spravkapc.ru

Как установить, настроить и использовать APS

Доброго времени суток дорогие читатели. Наконец-то я сел продолжить статью про APS (которую многие так долго и упорно требовали по средством формы обратной связи 😉 ) и готов представить её Вам.

Для тех кто еще не знает что за APS такое и с чем его едят настоятельно рекомендую ознакомиться с первой статьей под названием «Защита портов» ибо не ознакомившись с оной Вы рискуете не понять о чем пойдет речь т.к. в данном материале предполагается, что Вы уже установили программу, представляете зачем она нужна, имеете фаервол и готовы заняться непосредственной её настройкой, а так же вниканием в суть и принципы работы.

Собственно, поехали.

Содержание:

  • Настройка «ловушки» APS для защиты компьютера
  • Хотите знать и уметь больше?
  • Теория и принципы работы фаерволла + ловушки
  • Общие принципы работы APS
  • Имитация сервисов в целях защиты
  • Чуть больше подробностей и метафора
  • Наши новогодние скидки
  • Дополнительные настройки APS
  • Что делать при тревоге и обнаружении взлома
  • Послесловие

Настройка «ловушки» APS для защиты компьютера

В первую очередь программу надо настроить. Жмем «Сервис» — «Настройка» и, собственно, приступаем.

скидки от 50%

Хотите знать и уметь больше?

Обучим, расскажем, покажем, трудоустроим!
Станьте опытным пользователем, администратором серверов и сетей, веб-дизайнером или кем-то из смежной сферы!

Записаться сейчас!

Переходим в «Общие» — «Интерфейс«. Устанавливаем там всё по Вашему вкусу или в соответствии со скриншотом ниже (увеличение по клику).

Идем дальше.

Если Вы обычный пользователь, то, думаю, Вам не нужны никакие оповещения по сетиemail или запись в syslog, а посему снимите галочки в соответствующих пунктах в разделе настроек «Оповещение«. Тоже самое касается отчетов в разделе настроек «Отчеты» и протоколирования в разделе — кто бы мог подумать 🙂 — «Протоколирование«.

Теперь переходим к настройкам имитации сервисов, но перед этим небольшой вагончик полезной теории, касающейся принципов работы.

к содержанию ↑

Теория и принципы работы фаерволла + ловушки

В главном окне программы есть такая вот табличка:

Что это за табличка?  Это список портов и названия вредоносного (не везде, но в большинстве своём) обеспечения (база данных). APS же в свою очередь наблюдает за портами и следит есть ли конкретная гадость использующая конкретный порт или не атакуется ли какой-нибудь порт (например, наиболее любимый хакерами 21-ый порт FTP-сервера) каким-нибудь гадким хакером Пупкиным.

к содержанию ↑

Общие принципы работы APS

Проще говоря, принцип работы программы основан на прослушивании этих самых портов, описанных в базе данных. База данных содержит краткое описание каждого порта — краткие описания содержат или названия использующих порт вирусов, или название стандартного сервиса, которому этот порт соответствует.

При обнаружении попытки подключения к прослушиваемому порту программа фиксирует факт подключения в протоколе, анализирует полученные после подключения данные и для некоторых сервисов передает так называемый баннер — некоторый набор текстовых или бинарных данных, передаваемых реальным сервисом после подключения, т.е. симулирует отклик и таким образом защищает Ваш компьютер и реальной атаки не получается. На имитации остановимся подробнее.

к содержанию ↑

Имитация сервисов в целях защиты

Группа параметров «Имитация сервисов» содержит настройки — чего бы Вы думали? 🙂 , правильно, —  системы имитации сервисов. Система имитации может быть выключена (по умолчанию частично оно так и есть) и в этом случае APS не производит активного взаимодействия с атакующим и немедленно разрывает соединение с ним.

При включении системы имитации APS может передавать атакующему описанные в базе портов блоки данных, которые содержат типовые отклики имитируемых сервисов (т.е., скажем, кто-то пытается пробиться на FTP-сервер на 21-ом порту, программа это видит и выходит на связь, передавая отклик аля «я вот FTP-сервер, да, я тут, я работаю, на те Вам отклик», а в этот момент реальный FTP радуется своей жизни).

Кроме того, можно включить и настроить режим передачи случайных данных — наличие в ответе APS случайной информации вводит в заблуждение сканеры сетевой безопасности, затрудняет и замедляет их работу. Кроме того, в настройках имитации сервисов TCP можно настроить режим удержания соединения — по умолчанию соединение разрывается сразу после завершения обмена с атакующим, но оно может удерживаться, что еще более существенно замедляет работу некоторых сканеров сетевой безопасности.

Таким образом у Вас появляется тележка времени дабы сконфигурировать системы безопасности (в пользовательском случае — это фаервол) так, чтобы никто с атакующего адреса к Вам не пробрался.

к содержанию ↑

Чуть больше подробностей и метафора

Фактически APS является ловушкой и средством конфигурирования и тестирования систем безопасности. Да, программа умеет блокировать работу сетевых червей и Backdoor модулей. Да, APS умеет разрывать соединения, подпихивать левые данные и тд и тп. Но! Не путайте APS с фаерволом. Таки APS — это средство контроля за безопасностью, а не сама безопасность (кстати можете взглянуть на Сертифицированные ФСТЭК России средства защиты).

к содержанию ↑

Наши новогодние скидки

Чтобы было понятнее? — есть охранник у магазина, а есть дядя Вася, которому поручено следить за качеством работы этого охранника. Так вот попутно дядя Вася (раз уж он контролирует охранника, то должен знать кое что о принципах его работы, о безопасности, о типах угрозы и тд и тп) может отваживать левых личностей подальше от магазина и говорить охраннику, что мол этого дядьку не пускать — он пытался разбить витрину, но я отнял у него кирпич и, если он вдруг придет еще раз — стреляй на поражение.

Однако, если убрать охранника и оставить дядю Васю одного результаты будут плачевными ибо дядя Вася не имеет соответствующей квалификации, а точнее имеет другую специальность, а еще точнее попросту не для того предназначен.

Подробнее о том зачем нужен APS читаем в прошлой статье.

Ладно, с теорией и принципами работы, будем считать, разобрались.

к содержанию ↑

Дополнительные настройки APS

Возвращаюсь к настройкам имитации сервисов. Дабы не заниматься набором лишних букв просто выставляйте все так как указано на скриншотах (увеличение по клику).

Сервисы TCP:

Сервисы UDP:

С настройками будем считать покончено. Переходим к последнему этапу.

к содержанию ↑

Что делать при тревоге и обнаружении взлома

Спокойствие, только спокойствие (с).

Как Вы наверное поняли речь пойдет о том, что же делать, когда APS выявил атаку на порт или использование порта каким-нибудь вирусомчервем. О подобном событии программа салютует восклицательным знаком в трее (там где часы) или всплыванием из оного (если Вы включили сие в настройках).

И так, что, собственно, делать.

Во-первых, не надо паниковать. Какой-то там вирус или хакер пупкин — это просто мелочи жизни, причем легко устранимые.

Во-вторых.. Во-вторых, всё просто:

  • Смотрим что происходит, т.е. определяем кто творит злодеяния: вирустроянчервь или хакер пупкин лезет к нам из вне. Выявляем подробности, мол что за порт, что за гадость, откуда, зачем почему и тд и тп.
  • Далее по обстоятельствам. Если это хакеркто-точто-то еще ломиться из вне, то смотрим лог (т.е. то куда он, собственно, записывает все данные об атаках и тд и тп) фаервола и выясняем заблокировал ли он атаку. Если нет, то берем адрес с которого ломятся (адрес указывается APS-ом при атаке и в статистике) и добавляем этот адрес в черный список. Если да, то все равно поступаем аналогичным образом (на всякий пожарный 🙂 ).
  • Как вариант, можно просто закрыть порт по средством все того же фаервола. Тонкости закрывания портов и блокировки адресов специфичны для каждого фаервола, т.е. описать настройки (куда тыкать) я не могу чисто физически. Если что — спрашивайте, что вспомню — подскажу.
    Если это кто-то от нас, т.е. где-то на компьютере уже есть троянвирусчервь и он использует порт для своих злодеяний, то с помощью фаервола закрываем порт или запрещаем работать конкретной гадости (если она представляет собой exe-файл), а потом сканируемся на вирусы, spyware и тд и тп, находим заразу и устраняем её.
  • Универсальное решение — это отключить интернет и потом устранять проблему в тишине и покое.

Всё. Думали сложно? Ничего подобного.

Еще раз повторюсь, что наличие нормального фаервола обязательно. О том, что такое фаервол и зачем он нужен я писал в статье «Защищаемся от хакеров, червей и прочей шушеры».

к содержанию ↑

Читайте также:
untitled3untitlededituntitled4folder-openhomepenciluntitled2star