Вирусы и средства борьбы с ними
         

Антивирусы для CheckPoint Firewall


Большое количество антивирусов для CheckPoint Firewall объясняется с одной стороны тем, что этот брандмауэр является одним из наиболее распространенных, а с другой стороны тем, что компания CheckPoint, осознавая важность антивирусной защиты, пошла навстречу производителям антивирусов и разработала протокол CVP (Content Vectoring Protocol), позволяющий передавать на проверку объекты, проходящие через брандмауэр CheckPoint Firewall в составе Интернет-трафика.

В связи с тем, что для интеграции функций проверки используются не плагины - модули, встраивающиеся в продукт, а протокол передачи данных, антивирус может устанавливаться на любой сервер, а не обязательно на сам брандмауэр. Такой подход позволяет существенно повысить гибкость решения, а также, в некоторых случаях, и производительность.

Как и все рассмотренные ранее виды антивирусов для шлюзов, антивирусы для CheckPoint Firewall могут проверять данные, передаваемые по трем протоколам:

HTTPFTPSMTP

Для проверки каждого из потоков, создается правило на сервере CheckPoint Firewall, в котором указывается тип трафика и адрес сервера выполняющего проверку. При этом, в разных правилах можно указывать разные сервера проверки.

Такой принцип интеграции позволяет построить различные схемы проверки трафика.

В общем случае антивирус устанавливается на отдельный сервер и принимает от брандмауэра Firewall-1 перенаправленные потоки, проверяет их, и возвращает назад на брандмауэр.


Рис. 5.6.  Использование параллельно установленного сервера антивирусной проверки

Такой подход позволяет абстрагироваться от используемой на сервере Firewall-1 операционной системы.

Пример. Антивирус Касперского для CheckPoint Firewall устанавливается только на компьютеры под управлением Microsoft Windows NT-подобных ОС, тогда как CheckPoint Firewall-1 может быть установлен также и на ОС Linux и Solaris. Передача данных для проверки на другой сервер позволяет интегрировать антивирусную проверку в CheckPoint Firewall-1, установленный на любой платформе


Если же CheckPoint Firewall- 1 установлен на ОС Windows NT/2000, то антивирус можно будет установить на этот же сервер. Принцип интеграции остается тот же - брандмауэр пересылает данные на CVP-порт, используемый антивирусом для приема данных. Разница лишь в том, что поток данных не выходит за пределы сервера, что безусловно повышает нагрузку на сервер, но позволяет обойтись без дополнительных компьютеров.


Рис. 5.7.  Установка антивируса на сервер брандмауэра

Если в организации используется несколько брандмауэров CheckPoint Firewall-1 (например, чтобы защитить нескольких независимых каналов доступа в Интернет), для проверки проходящего через них трафика не обязательно использовать такое же количество антивирусных серверов - все брандмауэры могут быть настроены на использование общего сервера антивирусной проверки.


Рис. 5.8.  Использование одного антивирусного сервера для проверки потоков от нескольких брандмауэров

Разумеется, при использовании одного антивирусного сервера для проверки трафика, поступающего от нескольких брандмауэров, этому серверу потребуется выделить дополнительные аппаратные ресурсы.

В качестве альтернативы увеличения мощности сервера антивирусной проверки, можно использовать различные сервера для проверки различных типов трафика - HTTP, FTP, SMTP. Для этого достаточно указать на брандмауэре в настройках правил пересылки FTP, HTTP и SMTP данных различные антивирусные сервера.


Рис. 5.9.  Использование различных антивирусных серверов для проверки различных потоков

Преимущество такой организации проверки - распределение нагрузки между антивирусными серверами. Недостаток - необходимость в использовании нескольких серверов для антивирусной проверки.


Антивирусы для Microsoft ISA Server


В том, что многие производители антивирусов выпускают продукты для Microsoft ISA Server ничего удивительно быть не может. Решения компании Microsoft традиционно являются наиболее широко используемыми на платформе Microsoft.

Как правило, когда речь идет об интеграции, базовое приложение обладает определенными инструментами для взаимодействия со сторонними программами. Так же ситуация обстоит и с Microsoft ISA Server, в котором предусмотрен механизм плагинов, с помощью которых антивирусы и интегрируются в продукт. Такой способ интеграции подразумевает, что антивирусное решение устанавливается на тот же компьютер, что и Microsoft ISA Server. С одной стороны это означает меньшую гибкость решения, с другой - большую простоту в установке и настройке.

Как и универсальные антивирусы для шлюзов, антивирусы для Microsoft ISA Server могут проверять данные, передаваемые по таким протоколам, как:

HTTPFTPSMTP

При этом разные производители отдают предпочтение различным протоколам. Есть решения которые предназначены только для проверки HTTP-трафика. Есть предназначенные для проверки данных по протоколам HTTP и SMTP.

Пример. Антивирус Касперского для Microsoft ISA Server способен проверять данные, поступающие на сервер по протоколам HTTP и FTP. Функций проверки почтового трафика продукт не имеет.

Другим важным аспектом совместного функционирования Microsoft ISA Server и антивируса является зависимость от режима использования Microsoft ISA Server. Как известно, Microsoft ISA Server может быть установлен в одном из трех режимов:

Firewall — режим брандмауэра, обеспечивающий безопасность сети путем применения пакетных фильтров, правил обработки трафика и т.д.Cache — режим прокси-сервера, включающий кэширование веб-страниц и поддержку веб-хостингаIntegrated — режим, объединяющий первые два

Соответственно в различных режимах интеграция с Microsoft ISA Server происходит по разному и возможности антивирусной проверки также будут разными.

Пример. В Антивирусе Касперского для Microsoft ISA Server реализовано три фильтра для проверки обрабатываемых на шлюзе данных:


HTTP-фильтрFTP-фильтрВеб-фильтр

Первые два фильтра ориентированы на интеграцию с Microsoft ISA Server в режиме Firewall, веб-фильтр предназначен для проверки данных, передаваемых через Microsoft ISA Server в режиме Cache. Исходя из назначения фильтров, их использование в различных режимах работы Microsoft ISA Server будет следующим:

Фильтр / РежимCacheFirewallIntegrated
HTTP-фильтр-+-
FTP- фильтр-++
Веб-фильтр++*+
* По умолчанию в режиме Firewall веб-фильтр отключен, т. к. считается, что клиенты не используют ISA-сервер в качестве прокси и веб-трафик проверяется HTTP-фильтром. Если же в настройках Интернет-агентов (браузеров) на клиентах в качестве прокси-сервера указан адрес ISA-сервера, веб-фильтр можно включить. При этом желательно отключить использование HTTP-фильтра во избежание двойной проверки.

Отсутствие HTTP-фильтра в режиме Integrated объясняется тем же - нежелательностью двойной проверки.


Антивирусы для шлюзов, основанные на интеграции


Рассматривая интеграцию антивирусов с брандмауэрами нельзя абстрагироваться от того, какие это брандмауэры, поскольку возможности интеграции и соответственно часть функционала антивирусного решения будут зависеть от возможностей самого брандмауэра.

Можно априори предположить, что далеко не для всех брандмауэров существуют антивирусные решения. Более того, можно предположить, что такие решения имеются только для наиболее широко используемых брандмауэров. Так оно и есть на самом деле. Из всех антивирусов, интегрирующихся с брандмауэрами, можно выделить два класса программ:

Антивирусы для Microsoft Internet Security and Acceleration Server (Microsoft ISA Server)Антивирусы для CheckPoint Firewall-1 (VPN-1)

Их имеет смысл рассмотреть отдельно.



Диагностика


Основным средством диагностики шлюзового антивируса являются журналы работы. Как правило, это обычные текстовые файлы, куда записывается вся информация о происходящих событиях, в частности о проверенных объектах, результатах проверки и выполненных действиях. Журналы позволяют администратору антивирусной безопасности провести анализ событий и, например, выяснить источник и обстоятельства проникновения вируса в сеть, или же причины неполадок другого рода.

Кроме журналов событий, антивирус для шлюза должен иметь возможность уведомить пользователя и администратора о том, что имела место попытка загрузить зараженный объект. Для оповещения пользователей обычно используется подмена загружаемого объекта html-страницей с текстом уведомления. Для уведомления администратора используются сообщения электронной почты.

Наконец, часто есть необходимость выяснить причины низкой производительности антивируса для шлюзов. Для этого удобно использовать счетчики производительности, отображающие в реальном времени:

Количество обработанных объектовКоличество инфицированных объектовКоличество составных объектовКоличество ошибокИ т. п. показатели

Реализация подобной функциональности обычно базируется на стандартном средстве мониторинга производительности в Windows NT-подобных системах - Performance Monitor.



Другие реализации


На рынке антивирусных систем защиты для шлюзов кроме программных систем встречаются также и аппаратные. Впрочем, при ближайшем рассмотрении оказывается, что предлагаемое компанией-производителем аппаратное решение является ничем иным, как программным решением этого же производителя, предустановленным на стандартный сервер.

Преимущество таких систем в том, что они поставляются фактически в конфигурации "под ключ", нуждаясь только в детализации данных о сетевом окружении. Стандартное же программное решение является, по сути, комплектом "сделай сам" и может быть подвержено проблемам совместимости, невыполнения системных требований, некорректной установки.



Эксплуатационные характеристики


Как и любая программа, помимо профилирующих характеристик, антивирусный комплекс для шлюза должен удовлетворять определенным требованиям к условиям эксплуатации. В частности, в контексте антивирусов, важными являются такие характеристики как:

УправлениеОбновлениеДиагностикаПроизводительность



Обновление


Обновление антивируса для шлюзов осуществляется штатными средствами обновления и, как правило, поддерживает следующие источники:

HTTP-сервераFTP-сервераЛокальные или сетевые папки

Каких-либо особенностей здесь нет. Средства обновления во всех распространенных антивирусах для шлюзов обеспечивают необходимый минимум функций:

Возможность указать источник обновленияВозможность выполнять обновление вручнуюВозможность выполнять обновления автоматически по расписанию

Поскольку антивирусы для шлюзов обычно являются обособленными средствами защиты, вопрос о какой-то специальной системе обновления для них не стоит. Тем не менее, если эти антивирусы включаются в централизованную систему администрирования, они могут использовать и централизованную систему обновления.

Немного особняком стоит вопрос об обновлении нескольких экземпляров антивирусов для Microsoft ISA Server, в случае установки на массив серверов.

Пример. Если Антивирус Касперского для Microsoft ISA Server установлен на массив серверов, то для обновления антивирусов на всех серверах массива можно использовать функцию ретрансляции. Для этого выбирается один из серверов массива, на котором антивирус будет обновляться через Интернет (или из другого источника) и распространять обновления на другие сервера массива. Для распространения обновлений штатно предусмотрен режим использования общей папки Windows



Общие сведения


Как известно из предыдущего материала первый уровень комплексной системы антивирусной защиты - это уровень защиты шлюзов.

В этом названии кроется неточность, которая может ввести в заблуждение. Формулировка "уровень защиты шлюзов" способна навести на мысль, что основной задачей антивирусов, предназначенных для использования на этом уровне, является защита самого шлюза от воздействия вредоносных программ. Это не так. Ни операционную систему шлюза, ни программное обеспечение, выполняющее шлюзовые функции антивирус для шлюзов не защищает.

Задача антивируса установленного на шлюзе в другом — не допустить проникновения вирусов вовнутрь сети через поток данных Интернет.

Здесь может возникнуть вопрос — зачем нужен антивирус, который, по сути, ничего не защищает? Ведь есть антивирусы для файловых серверов и рабочих станций, которые установлены непосредственно на компьютерах сети и призваны защищать от всех существующих вирусных угроз.

Дело в том, что ни одна защита не бывает абсолютной. Это связано даже не с фундаментальными результатами математиков, а с тем что надежность и эффективность антивирусного средства зависит от множества факторов - программного окружения, действий пользователя, настроек и т. д. Можно описать целый ряд ситуаций, при которых однажды установленный на компьютер антивирус оказывается частично или полностью неэффективным в борьбе с вредоносными программами:

Простейшая ситуация — пользователь посчитал, что антивирус препятствует нормальной работе приложений и отключил постоянную защиту (либо полностью отключил антивирус, либо вовсе его деинсталлировал). Можно много говорить о том, что такие действия пользователя можно предотвратить техническими и административными мерами, но на практике очень часто рядовые пользователи имеют права администратора на своих компьютерах: в такой ситуации помешать пользователю вывести из строя антивирус технически невозможноПроизошел сбой в работе антивируса — так тоже случается, иногда из-за ошибок в антивирусе, иногда - по причине конфликтов с программным обеспечением третьих производителей, которое было неосмотрительно установлено на компьютере (например, тем же пользователем с правами локального администратора)Антивирусные базы устарели — даже при нормально работающем антивирусе могут возникать ситуации, когда антивирусные базы в течение какого-то времени будут в значительной мере устаревшими.
Например, если пользователь компьютера заболел или ушел в отпуск, компьютер будет выключен на протяжении одной - двух недель и после включения антивирусные базы на нем будут устаревшими и значит неэффективными в борьбе с относительно свежими угрозами. Поскольку обновление происходит, обычно, в соответствии с определенным расписанием, между в включением компьютера и обновлением антивирусных баз может пройти от нескольких часов до нескольких дней, и в этот период защита компьютера будет неэффективной.

Можно сказать, что каждый из приведенных сценариев маловероятен. Но если рассматривать достаточно большую сеть, то вероятность того, что хотя бы один из компьютеров в какой-то из моментов времени окажется незащищенным существенно возрастает и с ней уже приходится считаться. И если ничто не будет мешать проникновению вредоносных программ из Интернет, это будет означать, что существует немалая вероятность заражения одного из компьютеров сети.

Поэтому кроме обеспечения защиты самих компьютеров, крайне важно максимально ограничить количество проникающих в сеть вредоносных программ, чтобы временная неэффективность защиты на отдельных узлах не превращалась в серьезную угрозу безопасности.

Здесь можно отметить, что все перечисленные ситуации, при которых оказывается отключенным антивирус или не обновленными - антивирусные базы, действительно способны представлять угрозу только в больших сетях. Во-первых, вероятность реализации каждой из описанных возможностей достаточно мала и становится существенной только на фоне большого количества компьютеров, в малых сетях эти вероятности так и остаются несущественными.

Во-вторых, возникновение подобных ситуаций должно отслеживаться администратором антивирусной безопасности. В крупных сетях хотя бы на то, чтобы добраться до проблемного компьютера, может потребоваться значительное время, в течение которого уровень защиты сети не может считаться приемлемым. В малых сетях, напротив, все компьютеры на виду и легко доступны, что позволяет администратору антивирусной безопасности вовремя реагировать на возникающие проблемы.

Таким образом, антивирус для шлюза - это первый уровень защиты на пути проникновения вирусов в сеть организации, основная задача антивируса - помешать проникновению вирусов вовнутрь сети, снижая вероятность заражения компьютеров. Антивирус для шлюзов более эффективен и даже необходим при защите крупных сетей. В малых сетях его относительная полезность в обеспечении общей безопасности несколько ниже.

Впрочем, принимая во внимание, что в малых сетях далеко не всегда есть не то что администратор антивирусной безопасности, а штатный администратор вообще, использование антивируса на шлюзе будет не лишним и в этом случае.

Далее в этой главе будут рассмотрены:

схемы защиты сети с использованием антивируса для шлюзовосновные требования к антивирусам такого классавирусные угрозы от которых могут и не могут защитить шлюзовые антивирусыособенности эксплуатации антивирусов для шлюзов: управление, обновление, диагностика


Особенности архитектуры


С самого начала нужно отметить одну особенность реализации большинства (во всяком случае, всех наиболее распространенных) антивирусов для шлюзов - они используют то же антивирусное ядро, что и другие антивирусные продукты тех же производителей. Иными словами - технология проверки на шлюзе ничем не отличается от технологии проверки на рабочей станции или файловом сервере - применяются те же алгоритмы и антивирусные базы.

Это означает, что проверяемыми объектами в антивирусе для шлюзов будут файлы. Сперва эти файлы вычленяются из потока данных, затем они проверяются, и по результатам проверки поток либо пропускается дальше, либо блокируется. Некоторые антивирусы обладают возможностью самостоятельно генерировать поток для того, чтобы заменить поток с зараженным файлом на поток с вылеченным файлом, т. е. такие антивирусы поддерживают лечение.

Преимущества использования универсального (общего для всех продуктов) ядра очевидны. Для производителя это сокращение времени на разработку новых баз и как следствие возможность выпускать их чаще, что повышает скорость реакции на новые угрозы. Для пользователя - возможность сократить трафик обновления и возможность косвенной проверки антивирусного решения: если вирус обнаруживается антивирусом для рабочих станций, он будет обнаруживаться антивирусом для шлюзов, и наоборот.

Впрочем, есть и существенные недостатки. Как известно, не все вирусы распространяются в виде файлов. Ряд очень известных эпидемий был вызван вирусами, которые вообще не существуют в форме файлов: CodeRed и Slammer распространялись (а Slammer и по сей день относится к категории живых, "in the wild", вирусов) путем прямой атаки на переполнение буфера в уязвимых службах, код этих вирусов хранился в специально сформированных пакетах данных. Ко всему прочему эти пакеты не являлись HTTP, FTP или SMTP пакетами, а относились к более низким уровням иерархии протоколов.

Таким образом, против "бестелесных" червей типа Slammer антивирусы для шлюзов бессильны.
Аналогично и попытки заражения червями типа Lovesan и Sasser останутся незамеченными многими антивирусами для шлюзов, так как используют прямые атаки на службы Windows и эти атаки идут не по протоколам HTTP, FTP, SMTP. В дальнейшем, правда, для загрузки собственных файлов на атакуемый компьютеров, указанные черви и им подобные используют FTP протокол, который проверяется далеко не всеми антивирусами для шлюзов. Имеющийся архитектурный недостаток не превращается в серьезную проблему только потому, что существование шлюза само по себе ограждает рабочие станции сети от прямых вирусных атак извне - при любой мало-мальски разумной организации шлюза прямой доступ к внутренним станциям из Интернета запрещен.

Есть у "файлоцентричности" проверки и другие недостатки. В частности, чтобы проверить загружаемый пользователем файл, антивирусу потребуется дождаться окончания загрузки файла, выполнить проверку и после этого отдать (или не отдать) файл пользователю. Отдавать файл до окончания проверки, очевидно, нельзя - это полностью нивелирует факт наличия антивируса на шлюзе. Однако проверка (да и ожидание загрузки) файла происходит не мгновенно и из-за этого Интернет-агент пользователя (браузер, менеджер загрузок, почтовый клиент) может выдать ошибку превышения ожидания. Вероятность возникновения такой ошибки весьма велика, что означает заметные неудобства для пользователей при работе с Интернет. Для решения этой проблемы в антивирусах для шлюзов применяют специальные приемы.

Пример. В Антивирусе Касперского для Microsoft ISA Server и в Антивирусе Касперского для CheckPoint Firewall, с целью избежать ошибки превышения времени ожидания на клиентах, применяется технология удержания не файла целиком, а лишь его части. Таким образом, по мере ожидания полной загрузки файла на шлюз, антивирус до определенного момента передает пользователю части этого файла. После чего прекращает передачу, дожидается загрузки окончания файла, и если файл чистый, продолжает передачу, в противном случае - разрывает соединение.



При этом, естественно, существует опасность, что загруженная пользователем часть файла вмещает достаточное количество данных для того, чтобы быть запущенной и выполнить вредоносный код. Например, в удержанной антивирусом части файла могут быть только ресурсы программы, которые не необходимы для запуска и используются на более поздних этапах работы загружаемой программы.

Понятно, что чем большая часть файла будет удержана, тем меньше вероятность того, что вирус будет активирован, и тем большая - того, на клиенте возникнет ошибка превышения времени ожидания. В связи с этим величина удерживаемой части не является жестко заданной и может быть изменена в настройках. Поиск оптимального компромисса между удобством работы и качеством защиты возлагается на администратора антивирусной безопасности.

Второй важный момент, связанный с работой антивирусов для шлюзов, состоит в том, что для проверки файла, он должен быть загружен на шлюз целиком, причем в рамках одного соединения. Ни брандмауэр, ни антивирус для шлюзов не производят анализ [возможно] разнесенных во времени потоков данных на предмет - не содержат ли они разные части одного и того же файла. Таким образом, для того, чтобы вирус в файле был обнаружен, передаваемая в рамках одного соединения часть этого файла должна содержать вирус целиком.

Из указанного требования к условиям обнаружения вируса непосредственно следует, что существует вероятность проникновения вируса на компьютер, если зараженный файл загружается в несколько этапов либо в несколько потоков и при этом вирус не оказался целиком ни в одной из частей файла.

Пример. Зная об описанной уязвимости, в Антивирусе Касперского для CheckPoint Firewall по умолчанию отключена поддержка загрузки файлов по частям. В связи с этим у пользователей могут возникнуть неудобства, т.к. загрузка файлов в несколько потоков и даже просто дозагрузка файла в случае обрыва соединения будут невозможны. Поиск баланса между удобством и безопасностью, как и прежде, является задачей администратора

Некоторые антивирусы для шлюзов и вовсе не поддерживают возможность загрузки файлов по частям, полностью устраняя уязвимость, но гарантированно создавая неудобства.

Других серьезных архитектурных недостатков у антивирусов для шлюзов нет. А из архитектурных особенностей важно отметить тот факт, что для проверки используются только антивирусное ядро и антивирусные базы, что подразумевает применение только сигнатурного и эвристического анализа для поиска вредоносных программ. Метод поведенческого анализа не используется.

Также стоит упомянуть, что по понятным причинам защищенный трафик (HTTPS) антивирусом для шлюзов проверен быть не может. Если бы это было не так, HTTPS-трафик с трудом можно было бы считать защищенным.


Предотвращаемые угрозы


Угрозы, с которыми антивирусы для шлюзов справляются плохо или не справляются вовсе, выяснены. С какими же угрозами антивирусы для шлюзов справляются хорошо?

Во-первых, антивирус для шлюза способен предотвратить загрузку зараженного файла с FTP-севера или веб-сайта. Уже давно не новой является технология распространения червей или троянов, когда пользователь получает сообщение (по почте или по другим каналам), содержащее не сам вредоносный файл, а ссылку на веб-сайт, где этот файл расположен. Антивирус на шлюзе предотвращает загрузку вредоносных файлов, как санкционированную, так и нет.

Пример. При этом есть и ограничения. В частности, если загружается архив, защищенный паролем, антивирус на шлюзе не сможет проверить такой архив. Кроме этого, проверка архивов и вообще составных файлов, как правило, занимает относительно большое время, увеличивая вероятность ошибки превышения времени ожидания на клиенте. Тем не менее, в связи с растущей тенденцией распространения червей в заархивированном виде, отключать проверку архивов на уровне шлюзов не рекомендуется

В контексте архивов есть смысл еще раз вспомнить о проблеме частичного (а не полного) удержания файла на сервере проверки. Если исполняемый модуль, загруженный не полностью, все же редко остается работоспособным, то из неполного архива очень часто можно извлечь часть файлов. В связи с этим, вероятность пропустить вирус в архиве гораздо выше, чем в исполняемом файле.

Нередко в веб-страницы сайтов бывают внедрены опасные скрипты, использующие уязвимости в браузерах для несанкционированной загрузки файлов или для изменения настроек: стартовой страницы, страницы поиска. Эти скрипты также проверяются на антивирусе для шлюзов, и их загрузка на компьютеры пользователей блокируется.

Пример. Как будет рассказано в дальнейшем, Антивирус Касперского для Windows Workstations обладает встроенным модулем, предназначенным для проверки скриптов. И в связи с этим необходимо отметить важный факт. Антивирус для шлюзов (в частности, Антивирус Касперского для Microsoft ISA Server и Антивирус Касперского для CheckPoint Firewall) при проверке скриптов применяет только технологии сигнатурного и эвристического анализа.
В отличие от него, модуль проверки скриптов на рабочей станции следит за выполнением скрипта на компьютере пользователя и блокирует потенциально опасные действия, применяя тем самым технологию поведенческого анализа. Таким образом можно говорить, что средства проверки скриптов на уровне шлюза и на уровне рабочей станции не дублируют, а дополняют друг друга.

Используя SMTP-фильтр, Антивирус для шлюзов защищает также от вредоносных программ, распространяющихся через почту. Правда, только в том случае, если в организации используется почтовый сервер, получающий сообщения по протоколу SMTP. Если почта доставляется по другому протоколу или если пользователи обращаются за почтой на сервер за пределами сети организации, письма проверены не будут.

Необходимо отдельно отметить тот факт, что антивирус для шлюзов защищает от вирусов при работе с веб-почтой. В этом случае и сами почтовые сообщения и вложения к ним пользователь получает по протоколу HTTP, что и позволяет шлюзовому антивирусу осуществлять проверку. Примечателен тот факт, что антивирусы для почтовых систем при таком режиме работы с почтовыми сообщениями (веб-почта) неэффективны.


Производительность


Для повышения производительности можно использовать различные схемы подключения, о которых речь шла ранее. Кроме этого, в некоторых случаях можно регулировать степень использования системных ресурсов.

Пример. В Антивирусе Касперского для CheckPoint Firewall можно использовать параллельно несколько антивирусных ядер для проверки объектов. Рекомендуется использовать четыре ядра на каждый физический процессор.



Проверка почты SMTP


При проверке данных, передаваемых по протоколу SMTP, в целом, допустимы те же способы подключения, что и при проверке Интернет-потока. За исключением того, что антивирусы для шлюзов если изредка и обладают функциональностью прокси-сервера, то функциональностью доставки почты в ящики пользователей, как правило, не обладают. Этот факт отсекает варианты подключения по схеме 2 и 4.

Если же по каким-то причинам необходимо установить антивирусный сервер перед почтовым (глядя со стороны сети), то применяется следующий прием: почтовые сервера устанавливаются с обеих сторон антивирусного сервера. Таким образом один почтовый сервер принимает почту из Интернет и передается ее на сервер антивирусной проверки. Там почта проверяется и пересылается на второй почтовый сервер, который уже и доставляет ее в ящики пользователей.


Рис. 5.5.  Установка сервера антивирусной проверки между почтовыми серверами

Побудительными мотивами для такой организации обработки трафика SMTP может быть тот факт, что почтовые сервера злоумышленники нередко пытаются использовать для несанкционированной рассылки спама. Для защиты от подобных действий разработан ряд технологий, которые не всегда бывают реализованы в антивирусе для шлюзов. Вследствие этого, антивирус для шлюзов априори более уязвим, чем полноценный почтовый сервер, и с точки зрения безопасности правильнее, чтобы именно почтовый сервер был непосредственно доступен из Интернет.



Проверка протоколов Интернет


При проверке протоколов Интернет, сервер антивирусной проверки наиболее оптимально устанавливать перед прокси-сервером, но за брандмауэром, если смотреть со стороны защищаемой сети. Впрочем, брандмауэр может и отсутствовать. В этом случае антивирус получает на вход тот же поток, который до этого получал прокси-сервер, выполняет проверку поступающих данных на наличие вредоносного кода и передает уже проверенные данные на прокси-сервер.


Рис. 5.1.  Установка сервера антивирусной проверки перед прокси-сервером (Схема № 1)

Преимущества такого способа подключения заключаются в том, что нет необходимости менять настройки ни брандмауэра, ни прокси-сервера, и при этом не страдает функциональность шлюза. Кроме этого, данные, находящиеся в кэше прокси-сервера проверяются только один раз. Проверка выполняется полностью прозрачно для всех прочих программ и тем более для пользователей.

Допускается и обратный вариант подключения, когда сервер антивирусной проверки устанавливается после прокси-сервера. В этом случае антивирус получает данные, уже обработанные прокси-сервером и предназначенные для передачи пользователям, выполняет проверку этих данных и передает данные пользователям самостоятельно.


Рис. 5.2.  Установка сервера антивирусной проверки за прокси-сервером (Схема № 2)

По сравнению с предыдущим способом недостатка три:

    Данные, находящиеся в кэше прокси-сервера, будут проверять при каждом запросе к ним со стороны пользователейАнтивирусное решение должно обладать функционалом прокси-сервера в достаточном объеме для корректной раздачи данных пользователям - не всякий антивирус для шлюзов обладает таким функционалом, а значит, схема не всегда реализуемаОграниченный функционал антивируса сказывается на общем функционале шлюза, ограничивая его. Т. е. некоторые возможности исходного прокси-сервера будут недоступны из-за того, что за ним установлен антивирус

Можно также установить антивирус непосредственно на прокси-сервер.
При этом логически антивирус может находиться как перед, так и за прокси-сервером с точки зрения пользователей сети. С точки зрения порядка обработки данных, такой способ включения будет эквивалентным одному из предыдущих.


Рис. 5.3.  Установка антивируса на прокси-сервер (Схема № 3)

Преимуществом такого подхода является отсутствие необходимости в использовании дополнительного сервера для антивирусной проверки. Недостатком - необходимость перенастройки портов либо на ПО прокси-сервера, либо на антивирусе, либо на клиентских компьютерах для того, чтобы данные корректно обрабатывались. Кроме того, использование антивируса и прокси-сервера на одном компьютере создает дополнительную нагрузку на этот компьютер - в некоторых случаях может потребоваться замена сервера на более производительный.

Наконец, если антивирус обладает минимальным функционалом для маршрутизации данных между клиентами внутри сети, как в схеме 2, его можно использовать вместо штатного прокси-сервера. В этом случае данные, которые должны были поступать на прокси-сервер, поступают на сервер антивирусной проверки, проверяются, и им же передаются на клиентские компьютеры.


Рис. 5.4.  Замена прокси-сервера на антивирусный сервер с функциями прокси (Схема № 4)

Преимущество такого способа — использование одного сервера. Недостаток — потеря в функциональности шлюза.


Требования к антивирусам для шлюзов


Требования к любому антивирусному комплексу естественным образом можно разделить на несколько категорий. Антивирус для шлюзов в этом смысле исключением не является.

    Общие требования - это требования, не связанные с назначением антивируса, и состоят они в том, чтобы продукт был надежным, производительным, удобным в использовании и, желательно, дешевымОсновные требование - является по сути требованием, чтобы антивирус выполнял свою основную задачу:

    Антивирус для шлюзов должен иметь возможность проверять Интернет-потоки данных (HTTP, FTP и, возможно, SMTP) на наличие вирусов и предотвращать проникновение вирусов в сеть.

    Пример. Как уже говорилось выше, Антивирус Касперского для CheckPoint Firewall позволяет проверять все указанные потоки данных.

    Исходя из основного требования, следует ряд уточнений, касающихся особенностей проверки, обнаружения и блокирования вирусов:

    Антивирус для шлюзов должен иметь возможность проверять составные объекты - архивы, самораспаковывающиеся архивы, упакованные исполняемые файлы, почтовые базы, файлы почтовых форматов. Пример. Антивирус Касперского для Microsoft ISA Server позволяет проверять все указанные типы составных файлов, поддерживая при этом рекордное для индустрии количество форматов, впрочем, как и все остальные антивирусные продукты Лаборатории Касперского, основанные на том же ядре

    Антивирус для шлюзов должен позволять настраивать действия, которые будут выполняться при обнаружении вредоносных программ в потоках данных. Стандартными действиями при этом являются - пропустить, удалить, поместить на карантинЖелательно, чтобы антивирус для шлюзов имел возможность лечить зараженные объекты

    Требования к управлению

    Масштабируемость — настройки одного сервера должны легко распространяться на другие сервера или группу серверов, особенно если речь идет о массивах серверов Microsoft ISA Server или подобных решенияхУдаленное управление — администратор антивирусной безопасности должен иметь возможность управлять всеми антивирусными средствами непосредственно со своего рабочего места

    Требования к обновлению

    Высокая скорость реакции производителя на появление новых угроз - выражается в том числе и в частоте выпуска обновлений. Пример. Лаборатория Касперского выпускает обновления антивирусных баз каждый час и является мировым лидером по этому показателю

    Поддержка различных источников обновления — HTTP-, FTP-ресурсов, локальных и сетевых папокВозможность производить обновление вручную по требованию и автоматически по расписанию

    Требования к диагностике

    Уведомление администратора об инцидентах, связанных с антивирусной безопасностьюВедение журналов работыУведомление пользователя о попытках загрузить зараженный файл



Универсальные антивирусы для шлюзов


Универсальное антивирусное решение для шлюзов - это такое решение, которое может быть внедрено в сети независимо от того, какие уже решения уровня шлюзов в ней используются, без необходимости менять ПО брандмауэров и прокси-серверов на какое-либо другое. Фактически это означает, что антивирус не требует для работы наличия каких-то конкретных решений, с которыми ему необходимо интегрироваться. Соответственно, такой антивирус обладает функциями обработки трафика в объеме, достаточном для выполнения антивирусной проверки и прозрачного прохождения через антивирус всех потоков, не содержащих вредоносного кода.

Учитывая, что основной задачей антивируса для шлюзов является все же не обработка сетевых потоков, а антивирусная проверка, функции маршрутизации в нем существенно ограничены. Так, универсальный антивирус для шлюзов, не может быть использован как полноценный брандмауэр, прокси-сервер или межсетевой экран.

В силу указанной ограниченности функционала по обработке трафика, как правило, невозможно просто заменить имеющийся прокси-сервер или брандмауэр на антивирус для шлюзов. Вместо этого необходимо вводить дополнительный сервер, на котором будет установлено антивирусное решение, и который будет служить простым шлюзом, т. е. просто передавать данные от одного сервера на другой. В свою очередь, добавление антивирусного сервера требует изменения в настройках маршрутизации и, возможно, DNS, что нельзя назвать преимуществом.

Существующие реализации универсальных антивирусов для шлюзов позволяют проверять данные, поступающие по следующим протоколам:

HTTPFTPSMTP

Это связано во-первых с тем, что перечисленные протоколы являются наиболее часто используемыми при обмене данными с Интернет. С другой стороны, поддержка остальных протоколов, которые могут использоваться для передачи инфицированных файлов (например, NNTP), несущественно увеличивает уровень защиты и рассматривается производителями антивирусов как экономически неоправданная.

Стоит отметить, что из поддерживаемых протоколов только HTTP и FTP относятся к классу, который принято называть "протоколами Интернет". Тогда как SMTP (Simple Mail Transfer Protocol) - является почтовым протоколом. В этом смысле антивирусные решения для шлюзов нередко располагаются не только на первом уровне КСАЗ, но захватывают и часть второго уровня, выполняя антивирусную проверку почты, поступающей по протоколу SMTP на почтовые сервера организации.

С точки зрения возможных топологий сети с использованием универсального антивирусного решения для шлюзов, можно выделить следующие варианты. При этом проверку SMTP-протокола и протоколов Интернет удобно рассмотреть отдельно.



Управление


Способы управления универсальными антивирусами для шлюзов и теми, которые построены на принципах интеграции, обычно несколько отличаются.

Универсальные антивирусы в силу своей специфики должны обладать полностью самостоятельными средствами управления. При этом локального интерфейса для таких антивирусов недостаточно. Далеко не всегда рабочее место администратора расположено в непосредственной близости от шлюза. Нередко все сервера сосредоточены в отдельном помещении с ограниченным физическим доступом. Поэтому антивирусу для шлюзов необходим также и удаленный интерфейс управления.

Чаще всего для удаленного управления применяется веб-интерфейс. Для этого в составе антивируса имеется встроенный веб-сервер. Иногда используется штатный веб-сервер для операционной системы, на которой установлен антивирус: например, Internet Information Server на Windows NT/2000/2003.

Особо изощренных средств разграничения доступа к веб-интерфейсу в антивирусах этого класса обычно нет. Используется аутентификация при помощи пароля. В качестве идентификатора может выступать IP- адрес, если используется ограничение на IP-адреса, с которых разрешено управление.

Что касается локального интерфейса, то в универсальных антивирусах для шлюзов он, как правило, стандартен для той операционной системы, на которой антивирус установлен. В случае Windows это либо специально разработанный оконный интерфейс, либо оснастка для MMC (Microsoft Management Console) - стандартного интерфейса управления под Windows. В случае Unix-систем, в качестве интерфейса управления выступают конфигурационные файлы и командная строка.

Если же речь идет об антивирусах, интегрирующихся с брандмауэрами, то и средства управления для них обычно выполнены в виде модулей, интегрирующихся в средства управления брандмауэром.

Пример. Антивирус Касперского для Microsoft ISA Server управляется через встраиваемый модуль в программе управления ISA-сервером - ISA Management, которая в свою очередь является оснасткой для MMC. Поскольку ISA Management может использоваться как для локального, так и для удаленного управления, аналогичными свойствами обладает и система управления Антивирусом Касперского для Microsoft ISA Server.
Для доступа к системе управления необходимо обладать правами администратора на компьютере с установленным ISA-сервером.

Еще одним подходом к управлению антивирусами для шлюзов является использование централизованной системы управления. Основной задачей такой системы является управление антивирусами, установленными на рабочих станциях и серверах Windows. При этом в рамках унификации управления, через централизованную систему могут управляться и другие антивирусные продукты того же производителя.

Пример. Для удаленного изменения параметров проверки в Антивирусе Касперского для CheckPoint Firewall используется система управления Kaspersky Administration Kit 4.5, тогда как параметры передачи трафика на проверку настраиваются при помощи средств управления брандмауэром.

Отдельного рассмотрения заслуживает управление антивирусами для шлюзов, установленных на нескольких Microsoft ISA Server, объединенных в массив (Array).

Пример. Антивирус Касперского для Microsoft ISA Server сегодня является единственным антивирусом для ISA-серверов, который поддерживает полную интеграцию с массивами ISA-серверов. При этом можно управлять настройками антивирусов, установленных на всех ISA-серверах массива, синхронно, т. е. точно так же, как настройками одного сервера. Альтернативно, можно задать для разных антивирусов разные настройки.


Возможные схемы защиты


Прежде чем говорить о том, с какими угрозами способен справиться обобщенный антивирус на шлюзе, необходимо остановиться на имеющихся реализациях подобных антивирусов, поскольку из ограничений реализации будут следовать и ограничения на защиту от разного рода угроз.

Понятно, что антивирус для шлюза должен так или иначе перехватывать данные, передаваемые из Интернет, анализировать эти данные и блокировать их поступление на компьютер пользователя, если они представляют угрозу.

Решать такую задачу можно двумя путями. Первый путь - разрабатывать с нуля систему обработки сетевых потоков, анализа пакетов, чтобы можно было к этой системе применить уже готовое антивирусное ядро и организовать проверку проходящего трафика. Этот пусть требует значительных затрат на пути реализации.

В то же время, существует достаточное количество решений, предназначенных исключительно для обработки трафика, анализа и маршрутизации пакетов - это брандмауэры и прокси-сервера. Поэтому второй путь состоит в интеграции антивирусного решения с брандмауэром или прокси-сервером для проверки проходящего трафика.

Вкратце, преимущества первого пути в том, что антивирусное решение может быть использовано в сетях любой архитектуры, независимо от того, какие еще программные решения применяются для обработки сетевых потоков. Достаточно установить дополнительный сервер антивирусной проверки на пути потока данных из Интернет: как правило, непосредственно перед или непосредственно после основного шлюза. Преимущество второго подхода: возможность организовать антивирусную защиту не изменяя структуру сети, т. е. не вводя дополнительных серверов.

Имеет смысл более подробно остановиться на преимуществах, недостатках и особенностях реализации универсальных антивирусных решений для шлюзов и решений, построенных на интеграции с брандмауэрами и прокси-серверами.



Принимая во внимание все вышесказанное,


Принимая во внимание все вышесказанное, можно сделать вывод о том, что антивирусы для шлюзов не позволяют полностью предотвратить проникновение вирусов через Интернет-каналы. Используя шифрование, архивы с паролем, загрузку файлов по частям, можно создать условия для проникновения вредоносных программ. Следовательно, даже при наличии антивируса на шлюзе, рабочие станции и сервера, находящиеся внутри сети, по-прежнему нуждаются в локально установленном антивирусе.
Тем не менее, антивирусы для шлюзов позволяют существенно сократить поток вирусов из Интернет и снизить нагрузку на локальные антивирусные средства, что является крайне важным фактором при построении комплексной системы антивирусной защиты.