Установка и настройка средства обнаружения вторжений Security Studio Endpoint Protection (SSEP)
Возможности и компоненты SSEP
Возможности SSEP
Программа контролирует соединения компьютера с другими компьютерами, блокируя хакеров, предотвращает несанкционированный внешний и внутренний доступ к сети. Контролируя входящий и исходящий трафик приложений, она останавливает попытки вредоносного ПО передать данные с компьютера или на него.
Механизмы проактивной защиты отслеживают поведение программ и их взаимодействие для обеспечения проактивной защиты от несанкционированной активности, блокируя вредоносные и шпионские программы, изощренные хакерские методики взлома компьютеров и кражи личных данных.
Простой и эффективный сканер вредоносных программ автоматически обнаруживает и изолирует или удаляет вирусы, шпионские программы и другое вредоносное ПО. Постоянная защита непрерывно контролирует пассивные и активные программы, оказывая при этом минимальное влияние на производительность системы.
В Security Studio Endpoint Protection используются специализированные средства для своей собственной защиты, которую невозможно отключить даже с помощью специально созданных вредоносных программ.
Компонент Антиспам будет содержать почтовый ящик в чистоте от нежелательной почты. Можно обучить его распознавать спам, используя ваши собственные представления о нежелательной почте, что делает его тем более эффективным, чем дольше он используется.
Универсальный компонент Веб-контроль оберегает от опасностей сети Интернет. Он защищает от навязываемого содержания сайтов, загружающих ненужную информацию, предотвращает случайное раскрытие личных данных, ограничивает воздействие потенциально опасного содержимого ресурсов сети на систему и сохраняет личные данные конфиденциальными.
Компоненты SSEP
Средство обнаружения вторжений (СОВ) Security Studio Endpoint Protection состоит из серверной и клиентской части.
Серверная часть - это сервер лицензирования и обновлений (далее - ALUS). Серверная часть исполняет роль:
- локального сервера обновлений, обеспечивающего загрузку обновлений клиентского программного обеспечения, антивирусных баз и сетевых правил с сервера компании "Код Безопасности" и предоставление их клиентам в сети по их запросу;
- локального сервера лицензирования, обеспечивающего выдачу лицензионных ключей устанавливаемым в сети клиентам.
Клиентская часть - собственно SSEP — реализует функции комплексной сетевой защиты рабочих станций пользователей. Количество клиентских компьютеров в сети огранивается лицензией.
Типовая схема подключения Security Studio Endpoint Protection для корпоративных сетей предствлена на рисунке:
Режимы работы SSEP
Security Studio Endpoint Protection готов к работе сразу после установки. Настройки продукта по умолчанию оптимизированы для выполнения большинства целей и рекомендуются к использованию до тех пор, пока продукт не будет полностью освоен. При каждом вызове диалога для изменения настроек продукта и при выполнении некоторых другихопераций запрашивается пароль доступа к настройкам. По умолчанию настройки защищены паролем securitycode. Этот пароль можно изменить или отключить запрос пароля.
Режим загрузки
Режим загрузки определяет режим загрузки Security Studio Endpoint Protection при загрузке всей системы.
Для выбора режима загрузки:
- Нажмите кнопку Настройки на панели инструментов.
- Введите пароль администратора и нажмите кнопку ОК. На экране появится окно настройки параметров программы.
- Выберите в левой части окна раздел Общие.
- В группе Параметры работы выберите режим загрузки. Доступны следующие режимы:
Если доступ к настройкам продукта защищен паролем, на экране появится запрос пароля администратора Security Studio Endpoint Protection. По умолчанию защита паролем включена и установлен пароль securitycode.
Включение и выключение защиты
По умолчанию Security Studio Endpoint Protection автоматически загружается при запуске системы, обеспечивая защиту на самой ранней стадии ее работы. О загрузке Security Studio Endpoint Protection свидетельствует пиктограмма продукта, отображаемая в системной области панели задач Windows. Наличие пиктограммы означает, что Security Studio Endpoint Protection работает.
Дважды щелкните по пиктограмме, чтобы открыть главное окно Security Studio Endpoint Protection. Чтобы закрыть главное окно, нажмите соответствующую кнопку в его правом верхнем углу. При этом программа не выключается. Главное окно сворачивается в пиктограмму, а Security Studio Endpoint Protection работает и обеспечивает безопасность системы.
Чтобы полностью отключить работу продукта (при этом Security Studio Endpoint Protection перестанет защищать систему), вызовите контекстное меню пиктограммы, активируйте команду Выход, а затем — вариант Выйти и остановить службу в появившемся на экране диалоге.
Приостановка защиты
Security Studio Endpoint Protection позволяет приостанавливать защиту на определенный промежуток времени, что позволяет избежать появления ненужных всплывающих окон.
Например, при установке доверенного программного обеспечения, проверке каких-либо приложений или выполнении низкоуровневых действий, которые могут быть приняты продуктом за подозрительные. При приостановке защиты Security Studio Endpoint Protection перестает контролировать какую-либо деятельность; при возобновлении защиты применяется конфигурация, использовавшаяся до приостановки.
Для приостановки защиты:
- Вызовите контекстное меню пиктограммы продукта на панели задач и выбе-рите команду Приостановить защиту. Если доступ к настройкам продукта защищен паролем, на экране появится запрос пароля администратора Security Studio Endpoint Protection.
- Нажмите кнопку ОК. Появится диалог выбора периода времени, по окончании которого защитабудет возобновлена.
- Выберите необходимый период.
Защита будет приостановлена.
Настройка SSEP
Настройка сетевых соединений
С увеличением использования ресурсов сети Интернет растет и необходимость в защите личных данных пользователя, хранящихся на компьютере. Устанавливаемые соединения должны быть защищены таким образом, чтобы хакеры не представляли угрозу для системы в то время, когда компьютер подсоединен к сети Интернет или к домашней сети. Брандмауэр Security Studio Endpoint Protection предоставляет широкий выбор уровней защиты — от полной блокировки доступа в Интернет для всех приложений до разрешения неограниченного доступа.
Для активации брандмауэра:
- Нажмите кнопку Настройки на панели инструментов.
- Выберите в левой части окна раздел Брандмауэр.
- Установите отметку в поле Включить брандмауэр и нажмите кнопку OK.
Настройка политики
Один из самых важных параметров Security Studio Endpoint Protection — его политика. Политика задает, каким образом Security Studio Endpoint Protection будет контролировать доступ компьютера к Интернету или любой другой сети, к кото-рой он подключен. Например, режим блокировки предполагает особенно стро-гую позицию Security Studio Endpoint Protection, а режим разрешения — наоборот, очень мягкую.
Политики Security Studio Endpoint Protection может действовать согласно одной из следующих политик:
Пиктограмма, соответствующая текущему режиму, будет отображаться в систем-ной области панели задач Windows. Взглянув на пиктограмму, сразу можно опре-делить, в каком режиме работает система безопасности.
Настройка сетевого доступа для приложений
Один из основных принципов работы Security Studio Endpoint Protection — предоставление доступа к сети процессам и приложениям согласно действующим правилам для приложений. Это позволяет задать гибкий доступ к сети и гарантирует, что ни один из процессов не получит неавторизованного доступа в сеть (т. е. доступа, не определенного ни одним из действующих правил). Security Studio Endpoint Protection создает список установленных приложений и автоматически устанавливает для них правила, а также позволяет модифицировать список приложений и правила для приложений вручную.
Во время создания конфигурации Security Studio Endpoint Protection обнаруживаются все установленные приложения и создаются правила для известных приложений согласно предварительно заданным настройкам.
Для просмотра списка обнаруженных приложений:
- Нажмите кнопку Настройки на панели инструментов.
- Выберите в левой части окна раздел Правила для приложений.
Для каждого приложения отображаются два столбца с пиктограммами, обозна-чающими тип правил, применяющихся к приложению брандмауэром (столбец Сетевые) и модулем Контроль утечек. Зеленый цвет пиктограммы означает, что соответствующим компонентом к данному приложению применяются только разрешающие правила. Красный цвет символизирует только запрещающие пра-вила. Желтый цвет говорит о том, что доступ для этого приложения определяется правилами обоих типов. Отсутствие пиктограммы означает отсутствие правил, применяемых к данному приложению соответствующим компонентом. В списке приложений можно вручную добавлять и удалять элементы.
Наблюдение за сетевой активностью
В Security Studio Endpoint Protection отображаются все действия системы и события, имеющие место на компьютере, чтобы дать пользователю возможность наблюдать за ними в режиме реального времени. Брандмауэр позволяет наблюдатьза сетевой активностью системы и портами, используемыми в данный момент запущенными приложениями.
Для просмотра текущей сетевой активности системы:
- Откройте главное окно Security Studio Endpoint Protection и нажмите в нижней части левой панели ссылку Начать Аудит.
- Выберите в левой части окна раздел Сетевая активность.
На информационной панели появится список запущенных в системе процессов, имеющих активные соединения. По умолчанию все соединения конкретного приложения сгруппированы под его именем. Чтобы просмотреть список соединений для приложения, щелкните значок "плюс" слева от его имени.
Чтобы увидеть все активные соединения всех приложений системы без группировки, щелкните правой кнопкой мыши в любом месте информационной панели и выберите команду Переключить сортировку. В таком режиме "плоского" отображения соединений можно сортировать отображаемые данные по значениям в столбцах, щелкнув название соответствующего столбца.
Для возвращения в режим по умолчанию щелкните правой кнопкой мыши в любом месте информационной панели и снова выберите команду Переключить сортировку. Можно не только менять вид панели, но также влиять на содержимое и число отображаемых столбцов (данные в некоторых столбцах отображаются только для соединений). Для этого щелкните правой кнопкой мыши в любом месте информационной панели и выберите команду Столбцы. На вкладке Столбцы отметьте столбцы, которые нужно показывать. Для изменения порядка отображения столбцов используйте кнопки Вверх, Вниз. Чтобы изменить способ отображения портов и адресов, перейдите на вкладку Строки в диалоге Столбцы и укажите необходимые параметры. Нажмите кнопку OK для сохранения настроек.
Используемые порты
Для просмотра списка портов, используемых системой и запущенными приложениями в данный момент, выберите в левой части главного окна Security Studio Endpoint Protection раздел Используемые порты.Структура этого списка повторяет структуру списка Сетевая активность.
Предотвращение сетевых атак
Одним из важнейших аспектов защиты с помощью системы безопасности является фильтрация входящих пакетов, используемая для контроля входящей активности и блокировки хакеров и вредоносных программ при их атаках.
Компонент Детектор атак функционирует на сетевом уровне модели OSI. Он обнаруживает, предотвращает и оповещает обо всех возможных атаках на систему из Интернета и локальной сети, к которой подключен компьютер. Компонент анализирует входящие данные либо путем сравнения контрольных сумм с известными атаками, либо проводя анализ поведения. Это позволяет обнаруживать не только известные типы атак, такие как сканирование портов, отказ от обслуживания (Denial of Service, DoS-атаки), атаки классов Short fragments и My address и многие другие, но также и неизвестные угрозы.
Для активации компонента Детектор атак:
- 1. Нажмите кнопку Настройки на панели инструментов.
- 2. Выберите в левой части окна раздел Детектор атак, а в правой части окна отметьте поле Включить детектор атак и нажмите кнопку Применить.
Настройка уровня обнаружения атак
Задать поведение Security Studio Endpoint Protection при обнаружении атак можно, установив нужный уровень тревоги. Уровень тревоги определяет количество подозрительных пакетов, после обнаружения которых будет сообщено об атаке. Чтобы установить уровень тревоги, передвиньте ползунок в разделе Детектор атак в одно из следующих положений:
- Максимальный. Оповещение об атаке отображается, даже если обнаружено единичное сканирование одного из портов; обнаруживаются ипредотвращаются все атаки как внешней сети, так внутренней.
- Оптимальный. Оповещение об атаке отображается, если просканировано несколько портов или если просканирован один из портов, которые, по данным Security Studio Endpoint Protection, обычно используются для атаки; обнаруживаются все внешние атаки за исключением атак "Фрагментиро-ванные ICMP-пакеты" и атак типа My address.
- Низкий. Оповещение об атаке отображается при обнаружении нескольких попыток атаки; атаки типа "Фрагментированные ICMP-пакеты" и My address, как и атаки внутренней сети, не обнаруживаются.
Измените уровень тревоги в соответствии с риском, которому подвергается данный компьютер, или, если возникли какие-либо подозрения, установите максимальный уровень.
Для настройки своего собственного уровня безопасности нажмите кнопку Настройка. Вкладка Ethernet позволит указать настройки для Ethernet-атак, вкладка Дополнительно поможет определить список атак, обнаруживаемых брандмауэром, и указать уязвимые порты для более тщательной проверки. После обнаружения атаки Security Studio Endpoint Protection может менять свое поведение, чтобы автоматически защитить компьютер от возможных будущих атак с этого адреса. Установите отметку Блокировать IP-адрес атакующего на и все данные с атакующего компьютера будут блокироваться в течение указанного промежутка времени. По умолчанию - 5 минут, максимально - 60 минут.
Также можно блокировать всю подсеть, к которой принадлежит адрес атакующего компьютера, выбрав параметр Блокировать подсеть атакующего. Для получения визуальных и звуковых оповещений об обнаруженных атаках откройте раздел Оповещения и установите соответствующие отметки в поле Обнаружение сетевых атак
Защита от Ethernet-атак
Когда данные пересылаются по сети с одного компьютера на другой, исходный компьютер рассылает ARP-запрос для определения MAC-адреса по IP-адресу целевого компьютера. Между временем отправки широковещательного сооб-щения и ответом с Ethernet-адресом данные могут подвергаться подмене, краже или несанкционированному перенаправлению третьему лицу. Компонент Детектор атак защищает систему также от вторжений со стороны локальной сети. Он обнаруживает и предотвращает некоторые Ethernet-атаки, такие как подделка IP-адреса (IP-spoofing), сканирование ARP, ARP-флуд и т. п. Чтобы указать настройки обнаружения Ethernet- атак, нажмите в разделе Детектор атак кнопку Настройка.
Доступны следующие параметры:
- Включить ARP-фильтрацию.
- Обнаруживать подмену IP-адреса и блокировать IP-флуд.
- Предотвращать подмену MAC-адреса шлюза.
- Защищать мои IP-адреса от ложных сообщений "IP-адрес уже занят".
- Блокировать узлы, сканирующие компьютеры в сети.
Предотвращает ARP-спуфинг (ARP-spoofing) — ситуации, когда узел посылает большое количество ARP-ответов с разными MAC-адресами в течение небольшого промежутка времени с целью перегрузить сетевое оборудование, пытаюющееся определить какой из этих адресов является реальным для данного узла. При включенном параметре Security Studio Endpoint Protection принимает только те ARP-ответы от других узлов, для которых перед этим был послан запрос. Для каждого запроса принимается только первый ARP-ответ. ARP-фильтрация также защищает от т. н. "отравления" ARP-кеша (ARP cache poisoning), которое происходит, когда кто-то перехватывает Ethernet-трафик, используя поддельные ARP-ответы, с целью замены адреса сетевого адаптера на адрес, который атакующий может контролировать. Кроме того, она также предотвращает ARP-флуд (ARP flood) — ситуации, когда большое количество фиктивных ARP-ответов отправляется на целевой компьютер с целью "повесить" систему.
Обнаруживает подмену IP-адресов (IP-spoofing) атакующего и блокирует большой объем трафика, который может перегрузить компьютер. Этот параметр не может предотвратить флуд в сети, но может защитить компьютер от перегрузки.
Обнаруживает попытки атакующего связать IP-адрес сетевого адаптера шлюза со своим MAC-адресом, чтобы иметь возможность перехватывать пакеты. Хакер может заменить MAC-адрес своим и перенаправить трафик на контролируемый им компьютер, подменяя ARP-ответы, что позволит ему просматривать пакеты и видеть все передаваемые данные. Также это позволяет перенаправлять трафик на несуществующие компьютеры, вызывая замедление в доставке данных или отказ от обслуживания. Подменяя MAC-адрес на интернет-шлюзе, хакерские утилиты-снифферы могут также перехватывать трафик, включая чат-сессии и прочие частные данные, такие как пароли, имена, адреса и даже зашифрованные файлы.
Обнаруживает случаи, когда два и более компьютеров имеют один IP-адрес. Такое может случиться, если атакующий пытается получить доступ к сетевому трафику или заблокировать компьютеру доступ в сеть, но также может происходить и санкционированно, если провайдер использует несколько серверов для распределения нагрузки. При включенном параметре блокируются ARP-ответы с одинаковыми IP-адресами (но разными MAC-адресами), что защищает компьютер от последствий дублирования IP-адресов.
Ограничивает количество ARP-запросов, перебирающих IP-адреса с одного MAC-адреса за указанный промежуток времени, что может являться сканированием локальной сети. Некоторые массово распространяющиеся вирусы перебирают узлы для распространения с одного компьютера на другой, заражая их по очереди. Этот метод также используется сканерами сети и анализаторами уязвимостей.
Сканирование портов
Компонент Детектор атак выполняет две независимые функции: блокирует атаки и обнаруживает попытки сканирования портов. В этом контексте под атакой понимается отправка на данный компьютер вредоносных данных, которые могут привести к ошибкам в системе (падениям, зависаниям и т. д.), или попытка атакующего получить незаконный доступ к данным, хранящимся на компьютере. Сканирование портов — это попытка определить открытые порты в данной системе до начала атаки.
При получении запроса на соединение (короткого сообщения на компьютерном языке, имеющего целью установление соединения через один из портов компьютера) компонент Детектор атак сохраняет Запрос на соединение, но во избежание ложных срабатываний не считает единичный запрос сканированием портов. Если от одного и того же удаленного узла поступают многочисленные запросы на соединение, компонент предупредит о сканировании портов.
Чувствительность Security Studio Endpoint Protection в обнаружении сканирования портов (т. е. количество запросов на соединение, которые вызывают появление соответствующего сообщения) определяется на вкладке Дополнительнодиалога Детектор атак.
Для доступа к параметрам чувствительности нажмите кнопку Настройка в разделе Детектор атак диалога Настройки. В появившемся диалоге перейдите на вкладку Дополнительно и нажмите кнопку Атаки. Затем в появившемся диалоге перейдите на вкладку Дополнительно.
По умолчанию количество запросов портов от одного узла, при котором появляется оповещение, для каждого уровня тревоги равняется: 2 — для Макси-мального, 6 — для Оптимального и 12 — для Низкого.
Уязвимые порты
С точки зрения безопасности TCP- и UDP-порты системы поделены на несколько групп в соответствии с вероятностью их взлома. Порты, отведенные для таких уязвимых служб, как DCOM или RPC, необходимо контролировать более тщательно, так как они с большей вероятностью могут являться целью атаки. Однако при использовании нестандартных служб, которым отведены нестандартные порты, эти порты также могут являться целью атакующего. Компонент Детектор атак позволяет задать список портов, на которые он будет обращать больше внимания во время слежения за сетевым трафиком.
При получении запроса на соединение с портом, который потенциально может использоваться уязвимой службой (например, 80, 21, 23, 445 и т. д.), модуль будет считать это не единичным обращением, а неким количеством X запросов на соединение от удаленного ПК, где X — вес (важность) этого порта. Вес порта — это десятичное число, обозначающее степень уязвимости этого порта (вероятность быть атакованным). Чем больше вес, тем более уязвим этот порт.
Веса всех портов, запросы к которым были произведены за указанный промежуток времени, суммируются, и если это число превысит текущий уровень тревоги, будет показано сообщение Сканирование портов.
Нет объективных критериев для констатации факта сканирования портов. Чувствительность Детектора атак определяет, после какого числа попыток подключения к компьютеру выдается сообщение Сканирование портов.
Пример:
Допустим, что установлен Оптимальный уровень тревоги.
Вес уязвимого порта 80 — 7.
Вес уязвимого порта 21 — 3.
Сообщение Сканирование портов будет показано, если удаленный узел:
- один раз попытается подключиться к порту 80 данной системы;
- один раз попытается подключиться к порту 21 данной системы и 3 раза к любым другим портам;
- 6 раз попытается подключиться к любым другим портам данного компьютера.
Для указания уязвимых портов и просмотра веса портов:
В разделе Детектор атак диалога настройки параметров программы нажмите кнопку Настройка, перейдите в появившемся диалоге на вкладку Дополнительно и нажмите кнопку Порты:
Порты, не указанные в списке, имеют вес в соответствии с настройками Веса закрытого порта и Веса используемого порта.
Уязвимые порты разделены на две группы: системные порты и malware-порты. Добавьте порты, используемые уязвимыми службами, в список системных портов. Порты, используемые известными вредоносными прог-раммами, добавьте в список malware-портов.
Для добавления порта:
- Нажмите кнопку Добавить и укажите следующие параметры: протокол, номер порта и вес его опасности. Вес опасности - это десятичное число, указывающее степень важности данного порта. Чем больше вес, тем более уязвим этот порт. Можно указать комментарий о назначении порта.
- Нажмите кнопку OK, чтобы добавить порт в список.
Для задания временного интервала сканирования портов:
- В разделе Детектор атак диалога настройки параметров программы нажмите кнопку Настройка. Появится диалог Детектор атак.
- Перейдите на вкладку Дополнительно и нажмите кнопку Атаки.
- В появившемся на экране диалоге перейдите на вкладку Дополнительно.
- Задайте интервал сканирования и нажмите кнопку OK.
Список атак
Можно указать, какие атаки Security Studio Endpoint Protection должен обнаруживать и блокировать. По умолчанию продукт определяет более 25 типов атак и вторжений. Но можно отменить определение некоторых из них, чтобы снизить потребление ресурсов системы или снизить количество ошибочных или слишком частых сообщений, которые появляются, если, например, доверенная служба в данной сети была ошибочно принята за источник атаки.
Для настройки списка определяемых атак:
- В разделе Детектор атак диалога настройки параметров программы нажмите кнопку Настройка. Появится диалог Детектор атак.
- Перейдите на вкладку Дополнительно и нажмите кнопку Атаки.
- Чтобы исключить какой-либо тип, удалите отметку слева от названия. Чтобывернуться к предварительным установкам, нажмите кнопку По умолчанию.
- Нажмите кнопку OK.
Все отмеченные типы атак обнаруживаются брандмауэром.
Список доверенных узлов и портов
В вашей сети не исключено наличие компьютеров, которым вы полностью доверяете и которые не могут являться источником опасности. Также вы можете быть уверены, что некоторые порты вашей системы не могут являться плацдармом для вторжения. Другими словами, вы полагаете бесполезным слежение за этими узлами и портами и хотите сберечь расходуемые системные ресурсы, перестав следить за ними. Детектор атак позволяет вести списки исключений, содержащие узлы и порты, для которых будет отключено сканирование портов.
Для добавления узла, подсети или порта в список доверенных:
- В разделе Детектор атак диалога настройки параметров программы нажмите кнопку Исключения.
- В диалоге Исключения на вкладке Узлы и сети нажмите кнопку Добавить из появившемся диалоговом окне выберите формат для ввода адреса. Доступны следующие варианты:
- Введите нужный адрес в выбранном формате (можно использовать маски) и нажмите кнопку Добавить. Подобным образом можно последовательно добавить несколько адресов. Нажмите кнопку OK для сохранения данных. Чтобы удалить адрес из списка, выберите его и нажмите кнопку Удалить.
- Чтобы отключить обнаружение атак со шлюзов, удалите отметку Анализировать трафик от шлюзов.
- Укажите все узлы и подсети, которые считаются доверенными, и нажмите кнопку OK для сохранения настроек.
• Имя домена. Например, https://www.securitycode.ru/. В этом случае требуется подключение к сети Интернет, поскольку IP- адреса разрешаются через Интернет. IP-адрес запоминается наряду с заданным именем домена, и именно этот IP-адрес будет использоваться в большинстве случаев.
• IP-адрес. Например, 216.12.219.12.
• Подсеть (IP-адрес и маска подсети). Например, 216.12.219.1–216.12.219.255.
• IPv6-адрес. Например, 2002::a00:1.
• Макроадрес. Например, LOCAL_ NETWORK.
Список доверенных портов
В диалоге Исключения выберите вкладку TCP-порты или UDP-порты в зависимости от того, какой порт нужно добавить в список доверенных. Можно ввести либо номер порта, либо диапазон портов, разделяя их запятыми, или выбрать нужный порт из списка, дважды щелкнув по нему для добавления в поле. Чтобы удалить порт из списка, удалите его имя или номер в текстовом поле. После указания всех портов нажмите кнопку OK для сохранения настроек.