Trend Micro chrání dvakrát v jednom

Ochrana vaší sítě před viry a škodlivým softwarem má zpravidla dvě roviny: skenovat příchozí provoz s cílem nalé...


Ochrana vaší sítě před viry a škodlivým softwarem má zpravidla dvě roviny:
skenovat příchozí provoz s cílem nalézt skrytá virová překvapení a zabránit
uživatelům v přístupu k serverům, které se do systému snaží "protlačit"
podezřelé soubory. Spoustu serverů, které šíří problémové soubory, lze označit
jako "nesouvisející s pracovní náplní". A proto zabránit uživatelům dokonce i v
"nechtěném" přístupu na ně je více než smysluplné.
Společnost Trend Micro, která má v oblasti udržování čistoty sítí dlouhou
historii, nedávno začala dodávat svůj první kombinovaný systém proti virům a
spywaru. IWSA (InterScan Web Security Appliance) 2500 je 1U rackové hardwarové
zařízení založené na dvou procesorech Xeon, které kontroluje síťový provoz a
vyhledává viry v HTTP a FTP komunikaci. Umí rovněž kontrolovat tok Java a
ActiveX apletů a odvádí dobrou práci také při filtrování URL v zájmu zachování
bezpečí a produktivity uživatelů.
Administrátoři mohou IWSA instalovat buď "in-line" (v režimu mostu), jako proxy
zařízení, nebo ve spojení se serverem ICAP (Internet Content Adaptation
Protocol). IWSA může zpracovávat cca 600 současných připojení bez
pozorovatelného zpoždění a je škálovatelné tak, aby obsloužilo až 5 000
uživatelů při minimální latenci. Systém IWSA jsme testovali po dobu tří týdnů
při nasazení v produkčním provozu. Kromě testování běžné internetové komunikace
jsme záměrně surfovali i po webových stránkách známých tím, že šíří různé
trojské koně a spyware do počítačů nic netušících návštěvníků. IWSA takový
pokus o instalaci pokaždé detekovalo a zastavilo; žádný z našich testovacích
klientů nebyl ani jednou infikován.
Rodinná tradice
IWSA vychází z podnikového balíku InterScan Web Security Suite pro ochranu
proti virům a spywaru a stejně jako Security Suite při centrálním čištění
zařízení využívá systém DCS (Damage Cleanup Services) stejného výrobce. Pokud
se některé zařízení nakazí nějakou formou infekce, IWSA detekuje odchozí virový
provoz, uvalí na zařízení karanténu a předá jej DCS.
DCS, prodávané samostatně, skenuje a čistí členy domény bez toho, aby na nich
musel být instalován softwarový agent (PC, které není členem domény, IWSA
přesměruje na informace pro manuální vyčištění). DCS nevyžaduje vyhrazeného
hostitele, potřebuje však přístup k instalaci SQL. S DCS se dodává MSDE
(Microsoft SQL Server Desktop Engine), ale pro pracoviště s více než 1 000
uživateli je doporučena plnohodnotná verze MS SQL.
Podobně jako řešení Integrated Threat Management R8 od společnosti CA má IWSA
oddělené nastavení ochrany proti virům a proti spywaru. Pro každý typ
komunikace, tedy HTTP nebo FTP, mohou administrátoři definovat typy souborů,
které mají být kontrolovány, a to buď s použitím tradičních metod založených na
příponě souboru nebo pomocí identifikačního systému IntelliScan od Trend Micro.
IntelliScan prohlíží při průchodu zařízením hlavičku každého souboru a skenuje
pouze ty typy souborů, o nichž je známo, že by potenciálně mohly obsahovat
škodlivý kód. Díky IntelliScan a prověřování hlaviček namísto přípon má IWSA
větší šanci odhalit přejmenované nebo jinak maskované soubory.
IT pracovníci mohou rovněž blokovat různé typy souborů v HTTP a FTP provozu
jako skupinu, například Java aplety, obrázky, spustitelné soubory, dokumenty
Microsoft Office a audio/video soubory. V případě FTP mohou administrátoři
určit, zda mají být soubory skenovány, když vcházejí nebo odcházejí ze sítě, či
v obou případech.
Líbily se nám možnosti ovládání zpracování velkých a komprimovaných souborů.
Jak jsme zjistili při testování UTM firewallů, skenování velkých souborů může
být pro zařízení typu brána skutečným problémem. IWSA umožňuje nastavit horní
limit velikosti souborů, jež budou skenovány 2 GB (je-li soubor větší, projde
bez kontroly) a vybrat metodu skenování: před doručením, odložené nebo
skenování po doručení.
Odmítnutí nehrozí
Pro zlepšení prevence vůči útokům typu DoS (Denial of Service) na tomto gateway
zařízení mohou administrátoři nastavit limity pro skenování komprimovaných
souborů. Některé DoS útoky totiž využívají komprimované soubory s mnoha
úrovněmi komprese, aby vyčerpaly systémové zdroje brány, a tak ji odstavily
off-line. IT pracovníci mohou nicméně IWSA nastavit tak, aby blokovala
komprimované soubory, pokud počet úrovní nebo celková velikost souboru překročí
nastavené limity.
Možnosti nastavení IWSA pro obranu proti spywaru nejsou tak široké jako u
pravidel pro viry; lze pouze vybírat typy hrozeb, jejichž výskyt bude zkoumán,
a akce, které se mají provést při jejich detekování. Volby pro skenování
zahrnují dialery, nástroje pro hacking, šprýmařské programy, aplikace na
prolamování hesel, adware, spyware a nástroje pro vzdálený přístup.
Nechoďte tam
Jednou z užitečnějších funkcí IWSA je možnost filtrování URL. Ačkoliv se netěší
velké oblibě mezi uživateli, může blokování URL dramaticky redukovat míru, v
jaké jsou podnikové sítě vystaveny vůči působení virů a spywaru. Jednoduše
uživatele nepustí na stránky, jež nejsou důležité pro jejich práci. Seznam
kategorií je rozsáhlý a dovoluje nastavit různé politiky pro pracovní a
mimopracovní dobu, přičemž administrátor může vyloučit určité weby, stejně jako
vytvářet vlastní definice.
Během testování jsme zjistili, že mnoho webových stránek, které jsme použili
pro testování ochrany proti virům a spywaru, bylo nedostupných, neboť spadaly
právě do kategorie, na niž IWSA aplikuje URL filtrování. Administrátoři mohou
zařadit kteroukoliv kategorii webů do různých skupin (pravidel), například "po
pracovní době", aby mohli kontrolovat, které URL jsou již za hranicí
přijatelnosti.
Reportingový engine IWSA poskytuje množství informací užitečných pro audit
virových a spywarových aktivit. Administrátoři mohou dostat detailní informaci
o typu detekovaného škodlivého kódu, kteří uživatelé jím byli zasaženi a kdy,
či další údaje. Líbilo se nám, že si lze vytvořit report podle svých potřeb a
naplánovat automatické generování různých hlášení a jejich zaslání e-mailem. K
dispozici jsou rovněž standardní log soubory.
InterScan Web Security Appliance 2500 společnosti Trend Micro je solidní
nástroj pro ochranu uživatelů před viry a škodlivým softwarem přicházejícími z
internetu, avšak jeho cena je vysoká. Odsouvá IWSA mimo dosah malých až středně
velkých organizací, avšak velké podniky mohou úrovně ochrany a výkonu tohoto
zařízení skutečně využít. S uživatelským rozhraním se dobře pracuje a vytváření
politik je přímočaré. Reporting sice není tak flexibilní, jak bychom si přáli,
ale je dobře navržený a snadno použitelný, a filtrování URL je prvotřídní.
(wep) 6 1463Trend Micro InterScan Web Security Appliance 2500
kombinace bezpečnostních funkcí, výkon, filtrování URL
cena, reporting
Prodejce: Trend Micro, www.trendmicro.cz
Cena: 20 000 dolarů, Damage Cleanup Services 5 600 dolarů pro 1 000 uživatelů

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.