Сетевая безопасность, часть 2 [APS как ловушка]
# опубликовано [04.09.2009] в рубриках: [
Интернет защита и сетевая безопасность]
Доброго времени суток дорогие читатели. Наконец-то я сел продолжить статью про APS (которую многие так долго и упорно требовали по средством формы обратной связи 
) и готов представить её Вам.
Для тех кто еще не знает что за APS такое и с чем его едят настоятельно рекомендую ознакомиться с первой статьей под названием “Защита портов” ибо не ознакомившись с оной Вы рискуете не понять о чем пойдет речь т.к. в данном материале предполагается, что Вы уже установили программу, представляете зачем она нужна, имеете фаервол и готовы заняться непосредственной её настройкой, а так же вниканием в суть и принципы работы.
Собственно, поехали.
Настройка APS.
В первую очередь программу надо настроить. Жмем “Сервис” – “Настройка” и, собственно, приступаем.
Переходим в “Общие” – “Интерфейс“. Устанавливаем там всё по Вашему вкусу или в соответствии с скриншотом ниже (увеличение по клику).
Идем дальше.
Если Вы обычный пользователь, то, думаю, Вам не нужны никакие оповещения по сети\email или запись в syslog, а посему снимите галочки в соответствующих пунктах в разделе настроек “Оповещение“. Тоже самое касается отчетов в разделе настроек “Отчеты” и протоколирования в разделе – кто бы мог подумать 
– “Протоколирование“.
Теперь переходим к настройкам имитации сервисов, но перед этим небольшой вагончик полезной теории, касающейся принципов работы.
Теория и принципы работы APS.
В главном окне программы есть такая вот табличка:
Что это за табличка? Это список портов и названия вредоносного (не везде, но в большинстве своём) обеспечения (база данных). APS же в свою очередь наблюдает за портами и следит есть ли конкретная гадость использующая конкретный порт или не атакуется ли какой-нибудь порт (например, наиболее любимый хакерами 21-ый порт FTP-сервера) каким-нибудь гадким хакером Пупкиным. Проще говоря, принцип работы программы основан на прослушивании этих самых портов, описанных в базе данных. База данных содержит краткое описание каждого порта – краткие описания содержат или названия использующих порт вирусов, или название стандартного сервиса, которому этот порт соответствует. При обнаружении попытки подключения к прослушиваемому порту программа фиксирует факт подключения в протоколе, анализирует полученные после подключения данные и для некоторых сервисов передает так называемый баннер – некоторый набор текстовых или бинарных данных, передаваемых реальным сервисом после подключения, т.е. симулирует отклик и таким образом защищает Ваш компьютер и реальной атаки не получается. На имитации остановимся подробнее.
Группа параметров “Имитация сервисов” содержит настройки – чего бы Вы думали? , правильно, - системы имитации сервисов. Система имитации может быть выключена (по умолчанию частично оно так и есть) и в этом случае APS не производит активного взаимодействия с атакующим и немедленно разрывает соединение с ним. При включении системы имитации APS может передавать атакующему описанные в базе портов блоки данных, которые содержат типовые отклики имитируемых сервисов (т.е., скажем, кто-то пытается пробиться на FTP-сервер на 21-ом порту, программа это видит и выходит на связь, передавая отклик аля “я вот FTP-сервер, да, я тут, я работаю, на те Вам отклик”, а в этот момент реальный FTP радуется своей жизни). Кроме того, можно включить и настроить режим передачи случайных данных – наличие в ответе APS случайной информации вводит в заблуждение сканеры сетевой безопасности, затрудняет и замедляет их работу. Кроме того, в настройках имитации сервисов TCP можно настроить режим удержания соединения – по умолчанию соединение разрывается сразу после завершения обмена с атакующим, но оно может удерживаться, что еще более существенно замедляет работу некоторых сканеров сетевой безопасности. Таким образом у Вас появляется тележка времени дабы сконфигурировать системы безопасности (в пользовательском случае – это фаервол) так, чтобы никто с атакующего адреса к Вам не пробрался.
Фактически APS является ловушкой и средством конфигурирования и тестирования систем безопасности. Да, программа умеет блокировать работу сетевых червей и Backdoor модулей. Да, APS умеет разрывать соединения, подпихивать левые данные и тд и тп. Но! Не путайте APS с фаерволом. Таки APS – это средство контроля за безопасностью, а не сама безопасность. Чтобы было понятнее – есть охранник у магазина, а есть дядя Вася, которому поручено следить за качеством работы этого охранника. Так вот попутно дядя Вася (раз уж он контролирует охранника, то должен знать кое что о принципах его работы, о безопасности, о типах угрозы и тд и тп) может отваживать левых личностей подальше от магазина и говорить охраннику, что мол этого дядьку не пускать – он пытался разбить витрину, но я отнял у него кирпич и, если он вдруг придет еще раз – стреляй на поражение. Однако, если убрать охранника и оставить дядю Васю одного результаты будут плачевными ибо дядя Вася не имеет соответствующей квалификации, а точнее имеет другую специальность, а еще точнее попросту не для того предназначен.
Подробнее о том зачем нужен APS читаем в прошлой статье.
Ладно, с теорией и принципами работы, будем считать, разобрались.
Заканчиваем настройку APS.
Возвращаюсь к настройкам имитации сервисов. Дабы не заниматься набором лишних букв просто выставляйте все так как указано на скриншотах (увеличение по клику).
Сервисы TCP:
Сервисы UDP:
С настройками будем считать покончено. Переходим к последнему этапу.
Горим!!! *паника*
Спокойствие, только спокойствие (с).
Как Вы наверное поняли речь пойдет о том, что же делать, когда APS выявил атаку на порт или использование порта каким-нибудь вирусом\червем. О подобном событии программа салютует восклицательным знаком в трее (там где часы) или всплыванием из оного (если Вы включили сие в настройках).
И так, что, собственно, делать.
Во-первых, не надо паниковать. Какой-то там вирус или хакер пупкин – это просто мелочи жизни, причем легко устранимые.
Во-вторых.. Во-вторых, всё просто:
- Смотрим что происходит, т.е. определяем кто творит злодеяния: вирус\троян\червь или хакер пупкин лезет к нам из вне. Выявляем подробности, мол что за порт, что за гадость, откуда, зачем почему и тд и тп.
- Далее по обстоятельствам.
Если это хакер\кто-то\что-то еще ломиться из вне, то смотрим лог (т.е. то куда он, собственно, записывает все данные об атаках и тд и тп) фаервола и выясняем заблокировал ли он атаку. Если нет, то берем адрес с которого ломятся (адрес указывается APS-ом при атаке и в статистике) и добавляем этот адрес в черный список. Если да, то все равно поступаем аналогичным образом (на всякий пожарный ). Как вариант можно просто закрыть порт по средством все того же фаервола. Тонкости закрывания портов и блокировки адресов специфичны для каждого фаервола, т.е. описать настройки (куда тыкать) я не могу чисто физически. Если что – спрашивайте, что вспомню – подскажу.
Если это кто-то от нас, т.е. где-то на компьютере уже есть троян\вирус\червь и он использует порт для своих злодеяний, то с помощью фаревола закрываем порт или запрещаем работать конкретной гадости (если она представляет собой exe-файл), а потом сканируемся на вирусы, spyware и тд и тп, находим заразу и устраняем её.
- Универсальное решение – это отключить интернет и потом устранять проблему в тишине и покое.
Всё. Думали сложно? Ничего подобного.
Еще раз повторюсь, что наличие нормального фаервола обязательно. О том, что такое фаервол и зачем он нужен я писал в статье “Защищаемся от хакеров, червей и прочей шушеры“.
Послесловие.
Вот такие пироги.
Это не последняя статья в цикле по защите и безопасности в сетях и интернете. Есть еще много мыслей о статьях на эту тему как совсем простого уровня, так и посложнее.
Если есть вопросы, если что-то не получается или хотите дополнить – пишите или оставляйте комментарии.
Пригодилось? Расскажи друзьям:
# статья редактировалась [05.02.2012], # автор:
Sonikelf
Андрей APS можно использовать как Honeypot ?
Можно сделать еще так, для защиты портов:
Сетевые подключения – Подключения по локальной (или у кого как) сети. Жмем правой кнопкой мыши Свойства – выделяемПротокол Интернета (ТСР/IP) – Свойства – Дополнительно -Параметры – выделяемФильтрация ТСР/IР – Свойства – Задействовать фильтрацию/strong> (галачку ставим). Перезагрузка.На скорость инета не влияет.
На защиту портов тоже
скажите, пожалуйста, как добавить адрес в черный список?
Смотря какой фаерволл у Вас установлен.
ой, да, забыла добавить. у меня Zone Alarm.
через фаервол можно
я как раз про фаерволл, а есть еще какие-то способы?
Кто-нибудь подскажите пожалуйста:
-Работает ли APS c ADSL (например DLink 2500U на скорости 256)
т.е. в паре со скоростным (широкополосным) модемом?
-Тут уже сказали:APS не обновляется уже с 2004 года. Справляется ли он реально со своей задачей сегодня?
-есть ли другие аналогичные программы,такие же простые и компактные, на уровне,отвечающий сегоднящним требованиям,или на APS свет клином сошелся?
Знающие,просветите пожалуйста.Я думаю,эти вопросы интересуют многих.Заранее спасибо.
1. Работает.
2. Да, т.к. это ловушка и утилита для контроля, а не полноценный фаерволл. Обновления там вообщем-то не нужны.
3. Ммм, теоретически нету. Практически надо искать, – может и есть.
Доброго времени суток! Скажите пожалуйста как к сообщению прикрепить скриншот? Есть вопрос и скриншот, но не вижу опции вставки изображения. Спасибо!
Разобрался
Совместима ли эта утилита с Vista? У меня почему то она не хотела добавляться в автозапуск, помог запуск от имени встроенного админа, хотя моя учетка тоже админовская, но каждый раз при запуске мне приходится выставлять настройки имитации сервисов заново. Можно ли что ни будь с этим сделать? Не всегда вспоминаешь про то что надо выставить настройки.
Мм, сложно сказать, но по идее, да, должна быть совместима. Честно, не знаю, что подсказать, т.к. вистой не пользуюсь.
Утилита почему то выдает ложную тревогу, как будто происходит атака на порт 6112, фаервол ни чего не зафиксировал, я добавил его в список блокируемых, утилита все равно продолжает показывать неимоверное количество атак, протестировал компьютер на открытые порты на сайте 2ip.ru, все в порядке, ни одного открытого порта =( Объясните мне не умному, в чем подвох?
Здравствуйте)
Вобщем у меня забавная ситуация приключилась..после иммунизации с помощью Spybot S&D..стоит файерволл COMODO..и вышеупомянутая утилита АРС..при входе Вконтакт и на Letitbit арс начинает сигналить всеми способами))говорит атака на 80 tcp порт http от localhost 127.(дальше не помню))
подозревал долго и остановился на спайботе,сделал откат изменений в иммунизации и атаки прекратились))
Собственно вопрос)):спайбот что с localhost такое делает??))спасибо за ответ)
Ммм, довольно странно. Вообще spybot при иммунизации заполняет hosts записями о вредоносных сайтах, перенаправляя их на 127.0.0.1 тобишь на localhost и таким образом оные не могут навредить Вам. А вот почему aps реагирует на оное не знаю, т.к. не сталкивался. Пойду потестирую.
Обязательно напишите что получится))очень интересно)
Здравствуйте. У мены такая проблема: в APS не сохраняются настройки ИМИТАЦИЯ СЕРВИСОВ. Меняю как на скриншоте, вроде всё норм, стоит перезапустить комп либо APS и настройки в первоначальном состоянии, однако остальные настройки (кроме ИМИТАЦИЯ СЕРВИСОВ) стоят так, как я их поставил. Подскажите, в чём проблема? Несовместимость? (Windows 7)
Сложно сказать наверняка, но похоже, что да.
Narden,откройте утилиту с правами администратора и только после этого делайте настройки. Теперь после перезагрузки настройки не изменятся.
Спасибо за настройки программы.Что-то не настраиваются горячие клавиши для сброса тревоги, мелочь, но хотелось бы чтобы работало.
В портах ТСР куча каких-то названий содержащих слово Trojan что за такое
А атака хакера была на Remote Admin – это что?
Благодарю
Здраствуйте, скачал APS, не помню где именно, в папке программы есть такой файл -aps_test.bat- , при кликании на него выскакивает диалоговое окно ms-dos в котором я не успеваю прочитать, что там тестируеться и раздаёться сигнал тревоги, после которого в таблице программы красным появляеться отметка атакованного порта, в моём случае это порт 110. Вопрос: Это просто демонстрация работы программы или реальная угроза?
Есть подозрение, что это демонстрация.
Спасибо…
А вот у меня такой вопрос. У меня сейчас Windows Server 2008 R2 x64. Запустил я под ним этот aps, в окошечке видно, что он ведёт наблюдение за портами, уже два дня я нахожусь в интернете под этой системой, но aps не обнаружил ни одной атаки(не предупреждал о ней), однако в свойствах стоит галочка для выделения атакуемых портов и звуковой сигнал при атаке. Неужели у меня такой хороший фаервол. У меня подозрения на то, что программа некорректно работает под Windows Server 2008 R2 x64.
Возможно, что некорректно.
Возможно, что фаерволл умница.
Нада смотреть, думать, анализировать.
Ну буду надеется что фаерволл умница. Фаерволл от AVG x64 – думается хороший. Да ещё рядышком роутер д-линк дир-100.
А вообще это хороший сайтик, много интересного узнал. Теперь когда мои знакомые о чём-то спрашивают меня насчёт компьютера и ОС, я даю им ссылку на этот полезный сайт.
На д-линке фаерволл поднят же тоже вроде?
Ну да. Там я его тоже настраивал, для utorrent порт пробрасывал. У маршрутизаторов d-link, есть одно преимущество над asus, правда это преимущество нужно для чайников. Для тех кому лень/или не умеет менять логин и пароль с default на свой.
Подскажите пож,как можно узнать,кто это рвется из моего компютера в интернет?
APS показывает,что это ПК-автор, т.е. это я сам.
А сегодня я не смог подключиться к интернету,пока не отключил APS.
Заранее спасибо за подсказку.
Мм, возможно, что заблуждается маленько APS, а возможно, что у Вас какой-нибудь червь. Посканируйтесь хорошенько на вирусы.
Здравствуйте. На сайте разработчика последняя версия утилиты датирована октябрём 2004 года. Не устарела ли она? Или для подобных программ понятие устаревания неприменимо?
Не устарела. Там попросту почти нечему устаревать.
такой вопрос при открытии лисицы апс кричит об атаке на 80 порт с моего же внешнего адреса !(адрес присваивается провайдером динамически) … как рассказать апсу что это нормальный адрес ))
Теоретически можно отключить просто мониторинг 80-го порта.
Sonikelf,что скажете по поводу Tiny Honeypot 0.4.6 (из http://www.securitylab.ru/software/1259/).
Что лучше применять–Tiny Honeypot или APS? Или нет смысла сравнить?
С Tiny Honeypot не сталкивался, но судя по описалову, – это тоже самое, что и APS.
Смысла сравнивать в общем-то нету.
Подскажите плиз . У меня ZoneAlarn бесплатный и вставлять логи туда нельзя (как я понял ) . ASP постоянно сигнализирует об атаках , если файервол разрешил ему работать с сетью .Если запретить то ASP молчит (не считая localhost на 80 порте который я отключил ) Настройки все те ,что указаны в статье . Это нормально и работает ли мой ASP (помагает фаерволу)???
Не понял этого высказывания. Логи ведутся фаерволлом, их не надо никуда вставлять.
Имелась ввиду блокировка адреса с которого идет атака?
Да .Тот адрес , что “ломится” из Asp скопировать и внести в firewall /на бесплатном Zone Alarm такой функции нет .Можно просто наблюдать какие адреса и куда ведут .Или добавлять в доверенные.
Главное что я хочу понять – это то ,что я запретил ловушке работать с сетью как на вход так и на выход , в доверенной и интернет зоне (при Ваших настройках )Будет польза от ASP или все же лучше , в ручную вносить адреса в лог фаера ?
1. APS открывает кучу портов и слушает. Разумно ли это? Ведь без него открыто всего несколько портов.
2. Если все же запускать его, то может в настройках выставить разрыв соединения сразу же и запрет на передачу данных, чтобы у сканирующего все это выглядело как закрытый порт? Или я ошибаюсь?
Ну и 3. Если в правилах фаервола запретить APS работу с сетью, то он будет обнаруживать атаки, которые фаер все-таки пропустил, тем самым дополнительно защищая?
1. Да
2. Как вариант, можно так. А можно передавать случайные данные.
3. Тестировал, но не помню.
Здравствуйте Андрей!Установила программу APS, почти сразу же появился восклицательный знак, высветился адрес хакера, а вот как этот адрес вставить в файервол? У меня FireFox. Куда этот адрес внести, как скопировать в программе APS? Простите пожалуйста за невежество, но я пока на уровне “чайника”в защите компьютера…(
FireFox – это не фаерволл, FireFox – это браузер. Вам нужен фаерволл.
Благодарю!Поняла.Буду устанавливать фаервол.
День добрый Андрей! У меня стоит Outpost Security Suite Pro 7.5 (как я понимаю фаерволл уже имеется) для проверки работы фаерволла установил программу APS, и решил проверить на сайте 2ip.ru. Тест показал что открыто 20!!!!! портов там же нашел как закрыть эти дыры. Новый тест показал что все ok. Когда я выключил APS и в фаерволле убирал все настройки связанные с 20 портами, снова прошел тест то все ok. Как я понял данная прога открывает дополнительные порты которые как раз и фаерволл не защищает. В общем вопрос вот в чем- смысл ставить данную прогу если без нее открыто меньше портов с защитой которых фаерволл справляется на 100% (по результатам 2ip.ru) или я что то не понимаю?
У меня тоже были похожие сомнения. Проверился сейчас и с APS, и без (
). В обоих случаях система защищена, но заметил что с отключенным APS фаервол показывает кучу слушающих портов (1-60000, не по порядку). С включенным – ту же кучу, под названием Windows Operating System, кстати, плюс те же самые порты, прослушиваемые APS! Странно как-то получается, но рад что система хотя бы защищена. В общем – я тоже что-то не понимаю! 
Глубокоуважаемый Андрей, у меня такая проблема: при использовании программы APS постоянно идут атаки на порт 80 и 443, при том, что брандмауэр Outpost 7.5 эти порты не видит, соответственно атаки не блокирует, подскажите, что делать?
Отключите в APS мониторинг 80-го и 443 порта.
При попытке запустить мозилу выдает aps 127.0.0.1 validation.sls.microsoft.com 80 блокирую IP, мозила не запускается, а число атак доходит до 12. Подскажите как быть?
Отключите в APS мониторинг 80-го порта.
овенил свои порты на 2IP.ru.Сообщение:открыты порты 80,135,443,445.
У меня Avast IS 5.0.677. Он имеет встроенный Firewall. Не понимаю,почему этого недостаточно для затыкания портов?
Встроенные в антивирусы фаерволлы, как правило, редкостно бестолковы. Используйте отдельную программу.
Спасибо, Андрей, отключил мониторинг онных портов, все работает нормально, проверил онлайн – открытых портов нет, aps справляется на 5+; Признаться, Вы рекомендовали в качестве брандмауэра outpost, к сожалению он себя не оправдал – сильно тормозил систему (но видимо это индивидуально) сейчас стоит comodo – пока его работой доволен. Еще раз спасибо Вам за дельные советы и рекомендации.
Доброго дня.
На днях стал пользоваться утилитой APS. Заметил, что порт 135 (MS net) постоянно чем-то занят. Подскажите, нормален ли статус данного порта “Порт занят другой программой”? Что это означает, как узнать что за программа его постоянно занимает?
Заранее благодарю.
Приветствую.
Хорошо бы узнать какой программой она занимается.
Попробуйте глянуть так – http://sonikelf.ru/kakie-processy-smotryat-v-internet-ili-tcpview-kak-element-setevoj-bezopasnosti/
Спасибо за статью. Раньше ставил прогу, ничего не понял и снес. ) Сейчас все понятно.
Скажите пожалуйста, что означает, если в статусе порта “Наблюдение отключено”?
Значит, что порт не мониторится программой
Спасибо!
Привет Андрей! Повторяю вопрос-
). В обоих случаях система защищена, но заметил что с отключенным APS фаервол показывает кучу слушающих портов (1-60000, не по порядку). С включенным – ту же кучу, под названием Windows Operating System, кстати, плюс те же самые порты, прослушиваемые APS! Странно как-то получается, но рад что система хотя бы защищена. В общем – я тоже что-то не понимаю! 
Дмитрий
2011-05-14 22:59:53
День добрый Андрей! У меня стоит Outpost Security Suite Pro 7.5 (как я понимаю фаерволл уже имеется) для проверки работы фаерволла установил программу APS, и решил проверить на сайте 2ip.ru. Тест показал что открыто 20!!!!! портов там же нашел как закрыть эти дыры. Новый тест показал что все ok. Когда я выключил APS и в фаерволле убирал все настройки связанные с 20 портами, снова прошел тест то все ok. Как я понял данная прога открывает дополнительные порты которые как раз и фаерволл не защищает. В общем вопрос вот в чем- смысл ставить данную прогу если без нее открыто меньше портов с защитой которых фаерволл справляется на 100% (по результатам 2ip.ru) или я что то не понимаю?
Макс
2011-05-21 20:13:27
У меня тоже были похожие сомнения. Проверился сейчас и с APS, и без (
Прошу не игнорировать!
Здравствуйте, Sonikelf! Большое спасибо за данную статью и вообще за сайт в целом. У меня есть один вопрос. Дело в том, что ко мне каждый день кто-то ломится. И главное не по одному разу, а по 20-30 раз(!) Чем я могу их (хакеров) привлекать?
Как вариант можно просто закрыть порт по средством все того же фаерволла/
Подскажи: у меня фаерволл Zone Alarm, как в нем закрыть порт???
Здравствуйте. Подскажите , пожалуйста. Почему сбрасываются все настройки связанные с этой программой после её выключения? Постоянно придется настраивать по Вашей схеме?