Антивирусная проверка трафика

Антивирусная проверка в Traffic Inspector Next Generation может быть достигнута следующими способам:

  • антивирус Kaspersky, выполняемый на устройстве TING
  • антивирус ClamAV, выполняемый на устройстве TING
  • внешний антивирус, выполяемый на стороннем хосте

Антивирус Kaspersky

Данный плагин поддерживает проверку HTTP-, HTTPS-трафика (требует настройки функционала SSL Bump).

Взаимодействие данного плагина с прокси-сервером Squid осуществляется по протоколу ICAP (Internet Content Adaptation Protocol).

Предупреждение

Антивирус Kaspersky является платным программным обеспечением.


Антивирус ClamAV

Данный плагин поддерживает проверку HTTP-, HTTPS-трафика (требует настройки функционала SSL Bump).

Взаимодействие данного плагина с прокси-сервером Squid осуществляется по протоколу ICAP через посредника - службу C-ICAP. ClamAV не поддерживается ICAP нативно.

Примечание

Антивирус ClamAV является бесплатным программным обеспечением.


Внешний антивирус

Данный способ заключается в настройке веб-прокси Squid для взаимодействия с внешним антивирусом на удаленном хосте по протоколу ICAP.


Антивирусная проверка с помощью устройства TING - это проверка на уровне шлюза. Шлюзовые антивирусы смогут защитить ваших пользователей от опасных веб-сайтов и зараженных файлов, скачиваемых через веб-браузер. Для защиты от других форм заражений, например через USB-флешку - на конечных компьютерах пользователей нужно дополнительно использовать десктопный антивирус.

Конфигурация, предусматривающая шлюзовый антивирус на устройстве Traffic Inspector Next Generation и десктопный антивирус на конечном компьютере пользователя, является допустимой и рекомендуемой во многих случаях.

Любой антивирус не может полностью защитить вашу сеть от всех возможных сетевых угроз, однако его использование снизит риск заражения. Планируйте регулярное резервное копирование важных файлов, убедитесь, что списки доступа на устройстве TING используются правильно, а так же старайтесь чаще делать обновления безопасности, чтобы поверхность для атаки было как можно меньше.

Общие настройки

Примечание

Данные настройки должны быть выполнены в независимости от выбранного способа антивирусной проверки.

Для того, чтобы осуществлялась антивирусная проверка, трафик от клиентских машин должен попадать на веб-прокси устройства TING.

Независимо от выбранного способа антивирусной проверки, нужно осуществить общие настройки, которые обеспечат попадание трафика на веб-прокси.

Если Вам необходимо настроить проверку HTTP-трафика, Вы можете сделать явные настройки на веб-прокси или настроить прозрачное проксирование на устройстве TING.

Если Вам необходимо настроить проверку HTTPS-трафика, должны быть выполнены два условия: в Вашем браузере нет явных настроек на веб-прокси и на устройстве TING настроен функционал SSL Bump.

Когда Вы настраиваете одновременную проверку HTTP-трафика и HTTPS-трафика, можно легко ошибиться и оставить включенной опцию Один прокси-сервер для всех протоколов. В результате, проверка HTTP-трафика будет отрабатывать, а условия для проверки HTTPS-трафика не будут выполнены.


Антивирус Kaspersky

Общие настройки

Выполните общие настройки как описано в разделе Общие настройки.

Установка плагина os-kaspersky

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-kaspersky для его установки.

После установки плагина os-kaspersky, в разделе Службы появляется подраздел Kaspersky антивирус.

Проверка статуса плагина антивируса Касперского и загрузка лицензии

Для включения плагина антивируса Касперского необходимо наличие файла-ключа с действующей лицензией.

Для этого перейдите в пункт меню Службы -> Kaspersky антивирус -> Статус.

_images/kav_lic.png

После этого выберите пункт Загрузить лицензионный ключ, выберите файл с лицензией и нажмите на кнопку Загрузить файл лицензионного ключа.

После успешной загрузки лицензии необходимо загрузить сигнатуры вирусов, нажав соответствующую кнопку Update Signatures в правой верхней части экрана.

Также на этой вкладке можно ознакомиться с актуальностью загруженных баз, количеством загруженных сигнатур и сроком действия лицензии.

Настройки плагина

_images/kav_common.png

Включить Kaspersky Antivirus - при выборе этого флажка включается модуль проверки трафика на вирусы.

Уровень протоколирования - включать ли протоколирование работы модуля.

Количество сканеров - Указывает количество процессов сканирования. Наша рекомендация иметь количество сканеров равное числу физических ядер процессора.

Количество потоков - Указывает общее число сканирующих потоков всех сканирующих процессов. Рекомендуется значение в два раза большее, чем количество сканеров.

Лимит использования диска - Указывает максимальное количество дискового пространства, которое может быть задействовано для распаковки упакованных объектов (в килобайтах). Ограничение дискового пространства защищает сервер от zip-бомб. Если значение параметра равно 0, защита от zip-бомб отключена.

Лимит RAM - Указывает максимальное количество системной памяти которое может быть использовано сервисом kavicapd (в килобайтах). Эта настройка защищает операционную систему от полного исчерпания памяти. Интенсивное использование системной памяти может возникнуть при сканировании больших файлов или при получении множества запросов на сканирование одновременно. Когда предел использования памяти достигается, сервис kavicapd останавливает обработку объектов. Если этот параметр равен 0, количество системной памяти, которая может быть зарезервирована сервисом kavicapd не ограничено.

Примечание

Антивирусные базы и библиотеки, используемые KAV SDK занимают около 300 MB (это количество удваивается во время перезагрузки баз). KAV SDK также требует памяти для работы компонент.

Порт ICAP - Указывает номер порта сервиса kavicapd (данное значение должно совпадать с указанным в настройке прокси-сервера Squid).

Максимальный размер файла - Устанавливает максимальный размер файла, который может быть просканирован сервисом kavicapd (в килобайтах). Если значение этого параметра равно 0, сервис kavicapd будет сканировать файлы любых размеров.

Период обновления - Интервал между автоматическими обновлениями (в минутах). Если этот параметр равен 0, KAV SDK не производит автоматические обновления.

Сканировать упакованные исполняемые файлы - Сканирование сжатых исполняемых файлов.

Сканировать почтовые сообщения - Сканирование почтовых сообщений. Включение этой опции сканирования разрешает сканирование почтовых сообщений.

Предупреждение

Эта опция может значительно снизить производительность системы.

Сканировать почтовые базы - Сканирование почтовых баз данных.

Предупреждение

Эта опция может значительно снизить производительность системы.

Сканировать на фишинг - Сканировать web-адреса по базе данных фишинга.

Сканировать перепакованные архивы в KSN - Включить сканирование многократно упакованных файлов с помощью облачного сервиса Kaspersky Cloud.

Эвристический анализатор - Уровень детализации эвристического анализатора позволяет найти баланс между качеством сканирования и использованием ресурсов операционной системы, также как и длительностью сканирования. Больший эвристический уровень требует больше системных ресурсов, и длится дольше.

Настройки Kaspersky Security Network

_images/kav_ksn_settings.png

Включить KSN - Включить облачное сканирование. Если включено, хэши объектов проверяются в облаке вне зависимости от результатов локальной проверки. В облаке, кроме проверки на вирусы также происходит проверка на ложное срабатывание.

Таймаут сканирования - Таймаут сканирования в KSN (в миллисекундах).

Размер кэша - Максимальный размер кэша KSN (в килобайтах).

Настройка ICAP в веб-прокси

Укажите в свойствах веб-прокси, как он будет взаимодействовать по ICAP с антивирусом Касперского.

Для этого пройдите в раздел Службы -> Веб-сервер -> Администрирование, вкладка Forward Proxy, пункт меню Настройки ICAP.

Установите флаг Включить ICAP.

Проверьте, что два URL - для Request Modification и Response Modification запросов - указаны в соответствии со скриншотом:

_images/kav_squid.png

Примечание

В URL указывается loopback-адрес IPv4. Таким образом, взаимодействие между веб-прокси и службой C-ICAP будет вестить через сетевой стэк, но не покидая данного хоста.

Проверка работы антивируса

Выполните проверку как описано в разделе Проверка работы антивируса.




Антивирус ClamAV

Общие настройки

Выполните общие настройки как описано в разделе Общие настройки.

Настройка ClamAV

Установка плагина os-clamav

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-clamav для его установки.

После установки плагина os-clamav, в разделе Службы появляется подраздел ClamAV.

Пройдите в разделе Службы -> ClamAV. Кликните на кнопку Скачать сигнатуры. После загрузки баз нужно кликнуть на кнопку “Сохранить”. База сигнатур будет установлена по пути /var/db/clamav.

Примечание

Распакованная база сигнатур занимает около пятисот мегабайт. Инициализация ClamAV при наличии полной базы - дорогостоящая операция, которая занимает до полутора минут на младшем устройстве линейки TING - S 100.

Для запуска ClamAV установите флаги Включить службу clamd, Включить услугу freshclam и Включить порт TCP. Остальные настройки описаны ниже.

Вкладка Общие настройки

_images/os-clamav_2.png

Включить службу clamd

При выборе этого флажка включается clamd, поэтому вы можете использовать его для сканирования файлов.

Включить услугу freshclam

Freshclam - это сервис для обновления ваших сигнатур вредоносного ПО. Если вы используете ClamAV, рекомендуется регулярно обновлять сигнатуры.

Включить порт TCP

Этот флажок должен быть установлен, если вы хотите использовать clamd по сети или для локальных служб, которые используют TCP-соединение.

Максимальное количество запущенных потоков

Ограничение потока используется чтобы избежать отказа в обслуживании демона и вашего компьютера. Обычно число, равно количеству ядер.

Максимальное количество элементов в очереди

Это максимум файлов, которые могут находиться в очереди для сканирования.

Значение тайм-аута бездействия

Соединение будет отключено, если оно неактивно в течение установленного времени.

Максимальная рекурсия директории

Ограничение глубины дерева каталогов. В худшем случае можно наткнуться на цикл, который заставляет сканер работать бесконечно, а этот параметр должен это предотвращать.

Следовать по символьным ссылкам директорий

Если этот флажок установлен, clamav будет следовать по символьным ссылкам каталога, которые могут привести к циклу.

Следовать по символьным ссылкам файлов

Если этот флажок установлен, clamav будет следовать по символическим ссылкам на обычные файлы. Это может предоставить информацию о файловой системе, к которой пользователь не должен иметь доступа.

Отключить кэш

Если вы включите это, то результаты не будут кэшироваться. Это полезно только в средах разработки, поскольку отключение кэша замедляет время отклика.

Сканировать PE

Установите этот флажок, если хотите сканировать файлы PE (* .exe, * .dll и т.д.) в своей сети.

Сканировать ELF

Установите этот флажок, если вы хотите сканировать ELF-файлы. ELF используется в операционных системах на базе Linux и BSD.

Обнаруживать поврежденные исполняемые файлы

Этот параметр будет отмечать исполняемый файл как сломанный, если он не соответствует спецификации. Исполняемый файл может быть поврежден из-за проблем с загрузкой или других манипуляций.

Сканировать OLE2

Если этот флажок установлен, будут анализироваться файлы OLE2 (например, файлы Microsoft Office). Такие файлы должны анализироваться, поскольку они могут содержать макросы, которые используются для загрузки и установки вредоносного ПО (ransomware).

Блокировать OLE2 макроссы

Установите этот флажок, если документы, содержащие макросы, должны быть блокированы. Если вы не используете макросы и не ожидаете их от своих деловых партнеров или друзей, этот параметр рекомендуется включить.

Сканировать PDF-файлы

Если этот флажок установлен, файлы PDF будут сканироваться. PDF-файлы могут нести другие файлы или мультимедиа, а также javascript и шрифты. Рекомендуется сканировать PDF-файлы.

Сканировать SWF

Если вы установите этот флажок, будут проверены файлы Flash. Flash используется для предоставления видеоплееров или интерактивного контента. В настоящее время набирает популярность HTML5 и SWF на сайтах используется все меньше и меньше.

Сканировать XMLDOCS

Сканирование XML-документов

Сканировать HWP3

HWP представляется корейским форматом документов. Если вы их не используете, лучше заблокировать их в прокси, чем сканировать. Если вы все таки используете данный формат, то рекомендуется сканировать.

Декодировать файлы почты

Если вы выберете эту опцию, будут сканироваться электронные письма с вложениями. Почтовые вложения важны для сканирования, так как прикрепленный файл может содержать вредоносное ПО. Например, злоумышленник может использовать файл JScript, упаковать в ZIP-файл и прикрепить к письму.

Сканировать HTML

Сканирует файлы HTML, которые могут иметь опасный встроенный JavaScript.

Сканировать архивы

Сканировать файлы внутри архивов. Это очень важно, так как архивы могут содержать вредоносное ПО.

Блокировать зашифрованные архивы

Некоторые авторы вредоносных программ используют зашифрованные архивы, чтобы избежать сканирования. Далее на эелектроную почту жертвы сбрасывают зашифрованый архив и инструкцию как его распокавать. Рекомендуется блокировать такие файлы.

Настройка C-ICAP

Установка плагина os-c-icap

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-c-icap для его установки.

После установки плагина os-c-icap, в разделе Службы появляется подраздел C-ICAP.

Для запуска C-ICAP установите флаг Включить службу c-icap. Остальные настройки описаны ниже.

Вкладка Общие настройки

_images/c-icap_2.png

Включить службу c-icap

Данный флаг активирует сервис C-ICAP.

Тайм-аут

Время, после которого сокет будет закрыт.

Максимум keepalive запросов

Максимальное число запросов, которое может обслужить одно соединение

Максимальный таймаут keepalive

Время, в течении которого сокет будет закрыт, если он остается неактивным

Старт серверов

Исходное число процессов сервера.

Максимум серверов

Максимальное число процессов сервера. Ограничить количество процессов.

Адрес прослушивания

Сетевой адрес, на котором c-icap сервер слушает запросы. Этот адрес обычно является адресом loopback (:: 1 для IPv6 или 127.0.0.1 для IPv4)

Админ сервера

Администратор этого сервера. Используется при отображении информации об этом сервере для контакта пользователей, у которых возникают проблемы с сервером

Имя сервера

Имя этого сервера. Если вы хотите изменить имя сервера (отображается на страницах с ошибками), вы можете ввести его здесь.


Вкладка Антивирус

Примечание

На вкладке Антивирус содержатся настройки того, как C-ICAP будет взаимодействовать с антивирусом. Настройки самого антивируса находятся в разделе Службы -> ClamAV.

_images/c-icap_3.png

Включить ClamAV

Данный флаг активирует антивирусную проверку с помощью ClamAV

Сканировать типы файлов

Типы файлов, которые нужно сканировать.

Посылать данные о процентах

Процент данных который может быть послан c-icap сервером до получения целого ответа на запрос. Больше данных будет иметь лучшие результаты сканирования и лучше для безопасности, а более низкое значение улучшит производительность.

Разрешить ответ 204

Преимущество 204-го ответа заключается в том, что данные не нужно отправлять по кабелю снова. В случае предварительного просмотра на сервер ICAP больше не будет отправлено данных, и данные будут отправлены клиенту. В случае, если все данные были получены сервером ICAP, данные не нужно отправлять обратно. Если клиент ICAP не поддерживает это, то выключите эту функцию.

Пропускать при ошибке

В случае неудачи сканирования файл может быть передан. Имейте в виду, что это может поставить вашу сеть под угрозу.

Настройка ICAP в веб-прокси

Укажите в свойствах веб-прокси, как он будет взаимодействовать по ICAP со службой C-ICAP.

Для этого пройдите в раздел Службы -> Веб-сервер -> Администрирование, вкладка Forward Proxy, пункт меню Настройки ICAP.

Установите флаг Включить ICAP.

Проверьте, что два URL - для Request Modification и Response Modification запросов - указаны следующим образом:

_images/icap_settings_squid.png

Примечание

В URL указывается loopback-адрес. Таким образом, взаимодействие между веб-прокси и службой C-ICAP будет вестить через сетевой стэк, но не покидая данного хоста.

Примечание

Также, в URL указан IPv6-адрес. Проверьте, что у вас установлен флаг Разрешить IPv6 в разделе Межсетевой экран -> Настройки -> Дополнительно, а также не запрещена передача IPv6-трафика правилами межсетевого экрана”.

Проверка работы антивируса

Выполните проверку как описано в разделе Проверка работы антивируса.




Внешний антивирус

Общие настройки

Выполните общие настройки как описано в разделе Общие настройки.

Настройка внешнего антивируса

Настройка антивирусов сторонних производителей выходит за рамки данной инструкции. Обратитесь к докуметации производителя антивируса для его настройки.

Настройка ICAP в веб-прокси

Веб-прокси на устройстве Traffic Inspector Next Generation поддерживает взаимодействие с антивирусом, выполняемом на отдельном внешнем хосте, посредством протокола ICAP.

В данном разделе освещаются настройки на стороне Traffic Inspector Next Generation, для того, чтобы веб-прокси смог взаимодействовать с внешним антивирусом.

Подключите сервер, на котором выполняется антивирус, к шлюзу Traffic Inspector Next Generation через свитч или напрямую с помощью отдельного сетевого кабеля. Лучше, если для подключения будет использоваться отдельный кабель – это обеспечит защиту от перехвата незашифрованного ICAP-трафика, которым обмениваются устройство Traffic Inspector Next Generation и внешний антивирус. Также, для безопасной передачи ICAP-трафика, устройство TING и внешний антивирус можно разместить в отдельном VLAN.

Укажите в свойствах веб-прокси, как он будет взаимодействовать по ICAP с внешним антивирусом. Пройдите в раздел Службы -> Веб-сервер -> Администрирование, вкладка Forward Proxy, пункт меню Настройки ICAP.

Установите флаг Включить ICAP и укажите URL, идентифицирующие ICAP-сервис (в нашем случае, антивирус). Любой ICAP-сервис может поддерживать работу в двух режимах - Request Modification и Response Modification - поэтому задается не один, а два URL-идентификатора. Каждый URL-идентификатор, таким образом, обозначает не столько ICAP-сервис как таковой, а ICAP-сервис + режим работы.

Допустим Вы используете поддерживающий ICAP антивирус Kaspersky Anti-Virus for Proxy Server, который выполняется на хосте с IP-адресом 192.168.1.13. В таком случае URL-идентификаторы нужно указать следующим образом:

_images/icap_av.png

Проверка работы антивируса

Выполните проверку как описано в разделе Проверка работы антивируса.




Проверка работы антивируса

Для проверки функционала антивирусной защиты удобно использовать ресурс http://www.eicar.org.

EICAR - безвредный тестовый вирус, применяемый для простой проверки - работает ли антивирус.

На странице http://www.eicar.org/85-0-Download.html можно скачать вирус EICAR по протоколу HTTP, HTTPS, в виде архивного ZIP-файла и т.п.

Проверку нужно осуществлять с конечного компьютера пользователя.

При обнаружении потенциально опасного содержимого, загрузка блокируется и антивирус отображает страницу блокировки в браузере пользователя.

Антивирус ClamAV

_images/virus_warning.png

Антивирус Kaspersky

_images/kav_virus.png