Текст книги "Восстановление данных"

Системы обнаружения атак (или IDS – Intrusion Detection System) предназначены для выявления вторжений путем регистрации некорректной или аномальной деятельности пакетов данных, циркулирующих в локальной сети или поступающих на отдельный компьютер из внешней сети.

Сама по себе сетевая атака зачастую не несет непосредственной угрозы компьютерным данным или локальной сети. Она лишь является частью общей стратегии злоумышленника, направленной на достижение некой цели. Например, атака может заключаться в сканировании портов компьютера с целью выявления незащищенных «точек входа» либо в регистрации и анализе сетевого трафика с целью определения его интенсивности, параметров пересылаемых пакетов и т. п. Другими словами, некоторые виды атак можно рассматривать как «разведку боем». В случае успешного проведения такой разведки могут быть начаты непосредственно «боевые действия». Например, злоумышленник может внедрить через незащищенный порт шпионскую программу либо бомбардировать систему ложными сообщениями с целью захвата ее ресурсов.

Атаки, направленные на захват ресурсов, обычно приводят к тому, что атакованный веб-сервер перестает обслуживать «нормальные» запросы. Поэтому подобные атаки называются атаками на отказ в обслуживании – Denied of Service (DoS). Атаки типа DoS являются сегодня одними из наиболее распространенных.

Для обнаружения атак используется либо технология обнаружения аномального поведения (anomaly detection), либо технология обнаружения злоупотреблений (misuse detection). Вторая технология заключается в описании атаки в виде шаблона или сигнатуры и поиске данного шаблона в контролируемом пространстве (например, сетевом трафике или журнале регистрации). Подобные системы очень похожи на антивирусные сканеры. Именно на такой технологии основаны практически все предлагаемые сегодня системы обнаружения атак.

Необходимо отметить, что многие персональные брандмауэры содержат функции (или модули) обнаружения атак. Разумеется, они не могут претендовать на высокую эффективность, однако для «типовых» ситуаций вполне пригодны. Например, в составе рассмотренного выше брандмауэра Outpost Firewall имеется специальный модуль обнаружения атак – Детектор атак (рис. 2.31).

Детектор атак регистрирует сведения обо всех попытках подключения к портам компьютера и адрес источника такой попытки. Для атак типа DoS модуль использует в качестве защитной меры блокирование атакуемого порта или блокирование источника угрозы (рис. 2.32).

Рис. 2.32. Брандмауэр Outpost Firewall защищает от DoS-атак

Более мощными функциями по обнаружению и блокированию атак обладает пакет BlacklCE компании PC Protection (до версии 3.0 пакет именовался BlacklCE Defender). Он ориентирован на «домашних» пользователей (оценочную версию можно найти, например, по адресу http://download.iss.net/cgi-bin/download/getFile5.pl/BIPCPEvalSetup.exe.) Этот инструмент, напротив, содержит в своем составе брандмауэр в качестве дополнительного модуля. Брандмауэр блокирует связь с теми внешними абонентами, которые были идентифицированы основным модулем как источники атак.

Данные два типа инструментов принципиально различаются по своему предназначению и включены в один подраздел только потому, что и те и другие будут описаны вкратце.

Сетевые сканеры (или системы анализа защищенности) – это программы, которые просматривают узлы сети (ПЭВМ и серверы) с целью получения следующей информации:

имя и роль узла;

используемые сетевые сервисы (наличие средств электронной почты, вебсерверов и т. д.);

типы и версии используемых ОС и прикладного ПО;

учетные записи (параметры доступа для различных пользователей);

общие параметры политики безопасности (система паролей, категории пользователей и т. д.);

наличие незарегистрированных устройств (модемов, ноутбуков, анализаторов протоколов).

На основе полученной информации сканер выдает рекомендации по изменению установленных параметров защиты и/или оповещает администратора сети о наличии неизвестных устройств. Сетевые сканеры – это достаточно дорогие и сложные инструменты, и «домашними» пользователями практически не используются.

Антиспамеры предназначены для блокирования спама.

ПРИМЕЧАНИЕ

Сегодня мало кто помнит, откуда появилось само слово «спам». Оказывается, Spam – зарегистрированная торговая марка консервов компании Hormel Foods Corporation. Компьютерный термин Spam (спам) происходит от пародии британской комик-группы, в которой изображалось, что посетители ресторана вынуждены слушать хор, воспевающий мясные консервы. Отсюда и пошло наименование навязчивой сетевой рекламы в новостных конференциях. Этим же словом называли сообщения, которые принудительно рассылаются подписчикам телеконференций для напоминания о тематике дискуссионных списков. Позднее и другие непрошенные рекламные сообщения в электронной почте стали называть «спамом», а отправителей подобных посланий – спамерами.

Принцип работы антиспамеров основан на фильтрации сообщений, поступающих по электронной почте, на основе некоторых правил. В отличие от сетевых сканеров антиспамеры получили широкое распространение среди пользователей домашних компьютеров. Причем существует достаточно много бесплатных антиспамеров, неплохо справляющихся со своими обязанностями.

Одна из таких программ – SpamPal (www.spampal.com). В процессе работы SpamPal сверяет каждое входящее письмо с некоторым числом списков DNSBL. На панели настроек можно выбрать списки, с которыми вы хотите сверять свои почтовые сообщения.

ПРИМЕЧАНИЕ

DNSBL (DNS Black List – «черный список» DNS») – это динамически обновляющийся список IP-адресов серверов, с помощью которых производились массовые рассылки почты (то есть замеченных в распространении спама).

Если вы получаете много спама с одного и того же адреса, то можно занести этот адрес в индивидуальный «черный список»; соответствующий адрес будет автоматически блокироваться программой SpamPal.

В программе предусмотрен также «белый список». Особенность «белого списка» состоит в том, что включенные в него адреса никогда не помечаются как спам. Это полезно в тех случаях, когда адрес вашего надежного абонента относится к провайдеру, занесенному в один из списков DNSBL.

Записи «белого списка» имеют более высокий приоритет по сравнению с записями «черного списка». Поэтому можно, например, добавить в «черный список» запись *@mail.com, а в «белый список» – конкретных надежных адресатов, почтовые ящики которых зарегистрированы на Hotmail.

Остается только добавить, что программа SpamPal имеет русскоязычный интерфейс и локализованный вариант документации.

Суть криптографической защиты данных заключается в их шифровании. Зашифровать можно данные любого типа: текст, графику, видео, аудио, исполняемые файлы и т. д. Очевидно, что криптозащита обеспечивает конфиденциальность данных, но никак не может помочь в деле сохранения их целостности и доступности.

ВНИМАНИЕ ____________________

Надежность шифрования обеспечивается не секретностью применяемого алгоритма, а качеством и сохранностью используемого криптографического ключа.

Это означает, что для надежной защиты данных следует, во-первых, использовать известные, проверенные и описанные в соответствующих стандартах алгоритмы шифрования, а во-вторых, соблюдать правила создания, хранения и использования ключей.

Полезно также знать, что существующие алгоритмы (методы) шифрования подразделяются на два вида:

симметричные, в которых один и тот же секретный ключ используется и для шифрования, и для дешифрования;

несимметричные, в которых один ключ (открытый, или публичный) используется для шифрования, а второй (секретный, закрытый) – для дешифрования.

ПРИМЕЧАНИЕ ____________________

Криптографический ключ – это некое число или набор символов, который используется определенным образом для шифрования/дешифрования данных. Например, можно применить в качестве ключа число 7 и сложить его последовательно с числовыми кодами символов передаваемого сообщения. Понятно, что расшифровать такой «код» не составляет никакого труда, особенно если известен ключ. Поэтому в основе «настоящих» методов шифрования лежит именно принцип выбора ключа.

При использовании криптосистемы с открытым ключом владельцем этого самого открытого ключа является (условно говоря) отправитель сообщения, а владельцем закрытого ключа – потенциальный получатель сообщения. Открытый и закрытый ключи связаны между собой: открытый ключ формируется на основе закрытого. Однако обратное преобразование должно быть невозможно (по крайней мере, у злоумышленника должно не хватить на это времени и сил).

Криптосистемы с открытым ключом становятся в последнее время все более популярными в связи с развитием цифровых коммуникационных систем, в которых один сервисный центр обменивается сообщениями с большим числом клиентов.

Характерный пример – система электронных платежей. Принцип несимметричного шифрования лежит также в основе электронной цифровой подписи (ЭЦП).

Надежные алгоритмы шифрования весьма сложны с математической точки зрения. Однако разбираться с математическими основами шифрования сегодня совершенно не обязательно, поскольку существуют соответствующие программные инструменты, автоматизирующие выполнение всех необходимых операций.

Наиболее популярным из них является пакет PGP (аббревиатура от «скромного» названия – Pretty Good Privacy, то есть «довольно хорошая секретность»). Вплоть до версии 8.0 пакет PGP распространялся абсолютно бесплатно (теперь бесплатен только «облегченный» вариант) и стал фактически монополистом не только в среде частных пользователей, но и в достаточно крупных организациях. Объясняется это двумя основными факторами:

в основу работы PGP положены стандартизованные алгоритмы шифрования;

интерфейс PGP позволяет эффективно использовать эти алгоритмы даже не очень подготовленным пользователям.

Следует также отметить и достаточно богатый набор сервисных функций, предоставляемый PGP. В состав «облегченной» версии пакета входят следующие модули:

PGPkeys – подсистема генерации и управления наборами ключей;

PGPmail – подсистема криптозащиты электронных писем и текста сообщений ICQ; позволяет зашифровать сообщение и/или снабдить его цифровой подписью;

PGPtray – шифрование и дешифрование данных в буфере обмена и в активных окнах приложений; позволяет также генерировать для таких данных цифровую подпись.

Модуль PGPkeys можно считать основным, поскольку именно с генерации пары ключей (закрытый + открытый) начинается работа пакета PGP. После того как ключи созданы, вы можете использовать их для шифрования данных или генерации цифровой подписи (рис. 2.33).

Для обладателей персональной лицензии (Personal License), а также в предыдущих (бесплатных) версиях PGP доступна еще одна полезная утилита – PGPdisk, которая обеспечивает шифрование данных на жестких дисках компьютера. Смысл ее работы состоит в том, что вы можете создать как бы отдельный логический диск (том), информация на котором хранится в шифрованном виде. Шифрование производится автоматически при записи на этот том новых данных, а раскодирование – также автоматически при считывании.

Таким образом, принципиальный, стратегический шаг в деле обеспечения безопасности данных – определение того базового «джентльменского набора» защитных программ, о котором шла речь в данной главе. Разумеется, с течением времени этот набор будет изменяться (появятся новые программные инструменты или новые версии существующих, станут доступны новые технологии и т. д.). Но чем раньше вы привыкнете к мысли, что кроме игр, графических и текстовых редакторов, мультимедийных проигрывателей и бухгалтерских программ на компьютере должно быть установлено и сервисное программное обеспечение, тем лучше.

Глава 3
Настройка системных параметров

Первые две главы книги должны были убедить читателя в том, что восстановление данных начинается с их защиты. Чем внимательнее вы отнесетесь к профилактическим мерам, тем меньше времени и сил придется затратить на восстановление важной информации. Цель третьей главы – приблизить вас еще на один шаг к безопасности данных. Речь в ней пойдет о том, как лучше подготовить файловую систему компьютера к возможным неприятностям. Некоторые настройки достаточно просты, и для их выполнения даже не обязательно знать, что такое файловая система. Чтобы успешно справиться с другими, потребуется выяснить, как размещаются данные на жестком диске и какая системная информация используется для работы с ними.

Правила, которые следует выполнять

Как вы, вероятно, помните, одной из наиболее серьезных угроз безопасности данных является так называемый человеческий фактор. Ошибка, допущенная по невнимательности или по какой-то другой причине, может зачастую нанести больше вреда, чем самый страшный вирус. Поэтому полезно приучить себя к соблюдению некоторых правил, призванных снизить риск потери данных.

Среди новичков (и не только) встречаются две противоположные категории. Одни считают, что в настройках системы ничего менять не следует. Поскольку, мол, «от добра добра не ищут». Работает компьютер – и хорошо. Представители второй категории приступают к настройке системы «под себя», еще даже не уяснив как следует, чего же, собственно, они хотят добиться. Истина, как всегда, лежит где-то посередине.

Для начала попробуем определить, какие параметры системы влияют в той или иной степени на сохранность и восстанавливаемость данных.

Первое, о чем следует позаботиться, – это о возможности загрузки системы с резервного носителя в случае ее «краха», а также об управлении поведением системы на начальном этапе ее загрузки. Для установки соответствующих параметров потребуется познакомиться с BIOS.

Второй важный момент – это правильная организация работы с жесткими дисками. Какие бы альтернативные виды накопителей ни привлекали ваше внимание, ключевую роль в хранении данных и обеспечении работы системы в целом по-прежнему играют винчестеры. Поэтому для уверенной и корректной работы с данными весьма полезно представлять себе, как, собственно, выглядит файловая система «изнутри».

И, наконец, третья составляющая – это установка рациональных значений параметров, относящихся к пользовательскому интерфейсу файловой системы. Привыкнув решать многие задачи «буквально двумя щелчками мыши», мы не всегда даже обращаем внимание на ответную реакцию системы. А ведь иногда в ответ на бурное наше негодование по поводу удаленного файла или «зависания» системы она вполне могла бы заметить: «Мы ведь вас предупреждали…».

Установка параметров BIOS

BIOS (Basic Input/Output System – базовая система ввода-вывода) – это специальная программа, которая хранится в энергонезависимом ПЗУ (постоянном запоминающем устройстве) материнской платы и обеспечивает инициализацию загрузки системы, а также выполнение некоторых других функций, о которых будет сказано ниже.

Ранее BIOS рассматривалась как часть операционной системы, ответственная за взаимодействие ядра операционной системы с устройствами ввода-вывода (откуда, собственно, и название BIOS). Однако теперь ее можно считать, скорее, своеобразным драйвером материнской платы, играющим роль посредника между «железом» и операционной системой. Вообще же современные BIOS выполняют три основные задачи:

тестирование всего установленного на материнской плате оборудования (за исключением дополнительных плат расширения), в том числе модулей оперативной памяти; эта процедура называется POST (Power On Self Test – самотестирование при включении);

опознание и инициализацию устройств, подключенных к контроллерам, в том числе жестких дисков и приводов компакт-дисков и DVD;

инициализацию загрузки операционной системы.

По указанной причине используемые в настоящее время BIOS имеют несколько десятков настраиваемых параметров, из которых нас пока будут интересовать только имеющие отношение к восстановлению работоспособности системы.

ПРИМЕЧАНИЕ

На самом деле практически все параметрыBIOS в той или иной степени влияют на надежность или восстанавливаемость системыв целом в силу их важности. О том, как восстановить или обновить «испорченную» BIOS, будет рассказано в главе 5.

Для настройки параметров BIOS используется специальная программа – BIOS Setup. Она хранится в том же ПЗУ, что и сама BIOS. Способ активизации BIOS Setup зависит от особенностей материнской платы, но обычно для этого достаточно нажать клавишу Del сразу после завершения (или даже во время выполнения) процедуры самотестирования материнской платы.

Интерфейс BIOS Setup также может быть различным, что определяется в первую очередь фирмой-производителем. На сегодня общепризнанных фирм-производителей BIOS Setup, как ни странно, всего три: American Megatrends Inc (AMI), Award Software International и Microid Research. Причем последние две в настоящее время являются подразделениями компании Phoenix (www.phoenix.com), хотя созданные ими ранее варианты BIOS продолжают сопровождаться под прежними торговыми марками – Award BIOS и MR BIOS соответственно.

Многочисленные параметры BIOS распределены по нескольким разделам (окнам) программы BIOS Setup.

Первый интересующий нас параметр определяет набор устройств, с которых разрешена загрузка операционной системы, и последовательность поиска таких устройств в составе компьютера. Параметр входит в раздел, который в программе BIOS Setup от компании Award называется BIOS Features Setup (установка параметров BIOS), а в варианте компании AMI – Advanced CMOS Setup (дополнительные параметры CMOS).

ПРИМЕЧАНИЕ

Аббревиатура CMOS означает complementary metal-oxide semiconductor (комплементарная МОП-структура) и используется для обозначения микросхемыпамяти, в которой хранятся текущие (пользовательские) значения параметров BIOS. CMOS является экономичной, но все-таки энергозависимой памятью, питаемой от специальной батарейки. Отключение батарейки приводит через некоторое время (около 2 часов) к утере содержимого CMOS. Термин CMOS иногда употребляется в качестве синонима BIOS, что не совсем корректно.

Наименование данного параметра и перечень его возможных значений зависят от версии используемой программы BIOS Setup. В некоторых версиях BIOS Setup для указания последовательности просмотра системных устройств применяется набор взаимосвязанных параметров. Ниже рассмотрены некоторые из наиболее распространенных вариантов.

Параметр Boot Sequence (последовательность загрузки). Непосредственно определяет список устройств, с которых разрешена загрузка системы, и последовательность просмотра таких устройств (рис. 3.1). Если устройство, указанное в списке первым, недоступно или имеющийся в нем сменный носитель не содержит системной информации, проверяется второе в списке устройство и так далее. Если ни одно из указанных устройств не способно выполнить загрузку, на экран выводится соответствующее сообщение.

Выбор наиболее подходящего варианта зависит от реальной конфигурации компьютера, а также от типа используемых системных резервных носителей.

СОВЕТ ____________________

Чтобы обеспечить более высокую скорость загрузки в обычном режиме работы, выберите вариант, в котором первым указан жесткий диск; если в качестве системного используется диск с интерфейсом SCSI, то первым в списке лучше указать его. И, разумеется, убедитесь, что не выбран вариант, запрещающий использование альтернативных устройств загрузки (например, C Only).

Следующие два варианта, задающие перечень разрешенных системных устройств, используются совместно.

HDD Sequence SCSI/IDE First (первый по порядку HDD). Возможные значения: IDE или SCSI. Параметр определяет, с какого из жестких дисков, IDE или SCSI, будет загружаться операционная система. При этом следует учитывать, что под диском SCSI понимается любой диск, не подключенный к контроллеру IDE на материнской плате. Поэтому в случае использования внешнего контроллера IDE для загрузки с подключенного к нему диска следует установить значение SCSI.

Removable Device (устройство со сменным носителем). Параметр позволяет указать тип устройства со сменным носителем, с которого следует загрузить операционную систему. Возможные значения:

Legacy Floppy – гибкий диск (дискета);

ATAPI CD-ROM – привод CD-ROM с интерфейсом ATAPI (IDE);

LS-120 – накопитель типа LS-120;

ZIP-100 – накопитель типа Iomega ZIP;

ATAPI MO – магнитооптический накопитель с интерфейсом IDE;

Disabled – загрузка с любого из указанных выше устройств запрещена.

В некоторых версиях BIOS Setup в качестве возможного значения параметра может быть использован вариант ARMD (ATAPI Removable Multimedia Device, то есть «мультимедийное устройство со сменным носителем»).

Следующие три параметра также используются совместно.

IDE Hard Drive (жесткий диск с интерфейсом IDE). Задает жесткий диск, с которого следует загрузить операционную систему. Может принимать значение C, D, E или F.

ATAPI CD-ROM. Указывает, с какого привода CD-ROM будет выполняться загрузка операционной системы. При циклическом нажатии клавиши Enter на экране должны последовательно отображаться имена всех приводов CD-ROM и CD-RW, установленных на компьютере.

Other Boo Device Select (выбор других устройств для загрузки). Позволяет определить устройство для загрузки операционной системы, не заданное в параметрах IDE Hard Drive или ATAPI CD-ROM.

Возможные значения:

Network – загрузка с сетевого сервера;

SCSI Boot Device – загрузка с любого доступного SCSI-устройства;

Disabled – загрузка с сервера или SCSI-устройства не требуется.

Набор параметров, с помощью которых выполняется указание порядка просмотра устройств для загрузки системы, зависит от конкретной версии BIOS Setup. В свою очередь, при выборе значений этих параметров следует учитывать тот реальный набор устройств, пригодных для загрузки системы, которым вы располагаете. Тем не менее при изменении этого набора вы всегда сможете скорректировать и параметры BIOS.