Skenery, jež ochraňují srdce sítě

Testovali jsme serverová řešení od tří výrobců McAfee (Network Associates), Sophos a Symantec. Zjistili jsme přitom zn...


Testovali jsme serverová řešení od tří výrobců McAfee (Network Associates),
Sophos a Symantec. Zjistili jsme přitom značné rozdíly ve způsobech, jakými
udržují srdce sítě bez virů. Všechny tři produkty ale dokázaly s přehledem
odhalit virové útoky (kombinovaná metoda spojující výhody seznamů virových
signatur a heuristické analýzy podezřelého kódu se stává standardem).
Serverová řešení se však vzájemně liší způsobem, jakým zajišťují antivirové
skenování na klientských počítačích sítě, jak klienty podporují a jak o
nalezených virech informují prostřednictvím správcovských konzolí a firemního
systému pro správu IT prostředí.
Řešení společnosti Sophos je ze všech testovaných nejvíce minimalistické. Jde o
přímočarý antivirový nástroj, který chrání server, aniž by se snažil stát se
integrální součástí sady nástrojů pro správu sítě.
McAfee i Symantec naproti tomu vyznávají filozofii komponent, kdy jsou skenovací
aplikace a správcovská konzole oddělenými produkty. Obě řešení zvládají
antivirovou ochranu na velkém počtu serverů a pracovních stanic. Avšak pouze ze
správcovské konzole řešení McAfee lze ovládat skenovací nástroje také od jiných
výrobců.

Průběh testů
Během testování byla všechna antivirová řešení instalována na testovací síti
sestavené ze dvou serverů Windows 2000 a šesti pracovních stanic pod Windows XP
Professional. Jako řídicí server byl použit Dell PowerEdge 2600, jako sekundární
server Compaq ProLiant ML 350. Všechny skenery jsme prověřili pomocí
antivirového testovacího souboru Eicar (www.eicar.com) vloženého do textu
zprávy, do spustitelné přílohy, do komprimované a dvakrát komprimované přílohy.
Infikované soubory byly různě roztroušeny jak na serveru, tak i po celé
testovací síti.
Žádný z testovaných produktů neselhal při plnění svého základního úkolu, kterým
je odhalování a zachycování virů. Firmy hledající antivirové řešení mohou
využívat různorodosti nabídky, pokud jde o různé metody správy antivirových
systémů. Mohou si vybrat řešení, které nejlépe zapadne do jejich filozofie
výstavby systému IT a jeho architektury. Z těchto důvodů jsme se rozhodli
neudělit v kategorii podnikových antivirových řešení redakční ocenění (produkty
dosáhly velmi podobného hodnocení).

McAfee VirusScan Enterprise 7.0
Antivirové řešení společnosti McAfee (Network Associates) sestává z přinejmenším
dvou částí. Jednou je e-Policy Orchestrator 3.0 (ePO) a druhou antivirové
aplikace.
Část ePO je správcovská konzole a administrátorské srdce celého systému. Slouží
pro ovládání skeneru McAfee VirusScan Enterprise všech ostatních antivirových
řešení z dílny McAfee. Jde pravděpodobně o nejambicióznější správcovskou konzoli
ze všech testovaných a také o nejnáročnější, pokud jde o požadavky na
hostitelský server.
Na hostitelském serveru musí být kromě standardních síťových komponent Windows
NT typu DHCP či DNS (a to i v případě, že hostitelský server nemá za úkol
poskytovat tyto služby klientům v síti) instalován databázový stroj SQL Server.
Databáze v sobě uchovává informace o klientech a výstrahách, které může
generovat kterýkoliv z antivirových produktů firem McAfee nebo Symantec
podporovaných a dohlížených z prostředí ePO.
Konfigurace softwaru ePO je složitá. Nabízené služby jsou totiž rozsáhlé a
zabývají se podporou nejen antivirových řešení, ale také klientského softwaru
firewallu a gatewaye. Během testování dokázal McAfee Virus Scanner bezpečně
odhalit výskyt virů, napadený soubor umístit do karantény a prostřednictvím
konzole ePO poslat výstrahu správci sítě.
S cílem dále zdokonalit antivirovou ochranu nabízí ePO také aktualizace virových
signatur a zvýšenou ochranu sítě pro případ vypuknutí virové epidemie.
Díky podpoře 250 000 klientů a vícejazyčnému uživatelskému rozhraní je kombinace
řešení McAfee, ePO a několika různých skenovacích nástrojů dobrou volbou pro
mimořádně rozsáhlé mezinárodní sítě.
Řešení ePO nabízí víc než pouhou antivirovou ochranu. Jde o ucelené řešení,
které poskytuje mechanismus pro řízení bezpečnostní politiky zahrnující také
antivirový systém.

Sophos Anti-Virus/Enterprise Manager
Společnost Sophos Anti-virus na svém produktu předvádí, co znamená snadnost
obsluhy. Ve srovnání s ostatními testovanými produkty nabízí u svého řešení
Anti-Virus velmi jednoduché uživatelské rozhraní.
Sophos vyhledává viry kombinací virových signatur a heuristické analýzy a
zaměřuje se na skenování souborů na discích serveru. K dispozici je také
zvláštní softwarová utilita, která slouží k prohlížení příloh elektronických
zpráv.
Konfigurace systému do základní pracovní podoby byla jednoduchá a rychlá. Sophos
Anti-Virus nabízí ze všech testovaných produktů nejrychlejší instalaci, a to jak
na pracovní stanici, tak i na síťový server.
Základní skenovací nástroj produktu Anti-Virus bez potíží rozpoznal testovací
virové signatury. Sophos Enterprise Manager najde využití zejména tam, kde půjde
o správu několika serverů nebo jednoho serveru a několika klientů. Hlavní motto
tohoto řešení zní: Přímočarý design a obsluha s důrazem na implementaci a
aktualizace klientského skenovacího softwaru.
Software společnosti Sophos je vhodný pro dvě velmi odlišné skupiny uživatelů.
První je velká organizace s již dobře zaběhnutou správou sítě, která hledá
přímočaré antivirové řešení. U tohoto softwaru lze totiž předpokládat, že se
nedostane do konfliktu s jiným bezpečnostním nebo správcovským softwarem.
Ovšem ve svůj prospěch může využít řešení Sophos Enterprise Manager také firma
hledající antivirový produkt, který lze snadno instalovat a jehož implementace
nevyžaduje hluboké znalosti počítačových sítí. V takovém případě je řešení od
Sophosu zárukou jednoduché a důkladné protivirové ochrany.

Symantec AntiVirus Corporate Edition 8.0
Společnost Symantec nabízí celofiremní antivirové řešení poskládané z
jednotlivých komponent. Podobně jako u dvou předešlých případů, řešení od McAfee
a Sophosu, také zde je správa systému oddělena od aktivních skenovacích
nástrojů. Pro jednotlivé aplikace jsou k dispozici rozšiřující (snap-in)
komponenty s antivirovými skenery.
Architektura postavená na jednotlivých komponentách je patrná při instalaci
produktu. Nejdříve musí být instalován antivirový server. Na něm je třeba z
uživatelského rozhraní serveru nastavit bezpečnostní skupiny a poté vytvořit
jednotlivé klienty.
Správa jednotlivých serverů a pracovních stanic je realizována z rozhraní
Symantec Event Manager, které pro svou činnost využívá služeb Windows NT
Management Console. Díky jednotnému rozhraní se správci, kteří již mají
zkušenost se správou prostředí Windows NT, naučí s řešením rychle pracovat.
Mezi parametry, které lze ze správcovské konzole nastavovat, patří chování
snap-in komponent pro skenování e-mailového provozu přes rozhraní MAPI
(Messaging API) a pošty v Lotus Notes. Dále lze z centrální konzole nastavit
možnosti aktualizací (s využitím technologie LiveUpdate firmy Symantec) systému,
výstrahy pro pracovní skupiny, jednotlivé servery a pracovní stanice.
Softwarový balík od Symantecu je poskládán tak, aby zvládl stovky serverů a
stovky tisíc pracovních stanic. Podle filozofie společnosti má totiž být
antivirová ochrana instalována na každém počítači provozovaném v rámci
organizace. Pro firmu, která je velmi velká a má již implementovány nástroje pro
síťový dohled a dohled nad firewally, je toto řešení vhodné pro dokrytí
bezpečnostních děr antivirovým skenováním.
Testováním jednotlivých skenovacích nástrojů jsme dospěli k závěru, že všechny
jsou schopny zajistit vyšší bezpečnost a všechny se mohou stát plnohodnotnými
součástmi uceleného celofiremního antivirového řešení.

Ochraňujte e-maily
Dan Morton
Firewally sice představují kvalitní první síťovou obrannou linii, nicméně se
však obvykle nezabývají prohlížením jednotlivých spojení a jejich kontrolou na
přítomnost podezřelých programových kódů. S ohledem na tuto skutečnost je z
hlediska firmy skenování e-mailů na vstupu do lokální sítě nutností. Testujeme
pět antivirových řešení pro elektronickou poštu.
Firmy se ve snaze zajistit své e-mailové antivirové potřeby tradičně zaměřují na
serverová řešení. Takováto řešení bývají integrována se stávajícími poštovními
servery a obsah elektronické zprávy prověřují v okamžiku, kdy zpráva prochází
přes server. Dnes jsou k dispozici také e-mailové skenery, které fungují jako
samostatné brány (gateway). Díky tomu poskytují uživatelům možnost zachytit
příchozí virus ještě dříve, než dorazí na hranice poštovního serveru. V tomto
testu jsme porovnávali oba typy antivirových skenerů.
Přestože řešení v podobě brány vyžadují instalaci nového hardwaru, lze je
snadněji konfigurovat a nespoutají svými omezeními stávající poštovní server.
Řešení instalovaná na server obvykle kromě příchozích a odchozích zpráv skenují
také poštovní schránky. Díky tomu přidávají další obrannou linii. Produkty se
schopností prohlížet poštovní schránky dokáží odhalit i viry, které proklouznou
přes poštovní server ještě předtím, než dojde k aktualizaci signatur.

Pětice pod drobnohledem
Prověřovali jsme produkty od firem GFI Software, Network Associates, Sophos,
Symantec a Trend Micro. K testování jsme využívali virus, který vyvinula
organizace European Institute for Computer Anti-Virus Research (Eicar) a který
simuluje virové programové sekvence ukryté ve vlastních elektronických zprávách,

v nezkomprimovaných přílohách a ve zkomprimovaných přílohách. Testovací virus
vyvinutý společností Eicar je neškodný. Nepředstavuje tedy žádné riziko pro
případ, že by se mu podařilo uniknout z naší testovací sítě. Dokáže však
kvalitně prověřit schopnost jednotlivých řešení zachytit virus.
Všechny testované produkty používají pro detekci virů databázi signatur.
Skenovací nástroj porovnává zprávu elektronické pošty s databází, která v
podstatě obsahuje seznam známých virů a jejich "otisků" (footprint). Poté, co je
virus odhalen, zahájí program proceduru na jeho odstranění. Nejdříve se pokusí
odstranit virus ze souboru. Jestliže tento pokus selže, program uvalí na soubor
karanténu, nebo pokud k tomu vydá správce souhlas, soubor smaže. Poté pošle
správci systému a adresátovi zprávy informaci o tom, co se přihodilo.
Všechny testované produkty jsou založeny na vyzrálých antivirových skenovacích
nástrojích. Proto nás nepřekvapilo, že všechny produkty dokázaly zachytit
všechny testovací viry. Přestože všech pět konkurenčních produktů si co do
zachycení virů vede srovnatelně, jeden z nich kvalitou ochrany vyčnívá nad
ostatní, a to díky několika skenovacím nástrojům. Implementace několika
skenovacích nástrojů samozřejmě zvyšuje šanci na detekci virů. Může se totiž
stát, že některý virus je sice uveden v databázi jednoho výrobce, v databázi
konkurenta však již chybí. Produkt GFI MailSecurity využívá k identifikaci virů
tři různé skenovací nástroje. Ostatní řešení spoléhají vždy jen na jeden.
Všechna řešení s instalací na server provádějí skenování poštovních schránek. A
téměř u všech řešení mohou správci systému nastavit pravidla, podle kterých je
software bude informovat o pokusech průniku virů.
Díky včasným výstrahám před virovým útokem zejména v situacích, kdy v krátkém
časovém intervalu dorazí na server vysoký počet infikovaných zpráv, mohou
správci systémů nastavit nová pravidla na firewallu nebo na serveru a
minimalizovat tak možné dopady napadení. Výstraha může obvykle nabývat podoby
e-mailu, SNMP trapu, numerické pagingové zprávy či záznamu Windows event logu.
Možnosti nastavení výstrah postrádá pouze produkt Sophos MailMonitor.

Jak si stojí?
Celkem vzato můžeme konstatovat, že jsme byli se všemi testovanými produkty
spokojeni. Rozdíly v hodnocení odrážejí speciální funkce, možnosti a celkovou
vyspělost jednotlivých produktů. MailMonitor firmy Sophos a ScanMail od Trend
Micro jsou solidní, avšak trochu spartánská serverová antivirová řešení pro
elektronickou poštu. Symantec AntiVirus a McAfee WebShield jsou vynikající
antivirové produkty v podobě gatewayí. Na první místo v testu vynesla řešení GFI
MailSecurity nabídka několika skenovacích nástrojů a jeho schopnost fungovat buď
jako serverové řešení, nebo v podobě gatewaye.
Je nepochybné, že jakékoliv doporučení je třeba hodnotit z pohledu stávajícího
firemního antivirového systému. Výhodou je jistě ucelené řešení od jediného
výrobce, neboť mnozí tvůrci softwaru nabízejí centralizovanou správu svých
antivirových řešení pro poštovní servery, souborové servery a klientské systémy.
Jestliže již používáte antivirové produkty od jednoho z výše zmíněných výrobců,
měli byste se rozhodně zamyslet nad tím, jak dobře zapadne do stávajícího
systému řešení od jiného výrobce.
Při hodnocení libovolného řešení je třeba se ptát, jak dobře lze integrovat do
již existujícího firemního systému. Jestliže má vaše firma poštovní server s
nadbytečnou kapacitou a vy byste se rádi vyhnuli nutnosti rekonfigurace sítě,
dává největší smysl implementace serverového řešení. Avšak jestliže provozujete
přetížený poštovní server a změny v konfiguraci sítě pro vás nepředstavují
problém, můžete využít výhod řešení v podobě gatewaye. Pro většinu firem však
otázka nestojí buď-anebo. Pro tyto případy je k dispozici GFI MailSecurity,
který si za své možnosti konfigurace buď jako serveru, nebo jako gatewaye
vysloužil vysoké hodnocení.
Nezapomínejte však, že přestože většina virů se do firemních sítí dostává cestou
elektronické pošty, nejsou e-maily v žádném případě jediným zdrojem nákazy.
Významnou hrozbu pro firemní bezpečnost stále představují internetoví červi
(worms) a tradiční viry skryté v souborech. To je důvod, proč každá firma
potřebuje ucelený antivirový systém, který pokrývá vše, internetem a
elektronickou poštou počínaje a souborovými servery a počítači koncových
uživatelů konče.

GFI MailSecurity for Exchange/SMTP
GFI MailSecurity je vynikající dvojúčelové řešení, které může být instalováno
buď jako e-mail gateway, nebo jako řešení pro poštovní server. Během testování
se produkt GFI MailSecurity snadno integroval do stávajícího systému Exchange a
výtečně zajišťoval bezpečnost.
Rozhraní pro správu softwaru MailSecurity dobře zapadá do architektury MMC
(Microsoft Management Console). Monitorovací nástroj běží nezávisle na
správcovské konzoli a je zdrojem důležitých informací o stavu MailSecurity.
Produkt MailSecurity využívá tři skenovací nástroje BitDefender, Norman Virus
Control a McAfee z nichž každý dokázal sám o sobě detekovat všechny naše
testovací viry. Díky možnosti zřizovat karanténu mohou správci systémů izolovat
nalezené viry a ty poté analyzovat. S využitím pravidel pro vyhlašování výstrah
lze nastavit, jakým způsobem budou napadení hlášena. MailSecurity dokonce nabízí
speciální nástroj, který dokáže v poště vyhledávat běžné zneužívající kódy,
jakými jsou například šířící se JavaScripty. Vysoká úroveň zabezpečení
poskytovaná softwarem MailSecurity nás velice potěšila.

Sophos MailMonitor for Exchange
V případě řešení MailMonitor od firmy Sophos jde o serverový skener, který je
úzce integrován se systémem Exchange. Díky tomu má správce z konzole MMC
kontrolu jak nad antivirovým řešením, tak poštovním serverem. Přestože
MailMonitor prokázal své vynikající schopnosti při zachytávání virů (ve svém
standardním nastavení odhalil všechny testovací viry), postrádá nástroj správu
přes webové rozhraní a několik skenovacích nástrojů.
Instalace produktu MailMonitor probíhá v několika krocích, přičemž v prvním
kroku je třeba instalovat Anti-Virus společnosti Sophos. Díky rozumným
přednastaveným parametrům jsme však zvládli instalaci rychle. MailMonitor od
uživatele dále vyžaduje, aby ručně zadal správcovský snap-in do seznamu MMC.
Tato procedura je dobře popsána v dodaném instalačním manuálu. Podle instrukcí
jsme na několik ťuknutí myší dokázali na serveru rozběhnout jak skenování
příchozích zpráv v reálném čase, tak i plánované skenování poštovních schránek.
MailMonitor nedělá s nalezenými viry více, než je nezbytně nutné. Když se
nezdaří "dezinfekce", umístí MailMonitor zprávu do karantény. Ve zprávě z
karantény jsou uvedeny důležité informace, jako např. čas, odesílatel, příjemce,
předmět, ID. Správce může zprávu "dezinfikovat", smazat nebo doručit. Zprávu lze
také poslat do Sophosu, kde ji mohou dále analyzovat.

McAfee WebShield SMTP
McAfee WebShield je řešení v podobě gatewaye, které lze snadno instalovat a
spravovat a které lze použít pro jakýkoliv SMTP poštovní server. Zjistili jsme,
že produkt poskytuje poměrně kvalitní zabezpečení. Kromě toho, že dokázal
zachytit všechny naše viry, nabízí další bezpečnostní možnosti, například
filtrování obsahu či správu virových epidemií.
Instalace produktu WebShield proběhla bez potíží. Před dokončením vám instalační
program položí několik otázek, například jaký je odhadovaný počet zpráv za den.
Na základě odpovědí dokáže program nastavit své parametry tak, aby vyhovovaly
vašim bezpečnostním potřebám. Nám se zamlouvalo zejména skenování stávajících

poštovních schránek instalačním programem.
Konfigurace programu je velmi rychlá. Ve většině případů jsme souhlasili s
přednastavenými hodnotami. WebShield používá správcovské rozhraní uzpůsobené pro
Windows. Přestože správcovské rozhraní není integrováno s konzolí MMC, je pěkné
na pohled a snadné na užívání. Kromě toho lze toto rozhraní používat pro správu
několika různých serverů v rámci sítě. Přestože nabízené rozhraní není ani tak
šikovné, ani tak bezpečné jako rozhraní webové, svůj úkol plní dobře.
WebShield dokázal ve svém standardním nastavení odhalit všechny testovací viry.
Při zachycení infikované zprávy dojde k zobrazení varovné hlášky s relevantními
informacemi. WebShield používá pouze jeden skenovací nástroj. Dále obsahuje
možnosti pro detekci virových epidemií, kde může správce definovat prahovou
hodnotu pro počet virů došlých za určitou dobu. Je-li tato hodnota překročena,
může správce vyslat hromadnou výstrahu.

Trend Micro ScanMail for Exchange
Navzdory diskutabilnímu základnímu nastavení, které zcela pomíjí skenování těla
elektronické zprávy, jsme testováním dospěli k názoru, že serverový ScanMail od
společnosti Trend Micro je kvalitní aplikace určená pro firmy s několika
poštovními servery. Instalace produktu proběhla hladce. S využitím
administrátorského sdílení ve Windows se ScanMail dokáže samostatně vzdáleně
nainstalovat na libovolný počet serverů. Instalační program si nejdříve rychle
prohlédne stávající systém elektronické pošty a ujistí se, že v něm nejsou
přítomny žádné viry.
ScanMail nabízí dvě různá správcovská rozhraní: Jedno pro Windows, druhé webové.
Z obou rozhraní lze z jediné správcovské konzole zajistit správu několika
poštovních serverů. Přestože rozhraní pro Windows je rychlejší, máme-li hodnotit
snadnost obsluhy, více se nám zamlouvalo rozhraní webové.
Bezpečnost, jakou řešení ScanMail zajišťuje, je srovnatelná s produkty
konkurence. ScanMail sice jako jediný z testovaných produktů nedokázal ve své
přednastavené konfiguraci odhalit všechny testovací viry, toto klopýtnutí však
jde na vrub nepříliš kvalitního nastavení "z výroby". Poté, co jsme aktivovali
skenování těla zpráv, produkt dokázal detekovat všechny testovací viry.
ScanMail nabízí rovněž možnost vyhlášení poplachu při výskytu virové epidemie.
Jakmile dojde během určitého časového intervalu k zachycení většího počtu virů,
systém vyšle svému správci výstrahu. Konfiguraci tohoto typu výstrah považujeme
za jednoduchou a kvalitně provedenou.

Symantec AntiVirus for SMTP Gateways
V podstatě lze říci, že Symantec AntiVirus je dobré řešení v podobě gatewaye. A
to i přesto, že vyžaduje zakoupení dalšího produktu z dílny Symantec, který
dokáže izolovat nalezené viry pro další analýzu. Symantec AntiVirus má tedy
omezené možnosti co do zacházení s infikovanými zprávami, které lze pouze buď
odvirovat, nebo smazat. Integrace s naším e-mailovým prostředím proběhla bez
potíží. Naopak instalace řešení Symantec AntiVirus proběhla s několika drobnými
nedostatky. Vzhledem k tomu, že jde o řešení v podobě gatewaye, je standardně
nastaveno používání SMTP portu. Instalace se nerozběhla, dokud jsme ručně
neprovedli deaktivaci Windows SMTP serveru. Když pomineme tento zádrhel, ostatní
předvolby se postaraly o hladký průběh instalace.
Pokud jde o správu systému, Symantec AntiVirus podporuje (bez užití jazyka Java)
jak 128bitové zabezpečené, tak i nezabezpečené webové rozhraní. Tato vlastnost
je podle našeho názoru užitečná zejména z pohledu externích správců systému,
neboť antivirový software lze spravovat z notebooku. Rozhraní pro správu je
dobře navržené, kvalitně zdokumentované a snadno použitelné.
Symantec AntiVirus dokázal zachytit všechny testovací viry bez nutnosti další
konfigurace. Produkt obsahuje také základní sadu nástrojů pro filtrování obsahu,
díky nimž nabízí možnosti obrany proti spamu. Pokud jde o obranu proti virovým
epidemiím, lze Symantec AntiVirus nastavit tak, aby při překročení zadaného
počtu virů za určitou dobu poslal správci systému zprávu.

Antiviry pro ochranu e-mailů
GFI MailSecurity for Exchange/SMTP
GFI MailSecurity je skvělé řešení, které může být (jako jediné z testovaných
produktů) instalováno buď jako jako e-mail gateway, nebo jako řešení pro
poštovní server. Během testování se produkt GFI MailSecurity snadno integroval
do stávajícího systému Exchange a výtečně zajišťoval bezpečnost, k čemuž mu
vydatně dopomohly tři integrované skenovací enginy.

Jak jsme testovali
Všechny testy aplikací pro skenování elektronické pošty probíhaly pod Windows
2000 Serverem a se systémem elektronické pošty Microsoft Exchange Server 2000.
Na obou serverech byly instalovány nejnovější service packy. Testování jsme
zahajovali instalací každého z produktů na server pod Windows, přičemž jsme
postupovali přesně podle instrukcí výrobce. Po instalaci jsme pak prošli všechny
obvyklé administrátorské kroky. Body jsme udělovali za jednoduchost, účinnost a
pružnost instalace, konfiguraci a za možnosti ovládání a správy. Vysokého
bodového hodnocení dosahovaly ty produkty, které se mohly pochlubit webovým
správcovským rozhraním nebo které nabídly centralizovanou správu několika
serverů.
Po zdárné instalaci a konfiguraci jsme na každém z produktů spustili sérii testů
na odhalování virů. Abychom zabránili nechtěnému šíření virové nákazy, používali
jsme k testování antivirový testovací soubor organizace Eicar (European
Institute for Computer Anti-Virus Research). Testovací "virus" Eicar je v
podstatě sekvence neškodných bajtů, které předstírají počítačový virus a které
by měly antivirové skenery zachytit. V testech jsme jej použili v textu
elektronické zprávy, v příloze e-mailu a ukrytého v komprimované příloze.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.