Безопасность — это процесс. Часть 4
Безопасность — это процесс. Часть 4
Продолжение. Начало в КГ №№ 45-47
Итак, продолжим наши шаги.
Шаг 2. Загрузите последние обновления.
На этом шаге предлагается воспользоваться службой автоматического обновления операционной системы для загрузки свежих обновлений с сайта Microsoft. Вопрос этот для нас спорный, поскольку вместе с нужными обновлениями можно накачать и кучу не совсем нужных, да и вообще как отделить первые от вторых? А деньги придется платить одинаковые. Во-вторых, не нужно забывать о происхождении некоторых наших копий данной операционной системы. В-третьих — читайте дальше.
Примечание. В локальной или корпоративной сети может быть развернута система MS Software Update Services (SUS). Суть системы проста: нужно иметь сервер SUS, который будет периодически в автоматическом режиме обновляться с сайта Microsoft, а клиенты сети (Windows 2000, XP, 2003), в свою очередь, также автоматически будут получать и устанавливать обновления с этого сервера.
Для всех своих бюллетеней и описываемых в них патчей Microsoft устанавливает следующую шкалу важности выявленных угроз безопасности:
Чтобы быть вовремя спасенным, т.е. предупрежденным, я бы рекомендовал подписаться на соответствующие рассылки. Но не просто подписаться, но и читать, и много думать. Из этих рассылок вы узнаете о новых уязвимостях и заплатках к ним.
Естественно, самая лучшая рассылка в плане оперативности — это рассылка компании — производителя ПО. После каждого выпуска бюллетеня вы будете получать уведомления по e-mail. Для IT-специалистов рассылаются технические версии, для остальных предоставляются облегченные версии бюллетеней, и только тогда, когда проблема может затронуть широкие массы пользователей. Различия будут в уровне детализации технической информации, а также в том, что бюллетени для пользователей будут ограничены заплатками для "Офиса" и Windows. Обе рассылки бесплатны. По этой ссылке вы найдете более подробную информацию: http://www.microsoft.com/security/security_bulletins/alerts.asp .
Начиная с октября 2003 г. Microsoft переходит на систему ежемесячного выпуска заплаток во второй вторник каждого месяца. Главное преимущество, по мнению специалистов корпорации, будет состоять в том, что это позволит клиентам установить много заплаток за один раз с одной перезагрузкой в конце процесса; вторая выгода — в том, что устанавливается достаточно большой промежуток времени между выпусками для того, чтобы оценить, установить и протестировать заплатки, а также график их выпуска станет более предсказуемым. Исключения из графика могут быть сделаны, если Microsoft решит, что угроза велика, и клиенты могут пострадать раньше, чем выйдет очередной патч.
Бюллетени защиты кодируются именами вида MS гг-xxx, где ГГ — цифры года, XXX — уникальный номер в течение года. Дополнительно будет указываться номер для Knowledge Base. Кроме прочих, есть хорошая рассылка на русском — Russian Security Newsline: http://www.bugtraq.ru.
Также полезны рассылки производителей антивирусного ПО. Как правило, описания критических уязвимостей в них появляются довольно оперативно, как и сами обновления к антивирусному ПО.
Если все-таки вы что-то пропустили или недоглядели, то по следующей ссылке вы попадете на страницу "Microsoft Security Bulletin Service", которая поможет найти все выпущенные ранее бюллетени защиты в зависимости от используемого продукта и установленного сервис-пака: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp .
Вот еще несколько вопросов, на которые вам необходимо будет найти ответ:
1. А надо ли ставить патч? Ведь обновление, как я уже отмечал, может устранять совсем уж пустяковую проблему. Что делать? Необходимо установить важность, критичность проблемы, которая устраняется данным обновлением. То есть воспользоваться оценкой, даваемой самой Microsoft. Однако и Microsoft свойственно ошибаться. Например, важность патча, описанного в MS02-068, сначала была оценена как "умеренная" (moderate), и только после поднятой в одной из рассылок шумихи была повышена до "критической" (critical).
2. После обновления систему, установленное программное обеспечение необходимо тестировать, чтобы все работало как надо. И не нужно забывать о вопросах безопасности. Ведь новое обновление может или заблокировать работу важных приложений, или, устранив одну дыру, открыть еще несколько новых. Однако, не установив заплатку, нельзя точно сказать, как она повлияет на вашу систему или сеть. Например, 21 мая 2003 года Microsoft выпустила патч, который был несовместим с некоторыми персональными файрволлами и заблокировал доступ в Интернет многим тысячам пользователей, которые потрудились оперативно установить это обновление. Через неделю Microsoft отозвала этот патч.
Возможно, случится и так, что некоторые ранее установленные заплатки будут конфликтовать, например, с 4-м сервис-паком для Windows 2000. Однако инсталлятор SP4 предупредит о проблеме. Более подробная информация отражена в статье "Microsoft Knowledge Base Article — 822384".
3. И еще. Во-первых, при установке заплаток необходимо следить за правильным ее порядком, т.к. может случиться такая ситуация, что перед установкой патча №1 вам будет нужен еще и патч №2, который, в свою очередь, потребует патча №3, и так далее. Также см. выше вопрос о тестировании. И это еще не все. Установленные заплатки могут "исчезнуть" после установки нового программного обеспечения, например, если в процессе будет запрошена ("старая") инсталляция самой Windows, или восстановления его с резервной копии, на которой патч не был установлен. Поэтому-то я и говорю о спорности использования службы автообновления Windows через Интернет.
Шаг 3. Используйте современное антивирусное обеспечение.
Комментарии тут не нужны: у всех уже давно сформировались свои предпочтения в этой области. Отмечу лишь два важных момента:
1. В чем сила любого антивируса? — В регулярных обновлениях, брат.
2. Никакой антивирус не сможет блокировать атаку червя типа Lovesan/Blaster. Антивирусный монитор или сканер может остановить фактическое инфицирование системы. Однако само нападение разрушит систему RPC и заставит систему перезагрузиться, несмотря на установленное антивирусное программное обеспечение.
Примечание. По оценкам различных западных специалистов, компьютерные вирусы перестали быть только проблемой программистов и пользователей Интернета. Они начали оказывать серьезное деструктивное влияние на мировую экономику. А исследователи из университета Карнеги-Меллона пришли к выводу, что борьба с компьютерными вирусами будет крайне долгой и, судя по всему, безуспешной.
Гхм, естественно, это не означает, что вы должны сидеть сложа руки. Борьба будет безуспешной, бесконечной в философском плане, типа как борьба добра со злом, и это ясно как день. Но победить, вернее, стать непобедимым, конкретно здесь и сейчас — это вполне посильная задача.
"Тот, кто хорошо сражается, может сделать себя непобедимым, но не может заставить противника обязательно дать себя победить" (Сунь-Цзы). А что, на войне как на войне.
Проблемы создания персонального файрволла в Windows 2000 с помощью IPSec
В Сети существует любопытный материал http://www.3dnews.ru/communication/firewall2000xp/, посвященный вопросу организации IP-брандмауэра встроенными средствами Windows 2000 и XP. Статья написана несколько путано, но создать политику IPSec, следуя ее указаниям, вы сможете. В комментариях другого специалиста к данному материалу правильно указано, что "общий тон статьи может создать впечатление мнимой простоты и ложной защищенности у начинающего пользователя".
В действительности все еще сложнее.
Для начала освежим некоторые теоретические моменты.
Схема работы IPSec представлена на рисунке. Фильтры IP реализуют определенные вами правила обработки сетевых пакетов. Каждый пакет на уровне протокола IP сравнивается с набором фильтров и выполняется одно из следующих действий:
• пакет (датаграмма) передается на обработку службам IPSec;
• датаграмма передается без каких-либо изменений;
• датаграмма игнорируется.
Также вспомним, что, хотя номера портов для TCP и UDP похожи, но это разные протоколы, и номера портов у них тоже разные. Номера портов большинства служб стандартизированы, и вы можете посмотреть их в файле %systemroot%\system32\drivers\etc\ser-vices.
Например, когда ваш браузер обращается к удаленному веб-серверу (служба HTTP, номер порта 80, протокол TCP), ваш компьютер выступает в роли клиента и выделяет свой произвольный порт из диапазона доступных портов от 1024 до 65535 (это теоретически), например, 1030, для получения пакетов от удаленного сервера. Практически в Windows 2000 номер произвольного порта выбирается из диапазона по умолчанию 1024-5000, для расширения диапазона до положенных 65535 нужно править реестр.
Продолжение следует.
Юрий Трофимов,
mr.Root@tut.by
Продолжение. Начало в КГ №№ 45-47
Итак, продолжим наши шаги.
Шаг 2. Загрузите последние обновления.
На этом шаге предлагается воспользоваться службой автоматического обновления операционной системы для загрузки свежих обновлений с сайта Microsoft. Вопрос этот для нас спорный, поскольку вместе с нужными обновлениями можно накачать и кучу не совсем нужных, да и вообще как отделить первые от вторых? А деньги придется платить одинаковые. Во-вторых, не нужно забывать о происхождении некоторых наших копий данной операционной системы. В-третьих — читайте дальше.
Примечание. В локальной или корпоративной сети может быть развернута система MS Software Update Services (SUS). Суть системы проста: нужно иметь сервер SUS, который будет периодически в автоматическом режиме обновляться с сайта Microsoft, а клиенты сети (Windows 2000, XP, 2003), в свою очередь, также автоматически будут получать и устанавливать обновления с этого сервера.
Для всех своих бюллетеней и описываемых в них патчей Microsoft устанавливает следующую шкалу важности выявленных угроз безопасности:
Значение рейтинга важности бюллетеня защиты | |
Критический . Уязвимость, использование которой может способствовать распространению саморазмножающегося Internet-вируса без участия пользователя. | |
Важный . Уязвимость, эксплуатация которой подвергает риску конфиденциальность, целостность, доступность пользовательских данных или доступность ресурсов. | |
Умеренный . Угроза использования уязвимости существенно снижается такими факторами, как: различные конфигурации по умолчанию, включенный аудит, особенности эксплуатации конкретных систем. | |
Низкий . Уязвимость, использование которой слишком затруднено или вредное воздействие минимально. |
Естественно, самая лучшая рассылка в плане оперативности — это рассылка компании — производителя ПО. После каждого выпуска бюллетеня вы будете получать уведомления по e-mail. Для IT-специалистов рассылаются технические версии, для остальных предоставляются облегченные версии бюллетеней, и только тогда, когда проблема может затронуть широкие массы пользователей. Различия будут в уровне детализации технической информации, а также в том, что бюллетени для пользователей будут ограничены заплатками для "Офиса" и Windows. Обе рассылки бесплатны. По этой ссылке вы найдете более подробную информацию: http://www.microsoft.com/security/security_bulletins/alerts.asp .
Начиная с октября 2003 г. Microsoft переходит на систему ежемесячного выпуска заплаток во второй вторник каждого месяца. Главное преимущество, по мнению специалистов корпорации, будет состоять в том, что это позволит клиентам установить много заплаток за один раз с одной перезагрузкой в конце процесса; вторая выгода — в том, что устанавливается достаточно большой промежуток времени между выпусками для того, чтобы оценить, установить и протестировать заплатки, а также график их выпуска станет более предсказуемым. Исключения из графика могут быть сделаны, если Microsoft решит, что угроза велика, и клиенты могут пострадать раньше, чем выйдет очередной патч.
Бюллетени защиты кодируются именами вида MS гг-xxx, где ГГ — цифры года, XXX — уникальный номер в течение года. Дополнительно будет указываться номер для Knowledge Base. Кроме прочих, есть хорошая рассылка на русском — Russian Security Newsline: http://www.bugtraq.ru.
Также полезны рассылки производителей антивирусного ПО. Как правило, описания критических уязвимостей в них появляются довольно оперативно, как и сами обновления к антивирусному ПО.
Если все-таки вы что-то пропустили или недоглядели, то по следующей ссылке вы попадете на страницу "Microsoft Security Bulletin Service", которая поможет найти все выпущенные ранее бюллетени защиты в зависимости от используемого продукта и установленного сервис-пака: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp .
Вот еще несколько вопросов, на которые вам необходимо будет найти ответ:
1. А надо ли ставить патч? Ведь обновление, как я уже отмечал, может устранять совсем уж пустяковую проблему. Что делать? Необходимо установить важность, критичность проблемы, которая устраняется данным обновлением. То есть воспользоваться оценкой, даваемой самой Microsoft. Однако и Microsoft свойственно ошибаться. Например, важность патча, описанного в MS02-068, сначала была оценена как "умеренная" (moderate), и только после поднятой в одной из рассылок шумихи была повышена до "критической" (critical).
2. После обновления систему, установленное программное обеспечение необходимо тестировать, чтобы все работало как надо. И не нужно забывать о вопросах безопасности. Ведь новое обновление может или заблокировать работу важных приложений, или, устранив одну дыру, открыть еще несколько новых. Однако, не установив заплатку, нельзя точно сказать, как она повлияет на вашу систему или сеть. Например, 21 мая 2003 года Microsoft выпустила патч, который был несовместим с некоторыми персональными файрволлами и заблокировал доступ в Интернет многим тысячам пользователей, которые потрудились оперативно установить это обновление. Через неделю Microsoft отозвала этот патч.
Возможно, случится и так, что некоторые ранее установленные заплатки будут конфликтовать, например, с 4-м сервис-паком для Windows 2000. Однако инсталлятор SP4 предупредит о проблеме. Более подробная информация отражена в статье "Microsoft Knowledge Base Article — 822384".
3. И еще. Во-первых, при установке заплаток необходимо следить за правильным ее порядком, т.к. может случиться такая ситуация, что перед установкой патча №1 вам будет нужен еще и патч №2, который, в свою очередь, потребует патча №3, и так далее. Также см. выше вопрос о тестировании. И это еще не все. Установленные заплатки могут "исчезнуть" после установки нового программного обеспечения, например, если в процессе будет запрошена ("старая") инсталляция самой Windows, или восстановления его с резервной копии, на которой патч не был установлен. Поэтому-то я и говорю о спорности использования службы автообновления Windows через Интернет.
Шаг 3. Используйте современное антивирусное обеспечение.
Комментарии тут не нужны: у всех уже давно сформировались свои предпочтения в этой области. Отмечу лишь два важных момента:
1. В чем сила любого антивируса? — В регулярных обновлениях, брат.
2. Никакой антивирус не сможет блокировать атаку червя типа Lovesan/Blaster. Антивирусный монитор или сканер может остановить фактическое инфицирование системы. Однако само нападение разрушит систему RPC и заставит систему перезагрузиться, несмотря на установленное антивирусное программное обеспечение.
Примечание. По оценкам различных западных специалистов, компьютерные вирусы перестали быть только проблемой программистов и пользователей Интернета. Они начали оказывать серьезное деструктивное влияние на мировую экономику. А исследователи из университета Карнеги-Меллона пришли к выводу, что борьба с компьютерными вирусами будет крайне долгой и, судя по всему, безуспешной.
Гхм, естественно, это не означает, что вы должны сидеть сложа руки. Борьба будет безуспешной, бесконечной в философском плане, типа как борьба добра со злом, и это ясно как день. Но победить, вернее, стать непобедимым, конкретно здесь и сейчас — это вполне посильная задача.
"Тот, кто хорошо сражается, может сделать себя непобедимым, но не может заставить противника обязательно дать себя победить" (Сунь-Цзы). А что, на войне как на войне.
Проблемы создания персонального файрволла в Windows 2000 с помощью IPSec
В Сети существует любопытный материал http://www.3dnews.ru/communication/firewall2000xp/, посвященный вопросу организации IP-брандмауэра встроенными средствами Windows 2000 и XP. Статья написана несколько путано, но создать политику IPSec, следуя ее указаниям, вы сможете. В комментариях другого специалиста к данному материалу правильно указано, что "общий тон статьи может создать впечатление мнимой простоты и ложной защищенности у начинающего пользователя".
В действительности все еще сложнее.
Для начала освежим некоторые теоретические моменты.
Схема работы IPSec представлена на рисунке. Фильтры IP реализуют определенные вами правила обработки сетевых пакетов. Каждый пакет на уровне протокола IP сравнивается с набором фильтров и выполняется одно из следующих действий:
• пакет (датаграмма) передается на обработку службам IPSec;
• датаграмма передается без каких-либо изменений;
• датаграмма игнорируется.
Также вспомним, что, хотя номера портов для TCP и UDP похожи, но это разные протоколы, и номера портов у них тоже разные. Номера портов большинства служб стандартизированы, и вы можете посмотреть их в файле %systemroot%\system32\drivers\etc\ser-vices.
Например, когда ваш браузер обращается к удаленному веб-серверу (служба HTTP, номер порта 80, протокол TCP), ваш компьютер выступает в роли клиента и выделяет свой произвольный порт из диапазона доступных портов от 1024 до 65535 (это теоретически), например, 1030, для получения пакетов от удаленного сервера. Практически в Windows 2000 номер произвольного порта выбирается из диапазона по умолчанию 1024-5000, для расширения диапазона до положенных 65535 нужно править реестр.
Продолжение следует.
Юрий Трофимов,
mr.Root@tut.by
Компьютерная газета. Статья была опубликована в номере 48 за 2003 год в рубрике soft :: win