Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Trend InterScan: антивирусная безопасность на высшем уровне

Джеффри Рабин, Тимоти О’Ши

Помните старые добрые времена, когда ответственные за антивирусную защиту сетевые администраторы имели дело только с “подпорченными” флоппи-дисками и искаженными файлами .com? Ныне же вирусы многолики и принимают различные формы — от вредоносных аплетов (мини-приложений Java) и переносимых файлов сценариев до макросов, встроенных во вполне корректные документы. Взрывной рост использования Интернет и повсеместное распространение e-mail привели к тому, что внедренные в почтовые сообщения вирусы могут появиться буквально отовсюду и быстро инфицировать вашу корпоративную сеть.

До появления антивирусных продуктов для почтовых шлюзов администраторы могли рассчитывать только на клиентские антивирусные пакеты или в лучшем случае на серверные антивирусные сканеры. Все это было рассчитано в основном на “вылавливание” вирусов, уже добравшихся до серверов и настольных машин компании, откуда “инфекции” проще всего распространиться по всем узлам сети. В свое время поставщики межсетевых экранов предложили более эффективную защиту от враждебного программного кода на шлюзовом уровне, но, как правило, эта задача не являлась для них первоочередной.

Тем не менее, если ваша организация намерена всерьез бороться с вирусной угрозой, ей следует выбрать именно шлюзовое решение. Однако при этом не следует забывать, что шлюзовые антивирусные решения защищают только от вирусов сетевого происхождения, поэтому вам придется дополнительно позаботиться о клиентских и серверных антивирусных решениях. Другая проблема состоит в том, что продукты этого типа еще не совсем “дозрели”. Впрочем, протестированные нами пакеты сумели отразить атаки большинства вирусов, но ни один из них не продемонстрировал стопроцентную защиту.

В лаборатории Сиракузского университета мы протестировали три антивирусных продукта для SMTP-шлюзов: InterScan VirusWall фирмы Trend Micro, m@ilCOMMAND фирмы Command Software Systems и Norton AntiVirus for Internet Email Gateways фирмы Symantec.

Мы намеревались включить в этот список и продукт фирмы Network Associates, но отказались от этого из-за очень долгого ожидания выхода в свет очередной версии ее продукта WebShield. В конце концов мы приступили к тестированию без него, поскольку и так отложили его на несколько месяцев.

К моменту выхода данной статьи Network Associates уже должна была выпустить WebShield версии 4.02.

Все три протестированных продукта выполняют сканирование входящего и исходящего SMTP-трафика в реальном масштабе времени, имеют интерфейс удаленного управления, оповещают отправителя/получателя сообщения о вирусной тревоге и регулярно обновляют образцы кода вирусов (virus patterns). Что же касается прочих возможностей, таких, как средства фильтрации нежелательных сообщений (spam filtering) и содержимого файлов, то их можно приобрести либо в виде дополнения, либо в качестве обновления к пакетам. Все три продукта прошли сертификацию Международной ассоциации компьютерной безопасности (ICSA) и способны обнаруживать вирусы, входящие в список WildList. Этот список, поддерживаемый организацией WildList Organization (www.wildlist.org/WildList), включает наиболее полный перечень компьютерных вирусов.

Во всех трех продуктах были обнаружены проблемы с поддержкой различных платформ, трансляцией и фильтрацией почты. Ни один из пакетов не умеет выявлять вирусы ОС Macintosh и Linux. Временами возникали трудности и с управляющими настройками, а это, в свою очередь, порождало проблемы интеграции при установке пакета в масштабируемой среде. Некоторым продуктам не помешало бы иметь развитый интерфейс пользователя, более соответствующий корпоративной среде.

Несмотря на все имеющиеся недостатки, пакет InterScan VirusWall 3.1 фирмы Trend Micro оказался на голову выше своих соперников. Он работает с 12 алгоритмами компрессии данных, отлавливая вирусы в присоединенных файлах всех самых распространенных форматов сжатия. Обнаружение и обработка 12 схем сжатия означает, что у вируса практически нет шансов проскочить через шлюз. Оставшиеся два пакета работают только с самыми обычными форматами сжатия, такими, как TAR и ZIP.

VirusWall не только обнаруживает наиболее распространенные вирусы, но и превосходит своих конкурентов, “охотясь” на их новые виды, включая Java-аплеты, программы на языках JavaScript, VBScript и новейшие вирусы, заражающие HTML-страницы. Процент обнаружения подобного типа вирусов у VirusWall самый высокий, причем он единственный из трех протестированных продуктов выполняет сканирование кода на предмет выявления вредоносных Java-аплетов. Пользовательский интерфейс пакета, хоть и далек от совершенства, но является самым удобным и понятным из всех виденных нами, да и времени на его изучение требуется совсем немного. Фирма Trend Micro также предлагает отдельно систему Virus Control System (VCS), которая обеспечивает удаленное администрирование антивирусного пакета через Web и предоставляет множество дополнительных возможностей.

Что же касается продуктов Norton AntiVirus for Internet Email Gateways фирмы Symantec и m@ilCOMMAND фирмы Command, то, похоже, они все еще находятся в стадии доработки. По заявлению представителей Symantec, в следующем квартале текущего года компания планирует выпустить обновленную версию продукта с более широкими возможностями. Однако они отказались сообщить подробную информацию о нем.

В пакетах фирм Symantec и Command имеются отдельные дефекты, которые необходимо устранить. Причем если верить указанной дате, то ПО Norton AntiVirus оставалось неизменным с версии 1.0.2, вышедшей в 1997 г. Сам пакет оказался неполным и вызвал массу вопросов с момента его инсталляции в нашей системе. Продукт фирмы Command выглядит несколько лучше — он предлагает превосходные средства управления почтой и конфигурирования регистрационного журнала. Пакет m@ilCOMMAND использует тщательно проработанный механизм F-PROT для обнаружения вирусов и после небольшой доработки пользовательского интерфейса сможет составить серьезную конкуренцию продукту фирмы Trend Micro.

Trend InterScan VirusWall 3.1 фирмы Trend Micro

После интенсивного тестирования в нашей лаборатории этого пакета возник вопрос: “А есть ли хоть что-то, чего он обнаружить не может?” Ответ на него прост: “Есть, но очень мало”. Реализованный Trend Micro алгоритм обнаружения вирусов — это высшее достижение в данной области, при этом налицо тщательность и продуманность процесса проектирования пакета. Несмотря на всю свою мощь, VirusWall занимает совсем немного места в оперативной памяти хост-системы и отличается гибкостью в работе и высокой скоростью. Его общая надежность и обеспечиваемая им степень достоверности результатов сделали VirusWall бесспорным лидером.

Для сетевого администратора недостаточно иметь систему, способную вылавливать лишь самые распространенные или старые формы вирусов. В наших тестах только VirusWall обнаруживал враждебные Java-аплеты. Кроме того, он лучше всех обнаруживал вредоносный программный код, выявляя даже самые последние “достижения” в данной области, включая VBScript-, JavaScript- и HTML-инфекции, макросы для Microsoft Access и Microsoft PowerPoint. ПО VirusWall просматривает Java-аплеты и сравнивает их сигнатуры с уже известными сигнатурами, хранящимися в его БД, что повышает уровень защиты и достоверность результатов проверки.

В случае обнаружения вируса пакет VirusWall, единственный из всех протестированных нами продуктов, пытается “лечить” зараженный файл. Если попытка успешна, то “вылеченный” файл пересылается по месту назначения. Если же избавиться от вируса не удается, то зараженный файл удаляется, а его отправитель, адресат и сетевой администратор посредством e-mail оповещаются о том, что файл не доставлен по причине его зараженности вирусом.

Мы по достоинству оценили способность VirusWall избирательно сохранять или удалять почтовые вложения. Когда одно из десяти вложений оказывалось зараженным, VirusWall доставлял все незараженные вложения по назначению, а зараженный файл либо пытался “вылечить”, либо уничтожал.

Заслуживает внимания и имеющийся у VirusWall обширный словарь стандартных методов компрессии данных, превосходящий по своему объему все подобные у прочих протестированных нами продуктов. С его помощью быстро обрабатывался любой из 12 форматов сжатия, предложенных ему, и выявлялись зараженные вирусами файлы.

Все-таки наше тестирование показало, что и VirusWall не совершенен. Нам удалось несколькими способами “протаскивать” вирусы через его сканирующие алгоритмы. Во-первых, мы закодировали исходный файл с помощью программы UUEncode и поместили его в тело сообщения e-mail. Наш почтовый клиент распознал и декодировал сообщение, и в результате этих действий перед нами предстал живой вирус, готовый к запуску на нашем настольном компьютере. Похоже, VirusWall проводит антивирусное сканирование содержимого почтовых вложений, а вот тело самого письма не проверяет. Во-вторых, VirusWall не заметил ни одного из вирусов ОС Macintosh и Linux. И хотя продукт получил высокие оценки в наших тестах на обнаружение вирусов, некоторые из них он все же пропустил, в частности так называемых “троянских коней”, которые затем были благополучно “отловлены” нашими клиентскими сканерами.

Во время проведения тестирования мы стали свидетелями рождения нового вируса “happy99.exe”. Данная программа впервые была обнаружена в начале января 1999 г. Этот широко распространившийся “новичок” может нанести серьезный вред настольным системам Windows, при этом, распространяясь, он “прячется” внутри сообщений e-mail. В Интернет прошло уже несколько информационных сообщений и предупреждений относительно “happy99.exe”. Появление этого вируса позволило нам выяснить, насколько оперативно поставщики смогут добавить в свои продукты средства борьбы с ним. Сигнатура данного вируса была внесена во второе февральское обновление файла образцов вирусного кода продукта VirusWall.

InterScan VirusWall фирмы Trend Micro — это мощный пакет, предлагающий, помимо антивирусной защиты электронной почты, множество других средств, что позволяет ему с таким же успехом обрабатывать трафики FTP, HTTP и SMTP. Этот динамично развивающийся и отвечающий всем современным требованиям антивирусной защиты продукт способен значительно повысить безопасность вашей сети.

m@ilCOMMAND фирмы Command Software Systems

Пакет m@ilCOMMAND представляет собой простой антивирусный шлюз, без каких-либо излишеств. Это хороший продукт среднего класса с добротно выполненными средствами регистрации и конфигурирования. Его файлы регистрации событий, в том числе на уровне сервера, операций и ошибок, оказались самыми подробными из всех, какие мы видели. Журнальные файлы отличаются “богатством” содержания, которое легко поддается анализу в процессе автоматической обработки или сбора статистики. Если же вы предпочитаете более “сдержанный” стиль журнала, то m@ilCOMMAND позволит вам задать различную степень его детализации — сокращенную, нормальную, подробную или отладочную.

Преимущества m@ilCOMMAND проистекают из его набора подпрограмм обработки почтовых сообщений. Для конфигурирования пакета m@ilCOMMAND используется исключительно его собственная консоль Internet Mail Services (IMS). Такое дополнение к панели системной управляющей консоли позволяет этому пакету справиться со всеми задачами по обработке сообщений e-mail и интегрироваться практически с любой почтовой системой. Консоль IMS берет на себя функции маршрутизации и псевдоименования, а также создает виртуальные домены для доставки почты. С ее помощью мы не только запускали и останавливали почтовые службы, но и настраивали параметры журналов регистрации.

Для обнаружения вирусов m@ilCOMMAND использует сканирующий механизм F-PROT Professional, который во время нашего тестирования работал отлично. Все инфицированные файлы были помещены в “карантинную зону” для их дальнейшей обработки администратором. При помощи управляющего приложения m@ilCOMMAND Manager мы выполняли все операции по удалению, пересылке и копированию файлов.

При тестировании m@ilCOMMAND успешно справлялся и с обнаружением всех вирусов из списка WildList. Этот пакет не только распознает несколько форматов сжатия, но и обнаруживает закодированные файлы, включенные в текст письма, с чем не справился VirusWall.

К сожалению, m@ilCOMMAND не смог опознать некоторые вирусы HTML, VBScript и Java.

Однако преимущества средств обнаружения вирусов пакета m@ilCOMMAND несколько снижает отсутствие в нем возможности лечения зараженных файлов. Поэтому если вам необходимо “продезинфицировать” помещенные в “карантинную зону” файлы, то для этого придется приобрести дополнительные лечащие средства. В том же, что касается почтовых вложений, пакет m@ilCOMMAND придерживается принципа “либо все, либо ничего”. Если хотя бы один из файлов-вложений оказался зараженным, то в карантин отправляются все файлы. Это несколько озадачило нас, если учесть, что m@ilCOMMAND способен разбирать почтовые заголовки.

Пакету m@ilCOMMAND явно недостает Web-интерфейса удаленного управления, вместо этого предлагается использовать сетевые средства Windows. Так, для удаленного запуска m@ilCOMMAND Manager мы могли воспользоваться любым из клиентов Windows 95, 98 или NT одной и той же локальной подсети. Данный интерфейс позволил нам выполнять все те же действия, что и при локальном запуске управляющего приложения, за исключением архивации журнальных файлов и копирования файлов из “карантинной зоны”.

m@ilCOMMAND — единственный из протестированных нами пакетов, в котором не предусмотрена возможность автоматического обновления образцов кода вирусов. Для этих целей предлагается обращаться к соответствующей Web-странице и загружать обновления файла сигнатур непосредственно оттуда. Принимая во внимание частоту обновления, с нашей точки зрения, автоматизация этого процесса обязательна. Например, до тех пор пока мы не выполнили процедуру обновления вручную, m@ilCOMMAND не смог распознать вирус “happy99.exe”.

В целом интерфейс пакета m@ilCOMMAND не сравним с интерфейсами пакетов VirusWall и Norton AntiVirus. Несмотря на наличие управляющей панели графического пользовательского интерфейса, для работы с ПО m@ilCOMMAND рекомендуется использовать конфигурационные файлы-сценарии, что, на наш взгляд, несколько утомительно. В результате этого применять все прочие протестированные продукты оказалось значительно проще. Пакет m@ilCOMMAND обладает замечательными средствами обнаружения вирусов, управления сообщениями, регистрации и конфигурирования, что делает его особенно ценным для тех, кто стремится максимально использовать возможности антивирусных программ.

Norton AntiVirus for Internet Email Gateways фирмы Symantec

К сожалению, пакет Norton AntiVirus for Internet Email Gateways нельзя считать достойным доверия. Во время его инсталляции, протекавшей, впрочем, весьма гладко, мы не могли не обратить внимания на постоянно появляющееся при каждом обновлении экрана уведомление об авторских правах, датированное 1996 г. Это антивирусное ПО эффективно работает только при постоянной его модернизации. После завершения инсталляции мы выбрали опцию LiveUpdate, для того чтобы получить от Symantec последнюю версию образцов вирусного кода.

Для упрощения управления своим антивирусным ПО фирмы Trend Micro и Symantec предлагают процедуры автоматического обновления БД описаний вирусов. При этом Trend Micro предоставляет возможность составить расписание обновления, которое далее будет проводиться без вмешательства пользователей, а Symantec требует обязательного подтверждения процедуры обновления нажатием на кнопку LiveUpdate. Только после этого программа провела обновление и “заверила” нас, что перед нами находится последняя версия. Однако, как выяснилось при последующем разбирательстве, файлы образцов кода были датированы 1997 г.

После нескольких неудачных попыток нам удалось наконец кое-как решить эту проблему, но для этого пришлось связаться по телефону с Symantec. Ее представители оказались очень любезными и снабдили нас обновленной версией, не предоставив никаких объяснений. Но даже после этого в окне состояния (status window) отображались некорректные сведения о файлах образцов. И, только проверив размеры файлов и время их изменения, мы смогли удостовериться, что система действительно обновилась.

Тот факт, что пакет Norton AntiVirus for Internet Email Gateways прошел процедуру сертификации NCSA (с 1997 г. — ICSA), видимо, тоже требует подтверждения. Во время нашего тестирования продукт фирмы Symantec обнаруживал только 9 из 18 вирусов, выбранных нами из списка WildList. Такая эффективность работы совершенно неприемлема для прохождения как NCSA, так и ICSA-сертификации. Вдобавок поддержка пакетом Norton AntiVirus for Internet Email Gateways различных форматов сжатия почтовых вложений весьма ограниченна. Так, в наших тестах он мог обрабатывать только файлы UUE, MIME и ZIP, отказываясь работать с саморазворачивающимися архивами, файлами TAR и GZIP.

Система сканирования и обработки зараженных вложений пакета Norton AntiVirus for Internet Email Gateways показалась нам какой-то пустой. Все поступающие почтовые вложения сканируются обычным образом, но когда в группе хотя бы одно из вложений оказывается инфицированным, вся она целиком отбраковывается.

Помимо этих вопиющих недостатков, данный продукт имеет также весьма рудиментарные средства развертывания в корпоративной сети. Так, единственный способ конфигурирования системы, помимо редактирования вручную файлов .INI, — это Web-интерфейс. Конечно же, его наличие упрощает удаленное администрирование и полезно для поддержки работы любого сканера шлюза, однако весьма досадно отсутствие собственного клиентского управляющего приложения в том случае, когда вы работаете непосредственно на самом сервере. Хуже того, результаты нашего тестирования напрямую зависели от того, какой Web-браузер мы использовали. В ряде случаев окно “карантинной зоны” вообще не отображалось браузером, что ограничивало наши возможности работы с пакетом.

На первый взгляд опция “карантинная зона” выглядит понятной. С ее помощью зараженные файлы, вместо того чтобы сразу уничтожаться, отделяются от остальных для последующей “дезинфекции”. В случае, если обнаружится заражение, Norton AntiVirus for Internet Email Gateways должен либо попытаться “вылечить” инфицированное вложение, либо удалить его из письма. Однако в наших тестах при любой попытке очистить вложение от “заразы” оно всегда удалялось. В результате это оборачивается напрасной растратой системных ресурсов, поэтому большинство администраторов будут попросту выключать эту опцию, т. е. зараженные файлы-вложения без проволочек будут сразу же удаляться.

С точки зрения администратора, журнальные файлы Norton AntiVirus for Internet Email Gateways выглядят чересчур хорошо структурированными. Программа быстренько сгенерировала нам гигантские журнальные файлы, которые потом долго загружались в Web-браузер для просмотра. В системе регистрации этого продукта полностью отсутствуют автоматическая ротация и обработка журнальных файлов, тогда как в VirusWall и m@ilCOMMAND эти функции работают хорошо.

В целом средства обнаружения вирусов в Norton AntiVirus for Internet Email Gateways можно оценить как посредственные. Данный пакет имеет множество существенных недостатков, так что выбор его в качестве почтового SMTP-шлюза не слишком удачен. Такое средство, как Web-интерфейс, вроде бы обещает простоту использования продукта, но из-за обилия ошибок данная программа, несомненно, требует серьезной доработки.





  
11 '1999
СОДЕРЖАНИЕ

колонка редактора

• А ты записался в просультанты?

локальные сети

• Пришло время Linux?

• Пластиковое оптическое волокно на пути к домашним кабельным проводкам

• Кабельные системы: проблема 2000 года

бизнес

• Роль дистрибуции в кабельном бизнесе

• Дилерская академия "Марвел"

• Сетевое управление: снова в школу

интернет и интрасети

• "Капризы" управляющих элементов и Java-аплеты

системы учрежденческой связи

• Тарификационные системы для УПАТС

корпоративные сети

• IOS это не только маршрутизация

• Коммутация на четвертом уровне. Что под этим подразумевают проиводители?

• Как построить оптимальную систему хранения данных

услуги сетей связи

• Об оценке качества речевой связи

• Российские операторы экзаменуют АТМ

• IP-телефонизация: быстрая замена или постепенная модернизация?

защита данных

• Trend InterScan: антивирусная безопасность на высшем уровне

• Cистемы обнаружения вторжений

• Как обеспечить конфиденциальность с помощью открытых ключей

новые продукты

• Объединяя сети; Новый DSL-концентратор MARS 9000 компании Tainet



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх