Создаем ИТ-структуру, устойчивую к вредоносному ПО. Часть 2::Приложение к журналу СА №2(2010)
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6412
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7117
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4395
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3086
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3881
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3233
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3529
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10725
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12445
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14096
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7141
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5446
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3495
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3212
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Создаем ИТ-структуру, устойчивую к вредоносному ПО. Часть 2

Архив номеров / 2010 / Выпуск №2 (2) / Создаем ИТ-структуру, устойчивую к вредоносному ПО. Часть 2

Рубрика: Безопасность /  Оптимизация

Алексей Бережной АЛЕКСЕЙ БЕРЕЖНОЙ, системный администратор. Главные направления деятельности: виртуализация и гетерогенные сети. Еще одно увлечение, помимо написания статей, – популяризация бесплатного ПО

Создаем ИТ-структуру,
устойчивую к вредоносному ПО. Часть 2

Продолжаем разговор о создании структуры, которой не страшны вирусы, троянские программы и другие неприятные сюрпризы

В первой части (см. №6 за 2010 г., http://samag.ru/archive/article/984) мы рассмотрели основные проблемы, связанные с защитой информационной инфраструктуры от вредоносного ПО, а также выработали основные пути увеличения устойчивости ИТ-структуры к вирусным атакам.

Терминальные решения и тонкие клиенты

Продолжая тактику уменьшения числа объектов, подверженных заражению, нельзя пройти мимо такой изумительной возможности, как внедрение терминальных решений с применением тонких клиентов (см. рис. 1).

Рисунок 1. Внедрение терминальных решений и тонких клиентов

Рисунок 1. Внедрение терминальных решений и тонких клиентов

Основная идея данного решения состоит в том, что все программное обеспечение устанавливается и выполняется на терминальном сервере, к которому подключаются пользователи для выполнения своих задач. При этом на рабочие станции достаточно установить специальную программу или вообще обойтись без установки дополнительного ПО, например, организовав доступ посредством клиента, уже имеющегося в составе ОС, а то и просто через веб-браузер.

Поэтому аппаратное обеспечение рабочей станции особой роли не играет. В связи с этим стал популярен тип устройств, который представляет собой компьютер минимальной конфигурации, достаточной для запуска сильно урезанного варианта операционной системы с набором клиентских программ для доступа по разным протоколам к терминальным серверам. Такие устройства называют тонкими клиентами.

Тонкие клиенты выпускаются на базе различных платформ: MS Windows CE, MS Windows XPe, различные модификации Linux, а также собственные разработки компаний-производителей – вроде Wyse Thin OS.

В предыдущей части статьи я писал том, что non-Windows системы гораздо меньше подвержены влиянию вредоносного ПО. Поэтому имеет смысл провести миграцию части сервисов и служб с платформы на базе MS Windows на альтернативные варианты на базе UNIX. К сожалению, перевод рабочих станций на другую платформу вызывает довольно много трудностей, главная из которых – организация работы прикладного программного обеспечения. В отличие от непосредственной миграции рабочих станций на альтернативные платформы при использовании терминальных решений пользователь при подключении видит знакомый рабочий стол Windows, может запускать программы, необходимые для своей работы.

Следует сразу определить, какие приложения легко переносятся на терминальные системы, а какие по разным причинам стоит оставить на рабочих станциях пользователей.

Неплохо переживают миграцию приложения документооборота, бухгалтерского учета (кроме банк-клиентов, Таскома и т.п.), а также офисные приложения из пакета MS Office и аналогов – например, OpenOffice.org (исключая MS Outlook из MS Office, он очень любит «проедать» системные ресурсы и способен поглотить большое количество оперативной памяти в каждой пользовательской сессии).

Крайне неважно переживают миграцию программы для работы с графикой, такие как Adobe Photoshop или Corel Draw. И любые другие специализированные «тяжелые» предложения – например, Autocad, студийные программы для видеообработки и т.д. В большинстве случаев имеет смысл оставить эти приложения на рабочих станциях или заменить их облегченными версиями.

Принцип организации терминального решения на базе тонких клиентов

  • На центральный компьютер (терминальный сервер) устанавливается специализированное ПО, позволяющее пользователям подключаться удаленно, получать пользовательский интерфейс и выполнять программы непосредственно на этом сервере.
  • На рабочем месте пользователя располагается небольшой компьютер с минимальной аппаратной и программной конфигурацией, позволяющей подключаться по специальному протоколу к терминальному серверу. При этом на самом устройстве может даже не быть операционной системы (в этом случае используется загрузка по сети) или использоваться некая аппаратная прошивка, позволяющая соединяться с терминальным сервером (например, WYSE S10 или WYSE V10).
  • Справедливости ради стоит заметить, что роль тонкого клиента может выполнять любой компьютер, даже весьма устаревший, если на него установить соответствующее программное обеспечение. Например, openThinClient [1] или Thinstation [2]. Правда, в этом случае стоимость обслуживания остается довольно высокой, хотя и меньше, чем в случае с рабочей станцией на Windows-платформе.

Выбрав для эксплуатации тонкие клиенты на базе non-Windows систем – например, на базе Linux и тем более аппаратной прошивки, – можно значительно снизить количество объектов, находящихся в группе риска «подцепить» вирус.

Следует также отметить тот факт, что в случае с тонкими клиентами легче обосновать запрет на использование сменных носителей. Устройствами для чтения/записи CD/DVD они не оборудованы. Что касается USB-носителей: если администратор не разрешит их подключение в виде локальных клиентских носителей на терминальном сервере, то использовать их тоже не получится.

В отличие от прямой миграции рабочих станций с Windows на альтернативные платформы пользователи получают рабочий стол и интерфейс, практически полностью аналогичный привычному интерфейсу Windows XP, что не оставляет лазейки саботажа со стороны пользователей – наподобие «Я не могу понять, как работать с этой новой системой». Система, по сути, старая, метод подключения – новый.

Многие известные бренды выпускают программное обеспечение, позволяющее дистанционно управлять тонкими клиентами. Например, WYSE Device Manager или HP Device Manager. C помощью подобного ПО можно не только удаленно менять настройки программного обеспечения, но и подключаться к текущим сеансам прямо на тонкий клиент, чтобы помочь пользователю или проследить, в чем заключается та или иная проблема. Такое ПО позволяет изменить параметры подключения к серверу: IP-адрес, логин и т.д., удаленно выключить клиент или перезагрузить, обновить на нем прошивку, сделать скриншот рабочего стола вместе с окном подключения и даже поменять цвет «обоев».

Дополнительные плюсы от внедрения подобных решений

  • В отличие от системных блоков тонкие клиенты не нуждаются в модернизации. Купленные однажды, они могут служить пять-десять лет, все время оставаясь пригодными для использования в этом безумном цифровом мире.
  • Значительно снижаются расходы на администрирование, приобретение и обновление программного обеспечения. Так как ПО устанавливается и обновляется только на серверах приложений, то сокращается стоимость лицензий, а также уменьшается стоимость администрирования.
  • Потеря терминала не грозит утечкой информации. Это всего лишь потеря оборудования, а никак не данных или всей предыдущей работы.
  • Большая безопасность. Уполномоченный сотрудник службы безопасности может посмотреть, чем занимаются сотрудники, лишить их права запуска определенных приложений, а так как обычно тонких клиентов не оборудуют ни съемными, ни жесткими дисками, значительно уменьшается вероятность хищения информации.

Какие тонкие клиенты стоит приобретать? Наиболее простой ответ: надежные и без Windows. Ведь наша основная идея – заменить капризные, нуждающиеся в защите системные блоки на безотказные, неуязвимые для вирусов тонкие клиенты. Если говорить о модельном ряде, мне приходилось работать с тонкими клиентами WYSE и HP.

Модели от WYSE выигрывают в простоте исполнения и надежности работы. Да и греются они значительно меньше. Мой «любимчик» – WYSE V50, работающий на Linux-ядре и позволяющий использовать различные протоколы подключения: RDP, ICA, SSH и XDMCP. Если же хотите получить ну абсолютно безопасный тонкий клиент, помните, что основной принцип выбора в этом случае: «Чем проще, тем надежнее». Поэтому выбирайте WYSE 10-й серии (S10, V10) – они работают на аппаратной прошивке, как говорится, ничего лишнего. (Ссылка на сайт российского представителя – http://www.wiat.ru.)

Если, положа руку на сердце, честно признаться, нужно сказать, что даже тонкие клиенты на базе Windows (например, Windows CE) в десятки раз меньше рискуют заразиться, чем их «толстые» собратья – стандартные системные блоки на базе Windows XP, Vista или Windows 7. Например, на тонких клиентах WYSE S90, V90 имеется возможность установить защиту от записи на флэш, защищая тем самым прошивку с Windows. Но все-таки Linux или аппаратная прошивка... О да! Конечно, это гораздо лучше!

Что же касается конфигурации терминальных серверов, здесь, как правило, присутствует ситуация с точностью до наоборот. Если терминальный доступ организуется с целью замены десктопов, то необходимо по возможности сохранить функционал программного обеспечения, который использовался в бизнес-процессах компании до начала миграции на терминальные решения и тонкие клиенты. Поэтому обычно на сервера устанавливается операционная система семейства Windows: MS Windows Server 2003 R2, MS Windows Server 2008 (R2), что позволяет организовать запуск большинства программ, использовавшихся ранее на рабочих станциях пользователей.

Программное обеспечение для организации сервера терминалов

Теперь рассмотрим ПО для нашего сервера терминалов.

MS Terminal Server

Поставляется совместно с операционной системой начиная от Windows 2000. Данный продукт не бесплатен, а требует дополнительного лицензирования. При помощи MS Terminal Server можно легко организовать доступ к стандартному рабочему столу Windows на удаленном сервере и удаленный запуск программы в отдельном окне, лишенном дополнительных возможностей интерфейса. MS Terminal Server использует Remote Desktop Protocol (RDP – шифрованный протокол, позволяющий не только получать вид рабочего стола, но и подключать локальные носители, принтеры, COM-порты и т.д. Все современные Windows операционные системы и тонкие клиенты содержат в себе программный модуль RDP для соединения с этим сервисом. Мало того, существует несколько подобных программ для операционных систем семейства UNIX: krdc для KDE, tsclient для GNOME, а также небезызвестный rdesktop, позволяющих использовать удаленный доступ с этих OS.

Citrix XenApp

Другой продукт, который также применяется для организации терминального доступа, – легендарный Citrix XenApp, ранее известный как Citrix Presentation Server, а еще ранее – как Citrix Metaframe. Использует собственный запатентованный протокол ICA (Independent Computing Architecture), а также ICA over HTTP/HTTPS (последний не использует широковещательных посылок и позволяет работать через прокси-сервер, практически из любой точки, где есть интернет-браузер). В отличие от MS Terminal Server, предоставляющего только удаленный запуск приложений в окне, Citrix ХenApp предлагает революционный метод «публикации» приложений, практически полностью имитирующий запуск удаленных приложений на рабочем столе. Также позволяет публиковать сетевые ресурсы, такие как общие папки, принтеры и т.п. Имеет собственную систему печати. Помимо самого сервера XenApp (Presentation Server) и клиентов практически под любую операционную систему компания Citrix Systems предлагает множество продуктов, от Password Manager для создания эффективной системы авторизации до специализированных «железок», позволяющих оптимизировать трафик на узких и нестабильных интернет-каналах. Справедливости ради стоит отметить, что современный Windows Server 2008 R2 Remote Desktop Services кое-что «позаимствовал» у Citrix XenApp. Например, систему печати, которой не было в MS Terminal Server 2003. В то же время в плане обеспечения безопасности и эффективного использования ресурсов решениям от Citrix на сегодня нет равных [3].

Terminal Server Plus

Несмотря на то что этот продукт во многом напоминает MS Terminal Server, он имеет ряд преимуществ, таких как собственную службу печати, свой метод публикации приложений и возможность работы через веб-консоль. Но главное преимущество – весьма невысокая цена: 25 долларов США за одну лицензию. Еще одно немаловажное преимущество: Terminal Server Plus можно установить на любую Windows совместимую систему, включая Windows XP и Windows Vista. И MS Terminal Server, и Citrix XenApp могут быть установлены только на серверную (OS Windows Server 2003 и выше). К сожалению, пока отсутствуют данные о дилерах, распространяющих данный продукт в России. Для получения более подробной информации имеет смысл посетить сайт проекта [4].

Немного о лицензировании терминальных подключений

Существуют три типа лицензий:

  • Per seat (per device – на рабочее место) – требуется отдельная лицензия на каждое устройство (тонкий клиент или рабочую станцию), вне зависимости от количества пользователей. Такая схема используется при лицензировании MS Terminal Server.
  • Per user (на пользователя) – требуется отдельная лицензия на каждого пользователя (независимо от количества одновременно работающих пользователей). Этот тип лицензий также используется MS Terminal Server.
  • Per connection (конкурентная лицензия) – требует отдельную лицензию для каждого соединения, но число пользователей/рабочих мест не играет роли – важно число одновременно обслуживаемых пользователей. Такая система используется компанией Citrix Systems. При инсталляции продукта создается некий пул лицензий, из которого каждое новое соединение забирает одну лицензию. При завершении сессии лицензия возвращается.

Переход на терминальные решения и тонкие клиенты несет с собой не только несомненные плюсы, но и некоторые минусы. С одной стороны, мы значительно сократили количество заражаемых объектов в сети, сделав большую часть пользовательских рабочих мест неуязвимыми для вирусов. В то же время максимальная концентрация ресурсов на нескольких терминальных серверах делает эти самые сервера уязвимым местом, поражение которого может повлечь за собой выход из строя всей инфраструктуры. Нет сомнения в том, что один или несколько терминальных серверов гораздо легче защитить и вылечить от вирусов, чем целый парк рабочих станций (при том что во время лечения одних объектов другие могут заражаться по новой). В крайнем случае несколько серверов можно быстро восстановить из резервной копии. Понятно, что вернуть к жизни 100-200 рабочих станций будет гораздо сложнее. Но все-таки терминальные сервера нужно поберечь от заражения, потому что падение терминального сервера может привести к временному отключению пользователей или (если этот сервер единственный) даже к полной остановке работы. Ниже речь пойдет о том, как это лучше сделать и какие решения для этого существуют помимо стандартного (и не всегда надежного) способа в виде установки антивирусной программы.

Антивирусный шлюз с разделением по протоколам

В результате вышеописанных мероприятий наша сеть теперь разделяется на две группы: чистую (имеется в виду чистую от вирусов) и грязную. В чистой сети находятся тонкие клиенты, терминальные и остальные сервера. В грязной сети продолжают оставаться рабочие станции, которые не подлежат миграции на терминальный сервер, а также мобильные устройства – ноутбуки и т.п. Все наши усилия могут пойти прахом, если какой-нибудь пользователь принесет вирус на своем ноутбуке и заразит всю сеть, включая терминальные сервера. Конечно, в грязной сети (так же как и в чистой) работает корпоративный антивирус, но лучше все-таки не рисковать.

Часто бывает так, что пользователей, которые должны работать именно на рабочей станции в виде ПК, не так уж много. Это в первую очередь выездные сотрудники, использующие ноутбуки, а также отделы рекламы, дизайна, проектирования и т.д., где используются тяжелые ресурсоемкие приложения. По личному опыту могу сказать, что дизайнеры, «рекламщики» и другие представители творческих профессий не так уж часто обмениваются файлами с остальными участниками бизнес-процесса. Если же пользователям одного такого отдела необходимо совместно работать над каким-либо проектом, можно организовать им выделенный файл-сервер внутри грязной сети.

Чтобы оградить наши сервера от возможной угрозы, необходимо физически разделить между собой эти сети, организовав между ними безопасный обмен данными. Первое, что мы делаем, – это физически разбиваем сеть на две подсети, соединенные между собой маршрутизатором с функцией межсетевого экрана, позволяющим блокировать трафик по портам (см. рис. 2).

Рисунок 2. Антивирусный шлюз с разделением по протоколам

Рисунок 2. Антивирусный шлюз с разделением по протоколам

После этого разрешаем на межсетевом экране прохождение только терминального трафика по используемому нами протоколу (например, это RDP и ICA) и запрещаем все остальные популярные протоколы обмена файлами, такие как CIFS, FTP и т.д.

Теперь, когда пользователи из грязной сети могут подключаться к серверам в чистой сети только посредством терминального соединения, риск заражения становится минимальным. На компьютерах в грязной сети не забываем отключить возможность использования локальных носителей терминальных клиентов, иначе все наши усилия пройдут впустую.

Чтобы пользователи из грязной сети могли передавать информацию в чистую сеть, существуют два пути: корпоративная электронная почта с проверкой на вирусы на почтовом сервере и антивирусный шлюз с разделением по протоколам. Роль такого антивирусного шлюза может играть любой сервер, имеющий два сетевых интерфейса с установленной операционной системой семейства UNIX. Например, Linux openSUSE или FreeBSD. На него устанавливают программный пакет Samba и FTP-сервер – например, ProFTP.

Для обеспечения защищенности традиционно используют два антивируса: один на шлюзе, второй на ПК. Но наличие двух антивирусов не означает двукратного прироста безопасности, а лишь уменьшает риск и дает некоторую надежду на то, что на появление нового «паразита» одна из двух компаний – производителей антивирусного ПО среагирует оперативнее. Но 100% гарантии все равно нет. Поэтому вирус, попав в сеть, может легко размножиться по всем Windows-компьютерам, включая терминальные сервера. Обычно вредоносное ПО распространяется одним или двумя способами: по электронной почте, через WEB, по протоколам CIFS, RPC, FTP и т.д. Расчет идет на то, что далеко не всякий вирус, умеющий распространяться по Windows-сети, умеет передавать себя по FTP. И далеко не всякий вирус, использующий FTP, знает, как размножаться по протоколу CIFS. Поэтому, если корпоративный антивирус в грязной подсети пропустит вредоносную программу, велика вероятность, что дальше шлюза она не уйдет.

Очень важный нюанс. Если используются тонкие клиенты на базе Windows-систем, то обновление встроенных операционных систем необходимо выполнять строго в чистой подсети. Иначе может возникнуть ситуация, когда при обновлении операционной системы в прошивку тонкого клиента попадает вирус, и если после этого будет включена защита от записи, то ни один антивирус вылечить ваше устройство уже не сможет. С этим нужно быть более осторожным.

Существует два способа организовать проверку:

  • Использовать встраиваемые решения для организации проверки «на лету» – например, mod_clamav для ProFTPD и samba-vscan для Samba совместно с антивирусом ClamAV. Плюсом такого метода является прозрачная работа для пользователя. Антивирусная программа либо не даст записать зараженный файл, либо переместит его в карантин (в зависимости от настроек). Минусом является довольно непростая настройка всех компонентов, требующая неплохой квалификации от системного администратора.
  • Организовать проверку антивирусным сканером clam scan с последующим перемещением в другую папку. Это решение подходит для небольшой сети. Мне в свое время довелось организовать нечто подобное на дисковом хранилище NETGEAR ReadyNAS Pro. (По вопросам установки антивируса на ReadyNAS см. [5].) Аналогичным образом подобный шлюз можно организовать на сервере под управлением Linux – например, Linux openSUSE.

Еще есть вариант просто купить антивирусный модуль для проверки Samba- и/или FTP-серверов. Как правило, большинство компаний-разработчиков антивирусного ПО предлагают такую возможность.

Остановимся на втором способе поподробнее. Каждому пользователю из грязной сети создаются два отдельных каталога на диске для входящих и исходящих файлов при FTP-доступе и два каталога для аналогичных общих ресурсов в Samba. После этого для грязной сети блокируем доступ к ресурсам Samba, и для чистой сети блокируем доступ к FTP-ресурсам на шлюзе. Сделать это можно либо прикладными средствами FTP и Samba, либо на встроенном брандмауэре, который есть практически на каждой операционной системе семейства UNIX. Так, по протоколам разделили, теперь нужно организовать проверку и перемещение.

Пишем скрипт, который время от времени проверял бы содержимое данных ресурсов на вирусы и перемещал файлы из одних ресурсов в другие. Файлы из входящей папки FTP после проверки перемещаются в исходящую на Samba и, наоборот, из входящей на Samba в исходящую на FTP. Необходимо организовать запуск данного скрипта из crontab через определенное время. Чтобы передать файл из грязной сети в чистую, пользователю достаточно скопировать файлы по FTP в свою входящую папку. Подождав примерно несколько минут (зависит от количества перемещаемых файлов), он может использовать эти файлы, уже проверенные на вирусы из общего ресурса на Samba в чистой сети, подключившись по терминальной сессии.

Плюсом такого решения является возможность создать такой вот импровизированный антивирусный шлюз, обладая начальными знаниями по UNIX-системам и элементарными навыками написания shell-скриптов. Примеры команд для проверки каталогов при помощи ClamAV можно посмотреть в [5]. Также к плюсам можно отнести отсутствие необходимости устанавливать дополнительные модули к пакетам, такие как mod_clamav и samba-vsan.

Минусов довольно много. Система получается не совсем прозрачной для пользователя, некоторым бывает довольно трудно понять, в какую папку копировать входящие файлы, откуда забирать исходящие. Еще одним минусом является необходимость создавать под каждого сотрудника из «группы риска» множество ресурсов и править проверочный скрипт. Не забываем еще и о том, что людям придется ждать какое-то время, пока скрипт запустится и отработает, проверяя и перемещая файлы. Поэтому это решение неплохо подходит для малой сети, когда пользователей немного и не нужно выполнять частые перемещения файлов из одной сети в другую.

Подобное физическое разделение сетей и «общение» через антивирусный шлюз с разделением по протоколам позволяет блокировать большую часть вирусов на этапе распространения. В совокупности с антивирусным ПО, установленным непосредственно на серверах, это позволит создать надежную защиту терминальных и других серверов от вирусной опасности.

Избавляемся от пиратского ПО

Помимо проблем с законом использование пиратского программного обеспечения несет в себе еще одну угрозу: практически всегда присутствует вредоносное ПО. Будем реалистами – в нашем жестоком мире никогда ничего не делается просто так. Неужели кто-то всерьез полагает, что какой-то добрый дядечка или бескорыстный юноша будет создавать crack для взлома программы, писать программу генерации ключей (или напрямую выкладывать в сеть подборку регистрационных номеров) просто из любви к ближнему? Практически всегда пиратская копия программы или средство для ее взлома содержит троянчик, который делает разные интересные вещи. Например, отсылает содержимое адресной книги в спамерскую базу. Или выискивает скэшированные номера кредитных карточек и передает их куда следует... Или... Да мало ли каких пакостей можно ожидать после того, как самостоятельно, по доброй воле на компьютер была установлена программа весьма сомнительного происхождения.

Несколько рекомендаций, чтобы провести данный переход с наименьшими финансовыми и моральными потерями.

Для начала необходимо провести инвентаризацию ПО, чтобы установить, что действительно необходимо, а без чего можно обойтись. Имеет смысл более внимательно присмотреться к используемому программному обеспечению применительно к нуждам бизнеса. Например, в одной компании весь документооборот был построен на макросах MS Office. Регулярно какой-то из макросов сбоил, и пользователи бегали с жалобами в ИТ-отдел. Не проще ли в этом случае приобрести нормальную систему документооборота, а пользователям для мелких нужд вроде написания заявления на отпуск использовать OpenOffice.org или даже WordPad?

Используйте бесплатные аналоги платного ПО. Например, MS Office можно заменить на бесплатный вариант OpenOffice.org, Adobe PhotoShop – на GIMP и т.д.

Помимо ликвидации возможных источников распространения вредоносного ПО избавление от пиратского ПО, как правило, приводит к резкому сокращению количества программ, установленных на рабочих местах пользователей. А это, в свою очередь, уменьшает количество объектов заражения (в данном случае – исполняемых файлов, библиотек и т.д.), что ведет к уменьшению риска заражения.

В принципе, мы рассмотрели большинство методов снижения вирусной опасности для ИТ-структуры. Теперь настало время поговорить о возможности восстановления системы в случае, если наши меры по какой-то причине не возымели действия и вирус все таки пробрался в систему и причинил весьма ощутимые разрушения.

Что еще можно сделать? Виртуализация

Продолжая разговор о системах копирования с целью быстрого восстановления, нельзя не упомянуть такое замечательное средство, как виртуализация, то есть использование виртуальных машин вместо физических. По этой теме сказано и написано множество материалов, так что расписывать все прелести и некоторые недостатки в рамках статьи по антивирусной защите не имеет смысла. Но об одной детали упомянуть стоит. Это возможность делать быстрые резервные копии и снимки (snapshots) и быстро восстанавливать виртуальную машину. Особенно актуально это в компаниях, работающих в режиме 24/7. Вывести из работы критически важный для бизнеса сервер не всегда удается. Необходимо согласовывать downtime, на это уходит время, в течение которого вирус будет заражать другие системы. Но имеется возможность в изолированной среде восстановить резервной копии чистую версию той же виртуальной машины, после чего погасить зараженную виртуальную машину и вывести в сеть восстановленную. Как правило, это занимает гораздо меньше времени, чем разыскать всех ответственных менеджеров и согласовать с ними время недоступности сервиса.

Еще одно замечательное средство – виртуализация десктопов. Продукт Citrix XenDesktop позволяет при необходимости предоставить виртуальную рабочую станцию, только что сформированную из заранее подготовленного образа с сохранением всех пользовательских настроек.

Таким образом, иногда бывает проще восстанавливать заранее зарезервированные сервера и рабочие станции, нежели «лечить» от вирусов традиционными средствами – антивирусными программами. Следует отметить, это меры «на крайний случай». И лучше всего не допускать заражений.

***

Любой врач скажет, что болезнь лучше предотвратить, чем лечить. Профилактика заражений компьютерными вирусами как нельзя лучше подходит под этот постулат. Не просто установить антивирусную программу, а создать отказоустойчивую систему, не боящуюся заражения. При этом не стоит отказываться и от обычных средств борьбы с вредоносным ПО – надежным антивирусным программным обеспечением.

  1. Сайт проекта openThinClient – http://openthinclient.org.
  2. Сайт проекта Thinstation – http://www.thinstation.org.
  3. Сайт компании Citrix Systems – http://citrix.com.
  4. Сайт Terminal Service Plus – http://www.terminalserviceplus.com.
  5. Бережной А. NETGEAR ReadyNAS Pro. Установка дополнительных модулей и программ. //Системный администратор, №3, 2010 г. – С. 54–59 (http://samag.ru/archive/article/949).

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru