Антивирусное сканирование

Цель

Принципы использования антивирусной защиты

Антивирусный модуль NetDefendOS обеспечивает защиту от вредоносного кода, который может содержаться в файлах, загружаемых из интернет. Файлы могут быть загружены как часть веб-страницы, полученной по протоколу HTTP, могут быть загружены по протоколу FTP или получены в виде вложений в электронную почту по протоколу SMTP. Вредоносный код во всех этих примерах может использоваться для различных целей, начиная от программ раздражающего воздействия до более злонамеренных действий, например, получение паролей, номеров кредитных карт и другой конфиденциальной информации. Термин "вирус" может быть использован как общее описание для всех видов вредоносного кода, переносимого файлами.

1. Настройка корректного системного времени и проверка наличия обновлений

   Очень важно установить правильное системное время, если функция автоматического обновления антивирусных баз данных включена. Неправильное время может означать, что автоматическое обновление отключено.

   Веб-интерфейс:

   Maintenance -> Update Center

   

   
   увеличить изображение
   Рис. 8.1.

   Командная строка:

   updatecenter -status
2. Совместное использование с клиентским антивирусным сканированием

   В отличие от системы обнаружения и предотвращения вторжений (IDP), которая в основном применяется для защиты серверов, антивирусное сканирование применяется для защиты клиентов при загрузках файлов. Антивирус NetDefendOS разработан как дополнение к стандартному антивирусному сканированию, которое обычно выполняется локально специализированным программным обеспечением, установленным на клиентских компьютерах. Антивирусное сканирование не предназначено для полноценной замены локального сканирования, а скорее является дополнительной функцией для повышения безопасности. Оно может также выступать в качестве резервной защиты, когда локальному клиенту не доступно антивирусное сканирование.
3. Сканирование потока

   Так как передача файлов выполняется через межсетевой экран, то, если антивирусный модуль включен, система NetDefendOS будет сканировать поток данных на наличие вирусов. Так как файлы представляют собой поток трафика и не хранятся целиком в памяти, для такого сканирования требуется меньшей объем памяти, и, как следствие, влияние на общую пропускную способность будет минимальным.
4. Сопоставление с шаблоном

   Процесс проверки основан на сопоставлении с базой данных известных вирусов, что с высокой степенью достоверности помогает определить наличие вируса. Как только в передаваемом файле обнаружен вирус, загрузка прекращается.
5. Типы сканируемых загружаемых файлов

   Как описано выше, антивирусное сканирование запускается как часть ALG и может анализировать загружаемые файлы, передаваемые по протоколам HTTP, FTP, SMTP и POP3. В частности:

   • Может быть просканирован любой тип несжатого файла, с которым связан соответствующий ALG.
   • Если загружаемый файл сжат, то форматы ZIP и GZIP также могут быть просканированы.

   Можно запретить загрузку определенных файлов, а также указать ограничение размера сканируемых файлов. Если размер не указан, то по умолчанию максимальный размер файлов не ограничен.
6. Одновременное выполнение нескольких сканирование

   Не существует ограничения, сколько антивирусных сканирований может быть одновременно выполнено на одном межсетевом экране. Количество одновременных выполнений сканирований определяется доступным объемом памяти.
7. Учет специфики конкретного протокола

   Так как антивирусное сканирование реализовано с использованием ALG, может учитываться специфика конкретного протокола. Например, для FTP сканирование выполняется как для потока команд, так и для потока данных. Если обнаружен вирус, то команда на прекращение загрузки посылается через управляющее соединение.
8. Взаимосвязь с IDP

   Порядок, в котором выполняются антивирусное сканирование и IPD-сканирование, не важен, так как эти процессы выполняются на разных уровнях стека протокола. Поэтому антивирусное сканирования и IDP-сканирование могут происходить одновременно.

   Если функция IDP включена, выполняется сканирование всех пакетов, которые соответствуют определенному правилу IDP, без учета семантики протоколов более высокого уровня, таких как HTTP. В противоположность этому антивирус осведомлен о семантики протоколов более высокого уровня и просматривает только данные, относящиеся к этим протоколам. Антивирусное сканирование является частью шлюза прикладного уровня, а IDP нет.
9. База данных сигнатур SafeStream

   Антивирусное сканирование выполняется системой NetDefendOS D-Link с использованием баз данных сигнатур вирусов SafeStream. База данных SafeStream создана и поддерживается лабораторией Касперского – компанией, которая является мировым лидером в области обнаружения вирусов. База данных обеспечивает защиту от всех известных вирусов, включая троянские программы, "червей", "backdoor" и другие.
10. Обновление базы данных

    База данных SafeStream обновляется ежедневно, добавляя сигнатуры новых вирусов. Старые сигнатуры редко удаляются, вместо этого они заменяются более общими сигнатурами, которые охватывают несколько вирусов. Поэтому локальная копия NetDefendOS базы данных SafeStream должна регулярно обновляться, и этот сервис обновления является частью подписки на Антивирус D-Link.

Описание практической работы

Использование шлюза прикладного уровня (ALG) для активизация антивирусного сканирования

1. Реакция на невозможность выполнения проверки на наличие вирусов

   Антивирус NetDefendOS активизируется с помощью шлюза прикладного уровня (ALG), который связан с соответствующим протоколом. Активизация доступна для загружаемых файлов, связанных со следующими ALG и включается непосредственно в самом ALG:

   • HTTP ALG
   • FTP ALG
   • POP3 ALG
   • SMTP ALG

   Если по какой-либо по причине не удается выполнить проверку на наличие вирусов, то при режиме Deny дальнейшая передача данных прекращается, при этом данное событие регистрируется в логах. Если установлен режим Allow, то ситуация, когда антивирусные базы не доступны или текущая лицензия не действительна, не приведет к запрещению пересылки. В этом случае пересылка файлов будет разрешена, и будет сгенерировано сообщение в логах, указывающее на то, что произошел сбой.

   Веб-интерфейс:

   Object -> ALG with AV/WCF -> Add -> HTTP ALG

   

   
   увеличить изображение
   Рис. 8.2.
2. Режим сканирования

   Режим сканирования может быть следующим:

   Disabled – Функция антивируса выключена.

   Audit – Сканирование активизировано, но единственным действием является ведение логов.

   Protect – Функция антивируса активизирована. Подозрительные файлы будут удалены, информация об этом будет записана в логи.

3. Исключение из сканирования

   При необходимости можно явно отменить сканирование файлов с определенным расширением. Данное действие может увеличить общую пропускную способность, если загрузка файлов с данным расширением часто используется в каком-либо протоколе, например, HTTP.

   NetDefendOS выполняет проверку всех MIME-расширений файлов, чтобы установить, что расширение файла корректно и затем посмотреть, не находится ли это расширение в списке исключенных.

   

   
   увеличить изображение
   Рис. 8.3.

4. Ограничение степени сжатия

   При сканировании сжатых файлов файл сначала распаковывается. В некоторых случаях распакованный файл намного больше сжатого. Это означает, что сравнительно небольшое вложение сжатого файла может значительно израсходовать ресурсы межсетевого экрана и заметно снизить пропускную способность.

   Для предотвращения подобной ситуации, следует указать предел степени сжатия (Compression Ratio). Если предел степени сжатия указан 20, то это будет означать, что, если несжатый файл в 20 раз больше, чем сжатый, то следует выполнить одно из следующих действий:

   Allow – Разрешить передачу файла без проверки на наличие вирусов

   Scan – Сканировать файл на наличие вирусов

   Drop – Отбросить файл

   В любом случае данное событие заносится в лог.

   

   
   увеличить изображение
   Рис. 8.4.

5. Проверка файлов на соответствие типам MIME

   Параметр ALG File Integrity может быть использован совместно с антивирусным сканированием для того, чтобы проверить, соответствует ли содержание файла типу MIME.

   MIME-тип определяет тип файла. Например, файл может быть определен как .gif и, следовательно, должен содержать данные этого типа. Некоторые вирусы могут пытаться скрыться внутри файлов, используя ложное расширение. Файл может быть указан как .gif, но содержимое файла не будет соответствовать данным этого типа, так как он заражен вирусом.

   Включение этой функции рекомендуется для того, чтобы предотвратить прохождение вируса.

   

   
   увеличить изображение
   Рис. 8.5.

   Командная строка:

   set ALGALG_HTTPhttp-outbound-avAntivirus=Protect

   Создание сервиса с ALG с установленной антивирусной защитой

   Веб-интерфейс:

   Object -> Services -> Add -> TCP/UDP Services

   

   
   увеличить изображение
   Рис. 8.6.
   0.118

   Командная строка:

   add Service ServiceTCPUDP http-outbound-av DestinationPorts=80,8080,90,8090 SourcePorts=0-65535 ALG=http-outbound-av

   Определение правила фильтрования с созданным сервисом

   Веб-интерфейс:

   Rules -> IP Rules -> toInet -> Add-> IP Rule

   

   
   увеличить изображение
   Рис. 8.7.
   0.119

   Командная строка:

   add IPRuleFolder Name=toInet

   cc IPRuleFolder <N folder>

   add IPRule Action=NAT SourceInterface=lan SourceNetwork=lan/lan_net DestinationInterface=wan1 DestinationNetwork=all-nets Service=http-outbound-av Name=http_av