Обзор комплексных средств защиты корпоративного уровня
Сергей «grinder» Яремчук (grinder@ua.fm, )
Сегодня чтобы противостоять возникающим интернет-угрозам, на каждом клиентском компьютере должно быть установлено комплексное решение, совмещающее в себе антивирус с мощным эвристическим модулем, файервол, сканеры электронной почты и веб-трафика, а также средства проверки на наличие руткитов. Представленный обзор средств защиты корпоративного уровня поможет выбрать наиболее подходящий продукт.
Содержание:
- ESET NOD32 Smart Security Business Edition
- Symantec Endpoint Protection
- Kaspersky Total Space Security
- Sophos Endpoint Security and Control 8
- McAfee Total Protection Service Advanced
- F-Secure Protection Service for Business
- Заключение
- Боковые выносы
ESET NOD32 Smart Security Business Edition
Антивирус NOD32 хорошо известен обычному пользователю благодаря высокой скорости работы и простоте в использовании. Корпоративная версия NOD32 Smart Security Business Edition (SMBE) нацелена на защиту не только рабочих станций Windows 2000/XP/Vista, но и файловых серверов на платформах Windows, Novell Netware и Linux/*BSD/Solaris. Обеспечивается возможность удаленного управления всеми компонентами как из состава SMBE, так и десктопных версий антивирусов NOD32.
Обновление антивирусных баз осуществляется централизованно с внутреннего сервера, что позволяет сэкономить на трафике, не загружая внешний канал.
Полнофункциональная система, построенная на SMBE, включает четыре составляющие. Непосредственно за безопасность клиентских станций и серверов отвечает Smart Security. Его основным компонентом является хорошо зарекомендовавший себя антивирусный модуль, применяемый и на десктопных версиях NOD32, в котором использована технология ThreatSense. ThreatSense сочетает сигнатурный анализ со сложной и сбалансированной системой расширенного эвристического анализа кода (Advanced Heuristics), при котором используется связка двух методов — эмуляция и алгоритмический анализ пассивной эвристики, что в итоге обеспечивает высокий процент обнаружения неизвестных угроз при низком пороге ложных срабатываний. Кроме того, в состав Smart Security включен модуль персонального брандмауэра, который заменяет штатный файервол (WF) и взаимодействует с Центром безопасности Windows. Брандмауэр обеспечивает сканирование сетевых соединений на канальном уровне, умеет распознавать и блокировать многие типы сетевых атак, а также работать с адресами IPv6 и создавать для них правила. Кроме того, он способен контролировать изменения в исполняемых файлах, предотвращая их заражение. Проверка HTTP и POP3 трафика позволит улучшить защиту компьютера от многих типов вирусов, распространяемых таким способом. Модуль ThreatSense может интегрироваться в популярные почтовые клиенты (MS Outlook, Outlook Express, Windows Mail и др.) Реализовано три режима настройки правил фильтрации: автоматический, интерактивный и централизованный на основе политик. В последнем случае все не разрешенные администратором соединения будут заблокированы.
Немаловажно наличие функции защиты от спама. Сообщения сканируются на основе правил, байесовского анализа или по глобальной базе отпечатков. В соответствии с полученной оценкой подозрительные письма перемещаются в папку, созданную по умолчанию или указанную пользователем. Пользователь может самостоятельно квалифицировать сообщения.
Непосредственное взаимодействие и управление клиентскими системами осуществляет ESET Remote Access Server (ERA Server, ERAS). Именно он выдает все запросы на проверку, обновление, производит настройки и собирает информацию о текущем состоянии клиентов. В сети может функционировать любое количество ERAS (лицензия не определяет их количество) с возможностью репликации данных на центральный сервер, что позволяет упростить администрирование в сетях со сложной, разветвленной топологией. Кроме того, администратор может дополнительно развернуть любое количество серверов-зеркал обновлений. Чтобы клиент появился в консоли, следует разрешить удаленное администрирование, указав в одноименной вкладке соответствующие настройки. Для управления всей сетью SMBE используется графическая консоль ERA Console (ERAC) — это довольно простой в использовании и к тому же локализованный инструмент. С его помощью можно выполнять удаленную установку и удаление модулей Smart Security, настраивать параметры сканирования, создать зеркало обновлений и установить периодичность и порядок передачи данных между ERAS. В консоли отображается информация о состоянии клиентов, список задач, журналы угроз, брандмауэра, событий и сканера. Также следует отметить информативную систему отчетов.
Рис. 1. Управление подключенным клиентом в ERA Console
Пакет Symantec Endpoint Protection 11.0 (SEP) ориентирован на защиту систем в компаниях разного размера и объединяет в одном решении несколько технологий, обеспечивающих полноценную защиту систем от угроз всемирной паутины. Основные функции заключены в клиенте Symantec Endpoint Protection Client (SEPC), версии которого доступны для большого количества ОС — Windows 2000/XP/2003/Vista/2008 (32/64 бита), Linux (Red Hat Enterprise Linux, SuSE Linux Enterprise Server/Desktop, Novell Open Enterprise Server, Ubuntu и Debian 4.x), а также VMWare ESX.
SEPC является логическим продолжением Norton AntiVirus и обеспечивает защиту от вирусов и шпионских программ как методом сигнатурного анализа, так и эвристикой. Модуль проактивной защиты, получивший название Proactive ThreatScan, обнаруживает вирусы, пытающиеся проникнуть в систему, основываясь на анализе поведения приложений. Реализована защита от спама (anti-spam) и фильтрация интернет-трафика (web-filtering). Кроме того, администратор получает в руки инструмент, позволяющий контролировать и при необходимости блокировать доступ пользователей и программ к определенным процессам, файлам и каталогам, а также отслеживать различные элементы ОС и приложений. Клиентские компоненты защищены от модификации и удаления, предусмотрена возможность их автоматического восстановления и перезапуска. Технология Tamper Protection не позволяет выключить серверные и клиентские сервисы любым способом, в том числе и через Диспетчер задач. Технология Generic Exploit Blocking позволяет останавливать и блокировать угрозы, использующие уязвимости приложений, а инструмент VxMS (Veritas Mapping Service), имеющий доступ на более низкий системный уровень, способен обнаружить и удалить руткит.
Купив дополнительную лицензию, можно активировать модуль Symantec Network Access Control, обеспечивающий проверку систем на наличие последних обновлений и состояние средств защиты (актуальность баз, версии ПО) и определяющий на основе полученных данных права доступа к сети и ресурсам. Системы с отключенным брандмауэром и с необновленными антивирусными базами могут выйти только в карантинную зону, чтобы произвести необходимые действия по устранению всех проблем.
Но это еще не все. В клиент встроен персональный брандмауэр, который обеспечивает функции фильтрации как открытого, так и шифрованного сетевого трафика. Предусмотрена возможность анализа передаваемых данных на уровне приложений, администратор может самостоятельно создавать правила для системы HIPS (Host Intrusion Prevention System).
Все настройки клиентов хранятся на сервере управления, установка которого достаточно проста и состоит из пяти шагов. При небольшом количестве клиентов (до 100) можно использовать встроенную БД (на основе Sybase), иначе можно подключиться к MS SQL 2000SP3/2005. Следует помнить, что для установки сервера управления потребуется наличие IIS. Для централизованного ввода команд и контроля состояния клиентов используется консоль Symantec Endpoint Protection Manager (SEPM), для установки которой (как и сервера) потребуется компьютер с Win2k и выше. По окончании установки сервера запускается мастер переноса и развертывания, который поможет создать установочные пакеты и развернуть антивирус на клиентских системах, а также перенести политики и прочие настройки с родительских серверов Symantec AntiVirus. Для не Windows платформ установка возможна только вручную, при помощи так называемого «неуправляемого» клиента (который, кстати, тоже управляется из консоли).
Подключенные клиенты разбиваются на группы, для которых устанавливаются свои политики. Всего предусмотрено 5 типов политик – антивирус, брандмауэр, защита от вторжений, обновления (LiveUpdate) и централизованные исключения (Centralized Exceptions). Настроек много, они достаточно понятны, хотя некоторое время на освоение SEPM потратить все же придется. При определении задач можно использовать шаблоны. Впечатляет большое количество доступных отчетов и сводок – по риску, проверкам, угрозам, аудиту и так далее. Отчеты можно отправлять по электронной почте.
Также следует отметить наличие понятной утилиты для резервирования и восстановления базы данных сервера, содержащей все установки.
Рис. 2. Настройка шаблона сканирования в консоли Symantec Endpoint Protection
Kaspersky Total Space Security
Решение Kaspersky Total Space Security (KTSS), выпускаемое «Лабораторией Касперского», предназначено для защиты сети любого масштаба и состоит из нескольких компонентов. На рабочих станциях и серверах, подлежащих защите, устанавливается специализированная версия антивируса, причем список поддерживаемых систем и приложений достаточно большой: рабочие станции (Windows, Linux), мобильные системы (Windows Mobile, Symbian), файловые серверы (Windows, Linux, Samba, NetWare). Так клиент Антивирус Касперского для Windows Workstations совместим со всеми версиями Windows, включая 64-битные, и обладает всеми возможностями, которые мы привыкли видеть в продуктах этого разработчика – проактивная защита, защита файловой системы, брандмауэр, контролирующий входящие и исходящие соединения с функцией IDS/IPS, защита электронной почты и веб-трафика, а также антифишинг и антиспам.
Для настройки параметров работы клиентских версий, обновлений баз и модулей программы используется Kaspersky Administration Kit, состоящий из трех компонентов, которые можно установить на разных компьютерах. Хранение лицензий, настроек, управление работой агентов и сбор информации осуществляется на сервере администрирования. Возможна одновременная работа в одной сети нескольких серверов администрирования с поддержкой иерархии.
Рис. 3. Удаленная установка приложения в Kaspersky Administration Kit
Администратор производит все настройки, подключившись к серверу при помощи консоли, которая представляет собой оснастку MMC. Взаимодействие между сервером администрирования и клиентским антивирусным приложением обеспечивает специальный агент.
Установка отдельных компонентов достаточно проста (на диске к апрельскому номеру ][ за 2009 год найдешь видеоролик с настройкой Kaspersky Enterprise Space Security). Для небольшого офиса в качестве SQL сервера можно взять на странице загрузки продуктов "Лаборатории Касперского" специальную версию MSDE 2000 SP3 для Administration Kit. Во время установки она будет обнаружена автоматически без лишних донастроек.
Консоль администратора локализована и понятна в работе даже без обращения к документации. Все клиенты в Kaspersky Administration Kit объединяются в логическую сеть. При автоматическом формировании логической сети она совпадает с физической, но затем системы можно сгруппировать по своим критериям. Каждая группа или отдельный компьютер может иметь свои политики и настройки, что обеспечивает тонкую настройку под любые условия. Установка приложений осуществляется при помощи консоли, или используя возможности любой другой системы централизованной установки ПО (например, Active Directory).
Особо следует отметить развитую систему уведомлений (обнаружение вируса, устаревшие базы и так далее), которые могут быть отправлены по электронной почте или с помощью NetSend.
Sophos Endpoint Security and Control 8
Продукт компании Sophos - Sophos Endpoint Security and Control 8 также состоит из нескольких частей, каждая из которых отвечает за свой участок работы. Клиентская часть, доступная под разные ОС, включает в себя антивирус Sophos Anti-Virus, персональный брандмауэр Sophos Client Firewall, отдельно доступен клиент управления доступом Sophos Network Access Control. NAC обеспечивает возможность управления сетевым доступом клиентов и карантин, а также контроль над подключением устройств, вроде USB флэшек. Технология Sophos Application Control позволяет контролировать установку и использование нежелательных программ, в том числе и таких, как игры, IM, VoIP, P2P. Sophos HIPS обеспечивает обнаружение и защиту от еще неизвестных угроз. Решения для защиты электронной почты и борьбы со спамом Sophos Email Security and Control также придется устанавливать отдельно. Поддерживаются клиентские платформы Windows от 98 до Vista, Mac OS X, *nix, NetWare.
Клиенты принимают все команды с сервера управления (Management Server), получающего все настройки с консолей Sophos Enterprise Console и Sophos NAC Console (в последней версии она также интегрирована в Enterprise Console). Еще один компонент - библиотека EM Library (Enterprise Manager) - обеспечивает загрузку обновлений баз и компонентов всех антивирусов Sophos на всех поддерживаемых платформах. Для удобства обслуживания в больших сетях можно установить несколько серверов с EM Library. При этом администратор может задать два parent сервера (primary и secondary) для обновления, указав URL или UNC адрес. Рекомендуется размещение EM Library в демилитаризованной зоне, а при использовании NAC - в зоне лечения (remediation zone), куда перенаправляются системы, не прошедшие проверку Sophos NAC и не допущенные в общую сеть.
Рис. 4. Консоль EM Library позволяет гибко задать серверы обновлений
Все серверные компоненты находятся в едином установочном файле, и при необходимости во время инсталляции можно отобрать требуемые компоненты.
Для установки сервера понадобится MSDE, который идет в комплекте, или MS SQL Server 2005.
Программу установки клиента можно запускать традиционным образом или воспользовавшись возможностями Enterprise Console.
Управление в консоли реализовано путем применения политик к группам компьютеров. В группы объединяются компьютеры, к которым планируется применить одинаковые настройки безопасности. Мастер поиска новых систем позволяет указать сеть или диапазон IP-адресов, а также использовать Active Directory.
Политики по умолчанию требуют вмешательства, так как обнаруженные вирусы блокируются, но не удаляются, а весь сетевой трафик немедленно запрещается. Некоторые имеющиеся политики разрешено изменять, другие можно лишь переопределить при помощи новой политики. Вообще говоря, настройка политик по-своему интересна, администратор создает наборы для разных компонентов, а затем активирует их методом drag’n'drop. Поэтому сразу после установки следует создать новые настройки и распределить их по группам. Реализована синхронизация с Active Directory, поэтому на все вновь подключившиеся системы автоматически распространяются обновленные настройки.
В случае обнаружения опасности администратор получает наглядное уведомление в виде изменения уровня риска, параллельно отсылается e-mail, на клиентской системе об угрозе предупреждает всплывающее окно.
McAfee Total Protection Service Advanced
В последнее время активно развиваются решения класса SaaS (Security-as-a-Service, Безопасность как услуга), где все заботы о развитии инфраструктуры защиты берут на себя разработчики систем, потребитель получает готовое решение. Такие продукты достаточно просты в управлении, не требуют выделенного сервера и ориентированы в первую очередь на компании небольшого размера, в том числе не имеющие штатного админа. Возможностей по настройке здесь меньше, что в показанных выше решениях, но в той сфере, на которую они рассчитаны, в этом, наверное, и нет необходимости. Минимум установок здесь можно считать скорее достоинством, чем недостатком.
Пакет McAfee Total Protection Service Advanced (McAfee TPSA) является наиболее оснащенным вариантом линейки McAfee TPS и включает антивирусные модули для серверов и клиентов, персональный брандмауэр, обнаружение и блокировку некоторых типов атак, использующих переполнение буфера, средства борьбы со спамом и защиты электронной почты от вирусов, защиту для браузера.
В качестве клиентских систем поддерживаются Win2k Pro SP3, WinXP и Vista (последние 32 и 64 бита), серверные – Windows от 2k Server SP3 до 2k8. Кроме того, TPS в большинстве сценариев поддерживает серверы терминалов.
Чтобы попробовать TPS в работе, достаточно заполнить форму на сайте проекта. После получения подтверждения по e-mail, переходим по ссылке на веб-узел SecurityCenter, проверяем системы на совместимость и выполнение всех требований. Так для Internet Explorer должен быть задан средний или высокий уровень безопасности. Другая ссылка содержит URL для установки Total Protection. Здесь следует использовать только IE 5.5 SP2 и выше, а уже при администрировании перейти на Opera или Firefox. Скачиваем setup-файл и устанавливаем его. Для инсталляции на остальных системах администратор отправляет сообщение по e-mail, содержащее специальную ссылку на файл (URL-метод). Собственно по этому признаку и сопоставляются клиентские системы конкретному логину.
Агент TPS защищает систему, работая в фоновом режиме и выполняя все операции автоматически. Хотя при необходимости пользователь может вмешаться в процесс, выполнив проверку файла или обновление баз вручную. Системы с работающим TPS отправляют на центральный сервер данные о своем состоянии и обнаруженных угрозах, где они становятся доступны администратору в виде отчетов.
Для централизованного управления системами и получения отчетов администратор подключается к , используя e-mail и пароль, введенный при регистрации. Окно NOC содержит 5 вкладок, но, в отличие от агентов, не локализовано. В основной вкладке Security Center показано число клиентских систем, их состояние, данные по защите и использованию лицензий. Сами компьютеры собраны во вкладке Computers, где их можно отобрать по разным характеристикам. Вкладка Reports содержит 7 шаблонов отчетов. Все компьютеры распределяются по группам, каждая из которых использует назначенную ей политику. Эти настройки доступны во вкладке «Groups + Policies». После установки в списке присутствует только одна политика — Default Policy. Обновление политик на клиентских станциях происходит одновременно при подключении к серверу (по умолчанию обновление раз в 12 часов). И наконец, во вкладке «My Account» выполняется настройка профиля пользователя, активируются ключи, выставляются предупреждения.
В политике по умолчанию On-Demand сканирование не задействовано, все настройки брандмауэра производит пользователь, On-access сканирование архивов и SiteAdvisor для браузера отключены. Эти настройки не удобны. Например, брандмауэр «не знает» системные сервисы и при первой загрузке задает много вопросов. Пользователь, сделав неправильный выбор, может запросто заблокировать себе выход в Сеть или доступ к определенным сервисам. Поэтому лучше создать новую политику, выбрав «Add Policy», где, перемещаясь по вкладкам, включить On-Demand сканирование, а затем в настройках брандмауэра вместо «User configures firewall» выбрать «Administrator configures firewall».
Обновления скачиваются с центрального сервера, peer-to-peer технология Rumor позволяет системам, находящимся в локальной сети, обмениваться обновлениями друг с другом, экономя интернет-трафик. Работает Rumor очень просто. Система, подключившись к NOC, обнаруживает обновления и рассылает по локалке широковещательные запросы, чтобы проверить их наличие на других системах. Если другие агенты имеют старую версию, то система скачивает обновление и устанавливает его. Следующий агент, обнаружив новую версию, поступает аналогично, но теперь ему отвечает компьютер в локальной сети. Третьему компьютеру обновление предложат уже две системы, в дальнейшем процесс идет по нарастающей. Аналогично обновляются системы, не имеющие выхода в интернет.
Рис. 5. Создаем новую политику в McAfee Total Protection Service Advanced
F-Secure Protection Service for Business
Продукт от компании F-Secure — Protection Service for Business (PSB) — распространяется в двух версиях: Standard и Advanced. Клиентская часть PSB Workstation, которая предназначена для защиты рабочих станций и серверов, работающих под управлением Windows, содержит средства защиты от вирусов и шпионского ПО, поиска руткитов, предотвращения вторжений, контроля активности приложений и спама, а также персональный брандмауэр. Централизованное управление производится при помощи интерактивного портала, размещенного на серверах F-Secure через интернет. Отдельной системы для установки сервера не требуется, а сам портал доступен из любого места в любое время через веб-браузер. Интерфейс управления достаточно прост и локализован.
Для регистрации на портале потребуется код подписки (subscription code), который также используется при активации клиентов. Инсталляционные пакеты PSB Workstation становятся доступны после регистрации. После ввода кода клиентская система станет видна в окне управления. Настройки упрощаются за счет использования профилей. Изначально доступно 7 предустановленных профилей для различных типов систем (1 профиль для сервера, 2 – для ноутбуков, 4 — для офисных машин). Обновление баз происходит также с серверов F-Secure, но команду на обновление получает только один клиент, который затем и распространяет их в локальной сети.
Как видишь, не смотря на, казалось бы, схожие функции, продукты разных производителей сильно отличаются между собой. По возможностям клиента я бы выделил Sophos, имеющий функции контроля над приложениями, но, к сожалению, средства Email и NAC придется устанавливать отдельно. Тем, у кого в сети разношерстные клиентские системы, следует обратить внимание на продукты от Symantec и Kaspersky Lab. В ESET NOD32 можно выделить удобную консоль и низкие системные требования к управляющему серверу. Из SaaS решений я бы выделил F-Secure PSB, в котором управление реализовано достаточно просто, подключение агентов выполняется прозрачно, а интерфейс полностью локализован.
Рис. 6. Профили безопасности в F-Secure PSB позволяют упростить настройку
VIDEO
-
На прилагаемом к журналу диске ты найдешь видеоролик, в котором познакомишься с работой в Dr.Web Enterprise Suite, а также бонусную статью «Пропуск на корпоратив» с обзором Kaspersky Enterprise Space Security и Dr.Web Enterprise Suite.
-
Ролик с настройкой системы антивирусной защиты Kaspersky Enterprise Space Security ищи на диске к апрельскому номеру ][ за 2009 год.
WWW
- Сайт компании ESET —
- Сайт «Лаборатории Касперского» —
- Сайт компании «Доктор Веб» —
- Сайт компании Symantec —
- Сайт компании Sophos —
- Сайт компании McAfee —
- Сайт компании F-Secure —
Статья опубликована в июньском номере журнала «Xakep» за 2009 год.