Рекомендации по защите от воздействия вирусов в распределенных сетях
Для уменьшения вероятности "заражения" компьютеров вирусами, попа дающими в локальную сеть из Internet (предполагается, что основная опасность заражения исходит от самих пользователей, которые по причине недостаточной осведомленности и/или недостаточной опытности в области антивирусной за щиты могут самостоятельно, хотя и непреднамеренно, занести компьютерный вирус из Internet), следует установить автоматический контроль за программами и данными, поступающими каждому пользователю локальной сети из Internet на предмет наличия в этих программах (и/или данных) компьютерных вирусов и совместить решение данной задачи с задачей защиты локальной сети от несанкционированного доступа из Internet. Защита локальной сети должна надежно закрыть доступ извне во внутреннюю часть локальной сети организации, но при этом доступ к ресурсам Internet изнутри сети организации должен оставаться, по возможности, максимально свободным.
Рассмотрим классическую схему защиты локальной сети от воздействий со стороны Internet.
Рис. 1.
В приведенной схеме (рис. 1) proxy-сервер не позволяет открыть доступ из наружного сегмента во внутренний на основе межсетевого взаимодействия (маршрутизация IP-пакетов полностью отсутствует). Доступ осуществляется по средством специальной программы - proxy-сервера, обеспечивающей этот доступ на уровне межпроцессного взаимодействия. Это означает, что "маршрутизация" может быть осуществлена не для любого взаимодействия, использующего протокол TCP/IP, а только для такого, которое известно proxy-серверу. Обычно в число таких "известных" взаимодействий входят: FTP, HTTP, GOPHER и т.п..
Основная идея предлагаемой разработки - использовать proxy-сервер не только для защиты от доступа извне, но и для антивирусной защиты.
Антивирусная защита выполняется по схеме:
• proxy-сервер фиксирует запрос клиентской программы на получение файла и переадресует этот запрос соответствующему серверу;
• proxy-сервер осуществляет прием запрошенного файла, но не передает получаемые данные клиентской программе;
• завершив полностью прием запрошенных данных, proxy-сервер осуществляет проверку полученных данных на предмет наличия в них вирусов;
• если антивирусная проверка показала отсутствие вирусов, файл переадресуется соответствующей клиентской программе;
• если в результате проверки файл признан "зараженным", он сохраняется на диске сервера в специальном месте, администратору сети направляется соответствующее извещение, а клиентской программе отправляется сообщение об ошибке в процессе приема.
В предложениях по данной разработке учитывается, что имеющиеся на данный момент реализации proxy-серверов (в том числе и со статусом freeware) сделаны для разных аппаратных и системных платформ.
Решение совмещает достоинства многоплатформенных proxy-серверов с особенностями реализации вирус-детекторов.
Последовательность решения такова:
• детектор вирусов реализуется в среде или Windows xx, или Windows NT;
• разрабатывается протокол передачи файла от proxy-сервера детектору вирусов;
• в обычную структуру proxy-сервера вносятся изменения, необходимые для обеспечения взаимодействия этого сервера с детектором вирусов по разработанному протоколу.
Данное решение предполагает или использование существующего proxy-сервера (исходные тексты такого сервера должны допускать внесение в них изменений), или создание собственной, лицензионно чистой реализации такого сервера.