Каждому из нас требуется заботиться о своей безопасности в сети. Всегда найдутся люди, желающие проникнуть на ваш компьютер. И причин для этого предостаточно, будь то желание пошутить либо кража конфиденциальной информации.
В этой статье мы поговорим о способах защиты в локальных сетях. Речь пойдёт о самой распростронённой ОС – Windows. Как бы мы её не ругали и ненавидели, всё же большинство весьма полезного и самого разнообразного софта написано под неё. Людям, пересаживающимся на Линукс и др., знакомо чувство некоторого дискомфорта в связи с отсутствием многих вкусностей. Потому научимся оборонять наши глючные окошки.
Наверное каждый согласиться, что чем популярнее опрационная система (да и вообще любая программа) ,тем больше находиться желающих использовать её ошибки для получения выгоды\морального удовлетворения. Таким образом с ростом количества компьютеров сети, открытием новых ошибок в любимой Windows, встает вопрос, как правильно и 100 процентно обеспечить стабильность и надежность этой самой любимой ОС.
Защита локальной сети от атак для администратора
Думаю, каждый сисадмин хочет обеспечить безопасность своей сети. Самому от атак ему защититься не трудно, если он не нуб конечно Да и какой дурак будет ломать сервак админа? Разве что желающий получить по ушам или вообще остаться без сети.
Но вот как максимально защитить от атак обычных юзеров? Можно конечно забить на это дело, мол пусть сами защищаются, ставят фаерволы и тд. Но не у всех пользователей есть мозги, позволяющие им это сделать (как говориться, “в сетке не без нубов”). Я приведу несколько пунктов, в которых будут показаны некторые способы защиты от атак.
1. Необходимо поднять локальный сервер WSUS, чтобы обеспечивать обновление винды юзерами. Также необходимо своевременно уведомлять юзеров о новых заплатках.
2. В свойствах подключения крайне желательно оставить только самое необходимое, а именно ТСР/IP. «Службу доступа к файлам и принтерам сети Microsoft» необходимо отключить, чтобы не облегчать задачу всем любителям «дефолтовых» C$, D$, ADMIN$ и т.д.
3. Построение локальной сети не на хабах (сетевые пакеты, которые получает хаб, распределяются по всем адресам независимо от места назначения), а на свитчах (используется технология доставки пакетов «по адресу»). Применение свитчей значительно усложняет процесс перехвата сетевых паролей и делает злоумышленника «видимым» (перехват паролей возможен даже при использовании свитчей(!), но в этом случае машина злоумышленника вынуждена генерировать ARP-пакеты — технология ARP-poizoning), используя стандартный набор для антисниффинга.
4. Необходимо своевременно уведомлять юзеров о новых вирусах, и если имеется заплатка, предлагать установить её, чтобы избежать эпидемии.
5. Можно банить заражённых юзеров.
6. Использовать автоматическое присвоение ИП адресов по мак адресу. Это поможет избежать случаев входа одного юзера под ИП адресом другого (если он, конечно, не сменит мак адрес).
7. Всем юзерам предлагать установить антивирус и фаервол. Можно даже создать для этого локальный сайт, с подробным описанием.
8. Ну и конечно же, не забывайте о физической безопасности сети))
Ну вот вроде и всё, для админа.
Защита локальной сети от атак для простого юзера
А что если вы не админ, а простой юзер? Как вам защититься от атак от соседа-шутника, который заставляет ваш комьютер включаться по ночам и на весь экран показывать незакрываемое порно?
Следующие советы помогут вам обезопасить свой компьютер.
1. Кликаем правой кнопкой мыши по Мой компьютер-Управление-Службы и приложения-Службы Двойным щелчком мыши кликаем указанным ниже службам и изменяем “Тип запуска”.
Желательно отключить следующие службы:
Telnet
Беспроводная настройка (если вы не используете беспроводную сеть)
Брандмауэр Windows/Общий доступ к Интернету (Встроенный в винду фаервол, жалкое подобие, лучше отключить и поставить нормальный)
Оповещатель
Служба времени Windows (ваши часы на компе отстают в день на два часа?)
Служба сообщений
Удаленный реестр
Центр обеспечения безопасности (фигня… задаёт кучу вопросов, не более)
2. Отлючить DCOM на компьютере
Зачем мы это сделали? Сетевой червь “Lovesan”, “MsBlast” и его потомки ипользуя уязвимость в DCOM, заходит на машину жертвы, позволяя получить доступ к жестким дискам компьютера, а следовательно и ко всему компьютеру, по сети. Даже если вы установили обновление против него – престраховка не помешает. Дыру в этой службе Мелкософт закрывала уже два раза.
3. Рабочая группа
Знаете, какая самая большая распространённая ошибка после установки системы? Вызабываете сменить рабочую группу. Это ОЧЕНЬ ОПАСНАЯ ОШИБКА. Объясняю, почему. Во-первых, из-за вас у всей локальной сети тормозит дмесс(лан-болталки), сетевое окружение, а у вас самих и то и другое может вообще не работать. Во-вторых, вы идеальная мишень для сетевой хакерской атаки, выдавая свою свежепоставленную непропатченную систему с потрохами. Это всё равно, что встать на поле боя с мишенью на груди.
4. Думаешь в твоей системе только один пользователь?
Идём в Мой компьютер-Управление-Локальные пользователи и группы-Пользователи. Нет, это не глюк. Помимо тебя в системе ещё есть Администратор, Гость, HelpAssistant, SUPPORT_хххххххх, и мож даже ещё кто-нить. Можешь отключать\удалять всех кроме Админа, тебя самого, и гостя (если хочешь закрыть доступ к твоим папкам из сети). Кстати, даже включив учетку гостя, доступ по сети будет возможен только, если в реестре есть спец. запись (так называемый доступ по нулевой сессии). Её можно проверить, а лучше создать вот как.
Создай текстовый документ и помести туда вот эти строчки
Windows Registry Editor Version 5.00
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
SetValue “RestrictAnonymous”=dword:00000000 (0)
Сохрани его и измени расширение файла на *.reg, например 123.reg Запускай файлик и ответь “Да” на вопрос. Потребуется перезагрузка для вступления изменений в силу. Да, кстати, включив учетку гостя, ты предоставляешь не только доступ к своим расшаренным папкам, но и много другой информации(время на компе, список пользователей и др.), которую можно использовать против тебя. Так что вот оно как….
Для любителей анонимности ОЧЕНЬ РЕКОМЕНДУЮ НАОБОРОТ ЗАКРЫТЬ ДОСТУП ПО НУЛЕВОЙ СЕССИИ
5. Ваш пароль должен быть сложным, а не 123 или asd
Современные переборщики паролей подбирают со скоростью 1000000 вариантов в сек (!!!). Придумай что нить посложнее. Например “sl84G#”. А изменить его можно через панель управления или по предыдущему пункту (надо на учетке жать не свойства, а “Задать пароль”).
6. И твоя учетка конечно же имеет адмистраторские привелегии. Да, это удобно, не спорю.
Но это ещё одна из основных ошибок. Можно понизить свои права, переведя себя в другую пользовательскую групу, ниже админа. Изменить привелегии или надеется на лучшее.. – выбирать тебе.
7. А теперь расскажи ка, сколько открыто у тебя папок на доступ в сеть? Ни одной? Ты уверен?
Тогда иди в Мой компьютер-Управление-Общие папки-Общие ресурсы. По умолчанию винда расшаривает на доступ все(!!!) твои диски. Однако доступ к ним возможен не всегда, и лишь зная пароль Администратора. Не надо нам такого счастья.
Создай текстовый документ и помести туда вот эти строчки
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters]
“AutoShareWks”=dword:00000000
“AutoShareServer”=dword:00000000
Сохрани его и измени расширение файла на *.reg, например 123.reg Запускай файлик и ответь “Да” на вопрос. Потребуется перезагрузка для вступления изменений в силу.
8. На дорогих сетевых картах имеется дополнительный сопроцессор, выполняющий основные функции по обработке сетевых пакетов, призванный дополнительно разгрузить CPU, однако по умолчанию в Windows 2000\XP он не задействован. Чтобы включить его, надо, как уже описывали ранее создать файл реестра и запустить его:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters]
“DisableTaskOffload”=dword:00000000
Если твоя карточка за сотню-две сотни тебе это не светит. Но попробовать стоит. Даже если не сработает – оставь, глюков не будет.
9. Усиленное шифрование паролей в системе
Это чтоб плохие дяди дольше грызли ногти))) Пригодиться
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa]
“lmcompatibilitylevel”=dword:00000002
10. При установке антивируса/фаервола желательно не делать в папку по умолчанию.
Достаточно изменить пару символов в пути. Это полезно, так как в некоторые вирусы встроен механизм отключения\порчи антивируса. Изменение стандартных путей установки помешает вирю найти цель.
Чем актуальнее (новее) антивирусные базы, тем больше шансов, что вирус будет найден, если он есть на машине.
Нужно регулярно проверять машину на вирусы.
Прежде, чем запустить незнакомый файл – трижды подумайте.
11. Если вам дороги накопленные долгими месяцами\годами данные, то делайте РЕЗЕРВНОЕ КОПИРОВАНИЕ на CD/DVD. Будьте уверены, что в самый неподходящий момент их сожрёт гадкий вирь или жесткий диск прикажет долго жить (закон подлости). Проги можете юзать например такие: Secura Backup, Nero, RestoreIT, FullSync, azguard). Бэкапить хак-тулзы без шифрования – плохая идея и удачная находка для отдела “K”.
12. Если вы хотите обезопасить документы от чужого взгляда – используйте шифрование. В WinXP есть служба позволяющая шифровать от папки до всего диска. Однако, это не надежный способ. В Интернете давно имеються проги ломающими НТФС-шифрование. Есть конечно же програмы с криптостойкими алгаритмами(BestCrypt, AxCrypt, PGP9).
13. И, наоборот, если необходимо уничтожить что-то без возможности восстановления, это не проблема (secure_delete, eteraser, drivecleanser, F-Erase).
14. Не запускайте незнакомые программы.
15. Выключить в БИОСе фукнцию включения компа по LAN. Если не знаете как это сделать, лучше вообще выдергивать кабель после выключения компа.
16. Обязательно установите фаервол. Не используйте стандартный брандмауер! Я рекомендую юзать Agnitum Outpost Firewall. Он защитит вас от большинства сетевых атак (если и вы конечно не нуб).
А что делать если вы были атакованы?
Первым делом, конечно же выдерните сетевой кабель (не отключайтесь от локалки, отключив подключение в сетевых подключениях).
Желательно переустановить систему для 100% уверенности с уже проверенного диска(безвирусов). Метод радикальный, согласен. Зато надёжный.
Если вы решили не переустанавливать систему, то проверьте ваш хард на другом компе. Не пытайтесь проверять с помощью Live cd! Там антивирусные базы уже устарели, а вирус может быть свеженьким)
В заключение
Так или иначе – хулиганов нелюбят ни на улице ни в сети.
Если админ про них узнает, то ввалит им …
З.Ы. для подготовки статьи были использованы материалы из инета и мои мозги.
Источник: http://anti-viruses.ru/zashhita-ot-atak ... lnoj-seti/