статьи

Как установить, настроить и использовать APS

Доброго времени суток дорогие читатели. Наконец-то я сел продолжить статью про APS (которую многие так долго и упорно требовали по средством формы обратной связи ;) ) и готов представить её Вам.

защита от взлома

Для тех кто еще не знает что за APS такое и с чем его едят настоятельно рекомендую ознакомиться с первой статьей под названием "" ибо не ознакомившись с оной Вы рискуете не понять о чем пойдет речь т.к. в данном материале предполагается, что Вы уже установили программу, представляете зачем она нужна, и готовы заняться непосредственной её настройкой, а так же вниканием в суть и принципы работы.
Собственно, поехали.

Настройка "ловушки" для защиты компьютера

В первую очередь программу надо настроить. Жмем "Сервис" - "Настройка" и, собственно, приступаем.

Переходим в "Общие" - "Интерфейс". Устанавливаем там всё по Вашему вкусу или в соответствии со скриншотом ниже (увеличение по клику).

Идем дальше.

Если Вы обычный пользователь, то, думаю, Вам не нужны никакие оповещения по сети\email или запись в syslog, а посему снимите галочки в соответствующих пунктах в разделе настроек "Оповещение". Тоже самое касается отчетов в разделе настроек "Отчеты" и протоколирования в разделе - кто бы мог подумать :) - "Протоколирование".

Теперь переходим к настройкам имитации сервисов, но перед этим небольшой вагончик полезной теории, касающейся принципов работы.

к содержанию ↑

Теория и принципы работы фаерволла + ловушки

В главном окне программы есть такая вот табличка:

Что это за табличка?  Это список портов и названия вредоносного (не везде, но в большинстве своём) обеспечения (база данных). APS же в свою очередь наблюдает за портами и следит есть ли конкретная гадость использующая конкретный порт или не атакуется ли какой-нибудь порт (например, наиболее любимый хакерами 21-ый порт ) каким-нибудь гадким хакером Пупкиным. Проще говоря, принцип работы программы основан на прослушивании этих самых портов, описанных в базе данных. База данных содержит краткое описание каждого порта - краткие описания содержат или названия использующих порт вирусов, или название стандартного сервиса, которому этот порт соответствует. При обнаружении попытки подключения к прослушиваемому порту программа фиксирует факт подключения в протоколе, анализирует полученные после подключения данные и для некоторых сервисов передает так называемый баннер - некоторый набор текстовых или бинарных данных, передаваемых реальным сервисом после подключения, т.е. симулирует отклик и таким образом защищает Ваш компьютер и реальной атаки не получается. На имитации остановимся подробнее.

Группа параметров "Имитация сервисов" содержит настройки - чего бы Вы думали? :) , правильно, -  системы имитации сервисов. Система имитации может быть выключена (по умолчанию частично оно так и есть) и в этом случае APS не производит активного взаимодействия с атакующим и немедленно разрывает соединение с ним. При включении системы имитации APS может передавать атакующему описанные в базе портов блоки данных, которые содержат типовые отклики имитируемых сервисов (т.е., скажем, кто-то пытается пробиться на -сервер на 21-ом порту, программа это видит и выходит на связь, передавая отклик аля "я вот FTP-сервер, да, я тут, я работаю, на те Вам отклик", а в этот момент реальный FTP радуется своей жизни). Кроме того, можно включить и настроить режим передачи случайных данных - наличие в ответе APS случайной информации вводит в заблуждение сканеры сетевой безопасности, затрудняет и замедляет их работу. Кроме того, в настройках имитации сервисов можно настроить режим удержания соединения - по умолчанию соединение разрывается сразу после завершения обмена с атакующим, но оно может удерживаться, что еще более существенно замедляет работу некоторых сканеров сетевой безопасности. Таким образом у Вас появляется тележка времени дабы сконфигурировать системы безопасности (в пользовательском случае - это фаервол) так, чтобы никто с атакующего адреса к Вам не пробрался.

Фактически APS является ловушкой и средством конфигурирования и тестирования систем безопасности. Да, программа умеет блокировать работу сетевых червей и Backdoor модулей. Да, APS умеет разрывать соединения, подпихивать левые данные и тд и тп. Но! Не путайте APS с фаерволом. Таки APS - это средство контроля за безопасностью, а не сама безопасность (кстати можете взглянуть на Сертифицированные ФСТЭК России средства защиты). Чтобы было понятнее - есть охранник у магазина, а есть дядя Вася, которому поручено следить за качеством работы этого охранника. Так вот попутно дядя Вася (раз уж он контролирует охранника, то должен знать кое что о принципах его работы, о безопасности, о типах угрозы и тд и тп) может отваживать левых личностей подальше от магазина и говорить охраннику, что мол этого дядьку не пускать - он пытался разбить витрину, но я отнял у него кирпич и, если он вдруг придет еще раз - стреляй на поражение.  Однако, если убрать охранника и оставить дядю Васю одного результаты будут плачевными ибо дядя Вася не имеет соответствующей квалификации, а точнее имеет другую специальность, а еще точнее попросту не для того предназначен.

Подробнее о том зачем нужен APS читаем .

Ладно, с теорией и принципами работы, будем считать, разобрались.

к содержанию ↑

Дополнительные настройки - имитация

Возвращаюсь к настройкам имитации сервисов. Дабы не заниматься набором лишних букв просто выставляйте все так как указано на скриншотах (увеличение по клику).

Сервисы TCP:

Сервисы UDP:

С настройками будем считать покончено. Переходим к последнему этапу.

к содержанию ↑

Что делать при тревоге и обнаружении взлома

Спокойствие, только спокойствие (с).

Как Вы наверное поняли речь пойдет о том, что же делать, когда APS выявил атаку на порт или использование порта каким-нибудь вирусом\червем. О подобном событии программа салютует восклицательным знаком в трее (там где часы) или всплыванием из оного (если Вы включили сие в настройках).

И так, что, собственно, делать.

Во-первых, не надо паниковать. Какой-то там вирус или хакер пупкин - это просто мелочи жизни, причем легко устранимые.
Во-вторых.. Во-вторых, всё просто:

  • Смотрим что происходит, т.е. определяем кто творит злодеяния: вирус\троян\червь или хакер пупкин лезет к нам из вне. Выявляем подробности, мол что за порт, что за гадость, откуда, зачем почему и тд и тп.
  • Далее по обстоятельствам.
    Если это хакер\кто-то\что-то еще ломиться из вне, то смотрим лог (т.е. то куда он, собственно, записывает все данные об атаках и тд и тп) фаервола и выясняем заблокировал ли он атаку. Если нет, то берем адрес с которого ломятся (адрес указывается APS-ом при атаке и в статистике) и добавляем этот адрес в черный список. Если да, то все равно поступаем аналогичным образом (на всякий пожарный :) ). Как вариант можно просто закрыть порт по средством все того же фаервола. Тонкости закрывания портов и блокировки адресов специфичны для каждого фаервола, т.е. описать настройки (куда тыкать) я не могу чисто физически. Если что - спрашивайте, что вспомню - подскажу.
    Если это кто-то от нас, т.е. где-то на компьютере уже есть троян\вирус\червь и он использует порт для своих злодеяний, то с помощью фаервола закрываем порт или запрещаем работать конкретной гадости (если она представляет собой exe-файл), а потом сканируемся на вирусы, и тд и тп, находим заразу и устраняем её.
  • Универсальное решение - это отключить интернет и потом устранять проблему в тишине и покое.

Всё. Думали сложно? Ничего подобного.
Еще раз повторюсь, что наличие нормального фаервола обязательно. О том, что такое фаервол и зачем он нужен я писал в статье "".

к содержанию ↑

Послесловие

Вот такие пироги.

Это не последняя статья в цикле по защите и безопасности в сетях и интернете. Есть еще много мыслей о статьях на эту тему как совсем простого уровня, так и посложнее.

Если есть вопросы, если что-то не получается или хотите дополнить - или оставляйте комментарии.

Оценить

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(5 голосов, в среднем: 5 из 5)
  1. Хорошая программа, я себе скачал поставил, надеюсь она загрузку ОС не сильно тормозит. А то обычно программы в автозагрузке увеличивают время загрузки ОС. Я если честно не люблю разные продукты, например антивирус другой фирмы а фаервол еще какой-то другой. Поэтому предпочитаю секьюрити, комплексную защиту так сказать. Разные продукты актуально если у антивируса нет фаервола или пользуютесь бесплатными, например аваст + комодо. Автор у меня такой вопрос к вам а у есет смарт секьюрити норм фаервол? А то у меня стоит уже давно этот антивирь проблем не было. сегодня правда блокировал адрес какой-то при запуске браузера, почистил куки и историю проблема осталась. Взял отключил плагин визуальные закладки, смотрю при запуске без этого плагина, есет не блокирует адрес, сразу понял что дело в плагине. Скачал Malwarebytes Anti-Malware Free, вешает 20 мб, обновил базы. просканировал компьютер и проблема решилась.

    • Благодарю за отзыв. Да, как ловушка, APS достаточно легок и позволяет заниматься мониторингом и прочим.

  2. Ответить
    эдуард

    получено такое сообщение: Атакующий хост: 192.168.1.1 my.router
    дата/время начала сканирования: 13.02.2015 10:35:54
    дата/время последнего сканирования: 13.02.2015 10:35:54
    кол-во сканирований: 1
    кол-во подозрений на DoS: 0
    Атаковано портов 1
    515/TCP кол-во атак = 1, подозрений DoS = 0
    Экспресс-оценка:
    Сканирование портов : не обнаружено
    Flood портов : не обнаружен
    DoS атаки : не обнаружены Что нужно делать?

    • Ничего, всё в норме.

      • Ответить
        Эдуард

        В самой программе какие меры нужно предпринять если красным цветом выделена какая либо строка порта и звучит сигнал тревоги?

        • В самой программе в общем-то никаких. Действия стоит предпренимать в фаерволле.

  3. Ответить
    Андрей

    Бредовая прога, закрыл порты WWDC и LanSafety, комп в сети не виден, а при APS как на ладоне, т.е. хочешь развлекаться - никто тебя не видит, это твоё, гостей долго ждать не придётся. Эта прога для охотников [APS как ловушка], а народ ведётся.

  4. https://zismo.biz/topic/544011-?-akspay-—-ezhednevnaia-razdacha-akkauntov-vkontakte-?/page-13

    Уважаемый Андрей, у меня (и, судя по всему, не только у меня) с этой прогой творится какая-то ерунда, я вообще ничего не могу понять

    1.Сразу же после первого запуска начала визжать каждую минуту, показывает реальные зарубежные адреса атакующих (правда, во всех случаях "сканирование портов: не обнаружено flood портов: не обнаружено")
    НО! Речь идёт о рядовом домашнем компьютере, подключённом, ессно, через NAT - ну не будет же пров каждому клиенту выделять свой ip-шник! Возникает закономерный вопрос каким образом вся эта гадость вообще может пробиваться ко мне извне?

    2.В моём брандмауэре отключены все правила для входящих соединений, иными словами, они запрещены в принципе. Необходимости более тонкой настройки на данный момент нет. Имеет ли смысл добавлять в исключения APS, которая после этого тут же начинает подавать сигналы?

    • Ответить
      Андрей

      1. Про сто это говорит о том, что творится в сети. И если будут открыты порты (в Windows по умолчанию) и гости не званные точно будут, для этого и нужен фаервол - не закрыл но под контролем держишь. APS из любопытства или неверия, что в сети творится запустил и ужаснулся иль умилился.
      2. Брандмауэр служебные программы Windows неблокирует они свои родные. Запусти WWDC и увидишь. Если собираешся вычеслять кто, что, где, откуда то добавь APS в исключения, у него своя защита как понятно есть.

  5. Ответить
    XuTpbluXaH

    Гыы просканировал на разрекламированном здесь 2ip.ru порты при включенном APS с ловушкми, бедняга первый раз вообще захлебнулся, ошибку выдал )) на второй раз сказал, что мне конец - открыто более 20ти портов, надо срочно перекрывать (а все это время я наблюдал в APS как ко мне ломится некий тип с "188.40.35.183 2ip.ru" по 10ку портов, забавно было). После отключил APS, просканировал там же, и мне сообщили, что ZoneAlarm молодец и все перекрыто, вот так вот )) Так что не смотря на кучу атак в день, до 30ки и более, я спокоен. Хотя жизнь она такая, рано или поздно что-нибудь из нового пролезет. Сонику огромное спасибо за статьи!

  6. Здравствуйте. У меня частенько бывает, что срабатывает сигнал тревоги и в отчете об атаке указывается ip localhost 127.0.0.1 и имя моего компьютера. Почему это происходил и что это значит?

    • Приветствую. Это, в общем-то нормально

  7. Ответить
    Виктория

    Сервер Telnet постоянно атакует!!
    Атакующий хост: 14.171.72.241 static.vnpt.vn
    дата/время начала сканирования: 03.08.2016 11:06:49
    дата/время последнего сканирования: 03.08.2016 11:06:49
    кол-во сканирований: 1
    кол-во подозрений на DoS: 0
    Атаковано портов 1
    23/TCP кол-во атак = 1, подозрений DoS = 0
    Экспресс-оценка:
    Сканирование портов : не обнаружено
    Flood портов : не обнаружен
    DoS атаки : не обнаружены
    Что нужно делать после этого? Что такое фаерволл и где его найти? Как заблокировать атаку?

 

* - комментарии могут появляться не сразу, попасть в спам или быть удалены за несоответствие правилам