 |
|
|
|
Выбираем антивирус для небольшой сети
Выбираем антивирус для небольшой сети Сегодня на рынке предлагается большое количество антивирусных пакетов, ориентированных на применение в организациях разного размера, и, несмотря на некоторое сходство в архитектуре, все они весьма отличаются функционально, не говоря уже о стоимости. В итоге выбрать наиболее подходящее не так уже и просто. Учитывая, что в каталогах одного поставщика имеется несколько комплексных решений, рассчитанных на сети разного размера, чтобы не перебирать все, определимся с параметрами будущей сети. Пусть это будет небольшая сеть на 50 рабочих мест, имеющая файловый и почтовый серверы, выход в Интернет защищает шлюз. Использование «обычных» персональных антивирусов для защиты такого количества систем крайне неудобно, ведь все операции, начиная с установки, настройки и контроля за обновлениями, придется выполнять вручную. В итоге все старания могут быть сведены на нет, например, если пользователь отключил монитор или базы по разным причинам вовремя не обновились. Хотя сегодня в небольших организациях еще нередко можно встретить системного администратора, бегающего с флешкой, обновляющего таким образом антивирусные базы. Специализированные решения, построенные по клиент-серверной схеме, более предпочтительны, так как они обеспечивают централизованное управление, упрощенную процедуру развертывания, контроль за работой агентов и выполнением всех предусмотренных заданий и политик, установку обновлений с единой локальной базы, экономя интернет-трафик, создание отчетов и так далее. В статье вы не найдете тестов антивирусных движков и информации о количестве записей в базе. Основное внимание уделено особенностям реализации антивирусных продуктов 7 популярных разработчиков, подходящих для решения нашей задачи, – компонентам, возможностям клиентского модуля и централизованного управления. Ориентировочная цена приведена в таблице 1. Окончательную цену составить тяжело, так как на её формирование может повлиять срок лицензии (на два года – дешевле), количество одновременно покупаемых продуктов или лицензий на одно решение, скидки и акции магазинов и так далее. Чтобы легче было определиться и увидеть отличия, основные параметры сведены в таблицу 2. Сразу отвечу на два вопроса, которые, скорее всего, возникнут у читателя. Да, вполне возможно установить шлюз, файловый и почтовый сервер на *BSD или GNU/Linux, для защиты которого использовать свободный антивирус ClamAV. Таким образом несколько уменьшить итоговую стоимость, хотя и за счет некоторой децентрализации управления. Такие решения неоднократно рассматривались на страницах журнала, поэтому если есть соответствующий опыт, можно самостоятельно собрать нужную систему из «кирпичиков». Также часто рекомендуют на компонентах сети сервер/шлюз/ПК использовать антивирусы разных разработчиков. Некоторый смысл в этом есть, так как всегда существует вероятность, что во время очередной эпидемии одна из компаний среагирует чуть быстрее. Да и мне неоднократно попадались вирусы, в том числе и старые, которые определялись далеко не всеми движками. Но суммарная стоимость будет выше, а вот говорить о том, что применение двух антивирусов вдвое увеличит защиту, не приходится. Поскольку, точно следуя логике, «одна среагирует быстрее», нужно согласиться с тем, что непременно другая среагирует медленнее. «Лаборатория Касперского» «Лаборатория Касперского» для защиты корпоративной сети любого масштаба и сложности предлагает линейку продуктов, объединенных общим названием Kaspersky Open Space Security. KOSS состоит из четырех решений, ориентированных на разный уровень организаций и защищающих рабочие станции и смартфоны, файловые, почтовые серверы и шлюзы. Кроме этого предлагаются и продукты для защиты отдельных узлов сети. Для целостной защиты сети любого масштаба предложен Kaspersky Total Space Security, который может состоять из 17 компонентов (полный список на http://www.kaspersky.ru/total_space_security) и имеет все необходимое для решения такой задачи. Непосредственно на рабочих станциях и серверах, подлежащих защите, устанавливается специализированная версия антивируса. Здесь следует отметить весьма большой список систем и решений: рабочие станции (Windows, Linux), мобильные системы (Windows Mobile, Symbian), файловые серверы (Windows, Linux, NetWare), совместной работы (Exchange 2003/2007, Lotus Notes/Domino), почтовые серверы (Sendmail, Qmail, Postfix, Exim) и шлюзы (Microsoft ISA Server, Check Point FireWall) и другие. Для централизованного управления используется Kaspersky Administration Kit, фактически состоящий из трех составляющих, которые необязательно должны быть установлены на одном компьютере:
Интерфейс консоли локализован и достаточно прост в освоении. Предусмотрена одновременная работа нескольких связанных друг с другом серверов администрирования с поддержкой их иерархии.
Консоль управления Kaspersky Administration Kit Особенностью решения Kaspersky Administration Kit является объединение в логическую сеть всех подключенных к серверу администрирования компьютеров, а также подчиненных серверов. Такая сеть не связана с топологией физической сети, хотя при автоматическом ее формировании за основу берутся текущие сетевые настройки. Каждая группа может иметь свои политики и настройки. Таким образом, очень просто создать конфигурацию системы защиты, удовлетворяющую любым условиям. Для работы сервера администрирования необходим SQL-сервер. Здесь подходит MySQL, Microsoft SQL Server 2000/2005/2008, Microsoft SQL Server 2000 Desktop Engine (MSDE) или SQL Server 2005 Express Edition. Как видите, все составляющие Kaspersky Administration Kit зависят от платформы. Подготовленная версия MSDE 2000 SP 3 для Administration Kit доступна на установочном компакт-диске и странице загрузки продуктов «Лаборатория Касперского». Для небольшого офиса его возможностей вполне достаточно, и во время установки он обнаруживается автоматически без лишних донастроек. Принцип лицензирования в продуктах KOSS самый простой – указываем количество систем, на которые будут установлены компоненты, вне зависимости от того, рабочая это станция или сервер, и без подсчета почтовых ящиков или пользовательских аккаунтов. «Доктор Веб» Компания «Доктор Веб» предлагает несколько комплексов защиты, объединенных под названием Dr.Web Security Suite. И в отличие от продуктов «Лаборатория Касперского» каждое ориентировано на применение исключительно в своей сфере: настольные системы, почтовые и файловые серверы, Интернет и SMTP-шлюзы, мобильные устройства и так далее. В контексте статьи нас будет интересовать:
Функции последних трех, думаю, понятны, интерес может вызвать ES. Это решение также имеет клиент-серверную архитектуру, позволяя управлять удаленными клиентами при помощи единого графического интерфейса. Состоит ES из антивирусного сервера (ES-сервера), консоли администратора, SQL-сервера и ES-агента. Назначение всех компонентов, в общем, аналогично KOSS, отличия составляет лишь агент. Здесь в отличие от «Касперского» агент является полноценным антивирусом, который устанавливается на все защищаемые компьютеры и сам антивирусный сервер. Агент включает все, что пользователи привыкли видеть в продуктах Dr.Web, – антивирусный сканер, файловый монитор SpIDer Guard, почтовый фильтр SpIDer Mail. Именно поэтому во избежание конфликтов на рабочих станциях не должно быть установлено другое антивирусное ПО, в том числе другие версии Dr.Web. Кстати, в большинстве рассматриваемых в статье решений уже рабочий антивирус этого производителя можно просто подключить к серверу для централизованного управления, что довольно неплохо, особенно в том случае, если за него уплачено.
Консоль администратора Dr.Web Enterprise Suite Специальный компонент позволяет администратору, подключившись к ним, удаленно просканировать компьютеры в «тихом» режиме. В этом случае пользователь вообще не заметит работу сканера, а администратор может наблюдать за проверкой в реальном времени. Для установки агентов предложено использовать один из трех способов:
Обновление агентов и антивирусных баз производится централизованно с антивирусного сервера, но агенты, установленные на мобильных системах и находящиеся вне своей сети, «умеют» обновляться напрямую с сайтов Dr.Web. Сервер в базе данных содержит настройки агентов, статистику по сканированиям и найденным вирусам и прочую информацию. В одной сети может быть несколько ES-серверов, связанных с главным сервером. Архитектура серверной части независима от платформы, что позволяет установить его как на Windows NT/2000/XP/2003 Server, так и на UNIX-системах – Linux, FreeBSD (5.1-7.0) или Solaris (х86). В Linux-версии имеются пакеты для ASPLinux, Debian Etch/Sarge, Fedora Core, SuSE, Mandriva, Ubuntu (для некоторых и под 64-битную систему), а также Linux generic под разные версии Glibc (2.3 – 2.7). В качестве БД может быть использована встроенная СУБД (IntDB), подключение через ODBC (для Windows) или PostgreSQL (в UNIX). Консоль управления написана на Java, поэтому ее установка возможна в любой системе, для которой доступен JRE не ниже 5.0. Для антивирусного сервера с агентами может использоваться как протокол TCP/IP, так и IPX/SPX/NetBIOS, что позволяет не менять настройки сети. Предусмотрена возможность шифрования и сжатия соединения, что позволяет безопасно администрировать сеть через Интернет и экономить трафик. Кроме этого имеется несколько готовых комплектов для организаций разного размера, в том числе и образовательных учреждений. Под нашу задачу подходит комплект Dr.Web «Универсальный», обеспечивающий защиту:
Также хотелось бы особо отметить, что это единственное решение, для которого нельзя официальным путем получить ключ и построить тестовую платформу, включающую все компоненты, и таким образом определиться в выборе. При заказе ключа для сервера предлагается установить Dr.Web для Windows, который подходит лишь для агентов и Антивирусу Dr.Web для Windows Mobile. Второй ключ для сервера, несмотря на хорошо налаженную службу технической поддержки и мои двухнедельные попытки, я так и не получил. И только благодаря диску журнала [1], на котором нашелся нужный файл, удалось проверить Dr.Web Security Suite в работе. Если так добивается тестовых ключей любой клиент, желающий посмотреть на решение вживую, то, признаюсь, подход компании несколько непонятен. ESET На сайте компании ESET для корпоративных клиентов предлагается 6 продуктов, обеспечивающих защиту рабочих станций, шлюзов, почтовых и файловых серверов. Для решения нашей задачи выбираем три:
Из них Smart Security Business Edition (SMBE) является комплексным решением, обеспечивающим защиту как рабочих станций, так и серверов. Его основой является антивирусный модуль ThreatSense, плюс включены модули персонального брандмауэра и антиспама. Персональный брандмауэр обеспечивает сканирование сетевых соединений на уровне канала, определяет и блокирует многие типы сетевых атак, отслеживает изменения в исполняемых файлах, умеет проверять HTTP- и POP3-трафик. Также модуль ThreatSense может интегрироваться в популярные почтовые клиенты (MS Outlook, Outlook Express, Windows Mail и другие). Реализовано три режима настройки правил фильтрации: автоматический, интерактивный или устанавливающийся централизованно на основе политик. В последнем случае соединения, не разрешенные в правилах, будут заблокированы. Поддерживается работа с файловыми серверами на платформах Windows, Novell Netware и Linux/BSD/Solaris.
Редактор конфигурации в ESET Remote Administrator Console Для централизованного администрирования продуктов ESET используется Remote Administrator (ERA), состоящий из трех компонентов:
В сети может функционировать любое количество серверов, поддерживается репликация данных на основной (родительский) сервер. При помощи ERAS можно выполнять удаленную установку и удаление антивируса, настраивать параметры его работы и создавать зеркало обновлений. Администратор определяет, какая информация и с какой периодичностью будет передаваться на родительские серверы автоматически, а какая только по запросу. ERAS функционирует как служба, поэтому для его установки понадобится компьютер с ОС Windows на ядре NT (NT4, 2000, XP, 2003). Для хранения данных ERAS использует MDAC (Microsoft Data Access Components), кроме того, некоторые элементы сохраняются в отдельных файлах в каталоге Storage. Кстати, лицензионное соглашение не накладывает на количество ERAS никаких ограничений, лицензия NOD32 SS BE требуются только для клиентских компьютеров или автономных, файловых серверов под управлением Windows OS, Novell и Linux. McAfee C нужными продуктами McAfee не так легко сразу определиться, и в этом очень помогает страница McAfee SMB Product Comparison [2]. Здесь в двух вкладках Protection Type и Protection Area довольно просто выбирать продукт, удовлетворяющий нужным условиям. Для нашего примера наиболее подходит пакет McAfee Active Virus Defense. Это комплексное решение, в котором реализована антивирусная защита для всех компонентов – рабочих станций, интернет-шлюза, почтового и файлового сервера. В таблице показано, что кроме антивирусов сканирующий движок обнаруживает и spyware, но только Partial (частично). В состав пакета включены:
Централизованное управление защитой осуществляется при помощи ePolicy Orchestrator (ePO). Его задача, в общем, аналогична другим подобным решениям: управление настройками антивирусов, установка обновлений через центральное хранилище Software Repository, получение при помощи AV Informant отчетов о работе защиты и отдельных компонентов. Администратор может задавать единую политику безопасности, включая наличие патчей безопасности от Microsoft для всех систем или отдельных групп.
Консоль управления продуктами McAfee – ePolicy Orchestrator EPO построен по клиент-серверной схеме, напоминающей Kaspersky Administration Kit, то есть в клиентские системы кроме непосредственно продукта, осуществляющего защиту, устанавливается небольшой по размеру агент. Агент, получая команды от сервера и отсылая отчеты, осуществляет непосредственное управление настройками клиентской программой. Мобильные системы производят обновления сигнатур при подключении к локальной сети или самостоятельно через Интернет. Для установки ePO на сервер понадобятся компьютер под управлением Windows 2000 SP4/ 2003 SP1/2/R2, консоль Windows 2000/XP/2003/Vista. В качестве SQL-сервера для небольших организаций рекомендован Microsoft SQL Server 2005 Express Edition, поддерживается SQL Server 2000/2005. Сегодня доступны две версии ePO: в 3.6.1 консоль реализована в виде MMC, в 4.0.0 – в виде веб-сервиса. Во втором варианте для взаимодействия с сервером используется протокол HTTP/HTTPS, что позволяет работать через Интернет с любой платформы. В политиках ePO также задаются установки для программ-антишпионов и персонального брандмауэра McAfee Desktop Firewall. Кроме продуктов McAfee, ePO поддерживают и некоторые версии Symantec Norton Antivirus для серверов и рабочих станций. Symantec Продукция Symantec довольно хорошо известна ИТ-специалистам, те, кто работал в Windows 9х, хорошо помнят антивирус Norton AntiVirus, обновленная версия которого выпускается этой корпорацией до сих пор. Сегодня для небольших компаний предложен пакет Symantec Endpoint Protection Small Business Edition 11.0, фактически состоящий из двух решений: пакета Symantec Endpoint Protection 11.0 (SEP) и антивируса Symantec Mail Security for Microsoft Exchange (Symantec Mail Security for SMTP/Domino/Enterprise Edition). Клиент SEP является логическим продолжением Norton AntiVirus и обеспечивает защиту от вирусов и шпионских программ, фильтрацию открытого и шифрованного сетевого трафика, система защиты от атак Generic Exploit Blocking позволяет блокировать угрозы эксплуатирующих уязвимости, инструмент VxMS (Veritas Mapping Service) позволяет обнаруживать руткиты. Кроме сигнатурного анализа, модуль проактивной защиты Proactive ThreatScan обнаруживает заразу на основе анализа поведения приложений. Администратор имеет возможность контролировать и при необходимости блокировать доступ пользователей и работающих программ к процессам, файлам и каталогам, контролировать элементы ОС и реестра, модулей и элементов операционной системы и приложений. За дополнительную плату доступен модуль Symantec Network Access Control, обеспечивающий проверку систем и определяющий на основе полученных данных права доступа к сети и ресурсам.
Основная страница Symantec Endpoint Protection Manager Список поддерживаемых клиентских машин и серверов довольно большой: ОС Windows 2000/XP/2003/Vista/2008 (разных редакций), Linux (Red Hat Enterprise Linux от 3.x, SuSE Linux Enterprise (server/desktop) от 9.x, Novell Open Enterprise Server (OES/OES2), Ubuntu от 7.x и Debian 4.x), а также VMWare ESX 2.5, 3.x. Что немаловажно, все ОС могут быть как 32, так и 64-битных версий. Особо отмечено, что Itanium не поддерживается (как и всеми остальными решениями). Управление осуществляется с единой консоли. Сервер и консоль управления Symantec Endpoint Protection Manager устанавливаются на ОС Windows от 2000, в качестве SQL-базы данных может быть использована как встроенная, так и MS SQL 2000 SP3/2005. Кроме этого, для установки потребуется наличие IIS. Встроенная БД на основе Sybase рекомендуется при подключении до 100 клиентов и автоматически устанавливается при выборе режима инсталляции сервера управления «Простой». При соблюдении всех требований установка сервера достаточно проста, в ее ходе можно указать другой порт для веб-сайта доступа, с которого скачивается клиент управления. По окончании установки запускается мастер переноса и развертывания, который поможет развернуть антивирус на клиентских системах и перенести группы и политики с родительских серверов Symantec AntiVirus. В критериях поиска клиентов можно указать более 30 параметров, включая имя пользователя, компьютера, группу, IP-адрес и даже такие, как частота процессора, версия BIOS и так далее. Также хочется отметить наличие удобного и понятного инструмента сохранения и восстановления базы системы защиты. F-Secure Решения F-Secure для малого и среднего бизнеса [3] включают в себя все необходимые программные продукты, позволяющие защитить от вирусов рабочие станции, мобильные устройства, файловые и почтовые серверы, шлюзы. Для удобства выбора представлены готовые комплекты. Для наших условий наиболее подходят два решения: F-Secure Anti-Virus Small Business Suite (SBS) и F-Secure Protection Service for Business (PSB), каждое по-своему интересно. Лицензия на SBS ориентирована на 5-99 систем. Состоит SBS из 4 компонентов:
Anti-Virus Client Security поддерживает также Cisco NAC (Network Admission Control), применение которой позволяет гарантировать, что подключающаяся к сети система будет удовлетворять требованиям всех политик компании. Policy Manager построен по клиент-серверной схеме, в которой управление настройками производится удаленно, при помощи терминала, но есть свои особенности. Так, графические отчеты создаются в модуле, имеющем название F-Secure Policy Manager Web Reporting. Благодаря наличию готовых шаблонов администратор может быстро найти системы, в которых не установлены последние обновления, проверить настройки безопасности и так далее. Заявлено, что один сервер может управлять установкой ПО на 15 тысяч узлов. При необходимости в одной сети можно использовать несколько серверов. Для отправки обновлений антивирусных баз в удаленные офисы используется специальный компонент F-Secure Policy Manager Proxy.
Окно настроек консоли F-Secure Policy Manager Policy Manager поддерживает установку на Windows Server 2000/2003 (XP, только консоль), есть и Linux-версия, ориентированная на установку в: Red Hat Enterprise Linux 3/4, SuSE Linux 9/10, SuSe Linux Enterprise Server 9 и Debian Sarge 3.1. В том случае, если заявленной функциональности не хватает, можно использовать и другие продукты F-Secure, которые обеспечивают защиту рабочих станций и файловых серверов на Linux, серверов Citrix, мобильных устройств и так далее. Все они поддерживают управление при помощи F-Secure Policy Manager. Хотя конечная цена такого решения, вероятно, будет чуть выше. В частности, в нашем примере Secure Anti-Virus Small Business Suite следует дополнить F-Secure Internet Gatekeeper, который предназначен для использования в интернет-шлюзах и обеспечивает фильтрацию почтового (SMTP) и HTTP/FTP-трафика, а также контроль доступа, спама и содержимого.
Модуль контроля приложений F-Secure блокирует неизвестные процессы Теперь следующий продукт – F-Secure PSB, доступный в двух версиях: Standard и Advanced. Это решение несколько иного рода. Возможности клиентской части F-Secure PSB Workstation, предназначенной для защиты рабочих станций и серверов, работающих под управлением Windows, в общем, аналогичны Client Security. То есть содержит средства защиты от вирусов, шпионского ПО и руткитов, имеет встроенный брандмауэр, средства предотвращения вторжений, контроля приложений и спама. Централизованное управление производится при помощи простого интерактивного портала через Интернет. Сам портал размещен на серверах F-Secure, поэтому отдельной системы для его установки не требуется, а сам портал доступен из любого места в любое время.
Портал F-Secure PSB с клиентом F-Secure PSB Workstation Таблица 1. Приблизительные цены системы защиты для 1 шлюза, 50 рабочих станций, 1 файлового сервера, 1 почтового сервера (предоставлены ЗАО «Софткей» (http://www.softkey.ru)
* Цена составлена по данным http://www.f-secure.ru, http://www.anysoft.ru и http://www.netsecret.ru Таблица 2. Возможности антивирусных систем
Заключение Итак, все системы защиты, несмотря на некоторую схожесть в архитектуре, все же очень отличаются по функциям и стоимости. На общем фоне выделяется решение от Symantec и «Касперского» – оснащенный клиент для нескольких платформ, удобная консоль, но первый обойдется гораздо дешевле. Если говорить об экономии средств, то здесь неплохо выглядят F-Secure PSB и Safe'n'Sec Enterprise. Учитывая, что для F-Secure PSB не нужен свой сервера управления с СУБД, это уменьшает стоимость и упрощает администрирование, его можно рекомендовать для небольших групп, не имеющих своего штатного администратора. Для сети, в которую входят Windows-системы, можно порекомендовать комплект Dr.Web «УНИВЕРСАЛЬНЫЙ», правда, здесь нужно помнить, что за продление лицензии, вероятно, придется заплатить полную стоимость. Хотя у продуктов Dr.Web есть еще один плюс – клиент и сервер управления независимы от платформы, а работа агента практически «незаметна». Решения ESET и F-Secure SBS находятся примерно на одном уровне. Но первый хорошо знаком нашему пользователю, кроме того, консоль управления локализована, второй меньше стоит. McAfee впечатляет выбором клиентских платформ, но сам клиент сильно отстает по сравнению с другими решениями. Приложение Safe'n'Sec Enterprise Еще один продукт, о котором бы хотелось вкратце рассказать, подходит под выдвинутые требования лишь частично, но, учитывая его возможности и стоимость, умолчать не имею права. Речь идет о системе предотвращения вторжений (HIPS, Host Intrusion Prevention System) Safe'n'Sec Enterprise, разрабатываемой российской компанией S.N.Safe&Software (http://www.safensoft.ru). В отличие от других программ обзора она не является антивирусом как таковым. В клиентских модулях Safe'n'Sec Timing Client используется собственная технология проактивной защиты V.I.P.O. (Valid Inside Permitted Operations), основанной на разграничении системных привилегий при работе компьютера.
Консоль Safe'n'Sec Admin Explorer с подключенным клиентом После установки клиент сканирует систему, создает профиль приложений и формирует список доверенных программ (контролируется хеш SHA-256). При появлении активности, затрагивающей целостность системных файлов или реестра, а также нового процесса, соответствующая операция блокируется, а пользователю выдается запрос на ее подтверждение. Таким образом, технология, используемая в Safe'n'Sec, позволяет блокировать любые известные и неизвестные вредоносные программы, для которых еще нет сигнатуры в антивирусных базах. Еще один плюс Safe'n'Sec – не требуется постоянное обновление баз. Кроме обычной, существуют версии клиентской программы, содержащие антивирусный модуль Dr.Web и модуль защиты от программ-шпионов. В этом случае обеспечивается и лечение зараженных файлов.
При появлении нового процесса Safe'n'Sec блокирует его выполнение до принятия решения пользователем Централизованное управление обеспечивается при помощи двух программ:
В качестве СУБД используются MSDE 2000 SP3, MS SQL 2005 Express Edition или MS SQL Server от 2000 SP, поддерживаемые ОС Microsoft Windows 2000SP3/XP/2003/Vista. Клиентская лицензия на 50 рабочих мест, включая Admin Explorer и Service Center, составляет 27600 руб.
|
Сергей Яремчук
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
