Защита шлюзов

Проверка почты SMTP

При проверке данных, передаваемых по протоколу SMTP, в целом, допустимы те же способы подключения, что и при проверке Интернет-потока. За исключением того, что антивирусы для шлюзов если изредка и обладают функциональностью прокси-сервера, то функциональностью доставки почты в ящики пользователей, как правило, не обладают. Этот факт отсекает варианты подключения по схеме 2 и 4.

Если же по каким-то причинам необходимо установить антивирусный сервер перед почтовым (глядя со стороны сети), то применяется следующий прием: почтовые сервера устанавливаются с обеих сторон антивирусного сервера. Таким образом один почтовый сервер принимает почту из Интернет и передает ее на сервер антивирусной проверки. Там почта проверяется и пересылается на второй почтовый сервер, который уже и доставляет ее в ящики пользователей.

Рис. 5.5. Установка сервера антивирусной проверки между почтовыми серверами

Побудительными мотивами для такой организации обработки трафика SMTP может быть тот факт, что почтовые сервера злоумышленники нередко пытаются использовать для несанкционированной рассылки спама. Для защиты от подобных действий разработан ряд технологий, которые не всегда бывают реализованы в антивирусе для шлюзов. Вследствие этого, антивирус для шлюзов априори более уязвим, чем полноценный почтовый сервер, и с точки зрения безопасности правильнее, чтобы именно почтовый сервер был непосредственно доступен из Интернет.

Антивирусы для шлюзов, основанные на интеграции

Рассматривая интеграцию антивирусов с брандмауэрами нельзя абстрагироваться от того, какие это брандмауэры, поскольку возможности интеграции и соответственно часть функционала антивирусного решения будут зависеть от возможностей самого брандмауэра.

Можно априори предположить, что далеко не для всех брандмауэров существуют антивирусные решения. Более того, можно предположить, что такие решения имеются только для наиболее широко используемых брандмауэров. Так оно и есть на самом деле. Из всех антивирусов, интегрирующихся с брандмауэрами, можно выделить два класса программ:

• Антивирусы для Microsoft Internet Security and Acceleration Server (Microsoft ISA Server)
• Антивирусы для CheckPoint Firewall-1 (VPN-1)

Их имеет смысл рассмотреть отдельно.

Антивирусы для Microsoft ISA Server

В том, что многие производители антивирусов выпускают продукты для Microsoft ISA Server ничего удивительно быть не может. Решения компании Microsoft традиционно являются наиболее широко используемыми на платформе Microsoft.

Как правило, когда речь идет об интеграции, базовое приложение обладает определенными инструментами для взаимодействия со сторонними программами. Так же ситуация обстоит и с Microsoft ISA Server, в котором предусмотрен механизм плагинов, с помощью которых антивирусы и интегрируются в продукт. Такой способ интеграции подразумевает, что антивирусное решение устанавливается на тот же компьютер, что и Microsoft ISA Server. С одной стороны это означает меньшую гибкость решения, с другой - большую простоту в установке и настройке.

Как и универсальные антивирусы для шлюзов, антивирусы для Microsoft ISA Server могут проверять данные, передаваемые по таким протоколам, как:

• HTTP
• FTP
• SMTP

При этом разные производители отдают предпочтение различным протоколам. Есть решения которые предназначены только для проверки HTTP-трафика. Есть предназначенные для проверки данных по протоколам HTTP и SMTP.

Другим важным аспектом совместного функционирования Microsoft ISA Server и антивируса является зависимость от режима использования Microsoft ISA Server. Как известно, Microsoft ISA Server может быть установлен в одном из трех режимов:

• Firewall — режим брандмауэра, обеспечивающий безопасность сети путем применения пакетных фильтров, правил обработки трафика и т.д.
• Cache — режим прокси-сервера, включающий кэширование веб-страниц и поддержку веб-хостинга
• Integrated — режим, объединяющий первые два

Соответственно в различных режимах интеграция с Microsoft ISA Server происходит по разному и возможности антивирусной проверки также будут разными.