voor verhoogde netwerkactiviteit. Tot op heden is de belangrijkste aanbeveling voor bescherming de tijdige installatie van patches voor het besturingssysteem en de gebruikte software. Een andere benadering is om firewalls zo te configureren dat de poorten die worden gebruikt door kwetsbare services niet van buitenaf toegankelijk zijn - een redelijke vereiste in het geval van bescherming tegen Slammer, maar niet acceptabel voor bescherming tegen CodeRed.

Wormen die al direct kwetsbare besturingssysteemservices aanvallen, zoals Lovesan, Sasser, Mytob, enz., blijven ook relevant voor Windows-servers.Bescherming tegen hen moet worden geboden door uitgebreide maatregelen - het gebruik van firewalls, het installeren van patches, het toepassen van verificatie bij toegang ( de genoemde wormen slaan, indien succesvol aangevallen, hun bestanden op de harde schijf op).

Gezien de aard van de aanvallen kunnen we concluderen dat de belangrijkste middelen om Windows-servers te beschermen zijn: de on-access bestandscanmodule, de on-demand bestandsscanmodule, de scriptverificatiemodule, en de belangrijkste technologieën zijn handtekening- en heuristische analyse. (evenals gedragsanalyse in de scriptverificatiemodule) .

Novell Netware-servers

Er zijn geen specifieke virussen die Novell Netware kunnen infecteren. Het is waar dat er verschillende Trojaanse paarden zijn die toegangsrechten tot Novell-servers stelen, maar ze zijn nog steeds ontworpen om in de Windows OS-omgeving te draaien.

Dienovereenkomstig is de antivirus voor de Novell Netware-server eigenlijk niet ontworpen om deze server te beschermen. Wat is dan zijn functie? Om de verspreiding van virussen te voorkomen. Novell Netware-servers worden meestal gebruikt als bestandsservers; gebruikers van Windows-computers kunnen hun bestanden op dergelijke servers opslaan of programma's uitvoeren die zich op Novell Netware-volumes bevinden. Om te voorkomen dat virussen de gedeelde bronnen van de Novell-server binnendringen of virussen van dergelijke bronnen uitvoeren/lezen, is een antivirusprogramma nodig.

De belangrijkste tools die in antivirus voor Novell Netware worden gebruikt, zijn on-access en on-demand scans.

Van de specifieke technologieën die worden gebruikt in antivirusprogramma's voor Novell Netware, moet worden opgemerkt dat stations en/of gebruikers die schadelijke programma's naar de server schrijven, worden geblokkeerd.

Unix-servers

Hetzelfde kan gezegd worden over Unix-servers als over Novell Netware-servers. Antivirus voor Unix-servers lost niet zozeer de taak op om de servers zelf te beschermen tegen infectie, maar eerder de taak om de verspreiding van virussen via de server te voorkomen. Hiervoor worden dezelfde twee hoofdtools gebruikt:

  • Bestanden op aanvraag controleren
  • Bestanden controleren bij toegang

Voorbeeld. Kaspersky Anti-Virus voor Unix/Linux-bestandsservers bevat een scanmodule bij toegang, terwijl Kaspersky Anti-Virus voor Linux-werkstations dat niet heeft. Dit komt door de verschillende functies van Linux-werkstations en -servers - in een netwerk dat uitsluitend (of grotendeels) op Linux-stations is gebouwd, is er praktisch geen risico op virusinfectie en daarom is er geen dringende behoefte aan een module die alle bestandsbewerkingen bestuurt . Integendeel, als een Linux-computer actief wordt gebruikt voor het opslaan en overbrengen van bestanden (vooral op een Windows-netwerk), dan is het in feite een server en vereist constante bestandsbewaking.

Veel bekende Linux-wormen verspreiden kwetsbaarheden niet in het besturingssysteem zelf, maar in systeem- en applicatiesoftware - in de wu-ftpd ftp-server, in de Apache-webserver. Het is duidelijk dat dergelijke toepassingen vaker op servers dan op werkstations worden gebruikt, wat een bijkomend argument is voor verscherpte maatregelen om servers te beschermen.

In tegenstelling tot Novell-servers, waar ondersteuning voor Microsoft-netwerken een ingebouwde functie is, zijn Unix-servers niet standaard geconfigureerd voor SMB/CIFS-bestandsoverdrachten. Voor dit doel wordt een speciaal softwarepakket gebruikt - Samba, waarmee u gedeelde bronnen kunt maken die compatibel zijn met Microsoft-netwerken.

Als bestanden alleen worden uitgewisseld via SMB/CIFS-protocollen, heeft het natuurlijk geen zin om alle bestandsbewerkingen te controleren, het is voldoende om alleen bestanden te controleren die zijn overgedragen via de Samba-server.

Voorbeeld. De productlijn van Kaspersky Lab omvat een speciale oplossing - Kaspersky Anti-Virus voor Samba Server, speciaal ontworpen om gedeelde mappen die op Unix-servers zijn gemaakt met Samba-software te beschermen. Dit product bevat geen module die bestandsbewerkingen regelt, maar gebruikt een filter dat in Samba is ingebouwd en alle verzonden bestanden onderschept.

© Copyright 2022, emupauto.com - Afwerking. Accessoires. Reparatie. Installatie. Keuze. opening