home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 92 / NETVIR.CD < prev    next >
Text File  |  1995-09-17  |  14KB  |  235 lines
  1.       @VVírusos hálózatok@N
  2.  
  3.           A vírusokról eddig  megjelent írások csak  érintôlegesen
  4.       foglalkoztak a hálózatok fertôzéseivel. A hazánkban is egyre
  5.       terjedô  --  többnyire  Novell  Netware,  Netware  Lite   és
  6.       Lantastic -- rendszereket  fenyegetô veszélyeket nem  szabad
  7.       elhallgatnunk.
  8.           A hálózatokat veszélyeztetô vírustípusok elemzése  elôtt
  9.       hasznos,   ha   a   hálózatok   mûködését   közelebbrôl   is
  10.       megismerjük.
  11.           Mire  jó   egy  hálózat?   Pénzmegtakarításra?  Nem!   A
  12.       hálózatok a felhasználó munkavégzését könnyítik, gyorsítják,
  13.       az adatok és programok könnyebb elérését segítik. Párhuzamos
  14.       munkavégzést   tesznek   lehetôvé   osztott   erôforrásokkal
  15.       (háttértár,   nyomtató   stb.),   azaz   egyszerre    többen
  16.       dolgozhatnak  egy  adatbázisban, így  gyorsabb  a munka,  és
  17.       biztosítva van az adatbázis integritása.
  18.           A   hálózatok  alapkoncepciója   szerint  a   kiszolgáló
  19.       egységnek  (server)  több  munkaállomást  kell kiszolgálnia,
  20.       ezért célszerû, ha ez egy kategóriával gyorsabb gép, mint  a
  21.       munkaállomások.   A  Novell   hálózati  operációs   rendszer
  22.       lehetôséget  ad  arra, hogy  a  servert munkaállomásként  is
  23.       használják, bár ezt a  szakemberek nem javasolják --  hiszen
  24.       ha a  server gép  ""kiakad", akkor  egész hálózatunk  leáll.
  25.       Ezzel szemben ha egy munkaállomásunkkal van baj, akkor  csak
  26.       az  az egy  gép esik  ki a  munkából. Tehát  a  servert  nem
  27.       célszerû  munkaállomásként  használni! Åltalában  ezt  be is
  28.       tartják a hálózattelepítôk,  és a server  a ""non-dedicated"
  29.       módnak  megfelelôen  installálva  felhasználói munkavégzésre
  30.       nem használható.  Nem célszerû  két gépbôl  álló hagyományos
  31.       hálózatot kiépíteni,  ahol az  egyik gép  a server,  a másik
  32.       pedig a  munkaállomás, hacsak  nem tesztelési  célból hozzuk
  33.       létre.
  34.           Ha  hálózatról  beszélünk,  akkor  a  felhasználók  nagy
  35.       többségének a Novell jut eszébe. A PC-világ fejlôdése  során
  36.       több  hálózati  operációs rendszert  is  kifejlesztettek, de
  37.       egyik  sem  tudta  igazán  megingatni  a  Novell pozícióját.
  38.       80286-os gépeken Novell 2.xx hálózati operációs rendszer,  a
  39.       80386-os server gépeken már a Novell 3.xx is használható.
  40.           A vírusoknak két fô csoportját különböztethetjük meg.  A
  41.       file-vírusokat, amelyek  zömmel a  végrehajtható --  .EXE és
  42.       .COM   --   file-okat    fertôzik   meg,   és    úgynevezett
  43.       boot-vírusokat,   amelyek  az   operációs  rendszer   indító
  44.       file-jaiba  épülnek be.  Léteznek ""hibrid"  vírusok is,  de
  45.       ezek ismertetése túlmutat írásunk célkitûzésein.
  46.           Vizsgáljuk meg elôször a Novell 2.xx hálózati  operációs
  47.       rendszert. Indításakor elôször a server gépet kapcsoljuk be,
  48.       amely  betölti  a hálózati  operációs  rendszert (nincs  DOS
  49.       átmenet).  Mivel  a  legtöbb  esetben  a  felhasználók   nem
  50.       használják a servert  munkaállomásként -- igen  helyesen --,
  51.       ezt  az  esetet  tételezzük  fel  alapértelmezésként.  Ha  a
  52.       serveren floppyról töltünk be DOS-t, akkor semmilyen  file-t
  53.       nem látunk a merevlemezen,  mivel ezeket a Novell  speciális
  54.       formátumban    kezeli.    Lehetôségünk    van    a   hálózat
  55.       újrakonfigurálására. Ennek megfelelôen a serverbe helyezett,
  56.       file-vírussal  fertôzött  lemez  nem  fogja  megfertôzni   a
  57.       servert.  Viszont  ha boot-vírussal  (például  a Stoned-dal)
  58.       fertôzött lemezrôl  indítjuk a  server gépet,  az nagy  kárt
  59.       okoz.
  60.           A  Novell   2.xx  behúzó   programja  (boot   loader)  a
  61.       merevlemez  0.  sávján  helyezkedik  el,  amely  DOS   alatt
  62.       kihasználatlan.  A boot-vírusok  általában ide  rejtik el  a
  63.       lecserélt boot-programokat. Ha fertôzött floppyról  indítunk
  64.       DOS-t a serveren, a vírus nem különbözteti meg, hogy  önálló
  65.       PC-rôl, munkaállomásról vagy éppen Novell 2.xx serverrôl van
  66.       szó,  és úgy  mûködik, mintha  önálló PC-ben  aktivizálódna.
  67.       Ennek  megfelelôen  megváltoztatja a  boot-programot,  és az
  68.       eredetit áthelyezi a 0. sávra -- vagyis felülírja a  hálózat
  69.       betöltô  programját!   Ezt  követôen   a  hálózat   nem  tud
  70.       betöltôdni.  Sajnos  a legtöbb  esetben  ilyenkor újra  kell
  71.       telepíteni a  Novell hálózatot,  és a  serveren levô  adatok
  72.       elvesznek. Némi  ""varázslás" árán  helyreállítható lenne  a
  73.       server  betöltô-programja,  és így  elkerülhetnénk  a teljes
  74.       adatvesztést, ehhez azonban alaposan ismerni kell a  hálózat
  75.       és az adott vírus mûködését.
  76.           Mi a megoldás? Célszerû a serveren mindennemû munkát  és
  77.       lemezcserét  mellôzni.  A  server nem  arra  való,  hogy ott
  78.       próbálkozzunk.
  79.           A  Novell  Netware  3.xx  operációs  rendszert  80386-os
  80.       processzorú serverekre fejlesztették ki. A mi szempontunkból
  81.       a   két   hálózati   operációs   rendszerben   a    serveren
  82.       aktivizálható vírusoknál  van eltérés.  Az 3.xx-nél  elôször
  83.       DOS-t  töltjük  be, majd  csak  ezt követôen  indítjuk  el a
  84.       hálózati operációs  rendszert. îgy  a servert  is meg  lehet
  85.       fertôzni  ""hagyományos"  módszerekkel.  Akár  boot-,   akár
  86.       file-vírus  kerül  a  serverre,  a  servert  ugyanúgy   kell
  87.       kezelni,  mintha  önálló  PC  lenne.  A  3.xx  rendszer   --
  88.       betöltôdése   utáni   --   funkcionális   mûködése  teljesen
  89.       megegyezik a 2.xx verzióéval. File-vírusok fertôzése itt  is
  90.       a   munkaállomásokon   keresztül  terjedhet   át   a  Novell
  91.       partícióra.
  92.           A  munkaállomások bizonyos  szempontból hasonlítanak  az
  93.       önálló    PC-kre.    Boot-    és    file-vírusok    egyaránt
  94.       megfertôzhetik. A  boot-vírusok a  munkaállomásokon ugyanúgy
  95.       mûködnek,  mint  az önálló  PC-ken,  mivel a  munkaállomások
  96.       elôször DOS-ról ""állnak  fel". A vírusok  ennek megfelelôen
  97.       élik világukat, és  a munkaállomás merevlemezét,  illetve az
  98.       ide  behelyezett  floppykat  megfertôzik.  Boot-vírust  csak
  99.       floppyn  vihetünk  át egyik  munkaállomásról  a másikra.  Ez
  100.       magyarázatot  ad  arra,  hogy  a  munkaállomásról  miért nem
  101.       fertôzhetjük  meg  boot-vírussal a  servert  vagy egy  másik
  102.       munkaállomást.
  103.           A  file-vírusok is  ugyanúgy viselkednek,  mint a  szóló
  104.       PC-ken.  Ha  a munkaállomásról  betöltünk  egy file-vírussal
  105.       fertôzött programot, a  bacigazda betöltôdik a  munkaállomás
  106.       memóriájába,  és  ott  indul el.  Elôször  a  vírus hajtódik
  107.       végre,  majd az  eredeti program.  Tehát a  file-vírus is  a
  108.       munkaállomáson aktivizálódott,  nem a  serveren. Ha  a vírus
  109.       memóriarezidens, akkor a  munkaállomás memóriájába ül  be. A
  110.       file-vírusok  a  munkaállomásról  fertôzik  meg  a   lokális
  111.       merevlemezeket és a hálózati serveren elérhetô  programokat.
  112.       Ha  ezt  követôen  egy  másik  munkaállomáson  elindítjuk  a
  113.       serveren megfertôzôdött programok  egyikét, az betöltôdik  a
  114.       másik  munkaállomás  memóriájába  és  ott  végrehajtódik  --
  115.       elsôként a vírus, majd a program kódja. A file-vírusok tehát
  116.       vígan terjednek a hálózaton keresztül.
  117.           A  hozzáférésvédelmi  rendszereket  éppen  úgy,  mint  a
  118.       másolásvédelmek    többségét    szintén    szétzilálják    a
  119.       file-vírusok, amikor módosítják  a védelmi rendszerek  egyes
  120.       file-jait. Ez mind  a Novell, mind  pedig az önellenôrzô  és
  121.       másolásvédelemmel   ellátott   rendszerek   esetén   gyakori
  122.       probléma.
  123.           Amennyiben a file-vírus  a bejelentkezô LOGIN  programot
  124.       támadja  meg,  (hasonlóan  az  önálló  PC  COMMAND.COM-jának
  125.       fertôzôdéséhez) minden programunk veszélyben van.
  126.  
  127.  
  128.       @VVédekezés@N
  129.  
  130.           Miután számbavettük  a fertôzési  lehetôségeket, térjünk
  131.       át a védekezésre!  A védekezési módszereknek  több csoportja
  132.       van, s ezek akár kombinálhatók is.
  133.           Az   elsô,   kézenfekvônek   tûnô   megoldás   az,  hogy
  134.       kiszereljük a floppymeghajtókat  a munkaállomásokból. Ez  --
  135.       sajnos -- csak részben oldja meg a kérdést. Nem véd  ugyanis
  136.       a szándékos fertôzéstôl,  hiszen még így  is be lehet  vinni
  137.       vírust  a  rendszerbe.  És  még  a  gyanú  sem  terelôdhet a
  138.       felhasználóra,  hiszen neki  nincs floppymeghajtója.  Hogyan
  139.       hozza létre az ""ügyes" felhasználó a vírust? Hadd ne adjunk
  140.       most    tippeket.    Akit   érdekel,    olvashat    róla   a
  141.       számítástechnikai lapok egyre bôvülô vírus rovataiban.
  142.           Egy másik lehetôséget ad a Novell hálózatok @Ksystem login
  143.       @Kscript@N file-ja (rendszerindítást leíró file), amely -- a DOS
  144.       AUTOEXEC.BAT  állományához   hasonlóan  --   kézbentartja  a
  145.       rendszer  indulását. Ebbe  beleépíthetjük vírusellenôrzô  és
  146.       fertôzésmegelôzô   programjainkat.   Ha   a    rendszergazda
  147.       megfelelôen osztja ki a hozzáférési jogokat, csökkentheti  a
  148.       fertôzésveszélyt.
  149.           A  floppymeghajtók  kiszerelése  együtt  jár úgynevezett
  150.       boot EPROM-ok hálózati kártyákba való beültetésével.  Néhány
  151.       forgalmazó a  boot EPROM  tartalmát file-ban  tárolja, és  a
  152.       felhasználó igényének megfelelôen akkor égeti be, amikor  az
  153.       megveszi tôle. Ez csak  EPROM, EPROM-égetô és címke  kérdése
  154.       --  nem  több.  Magyarországon  megtörtént,  hogy  egy ilyen
  155.       forgalmazó vírusfertôzést kapott, a boot EPROM-okba beégette
  156.       a szükséges  tartalmat, s  ezt követôen  panaszkodott csak a
  157.       felhasználó:  ha   bejelentkezik  a   hálózatba,  elvész   a
  158.       munkaállomás  merevlemezének  tartalma.  Az  ilyen   jellegû
  159.       vírusokat a legnehezebb felfedezni, és ellenük gyakorlatilag
  160.       lehetetlen védekezni.
  161.           Ha az @KA:@N egységbe valaki floppyt helyezett, akkor a boot
  162.       EPROM be  sem jelentkezik,  tehát csak  a merevlemezrôl való
  163.       rendszerindítást ""fogta  meg". Ennek  megfelelôen, ha  boot
  164.       EPROM-unk van  a hálózati  kártyában, és  a floppymeghajtóba
  165.       vírusos lemezt tettek, akkor a vírus szempontjából  teljesen
  166.       közömbös, hogy  azt merevlemezrôl  vagy floppyról  töltöttük
  167.       be.  Ha a  felhasználó nem  helyez floppyt  az @KA:@N  egységbe,
  168.       akkor  bejelentkezik a  boot EPROM  és megkérdezi,  hogy  be
  169.       akarunk-e lépni a hálózatba vagy sem. Határozott igen válasz
  170.       ([Y]) esetén a boot EPROM bejelentkezik a hálózatba, de  ezt
  171.       követôen a lokális egységeink is elérhetôk. Ha a boot  EPROM
  172.       kérdésére  nemleges  választ ([N])  adunk,  akkor ""elengedi
  173.       azt, amit megfogott", és a munkaállomás merevlemezérôl tölti
  174.       be az  operációs rendszert.  A @Knem@N  válasz nem  azt jelenti,
  175.       hogy a munka során soha többé nem akarunk a hálózatba lépni,
  176.       hanem azt, hogy most, induláskor nem. îgy ha késôbb mégis be
  177.       akarunk  jelentkezni  a   hálózatba,  akkor  csak   el  kell
  178.       elindítani az ehhez szükséges programokat (IPX, NETx).
  179.           A  boot  EPROM   problémáját  csak  azért   részleteztem
  180.       ennyire, mivel néhányan ebben a megoldásban látják  hálózati
  181.       vírusmentességüket,  ami --  sajnos --  nem igaz.  Ha  marad
  182.       floppymeghajtó, akkor  a helyzet  ugyanaz, mintha  nem lenne
  183.       boot  EPROM,  azzal  a  különbséggel,  hogy  a  bejelentkezô
  184.       programjaink  nem  lehetnek vírusosak.  Ha  már mindenképpen
  185.       boot  EPROM-ot   akarunk  használni,   akkor  vegyük   ki  a
  186.       floppymeghajtót.  Ez  olcsóbb  és  hatásosabb  megoldás.  Ha
  187.       esetleg mégis szükségünk van floppymeghajtóra, akkor a  boot
  188.       EPROM semmilyen vírusvédelmet nem ad számunkra.
  189.           A    víruskeresô   programokat    a   hálózati    server
  190.       ellenôrzéséhez a munkaállomásról futtatjuk, nem a serverrôl.
  191.       Ha  merevlemezünk  is  van  a  munkaállomáson,  elôször  ezt
  192.       ellenôrizzük  le,  különös  figyelmet  fordítva  a hálózatba
  193.       bejelentkezô programokra!  Második lépésként  indítsuk el  a
  194.       hálózati szoftvereket (IPX, NETx), de csak addig, hogy az @KF:@N
  195.       meghajtón a LOGIN, LOGOUT  parancsokat is lássuk! Ezeket  is
  196.       ellenôrizzük le vírusmentesség szempontjából, és csak ezután
  197.       jelentkezzünk be a hálózatba! (Elôfordult olyan eset, hogy a
  198.       LOGIN  program  fertôzött  volt,  és  emiatt  nem  tudott  a
  199.       felhasználó  belépni  a hálózatba.)  Amikor  ezeken már  túl
  200.       vagyunk, akkor ellenôrizzük le a munkaállomásról a servert!
  201.           Sokan  megkérdezik,  hogy mi  a  különbség a  SCAN  és a
  202.       NETSCAN  között?  Nem  sok.  A  Novell  server boot-szektora
  203.       speciális, a  munkaállomásról nem  vihetünk át  boot-vírust,
  204.       ezért  a  NETSCAN  nem  ellenôriz  boot-szektort  a hálózati
  205.       serveren. A SCAN program  a boot-szektort be akarja  olvasni
  206.       -- és itt kiszenved. A két esetet meg lehetett volna  oldani
  207.       egy programmal is, de McAfee úgy döntött, hogy két programot
  208.       készít. Más víruskeresô programok -- például a PcScan  (Safe
  209.       Kft.) --, ezt egy menetben oldják meg, és nem tesznek  ilyen
  210.       értelemben különbséget  merevlemez és  merevlemez között.  A
  211.       HtScan program külön opciót kínál a boot-szektor  átlépésére
  212.       (@KS  =   Skip  boot   sector@N  --   lépd  át   a  boot-szektor
  213.       ellenôrzését). A NAV és  a CPAV sem foglalkozik  azzal, hogy
  214.       milyen  merevlemezt  kell vizsgálnia.  Egyszerûen  elvégzi a
  215.       munkáját.
  216.           Tanulságként  azt  vonhatjuk  le,  hogy  a  hálózatot  a
  217.       munkaállomásokon   keresztül   kell   megvédeni,   hiszen  a
  218.       programok itt hajtódnak végre. A víruskeresô/ölô programokat
  219.       munkaállomásokról indítjuk, de a vírusok is ezekrôl fertôzik
  220.       meg  a servert.  Tehát a  serveren alkalmazott  védelem  nem
  221.       megoldás  a  vírusproblémára, habár  az  ár szempontjából  a
  222.       felhasználók  mindig  a  kevesebb  védelmet  (pénzt)  veszik
  223.       figyelembe. A Thunderbyte, a  Virus Guardian és a  Top Guard
  224.       vírusvédô kártyák is a munkaállomáson keresztül védik meg  a
  225.       servert. Ez nem anyagi kérdés, hanem a hálózatok mûködésébôl
  226.       következô megoldás.
  227.           A  CHIP  tavaly  decemberi  száma  foglalkozott  az idén
  228.       várható vírusterméssel és  az ismert vírusok  aktivizálódási
  229.       dátumaival.  Az  a véleményünk,  hogy  mindenki dolgozzon  a
  230.       számítógépén, de ha  biztos akar lenni  a dolgában, nem  árt
  231.       valamilyen   víruskeresôvel    gyakran   leellenôriznie    a
  232.       rendszerét.
  233.  
  234.       @Kdr. Szegedi Imre@N
  235.