Подписаться  на наше издание быстро и дешевле чем где-либо Вы можете прямо сейчас! Подписаться! 

 


Антивирус для почтового сервера – это необходимость или дань моде? Как интегрировать антивирусную защиту пакетов протокола РОР3 с системой защиты почтового сервера? Каковы особенности антивирусной защиты сервера ISA-2000?

 

Во избежание излишних вопросов сразу уточним: в статье рассматривается весьма специфическая область применения антивирусов – сетевые приложения ISA-2000 и Exchange-2000/2003.


Речь идет о средних и крупных локальных сетях, основанных на концепциях Active Directory (AD) доменов Microsoft с контроллерами на базе Windows Server-2000/2003. В подобных ЛВС пользователи чаще всего связаны с интернетом через брандмауэр ISA-2000, а электронная почта основана на серверах Exchange-2000/2003, объединенных в лес серверов.


Такие системы ставят перед администраторами задачи, несопоставимые по уровню сложности с задачами защиты домашних компьютеров или рабочих станций небольших офисных сетей компьютеров, компактно расположенных в одной-двух комнатах.


Защита корпоративных ЛВС предполагает обязательную централизацию управления и интеграцию работы антивирусов с работой сетевых приложений. Учитывая степень распространенности в Украине различных семейств антивирусных средств, рассмотрим работу программных средств KAV и Symantec применительно к защите ISA-2000 и Exchange-2000/2003.


Когда почтовая сеть расширяется быстрее, чем приобретаются лицензии, либо когда не все абоненты имеют право отправлять письма за пределы ЛВС, необходимо организовать защиту лишь некоторых почтовых ящиков, о чем будет сказано дальше.
Администраторы прекрасно понимают, что моделировать "поведение" антивирусных средств сетевых продуктов значительно дороже, чем антивирусов, предназначенных для персональных компьютеров. Не всякое предприятие может создать и эксплуатировать сетевой модельный стенд. Поэтому многие из тех, кто хорошо изучил защиту рабочих станций и файл-серверов, при работе с почтовыми и прокси-серверами часто действуют интуитивно.

 

Зачем защищать сетевые приложения?

 

Многие пользователи считают, что антивирусная защита на уровне содержимого файл-серверов и рабочих станций решает все проблемы, однако это далеко не так.


Здесь надо уточнить, что рассматривается процесс обработки информации в достаточно территориально развитой локальной сети, рабочие станции которой удалены друг от друга, и администратор физически не сможет их быстро обойти. Для эффективной работы такой системы необходимы централизованное управление антивирусной защитой, делегирование полномочий, автоматизация аварийных извещений, создание групп безопасности и т.п.


Конечно, настраивать и эксплуатировать средства защиты сетевых приложений следует с учетом назначения, функционирования и архитектуры конкретного приложения. Однако при этом нельзя забывать об общем свойстве всех сетевых приложений – концентрации обработки данных в одном месте сети и передаче результатов обработки во многие ее точки.

 

Выбираем антивирус


Рассмотрим антивирусную защиту для распространенного примера: почтового сервера MS Exchange Server-2000 и брандмауэра MS ISA-2000 в домене Microsoft Windows, организованном по технологии Active Directory и управляемом серверами-контроллерами MS Windows Server-2000/2003.


Как известно, семейства антивирусных средств обычно состоят из следующих представителей:

  • антивирус для рабочих станций;
  • антивирус для операционных систем в редакции Home-edition (Light-версии);
  • антивирус для файл-серверов, функционирующих в различных операционных системах (NetWare, Windows-2000/2003 Server и т.д.);
  • антивирус для прокси-серверов;
  • антивирус для почтовых серверов и др.

Естественно, особенности установки и эксплуатации антивирусов целесообразно изучить на модельном стенде, так как эти средства очень важны для обработки информации: они ресурсоемки, "привередливы" к "среде обитания" и нередко вступают в конфликты с другими программными ресурсами. К сожалению, отказаться от использования антивирусов при работе с сетевыми приложениями невозможно, поэтому к возможным проблемам нужно подготовиться заранее. Однако если изучение автономно существующих продуктов – процесс сравнительно не сложный с точки зрения создания подобного модельного полигона, то проверка правил настройки сетевых продуктов является достаточно трудоемкой и дорогостоящей процедурой.

 

Антивирусная защита почтового сервера


На первый взгляд, антивирусная защита почтовых серверов (хранилищ информации и почтовых ящиков) кажется излишней при условии соответствующей защиты рабочих станций. Современные антивирусные продукты и без того "на лету" проверяют информацию, поступающую по протоколу РОР3. Однако стоит обратить внимание на то, что на крупном предприятии почтовые ящики практически всегда располагаются именно на серверах, и письма оттуда крайне редко "мигрируют" на рабочие станции. В крайнем случае, они лишь копируются в папки пользовательского профиля.


Организация почтовой системы в режиме Exchange (здесь используется термин Microsoft) повышает надежность информации, так как серверы всегда лучше энергозащищены, их базы данных регулярно резервируются, а обслуживающий персонал по определению более, так сказать, ИТ-квалифицирован, чем рядовые пользователи. При такой организации почты абоненты могут просматривать письма, работая за любым компьютером сети, необходимо лишь право доступа к почтовому серверу. Кроме того, централизованная организация повышает защиту от несанкционированного доступа, значительно улучшает качество поддержки почтовых хранилищ со стороны ИТ-службы и увеличивает надежность работы в целом.


Кстати, почтовые клиенты на рабочих станциях, работающие в режиме Exchange, вообще не используют протокол РОР3. Именно такой режим является предпочтительным. Таким образом, места концентрации почтовой информации (серверы, "почтовые отделения") нуждаются в специальной антивирусной защите, совершенно не связанной с защитой файл-серверов и рабочих станций.


А теперь перейдем к описанию настройки антивирусной защиты почты. В качестве примера будут рассмотрены достаточно широко распространенные в Украине продукты "Лаборатории Касперского".


KAV for Exchange


"Антивирус Касперского" для MS Exchange Server-2000/2003 (он же KAV for Exchange) устанавливается только на сервере MS Exchange Server-2000 SP2/2003, на котором обязательно должен быть установлен SP2 for MS Exchange Server.


Инсталляция начинается с открытия стандартного окна установки. Затем последовательно указываются сведения о пользователе (имя, организация) и папка размещения продукта. После этого можно переходить к выбору устанавливаемых компонентов: антивирусных баз данных, настроек для MS Exchange (Engine, MMC), Центра управления и др.

После просмотра и подтверждения выбранных параметров начинается инсталляция продукта, в процессе которой система запрашивает ключ и показывает значение. На этом установка завершается.

 

Стоит отметить, что на шаге "Укажите путь к лицензионным файлам" желательно в окне "Лицензионный ключ" установить флажок для параметра "Использовать утилиту AddKey". В этом случае активизируется утилита AddKey, которая позволит в дальнейшем устанавливать новые файлы ключей. Новые ключи могут понадобиться, если в процессе эксплуатации придется увеличивать количество лицензий, либо если срок приобретенной лицензии завершился, и вам необходимо заменить старый ключ новым.


Теперь – о количестве защищаемых почтовых ящиков. KAV for Exchange проверяет лишь столько ящиков, сколько указано в лицензии. Настройка продукта по умолчанию предполагает анализ всех ящиков почтового сервера. Если же "количество ящиков, требующих проверки, превышает число указанных в лицензии, то KAV переходит в демо-режим" (п. 3.7 "Руководства администратора").


На практике, однако, часто бывает так, что количество ящиков надо увеличить, а закупленные лицензии KAV for Exchange еще не поступили, либо по каким-то организационным причинам часть ящиков необходимо исключить из процесса проверки (в частности, те из них, почтовые клиенты которых работают в так называемом "интернет-режиме", то есть получают почту по протоколу POP3, и нет смысла проверять их на сервере). KAV позволяет создать список непроверяемых почтовых ящиков и продолжает функционировать в основном режиме.


Для этого в домене Windows 2000/2003 с помощью Active Directory Users and Computers следует сформировать группу безопасности, включающую в себя  только тех пользователей, почтовые ящики которых не должны проверяться. Затем надо настроить параметры на почтовом сервере при помощи консоли KAV Kaspersky Anti-Virus MMC Snap-In for MS Exchange Server, которая находится в группе программ Kaspersky Anti-Virus.


Здесь нас интересует ветвь Настройка — Объекты проверки — Незащищаемые. Нажимаем кнопку Группа незащищаемых почтовых ящиков [_KAV_Exchange_UNPROTECTED]. На консоли KAV появляется окно Выбор группы. Указываем в нем имя группы безопасности, содержащей список имен пользователей, почтовые ящики которых исключаются из процесса обработки. Затем в оснастке Kaspersky Antivirus нажимаем кнопку Период проверки изменений списка незащищаемых почтовых ящиков. В ответ на запрос указываем время в секундах, по истечении которого KAV будет проверять изменения в сформированной группе исключений. В случае обнаружения таких изменений программа фиксирует их, и работа KAV for Exchange соответствующим образом корректируется. Перечисленные действия по настройке отражаются в разделе реестра HKLM\SOFTWARE\KasperskyLab\Componenys\125\3.0, а именно в параметрах UnprotectedGroupName и LDAPCheckingTimeOut.


UnprotectedGroupName – это строковый параметр, который задает отображаемое имя и идентификатор группы незащищаемых почтовых ящиков в доступном каталоге LDAP, а также версию этой группы (версия соответствует значению параметра USN-Changed, доступного для данного объекта в LDAP). Формат параметра UnprotectedGroupName таков:

 

< group_name >=< full_group_name >.< USN-Changed_value >

 

По умолчанию значение этого параметра – _KAV_EXCHANGE_UNPROTECTED=0. Для защищаемой группы это значение может быть, например, следующим: BEA=CN=BEA, OU=Fam, DC=fam, DC=local:3289. Здесь BEA – имя группы пользователей с незащищаемыми почтовыми ящиками. Эта группа находится в организации Fam, которая принадлежит домену с именем fam.local, 3289 – идентификатор объекта.


LDAPCheckingTimeOut – параметр формата DWORD, который задает период обновления сведений о версии объекта LDAP, идентифицирующего список незащищенных почтовых ящиков.

 

Антивирусная защита прокси-сервера MS ISA-2000


Информационный обмен и сфера влияния интернет-технологий все более расширяются. Увеличивается и жизненное пространство для вирусов, червей, "троянов" и прочей виртуальной "фауны". Обращение к неисчерпаемому ресурсу данных, каким является интернет, становится для слабо защищенных сетей и рабочих станций действительно опасным. Поскольку рабочие станции чаще всего связаны с интернетом через тот или иной шлюз, именно он становится тем "узким местом", которое должно быть максимально защищено. Проверка информации, проходящей через эти стратегически важные для локальной сети ворота, является главным аспектом защиты. Не секрет, что интернет и электронная почта – основные источники заражения, поэтому все основные антивирусные системы имеют в своем составе средства для защиты прокси-серверов.


Продукт для защиты прокси-сервера от "Лаборатории Касперского" получил название KAV for MS ISA-2000 (далее – KAV for MS ISA). В настоящий момент существуют две версии этого продукта – KAV for MS ISA-2000 v.5.0 и v.5.5. Различие между ними заключается в том, что v.5.5 работает в режиме Array member (массив серверов) Windows-2000/2003. Далее они будут рассматриваться как единый продукт.


KAV for MS ISA обеспечивает антивирусный контроль файлов, проходящих через брандмауэр по протоколам НТТР и FTP. Таким образом, антивирус фильтрует данные, анализирует контролируемые объекты на наличие вирусов и блокирует проникновение вирусов в локальную сеть. В процессе работы KAV for MS ISA выполняет следующие действия:

  • проверка на наличие вирусов потока данных, поступающих из интернета;
  • лечение входных файлов;
  • формирование потока данных по результатам лечения;
  • обновление собственной антивирусной базы;
  • ведение журнала своих действий.

Для ускорения обработки можно создать список сайтов, трафик с которых исключается из проверки.


В своей работе мы следовали рекомендациям Лаборатории: приложение было установлено на ISA-сервере, а средство управления им – на компьютере, являющемся рабочим местом администратора. Режим работы был определен как Integrated, поскольку ISA-сервер использовался одновременно и как брандмауэр, и как сервер кэширования.


При инсталляции приложения автоматически определяется режим работы ISA (Firewall, Proxy или Integrated). Для режима Integrated автоматически устанавливаются фильтры FTP и Web.


Установка антивируса подробно описана в документации, поэтому здесь стоит обратить внимание лишь на два момента.


Во-первых, до инсталляции необходимо подключить на ISA-сервере фильтры (если они отключены) HTTP Redirector Filter и FTP Access Filter. Для этого надо в консоли ISA Management войти в ветку Extensions – Application Filters. Далее выбираем в списке нужный фильтр и открываем диалоговое окно его свойств. В диалоговом окне устанавливается признак Enable this filter. Если MS ISA-сервер работает в режиме Firewall, то в окне HTTP Redirector Filter Properties на закладке Options выбираем опцию Send to requested Web server.


Во-вторых, при инсталляции необходимо определить, сколько экземпляров антивирусного ядра будет работать параллельно. Документация (и опыт это подтверждает) рекомендует устанавливать по 4 экземпляра антивирусного ядра на один физический процессор компьютера-сервера.


Во время инсталляции можно изменить предлагаемые настройки и ввести дополнительные проверки и/или подключить дополнительные базы (RiskWare, SpyWare, AdWare). Но в этом случае производительность продукта резко падает, так что приходится искать "золотую середину". Мы не стали устанавливать проверку архивных файлов, но расширили перечень антивирусных баз за счет добавления дополнительного типа "Избыточные базы", поскольку искать и удалять шпионское (SpyWare) и рекламное (AdAware) программное обеспечение на рабочих станциях сложно. К тому же SpyWare значительно увеличивает сетевой трафик.


Для повышения производительности иногда целесообразно делить пользователей прокси-сервера на группы. Каждая группа проверяется по собственной антивирусной политике. В нашем случае средствами сервера ISA была сформирована группа пользователей, имеющих право обращаться только к ограниченному списку проверенных, безопасных сайтов, и подготовили для этой группы облегченную антивирусную политику KAV for ISA.


Чтобы создать группу клиентов для KAV for ISA, в консоли управления ISA надо перейти на ветку "Антивирус Касперского" и выбрать пункт Создание группы. В окне Создание группы вводим название группы и ее дескриптор, нажимаем кнопку Добавить и выбираем из списка имя пользователя, которого хотим добавить в группу. Первоначально этот список пуст. Если не создавать политики и группы, то все пользователи автоматически включаются в единую группу, и их обслуживание определяется политикой Default KAV for ISA.


Клиент группы KAV for ISA идентифицируется IP-адресом или диапазоном IP-адресов. После ввода IP-адреса этот пользователь прикрепляется к соответствующей группе. Новая группа вначале обслуживается по стандартной политике Default.


Для формирования новой политики необходимо войти в ветку ISA Management – Extensions – "Антивирус Касперского" – Политики. Выбираем пункт Создание политики. Последовательно вводим название политики, ее дескриптор, нажимаем кнопку Добавить группу и выбираем из списка созданных групп ту, которой будет назначена формируемая политика. Затем нажимаем кнопку Добавить сервер и указываем серверы, входящий трафик которых не будет проверяться. Теперь можно составить список типов непроверяемых объектов. Такой список позволяет значительно увеличить производительность антивируса без ущерба эффективности.


Настройка обновлений антивирусных баз выполняется так же, как и в других антивирусах семейства KAV.


Администратор знает, как важно постоянно следить за счетчиками производительности ISA-сервера при работающем антивирусе. Эту информацию предоставляет системный монитор, на котором, кроме собственных счетчиков, появляются счетчики KAV. Разумеется, для чтения счетчиков на удаленном компьютере пользователю необходимы привилегии, описанные в статье MS Knowledge Base Q158438. Кроме того, на сервере с установленным антивирусом должен быть запущен сервис "Служба удаленного управления реестром" и обеспечен доступ по NetBIOS.

2006.08.30
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".