Антивирусная защита сети


Основы построения локальной компьютерной сети
Для организации полноценной и эффективной работы локальной компьютерной сети, необходимо, чтобы компьютеры в ней:

  • имели возможность обмениваться информацией между собой с помощью сетевых технологий (то есть не только мобильных носителей);
  • могли хранить и обрабатывать информацию на выделенных сетевых серверах, если это требуется в работе;
  • получать и отправлять электронные письма;
  • имели доступ в Интернет, если это предусмотрено и разрешено политикой организации;
  • могли использовать другие сетевые технологии – сетевой принтер, факс.


Большинство существующих сегодня в мире компьютерных сетей – это сети среднего масштаба, имеющие в своем составе один шлюз, который отвечает за связь с Интернет, один почтовый сервер, принимающий и пересылающий электронные письма, несколько сетевых серверов и десятки рабочих станций.

Tipovaya lokalnaya komputernaya set
Рис. 1. Типовая локальная компьютерная сеть


Каждый элемент локальной компьютерной сети можно охарактеризовать списком доступных для него способов обмена информацией и в соответствии с этими данными разделить все компьютеры на такие сегменты:

  • рабочие станции и сетевые сервера – обмен файлами по сети и с помощью мобильных носителей;
  • почтовые сервера – прием и отправка электронных писем, иногда обмен файлами по сети и с помощью мобильных носителей;
  • шлюз – организация обмена файлов между компьютерами локальной сети и более глобальной сетью, например Интернет. Дополнительно возможен обмен файлами по сети и с помощью мобильных носителей.


Рабочие станции также могут принимать электронную почту, однако фактически они ее копируют либо с почтового сервера, либо со шлюза, что можно приравнять к внутрисетевому обмену данными.


Уровни антивирусной защиты

Архитектура системы антивирусной защиты сильно зависит от функции рассматриваемого компьютера, а именно от присутствующих у него каналов связи с окружающим миром. Выделим соответствующие уровни антивирусной защиты:

  • уровень защиты рабочих станций и сетевых серверов;
  • уровень защиты почтовых серверов;
  • уровень защиты шлюзов.


В этой классификации на каждый почтовый сервер могут быть установлены одновременно программы, реализующие уровень защиты рабочих станций и сетевых серверов и программы, относящиеся к уровню защиты почтовых серверов. Аналогично дело обстоит и со шлюзами – программное обеспечение уровня рабочих станций и сетевых серверов и уровня защиты шлюзов.


Уровень защиты рабочих станций и сетевых серверов
Уровень защиты рабочих станций и сетевых серверов охватывает все компьютеры локальной сети и служит самым последним оплотом на пути проникновения вредоносных программ. Даже если где-то в системе антивирусной защиты случился прокол, и одна машина все же оказалась заражена, установленные на остальных компьютерах антивирусные программы должны предотвратить дальнейшее распространение эпидемии по сети.
Защита рабочих станций и сетевых серверов ответственна в первую очередь за чистоту файловой системы каждого из компьютеров сети. Следовательно, она в обязательном порядке должна содержать постоянную проверку, как механизм предотвращения заражения системы вирусами, проверку по требованию – процедуру для тщательной ревизии рассматриваемой машины, и нейтрализации проникших на нее вредоносных программ, и модуль для поддержания вирусных сигнатур в актуальном состоянии.
С помощью специальных программ и утилит для централизованного удаленного управления, можно не вставая из-за своего компьютера одновременно управлять и настраивать программы на удаленных компьютерах и подчиненных ему других элементах сети.
Следовательно, к антивирусному комплексу для защиты рабочих станций и сетевых серверов предъявляется дополнительное требование – наличие в его составе программного средства для удаленного централизованного управления локальными приложениями.


Уровень защиты почты
Это вторая ступень в антивирусной защите сети, и служит для уменьшения нагрузки и увеличения надежности системы защиты рабочих станций и сетевых серверов. Антивирусная проверка исходящей корреспонденции, в случае одиночного вирусного инцидента внутри сети послужит преградой для распространения этого вируса на другие, внешние, компьютеры. В системе защиты этого уровня используется комплекс для защиты почтовых систем.

Почтовый сервер – это компьютер, на котором установлена и успешно функционирует программа по обработке почты. Почтовый сервер относится к серверной группе, а не к рабочим станциям, т.к. его главное предназначение состоит в обеспечении работы почтовой системы, а не в решении локальных прикладных задач. А значит, почтовый сервер фактически представляет собой хранилище информации (электронных писем) для других сетевых пользователей.
Почтовая программа или агент пересылки сообщений осуществляет передачу электронных писем от одного компьютера к другому. Т.е. компьютер отправителя, который находится во внутренней сети, связывается с почтовой программой на сервере и пересылает ей письмо, который выделяет из письма адрес получателя и производит дальнейшее перенаправление – в Интернет или обратно в локальную сеть другому пользователю из нее. Почтовый агент уведомляет пользователя, что у него в ящике появилось новое сообщение. Если он захочет его получить, то почтовый агент связывается с сервером и копирует файлы письма на машину пользователя. Таким образом, на сервере образуется очередь из еще не отосланных и еще неполученных писем, а также полностью или частично хранится входящая корреспонденция.
Поэтому антивирусная проверка должна включать в себя, как проверку всех проходящих через почтовую программу потоков, так и хранилища электронных писем.

Антивирусный комплекс для защиты почты должен содержать:

  • антивирусную проверку в режиме реального времени проходящей через почтовую систему корреспонденции;
  • антивирусную проверку в режиме реального времени файлов, запрашиваемых пользователями из своих почтовых ящиков;
  • антивирусную проверку по требованию для хранимых на сервере файлов почтового формата, а именно информации в ящиках пользователей;
  • средство для обновления антивирусных баз.


Уровень защиты шлюзов
Антивирусная защита на уровне шлюза играет вспомогательную роль в общей системе антивирусной безопасности сети, т.к. задача такого антивирусного комплекса – только проверка поступающей извне информации на наличие в ней вредоносных программ. Однако даже если вирус проникнет сквозь шлюз, заразить ни один компьютер ему не удастся: его перехватит антивирус на локальной машине, а в случае инфицированного почтового сообщения – он будет остановлен еще на почтовом сервере.
Практика показывает, чем больше локальная сеть, тем больше вероятность, что может произойти сбой работы антивирусной программы. Несмотря на то, что распределенная система защиты рабочих станций и сетевых серверов не даст вирусу распространиться далее по сети, а локализует на одной инфицированной машине, это все равно может привести к потери очень важных документов на данном компьютере. А при отсутствии защиты шлюза вирус сможет, например, произвести несанкционированную рассылку или позволить злоумышленнику похитить конфиденциальную информацию. Поэтому антивирусная защита шлюза позволяет существенно увеличить надежность антивирусной защиты в целом.

Шлюз – это компьютер с установленной программой, реализующий механизм передачи данных от одной сети к другой. Обычно под этим подразумевается переход локальная сеть – сеть Интернет, и все, за редким обоснованным исключением компьютеры сети, связываются с Интернет только через шлюз.

Основная функция шлюза – передача запросов от одного сегмента, в другой. Например, если внутреннему пользователю нужно загрузить информацию с внешнего веб-сайта, он направляет соответствующий запрос на шлюз, который на основе этих данных запрашивает удаленный веб-сервер, получает с него требуемую информацию и передает ее пользователю.

На уровне защиты шлюза используется антивирусный комплекс для защиты шлюзов, который отвечает только за проверку проходящих через него данных, а за чистоту файловой системы ответственен комплекс по защите сетевых серверов. Поэтому программный комплекс для защиты шлюзов должен содержать только фильтры для проходящих через него потоков. Обычно это:

  • HTTP (Hypertext Transfer Protocol – протокол передачи гипертекста) – это стандарт, определяющий алгоритм передачи информации в различных форматах. Это самый распространенный на сегодняшний день протокол;
  • FTP (File Transfer Protocol – протокол передачи файлов) определяет механизм передачи файлов в компьютерных сетях. FTP является один из старейших протоколов, он был предложен в 1971 году, в то время как HTTP – только в 1990;
  • SMTP (Simple Mail Transfer Protocol – простой протокол передач и почты) – это сетевой протокол, предназначенный для передачи электронных сообщений.


Централизованное управление антивирусной защитой
Для локальной сети, насчитывающей десятки или больше компьютеров, необходимо использование системы удаленного централизованного управления антивирусной защитой. Она позволяет администратору обслуживать все входящие в его ведение рабочие станции и сетевые сервера, не вставая с рабочего места. Удаленно настраивать политики антивирусной безопасности, запускать проверку объектов на наличие в них вирусов, включать или выключать постоянную защиту, централизованно обновлять антивирусные базы, разрешать или запрещать пользователям самим менять какие-либо настройки, в том числе позволять или не позволять, им видеть, что на компьютере вообще установлен и работает антивирус. Преимущество использования такой системы – это возможность тотального контроля за вирусной активностью и состоянием антивирусной защиты в сети, быстрого обнаружения и оперативного устранения всех вирусных инцидентов.


Логическая сеть
Управление администратором антивирусной защиты всех без исключения входящих в локальную сеть компьютеров, встречается очень редко. Причиной этого является, существование ряда машин, содержащих особо конфиденциальную информацию и нуждающихся в индивидуальном подходе (например, отделы, не имеющие физической связи с остальной локальной сетью).
Поэтому в отношении системы удаленного администрирования употребляется термин логической сети, под которым понимается группа компьютеров, управление антивирусной защитой которых может вестись из одного источника.

Shema logicheskoi seti sistemi antivirusnoi zashiti
Рис. 2. Схема логической сети системы антивирусной защиты

Таким образом, если в организации, которой принадлежит локальная сеть, есть несколько связанных только через Интернет филиалов, то управление антивирусной защитой может осуществляться полностью централизованно одним администратором или же может быть разбито на отдельные сегменты.


Компоненты
Система удаленного централизованного управления обычно состоит из таких отдельных программных компонентов:

  • клиентской антивирусной программы, то есть антивирусного комплекса для рабочих станций или сетевых серверов;
  • сервера администрирования – так называется программа, которая собирает, обрабатывает и хранит все настройки, информацию обо всех событиях и инцидентах, имевших место в сети, рассылает уведомления и отчеты. Для полноценного функционирования необходима база данных для хранения всей собранной информации. Сервер администрирования и база данных могут устанавливаться, как на отдельном выделенном для этого компьютере, так и на рабочем месте администратора, на одной машине или на разных;
  • агента администрирования, который устанавливается на все компьютеры, входящие в логическую сеть системы антивирусной защиты. Его задача – обеспечить связь клиентской программы с сервером администрирования и оперативно передать ему информацию о состоянии антивирусной защиты на этой машине, получить новые антивирусные базы или другие указания и команды;
  • консоли администрирования, устанавливаемой на рабочем месте администратора. Это небольшая программа, которая позволяет в приятном и удобном виде вывести данные с сервера администрирования, на их основе построить графики и диаграммы, создать отчеты, произвести настройку клиентских компьютеров, удаленно запустить проверку или обновить антивирусные базы одновременно на нескольких машинах. Возможности той или иной консоли полностью зависят от заложенных в нее фирмой-производителем функций.

Shema vzaimodeistv_komponentov upravl_kompleksa dlya zashiti rab_stancii i serverov
Рис. 3. Схема взаимодействия компонентов централизованно управляемого комплекса для защиты рабочих станций и сетевых серверов


Shema raboti statistiki vsisteme antivir_zashiti
Рис. 4. Схема сбора статистики в системе антивирусной защиты

Приведенная схема реализована в большинстве популярных антивирусных комплексов, однако существуют программы, которые немного иначе распределяют функции среди своих компонентов. Однако общий алгоритм работы системы удаленного централизованного управления остается таким же.