Антивирусное программное оборудование

  Один из основных элементов системы защиты информации в компьютерных сетях - это антивирусное программное оборудование.

  Каждый день все больше и больше организаций принимают в качестве внутреннего стандарта использование электронной почты и работу с Интернет. Но, по мере того как это происходит, все большая ответственность ложится на специалистов отделов информационных технологий ( ИТ ) за предотвращение попадания вирусов в корпоративную сеть.

  Увеличился в последний год всплеск активности компьютерных вирусов. Вспомните хотя бы нашумевший вирус Melissa, использующий встроенный в пакет Microsoft Office язык Visual Basic (для работы с почтовым клиентом Microsoft Outlook). Он наглядно показал корпорациям, насколько они в этом отношении уязвимы. Стало очевидно, что работники предприятий, не являющиеся специалистами в области ИТ, не обладают ни заинтересованностью, ни необходимой компетентностью для того, чтобы регулярно обновлять свое антивирусное ПО.

  Вы должны отдавать себе отчет в том, что пользователи, применяющие средства криптографии в электронной почте или передающие по сети зашифрованные файлы, обходят антивирусную защиту. И опасность для вашей сети существует не только со стороны электронной почты. Если ваши пользователи посещают Web-сайты с кодом ActiveX, знайте, что ваша сеть подвергается серьезной опасности. Большинство браузеров обеспечивают отключение поддержки ActiveX, но многие пользователи не знают об этом. Антивирусные шлюзы защитят вас и вашу сеть от вирусов ActiveX.

  Антивирусное ПО локального действия, установленное на машинах пользователей, по-прежнему защищает их от вирусов, принесенных на дискетах и других съемных накопителях, но антивирусное ПО сетевого действия уже более не может считаться «довеском»: оно жизненно необходимо для нормального функционирования вашей сети, а значит, и ва­шего бизнеса.

Корпоративный антивирус

  Сетевое антивирусное ПО поставляется в двух формах: как антивирус для сервера электронной почты и как антивирус-шлюз. Серверный антивирус загружается на серверы электронной почты и сканирует почтовый трафик на предмет наличия вирусов. Большинство таких продуктов способны отсылать опреде­ленное сообщение о зараже­нии вирусом отправителю или получателю письма, а также могут фильтровать информа­ционное наполнение по теме, вложенному файлу или телу письма. Большинство серверных антивирусов предназначены для систем коллективной работы, таких, как Lotus Notes,Microsoft Exchange Novell GroupWise. Например,McAfee Group Shield фирмы Network Associates запускается вместе с сервером Microsoft Exchange и способен сканировать не только электронную почту, но также, при соответствующей настройке, и папки пользователей.

  Антивирусы-шлюзы поставляются в разных модификациях и могут выполняться для различных платформ. Одни из них работают как сетевые службы или являются составной частью ПО прокси-сервера, другие действуют в составе вашего межсетевого экрана. Общая особенность подобных продуктов — способность сканировать данные во время их пере­дачи по протоколам HTTP, FTP и SMTP.

  Очень важно интегрировать антивирус-шлюз в топологию вашей сети. Если ваш межсетевой экран или прокси-сервер допускает интеграцию программы-антивируса, вам не придется прикладывать много усилий для осуществления этого. Anti Virus for Firewalls фирмы F-Secure легко устанавливается на любой межсетевой экран, поддерживающий протокол. CVP (Content Vectoring Protocol) для платформы OPSEC Интернет (Open Platform for Security), поставляемой фирмой Check Point Software Technologies. После того как его межсетевой экран будет настроен та-дил через антивирусный шлюз, пользователи уже не смогут по своему желанию отключать защиту от вирусов. Но если вы устанавливаете такой шлюз отдельным узлом в качестве дополнительного маршрутизатора между вашей сетью и провайдером услуг Интернет, вам не обойтись без серьезного планирования и некоторого времени вынужденного простоя сети, чтобы заставить все работать как следует.

  Вы должны задать себе вопрос: каких целей добивается ваш отдел ИТ, устанавливая это ПО? Если вы просто хотите защитить вашу организацию от наиболее общих вирусов, приходящих во вложенных файлах, то сделать это нетрудно: установите антивирус на сервере электронной почты.

  Но дело обстоит не всегда так просто.

  Для корпораций, имеющих несколько серверов электронной почты, приобретение лицензий для каждого из них может обойтись недешево. В этом случае установка антивирусных шлюзов для сканирования графика будет самым экономичным решением, недостаток которого заключается в том, что пользователи одного и того же сервера электронной почты не будут защищены один от другого (так как почта, пересылаемая ими друг другу, не выходит во внешнюю сеть). Антивирусы-шлюзы обеспечивают максимальную защиту от вирусов, приходящих из других сетей, и их можно настроить под ваши нужды. Но лучше все же установить и серверный антивирус, и антивирус-шлюз, тем самым вы защитите пользователей как друг от друга, так и от атак через Интернет. Если же вы решите использовать оба вида антивирусного ПО, то настройка вашего шлюза на сканирование SMTP-трафика станет излишней.

  Иногда серверный анти­вирус несовместим с используемым вами сервером электронной почты. Ни один из производителей, чьи антиви­русы исследовались, не предлагал продуктов с под­держкой. Для многих организаций это не является проблемой, так как они создают и поддерживают фильтры Sendmail для обнаружения распространенных вирусов, передающихся по электронной поч­те. Администраторы Unix,  Linux, которым не хочется возиться с настройкой этих фильтров и разбираться с построением регулярных выражений, могут восполь­зоваться антивирусами-шлюзами, сканирующими SMTP-трафик.

  Первейшее предназначение антивирусного продукта — обнаружение вируса. Этот процесс осуществляется самыми разными способами:

	определением сигнатуры;
	проверкой контроль­ных сумм;
	эвристическими методами и с помощью резидентных сканеров.

  Мы рекомендуем вам выбирать такие продукты, которые не только ищут известные вирусы, но также применяют эвристические методы. Продукт AntiVirus Enterprise Solution 4.0 фирмы Symantec соответствует этим требованиям. Когда лежащая в его основе эвристическая технология Bloodhound обнаруживает в файле что-то подозрительное, он помещается в центральный репозиторий. Затем консоль управления оповещает администраторов о возможном обнаружении нового вируса. На этом этапе они могут протестировать файл и отправить его в SARC (Symantec AntiVirus Research Center — центр антивирусных ис­следований компании Symantec). Специалисты Symantec создадут средство обнаружения и лечения вируса и предоставят его своим кли­ентам. Однако использование эвристических методов увеличивает вероятность ложных тревог.

  Так что же происходит в том случае, когда обнаруживается уже известный вирус? Все зависит от конкретного продукта. Например, антивирусы фирмы FSecure настраиваются наотправление сообщений об обнаружении зараженного письма получателям, отпра­вителям и администраторам. Если это возможно, файл будет «вылечен» и отправлен адресату.

  Но вирусы проникают в вашу сеть не только с вложенными файлами. Давайте рассмотрим ситуацию, при которой вирус передается через HTTP и FTP. Предположим, один из ваших пользователей посещает Web-сайт с враждебным компонентом ActiveX. Если у вас установлен SurfinGate фирмы Finjan Software, то при обнаружении враждебного кода запись об инциденте заносится в журнал регистрации событий, а загрузка кода блокируется. Затем SurfinGate выводит сообщение на экран пользователя таким образом, чтобы он понял, отчего прекратилась загрузка с данного сайта.

  Антивирусный шлюз, взаимодействующий с межсетевым экраном по протоколу CVP, способен сканировать файлы или письма точно так же, как это делает обычный антивирусный шлюз, но только до тех пор, пока правила проверки информационного наполнения верно указаны в настройках межсетевого экрана. В случае применения CVP межсетевой экран называют клиентом CVP; когда он получает файл, то пересылает его, при срабатывании правил проверки информационного наполнения, антивирусному продукту, называемому в данном случае CVP-сервером. Антивирус сканирует полученный файл. Если последний не заражен, программа сообщает межсетевому экрану, что файл можно пропустить. В противном случае антивирус попытается восста­новить файл и отправит его обратно межсетевому экрану для последующей пересылки по назначению.

  Многие производители ПО делают свои продукты доступными для загрузки через Интернет. Чтобы ускорить процесс их передачи и установки, они обычно применяют тот или иной тип сжатия данных. Если ваша антивирусная программа не распознает основные типы архивов, то упакованный файл, содержащий вирус, легко минует ваш механизм защиты. К макровирусам, таким, как Melissa, тоже нельзя относиться легкомысленно. Как правило, если пользователи работают с при­ложениями из Microsoft Office, они предупреждаются о выполнении макросов, но, как отмечают многие специалисты ИТ, большинство из них просто игнорируют эти предупреждения. Корпорации, использующие Microsoft Office, должны выбирать продукты, способные обнаруживать и уничтожать макровирусы.

Консоли управления

  Редкая организация использует только одну вычислительную платформу — как известно, у каждого компьютерного гуру есть своя любимая операционная система. Тем не менее продукты с кроссплатформенной консолью управления имеют преиму­щество. Отрадно видеть новые продукты, управляемые через Web-интерфейс, на­пример Norton Antivirus for Firewalls от Symantec. Но, несмотря на развитые возможности сканирования и оповещения, у него слабая консоль управления, что может оттолкнуть потенциальных покупателей. Если консоль слишком сложная, настройка будет очень долгой. Это может негативно сказаться на безопасности сети. С другой стороны, если консоль окажется чрезмерно простой, продукту будет не хватать гибкости управления.

Обновления, журналы событий и сообщения

  Почти во всех антивирусных продуктах основным способом обнаружения вирусов явля­ется поиск по сигнатурам, поэтому весьма важно знать, как часто происходит обновле­ние баз данных о вирусах. Автоматизирован ли этот процесс? Можно ли настроить его на ежедневное обновление? Много ли времени займет обновление антивирусной базы данных в случае появления нового вируса? AntiVirus Enterprise Solution 4.0 фирмы Symantec позволяет пользователям отправлять подозрительные файлы для проверки; в Symantec надеются, что обновление базы данных о вирусе они смогут осуществить за несколько часов. Другие антивирусные продукты, такие, как Antigen for Microsoft Exchange фирмы Sybari и AntiVirus фирмы F-Secure, могут быть настроены на регулярное обновление вирусных сигнатур через Интернет. Но что тол­ку от антивирусного продукта, который не способен создавать отчеты и вести журналы? Имея на руках отчет о том, кто получает/отправляет большинство вирусов и какой из Web-серверов посылает вирусов больше, чем другие, вы можете обнаружить пользователя, постоянно передающего зараженные вложенные файлы, и послать кого-то взглянуть на его машину.

  К счастью, все упомянутые здесь продукты снабжены функцией создания отчетов и веде­ния журналов регистрации событий. Продукты Network Associates обладают некоторыми особыми свойствами создания сообщений из системных журналов. Серверный антивирус GroupShield для LotusNotesDomino заносит все задачи и обнаруженные вирусы в базу данных, что облегчает администраторам создание отчетов. Антивирус-шлюз GroupShield для ОС Solaris позволяет администраторам легко экспортировать журналы в большинство форматов баз данных, где уже легко создавать отчеты. Продукты, подобные AntiVirus для Microsoft Exchange от F-Secure, позволяют вести мониторинг через сообщения SNMP и системы третьих фирм, такие, как UnicenterTNG от Computer Associates International и OpenView от Hewlett Packard.

Вопросы производительности

  Что еще стоит принять во внимание при выборе антивирусного продукта, так это то, как его работа скажется на производительности сети. При небольшом графике и простых задачах особой потери производительности не будет. Но что произойдет, если вы примените антивирус-шлюз в скоростной сети при больших нагрузках? Справится ли он?

  Наибольшая разница в производительности заметна при сканировании графика HTTP, FTP. Когда шлюза нет, индикатор загрузки в браузере пользователя показывает состояние загрузки. Если же скачиваемый файл проверяется антивирусом, индикатор не показывает ничего. При использовании антивирусов-шлюзов он некоторое время находится в положении 0%, а затем резко перемещается на 100%. Сначала такое поведение браузера кажется необычным, но к этому можно быстро привыкнуть.

Трудности развертывания

  Вы когда-нибудь пытались уговорить администратора перегруженного серверного Web-комплекса обеспечить поддержку еще одного про­цесса на машинах, и без того задыхающихся от нехватки вычислительных ресурсов? Наш вам дружеский совет: готовьтесь к тому, что вам придется умасливать администратора чем только можно. Проблема, присущая системам IDS уровня хоста, отчасти обусловлена тем, что программные агенты приходится размещать непосредственно на контролируемых системах. Это влечет за собой целый ряд других, требующих особого внимания проблем. Во-первых, необходима соответствующая поддержка ОС. Если ваша среда является много платформенной и включает ОС Windows NT, Solaris, Linux, то ваша система IDS соответственно должна иметь агента для каждой из них. Далее, многие агенты буквально «пожирают» драгоценную вычислительную мощность интенсивно используемых машин. Проблемы компании ISS (Internet Security Systems), например, традиционно были свя­заны с чрезмерной прожорливостью ее агентов для ОС Windows NT в отношении процессорных ресурсов. И наконец, агенты уровня хоста отличаются завидной активностью. Они запускают службы на контролируемых системах, что является главной причиной того, почему многие Интернет-компании, чьи Web-серверы постоянно перегружены графиком, стараются использовать системы IDS сетевого уровня. Вместе с тем технология, основанная на сетевых сенсорах, порождает множество совершенно других проблем.