Рубрика:
Безопасность /
Механизмы защиты
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
ВЛАДИМИР ЗАБОЛОТСКИЙ, ВЯЧЕСЛАВ МЕДВЕДЕВ, ИЛЬЯ ЯКОВЕЦ, специалисты компании «Доктор Веб»
Свой ПАК
Популярность программно-аппаратных комплексов растет с каждый днем. Все больше пользователей начинают понимать целесообразность их применения. Материал посвящен обзору одного из таких комплексов – ПАК Dr.Web Office Shield
Использование программно-аппаратного комплекса (ПАК) минимизирует сроки развертывания – все необходимые программные компоненты уже установлены и настроены. Отсутствуют проблемы совместимости. Крупным компаниям, имеющих филиалы в глубинке с минимумом сотрудников, использование ПАК позволяет развернуть и обеспечить централизованную систему защиты без присутствия на месте системных администраторов.
Dr.Web Office Shield – один из имеющихся на рынке ПАК, позволяет организовать централизованную антивирусную защиту рабочих станций и файловых серверов Windows, почтового и интернет-трафика. Самая младшая его модель рассчитана на обслуживание 50-100 сотрудников. Это достаточно много как для малого бизнеса, так и для удаленных офисов, так что компания «Доктор Веб» предоставляет пользователям не только готовые решения, но и образ Dr.Web Office Shield [1], что позволяет подобрать железо под свои требования.
В качестве основы для устройства должен использоваться компьютер, имеющий как минимум 2 сетевых порта (как правило, для большинства сетей достаточно 100 МБ, но если в сети используются те или иные мультимедийные ресурсы, то надо смотреть в сторону гигабитных сетевых карт). Под эти требования вполне подходит, например, Kraftway Credo VV20 [2]. Машина построена на основе Intel Atom N450. Для тестирования использовался вариант с 2048 МБ памяти, жестким диском на 160 ГБ и двумя сетевыми портами. Для записи образа потребуется два USB-накопителя. Приступаем:
1. Берем с http://www.freedrweb.com/liveusb инсталлятор LiveUSB и с его помощью создаем загрузочный USB-носитель. В качестве LiveUSB можно использовать любой другой линуксовый Live-дистрибутив, загружающийся с USB-накопителя. Нужно будет только внести соответствующую поправку в пути к дискам в приведенных строках.
2. Загружаем архив с образом Dr.Web Office Shield и записываем его на второй USB-носитель.
3. Подключаем два вышеупомянутых USB-носителя к компьютеру, на который будем записывать образ.
4. Включаем компьютер, заходим в его BIOS Setup, назначаем загрузочным устройством USB-накопитель с LiveUSB, загружаемся с него. В загрузочном меню LiveUSB выбираем режим загрузки в Safe Mode, а в меню загрузившейся системы выбираем Start Shell.
5. Находим, куда в каталоге /win подмонтировался USB-носитель с новым образом и как распознался жесткий диск самого компьютера (для удобства можно запустить Midnight Commander командой mc). Обычно это C: и sda соответственно, в дальнейшем, командные строки будут с этими путями.
6. Пишем образ Dr.Web Office Shield на жесткий диск:
bunzip2 -dc /win/C\:/drweb-officeshield-image-server_6.0.1.1011020.bz2 | dd of=/dev/sda
Внимание: все данные, на целевом диске, будут затерты, поэтому внимательно проверяем имя диска!
7. Перезагружаем компьютер с жесткого диска. При загрузке начнется процесс настройки, при котором будет совершено автоматически три перезагрузки
8. Поскольку в отличие от Dr.Web Office Shield на нашей машине не 4, а два порта, то заходим в файл /usr/share/webmin/drweb-officeshield-common/lib/drweb/Interfaces.pm и заменяем назначения устройств – вместо:
my %iface_mapping = ( "lan" => 'eth0', "dmz" => 'eth1', "wan" => 'eth2', "wifi" => &getWlanRealName(), );
пишем:
my %iface_mapping = ( "lan" => 'eth0', "wan2 => 'eth1', );
В принципе, поскольку в Credo VV20 есть слот minPCIe, то в него можно вставить плату для создания точки доступа WiFi – тогда последнюю строчку можно не убирать
Подключаемся к веб-интерфейсу управления. По умолчанию это https://192.168.1.100:10000, но адрес, естественно, можно настроить. Пароль по умолчанию – drweb. Заходим во вкладку Подключения. Видим, что присутствуют только два подключения – как и должно быть.
9. Лицензионные ключи антивирусной защиты нужно загружать перед отправкой устройства к месту работы, но для теста сделаем это сейчас. Заходим на закладку Лицензирование. Ключи drweb32.key, agent.key и enterprise.key можно загрузить через веб-интерфейс, указав, где они находятся на диске вашей машины или с флешки, куда они должны быть предварительно записаны.
10. Настраиваем компоненты продукта как нам нужно.
Теперь проверяем работоспособность получившегося программно-аппаратного комплекса:
1. Проверяем работоспособность антивирусного демона drwebd:
/opt/drweb/drwebdc -sv –si или /opt/drweb/drwebdc -sv -si -n127.0.0.1
В случае отсутствия проблем демон может ответить так:
- Version: DrWeb Daemon 6.0 - Description: Dr.Web (R) daemon for Linux v6.0.2.0 Copyright (c) Igor Daniloff, 1992-2012 Engine version: 7.0.0.11250 <API:2.2>
|
Теперь проверяем, обнаруживает ли демон вирусы. Берем тело тестового вируса eicar (например, вырезаем из документации (файл /opt/drweb/doc/readme.eicar)) и отдаем ему через клиента на проверку:
grep X5O /opt/drweb/doc/readme.eicar | /opt/drweb/drwebdc -V –
Сообщение типа «Results: daemon return code 0x20 (known virus is found)» говорит о корректной работе демона.
2. Проверяем сокеты командой:
netstat -lnp |grep drw
В списке вывода должны присутствовать:
- drwebd.real, слушающий свой 3000/tcp;
- drweb-icapd.real, слушающий свой 127.0.0.1:1344.
При наличии лицензии на проверку почтового трафика должны быть как минимум drweb-monitor, drweb-agent, drweb-notifier, drweb-maild, drweb-receiver/drweb-sender.
3. Проверяем работоспособность интернет-шлюза:
- проверяем, отвечает ли запущенный процесс:
telnet 127.0.0.1 1344
видим, что отвечает, выходим – говорим q.
- убеждаемся, что squid, с которым работает drweb-icapd через модуль ICAP, сконфигурирован правильно:
telnet 127.0.0.1 3128
get http://eicar.org/download/eicar.com http/1.1
HTTP/1.0 200 OK Date: Tue, 24 Jan 2012 15:31:40 GMT Server: Apache/2.2.9 (Debian) mod_ssl/2.2.9 OpenSSL/0.9.8g |
Необходимо убедиться, что загрузится не eicar.com (файл размером 68 байт), а html с уведомлением о невозможности доставки (действие по умолчанию).
4. Проверяем работоспособность сервиса фильтрации почтового трафика: выполняем команду:
/etc/init.d/drweb-monitor status
В результате должны получить сообщение:
Dr.Web drweb-monitor is running
Смотрим список подключенных плагинов:
egrep '^[^#](.*)(QueueFilters)' /etc/drweb/maild_smtp.conf
Видим, что в очереди BeforeQueueFilters у нас прописаны модули vaderetro и drweb, что обеспечивает проверку на вирусы и на спам. Для проверки работы модуля drweb можно отослать уже упоминавшийся eicar:
telnet 127.0.0.1 25 helo test mail from: user@localhost rcpt to: user1@localhost data X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Вариантом ответа может быть:
250 2.6.0 Ok – msg queued as 00000005
Сообщение принято, смотрим логи:
tail -f /var/log/mail.log
Плагин drweb может отреагировать на письмо так:
Jan 24 20:34:43 appliance drweb-maild.real: [140348209538816] drweb INFO 00000005 file have virus(es) and can not be cured for 5, apply: [remove, quarantine, notify] Jan 24 20:34:43 appliance drweb-maild.real: [140348209538816] maild INFO 00000005 Msg was accepted by plugin drweb; time=110 ms Jan 24 20:28:15 appliance drweb-maild.real: [140348209538816] maild INFO 00000004 sending msg to socket "/var/drweb/ipc/.deliver"; (total time=3 ms)... … Jan 24 20:28:15 appliance drweb-maild.real: [140348209538816] maild INFO 00000004 msg sent successfully Jan 24 20:28:15 appliance drweb-receiver.real: [140348209538816] receiver INFO 00000004 success send msg 00000004 to drweb-maild component
|
Для проверки работы модуля vaderetro можно использовать строчку GTUBE.
Для проверки правильности функционирования системы защиты рабочих станций устанавливаем защиту на один из компьютеров сети – как это делается было описано неоднократно, поэтому повторяться не будем.
Удачи в работе!
- Образ Dr.Web Office Shield доступен по запросу вместе с документацией и инструкцией по развертыванию.
- Подробнее о компьютере Kraftway Credo VV20 можно посмотреть на сайте http://www.kraftway.ru/calc/vv20_calc.php.
ЛЬЯ яКОВЕЦ
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|