KASPERSKY ANTI-HACKER 1.7
Podręcznik Użytkownika
Zastrzega się prawo do wprowadzania zmian technicznych. Treść niniejszego
podręcznika nie stanowi podstawy do jakichkolwiek roszczeń wobec firmy
Kaspersky Lab. Opisane w "Podręczniku Użytkownika" oprogramowanie
Kaspersky Anti-Hacker dostarczane jest na podstawie umowy licencyjnej.
Nieautoryzowane rozpowszechnianie całości lub fragmentów niniejszego
podręcznika w jakiejkolwiek postaci jest zabronione.
Wymienione w podręczniku nazwy firm oraz ich znaki towarowe zostały użyte
w celach informacyjnych i są zastrzeżone przez ich właścicieli.
Copyright Kaspersky Lab Polska.
Wszelkie prawa zastrzeżone.
Kaspersky Lab Polska Sp. z o.o.
42-200 Częstochowa, ul. Krótka 27A
tel./fax: (34) 368 18 14, 368 18 15, 367 12 20
e-mail: info@kaspersky.pl
Kaspersky Anti-Hacker
3
Spis treści
ROZDZIAŁ 1. KASPERSKY ANTI-HACKER .................................................................6
1.1. Wprowadzenie....................................................................................................... 6
1.2. Nowości w wersji 1.7............................................................................................. 7
1.3. Pakiet dystrybucyjny.............................................................................................. 7
1.3.1. Składniki pakietu dystrybucyjnego ................................................................. 7
1.3.2. Umowa licencyjna........................................................................................... 8
1.3.3. Rejestracja ...................................................................................................... 8
1.4. Informacje zawarte w dokumentacji .................................................................... 9
1.5. Symbole użyte w dokumentacji ..........................................................................10
1.6. Pomoc techniczna dla zarejestrowanych użytkowników................................... 11
ROZDZIAŁ 2. INSTALACJA ORAZ USUWANIE PROGRAMU.................................. 12
2.1. Wymagania sprzętowe i systemowe ................................................................. 12
2.2. Instalacja.............................................................................................................. 13
2.3. Usuwanie programu ............................................................................................ 18
ROZDZIAŁ 3. ROZPOCZĘCIE PRACY .......................................................................19
ROZDZIAŁ 4. KASPERSKY ANTI-HACKER – ZAPOBIEGANIE ATAKOM .............. 22
4.1. Działanie programu Kaspersky Anti-Hacker ...................................................... 22
4.2. Poziomy zabezpieczeń....................................................................................... 23
4.3. Ustawienia zalecane ........................................................................................... 25
ROZDZIAŁ 5. PRACA Z PROGRAMEM .....................................................................28
5.1. Uruchamianie programu ..................................................................................... 28
5.2. Menu systemowe ................................................................................................ 29
5.3. Okno główne........................................................................................................ 30
5.4. Menu.................................................................................................................... 31
5.5. Pasek narzędzi.................................................................................................... 33
5.6. Obszar roboczy ................................................................................................... 34
Kaspersky Anti-Hacker
4
5.7. Pasek stanu......................................................................................................... 35
5.8. Menu kontekstowe .............................................................................................. 35
5.9. Kreator reguł........................................................................................................ 35
5.10. Zmiana i zapisywanie ustawień interfejsu........................................................ 36
5.11. Zamykanie programu ........................................................................................ 38
ROZDZIAŁ 6. WŁĄCZANIE SYSTEMU ZABEZPIECZEŃ ORAZ DEFINIOWANIE
JEGO USTAWIEŃ ..................................................................................................... 39
6.1. Włączanie systemu zabezpieczeń oraz wybieranie poziomu zabezpieczeń....39
6.1.1. Włączanie systemu zabezpieczeń............................................................... 39
6.1.2. Wybór poziomu zabezpieczeń..................................................................... 41
6.1.3. Ostrzeżenia o zdarzeniach w sieci...............................................................42
6.1.4. Okno uczenia (poziom Średni).....................................................................42
6.1.5. Ostrzeżenie o podmianie modułu wykonywalnego..................................... 44
6.2. Jak program odpowiada na atak? ...................................................................... 45
6.3. Dostosowywanie reguł aplikacji.......................................................................... 46
6.3.1. Lista reguł aplikacji........................................................................................ 46
6.3.2. Dodawanie nowej reguły.............................................................................. 49
6.3.2.1. Krok 1. Dostosowywanie reguły............................................................ 49
6.3.2.2. Krok 2. Warunki reguły ..........................................................................53
6.3.2.3. Krok 3. Akcje dodatkowe....................................................................... 58
6.4. Dostosowywanie reguł filtrowania pakietów ....................................................... 59
6.4.1. Lista reguł filtrowania pakietów .................................................................... 59
6.4.2. Dodawanie nowej reguły.............................................................................. 61
6.4.2.1. Krok 1. Warunki reguły .......................................................................... 61
6.4.2.2. Krok 2. Nazwa reguły oraz akcje dodatkowe........................................ 65
6.5. System wykrywania włamań (IDS)..................................................................... 67
6.5.1. Ustawienia systemu wykrywania włamań ................................................... 67
6.5.2. Lista wykrywanych ataków........................................................................... 68
ROZDZIAŁ 7. PRZEGLĄDANIE REZULTATÓW DZIAŁANIA.................................... 70
7.1. Stan bieżący ........................................................................................................ 70
7.1.1. Aktywne aplikacje......................................................................................... 70
7.1.2. Ustanowione połączenia ..............................................................................73
7.1.3. Otwarte porty................................................................................................ 76
7.2. Korzystanie z raportów........................................................................................ 78
7.2.1. Wyświetlanie okna raportów ........................................................................78
7.2.2. Wygląd okna raportów.................................................................................. 79
7.2.2.1. Menu ...................................................................................................... 79
7.2.2.2. Tabela raportu........................................................................................ 79
7.2.2.3. Zakładki .................................................................................................. 80
7.2.3. Wybór raportu............................................................................................... 80
7.2.3.1. Raport Ochrona ..................................................................................... 80
7.2.3.2. Raport Aktywność aplikacji.................................................................... 81
7.2.3.3. Raport Filtrowanie pakietów .................................................................. 82
7.2.4. Definiowanie ustawień raportów .................................................................. 83
7.2.5. Zapisywanie raportu do pliku........................................................................ 84
DODATEK A. NAJCZĘŚCIEJ ZADAWANE PYTANIA................................................ 85
DODATEK B. KASPERSKY LAB POLSKA ................................................................. 86
Kaspersky Anti-Hacker
ROZDZIAŁ 1.
ROZDZIAŁ 1. KASPERSKY ANTI
ROZDZIAŁ 1.ROZDZIAŁ 1.
6
KASPERSKY ANTI----
KASPERSKY ANTIKASPERSKY ANTI
HACKER
HACKER
HACKERHACKER
1.1. Wprowadzenie
Czym jest Kaspersky Anti-Hacker?
Kaspersky Anti-Hacker jest oprogramowaniem pełniącym funkcje osobistej
zapory ogniowej, chroniącej komputery działające pod kontrolą systemu
operacyjnego Windows przed nieautoryzowanym dostępem do danych oraz
przed atakami hakerów z sieci lokalnej oraz Internetu.
Kaspersky Anti-Hacker...
• ... monitoruje aktywność sieciową wszystkich aplikacji uruchomionych na
komputerze. Po wykryciu podejrzanej akcji aplikacji, program powiadamia
o tym użytkownika, a jeżeli jest to konieczne - blokuje jej dostęp do sieci.
Pozwala to na ochronę poufnych danych przechowywanych na
komputerze np.: przed działaniem programu typu koń trojański, który
może próbować wysłać informacje do sieci zewnętrznej. W takim
wypadku Kaspersky Anti-Hacker nie zezwoli złośliwemu programowi na
nieautoryzowany dostęp do Internetu.
• ...dzięki technice SmartStealth™ (tryb ukrycia) utrudnia wykrycie systemu
z poziomu innego komputera w sieci. W rezultacie haker nie może
namierzyć celu, a wszelkie próby dostępu do komputera są blokowane.
Ponadto pozwala to zapobiegać próbom wszystkich typów ataków DoS
(Denial of Service). Włączenie trybu ukrycia nie powoduje żadnego
wpływu na wydajność operacji sieciowych.
• …blokuje najpopularniejsze ataki sieciowe hakerów, poprzez ciągłe
filtrowanie wychodzącego i przychodzącego ruchu sieciowego. Przy
każdej próbie ataku użytkownik jest o niej informowany.
• …monitoruje próby skanowania portów sieciowych komputera (co zwykle
poprzedza atak) i zapobiega dalszej komunikacji z atakującą maszyną.
• …umożliwia przeglądanie listy wszystkich ustanowionych połączeń,
otwartych portów i uruchomionych aplikacji sieciowych, oraz, jeżeli jest to
wymagane, zrywanie niechcianych połączeń.
Kaspersky Anti-Hacker
• …umożliwia zabezpieczenie komputera przed atakami hakerów bez
specjalnej konfiguracji ustawień programu. Proste zarządzanie polega na
wybraniu jednego z pięciu dostępnych poziomów zabezpieczeń: Blokuj
wszystko, Wysoki, Średni, Niski oraz Brak. Domyślnie program uruchamia
się z poziomem zabezpieczeń Średni, będącym trybem samouczenia się,
w którym program automatycznie konfiguruje system zabezpieczeń
zależnie od reakcji użytkownika na różne zdarzenia.
• …umożliwia elastyczną konfigurację systemu zabezpieczeń.
W szczególności można skonfigurować program by filtrował operacje
sieciowe dzieląc je na chciane i niechciane. Możliwe jest także
dostosowanie Systemu wykrywania włamań (IDS) do własnych potrzeb.
• …umożliwia zapisywanie w różnych raportach wystąpienia zdarzeń
sieciowych związanych z bezpieczeństwem, a także zdefiniowanie
poziomu szczegółowości wpisów raportu.
Uwaga!!! Kaspersky Anti-Hacker nie chroni komputera przed wirusami
komputerowymi oraz złośliwymi programami, które mogą zniszczyć lub
uszkodzić dane. W tym celu zalecane jest korzystanie z produktów
Kaspersky Anti-Virus.
7
1.2. Nowości w wersji 1.7
W wersji 1.7 programu Kaspersky Anti-Hacker wprowadzono następujące
nowości:
• Dodano obsługę uaktualnienia Service Pack 2 przeznaczonego dla
systemu Windows XP.
1.3. Pakiet dystrybucyjny
Elementy pakietu dystrybucyjnego.
1.3.1. Składniki pakietu dystrybucyjnego
Pakiet dystrybucyjny zawiera:
• zapieczętowaną kopertę zawierającą nośnik instalacyjny, na którym
znajdują się pliki wykonywalne programu;
Kaspersky Anti-Hacker
8
• podręcznik użytkownika;
• plik klucza identyfikującego (znajdujący się na nośniku instalacyjnym);
• kartę rejestracyjną (znajdującą się na nośniku instalacyjnym);
• certyfikat autentyczności;
• umowę licencyjną.
Przed otwarciem koperty należy zapoznać się z postanowieniami
umowy licencyjnej.
1.3.2. Umowa licencyjna
Umowa licencyjna jest dokumentem stanowiącym porozumienie pomiędzy
użytkownikiem programu a firmą Kaspersky Lab, określającym prawa licencyjne
oraz warunki, na jakich produkt został zakupiony.
Należy uważnie przeczytać postanowienia umowy licencyjnej!
Jeżeli użytkownik nie zgadza się z warunkami zawartymi w umowie licencyjnej,
może zwrócić pakiet dystrybutorowi, u którego go nabył, przy zachowaniu
warunków określonych w umowie licencyjnej.
Odpieczętowanie koperty oznacza zaakceptowanie postanowień umowy
licencyjnej.
1.3.3. Rejestracja
Rejestracja internetowa (http://www.kaspersky.pl/register.html) umożliwia
korzystanie z dodatkowych usług oraz upoważnia do otrzymania rabatu przy
zakupie nowych wersji oprogramowania. W przypadku braku możliwości takiej
rejestracji można skorzystać z karty rejestracyjnej zapisanej na nośniku
instalacyjnym, którą należy wydrukować i wysłać do firmy Kaspersky Lab Polska.
Użytkownik powinien powiadomić dystrybutora lub firmę Kaspersky Lab Polska
o zmianach w danych adresowych lub telefonicznych.
Kaspersky Anti-Hacker
9
1.4. Informacje zawarte
w dokumentacji
Zagadnienia opisane
w dokumentacji.
Niniejsza dokumentacja zawiera szczegółowe informacje dotyczące instalacji,
dostosowania i zarządzania programem Kaspersky Anti-Hacker.
Podręcznik został podzielony na następujące rozdziały:
Rozdział Opis
Kaspersky Anti-Hacker Czym jest program Kaspersky Anti-Hacker?
Składniki pakietu oraz informacje zawarte
w podręczniku.
Instalacja oraz usuwanie
programu
Rozpoczęcie pracy Jak rozpocząć pracę z programem? Przykład
Kaspersky Anti-Hacker zapobieganie atakom
Praca z programem Opis głównego okna programu oraz praca
Włączanie systemu
zabezpieczeń oraz
definiowanie jego ustawień
Przeglądanie rezultatów
działania programu
Dodatek А. Najczęściej
zadawane pytania
Wymagania systemowe. Jak zainstalować
oprogramowanie?
konfiguracji systemu zabezpieczeń.
Podstawowe działania, terminologia oraz
zadania spełniane przez produkt.
z pozycjami menu.
Jak włączyć system zabezpieczeń?
Definiowanie ustawień: reguły aplikacji i reguły
filtrowania datagramów.
Przeglądanie raportów: ataki sieciowe,
aktywność aplikacji i filtrowanie pakietów.
Przeglądanie listy otwartych portów,
ustanowionych połączeń i uruchomionych
aplikacji sieciowych.
Odpowiedzi na najczęściej zadawane pytania.
Kaspersky Anti-Hacker
10
Rozdział Opis
Dodatek B. Kaspersky Lab
Polska
Informacje o firmie Kaspersky Lab Polska.
1.5. Symbole użyte w dokumentacji
Jak oznaczono różne części tekstu?
Tekst dokumentacji jest sformatowany w zależności od jego znaczenia.
Wygląd tekstu Znaczenie
Pogrubiona czcionka
Notatka.
Uwaga!
Aby wykonać działanie:
1. Krok 1.
Nazwy menu, poleceń, elementów
okien dialogowych itp.
Dodatkowa informacja.
Bardzo ważna informacja.
Sekwencja działań wykonywanych
przez użytkownika.
2. …
Zadanie:
Rozwiązanie
Przykład zadania do wykonania przez
użytkownika z wykorzystaniem
programu
Rozwiązanie zadania.
Kaspersky Anti-Hacker
11
1.6. Pomoc techniczna dla
zarejestrowanych
użytkowników
Co Kaspersky Lab oferuje
zarejestrowanym użytkownikom?
Kaspersky Lab oferuje szeroki wachlarz usług umożliwiających legalnym
użytkownikom efektywne użytkowanie programu Kaspersky Anti-Hacker.
W czasie trwania okresu subskrypcji zarejestrowany użytkownik może korzystać
z następujących usług:
• uaktualnianie oprogramowania w ramach nabytej wersji;
• zaawansowana pomoc techniczna przez okres jednego roku, za
pośrednictwem poczty elektronicznej oraz przez telefon;
• informacje o nowych produktach Kaspersky Lab oraz o nowych wirusach
komputerowych.
Kaspersky Lab nie udostępnia informacji związanych z działaniem
i użytkowaniem systemu operacyjnego oraz innych technologii tego
typu.
Kaspersky Anti-Hacker
12
ROZDZIAŁ 2.
ROZDZIAŁ 2. INSTALACJA ORAZ
ROZDZIAŁ 2.ROZDZIAŁ 2.
USUWANIE PROGRAMU
USUWANIE PROGRAMU
USUWANIE PROGRAMUUSUWANIE PROGRAMU
INSTALACJA ORAZ
INSTALACJA ORAZ INSTALACJA ORAZ
2.1. Wymagania sprzętowe
i systemowe
Wymagania systemowe programu.
Aby uruchomić program Kaspersky Anti-Hacker muszą zostać spełnione
następujące wymagania:
• zainstalowany system operacyjny Microsoft Windows 95 OSR2/98/ME/NT
4.0 Workstation/2000 Professional/XP;
• aby zainstalować program w systemie Microsoft Windows NT 4.0
Workstation/2000 Professional/XP należy posiadać uprawnienia
administratora;
• zainstalowana obsługa protokołu TCP/IP;
• połączenie w sieci lokalnej (Ethernet) lub za pomocą modemu (dial-up);
Ta wersja programu nie współpracuje z modemami ADSL
w systemie Windows ME.
• Microsoft Internet Explorer (zalecana wersja 5.0, 5.5 (SP2) lub wyższa);
• przynajmniej 50 MB wolnej przestrzeni na dysku dla plików programu
oraz raportów.
• Do uruchomienia w systemie Windows 95 OSR2/98/Me/NT 4.0
Workstation komputer musi być wyposażony w:
• procesor Intel Pentium 150MHz lub szybszy;
• 32 MB pamięci RAM;
Kaspersky Anti-Hacker
• Do uruchomienia w systemie Windows 2000 Professional komputer
musi być wyposażony w:
• Do uruchomienia w systemie Windows XP komputer musi być
wyposażony w:
13
• zainstalowany Service Pack v. 6.0 lub nowszy dla systemu
Windows NT 4.0 Workstation.
• procesor Intel Pentium 133MHz lub szybszy;
• 64 MB pamięci RAM.
• procesor Intel Pentium 300MHz lub szybszy;
• 128 MB pamięci RAM.
2.2. Instalacja
Instalacja krok po kroku. Kreator
instalacji.
Aby rozpocząć instalację programu należy uruchomić plik Setup.exe znajdujący
się na nośniku instalacyjnym. Polecenie to rozpocznie pracę kreatora instalacji
działającego w trybie interaktywnym - każde okno zawiera zestaw przycisków
umożliwiających zarządzanie procesem instalacji:
• OK – akceptacja działania;
• Anuluj – anulowanie działania;
• Dalej – przejście do kolejnego etapu;
• Wstecz – przejście do poprzedniego etapu.
Przed rozpoczęciem instalacji programu Kaspersky Anti-Hacker należy
zakończyć działanie wszystkich innych programów uruchomionych na
komputerze.
Kaspersky Anti-Hacker
14
Krok 1. Informacje ogólne
Pierwsze okno dialogowe kreatora (patrz Rys. 1) zawiera ogólne informacje
o pakiecie Kaspersky Anti-Hacker.
Krok 2. Umowa licencyjna
Okno dialogowe Umowa Licencyjna (patrz Rys. 2) zawiera treść umowy
licencyjnej. Po uważnym przeczytaniu należy kliknąć przycisk Tak (oznacza to
zaakceptowanie wszystkich postanowień umowy) lub Nie, aby zakończyć
działanie kreatora bez instalacji pakietu.
Rys. 1. Pierwsze okno dialogowe instalatora.
Rys. 2. Okno dialogowe Umowa Licencyjna.
Krok 3. Wprowadzenie informacji o użytkowniku
W oknie dialogowym Informacje
rejestracyjne (patrz Rys. 3) należy
wprowadzić informacje
o użytkowniku, wpisując je
w odpowiednie pola: Nazwisko oraz
Firma. Domyślnie pola te zawierają
informacje pobrane z rejestru
Windows.
Rys. 3. Okno dialogowe Informacje
rejestracyjne.
Kaspersky Anti-Hacker
15
Krok 4. Wybór folderu, w którym zostanie zainstalowany
program
W oknie dialogowym Wybierz
lokalizację folderu docelowego
(patrz Rys. 4) należy określić
lokalizację folderu, w którym mają
zostać zainstalowane składniki
programu Kaspersky Anti-Hacker.
Folder musi zostać zdefiniowany
w polu Folder docelowy. W tym
celu należy kliknąć przycisk
Przeglądaj i przy pomocy okna
dialogowego Wybierz folder
wskazać odpowiedni folder.
Rys. 4. Okno dialogowe Wybierz lokalizację
folderu docelowego.
Krok 5. Wprowadzenie nazwy dla grupy programu w menu
Start\Programy
W oknie dialogowym Wybierz
folder programu (patrz Rys. 5)
należy określić nazwę folderu,
w którym mają zostać
umieszczone ikony programu
Kaspersky Anti-Hacker.
Rys. 5. Okno dialogowe Wybierz folder
programu.
Krok 6. Określenie ścieżki dostępu do plików kluczy *
W oknie dialogowym Plik klucza (patrz Rys. 6) należy zdefiniować nazwę pliku
klucza (plik z rozszerzeniem *.key) oraz ścieżkę dostępu do niego.
Kaspersky Anti-Hacker
16
Jeśli plik klucza znajduje się
w folderze instalacyjnym, jego
nazwa zostanie automatycznie
wyświetlona na liście kluczy
przeznaczonych do
zainstalowania.
W przypadku, gdy klucz znajduje
się w innym folderze, należy
kliknąć przycisk Dodaj i za
pomocą okna dialogowego
Wybierz plik klucza zdefiniować
nazwę pliku klucza oraz ścieżkę
Rys. 6. Okno dialogowe Plik klucza.
dostępu do niego. Jeżeli zachodzi
taka potrzeba program może
jednocześnie korzystać z kilku
plików kluczy.
Zaleca się także zaznaczenie opcji Powiąż typ pliku klucza. Umożliwi to
w przyszłości instalację nowego pliku klucza poprzez dwukrotne kliknięcie jego
nazwy. Pozostawiając opcję niezaznaczoną zainstalowanie nowego klucza
będzie wymagało skopiowania pliku do folderu zawierającego zasoby
współdzielone programu.
Plik klucza jest osobistym kluczem każdego użytkownika, zawierającym
informacje wymagane do poprawnej pracy programu Kaspersky Anti-Hacker:
• informacje o dystrybutorze bieżącej wersji (nazwa firmy, adresy, numery
telefonów);
• informacje o pomocy technicznej (kto i w jaki sposób jej udziela);
• datę wydania produktu;
• nazwę i numer licencji;
• okres ważności licencji.
Krok 7. Kopiowanie plików na dysk twardy
Po przeczytaniu informacji w oknie Rozpoczęcie kopiowania plików (patrz
Rys. 7) można dokonać zmian ustawień instalacyjnych przechodząc do
poprzednich okien kreatora za pomocą przycisku Wstecz. Jeżeli informacje
instalacyjne są poprawne należy kliknąć przycisk Dalej. Program rozpocznie
Kaspersky Anti-Hacker
17
proces kopiowania plików na dysk twardy. Postęp tego procesu będzie widoczny
w oknie Stan instalacji (patrz Rys. 8).
Rys. 7. Okno dialogowe Rozpoczęcie
kopiowania plików.
Rys. 8. Okno dialogowe Stan instalacji.
Krok 8. Finalizowanie instalacji
Po zakończeniu instalacji pakietu Kaspersky Anti-Hacker zostanie wyświetlone
okno Finalizowanie działań (parz Rys. 9).
Aby poprawnie zakończyć instalację
należy ponownie uruchomić system.
Zaznaczenie opcji Tak, chcę teraz
ponownie uruchomić komputer
spowoduje ponowne uruchomienie
komputera zaraz po zakończeniu
instalacji, natomiast wybranie opcji
Nie, później uruchomię ponownie
komputer spowoduje odłożenie
uruchomienia komputera na później.
Kliknięcie przycisku Zakończ
kończy proces instalacji.
Rys. 9. Okno dialogowe Finalizowanie działań.
Kaspersky Anti-Hacker
18
2.3. Usuwanie programu
Usuwanie programu z komputera.
Aby usunąć program Kaspersky Anti-Hacker należy:
1. Kliknąć przycisk Start systemu Windows i przejść do grupy Programy.
2. Wskazać grupę zawierającą program Kaspersky Anti-Hacker.
Domyślnie grupa posiada nazwę Kaspersky Anti-Hacker, jednakże
mogła ona zostać zmieniona podczas instalacji. Następnie należy
uruchomić polecenie Dezinstaluj Kaspersky Anti-Hacker.
3. Aby całkowicie usunąć Kaspersky Anti-Hacker, należy nacisnąć
przycisk Tak w oknie potwierdzenia lub Nie, jeżeli dezinstalacja
programu ma zostać anulowana.
Aby dodać lub usunąć program można skorzystać z narzędzia
Dodaj/Usuń programy znajdującego się w Panelu sterowania
systemu MS Windows.
Kaspersky Anti-Hacker
ROZDZIAŁ 3.
ROZDZIAŁ 3. ROZPOCZĘCIE
ROZDZIAŁ 3.ROZDZIAŁ 3.
19
ROZPOCZĘCIE
ROZPOCZĘCIE ROZPOCZĘCIE
PRACY
PRACY
PRACYPRACY
Jak rozpocząć pracę z programem?
Przykład konfiguracji systemu
ochrony.
Zaraz po zainstalowaniu programu i ponownym uruchomieniu komputera system
bezpieczeństwa zostanie aktywowany. Od tego momentu Kaspersky Anti-Hacker
monitoruje wszystkie ataki na komputer oraz próby interakcji aplikacji z siecią
lokalną i Internetem.
Po uruchomieniu systemu operacyjnego praca z nim przebiega bez zmian. Jeżeli
ustanowione jest połączenie z siecią, system bezpieczeństwa jest przedstawiony
wyłącznie w postaci ikony
pojawi się okno główne programu, w którym można przeglądać informacje
o obecnym poziomie zabezpieczeń , a jeśli jest to konieczne - zmienić go
(szczegółowe informacje na temat okna głównego znajdują się w podrozdziale
5.3 na stronie 30). Domyślnie włączony jest poziom zabezpieczeń Średni, który
umożliwia konfigurację systemu zabezpieczeń w trybie samouczenia się
programu. Jednak w niektórych przypadkach może zajść potrzeba ręcznego
skonfigurowania systemu zabezpieczeń. Rozpatrzmy poniższy przykład.
w zasobniku systemowym. Po kliknięciu na niej,
Zadanie: Załóżmy, że komputer ma połączenie z Internetem i po
uruchomieniu programu Microsoft Internet Explorer w polu adresu
został wprowadzony adres www.kaspersky.pl. Na ekranie pojawi
się komunikat: Utwórz regułę dla IEXPLORE.EXE (patrz
Rys. 10).
W górnej części okna dialogowego można zobaczyć ikonę danej
aplikacji, jej nazwę (w tym wypadku Internet Explorer), adres
strony www.kaspersky.pl
ustanowienia połączenia. Szczegółowe informacje o aplikacji
można uzyskać klikając podkreślony odsyłacz (patrz Rys. 11).
Wywoływane połączenie sieciowe nie zostanie ustanowione do
momentu zdefiniowania sposobu obsługi aktywności sieciowej
aplikacji. Aby to zrobić należy odpowiedzieć na komunikat
wyświetlony na ekranie.
oraz numer portu użytego do
Kaspersky Anti-Hacker
20
Rys. 10. Okno dialogowe samouczenia się
systemu zabezpieczeń.
Rys. 11. Informacja o ustanawianym
połączeniu.
Należy wykonać następujące działania:
1. Wybrać opcję Zezwól na aktywność sieciową tej aplikacji
zgodnie z jej typem i z położonej poniżej listy rozwijanej wybrać
typ aktywności Przeglądarka Internetowa (IE, Netscape...).
2. Kliknąć przycisk ОК.
Kaspersky Anti-Hacker zezwoli na ustanowienie połączenia sieciowego
przez program Microsoft Internet Explorer. Ponadto aplikacja będzie
mogła ustanawiać jakiekolwiek połączenia zgodne z jej typem.
W oknie dialogowym Utwórz regułę dla IEXPLORE.EXE znajdują się trzy opcje:
• Zezwól na aktywność sieciową tej aplikacji zgodnie z jej typem (opcja
wybrana w powyższym przykładzie) – umożliwia na komunikację sieciową
specyficzną dla kategorii danej aplikacji, którą można wybrać za pomocą
listy rozwijanej umieszczonej poniżej opcji. Możliwe jest także zezwolenie
na jakąkolwiek aktywność danej aplikacji poprzez wybranie pozycji
Zezwól na wszystko.
Kaspersky Anti-Hacker 21
• Blokuj aktywność sieciową tej aplikacji – blokuje dla określonej
aplikacji możliwość aktywności sieciowej każdego typu włączając w to
aktywność sieciową charakterystyczną dla danego typu aplikacji.
• Dostosuj regułę – umożliwia użytkownikowi określenie działań
dozwolonych dla danej aplikacji. Po wybraniu tej opcji i kliknięciu
przycisku ОК, pojawi się okno dialogowe kreatora reguł. Z jego pomocą
można zdefiniować wymagania co do działań, które może wykonywać
dana aplikacja (szczegółowe informacje o kreatorze reguł znajdują się
w podrozdziale 6.3.2 na stronie 49).
Jeżeli użytkownik nie jest pewien, którą opcję wybrać, może skorzystać
z przycisków Zezwól raz lub Blokuj raz, dzięki czemu pozna on zachowanie
aplikacji by przy następnej wykrytej próbie jej aktywności odpowiednio
zdefiniować regułę.
Jeżeli okno uczenia zostanie zamknięte za pomocą przycisku
pokazana operacja zostanie jednorazowo zablokowana.
W ten sposób dzięki „dialogowi” z aplikacją można poprawnie skonfigurować
system zabezpieczeń komputera.
Przeglądanie listy zdefiniowanych reguł możliwe jest przez wybranie
polecenia Reguły aplikacji z menu Usługi lub kliknięcie przycisku
znajdującego się na standardowym pasku narzędzi okna głównego.
Przez pierwszych kilka tygodni po zainstalowaniu programu zalecane jest
stosowanie poziomu zabezpieczeń Średni. Umożliwi to automatyczną
konfigurację systemu zabezpieczeń uzależnionego od reakcji użytkownika na
różne zdarzenia w sieci. Stworzone reguły umożliwią wykonywanie
standardowych działań sieciowych.
Po zakończeniu okresu „uczenia się” można przełączyć program na poziom
zabezpieczeń Wysoki, dzięki czemu komputer będzie chroniony przed
nieautoryzowanymi zdarzeniami sieciowymi i atakami hakerów.
Aby program Kaspersky Anti-Hacker mógł obsługiwać nowo instalowane
aplikacje należy przełączyć się ponownie do poziomu zabezpieczeń Średni lub
ręcznie zdefiniować odpowiednie reguły dla tych aplikacji.
Kaspersky Anti-Hacker
ROZDZIAŁ 4.
ROZDZIAŁ 4. KASPERSKY ANTI
ROZDZIAŁ 4.ROZDZIAŁ 4.
22
KASPERSKY ANTI----
KASPERSKY ANTIKASPERSKY ANTI
HACKER
HACKER –––– ZAPOBIEGANI
HACKERHACKER
ATAKOM
ATAKOM
ATAKOMATAKOM
ZAPOBIEGANIE
ZAPOBIEGANI ZAPOBIEGANI
E
E E
4.1. Działanie programu Kaspersky
Anti-Hacker
Jak działa Kaspersky Anti-Hacker?
Reguły aplikacji. Reguły filtrowania
pakietów. System wykrywania
włamań (IDS).
Kaspersky Anti-Hacker chroni komputer przed atakami z sieci oraz zabezpiecza
przechowywane na nim poufne dane. W tym celu program monitoruje wszystkie
operacje sieciowe mające miejsce na komputerze. Można wyróżnić dwa typy
operacji sieciowych:
• na poziomie aplikacji (wysokopoziomowe); na tym poziomie Kaspersky
Anti-Hacker analizuje aktywność aplikacji sieciowych, takich jak
przeglądarki internetowe, programy pocztowe, programy do transferu
plików i innych;
• na poziomie pakietów (niskopoziomowe); na tym poziomie Kaspersky
Anti-Hacker analizuje pakiety danych wysyłanych oraz odbieranych przez
kartę sieciową lub modem.
Praca z programem Kaspersky Anti-Hacker polega na tworzeniu specjalnych
reguł filtrowania dla operacji sieciowych. Część filtrów jest realizowana
automatycznie przez system wykrywania włamań (IDS), umożliwiający
wykrywanie takich aktywności sieciowych jak skanowanie portów, czy ataki typu
DoS oraz blokowanie włamywacza. Ponadto użytkownik może zdefiniować swoje
własne reguły filtrowania podnoszące poziom zabezpieczeń komputera.
Każdy typ operacji sieciowych posiada oddzielne listy reguł programu Kaspersky
Anti-Hacker.
Kaspersky Anti-Hacker 23
• Reguły aplikacji; umożliwiają wybranie odpowiedniej aplikacji i zezwolenie
na aktywność sieciową zgodną z jej typem. Dla każdej aplikacji można
zdefiniować dowolną liczbę reguł. Jeżeli zostanie wykryta aktywność
sieciowa aplikacji nie spełniająca warunków reguły, program powiadomi
o tym użytkownika pozwalając mu na zablokowanie niechcianej akcji
(przy ustawionym poziomie zabezpieczeń Średni). Aby utworzyć
najprostszą regułę dla aplikacji, wystarczy wybrać jej typ z listy rozwijanej
(szczegółowe informacje na ten temat znajdują się w podrozdziale 6.3.2.1
na stronie 49). Zdefiniowanie bardziej skomplikowanej reguły wymaga
określenia zdalnej usługi oraz adresu dla danej aplikacji.
• Reguły filtrowania pakietów
zablokowanie pakietów wysyłanych oraz obieranych przez komputer.
Reguły te kontrolują nagłówki pakietów (używany protokół, numer portu,
adres IP itp.) i podejmują decyzje w zależności od ich zawartości. Są one
stosowane do wszystkich aplikacji sieciowych uruchomionych na
komputerze. Przykładowo po stworzeniu reguły blokującej konkretny
numer adresu IP, cała komunikacja sieciowa skierowana do tego adresu
zostanie zablokowana.
Reguły filtrowania pakietów mają wyższy priorytet niż reguły aplikacji,
co oznacza, że w pierwszej kolejności zadziałają reguły filtrowania
pakietów. Na przykład po stworzeniu reguły blokującej wszystkie
wychodzące i przychodzące pakiety, podczas filtrowania zawartości
pakietów program nie zastosuje żadnej z reguł aplikacji.
; umożliwiają przepuszczenie lub
4.2. Poziomy zabezpieczeń
Jakie poziomy zabezpieczeń oferuje
Kaspersky Anti-Hacker?
Program umożliwia wybór jednego z poniższych poziomów zabezpieczeń:
• Brak – wyłącza system zabezpieczeń na komputerze. Po wybraniu tego
poziomu zabezpieczeń program zezwala na każdą aktywność sieciową
wszystkich aplikacji.
• Niski – zezwala na aktywność sieciową wszystkich aplikacji, z wyjątkiem
tych wyraźnie zabronionych w regułach aplikacji zdefiniowanych przez
użytkownika.
• Średni – powiadamia użytkownika o zdarzeniach sieciowych wywołanych
przez aplikacje i umożliwia optymalne konfigurowanie systemu
zabezpieczeń. Jeżeli aplikacja sieciowa zainstalowana na komputerze
podejmie próbę połączenia się z siecią lokalną lub z Internetem, zostanie
Kaspersky Anti-Hacker
24
uruchomiony tryb uczenia się. Na ekranie zostaną wyświetlone
szczegółowe informacje o aplikacji oraz jej działaniach sieciowych. Na
podstawie tych danych program zasugeruje użytkownikowi podjęcie
decyzji: jednokrotnie umożliwienie lub zablokowanie takiego działania,
całkowite zablokowanie aktywności sieciowej danej aplikacji, zezwolenie
na aktywność sieciową aplikacji zgodnie z jej typem lub zdefiniowanie
dodatkowych ustawień komunikacji sieciowej. W zależności od
odpowiedzi program utworzy regułę dla aplikacji.
• Wysoki – zabrania aktywności sieciowej wszystkich aplikacji z wyjątkiem
tych, których reguły zezwalają na taką aktywność. Po włączeniu tego
poziomu zabezpieczeń nie jest wyświetlane okno uczenia się, a wszystkie
niezdefiniowane w regułach próby ustanowienia połączenia zostaną
zablokowane.
• Blokuj wszystko – blokuje dostęp komputera do sieci lokalnej oraz
Internetu podczas każdej próby ustanowienia połączenia.
Należy pamiętać, że włączenie tego poziomu zabezpieczeń
zablokuje dostęp do Internetu oraz sieci lokalnej wszystkim
aplikacjom zainstalowanym na komputerze.
Na poziomie Wysokim, Średnim oraz Niskim można korzystać
z dodatkowego narzędzia – Trybu ukrycia (patrz podrozdział 5.6 na
stronie 34). Tryb ten pozwala na aktywność sieciową zainicjowaną
przez użytkownika przy jednoczesnym blokowaniu innych typów
aktywności (zdalny dostęp do maszyny, sprawdzanie komputera za
pomocą narzędzia ping itd.).
Oznacza to, że komputer staje się "niewidzialny” z zewnątrz. Haker traci
cel swojego ataku i wszystkie próby dostępu do komputera nie powiodą
się. Ponadto tryb ukrycia uniemożliwia przeprowadzanie wszelkich
typów ataków DoS (Denial of Service).
Uwaga! System wykrywania włamań jest włączony dla wszystkich
poziomów zabezpieczeń z wyjątkiem poziomu Brak. Jednakże, jeżeli
zachodzi taka potrzeba, można go wyłączyć ręcznie (patrz
podrozdział 6.5.1 na stronie 67).
Kaspersky Anti-Hacker 25
4.3. Ustawienia zalecane
Jak wybrać odpowiedni poziom
zabezpieczeń i zdefiniować reguły dla
różnych sytuacji?
Których składników Kaspersky Anti-Hacker używać i jaki wybrać poziom
zabezpieczeń? Odpowiedź na to pytanie zależy od zadań, które użytkownik chce
wykonać.
Zadanie 1. Jak chronić dane przed zewnętrznymi atakami
z Internetu?
Do wykradania lub niszczenia danych użytkownika przez Internet
hakerzy korzystają głównie z dwóch metod: penetracji docelowego
komputera z wykorzystaniem błędów oprogramowania oraz
infekowania komputerów przez programy typu koń trojański.
Jeżeli oprogramowanie zainstalowane na komputerze posiada błąd,
o którym użytkownik się dowiedział, zalecane jest aby utworzył on
odpowiednią regułę blokującą dla takiej aplikacji, na tyle złożoną, aby
uwzględniała wszystkie właściwości tego błędu (patrz
podrozdział 6.3.2.1 na stronie 49).
Załóżmy, że na komputerze został zainstalowany program typu koń
trojański (z dyskietki lub wiadomości e-mail) i usiłuje on wysłać
poufne dane przez Internet. Kaspersky Anti-Hacker w łatwy sposób
ochroni dane przez zablokowanie tej operacji (poziom zabezpieczeń
Wysoki) lub przez wyświetlenie odpowiedniego ostrzeżenia (poziom
zabezpieczeń Średni).
Uwaga!!! Kaspersky Anti-Hacker nie chroni komputera przed
wirusami i złośliwymi programami.
Kaspersky Anti-Hacker
26
Przykładowo koń trojański może wykorzystać standardowy program
pocztowy do wysyłania poufnych danych. Kaspersky Anti-Hacker nie
będzie w stanie zapobiec takiej operacji. Ponadto jeżeli komputer
został zainfekowany przez wirusa lub złośliwy program, dane mogą
zostać zniszczone, a komputer może stać się źródłem infekcji.
W takim wypadku Kaspersky Anti-Hacker może jedynie częściowo
wyeliminować zagrożenie. Aby efektywnie zabezpieczyć system
przed wirusami zalecane jest stosowanie systemu antywirusowego
Kaspersky Anti-Virus razem z programem Kaspersky Anti-Hacker.
Dodatkowo zalecane jest tworzenie reguł aplikacji zezwalających
aplikacjom uruchamianym w systemie wyłącznie na aktywność
dokładnie odpowiadającą ich typowi. W ten sposób ryzyko wykonania
nieautoryzowanej operacji na komputerze zostanie zminimalizowane.
Załóżmy, że użytkownik stwierdza ciągłe ataki ze zdalnych
komputerów na jego system.
Zadanie 2. Jak zablokować ataki z konkretnych adresów
Internetowych?
Można zabronić komunikacji komputera z określonymi zdalnymi
adresami poprzez skonfigurowanie odpowiednich reguł filtrowania.
Rysunek 12 przedstawia regułę blokującą komunikację z adresem
111.111.111.111.
Aby zapobiegać takim sytuacjom zaleca się włączenie systemu
wykrywania włamań (IDS).
Rys. 12. Reguła blokująca komunikację z określonym adresem.
Kaspersky Anti-Hacker 27
Program Kaspersky Anti-Hacker można wykorzystać do blokowania
wyświetlania banerów na stronach internetowych. Wystarczy stworzyć
regułę filtrowania pakietów blokującą komunikację ze stronami, z
których banery te są pobierane (na przykład linkexchange.ru).
Załóżmy, że użytkownik obawia się ataków z sieci lokalnej lub chce
zabezpieczyć swoje prywatne dane przed złodziejami.
Zadanie 3. Monitorowanie operacji w sieci lokalnej.
Komputer komunikuje się z siecią lokalną na poziomie systemu
operacyjnego, dlatego nie zawsze możliwe jest określenie
poszukiwanej aplikacji. W takim wypadku rozwiązaniem jest stworzenie
odpowiedniej reguły filtrowania pakietów.
Aby ułatwić konfigurację systemu zabezpieczeń Kaspersky Anti-Hacker
instaluje kilka reguł filtrowania pakietów zezwalających na komunikację
poprzez sieć lokalną. Dostęp do sieci lokalnej jest domyślnie włączony.
Można jednak przedefiniować domyślne reguły filtrowania pakietów tak,
by całkowicie blokowały dostęp do sieci lokalnej lub zezwalały na niego
wyłącznie określonym komputerom.
Kaspersky Anti-Hacker
ROZDZIAŁ 5.
ROZDZIAŁ 5. PRACA
ROZDZIAŁ 5.ROZDZIAŁ 5.
28
PRACA
PRACA PRACA
Z PROGRAMEM
Z PROGRAMEM
Z PROGRAMEMZ PROGRAMEM
Jak uruchomić program? Okno
główne programu oraz jego
elementy. Zamykanie programu.
5.1. Uruchamianie programu
Kaspersky Anti-Hacker jest uruchamiany automatycznie natychmiast po
załadowaniu się systemu operacyjnego. Po zakończeniu działania programu,
można go ponownie uruchomić ręcznie.
Aby uruchomić program Kaspersky Anti-Hacker należy:
1. Kliknąć przycisk Start na pasku zadań systemu Windows i przejść do
grupy Programy.
2. Wskazać grupę programów zawierającą Kaspersky Anti-Hacker.
Domyślnie grupa ta nosi nazwę Kaspersky Anti-Hacker, jednakże
mogła ona zostać zmieniona podczas instalacji. Następnie należy
uruchomić polecenie Kaspersky Anti-Hacker.
3. Kliknąć lewym przyciskiem myszy ikonę , która pojawi się
w zasobniku systemowym. Można także kliknąć ikonę prawym
przyciskiem myszy i z menu systemowego wybrać polecenie Otwórz
Kaspersky Anti-Hacker.
Na ekranie pojawi się okno główne programu Kaspersky Anti-Hacker (patrz
podrozdział 5.3 na stronie 30).
Program można także uruchomić bezpośrednio z jego folderu. W tym
celu należy uruchomić Eksploratora Windows i przejść do folderu
Kaspersky Anti-Hacker (domyślnie jest to C:\Program
Files\Kaspersky Lab\Kaspersky Anti-Hacker), po czym kliknąć
dwukrotnie znajdujący się w nim plik KAVPF.exe.
Kaspersky Anti-Hacker 29
5.2. Menu systemowe
Ikona w zasobniku systemowym.
Menu systemowe.
Po uruchomieniu programu w zasobniku systemowym pojawi się ikona .
Klikając ją prawym klawiszem myszy można wyświetlić menu systemowe
programu (patrz Rys. 13) zawierające następujące polecenia:
Tabela 1
Menu polecenie Funkcja
Otwórz Kaspersky Anti-Hacker
Poziom zabezpieczeń
Informacje o Kaspersky AntiHacker
Zakończ
Wyświetlenie okna głównego
programu.
Przełączenie na inny poziom
zabezpieczeń: Blokuj wszystko,
Wysoki, Średni, Niski, Brak.
Szczegółowe informacje na ten temat
znajdują się w podrozdziale 4.2 na
stronie 23.
Wyświetlenie okna informacyjnego
zawierającego szczegółowe
informacje na temat programu oraz
wykorzystywanych plików kluczy.
Wyładowanie programu z pamięci
komputera.
Rys. 13. Menu systemowe
Kaspersky Anti-Hacker
30
5.3. Okno główne
Po uruchomieniu programu Kaspersky Anti-Hacker na ekranie pojawi się jego
okno główne (patrz Rys. 14). Umożliwia ono wybranie stosowanego poziomu
zabezpieczeń, przeglądanie stanu systemu zabezpieczeń, zmianę ustawień
filtrowania oraz przeglądanie i konfigurowanie raportów programu.
Rys. 14. Okno główne programu Kaspersky Anti-Hacker.
Okno główne programu Kaspersky Anti-Hacker zawiera następujące elementy:
• menu;
• pasek narzędzi;
• obszar roboczy;
• pasek stanu.
Kaspersky Anti-Hacker 31
5.4. Menu
W górnej części okna głównego znajduje się pasek menu, który można
przeciągać za pomocą myszy i umieszczać w dowolnym miejscu wewnątrz okna
lub poza nim.
Niektóre polecenia menu mogą zostać wywołane za pomocą odpowiednich
przycisków z paska narzędzi. Szczegółowe informacje o funkcjach przycisków
paska narzędzi i odpowiadających im poleceniach menu znajdują się
w podrozdziale 5.5 na stronie 33.
Tabela 2
Menu polecenie Funkcja
Usługi Reguły aplikacji
Usługi Reguły filtrowania
pakietów
Usługi Poziom
zabezpieczeń
Usługi Ustawienia
Wyświetlenie okna reguł aplikacji.
Wyświetlenie okna reguł filtrowania
pakietów.
Wybór poziomu zabezpieczeń:
Poziom zabezpieczeń można także
wybrać za pomocą suwaka znajdującego
się w obszarze roboczym okna.
Szczegółowe informacje na ten temat
znajdują się w podrozdziale 4.2 na
stronie 23.
Wyświetlenie okna umożliwiającego
konfigurację raportów, systemu
zabezpieczeń oraz ustawień wykrywania
ataków.
• Blokuj wszystko;
• Wysoki;
• Średni;
• Niski;
• Brak.
Kaspersky Anti-Hacker
32
Menu polecenie Funkcja
Usługi Zakończ
Widok Paski narzędzi
Widok Pasek stanu
Widok Raporty
Widok Pokaż
Wyładowanie programu z pamięci
komputera.
Zmiana wyglądu interfejsu programu:
• Standardowy pasek narzędzi –
wyświetla lub ukrywa standardowy
pasek narzędzi;
• Dostosuj – wyświetla okno
dialogowe umożliwiające
dostosowanie interfejsu programu.
Wyświetlanie lub ukrywanie paska stanu.
Wyświetlanie okna raportów dla
następujących kategorii:
Ochrona;
•
Aktywność aplikacji;
•
Filtrowanie pakietów.
•
Wyświetlanie okien informacyjnych
zawierających szczegółowe informacje
systemowe:
Pomoc Informacje
o Kaspersky Anti-Hacker...
Wyświetlanie okna informacyjnego
zawierającego szczegółowe informacje
dotyczące programu oraz informacje
o używanych plikach kluczy.
• Aktywne aplikacje - lista
uruchomionych aplikacji
sieciowych;
• Otwarte porty - lista otwartych
portów sieciowych komputera;
• Ustanowione połączenia - lista
ustanowionych połączeń.
Kaspersky Anti-Hacker 33
Menu polecenie Funkcja
Pomoc Kaspersky AntiHacker w sieci Internet
Pomoc Spis treści ...
Otwieranie oficjalnej strony internetowej
Kaspersky Lab.
Wyświetlanie tematów pomocy.
5.5. Pasek narzędzi
Pasek narzędzi programu znajduje się poniżej paska menu. Za pomocą myszy
można przeciągnąć go w dowolne miejsce wewnątrz lub poza oknem głównym.
Pasek narzędzi zawiera przyciski realizujące najczęściej wykonywane polecenia.
Wybierając polecenie Standardowy pasek narzędzi z podmenu Paski narzędzi
znajdującego się w menu Widok można ukrywać i wyświetlać pasek narzędzi.
Przyciski paska narzędzi można dodawać lub usuwać (patrz podrozdział 5.10 na
stronie 36).
Tabela 3
Przycisk Menu Polecenie Funkcja
Usługi Poziom
zabezpieczeń
Wybór poziomu zabezpieczeń.
Szczegółowe informacje na ten temat
znajdują się w podrozdziale 4.2 na
stronie 23.
Usługi
Reguły aplikacji
Usługi
Reguły filtrowania
pakietów
Widok Raporty
Ochrona
Widok Pokaż
Aktywne aplikacje
Widok Pokaż
Otwarte porty
Wyświetlenie okna reguł aplikacji.
Wyświetlenie okna reguł filtrowania
pakietów.
Wyświetlanie okna raportu ochrony.
Wyświetlanie listy uruchomionych
aplikacji sieciowych.
Wyświetlanie listy otwartych portów
sieciowych komputera.
Kaspersky Anti-Hacker
34
Przycisk Menu Polecenie Funkcja
Widok Pokaż
Ustanowione
połączenia
Usługi Ustawienia
Pomoc Spis treści
Wyświetlanie listy ustanowionych po-
łączeń.
Wyświetlenie okna umożliwiającego
konfigurację raportów, systemu
zabezpieczeń oraz ustawień
wykrywania ataków.
Wyświetlanie tematów pomocy.
5.6. Obszar roboczy
Obszar roboczy okna głównego zawiera
o bieżącym stanie systemu zabezpieczeń.
Skala zabezpieczeń umożliwia wybór jednego z następujących poziomów:
• Blokuj wszystko;
• Wysoki;
skalę zabezpieczeń
oraz informacje
• Średni;
• Niski;
• Brak.
Przeciągając suwak wzdłuż skali można przełączać się pomiędzy poziomami
zabezpieczeń, co powoduje natychmiastowe zastosowanie nowych ustawień. Po
prawej stronie suwaka pojawiają się szczegółowe opisy każdego poziomu
zabezpieczeń (szczegółowe informacje na ten temat znajdują się
w podrozdziale 4.2 na stronie 23).
Na poziomach Wysoki, Średni lub Niski można włączyć dodatkowe narzędzie
zabezpieczające – Tryb ukrycia (patrz podrozdział 4.2 na stronie 23).
Poniżej skali znajdują się szczegółowe informacje dotyczące ostatniego ataku
wykrytego przez program: data i godzina ataku, typ ataku oraz jego źródło.
Kaspersky Anti-Hacker 35
5.7. Pasek stanu
W dolnej części okna głównego znajduje się pasek stanu, na którym wyświetlane
są podpowiedzi o wybranym elemencie. Za pomocą polecenia Pasek stanu
znajdującego się w menu Widok można ukrywać lub wyświetlać pasek stanu.
5.8. Menu kontekstowe
Menu kontekstowe programu umożliwia uruchamianie poleceń stosowanych
w konkretnym oknie dialogowym.
Aby wyświetlić menu kontekstowe okna dialogowego należy kliknąć
w jego obszarze prawym przyciskiem myszy.
5.9. Kreator reguł
Kreator reguł programu umożliwiający tworzenie oraz redagowanie reguł
stworzonych przez użytkownika składa się z kilku okien dialogowych. Każde
z nich zawiera zestaw przycisków pozwalających użytkownikowi zarządzać
procesem tworzenia oraz modyfikowania reguły:
• Zakończ – stosuje zdefiniowane ustawienia i tworzy regułę;
• Anuluj – anuluje całą procedurę;
• Dalej > – przechodzi do kolejnego okna kreatora;
• < Wstecz – przechodzi do poprzedniego okna kreatora;
• Pomoc – wyświetla tematy pomocy.
Kaspersky Anti-Hacker
36
5.10. Zmiana i zapisywanie ustawień
interfejsu
Aby zmienić ustawienia interfejsu należy wybrać polecenie Dostosuj
z podmenu Paski narzędzi znajdującego się w menu Widok. Na
ekranie pojawi się okno dialogowe Dostosuj (patrz Rys. 15).
Rys. 15. Okno dialogowe Dostosuj.
Podczas modyfikowania wyglądu interfejsu najlepiej zorganizować ekran tak, aby
okno dialogowe Dostosuj nie zakrywało paska menu oraz paska narzędzi.
Korzystając z zakładki Polecenia można zmienić menu okna głównego oraz
położenie pasków narzędzi. Aby dodać nowe polecenie należy przeciągnąć
wymaganą pozycję na pasek menu lub na pasek narzędzi. Usunięcie polecenia
polega na przeciągnięciu go z menu lub paska narzędzi poza obszar okna
głównego programu.
Zakładki Paski narzędzi oraz Menu umożliwiają przywrócenie oryginalnego
wyglądu odpowiednio pasków narzędzi oraz menu.
Kaspersky Anti-Hacker 37
Na zakładce Ustawienia możliwe jest włączenie oraz wyłączenie wyświetlania
podpowiedzi dla przycisków paska narzędzi, wybranie ich rozmiaru oraz
zdefiniowanie układu paska narzędzi.
Możliwa jest także zmiana nazw poleceń menu i przycisków oraz sposobu
wyświetlania przycisków paska narzędzi - jako rysunki lub tekst.
Aby zmienić nazwę lub inne właściwości elementu okna głównego
należy:
1. Otworzyć okno dialogowe Dostosuj i wybrać wymagane polecenie lub
przycisk okna głównego programu.
2. Kliknąć prawym przyciskiem myszy przycisk paska narzędzi lub
polecenie menu. Z menu kontekstowego wybrać odpowiednie
polecenie:
• Usuń – usuwa zaznaczone polecenie lub przycisk;
• Wygląd przycisku – umożliwia zmianę nazwy. Pojawi się okno
dialogowe z nazwą przycisku lub polecenia menu, którą można
zmienić w polu Tekst (patrz Rys. 16).
• Obraz – wyświetla wybrane polecenie menu lub przycisk jako
obraz;
• Tekst – wyświetla wybrane polecenie menu lub przycisk jako
tekst;
• Obraz i tekst – wyświetla wybrane polecenie menu lub przycisk
jako obraz z opisującym go tekstem;
• Grupa startowa – wstawia separator przed wybranym
poleceniem menu lub przyciskiem.
Kaspersky Anti-Hacker
38
Rys. 16. Zmiana właściwości polecenia.
Nowe ustawienia interfejsu są zachowywane automatycznie po dokonaniu
zmian.
5.11. Zamykanie programu
Aby wyładować program z pamięci komputera należy wybrać z menu Usługi lub
z menu systemowego polecenie Zakończ.
W celu zamknięcia okna głównego należy kliknąć przycisk
w jego prawym górnym rogu.
Zamknięcie okna głównego nie spowoduje wyładowania programu
z pamięci komputera, jeśli zaznaczona została opcja Minimalizuj do
zasobnika systemowego podczas zamykania okna głównego
programu. Domyślnie opcja ta jest zaznaczona (patrz podrozdział
6.1.1 na stronie 39). Ikona programu umieszczona w zasobniku
systemowym informuje o tym, że program jest załadowany do pamięci
komputera.
znajdujący się
Kaspersky Anti-Hacker
ROZDZIAŁ 6.
ROZDZIAŁ 6. WŁĄCZANIE
ROZDZIAŁ 6.ROZDZIAŁ 6.
39
WŁĄCZANIE
WŁĄCZANIE WŁĄCZANIE
SYSTEMU ZABEZPIECZEŃ
SYSTEMU ZABEZPIECZEŃ
SYSTEMU ZABEZPIECZEŃSYSTEMU ZABEZPIECZEŃ
ORAZ DEFINIOWANIE JE
ORAZ DEFINIOWANIE JEGO
ORAZ DEFINIOWANIE JEORAZ DEFINIOWANIE JE
USTAWIEŃ
USTAWIEŃ
USTAWIEŃUSTAWIEŃ
6.1. Włączanie systemu
zabezpieczeń oraz wybieranie
poziomu zabezpieczeń
Jak włączyć ochronę komputera
w programie Kaspersky Anti-Hacker?
Jak wybrać wymagany poziom
zabezpieczeń?
GO
GO GO
6.1.1. Włączanie systemu zabezpieczeń
System zabezpieczeń komputera jest włączany zaraz po zainstalowaniu
programu Kaspersky Anti-Hacker i ponownym uruchomieniu systemu
operacyjnego. Po uruchomieniu programu w zasobniku systemowym pojawia się
ikona
w którym przy każdej próbie połączenia się aplikacji z siecią lokalną lub
Internetem uruchamia się tryb uczenia się. Na ekranie zostaną wyświetlone
szczegółowe informacje o aplikacji oraz jej działaniach sieciowych. Na podstawie
tych danych program zasugeruje użytkownikowi podjęcie decyzji: jednokrotne
umożliwienie lub zablokowanie takiego działania, całkowite zablokowanie
aktywności sieciowej danej aplikacji, zezwolenie na aktywność sieciową aplikacji
zgodnie z jej typem lub zdefiniowanie dodatkowych ustawień komunikacji
sieciowej. W zależności od odpowiedzi program utworzy regułę dla tej aplikacji.
Kaspersky Anti-Hacker rozpoczyna ochronę komputera po zalogowaniu się
użytkownika. Jednakże można skonfigurować program, by ochrona była
aktywowana bezpośrednio po uruchomieniu systemu Windows.
. Domyślnie program uruchamia się z poziomem zabezpieczeń Średni,
Kaspersky Anti-Hacker
40
Aby Kaspersky Anti-Hacker uruchamiał system zabezpieczeń po
załadowaniu systemu operacyjnego należy:
1. Wybrać polecenie Ustawienia z menu Usługi.
2. Na zakładce Główne znajdującej się w oknie dialogowym Ustawienia
(patrz Rys. 17), zaznaczyć opcję Uruchom system zabezpieczeń
po załadowaniu systemu operacyjnego. W takim przypadku program
rozpocznie pracę z ustawieniami użytkownika natychmiast po
załadowaniu systemu operacyjnego, jednak z wyłączonym
raportowaniem. Jeżeli program został uruchomiony z poziomem
zabezpieczeń Średni, cała komunikacja sieciowa będzie automatycznie
zablokowana do momentu całkowitego załadowania systemu, ponieważ
okno trybu „uczenia się” nie może być wyświetlane bez obecności
użytkownika w systemie. Przy poziomie zabezpieczeń Niski lub Brak
na ten okres czasu program zablokuje nieznaną komunikację sieciową,
natomiast na innych poziomach zablokowany będzie cały nieznany
ruch.
Przypuśćmy, że komputer jest podłączony do sieci lokalnej, a program
został skonfigurowany tak, by uruchamiał system zabezpieczeń
podczas ładowania systemu operacyjnego. Ponadto cały ruch sieciowy
został zablokowany przez wybranie poziomu Blokuj wszystko lub
poprzez stworzenie odpowiedniej reguły filtrowania pakietów na
dowolnym poziomie zabezpieczeń (z wyjątkiem Brak). W takim
przypadku użytkownik będzie musiał czekać dłużej niż zwykle przed
wejściem do systemu, a po wejściu stwierdzi, że sieć lokalna nie jest
dostępna.
Rys. 17. Okno dialogowe Ustawienia.
Kaspersky Anti-Hacker 41
Użytkownik ma możliwość zmiany funkcji przypisanej przyciskowi
znajdującemu się w prawym górnym rogu okna głównego. Domyślnie przycisk
ten minimalizuje okno główne do zasobnika systemowego, pozostawiając
program w pamięci komputera.
Aby wciśnięcie przycisku powodowało zamykanie okna głównego
oraz wyładowywanie programu z pamięci komputera należy:
1. Wybrać polecenie Ustawienia z menu Usługi.
2. Na zakładce Główne znajdującej się w oknie dialogowym Ustawienia
(patrz Rys. 17) usunąć zaznaczenie z opcji Minimalizuj do
zasobnika systemowego podczas zamykania okna głównego
programu.
Domyślnie jeżeli program wykryje atak na komputer, na ekranie pojawia się okno
główne z odpowiednim komunikatem.
Aby wyłączyć pojawianie się okna głównego za każdym razem, gdy
program wykryje próbę włamania należy:
1. Wybrać polecenie Ustawienia z menu Usługi.
2. Na zakładce Główne znajdującej się w oknie dialogowym Ustawienia
(patrz Rys. 17) usunąć zaznaczenie z opcji
przy wykryciu próby włamania.
Pokaż okno główne
6.1.2. Wybór poziomu zabezpieczeń
Poziom zabezpieczeń można zmienić przeciągając suwak wzdłuż skali
zabezpieczeń znajdującej się w oknie głównym programu lub wybierając
polecenie Poziom zabezpieczeń z menu Usługi. Tę samą czynność można
wykonać za pomocą poleceń menu systemowego. Program może pracować na
jednym z następujących poziomów zabezpieczeń:
• Blokuj wszystko;
• Wysoki;
• Średni;
• Niski;
• Brak.
Kaspersky Anti-Hacker
42
Na poziomie zabezpieczeń Wysoki, Średni lub Niski można włączyć dodatkowe
narzędzie zabezpieczające zaznaczając pole Tryb ukrycia.
Poszczególne poziomy zabezpieczeń są aktywowane natychmiast po
ich wybraniu przez użytkownika.
Szczegółowe informacje na temat dostępnych poziomów zabezpieczeń znajdują
się w podrozdziale 4.2 na stronie 23.
6.1.3. Ostrzeżenia o zdarzeniach w sieci
Jeżeli stworzono odpowiednią regułę i zaznaczono opcję Wyświetl ostrzeżenie
(patrz podrozdział 6.3.2.3 na stronie 57 oraz podrozdział 6.4.2.2 na stronie 65),
podczas stosowania reguły przez program na ekranie zostanie wyświetlone
odpowiednie ostrzeżenie (patrz Rys. 18).
Ostrzeżenie takie zawiera powiązane z regułą adresy lokalny oraz zdalny,
a także użyte porty. Odpowiadającą za takie ostrzeżenie regułę można
wyświetlić klikając na odnośniku. Możliwe jest także wyłączenie wyświetlania
kolejnych komunikatów ostrzegawczych dla tego zdarzenia poprzez zaznaczenie
opcji Nie pokazuj tego ostrzeżenia w przyszłości.
Rys. 18. Przykład ostrzeżenia programu Kaspersky Anti-Hacker.
Podczas tworzenia reguły można zaznaczyć opcję Zapisz zdarzenie
w raporcie, aby informacja o odpowiadającym jej zdarzeniu została
zapisana w raporcie.
6.1.4. Okno uczenia (poziom Średni)
Jeżeli program pracuje z poziomem zabezpieczeń Średni, po wykryciu
nieznanego zdarzenia zostanie wyświetlone okno uczenia (patrz Rys. 19).
Kaspersky Anti-Hacker 43
Rys. 19. Przykład okna uczenia.
W górnej części okna znajduje się nazwa aplikacji, która próbuje nawiązać
połączenie ze zdalnym komputerem, adres zdalnego komputera oraz numer
portu. Szczegółowe informacje o danym połączeniu można wyświetlić klikając
odnośnik (kliknij na odsyłaczu, aby uzyskać więcej informacji)
.
Aktywność sieciowa w danym przypadku może zostać umożliwiona lub
zablokowana przez kliknięcie przycisków Zezwól raz lub Blokuj raz.
Zamknięcie okna uczenia za pomocą przycisku
jednorazowe zablokowanie rozpatrywanej aktywności sieciowej.
spowoduje
Aby zdefiniować regułę, która w przyszłości będzie obsługiwać zdarzenia
inicjalizowane przez rozpatrywaną aplikację, należy wybrać jedną z poniższych
reakcji i kliknąć przycisk ОК. Spowoduje to dodanie nowej reguły do listy reguł
danej aplikacji.
• Zezwól na aktywność sieciową aplikacji zgodnie z jej typem –
zezwala aplikacji na aktywność sieciową zgodnie z określonym typem
aplikacji, który można wybrać z listy rozwijanej umieszczonej poniżej opcji
(szczegółowe informacje na ten temat znajdują się w podrozdziale 6.3.2.1
na stronie 49).
• Blokuj aktywność sieciową aplikacji – blokuje każdy rodzaj aktywności
sieciowej wybranej aplikacji, włączając w to opisaną aktywność.
• Dostosuj regułę – umożliwia określenie operacji, która będzie dozwolona
dla danej aplikacji. Po wybraniu tej opcji i kliknięciu przycisku ОК na
ekranie pojawi się okno kreatora reguł (szczegółowe informacje na ten
temat znajdują się w podrozdziale 6.3.2 na stronie 49).
Kaspersky Anti-Hacker
44
Jeżeli tworzona reguła nie odpowiada opisywanemu zdarzeniu, na
ekranie pojawi się odpowiedni komunikat (patrz Rys. 20). Po kliknięciu
przycisku Tak tworzona reguła zostanie dodana do listy reguł.
Kliknięcie przycisku Nie spowoduje odrzucenie reguły. W obu
przypadkach użytkownik będzie mógł wybrać inną opcję w oknie
uczenia.
Rys. 20. Stworzona reguła nie odpowiada obecnemu zdarzeniu.
Różne programy na komputerze mogą w krótkim czasie próbować
wykonać operacje sieciowe nie opisane przez reguły użytkownika.
W takim wypadku generowana jest kolejka żądań do tworzenia reguł.
Żądania są sukcesywnie wyświetlane w oknie uczenia, czekając na
reakcje użytkownika.
6.1.5. Ostrzeżenie o podmianie modułu
wykonywalnego
Kaspersky Anti-Hacker chroni aplikacje przed nieautoryzowanymi próbami
podmiany ich plików wykonywalnych. Jeżeli taka podmiana zostanie wykryta, na
ekranie pojawi się odpowiednie ostrzeżenie (patrz Rys. 21).
Możliwy jest wybór jednej z następujących opcji:
• Blokuj dalszą aktywność sieciową tej aplikacji – kolejne operacje
sieciowe danej aplikacji zostaną zabronione. Na początku listy reguł
aplikacji zostanie dodana odpowiednia reguła aplikacji, pozostałe
natomiast zostaną wyłączone. Zalecane jest, aby sprawdzić taką
aplikację za pomocą programu antywirusowego, odtworzyć ją
z archiwum lub ponownie zainstalować. Następnie należy usunąć
regułę blokowania dla tej aplikacji oraz włączyć pozostałe reguły na
liście. Jeśli
Kaspersky Anti-Hacker wyświetli ponownie
komunikat o podmianie modułu, należy zaznaczyć poniższą
opcję
.
• Wiem, że plik został zmodyfikowany, w dalszym ciągu ufam tej
aplikacji – wszystkie reguły użytkownika dla tej aplikacji będą
obowiązywać także dla zmodyfikowanego pliku.
Kaspersky Anti-Hacker 45
Rys. 21. Ostrzeżenie o podmianie modułu wykonywalnego.
6.2. Jak program odpowiada na
atak?
Co się dzieje gdy system
zabezpieczeń wykryje atak
zewnętrzny?
Jeżeli system zabezpieczeń wykryje atak hakera na komputer, na ekranie pojawi
się okno główne programu (jeżeli nie została wyłączona opcja Pokaż okno
główne przy wykryciu próby włamania – patrz podrozdział 6.1.1 na
stronie 39). W takim przypadku należy dokładnie zapoznać się ze szczegółami
dotyczącymi ataku, znajdującymi się na dole obszaru roboczego okna głównego:
program wyświetla tam datę, godzinę oraz rodzaj ataku (patrz Rys. 24).
Atak zostanie zablokowany. Program zablokuje także komputer intruza na czas
określony w ustawieniach (patrz podrozdział 6.5 na stronie 67).
Kaspersky Anti-Hacker
46
Rys. 22. Przykład komunikatu o wykryciu ataku.
Przypuśćmy, że użytkownik zauważa ciągłe ataki z pewnego zdalnego
komputera. Aby ochronić komputer przed komunikowaniem się z określonym
adresem, użytkownik może stworzyć odpowiednią regułę filtrującą pakiety (patrz
podrozdział 6.4 na stronie 59).
Jeżeli ataki z konkretnego zdalnego adresu są częste, zalecane jest ustawienie
poziomu zabezpieczeń Blokuj wszystko, a następnie zgłoszenie się do
administratora sieci.
6.3. Dostosowywanie reguł aplikacji
Jak tworzyć reguły aplikacji? Kreator
reguł aplikacji.
6.3.1. Lista reguł aplikacji
Aby wyświetlić listę reguł aplikacji należy wybrać polecenie Reguły
aplikacji z menu Usługi.
Na ekranie pojawi się okno dialogowe Reguły aplikacji (patrz Rys. 23).
Kaspersky Anti-Hacker 47
Rys. 23. Okno dialogowe Reguły aplikacji.
W górnej części okna znajduje się lista reguł aplikacji. Kolumna Aplikacja
zawiera ikony aplikacji, ich nazwy oraz pola opcji umożliwiające włączanie
i wyłączanie reguł. Kolumna Akcja zawiera rodzaj działania jakie zostanie
podjęte: Zezwól - dla reguł zezwalających na zdarzenia oraz Blokuj - dla reguł
blokujących zdarzenia.
Reguły wyświetlone są zgodnie z ich priorytetem: reguła na szczycie listy będzie
zastosowana w pierwszej kolejności, dopiero po niej program zastosuje drugą
regułę itd. Jeżeli aplikacja próbuje wykonać operację sieciową, program
porównuje tę aktywność z listą reguł przeszukując ją od góry do dołu, do
momentu aż znajdzie regułę odpowiadającą danej operacji lub przeszuka całą
listę do końca. Jeżeli odpowiadająca danemu zdarzeniu reguła nie zostanie
znaleziona, stosowana jest akcja domyślna (patrz podrozdział 4.2 na stronie 23).
Jeżeli dla danej aplikacji mają zostać blokowane tylko niektóre operacje
sieciowe, należy stworzyć dla niej dwie reguły: pierwsza powinna zezwalać na
wykonywanie wymaganych operacji, podczas gdy druga powinna zablokować
pozostałe operacje aplikacji. Pierwsza reguła powinna być umieszczona na liście
reguł powyżej drugiej.
Należy pamiętać, że stosowane będą tylko włączone reguły (mają zaznaczone
pola wyboru).
Kaspersky Anti-Hacker
48
Aby włączyć lub wyłączyć regułę aplikacji należy zaznaczyć lub usunąć
zaznaczenie z odpowiednich pól opcji na liście reguł aplikacji.
Po prawej stronie listy znajdują się następujące przyciski:
• Nowa... – umożliwia tworzenie nowej reguły. Po kliknięciu przycisku na
ekranie pojawi się okno kreatora reguł;
• Modyfikuj – umożliwia redagowanie wskazanej reguły. Po kliknięciu
przycisku pojawi się okno kreatora reguł;
• Usuń – usuwa wskazaną regułę z listy;
• W górę – przesuwa wskazaną regułę o jedną pozycję w górę na liście, tj.
zwiększa priorytet reguły;
• W dół – przesuwa wskazaną regułę o jedną pozycję w dół na liście, tj.
zmniejsza priorytet reguły.
Modyfikacja wybranej reguły możliwa jest po naciśnięciu klawisza <E
NTER
> lub
po jej dwukrotnym kliknięciu lewym klawiszem myszy. Aby usunąć wskazaną
regułę z listy można nacisnąć klawisz <D
>. Z kolei wciśnięcie klawisza <INS>
EL
pozwala na dodanie nowej reguły.
Listę można modyfikować korzystając z menu kontekstowego, zawierającego
następujące polecenia:
• Modyfikuj… – umożliwia redagowanie wskazanej reguły;
• Usuń – usuwa wskazaną regułę z listy;
• Duplikuj regułę – tworzy kopię wskazanej reguły. Kopia zostanie
umieszczona poniżej wskazanej reguły.
Poniżej listy znajduje się sekcja Opis reguły wyświetlająca informacje o regule
wskazanej na liście. Taka sama sekcja znajduje się w oknach kreatora.
Opis reguły zawiera czarny tekst, który nie może być redagowany oraz niebieski
tekst, którego zawartość jest zamieniana na odpowiednią wartość. Jeżeli
ustawienie jest wyszczególnione pogrubioną czcionką oznacza to, że dana
wartość jest krytyczna dla reguły.
Aby wprowadzić lub zmodyfikować wymaganą wartość w opisie reguły
należy:
Kaspersky Anti-Hacker 49
1. Kliknąć na odpowiednim, podkreślonym odnośniku w części Opis
reguły.
2. Z okna dialogowego, które pojawi się na ekranie, wybrać wymaganą
wartość (szczegółowe informacje na ten temat znajdują się w kolejnych
podrozdziałach).
W dolnej części okna dialogowego Reguły aplikacji znajdują się przyciski:
• ОК – zamyka okno dialogowe i zapisuje wprowadzone zmiany;
• Anuluj – zamyka okno dialogowe bez zapisywania zmian.
Wszystkie wprowadzone na liście zmiany zostaną zastosowane
natychmiast po ich zapisaniu.
6.3.2. Dodawanie nowej reguły
Aby uruchomić kreatora reguł aplikacji należy kliknąć przycisk Nowa...
znajdujący się w oknie dialogowym Reguły aplikacji (patrz Rys. 23).
6.3.2.1. Krok 1. Dostosowywanie reguły
Po uruchomieniu kreatora na ekranie pojawi się okno dialogowe (patrz Rys. 24).
Rys. 24. Pierwsze okno dialogowe kreatora reguł aplikacji.
Kaspersky Anti-Hacker
50
Z listy opcji Akcja można wybrać jedną z poniższych pozycji:
Akcja Opis reguły
• Zezwól na
aktywność sieciową
aplikacji zgodnie z
jej typem;
• Blokuj aktywność
sieciową aplikacji;
• Dostosuj regułę;
Po wybraniu opcji Dostosuj regułę, kolejne okno kreatora zasugeruje
zdefiniowanie dodatkowych ustawień:
• typ aplikacji internetowej (klient lub serwer);
• protokół;
• adres zdalny;
• port zdalny;
• port lokalny.
Aby utworzyć regułę zezwalającą aplikacji na aktywność sieciową
zgodną z jej typem należy:
1. Wybrać opcję Zezwól na aktywność aplikacji sieciową zgodnie z jej
typem z listy znajdującej się w sekcji Akcja.
2. Kliknąć odnośnik określ nazwę aplikacji
w sekcji Opis reguły. W
oknie dialogowym Wybierz aplikację określić nazwę aplikacji.
3. Zdefiniować typ aplikacji klikając na odpowiednim odnośniku w sekcji
Opis reguły. Domyślną wartością jest Zezwól na wszystko
, która
w żaden sposób nie ogranicza praw dostępu aplikacji do sieci. Aby
zmienić tę wartość należy ją kliknąć za pomocą myszy i wybrać żądaną
pozycję z listy rozwijanej znajdującej się w oknie Typ aplikacji (patrz
Rys. 25). Następnie należy kliknąć przycisk ОК.
Kaspersky Anti-Hacker 51
• Przeglądarka internetowa – dla przeglądarek internetowych,
Netscape Navigator i innych. Zezwala na komunikację przy
pomocy protokołów HTTP, HTTPS, FTP oraz poprzez serwery
proxy.
• Transfer plików – dla programów Reget, Gozilla i podobnych.
Zezwala na komunikację przy pomocy protokołów HTTP,
HTTPS, FTP, TFTP oraz poprzez standardowe serwery proxy.
• Poczta – dla programów MS Outlook, MS Outlook Express,
TheBat! oraz innych klientów poczty elektronicznej. Zezwala na
komunikację przy pomocy protokołów SMTP, NNTP, POP3
oraz IMAP4.
• News – dla programu Forte Agent i innych narzędzi służących
do odczytywania wiadomości z grup dyskusyjnych. Zezwala na
komunikację przy pomocy protokołów SMTP oraz NNTP.
• Komunikator – dla programów ICQ, AIM i innych
komunikatorów. Zezwala na komunikację poprzez standardowe
serwery proxy oraz na bezpośrednią komunikację komputerkomputer.
• IRC – dla programu mIRC i podobnych. Zezwala na
standardową weryfikację użytkownika dla sieci IRC oraz na
dostęp do portów serwerów IRC.
• Konferencje – dla programu MS NetMeeting i podobnych.
Zezwala na komunikację przy pomocy protokołów HTTP oraz
HTTPS, a także poprzez standardowy serwer proxy. Obsługuje
także komunikację wewnątrz lokalnej sieci (LDAP i inne).
• Zdalne zarządzanie – dla programu Telnet i podobnych.
Zezwala na komunikację przy pomocy protokołów Telnet oraz
SSH.
• Synchronizacja czasu – dla programu Timehook i podobnych.
Zezwala na połączenie z serwerami czasu.
Kaspersky Anti-Hacker
52
Rys. 25. Wybór typu aplikacji.
Aby zablokować jakąkolwiek komunikację sieciową aplikacji należy:
1. Wybrać opcję Blokuj aktywność sieciową aplikacji z listy znajdującej
się w sekcji Akcja.
2. Kliknąć odnośnik określ nazwę aplikacji
w sekcji Opis reguły.
W oknie dialogowym Wybierz aplikację określić nazwę aplikacji.
Jeżeli opisane powyżej sposoby nie pozwalają stworzyć wymaganej reguły (na
przykład jeżeli użytkownik chce zezwolić na komunikację z określonym adresem
IP), można skonfigurować bardziej skomplikowaną regułę.
Aby utworzyć bardziej skomplikowaną regułę należy:
1. Wybrać opcję Dostosuj regułę z listy znajdującej się w sekcji Akcja.
2. Kliknąć odnośnik określ nazwę aplikacji
w sekcji Opis reguły.
W oknie dialogowym Wybierz aplikację określić nazwę aplikacji.
3. Kliknąć odnośnik zezwala w sekcji Opis reguły. Z listy opcji okna
dialogowego Akcja (patrz Rys. 26) wybrać wymaganą akcję i kliknąć
przycisk ОК:
• Zabraniaj;
• Zezwalaj.
4. Wybrać aktywność aplikacji, która będzie monitorowana i obsługiwana
przez regułę. Aby zmienić domyślną aktywność należy kliknąć odnośnik
Kaspersky Anti-Hacker 53
ustanawiać połączenia w sekcji Opis reguły. Następnie należy
wybrać opcję Odbieranie przychodzącego połączenia ze zdalnego
komputera w oknie dialogowym Rodzaj aktywności aplikacji (patrz
Rys. 27) i kliknąć przycisk ОК.
Po zakończeniu definiowania ustawień w pierwszym oknie kreatora można
przejść od kolejnego, za pomocą przycisku Dalej >.
Rys. 26. Wybór akcji.
Rys. 27. Wybór typu aktywności aplikacji.
Jeżeli przycisk Dalej > zostanie naciśnięty bez uprzedniego wskazania
aplikacji, na ekranie pojawi się komunikat przypominający konieczności
jej wybrania.
6.3.2.2. Krok 2. Warunki reguły
Okno wyboru warunków reguły pojawi się tylko w wypadku wybrania opcji
Dostosuj regułę.
Okno wyboru warunków reguły pozwala na określenie protokołu, adresu
zdalnego komputera oraz numerów portów.
Rozwijana lista Protokół zawiera predefiniowane protokoły i odpowiadające im
numery portów:
• HTTP
• SMTP
• POP3
• IMAP
• NNTP
• DNS
Jeżeli zachodzi potrzeba zdefiniowania innego numeru portu należy z listy
rozwijanej wybrać jedną z następujących pozycji:
• Inny protokół bazujący na TCP – dla usług bazujących na protokole
TCP;
Kaspersky Anti-Hacker
54
• Inny protokół bazujący na UDP – dla usług bazujących na protokole
UDP.
Lista Właściwości zawiera dodatkowe ustawienia. Jej zawartość zależy
całkowicie od wybranego protokołu.
Adres zdalny – adres zdalnego komputera biorącego udział w komunikacji.
Aby zdefiniować adres należy kliknąć odnośnik określ adres
w sekcji Opis
reguły. Aby określić więcej adresów należy przytrzymać klawisz <CTRL
i kliknąć odnośnik. Szczegółowe informacje na ten temat znajdują się w
podrozdziale 6.3.2.2.1 na stronie 55.
Port zdalny – numer portu zdalnego. Aby określić port należy kliknąć
odnośnik określ port
w sekcji Opis reguły. Szczegółowe informacje na ten
temat znajdują się w podrozdziale 6.3.2.2.2 na stronie 57.
Port lokalny – numer portu lokalnego. Aby określić port należy kliknąć
odnośnik określ port
w sekcji Opis reguły. Szczegółowe informacje na ten
temat znajdują się w podrozdziale 6.3.2.2.2 na stronie 57.
>
Rys. 28. Definiowanie warunków reguły.
Kaspersky Anti-Hacker 55
6.3.2.2.1. Definiowanie adresu lub zakresu adresów
Do definiowania adresów wykorzystywane są dwa okna dialogowe.
Okno dialogowe Adres lub zakres adresów (patrz Rys. 29) pojawi się na
ekranie po kliknięciu odnośnika określ adres z przytrzymanym klawiszem
>.
<CTRL
Rys. 29. Okno dialogowe Adres lub zakres adresów.
W oknie tym można użyć przycisków Dodaj i Usuń, aby dodać lub usunąć
wymaganą liczbę adresów komputerów, zakresów adresów i adresów podsieci.
Po zakończeniu konfigurowania listy adresów należy kliknąć przycisk OK, co
spowoduje powrót do drugiego okna kreatora.
Po kliknięciu przycisku Dodaj w oknie dialogowym Adres lub zakres adresów,
na ekranie pojawi się okno dialogowe Adres (patrz Rys. 30). Takie samo okno
pojawi się po kliknięciu odnośnika określ adres
>.
<C
TRL
bez przytrzymanego klawisza
Okno dialogowe Adres pozwala na określenie adresu, zakresu adresów lub
adresu podsieci stosowanego w regule (patrz Rys. 30).
Kaspersky Anti-Hacker
56
Rys. 30. Okno dialogowe Adres z zaznaczoną opcją Adres komputera.
W oknie tym można wybrać jedną z poniższych opcji:
• Adres komputera – pozwala na określenie symbolicznego (np.
www.kaspersky.pl
) lub numerycznego (np. 192.168.1.1) adresu w polu
umieszczonym poniżej;
• Zakres adresów IP – pozwala na określenie zakresu adresów w polach
Od: i Do: (patrz Rys. 31);
• Adres podsieci – pozwala na określenie adresu podsieci w polu Adres
podsieci: lub maski podsieci w polu Maska podsieci: (patrz Rys. 32).
Po zakończeniu definiowania adresów należy kliknąć przycisk ОК.
Rys. 31. Okno dialogowe Adres
z zaznaczoną opcją Zakres adresów IP.
Rys. 32. Okno dialogowe Adres
z zaznaczoną opcją Adres podsieci.
Kaspersky Anti-Hacker 57
6.3.2.2.2. Definiowanie portu lub zakresu portów
Definiowanie portu lub zakresu portów odbywa się w dwóch oknach
dialogowych.
Po przytrzymaniu klawisza <C
> i kliknięciu odnośnika określ port, na ekranie
TRL
pojawi się okno Port lub zakres portów.
Wykorzystując przyciski Dodaj oraz Usuń znajdujące się w tym oknie można
dodać lub usunąć porty i zakres portów komputera. Po zakończeniu
konfigurowania listy portów należy kliknąć przycisk OK, co spowoduje powrót do
drugiego okna kreatora.
Po kliknięciu przycisku Dodaj w oknie dialogowym Port lub zakres portów, na
ekranie pojawi się okno Port. Okno to pojawi się także po kliknięciu odnośnika
określ port
z przytrzymanym klawiszem <C
TRL
>.
Okno dialogowe Port pozwala na określenie portu lub zakresu portów
stosowanego w regule (patrz Rys. 33). W oknie można wybrać jedną
z poniższych opcji:
• Numer portu – pozwala na wybranie predefiniowanej wartości z listy
rozwijalnej lub na samodzielne określenie numeru portu;
• Zakres portów – pozwala na określenie zakresu portów za
pośrednictwem pól Od: oraz Do: (patrz Rys. 34).
Rys. 33. Okno dialogowe Port.
Rys. 34. Definiowanie zakresu portów.
Po określeniu żądanych portów należy kliknąć przycisk OK.
Kaspersky Anti-Hacker
58
6.3.2.3. Krok 3. Akcje dodatkowe
Trzecie okno kreatora (patrz Rys. 35) pozwala zdefiniować akcje dodatkowe dla
reguły. Zawiera ono następujące opcje:
• Zapisz zdarzenie w raporcie - wykryte zdarzenie zostanie zapisane
w raporcie;
• Wyświetl ostrzeżenie - wykrycie zdarzenia spowoduje wyświetlenie
odpowiedniego ostrzeżenia.
Rys. 35. Akcje dodatkowe dla reguły.
Kaspersky Anti-Hacker 59
6.4. Dostosowywanie reguł
filtrowania pakietów
Jak tworzyć reguły filtrowania
pakietów? Kreator reguł filtrowania
pakietów.
6.4.1. Lista reguł filtrowania pakietów
Praca z listą reguł filtrowania pakietów jest bardzo zbliżona do zarządzania listą
reguł aplikacji.
Aby wyświetlić listę reguł filtrowania pakietów należy wybrać polecenie
Reguły filtrowania pakietów z menu Usługi.
Na ekranie pojawi się okno dialogowe Reguły filtrowania pakietów (patrz
Rys. 36).
Rys. 36. Okno dialogowe Reguły filtrowania pakietów.
Kaspersky Anti-Hacker
60
W górnej części okna znajduje się lista reguł filtrowania pakietów. Przy każdej
z nich znajduje się pole wyboru umożliwiające włączenie lub wyłączenie reguły.
Reguły są umieszczone na liście zgodnie z ich priorytetem: reguła na szczycie
listy będzie stosowana jako pierwsza, dopiero po niej program będzie stosował
regułę drugą itd. Należy pamiętać, że stosowane będą wyłącznie włączone
reguły.
Aby włączyć lub wyłączyć regułę filtrowania pakietów należy zaznaczyć
lub odznaczyć odpowiednie pole wyboru na liście reguł filtrowania
pakietów.
Po prawej stronie listy znajdują się następujące przyciski:
• Nowa... – umożliwia tworzenie nowej reguły. Po naciśnięciu tego
przycisku na ekranie pojawi się okno kreatora reguł;
• Modyfikuj – umożliwia redagowanie wskazanej reguły. Po naciśnięciu
tego przycisku pojawi się okno kreatora reguł;
• Usuń – usuwa wskazaną regułę z listy;
• W górę – przesuwa wskazaną regułę o jedną pozycję w górę, tj. zwiększa
priorytet reguły;
• W dół – przesuwa wskazaną regułę o jedną pozycję w dół, tj. zmniejsza
priorytet reguły.
> lub
Modyfikacja wybranej reguły możliwa jest po naciśnięciu klawisza <E
NTER
po jej dwukrotnym kliknięciu lewym klawiszem myszy. Aby usunąć wskazaną
regułę z listy można nacisnąć klawisz <D
>. Z kolei wciśnięcie klawisza <INS>
EL
pozwala na dodanie nowej reguły.
Listę można modyfikować korzystając z menu kontekstowego, zawierającego
następujące polecenia:
• Modyfikuj… – umożliwia redagowanie wskazanej reguły;
• Zmień nazwę – umożliwia zmianę nazwy wskazanej reguły;
• Usuń – usuwa wskazaną regułę z listy;
• Duplikuj regułę – tworzy kopię wskazanej reguły. Kopia zostanie
umieszczona pod wskazaną regułą.
Kaspersky Anti-Hacker 61
Poniżej listy znajduje się sekcja Opis reguły wyświetlająca informacje o regule
wskazanej na liście. Taka sama sekcja znajduje się w oknach kreatora.
Opis reguły zawiera czarny tekst, który nie może być redagowany oraz niebieski
tekst, którego zawartość jest zamieniana na odpowiednią wartość. Jeżeli
ustawienie zostało wyszczególnione pogrubioną czcionką oznacza to, że wartość
ta jest krytyczna dla reguły.
Aby wprowadzić lub zmodyfikować wymaganą wartość w opisie reguły
należy:
1. Kliknąć odpowiedni, podkreślony odnośnik w części Opis reguły
znajdującej się w oknie głównym.
2. Z okna dialogowego, które pojawi się na ekranie wybrać wymaganą
wartość (szczegółowe informacje na ten temat znajdują się w kolejnych
podrozdziałach).
W dolnej części okna dialogowego Reguły filtrowania pakietów znajdują się
następujące przyciski:
• ОК – zamyka okno dialogowe i zapisuje wprowadzone zmiany;
• Anuluj – zamyka okno dialogowe bez zapisywania zmian.
Wszystkie wprowadzone zmiany zostaną zastosowane natychmiast po
ich zapisaniu.
Reguły filtrowania pakietów mają wyższy priorytet niż reguły aplikacji, dlatego też
zawsze będą stosowane w pierwszej kolejności.
6.4.2. Dodawanie nowej reguły
Kreator reguł filtrowania pakietów pod wieloma względami jest podobny do
kreatora reguł aplikacji. Zawiera on jednak tylko dwa okna.
6.4.2.1. Krok 1. Warunki reguły
Pierwsze okno kreatora pozwala określić:
• wykorzystywany protokół (TCP, UDP, ICMP, inne protokoły IP);
• adres docelowy pakietu;
• kierunek ruchu pakietu (wychodzący, przychodzący);
Kaspersky Anti-Hacker
62
• ustawienia zależne od protokołu (porty dla protokołów TCP i UDP,
rodzaje komunikatów dla protokołu ICMP, numer protokołu);
• akcję (akceptuj lub blokuj).
Rys. 37. Pierwsze okno kreatora reguł filtrowania pakietów.
Aby skonfigurować regułę filtrowania pakietów należy:
1. Z listy rozwijanej Protokół wybrać protokół, który ma być filtrowany.
Dostępne są następujące wartości: TCP (Transmission Control
Protocol), UDP (User Datagram Protocol), ICMP (Internet Control
Message Protocol) oraz Inne protokoły IP. Domyślną wartością jest
TCP.
2. Zaznaczyć wymagane pola opcji w sekcji Właściwości:
Typ pakietu (przychodzący lub wychodzący) – kierunek ruchu
pakietów. Domyślnie opcja ta nie jest zaznaczona, co oznacza, że
reguła będzie filtrować ruch w obu kierunkach. Jeżeli ma być
kontrolowany wyłącznie ruch przychodzący lub wychodzący, należy
zaznaczyć tę opcję
i określić typ pakietu w części Opis reguły. Aby wprowadzić wymaganą
wartość należy kliknąć odnośnik typ pakietu
i w oknie dialogowym
Kierunek pakietu wybrać odpowiednią wartość, a następnie kliknąć
przycisk ОК.
Kaspersky Anti-Hacker 63
Rys. 38. Okno dialogowe Kierunek pakietu.
3. Niektóre opcje w sekcji Właściwości są zależne od protokołu.
• Dla protokołów TCP i UDP należy określić Port zdalny oraz
Port lokalny.
• Dla protokołu ICMP należy określić Rodzaj komunikatu ICMP.
• Dla innych protokołów bazujących na IP należy określić
Protokół.
Adres zdalny – adres komputera zdalnego (wszystkie protokoły).
Aby zdefiniować adres należy kliknąć odnośnik określ adres
w sekcji Opis reguły. Aby określić więcej adresów należy
przytrzymać klawisz <CTRL
> i kliknąć odnośnik. Szczegółowe
informacje na ten temat znajdują się w podrozdziale 6.3.2.2.1 na
stronie 55.
Adres lokalny – adres komputera lokalnego (wszystkie protokoły).
Aby zdefiniować adres należy kliknąć odnośnik określ adres
w sekcji Opis reguły. Aby określić więcej adresów należy
> i kliknąć odnośnik. Szczegółowe
przytrzymać klawisz <C
TRL
informacje na ten temat znajdują się w podrozdziale 6.3.2.2.1 na
stronie 55.
Port zdalny – numer portu zdalnego (protokoły TCP i UDP). Aby
określić port należy kliknąć odnośnik określ port w sekcji Opis
reguły. Szczegółowe informacje na ten temat znajdują się
w podrozdziale 6.3.2.2.2 na stronie 57.
Port lokalny – numer lokalnego portu (protokoły TCP i UDP). Aby
określić port należy kliknąć odnośnik określ port w sekcji Opis
reguły. Szczegółowe informacje na ten temat znajdują się
w podrozdziale 6.3.2.2.2 na stronie 57.
Kaspersky Anti-Hacker
64
Rodzaj komunikatu ICMP – rodzaj komunikatu ICMP (tylko
protokół ICMP). Aby określić rodzaj komunikatu należy kliknąć
odnośnik określ rodzaj komunikatu
w sekcji Opis reguły i z listy
rozwijanej znajdującej się w oknie Typ komunikatu ICMP (patrz
Rys. 39), wybrać wymaganą wartość, po czym kliknąć przycisk ОК:
Echo request;
Echo reply;
Trace route (TTL exceed);
Net unreachable;
Host unreachable;
Protocol unreachable;
Port unreachable;
Redirect for host;
Redirect for net;
Redirect for TOS and net;
Redirect for TOS and host.
Rys. 39. Okno dialogowe Typ komunikatu ICMP.
Protokół – nazwa lub numer protokołu (tylko protokoły IP). Jeżeli
pole to nie zostanie zaznaczone program będzie obsługiwał
wszystkie protokoły IP. Aby określić wymaganą nazwę protokołu
lub jego nazwę należy kliknąć odnośnik określ protokół
w sekcji
Opis reguły, a następnie w oknie Protokół wskazać wymaganą
wartość na liście rozwijanej (patrz Rys. 40) i kliknąć przycisk ОК.
Na poniższej liście znajdują się dostępne protokoły i ich numery
ujęte w nawiasy.
Kaspersky Anti-Hacker 65
• IGMP,RGMP(2);
• GGP(3);
• IP in IP encapsulation(4);
• TCP(6);
• IGRP(9);
• UDP(17);
Rys. 40. Okno dialogowe Protokół.
• GRE(47);
• ESP(50);
• AH(51);
IP with encryption(53).
•
4. Określić akcję stosowaną dla pakietów spełniających wcześniej
zdefiniowane warunki: blokuj lub akceptuj. Domyślnie wybrana jest
opcja Blokuj. Aby ją zmienić należy kliknąć odpowiedni odnośnik w
sekcji Opis reguły, w oknie dialogowym Akcja wskazać żądaną
wartość,
a następnie kliknąć przycisk ОК (patrz Rys. 41).
Rys. 41. Okno dialogowe Akcja.
6.4.2.2. Krok 2. Nazwa reguły oraz akcje
dodatkowe
Tworząc regułę filtrowania pakietów należy określić jej nazwę w polu Nazwa
reguły drugiego okna kreatora. Program automatycznie wpisuje domyślną
nazwę np. Reguła filtrowania pakietów #<numer reguły>. Zalecane jest jednak
stosowanie własnych nazw, które ułatwią identyfikację reguł na liście.
Można także określić akcje dodatkowe dla reguły. Okno zawiera dwie opcje:
Kaspersky Anti-Hacker
66
• Zapisz zdarzenie w raporcie - program zapisuje wykryte zdarzenie
w raporcie;
• Wyświetl ostrzeżenie –program wyświetla informacje o wykrytych
zdarzeniach (patrz Rys. 18).
Rys. 42. Definiowanie nazwy reguły oraz akcji dodatkowych.
Kaspersky Anti-Hacker 67
6.5. System wykrywania włamań
(IDS)
Jak optymalnie skonfigurować
system wykrywania włamań?
6.5.1. Ustawienia systemu wykrywania
włamań
Aby wyświetlić ustawienia systemu wykrywana włamań należy wybrać
polecenie Ustawienia z menu Usługi i przejść do zakładki System
Wykrywania Włamań (patrz Rys. 43).
Zalecane jest, aby opcja Włącz System Wykrywania Włamań znajdująca
się na zakładce System Wykrywania Włamań (IDS) była zawsze zaznaczona.
Opcja ta umożliwia włączenie oraz wyłączenie wykrywania zewnętrznych
włamań do komputera.
Poniżej tej opcji znajduje się pole Czas blokowania intruza (min) umożliwiające
określenie czasu, przez który ma być blokowany komputer intruza. Ustawienie to
jest stosowane do wszystkich typów ataków.
Parametr Czas blokowania intruza zostanie zastosowany natychmiast
po kliknięciu przycisku OK znajdującego się w oknie Ustawienia. Jeśli
pewne komputery są obecnie zablokowane, a ustawienie opcji Czas
blokowania intruza ulegnie zmianie, komputery te będą zablokowane
zgodnie z poprzednim ustawieniem.
Zestaw opcji umieszczonych w dolnej części zakładki jest uzależniony od
wartości wybranej z listy rozwijanej Typ ataku.
Zaznaczenie opcji Włącz wykrywanie ataku tego typu spowoduje wykrywanie
przez program wybranego typu ataku. Poniżej tej opcji znajdują się szczegółowe
informacje dotyczące wybranego typu ataku.
Kaspersky Anti-Hacker
68
Rys. 43. Zakładka System Wykrywania Włamań w oknie dialogowym Ustawienia.
6.5.2. Lista wykrywanych ataków
Kaspersky Anti-Hacker umożliwia wykrywanie najczęściej stosowanych ataków
DoS (SYN Flood, UDP Flood, ICMP Flood), Ping of death, Land, Helkern,
SmbDie
groźniejszy atak:
oraz
Lovesan
• Atak Ping of death polega na wysyłaniu do komputera pakietów ICMP
o rozmiarze większym niż 64KB (wartość graniczna). Może to
spowodować nagłe zakończenie działania systemu operacyjnego.
• Atak Land polega na transmisji do komputera żądań połączenia do
samego siebie. W rezultacie zapętlenia się komputera, procesor zostaje
obciążony zwiększając prawdopodobieństwo nagłego zakończenia
działania systemu operacyjnego.
• Atak Skanowanie portów TCP polega na wykrywaniu otwartych portów
TCP na komputerze. Poszukiwane są słabe punkty komputera, po
wykryciu których zwykle następuje bardziej niebezpieczny atak. Możliwe
jest zdefiniowanie następujących ustawień dla ataku tego typu: Liczba
portów (liczba portów, które próbuje otwierać zdalny komputer) oraz
Czas (czas, w ciągu którego następuje otwieranie portów).
, jak również skanowania portów, które często poprzedza
Kaspersky Anti-Hacker 69
• Atak Skanowanie portów UDP polega na wykrywaniu otwartych portów
UDP na komputerze. Poszukiwane są słabe punkty komputera, po
wykryciu których zwykle następuje bardziej niebezpieczny atak. Możliwe
jest zdefiniowanie następujących ustawień dla ataku tego typu: Liczba
portów (liczba portów, które próbuje otwierać zdalny komputer) oraz
Czas (czas, w ciągu którego następuje otwieranie portów).
• Atak SYN Flood polega na wysyłaniu do komputera żądań połączenia.
System rezerwuje odpowiednie zasoby dla każdego żądania, w rezultacie
czego przestaje odpowiadać na żądanie połączeń z innych źródeł.
Możliwe jest zdefiniowanie następujących ustawień dla ataku tego typu:
Liczba portów (liczba portów, które próbuje otwierać zdalny komputer)
oraz Czas (czas, w ciągu którego następuje otwieranie portów).
• Atak UDP Flood polega na wysyłaniu specjalnych pakietów UDP, które
są w nieskończoność transmitowane pomiędzy zaatakowanymi
komputerami. W rezultacie atak zajmuje znaczną część zasobów
sieciowych. Możliwe jest zdefiniowanie następujących ustawień dla ataku
tego typu: Liczba pakietów UDP (liczba przychodzących pakietów UDP)
oraz Czas (czas, w ciągu którego napływają pakiety).
• Atak ICMP Flood
polega na wysyłaniu do komputera pakietów ICMP, co
powoduje wzrost obciążenia procesora atakowanego komputera,
ponieważ musi on odpowiadać na każdy pakiet. Możliwe jest
zdefiniowanie następujących ustawień dla ataku tego typu: Liczba
pakietów ICMP (liczba przychodzących pakietów ICMP) oraz Czas
(czas, w ciągu którego napływają pakiety).
• Atak Helkern
polega na wysyłaniu do komputera specjalnych pakietów
UDP, które posiadają możliwość uruchamiania niebezpiecznego kodu.
W rezultacie następuje znaczne spowolnienie funkcjonowania połączenia
internetowego.
• Atak SmbDie polega na próbie nawiązania połączenia SMB. Następnie
do komputera wysyłany jest specjalny pakiet przepełniający bufor. W
rezultacie użytkownik zmuszony jest do ponownego uruchomienia
systemu operacyjnego. Podatne na ten typ ataki są systemy Windows
NT/2000/XP.
• Atak Lovesan wykorzystuje lukę w usłudze DCOM RPC systemów
operacyjnych Windows NT 4.0/NT 4.0 Terminal Services
Edition/2000/XP/Server 2003. Po udanym przeprowadzeniu ataku, na
komputer kopiowany jest robak zawierający oprogramowanie
pozwalające hakerowi na wykonywanie w zaatakowanym systemie
dowolnych operacji.
Kaspersky Anti-Hacker
ROZDZIAŁ 7.
ROZDZIAŁ 7. PRZEGLĄDANIE
ROZDZIAŁ 7.ROZDZIAŁ 7.
70
PRZEGLĄDANIE
PRZEGLĄDANIE PRZEGLĄDANIE
REZULTATÓW DZIAŁANIA
REZULTATÓW DZIAŁANIA
REZULTATÓW DZIAŁANIAREZULTATÓW DZIAŁANIA
7.1. Stan bieżący
Przeglądanie listy aktywnych
aplikacji, otwartych portów oraz
ustanowionych połączeń.
Działanie wszystkich aplikacji sieciowych uruchomionych na komputerze jest
stale monitorowane i odnotowywane przez program Kaspersky Anti-Hacker.
Można przeglądać następujące statystyki aktywności sieciowej:
• Aktywne aplikacje. Operacje sieciowe są klasyfikowane według nazw
wykonujących je aplikacji. Dla każdej aplikacji można przejrzeć
obsługiwane porty i połączenia;
• Ustanowione połączenia. Wyświetla wszystkie przychodzące
i wychodzące połączenia, adresy komputerów zdalnych oraz numery
portów;
• Otwarte porty. Wyświetla wszystkie otwarte porty komputera.
7.1.1. Aktywne aplikacje
Aby przeglądać listę aktywnych w danym momencie aplikacji
sieciowych należy wybrać polecenie Aktywne aplikacje z podmenu
Pokaż znajdującego się w menu Widok. Można także kliknąć przycisk
na pasku narzędzi.
Na ekranie pojawi się okno dialogowe Aktywne aplikacje sieciowe
(patrz Rys. 44).
Kaspersky Anti-Hacker 71
Rys. 44. Okno dialogowe Aktywne aplikacje sieciowe.
Okno to umożliwia przeglądanie listy aktywnych aplikacji sieciowych oraz
używanych przez nie zasobów sieciowych. Nazwy aplikacji posortowane są
alfabetycznie, co ułatwia nawigację. Po lewej stronie nazwy aplikacji znajduje się
jej ikona.
Rozwijając gałąź każdej z aplikacji można wyświetlić listę odpowiadających jej
portów otwartych na lokalnym komputerze oraz połączeń ustanowionych przez
aplikację:
• Otwarte porty są przedstawiane w postaci ikon TCP lub UDP, w
zależności od typu portu. Po prawej stronie każdego portu znajduje się
jego numer.
• Ustanowione połączenia są przedstawione w postaci ikony
ustanowione przez komputer użytkownika) lub
(jeżeli są ustanowione
(jeżeli są
z zewnątrz). Po prawej stronie ikony znajduje się opis parametrów
połączenia:
<adres źródłowy>:<port źródłowy>
<adres docelowy>:<port docelowy>
Kaspersky Anti-Hacker
72
Lista aktywnych aplikacji sieciowych jest odświeżana automatycznie dwa razy na
sekundę.
Lista posiada menu kontekstowe zawierające następujące polecenia:
• Odśwież – umożliwia odświeżenie listy aktywnych aplikacji na żądanie
użytkownika;
• Utwórz regułę – umożliwia tworzenie reguły na podstawie wskazanego
portu lub połączenia. Program uruchamia kreatora reguł aplikacji
i automatycznie wstawia w odpowiednie pola parametry dotyczące
wybranego portu lub połączenia;
• Zerwij połączenie – zrywa połączenie wskazane na liście (polecenie jest
dostępne wyłącznie dla elementów wybieranych z listy połączeń);
Uwaga! Jeżeli zerwanie połączenia zostanie wymuszone, powiązana
z nim aplikacja może działać nieprawidłowo.
• Właściwości – wyświetla szczegółowe informacje o wybranym elemencie
listy: aplikacji (patrz Rys. 45), połączeniu (patrz Rys. 47) lub porcie (patrz
Rys. 49).
Lista może zawierać więcej niż jeden wpis dla tej samej aplikacji.
Oznacza to, że uruchomiona jest więcej niż jedna kopia danej aplikacji.
Po rozwinięciu gałęzi kopii tych aplikacji, mogą zostać wyświetlone listy
otwartych portów i ustanowionych połączeń, które będą zawierać różne
informacje.
Rys. 45. Okno Właściwości aplikacji.
Kaspersky Anti-Hacker 73
W oknie Właściwości aplikacji znajduje się sekcja Informacje o aplikacji
zawierająca następujące pozycje:
• Nazwa – nazwa pliku wykonywalnego aplikacji;
• ID aplikacji – identyfikator aplikacji;
• Plik – pełna ścieżka do pliku wykonywalnego.
Poniżej znajduje się sekcja Producent zawierająca następujące pozycje:
• Producent – nazwa producenta;
• Wersja – wersja programu;
• Wersja pliku – wersja pliku wykonywalnego.
7.1.2. Ustanowione połączenia
Aby przejrzeć listę ustanowionych w danej chwili połączeń sieciowych
należy wybrać polecenie Ustanowione połączenia z podmenu Pokaż
znajdującego się w menu Widok (patrz Rys. 46). Można także kliknąć
przycisk
Na ekranie pojawi się okno dialogowe Ustanowione połączenia.
na pasku narzędzi.
Każdy wpis na liście zawiera szczegółowe informacje dotyczące ustanowionego
połączenia i oznaczony jest ikoną
komputer użytkownika) lub
Lista zawiera także następujące informacje dotyczące połączenia:
• Adres zdalny – adres i port zdalnego komputera, z którym ustanowione
jest połączenie;
• Adres lokalny – adres i port komputera użytkownika;
• Aplikacja – aplikacja ustanawiająca połączenie.
Lista może zostać posortowana według każdego z powyższych parametrów.
(dla połączeń ustanowionych z zewnątrz).
(jeżeli połączenie jest ustanowione przez
Kaspersky Anti-Hacker
74
Rys. 46. Okno dialogowe Ustanowione połączenia.
Lista ustanowionych połączeń jest odświeżana dwa razy na sekundę.
Niechciane połączenie może zostać zerwane i/lub może zostać utworzona
odpowiednia reguła wstrzymująca taką aktywność w przyszłości. Można to zrobić
wykorzystując odpowiednie polecenia menu kontekstowego:
• Odśwież – umożliwia odświeżenie listy połączeń na żądanie
użytkownika;
• Utwórz regułę – umożliwia tworzenie reguły na podstawie wskazanego
połączenia. Program uruchamia kreatora reguł aplikacji i automatycznie
wstawia parametry połączenia w odpowiednie pola;
• Zerwij połączenie – zrywa połączenie wskazane na liście (polecenie jest
dostępne wyłącznie dla połączeń wybieranych z listy);
Uwaga! Jeżeli zerwanie połączenia zostanie wymuszone, powiązana
z nim aplikacja może działać nieprawidłowo.
• Właściwości – wyświetla informacje szczegółowe o wybranym
połączeniu (patrz Rys. 47).
Kaspersky Anti-Hacker 75
Rys. 47. Okno dialogowe Właściwości połączenia.
Sekcja Połączenie okna dialogowego Właściwości połączenia zawiera
następujące pozycje:
• Kierunek – rodzaj połączenia: wychodzące lub przychodzące;
• Adres zdalny – nazwa symboliczna maszyny zdalnej lub jej adres IP;
• Port zdalny – numer portu zdalnego;
• Port lokalny – numer portu lokalnego.
Poniżej sekcji Połączenie znajdują się pola Informacje o aplikacji oraz
Producent (patrz podrozdział 7.1.1 na stronie 70).
Kaspersky Anti-Hacker
76
7.1.3. Otwarte porty
Aby przejrzeć listę otwartych w danym momencie portów należy wybrać
polecenie Otwarte porty z podmenu Pokaż menu Widok (patrz
Rys. 48). Można także wykorzystać przycisk na pasku narzędzi.
Na ekranie pojawi się okno dialogowe Otwarte porty.
Każdy wpis na liście zawiera szczegółowe informacje dotyczące pojedynczego
otwartego portu. Otwarte porty oznaczone są ikonami TCP lub UDP,
w zależności od typu.
Lista zawiera następujące informacje dotyczące portu:
• Port lokalny – numer portu lokalnego;
• Aplikacja – połączona z portem aplikacja;
• Położenie aplikacji – pełna ścieżka dostępu do pliku wykonywalnego.
Lista może zostać posortowana według każdego z powyższych parametrów.
Rys. 48. Okno dialogowe Otwarte porty.
Kaspersky Anti-Hacker 77
Lista otwartych portów odświeżana jest dwa razy na sekundę.
Można stworzyć regułę zabraniającą połączenia z danym portem. Aby to zrobić
można wykorzystać odpowiednie polecenia z menu kontekstowego:
• Odśwież – na żądanie użytkownika odświeża listę otwartych portów;
• Utwórz regułę – umożliwia tworzenie reguły na podstawie wskazanego
portu. Program uruchamia kreatora reguł aplikacji i automatycznie
wstawia w odpowiednie pola parametry portu;
• Właściwości – wyświetla szczegółowe informacje o wybranym porcie
(patrz Rys. 49).
Rys. 49. Okno dialogowe Właściwości portu.
Sekcja Port okna dialogowego Właściwości portu zawiera następujące
pozycje:
• Protokół – nazwa używanego protokołu;
• Port lokalny – numer portu lokalnego.
Poniżej sekcji Port znajdują się sekcje Informacje o aplikacji oraz Producent
(patrz podrozdział 7.1.1 na stronie 70).
Kaspersky Anti-Hacker
78
7.2. Korzystanie z raportów
Wyświetlanie okna raportów. Wygląd
okna raportów. Wybieranie typu
raportu. Zapisywanie raportu do
pliku
Zdarzenia sieciowe mające miejsce na komputerze użytkownika są stale
monitorowane i zapisywane do raportów. Zdarzenia różnych typów zapisywane
są do oddzielnych raportów:
• Raport Ochrona zawiera informacje o ostatnich atakach
przeprowadzanych na komputer użytkownika (patrz podrozdział 6.5 na
stronie 67).
• Raport Aktywność aplikacji zawiera informacje o zdarzeniach
odpowiadających regułom zdefiniowanym dla aplikacji przy pomocy
kreatora. Umieszczane są w nim wyłącznie informacje o tych
zdarzeniach, dla których reguła definiuje umieszczanie odpowiedniego
wpisu w raporcie (patrz podrozdział 6.3.2.3 na stronie 57).
• Raport Filtrowanie pakietów zawiera informacje o zdarzeniach,
odpowiadających regułom zdefiniowanym przy pomocy kreatora reguł
filtrowania pakietów. Zapisywane są wyłącznie informacje o tych
zdarzeniach, dla których reguła definiuje umieszczenie odpowiedniego
wpisu w raporcie (patrz podrozdział 6.4.2.2 na stronie 65).
Wszystkie raporty mogą być przeglądane i konfigurowane w jednym oknie (
Raporty). W oknie tym można ograniczać rozmiar raportów, zdefiniować
czyszczenie raportów przy każdym uruchamianiu programu lub zachować
rezultaty więcej niż jednej sesji (patrz podrozdział 7.2.4 na stronie 83).
Jeżeli zachodzi taka potrzeba, raporty można czyścić na żądanie użytkownika.
Raporty te można także zapisywać do plików na dysku twardym.
okno
7.2.1. Wyświetlanie okna raportów
Aby wyświetlić okno raportów należy wybrać określony typ raportu
z podmenu Raporty, które znajduje się w menu Widok.
Na ekranie pojawi się okno dialogowe Raporty (patrz Rys. 50).
Kaspersky Anti-Hacker 79
7.2.2. Wygląd okna raportów
Okno Raporty zawiera następujące elementy:
• menu;
• tabela raportu;
• zakładki umożliwiające przechodzenie pomiędzy różnymi typami
raportów.
7.2.2.1. Menu
W górnej części okna Raporty znajduje się pasek menu.
Tabela 4
Menu polecenia Funkcja
Plik Zapisz do pliku Zapisanie bieżącego raportu do pliku.
Pomoc Spis treści ... Wyświetlenie tematów pomocy.
Pomoc Kaspersky AntiHacker w sieci Internet
Pomoc Informacje
o Kaspersky Anti-Hacker
Otwarcie oficjalnej strony internetowej
Kaspersky Lab.
Wyświetlenie okna informacyjnego
zawierającego dane dotyczące programu
oraz listę używanych kluczy.
7.2.2.2. Tabela raportu
W tabeli raportu wyświetlane są informacje zapisywane w raportach. Przewijanie
tych raportów może odbywać się przy pomocy pasków przesuwu.
Tabela raportu posiada menu kontekstowe zawierające standardowo dwa
polecenia, jednak w zależności od wybranego typu raportu może zawierać
następujące polecenia:
• Wyczyść raport – czyści wskazany raport;
Kaspersky Anti-Hacker
80
• Przewijaj raport automatycznie – zawsze wyświetla ostatnie
zanotowane zdarzenie na dole tabeli raportu;
• Nie zapisuj w raporcie tego zdarzenia – wyłącza zapisywanie w
raporcie wskazanego zdarzenia. Polecenie to jest dostępne we
wszystkich raportach z wyjątkiem raportu z ataków hakerów;
• Utwórz regułę – umożliwia stworzenie reguły na bazie wskazanego
zdarzenia. Nowo stworzona reguła jest umieszczana na początku listy z
najwyższym priorytetem.
7.2.2.3. Zakładki
Na dole okna Raporty znajdują się zakładki umożliwiające przełączanie
pomiędzy raportami:
• Ochrona;
• Aktywność aplikacji;
• Filtrowanie pakietów.
7.2.3. Wybór raportu
7.2.3.1. Raport Ochrona
Raport Ochrona zawiera listę wszystkich wykrytych ataków na komputer
użytkownika (patrz podrozdział 6.5 na stronie 67).
Aby wyświetlić raport Ochrona należy wybrać polecenie Ochrona
z podmenu Raporty, które znajduje się w menu Widok.
Na ekranie pojawi się okno Raporty przełączone na zakładkę Ochrona (patrz
Rys. 50). Raport zawiera następujące informacje:
• Data i czas – data i czas zaatakowania komputera;
• Opis zdarzenia – opis ataku: jego typ oraz adres atakującego komputera
(jeżeli został wykryty).
Lista zdarzeń może być posortowana wyłącznie według daty i czasu.
Kaspersky Anti-Hacker 81
Rys. 50. Zakładka raportu Ochrona.
7.2.3.2. Raport Aktywność aplikacji
Raport Aktywność aplikacji zawiera informacje o zdarzeniach generowanych
przez aplikacje, dla których reguły definiują zapisanie wystąpienia tych zdarzeń
w raporcie (patrz podrozdział 6.3.2.3 na stronie 57).
Aby wyświetlić raport Aktywność aplikacji należy wybrać polecenie
Aktywność aplikacji z podmenu Raporty, które znajduje się w menu
Widok.
Na ekranie pojawi się okno Raporty przełączone na zakładkę Aktywność
aplikacji (patrz Rys. 51). Raport zawiera następujące informacje:
• Data i czas – data i czas wystąpienia zdarzenia;
• Aplikacja – nazwa aplikacji połączonej ze zdarzeniem oraz pełna ścieżka
do pliku wykonywalnego;
• Opis aktywności – informacje dotyczące aktywności aplikacji;
• Adres lokalny – adres lokalny;
• Adres zdalny – adres zdalny.
Lista zdarzeń może być posortowana wyłącznie według daty i czasu.
Kaspersky Anti-Hacker
82
Rys. 51. Zakładka raportu Aktywn ość aplikacji.
7.2.3.3. Raport Filtrowanie pakietów
Raport Filtrowanie pakietów zawiera informacje o zdarzeniach dotyczących
filtrowania pakietów. Zapisywane są jedynie informacje o tych zdarzeniach, dla
których odpowiednia reguła definiuje zapisywanie informacji
w raporcie (patrz podrozdział 6.4.2.2 na stronie 65).
Aby wyświetlić raport Filtrowanie pakietów należy wybrać polecenie
Filtrowanie pakietu z podmenu Raporty, które znajduje się w menu
Widok.
Na ekranie pojawi się okno Raporty przełączone na zakładkę Filtrowanie
pakietów (patrz Rys. 52). Raport zawiera następujące informacje:
• Data i czas – data i czas wystąpienia zdarzenia;
• Kierunek – typ pakietu: przychodzący lub wychodzący;
• Protokół – nazwa protokołu;
• Adres lokalny – adres lokalny;
• Adres zdalny – adres zdalny;
• Zastosowana reguła – nazwa użytej reguły.
Wpisy dla pakietów, które nie zostały zablokowane są czarne, natomiast dla
zablokowanych - czerwone.
Lista zdarzeń może być posortowana wyłącznie według daty i czasu.
Kaspersky Anti-Hacker 83
Rys. 52. Zakładka raportu Filtrowanie pakietów.
7.2.4. Definiowanie ustawień raportów
Aby zdefiniować ustawienia raportu należy wybrać polecenie
Ustawienia z menu Usługi i przejść do zakładki Raporty(patrz
Rys. 53).
Można zdefiniować wartości następujących dwóch opcji:
Wyczyść raporty podczas uruchamiania programu – jeśli jest
zaznaczona, wszystkie raporty będą czyszczone podczas uruchamiania
programu.
Ogranicz rozmiar raportu do (KB) – jeśli jest zaznaczona, rozmiar pliku
raportu będzie ograniczony. Maksymalny rozmiar należy określić w polu
tekstowym. Jeżeli rozmiar pliku osiągnie maksymalną wartość, nowe wpisy
będą zastępować stare.
Należy zauważyć, że powyższa opcja umożliwia zdefiniowanie
rozmiaru wyłącznie POJEDYNCZEGO pliku raportu. Obliczając
przestrzeń dysku przeznaczoną na program należy pamiętać, aby
pomnożyć przez trzy przestrzeń przeznaczoną na pojedynczy raport.
Kaspersky Anti-Hacker
84
Rys. 53. Okno dialogowe Ustawienia przełączone na zakładkę Raporty.
7.2.5. Zapisywanie raportu do pliku
Aby zapisać do pliku raport wskazany w oknie Raporty należy wybrać
polecenie Zapisz do pliku z menu Plik. W oknie, które pojawi się na
oknie należy określić jego nazwę. Raport zostanie zapisany w pliku jako
czysty tekst.
Kaspersky Anti-Hacker
DODATEK A.
DODATEK A. NAJCZĘŚCIEJ
DODATEK A. DODATEK A.
Jak sprawdzić czy błąd występujący podczas pracy komputera jest
spowodowany działaniem programu Kaspersky Anti-Hacker?
Należy tymczasowo wybrać poziom zabezpieczeń Brak lub wyładować
program Kaspersky Anti-Hacker z pamięci komputera i sprawdzić czy
sytuacja się zmieniła. Jeżeli ten sam błąd pojawia się ponownie, nie jest
on powiązany z programem Kaspersky Anti-Hacker. Jeżeli komputer
nie wyświetla żadnego błędu należy się skontaktować z działem
pomocy technicznej firmy Kaspersky Lab.
85
NAJCZĘŚCIEJ
NAJCZĘŚCIEJ NAJCZĘŚCIEJ
ZZZZADAWANE PYTANIA
ADAWANE PYTANIA
ADAWANE PYTANIAADAWANE PYTANIA
Kaspersky Anti-Hacker
DODATEK B.
DODATEK B. KASPERSKY LAB
DODATEK B. DODATEK B.
86
KASPERSKY LAB
KASPERSKY LAB KASPERSKY LAB
POLSKA
POLSKA
POLSKAPOLSKA
Informacje o firmie Kaspersky Lab
Polska
W przypadku pojawienia się pytań, komentarzy lub sugestii można je przesłać do
jednego z naszych dystrybutorów lub bezpośrednio do Kaspersky Lab. We
wszystkich sprawach związanych z naszym produktem można się kontaktować
za pośrednictwem telefonu i poczty elektronicznej. Wszystkie uwagi
i sugestie zostaną przeczytane i rozważone.
Pomoc
techniczna
Informacje
ogólne
WWW:
E-mail: support@kaspersky.pl
Tel./fax: (34) 368 18 14, 368 18 15, 367 12 20
WWW:
E-mail:
Tel./fax: (34) 368 18 14, 368 18 15, 367 12 20
http://www.kaspersky.pl/services.html?s=support
http://www.kaspersky.pl
info@kaspersky.pl
Kaspersky Anti-Hacker
87
Podręcznik zawiera jedynie najważniejsze informacje dotyczące pracy
z programem Kaspersky Anti-Hacker. Menu i inne informacje mogą różnić się
od opisanych w tym podręczniku. Spowodowane jest to ciągłym rozwojem
programu.
Loading...