His
В E S E A R >: II
КОМПЛЕКСНАЯ БЕЗОПАСНОСТЬ
Антивирусное программное обеспечение серверов и рабочих станций
В настоящее время существует огромное количество антивирусного программного обеспечения от разных производителей. Практически у всех производителей существует версии для корпоративных клиентов, которые поддерживают централизованное обновление и управление копиями, установленными на серверах и рабочих станциях локальной сети. Из всего ассортимента для установки в сегменте локальной вычислительной сети были выбраны продукты производства фирмы ESET, так как данный продукт признается некоторыми независимыми экспертными лабораториями как один из лучших продуктов в данной области. Корпоративные версии антивирусного программного обеспечения описанные в статье удовлетворяют заявленным требованиям и позволяют надежно защитить от вирусных атак рабочие станции и серверы, работающие под управлением различных операционных систем и выполняющих различные функции.
Ключевые слова: антивирус, программное обеспечение, корпоративная версия, локальная сеть, вирусная атака.
Горленко Д.С., Пылина И.В., Нестеров Н.И. ,
Рязанский государственный радиотехнический университет
Antivirus software of servers and workstations
D.S. Gorlenko, I.V. Pylina, N.I. Nesterov,
Ryazan state radio engineering university
Abstract
Now there is a huge number of the antivirus software from different vendors. Practically at all vendors exists versions for corporate clients who support the centralized up-dating and control of the copies set on servers and workstations of a local area network. From all range for installation products of production of ESET firm as this product admits some independent expert laboratories as one of the best products in the field were selected from a segment of a local computer network. Corporate versions of the antivirus software described in article meet the declared requirements and allow to protect safely from virus attacks workstations and the servers working under control of different operating systems and executing different functions.
Keywords: antivirus, software, corporate version, local area network, virus attack.
В последнее время безопасность данных и защита сетевых ресурсов от несанкционированного доступа, в связи с все большей информатизацией общества приобретает все более актуальный характер.
В сегменте сети кафедры Вычислительной и Прикладной математики, Рязанского Государственного Радиотехнического Университета для защиты от постороннего доступа используется несколько подходов, таких как:
1. Использование корпоративного антивируса.
2. Межсетевой экран.
Рассмотрим каждый из подходов последовательно:
Компьютерный вирус — разновидность компьютерной программы, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому он может повреждать или полностью уничтожать данные, подконтрольные пользователю, от имени которого была запущена заражённая программа.
Кроме того, к вирусам также можно отнести другие виды вредоносных компьютерных программ — трояны, программы-шпионы и т.д.
В настоящее время распространены вирусы, которые используют для своей работы уязвимости в популярном программном обеспечении, активно используют для распространения сетевые каналы, а также переносные носители информации.
Для защиты серверов и рабочих станций от вирусов и других вредоносных программ созданы специальное антивирусное ПО. Антивирусная программа (антивирус) — изначально для обнаружения и лечения других программ, заражённых компьютерными вирусами, а так-
же для профилактики — предотвращения заражения файла вирусом (например, с помощью вакцинации).
Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы.
Учитывая особенности функционирования сегмента ЛВС было необходимо правильно выбрать антивирусное ПО, которое должно было помимо выявления вирусной активности и зашиты от компьютерных вирусов на рабочих станциях и серверах должно обладать функцией централизованного управления. Кроме того, важно постоянное обновление антивирусного ПО так, как каждый день выявляются новые уязвимости и появляются новые компьютерные вирусы и другие вредоносные программы.
В настоящее время существует огромное количество антивирусного ПО от разных производителей. Практически у всех производителей существует версии для корпоративных клиентов, которые поддерживают централизованное обновление и управление копиями, установленными на серверах и рабочих станциях локальной сети. Из всего ассортимента для установки в сегменте локальной вычислительной сети были выбраны продукты производства фирмы ESET (www\esetnod32xu), так как данный продукт признается некоторыми независимыми экспертными лабораториями (virusbul-etin.com) как один из лучших продуктов в данной области. На рисунке 1 представлены диаграммы сравнения антивирусного ПО от различных производителей по результатам теста от лаборатории Virus Bulletin.
Корпоративные версии антивирусного ПО удовлетворяют заявленным требованиям и позволяют надежно защитить от вирусных атак ра-
Наукоёмкие технологии в космических исследованиях Земли № 1-2009
INTEGRATED SAFETY
His
В E S E A R >: II
бочие станции и серверы, работающие под управлением различных операционных систем и выполняющих различные функции. Продукт имеет следующие особенности:
1. Установка на сервер. Версия для корпоративных клиентов ESET NOD32 Smart Security может быть установлена как на сервер, так и на рабочие станции. Это особенно важно для компаний, стремящихся к поддержке своей конкурентоспособности, так как серверы уязвимы для атак не менее, чем обычные рабочие станции. Если серверы не будут защищены, один вирус может повредить всю систему.
2. Удаленное администрирование. С помощью программы ESET Remote Administrator можно контролировать и администрировать программное решение по безопасности из любой точки мира. Особую важность этот фактор имеет для компаний, распределенных географически, а также для системных администраторов, предпочитающий удаленную форму работы или находящихся в разъездах.
3. Возможность "Зеркала". Функция зеркала ESET NOD32 позволяет ИТ- администратору ограничить полосу пропускания сети путем создания внутреннего сервера обновлений. В результате у рядовых пользователей нет необходимости выходить в Интернет для получения обновлений, что не только позволяет экономить ресурсы, но также сокращает общую уязвимость информационной структуры.
Межсетевой экран для фильтрации трафика. Межсетевой экран или сетевой экран (также брандмауэр или файервол) — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отельных узлов от несанкционированного доступа. Также сетевые экраны1 часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
— обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
— происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
— отслеживаются ли состояния активных соединений или нет.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
— традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
— персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
— сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
— сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соедине-
ний, инъекция данных.
— уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси- сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
В зависимости от отслеживания активных соединений сетевые экраны бывают:
— stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
— stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов,
Количества пройденных тестов VBÎOO
С MP qtfjtf» ЯНН
и Я
'."Ш ttrwi Чтнтг SrfHn üh U.l*Jr frthfe-бг Тя-Win
цчч чячряч
Грашиитим-нгнытрм
Рис. 1. Диаграммы сравнения антивирусного ПО от различных производителей по результатам теста от лаборатории Virus Bulletin
High technologies in Earth space research № 1-2009
His
DESEAR t: II
КОМПЛЕКСНАЯ БЕЗОПАСНОСТЬ
как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.
В сегменте ЛВС на кафедре ВПМ используется Packet Filter, встроенный в операционную систему OpenBSD. Packet Filter (PF) — межсетевой экран, разрабатываемый в рамках проекта OpenBSD. Обладает высокой скоростью работы, удобством в конфигурировании и большими возможностями, включая поддержку Ipv6.
PF состоит из двух частей: собственно сетевого фильтра и утилиты pfctl, которая предоставляет интерфейс для управления межсетевым экраном. Фильтр полностью работает в контексте ядра операционной системы, взаимодействие с ним осуществляется через системный вызов ioctl. Поэтому pfctl, строго говоря, не является необходимой частью PF.
PF изначально не рассчитан на многопоточную обработку пакетов. С другой стороны, отсутствие блокировок положительно влияет на производительность.
Фильтр обрабатывает сетевые пакеты один (при посылке пакета с того же компьютера, на
котором стоит фильтр, на другой компьютер, или наоборот) или два (при пересылке внутри компьютера или когда компьютер с фильтром исполняет роль сетевого шлюза) цикла обработки. Каждый цикл состоит из следующих этапов:
— нормализация. сборка фрагментирован-ных и отбрасывание заведомо некорректных пакетов, а также другие операции, упрощающие дальнейшую обработку.
— трансляция. перенаправление трафика (более тонкое, чем его могут обеспечить обычные средства маршрутизации) и трансляция сетевых адресов (NAT, biNAT), с поддержкой пула адресов назначения.
— фильтрация. принятие окончательного решения о пропуске или блокировке сетевого пакета.
Следует отметить, что при задании правил трансляции можно указать безусловный пропуск трафика; в таком случае фаза фильтрации опускается, что позволяет повысить производительность. И наоборот, при фильтрации можно указать шлюз, на который должен быть перенаправлен пакет; это бывает полезно в тех случаях, когда нужно задействовать параметры фильтрации, недоступные при трансляции.
PF умеет фильтровать пакеты по следую-
щим параметрам:
— сетевой адрес (для TCP и UDP также и порт) источника и получателя пакета;
— сетевой интерфейс (или их группа), на котором обрабатывается пакет;
— флаги (для TCP);
— биты TOS;
— тип ICMP (для ICMP и ICMPv6);
— метки правил (label) и теги (tag);
—локальный пользователь (владелец сокета);
— различные счётчики соединений;
— вероятность.
Последний параметр позволяет создавать правила, которые срабатывают "иногда", что помогает бороться с (порой непреднамеренными) DDoS-атаками.
Литература
1. Легков К.Е. Требования к показателям качества услуг и обслуживания абонентов в беспроводных сетях широкополосного доступа // Т-Сотт: Телекоммуникации и транспорт. № 2 2009. С. 220-224.
2. Легков К.Е., Федоров А.Е. Беспроводные МезЬ-сети специального назначения // Инфоком-муникационные технологии. № 2 2009. С. 25-37.
Сеть без проводов — уже реальность!
^г IHHHI ' к,маЧШУВ|
ведущее мероприятие на рынке беспро водных широкополосны к технологии. Более 300 участников в 2008 году
iwirelessii i
broadband
22-23 апреля 2009, Москва, Отель «Холидей Инн-Лесная»
5-я Между« а родная конференция и выставка по беспроводным широкополосным технологиям ■WIreEess Broadband Russia & CIS 2009-
Завоевание новых рынков и извлечение выгоды от беспроводных технологий в России и СНГ
Платиновый спонсор; ^^UALCOWVW
При поддержке: ф Wireless ~ шв*
ктл *
Организатор: I infoR-uedia Russia
SCOMMEWS СИЦ1П IT-Event.Ru
HTA
Информационные партеры:
рИ "ti- mcttte-raiew ¡дд дд
Ш — !ч*ЗШсс(: SC
ш Q IK5MEPIA.RU
Зарегистрируйтесь по телефону: +7 (495} 666 2244, на сайте www.wlrelessbroadband.ru или по e-mail: [email protected]
На конференции выступят:
Боб Фоноу, Вице-президент А Trivon/VIrgin Connect Russla4 с бизнес-кейсом предоставления беспроводного широкополосного доступа в регионах
Сергей Смоловик, Руководитель проектов, Департамент стратегического развития, Мегафон с докладом о том. как мобильные операторы адаптируют свою стратегию развития к современным рыночным условиям
Фред Аедбеттер, Руководитель службы маркетинга. VlmpelCom расскажет о месте WiFi в стратегии операторов
Александр Горбунов, Вице-президент, Комстар с бизнес-кейсом о внедрении компанией Комстар технологий WiFi и WiMAX и позиционировании различных широкополосных технологий в портфолио компании
Валерий Володин, Вице-президент,
Национальная Радиоассоциация и Василий Левчик, Глава департамента контроля, Ассоциация 800
с докладом о том. как сохранить частоты для внедрения 3G и WiMAX
Дмитрий Иванников, Генеральный директор.
Orange Business Services
о решении частотных вопросов для запуска WiMAX виртуальными операторами-MVNO модель
Андрей Цыбаков, Коммерческий директор, СкайЛинк об услугах на основе широкополосного доступа для распространения конвергентных услуг
Пётр Татишев, Консультант по технологиям, New Digital Projects
Инвесторы ИЗ N.R. Growth, Allianz Rosno Asset Management. Norum/CapMan и Quadriga
И многие другие эксперты
www.wirelessbroadband.ru
Наукоёмкие технологии в космических исследованиях Земли № 1-2009