Защита шлюзов


Антивирус для шлюза – первый уровень защиты на пути проникновения вирусов в сеть организации.
Задача антивируса установленного на шлюзе — не допустить проникновения вирусов вовнутрь сети через поток данных Интернет.
Ни одна защита не бывает абсолютной. Это связано с тем, что надежность и эффективность антивирусного средства зависит от множества факторов – программного окружения, действий пользователя, настроек и т. д.
Поэтому кроме обеспечения защиты самих компьютеров, крайне важно максимально ограничить количество проникающих в сеть вредоносных программ, чтобы временная неэффективность защиты на отдельных узлах не превращалась в серьезную угрозу безопасности.
Антивирус для шлюзов более эффективен и даже необходим при защите крупных сетей. В малых сетях его относительная полезность, в обеспечении общей безопасности, несколько ниже.


Возможные схемы защиты

Антивирус для шлюза должен, так или иначе, перехватывать данные, передаваемые из Интернет, анализировать эти данные и блокировать их поступление на компьютер пользователя, если они представляют угрозу. Данную задачу можно решить двумя путями:

  • разрабатывать с нуля систему обработки сетевых потоков, анализа пакетов, чтобы можно было к этой системе применить уже готовое антивирусное ядро и организовать проверку проходящего трафика. Этот пусть требует значительных затрат на пути реализации. Преимущество: антивирусное решение может быть использовано в сетях любой архитектуры. Достаточно установить дополнительный сервер антивирусной проверки на пути потока данных из Интернет: как правило, непосредственно перед или непосредственно после основного шлюза;
  • интеграция антивирусного решения с брандмауэром или прокси-сервером для проверки проходящего трафика. Преимущество: возможность организовать антивирусную защиту не изменяя структуру сети, т. е. не вводя дополнительных серверов.


Универсальные антивирусы для шлюзов
Решение, которое может быть внедрено в сети независимо от того, какие уже решения уровня шлюзов в ней используются, без необходимости менять ПО брандмауэров и прокси-серверов на какое-либо другое. Т.е. антивирус не требует для работы наличия каких-то конкретных решений, с которыми ему необходимо интегрироваться, и обладает функциями обработки трафика в объеме, достаточном для выполнения антивирусной проверки и прозрачного прохождения через антивирус всех потоков, не содержащих вредоносного кода. Однако, универсальный антивирус для шлюзов, не может быть использован как полноценный брандмауэр, прокси-сервер или межсетевой экран, в связи с тем, что функции маршрутизации в нем существенно ограничены.
Следовательно, для решения данной проблемы необходимо вводить дополнительный сервер с установленным антивирусным решением, и который будет служить простым шлюзом, т. е. просто передавать данные от одного сервера на другой. Это требует изменения в настройках маршрутизации и, возможно, DNS, что нельзя назвать преимуществом.

Существующие реализации универсальных антивирусов для шлюзов позволяют проверять данные, поступающие по следующим протоколам:

  • HTTP;
  • FTP;
  • SMTP.


Это связано с тем, что перечисленные протоколы являются наиболее часто используемыми при обмене данными с Интернет. А поддержка протоколов, которые могут использоваться для передачи инфицированных файлов (например, NNTP), несущественно увеличивает уровень защиты и рассматривается производителями антивирусов как экономически неоправданная. В зависимости от топологий сети с использованием универсального антивирусного решения для шлюзов, можно выделить следующие варианты. При этом проверку SMTP-протокола и протоколов Интернет удобно рассмотреть отдельно.

- Проверка протоколов Интернет
В данном случае, сервер антивирусной проверки наиболее оптимально устанавливать перед прокси-сервером, но за брандмауэром, если смотреть со стороны защищаемой сети. Впрочем, брандмауэр может и отсутствовать. Тогда антивирус получает на вход и выполняет проверку поступающих данных на наличие вредоносного кода и передает уже проверенные данные на прокси-сервер.

Ustanovka servera antivirus_proverki pered proxi-serverom
Рис. 1. Установка сервера антивирусной проверки перед прокси-сервером


Преимущество: нет необходимости менять настройки ни брандмауэра, ни прокси-сервера, и при этом не страдает функциональность шлюза. Данные, находящиеся в кэше прокси-сервера проверяются только один раз. Проверка выполняется полностью прозрачно для всех прочих программ и тем более для пользователей.

Вариант подключения, когда сервер антивирусной проверки устанавливается после прокси-сервера. В этом случае, уже обработанные прокси-сервером данные получает антивирус, выполняет проверку и передает эти данные пользователям самостоятельно.

Ustanovka servera antivirusnoi proverki za proxi-serverom
Рис. 2. Установка сервера антивирусной проверки за прокси-сервером


Недостаток:

  • данные, находящиеся в кэше прокси-сервера, будут проверять при каждом запросе к ним со стороны пользователей;
  • антивирусное решение должно обладать функционалом прокси-сервера в достаточном объеме для корректной раздачи данных пользователям – не всякий антивирус для шлюзов обладает таким функционалом, а значит, схема не всегда реализуема;
  • ограничение функционала шлюза, т.е. некоторые возможности исходного прокси-сервера будут недоступны из-за того, что за ним установлен антивирус.


Установка антивируса непосредственно на прокси-сервер. При этом логически антивирус может находиться как перед, так и за прокси-сервером с точки зрения пользователей сети. С точки зрения порядка обработки данных, такой способ включения будет эквивалентным одному из предыдущих.

Ustanovka antivirusa na proxi-server
Рис. 3. Установка антивируса на прокси-сервер


Преимущество: отсутствие необходимости в использовании дополнительного сервера для антивирусной проверки.
Недостаток: необходимость перенастройки портов либо на ПО прокси-сервера, либо на антивирусе, либо на клиентских компьютерах для того, чтобы данные корректно обрабатывались. А также дополнительная нагрузка на компьютер, использующий антивирус и прокси-сервер совместно, в некоторых случаях может потребоваться замена сервера на более производительный.

Антивирус можно использовать вместо штатного прокси-сервера, если он обладает минимальным функционалом для маршрутизации данных между клиентами внутри сети. Тогда данные, которые должны были поступать на прокси-сервер, поступают на сервер антивирусной проверки, проверяются, и далее передаются на клиентские компьютеры.

Zamena proxi-servera na antivirusnii server s funkciyami proxi
Рис. 4. Замена прокси-сервера на антивирусный сервер с функциями прокси


Преимущество: использование одного сервера.
Недостаток: потеря в функциональности шлюза.

- Проверка почты SMTP
При проверке данных, передаваемых по протоколу SMTP, допустимы те же способы подключения, что и при проверке Интернет-потока. Антивирусы для шлюзов изредка обладают функциональностью прокси-сервера, а функциональностью доставки почты в ящики пользователей, не обладают вообще, что отсекает варианты подключения по схеме 2 и 4.
При необходимости установки антивирусного сервера перед почтовым, применяется следующий прием: почтовые сервера устанавливаются с обеих сторон антивирусного сервера. Тогда один почтовый сервер принимает почту из Интернета и передает ее на сервер антивирусной проверки, где она проверяется и пересылается на второй почтовый сервер, который уже и доставляет ее в ящики пользователей.

Ustonovka servera antivirusnoi proverki mejdu pochtovimi serverami
Рис. 5. Установка сервера антивирусной проверки между почтовыми серверами


Мотив для такой организации обработки трафика SMTP – использование почтовых серверов злоумышленниками для несанкционированной рассылки спама. Из-за отсутствия технологий защиты от подобных действий в антивирусе для шлюзов, он становится более уязвим, чем полноценный почтовый сервер, и с точки зрения безопасности правильнее, чтобы именно почтовый сервер был непосредственно доступен из Интернет.


Антивирусы для шлюзов, основанные на интеграции

Рассматривая интеграцию антивирусов с брандмауэрами определим, что возможности интеграции и часть функционала антивирусного решения будут зависеть от возможностей самого брандмауэра.
Только для наиболее широко используемых брандмауэров существуют антивирусные решения. Из всех антивирусов, интегрирующихся с брандмауэрами, можно выделить два класса программ:

  • антивирусы для Microsoft Internet Security and Acceleration Server (Microsoft ISA Server);
  • антивирусы для CheckPoint Firewall-1 (VPN-1).


- Антивирусы для Microsoft ISA Server
Решения компании Microsoft традиционно являются наиболее широко используемыми на платформе Microsoft.
В Microsoft ISA Server предусмотрен механизм плагинов, с помощью которых антивирусы и интегрируются в продукт, т.е. антивирусное решение устанавливается на тот же компьютер, что и Microsoft ISA Server. Это означает меньшую гибкость решения, и большую простоту в установке и настройке.
Антивирусы для Microsoft ISA Server могут проверять данные, передаваемые протоколам:

  • HTTP;
  • FTP;
  • SMTP.

Важным аспектом совместного функционирования Microsoft ISA Server и антивируса является зависимость от режима использования Microsoft ISA Server, который может быть установлен в одном из трех режимов:

  • Firewall — режим брандмауэра, обеспечивающий безопасность сети путем применения пакетных фильтров, правил обработки трафика и т.д.;
  • Cache — режим прокси-сервера, включающий кэширование веб-страниц и поддержку веб-хостинга;
  • Integrated — режим, объединяющий первые два.


Соответственно, в различных режимах, интеграция с Microsoft ISA Server происходит по-разному, и возможности антивирусной проверки также будут разными.

- Антивирусы для CheckPoint Firewall
Большое количество антивирусов для CheckPoint Firewall объясняется тем, что этот брандмауэр является одним из наиболее распространенных, и что компания CheckPoint, осознавая важность антивирусной защиты, пошла навстречу производителям антивирусов и разработала протокол CVP (Content Vectoring Protocol), позволяющий передавать на проверку объекты, проходящие через брандмауэр CheckPoint Firewall в составе Интернет-трафика.
Из-за использования для интеграции функций проверки протокола передачи данных, антивирус может устанавливаться на любой сервер, а не обязательно на сам брандмауэр, что позволяет существенно повысить гибкость решения и производительность.

Антивирусы для CheckPoint Firewall могут проверять данные, передаваемые по трем протоколам:

  • HTTP;
  • FTP;
  • SMTP.


В общем случае антивирус устанавливается на отдельный сервер и принимает от брандмауэра Firewall-1 перенаправленные потоки, проверяет их, и возвращает назад на брандмауэр.

Ispolzovanie paralelno_ustanovl_servera antivirusnoi proverki
Рис. 6. Использование параллельно установленного сервера антивирусной проверки


Если же CheckPoint Firewall-1 установлен на ОС Windows NT/2000, то антивирус можно будет установить на этот же сервер. Принцип интеграции остается тот же – брандмауэр пересылает данные на CVP-порт, используемый антивирусом для приема данных. Разница в потоке данных, который не выходит за пределы сервера, что повышает нагрузку на сервер, но позволяет обойтись без дополнительных компьютеров.

Ustanovka antivirusa na server brandmauera
Рис. 7. Установка антивируса на сервер брандмауэра


Если используется несколько брандмауэров CheckPoint Firewall-1 (например, чтобы защитить нескольких
независимых каналов доступа в Интернет), для проверки проходящего через них трафика, то можно использовать все брандмауэры настроив на использование общего сервера антивирусной проверки.

Ispolzov_odnogo antivir_servera dlya proverki potocov ot neskolkih brandmauerov
Рис. 8. Использование одного антивирусного сервера для проверки потоков от нескольких брандмауэров


Однако, при использовании одного антивирусного сервера для проверки трафика, поступающего от нескольких брандмауэров, этому серверу потребуется выделить дополнительные аппаратные ресурсы.
В качестве альтернативы увеличения мощности сервера антивирусной проверки, можно использовать различные сервера для проверки различных типов трафика – HTTP, FTP, SMTP. Для чего достаточно указать на брандмауэре в настройках правил пересылки FTP, HTTP и SMTP данных различные антивирусные сервера.

Ispolzov_razlichnih antivir_serverov dlya proverki razlichnih potokov
Рис. 9. Использование различных антивирусных серверов для проверки различных потоков


Преимущество: распределение нагрузки между антивирусными серверами.
Недостаток: необходимость в использовании нескольких серверов для антивирусной проверки.


Требования к антивирусам для шлюзов

Требования к антивирусу для шлюзов можно разделить на несколько категорий:

  1. Общие требования – требования, не связанные с назначением антивируса, и состоят в том, чтобы продукт был надежным, производительным, удобным в использовании и, желательно, дешевым;
  2. Основные требования– чтобы антивирус выполнял свою основную задачу:
    • иметь возможность проверять Интернет-потоки данных (HTTP, FTP и, возможно, SMTP) на наличие вирусов и предотвращать проникновение вирусов в сеть. Исходя из основного требования, следует ряд уточнений, касающихся особенностей проверки, обнаружения и блокирования вирусов;
    • иметь возможность проверять составные объекты – архивы, самораспаковывающиеся архивы, упакованные исполняемые файлы, почтовые базы, файлы почтовых форматов;
    • он должен позволять настраивать действия, которые будут выполняться при обнаружении вредоносных программ в потоках данных, т.е. стандартные действия – пропустить, удалить, поместить на карантин;
    • имел возможность лечить зараженные объекты.
  3. Требования к управлению:
    • масштабируемость — настройки одного сервера должны легко распространяться на другие сервера или группу серверов, особенно если речь идет о массивах серверов Microsoft ISA Server или подобных решениях;
    • удаленное управление — администратор антивирусной безопасности должен иметь возможность управлять всеми антивирусными средствами непосредственно со своего рабочего места.
  4. Требования к обновлению:
    • высокая скорость реакции производителя на появление новых угроз – выражается, в том числе и в частоте выпуска обновлений;
    • поддержка различных источников обновления — HTTP, FTP-ресурсов, локальных и сетевых папок;
    • возможность производить обновление вручную по требованию и автоматически по расписанию.
  5. Требования к диагностике:
    • уведомление администратора об инцидентах, связанных с антивирусной безопасностью;
    • ведение журналов работы;
    • уведомление пользователя о попытках загрузить зараженный файл.


Угрозы и методы защиты от них

Особенности архитектуры
Технология проверки на шлюзе ничем не отличается от технологии проверки на рабочей станции или файловом сервере – применяются те же алгоритмы и антивирусные базы. Это означает, что проверяемыми объектами в антивирусе для шлюзов будут файлы. Сперва эти файлы вытягиваются из потока данных для проверки, и согласно результатам проверки поток либо пропускается дальше, либо блокируется. Антивирусы поддерживающие лечение самостоятельно генерируют поток для замены потока с зараженным файлом на поток с вылеченным файлом (лечение).

Преимущество: использование универсального (общего для всех продуктов) ядра помогает производителю сократить время на разработку новых баз и возможность выпускать их чаще, что повышает скорость реакции на новые угрозы. Для пользователя – возможность сократить трафик обновления и возможность косвенной проверки антивирусного решения: если вирус обнаруживается антивирусом для рабочих станций, он будет обнаруживаться антивирусом для шлюзов, и наоборот.

Недостатки: не все вирусы распространяются в виде файлов, поэтому, против «бестелесных» червей типа Slammer антивирусы для шлюзов бессильны. Черви типа Lovesan и Sasser – также останутся незамеченными многими антивирусами для шлюзов, так как используют прямые атаки на службы Windows, которые идут не по протоколам HTTP, FTP, SMTP. Имеющийся архитектурный недостаток не превращается в серьезную проблему, т.к. существование шлюза само по себе ограждает рабочие станции сети от прямых вирусных атак извне.

Для проверки файла, он должен быть загружен на шлюз целиком, причем в рамках одного соединения. Ни брандмауэр, ни антивирус для шлюзов не производят анализ (возможно) разнесенных во времени потоков данных на предмет – не содержат ли они разные части одного и того же файла. Т.е. чтобы вирус в файле был обнаружен, передаваемая в рамках одного соединения часть этого файла должна содержать вирус целиком.
Из выше сказанного следует, что существует вероятность проникновения вируса на компьютер, при загрузке зараженного файла в несколько этапов, либо в несколько потоков, и при этом вирус не оказался целиком ни в одной из частей файла. Антивирусы для шлюзов не поддерживающие возможность загрузки файлов по частям – полностью устраняют уязвимость, но гарантированно создавая неудобства.
Для проверки используются только антивирусное ядро и антивирусные базы, что подразумевает применение только сигнатурного и эвристического анализа для поиска вредоносных программ. Метод поведенческого анализа не используется.


Предотвращаемые угрозы

Антивирус для шлюза способен предотвратить загрузку зараженного файла с FTP-севера или веб-сайта, предотвращает загрузку вредоносных файлов, как санкционированную, так и нет.
Внедренные на веб-страницы сайтов опасные скрипты, использующие уязвимости в браузерах для несанкционированной загрузки файлов или для изменения настроек, также проверяются на антивирусе для шлюзов, и их загрузка на компьютеры пользователей блокируется.
Используя SMTP-фильтр, Антивирус для шлюзов защищает также от вредоносных программ, распространяющихся через почту. Антивирус для шлюзов защищает от вирусов при работе с веб-почтой. Тогда почтовые сообщения и вложения к ним пользователь получает по протоколу HTTP, что и позволяет шлюзовому антивирусу осуществлять проверку. Антивирусы для почтовых систем при таком режиме работы с почтовыми сообщениями (веб-почта) неэффективны.


Эксплуатационные характеристики

Помимо профилирующих характеристик, антивирусный комплекс для шлюза должен удовлетворять определенным требованиям к условиям эксплуатации. Важными являются такие характеристики:

  • Управление;
  • Обновление;
  • Диагностика;
  • Производительность.


Управление
Универсальные антивирусы в силу своей специфики должны обладать полностью самостоятельными средствами управления. Антивирусу для шлюзов необходим удаленный интерфейс управления, т.к. не всегда рабочее место администратора расположено в близости от шлюза, и нередко все сервера сосредоточены в отдельном помещении с ограниченным физическим доступом.
Обычно для удаленного управления применяется веб-интерфейс. Для этого в составе антивируса имеется встроенный веб-сервер. Иногда используется штатный веб-сервер для операционной системы, на которой установлен антивирус: например, Internet Information Server на Windows NT/2000/2003.
Средства разграничения доступа к веб-интерфейсу в антивирусах этого класса используют аутентификацию при помощи пароля.
Локальный интерфейс в универсальных антивирусах для шлюзов, обычно стандартен, для той операционной системы, на которой антивирус установлен. В случае Windows это либо специально разработанный оконный интерфейс, либо оснастка для MMC (Microsoft Management Console) – стандартного интерфейса управления под Windows. В случае Unix-систем, в качестве интерфейса управления выступают конфигурационные файлы и командная строка.
В антивирусах, интегрирующихся с брандмауэрами, средства управления обычно выполнены в виде модулей, интегрирующихся в средства управления брандмауэром.


Обновление

Обновление антивируса для шлюзов осуществляется штатными средствами обновления и, как правило, поддерживает следующие источники:

  • HTTP-сервера;
  • FTP-сервера;
  • Локальные или сетевые папки.


Средства обновления во всех распространенных антивирусах для шлюзов обеспечивают необходимый минимум функций;

  • Возможность указать источник обновления;
  • Возможность выполнять обновление вручную;
  • Возможность выполнять обновления автоматически по расписанию.


Диагностика
Основным средством диагностики шлюзового антивируса являются журналы работы. Это обычные текстовые файлы, куда записывается вся информация о происходящих событиях, о проверенных объектах, результатах проверки и выполненных действиях. Он так же должен уведомлять пользователя и администратора о том, что была попытка загрузить зараженный объект.

Для выяснения причины низкой производительности антивируса для шлюзов удобно использовать счетчики производительности, отображающие в реальном времени:

  • количество обработанных объектов;
  • количество инфицированных объектов;
  • количество составных объектов;
  • количество ошибок;
  • И т. п. показатели.


Производительность
Для повышения производительности можно использовать различные схемы подключения, о которых речь шла ранее. Кроме этого, в некоторых случаях можно регулировать степень использования системных ресурсов.