Свой ПАК

 ВЛАДИМИР ЗАБОЛОТСКИЙ, ВЯЧЕСЛАВ МЕДВЕДЕВ, ИЛЬЯ ЯКОВЕЦ, специалисты компании «Доктор Веб»

Свой ПАК

Популярность программно-аппаратных комплексов растет с каждый днем. Все больше пользователей начинают понимать целесообразность их применения. Материал посвящен обзору одного из таких комплексов – ПАК Dr.Web Office Shield

Использование программно-аппаратного комплекса (ПАК) минимизирует сроки развертывания – все необходимые программные компоненты уже установлены и настроены. Отсутствуют проблемы совместимости. Крупным компаниям, имеющих филиалы в глубинке с минимумом сотрудников, использование ПАК позволяет развернуть и обеспечить централизованную систему защиты без присутствия на месте системных администраторов.

Dr.Web Office Shield – один из имеющихся на рынке ПАК, позволяет организовать централизованную антивирусную защиту рабочих станций и файловых серверов Windows, почтового и интернет-трафика. Самая младшая его модель рассчитана на обслуживание 50-100 сотрудников. Это достаточно много как для малого бизнеса, так и для удаленных офисов, так что компания «Доктор Веб» предоставляет пользователям не только готовые решения, но и образ Dr.Web Office Shield [1], что позволяет подобрать железо под свои требования.

В качестве основы для устройства должен использоваться компьютер, имеющий как минимум 2 сетевых порта (как правило, для большинства сетей достаточно 100 МБ, но если в сети используются те или иные мультимедийные ресурсы, то надо смотреть в сторону гигабитных сетевых карт). Под эти требования вполне подходит, например, Kraftway Credo VV20 [2]. Машина построена на основе Intel Atom N450. Для тестирования использовался вариант с 2048 МБ памяти, жестким диском на 160 ГБ и двумя сетевыми портами. Для записи образа потребуется два USB-накопителя. Приступаем:

1. Берем с http://www.freedrweb.com/liveusb инсталлятор LiveUSB и с его помощью создаем загрузочный USB-носитель. В качестве LiveUSB можно использовать любой другой линуксовый Live-дистрибутив, загружающийся с USB-накопителя. Нужно будет только внести соответствующую поправку в пути к дискам в приведенных строках.

2. Загружаем архив с образом Dr.Web Office Shield и записываем его на второй USB-носитель.

3. Подключаем два вышеупомянутых USB-носителя к компьютеру, на который будем записывать образ.

4. Включаем компьютер, заходим в его BIOS Setup, назначаем загрузочным устройством USB-накопитель с LiveUSB, загружаемся с него. В загрузочном меню LiveUSB выбираем режим загрузки в Safe Mode, а в меню загрузившейся системы выбираем Start Shell.

5. Находим, куда в каталоге /win подмонтировался USB-носитель с новым образом и как распознался жесткий диск самого компьютера (для удобства можно запустить Midnight Commander командой mc). Обычно это C: и sda соответственно, в дальнейшем, командные строки будут с этими путями.

6. Пишем образ Dr.Web Office Shield на жесткий диск:

bunzip2 -dc /win/C\:/drweb-officeshield-image-server_6.0.1.1011020.bz2 | dd of=/dev/sda

Внимание: все данные, на целевом диске, будут затерты, поэтому внимательно проверяем имя диска!

7. Перезагружаем компьютер с жесткого диска. При загрузке начнется процесс настройки, при котором будет совершено автоматически три перезагрузки

8. Поскольку в отличие от Dr.Web Office Shield на нашей машине не 4, а два порта, то заходим в файл /usr/share/webmin/drweb-officeshield-common/lib/drweb/Interfaces.pm и заменяем назначения устройств – вместо:

my %iface_mapping = (
"lan" => 'eth0',
"dmz" => 'eth1',
"wan" => 'eth2',
"wifi" => &getWlanRealName(),
);

пишем:

my %iface_mapping = (
"lan" => 'eth0',
"wan2 => 'eth1',
);

В принципе, поскольку в Credo VV20 есть слот minPCIe, то в него можно вставить плату для создания точки доступа WiFi – тогда последнюю строчку можно не убирать

Подключаемся к веб-интерфейсу управления. По умолчанию это https://192.168.1.100:10000, но адрес, естественно, можно настроить. Пароль по умолчанию – drweb. Заходим во вкладку Подключения. Видим, что присутствуют только два подключения – как и должно быть.

9. Лицензионные ключи антивирусной защиты нужно загружать перед отправкой устройства к месту работы, но для теста сделаем это сейчас. Заходим на закладку Лицензирование. Ключи drweb32.key, agent.key и enterprise.key можно загрузить через веб-интерфейс, указав, где они находятся на диске вашей машины или с флешки, куда они должны быть предварительно записаны.

10. Настраиваем компоненты продукта как нам нужно.

Теперь проверяем работоспособность получившегося программно-аппаратного комплекса:

1. Проверяем работоспособность антивирусного демона drwebd:

/opt/drweb/drwebdc -sv –si или /opt/drweb/drwebdc -sv -si -n127.0.0.1

В случае отсутствия проблем демон может ответить так:

Теперь проверяем, обнаруживает ли демон вирусы. Берем тело тестового вируса eicar (например, вырезаем из документации (файл /opt/drweb/doc/readme.eicar)) и отдаем ему через клиента на проверку:

grep X5O /opt/drweb/doc/readme.eicar | /opt/drweb/drwebdc -V –

Сообщение типа «Results: daemon return code 0x20 (known virus is found)» говорит о корректной работе демона.

2. Проверяем сокеты командой:

netstat -lnp |grep drw

В списке вывода должны присутствовать:

• drwebd.real, слушающий свой 3000/tcp;
• drweb-icapd.real, слушающий свой 127.0.0.1:1344.

При наличии лицензии на проверку почтового трафика должны быть как минимум drweb-monitor, drweb-agent, drweb-notifier, drweb-maild, drweb-receiver/drweb-sender.

3. Проверяем работоспособность интернет-шлюза:

• проверяем, отвечает ли запущенный процесс:

telnet 127.0.0.1 1344

видим, что отвечает, выходим – говорим q.

• убеждаемся, что squid, с которым работает drweb-icapd через модуль ICAP, сконфигурирован правильно:

telnet 127.0.0.1 3128

get http://eicar.org/download/eicar.com http/1.1

Необходимо убедиться, что загрузится не eicar.com (файл размером 68 байт), а html с уведомлением о невозможности доставки (действие по умолчанию).

4. Проверяем работоспособность сервиса фильтрации почтового трафика: выполняем команду:

/etc/init.d/drweb-monitor status

В результате должны получить сообщение:

Dr.Web drweb-monitor is running

Смотрим список подключенных плагинов:

egrep '^[^#](.*)(QueueFilters)' /etc/drweb/maild_smtp.conf

Видим, что в очереди BeforeQueueFilters у нас прописаны модули vaderetro и drweb, что обеспечивает проверку на вирусы и на спам. Для проверки работы модуля drweb можно отослать уже упоминавшийся eicar:

telnet 127.0.0.1 25
helo test
mail from: user@localhost
rcpt to: user1@localhost
data
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Вариантом ответа может быть:

250 2.6.0 Ok – msg queued as 00000005

Сообщение принято, смотрим логи:

tail -f /var/log/mail.log

Плагин drweb может отреагировать на письмо так:

Для проверки работы модуля vaderetro можно использовать строчку GTUBE.

Для проверки правильности функционирования системы защиты рабочих станций устанавливаем защиту на один из компьютеров сети – как это делается было описано неоднократно, поэтому повторяться не будем.

Удачи в работе!

1. Образ Dr.Web Office Shield доступен по запросу вместе с документацией и инструкцией по развертыванию.
2. Подробнее о компьютере Kraftway Credo VV20 можно посмотреть на сайте http://www.kraftway.ru/calc/vv20_calc.php.

Комментарии могут оставлять только зарегистрированные пользователи