А. В. НЕДОРЕЗОВ, Ю. А. ЧЕРНЫШЕВ
Московский инженерно-физический институт (государственный университет)
МЕТОДЫ ЛОКАЛИЗАЦИИ РАСПРОСТРАНЕНИЯ
ВИРУСОВ В СЕТИ
Рассматриваются методы предотвращения и замедления распространения вирусов – сетевых червей в локальных сетях.
Важную роль в организации информационной безопасности современной компьютерной сети играет антивирусная защита. В настоящее время существует три основных класса вредоносных программ:
- Классические вирусы; Сетевые черви; Троянские кони.
Сетевые черви – вирусы, особенностью которых является способность к самостоятельному распространению по каналам связи.
Для проникновения на удаленные компьютеры черви используют различные методы: социальный инжиниринг, недочеты в конфигурации политики безопасности на рабочих станциях и серверах, ошибки в службах безопасности операционных систем и приложений. Поскольку сетевые черви распространяются через уязвимости в некоторых широко используемых сетевых службах, то возникает вопрос, заключающийся в том, можно ли применяя списки доступа запретить доступ к опасным портам на большинство сетевых узлов и тем самым предотвратить распространение эпидемии.
В настоящее время в крупных организациях в качестве коммутаторов доступа применяются коммутаторы фирмы Cisco, имеющие возможность управления трафиком с помощью VACL (VLAN ACL) списков доступа. Отличительная особенность VACL от списков доступа на маршрутизаторах состоит в том, что список доступа применяется непосредственно на порт коммутатора, тем самым контролирую трафик внутри подсети.
Использование VACL на подобных коммутаторах существенно повышает не только уровень контроля за доступом внутри сети, но и служит эффективным средством локализации распространения вирусных эпидемий при наличии эффективной системы управления доступом, снижающей временные затраты системных администраторов на изменении списков доступа VACL. Как показала практика, для эффективного управления доступом в целях борьбы с вирусными эпидемиями требуются специализированные программные средства и применение некоторых специфических методов, которые были разработаны.
Нами была разработана система, обеспечивающая централизованное управление доступом с помощью списков VACL, и разработанная специально для применения на коммутаторах Cisco, использующих в качестве операционной системы CatOS.
После внедрения данной системы, были произведены исследования влияния списков доступа при их определенной конфигурации на процессы распространения сетевых червей, для чего были исследованы современные математические модели распространения сетевых червей и разработаны некоторые принципиально новые подходы в процессе моделирования. Принципиальное отличие предложенных моделей от классических SIS и SIR моделей [1] состоит в применении специализированного метода учета влияния сетевой топологии на процесс распространения сетевых червей.
Для проверки результатов была использована поведенческая модель распространения сетевых червей. Поведенческая модель распространения сетевых червей – программная модель некоторой сети, в которой существует часть программного кода, описывающая алгоритм распространения сетевого червя и часть программного кода, фиксирующего случаи заражения сетевых узлов при проверке возможности доступа от зараженного к заражаемому сетевому узлу. Близость данной модели к процессам распространения сетевых червей в реально существующей сети была использована для проверки разработанных математических моделей.
Совокупность средств моделирования, системы защиты и разработанной методики применения данных инструментов может быть использована для эффективной борьбы с процессом распространения сетевых червей в локальных вычислительных сетях.
Список литературы
1. Черводинамика: причины и следствия //http//:az13.mail333.com
2. Jasmin Leveille. Epidemic Spreading in Technological Networks// http://www. hpl. /techreports/2002/HPL.pdf
