|
 Все новости от 12 апреля 1999 г.
Как защитить сеть от вирусов
Введение
В совершенном мире для защиты компании от компьютерных вирусов было бы вполне достаточно настольных антивирусных пакетов. Когда конечные пользователи своевременно обновляют файлы определений вирусов и механизмы сканирования, большинство вирусов отлавливается до того, как они успевают причинить вред. К сожалению, только на конечных пользователей рассчитывать нельзя. Сеть состоит из многих компонентов, каждый из которых должен быть защищен от постоянно рыщущих двоичных самозванцев — вирусов и троянских коней.
Мы изучили три семейства антивирусных продуктов, которые защищают все важные компоненты сети: файл-серверы, серверы электронной почты и клиентские ПК. Это NeaTSuite компании Trend Micro, Symantec Norton AntiVirus 5.0 и Total Virus Defense Enterprise 4.0 фирмы Network Associates. Все эти пакеты содержат антивирусные продукты и инструменты администрирования для Windows NT, NetWare, Microsoft Exchange и Lotus Notes. Кроме того, они предлагают защиту брандмауэра, которую мы обсуждаем в разделе «Обнаружение вирусов, заносимых из Интернета».
Все продукты сертифицированы организацией International Computer Security Association (ICSA). Это означает, что они способны обнаруживать все известные вирусы «в дикой среде». Кроме того, каждый из них обеспечивает одни и те же основные средства сканирования и опции для борьбы с обнаруженными вирусами. Поэтому при выборе сетевого антивирусного решения важны не столько средства обнаружения вирусов, сколько механизмы, обеспечивающие своевременное обновление файлов определений вирусов, управления в условиях разных вычислительных платформ и влияние продукта на производительность сети. При наличии подходящих средств управления сетевое антивирусное решение поможет вам заткнуть каждую щель в корпоративных информационных системах.
Выбор редакции: NeaTSuite
Продукт NeaTSuite компании Trend Micro обеспечивает администраторов наиболее мощными и удобными инструментами управления для установки, настройки и обновления антивирусного ПО как на серверах, так и на клиентских ПК, за что он и удостоен приза «Выбор редакции». В состав NeaTSuite входят Trend ServerProtect для NetWare и Windows NT, Trend ScanMail для Lotus Notes и Microsoft Exchange и два инструмента управления: Trend Virus Control System (Trend VCS) для серверов и OfficeScan Corporate Edition (OSCE) для клиентов.
Trend VCS автоматически обнаруживает любые серверы в локальной или глобальной сети, на которых работают антивирусные программы, после чего можно выбрать опции сканирования и управления загрузкой файлов определений вирусов. В числе других важных средств управления инструмент Outbreak, позволяющий администратору задавать специфические правила поведения системы при обнаружении вируса, и богатый набор инструментов централизованного учета.
Оценки
Тесты производительности
В тестах производительности мы измеряли влияние антивирусных решений на быстродействие серверов NetWare и Windows NT. В целом лучшим с этой точки зрения оказался Symantec Norton AntiVirus 5.0, за которым следовал Total Virus Defense Enterprise 4.0 от Network Associates. Результаты Trend Micro NeaTSuite в большой степени зависели от платформы. На NetWare они были великолепными — работа почти не замедлялась. Зато в тестах под Windows NT NeaTSuite не мог преодолеть барьер в 10 Мбит/с в нашей 100 Мбит/с сети. Мы подозреваем, что это связано с методом сканирования исходящих файлов, используемом Trend Micro. Компания в курсе наших находок — она пообещала устранить проблему к моменту публикации настоящего обзора.
Сначала мы измеряли производительность сетевого сервера, выполняя на нем программу ZD NetBench. При этом использовался тест Disk Mix из пакета NetBench 5.01, интенсивно нагружающий диск. Затем мы устанавливали антивирусное ПО, настраивали его на сканирование как входящего, так и исходящего трафика, и выполняли тесты повторно. Испытательный стенд для клиентской части состоял из тридцати рабочих станций Windows 95, включая 16 машин Dell Dimension XPS Pro200n, 8 машин Dell Dimension XPS P166 и 6 машин Dell OptiPlex Gxa (на каждой по 32 Mбайт оперативной памяти). Все они были подключены к сети Ethernet 100 Мбит/с по протоколам TCP/IP для Windows NT и IPX для NetWare.
Защита всех точек входа
Продолжающийся рост популярности систем клиент/сервер, доступности Интернета и числа мобильных пользователей несет с собой новые вирусные угрозы. Чтобы противостоять им, необходима трехуровневая стратегия защиты не только рабочих мест, но и сетевых серверов сообщений и интернет-шлюзов.
Обнаружение вирусов, заносимых из Интернета
Все большее число предприятий всех размеров обеспечивает своих сотрудников доступом к Интернету, и вероятность занесения компьютерного вируса в сеть растет день ото дня. По данным International Computer Security Association (ICSA), практически все средние и крупные предприятия подвергались вирусным атакам (1998 Virus Prevalence Survey). Не удивительно, что самым распространенным способом передачи вирусов служит электронная почта.
Большинство администраторов заботится о защите вверенных им файл-серверов и рабочих станций, но выходы в Интернет они часто оставляют незащищенными, надеясь на то, что от вирусов их предохранит брандмауэр. К сожалению, брандмауэры обращают внимание только на то, откуда поступил тот или иной файл, что делает их слабо вооруженными против вирусов. Все производители ПО, участвующие в настоящем обзоре, предлагают защиту для брандмауэров, proxy-серверов и серверов электронной почты.
Разные серверы нуждаются в различных средствах защиты. Например, HTTP служит носителем элементов ActiveX и Java-аплетов. Они могут содержать вирусы, которые необходимо удалить, прежде чем они достигнут браузера. Для защиты электронной почты (SMTP) продукт должен открывать каждую базу данных и искать любые скрытые вирусы, присоединенные к сообщению, до того как получатель прочтет или переадресует его. Наконец, FTP представляет собой способ загрузки приложений, которые могут быть поражены вирусом.
Такие продукты, как InterScan VirusWall компании Trend Micro, Symantec Norton AntiVirus for Firewalls и WebShield от Networks Associates, решают все эти проблемы, сканируя каждый пакет, поступающий из Интернета, в том числе HTTP (веб), SMTP (e-mail) и FTP (передача файлов). Большинство из них работает на Windows NT, но некоторые имеют версии и для Sun Solaris. Norton AntiVirus for Firewalls и WebShield бесплатно прилагаются к стандартным комплектам сетевого ПО. InterScan VirusWall стоит 21 $ в расчете на один узел.
Эти антивирусные продукты довольно просты в установке, хотя и требуют несколько больше усилий, чем средства защиты локальных сетей, рассмотренные в основной части обзора. Например, для каждой из служб, действующих на разных серверах, администратор должен настроить IP-адрес и номер порта TCP. После настройки эти продукты предоставляют те же возможности по обнаружению вирусов, обезвреживанию и оповещению, что и решения для рабочих станций и серверов. Кроме того, ими можно управлять посредством централизованных инструментов, входящих в базовый комплект ПО.
Norton AntiVirus for Windows NT/NetWare, Norton AntiVirus for Exchange/Notes
Компания Symantec больше известна утилитами для Windows 95/98, однако на самом деле семейство Norton AntiVirus содержит весь диапазон сетевых антивирусных продуктов. Все они, как правило, используют одни и те же механизмы обнаружения и обезвреживания вирусов, а также единый модульный механизм сканирования и файлы определений вирусов. Единственное заметное различие между продуктами кроется в их интерфейсах.
Цена Norton AntiVirus зависит от платформы. Версии для NetWare и Windows NT стоят по 499,96 $ за лицензию на один сервер и 10 клиентов; версии для Exchange и Notes — по 795 $ за лицензию на один сервер и 25 клиентов. Кроме того, Symantec предлагает все версии на одном CD вместе с Norton System Center. NSC позволяет автоматически распространять ПО между всеми клиентскими ПК и управлять всеми Windows-клиентами и серверами.
Все версии довольно просты в установке, и нам особенно понравилось тесное взаимодействие Norton AntiVirus с сервером. Например, Norton AntiVirus для Notes можно администрировать с применением клиента Notes, а для конфигурации Norton AntiVirus NetWare Loadable Module — использовать утилиту NWAdmin из NetWare.
Все версии Norton AntiVirus обеспечивают, по крайней мере, три уровня защиты: сканирование реального времени, неотложное сканирование и сканирование по расписанию. Хотя лучшую защиту обеспечивает, вероятно, сканирование реального времени, этот уровень налагает самую тяжелую нагрузку на серверы. К счастью, Norton AntiVirus позволяет управлять степенью использования центрального процессора. При неотложном сканировании операция выполняется по требованию или автоматически — при обнаружении подозрительного файла. Сканирование по расписанию, которое позволяет запускать Norton AntiVirus в нерабочее время, — лучший вариант для тех, кто не желает дополнительно нагружать серверы в рабочие часы.
Когда Norton AntiVirus обнаруживает зараженный файл, он предлагает несколько возможностей. В ходе испытаний мы могли указать, нужно ли удалять зараженные файлы, чистить их, сохранять в безопасном месте, игнорировать или оповещать администратора. В числе опций оповещения есть рассылка предупреждения по сети, отправка по электронной почте и даже сообщение на пейджер. Версия Windows NT включает утилиту, автоматически отправляющую карантинный файл в Symantec для дальнейшего изучения.
Для своевременного обновления файлов определений вирусов Symantec предлагает утилиту LiveUpdate, которая выполняется в фоновом режиме, постоянно наведываясь на веб-сайт компании за новыми версиями. Кроме того, программой администрирования LiveUpdate можно воспользоваться для загрузки всех определений на один сервер с последующим распространением их среди клиентских ПК. Этот подход сокращает нагрузку на сеть, так как конечным пользователям не нужно загружать файлы. Norton AntiVirus — единственный продукт среди рассматриваемых здесь, который передает только те определения вирусов и программы, которых у вас еще нет. Утилита LiveUpdate позволяет определять, когда и как клиенты должны получать обновления. К сожалению, файлы LiveUpdate нельзя автоматически распространять среди нескольких серверов, как в NeaTSuite и Total Virus Defense.
Благодаря модульной архитектуре Norton AntiVirus при обновлении файлов определений вирусов вы получаете также новые средства сканирования — без необходимости перезагрузки. Это гарантирует, что система сможет обнаруживать и устранять самые последние вирусы.
Сетевое решение Norton AntiVirus распространяет репутацию Symantec как производителя утилит для настольных ПК на простые в применении средства защиты для организаций.
Total Virus Defense Enterprise 4.0
Пакеты NetShield for NetWare and NT и GroupShield for Exchange and Notes компании Network Associates, хотя и отличаются названиями, представляют собой составные части одного и того же решения Total Virus Defense (TVD) Enterprise 4.0. Каждый продукт продается и отдельно, но TVD предлагает централизованное управление и утилиту для обновления файлов определений вирусов. Кроме того, комплект TVD включает модули для брандмауэров и proxy-серверов. Добавьте к этому недавно приобретенный компанией антивирусный механизм Dr. Solomon's, и вы получите мощное комплексное решение.
Цена комплекта, обеспечивающего защиту от вирусов почти на каждом уровне сети, зависит от числа лицензий. Например, лицензия на 5000 узлов обойдется примерно в 14 $ на узел. Как и два других продукта, TVD поставляется на одном компакт-диске с раздельными руководствами для каждой платформы.
Первым, на что мы обратили внимание, когда начали работать с TVD, были Windows-утилиты Net Tools Console и Dr. Solomon's Management Engine. С их помощью можно конфигурировать все отдельные антивирусные продукты с одной консоли. Например, сев за один клиентский ПК, мы составили расписание сканирования и назначили процедуры обнаружения и обезвреживания вирусов для всех своих серверов Windows NT и NetWare. При работе с продуктами GroupShield для выбора защищаемых хранилищ сообщений и планирования сеансов сканирования можно применять также утилиты администрирования Exchange и Notes.
Как и другие рассматриваемые здесь решения, TVD содержит эвристические алгоритмы обнаружения неизвестных вирусов. Однако сервер AutoImmune не предпринимает попыток обезвредить эти вирусы. (Единственным продуктом, предоставлявшим такую возможность для макровирусов, оказался Norton AntiVirus.) В отличие от Norton AntiVirus, TVD не позволяет создавать списки приемлемых макросов и рассылать их конечным пользователям, помогая преодолеть ложную самоуверенность.
Компонент TVD Enterprise SecureCast помогает облегчить задачу своевременного обновления файлов определений вирусов. Подобно системе Total Virus Control System компании Trend Micro сервер SecureCast автоматически рассылает обновленные файлы определений на все клиенты и серверы по заранее установленному расписанию. Norton LiveUpdate, напротив, может «публиковать» новые файлы определений вирусов, но чтобы завершить процесс, конечные пользователи должны сами запрашивать обновление. SecureCast позволяет распространять набор обновлений и среди нескольких локальных серверов по глобальной сети.
Альтернативное SecureCast средство AutoUpdate представляет собой pull-технологию, позволяющую сконфигурировать каждый клиентский ПК таким образом, что он будет автоматически по расписанию извлекать файлы определений вирусов. Ни SecureCast, ни AutoUpdate не поддерживают прибавочных обновлений; необходимо рассылать или извлекать весь файл целиком.
Одна из особенностей, которая непременно понравится администраторам, — это инструментарий оповещения и генерации отчетов AutoInformant. Он обеспечивает анализ вспышек заражения вирусами, следит за распространением антивирусного ПО и даже генерирует отчеты об эксплуатационных расходах. Total Virus Defense Enterprise соответствует своему названию, обеспечивая общекорпоративную антивирусную защиту.
NeaTSuite
Если Symantec и Network Associates начинали с антивирусных продуктов для настольных ПК, то компания Trend Micro специализируется главным образом на решениях для серверов и лишь недавно начала продвигать собственный настольный продукт PC-cillin. Очевидно поэтому компоненты комплекта Trend Micro NeaTSuite так эффективно взаимодействуют между собой и включают лучшие средства централизованного управления.
В семейство продуктов Trend Micro NeaTSuite входят Trend ServerProtect for NetWare and Windows NT и Trend ScanMail for Lotus Notes and Microsoft Exchange. К ним прилагаются две утилиты управления: Trend Virus Control System (Trend VCS) для серверов и OfficeScan Corporate Edition (OSCE) для рабочих станций. Диапазон цен простирается от 1145 $ за лицензию на 25 пользователей (по 45,80 $ на рабочее место) до 1680 $ за лицензию для 500 пользователей (по 33,60 $ на рабочее место). Кроме того, NeaTSuite включает версии для серверов электронной почты cc:Mail и SMTP.
В вершине иерархии управления Trend Micro стоит Trend VCS. Эта утилита для Windows NT позволяет автоматически обнаруживать каждый серверный антивирусный продукт Trend Micro, а также конкурирующие антивирусные продукты. Обнаруженные пакеты можно группировать по местонахождению, типу, доменам и даже по отдельным серверам. Вся эта информация собирается в реальном времени, так что при возникновении проблемы на том или ином сервере это сразу становится видно.
Помимо наблюдения за серверами, Trend VCS можно использовать для выбора режима сканирования серверов и распространения файлов новых определений вирусов. Всю эту информацию можно сохранять в специальной базе данных NeaTSuite или присоединить к существующему серверу каталога LDAP.
Для распространения определений вирусов, задания правил сканирования и управления способностью пользователей вносить в ПО изменения компонент OSCE, предназначенный для контроля и управления сетевыми рабочими станциями, позволяет использовать стандартный веб-браузер. Например, в ходе наших испытаний мы создали сценарий регистрации на базе Windows NT, автоматически обновляющий каждый клиентский ПК при его подключении к серверу.
Кроме распространения новых файлов определений вирусов, Trend VCS и OSCE могут рассылать новые антивирусные механизмы, не требуя обращения к процессу инсталляции или перезагрузки.
Продукт предлагает все основные режимы поиска вирусов (в реальном времени, по требованию и по расписанию). Обнаружив вирус, программа может удалить файл, дезинфицировать его или оповестить администратора. В случае обнаружения полиморфных вирусов NeaTSuite отправляет файл в «безопасное место», где может открыть его, проверить и попытаться обезвредить.
Уникальное среди рассмотренных здесь продуктов средство Outbreak Alert позволяет администраторам задавать специфические параметры, определяющие, когда будут поступать сообщения о вирусной инфекции. Например, мы настроили Outbreak таким образом, чтобы аварийный сигнал подавался только при обнаружении свыше 30 вирусов в течение нескольких дней. Outbreak Alert может оповещать администратора по e-mail, через пейджер или систему управления SNMP.
У NeaTSuite лучшие в группе централизованные средства учета. Информация о сканировании, обнаружении и оповещении собирается в центральной базе данных, в которой можно найти любые сведения, например, процент макровирусов из общего числа вирусных атак или в каком подразделении обнаруживается больше всего вирусов.
Разнообразные средства администрирования и отчетности делают NeaTSuite компании Trend Micro продуктом для снобов администрирования.
| 
