Zastavte šíření malwaru v podnikové síti (2.)

24. 7. 2009

Sdílet

Antivirová či antimalwarová ochrana pracovních stanic a serverů ve firemní síti má více aspektů než pouze zabezpečení jednotlivých počítačů. V našem dvoudílném článku vás seznámíme s obecnými vlastnostmi i konkrétními řešeními v této oblasti.

Pokračování článku Zastavte šíření malwaru v podnikové síti (1.).

Základními stavebními kameny obranné hradby jsou pochopitelně kvalitní nástroje pro zamezení průniku a šíření škodlivého kódu, nicméně klíčovou roli hraje zejména efektivní centralizovaná správa antivirových nástrojů napříč všemi systémy v síti, neboť ta je dnes kriticky důležitým předpokladem dobré obranyschopnosti a pohotové reakce na hrozby v každé organizaci.

AVG Anti-Virus Network Edition
Také další z testovaných produktů má české kořeny. Od společnosti AVG jsme pro tento test zvolili konkrétně sadu AVG Anti-Virus Network Edition, která zahrnuje licence pro ochranu pracovních stanic i souborových serverů a centrální správní konzoli. V rámci nástrojů pro zabezpečení zahrnuje antivirus, antispyware, antirootkit a pro pracovní stanice dále webový štít pro zabezpečení webového provozu (v podstatě skener HTTP) a osobní firewall. Výrobce kromě toho nabízí také verzi AVG Internet Security Network Edition, která navíc obsahuje antispam, a obě alternativy jsou pak dostupné ve verzi pro Microsoft Small Business Server.

Testovaný balík nese v současnosti číselné označení 8.0, což odpovídá poslední verzi antiviru, kterou dosud AVG nabídlo. Jeho základní vlastností je důraz na jednoduchost a snadné použití, což z něj činí dobrou volbu zejména pro menší firmy. Architektura systému je podobná ostatním sadám – tvoří ji tzv. AVG Datacenter sestávající z Admin Serveru a databáze, Admin Konzole a stanic v síti. Aktualizace administračního serveru/aktualizační proxy jsou stahovány ze serveru AVG.

Vzdálené instalace lze provádět v základním – což ocení dobré zejména pro méně zkušené správce – či pokročilém režimu. Je možné ji nasměrovat na všechny nebo jen vybrané počítače v doméně, určitý rozsah IP adres, na seznam počítačů importovaných ze souboru, jednotlivé stanice či s využitím integrace s Active Directory. Nejdříve je přitom nezbytné instalovat agenty a teprve poté samotné klientské programy, pokročilé rozhraní dovoluje volit podrobnější možnosti instalace – například instalované komponenty a další parametry, jako jsou automatické ukončení aplikací bránících v instalaci, volba tiché instalace, možnost restartu a dotázání se na něj apod.

Administrační konzole je, nutno říci, velmi přehledná a logicky uspořádaná, takže poskytuje snadnou orientaci při sledování stavu počítačů v síti, událostí či výsledků testů. K tomu poskytuje také adekvátní možnosti filtrování zobrazovaných údajů, aby správce rychle získal ty informace, které právě potřebuje. Je také možné velmi pružně konfigurovat nastavení politik a skupin počítačů a testovacích či jiných úlohy. Admin Server dovoluje definovat a vytvářet přehledné grafické reporty, a ty ukládat do PDF, HTML i XLS a případě je rozesílat e-mailem.

Antivirus kromě ochrany před všemi typy škodlivých kódů nabízí také LinkScanner, tj. nástroj pro vyhodnocování bezpečnosti webových stránek, a komponentu Systémové nástroje. Pokud je instalován na server, pak nelze použít antispam a firewall. Aktualizace z centrální proxy jsou rychlé a příliš nezatěžují stanici, ani nezahlcují síť. Samozřejmostí je také šifrování komunikace mezi stanicemi a administračním serverem.

Admin Server můžete nasadit také v odlehčené verzi Lite, která poté slouží pouze pro základní účely – nabízí jenom průvodce nasazením serveru Lite fungujícího v roli aktualizační proxy, průvodce vzdálenou instalací klientských programů prostřednictvím skriptu a správce nastavení AVG pro manuální distribuci konfigurace. Tato varianta se uplatní nejspíše v malých sítích, kde nejsou žádné nároky na pokročilé možnosti, ale je žádoucí centralizovat alespoň základní úkony správy.

Celkový důraz na jednoduchost, díky níž je práce v prostředí konzole centrální správy maximálně snadná, je patrně nejsilnější stránkou tohoto systému. I přes to ale poskytuje AVG Anti-Virus Network Edition všechny možnosti, které většina malých a středních firem očekává, aby získala dobrou úroveň kontroly nad svým prostředím. Také licencování balíku je velice průhledné – zákazník nakupuje určitý počet licencí (pět a více) na jeden nebo dva roky pro celkový součet licencí potřebných pro pracovní stanice souborové servery.

Eset Nod32 Antivirus Business Edition
K dalším, na českém a slovenském trhu dobře zavedeným antivirovým nástrojům patří ty od společnosti Eset, jejíž bezpečnostní nástroje pokrývají ochranu pracovních stanic ve firemní síti, file serverů nebo poštovních i gateway serverů. Do našeho testu jsme zařadili produktový balík Eset Nod32 Antivirus Business Edition, který obsahuje antivirus i antispyware a kromě toho také konzoli Remote Administrator. Dodejme však, že výrobce má v nabídce také komplexní sadu s označením Smart Security Business Edition, která kromě uvedených prvků zahrnuje rovněž osobní firewall a antispam pro pracovní stanice.

Základem námi testované sady je antivirus Nod32, který obsahuje jak antivirové, tak antispywarové nástroje a ochranu proti rootkitům. Antivirus Esetu se může pochlubit nízkými nároky na systém, ale jako vždy je vhodné nastavit provádění plánovaných úloh na dobu „mimo špičku“. Základem je rezidentní ochrana pracující v reálném čase, jejíž činnost lze s ohledem na minimalizaci nároků na systém podle požadavků optimalizovat – například pak nekontroluje již zkontrolované soubory (nedošlo-li mezi tím k aktualizaci virové databáze). Pro nově vytvořené soubory je z těchto důvodů prováděna hlubší kontrola než pro ty existující, a to pomocí rozšířené heuristiky.

Dobré jsou také možnosti nastavení antiviru pro ochranu elektronické pošty včetně integrace s Outlookem a nechybí ani ochrana přístupu na web, resp. protokolu HTTP. U ní je možné definovat také seznam zakázaných adres, na něž uživatel nebude vpuštěn, a výjimek, u nichž kontrola antivirem nebude probíhat. Nastavení pro kontrolu počítače jsou dosti flexibilní a samozřejmostí je také ve třech stupních volitelná úroveň léčení dle požadavků tak, aby uživatel měl šanci vybrat si nejvhodnější akci, nebo aby naopak proběhla automaticky. Neznámé soubory lze ukládat do karantény a případněě také zaslat výrobci k analýze.

ICTS24

Podle požadavků je možné nastavit také možnosti aktualizace, a to jak pro virovou databázi, tak pro programové komponenty, a to a tím, že například pro mobilní uživatele lze definovat více profilů aktualizace. Aktualizační úlohy lze nastavit tak, že k ní dojde při přihlášení uživatele, pravidelně podle naplánování nebo přes modemové spojení.

Ve formě tzv. protokolů získá uživatel přehledné informace o veškerých událostech, proběhnuvších kontrolách či infiltracích s možností nastavení, které události mají být v protokolu zaznamenány (jen kritické, nebo veškeré chyby, varování atd.).

Architektura systému vzdálené správy, Eset Remote Administrator (ERA), sestává ze serverové části, ERA Serveru, který sbírá informace ze spravovaných klientů a provádění požadavků na nich, a klientské administrační konzole, ERA Console (ERAC), z jejíhož prostředí správce definuje úlohy a provádí nezbytné akce. Jako databáze je standardně použita MS Jet Database, ale aktuálně dostupná třetí verze ERA podporuje také MS SQL Server, MySQL a Oracle. Navíc dovoluje synchronizaci a Active Directory, což umožňuje „import“ struktury základních skupin uživatelů/pracovních stanic a následnou aplikaci hierarchické struktury politik. Na druhou stranu je k dispozici flexibilní editor skupin, dovolující manuální či hromadné přidávání stanic v síti do vytvořených skupin.

Pokud jde o distribuci antivirových programů na klientských počítačích, pak pomineme-li manuální instalaci přímo na PC, umožňuje ERA opět několik způsobů instalace. Za základní lze považovat push instalaci, ale nechybí ani podpora metody využívající log-on skript a nasazení prostřednictvím e-mailu. Forma push vyžaduje v podstatě pouze výběr pracovních stanic (předpokládá, že jsou zapnuty), příslušného (předtím vytvořeného) instalačního balíčku a zadání jména a hesla účtu pro přístup na stanici. Log-on skript se automaticky spouští při příštím přihlášení uživatele a distribuce prostřednictvím e-mailu pak vyžaduje drobnou interakci uživatele – stačí však pouhé spuštění instalačního souboru v příloze e-mailu. V prostředí Active Directory však může správce provést distribuci instalačních MSI souborů prostřednictvím Group Policy.

Velmi flexibilní je správa politik, které lze vytvářet hierarchicky a využívat dědění z rodičovských politik směrem dolů, a to i s možností vynucení v politikách na všech nižších úrovních. Můžete pracovat s fragmenty konfigurace a předdefinovanými politikami a přidělovat je automaticky či na vyžádání. V rámci správy lze využít různé typy úloh – konfigurační, aktualizační nebo kontrolní (na vyžádání).

Konzole ERA představuje vzhledem k pružnosti možností relativně komplexní prostředí, ale její členění je logické a dovoluje poměrně efektivní práci. K dispozici jsou také možnosti pro její přizpůsobení a volby režimu pro administraci či pouze pro čtení a pružné nástroje pro filtraci, užitečné pro správce, kteří se starají o větší počet klientů. Zcela dostatečné jsou i nástroje pro notifikaci a reporting (dovolující generovat HTML výstupy v podobě grafů i tabulek).

Serverové edice antiviru jsou dostupné pro Windows, Linux/BSD/Solaris a Novell Netware.
Licenční politika přitom zvýhodňuje ochranu pro souborové servery s Windows, kdy uživatelé bezpečnostních produktů pro ochranu pracovních stanic ve verzi Business Edition mohou licence pro tyto servery získat za cenu licence pro další pracovní stanici.

Kaspersky Business Space Security
Portfolio firemních produktů společnosti Kaspersky zahrnuje celou řadu různých bezpečnostních prvků, jež jsou dostupné samostatně, nebo také ve čtyřech základních balících se společným označením Open Space Security, s nimiž lze vytvořit vícevrstvé komplexní řešení s požadovanou úrovní ochrany. S verzí Work Space Security si vystačí firmy, které chtějí pod centrální správu zastřešit ochranu pracovních stanic a smartphonů, zatímco po Business Space Security sáhnou ty, které potřebují zabezpečit také souborové servery. Pokud chcete zabezpečení rozšířit i na úroveň poštovního serveru a internetové brány, můžete zvolit edice Enterprise či Total Space Security. Pro ochranu pracovních stanic jsou k dispozici antiviry s podporou centrální správy ve verzi Windows a Linux, zatímco v případě file serverů jsou dále podporovány i platformy Novell Netware či Samba Server atd.

Pro testování jsme zvolili verzi Business Space Security, jejíž komponenty – Anti-Virus for Windows Workstations či Windows Server a Administration Kit – jsou momentálně k dispozici ve verzi 6.0. Antivirus je vybaven celou řadou funkcí navíc a zabezpečuje pracovní stanice proti všem běžným hrozbám, jako jsou viry a spyware, ale také útoky hackerů a nevyžádaná pošta – obsahuje totiž už v základu také osobní firewall (se základním IDS/IPS) a antispam založený na bayesovském algoritmu a ochranu proti phishingu. Takto automaticky nabízí i nástroje, jež u jiných výrobců (stejně jako u domácích produktů Kaspersky) odlišují základní „antiviry“ od o něco dražších komplexních balíků typu „internet security“, jaké nabízejí v síťových edicích Eset či AVG. Pokud nevyžadujete kupříkladu antispam, můžete jej deaktivovat, nicméně přítomnost firewallu a IDS/IPS bude ve většině případů určitě vítána.

Antivirus kontroluje veškeré soubory a procesy, stejně jako e-mail, internetový (HTTP) provoz i veškerou další síťovou komunikaci v reálném čase a firewall nabízí přes 250 předdefinovaných pravidel pro běžné aplikace. K dispozici je také možnost blokování pop-up oken. Antispam lze vyladit v módu učení a jeho chování upřesnit pomocí black- a whitelistu, dokáže přitom odhalit také nevyžádané zprávy v obrazových datech. I v tomto případě můžete počítat s možností optimalizace výkonu antiviru pro snížení zátěže systému i s rychlými inkrementálními aktualizacemi. Samozřejmostí je také schopnost sebeobrany, která zaručuje, že běh programu nebude narušen neautorizovaným zásahem či škodlivým kódem.

Pro centrální správu slouží tzv. Administration Kit, pružný a všestranný nástroj sestávající ze tří komponent – z administračního serveru, konzole a agentů. Agent je nainstalován spolu s antivirem na klientské stanici, kde sleduje jeho činnost a zajišťuje komunikaci mezi serverem a aplikací Kaspersky v síti, tzn. notifikaci z antiviru na server či inicializaci úloh spuštěných z administrační konzole správcem. Pro všechny Windows verze produktů existuje jeden společný agent, ale pro platformy Novell a Unix jsou k dispozici samostatné verze. Při instalaci si můžete jako databázi zvolit MSDE, nebo alternativně SQL Server či MySQL a celý proces je velmi jednoduchý.

Při počáteční konfiguraci je k dispozici průvodce rychlým startem, který provede vyhledání počítačů v síti a pomůže správci při vytvoření uživatelských skupin (manuálně nebo automaticky podle struktury firemní sítě), při specifikaci způsobů notifikace ze strany aplikací na stanicích, při vytvoření základních politik a aktualizačních pravidel pro server i klienty nebo úloh pro on-demand skenování s defaultním nastavením.

Pro vzdálenou instalaci softwaru na stanice jsou k dispozici běžné možnosti, nicméně v porovnání s jinými produkty se jeho vzdálená distribuce nejeví tak intuitivní. Nejprve musíte nainstalovat zmíněné agenty, což lze učinit automaticky pro všechny nalezené počítače, a teprve pak samotný antivirus. Naproti tomu rozhraní klientských aplikací je navrženo velmi přehledně a práce s ním je velice snadná.

Samozřejmostí jsou široké možnosti nastavení politik včetně dědičnosti a specifikace politik pro mobilní uživatele. Administrátor pak definuje globální úlohu pro aktualizaci centrálního zdroje na serveru (typicky pro všechny instalované aplikace výrobce) a agenti pak stahují příslušné updaty pro antiviry z centrální lokality. Pokud nadefinujete politiky pro přenosné počítače, budou automaticky aktivovány po jejich odpojení ze sítě. Solidní je i úroveň reportingu s možností tvorby zákaznických reportů v HTML nebo pro tisk.

Práce s administrační konzolí je i díky tomu, že jde v podstatě o plugin pro Microsoft Management Console, relativně přehledná, nicméně práce s ní je složitější a některé úkony přinutí správce trochu více přemýšlet, a to i přesto, že je patrná snaha výrobce zjednodušit IT oddělení život množstvím průvodců. Na druhé straně jde o flexibilní správní prostředí připravené na správu bezpečnostních prvků nasazených napříč širokou škálou platforem a vrstev podnikové sítě, tudíž správcům rozsáhlejších sítí nabídne jednotný prostředek, s nímž si udrží přehled nad celou firmou.