Home img.PNG Napište nám img.PNG Unicorn img.PNG
img.PNG flag_ru.gif EN SK
Unicorn systems
Produkty Řešení Business Reference Press Kariéra O společnosti Kontakty

spc15px.gif
KONTAKT
img.PNG
Unicorn Systems a.s.
info@unicornsystems.eu
Tel.: (+420) 221 400 111
Fax: (+420) 221 400 114
img.PNG

Antivirová ochrana v kostce

11.02.2008
Narůstající rozměry virových epidemií nás nutí budovat účinné antivirové ochrany týkající se nejen jednotlivých pracovních stanic, ale především celých lokálních sítí a serverů. Z prvních antivirových programů, které připomínaly spíše jednoduché utility, se vyvinuly rozsáhlé antivirové systémy s řadou rozličných doplňkových funkcí.
Také aktualizace, které dříve stačilo provádět jednou měsíčně, jsou nyní běžně prováděny pomocí internetu třeba několikrát denně. Všeobecně lze říci, že antivirové programy představují nejčastěji aktualizovaný software. Dnešní síťoví a e-mailoví červi jsou schopni rozšířit se po sítích celého světa během několika málo hodin.

Pracovní stanice a souborové servery

Je důležité si uvědomit, že bez ohledu na jiná moderní řešení základním prvkem zůstává "klasický" antivirový program na pracovní stanici. I kdyby byla v naší hypotetické síti nasazena kvalitní antivirová ochrana na serverech a všech vstupních branách, stále zde existuje jistá možnost nákazy prostřednictvím pracovních stanic. Proto nemůžeme tuto základní úroveň z našeho systému v žádném případě vynechat.
 

Ochrana e-mailové komunikace

Ochrana elektronické pošty přímo na vyhrazeném serveru je jedním z nejčastěji se vyskytujících serverových antivirových řešení. Tento stav vychází hlavně z historických zkušeností, zejména prvních masivních epidemií e-mailových červů, které byly pro společnosti dostatečným motivem k tomu, aby si svoji elektronickou poštu adekvátním způsobem zabezpečily. Antivirovou ochranu však není nutné realizovat až na samotném poštovním serveru, ale již na úrovni vstupní brány z internetu.
Tyto antivirové programy fungují na základě tzv. SMTP relay serveru. To znamená, že pošta je nejdříve doručena na vyhrazený server, kde je provedena její kontrola antivirovým programem. Teprve následně je dle výsledku kontroly přeposlána na původní poštovní server a odtud doručena adresátovi. Na stejném principu funguje i lokální e-mailová komunikace. Řešení založená na tomto principu zpravidla dokáží provádět ještě některé další funkce, jako je např. odfiltrování nebezpečných příloh nebo spamu. Hlavní výhodou tohoto principu řešení je jeho rychlost. Lze provádět kontrolu obrovského množství dat rychle i při použití relativně nevýkonného hardwaru.
 

Ochrana HTTP a FTP

Je nesporným faktem, že největší nebezpečí, co do šíření škodlivých kódů, představuje protokol SMTP, resp. elektronická pošta. Odborníci uvádějí kvalifikované odhady virových incidentů způsobených škodlivými kódy na úrovni 80 až 90 % všech vzniklých virových incidentů. Při zabezpečení lokální sítě však nesmíme zapomínat ani na další komunikační protokoly, které se mohou, i když s řádově nižší pravděpodobností, také stát reálným zdrojem "nákazy".
Jednou z dalších možností, která přichází v úvahu hned po SMTP, je komunikace pomocí protokolu HTTP. Tento protokol je dnes nejvíce využíván pro zobrazování webových stránek, ale objevuje se i v řadě dalších aplikací. Webové stránky již nejsou jen místem, kde firma zveřejní statické informace o sobě a svých produktech, ale stále častěji představují aktivní rozhraní pro přijímání objednávek, poskytují prostředek pro přístup do firemního účetního systému atd.
Samozřejmě můžeme najít řadu dalších protokolů, které bychom neměli ponechat bez dozoru. Jedním z nich je například protokol POP3 (protokol pro vzdálený přístup k poštovnímu serveru). Je třeba zdůraznit, že pokud jej administrátor ponechá v lokální síti povolen, dopouští se tím hrubé bezpečnostní chyby. Kromě toho také existuje dlouhá řada více či méně známých komunikačních protokolů, které tvůrci počítačových virů zatím ponechali bez povšimnutí. Je ale jen otázkou času, kdy se některý z nich stane terčem virového útoku a antivirové firmy budou muset hledat vhodný způsob ochrany i pro ně. Zatím nejsnazším řešením, jak eliminovat hrozby plynoucí z těchto protokolů, je všechny "postradatelné" zakázat přímo na firewallu.
 

Ochrana na proxy

Základním principem tohoto způsobu řešení antivirové ochrany je umístění speciálního vyhrazeného serveru mezi vstupní bránu a uživatelské stanice. Veškerá komunikace je potom na vstupní bráně přesměrována na antivirový proxy server, na němž jsou data poskládána z paketů do smysluplné podoby a provedena jejich kontrola. Po úspěšném otestování jsou opět v původní podobě propuštěna na samotnou stanici.
Stejným způsobem lze kontrolovat i data odchozí. V tomto případě je ale nutné upravit konfiguraci stanic a poštovních serverů v celé lokální síti, tzn. přesměrovat veškerý provoz na proxy server. Z toho je patrná složitost takového řešení ve větších sítích.
 

Ochrana firewallů

Základním prvkem každého antivirového řešení pro velké podnikové firewally je protokol CVP (Content Vectoring Protocol), který slouží k přesměrování paketů na vyhrazený antivirový server umístěný v demilitarizované zóně nebo ve vnitřní síti.
Možná by vás mohla napadnout otázka, proč neexistují antivirové programy, které by se instalovaly přímo na samotný firewall? Hlavní důvody jsou dva:
  • instalace jakéhokoli dalšího programu na firewall narušuje jeho robustnost a stabilitu, což jsou vlastnosti, které musí bezpodmínečně splňovat,
  • každá další aplikace na firewallu snižuje jeho bezpečnost.
V případě využití CVP jsou brány v potaz především požadavky na rychlost diskového zařízení, výkon procesoru a velikost operační paměti vyhrazeného serveru. Ten musí být připojen k firewallu pokud možno co nejkratší cestou. Nejvíce se používá propojení kříženým kabelem s rychlou topologií, bez jakýchkoli meziprvků.
Hlavním důvodem těchto požadavků je především samotný průběh antivirové kontroly protékajících dat pomocí protokolu CVP. Ten slouží k přesměrování paketů na aplikační vrstvě na antivirový server, kde je provedena jejich kontrola. Posléze jsou vráceny zpět firewallu, který na základě vyhodnocení výsledků skenování rozhodne o propuštění paketů do vnitřní či vnější sítě, případně o jejich zadržení.
Jedním ze současných trendů je nespoléhat se pouze na jednu úroveň antivirové ochrany, ale realizovat ji minimálně ve dvou úrovních. Kromě základní úrovně představované antivirovým programem na pracovní stanici se současně používá ochrana internetových vstupních bran a k tomu ještě např. ochrana na poštovním a souborovém serveru. Pokud by tedy ochrana na některé úrovni nemohla plnit svou funkci, stále ještě zbývá minimálně jedna další úroveň, která dokáže škodlivý kód odhalit, případně eliminovat.
Nezbytným a neméně důležitým prvkem komplexního antivirového řešení je také účinná centrální správa, která administrátorovi umožňuje spravovat celý provázaný systém z jednoho místa v lokální síti nebo dokonce přímo ze vzdáleného počítače umístěného mimo chráněné sítě.
img.PNG
Mapa stránek     Podmínky použití     Ochrana informací      Kontakty
img.PNG
Unicorn | Unicorn Universe | Unicorn College | Unicorn Systems
© Unicorn Systems 2012