Требования к диагностике

• Уведомление администратора об инцидентах, связанных с антивирусной безопасностью

• Ведение журналов работы

• Уведомление пользователя о попытках загрузить зараженный файл

Угрозы и методы защиты от них Особенности архитектуры

С самого начала нужно отметить одну особенность реализации большинства (во всяком случае, всех наиболее распространенных) антивирусов для шлюзов - они используют то же антивирусное ядро, что и другие антивирусные продукты тех же производителей. Иными словами - технология проверки на шлюзе ничем не отличается от технологии проверки на рабочей станции или файловом сервере - применяются те же алгоритмы и антивирусные базы.

Это означает, что проверяемыми объектами в антивирусе для шлюзов будут файлы. Сперва эти файлы вычленяются из потока данных, затем они проверяются, и по результатам проверки поток либо пропускается дальше, либо блокируется. Некоторые антивирусы обладают возможностью самостоятельно генерировать поток для того, чтобы заменить поток с зараженным файлом на поток с вылеченным файлом, т. е. такие антивирусы поддерживают лечение.

Преимущества использования универсального (общего для всех продуктов) ядра очевидны. Для производителя это сокращение времени на разработку новых баз и как следствие возможность выпускать их чаще, что повышает скорость реакции на новые угрозы. Для пользователя - возможность сократить трафик обновления и возможность косвенной проверки антивирусного решения: если вирус обнаруживается антивирусом для рабочих станций, он будет обнаруживаться антивирусом для шлюзов, и наоборот.

Впрочем, есть и существенные недостатки. Как известно, не все вирусы распространяются в виде файлов. Ряд очень известных эпидемий был вызван вирусами, которые вообще не существуют в форме файлов: CodeRed и Slammer распространялись (а Slammer и по сей день относится к категории живых, "in the wild", вирусов) путем прямой атаки на переполнение буфера в уязвимых службах, код этих вирусов хранился в специально сформированных пакетах данных. Ко всему прочему эти пакеты не являлись HTTP, FTP или SMTP пакетами, а относились к более низким уровням иерархии протоколов.

Таким образом, против "бестелесных" червей типа Slammer антивирусы для шлюзов бессильны. Аналогично и попытки заражения червями типа Lovesan и Sasser останутся незамеченными многими антивирусами для шлюзов, так как используют прямые атаки на службы Windows и эти атаки идут не по протоколам HTTP, FTP, SMTP. В дальнейшем, правда, для загрузки собственных файлов на атакуемый компьютеров, указанные черви и им подобные используют FTP протокол, который проверяется далеко не всеми антивирусами для шлюзов. Имеющийся архитектурный недостаток не превращается в серьезную проблему только потому, что существование шлюза само по себе ограждает рабочие станции сети от прямых вирусных атак извне - при любой мало-мальски разумной организации шлюза прямой доступ к внутренним станциям из Интернета запрещен.

Есть у "файлоцентричности" проверки и другие недостатки. В частности, чтобы проверить загружаемый пользователем файл, антивирусу потребуется дождаться окончания загрузки файла, выполнить проверку и после этого отдать (или не отдать) файл пользователю. Отдавать файл до окончания проверки, очевидно, нельзя - это полностью нивелирует факт наличия антивируса на шлюзе. Однако проверка (да и ожидание загрузки) файла происходит не мгновенно и из-за этого Интернет-агент пользователя (браузер, менеджер загрузок, почтовый клиент) может выдать ошибку превышения ожидания. Вероятность возникновения такой ошибки весьма велика, что означает заметные неудобства для пользователей при работе с Интернет. Для решения этой проблемы в антивирусах для шлюзов применяют специальные приемы.

Пример. В Антивирусе Касперского для Microsoft ISA Server и в Антивирусе Касперского для CheckPoint Firewall, с целью избежать ошибки превышения времени ожидания на клиентах, применяется технология удержания не файла целиком, а лишь его части. Таким образом, по мере ожидания полной загрузки файла на шлюз, антивирус до определенного момента передает пользователю части этого файла. После чего прекращает передачу, дожидается загрузки окончания файла, и если файл чистый, продолжает передачу, в противном случае - разрывает соединение.

При этом, естественно, существует опасность, что загруженная пользователем часть файла вмещает достаточное количество данных для того, чтобы быть запущенной и выполнить вредоносный код. Например, в удержанной антивирусом части файла могут быть только ресурсы программы, которые не необходимы для запуска и используются на более поздних этапах работы загружаемой программы.

Понятно, что чем большая часть файла будет удержана, тем меньше вероятность того, что вирус будет активирован, и тем большая - того, на клиенте возникнет ошибка превышения времени ожидания. В связи с этим величина удерживаемой части не является жестко заданной и может быть изменена в настройках. Поиск оптимального компромисса между удобством работы и качеством защиты возлагается на администратора антивирусной безопасности.

Второй важный момент, связанный с работой антивирусов для шлюзов, состоит в том, что для проверки файла, он должен быть загружен на шлюз целиком, причем в рамках одного соединения. Ни брандмауэр, ни антивирус для шлюзов не производят анализ [возможно] разнесенных во времени потоков данных на предмет - не содержат ли они разные части одного и того же файла. Таким образом, для того, чтобы вирус в файле был обнаружен, передаваемая в рамках одного соединения часть этого файла должна содержать вирус целиком.

Из указанного требования к условиям обнаружения вируса непосредственно следует, что существует вероятность проникновения вируса на компьютер, если зараженный файл загружается в несколько этапов либо в несколько потоков и при этом вирус не оказался целиком ни в одной из частей файла.

Пример. Зная об описанной уязвимости, в Антивирусе Касперского для CheckPoint Firewall по умолчанию отключена поддержка загрузки файлов по частям. В связи с этим у пользователей могут возникнуть неудобства, т.к. загрузка файлов в несколько потоков и даже просто дозагрузка файла в случае обрыва соединения будут невозможны. Поиск баланса между удобством и безопасностью, как и прежде, является задачей администратора

Некоторые антивирусы для шлюзов и вовсе не поддерживают возможность загрузки файлов по частям, полностью устраняя уязвимость, но гарантированно создавая неудобства.

Других серьезных архитектурных недостатков у антивирусов для шлюзов нет. А из архитектурных особенностей важно отметить тот факт, что для проверки используются только антивирусное ядро и антивирусные базы, что подразумевает применение только сигнатурного и эвристического анализа для поиска вредоносных программ. Метод поведенческого анализа не используется.

Также стоит упомянуть, что по понятным причинам защищенный трафик (HTTPS) антивирусом для шлюзов проверен быть не может. Если бы это было не так, HTTPS-трафик с трудом можно было бы считать защищенным.

Предотвращаемые угрозы

Угрозы, с которыми антивирусы для шлюзов справляются плохо или не справляются вовсе, выяснены. С какими же угрозами антивирусы для шлюзов справляются хорошо?

Во-первых, антивирус для шлюза способен предотвратить загрузку зараженного файла с FTP-сервера или веб-сайта. Уже давно не новой является технология распространения червей или троянов, когда пользователь получает сообщение (по почте или по другим каналам), содержащее не сам вредоносный файл, а ссылку на веб-сайт, где этот файл расположен. Антивирус на шлюзе предотвращает загрузку вредоносных файлов, как санкционированную, так и нет.

Пример. При этом есть и ограничения. В частности, если загружается архив, защищенный паролем, антивирус на шлюзе не сможет проверить такой архив. Кроме этого, проверка архивов и вообще составных файлов, как правило, занимает относительно большое время, увеличивая вероятность ошибки превышения времени ожидания на клиенте. Тем не менее, в связи с растущей тенденцией распространения червей в заархивированном виде, отключать проверку архивов на уровне шлюзов не рекомендуется

В контексте архивов есть смысл еще раз вспомнить о проблеме частичного (а не полного) удержания файла на сервере проверки. Если исполняемый модуль, загруженный не полностью, все же редко остается работоспособным, то из неполного архива очень часто можно извлечь часть файлов. В связи с этим, вероятность пропустить вирус в архиве гораздо выше, чем в исполняемом файле.

Нередко в веб-страницы сайтов бывают внедрены опасные скрипты, использующие уязвимости в браузерах для несанкционированной загрузки файлов или для изменения настроек: стартовой страницы, страницы поиска. Эти скрипты также проверяются на антивирусе для шлюзов, и их загрузка на компьютеры пользователей блокируется.

Пример. Как будет рассказано в дальнейшем, Антивирус Касперского для Windows Workstations обладает встроенным модулем, предназначенным для проверки скриптов. И в связи с этим необходимо отметить важный факт. Антивирус для шлюзов (в частности, Антивирус Касперского для Microsoft ISA Server и Антивирус Касперского для CheckPoint Firewall) при проверке скриптов применяет только технологии сигнатурного и эвристического анализа. В отличие от него, модуль проверки скриптов на рабочей станции следит за выполнением скрипта на компьютере пользователя и блокирует потенциально опасные действия, применяя тем самым технологию поведенческого анализа. Таким образом можно говорить, что средства проверки скриптов на уровне шлюза и на уровне рабочей станции не дублируют, а дополняют друг друга.

Используя SMTP-фильтр, Антивирус для шлюзов защищает также от вредоносных программ, распространяющихся через почту. Правда, только в том случае, если в организации используется почтовый сервер, получающий сообщения по протоколу SMTP. Если почта доставляется по другому протоколу или если пользователи обращаются за почтой на сервер за пределами сети организации, письма проверены не будут.

Необходимо отдельно отметить тот факт, что антивирус для шлюзов защищает от вирусов при работе с веб-почтой. В этом случае и сами почтовые сообщения и вложения к ним пользователь получает по протоколу HTTP, что и позволяет шлюзовому антивирусу осуществлять проверку. Примечателен тот факт, что антивирусы для почтовых систем при таком режиме работы с почтовыми сообщениями (веб-почта) неэффективны.

Эксплуатационные характеристики

Как и любая программа, помимо профилирующих характеристик, антивирусный комплекс для шлюза должен удовлетворять определенным требованиям к условиям эксплуатации. В частности, в контексте антивирусов, важными являются такие характеристики как:

• Управление

• Обновление

• Диагностика

• Производительность

Управление

Способы управления универсальными антивирусами для шлюзов и теми, которые построены на принципах интеграции, обычно несколько отличаются.

Универсальные антивирусы в силу своей специфики должны обладать полностью самостоятельными средствами управления. При этом локального интерфейса для таких антивирусов недостаточно. Далеко не всегда рабочее место администратора расположено в непосредственной близости от шлюза. Нередко все сервера сосредоточены в отдельном помещении с ограниченным физическим доступом. Поэтому антивирусу для шлюзов необходим также и удаленный интерфейс управления.

Чаще всего для удаленного управления применяется веб-интерфейс. Для этого в составе антивируса имеется встроенный веб-сервер. Иногда используется штатный веб-сервер для операционной системы, на которой установлен антивирус: например, Internet Information Server на Windows NT/2000/2003.

Особо изощренных средств разграничения доступа к веб-интерфейсу в антивирусах этого класса обычно нет. Используется аутентификация при помощи пароля. В качестве идентификатора может выступать IP- адрес, если используется ограничение на IP-адреса, с которых разрешено управление.

Что касается локального интерфейса, то в универсальных антивирусах для шлюзов он, как правило, стандартен для той операционной системы, на которой антивирус установлен. В случае Windows это либо специально разработанный оконный интерфейс, либо оснастка для MMC (Microsoft Management Console) - стандартного интерфейса управления под Windows. В случае Unix-систем, в качестве интерфейса управления выступают конфигурационные файлы и командная строка.

Если же речь идет об антивирусах, интегрирующихся с брандмауэрами, то и средства управления для них обычно выполнены в виде модулей, интегрирующихся в средства управления брандмауэром.

Пример. Антивирус Касперского для Microsoft ISA Server управляется через встраиваемый модуль в программе управления ISA-сервером - ISA Management, которая в свою очередь является оснасткой для MMC. Поскольку ISA Management может использоваться как для локального, так и для удаленного управления, аналогичными свойствами обладает и система управления Антивирусом Касперского для Microsoft ISA Server. Для доступа к системе управления необходимо обладать правами администратора на компьютере с установленным ISA-сервером.

Еще одним подходом к управлению антивирусами для шлюзов является использование централизованной системы управления. Основной задачей такой системы является управление антивирусами, установленными на рабочих станциях и серверах Windows. При этом в рамках унификации управления, через централизованную систему могут управляться и другие антивирусные продукты того же производителя.

Пример. Для удаленного изменения параметров проверки в Антивирусе Касперского для CheckPoint Firewall используется система управления Kaspersky Administration Kit 4.5, тогда как параметры передачи трафика на проверку настраиваются при помощи средств управления брандмауэром.

Отдельного рассмотрения заслуживает управление антивирусами для шлюзов, установленных на нескольких Microsoft ISA Server, объединенных в массив (Array).

Пример. Антивирус Касперского для Microsoft ISA Server сегодня является единственным антивирусом для ISA-серверов, который поддерживает полную интеграцию с массивами ISA-серверов. При этом можно управлять настройками антивирусов, установленных на всех ISA-серверах массива, синхронно, т. е. точно так же, как настройками одного сервера. Альтернативно, можно задать для разных антивирусов разные настройки.

Обновление

Обновление антивируса для шлюзов осуществляется штатными средствами обновления и, как правило, поддерживает следующие источники:

• HTTP-сервера

• FTP-сервера

• Локальные или сетевые папки

Каких-либо особенностей здесь нет. Средства обновления во всех распространенных антивирусах для шлюзов обеспечивают необходимый минимум функций:

• Возможность указать источник обновления

• Возможность выполнять обновление вручную

• Возможность выполнять обновления автоматически по расписанию

Поскольку антивирусы для шлюзов обычно являются обособленными средствами защиты, вопрос о какой-то специальной системе обновления для них не стоит. Тем не менее, если эти антивирусы включаются в централизованную систему администрирования, они могут использовать и централизованную систему обновления.

Немного особняком стоит вопрос об обновлении нескольких экземпляров антивирусов для Microsoft ISA Server, в случае установки на массив серверов.

Пример. Если Антивирус Касперского для Microsoft ISA Server установлен на массив серверов, то для обновления антивирусов на всех серверах массива можно использовать функцию ретрансляции. Для этого выбирается один из серверов массива, на котором антивирус будет обновляться через Интернет (или из другого источника) и распространять обновления на другие сервера массива. Для распространения обновлений штатно предусмотрен режим использования общей папки Windows

Диагностика

Основным средством диагностики шлюзового антивируса являются журналы работы. Как правило, это обычные текстовые файлы, куда записывается вся информация о происходящих событиях, в частности о проверенных объектах, результатах проверки и выполненных действиях. Журналы позволяют администратору антивирусной безопасности провести анализ событий и, например, выяснить источник и обстоятельства проникновения вируса в сеть, или же причины неполадок другого рода.

Кроме журналов событий, антивирус для шлюза должен иметь возможность уведомить пользователя и администратора о том, что имела место попытка загрузить зараженный объект. Для оповещения пользователей обычно используется подмена загружаемого объекта html-страницей с текстом уведомления. Для уведомления администратора используются сообщения электронной почты.

Наконец, часто есть необходимость выяснить причины низкой производительности антивируса для шлюзов. Для этого удобно использовать счетчики производительности, отображающие в реальном времени:

• Количество обработанных объектов

• Количество инфицированных объектов

• Количество составных объектов

• Количество ошибок

• И т. п. показатели

Реализация подобной функциональности обычно базируется на стандартном средстве мониторинга производительности в Windows NT-подобных системах - Performance Monitor.

Производительность

Для повышения производительности можно использовать различные схемы подключения, о которых речь шла ранее. Кроме этого, в некоторых случаях можно регулировать степень использования системных ресурсов.

Пример. В Антивирусе Касперского для CheckPoint Firewall можно использовать параллельно несколько антивирусных ядер для проверки объектов. Рекомендуется использовать четыре ядра на каждый физический процессор.

Заключение

Принимая во внимание все вышесказанное, можно сделать вывод о том, что антивирусы для шлюзов не позволяют полностью предотвратить проникновение вирусов через Интернет-каналы. Используя шифрование, архивы с паролем, загрузку файлов по частям, можно создать условия для проникновения вредоносных программ. Следовательно, даже при наличии антивируса на шлюзе, рабочие станции и сервера, находящиеся внутри сети, по-прежнему нуждаются в локально установленном антивирусе.

Тем не менее, антивирусы для шлюзов позволяют существенно сократить поток вирусов из Интернет и снизить нагрузку на локальные антивирусные средства, что является крайне важным фактором при построении комплексной системы антивирусной защиты.