Остановите загрузку вирусов с помощью DownloadSecurity от GFI
Остановите загрузку вирусов с помощью DownloadSecurity от GFI
Томас Шиндер, доктор медицины
Один из наиболее распространенных способов, с помощью которых пользователи внутренней сети заносят вирусы, червей и троянские программы в вашу сеть, — это загрузка по протоколам HTTP и FTP. Помимо вирусов и другого вредоносного кода, пользователи загружают такие приложения, как Kazaa, Morpheus, мессенджеры и другие опасные приложения, которые могут использоваться для импорта токсичного кода во внутреннюю сеть и блокирования корпоративных интернет-соединений.
ISA Server не включает механизм проверки на вирусы, и хотя ISA Server поддерживает проверку содержимого с использованием правил сайта и содержимого, попытка загрузки просто прерывается; администраторы безопасности не имеют возможности проверить, как пользователи нарушают политику сетевой безопасности, анализируя их загрузки. Это также может быть проблемой, если вы хотите разрешить пользователям загружать файлы, но хотите, чтобы они сначала проверялись, прежде чем разрешить пользователю доступ к файлам. Если вам нужна проверка на вирусы и проверка файлов, вам понадобится стороннее приложение, которое поможет вам.
Здесь на помощь приходит функция DownloadSecurity от GFI Software. DownloadSecurity проверяет все файлы, загружаемые через HTTP и FTP с туннелированием HTTP. Вы хотите запретить пользователям загружать зараженные вирусом файлы с веб-сайтов? Вы хотите контролировать, какие типы файлов загружаются из Интернета в вашу сеть? Тогда DownloadSecurity может быть именно тем, что доктор прописал.
————————————
Контроль загрузки контента
————————————
Контроль контента имеет решающее значение во всех сетях. Пользователи продолжают загружать опасные приложения, несмотря на жесткую политику использования сети. Пользователей также могут ввести в заблуждение сообщения электронной почты, в которых им предлагается «щелкнуть здесь», чтобы увидеть последнюю фотографию актрисы.
DownloadSecurity предотвращает проблемы с загрузкой вредоносного кода, позволяя легко блокировать типы файлов по вашему выбору. Вы можете настроить DownloadSecurity для блокировки всех загрузок, блокировки списка типов файлов или блокировки всех типов файлов, кроме списка типов файлов. Вы можете увидеть образец некоторых типов файлов, включенных прямо из коробки, на рисунке ниже.
Теперь вы можете сказать себе: «Конечно, это хорошо, но я могу сделать то же самое с помощью встроенных в ISA Server правил сайта и контента». Да, вы можете заблокировать выбранный контент с помощью правил сайта и контента ISA Server, но это все. Если вы заблокируете его, вы заблокируете его и все. Других вариантов нет.
DownloadSecurity дает вам гораздо больше вариантов того, как бороться с попытками загрузки файлов. Вы можете заблокировать загрузку и поместить ее в карантин. Когда загруженный файл находится в карантине, администратор безопасности может просмотреть его позднее. Или вы можете захотеть переместить файл в папку и проверить его, когда у вас появится такая возможность — таким образом вы сразу же заблокируете загрузку, но дадите себе возможность увидеть, какую дрянь пользователи пытаются загрузить.
Еще одна вещь, которую не могут сделать правила сайта и контента ISA Server, — это уведомить пользователя о том, что он нарушил политику использования сети. DownloadSecurity информирует ваших пользователей о том, что они нарушили политику безопасности, отправляя пользователю сообщение электронной почты. DownloadSecurity может сделать это, а также отправить электронное сообщение менеджеру пользователя. Это очень полезно, когда приходит время сделать выговор пользователям за злоупотребление сетью и отследить пользователей, которые могут активно работать над подрывом политик сетевой безопасности.
Вы также можете создать несколько правил проверки загрузок, чтобы обеспечить более детальный контроль. Например, предположим, вы хотите проверить все загрузки файлов, кроме тех, которые были загружены для определенных руководителей и администраторов? Это очень легко сделать с DownloadSecurity. Просто настройте правило проверки загрузки, которое будет применяться ко всем , кроме выбранных вами пользователей и групп. Вы даже можете создать второе или третье правило проверки загрузки для других пользователей. Это довольно просто и работает безупречно.
——————————
Контроль загрузки вирусов
————————————
Возможно, вы используете более свободную сетевую среду. Вам все равно, скачивают ли пользователи файлы, но вы не хотите, чтобы они загружали зараженные вирусом файлы. DownloadSecurity позволяет проверять загружаемые файлы на наличие вирусов, не требуя их блокировки. Тебе решать. Мы предпочитаем помещать в карантин все загружаемые файлы, а также проверять все загруженные файлы на наличие вирусов. Это обеспечивает высочайший уровень безопасности.
DownloadSecurity направляет два разных вирусных движка на загруженные файлы. Если один вирусный движок не обнаружит вирус, есть большая вероятность, что другой обнаружит его. У вас также есть возможность сканировать файлы Word на наличие макросов. Общеизвестно, что вирусы макросов Word могут вызывать хаос в сети, поэтому их блокировка, как правило, является хорошей идеей.
Одной из проблем, с которой сталкиваются многие администраторы ISA Server при работе с приложениями, работающими на самом ISA Server, является правильная настройка сервера для поддержки загрузки описаний вирусов. Было несложно настроить DownloadSecurity для загрузки обновлений определений вирусов. У вас есть возможность использовать режимы Active или PASV, и вы даже можете подтвердить, что загрузка работает, нажав кнопку «Проверить доступ к FTP».
——————————
Утвердить загрузки после просмотра
——————————
DownloadSecurity включает клиентское приложение Moderator, которое позволяет вам просматривать файлы, которые вы настроили для помещения в карантин. Загруженные файлы остаются в карантине до тех пор, пока вы не решите, как с ними поступить. У вас есть варианты «Удалить», «Удалить», «Уведомить» и «Утвердить». Отображается полная информация о пользователе, выполняющем загрузку, когда произошла загрузка и загруженные файлы. На рисунке ниже приведен пример того, что вы увидите, если загрузите тестовый файл EICAR.
——————————
Личные наблюдения
——————————
Я использую MailSecurity на нескольких сайтах. Первое, что меня поразило в этом приложении, это простота его установки и настройки. Основными вариантами выбора являются контроль всех загрузок или только некоторых загрузок, а также проверка всех файлов на наличие вирусов. Мы всегда выбираем, чтобы DownloadSecurity проверял все типы файлов по умолчанию, помещал их в карантин и проверял все файлы на наличие вирусов.
DownloadSecurity может обрабатывать около 60 файлов одновременно. Я заметил, что загрузка процессора имеет тенденцию к привязке при одновременной обработке нескольких файлов, но это не оказывает отрицательного влияния на службы ISA Server, и клиенты внутренней сети могут без проблем получать доступ к Интернету даже во время работы. тяжелые периоды загрузки файлов.
Одна вещь, о которой вам нужно знать, это то, что DownloadSecurity реализован как веб-фильтр. Это означает, что ваши клиенты должны быть настроены как клиенты веб-прокси, чтобы проверка файлов работала. Клиенты должны быть не только настроены как клиенты веб-прокси, но вы должны принудительно настроить клиент веб-прокси. Это означает, что вам нужно либо избегать настройки клиентов в качестве клиентов брандмауэра и SecureNAT, либо использовать фильтр HTTP Redirector, чтобы отбрасывать все HTTP-запросы от клиентов брандмауэра и SecureNAT. Единственная проблема с использованием метода HTTP Redirector заключается в том, что он не будет контролировать загрузку FTP. Если вы хотите контролировать загрузку по FTP, вы должны настроить клиентов только как клиенты веб-прокси или отключить фильтр приложений доступа к FTP.
При тестировании DownloadSecurity вы можете заметить, что клиенты не смогут использовать Norton Antivirus LiveUpdate. Вы увидите отчет функции LiveUpdate о том, что загружаемый пакет был поврежден. Сначала я подумал, что это баг в приложении DownloadSecurity.
Дело в том, что это не было ошибкой, просто DownloadSecurity выполняла свою работу. Вы можете обойти подобные проблемы, настроив DownloadSecurity так, чтобы не проверять файлы, загруженные с определенных сайтов. Чтобы LiveUpdate работал, вы должны предоставить symantcliveupdate.com полную свободу действий. Все, что вам нужно сделать, это добавить сайт в список URL-адресов, которые не следует сканировать, в диалоговом окне свойств веб-фильтра (как показано ниже).
——————————
Вывод
——————————
Я обнаружил, что DownloadSecurity легко установить и настроить, и он делает именно то, что говорит. Каждый день просматривать загрузки в клиенте модератора и видеть, сколько вирусов и приложений Scumware (таких как мессенджеры и программы для обмена файлами) было заблокировано, — это очень увлекательно. Это показывает, насколько бесполезен аудит настольных приложений без механизма, предотвращающего «отрастание» запрещенных приложений на пользовательских рабочих столах.
Мы используем DownloadSecurity на нашем собственном ISA-сервере, и без него мне не обойтись. Я искренне рекомендую DownloadSecurity и даю этому приложению 5 звезд ISAServer.org.
загрузить здесь.
Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить к своей сети. Если у вас есть вопросы по тому, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=12;t=000172 и отправьте сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том