Ochrana počítačových sieti
Ochrana počítačových sieti
Bez počítačovej siete by bola činnosť niektorých dnešných spoločností silno ohrozená.
So šírením sa sietí rastie aj potreba účinnej antivírusovej ochrany. Antivírusovú ochranou v tomto prípade nie je len antivírus samotný, ale napríklad aj správne formulovanú firemnú bezpečnostnú politiku, vykonávacie smernice a zodpovedného a skúseného administrátora s náležite poučenými užívateľmi. Počítačová sieť umožňuje rozšíriť ako možnosti vírusov, tak aj antivírusových systémov.
Z pohľadu ochrany sietí môžeme antivírusový softvér rozdeliť na:
• antivírusovú ochranu staníc,
• antivírusovú ochranu súborových serverov,
• antivírusovú ochranu na vstupných bránach do Internetu.
Všetky tieto riešenia ponúkajú niektoré spoločnosti v jednom balíku. Sieťové verzie antivírusových systémov sú zvyčajne licencované podľa množstva staníc.
Je zrejmé, že cena takýchto výrobkov nie je najnižšiu a preto sú v niektorých prípadoch nakupované postupne. V tomto prípade je vhodné, aby bol nakupovaný v poradí od najnižších vrstiev (stanica) až po špecifické servery.
Aktualizácia
Niekoľko rokov dozadu keď ešte internet nebol taký rozšírený a prvé vírusy sa šírili len veľmi pomaly. Antivírusové spoločnosti mali dostatok času na to aby mohli vyrobiť antivírus na požadovaný vírus.
Dnešné vírusy, červy a ostatné hrozby sú vďaka Internetu tak rýchle, že antivírus
nemôže klasickou metódou detekcie včas zareagovať a
vždycky tu vznikne niekoľko minútová až hodinová medzera medzi objavením novej
infekcie a momentom, kedy je táto nová hrozba detekovaná antivírusovým systémom. Ďalšie
vec súvisí s tým, že nie každá nová hrozba môže spôsobiť globálny problém ako napríklad
niektoré vírusy, ktoré sa šíria elektronickou poštou. Špeciálne rôzne infiltrácie spadajúce alebo sa blížiace ku kategórií "trójsky kôň" (tieto programy sa nedokážu sami o sebe šíriť) môže predstavovať len miniatúrne problémy niekoľkých užívateľov rozsiatych po svete. Môže trvať dlhý čas (v lepšom prípade niekoľko mesiacov), pokým zistíme že náš PC nie je v poriadku a dodáme antivírusovej spoločnosti podozrivé súbory na zabezpečenie detekcia do budúcnosti. V horšom prípade niektorý nespoznajú, že s ich PC je niečo v neporiadku (trójsky kôň môže napríklad slúžiť len ako "brána" na odosielanie spamu a priamo užívateľa nijako trápiť nemusí). Toto vysvetľuje aj prípady, kedy užívateľ používal roky antivírus A, neskôr na chvíľu vyskúšal antivírus B a tento aj cez prítomnosť antivírusu A našiel veľa hávede. Nie je to v drvivom množstve prípadov rozhodne spôsobené tým, že by antivírusová spoločnosť produkujúce antivírus A nemala záujem os svojich zákazníkov a, ale nezodpovedným prístupom užívateľa k počítača . Otázkou je aj to, čo vlastne antivírus B zachytil. Antivírus nemusí nutne zachytávať len bezprostrednú hrozbu ako takú, ale aj rôzne vtipy a podobne, ale aj kategórie, ktoré nemusia byť antivírusom A vôbec detekované Antivírusové spoločnosti sa snažia zaistiť čo možno najkvalitnejšie detekciu v čase medzi objavením novej hrozby a vydaním patričnej aktualizácie pre antivírusový systém - teda v čase, keď nie je nová infiltrácia klasickým antivírusovým "skenerom" detekovaná (ďalej "Diera"). Je omylom, že antivírusová spoločnosť vydávajúca aktualizácie niekoľkokrát za deň (Treba i každú hodinu) musí poskytnúť vyššiu úroveň zabezpečenia ako spoločnosť, ktorá ich produkuje niekoľko za týždeň. Ak sa objaví globálny problém, dokážu obe spoločnosti zareagovať rovnako rýchlo a patričná aktualizácia "ide von" v podobnom čase. Skôr je dôležité, ako často sa o prevzatie aktualizácie pokúša antivírus na strane užívateľa. Všeobecne platí, že čím častejšie, tým lepšie.
Možno povedať že pre efektivitu aktualizácií je treba zaistiť rýchlu reakciu antivírusovej spoločnosti a správne nastavenie časti ktoré sťahujú aktualizácie na strane používateľa.
Antivírusové skenery
Antivírusové skenery sú najstaršie súčasťou každého antivírusu.
Umožňujú vykonávať proces skenovania , počas ktorého sú vyhľadávané
počítačové vírusy. Skener vyhľadáva vírusy na základe informácií z vírusovej databázy. Ak vírusová databáza informácie o danom vírusu neobsahuje, "Obyčajný" skener ho nedokáže detekovať. Preto postupom času vznikli metódy detekcie, ktoré dokážu odhaliť aj doteraz neznáme vírusy a tohto nedostatku sa tak čiastočne zbaviť. Skenery možno rozdeliť na dve hlavné skupiny: On-demand a On-access
On-demand skener je taký, ktorý vyhľadáva vírusy (skenuje) až po vydaní
požiadavky používateľa. Požiadavka je často vydávaný manuálne,
zvyčajne vybraním požadovanej oblasti pre test. On-demand skenery sa hojne využívali v čase operačného systému MSDOS, dnes prídu vhod v momente, kedy počítač nie je schopný „rozumnej“ prevádzky. Tip skenerov on-demand dokáže skenovať aj interne pakované binárne súbory a archívy vytvorené radom známych archivačných produktov (WinRAR,
WinACE, WinZip atď). Prevádzka on-demand skenera je tak zjavne pre bežného užívateľa až príliš komplikovaná, preto sú dnes všetky antivírusové systémy vybavené on-access
skenerom. On-access skener úplne automaticky a neustále vyhľadáva vírusy v dátach
s ktorými prichádza používateľ do styku.
Vírusová databáza
Vírusová databáza obsahuje informácie, na základe ktorých dokáže antivírusový skener vyhľadávať známe vírusy. Vírusová databáza je obvykle označená dátumom vydania. Antivírusový skener dokáže na základe informácií z vírusovej databázy detekovať väčšinu známych vírusov, ktoré vznikli pred dátumom vydania vírusovej databázy. Pravidelnou aktualizáciou možno zabezpečiť, že rozdiel medzi súčasným dátumom a dátumom vydania bude čo najmenší a budú tak detekované aj najnovšie prírastky medzi vírusmi.
Zabezpečenie vstupnej brány (gateway)
V tomto prípade ide o relatívne mladú skupinu antivírusového softvéru. Zatiaľ čo predtým spoľahlivo k šíreniu vírusov slúžila ako prostriedok disketa, dnes to sú tri významné aplikačné protokoly: HTTP (HyperText Transfer Protocol), FTP (File Transfer Protocol), SMTP (Simple Mail Transfer Protocol).
Cez všetky spomínané protokoly môžu prenikať všetky typy infiltráciám,
počnúc súborovými vírusy, končiac nebezpečnými ActiveX applety. Najvýznamnejší podiel na celkovom množstve infekcií nesie protokol SMTP, tvoriaci základ poštových serverov.
Úspešnosť infiltrácií šíriacich sa prostredníctvom elektronickej pošty a zároveň teda
využívajúci služby SMTP je viditeľná už na prvý pohľad. Na rozdiel od ostatných je
vírus alebo červ doručený priamo užívateľovi. Dôležitým poznatkom pri ochrane vstupných brán je, že tieto riešenia chráni počítačovú sieť proti útokom z vonku, ale už nechráni firemné dáta proti útoku zvnútra. Do takejto skupiny možno zaradiť antivírusové systémy pre ochranu firewallov a pre ochranu e- mailových serverov.
Firewall
Firewall je sieťové zariadenie a/alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Internet a Intranet) a kontrolovať tok dát medzi týmito sieťami.
Kontrola údajov prebieha na základe aplikovania pravidiel, ktoré určujú podmienky a akcie. Podmienky sa stanovujú pre údaje, ktoré možno získať z dátového toku (napr. zdrojová, cieľová adresu, zdrojový alebo cieľový port a rôzne iné). Úlohou firewallu je vyhodnotiť podmienky a ak je podmienka splnená, vykoná sa akcia. Dve základné akcie sú "povoliť dátový tok" a "zamietnuť dátový tok". Po vykonaní takejto akcie firewall prestane paket spracovávať. Existujú však aj iné akcie, ktoré neurčujú osud paketu a slúžia napr. na logovanie hlavičiek paketu, zmenu hlavičiek paketu a podobne.
Ďalšou vlastnosťou firewallu, ktorá sa často používa, i keď nejde o filtrovanie, je schopnosť prekladu adries (Network Address Translation - NAT). NAT umožňuje zmeniť zdrojové a cieľové adresy v paketoch, čím sa najčastejšie umožňuje komunikácia so sieťami s privátnymi adresami (napr. 10.0.0.0/8). Aj preklad adries prebieha pomocou pravidiel.
Protokol CVP
Ide o špeciálny protokol (Content Vectoring Protocol), ktorý slúži na presmerovanie
paketov na protokoloch HTTP, FTP a SMTP na iný server, kde dôjde k ich spracovaniu,
v našom prípade k otestovaniu antivírusovým programom a ich následnému vrátenie na
pôvodný firewall. Firewall na základe výsledkov antivírusovej kontroly tieto pakety pustí alebo nepustí do vnútornej siete. Je zrejmé, že pre úspešné nasadenie tohto riešenia je
potrený firewall s podporou CVP, a aj príslušný antivírus. Vzhľadom k tomu, že antivírusový program nie je priamo inštalovaný na firewall a že tam prechádza veľké
množstvo paketov, je nutné toto riešenie vybaviť rýchlym hardvérom a zároveň zabezpečiť medzi firewallom a AV systémom rýchlu (priamu) topológiou (tj bez prípadných prvkov).
V prípade veľkých organizácií je vhodné záťaž rozložiť tým, že každý server s AV
systémom sa bude venovať iba jednému z troch aplikačných protokolov (HTTP, FTP,
SMTP). Tým je zaistená vyššia priechodnosť linky.
Pri veľkých firmách (sieťach ) je výhodné keď sa jeden server venuje jednému protokolu. Tým že sa každému protokolu HTTP, FTP, SMTP bude venovať iný server tak sa zvýši aj priechodnosť linky.
Proxy server je špeciálny typ servera - prostredníka v komunikácii, ktorý sa umiestňuje medzi klienta a servery, s ktorými komunikuje. Proxy server sa tvári voči klientovi ako server a voči serveru ako klient.
Činnosť proxy servera možno opísať v niekoľkých bodoch:
- klient sa spojí s proxy serverom namiesto toho, aby kontaktoval vzdialený server
- proxy server prevezme požiadavku klienta, ktorá obsahuje adresu vzdialeného servera, s ktorým chce klient komunikovať
- proxy server sa stane klientom, spojí sa so vzdialeným serverom a odovzdá mu požiadavku od svojho klienta
- vzdialený server odpovie
- proxy server prevezme odpoveď od vzdialeného servera a doručí ju svojmu klientovi
Pakety prechádzajú skrz antivírusovú kontrolu rovno ku staniciam vnútri siete a nedochádza k ich návratu ako v predchádzajúcich prípadoch. Odtiaľ plynie aj jednoduchší spôsob konfigurácia tohto riešenia. Naopak za nevýhody možno považovať nemožnosť rozloženia záťaže na viac antivírusových skenerov zároveň aj vyššiu cenu.
Antivírusový proxy server je vložený medzi firewall a koncové stanice (môže ísť ale aj o rovnaký fyzický stroj). Prichádzajúce pakety z Internetu sú zložené do súborového tvaru,
skontrolované antivírusovým systémom, potom opäť rozložené a zaslané na príslušné cieľové
stanice v lokálnej sieti.
Z pohľadu antivírusových systémov ide o poštový server, pretože elektronická pošta je to hlavné, čo zaujíma vírusy a aj antivírusové systémy. Medzi najznámejšie groupware servery patria: Microsoft Exchange Server Lotus Notes & Domino Server Novell GroupWise
Vzhľadom k rozšírenosti Microsoft Exchange Serveru býva toto prostredie zo strany
antivírusových spoločností podporované ako prvé.
Hardvérový alebo softvérový?
Hardvérové produkty bodujú predovšetkým svojím výkonom a jednoduchosťou zapojenia, ako náhle však treba urobiť zmenu v typológii siete, obvykle je nutné vymeniť aj hardvérový firewall.
V prospech softvérového firewallu hovorí jednoduchá rozšíriteľnosť a prenositeľnosť na iný hardvér pri rozširovaní siete alebo požiadaviek používateľov. „Nezanedbateľným prínosom je aj vývoj a možnosť inštalácie novších verzií.
Ochrana súborových serverov spočíva v nasadení špeciálnej varianty on-access
skenera, ktorý beží priamo na súborovom serveri a ktorý sleduje sieťové aktivity
súvisiace s manipuláciou so súbormi (zápis, čítanie, kopírovanie atď). Ak je manipulované
s infikovanými súbormi, prípadne je infikovaný súbor ukladaný na server, potom antivírusový
systém túto činnosť zablokuje a vykoná definovanú udalosť. Tieto riešenia bývajú zvyčajne
licencovaná podľa počtu staníc, ktoré sa k serveru pripájajú.
Medzi najznámejšie systémy, umožňujúce vytvorenie súborového servera patrí:
· Microsoft Windows Server
· Novell NetWare
· Samba server (Linux)
Schopnosti antivírusových systémov v sieti
Centrálne spravovanie antivírusových systémov rozložených po sieti spoločnosti značne uľahčí správcovi prácu. Vďaka centrálnej správe má dokonalý prehľad nad antivírusovými systémami na jednotlivých staniciach i serveroch. Okrem toho, že môže monitorovať ich stav, môže ich aj na diaľku obsluhovať a vykonávať tak požadované skúšky, alebo manuálna aktualizáciu vírusovej bázy. Pre centrálnu správu môže zvyčajne poslúžiť ľubovoľný počítač v sieti, ktorý vybavený špeciálnym softvérom (konzola) daného výrobcu antivírusu, umožňuje prístup. I keď to nie je bezpodmienečne nutné (v závislosti na riešení), niekde v sieti sa nachádza antivírusový server umožňujúci komunikáciu medzi konzolou správcu a jednotlivými kópiami antivírusového systému v sieti.
Typickou možnosťou sieťových antivírusových riešení je zrkadlenie aktualizácií.
Programovej aktualizácie vrátane aktualizácie vírusovej databázy sú stiahnuté od výrobcu antivírusového systému z Internetu iba jedným počítačom a následne sú ponúknuté ostatným
staniciam a serverom v lokálnej sieti. Prínosom tohto riešenia je významné zníženie záťaže
internetovej linky, pretože ostatné stanice a servery vykonávajú aktualizáciu v rámci lokálnej
siete.
Ďalšou súčasťou sú moduly, zaisťujúce informovanosť vybraných osôb
napríklad prostredníctvom e-mailov , či SMS. Aby nedošlo k zahlteniu
siete. Antivírus musí byť dimenzovaný tak, aby neinformoval o úplne každom infikovanom súbore, ktorý bol nájdený počas veľmi krátkeho časového obdobia.
Počas nasadzovanie antivírusového riešenia do veľkých spoločností nemusí byť v silách správca siete prejsť všetky stanice a príslušný antivírus nainštalovať. Preto je kopa
antivírusových riešení vybavená produktom, umožňujúcim vzdialenú inštaláciu antivírusu.