Практически
все знакомы со службой под наименованием Napster.
Дальнейшая судьба его в общем известна. Федеральный суд США по представлению
ассоциации звукозаписывающих компаний вынес решение, согласно которому
Napster должны
закрыть. По мнению, этих двух уважаемых организаций системы данного класса
напрямую нарушают авторские права. Оставим все эти дебри юридической казуистики
в покое, по опыту работы можно сказать практически стопроцентной уверенностью,
что дело Napster жило,
живет и будет жить, и ничего с ним не поделаешь.
Однако,
взглянем на проблему использования систем обмена файлами с точки зрения
безопасности компьютерных сетей. Многие администраторы во время аудита
Internet-трафика,
отмечают, что до 50 % всего объема занимают именно эти службы, что влечет за
собой прямой материальный ущерб.
В данном
разделе содержатся практические советы по настройке межсетевого экрана, например
WatchGuardFireBoxII, с
целью блокировки доступа пользователей корпоративных сетей к ресурсам
Napster и
Gnutella, еще
одной очень популярной службы обмена файлами.
Закрыть
доступ пользователей к ресурсам Napster
достаточно просто. Эта система использует в своей работе большое количество
серверов, содержащих каталогизированную информацию о ресурсах системы, которые
работают по порту 8875 протокола TCP. Создав
правило пакетной фильтрации, запрещающее прохождение мультимедийного трафика
через данный порт Вы заблокируете доступ пользователей к данным каталогам,
следовательно, никто не сможет получить запрашиваемую информацию, и таким
образом пользователь не сможет использовать ресурсы Napster.
Однако,
как отметят наши уважаемые подписчики, пользователь может знать адрес нужного
ему ресурса заранее, что же делать в этом случае. Однако, прежде чем получить
доступ к этой службе пользователь должен пройти процедуру аутентификации,
которая выполняется на индексных серверах. А доступ к этим серверам уже закрыт.
Таким образом, проблема использования Napsterрешена.
Другой
наиболее популярной системой обмена файлами, является Gnutella. В
данном случае, проблему так просто решить не удастся. Система использует
совершенно отличный от Napster
механизм работы.
На всех
компьютерах пользователей этой системы устанавливается приложение, которое
работает и как клиент и как сервер - servent
(SERVer +
cliENT). Для
начала работы пользователю достаточно просто установить соединение с другой
рабочей станцией по клиентскому порту 6634 протокола TCP.
Естественно, сразу же возникает коварная мысль, а что если заблокировать этот
порт, и проблема решена. Не все не так просто. Gnutella, в
отличии от Napster, может
использовать любые порты. И обладая заранее данными, пользователь сможет
работать с данными этой службы.
Сколько
бы мы не блокировали все равно останутся открытыми порты общедоступных служб
HTTP,
FTP,
e-mail и так
далее.
Стратегия
блокирования доступа к Gnutella
Одной из
распространенных стратегий блокирования доступа к Gnutella,
является комбинирование административных и технических мер. Сначала необходимо
предупредить пользователей, о недопустимости использования Gnutella на
рабочем месте. Затем создается правило на межсетевом экране, блокирующее доступ
по 6634 порту к TCP.
Конечно, пользователи, на которых не подействовали словесные увещевания, сначала
будут использовать другие порты, однако рано или поздно они все равно попытаются
установить соединение через 6634 порт. Эти сведения автоматически попадают в
log-файл, и
докладываются руководству для принятия определенных мер воздействия. Но
неизвестно, сколько на все это уйдет сил и времени.
Мы
предлагаем другой путь. Gnutella
использует протокол HTTP.
Однако, в WatchGuardLiveSecurity
существует одно замечательное предустановленное правило, а именно проксирование
трафика. Иными словами, когда оно активизировано весь трафик проверяется по
определенному администратором шаблону (пропускается пакеты только
предопределенным содержанием). Как известно servent,
вставляет в заголовок пакета строку Gnutella и по
данному признаку этот пакет очень просто найти и заблокировать. Вот так просто и
изящно решается проблема блокирования использования Gnutellaпри
помощи аппаратно-программного межсетевого экрана WatchGuardFirebox.
Во
второй декаде марта в свободном виде обнаружены следующие новый
вирусы
PE_MAGISTR.A
- принадлежит к группе резидентных полиморфных вирусов, по своему механизму
действия схож с TROJ_MTX.A. Его очень сложно обнаружить, так как PE_MAGISTR.A
использует достаточно сложный и действенный механизм защиты. Заражает
.exe
и .scr
файлы. Для распространения использует MSOutlook/OutlookExpress/NetscapeNavigator.
При заражении в раздел реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run добавляет
ключ -<Virus Name> =
"<Path of Virus>\<Virus Name>.EXE"
Длина
письма 25.600 байтов.
Вторым
«диким» вирусом является TROJ_SUB722. Он
принадлежит к классу троянов. Расписывать механизм их действия, надо полагать,
нет необходимости. Все та же клиент-серверная архитектура. Для того чтобы,
избавиться от такого «гостя» необходимо:
В
WIN.INI удалитьвсестрокивразделе
Windows, содержащиеload=%windowssystem%\"%randomname%"
В
SYSTEM.INI удалить:
shell=Explorer.exe
%windowssystem%\"%randomname%"
В
корневом каталоге удалить копию проводника
При
помощи поискового механизма найти на диске файлы (TROJ_SUB722,
TROJ_SUB722_P1, TROJ_SUB722_P2, TROJ_SUB722_P3, TROJ_SUB722_P4,
TROJ_SUB722_P5, TROJ_SUB722_P6, TROJ_SUB722_P7, TROJ_SUB722_P8,
TROJ_SUB722_P9, TROJ_SUB722_P10, TROJ_SUB722_P11 и
TROJ_SUB722_P12) и
естественно удалить их.
Все
вышеперечисленные файлы предоставляют право удаленного доступа к важным ресурсам
вашей системы.
Приводим
список 10 наиболее часто встречающихся в «диком» виде
вирусов.
TROJ_MTX.A
VBS_KAKWORM.A
TROJ_HYBRIS.B
PE_MTX.A
TROJ_BYMER
TROJ_NAKEDWIFE
TROJ_HYBRIS.DLL
TROJ_NAVIDAD.E
JOKE_FLIPPED
VBS_STAGES.A
Дополнительную
информацию можно получить, направив запрос автору рассылки
