Антивирусная проверка веб-трафика

Антивирусная проверка в Traffic Inspector Next Generation может быть достигнута двумя способам:

  • за счет антивируса ClamAV, выполняемого на устройстве TING
  • за счет внешнего антивируса

Основной способ антивирусной проверки реализован c помощью модулей os-c-icap и os-clamav. С-ICAP выступает в качестве посредника, который принимает объекты от веб-прокси по протоколу ICAP (Internet Content Adaptation Protocol) и передает их на сокет антивирусу ClamAV. Данный способ поддерживает проверку HTTP-, HTTPS-трафика (требует настройки функционала SSL Bump) и FTP over HTTP. Настройка данного способа антивирусной проверки описана в разделе Настройка C-ICAP + ClamAV.

Другой способ обеспечения антивирусной проверки заключается в настройке веб-прокси Squid для прямого взаимодействия с внешним антивирусом по протоколу ICAP. Настройка данного способа антивирусной проверки описана в разделе Настройка внешнего антивируса.

Антивирусная проверка с помощью устройства TING - это проверка на уровне шлюза. Шлюзовые антивирусы смогут защитить ваших пользователей от опасных веб-сайтов и зараженных файлов, скачиваемых через веб-браузер. Для защиты от других форм заражений – через почту или USB-флешку - на конечных компьютерах пользователей нужно дополнительно использовать десктопный антивирус.

Конфигурация, предусматривающая шлюзовый антивирус на устройстве Traffic Inspector Next Generation и десктопный антивирус на конечном компьютере пользователя, является допустимой и рекомендуемой во многих случаях.

Любой антивирус не может полностью защитить вашу сеть от всех возможных сетевых угроз, однако его использование снизит риск заражения. Планируйте регулярное резервное копирование важных файлов, убедитесь, что списки доступа на устройстве TING используются правильно, а так же старайтесь чаще делать обновления безопасности, чтобы поверхность для атаки было как можно меньше.

Общие настройки

Для того, чтобы осуществлялась антивирусная проверка, трафик от клиентских машин должен попадать на веб-прокси устройства TING.

Независимо от выбранного способа антивирусной проверки, нужно осуществить общие настройки, которые обеспечат попадание трафика на веб-прокси.

Если Вам необходимо настроить проверку HTTP-трафика, Вы можете сделать явные настройки на веб-прокси или настроить прозрачное проксирование на устройстве TING.

Если Вам необходимо настроить проверку HTTPS-трафика, должны быть выполнены два условия: в Вашем браузере нет явных настроек на веб-прокси и на устройстве TING настроен функционал SSL Bump.

Когда Вы настраиваете одновременную проверку HTTP-трафика и HTTPS-трафика, можно легко ошибиться и оставить включенной опцию Один прокси-сервер для всех протоколов. В результате, проверка HTTP-трафика будет отрабатывать, а условия для проверки HTTPS-трафика не будут выполнены.


Настройка C-ICAP + ClamAV

Настройка ClamAV

Установка плагина os-clamav

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-clamav для его установки.

После установки плагина os-clamav, в разделе Службы появляется подраздел ClamAV.

Пройдите в разделе Службы -> ClamAV. Кликните на кнопку Скачать сигнатуры. После загрузки баз нужно кликнуть на кнопку “Сохранить”. База сигнатур будет установлена по пути /var/db/clamav.

Примечание

Распакованная база сигнатур занимает около пятисот мегабайт. Инициализация ClamAV при наличии полной базы - дорогостоящая операция, которая занимает до полутора минут на младшем устройстве линейки TING - S 100.

Для запуска ClamAV установите флаги Включить службу clamd, Включить услугу freshclam и Включить порт TCP. Остальные настройки описаны ниже.

Вкладка Общие настройки

_images/os-clamav_2.png

Включить службу clamd

При выборе этого флажка включается clamd, поэтому вы можете использовать его для сканирования файлов.

Включить услугу freshclam

Freshclam - это сервис для обновления ваших сигнатур вредоносного ПО. Если вы используете ClamAV, рекомендуется регулярно обновлять сигнатуры.

Включить порт TCP

Этот флажок должен быть установлен, если вы хотите использовать clamd по сети или для локальных служб, которые используют TCP-соединение.

Максимальное количество запущенных потоков

Ограничение потока используется чтобы избежать отказа в обслуживании демона и вашего компьютера. Обычно число, равно количеству ядер.

Максимальное количество элементов в очереди

Это максимум файлов, которые могут находиться в очереди для сканирования.

Значение тайм-аута бездействия

Соединение будет отключено, если оно неактивно в течение установленного времени.

Максимальная рекурсия директории

Ограничение глубины дерева каталогов. В худшем случае можно наткнуться на цикл, который заставляет сканер работать бесконечно, а этот параметр должен это предотвращать.

Следовать по символьным ссылкам директорий

Если этот флажок установлен, clamav будет следовать по символьным ссылкам каталога, которые могут привести к циклу.

Следовать по символьным ссылкам файлов

Если этот флажок установлен, clamav будет следовать по символическим ссылкам на обычные файлы. Это может предоставить информацию о файловой системе, к которой пользователь не должен иметь доступа.

Отключить кэш

Если вы включите это, то результаты не будут кэшироваться. Это полезно только в средах разработки, поскольку отключение кэша замедляет время отклика.

Сканировать PE

Установите этот флажок, если хотите сканировать файлы PE (* .exe, * .dll и т.д.) в своей сети.

Сканировать ELF

Установите этот флажок, если вы хотите сканировать ELF-файлы. ELF используется в операционных системах на базе Linux и BSD.

Обнаруживать поврежденные исполняемые файлы

Этот параметр будет отмечать исполняемый файл как сломанный, если он не соответствует спецификации. Исполняемый файл может быть поврежден из-за проблем с загрузкой или других манипуляций.

Сканировать OLE2

Если этот флажок установлен, будут анализироваться файлы OLE2 (например, файлы Microsoft Office). Такие файлы должны анализироваться, поскольку они могут содержать макросы, которые используются для загрузки и установки вредоносного ПО (ransomware).

Блокировать OLE2 макроссы

Установите этот флажок, если документы, содержащие макросы, должны быть блокированы. Если вы не используете макросы и не ожидаете их от своих деловых партнеров или друзей, этот параметр рекомендуется включить.

Сканировать PDF-файлы

Если этот флажок установлен, файлы PDF будут сканироваться. PDF-файлы могут нести другие файлы или мультимедиа, а также javascript и шрифты. Рекомендуется сканировать PDF-файлы.

Сканировать SWF

Если вы установите этот флажок, будут проверены файлы Flash. Flash используется для предоставления видеоплееров или интерактивного контента. В настоящее время набирает популярность HTML5 и SWF на сайтах используется все меньше и меньше.

Сканировать XMLDOCS

Сканирование XML-документов

Сканировать HWP3

HWP представляется корейским форматом документов. Если вы их не используете, лучше заблокировать их в прокси, чем сканировать. Если вы все таки используете данный формат, то рекомендуется сканировать.

Декодировать файлы почты

Если вы выберете эту опцию, будут сканироваться электронные письма с вложениями. Почтовые вложения важны для сканирования, так как прикрепленный файл может содержать вредоносное ПО. Например, злоумышленник может использовать файл JScript, упаковать в ZIP-файл и прикрепить к письму.

Сканировать HTML

Сканирует файлы HTML, которые могут иметь опасный встроенный JavaScript.

Сканировать архивы

Сканировать файлы внутри архивов. Это очень важно, так как архивы могут содержать вредоносное ПО.

Блокировать зашифрованные архивы

Некоторые авторы вредоносных программ используют зашифрованные архивы, чтобы избежать сканирования. Далее на эелектроную почту жертвы сбрасывают зашифрованый архив и инструкцию как его распокавать. Рекомендуется блокировать такие файлы.

Настройка C-ICAP

Установка плагина os-c-icap

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-c-icap для его установки.

После установки плагина os-c-icap, в разделе Службы появляется подраздел C-ICAP.

Для запуска C-ICAP установите флаг Включить службу c-icap. Остальные настройки описаны ниже.

Вкладка Общие настройки

_images/c-icap_2.png

Включить службу c-icap

Данный флаг активирует сервис C-ICAP.

Тайм-аут

Время, после которого сокет будет закрыт.

Максимум keepalive запросов

Максимальное число запросов, которое может обслужить одно соединение

Максимальный таймаут keepalive

Время, в течении которого сокет будет закрыт, если он остается неактивным

Старт серверов

Исходное число процессов сервера.

Максимум серверов

Максимальное число процессов сервера. Ограничить количество процессов.

Адрес прослушивания

Сетевой адрес, на котором c-icap сервер слушает запросы. Этот адрес обычно является адресом loopback (:: 1 для IPv6 или 127.0.0.1 для IPv4)

Админ сервера

Администратор этого сервера. Используется при отображении информации об этом сервере для контакта пользователей, у которых возникают проблемы с сервером

Имя сервера

Имя этого сервера. Если вы хотите изменить имя сервера (отображается на страницах с ошибками), вы можете ввести его здесь.


Вкладка Антивирус

Примечание

На вкладке Антивирус содержатся настройки того, как C-ICAP будет взаимодействовать с антивирусом. Настройки самого антивируса находятся в разделе Службы -> ClamAV.

_images/c-icap_3.png

Включить ClamAV

Данный флаг активирует антивирусную проверку с помощью ClamAV

Сканировать типы файлов

Типы файлов, которые нужно сканировать.

Посылать данные о процентах

Процент данных который может быть послан c-icap сервером до получения целого ответа на запрос. Больше данных будет иметь лучшие результаты сканирования и лучше для безопасности, а более низкое значение улучшит производительность.

Разрешить ответ 204

Преимущество 204-го ответа заключается в том, что данные не нужно отправлять по кабелю снова. В случае предварительного просмотра на сервер ICAP больше не будет отправлено данных, и данные будут отправлены клиенту. В случае, если все данные были получены сервером ICAP, данные не нужно отправлять обратно. Если клиент ICAP не поддерживает это, то выключите эту функцию.

Пропускать при ошибке

В случае неудачи сканирования файл может быть передан. Имейте в виду, что это может поставить вашу сеть под угрозу.

Настройка веб-прокси

Укажите в свойствах веб-прокси, как он будет взаимодействовать по ICAP со службой C-ICAP.

Для этого пройдите в раздел Службы -> Веб-сервер -> Администрирование, вкладка Forward Proxy, пункт меню Настройки ICAP.

Установите флаг Включить ICAP.

Проверьте, что два URL - для Request Modification и Response Modification запросов - указаны следующим образом:

_images/icap_settings_squid.png

Как видно, в URL указывается loopback-адрес IPv6. Таким образом, взаимодействие между веб-прокси и службой C-ICAP будет вестить через сетевой стэк, но не покидая данного хоста.

Примечание

В URL указывается IPv6-адрес. Проверьте, что у вас установлен флаг Разрешить IPv6 в разделе Межсетевой экран -> Настройки -> Дополнительно, а также не запрещена передача IPv6-трафика правилами межсетевого экрана”.


Настройка внешнего антивируса

Веб-прокси на устройстве Traffic Inspector Next Generation поддерживает взаимодействие с антивирусом, выполняемом на отдельном внешнем хосте, посредством протокола ICAP.

В данном разделе освещаются настройки на стороне Traffic Inspector Next Generation, для того, чтобы веб-прокси смог взаимодействовать с внешним антивирусом.

Подключите сервер, на котором выполняется антивирус, к шлюзу Traffic Inspector Next Generation через свитч или напрямую с помощью отдельного сетевого кабеля. Лучше, если для подключения будет использоваться отдельный кабель – это обеспечит защиту от перехвата незашифрованного ICAP-трафика, которым обмениваются устройство Traffic Inspector Next Generation и внешний антивирус. Также, для безопасной передачи ICAP-трафика, устройство TING и внешний антивирус можно разместить в отдельном VLAN.

Укажите в свойствах веб-прокси, как он будет взаимодействовать по ICAP с внешним антивирусом. Пройдите в раздел Службы -> Веб-сервер -> Администрирование, вкладка Forward Proxy, пункт меню Настройки ICAP.

Установите флаг Включить ICAP и укажите URL, идентифицирующие ICAP-сервис (в нашем случае, антивирус). Любой ICAP-сервис может поддерживать работу в двух режимах - Request Modification и Response Modification - поэтому задается не один, а два URL-идентификатора. Каждый URL-идентификатор, таким образом, обозначает не столько ICAP-сервис как таковой, а ICAP-сервис + режим работы.

Допустим Вы используете поддерживающий ICAP антивирус Kaspersky Anti-Virus for Proxy Server, который выполняется на хосте с IP-адресом 192.168.1.13. В таком случае URL-идентификаторы нужно указать следующим образом:

_images/icap_av.png

На этом настройки внешнего антивируса на стороне Traffic Inspector Next Generation завершена.

Настройка самих антивирусов сторонних производителей выходит за рамки данной инструкции.

Обратитесь к докуметации производителя антивируса для его настройки.


Проверка настроек

Для проверки функционала антивирусной защиты удобно использовать ресурс www.eicar.org.

EICAR - безвредный тестовый вирус, применяемый для простой проверки - работает ли антивирус.

На странице http://www.eicar.org/85-0-Download.html можно скачать вирус EICAR по протоколу HTTP, HTTPS, в виде архивного ZIP-файла и т.п.

Проверку нужно осуществлять с конечного компьютера пользователя.

При обнаружении потенциально опасного содержимого, загрузка блокируется и антивирус отображает страницу блокировки в браузере пользователя наподобие следующей:


_images/virus_warning.png