Александр Судов
Для обеспечения информационной безопасности компьютерных сетей в настоящее время широко используются брандмауэры - средства управления доступом к компьютерной сети вашей организации. Роль брандмауэров подобна той, которую выполняет сотрудник безопасности, стоящий при входе в здание, где размещается ваша компания, - проверять пропуска у входящих и смотреть, что они несут через проходную. Брандмауэр ограничивает доступ из Интернет внутрь корпоративной сети и в обратном направлении, работая как фильтр. Его функционирование основывается на ряде установленных правил, описывающих, какие IP-пакеты можно пропускать, а какие нет, и с этим он вполне справляется.
Очень часто системные администраторы ограничиваются лишь установкой брандмауэра, веря, что этого вполне достаточно для обеспечения безопасности. В действительности, однако, ни одно из выпускаемых устройств не дает абсолютной гарантии безопасности, доказательством чему служит их неспособность защитить локальную сеть от проникновения вирусов из Интернет. Очевидно, что в этом случае традиционные брандмауэры необходимо дополнить другими средствами защиты.
Так как включение этих средств в сам брандмауэр привело бы к излишнему усложнению и без того достаточно непростой системы, компания Check Point Software Technologies применила в своем устройстве FireWall-1 специальный протокол обмена CVP (Content Vectoring Protocol), обеспечив тем самым возможность его непротиворечивой стыковки с программными продуктами сторонних производителей. Этот протокол создан в рамках открытой платформы безопасности для предприятий Open Platform for Secure Enterprise Connectivity (OPSEC).
Одной из областей применения тех возможностей, которые предоставляет использование протокола CVP, стала антивирусная защита на уровне брандмауэра. И сейчас уже ряд производителей предлагает свои решения в этой области. Среди них - фирма EliaShim и корпорация Symantec.
Продукт корпорации Symantec
В мае 1997 г. Symantec (www.symantec. com) анонсировала Norton AntiVirus for Firewalls, новый продукт, являющийся продолжением ее семейства антивирусных средств. Действуя вместе с брандмауэром, он обеспечивает исчерпывающую антивирусную защиту, обнаруживая и обезвреживая вирусы из Интернет до того, как они проникнут в корпоративную сеть. В тандеме с недавно выпущенным шлюзом Norton AntiVirus Internet Email Gateways продукт NAV for Firewalls представляет собой полное антивирусное решение для защиты компьютерной сети организации на входе в нее. Он работает под управлением Windows NT, устанавленной на отдельной машине, вне зависимости от операционной системы брандмауэра.
NAV for Firewalls осуществляет проверку входящих и исходящих файлов, передаваемых по протоколам HTTP, FTP и SMTP, ведет журнал регистрации для наблюдения за процессами в сети и предоставляет необходимую для администратора информацию в формате HTML. Интерфейс программы также выполнен в формате HTML, что допускает ее настройку с удаленного компьютера, в какой бы операционной системе он ни работал.
Для обнаружения и удаления вирусов NAV for Firewalls использует технологию сканирования Norton AntiVirus. Каждый файл, которому грозит потенциальная опасность заражения, помещается в особую изолированную область памяти компьютера (virtual PC - виртуальный компьютер), где он не представляет собой угрозы для других файлов. Наблюдение за поведением помещенных “на карантин” программ позволяет, например, идентифицировать полиморфные вирусы. Механизм сканирования устроен таким образом, что он может просматривать несколько файлов одновременно.
Обновление таблиц сигнатур вирусов обеспечивается через Интернет нажатием одной клавиши без сколько-нибудь значительного перерыва в работе.
NAV for Firewalls не только обнаруживает и удаляет вирусы, но может также восстановить зараженный файл перед тем, как переслать его конечному пользователю. Чтобы свести к минимуму задержки, связанные с проверкой передаваемой через сеть информации, NAV for Firewalls сканирует не все файлы, а только те, которые могут содержать вирусы (например, программные файлы, архивы, электронную почту). Он также может быть сконфигурирован таким образом, чтобы не пропускать в локальную сеть файлы определенного типа, например, файлы Java.CLASS.
Ориентировочная стоимость продукта для одного брандмауэра составляет от $1999 (до 500 пользователей) до $7999 (более 1000 пользователей).
Минимальные рекомендуемые требования к ресурсам: Pentium 133 МГц, Windows NT 3.51 или выше, CD-ROM, 32 Мб памяти и 7 Mб на жестком диске. Для эффективной работы сервера рекомендуется иметь 500 Mб на жестком диске.
Продукт фирмы EliaShim
ViruSafe Firewall, антивирусный продукт компании EliaShim (www.eliashim.com), предназначен для сканирования трафиков SMTP, HTTP и FTP в тесном взаимодействии с брандмауэром Check Point FireWall-1 версии 3.0. Это полностью 32-разрядное приложение, сертифицированное NCSA, обеспечивает сканирование файлов с расширениями .EXE, .COM, .DOC, .XLS, архивных ZIP-файлов, а также сообщений электронной почты в формате MIME и UUencoded. Он дает полную защиту от всех вирусов, включая макровирусы в файлах Office 97.
“Сегодня основной точкой входа для компьютерных вирусов является электронный "парадный вход" корпорации - собственный шлюз Интернет, - считает доктор Дебора Трант, президент компании CheckPoint Software Technologies. - Интеграция ведущего антивирусного продукта типа ViruSafe с нашей архитектурой OPSEC позволяет компаниям определить такую внутреннюю политику безопасности, при которой вирусы останавливаются прежде, чем они успевают добраться до рабочих мест пользователей”.
ViruSafe Firewall устанавливается на отдельном NT-сервере и работает со всеми брандмауэрами, поддерживающими протокол CVP, независимо от ОС, в которой они работают. Если нужно этот сервер разгрузить, для сканирования трафиков SMTP, FTP и HTTP можно использовать отдельную машину. Инсталляция системы очень проста и непродолжительна - около 10 минут. Широкие возможности конфигурации позволяют для различных IP-адресов задавать отдельные правила.
Поступающие данные передаются от брандмауэра в ViruSafe Firewall по протоколу TCP/IP, проходят проверку на предмет наличия вирусов и возвращаются в брандмауэр с флагом, отражающим результат сканирования. Файлы, например рисунки или обычный текст, не содержащие вирусов, пересылаются конечным пользователям без задержки.
ViruSafe Firewall использует все возможности брандмауэра FireWall-1 для регистрации событий, а также ведет свои журналы, где регистрирует результаты сканирования. Эти данные - ценнейшая информация для определения источника вирусов. С их помощью можно повысить степень защиты, например, запретив все попытки загрузить файлы с такого “проблемного” узла.
Онлайновый сканер ViruSafe Firewall представляет собой прекрасное сочетание быстроты работы и надежности полученного результата. Последнее качество гарантируется возможностью регулярного обновления через Интернет базы данных вирусов, которое осуществляется одним нажатием кнопки. Необходимо добавить, что фирма-производитель постоянно совершенствует свой продукт, причем пользователи могут решить сами, какие новые качества они хотели бы иметь в его новых версиях.
Требуемые системные ресурсы: процессор i386 или выше, 32 Mб памяти, 100 Mб на жестком диске, ОС Windows NT, ПО Check Point FireWall-1. Стоимость продукта на один брандмауэр составляет от $895 (менее 50 пользователей) до $4995 (более 1000 пользователей).
Несомненно, протокол CVP представляет собой весьма перспективное направление для создания систем антивирусной защиты. Однако не любой брандмауэр поддерживает этот протокол, а может быть и так, что брандмауэр в корпоративной сети вообще отсутствует. В этих случаях администратор сети может воспользоваться другими пакетами, обеспечивающими антивирусную защиту, например системой WebShield фирмы Network Associates или InterScan VirusWall корпорации Datatel.
Продукт фирмы Network Associates
Система WebShield фирмы Network Associates (www.nai.com) предназначена для сканирования всех без исключения файлов, передаваемых по протоколам SMTP, FTP и HTTP, с целью обнаружения вирусов и фильтрации враждебных Java-аплетов. В случае заражения вирусом файл в зависимости от установленных правил стирается или передается пользователю. Возможно также удаление вируса из файла, однако эта процедура сложна, и Network Associates пользоваться ею не рекомендует.
WebShield устанавливается на отдельном компьютере между корпоративным брандмауэром и локальной сетью. Особенность организации антивирусного сервера WebShield заключается в том, что через него идет весь поток данных, проходящих через брандмауэр. Для увеличения пропускной способности сервера и снижения вероятности заторов в процессе передачи данных в WebShield используется компьютер с двумя SCSI-дисками и двумя сетевыми интерфейсами. Предусмотрена также возможность установки отдельных серверов для каждого протокола Интернет.
Совместно с WebShield поставляется специально разработанная операционная система - UNIX с измененным ядром, установка которой требует отдельного 500 Мб SCSI-диска при минимальном знании UNIX. Второй SCSI-диск емкостью 2 Гб необходим для хранения передаваемых данных. Хотя Network Associates утверждает, что для установки WebShield достаточно процессора i486 с частотой 25 МГц, для достижения лучшего результата необходим 166 МГц Pеntium с 32 Mб памяти.
Стоимость продукта составляет $1695 на 100 пользователей.
Продукт фирмы Datatel
InterScan VirusWall фирмы Datatel (www. datatel.com) защищает локальную сеть от вирусов, поступающих из Интернет (по протоколам SMTP, FTP и HTTP), и работает совместно с прокси-серверами FTP и SMTP. Проверка всего трафика, в том числе файлов в форматах ZIP, Uuencode и MIME, осуществляется в реальном времени. Используемые методы сканирования позволяют обнаружить более 6000 вирусов, включая “стелс”- и полиморфные вирусы.
Требуемые ресурсы: рабочая станция Sun SPARC c ОС Solaris 2.4, либо SunOS 4.1 (или выше), либо Pentium с ОС Windows NT 3.51/4.0, либо рабочая станция HP с ОС HP-UNIX.
Заметим, что вариант антивирусной защиты с использованием прокси-сервера, предложенный в InterScan VirusWall, можно рекомендовать лишь как временную меру для организаций, которые еще не установили брандмауэр. Одним из недостатков этой системы является сложность ее конфигурации и необходимость установки специального ПО на каждой рабочей станции. Кроме того, сканированию подвергается весь поток данных, проходящий через прокси-сервер, что требует больших затрат времени и может приводить к значительным задержкам в передаче данных. Еще большая проблема заключается в том, что связь между Интернет и локальной сетью можно установить и минуя прокси-сервер.
WebShield обеспечивает лучшую защиту, чем сканер на основе прокси-сервера, и не требует установки дополнительного ПО на рабочих станциях. Однако он тоже сканирует все файлы, включая и те, которые не подвержены заражению вирусами, что затрудняет бесперебойный обмен данными. Для его работы необходимы специальные SCSI-оборудование и ОС.
Наиболее оптимальным вариантом представляется использование антивирусной системы, интегрированной с брандмауэром. Как отмечалось выше, такими системами являются Norton AntiVirus for Firewalls и ViruSafe Firewall. Они не приводят к снижению пропускной способности сети, так как осуществляют выборочное сканирование файлов, не требуют конфигурирования каждой рабочей станции и используют возможности брандмауэра по регистрации событий.
Хотя ViruSafe Firewall является только сканером и не выполняет проверку на запуск зараженного вирусом приложения в “виртуальном компьютере”, как это делает NAV for Firewalls, это нисколько не снижает его надежности, зато дает определенные преимущества в быстродействии. Сканер, используемый в ViruSafe Firewall, отлично себя зарекомендовал, он быстро работает и надежно защищает локальную сеть от вирусов. По другим функциональным возможностям, а также по требованиям к ресурсам компьютера программные продукты ViruSafe Firewall и NAV for Firewalls очень близки. Однако при выборе продукта пользователь, вероятно, обратит внимание на большую скорость и меньшую стоимость ViruSafe Firewall.
К автору, сотруднику НПО “Прикладная логистика”, можно обратиться по телефону: (095) 955-5396.
