НОУ ІНТУІТ, Лекція, Антивірусне сканування

Принципи використання антивірусного захисту

Антивірусний модуль NetDefendOS забезпечує захист від шкідливого коду, який може міститися у файлах, що завантажуються з Інтернету. Файли можуть бути завантажені як частина веб-сторінки, отриманої за протоколом HTTP, можуть бути завантажені за протоколом FTP або отримані у вигляді вкладень в електронну пошту за протоколом SMTP. Шкідливий код у всіх цих прикладах може використовуватися для різних цілей, починаючи від програм дратівливого впливу до більш зловмисних дій, наприклад, отримання паролів, номерів кредитних карток та іншої конфіденційної інформації. Термін " вірус " можна використовувати як загальний опис всім видів шкідливого коду, переносимого файлами.

  1. Налаштування коректного системного часу та перевірка наявності оновлень

Дуже важливо встановити правильний системний час, якщо функцію автоматичного оновлення антивірусних баз даних увімкнено. Неправильний час може означати, що автоматичне оновлення вимкнено.

Maintenance -> Update Center

сканування

На відміну від системи виявлення та запобігання вторгненням (IDP), яка в основному застосовується для захисту серверів, антивірусне сканування застосовується для захисту клієнтів під час завантаження файлів. Антивірус NetDefendOS розроблений як доповнення до стандартного антивірусного сканування, яке зазвичай виконується локально спеціалізованим програмним забезпеченням, встановленим на клієнтських комп'ютерах. Антивірусне сканування не призначене для повноцінної заміни локального сканування, а скоріше є додатковою функцією підвищення безпеки. Воно може також виступати як резервний захист, коли локальному клієнтуне доступне антивірусне сканування.

Так як передача файлів виконується через міжмережевий екран, якщо антивірусний модуль включений, система NetDefendOS скануватиме потік даних на наявність вірусів. Так як файли є потік трафіку і не зберігаються повністю в пам'яті, для такого сканування потрібно менший обсяг пам'яті, і, як наслідок, вплив на загальну пропускну здатність буде мінімальним.

Процес перевірки заснований на порівнянні з базою даних відомих вірусів, що з високим ступенем достовірності допомагає визначити наявність вірусу. Як тільки в файлі, що передається, виявлено вірус, завантаження припиняється.

Як описано вище, антивірусне сканування запускається як частина ALG і може аналізувати файли, що завантажуються, передані за протоколами HTTP, FTP, SMTP і POP3. Зокрема:

  • Може бути просканований будь-який тип стисненого файлу, з яким пов'язаний відповідний ALG.
  • Якщо завантажений файл стиснутий, формати ZIP і GZIP також можуть бути проскановані.

Можна заборонити завантаження певних файлів, а також вказати обмеження розміру файлів, що скануються. Якщо розмір не вказано, максимальний розмір файлів за замовчуванням не обмежений.

Немає обмеження, скільки антивірусних сканувань може бути одночасно виконано на одному міжмережевому екрані. Кількість одночасних виконань сканувань визначається доступним обсягом пам'яті.

Оскільки антивірусне сканування реалізовано за допомогою ALG, може враховуватися специфіка конкретного протоколу. Наприклад, для FTP сканування виконується як потоку команд, так потоку даних. Якщо виявлено вірус, то команда припинення завантаження посилається через керуюче з'єднання.

Порядок, у якомувиконуються антивірусне сканування та IPD-сканування, не важливий, оскільки ці процеси виконуються різних рівнях стека протоколу. Тому антивірусне сканування та IDP-сканування можуть відбуватися одночасно.

Якщо функція IDP увімкнена, виконується сканування всіх пакетів, які відповідають певному правилу IDP, без урахування семантики протоколів вищого рівня, таких як HTTP. На противагу цьому антивірус обізнаний з семантикою протоколів вищого рівня і переглядає лише дані, що стосуються цих протоколів. Антивірусне сканування є частиною прикладного рівня шлюзу, а IDP немає.

Антивірусне сканування виконується системою NetDefendOS D-Link із використанням баз даних сигнатур вірусів SafeStream. База даних SafeStream створена та підтримується лабораторією Касперського – компанією, яка є світовим лідером у галузі виявлення вірусів. База даних забезпечує захист від усіх відомих вірусів, включаючи троянські програми, "хробаків", "backdoor" та інші.

База даних SafeStream оновлюється щодня, додаючи сигнатури нових вірусів. Старі сигнатури рідко видаляються, натомість вони замінюються більш загальними сигнатурами, які охоплюють кілька вірусів. Тому локальна копія NetDefendOS бази даних SafeStream має регулярно оновлюватися, і цей сервіс оновлення є частиною передплати Антивірусу D-Link.

Опис практичної роботи

Використання шлюзу прикладного рівня (ALG) для активізації антивірусного сканування

  1. Реакція на неможливість виконання перевірки на наявність вірусів

Антивірус NetDefendOS активізується за допомогою шлюзу прикладного рівня (ALG), який пов'язаний із відповідним протоколом. Активізаціядоступна для файлів, що завантажуються, пов'язаних з наступними ALG і включається безпосередньо в самому ALG:

  • HTTP ALG
  • FTP ALG
  • POP3 ALG
  • SMTP ALG

Якщо через якусь причину не вдається виконати перевірку на наявність вірусів, то при режимі Deny подальша передача даних припиняється, при цьому ця подія реєструється в логах. Якщо встановлено режим Allow, ситуація, коли антивірусні бази не доступні або поточна ліцензія не дійсна, не призведе до заборони пересилання. У цьому випадку пересилання файлів буде дозволено і буде згенеровано повідомлення в логах, що вказує на те, що стався збій.

Object -> ALG with AV/WCF -> Add -> HTTP ALG