II. Порядок выполнения работы
В качестве реального примера рассмотрим программу Black ICE Defender (разработчик Internet Security Systems).
Black ICE Defender (BID) - является программой - детектором вторжений в систему. Её основная цель - отслеживать все передачи данных по сети. Здесь нет антивирусной программы или указания отдельным программам доступа к портам. Однако система регулирования и контроля доступа к сетевым портам, возможность задания доверительных (trusted) и запрещённых (untrusted) адресов считается, по результатам тестирования, более надежной.
Любой из компонентов семейства Black ICE содержит два основных модуля, осуществляющих обнаружение и блокирование несанкционированной деятельности: Black ICE Firewall и Black ICE IDS.
Black ICE Firewall отвечает за блокирование сетевого трафика с определенных IP-адресов и TCP/UDP-портов. Предварительное блокирование трафика по определенным критериям позволяет увеличить производительность системы за счет снижения числа "лишних" операций на обработку неразрешенного трафика. Настройка данного компонента может осуществлять как вручную, так и в автоматическом режиме. В последнем случае, реконфигурация происходит после обнаружения несанкционированной деятельности модулем Black ICE IDS. При этом блокирование трафика может осуществляться на любой промежуток времени. Black ICE Firewall работает напрямую с сетевой картой, минуя встроенный в операционную систему стек протоколов, что позволяет устранить опасность от использования многих известных уязвимостей, связанных с некорректной реализацией стека в ОС.
Black ICE IDS отвечает за обнаружение атак и других следов несанкционированной деятельности в трафике, поступающем от модуля Black ICE Firewall. Модуль Black ICE IDS основан на запатентованном алгоритме семиуровневого анализа протокола.
Рис. 2. Архитектура персонального межсетевого экрана
Black ICE Agent и Defender, позволяют отследить злоумышленника, осуществляющего атаку на защищаемый компьютер, и собрать о хакере следующую информацию:
IP-, DNS-, WINS-, NetBIOS- и MAC-адреса компьютера, с которого осуществляется атака.
Имя, под которым злоумышленник вошел в сеть.
У Black ICE Defender имеется и еще одна уникальная возможность. Путешествуя с мобильным ПК, или при Dial-UP доступе в Интернет вы обычно не можете получить статический IP-адрес. Это означает, что нельзя заранее создать безопасное соединение между двумя ПК, задав явным образом их IP-адреса и разрешив им совместный доступ к файлам. Black ICE Defender очень элегантно решает эту проблему. Для этого достаточно открыть порты NetBIOS и установить нетривиальный пароль на доступ к файлам - если Black ICE Defender обнаружит попытку подобрать пароль, он тут же самостоятельно занесет IP-адрес злоумышленника в черный список и разорвет это соединение. Вы же, зная правильный пароль, всегда получите полный доступ, вне зависимости от динамически назначаемого IP-адреса своего рабочего ноутбука. Настройка совместного доступа к файлам очень проста, что является немаловажным плюсом программы.
К сожалению, хотя Black ICE Defender и блокирует порты весьма эффективно, он не умеет управлять доступом в Сеть установленных на компьютере приложений - уходящий трафик ничем не защищен. Таким образом, если уж "троянский конь" попал в вашу систему, то ничто не помешает ему воспользоваться открытым (например, для Outlook Express) портом и отправить все ваши пароли куда-нибудь на анонимный почтовый ящик mail.ru.