<
  • Главная
Статьи

Захист локальних мереж за допомогою Kaspersky Open Space Security

  1. Установка Kaspersky Administration Kit

Сьогодні складно уявити область діяльності людини, в якій не використовувалися б комп'ютери. Десятки мільйонів користувачів щоранку включають комп'ютери по всьому світу. І в цей же час мільйони ботів активізуються і повідомляють своїх господарів про готовність до виконання їх завдань. Приблизно півроку тому ми все за допомогою новинних агентств спостерігали за створенням ботнету, в який, за останніми відомостями, було включено понад 10 мільйонів комп'ютерів по всьому світу.

Bot - від англійського «robot», net - від англійського «network». Мережа роботів, мільйони комп'ютерів, об'єднаних в єдину інформаційну систему геніальним господарем. Власники комп'ютерів, що знаходяться в ботнетах, і не підозрюють про те, що їхні комп'ютери давно інфіковані і є частиною світової мережі з розповсюдження спаму, атак на сервери та іншої незаконної діяльності. Найпростіше зрозуміти порядок потужностей нинішніх ботнетів на простому прикладі. 10 мільйонів комп'ютерів отримують завдання з 12 години UTC наступної доби робити один запит в хвилину будь-якого сайту в Мережі. Опівдні наступного дня вони створять потік трафіку в десятки гігабіт на секунду. З таким потоком сміттєвого трафіку не впорається жоден хостер, жоден датацентр або будь-спеціалізоване обладнання. Такий потік буде означати використання всієї пропускної здатності каналів передачі даних і наслідки цієї атаки помітять все, а не тільки той сайт, на який була спрямована атака.

Цей приклад дуже прямолінійний, демонструє лише потенційні можливості одного ботнету, а їх сотні. Власники ботнетів здають частини своїх потужностей в оренду, пропонуючи використовувати їх для проведення DDoS атак або розсилок спаму. Один «невеликий» ботнет з мільйона комп'ютерів за добу може розіслати півтора мільярда спам-листів або зробити недоступним практично будь-який сервер в Інтернеті.

Здавалося б, «ботнети», «атаки», «DDoS» - це все якісь віддалені від нас події, що відбуваються десь і з кимось, а не з нами. Але давайте подивимося як, за допомогою яких інструментів створюється ботнет.

Десь в Китаї налаштовується веб-сервер, що містить лише одну сторінку. На сторінці розміщується спеціальним чином сформований файл pdf, спеціальний JavaScript, відеоролик на Flash. При заході на таку сторінку, послідовно виконується перевірка можливості запуску в браузері відвідувача того чи іншого об'єкта, розміщеного на сторінці. Якщо така можливість знаходиться, а вона буде знайдена в більшості випадків, то через уразливість в браузер відвідувача завантажується і запускається на виконання невеликий файл. Уже цей файл завантажить з інших серверів додаткові модулі і встановить всі частини, необхідні для включення комп'ютера в ботнет. Відвідувач ж може побачити помилку браузера, після перезапуску якого він продовжить роботу як і раніше, але з тією відмінністю, що тепер його комп'ютер є частиною світового ботнету і готовий в будь-який момент почати роботу в ньому.

Як же заманити користувача на таку сторінку з встановленими скриптами і шкідливими файлами? Тут все до неподобства просто і автоматизовано. Програмісти щодня шукають нові уразливості в широко використовуваних двигунах блогів, форумів, в інших скриптах, наприклад, в phpMyAdmin. Знайшовши так звану «zero-day», тобто раніше нікому невідому, програміст пише завдання роботу, який зможе використовувати її. Десятки таких роботів встановлюються на серверах по всьому світу, і кожен день методично обходять мільйонів сайтів в інтернеті в пошуках необхідної версії движка блогу або скрипта. Найбільш просунуті версії таких роботів можуть використовувати пошукові системи для швидкого знаходження необхідної версії. Досить в рядку пошуку ввести «CMSName 3.0.7» і пошукова машина видасть тисячі посилань на сайти з тією версією движка, яка потрібна роботу. Йому залишається прочитати цей список і обійти його.

Знайшовши сайт з необхідною версією движка або скрипта, робот використовує уразливість, отримує доступ до файлової системи сервера, проходить по ній і додає в тіло кожної знайденої html сторінки так званий «фрейм» або маленьке вікно, в яке автоматично завантажується та сама сторінка з китайського сервера . Тепер будь-який відвідувач, що зайшов на цілком шановний, надійний і відомий сайт, завантажить сторінку з китайського сервера і стане частиною ботнету. Зовсім недавно новинні агентства інформували про швидких масових зломи сайтів, які обчислюються десятками тисяч. Якщо кожен такий сайт в середньому на добу відвідує 1000 чоловік, то кількість тих, що заразилися буде обчислюватися мільйонами.

Таким чином, сьогодні в Мережі склалася така ситуація, що навіть обмеження кількості відвідуваних сайтів до кількох досить відомих і шанованих, не може гарантувати від зараження.

Якщо домашній користувач підключений до інтернету, як правило, через відносно повільні канали зв'язку, то корпоративні користувачі підключаються по дуже швидким, виділеним лініям. З одного боку, звичайний домашній користувач, як правило, не має достатньої кваліфікації для виявлення за непрямими ознаками зараження, працює на нелегальній копії операційної системи, оновлення в якій відключені щоб уникнути блокування після чергового оновлення. Сума цих факторів робить з таких користувачів досить легку мішень для зараження. З іншого боку, створивши епідемію в локальній мережі з 300 комп'ютерів, поставивши таку мережу під свій контроль, атакуючий отримує в своє розпорядження потужний невеликий ботнет, підключений до Інтернету на швидкості в 10-100 мегабіт. При недбайливому системному адміністраторові, що не хвилювала вчасно створенням централізованої системи розгортання оновлень операційних систем і програмного забезпечення, що не встановив централізовану систему антивірусного захисту та фільтрації трафіку, така локальна мережа стає розсадником спаму і вірусів на кілька днів, до тих пір, поки адміністратор не помітить вірусну активність і не чинитиме заходів по її припиненню.

У цьому огляді ми розглянемо один з інструментів, що дозволяють повністю вирішити проблему зараження і включення в ботнети локальних мереж будь-яких розмірів. Централізоване управління, правила, автоматичне оновлення антивірусних баз і багато іншого дозволяє за допомогою Kaspersky Open Space Security вирішити це питання з мінімальними затратами часу обслуговуючого персоналу, звівши вартість володіння рішенням до мінімуму.

Слід чітко розуміти, що одна система не здатна повністю захистити від усіх загроз. Повинен бути зроблений комплекс заходів щодо захисту локальної мережі. Наприклад, всі користувачі повинні працювати в Інтернеті тільки через корпоративний проксі з авторизацією. «Спілкуватися» з серверами в Інтернеті по 25-му порту для відправки пошти можуть тільки поштові сервери компанії, але не будь-який користувач. У локальній мережі повинен бути розгорнутий сервер для автоматичної установки оновлень на операційні системи і програмне забезпечення користувачів без їх на те згоди. І так далі. Одним з «цеглин» цієї системи і є Kaspersky Open Space Security.

Систему можна розгорнути декількома способами. У докладних інструкціях розглянуті способи як ручної установки компонентів системи, так і автоматичною за допомогою доменних політик або скриптів. Ми ж розглянемо варіант розгортання системи в домені з одного сервера.

Установка Kaspersky Administration Kit

Пакет управління комплексом може бути встановлений на будь-який комп'ютер мережі. Користувач, який виконує установку пакета адміністрування, повинен володіти правами адміністратора. Пакет управління комплексом може бути встановлений на будь-який комп'ютер мережі

Майстер установки пакета адміністрування

Для роботи пакета потребуватиме Microsoft .NET Framework 2 SP1. Якщо фреймворк ні встановлено раніше, то майстер може його встановити самостійно. Для роботи пакета потребуватиме Microsoft

Вибір компонентів для установки

  • Сервер адміністрування - основний компонент пакета, який здійснює управління програмами «Лабораторії Касперського».
  • Агент адміністрування використовується для зв'язку між клієнтськими комп'ютерами і сервером адміністрування.
  • Сервер політик авторизує набір мандатів для Cisco NAC.
  • Компонент Підтримка мобільних пристроїв дозволяє забезпечити спільну роботу з Kaspersky Mobile Security Enterprise Edition.
  • Консоль адміністрування - інтерфейс для управління програмами.

Для роботи Kaspersky Administration Kit необхідний Microsoft SQL Server, MySQL або SQL Express. При необхідності майстер установки може розгорнути MySQL або Microsoft SQL Server 2005 Express Edition.

Для зберігання і доступу по мережі до оновлень, буде створена спільна папка. Є можливість вибрати довільний номер порту для сервера адміністрування. Як ім'я сервера адміністрування необхідно вибрати між DNS або NetBIOS іменами комп'ютера, на який встановлюється Kaspersky Administration Kit, або його IP адресою.

Після розпакування і установки файлів буде запропоновано запустити консоль Kaspersky Administration Kit і налаштувати параметри за допомогою майстра. Для початку роботи з сервером адміністрування перезавантажувати комп'ютер не потрібно. Після розпакування і установки файлів буде запропоновано запустити консоль Kaspersky Administration Kit і налаштувати параметри за допомогою майстра

Перший запуск консолі управління

Майстер початкового налаштування запропонує вказати файл ключа продукту, ввести код активації або зробити це пізніше. На ознайомлення з можливостями всіх продуктів відведено 30 днів, протягом яких вони будуть полнофункциональни.

Майстер опитає локальну мережу і запропонує переглянути список знайдених їм комп'ютерів.

На наступному кроці майстер запропонує ввести настройки SMTP сервера для відправки повідомлень. Потім створить політики для управління продуктами Лабораторії і завантажить оновлення з серверів kaspersky.com

На останньому кроці майстер запропонує почати розгортання комплексу в мережі. При згоді з цим, буде запущений наступного майстер, який допоможе встановити Антивірус Касперського на будь-яку кількість комп'ютерів в локальній мережі підприємства. На останньому кроці майстер запропонує почати розгортання комплексу в мережі

Вибір компонентів для установки

За замовчуванням пропонується вибрати між установкою антивіруса для робочих станцій і серверів. При необхідності, можна натиснути кнопку «Новий» і створити інсталяційний пакет іншого продукту Лабораторії або довільного застосування.

Установка обраної програми можлива на заздалегідь сформовану групу комп'ютерів або на будь-яку кількість комп'ютерів, які можна вибрати на цьому кроці майстра розгортання. Встановимо Антивірус Касперського 6.0 для Windows Workstation на Windows XP і Windows 7. Установка обраної програми можлива на заздалегідь сформовану групу комп'ютерів або на будь-яку кількість комп'ютерів, які можна вибрати на цьому кроці майстра розгортання

Визначення параметрів віддаленої установки

За замовчуванням пропонується встановити вибраний пакет за допомогою Агента адміністрування. Якщо запропоновані настройки не міняти, то обраний пакет буде встановлений на певні раніше комп'ютери відразу після запуску установки з майстра. Якщо призначити установку Агента адміністрування через політики AD, то спочатку при логоні користувача буде встановлений Агент адміністрування, а потім вже його засобами сам пакет.

На наступному кроці майстер запропонує вказати файл ліцензії, з яким буде розгорнуто обраний пакет на комп'ютери користувачів. Якщо ліцензію не додавати, то Антивірус Касперського пропрацює 30 днів без обмеження функціонала.

Якщо для завершення установки буде потрібно перезавантажити комп'ютер користувача, то це можна автоматизувати за допомогою налаштувань на наступному кроці майстра розгортання. Якщо для завершення установки буде потрібно перезавантажити комп'ютер користувача, то це можна автоматизувати за допомогою налаштувань на наступному кроці майстра розгортання

Налаштування параметрів перезавантаження

Вибравши варіант Запитати у користувача, можна вказати текст пояснення, який буде йому виводитися до перезавантаження, частоту нагадувань і час, через яке комп'ютер користувача буде перезавантажений примусово. Вибравши варіант Запитати у користувача, можна вказати текст пояснення, який буде йому виводитися до перезавантаження, частоту нагадувань і час, через яке комп'ютер користувача буде перезавантажений примусово

Видалення з клієнтських комп'ютерів несумісних програм

Якщо це необхідно, то можна включити видалення певних програм з комп'ютера клієнта перед установкою Антивірус Касперського. Ця можливість значно прискорить процес розгортання продукту, позбавивши адміністратора від необхідності вручну видаляти з комп'ютерів в мережі встановлені раніше антивіруси.

Потім майстер запропонує перемістити вибрані для установки комп'ютери в існуючу групу ( «Керовані комп'ютери»), створити нову групу і перемістити вибрані комп'ютери в неї або не переміщувати комп'ютери в групи.

На наступному етапі в список необхідно додати облікові записи з правами адміністратора на комп'ютерах, де буде розгорнуто пакет. Якщо установка виконується в домені, то досить вказати облікові дані адміністратора домену. Після цього майстер приступить до установки пакета на обрані комп'ютери. На наступному етапі в список необхідно додати облікові записи з правами адміністратора на комп'ютерах, де буде розгорнуто пакет

Хід установки пакета, результати

При виникненні в ході установки помилок, їх можна буде переглянути в консолі управління, а потім усунути причину і повторити установку. При виникненні в ході установки помилок, їх можна буде переглянути в консолі управління, а потім усунути причину і повторити установку

Короткий опис помилки при розгортанні пакета

Перед початком розгортання потрібно врахувати, що брандмауер Windows не повинен забороняти загальний доступ до файлів і принтерів і повинен бути відключений «Простий спільний доступ до файлів» на всіх комп'ютерах користувачів.

Якщо в налаштуваннях параметрів розгортання пакети було вказано на необхідність видати запит користувачеві для перезавантаження, то він зможе закрити всі працюючі додатки і перезавантажити комп'ютер. Якщо в налаштуваннях параметрів розгортання пакети було вказано на необхідність видати запит користувачеві для перезавантаження, то він зможе закрити всі працюючі додатки і перезавантажити комп'ютер

Запит на перезавантаження

Після перезавантаження (якщо вона потрібна) в треї на комп'ютері користувача з'явиться значок Антивірусу Касперського. Клацання мишею по ньому відкриє головне вікно Антивірусу Касперського. Після перезавантаження (якщо вона потрібна) в треї на комп'ютері користувача з'явиться значок Антивірусу Касперського

Вікно Антивірус Касперського 6.0 для Windows Workstation на комп'ютері користувача

Зовнішній вигляд консолі управління з інформацією про хід виконання завдань установки показано нижче. Зовнішній вигляд консолі управління з інформацією про хід виконання завдань установки показано нижче

Вікно консолі управління Kaspersky Administration Kit

Аналогічним чином встановлюється Антивірус Касперського для Windows Server. Аналогічним чином встановлюється Антивірус Касперського для Windows Server

Початок роботи майстра установки Антивірусу для сервера

Завдання спочатку повністю налаштовується, задається інтервал її запуску, аналогічний інтервалах Планувальника Windows, а потім запускається. Завдання спочатку повністю налаштовується, задається інтервал її запуску, аналогічний інтервалах Планувальника Windows, а потім запускається

Готовність до запуску завдання

Установка зайняла кілька хвилин часу і не поставила вимогу про перезавантаження сервера. Установка зайняла кілька хвилин часу і не поставила вимогу про перезавантаження сервера

Установка Антивірус Касперського для Windows Server виконана

Тепер саме час перевірити політики і змінити їх під свої вимоги. Тепер саме час перевірити політики і змінити їх під свої вимоги

Налаштування політики захисту робочих станцій

За допомогою цієї політики адміністратор може управляти всіма параметрами Антивірус Касперського на керованих комп'ютерах. Закритий замок в правій верхній частині кожної групи означає, що користувачеві заборонено змінювати ці налаштування. При необхідності можна на деяких групах налаштувань замок «відкрити», після чого користувач зможе змінити налаштування антивірусу на своєму комп'ютері.

Політика застосовується до групи комп'ютерів і її підгрупах. За замовчуванням всі комп'ютери включені в групу «Керовані комп'ютери». Якщо це необхідно, можна створити підгрупи, розмістити в них комп'ютери, згрупувавши їх за типами необхідних налаштувань безпеки, і створити для кожної групи свою політику.

Всі настройки політик перераховувати сенсу немає, так як налаштовуються всі параметри, доступні в інтерфейсі KAV на комп'ютері користувача. Всі настройки політик перераховувати сенсу немає, так як налаштовуються всі параметри, доступні в інтерфейсі KAV на комп'ютері користувача

довірена зона

Наприклад, в довірену зону включаючи відомості щодо файлів систем віддаленого адміністрування. Якщо в мережі використовується, наприклад, RAdmin, то досить в цьому списку зазначити назви та шлях його установки на клієнтських комп'ютерах і Антивірус Касперського НЕ буде класифікувати ці файли, як потенційно небезпечні. Наприклад, в довірену зону включаючи відомості щодо файлів систем віддаленого адміністрування

Налаштування Веб-антивіруса

Адміністратор може централізовано керувати налаштуваннями перехоплення і перевірки трафіку, одержуваного користувачем з Інтернету. Антивірус перевірить об'єкти на завантажується сторінці, і якщо вони безпечні, то віддасть їх браузеру. У цій же групі налаштувань можна вказати адреси довірених сайтів і ці адреси автоматично поширяться відразу ж на всі комп'ютери, до яких застосована політика.

Нижче показані настройки модуля антиспаму. Нижче показані настройки модуля антиспаму

Налаштування мережевого екрану наведені на скріншотах нижче. Налаштування мережевого екрану наведені на скріншотах нижче

Зверніть увагу на те, що в списку Правила для програм замок «відкритий», тобто користувачеві дано право змінювати ці правила. Ось як ця вкладка виглядає на комп'ютері користувача. Зверніть увагу на те, що в списку Правила для програм замок «відкритий», тобто користувачеві дано право змінювати ці правила

У той час як правила для пакетів користувач змінити не може. У той час як правила для пакетів користувач змінити не може

Можливо, правильно рішенням буде строго обмежіті набір Додатків и строго відфільтруваті трафік. Например, дозволіті браузеру користувача з'єднання только в корпоративних проксі сервером, поштовий клієнтові - только з поштовий сервером, а клієнту для обміну міттєвімі повідомленнями - только зі своим сервером. Більш того, в Деяк Мережа має сенс обмежіті трафік строго від комп'ютера користувача до декількох серверів и комп'ютерів служби ПІДТРИМКИ, заблокували весь Інший. Цим кожен користувач буде ізольований від сусідніх комп'ютерів і навіть при великому бажанні не зможе отримати доступ до недозволеним для нього серверів і комп'ютерів інших користувачів.

При необхідності можна обмежити доступ користувачів до певних пристроїв, які вони можуть підключати до своїх комп'ютерів. При необхідності можна обмежити доступ користувачів до певних пристроїв, які вони можуть підключати до своїх комп'ютерів

Обмеження доступу до пристроїв

Після того, як група і політика створена, досить помістити в цю групу комп'ютер і політика буде застосована до встановленого на ньому антивірусу.

Крім управління з Kaspersky Administration Kit настройками продуктів Лабораторії Касперського, адміністратор може налаштувати запуск частих завдань для кожного комп'ютера. Наприклад, можна додати в контекстне меню пункт Ping і перевіряти відповідь від комп'ютера за два кліка мишею. Крім управління з Kaspersky Administration Kit настройками продуктів Лабораторії Касперського, адміністратор може налаштувати запуск частих завдань для кожного комп'ютера

Налаштування частих завдань

Крім усього іншого, з кожним комп'ютером з встановленим агентом управління можна створювати тунель. Наприклад, якщо на віддаленому комп'ютері закритий файрволом порт 3389, то можна створити тунель через агента адміністрування і підключитися до порту 3389 на віддаленому комп'ютері через вказівку порту на локальному комп'ютері.

Консоль управління Kaspersky Administration Kit надає масу зручностей при обслуговуванні великої кількості користувачів і серверів з встановленим Антивірусом Касперського. Тут є і звіти про стан комп'ютерів, і інструменти для управління карантином на віддалених комп'ютерах, і настройка повідомлень про події. Сервер адміністрування в залежності від кількості клієнтів розподіляє навантаження на мережу під час оновлення антивірусних баз, вводячи невелику затримку в отриманні оновлень для різних клієнтів. За допомогою вкладених груп комп'ютерів можна дуже точно застосовувати політики настройки антивірусів для конкретних відділів або користувачів. Все це дає підстави стверджувати, що KOSS буде відмінним вибором як для невеликих компаній, так і для компаній з числом робочих місць більше тисячі. Один адміністратор зможе обслуговувати практично будь-яку кількість антивірусів, вчасно реагувати на виникаючі загрози і тим самим мінімізувати тривалість можливих простоїв як в роботі локальної мережі в цілому, так і кожного окремого користувача.

Завантажити Kaspersky Open Space Security можна на сайті розробника. Демонстраційна версія пропрацює 30 днів без обмеження функціональних можливостей.

Матеріал підготовлений за підтримки лабораторії RTxLab.org

Як же заманити користувача на таку сторінку з встановленими скриптами і шкідливими файлами?


Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью