Antivirová ochrana

V antivirové oblasti platí, že absolutní ochrana před viry neexistuje a čím vyšší ochranu požadujete, tím více to stojí. Také je zřejmé, že jiné požadavky na antivirovou ochranu bude mít velká společnost, která chrání rozsáhlé sítě a citlivá data, a jiné domácí uživatel. Ukážeme si nejzranitelnější místa ve firemní síti a možnosti, jak je účinně chránit.
7. 10. 2003

Sdílet

963

Ochrana vstupní brány je považována za klíčový prvek v antivirové ochraně. Stále však existují firmy, které tento fakt úspěšně ignorují. „Odměnou“ je jim v případě virové epidemie přetížený mail server nebo dokonce celá síť. Hlavní výhodou ochrany na vstupní bráně je skutečnost, že si v jednom místě pokryjete poštovní komunikaci nezávisle na použitém mail serveru a HTTP komunikaci bez nutnosti změn v síti. Vedlejším efektem je snížení zátěže vnitřní sítě.

Antivirovou ochranu pro vstupní brány lze rozdělit na řešení čistě softwarové (software na vlastním hardware) a řešení hardwarové (software i harware od výrobce). První chrání zpravidla pouze protokol SMTP, je méně výkonné a hodí se do menších sítí. Hardwarové řešení umí skenovat čtyři protokoly s vysokou výkonností a nabízí snadnou instalaci.

Na vstupní bráně se chrání komunikace v tomto pořadí: SMTP, HTTP, FTP a POP3. Statistiky ukazují, že kontrolou poštovního SMTP protokolu lze odfiltrovat okolo devadesáti procent veškeré nákazy, HTTP kontrola brání před trojskými koňmi a dalšími škodlivými kódy, které se mohou objevit na webových stránkách. Antivirová ochrana umí nastavit různé parametry pro každý z kontrolovaných protokolů. Užitečnou vlastností je možnost blokovat vybrané typy souborů jak v mailech, tak v HTTP komunikaci. Aktualizace virových řetězců probíhá zcela automaticky, velikost aktualizace se pohybuje okolo 100 kB s četností jednou denně až jednou týdně podle aktuální virové situace.

Perspektivním trendem je integrace antivirové ochrany se samotným firewallem. Již dnes je možno integrovat antispamové řešení nebo řešení na kontrolu přístupů k webu.

Příkladem je McAfee WebShield Appliance. Jedná se o řešení vše v jednom, které kombinuje kvalitní software a značkový hardware. Výhodou je jednoduchá správa a vysoký výkon, který si lze představit pod čísly 160.000 zkontro­lovaných mailů za hodinu nebo 2 Mbit/s HTTP provozu za sekundu u nejvýkonnější varianty WebShield Appliace e1000. Plusem je možnost transparentního provozu, rozkládání zátěže na více zařízení nebo možnost filtrace souborů, které smí nebo nesmí projít do vnitřní sítě. Příkladem integrace antiviru se samotným firewallem je využití firewallu Sidewinder s integrovanou antivirovou ochranou McAfee WebShield.

Mailový server

Na druhém místě důležitosti je mailový server. Můžete namítnout, že pošta je chráněna na vstupní bráně. Ano, ale pouze ta, která putuje přes vstupní bránu, což není pravidlem u vnitrofiremní komunikace. Proto je potřeba chránit i mailový server. Rozdílem proti ochraně na vstupní bráně je to, že zde jsou antivirové produkty pevně semknuty s používaným mailovým serverem. Dochází k těsné integraci obou aplikací a antivirový software běží přímo na stejném serveru. Samozřejmostí je podrobné reportování, zasílání alertů a možnost automatické aktualizace, stejně jako v případě antivirové ochrany na vstupní bráně. V dnešní době jsou dostupné antivirové programy na téměř všechny myslitelné mailové servery, na platformě Windows nebo Unix/Linux.

Zástupcem v této kategorii je McAfee GroupShield pro Exchange nebo Lotus Domino. McAfee GroupShield nabízí skenování jak v reálném čase, tak i na vyžádání. Díky rozhraní VSAPI 2, popř. ESE API je každý e-mail zkontrolován ještě předtím, než se uloží do databáze Exchange.

Souborové servery

Na třetí pozici na pomyslném žebříčku je ochrana dat na souborovém serveru. Antivirový program kontroluje veškeré čtení i zápisy na disk včetně přístupů ze sítě. Existuje možnost zvolit si, které typy souborů se mají skenovat a jaké adresáře se mají vynechat ze skenování, např. pokud máte několika gigabajtovou databázi nebo zálohu na disku. Existuje možnost rozlišení hloubky skenování podle jednotlivých procesů nebo odmítnutí sdílení dat v případě opakovaného útoku. Pro aktualizace a reportování platí to samé jako v případě ochrany na vstupní bráně. I zde antivirové programy pokrývají veškeré dostupné souborové servery, jako např. Novell, Microsoft, Unix/Linux.

Pro souborové servery postavené na platformě Windows NT/2000/.NET a Novell Netware existuje řešení s názvem McAfee VirusScan Professional, VirusScan pro Unix používá skenování na vyžádání.

Pracovní stanice

Jako poslední úroveň v antivirové ochraně se uvádí pracovní stanice, zde myšleno na platformě Microsoft Windows. Antivirový program nabízí kontrolu jak v reálném čase, tak i na vyžádání. Kvalitní antivirové programy dále nabízejí možnost skenování pošty v Microsoft Outlooku, integraci s personálním firewallem nebo ochranu před škodlivými kódy na webových stránkách. Další vlastností je automatické stahování datových řetězců, které mají velikost okolo 100 kB, nebo „schování“ uživatelského rozhraní tak, aby uživatel nemohl nic měnit. Takovým produktem pro domácí uživatele je VirusScan, pro nasazení do firemních sítí lze použít oddělené produkty VirusScan Professional a Desktop Firewall. Výhodou je mimo jiné i malá velikost instalačního balíčku (10 MB) a minimální hardwarové nároky (Pentium II a 64 MB RAM).

Centrální správa

Aby byl náš výčet kompletní, musím zmínit centrální správu, která celý systém zastřešuje. Výhody centrální správy jsou zřejmé. Máte dohled nad celou sítí a veškeré operace můžete provádět z jednoho místa. Centrální správa nabízí instalace a odinstalace antivirových produktů na dálku, automatickou distribuci datových řetězců do celé sítě. Neustále vidíte v jakém stavu je vaše antivirová ochrana, kde se mohou vyskytnout případná rizika. Moderní centrální správa využívá pro komunikaci s administrátorem a koncovými zařízeními HTTP protokol. Profesionální řešení nabízí centrální správa McAfee ePolicy Orchestrator ve verzi 3.0.

Na závěr

Rád bych zdůraznil, že k ochraně před škodlivými kódy patří nejen dobře postavená a udržovaná antivirová ochrana, ale i důsledné záplatování operačních systémů a aplikací, stejně jako vzdělávání uživatelů a správců. Nesmíme zapomenout ani na pravidelné zálohování důležitých dat.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).