Безопасность -> Вирусы -> Антивирусная защита сети

Антивирусная защита сети

Николай Прокофьев

Корпоративная версия Norton Antivirus

Антивирусный комплекс AVP команды Евгения Касперского

Антивирус Касперcкого (AVP) Сетевой Центр Управления

Антивирус Касперского (AVP) для Корпоративных Клиентов - Комплект Дополнительных Продуктов

С момента публикации нашей последней статьи, посвященной проблеме антивирусной защиты, прошло чуть меньше года. За это время отбушевали несколько сильнейших эпидемий, затронувшие весь мир: Sircam, Magistr, Nimda и др. Жаркие битвы с новыми врагами позволили усовершенствовать стратегию антивирусной безопасности и опробовать ее на деле.

Известно, что информацию очень легко похитить, причем сам процесс похищения (копирования) вполне может пройти незаметно от ее законного владельца. Но эту тему мы оставим для отдельной публикации, а сейчас рассмотрим способы защиты информации от внешнего злонамеренного воздействия, ставящего своей целью несанкционированное изменение и уничтожение информации с использованием некоторого программного кода. В соответствии с устоявшейся терминологией такие вредоносные программы получили название компьютерных вирусов. Оставим в стороне философский аспект причин появления вирусов и исследование побуждений, двигавших написавшими их людьми, и сосредоточимся на проблеме защиты от пагубного влияния этих <микроорганизмов>.

Как известно, для того чтобы победить в сражении, необходимо иметь четкое представление о противнике и его возможностях, отбросив все иллюзии. Часто приходится слышать о вирусах, наносящих компьютеру физические повреждения, например вводящих в резонанс головки винчестера, что приводит к его разрушению. Действительно, один такой вирус существует - это печально известный WinCIH, который разрушает память BIOS (Basic Input/Output System), определяющую саму рабочую логику компьютера. Правда, наносимые повреждения достаточно легко исправляются даже в домашних условиях. Кроме того, профилактика основной деструктивной функции этого вируса довольно проста: достаточно в программе Setup установить запрет на обновление BIOS. К счастью, подавляющее большинство вирусов действуют не столь изощренно, а ограничиваются повреждением информации и своим дальнейшим распространением.

Попробуем теперь систематизировать все наши знания о противнике и обозначить линии обороны. При этом нельзя полагаться только на одну-единственную, пусть даже очень крепкую, стену. Общий принцип построения защиты можно впрямую заимствовать из опыта военных кордонов: вся входящая и исходящая информация должна тщательно проверяться на предмет заражения известными вирусами. Необходимо контролировать как традиционные (дискеты), так и новые (электронная почта, Internet) пути проникновения вирусов. Кроме того, на охраняемой территории следует вести регулярное патрулирование на предмет поиска следов враждебной деятельности. На случай проникновения врага нужно отдельно охранять все ключевые объекты (системные файлы). Дополнительно требуется проводить регулярную разведку (обновлять базу вирусов) и проверять готовность и работоспособность системы. На первый взгляд все достаточно просто: антивирусный комплекс с функцией расчета контрольных сумм файлов и резидентный монитор с весьма высокой степенью вероятности защитят нас от любой напасти, если, конечно, список вирусов будет постоянно обновляться. В случае если вирус все-таки просочился через внешний периметр, сигналом тревоги станет изменение <неизменяемых> файлов. Описанная схема гарантирует вероятность обнаружения противника еще на границе охраняемой зоны около 85%, а вероятность обнаружения факта его проникновения внутрь защитного периметра на уровне 99% - в большинстве случаев этого достаточно.

Рассмотренная ситуация представляет собой точку зрения <лейтенанта антивирусных войск>, задачей которого является оборона локального объекта. Однако такой подход неприемлем, если необходимо обезопасить больший участок, состоящий уже из нескольких компьютеров. Задача во сто крат усложняется при наличии доступа в Internet. Естественно, самым простым, но и наихудшим способом решения этой проблемы будет тупое следование вышеуказанной методике с поправкой на увеличение <зон ответственности>. В результате мы получим - укрепленные блокпосты, окруженные врагом. В этом случае любая информация, передаваемая между компьютерами, может быть необратимо повреждена в процессе передачи по <ничейной территории>. Поэтому мы попробуем сформулировать новые принципы защиты исходя из увеличившейся зоны ответственности и большего количества путей вторжения. Как обычно, сначала произведем оценку вероятных путей проникновения вирусов. Известно, что в течение многих лет наиболее распространенным способом заражения компьютера была дискета. Хотя с ростом глобальных сетей пальма первенства перешла к сети Internet и системе электронной почты, тем не менее <классический> путь подцепить заразу игнорировать не стоит.

Итак, вирус может попасть на локальный компьютер пользователя следующими способами:

• . <классическим> способом (напрямую, через дискету, компакт-диски или другой внешний носитель);
• . через систему электронной почты;
• . через канал доступа в Internet;
• . с сервера сети.

После предварительной оценки вероятных путей проникновения вирусов попытаемся определить принципы нашей оборонительной стратегии - перекрыть все направления проникновения инфекции или только их часть. Например, можно защитить рабочие станции и серверы, оставив без прикрытия канал доступа в Internet и систему электронной почты. Это не особенно снизит общую защищенность системы в целом - просто проникновение будет определяться и пресекаться на рабочих станциях. Однако одновременно резко возрастает нагрузка на <разведку>: все рабочие станции должны будут регулярно получать обновление антивирусной программы и базы вирусов. В случае же организации полной защиты нагрузка распределяется более равномерно между всеми защитными подсистемами.

Теперь, когда общая стратегия обозначена, перейдем к управлению всей системой в целом. При всей своей кажущейся простоте этот вопрос является одним из определяющих. Возможны всего два варианта: централизованное управление всей системой или местное управление. У каждого из них есть свои недостатки и преимущества, однако преимущество централизованного управления в случаях большого количества рабочих станций, а также значительного потока входящей информации, нуждающейся в проверке, не подлежит сомнению. Кроме того, нужно иметь в виду и дополнительные опасности, вызванные такими факторами, как существование конфиденциальной информации и наличие периодически приходящих на работу сотрудников, причем немаловажным является общий уровень их компьютерной грамотности. (Опыт работы как в государственных, так и в коммерческих структурах давно уже похоронил всякие надежды на этот счет: на моих глазах сотрудники пытались запустить FDISK.EXE для того, чтобы увеличить скорость работы компьютера в соответствии с инструкцией, присланной неизвестным по системе электронной почты. При этом все попытки остановить <экспериментатора> вызывали с его стороны интереснейшие замечания по поводу моих профессиональных навыков и широты кругозора.) Естественно, все указанные факторы определяют повышенные требования к системе в целом и к ее организации. Однако проблема антивирусной защиты имеет и финансовую сторону. Глупо разворачивать систему стоимостью несколько тысяч долларов для защиты пяти компьютеров в небольшой фирме - во всем необходимо присутствие здравого смысла и трезвого понимания ситуации.

Рассмотрев теоретические аспекты вирусной опасности и базовые принципы обеспечения безопасности, определимся в выборе конкретных защитных систем, на базе которых строится защита. Традиционно на отечественном рынке особой любовью пользовались отечественные продукты, такие как AidsTest и Adinf компании <ДиалогНаука> и более поздняя разработка группы Касперского - AVP. Кроме того, заметную долю рынка занимают зарубежные продукты: Norton Antivirus (Symantec Co) и MacAfee (Networks Associates Technology, Inc). При этом нельзя четко разграничить занимаемые ими сегменты рынка антивирусного ПО: это обусловлено их достаточной универсальностью и зависит от личных пристрастий пользователей. К примеру, когда год назад принимали решение об организации антивирусной защиты информационной системы Издательского дома <КомпьютерПресс>, вопрос о программном обеспечении даже не поднимался. Выбор был очевиден - Norton Antivirus Corporate Edition. По прошествии года наша точка зрения на этот продукт несколько изменилась, но обо всем по порядку.

Дело началось в 1993 году, когда отечественные антивирусные разработки спасовали перед иноземной заразой, занесенной в домашний компьютер дискетой, прибывшей из Штатов. Наконец, в магазине <Библио-Глобус> на Мясницкой был куплен единственный иноземный же целитель, коим оказался именно Norton Antivirus 2.0 (в последующие годы автор своими глазами наблюдал эволюцию этого продукта). Однако поскольку на отечественные вирусы он реагировал не всегда, сразу расстаться с AidsTest, Adinf и AVP не удалось. Это привело к пятилетнему совместному использованию указанных антивирусов и дало возможность провести их сравнение. Если говорить коротко, то отличительные особенности продуктов можно описать следующим образом:

• Adinf - идеальный (почти) сторож диска, позволяющий рассчитывать контрольные суммы как файлов, так и системных областей жесткого диска. В паре с модулем восстановления (Adinf Cure Module) позволял (правда, не всегда) восстанавливать файлы, зараженные неизвестным вирусом. Хотя на практике такое восстановление было не всегда корректным, однако значение этого продукта трудно переоценить;
• AidsTest - первый российский антивирус. Быстро и надежно находит и в большинстве случаев корректно излечивает известные ему вирусы. Среди его заслуг - прекращение эпидемии вирусов семейства Stone (в 1991-93 годах) и ряда других, меньших по объему. Много лет (до появления Adinf в 1991-м) был единственной защитой отечественных пользователей от вирусов;
• AVP - разработка группы Евгения Касперского (1993 год), знаменита своей способностью восстанавливать абсолютное большинство зараженных файлов, в том числе и таких, от восстановления которых отказывались российские и зарубежные аналоги.

На фоне блестящей отечественной антивирусной триады разработка Symantec первоначально ничем не выделялась. Однако начиная с версии 3.0 продукт стал с каждой последующей версией приобретать новые возможности, расширять и улучшать старые. Именно в нем были впервые применены такие революционные нововведения, как механизм эвристического анализа данных на предмет <вирусоподобных> инструкций и возможность обновления антивирусной базы по сети Internet - Live Update. (Кстати, в отечественные разработки такая функция была включена относительно недавно.) Именно компания Symantec впервые сделала свой комплекс практически не требующим контроля работы. Все, что требовалось пользователю, - так это канал доступа в Internet для автоматического получения обновлений. Как раз поэтому, будучи студентом МГУ и администратором кафедральной сети (состоящей, к слову сказать, из пяти компьютеров, лучшим из которых был PentiumPro), я использовал именно этот программный продукт для обеспечения безопасности научных данных, статей (и своего диплома!) от вирусной заразы. Конечно, от Adinf я не отказался, регулярные проверки AidsTest тоже выполнялись, но функция контроля открываемых файлов и данных была возложена на антивирусный монитор из Norton Antivirus 3.0.

Перелом наступил в 1998 году, когда, будучи системным администратором одного из крупнейших издательских холдингов, я констатировал факт полного соответствия списка определений вирусов в Norton Antivirus и отечественных разработках. Все это, с учетом более быстрой работы и меньшего количества сбоев по сравнению с доступными аналогами, привело к построению антивирусной защиты компании на основе версии 4.0 антивирусного пакета компании Symantec. К сожалению, руководство не посчитало возможным приобрести более дорогую версию (Corporate Edition) этого пакета, что изрядно затрудняло работу инженеров сервисного центра по защите от вирусов и снижало эффективность построенной защиты. Дальнейший опыт доказал нерациональность использования этого пакета в условиях крупной компании и обоснованность наших требований покупки более совершенной версии антивирусного ПО. Однако следует подчеркнуть, что за все время использования указанного пакета (более двух лет) ни один вирус не получил возможность вызвать даже локальную эпидемию, не говоря уже о потере данных. И это при том, что регулярно обновлялось антивирусное ПО исключительно на серверах, а рабочие станции обновлялись лишь от случая к случаю да еще при <глобальных> переездах сотрудников и прочих стихийных бедствиях. В результате некоторые рабочие станции не обновлялись с момента установки на них антивируса, а система электронной почты и канал доступа в Internet никоим образом не контролировались. (К слову, находящееся по соседству известное издательство в 1999 году перенесло катастрофическую эпидемию знаменитого WinCIH, хотя использовало отечественный антивирусный продукт.)

На этом мы оставим воспоминания о прошлом и обратим взор в светлое настоящее и радужное будущее. К чести компании Symantec следует сказать, что она не остановилась на достигнутом и улучшила свою серию антивирусных продуктов, что привело к созданию новой версии системы корпоративной антивирусной защиты - Norton Antivirus Corporate Edition 7.01. Именно эта система после непродолжительных обсуждений с руководством была принята на вооружение ИД <КомпьютерПресс>. Однако в процессе переговоров с сотрудником компании Symantec наше решение было изменено в пользу двух пакетов, предоставляющих законченное антивирусное решение в рамках организации.

Корпоративная версия Norton Antivirus

Первое впечатление от новейшей версии антивируса было неоднозначным. Так, неприятно поразило полное отсутствие бумажной документации - тоненькое описание начальных шагов не в счет. Тем не менее, вопреки привычной практике сначала ставить, а потом разбираться в документации, оно было неоднократно прочитано. Примерно при третьем прочтении где-то в середине брошюрки мелким шрифтом мелькнуло предупреждение о необходимости правильной последовательности инсталляции компонентов. Еще страниц через пять эта последовательность была обнаружена. На естественный вопрос о причине сокрытия этой ценнейшей информации среди листов с подробным описанием вскрытия коробки и правил запуска программ под MS Windows ответить было некому, так что чтение было произведено еще раз и с самого начала, но больше ключевой информации не нашлось. Поэтому был распечатан компакт-диск, и вот тут-то и началось самое интересное.

Прежде всего полную установку и настройку антивирусного программного обеспечения во всей сети можно проделать с любого рабочего места. После установки центральной антивирусной консоли и перезагрузки мы приступили к установке антивируса на серверы. Предварительно пришлось назначить один из серверов на роль <карантина> и еще один - на роль сервера обновлений списка вирусов. Эти функции были возложены на сервер печати компании, что не привело к сколько-нибудь заметному замедлению выполнения его основных функций. Процесс установки прошел гладко, без малейших нареканий и без глупых вопросов со стороны инсталлятора. Единственное, что потребовалось от нас, так это подойти к двум старым серверам и перезагрузить их, поскольку сделать такое средствами операционной системы не представляется возможным в связи с аппаратными проблемами. Все остальные серверы были с успехом удаленно перезагружены посредством соответствующей утилиты из NT Resource Kit.

Затем мы обратили взоры на пользователей. Поскольку устанавливать защиту сразу и всем было неразумно из-за отсутствия информации о возможности сбоев и конфликтов программного обеспечения, был принят <секретный список> из семи пользователей, которые добровольно-принудительно получили антивирус. Только спустя три часа после проведения этого процесса один сотрудник заметил пиктограмму антивирусного монитора, а один из компьютеров, работающий под управлением MS Windows 2000 Professional, перестал грузиться. Симптомы такого возмутительного поведения компьютера были крайне странными и непонятными. Во-первых, резко увеличилось время загрузки операционной системы. Во-вторых, перезапуск системы в безопасном режиме приводил к зависанию системы. Наконец, перестал запускаться сервис NetLogon, что является одной из самых страшных ошибок операционных систем семейства Windows NT. Переустановка системы была неприемлема, так как мы собирались установить этот антивирусный комплекс на остальные компьютеры с аналогичной операционной системой. Поэтому было предпринято патолого-анатомическое исследование <покойника>, дабы установить причину такой напасти. Вскрытие быстро выявило интереснейшую вещь, а именно - строки в реестре, по внешнему виду наводящие на мысль о их родственных отношениях с отечественным антивирусным комплексом AVP. После допроса с пристрастием сотрудник признался в факте наличия на его машине антивирусного монитора из состава комплекса AVP. Дальнейшие действия свелись к ликвидации этого программного обеспечения с незначительной чисткой реестра, после чего рабочая станция загрузилась и как ни в чем не бывало продолжила работать. Этот инцидент привел к осознанию необходимости предварительной чистки рабочих станций от других антивирусных программ, что и было выполнено.

Установка соответствующих компонентов для защиты системы электронной почты и корпоративного брандмауэра прошла без проблем и практически незаметно для пользователей. Кроме того, уменьшилась (на 5-7%) скорость загрузки файлов из Internet. В отношении электронной почты отличие заключалось в <вырезании> неизлечимого вложения из письма с отправкой его в карантин и рассылкой предупреждения ответственному сотруднику. Единственное, что нужно рекомендовать при установке антивируса, это обратить внимание на настройки защиты, которые, увы, не всегда оптимальны.

После установки всего комплекса на часть компьютеров ИД <КомпьютерПресс>, выделенных в виртуальную тестовую сеть, началась активная обкатка всей системы. Если обобщить полученный опыт, можно сделать следующие выводы:

1. Общую организацию защиты с настройками по умолчанию можно оценить на пять с минусом за защищенность и на твердую тройку за рациональность. Настройки защиты по умолчанию не являются лучшими с точки зрения и скорости, и безопасности. Разумно будет проверять на лету некоторый минимум типов файлов (и уж никак не tiff-изображение объемом примерно 100-500 Мбайт), но проверку на почтовом сервере и брандмауэре следует возвести в прямо-таки маниакальную привычку.
2. Настройки безопасности рабочих станций и серверов должны дополнять, но не повторять друг друга. По умолчанию запрашиваемый файл сначала тестируется на сервере - при его запросе, а потом на рабочей станции - при открытии. Поскольку базы определений вирусов идентичны - это пустая трата времени.
3. Необходимо проводить регулярные проверки <боеготовности> комплекса. Самый простой способ - периодическое подбрасывание в разные участки сети заведомо зараженных данных и анализ скорости и качества реакции системы на их появление.
4. Чем меньше пользователь может - тем лучше! Не нужно никаких сообщений об обнаружении вирусов. Если вирус есть и он излечим - значит, надо на лету излечить его и выдать пользователю <здоровую> версию. Если нет - access denied. И никакого либерализма: вирусы представляют слишком большую угрозу.
5. И наконец, последнее: не ленитесь проводить регулярную проверку серверных дисков. Это не займет много времени, но повысит общий уровень защиты.
6. В целом комплекс заслуживает (с небольшой натяжкой) наивысшей оценки. Вот если бы еще документацию составить чуть более логично, чтобы ради крупицы ценной информации не нужно было перерывать огромное количество пустых инструкций.

С тех пор прошло около года. Опустошительные эпидемии Sircam и Nimda собрали свою черную жатву по всему миру, заставив нас пересмотреть свою точку зрения на продукт Symantec. Сразу скажу, что он дал осечку только однажды, когда обновление антивирусной базы было выпущено на четыре дня позднее, чем следовало. Тем не менее это стало поводом задуматься и поискать некий страховочный вариант для обеспечения антивирусной безопасности сети компании. В качестве дублирующей системы мы выбрали российский антивирусный комплекс, выпускаемый командой Евгения Касперского.

Антивирусный комплекс AVP команды Евгения Касперского

От продукта компании Symantec антивирусный комплекс AVP выгодно отличается наличием <правильной> документации, позволяющей в минимальные сроки развернуть систему антивирусной защиты. Отличительной и самой сильной его стороной являются ежедневные обновления антивирусной базы и наличие квалифицированной и компетентной русскоязычной службы технической поддержки. Кроме того, удобное средство сетевого управления позволяет установить антивирус на все рабочие станции и серверы сети. Правда, никаких кардинальных отличий от продукта Symantec обнаружить не удалось, поскольку этот продукт реализует те же возможности с поправкой на российское происхождение фирмы-разработчика. Это обусловлено наличием устоявшейся концепции функционирования антивирусного программного обеспечения. Кроме того, следует подчеркнуть, что нельзя использовать на одном компьютере разные антивирусные пакеты.

Хотелось бы, чтобы использование вами этого прекрасного антивирусного комплекса не привело к снижению частоты проводимого резервного копирования. Как известно, на бога надейся, а сам не плошай.

КомпьютерПресс 12'2001