Общие сведения
Как известно из предыдущего материала первый уровень комплексной системы антивирусной защиты - это уровень защиты шлюзов.
В этом названии кроется неточность, которая может ввести в заблуждение. Формулировка "уровень защиты шлюзов" способна навести на мысль, что основной задачей антивирусов, предназначенных для использования на этом уровне, является защита самого шлюза от воздействия вредоносных программ. Это не так. Ни операционную систему шлюза, ни программное обеспечение, выполняющее шлюзовые функции антивирус для шлюзов не защищает.
Задача антивируса установленного на шлюзе в другом — не допустить проникновения вирусов вовнутрь сети через поток данных Интернет.
Здесь может возникнуть вопрос — зачем нужен антивирус, который, по сути, ничего не защищает? Ведь есть антивирусы для файловых серверов и рабочих станций, которые установлены непосредственно на компьютерах сети и призваны защищать от всех существующих вирусных угроз.
Дело в том, что ни одна защита не бывает абсолютной. Это связано даже не с фундаментальными результатами математиков, а с тем что надежность и эффективность антивирусного средства зависит от множества факторов - программного окружения, действий пользователя, настроек и т. д. Можно описать целый ряд ситуаций, при которых однажды установленный на компьютер антивирус оказывается частично или полностью неэффективным в борьбе с вредоносными программами:
- Простейшая ситуация— пользователь посчитал, что антивирус препятствует нормальной работе приложений и отключил постоянную защиту (либо полностью отключил антивирус, либо вовсе его деинсталлировал). Можно много говорить о том, что такие действия пользователя можно предотвратить техническими и административными мерами, но на практике очень часто рядовые пользователи имеют права администратора на своих компьютерах: в такой ситуации помешать пользователю вывести из строя антивирус технически невозможно
- Произошел сбой в работе антивируса— так тоже случается, иногда из-за ошибок в антивирусе, иногда - по причине конфликтов с программным обеспечением третьих производителей, которое было неосмотрительно установлено на компьютере (например, тем же пользователем с правами локального администратора)
- Антивирусные базы устарели— даже при нормально работающем антивирусе могут возникать ситуации, когда антивирусные базы в течение какого-то времени будут в значительной мере устаревшими. Например, если пользователь компьютера заболел или ушел в отпуск, компьютер будет выключен на протяжении одной - двух недель и после включения антивирусные базы на нем будут устаревшими и значит неэффективными в борьбе с относительно свежими угрозами. Поскольку обновление происходит, обычно, в соответствии с определенным расписанием, между включением компьютера и обновлением антивирусных баз может пройти от нескольких часов до нескольких дней, и в этот период защита компьютера будет неэффективной.
Можно сказать, что каждый из приведенных сценариев маловероятен. Но если рассматривать достаточно большую сеть, то вероятность того, что хотя бы один из компьютеров в какой-то из моментов времени окажется незащищенным существенно возрастает и с ней уже приходится считаться. И если ничто не будет мешать проникновению вредоносных программ из Интернет, это будет означать, что существует немалая вероятность заражения одного из компьютеров сети.
Поэтому кроме обеспечения защиты самих компьютеров, крайне важно максимально ограничить количество проникающих в сеть вредоносных программ, чтобы временная неэффективность защиты на отдельных узлах не превращалась в серьезную угрозу безопасности.
Здесь можно отметить, что все перечисленные ситуации, при которых оказывается отключенным антивирус или не обновленными - антивирусные базы, действительно способны представлять угрозу только в больших сетях. Во-первых, вероятность реализации каждой из описанных возможностей достаточно мала и становится существенной только на фоне большого количества компьютеров, в малых сетях эти вероятности так и остаются несущественными.
Во-вторых, возникновение подобных ситуаций должно отслеживаться администратором антивирусной безопасности. В крупных сетях хотя бы на то, чтобы добраться до проблемного компьютера, может потребоваться значительное время, в течение которого уровень защиты сети не может считаться приемлемым. В малых сетях, напротив, все компьютеры на виду и легко доступны, что позволяет администратору антивирусной безопасности вовремя реагировать на возникающие проблемы.
Таким образом, антивирус для шлюза - это первый уровень защиты на пути проникновения вирусов в сеть организации, основная задача антивируса - помешать проникновению вирусов вовнутрь сети, снижая вероятность заражения компьютеров. Антивирус для шлюзов более эффективен и даже необходим при защите крупных сетей. В малых сетях его относительная полезность в обеспечении общей безопасности несколько ниже.
Впрочем, принимая во внимание, что в малых сетях далеко не всегда есть не то что администратор антивирусной безопасности, а штатный администратор вообще, использование антивируса на шлюзе будет не лишним и в этом случае.
Далее в этой главе будут рассмотрены:
- схемы защиты сети с использованием антивируса для шлюзов
- основные требования к антивирусам такого класса
- вирусные угрозы от которых могут и не могут защитить шлюзовые антивирусы
- особенности эксплуатации антивирусов для шлюзов: управление, обновление, диагностика
Возможные схемы защиты
Прежде чем говорить о том, с какими угрозами способен справиться обобщенный антивирус на шлюзе, необходимо остановиться на имеющихся реализациях подобных антивирусов, поскольку из ограничений реализации будут следовать и ограничения на защиту от разного рода угроз.
Понятно, что антивирус для шлюза должен так или иначе перехватывать данные, передаваемые из Интернет, анализировать эти данные и блокировать их поступление на компьютер пользователя, если они представляют угрозу.
Решать такую задачу можно двумя путями. Первый путь - разрабатывать с нуля систему обработки сетевых потоков, анализа пакетов, чтобы можно было к этой системе применить уже готовое антивирусное ядро и организовать проверку проходящего трафика. Этот путь требует значительных затрат на пути реализации.
В то же время, существует достаточное количество решений, предназначенных исключительно для обработки трафика, анализа и маршрутизации пакетов - это брандмауэры и прокси-сервера. Поэтому второй путь состоит в интеграции антивирусного решения с брандмауэром или прокси-сервером для проверки проходящего трафика.
Вкратце, преимущества первого пути в том, что антивирусное решение может быть использовано в сетях любой архитектуры, независимо от того, какие еще программные решения применяются для обработки сетевых потоков. Достаточно установить дополнительный сервер антивирусной проверки на пути потока данных из Интернет: как правило, непосредственно перед или непосредственно после основного шлюза. Преимущество второго подхода: возможность организовать антивирусную защиту не изменяя структуру сети, т. е. не вводя дополнительных серверов.
Имеет смысл более подробно остановиться на преимуществах, недостатках и особенностях реализации универсальных антивирусных решений для шлюзов и решений, построенных на интеграции с брандмауэрами и прокси-серверами.
Универсальные антивирусы для шлюзов
Универсальное антивирусное решение для шлюзов - это такое решение, которое может быть внедрено в сети независимо от того, какие уже решения уровня шлюзов в ней используются, без необходимости менять ПО брандмауэров и прокси-серверов на какое-либо другое. Фактически это означает, что антивирус не требует для работы наличия каких-то конкретных решений, с которыми ему необходимо интегрироваться. Соответственно, такой антивирус обладает функциями обработки трафика в объеме, достаточном для выполнения антивирусной проверки и прозрачного прохождения через антивирус всех потоков, не содержащих вредоносного кода.
Учитывая, что основной задачей антивируса для шлюзов является все же не обработка сетевых потоков, а антивирусная проверка, функции маршрутизации в нем существенно ограничены. Так, универсальный антивирус для шлюзов, не может быть использован как полноценный брандмауэр, прокси-сервер или межсетевой экран.
В силу указанной ограниченности функционала по обработке трафика, как правило, невозможно просто заменить имеющийся прокси-сервер или брандмауэр на антивирус для шлюзов. Вместо этого необходимо вводить дополнительный сервер, на котором будет установлено антивирусное решение, и который будет служить простым шлюзом, т. е. просто передавать данные от одного сервера на другой. В свою очередь, добавление антивирусного сервера требует изменения в настройках маршрутизации и, возможно, DNS, что нельзя назвать преимуществом.
Существующие реализации универсальных антивирусов для шлюзов позволяют проверять данные, поступающие по следующим протоколам:
Это связано во-первых с тем, что перечисленные протоколы являются наиболее часто используемыми при обмене данными с Интернет. С другой стороны, поддержка остальных протоколов, которые могут использоваться для передачи инфицированных файлов (например, NNTP), несущественно увеличивает уровень защиты и рассматривается производителями антивирусов как экономически неоправданная.
Стоит отметить, что из поддерживаемых протоколов только HTTP и FTP относятся к классу, который принято называть "протоколами Интернет". Тогда как SMTP (Simple Mail Transfer Protocol) - является почтовым протоколом. В этом смысле антивирусные решения для шлюзов нередко располагаются не только на первом уровне КСАЗ, но захватывают и часть второго уровня, выполняя антивирусную проверку почты, поступающей по протоколу SMTP на почтовые сервера организации.
С точки зрения возможных топологий сети с использованием универсального антивирусного решения для шлюзов, можно выделить следующие варианты. При этом проверку SMTP-протокола и протоколов Интернет удобно рассмотреть отдельно.
Проверка протоколов Интернет
При проверке протоколов Интернет, сервер антивирусной проверки наиболее оптимально устанавливать перед прокси-сервером, но за брандмауэром, если смотреть со стороны защищаемой сети. Впрочем, брандмауэр может и отсутствовать. В этом случае антивирус получает на вход тот же поток, который до этого получал прокси-сервер, выполняет проверку поступающих данных на наличие вредоносного кода и передает уже проверенные данные на прокси-сервер.
Рис. 5.1. Установка сервера антивирусной проверки перед прокси-сервером (Схема № 1)
Преимущества такого способа подключения заключаются в том, что нет необходимости менять настройки ни брандмауэра, ни прокси-сервера, и при этом не страдает функциональность шлюза. Кроме этого, данные, находящиеся в кэше прокси-сервера проверяются только один раз. Проверка выполняется полностью прозрачно для всех прочих программ и тем более для пользователей.
Допускается и обратный вариант подключения, когда сервер антивирусной проверки устанавливается после прокси-сервера. В этом случае антивирус получает данные, уже обработанные прокси-сервером и предназначенные для передачи пользователям, выполняет проверку этих данных и передает данные пользователям самостоятельно.
Рис. 5.2. Установка сервера антивирусной проверки за прокси-сервером (Схема № 2)
По сравнению с предыдущим способом недостатка три:
- Данные, находящиеся в кэше прокси-сервера, будут проверять при каждом запросе к ним со стороны пользователей
- Антивирусное решение должно обладать функционалом прокси-сервера в достаточном объеме для корректной раздачи данных пользователям - не всякий антивирус для шлюзов обладает таким функционалом, а значит, схема не всегда реализуема
- Ограниченный функционал антивируса сказывается на общем функционале шлюза, ограничивая его. Т. е. некоторые возможности исходного прокси-сервера будут недоступны из-за того, что за ним установлен антивирус
Можно также установить антивирус непосредственно на прокси-сервер. При этом логически антивирус может находиться как перед, так и за прокси-сервером с точки зрения пользователей сети. С точки зрения порядка обработки данных, такой способ включения будет эквивалентным одному из предыдущих.
Рис. 5.3. Установка антивируса на прокси-сервер (Схема № 3)
Преимуществом такого подхода является отсутствие необходимости в использовании дополнительного сервера для антивирусной проверки. Недостатком - необходимость перенастройки портов либо на ПО прокси-сервера, либо на антивирусе, либо на клиентских компьютерах для того, чтобы данные корректно обрабатывались. Кроме того, использование антивируса и прокси-сервера на одном компьютере создает дополнительную нагрузку на этот компьютер - в некоторых случаях может потребоваться замена сервера на более производительный.
Наконец, если антивирус обладает минимальным функционалом для маршрутизации данных между клиентами внутри сети, как в схеме 2, его можно использовать вместо штатного прокси-сервера. В этом случае данные, которые должны были поступать на прокси-сервер, поступают на сервер антивирусной проверки, проверяются, и им же передаются на клиентские компьютеры.
Рис. 5.4. Замена прокси-сервера на антивирусный сервер с функциями прокси (Схема № 4)
Преимущество такого способа — использование одного сервера. Недостаток — потеря в функциональности шлюза.
Проверка почты SMTP
При проверке данных, передаваемых по протоколу SMTP, в целом, допустимы те же способы подключения, что и при проверке Интернет-потока. За исключением того, что антивирусы для шлюзов если изредка и обладают функциональностью прокси-сервера, то функциональностью доставки почты в ящики пользователей, как правило, не обладают. Этот факт отсекает варианты подключения по схеме 2 и 4.
Если же по каким-то причинам необходимо установить антивирусный сервер перед почтовым (глядя со стороны сети), то применяется следующий прием: почтовые сервера устанавливаются с обеих сторон антивирусного сервера. Таким образом один почтовый сервер принимает почту из Интернет и передает ее на сервер антивирусной проверки. Там почта проверяется и пересылается на второй почтовый сервер, который уже и доставляет ее в ящики пользователей.
Рис. 5.5. Установка сервера антивирусной проверки между почтовыми серверами
Побудительными мотивами для такой организации обработки трафика SMTP может быть тот факт, что почтовые сервера злоумышленники нередко пытаются использовать для несанкционированной рассылки спама. Для защиты от подобных действий разработан ряд технологий, которые не всегда бывают реализованы в антивирусе для шлюзов. Вследствие этого, антивирус для шлюзов априори более уязвим, чем полноценный почтовый сервер, и с точки зрения безопасности правильнее, чтобы именно почтовый сервер был непосредственно доступен из Интернет.
Антивирусы для шлюзов, основанные на интеграции
Рассматривая интеграцию антивирусов с брандмауэрами нельзя абстрагироваться от того, какие это брандмауэры, поскольку возможности интеграции и соответственно часть функционала антивирусного решения будут зависеть от возможностей самого брандмауэра.
Можно априори предположить, что далеко не для всех брандмауэров существуют антивирусные решения. Более того, можно предположить, что такие решения имеются только для наиболее широко используемых брандмауэров. Так оно и есть на самом деле. Из всех антивирусов, интегрирующихся с брандмауэрами, можно выделить два класса программ:
- Антивирусы для Microsoft Internet Security and Acceleration Server (Microsoft ISA Server)
- Антивирусы для CheckPoint Firewall-1 (VPN-1)
Их имеет смысл рассмотреть отдельно.
Антивирусы для Microsoft ISA Server
В том, что многие производители антивирусов выпускают продукты для Microsoft ISA Server ничего удивительно быть не может. Решения компании Microsoft традиционно являются наиболее широко используемыми на платформе Microsoft.
Как правило, когда речь идет об интеграции, базовое приложение обладает определенными инструментами для взаимодействия со сторонними программами. Так же ситуация обстоит и с Microsoft ISA Server, в котором предусмотрен механизм плагинов, с помощью которых антивирусы и интегрируются в продукт. Такой способ интеграции подразумевает, что антивирусное решение устанавливается на тот же компьютер, что и Microsoft ISA Server. С одной стороны это означает меньшую гибкость решения, с другой - большую простоту в установке и настройке.
Как и универсальные антивирусы для шлюзов, антивирусы для Microsoft ISA Server могут проверять данные, передаваемые по таким протоколам, как:
При этом разные производители отдают предпочтение различным протоколам. Есть решения которые предназначены только для проверки HTTP-трафика. Есть предназначенные для проверки данных по протоколам HTTP и SMTP.
Пример. Антивирус Касперского для Microsoft ISA Server способен проверять данные, поступающие на сервер по протоколам HTTP и FTP. Функций проверки почтового трафика продукт не имеет.
Другим важным аспектом совместного функционирования Microsoft ISA Server и антивируса является зависимость от режима использования Microsoft ISA Server. Как известно, Microsoft ISA Server может быть установлен в одном из трех режимов:
- Firewall— режим брандмауэра, обеспечивающий безопасность сети путем применения пакетных фильтров, правил обработки трафика и т.д.
- Cache— режим прокси-сервера, включающий кэширование веб-страниц и поддержку веб-хостинга
- Integrated— режим, объединяющий первые два
Соответственно в различных режимах интеграция с Microsoft ISA Server происходит по разному и возможности антивирусной проверки также будут разными.
Пример. В Антивирусе Касперского для Microsoft ISA Server реализовано три фильтра для проверки обрабатываемых на шлюзе данных:
- HTTP-фильтр
- FTP-фильтр
- Веб-фильтр
Первые два фильтра ориентированы на интеграцию с Microsoft ISA Server в режиме Firewall, веб-фильтр предназначен для проверки данных, передаваемых через Microsoft ISA Server в режиме Cache. Исходя из назначения фильтров, их использование в различных режимах работы Microsoft ISA Server будет следующим:
Фильтр / Режим
| Cache
| Firewall
| Integrated
| HTTP-фильтр
| -
| +
| -
| FTP- фильтр
| -
| +
| +
| Веб-фильтр
| +
| +*
| +
|
* По умолчанию в режиме Firewall веб-фильтр отключен, т. к. считается, что клиенты не используют ISA-сервер в качестве прокси и веб-трафик проверяется HTTP-фильтром. Если же в настройках Интернет-агентов (браузеров) на клиентах в качестве прокси-сервера указан адрес ISA-сервера, веб-фильтр можно включить. При этом желательно отключить использование HTTP-фильтра во избежание двойной проверки.
Отсутствие HTTP-фильтра в режиме Integrated объясняется тем же - нежелательностью двойной проверки.
Антивирусы для CheckPoint Firewall
Большое количество антивирусов для CheckPoint Firewall объясняется с одной стороны тем, что этот брандмауэр является одним из наиболее распространенных, а с другой стороны тем, что компания CheckPoint, осознавая важность антивирусной защиты, пошла навстречу производителям антивирусов и разработала протокол CVP (Content Vectoring Protocol), позволяющий передавать на проверку объекты, проходящие через брандмауэр CheckPoint Firewall в составе Интернет-трафика.
В связи с тем, что для интеграции функций проверки используются не плагины - модули, встраивающиеся в продукт, а протокол передачи данных, антивирус может устанавливаться на любой сервер, а не обязательно на сам брандмауэр. Такой подход позволяет существенно повысить гибкость решения, а также, в некоторых случаях, и производительность.
Как и все рассмотренные ранее виды антивирусов для шлюзов, антивирусы для CheckPoint Firewall могут проверять данные, передаваемые по трем протоколам:
Для проверки каждого из потоков, создается правило на сервере CheckPoint Firewall, в котором указывается тип трафика и адрес сервера выполняющего проверку. При этом, в разных правилах можно указывать разные сервера проверки.
Такой принцип интеграции позволяет построить различные схемы проверки трафика.
В общем случае антивирус устанавливается на отдельный сервер и принимает от брандмауэра Firewall-1 перенаправленные потоки, проверяет их, и возвращает назад на брандмауэр.
Рис. 5.6. Использование параллельно установленного сервера антивирусной проверки
Такой подход позволяет абстрагироваться от используемой на сервере Firewall-1 операционной системы.
Пример. Антивирус Касперского для CheckPoint Firewall устанавливается только на компьютеры под управлением Microsoft Windows NT-подобных ОС, тогда как CheckPoint Firewall-1 может быть установлен также и на ОС Linux и Solaris. Передача данных для проверки на другой сервер позволяет интегрировать антивирусную проверку в CheckPoint Firewall-1, установленный на любой платформе
Если же CheckPoint Firewall-1 установлен на ОС Windows NT/2000, то антивирус можно будет установить на этот же сервер. Принцип интеграции остается тот же - брандмауэр пересылает данные на CVP-порт, используемый антивирусом для приема данных. Разница лишь в том, что поток данных не выходит за пределы сервера, что безусловно повышает нагрузку на сервер, но позволяет обойтись без дополнительных компьютеров.
Рис. 5.7. Установка антивируса на сервер брандмауэра
Если в организации используется несколько брандмауэров CheckPoint Firewall-1 (например, чтобы защитить нескольких независимых каналов доступа в Интернет), для проверки проходящего через них трафика не обязательно использовать такое же количество антивирусных серверов - все брандмауэры могут быть настроены на использование общего сервера антивирусной проверки.
Рис. 5.8. Использование одного антивирусного сервера для проверки потоков от нескольких брандмауэров
Разумеется, при использовании одного антивирусного сервера для проверки трафика, поступающего от нескольких брандмауэров, этому серверу потребуется выделить дополнительные аппаратные ресурсы.
В качестве альтернативы увеличения мощности сервера антивирусной проверки, можно использовать различные сервера для проверки различных типов трафика - HTTP, FTP, SMTP. Для этого достаточно указать на брандмауэре в настройках правил пересылки FTP, HTTP и SMTP данных различные антивирусные сервера.
Рис. 5.9. Использование различных антивирусных серверов для проверки различных потоков
Преимущество такой организации проверки - распределение нагрузки между антивирусными серверами. Недостаток - необходимость в использовании нескольких серверов для антивирусной проверки. |