Антивирусная защита сети

Николай Прокофьев

Схема построения антивирусной защиты одного из крупнейших издательских холдингов города Москвы

Схема построения антивирусной защиты Издательского дома «КомпьютерПресс»

Комплексы корпоративной антивирусной защиты

 

Итак — свершилось. На дворе новое тысячелетие. Позади остался «век прогресса и прогрессивки», время индустриализации и первых робких шагов информационных технологий. Впервые человечество сумело получить информации больше, чем было в состоянии осмыслить. Информация стала одной из величайших ценностей, посрамив презренный желтый металл, столетиями являвшийся мерилом положения человека в обществе. Это привело к серьезному изменению концепций безопасности и породило ряд таких весьма специфических проблем, как компьютерные вирусы.

В отличие от традиционных эквивалентов информацию очень легко похитить. При этом сам процесс похищения (копирования) вполне может пройти незамеченным ее законным владельцем. Эту проблему мы оставим для отдельного обзора, а сегодня рассмотрим способы защиты информации от внешнего злонамеренного воздействия, ставящего своей целью несанкционированное изменение и уничтожение информации. В соответствии с устоявшейся терминологией такие вредоносные программы получили название компьютерных вирусов. Оставим в стороне этический аспект побуждений, двигавших создателями вирусов, и сосредоточимся на проблеме защиты информации от их пагубного влияния.

Как известно, для того чтобы победить в сражении, необходимо иметь четкое представление о противнике и о его возможностях. Питать иллюзии относительно его возможностей недопустимо. Если вы искренне верите фильмам, в которых главный герой с третьей попытки угадывает пароль в 20 символов или вставленный компакт-диск при неправильно указанном пароле взрывается, дальнейшая часть этой статьи адресована не вам. Тем не менее частенько приходится слышать о вирусах, наносящих компьютеру физические повреждения, например вводящих в резонанс головки винчестера, что приводит к его разрушению. Сразу оговорюсь, что один такой вирус существует — это печально известный Win95.CIH. Он разрушает память BIOS (Basic Input/Output System), определяющую саму рабочую логику компьютера. При этом наносимые повреждения достаточно легко исправляются даже в домашних условиях. Кроме того, профилактика его основной деструктивной функции довольно проста — достаточно в программе Setup установить запрет на обновление BIOS. К счастью, подавляющее большинство вирусов не столь изощрены и довольствуются повреждением информации и дальнейшим распространением.

Попробуем теперь систематизировать все наши знания о противнике и обозначить линии обороны. При этом нельзя ограничиваться одной, пусть даже самой крепкой стеной. Общий принцип построения защиты можно позаимствовать у военных. Вся входящая и исходящая информация должна тщательно проверяться на предмет заражения известными вирусами. Необходимо отслеживать как традиционные (дискеты), так и новые (электронная почта, Internet) пути проникновения вирусов на охраняемую территорию. Кроме того, на охраняемой территории необходимо вести регулярное патрулирование на предмет поиска следов вражеской деятельности. На случай проникновения врага на охраняемую территорию необходимо раздельно охранять все ключевые объекты (системные файлы). Дополнительно следует вести регулярную разведку (обновление базы вирусов) и проверять готовность и работоспособность системы. На первый взгляд все достаточно просто: антивирусный комплекс с функцией расчета контрольных сумм файлов и резидентный монитор с достаточно большой вероятностью защитят нас от любой напасти. Естественно, только в том случае, если список вирусов будет регулярно обновляться. В случае если вирус все-таки просочился через внешний периметр, сигналом тревоги станет изменение «неизменяемых» файлов. Указанная схема гарантирует приблизительно 85-процентную вероятность обнаружения противника еще на границе охраняемой зоны и 99-процентную — обнаружения факта его проникновения внутрь защитного периметра. В большинстве случаев этого достаточно.

Рассмотренная ситуация представляется точкой зрения «лейтенанта антивирусных войск», задачей которого является оборона небольшого объекта. Подобный подход неприемлем, когда требуется обезопасить более крупный объект, включающий несколько компьютеров. Ситуацию многократно усложняет наличие доступа в Internet. Естественно, самым простым способом «решения» этой проблемы будет занудное применение вышеуказанной методики с поправкой на возросшее число «зон ответственности». В результате мы получим Северную Америку во времена войн с индейцами: укрепленные форты, а вокруг — неизвестность! В этом случае любая информация, передаваемая между компьютерами, может быть необратимо повреждена в процессе передачи по «ничейной» территории. Поэтому мы попробуем сформулировать новые принципы защиты, исходя из расширившейся зоны ответственности и увеличения количества путей вторжения. В качестве примера рассмотрим сетевые инфраструктуры, первая из которых принадлежит одному из крупнейших издательских холдингов, а вторая развернута в Издательском доме «КомпьютерПресс»(см. врезку).

Как обычно, сначала произведем оценку вероятных путей проникновения вирусов. В течение многих лет наиболее распространенным способом заражения компьютера являлась дискета. С ростом глобальных сетей пальма первенства перешла к сети Internet и системе электронной почты. Тем не менее не стоит сбрасывать со счетов «классический» способ подцепить заразу. Таким образом, вирус может попасть на локальный компьютер пользователя следующими способами:

  1. Напрямую через дискету, компакт-диск, удаленный почтовый ящик — классический способ.
  2. Через корпоративную систему электронной почты.
  3. Через корпоративный канал доступа в систему Internet.
  4. С корпоративного сервера.

Теперь попробуем сформулировать принципы нашей оборонительной стратегии: существует возможность перекрыть все направления проникновения инфекции или только их часть. Например, можно защитить рабочие станции и серверы (вариант А), оставив без прикрытия канал доступа в Internet и систему электронной почты. И это не намного снизит общую защищенность системы — просто проникновение будет определяться и пресекаться непосредственно на рабочих станциях. Однако при этом резко возрастает нагрузка на «разведку» — все рабочие станции должны регулярно получать обновление антивирусной программы и базы вирусов. В случае организации полной защиты (вариант Б) нагрузка распределяется более равномерно между всеми защитными подсистемами.

Теперь, когда общая стратегия обозначена, рассмотрим вопрос управления системой в целом. При всей кажущейся простоте этот вопрос является одним из определяющих. Возможных вариантов всего два: централизованное управление всей системой и местное управление. У каждого из них есть свои преимущества и свои недостатки. На врезках приведены практические примеры централизованного и местного управления антивирусной защитой, на основании которых можно сделать вывод о преимуществе централизованного управления в случаях большого количества рабочих станций, а также наличия заметного потока входящей информации, нуждающейся в проверке. Кроме того, существует такое понятие, как дополнительные опасности, вызванные такими факторами, как наличие конфиденциальной информации и присутствие приходящих сотрудников, а также уровнем компьютерной грамотности последних. Мой опыт работы как в государственных, так и в коммерческих структурах быстро развеял любые надежды на этот счет — на моих глазах сотрудники пытались запустить FDISK.EXE для того, чтобы увеличить скорость работы компьютера, следуя инструкции, присланной неизвестным по системе электронной почты. При этом все попытки остановить человека вызывали поток язвительных замечаний относительно моих профессиональных навыков и широты кругозора. Естественно, все перечисленные факторы повышают требования как к системе в целом, так и к ее организации. Однако у вопроса об организации антивирусной защиты есть и финансовая сторона. Глупо разворачивать систему стоимостью несколько тысяч долларов для защиты пяти компьютеров в небольшой фирме. С другой стороны, когда руководство начинает экономить даже на собственной безопасности, возникает ситуация, подобная той, что сложилась в крупном издательском холдинге (см. врезку 1). Поэтому во всем должен присутствовать здравый смысл и трезвое осознание ситуации.

Теперь определимся с выбором конкретных защитных систем, на базе которых и будем строить нашу защиту. Исторически на отечественном рынке популярностью пользовались отечественные разработки, такие как AidsTest и Adinf компании «ДиалогНаука», а также более поздняя разработка группы Евгения Касперского — AVP. Кроме того, заметную долю этого рынка в нашей стране занимают зарубежные продукты, такие как Norton Antivirus (Symantec Co.) и MacAfee (Networks Associates Technology, Inc.). При этом четко разделить между ними сегменты рынка антивирусного ПО невозможно вследствие их значительной универсальности, а также личных пристрастий пользователей. Тем не менее отдельные тенденции выделить все же можно. Так, большая часть пользователей операционных систем семейства MS-DOS и ранних версий MS Windows (до 3.11) используют антивирусный «тандем» компании «ДиалогНаука», а счастливые пользователи более старших версий MS Windows останавливают свой выбор на антивирусных комплексах от группы Касперского и Symantec. При этом часто выбор основан на личных предпочтениях и предыдущем опыте. К примеру, когда решалась проблема организации антивирусной защиты информационной системы Издательского дома «КомпьютерПресс», вопрос о программном обеспечении даже не поднимался. Выбор бы очевиден — Norton Antivirus Corporate Edition.

Предыстория этого выбора восходит к 1994 году, когда отечественные антивирусные разработки спасовали перед иноземной заразой, занесенной в домашний компьютер дискетой, прибывшей из Штатов. В приступе отчаяния в магазине «Библио-Глобус» (что на Мясницкой) был куплен единственный иноземный целитель, коим и оказался Norton Antivirus 2.0. В последующие годы я своими глазами наблюдал эволюцию этого продукта. Однако поскольку на отечественные вирусы реагировал он не всегда, сразу расстаться с AidsTest, Adinf и AVP не удалось. Это привело к пятилетнему совместному использованию данных антивирусов, обеспечив возможность их сравнительного тестирования. Если быть кратким, то отличительные особенности продуктов можно описать следующим образом:

  • Adinf. Идеальный (почти) сторож диска. Позволяет рассчитывать контрольные суммы как файлов, так и системных областей жесткого диска. В паре с модулем восстановления (Adinf Cure Module) позволял (не всегда) восстанавливать файлы, зараженные неизвестным вирусом. На практике подобное восстановление было не всегда корректным. Однако значение этого продукта трудно переоценить.
  • AidsTest. Первый российский антивирус. Быстро и надежно ищет и в большинстве случаев корректно излечивает известные ему вирусы. В числе его заслуг — прекращение эпидемии вирусов семейства Stone (1991-1993 годы) и ряда других, меньших по объему. В течение многих лет (до появления Adinf в 1991 году) оставался единственной защитой отечественных пользователей от вирусов.
  • AVP. Разработка группы Евгения Касперского (1993 году). Прославилась своей способностью восстанавливать абсолютное большинство зараженных файлов, в том числе и таких, от восстановления которых отказывались российские и зарубежные аналоги.

На фоне столь блестящей отечественной антивирусной триады разработка Symantec первоначально ничем не выделялась. Однако начиная с версии 3.0 продукт стал с каждой новой версией приобретать новые возможности, расширяя и совершенствуя уже имеющиеся. Именно в нем были впервые применены такие революционные возможности, как механизм эвристического анализа данных на предмет «вирусоподобных» инструкций и обновление антивирусной базы по сети Internet (Live Update). Кстати — в отечественные разработки подобная функция была включена сравнительно недавно. Именно Symantec первым добился в своем комплексе практически полного снятия необходимости контроля его работы. Все, что требовалось от пользователя,  — это канал доступа в Internet для автоматического получения обновлений. Именно поэтому, будучи студентом МГУ и одновременно администратором «кафедральной» сети (состоящей, к слову сказать, из пяти компьютеров, лучший из которых был P-PRO), я использовал именно этот программный продукт для обеспечения защиты научных данных, статей и своего диплома от вирусной заразы. Естественно, от Adinf я не отказался и регулярные проверки AidsTest выполнял. Однако функция контроля открываемых файлов и данных была возложена на антивирусный монитор из Norton Antivirus 3.0. Перелом наступил в 1998 году, когда, будучи системным администратором одного из крупнейших издательских холдингов, я констатировал факт полного соответствия списка определений вирусов в Norton Antivirus и в отечественных разработках. Все это, с учетом более быстрой работы и меньшего количества сбоев по сравнению с доступными аналогами, привело к построению антивирусной защиты компании по схеме А (см. врезку 1) на основе версии 4.0 антивирусного пакета компании Symantec. К сожалению, руководство не посчитало возможным приобрести более дорогую версию (Corporate Edition) этого пакета, что изрядно затрудняло работу инженеров сервисного центра по защите от вирусов и снижало эффективность построенной защиты. Дальнейший опыт доказал нерациональность использования пакета Norton Antivirus 4.0 в условиях крупной компании и обоснованность наших требований по приобретению более совершенной версии антивирусного ПО. В то же время за весь срок использования описываемого здесь пакета (более двух лет) ни одному вирусу не удалось вызвать даже локальную эпидемию, не говоря уже о потере данных. И это при том, что антивирусное ПО регулярно обновлялось исключительно на серверах. Рабочие же станции обновлялись лишь от случая к случаю, да еще при глобальных переездах и прочих стихийных бедствиях. В результате некоторые рабочие станции не обновлялись с момента установки на них антивируса. При этом система электронной почты и канал доступа в Internet никоим образом не контролировались. К слову, наши соседи (другое известное издательство) в 1999 году перенесло катастрофическую эпидемию знаменитого Win95.CIH, хотя использовало некий отечественный антивирусный продукт.

На этом мы завершим разговор о прошлом и обратим наш взор в светлое настоящее и радужное будущее.

К чести компании Symantec, она не остановилась на достигнутом и улучшила свою серию антивирусных продуктов, что привело к созданию новой версии системы корпоративной антивирусной защиты — Norton Antivirus Corporate Edition 7.01. Именно эта система, после непродолжительных обсуждений с руководством, была принята на вооружение Издательского дома «КомпьютерПресс». Однако в процессе переговоров с сотрудником компании Symantec наш выбор склонился в пользу двух пакетов, представляющих законченное антивирусное решение в рамках организации, а именно в пользу пакетов Norton Antivirus Solution 4.0 и Norton Antivirus Enterprise Solution 4.0. Состав этих пакетов приведен в таблице.

Первое впечатление от новой версии антивируса было неоднозначным. Прежде всего поразило практически полное отсутствие какой-либо бумажной документации. Скудное описание начальных шагов — не в счет. Тем не менее — вопреки привычной практике сначала ставить, а потом разбираться в документации — оно было неоднократно прочитано. Примерно при третьем прочтении где-то в середине мелким шрифтом мелькнуло предупреждение о необходимости правильной последовательности инсталляции компонентов. Еще страниц через пять эта последовательность была обнаружена. На естественный вопрос о первопричине скрытия этой ценнейшей информации среди подробных описаний этапов вскрытия коробки и правил запуска программ под MS Windows ответить было некому. Поэтому был распечатан компакт-диск — тут-то и началось самое интересное.

Прежде всего полную установку и настройку антивирусного программного обеспечения во всей сети можно осуществить с любого рабочего места. После установки центральной антивирусной консоли и перезагрузки мы приступили к установке антивируса на серверы. Предварительно пришлось выделить один из серверов на роль «карантина» и еще один — на роль сервера обновлений списка вирусов. Эти функции были возложены на сервер печати компании, что не привело к сколько-нибудь заметному замедлению ими выполнения своих основных функций. Процесс установки прошел гладко, без малейших нареканий и глупых вопросов со стороны инсталлятора. Единственное, что потребовалось от нас, это подойти к двум старым серверам и перезагрузить их, поскольку сделать это средствами операционной системы не представлялось возможным в связи с аппаратными проблемами. Все остальные серверы были успешно перезагружены удаленно, посредством соответствующей утилиты из NT Resource Kit.

После этого мы занялись пользователями. Поскольку устанавливать защиту всем одновременно не представлялось разумным из-за отсутствия информации о возможности сбоев и конфликтов программного обеспечения, нами был принят секретный список из семи пользователей, которые «добровольно-принудительно» получили антивирус. Только спустя три часа после проведения этого мероприятия один сотрудник заметил пиктограмму антивирусного монитора, а еще один компьютер, работающий под управлением MS Windows 2000 Professional, перестал грузиться. Симптомы, сопровождавшие столь возмутительное поведение компьютера, были крайне странными и неоднозначными. Во-первых, резко увеличилось время загрузки операционной системы. Во-вторых, перезапуск системы в безопасном режиме приводил к ее зависанию. Наконец (и это самое страшное), перестал запускаться сервис NetLogon, что является одной из самых страшных ошибок операционных систем семейства Windows NT. Поскольку переустановка системы была неприемлема вследствие планировавшейся перспективы установки этого антивирусного комплекса на остальные компьютеры с аналогичной операционной системой, было предпринято патолого-анатомическое исследование «покойника», дабы установить первопричину такой напасти. Уже непродолжительное вскрытие выявило преинтереснейшую вещь, а именно — строки в реестре, по внешнему виду наводящие на мысль об их родственных отношениях с отечественным антивирусным комплексом AVP. После допроса с пристрастием сотрудник признался в наличии на его машине антивирусного монитора из состава комплекса AVP. Дальнейшие действия свелись к ликвидации этого программного обеспечения с незначительной чисткой реестра, после чего рабочая станция загрузилась и как ни в чем не бывало продолжила работать. В результате было принято решение о необходимости предварительной зачистки рабочих станций от других антивирусных программ, что и было выполнено.

Установка соответствующих компонентов для защиты системы электронной почты и корпоративного брандмауэра прошла очень гладко и практически незаметно для пользователей. Кроме того, уменьшилась (на 5-7%) скорость загрузки файлов из Internet. Работа с электронной почтой заключалась в «вырезании» неизлечимого вложения из письма с отправкой его в карантин и рассылкой предупреждения ответственному сотруднику. Единственное, что можно рекомендовать при установке антивируса, — это обратить внимание на настройки защиты. К сожалению, они не всегда являются оптимальными.

После установки всего комплекса на часть компьютеров Издательского дома «КомпьютерПресс», выделенных в виртуальную тестовую сеть, началась активная обкатка всей системы. Полученный опыт можно сформулировать следующим образом:

  1. Общая организация защиты с настройками по умолчанию может быть оценена в 5 баллов — за защищенность, и на твердую «тройку» — за рациональность. Настройки защиты по умолчанию не являются лучшими с точки зрения как скорости, так и безопасности. Разумно проверять «на лету» некоторый минимум типов файлов (и уж никак не tiff — изображения объемом примерно 100-500 Мбайт), но проверка на почтовом сервере и брандмауэре должна вестись всеми доступными способами.
  2. Настройки безопасности рабочих станций и серверов должны дополнять друг друга, но не дублировать. По умолчанию запрашиваемый файл сначала тестируется на сервере при его запросе, а затем на рабочей станции при открытии. Поскольку базы определений вирусов идентичны, это пустая трата времени.
  3. Проводите регулярные проверки «боеготовности» комплекса. Самый простой способ — периодическое «подбрасывание» в разные участки сети заведомо зараженных данных и анализ скорости и качества реакции системы на их появление.
  4. Чем меньше может пользователь — тем лучше! Не нужно никаких сообщений об обнаружении вирусов. Если вирус есть и он излечим — значит следует его «на лету» излечить и выдать пользователю «здоровую» версию. Если нет — «access denied». И никакого либерализма — вирусы представляют слишком большую угрозу.
  5. И наконец, не ленитесь проводить регулярную маниакальную проверку серверных дисков. Это не займет у вас много времени, но повысит общий уровень защиты.

Если суммировать абсолютно все, то весь комплекс заслуживает (с небольшой натяжкой) высшей оценки. Вот если бы еще документация была чуть более логичной... Не очень приятно, когда из-за крупицы ценной информации приходится перелопачивать огромное количество пустых инструкций.

В заключение хотелось бы упомянуть о заявленной, но, к сожалению (или к счастью), не опробованной нами новой возможности антивирусного пакета, а именно — об оперативном анализе подозрительных файлов и синтеза противоядия. Эта функция реализована в рамках карантинного сервера и представляется важной не только при отсутствии возможности получения обновленных определений вирусов, но и как последняя надежда при появлении в вашей сети неопознанного компьютерного монстра.

Удачи вам, и пусть использование вами этого прекрасного антивирусного комплекса не приведет к снижению частоты производимого резервного копирования. Как известно, на Бога надейся, а сам не плошай.

КомпьютерПресс 2'2001