VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY
FAKULTA STROJNÍHO INŽENÝRSTVÍ ÚSTAV AUTOMATIZACE A INFORMATIKY FACULTY OF MECHANICAL ENGINEERING INSTITUTE OF AUTOMATION AND COMPUTER SCIENCE
VÝBĚR ANTIVIROVÉHO PROGRAMU PRO MALOU FIREMNÍ LAN SELECTION OF ANTIVIRUS PROGRAM FOR SMALL BUSSINESS LAN
BAKALÁŘSKÁ PRÁCE BACHELOR'S THESIS
AUTOR PRÁCE
DAVID HABA
AUTHOR
VEDOUCÍ PRÁCE SUPERVISOR
BRNO 2007
Ing. PAVEL HERIBAN
LICEN NÍ SMLOUVA POSKYTOVANÁ K VÝKONU PRÁVA UŽÍT ŠKOLNÍ DÍLO uzav ená mezi smluvními stranami: 1. Pan/paní Jméno a p íjmení: David Haba Bytem: Bošovice, Nová 382 Narozen/a (datum a místo): 11.4.1982, Hustope e (dále jen „autor“)
a
2. Vysoké u ení technické v Brn Fakulta strojního inženýrství
se sídlem Technická 2896/2, 616 69, Brno jejímž jménem jedná na základ písemného pov ení d kanem fakulty: .............................................................................................. (dále jen „nabyvatel“)
l. 1 Specifikace školního díla 1. P edm tem této smlouvy je vysokoškolská kvalifika ní práce (VŠKP): diserta ní práce diplomová práce bakalá ská práce jiná práce, jejíž druh je specifikován jako ....................................................... (dále jen VŠKP nebo dílo) Název VŠKP:
Výb r antivirového programu pro malou firemní LAN
Vedoucí/ školitel VŠKP:
Ing. Pavel Heriban
Ústav:
Automatizace a informatiky
Datum obhajoby VŠKP: VŠKP odevzdal autor nabyvateli v*:
*
tišt né form
–
po et exemplá
………3………..
elektronické form
–
po et exemplá
………………..
hodící se zaškrtn te
2. Autor prohlašuje, že vytvo il samostatnou vlastní tv r í inností dílo shora popsané a specifikované. Autor dále prohlašuje, že p i zpracovávání díla se sám nedostal do rozporu s autorským zákonem a p edpisy souvisejícími a že je dílo dílem p vodním. 3. Dílo je chrán no jako dílo dle autorského zákona v platném zn ní. 4. Autor potvrzuje, že listinná a elektronická verze díla je identická. lánek 2 Ud lení licen ního oprávn ní 1. Autor touto smlouvou poskytuje nabyvateli oprávn ní (licenci) k výkonu práva uvedené dílo nevýd le n užít, archivovat a zp ístupnit ke studijním, výukovým a výzkumným ú el m v etn po izovaní výpis , opis a rozmnoženin. 2. Licence je poskytována celosv tov , pro celou dobu trvání autorských a majetkových práv k dílu. 3. Autor souhlasí se zve ejn ním díla v databázi p ístupné v mezinárodní síti ihned po uzav ení této smlouvy 1 rok po uzav ení této smlouvy 3 roky po uzav ení této smlouvy 5 let po uzav ení této smlouvy 10 let po uzav ení této smlouvy (z d vodu utajení v n m obsažených informací) 4. Nevýd le né zve ej ování díla nabyvatelem v souladu s ustanovením § 47b zákona . 111/ 1998 Sb., v platném zn ní, nevyžaduje licenci a nabyvatel je k n mu povinen a oprávn n ze zákona. lánek 3 Záv re ná ustanovení 1. Smlouva je sepsána ve t ech vyhotoveních s platností originálu, p i emž po jednom vyhotovení obdrží autor a nabyvatel, další vyhotovení je vloženo do VŠKP. 2. Vztahy mezi smluvními stranami vzniklé a neupravené touto smlouvou se ídí autorským zákonem, ob anským zákoníkem, vysokoškolským zákonem, zákonem o archivnictví, v platném zn ní a pop . dalšími právními p edpisy. 3. Licen ní smlouva byla uzav ena na základ svobodné a pravé v le smluvních stran, s plným porozum ním jejímu textu i d sledk m, nikoliv v tísni a za nápadn nevýhodných podmínek. 4. Licen ní smlouva nabývá platnosti a ú innosti dnem jejího podpisu ob ma smluvními stranami.
V Brn dne: …………………………………….
……………………………………….. Nabyvatel
………………………………………… Autor
Bakalá ská práce
David Haba
Abstrakt Cílem mojí práce je objektivn zhodnotit možnosti sou asných antivirových ešení pro malé firemní LAN sít . Otestovat jejich funkce, složitost nastavení a ovládání. Dále provést porovnání z hlediska finan ních náklad na po ízení a provozování vybraných antivirových produkt . Na základ t chto zkoumání na konec vybrat nejvhodn jší antivirové ešení pro malé LAN firemní sít .
The purpose of my thesis is to objectively evaluate the possibilities of today’s antivirus solutions for small business LAN networks. To test their functions, the complexity of setting and control. Next, to carry out a comparison of the purchasing costs and running of given antivirus products. On the basis of this investigation, choose the most suitable antivirus solution for small LAN business networks.
3
Bakalá ská práce
David Haba
Pod kování Na úvod své práce bych cht l pod kovat panu Ing. Šimkovskému za jeho as p i kontrole této práce a za objektivní p ipomínky k mému dílu. Dále pak panu Ing. Heribanovi za jeho ochotu p i ešení problém s Bakalá skou prací.
4
Bakalá ská práce
David Haba
Osnova Zadání záv re né práce..…………………………………………………………………………… 1 Licen ní Smlouva .............................................................................................................................. 2 Abstrakt.............................................................................................................................................. 3 Pod kování......................................................................................................................................... 4 Osnova ............................................................................................................................................... 5 Úvod................................................................................................................................................... 7 Po íta ová infiltrace........................................................................................................................... 8 1 Základní d lení ........................................................................................................................................... 8 1.1 Viry................................................................................................................................................. 8 1.2 Trojské kon ................................................................................................................................... 8 1.3 Backdoor......................................................................................................................................... 9 1.4 ervi (worms)............................................................................................................................... 10 2. Speciální p ípady infiltrace ...................................................................................................................... 12 2.1 Adware.......................................................................................................................................... 12 2.2 Spyware ........................................................................................................................................ 12 2.3 Hoax ............................................................................................................................................. 12 2.4 Phishing ........................................................................................................................................ 13 2.5 Dialer ............................................................................................................................................ 13
Antivirový software ......................................................................................................................... 14 1 D lení antivirových program .................................................................................................................. 14 1.1 Jednoú elové antiviry ................................................................................................................... 14 1.2 On-demand skenery ...................................................................................................................... 15 1.3 Antivirové systémy ....................................................................................................................... 15 2 Antivirová ochrana po íta ových sítí ....................................................................................................... 15 2.1 Antivirová ochrana stanic ............................................................................................................. 16 2.1.1 Antivirové skenery .............................................................................................................. 16 2.1.2 Aktualizace (update) antivirového systému ........................................................................ 20 2.1.3 Virová databáze................................................................................................................... 22 2.1.4 Monitorovací programy....................................................................................................... 23 2.1.5 Kontrola integrity ................................................................................................................ 24 2.2 Antivirová ochrana bran, groupware a server ............................................................................. 25 2.2.1 Zabezpe ení vstupní brány (gateway) ................................................................................. 25 2.2.2 Ochrana poštovních bran..................................................................................................... 28 2.3 Sí ové schopnosti antivirových systém ...................................................................................... 28 2.3.1 Centrální správa .................................................................................................................. 28 2.3.2 Zrcadlení aktualizací ........................................................................................................... 28 2.3.3 Notifikace............................................................................................................................ 28 2.3.4 Hromadné a vzdálené instalace ........................................................................................... 28
Konkrétní antivirové spole nosti ..................................................................................................... 29 Alwil Software (avast!)........................................................................................................................ 29 ESET (NOD32).................................................................................................................................... 29 Grisoft (AVG)...................................................................................................................................... 29 McAfee VirusScan (d íve NAI)........................................................................................................... 29 Kaspersky Lab (Kaspersky Antivirus) ................................................................................................. 29 Symantec (Norton Antivirus)............................................................................................................... 30
Test antivirových ešení ................................................................................................................... 30 1 AVG.......................................................................................................................................................... 30 1.1 instalace AVG Admin................................................................................................................... 30 1.2 Nastavení AVG Datacenter a file serveru..................................................................................... 32 1.3 Konfigurace stanice ...................................................................................................................... 34 1.3.1 Vzdálená instalace AVG na stanice .................................................................................... 34 1.3.2 Ru ní instalace AVG na stanice.......................................................................................... 34
5
Bakalá ská práce
David Haba
1.3.3 Konfigurace stanic v AVG Admin ...................................................................................... 35 1.4 Instalace AVG e-mail serveru pro Exchange 2000/2003 Server .................................................. 36 1.4.1 Spušt ní a správa programu ................................................................................................ 37 1.5 Cenová kalkulace.......................................................................................................................... 39 2 McAfee ..................................................................................................................................................... 40 2.1 Instalace Epolicy Orchestratora (EPO)......................................................................................... 40 2.2 Konfigurace Epolicy Orchestratora .............................................................................................. 41 2.3 Instalace VirusScanu na stanice.................................................................................................... 43 2.4 Instalace EPO agenta na stanice ................................................................................................... 44 2.5 Instalace GroupShield 6.0 for Exchange ...................................................................................... 44 2.6 Cenová kalkulace.......................................................................................................................... 46
Záv r ................................................................................................................................................ 47 Seznam použité literatury................................................................................................................. 48
6
Bakalá ská práce
David Haba
Úvod K testování jsem si vybral AVG antivirus a antivirové ešení od firmy McAfee. Z d vodu dostupnosti v naší firm a doporu ení koleg . Testování antivirových ešení jsem provád l v po íta ové síti s p ti stanicemi a jedním serverem, t i z nich používali opera ní systém Windows XP Profesional, dv stanice b žely na platform Windows 2000 Profesional, na serveru byl nainstalován opera ní systém Windows 2003 SBS server s Active Directory a Exchange 2003. Po provedení úsp šného testování došlo k nasazení antivirových ešení v b žném provozu a zde jsem provád l dlouhodob jší sledování vlastností antivir .
7
Bakalá ská práce
David Haba
Po íta ová infiltrace 1 Základní d lení Název „virus“ se zapsal do obecného pov domí lidí asi nejvíce a proto jsou tak asto nazývány všechny typy útok , bez ohledu na to, jestli jde o virus, trojského kon nebo jiný typ infiltrace. Ani n které ásti této práce se tohoto univerzálního ozna ení nevyvarovaly. Samotné d lení infiltrace je problémem, typy útok se navzájem prolínají a proto je nelze jednoduše za adit. Následující rozd lení je tedy jednou z n kolika variant.
1.1
Viry
Ozna ení virus je odvozeno na základ jistých podobností od biologických originál . Virus je schopen sám sebe replikovat, ovšem jen za p ítomnosti vykonatelného hostitele k n muž se naváže. Hostitelem mohou být spustitelné (executable) soubory, systémové oblasti disku, pop ípad soubory, jenž nelze vykonat p ímo, ale za použití specifických aplikací (dokumenty Microsoft Wordu, skripty Visual Basicu apod.). Jakmile dojde k spušt ní (vykonání) hostitele, provede se také kód viru. V tomto okamžiku se obvykle virus snaží provést další sebe-replikaci a to navázáním na další vhodné vykonatelné hostitele. N kolikrát se již v médiích objevily zprávy o objevení prvního viru na sv t , který umí infikovat soubory formátu JPEG3 i MP3, ale v tomto p ípad se nedá mluvit o infekci v pravém slova smyslu, nýbrž o prostém p idání zcela nepoužitelného kódu (t lo viru) k výše uvedenému formátu souboru. Protože t lo viru není s p vodním kódem svázané žádnou spole nou strukturou, p ehráva (v p ípad MP3) nebo prohlíže (JPEG) považují t lo viru za odpad a odfiltrují ho. Navíc, JPEG i MP3 jsou datové formáty, kdežto t lo viru je binární kód. Navazujícím tématem je porozum ní rozdílu mezi samotným formátem souboru a jeho p íponou. V p ípad formátu se jedná o vnit ní struktu e souboru a zvolená p ípona, jenž lze jednoduše zm nit, mu nemusí ve skute nosti v bec odpovídat. Proto lze narazit na p ípady, kdy je infikován nap íklad soubor s p íponou .DAT (jenž je zcela nezajímavý ze strany vir ), ale to jen z toho d vodu, že vnit ní struktura souboru odpovídá specifikaci formátu EXE souboru. Podle druhu hostitele a zp sob infekce lze viry rozd lovat do více skupin.
1.2
Trojské kon
Trojské kon nejsou na rozdíl od vir schopny sebe-replikace a infekce soubor . Nej ast ji se vyskytují jako spustitelné EXE soubory, jenž obsahují jen samotné „t lo“ trojského kon a nic dalšího. Z této vlastnosti trojského plyne, že jedinou formou dezinfekce je smazání kritického souboru. N které starší definice popisují trojského kon je program, jenž vizuáln vypadá užite ný, ve skute nosti je však škodlivý. Jedním p íkladem z minulosti je trojský k vydávající se za antivirový program McAfee VirusScan, jenž ve skute nosti ni il soubory na pevném disku. V sou asnosti se m žeme nej ast ji setkat s následující formou trojských koní: •
Backdoor Speciální skupina trojských koní, detailn ji popsána níže v samostatné kapitole (záleží z jakého pohledu na backdoory nahlížíme a proto je lze rozdíln za adit). A koliv by se dle výše uvedeného mohlo zdát, že setkání s trojským kon m je spíše náhodou, není tomu tak. Pravd podobnost setkání je vyšší od chvíle, kdy ada vir za ala nést takové trojské kon s 8
Bakalá ská práce
David Haba
sebou a b hem svého ší ení je vypouští na jednotlivé po íta e. Pokud je virus úsp šný, dojde jak k masivnímu rozší ení viru, tak i k vypušt ní velké spousty trojských koní. Nej ast ji jsou vypoušt ni password-stealing trojští koni a backdoory. Potom už záleží jen na autorovi daného viru, jak dokáže získané možnosti využít. Klasifikovat jako trojské kon m žeme i všelijaké škodlivé kódy umíst né na pochybných internetových stránkách. A lze sem za adit i spyware, adware, dialery atd. Záleží pouze na tom, jak se na celou díváme.
1.3
•
Destruktivní trojské kon Klasická forma, pod kterou je pojem trojských koní obecn chápán. Pokud je takový trojský k spušt n, pak likviduje soubory na disku, nebo ho rovnou kompletn zformátuje. Do této kategorie m žeme za adit i v tšinu škodlivých dávkových soubor s p íponou BAT. V tomto p ípad m že p ekvapit snad jen ob asné jednoduché kódování obsahu, díky emuž není na první pohled z ejmé, co takový kód provádí.
•
Downloader (TrojanDownloader) Význam tohoto škodlivého programu je podobný jako v p edchozím p ípad – vypustit škodlivý kód do PC. Downloader si ovšem další škodlivé programy nenese s sebou, ale snaží se je stáhnout z Internetu z pevn definovaných adres (URL). R zné skripty na stran serveru mohou zp sobit, že tentýž downloader m že nakonec stahovat rozdílný software. V reálné situaci to navíc m že vypadat tak, že není stažen / vypušt n pouze jeden kus dalšího škodlivého softwaru, ale hned n kolik, které vypustí nebo stáhnou další vlnu hav ti. V kone né fázi tak m že spušt ní jednoho nenápadného souboru vyvolat reakci, kdy je PC tém nepoužitelné pro svou pomalost a chování.
•
Dropper Škodlivý program, nej ast ji typu EXE, který po spušt ní vypustí do PC další škodlivou hav , kterou si nese s sebou ve vlastním t le.
•
Password-stealing trojské kon (PWS) Je skupina trojských koní, jenž obvykle sleduje jednotlivé stisky kláves (keyloggers) a tyto ukládá a následn i odesílá na dané e-mailové adresy. Majitelé t chto emailových adres (nej ast ji samotní auto i trojského kon ) tak mohou získat i velice d ležitá hesla. Tento typ infiltrace lze klasifikovat i jako spyware.
•
Proxy Trojan (TrojanProxy) N které trojské kon se postarají o to, že infikovaný po íta m že být zneužit nap íklad pro odesílání spamu – nevyžádané pošty. Práv o tuto innost se stará tento typ infiltrace. P i využití proxy je tém nulová šance, že bude vypátrán skute ný autor nevyžádané pošty. Je to zp sobeno samotným principem proxy.
Backdoor
Jedná se o aplikace typu klient-server, jejichž schopnosti jsou velice podobné komer n používaným produkt m jako pcAnyWhere i VNC. Narozdíl od nich pronikají do po íta e anonymn , uživatel nemá šanci jejich p ítomnost b žným zp sobem vypozorovat a to je d vod, pro je antiviry preventivn detekují jako jeden z typ po íta ové infiltrace. Z t chto d vod je tento typ infiltrace nazýván jako neautorizovaný vstup.
9
Bakalá ská práce
David Haba
Backdoor je tedy aplikace, který slouží k vzdálené správ PC a tudíž nemusí být ve své podstat škodlivá. Její škodlivost je dána pouze osobou, jenž tuto vzdálenou správu vykonává. Pokud dojde k zneužití této správy, pak tohoto lov ka nazýváme vzdáleným úto níkem. Princip funkce backdooru je následující. Na stanici úto ník je klientská ást, jenž vysílá požadavky serverové ásti, která je umíst ná na infikovaném po íta i a ta tyto požadavky plní, pop ípad odesílá zp t úto níkovi požadované informace. Jestliže se serverová ást backdooru distribuuje pomocí úsp šn se ší ícím virem, má vzdálený úto ník k dispozici tisíce po íta , k nimž m že vzdálen p istupovat a získávat z nich d ležitá data. Komunikace mezi úto níkem a napadenou stanicí ve v tšin p ípad probíhá na bází TCP/IP, jenž ve spojení s celosv tovou sítí Internet umož uje p istupovat na napadené po íta e na celé planet . Do zvláštní skupiny lze za adit backdoory (nemusí jít nutn o n ), komunikující s úto níkem pomocí domluveného kanálu v síti IRC. Jako p íklad lze uvést virus Win32/Anarxy, který se snaží z infikovaného PC p ipojit ke kanálu #iworm_anarxy_channel. V n m vystupuje jako „bot“, jenž se na první zdání jeví jako skute ná osoba chatující na IRC. Úto ník tak má teoreticky všechny instance viru b žících ve sv t na jednom míst a libovolnou z nich m že pomocí domluvených rozkaz po zalogování vzdálen ovládat. N které z vir pak využívají IRC k zasílání kopií na další stanice.
1.4
ervi (worms)
Ozna ení erv (worm) se poprvé objevilo v souvislosti s tzv. Morrisvým ervem, který dokázal v roce 1989 zahltit velkou ást tehdejší po íta ové sít , z níž se pozd ji vyvinul Internet. Tento a další ervi (v poslední dob jsou nejrozší en jší SQL Slammer, Lovsan / Blaster, Sasser) pracují na nižší sí ové úrovni nežli klasické viry. Jejich ší ení neprobíhá ve form infikovaných soubor , ale sí ových paket . Tyto pakety jsou rozesílány z již úsp šn infikovaného systému na další systémy v síti Internet a to náhodn , nebo pomocí ur itého klí e. Pokud takový paket dorazí k po íta i jenž obsahuje specifickou bezpe ností díru, v tšinou dojde k jeho infekci a následn i k rozesílání dalších nebezpe ných paket . Ší ení erva se d je na základ zneužívaní konkrétních bezpe nostních d r opera ního systému, úsp šnost je pak dána rozší eností daného softwaru obsahujícího zneužitelnou bezpe nostní díru. Z t chto charakteristik plyne, že ervy nelze detekovat klasickou formou antivirového softwaru, ale v n kterých p ípadech lze detekovat již aktivního erva (což je ovšem pozd ) a to kv li infikovanému souboru, jenž musí erv na infikovaném PC z technických d vod vytvo it. Jedním z p íznak infikace ervem m že být kompletní zahlcení po íta ové sít . Pojem erv je v poslední dob asto spojován i s typem infiltrace ší ící jenž se elektronickou poštou. Zde jsou p íklady n kterých erv : •
Lovsan / Blaster Tento erv na rozdíl od erva SQLSlammer jenž zneužíval aplikaci MS SQL Server, která není b žnou výbavou každého uživatele, pronikl zcela jist do všech PC této planety, jenž jsou p ipojeni k Internetu a u nichž to technicky lze (hlavn co do struktury zapojení lokálních sítí apod.). V závislosti na tom, jaký opera ní systém uživatel používal a jak byl tento systém zabezpe en (firewall, aktualizace, ..), došlo k úsp šnému nebo neúsp šnému pr niku. K úsp šnému pr niku došlo, u OS Windows 2000/XP bez pravidelné instalace bezpe nostních záplat. Uvedený erv se objevil 11.8.2003 v odpoledních hodinách, kdy se pozvolna objevovali hlášení o automaticky restartujících se Windows s minutovým odpo tem, pop ípad chyb ve spojitosti s procesem SVCHOST.EXE. Oficiální vyjád ení se za ala objevovat ješt p ed p lnocí téhož dne a již ve stejném okamžiku bylo z ejmé, že se jedná o nejv tší incident v celé historii Internetu!
10
Bakalá ská práce
•
David Haba
SQLSlammer erv SQLSlammer jak již bylo e eno zneužíval bezpe ností díru v aplikaci Microsoft SQL Server a to tímto zp sobem, pokud UDP pakety na portu 1433 o délce 376 bajt (což je zárove velikost celého erva SQLSlammer) dorazily k MS SQL Serveru s nenainstalovanou záplatou na bezpe nostní dírou („Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution“), došlo díky podte ení zásobníku (buffer underrun) k jeho infekci. Poté se SQLSlammer usadil rezidentn v pam ti po íta e a za al generovat a následn i rozesílat další UDP pakety na náhodn generované IP adresy. Tento erv se masov rozší il díky tomu, že v tšina po íta nem la nainstalované bezpe nostní záplaty (záplata pro zneužitou bezpe nostní díru byla ze strany Microsoftu uvoln na již n kolik m síc p ed incidentem) a bylo jen št stí, že neprovád l žádnou destruktivní innost. Jedinou viditelnou nep íjemností byla schopnost 100% zahltit celou LAN díky obrovské trafikaci zp sobené rozesíláním velkého množství UDP paket – za 12 hodin bylo dokonce jedno infikované PC s dostate n dobrým p ipojením k internetu schopno proskenovat všechny ve ejné IP adresy celé sít Internet!
Obr. 1 Graf ukazující extrémní vytížení LAN 100 Mbit/s sít UDP pakety. •
Sasser Jedná se o erva, který se objevil po átkem kv tna 2004, a také došlo k jeho masovému rozší ení po celém sv t . Velice se svým projevem podobal ervu Lovsan / Blaster, ale tentokrát zneužíval jinou bezpe nostní chybu popsanou v MS04-011 - LSASS Vulnerability a shazoval tak proces lsass.exe.
•
Další ervi V sou asné dob je k vid ní celá ada infiltrací, jenž kombinuje více metod ší ení. P íkladem jsou rozsáhlé rodiny infiltrace Win32/Rbot, Gaobot apod. Také lze za jisté ervy považovat i infiltraci, ší ící se skrze sí ov sdílené disky.
11
Bakalá ská práce
David Haba
2. Speciální p ípady infiltrace 2.1
Adware
Obvykle se jedná o produkt, který znep íjem uje práci s PC reklamou. Typickým p íznakem jsou vyskakující pop-up reklamní okna b hem procházení internetu, spole n s vnucováním stránek (nap . výchozí stránka Internet Exploreru). N které Adware obsahují tzv. „EULA“ - End User License Agreement – licen ním ujednáním, uživatel se tak v ad p ípad dozví o adware programu, protože musí souhlasit s instalací. Adware m že být sou ástí i n kterých produkt nap . DivX kodek .
2.2
Spyware
Spyware je program, jenž využívá Internetu k odesílání dat z nakaženého po íta e bez v domí jeho uživatele, ale narozdíl od backdooru jsou odcizovány pouze „statistická“ data jako p ehled navštívených stránek nebo nainstalovaných program . Tato innost bývá zd vod ována snahou zjistit pot eby nebo zájmy uživatele a tyto informace použít pro cílenou reklamu. Nikdo však nedokáže zaru it, že informace nebo tato technologie nem že být zneužita. N který spyware se ší í spole n s adou sharewarových program s tichým souhlasem jejich autor , kte í o této skute nosti v dí.
2.3
Hoax
Hoax jsou poplašné zprávy, které obvykle varují p ed neexistujícím nebezpe ným virem. Ší ení t chto zpráv je zcela závislé na uživatelích, kte í takové varování e-mailem obdrží. N kte í se obvykle pokusí varovat další kamarády i spolupracovníky a jednoduše jim poplašnou zprávu p epošlou. Tím je zajišt n proces ší ení. Jestliže budeme hovo it o poplašných zprávách týkajících se virové nákazy, pak je lze charakterizovat následn : •
D v ryhodné zdroje varují Ve v tšin p ípad se pisatel poplašné zprávy snaží p esv d it, že varování p išlo od d v ryhodných zdroj ("IBM a FBI varují" nebo "Microsoft upozor uje" atd...)
•
Popis nebezpe í (viru) Smyšlené nebezpe í (virus) bývá stru n popsané, v p ípad viru bývá uvád n i zp sob ší ení.
•
Výzva k dalšímu rozeslání Tento bod je vždy v HOAX obsažen! Spousta nezkušených uživatel se nechá zprávou obalamutit a bez p emýšlení výzvu uposlechnou. Díky tomu se tyto nesmyslné zprávy lavinovit ší í. Ve speciálních p ípadech lze do kategorie „hoax“ za adit i zprávy, jenž p vodn nem ly být poplašné a s viry v bec nesouvisí. Jako typický p íklad lze uvést zprávy, kde rodi e prosí o vzácnou skupinu krve pro svého umírajícího syna, jenž leží v konkrétní nemocnici. Ale vzhledem k tomu, že není uveden žádný asový údaj (pop . ho n kdo umazal), tato zpráva m že kolovat po Internetu i n kolik let. Typická ukázka „nevirového“ hoaxu (p evzato ze serveru hoax.cz):
12
Bakalá ská práce
David Haba
Pozor na mobil!!! Ministr vnitra upozor uje všechny majitele mobilních telefon : velmi asto se stává, že majitel mobilu najde na display vzkaz, aby zavolal na íslo: 607 745 241. UR IT na toto íslo nevolejte! Vaše faktury porostou do závratných výšek.Tato informace pochází z policejních zdroj . "Podvratné živly" mají systém, kterým mohou zneužívat Vaše mobily. Zavolají Vám na Váš GSM a p edstavují se jako zam stnanci Vašeho mobilního operátora. Dále Vás požádají uvést kód, který za íná na 09* a zárove Vám vysv tlí, že je to ov ování spolehlivé funk nosti Vašeho mobilu. UR IT JIM NEDÁVEJTE TENTO KÓD a okamžit zrušte hovor. Vlastní za ízení, které za pomocí tohoto kódu p e te Vaši SIM kartu a už jim nic nebrání v tom, aby vyrobili novou identickou kartu... Tento podvod je mimo ádn rozší ený a proto Vás prosíme, aby jste tuto informaci rozší ili mezi co nejv tší po et lidí. •
2.4
Ni ivé ú inky viru V tomto p ípad záleží p evážn na autorov fantazii. Ni ivé ú inky mohou být celkem oby ejné, nap íklad zformátování disku nebo už mí d v ryhodné - rozto ení HDD opa ným sm rem, výbuch po íta e...
Phishing
Tímto slovem se ozna ují podvodné e-maily, jenž na velké množství adres rozesílají podvodné dopisy, které na první pohled vypadají jako informace z významné instituce (nej ast ji banky). Tyto dopisy pln využívají tzv. sociální inženýrství. P íjemce je obvykle informován o nutnosti vyplnit údaje v p ipraveném formulá i, pokud to neud lá m že být zablokován ú et (v p ípad banky), pop ípad bude n jak jinak znevýhodn n. V emailu bývá uveden odkaz na p ipravené stránky s formulá em, které jakoby leželi na serveru této významné instituce. Ve skute nosti je uživatel p esm rován na podvodný server, ale vytvo ený ve stejném stylu, jako stránky "pravé" instituce. Chycený uživatel nemusí v bec poznat rozdíl a obvykle vyplní p edvolená polí ka, v kterých jsou po n m požadovány d v rné informace - ísla ú tu, kódy k internetovému bankovnictví, pin pro platbu atd. Tímto zplsobem získané údaje mohou podvodníci velmi snadno zneužít. O p vodu názvu t chto útok existují dv teorie. Jedna tvrdí, že název vznikl undergroundovou úpravou slova fishing - ryba ení , kdy "f" bylo zam n no za dvojici písmen "ph". Druhá teorie p edkládá, že se jedná o zkratku: password harvesting fishing - sb r hesel ryba ením. V eštin se obvykle používá výraz "rhyba ení". Problematikou phishingu se zabývá server hoax.cz, zde lze najít i rozbor technik využitých u podvodných e-mailu, jako je nap . mail vydávajícího se za zd lení z Citybank. V souvislosti s phishing útoky se objevuje i název pharming, což je o n co vylepšená podoba phishingu.
2.5
Dialer
Dialer je program, který zm ní p ístupu na Internet prost ednictvím vašeho modemu. Místo normálního telefonního ísla pro Internetové p ipojení p esm ruje vytá ení na ísla se speciální tarifikací, nap . 60 K / minutu (tyto linky se ozna ují jako tzv. „žluté linky“). V n kterých p ípadech k tomuto dochází zcela nenápadn nebo dokonce automaticky, zvláš když ob používá špatn nakonfigurovaný nebo neaktualizovaný internetový prohlíže . K nahrání Dialeru do PC dochází v tšinou po shlédnutí „nevhodné stránky“ (nap . pornografické) za použití technologie ActiveX, takže tyto problémy se p edevším objevují u PC s nainstalovaným Internet Explorerem.
13
Bakalá ská práce
David Haba
V dalším p ípad m že jít o nenápadný spustitelný soubor (.EXE), jenž je nic netušícímu návšt vníku závadné stránky vnucován ke stažení klasickým dialogem. Doposud byla e pouze o technickém provedení Dialeru, druhou a hlavní ást totiž tvo í „psychologické“ provedení. Tedy to, jakým zp sobem bude uživateli podána informace o skv lých možnostech služby. Jestli v bec bude zmín na cena takové služby v K , pop . v jaké form (viditeln , nebo nap . mimo zobrazenou ást stránek malým písmem). Dialer tak m že existovat ve více variantách. Od úpln legálních až po naprosto ilegální (bez ujednání, tichá instalace bez zobrazení jakéhokoliv upozorn ní ). I legální forma dialeru m že v kone ném d sledku zp sobit uživateli problémy v tom, že zve ejn né informace byly nap íklad zobrazeny v n jakém exotickém jazyce. V sou asné dob pevného p ipojení k internetu p es wifi, adsl, kabelové rozvody upadají dialery v zapomn ní.
Antivirový software Stále nar stající množství po íta ových vir a jejich útok nás nutí brát antivirovou ochranu jako naprostou samoz ejmost. V sou asné dob je již pom rn vzácné najít zodpov dného uživatele, jenž by si hrozby neuv domoval a ponechával po íta bez antivirové ochrany, když lze velmi jednoduše a prakticky zdarma zabezpe it po íta stažením antivirového programu z internetu, protože ada antivirových spole ností nabízí své antivirové programy zdarma pro domácí použití, sta í jen provést registraci na jejich stránkách. Zajistit však komplexní antivirovou ochranu firmy je mnohem více náro n jší a vyžaduje také nepom rn více finan ních prost edk , ale vzhledem k nedocenitelnosti dat se tato investice jist vyplatí. Ve firemní po íta ové síti je totiž ukryto obrovské množství míst, jenž mohou její fungování po zasažení viru ohrozit. Dalším faktorem ovliv ujícím náro nost je složitost nasazení antivirové ochrany. Nutností je odborná znalost a zkušenost pro nastavení fungující ochrany. Nar stající rafinovanost škodlivých kód vede logicky i k v tší složitosti nasazované antivirové ochrany. Zatímco pro domácího uživatele tato komplikovanost z stává skryta uvnit program , pro administrátory po íta ových sítí to asto p edstavuje složit ešitelné problémy spojené s instalací a nastavením antivirové ochrany firemní sít . Díky stále v tší rozší eností Internetu a po íta ových sítí obecn , stoupá i pole p sobnosti vir . Stále nové hrozby kladou na antivirovou ochranu další t žko splnitelné požadavky.
1 D lení antivirových program Antivirové programy lze rozd lit do n kolika skupin a to z r zných hledisek, nap íklad následovn od nejednodušších až po nejsložit jší:
1.1
Jednoú elové antiviry
Jde o antivirové programy, jenž jsou pouze zam eny na detekci, p ípadn i dezinfekci jednoho konkrétního viru, n kdy i menší skupiny vir . Jednoú elové antiviry rozhodn nelze použít jako plnohodnotnou antivirovou ochranu, jedná se pouze o první pomoc p i zasažení po íta e konkrétním virem. Jednoú elové antiviry jsou obvykle k dispozici zdarma a slouží k odstran ní pouze rozší eného viru v konkrétní dob .
14
Bakalá ská práce
1.2
David Haba
On-demand skenery
I když se jedné o jednu ze sou ástí antivirového systému, je on-demand skener nabízen n kterými antivirovými spole nostmi zdarma, pop ípad jako shareware. V tšinou jde o jednoduché verze ur ené pro OS DOS ovládané p es p íkazový ádek. Tato kategorie antivirových program má nejv tší uplatn ní p edevším p i dezinfekci po íta , když nap . nelze spustit opera ní systém MS Windows. Zajímavou alternativou jsou i Internetové on-line skenery, jenž n kte í výrobci antivirových program nabízejí na svých webových stránkách. Obvykle jde o skript, který ve spojení s internetovým prohlíže em (Internet Explorer, Netscape Navigator atd.) dokážou plnohodnotn otestovat pevný disk uživatele na výskyt vir , bez nutnosti instalace antiviru do po íta e.
1.3
Antivirové systémy
V dnešní dob se jedná o nej ast jší formu antivirových program . Antivirový systém obsahuje adu sou ástí, které sledují všechny nejd ležitejší vstupní/výstupní místa, jenž by p ípadná infiltrace mohla do po íta ového systému vniknout. Mezi tyto vstupní/výstupní místa lze nap íklad za adit elektronickou poštu ( ervi ší ící se poštou), www stránky (škodlivé skripty, download infikovaných soubor ), média (CD-ROMy, diskety apod.). Nedílnou sou ástí dnešních antivirových systém je možnost aktualizace virové báze prost ednictvím Internetu. Jde o komplexní antivirové ešení v n kterých p ípadech dopln no i o osobní bránu firewall. Do této kategorie pat í produkty, jako jsou: avast!, AVG, Norton Antivirus, Kaspersky Antivirus, NOD32, McAfee Viruscan a další. Bližší informace o této skupin softwaru je možné najít v následující kapitole, která antivirové systémy detailn zmapuje v rámci antivirové ochrany po íta ových sítí.
2 Antivirová ochrana po íta ových sítí Doba, v níž byla po íta ová sí postradatelným luxusem pro v tšinu firem je dávno pry . Bez po íta ové sít by byla innost v tšiny dnešních spole ností velice omezena. S rozvojem a rozší eností sítí nar stá i pot eba ú inné antivirové ochrany. Antivirovou ochranou v tomto p ípad není jen antivirus samotný, ale i správn nastavená firemní bezpe nostní politika, provád cí sm rnice a zkušený administrátor s náležit zaškolenými uživateli. Po íta ová sí umož uje rychle rozší it možností vir , ale i antivirových systém . Z pohledu ochrany po íta ových sítí m žeme antivirový software rozd lit takto: antivirovou ochranu stanic, antivirovou ochranu groupware a souborových server , antivirovou ochranu na vstupních branách do Internetu. N které antivirové spole nosti nabízejí všechna výše uvedená ešení v jednom „balení“, nap íklad pod ozna ením „corporate“ i „business“. Licencování sí ových verzí antivirových systém je obvykle dle množství stanic v síti. V dalších p ípadech pak dle po tu server , domén nebo množství poštovních schránek. Z tohoto vyplívá, že cena takových ešení není nejnižší a proto v n kterých p ípadech dochází k jejich nákupu postupn . V tomto p ípad je doporu ené nejprve zabezpe it nejnižší vrstvy, tedy stanice a pak specifické servery (poštovní server, souborový server apod.).
15
Bakalá ská práce
2.1
David Haba
Antivirová ochrana stanic
Je v tšinou zajiš ována antivirovým systémem. Antivirový systém je obvykle složen z t chto ásti: vykonávající stálou antivirovou kontrolu nad daty, s nimiž uživatel pracuje (tzv. on-access skener). užite ným dopl kem n kterých antivir je i tzv. osobní firewall i antispam, obvykle se už takový produkt nenazývá antivirovým, ale bezpe nostním balíkem - “Internet Security”. udržující antivirový systém v aktuální podob . Zajiš uje stahování aktualizací a patch antivirového systému z Internetu. umož ující provést antivirový test na vybraných oblastí pevného disku. Test je vyvolán na základ zadání uživatele (on-demand) a proto se tato ást ozna uje jako ondemand skener. vykonávající automatickou antivirovou kontrolu p íchozí a odchozí elektronické pošty. -
Mezi další ásti, které již nejsou tak b žné lze nap íklad za adit: monitorovací programy. plánova událostí (scheduler), jenž umož uje v naplánovaném termínu automaticky vyvolat požadovanou úlohu (nap . antivirovou kontrolu d ležitých dokument ). kontrola integrity. antivirový spo i obrazovky (screensaver). karanténa (quarantine). antivirový plug-in pro aplikaci Microsoft Office.
Výše uvedené ásti pat í do skupiny t ch, kterých si uživatel všimne a m že s nimi p ímo manipulovat. Uvnit antivirového systému samoz ejm existuje celá ada dalších d ležitých ástí (virová databáze apod.). Absence n které z uvedených ástí v antivirovém systému nemusí nijak ovlivnit kone nou kvalitu antivirového systému. Nutným minimem je ovšem on-access skener, p ípadn on-demand skener a ást jenž udržuje antivirový systém v aktuální podob . Pokud antivirový systém tyto ásti neobsahuje, je lepší ho v bec nepoužívat. 2.1.1
Antivirové skenery
Antivirové skenery jsou nejstarší a nejzákladn jší sou ástí každého antiviru. Umož ují vykonávat proces skenování, b hem n hož jsou vyhledávány po íta ové viry. Skener vyhledává viry na základ informací obsažených ve virové databázi. Jestliže virová databáze informace o daném viru neobsahuje, „oby ejný“ skener ho nedokáže nalézt. Z tohoto d vodu postupem asu vznikly metody detekce, jenž dokážou odhalit i viry, které nejsou obsaženy ve virové databázi a tohoto nedostatku se tak áste n zbavit. Tyto speciální metody budou popsány pozd ji. Skenery lze rozd lit na dv hlavní skupiny: -
on-demand on-access
16
Bakalá ská práce
David Haba
On-demand skener slouží k vyhledávání vir až po vydání požadavku uživatelem (proto on-demand). Požadavek je asto nutno vydáván manuáln , obvykle zvolením požadované oblasti pro test (adresá e, pevný disk, disketa atd.) a stiskem tla ítka “start” v antivirovém programu. N které on-demand skenery je možné spustit na základ plánova e v uživateli definovaném asovém období. Další antivirové systémy pak umož ují spustit on-demand skener na základ ur ité události (nap . p i spušt ní spo i e obrazovky – screensaver). On-demand skenery byly nejvíce rozší eny v dob opera ního systému MS DOS, dnes se již používají jen v moment , kdy po íta není schopen normálního provozu. Protože rychlost u t chto skener není hlavním kritériem jako u níže specifikovaného on-access skeneru, ada on-demand skener dokáže kontrolovat na výskyt vir i intern zabalené binární soubory (UPX, Pklite atd.) a archivy vytvo ené pomocí ady archiva ních produkt (WinRAR, WinACE, WinZIP atd.), ale jen n které jsou schopny i manipulace s p ípadnými infikovanými soubory uvnit t chto archiv . Provoz ondemand skeneru je pro v tšinu b žných uživatel až p íliš komplikovaný, proto jsou dnes všechny antivirové systémy vybaveny on-access skenerem. On-access skener pln automaticky a nep etržit vyhledává viry v datech, nej ast ji v souborech se kterými p ichází uživatel do styku nebo s nimi pracuje . On-access skener tak m že testovat: spoušt né soubory / programy otevírané (kopírované) soubory ukládané soubory systémové oblasti Prohledávat spoušt né soubory na p ítomnost viru je nutným minimem pro on-access skener. Z principu vyplívá, že on-access skener provede antivirovou kontrolu souboru ješt p ed tím než dojde k jeho spušt ní. Pokud by kontrolovaný soubor obsahoval virus, on-access skener k danému souboru okamžit zablokuje p ístup, zobrazí varování a eká do doby, než uživatel rozhodne, jak dále postupovat. K otevírání souboru dochází nap íklad i p i jeho p esouvání i kopírování. B žný on-access skener tak dokáže zabezpe it p ed spušt ním i otev ením i infikované p ílohy elektronické pošty. Antivirový systém bez kontroly elektronické pošty tak není nutné na první pohled zatracovat, on-access skener ji ve své podstat nahradí (tj. t sn p ed spušt ním/otev ením/uložením p ílohy). On-access skenery se za aly b žn vyskytovat až s nástupem opera ního systému Microsoft Windows 95. D vod bylo n kolik: -
-
-
Opera ní sytém Microsoft Windows 95 byl ve své dob natolik náro ný na množství opera ní pam ti a výkon po íta e, že p ítomnost on-access skeneru po íta výrazn nezpomalila. Navíc, celá ada OS Windows je narozdíl od MS DOSu známa tím, že dokáže v r zný okamžik p i adit programu jiné množství systémových prost edk . Opera ní systém MS DOS byl na rozdíl od on-access skener až p íliš nenáro ný na množství opera ní pam ti a výkon po íta e. P ítomnost on-access skener pod MS DOS tak ostatní innost po íta e velice citeln zpomalovala a asto tak vznikaly ochuzené verze, jenž dokázaly detekovat pouze nejrozší en jší typy vir . Výpo etní výkon dnešních po íta je natolik vysoký, že p ítomnost on-access skener nelze v ad p ípad v bec registrovat.
Aby byl skener p i testování úsp šný, je pot eba zvolit ú innou strategii, podle níž je realizován výb r soubor pro skenování, na výb r jsou tyto:
17
Bakalá ská práce
-
-
David Haba
Prohlížet všechny soubory. Virus se v tomto p ípad nem že nikde ukrýt, ale celý test trvá výrazn déle a m že p inést i adu falešných poplach . Prohlížení soubor podle seznamu masek (*.exe, *.doc, *.xl?, *.scr atd.). Virus se m že vyhnout detekci v p ípad , že infikuje kup íkladu spustitelný soubor typu EXE, jenž má nestandardní p íponu (tj. nemá p íponu .EXE). Proces skenování je v této variant nejrychlejší. Nahlížení do hlavi ek všech soubor a na základ rychlého algoritmu rozhodnout, zda bude soubor podroben detailnímu testu v podaní skeneru, tj. zda by mohlo jít o soubor jenž by mohl být napaden virem. Obvykle je tento postup kombinován s p edchozí metodou. Výsledkem je nejlepší pom r mezi rychlostí a spolehlivostí.
U skener jsou nejvíce cen ny detek ní schopnosti (vysoká úsp šnost, minimum falešných poplach ) a rychlost. Detek ní schopnosti jsou závislé jak na samotném provedení skenovacího algoritmu, tak i na kvalit a aktualit virové databáze. Rychlost testování je výrazn ovlivn na zp sobem manipulace se soubory a s informacemi ve virové databázi. Rychlost m že být také závislá na využití dynamické cache pam ti i zp sobu prohledávání virové databáze (lineární, binární atd.). V žádném p ípad se nedoporu uje kombinovat on-access skenery více antivirových systém na jednom PC! M že tím docházet k vzájemným kolizím antivirových systém , výraznému zpomalení opera ního systému, ale i k neschopnosti detekovat jakýkoliv virus! Skenery uvnit Na po átku éry skener byla využívána metoda, jenž vyhledávala viry na základ skupiny (sekvence, et zec) instrukcí, které byly typické pro daný virus . To znamená, že virová databáze byla napln na sekvencemi známých vir a skener tyto sekvence hledal v jednotlivých souborech, p ípadn systémových oblastech disku. Jestliže skener objevil v souboru totožnou sekvenci jako m l ve virové databázi považoval ho za infikovaný a tuto skute nost oznámil i uživateli. K spolehliv jší detekci s minimem falešných poplach používaly n které antivirové programy n kolik sekvencí pro detekci jednoho viru. Vedlejším p ínosným efektem je v tomto p ípad i vyšší schopnost rozpoznat novou, dosud neznámou variantu existujícího viru. K nár stu rychlosti došlo od chvíle, kdy antiviry vyhledávaly tyto sekvence pouze v místech souboru, v kterých se daly o ekávat (na konci, na za átku). Této skute nosti ale využili i auto i vir , jenž se snažili umístit t lo viru n kam, kde by ho antivirus nebude hledat, obvykle do st edu souboru. Výrazné snížení množství falešných poplach p inesla tzv. exaktní identifikace, kdy po nalezení sekvence ješt skener spo ítá kontrolní sou ty konstantních oblastí v t le viru, porovná je s informacemi ve virové databázi a teprve pak upozorní uživatele na tém jistou p ítomnost viru. Exaktní identifikace umož uje i velice jemné rozlišování variant konkrétních vir . Krom exaktní identifikace existuje i generická detekce, její popis bude uveden níže. Výb r spolehlivé sekvence býval relativn snadnou záležitostí. To p inutilo autory vir k psaní zakódovaných vir , aby znesnadnily jejich detekci. V tomto p ípad je totiž možné získat sekvenci pouze z velmi malé ásti kódu - dekryptovací smy ky. Zbytek t la viru je pak v každém exemplá i jiný. Nejv tší problém ovšem p išel až s nástupem polymorfních vir , které umí generovat r zné tvary dekryptovacích smy ek. Pro n které z nich je možné vygenerovat sekvence (nebo n kolik sekvencí), jenž virus zachytí, ale tato sekvence již obsahuje tolik variabilních ástí, že asto dochází k detekci i zdravých program , ve kterých n jaký fragment kódu nebo dat této sekvenci vyhovuje. V tšina polymorfních vir bohužel generuje takové dekryptory, u nichž nelze hledání podle sekvencí použít. Skenery se ur itý as pokoušely o rozpoznávání polymorfních vir pomocí jednoú elových funkcí, ale to znamenalo krok zp t v postupu detekce viru. Sou asné skenery proto obsahují emulátor strojového kódu, kterým má za ú el emulovat provedení smy ky,
18
Bakalá ská práce
David Haba
a tímto zp sobem mohou hledat sekvence až v dekryptovaném t le viru. Dnešní emulátor kódu bývá natolik propracovaným systémem, že jeho pomocí není v tším problémem detekovat jakýkoliv i ten nejsložit jší polymorfní virus.
Obr. 2 Ukázka ásti infikovaného souboru virem Win32/Bagle.AB a sekvence, kterou používá ClamAV (GPL antivirus – www.clamav.net) pro jeho detekci (v hexadecimálním tvaru 62 65 20 6d 69 6e b7 f6 db ef 15 2d 2d 20 42 61...). Heuristická analýza Heuristická analýza je jedním z mnoha speciálních termín , které doprovázejí moderní antivirové programy. V podstat jde o hledání p íznak jenž jsou pro innost vir v po íta i typické nebo n jak podez elé. Touto detekcí lze odhalit i dosud neznámé viry. V minulosti docházelo p i Heuristické analýze k astým výskyt m falešných poplach což je u dnešních antivir s velmi propracovanou heuristickou analýzou spíše náhoda . Starší heuristické analýzy lze teoreticky ozna it za „pasivní“. První z nich byla použita v antivirech F-PROT a TBAV. Pasivní heuristika prohledávala soubory a hledala v nich typické p íznaky, sekvence znak , pro virus. Pokud bylo nalezeno takových p íznak dostate né množství, byl takový soubor považován za napadený. P íznakem mohlo byt nap . volání n které služby INT 21h, zápis do souboru apod. Nevýhodou bylo, že pasivní heuristika nedokázala proniknout do hloubky kódovaných i polymorfních vir a tak tyto složit jší viry nedokázala detekovat. Neaktivní heuristiku dokázaly viry snadno oklamat. Jestliže nap íklad heuristická analýza využívala sekvenci v hexadecimálním tvaru: B440CD21 (vyjad uje souhrn instrukcí mov ah,40; int 21h), mohl virus stejnou innost vyvolat úpln jinou sekvencí: B43FFEC4CD21 (mov ah,3f; inc ah; int 21h).
19
Bakalá ská práce
David Haba
V dnešní dob se k detekci vir ve v tšin p ípad využita „aktivní“ heuristická analýza. Základem je emulátor kódu a s ním spojená existence virtuálního prost edí po íta e. Emulátor kódu dokáže spustit soubor a jeho ást od-emulovat podobn , jako by ho spustil sám uživatel. Tato innost je ovšem provád na ve virtuálním prost edí a tak v p ípad spušt ní infikovaného souboru nedojde k ohrození po íta e. Protože pokud by byl zpracovávaný soubor infikován, emulátor ve své podstat vykoná i innost viru, od-emuluje dekódovací smy ku (dekryptor) a dostane se tak p ímo do zdrojového kódu viru. Díky tomu m že již skener vyhledávat vir podle sekvencí. Pokud jsou b hem emulace sbírány informace o aktivitách programu (nap . proces p esm rování vektor p erušení...), m že být do procesu zapojena i aktivní heuristická analýza, jenž na základ získaných informací vyhodnotí, zda se jedná nebo nejedná o virus. Jelikož emulace programu probíhá pomaleji než v p ípad skute ného spušt ní programu, má emulátor nastaven tzv. timeout - tj. as i po et instrukcí, po kterém se chod emulátoru na aktuálním souboru zastaví. Tohoto asového limitu n které viry dokážou využít ve sv j prosp ch. Falešné poplachy Již od za átku doprovázejí všechny skenery tzv. falešné poplachy (false positives). Za falešný poplach ozna ujeme situaci, p i níž antivirus detekuje virus, i když ve skute nosti o žádný nejde. Níže je výpis n kterých okolností, jenž mohou vést k falešným poplach m: -
Použití nesprávných sekvencí pro detekci vir . P íkladem m že být sekvence, jenž reprezentuje ást textu. Text se sice vyskytuje v t le viru, ale m že být i sou ástí zcela nezávadného dokumentu.
-
Použití krátkých sekvencí pro detekci vir . P i použití krátkých sekvencí (obvykle délky n kolika bajt ) se zvyšuje pravd podobnost detekce stejné sekvence i ve zcela nezávadných oblastech (soubory, systémové oblasti).
-
Zvýšení citlivosti antiviru za ú elem zvýšení úsp šnosti detekce. P ílišné zvýšení citlivosti antiviru m že nejen zvýšit úsp šnost detekce, ale i množství falešných poplach .
Tomuto mohou antivirové spole nosti áste n p edcházet d kladný testem nové virové báze na rozsáhlé sbírce soubor p ed vypušt ním do ostrého provozu. Naopak výb rem speciálních signatur lze docílit i tzv. generické detekce. Zde obvykle jde o „univerzální“ signaturu, jenž se vyskytuje v podobné, nebo v nezm n né form u více vir sou asn . M že se nap íklad jednat o n které typické replika ní mechanismy vir , které se již z jejich podstaty musí zákonit objevit. Generické detekce se tak hojn využívá p i detekci mnohých variant vir , jenž vznikají drobnými úpravami (odlišná destruk ní akce, jiné vypisované zprávy atd.) z p vodní verze. Velmi asto bývá také využívána p i detekci vir , které vznikly odlišným nastavením jednoho z ady generátor vir . S nástupem vir ší ících se pomocí elektronické pošty je generická detekce využívá k detekci „exploit “, tj. pokusu o zneužití bezpe nostních d r aplikace Internet Explorer a MS Outlook. 2.1.2
Aktualizace (update) antivirového systému
V minulosti, kdy sv tu dominovaly 3.5" diskety byla doba pot ebná na rozší ení viru po celém sv t v ádu m síc až let. Díky tomu m li antivirové spole nosti spoustu asu na vydání pat i né aktualizace, která se rozesílala zákazník m pomocí disket. 20
Bakalá ská práce
David Haba
Ší ení dnešních vir , erv a ostatní hav ti je díky sou asnému Internetu natolik rychlé, že antivirový systém nem že klasickou metodou detekce (vyhledávání známé infiltrace) v as zareagovat a vždy zde dochází k n kolika minutové až hodinové prodlev mezi objevením nové infekce a momentem, kdy je tato nová hav detekována antivirovým systémem. Další problém souvisí s tím, že né každá nová hav m že zp sobit globální problém jako nap . n které viry, jenž se ší í elektronickou poštou, ale r zná speciáln infiltrace spadající, nebo se blížící kategorii trojských koní m že p edstavovat pouze miniaturní problém n kolika uživatel rozsetých po sv t . Díky tomu m že trvat dlouhou dobu, než n který z nakažených uživatel zjistí, že s jeho PC není n co v po ádku a dodá antivirové spole nosti podez elé soubory k zajišt ní detekce. V horším p ípad ani uživatel nezjistí, že jeho není PC nepo ádku (trojský k m že nap . sloužit pouze jako "brána" na odesílání spamu a p ímo uživatele nijak omezovat nemusí). Tímto se dá vysv tlit i p ípad, kdy uživatel léta používal antivirus od ur ité spole nosti, pozd ji však na chvíli vyzkoušel antivirus od jiné spole nosti a tento nový antivirus našel spoustu hav ti. Otázkou je však to, co vlastn nový antivirus zachytil. Antivirus nemusí nutn detekovat pouze viry, ale i r zné jiné kategorie jako jsou jokes, spyware, adware apod.. Antivirové spole nosti se snaží zajistit co možná nejkratší asovou prodlevu mezi objevením nového viru a vydáním pat i né aktualizace pro antivirový systém. Je mylné p edpokládat, že antivirová spole nost vydávající aktualizace n kolikrát za den musí poskytnout vyšší úrove zabezpe ení než spole nost, která jich produkuje n kolik b hem týdne, protože pokud se objeví globální problém, dokážou ob spole nosti reagovat stejn rychle a pat i ná aktualizace je vydána v podobném ase. D ležit jším faktorem, je skute nost jak asto se o stažení aktualizace pokouší antivirus na stran uživatele. Obecn platí, že ím ast ji, tím lépe. Souhrnn lze íci, že pro efektivní innost aktualizace je nutné zajistit: -
rychlou reakci ze strany antivirové spole nosti, správné naplánování stahování aktualizací na stran uživatele.
Moderní antivirové systémy se tak snaží soust edit i na detekci dosud neznámé infiltrace. K tomu využívají již výše zmi ovanou heuristickou analýzu a generickou detekci. Pro majitelé s pomalejším p ipojením do sít Internet (prost ednictvím modemu – dial-up, GPRS apod.) je jist d ležitá rychlost, s jakou se aktualizace ze serveru stáhne do jejich po íta e. Rychlost ovliv uje nepochybn velikost aktualizace. Metodou, jak snížit velikost aktualizace je její rozd lení na dv nezávislé ásti: -
aktualizace programové ásti antivirového systému. Tato aktualizace odstra uje nedostatky v systémové ásti antiviru, pop ípad tuto ást rozši uje o nové funkce. aktualizace virové databáze. Tato aktualizace zajiš uje detekci nových vir , pop ípad upravuje detekci t ch stávajících.
To jakou cestou se aktualizují virové databáze je op t závislé na konkrétním výrobci antiviru. Obecn existují dva zp soby: -
-
úplná aktualizace, v tomto p ípad dochází pokaždé ke stažení celá virové databáze. Velikost takové aktualizace je obvykle v jednotkách MB a s nár stem nových vir pochopiteln její objem nabývá. Antivirové spole nosti se tak snaží tomuto zp sobu aktualizace vyhnout, je spíše vhodný pro jednorázové ru ní stahování uživatel bez p ipojení na internet. v p ípad inkrementální aktualizace se stahují pouze ty ásti virové databáze, jenž na serveru výrobce p ibyly od poslední provedené aktualizace. Díky tomu dochází
21
Bakalá ská práce
David Haba
k stahování pouze informací, které se na cílové stanici dosud nevyskytují. Pozitivem je malá velikost aktualizací, obvykle maximáln n kolik desítek KB a z toho plynoucí rychlost stahování aktualizací. P esto je ale nutné jednou za as stáhnout souhrnnou - bázovou aktualizaci, od které se následující inkrementální aktualizace odvíjejí a která zárove obsahuje veškeré p edcházející inkrementální aktualizace v jednom souhrnu. Poznámka: Modul, zabezpe ující stahování aktualizací z Internetu je v p ípad všech známých antivir natolik inteligentní, že p i každém pokusu stahuje pouze nové aktualizace, nikoliv znovu ty, jenž byly v minulosti již staženy. Nutnost asté aktualizace (ale i nutnost využití proaktivních metod detekce) dokládá následující graf z produkce spole nosti MessageLabs34. Graf znázor uje první zachycení uvedené infekce systémy MessageLabs a následn i rychlost reakcí antivirových spole ností (Vendors). Vodorovná osa vyjad uje as a svislá množství zachycených infikovaných email uvedeným virem. Jsou zde dob e patrné výše uvedené prodlevy mezi prvním objevením viru a vydáním pat i né aktualizace ze strany antivirové spole nosti.
Obr. 3 Virus Win32/Sobig.F. 2.1.3
Virová databáze
V p edchozích odstavcích byl zmín n problém virové databáze. V této ásti dojde k vysv tlení o co se jedná. Virová databáze obsahuje informace pomocí nichž dokáže antivirový skener vyhledávat známé viry, obvykle se ozna uje datem vydání a ur itou íselnou kombinací. Antivirový skener dokáže na základ informací z virové databáze detekovat v tšinu známých vir , jenž vznikly p ed datem vydání virové databáze. Pravidelnou aktualizací lze zkrátit rozdíl mezi verzí vaší sou asné virové databáze a verzí kterou zve ejnil výrobce antiviru a budou tak detekovány i nejnov jší viry. 22
Bakalá ská práce
David Haba
Virová databáze obsahuje obvykle následující minimum: název viru, informace, na základ kterých lze virus detekovat. Nap íklad: signatury, tj. sekvence znak stabiln se vyskytující v t le jednotlivých vir , pop . sekvence vyjád ené kontrolním sou tem. Kontrolní sou ty (CRC) statických ástí viru, díky nimž lze snížit riziko falešných poplach zp sobených náhodným výskytem virové sekvence ve zdravém programu. Informace o virové databázi se obvykle obtížn interpretují a to obzvlášt ty, jenž se týkají po tu detekovaných vir . Od tohoto po tu se rozhodn nedá odvozovat kvalitu antivirového programu., protože obrovské odlišnosti v po tu mohou být zp sobeny kup íkladu technikou kalkulace signatur pro generickou detekci. P i použití této metody lze n kolika signaturami detekovat celé rodiny vir . Záleží pouze na výrobci antiviru, kterou z metod použije. 2.1.4
Monitorovací programy
Monitorovací programy (behavior blocker) obecn hlídají zm ny v nastavení systému a chrání systém p ed replikací viru, a to na základ neustále kontroly a posléze aktivního zastavení takové ilegální akce. Monitorovací programy jsou aktivními nástroji pro detekci vir na základ zm n v chování systému, a to v reálném ase. Tyto programy zabra ují nelegálním akcím a signalizují, kdykoliv se cokoliv v systému pokouší o n jakou podez elou akci, která má charakteristiky chování viru, pop . jinak škodlivého, ilegálního chování, nap . pokus o zápis do chrán ných soubor , pokus o formátování disku atd. Protože však virus není ni ím jiným než sekvencí p íkaz , je zde zna ná pravd podobnost, že i legitimní programy mohou provád t stejné akce, a povedou ve svém d sledku k signalizaci stejn jako virus (nap . sebe-modifikující programy). Monitorovací program p edpokládá, že viry provád jí akce, které jsou svou povahou podez elé, a proto mohou být detekovány. To však nemusí být vždy platné tvrzení. Nové viry mohou využívat nové metody, které mohou být mimo p sobnost monitorovacího programu. Takový virus nebude monitorovacím programem detekován. Techniky, které se využívají u monitorovacích prost edk pro detekci chování podobného chování viru, rovn ž nejsou neselhávající. Navíc jsou monitorovací programy rovn ž napadnutelné. Existují totiž viry, které obejdou nebo zcela vypnou celý monitorovací systém. Na rozdíl od skener není tak snadné používat monitorovací programy. Dost totiž záleží na jejich nastavení. Obecn e eno, je-li nastavení p íliš jemné, bude program neustále hlásit poplach (a uživatele zákonit otráví a sníží jeho d v ru v software). Je-li naopak nastavení p íliš hrubé, program nebude detekovat tém nic (tedy ani n které viry). V p ípad , že monitorovací program ohlásí pokus o n jakou z jeho pohledu podez elou akci, je na uživateli, aby byl schopen posoudit, zda se jedná o falešný poplach (zda daný program provádí legitimní innost), nebo o pokus viru. Tím je kladen na uživatele zna ný nárok. Na druhé stran jsou tu však i výhody monitorovacích program : -
Tyto programy mohou být p i optimálním nastavení velmi citlivými detek ními prost edky a mohou zachytit i n které dosud neznámé viry.
-
Monitorovací software nemusí být aktualizován s p íchodem b žných nových vir . Aktualizaci bude vyžadovat pouze v p ípad , kdy se objeví nový typ infiltrace, trend apod.
23
Bakalá ská práce
David Haba
Mezi mén vid né sou ásti n kterých AV systém m žeme zmínit nap íklad:
2.1.5
-
karanténu (quarantine), kam je možné „zakonzervovat“ infikované soubory. V praxi jde o speciální adresá , který je pod kontrolou antiviru a asto je jeho obsah zajišt n p ed vlivem externích faktor . Karanténa si najde uplatn ní v p ípad , kdy jsou napadeny životn d ležité soubory uživatele, které nemohou být sou asnou verzí antivirového systému úsp šn vylé eny. Uživatel tak m že tyto soubory bezpe n p esunout do karantény, vy kat na verzi, která již bude tyto soubory schopna od viru osvobodit, a následn je z karantény vrátit zp t na p vodní místo disku. T sn p ed lé ením je n kterými antivirovými systémy využita karanténa jako místo pro tvorbu záložních kopií.
-
antivirové plug-iny. Nej ast ji je k vid ní plug-in pro kancelá ský balík Microsoft Office. Nov jší verze Office jsou ze strany Microsoftu uzp sobeny tak, že obsahují rozhraní i prostor uvnit produktu pro instalaci práv t chto antivirových plug-in . Komunika ní rozhraní umož uje plug-inu testovat otevírané dokumenty, sledovat innosti MS Office apod. Z pohledu antivirového systému jako celku, jde o velice nezajímavou sou ást. Pln ji totiž dokáže nahradit on-access skener.
-
antivirový spo i obrazovky. Jde o speciální verzi on-demand skeneru, který se spouští automaticky místo klasického spo i e obrazovky (screensaver). B hem skenování je v n kterých p ípadech možné vyvolat p vodní spo i .
Kontrola integrity
Kontrola integrity je založena na principu porovnávání aktuálního stavu soubor a oblastí na disku s informacemi, jenž si kontrolní program (integrity checker) vytvo il p i posledním spušt ní, pop ípad p i jeho instalaci. V p ípad , že se do takto chrán ného po íta e dostane virus, obvykle na sebe upozorní zm nou n kterého z kontrolovaných objekt a dojde k jeho zachycení kontrolou integrity. Spolehliv tak lze zachytit i nové, doposud neznámé viry, které nezachytí skener i dokonce heuristická analýza. Nasbírané informace lze asto využít i k velice ú innému lé ení. Aby tato ochrana po íta e správn fungovala je nutné kontrolu integrity správn nainstalovat a hlavn ji správn a pravideln kontrolovat. To je jeden z d vod , pro kontrola integrity pomalu z antivirových systém mizí, pop ípad je využita v takové form , p i níž nemá uživatel o její p ítomnosti potuchy. Klasické kontrole integrity se musí v novat více asu než skener m. Protože pracuje v režimu on-demand, takže ji uživatel musí aplikovat ru n a po každém pr chodu kontroly integrity diskem je nutné, aby uživatel správn potvrdil, zda pozm n né objekty vznikl jeho zap í in ním nebo p sobením n jakého viru. Pokud zvolí špatn (tj. zm ny zp sobené virem ozna í jako zm ny, jenž byly zp sobeny systémem, pop ípad uživatelem), všechny následné kontroly postrádají smysl. Tím budou infikované objekty považovány za nezávadné a informace které by pomohly virus odstranit budou p epsány informacemi, jenž již vyjad ují infikovaný stav. Z tohoto je z ejmé, že objevení viru pomocí kontroly integrity je zcela závislé na uživateli. Dalším p edpokladem pro úsp šné nasazení kontroly integrity je provedení instalace v ase, kdy po íta není infikován. V opa ném p ípad by kontrola integrity vycházela z uložených informací, jenž by byly již ve stavu infekce. Dalším negativem plynoucím z principu funkce kontroly integrity je to, že dokáže zachytit virus až ve chvíli, kdy je aktivní. Mezi informace, které si kontrola integrity zapisuje b hem pr chodu disku pat í nap íklad: datum souboru délka souboru
24
Bakalá ská práce
-
David Haba
kontrolní sou et souboru (pop ípad jeho ásti) kontrolní sou et systémové oblasti atributy souboru informace pro budoucí lé ení ( ást hlavi ky souboru, ást systémové oblasti apod.)
Jak už bylo zmín no, klasická forma kontroly integrity postupn upadá, místo ní lze u n kterých antivir najít kombinaci: kontrola integrity & on-demand skener. Díky tomu, že kontrola integrity provádí jen n kolik základních operací, je podstatn rychlejší než virový skener a proto této skute nosti n které antiviry využívají tím, že místo on-demand skenu ve skute nosti provádí kontrolu integrity. Jestliže se skute ný stav liší od stavu, který si kontrola integrity uložila p i p edchozím testu, dojde k otestování zm ny pomocí skeneru i s využitím heuristické analýzy, pokud je v antiviru obsažen. Z t chto skute ností je z ejmé, že skener je použit pouze pokud je nalezen modifikovaný i nový souboru na disku. Výsledkem tohoto spojení je vyšší rychlost p i zachování stejné spolehlivosti detekce. Z principu kontroly integrity vyplívá, že ji nelze použít v p ípad disket a ostatních médií. Pokud by jsme ji cht ly u t chto nosi použít musely by se na nosi ích p enášet i posbírané informace kontroly integrity a ke kontrole na t chto médiích by se mohli používat jen systémy od stejného výrobce.
2.2
Antivirová ochrana bran, groupware a server
po íta
V p edchozí kapitole byla popsána antivirová ochrana pracovních stanic, tedy i b žných v domácnosti, nyní se budeme zabývat ostatními lokalitami sít .
2.2.1
Zabezpe ení vstupní brány (gateway)
Jde o relativn mladou skupinu antivirového softwaru vzhledem k systém m jenž slouží k ochran souborových server . Zatímco d íve se viry ší ily prost ednictvím disket, dnes to jsou t i významné aplika ní protokoly: http (HyperText Transfer Protocol), FTP (File Transfer Protocol), SMTP (Simple Mail Transfer Protocol). Skrze tyto zmín né protokoly mohou teoreticky pronikat všechny typy infiltrací, po ínaje souborovými viry, kon e nebezpe nými ActiveX aplety. Nejvyšší m rou se na celkové infekcí podílí protokol SMTP, jenž tvo í základ poštovních server . Úsp šnost infiltrací ší ících se prost ednictvím elektronické pošty, to znamená za užití SMTP protokolu je z etelná již na první pohled. Narozdíl od ostatních útok je totiž p ípadný virus / erv doru en uživateli p ímo do jeho po íta e. D ležitým upozorn ním p i ochran vstupních bran je skute nost, že tato ešení chrání po íta ovou sí proti útok m z vn sít , ale už nechrání firemní data proti útoku v rámci LAN. Do této kategorie tak lze zahrnout antivirové systémy pro ochranu firewall a e-mailových server . Firewall – ochrana: Všeobecn antivirové programy na vstupních branách – firewallech, mohou fungovat dvojím zp sobem. a) Protokol CVP
25
Bakalá ská práce
David Haba
Obr. 4 CVP protokol, možná varianta. Jedná se o speciální protokol (Content Vectoring Protocol), jenž slouží k p esm rování paket na protokolech HTTP, FTP a SMTP z firewallu na jiný server, zde dojde k jejich zpracování, v našem p ípad k otestování antivirovým programem a následn se vrátí na p vodní firewall. Na základn výsledk antivirové kontroly firewall tyto pakety pustí i nepustí do vnit ní sít . Z definice vyplívá, že pro úsp šné nasazení tohoto ešení je zapot ebí jak odpovídající firewall s podporou CVP, tak i p íslušný antivirus. Vzhledem k tomu, že antivirový program není p ímo instalován na firewall a tím dochází k p enosu velké množství paket mezi ním a za ízením na n mž je nainstalován antivirus, je nutné zajistit velkou datovou propustnost mezi t mito za ízeními a dále je vybavit výkonným hardwarem. V p ípad velkých organizací je vhodné zatížení rozložit na základ toho, že každý server s antivirovým systémem se bude v novat pouze jednomu ze t í aplika ních protokol (HTTP, FTP, SMTP). Tím se také zajistí vyšší pr chodnost linky.
Obr. 5 P íklad ešení, kdy je každému monitorovanému protokolu p i azen server.
26
Bakalá ská práce
David Haba
Alternativou k výše uvedenému ešení, jenž vede k snížení zát že jednotlivých server , m že být software spole nosti Checkpoint – Firewall-1, kde je možno každý aplika ní protokol rozložit mezi dva antivirové skenery. Celkov jich lze p ipojit až 6. Zde je p ehled hlavních firewallu, podporujících protokol CVP: -Altavista Firewall -Check Point FireWall-1 -Cyberguard Firewall for NT -Gauntlet -Milkyway/SLM SecurIT Firewall for Solaris -Secure Computing Firewall for NT -Secure Computing SecureZone -Sun Solstice Firewall b) Proxy architektura Výhodou t chto ešení je p edevším jejich rychlost i když jen za ur itých podmínek. Pakety procházejí skrze antivirovou kontrolu (zde jsou pakety složeny do souborového tvaru, zkontrolovány antivirovým systémem, poté op t rozloženy a zaslány na p íslušné cílové stanice v lokální síti) jenž je umíst na spole n s firewallem na jednom míst a pak rovnou ke stanicím uvnit sít a tím nedochází k zpožd ní jako v p edchozích p ípadech. Z toho plyne i jednodušší zp sob konfigurace tohoto ešení. Naopak za nevýhody lze považovat nemožnost rozložení zát že na více antivirových skener zárove a paradoxn v n kterých p ípadech i vyšší cenu. Cenov dostupnou alternativou m že být ešení spole nosti Kerio Technologies, jejíž produkty vznikají na území eské Republiky. Jedná se o Software Kerio WinRoute Firewall 6, který je vybaven speciálním rozhraním, komunikujícím s adou antivirových systém (pro zajímavost nap íklad: AVG, avast!, NOD32, McAfee). K Antivirové kontrole dochází v tomto p ípad na úrovni HTTP, SMTP, POP3, FTP a na stejném stroji jako je umíst n samotný firewall. Toto ešení je tak vhodné pro malé a v tší spole nosti.
Obr. 6 Proxy ešení antivirové ochrany.
27
Bakalá ská práce
2.2.2
David Haba
Ochrana poštovních bran
Antivirové programy pro e-mailové brány jsou v podstat jednoduší verzí toho, co bylo uvedeno výše. Narozdíl od firewall s podporou protokolu CVP chrání pouze protokol elektronické pošty – SMTP. Princip fungování antivir pro e-mailové brány spo ívá v samostatném antivirovém serveru, jenž je umíst n bu v chrán né nebo venkovní síti a je mu p i azeno vlastní jméno v DNS (Domain Name Server). Pomocí pat i né úpravy p íslušných MX záznam v DNS dojde k tomu, že pošta nejd íve putuje na tento antivirový skener (tam jsou pakety složeny do formy e-mail , dochází k jejich antivirové kontrole, následn jsou op t rozloženy do paket ) a pak teprve na p vodní podnikový poštovní server.
2.3
Sí ové schopnosti antivirových systém
2.3.1
Centrální správa
Centrální správa slouží k monitorování stavu antivirových systém na jednotlivých stanicích a serverech, pomocí ní lze dálkov spoušt t testy, provád t manuální aktualizace, instalovat antivirové systémy na nové stanice a také nastavovat jejich chování. Na centrální správu m že posloužit libovolný po íta v síti, na který je nainstalována konzole pro správu od daného výrobce antiviru nebo server na n mž je konzole i p íslušný software pro správu. Komunikace mezi konzolý a serverem s centrální správou využívá standardní protokoly jako TCP/IP i http (HTTPS). 2.3.2
Zrcadlení aktualizací
Typickou možností sí ových antivirových ešení je zrcadlení aktualizací. Programové aktualizace v etn aktualizace virové báze jsou staženy od výrobce AV systému z Internetu pouze jedním po íta em a následn se distribuují ostatním stanicím a server m v lokální síti. P ínosem tohoto ešení je výrazné snížení zát že Internetové linky, protože ostatní stanice a servery provád jí aktualizaci v rámci lokální sít . ešení distribuce aktualizací bývá nej ast ji realizováno prost ednictvím protokolu HTTP i HTTPS, k vid ní jsou ešení na bázi sí ov nasdíleného adresá e, odkud si jednotlivé stanice požadované aktualizace stahují. 2.3.3
Notifikace
Jedná se o moduly, zajištující informovanost vybraných osob, nap íklad prost ednictvím email , broadcastových zpráv i SMS. Je zapot ebí rozum nastavit rozesílání t chto zpráv, aby v p ípad v tší nákazy nedošlo k zahlcení sít nebo zbyte nému vytížení server . 2.3.4
Hromadné a vzdálené instalace
B hem nasazování antivirového ešení do velkých spole ností nemusí být v silách správce sít provést manuální instalaci antivir na všechny stanic. Proto je ada antivirových ešení vybavena produktem, umož ujícím vzdálenou instalaci antiviru. 28
Bakalá ská práce
David Haba
Konkrétní antivirové spole nosti Následuje p ehled nejznám jších antivirových spole ností z pohledu použití v eské Republice. Alwil Software (avast!) Pravd podobn nejstarší tuzemský výrobce antivirového produktu. avast! antivirus zp sobil p ed lety rozruch, když hned p i vstupu do srovnávacích test Virus Bulletin dokázal porazit adu antivir zvu ných jmen a nedlouho poté jako první v historii detekoval 100% vir ve všech kategoriích. V dnešní dob je jednou z mála spole ností, která nabízí velice kvalitní ešení pro domácnosti zdarma (avast! home edition). ESET (NOD32) Antivirový systém NOD32 slovenské spole nosti ESET se dostal do podv domí taktéž až se vstupem do srovnávacích test asopisu Virus Bulletin. Drží rekordní po et ocen ní Virus Bulletin 100% Award a nechává za sebou i taková zvu ná jména jako Symantec, McAfee i FSecure. Skenovací „motor“ je po technologické stránce tím nejlepším a schopnosti heuristické analýzy to jen potvrzují. Grisoft (AVG) Druhý z eských výrobc , tentokrát produktu AVG. Pojem AVG se stal z ejm navždy legendou v R i na Slovensku navzdory tomu, že se nem že chlubit takovou spoustou prestižních ocen ní, jako n které konkuren ní produkty. B hem zá í 2005 bylo prodáno 65% spole nosti zahrani nímu investorovi v hodnot 52 milión dolar . McAfee VirusScan (d íve NAI) Z ejm nejlegendárn jší antivirový systém. V dob MS DOSu bylo možné najít tento antivirus na velké spoust PC v nep edstaviteln velkém množství verzí. P íchod polymorfního viru One_Half v roce 1994 odhalil velkou slabinu tohoto systému a tím byla práv detekce polymorfních vir . Tento a další problémy, v etn mírné technické zaostalosti za konkurencí, vy ešilo až odkoupení tehdy nejuznávan jšího antivirového systému Dr. Solomon AVTK. Kaspersky Lab (Kaspersky Antivirus) Ruská spole nost se sídlem v Moskv . Zakladatelem je Eugen Kaspersky, jeden z nejuznávan jších virových odborník . B hem dlouhé historie m nil antivirus dvakrát svoje jméno. P vodní název Doktor Kaspersky byl ješt za dob nízké popularity zm n n na AntiViral Toolkit Pro (AVP), se kterým prorazila spole nost do sv ta. Mezi vedením a distributory došlo pozd ji z ejm k velice ostrým spor m, takže ada z nich odešla ke konkurenci. Nejv tší strategickou ztrátou byl distributor pro USA, majitel domény www.avp.com. Využití této domény pro prodej konkuren ního antiviru rumunské spole nosti Softwin, byl dokonalou pomstou, obzvlášt když byl narychlo p ejmenován na AVX (siln p ipomínající p vodní AVP). Celá tato krize vyvrcholila až druhým p ejmenováním, tentokrát na Kaspesky Antivirus (KAV). Kaspersky Lab nabízí v dnešní dob širokou škálu velice propracovaných ešení a nabízí aktualizaci virové bázekaždou hodinu. 29
Bakalá ská práce
David Haba
Symantec (Norton Antivirus) Softwarový gigant, jehož produkty Norton Commander i Norton Utilities zná snad každý pokro ilejší uživatel. Mezi obrovskou škálou produkt najdeme i Norton Antivirus. Sou asné verze nabízejí nejkomplexn jší ešení jak pro jednotlivce tak i spole nosti. B hem své existence pohltil IBM Antivirus. Mezi zápory pat í p edevším jeho vyšší systémové nároky na PC.
Test antivirových ešení 1 AVG 1.1
instalace AVG Admin
P ed vlastní instalací je pot eba z webu grisoftu stáhnout tyto instala ní soubory: AVG 7.1 pro Windows a Vzdálená správa AVG 7.1 pro Windows. •
Instalaci spustíte dvojklikem na avg71adm_368. exe
•
Výb r jazyka Úvodní dialog je zobrazen v jazyce opera ního systému, na který se AVGADMIN instaluje. Jazyk instalace lze zm nit podle pot eby a potvrdit stiskem tla ítka Další.
•
Licen ní podmínky V dalším dialogovém okn se zobrazí licen ní podmínky užívání Antivirového systému AVG. Pokud souhlasíte, stiskem tla ítka Souhlasím pokra ujte v instalaci. V opa ném p ípad stiskn te tla ítko Nesouhlasím a instalace bude ukon ena.
•
Cílový adresá Nyní zvolte cílový adresá , kam bude AVGADMIN (a jeho sou ásti) nainstalován. Pokud chcete zvolit jiný adresá , zadejte novou cestu nebo jej vyberte z naviga ního stromu lokálního disku stiskem tla ítka Procházet. Pro pokra ovaní v instalaci stiskn te tla ítko Další.
•
Potvrzení adresá e Pokud jste ur ili jiný než výchozí adresá a tento adresá neexistuje, budete požádáni o rozhodnutí, zda chcete adresá vytvo it. Pro potvrzení akce, stiskn te tla ítko Ano.
•
Výb r komponent V dalším okn je zobrazen dialog, kde máte zvolit ty komponenty vzdálené správy, jež si p ejete nainstalovat. Také zvolíte typ sí ové komunikace. Implicitn je nastaveno ešení pomocí AVG TCP Server. Pokud jste se rozhodli zvolit jiné ešení, zatrhn te p íslušnou položku. Pokra ovat v instalaci budete po stisku tla ítka Další:
30
Bakalá ská práce
David Haba
Doporu ené nastavení: Fileserver
Pracovní stanice administrátora
Uživatelské rozhraní AVGADMIN 7.1
ne
ano
Dokumentace
ne
ano
AVG Admin 7.1 DataCenter
ano
Pokud chcete vzdálen instalovat Antivirový systém AVG na stanice v síti za pomocí Pr vodce nastavením AVG DataCenter.
AVG TCP Server
Doporu eno pro všechny typy sítí
Pokud chcete vzdálen instalovat Antivirový systém AVG na stanice v síti za pomocí Pr vodce nastavením AVG DataCenter.
Pokud AVG TCP Server nenainstalujete, budou se jednotlivé klientské stanice muset p ipojovat p ímo do AVG DataCenter. Poznámka: Pokud nebude nainstalován AVG TCP Server, nebudete mít možnost spustit Pr vodce nastavením AVG DataCenter Databáze Firebird
Databáze doporu ená pro sít do 150 po íta
ne
AVGINET Lite
Pokud chcete využít možnosti zrcadlení aktualiza ních soubor na lokálním serveru
ne
Skripty pro MS SQL Server
Pro sít s více než 150 stanicemi; tento skript je nutný pro p ipojení k MS SQL serveru
ne
Skripty pro Firebird Server
Nedoporu ujeme!
ne
Pokud už máte nainstalovanou databázi Firebird, m žete tohoto skriptu využít a p ipojit se ke stávající databázi - není t eba instalovat databázi Firebird znovu. Poznámka: Tato alternativa nastavení není editovatelná pomocí Pr vodce nastavením AVG DataCenter. Pokud se 31
Bakalá ská práce
David Haba
pro tuto možnost rozhodnete, budete muset konfigurovat p ipojení ru n . AVG S-Tool
ne
Pokud chcete využít možnosti vzdálené instalace Antivirového systému AVG
V p ípad , že budete administrovat AVG stanice ze serveru je pot eba na n j nainstalovat stejné komponenty jako na stanici administrátora. •
Potvrzení instalace V tomto dialogu je zobrazen souhrn parametr , které byly zvoleny. Pro pokra ovaní instalace stiskn te tla ítko Dokon it.
•
Dokon ení instalace Pokud byl AVGADMIN (a všechny jeho ásti) úsp šn nainstalován, zobrazí se dialog o úsp šné instalaci, který potvrdíte tla ítkem OK.
1.2
Nastavení AVG Datacenter a file serveru
Pokud jste b hem instalace AVG Admin potvrdili, že si p ejete nainstalovat komponenty: AVG Admin 7.1 DataCenter a TCP Server, tak se automaticky spustí Pr vodce nastavení AVG DataCenter Pozn:
DataCenter m že být také spušt n kdykoliv po dokon ení instalace Vzdálené správy AVG. Z nabídky Start na ploše Windows zvolte Start >> Programy >>AVG Admin 7.1 >> Pr vodce nastavením AVG DataCenter. •
V úvodním okn stiskn te tla ítko Další pro zahájení procesu konfigurace. Tato akce m že trvat i n kolik minut.
•
Dialog Sou asný stav AVG DataCenter zobrazí p ehled aktuálních nastavení AVG DataCenter. Pokud je p ipojení správn konfigurováno, text se zobrazí zelen (viz následující obrázek). V sekci Možnosti nastavení pak m žete vybrat ty položky, jejichž nastavením chcete za pomocí tohoto pr vodce projít. Nabídka obsahuje tyto možnosti: Nastavit AVG DataCenter
Zde m žete provést p enastavení sou asné konfigurace v p ípad , že se chystáte použít jinou databázi.
Nastavit aktualizace
V tomto procesu m žete nastavit parametry zrcadlení aktualiza ních soubor , pokud této možnosti budete chtít využít. Je-li Vaše sí malá a p ejete si, aby všechny stanice provád ly aktualizace p ímo z Internetu, není t eba tuto položku vybírat. 32
Bakalá ská práce
Instalovat aplikaci Antivirový systém AVG na stanice
David Haba
Pro souborový server není tato možnost v tšinou zapot ebí, protože hromadná vzdálená instalace se nej ast ji provádí z pracovní stanice administrátora. Tato položka nebude aktivní, pokud jste b hem procesu instalace nezvolili komponentu S-Tool.
Zaškrtnutím zvolte požadované možnosti a svou volbu potvr te stiskem tla ítka Další. •
Dialog Výb r AVG DataCenter Vám umožní zvolit si vhodný typ databáze pro vzdálenou správu. Pokud spravujete sí s mén než 150 stanicemi, doporu ujeme Vám volbu databáze Firebird. Svou volbu potvr te stiskem tla ítka Další.
•
V dialogu P íprava AVG DataCenter pouze stiskn te tla ítko Další a pokra ujte v sekvenci konfigurace. Tímto krokem spustíte proces vytvo ení a p ípravy nové databáze pro AVG DataCenter (pokud již databáze AVG DataCenter existuje, bude tímto krokem p enastavena).
•
V dialogu Zrcadlení aktualiza ních soubor je t eba zvolit zp sob aktualizace vhodný pro Vaši sí . U sítí s po tem stanic nižším než 25 doporu ujeme nastavit aktualizaci jednotlivých stanic p ímo z Internetu. U rozsáhlejších sítí pak doporu ujeme nastavit zrcadlení aktualiza ních soubor : kopii aktualiza ního souboru uložte na server a v tomto lokálním umíst ní ji zp ístupn te všem pracovním stanicím pro provedení aktualizace. -
Chcete-li nastavit stahování aktualiza ních soubor tla ítko Další.
p ímo z Internetu, stiskn te
-
Chcete-li aktivovat možnost zrcadlení aktualiza ních soubor , ozna te položku Aktivovat zrcadlení aktualizací a do p íslušného textového pole vložte licen ní íslo AVG Multilicence. Následn klikn te na tla ítko Další
•
V dialogu Složka pro aktualiza ní soubory stiskn te tla ítko Další a následn potvr te volbou tla ítka Ano, že si p ejete vytvo it nový adresá .
•
V dialogu Interval kontroly výskytu nové aktualizace definujte, v jakých intervalech se mají provád t kontroly existence nového aktualiza ního souboru (jak asto bude AVG ov ovat, zda byla vydána nová verze aktualiza ního souboru). Doporu ujeme Vám ponechat výchozí nastavení. Pokra ujte stiskem tla ítka Další.
•
V dialogu Nastavení aktualiza ních server m žete definovat, ze kterých server mají být aktualiza ní soubory stahovány. Op t doporu ujeme ponechat výchozí nastavení. Pokra ujte stiskem tla ítka Další.
•
Pokud jste vybrali možnost Instalovat Antivirový systém AVG na stanice, bude pr vodce pokra ovat v instalaci avg na stanice, jestli ne následující dialog zobrazí parametry Vašeho nastavení pro všechny typy instalace, které jste zvolili. Ov te si, že všechna nastavení jsou správná. Poznamenejte si P ipojovací et zec pro AVGADMIN – tuto informaci budete pozd ji pot ebovat! Pokra ujte stiskem tla ítka Dokon it.
33
Bakalá ská práce
1.3
Konfigurace stanice
1.3.1
Vzdálená instalace AVG na stanice
David Haba
Vzdálenou instalaci lze provést pouze na stanice s OS MS Windows NT4/2000/2003/XP Professional. •
Pr vodce nastavením AVG DataCenter Vás nyní provede procesem vzdálené instalace Antivirového systému AVG na jednotlivé stanice v síti. Pokra ujte stiskem tla ítka Další.
•
V následujícím dialogovém okn zadejte své licen ní íslo a definujte cestu k adresá i na vašem po íta i, v n mž je uložen instala ní soubor Antivirového systému AVG, který jste stáhli z internetu. Pokra ujte stiskem tla ítka Další.
•
V dalším dialogu zvolte, jakým zp sobem mají být v síti vyhledány stanice, na n ž bude Antivirový systém AVG vzdálen instalován. M žete bu to prohledat celou doménu (to je výchozí nastavení vyhledávání) anebo vyhledávat stanice v rozmezí definovaném stanoveným rozsahem IP adres. Dále doporu ujeme, abyste pro veškerou komunikaci se službou AVG Agent chránili heslem. Tím bude bezpe nost služby významn posílena. Heslo si poznamenejte pro budoucí použití. Pokra ujte stiskem tla ítka Další. Poznámka: Po stisku tla ítka Další bude nutné chvíli po kat, než pr vodce prohledá všechny dostupné stanice. •
Jakmile pr vodce dokon í prohledávání sít , zobrazí výsledky pr zkumu v p ehledném seznamu. M žete se rozhodnout pro vzdálenou instalaci Antivirového systému AVG na všechny stanice a nebo pouze na ty stanice, na nichž AVG dosud není instalován. Další možností je definovat stanice ur ené k instalaci Antivirového systému AVG p ímým výb rem ze seznamu. Pokud jste tedy zvolili skupinu stanic, na n ž si p ejete AVG nainstalovat, zahajte samotnou instalaci stiskem tla ítka Instalace.
Poznámka: Proces instalace m že trvat relativn dlouho, podle po tu stanic ve Vaší síti.
1.3.2
Ru ní instalace AVG na stanice
Doporu uji takto instatalovat AVG na stanice s win98. •
Instalace AVG 7.1. V tomto okn si m žete zvolit jazyk instalace, tedy jazyk, v n mž budou zobrazeny dialogy instala ního procesu. Volba jazyka aplikace bude stále dostupná a jazyk, v n mž s Vámi bude program komunikovat, si budete moci zvolit kdykoliv po dokon ení procesu instalace. Volbu jazyka pro instala ní proces tedy potvr te stiskem tla ítka Další.
•
V dialogu Licen ní smlouva si m žete p e íst plné zn ní licen ního ujednání. Souhlas s touto smlouvou potvrdíte stiskem tla ítka Souhlasím.
•
V dialogu Zvolte typ instalace je t eba vybrat ze dvou možných typ provedení instalace: standardní nebo uživatelská. V p ípad instalace Antivirového systému
34
Bakalá ská práce
David Haba
AVG na pracovní stanice v síti je nutné zvolit možnost Uživatelské instalace. Ozna te ji tedy a svou volbu potvr te stiskem tla ítka Další .
1.3.3
•
V dialogu Registrace AVG uve te své jméno, název spole nosti a zadejte licen ní íslo AVG Multilicence. Licen ní / prodejní íslo musí být vloženo p esn v tom tvaru, jak jste jej obdrželi. Po vložení všech údaj pokra ujte stiskem tla ítka Další.
•
V dialogu Cílový adresá stiskn te tla ítko Další.
•
Pokud adresá , do n jž má být AVG instalováno, v tuto chvíli neexistuje, budete dotázáni na jeho vytvo ení. Objeví se okno Adresá neexistuje a v n m stiskem tla ítka Ano potvr te, že si p ejete vytvo ení definovaného adresá e.
•
V dialogu Zvolte komponenty m žete definovat, které komponenty AVG mají být instalovány. Doporu ujeme, abyste do výb ru zahrnuli i položku Komunika ní knihovna vzdálené správy. Tato komponenta musí být instalována, aby AVGADMIN mohl komunikovat s klientskou instalací Antivirového systému AVG. Pokra ujte stiskem tla ítka Další.
•
V dialogu Kontrola pošty, ponechte zatrhnuté Obecný E-mail scanner (doporu eno) a klikn te na Další.
•
Pokud jste potvrdili instalaci Komunika ní knihovny vzdálené správy, objeví se nyní dialog DataCenter. Zadejte p ipojovací et zec pro p ipojení k AVG DataCenter anebo m žete nechat pole volné a hodnotu p ipojovacího et zce doplnit po dokon ení instalace. P ipojovací et zec jste získali b hem instalace Vzdálené správy. Pokra ujte stiskem tla ítka Další.
•
V dialogu Potvrzení instalace potvr te stiskem tla ítka Dokon it dokon ení instala ního procesu.
•
Pokud se v sekvenci dialog instala ního procesu objeví okno nazvané Ukon ení aplikací, pokra ujte pouze stiskem tla ítka Další. N které spušt né programy mohou kolidovat s procesem instalace a pro dokon ení instalace je pot eba je zav ít. Pokud jste je nezav eli p ed zahájením instalace, Antivirový systém AVG je nyní zav e automaticky.
•
V dialogu Instalace dokon ena! sta í stiskem tla ítka OK potvrdit dokon ení instala ního procesu. U n kterých opera ních systém bude vyžadován restart po íta e – o této skute nosti budete v daném p ípad v dialogu informováni.
Konfigurace stanic v AVG Admin
V programu AVGADMIN máte možnost p ímé konfigurace spole ných nastavení pro všechny stanice i uživatele. Máte-li AVG DataCenter spušt n v ídícím režimu, budou tato spole ná nastavení závazná pro všechny stanice/uživatele zapojené v síti. Poznámka: Pokud máte stanice/uživatele sdružené do skupin, veškerá povinná spole ná nastavení budou platná i pro všechny tyto skupiny.
35
Bakalá ská práce
David Haba
Jakákoliv zm na spole ného nastavení se projeví teprve poté, kdy prob hne synchronizace dat mezi klientskými stanicemi a AVG DataCenter. Pokud chcete mít jistotu, že povinná nastavení jsou pro tu kterou stanici platná, vyžádejte si okamžitou synchronizaci konfigurace dané stanice/uživatele s AVG DataCenter. U spole ných nastavení pro uživatele je nutné vyžádat si synchronizaci uživatele, nikoli stanice. Synchronizaci uživatele si v programu AVGADMIN m žete vyžádat pouze z pokro ilého režimu!
1.4
•
V rozhraní AVGADMIN vyberte ze systémového menu položku Nastavení >> Spole né nastavení pro stanice / Spole né nastavení pro uživatele.
•
V dialogu Uživatel .SHARED.USER najdete t i záložky, na nichž je možné definovat parametry spole ného nastavení: Obecné nastavení, Testy a Naplánované úlohy. Pokud jste zvolili alternativu Spole né nastavení pro stanice, edita ní dialogové okno se jmenuje Stanice .SHARED.STATION a oproti edita nímu dialogu spole ných nastavená pro uživatele má navíc ješt t i další záložky: Pravidla, E-mail a Firewall.
Instalace AVG e-mail serveru pro Exchange 2000/2003 Server
AVG pro Exchange 2000/2003 Server používá rozhraní VSAPI 2.0/2.5 vyvinuté spole ností Microsoft pro kontrolu pošty v aplikacích Exchange. Proto musíte mít pro produkt Exchange 2000 Server nainstalovaný Service Pack 1 (nebo vyšší), aby bylo možno použít kontrolní jádro AVG Anti-Virus pro ochranu pošty. P ed instalací AVG pro Exchange 2000/2003 Server je pot eba nejprve nainstalovat AVG 7.5 File Server nebo AVG 7.5 pro Windows •
Spušt ním instala ního balíku otev ete úvodní obrazovku setupu. Stiskn te tla ítko Další pro pokra ování instalace.
•
Licen ní ujednání V dalším okn najdete plné zn ní licen ního ujednání. Prosím, podrobn si jej p e t te a pokud souhlasíte se všemi jeho podmínkami, stiskn te tla ítko Souhlasím.
•
Registrace AVG V tomto okn zadejte licen ní/prodejní íslo Vaší aplikace. Tato obrazovka se ovšem zobrazí jen v p ípad , že jste zakoupili produkty AVG File Server a AVG pro Exchange 2000/2003 Server samostatn . V opa ném p ípad jste již zadali licen ní/prodejní íslo p i instalaci AVG pro File Server a nebudete znovu na tyto informace tázáni. Potvr te správnost údaj stisknutím tla ítka Další.
•
Cílové umíst ní V dalším okn budete dotázáni na cílový adresá instalace. Stiskn te tla ítko Vybrat, pokud si p ejete zm nit implicitní cestu. Nemáte-li však skute ný d vod výchozí nastavení m nit, doporu ujeme ponechat p ednastavené umíst ní. Pokra ujte stiskem tla ítka Další.
•
Informace Stiskem tla ítka Další v této obrazovce potvrdíte souhlas se zahájením kopírování aplika ních soubor .
36
Bakalá ská práce
•
David Haba
Instalace byla dokon ena Jakmile instala ní pr vodce dokon í kopírování všech pot ebných soubor na Váš pevný disk, instalace bude ukon ena. Po stisku tla ítka Log si m žete prohlédnout log soubor instalace: Do logu lze nahlédnout i jindy – sta í otev ít soubor SETUP.LOG v adresá i do asných soubor Vašeho systému. Pro ukon ení instalace stiskn te tla ítko OK.
•
1.4.1
Restart služby Store V pr b hu, p ípadn po ukon ení instala ního dialogu budete vyzváni k restartu služby Store serveru Exchange 2000/2003: Stiskn te tla ítko Ano pro op tovný start služby Store. V rámci restartu služby budou aktivovány všechny pot ebné komponenty AVG pro Exchange 2000/2003 Server. Teprve poté jej m žete za ít používat.
Spušt ní a správa programu
AVG pro Exchange 2000/2003 Server je možné ovládat pomocí aplikace Exchange System Manager. Ve v tvi Servers v hlavním kontrolním strom této aplikace vyberte Váš server. V odpovídající v tvi je v tev AVG for Exchange. Jakmile vyberete tuto v tev, v pravé ásti aplika ního okna se zobrazí panel s adou informací o chodu a statistikách systému.
Obr. 7 AVG Exchange Systém Manager Zobrazené údaje zahrnují jméno serveru, verzi aplikace, verzi virové databáze /verzi jádra AVG a dobu b hu systému od posledního restartu. Jsou zde také zobrazeny íta e monitoru událostí (performance monitor counters). AVG pro Exchange 2000/2003 Server kontroluje všechny zprávy v databázích privátních a ve ejných složek. Pokud je nalezen virus, program zapíše zprávu do AVG log souboru a také do protokolu událostí opera ního systému.
37
Bakalá ská práce
David Haba
Rozhraní Virus Scanning API 2.0 (VSAPI 2.0 zahrnuto v Exchange 2000 Serveru) nepovoluje mazání nakažených soubor e-mailu. Proto jsou nakažené soubory p ejmenovány: AVG pro Exchange 2000/2003 Server p ipojí k jejich p vodnímu jménu p íponu .virusinfo.txt. Obsah souboru je nahrazen zprávou o detekovaném viru. Pokud je virus nalezen p ímo v t le emailu, celé t lo je p epsáno poznámkou o nalezení viru. Virus Scanning API 2.5 (VSAPI 2.5 zahrnuto v Exchange 2003 Serveru) umož uje i mazání infikovaných zpráv. Tato možnost m že být zapnuta v konfigura ním dialogu AVG pro Exchange 2000/2003 Server: Konfigura ní okno AVG pro Exchange 2000/2003 Server (okno AVG pro Exchange vlastnosti) otev ete pomocí stisknutí pravého tla ítka na v tvi AVG pro Exchange v hlavním kontrolním strom . V p íslušném kontextovém menu pak zvolte položku Vlastnosti. Konfigura ní okno lze otev ít také jiným zp sobem – pomocí tla ítka Action, které je p ímo pod hlavním menu aplikace Exchange System Manager. V okn AVG for Exchange Properties jsou dv záložky, v rámci nichž m žete definovat nastavení vztahující se jednak k antivirové kontrole a jednak k diagnostickým zprávám o chodu a innosti AVG pro Exchange 2000/2003 Server. a) Záložka General Na této záložce najdete n kolik p ednastavených možností, vztahujících se k procesu antivirové kontroly pošty: •
Položka Enable – zde lze povolit nebo zakázat kontrolu pošty.
•
Položka Background Scanning – zde m žete povolit nebo zakázat proces kontroly existujícího obsahu databáze na pozadí. Kontrola uložené pošty na pozadí je jedním z prvk rozhraní VSAPI 2.0/2.5. Antivirová kontrola probíhá pro každou databázi na serveru zvláš ; vždy jsou testovány zprávy i p ílohy. Pro každou databázi je zárove použito jedno vlákno (thread) s nízkou prioritou, což znamená, že ostatní úlohy, jako nap íklad ukládání e-mail zpráv do Microsoft Exchange databáze dostane vždy p ednost. Kontrola pošty na pozadí je aplikována pro tabulku se složkami v rámci Exchange úložišt . Složka, která již byla na pozadí jednou zkontrolována, bude znovu zkontrolována až p i op tovném spušt ní rozhraní. Zm ny jednotlivých zpráv ve složkách jsou zpracovávány proaktivní kontrolou (proactive scanning).
•
Položka Proactive Scanning – zde m žete povolit nebo zakázat funkci proaktivní kontroly z VSAPI 2.0/2.5. Tato funkce spo ívá v dynamické správ priorit položek v testovací front . Objekty s nižší prioritou nejsou testovány, dokud neprob hla kontrola všech položek s vyššími prioritami. Priorita objektu se nicmén m že dynamicky m nit – vzr stá ve chvíli, kdy se uživatel snaží daný objekt použít. Po adí objekt ve front se tedy m že dynamicky m nit podle aktivity p ipojených uživatel .
•
Položka Scan RTF – zde je možné ur it, zda má AVG pro Exchange 2000/2003 Server provád t také kontrolu t l zpráv ve formátu RTF (nebo tyto mohou také obsahovat viry).
38
Bakalá ská práce
David Haba
•
Položka Scanning Threads – proces antivirové kontroly je implicitn rozd len do n kolika vláken kv li zvýšení celkového testovacího výkonu zavedením ur ité úrovn paralelismu. V tomto poli m žete zm nit po et t chto vláken. Implicitní hodnota po tu vláken je ur ena vztahem 2-krát ‘po et_procesor ’ + 1.
•
Položka Scan Timeout – maximální souvislý interval (v sekundách), po který m že jedno vlákno p istupovat k práv testovanému objektu.
•
Move infected files to the Virus Vault – pokud je tato funkce zapnuta, každá infikovaná zpráva bude p esunuta do karanténního prost edí – AVG Virového trezoru.
•
Delete messages with infected files (ES 2003 only) – pomocí této položky je možno zapnout nebo vypnout možnost mazání infikovaných zpráv. Pokud je tato možnost zapnuta, takové zprávy jsou automaticky mazány. Pokud tomu tak není, zpráva je doru ena adresátovi, infikovaná p íloha je ovšem nahrazena textovým souborem s informací o vymazání viru. Tato možnost je dostupná pouze s pomocí VSAPI 2.5 v Exchange 2003 Serveru.
b) Záložka Diagnostics Logging Na této záložce m žete nastavit parametry protokolování zpráv a akcí AVG pro Exchange 2000/2003 Server. Na záložce je n kolik samostatných skupin: • Log Mode – toto nastavení reguluje množství a podrobnost zapisovaných zpráv • New Log Time Period – zde nastavíte frekvenci vytvá ení nového souboru zpráv • Log file directory – v tomto poli lze zm nit implicitní nastavení umíst ní log souboru • Log file name – zde je zobrazena implicitní maska jména souboru zpráv • Screen Refresh – nastavení asu obnovování monitorovacího okna (zobrazeného v informa ním okn AVG pro Exchange 2000/2003 Server) v sekundách
1.5
Cenová kalkulace
AVG Email Server Edition Cena pro 10 poštovních p ihrádek na 1 rok je
5500 K
AVG Anti-Virus Network Edition Cena pro 10 po íta na jeden rok je
7500 k
Cena za kompletní ešení
13 000 k
39
Bakalá ská práce
David Haba
2 McAfee 2.1
Instalace Epolicy Orchestratora (EPO)
Instalaci se provádí z instala ního cd nebo lze instala ní soubory stáhnout ze stránek www.mcafee.com, pomocí licen ního ísla jenž obdržíte p i zakoupení antivirového ešení. Instalace EPO lze provád t jen na Windows 2000 server a vyšší s Active Directory. •
Instalaci spustíte kliknutím na ikonu setup.exe na instala ním cd nebo v rozbaleném instala ní adresá i, který jste si stáhli z internetu.
•
Licen ní údaje V dalším kroku je pot eba zvolit typ licence jenž jste si zakoupily, potvrdit licen ní ujednání a poté kliknout na ok.
•
Typ instalace Nyní je pot eba zvolit zda chcete nainstalovat Server a konzolu nebo jen konzolu pro správu a kliknout na next. V dalších krocích je popsána instalace Serveru a konzole spole n .
•
Heslo pro p ístup V dalším okn je pot eba zadat administratorské heslo pro p ístup do EPO konzole, je pot eba zadat heslo dvakrát a poté kliknout na next.
•
Výb r databázového serveru Nyní je pot eba zvolit typ databázového serveru, jsou zde t i možnosti: -
Install a database server on this computer ain use it. Zatržením této možnosti dojde k instalaci nového Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) jako ePolicy Orchestrator databáze. Use the existing database server on this computer. P i zaškrtnutí této možnosti dojde k použití existujícího Microsoft SQL serveru Use an existing server on the network. Jestliže zaškrtnete t etí možnost dojde k použití vzdáleného databázového serveru, jenž vyberete ze seznamu.
Jakmile vyberete požadovanou volbu klikn te na next. •
Ú et pro p ístup k databázovému serveru Zde lze zvolit zda k p ístupu do databáze použijete Windows NT user account nebo SQL server user account, p i použití první možnosti je pot eba specifikovat doménu, ke které pat í daný ú et, p i zatržení druhé možnosti je pot eba zadat jméno a heslo uživatele. Poté klikn te na next.
•
Konfigurace http komunikace Nyní specifikujete komunika ní porty mezi serverem a klienty. Po kliknutí na tla ítko next dojde k ov ení zda vámi zvolené porty nejsou již obsazené, pokud ano musíte je zm nit, jestliže ne dostanete se na další krok instalace.
40
Bakalá ská práce
2.2
David Haba
•
Nastavení e-mailové adresy V tomto okn je pot eba vyplnit e-mailovou adresu na níž budou chodit generované maily z EPO. Kliknutím na next se dostanete k oknu, ve kterém sta í kliknout na tla ítko install a dojde k spušt ní vlastní instalace.
•
Ukon ení instalace Pro ukon ení instalace klikn te na tla ítko finish.
Konfigurace Epolicy Orchestratora •
EPO spustíte kliknutím na ikonu na ploše nebo p es menu ve startu. Po spušt ní a p ihlášení do Epolicy Orchestrator Console je pot eba nainstalovat certifikát, protože komunikace mezi serverem a stanicemi probíhá p es SSL kanál.
•
V dalším kroku je pot eba ve složce Directory vytvo it pot ebné podsložky.
Obr. 8 EPO Directory •
Nyní do vytvo ené složky prove te import po íta , import lze provést trojím zp sobem: 1. importem z Active Directory Klikn te pravím tla ítkem myši na ikonu Direcory, z menu vyberete All tasks – import Active Directoy Computer. Dále klikn te na next a nyní vyberte kam chcete po íta e naimportovat a poté klikn te na next. Nyní zadejte jméno a heslo uživatele jenž má p ístup do Active Directory a klikn te na next. V okn Active Directory Source Container klikn te na Browse a vyberte požadovanou organiza ní jednotku z níž chcete importovat po íta e, poté klikn te na ok. Pokud chcete p idat další organiza ní jednotky klikn te na add a postup opakujte. Nakonec klikn te na next a finish. 41
Bakalá ská práce
David Haba
2. importem z NT Domény Klikn te pravím tla ítkem myši na ikonu nové podsložky ve složce Directoy, z menu vyberte New-Computer. V dialogovém okn pro p idání nového pc klikn te na Browse a vyberte požadované systémy, poté klikn te dvakrát na ok pro dokon ení. 3. importem z textového souboru Textový soubor musí obsahovat NetBios jména po íta strukturu viz Obr. 8. GroupA\ zna í název skupiny.
a musí mýt
Obr. 9 p íklad textového souboru pro import pc. Postup importu je následující Klikn te pravím tla ítkem myši na ikonu nové podsložky ve složce Directoy, z menu vyberte All Tasks – Import Computer. V Importin computers from a text file okn klikn te na Continue. Následn lokalizujte textový soubor s po íta i a celý import dokon ete kliknutím na Ok. •
Dále je pot eba naplánovat úlohu pro stahování aktualizací. V EPO konzoly klikn te na ikonu EPO Serveru, p ejd te na záložku Schedule tasks a klikn te na Create New Tasks. V pr vodci vyberte typ úlohy repository pull a pojmenujte nový task, v dalším okn vyberte odkud se mají aktualizace stahovat a poté klikn te na next. Dále prove te nastavení asu kdy se má úloha spoušt t a klikn te na finish.
42
Bakalá ská práce
•
David Haba
V dalším kroku je dobré nastavit pot ebné politiky. Politiky se d dí ze složky Directory na podsložky, proto pokud budete chtít m nit politiku jen pro ur itý po íta nebo ur itou složku klikn te na ni a v levé ásti EPO p ejd te na záložku Policies zde si vyberte produkt u n hož chcete politiky nastavit. Vyberte zvolenou politiku, klikn te na tla ítko edit, odtrhn te záložku lock. Nyní m žete politiku editovat nebo vytvo it novou politiku kliknutím na rozbalovací menu viz. Obr. 8 a vybráním položky Create New policy, v následujícím okn ponechte zatrženou první možnost a pojmenujte novou politiku. Vstup do konfigurace politiky se provádí kliknutím na ikonu listu papíru s tužkou, po ukon ení konfigurace politik nezapome te konfiguraci uložit kliknutím na tla ítko Aplly all a poté na tla ítko Apply jinak se konfigurace neuloží a také nebudete moci konfigurovat další politiky.
Obr. 10 EPO Politiky
2.3
Instalace VirusScanu na stanice Instalaci lze provést dv ma zp soby: 1. vzdálen Nejprve je pot eba nahrát instala ní balí ek pro VirusScan 8i do EPO. Klikn te na ikonu Repository, dále v levém okn klikn te na Check in package. Objeví se pr vodce a v n m klikn te na Next v dalším okn vyberte products or update a klikn te na next, v další ásti pr vodce vyhledejte pkgkatalog.z jenž je uložen v instala ním adresá i VirusScanu poté klikn te na next, Finish a Close.
Obr. 11 EPO Repository 43
Bakalá ská práce
David Haba
Klikn te na ikonu Directory a v pravé ásti EPO konzole vyberte záložku Tasks, zde klikn te pravým tla ítkem myši a zvolte New Task. Nyní dvakrát klikn te na nový task, v zobrazeném okn klikn te na tla ítko settings, v novém okn odtrhn te inherit a vyberte instalaci VirusScanu 8i. Nakonec je pot eba v záložce Schedule nastavit kdy se má úloha spustit. 2. manuáln Z instala ního adresá e VirusScanu (je na CD nebo se dá stejn jako EPO stáhnout z internetu) klikn te na setup.exe. V okn , které se zobrazí klikn te na next, v dalším kroku je pot eba zvolit správný typ licence a potvrdit licen ní ujednání a kliknout na ok. V dalším okn vyberte typ instalace Typical a klikn te na next. V posledním kroku odtrhn te Run On-demand Scan a klikn te na finish. Po dokon ení instalace se objeví varování, že dokud neprovedete restart po íta e nebude VirusScan pln funk ní, klikn te na ok a restartujte po íta .
2.4
Instalace EPO agenta na stanice Instalaci EPO agenta na stanice lze provést více zp soby, nyní uvedu nejvýhodn jší: 1. vzdálen klikn te pravým tla ítkem myši na po íta v Directory a následn klikn te na Send Agent Install, v okn jenž se objeví je pot eba zadat jakým zp sobem chcete agenta nainstalovat zda jen na vybraný po íta Current Selection Only, na vybranou skupinu a po íta e jenž jsou p ímo pod ní Current Selection and immediate child computers nebo vybranou skupinu a všechny po íta e pod touto skupinou Current Selection and all child computers. Dále je pot eba vyplnit instala ní vlastnosti agenta a kam se má agent nainstalovat (doporu uji ponechat standardn ). Nakonec vypl te uživatelské jméno a heslo uživatele, jenž má oprávn ní instalovat aplikace a klikn te na ok. Po n kolika minutách by se u pc m la objevit zelená faje ka, jenž zna í úsp šnou instalaci agenta na pc. 2. vzdálen a hromadn Klikn te na ikonu Directory a v pravé ásti EPO konzole vyberte záložku Tasks, zde je již vytvo ena úloha pro nalití EPO agent je jen pot eba nastavit kdy se má nalití provést. 3. manuáln Pomocí FRAMEPKG.EXE, jenž je uložen na serveru v C:\Program Files\Mcafee\EPO\3.6.0\DB\Software\Current\Epoagent3000\install\0409.
2.5
Instalace GroupShield 6.0 for Exchange
Groupshield 6.0 for exchange lze nainstalovat na server s opera ním systémem Windows 2000 server SP4 a s Microsoft Exchange 2000 Server SP3 nebo vyšším. Instalace se provádí z instala ního cd nebo lze instala ní soubory stáhnout ze stránek www.mcafee.com, pomocí licen ního ísla jenž obdržíte p i zakoupení antivirového ešení. 44
Bakalá ská práce
David Haba
•
Instalaci spustíte kliknutím na ikonu setup.exe na instala ním cd nebo v rozbaleném instala ní adresá i, který jste si stáhli z internetu. Objeví se úvodní okno zde klikn te na next.
•
Výb r komponent V dalším okn volíte zda chcete nainstalovat jen Groupshield nebo další p ídavné komponenty.
Obr. 12 výb r komponent Outbreak Manager – dopln k jenž slouží k zpracování hlášení o nalezení viru a na základ nadefinovaných pravidel provede ur itou reakci. •
Licen ní údaje V dalším kroku je pot eba zvolit typ licence jenž jste si zakoupily, potvrdit licen ní ujednání a poté kliknout na ok. V následujícím okn klikn te na next.
•
Výb r instala ní složky Nyní m žete zvolit kam se má GroupShield nainstalovat, doporu uji vše ponechat defaultn a kliknout na next.
•
Typ instalace V dalším kroku lze zvolit typ instalace doporu uji nechat zatržený Typical a kliknout na next.
45
Bakalá ská práce
•
David Haba
Dokon ení instalace V následujícím okn klikn te na next, tím dojde k spušt ní instalace. Po úsp šném nainstalování GroupShieldu se objeví okno s hlášením o dokon ení instalace, zde m žete zatrhnout položky pro spušt ní GroupShield a provedení aktualizace. K ukon ení pr vodce klikn te na Finish.
Po ukon ení instalace GroupShieldu je pot eba naplánovat úlohu pro aktualizaci virové báze. Spus te GroupShield, pokud nemáte na serveru nainstalován Java 2 Runtime Environment, bude vyzváni k jeho instalaci, bez n j nelze spustit webové rozhraní GroupShieldu. Po zobrazení domovské stránka GroupShieldu klikn te na ádek Product udate v levé ásti okna, zobrazí se pr vodce na úvodní stránce lze naplánovat kdy a jak asto se má úloha spoušt t, po nastavení klikn te na next v následujícím okn pojmenujte task a klikn te na Finish. Tím je dokon eno základní nastavení GroupShieldu, jenž sta í pro funk ní zabezpe ení antivirové ochrany vaší pošty.
2.6
Cenová kalkulace
McaFee Active Virus Defense SMB Edition pro 10 po íta
46
15 000 K
Bakalá ská práce
David Haba
Záv r V první fázi testování, p i instalaci Antivirových ešení byly oba produkty na stejné úrovni, jen u McAfee je o n co náro n jší nastavení politik v Epolicy Orchestrátoru, ale zase poskytuje širší možnosti nastavení klientských stanic. V druhé fázi, p i nasazení antivirových ešení ve firemních sítích se za alo lépe projevovat ešení od spole nosti McAfee a to v podob bez problémového chodu, vymizení prakticky veškeré virové nákazy v síti. Oproti tomu AVG zp sobovalo problémy na serveru (po každé aktualizaci AVG email server edition jsme museli provést restart serveru, z toho vyplívá, že aktualizace se museli provád t ru n jednou za 14 dní p i pravidelné kontrole serveru), dále pak p i provedení upgrade konzole pro vzdálenou zprávu stanic na nov jší verzi p estala komunikace se stanicemi fungovat a musel se také provést upgrade stanic. Z provedeného testování a zkušeností s ob ma antivirovými ešením jednozna n doporu uji ešení od firmy McAfee i p es vyšší po izovací náklady, ale tyto vynaložené peníze se vám vrátí v bezproblémovém chodu sít .
47
Bakalá ská práce
David Haba
Seznam použité literatury [1]
Grisoft AVG 7.5 Email Server edice - Uživatelský manuál [online pdf dokument] dostupný z http://www.grisoft.cz/doc/33/cz/crp/0 Revize dokumentu 75.8 (29.3.2007) [cit. 1.5.2007]
[2]
Grisoft AVG Multilicence - Programem krok za krokem [online pdf dokument] dostupný z http://www.grisoft.cz/doc/33/cz/crp/0 Revize dokumentu 71.5 (13.6.2006) [cit. 1.1.2007]
[3]
Moderrní po íta ové viry [online pdf dokument] dostupný z http://www.viry.cz/go.php?p=viry&t=clanek&id=23 Poslední úprava: 15.9.2005 [cit. 1.2.2007]
[4]
ePolicy Orchestrator – Installation Guide [online pdf dokument] dostupný z https://mysupport.nai.com/docsfaqs/docs-products.asp Revize dokumentu 2.0 (17.8.2005) [cit. 30.4.2007]
[5]
ePolicy Orchestrator – Product Guide [online pdf dokument] dostupný z https://mysupport.nai.com/docsfaqs/docs-products.asp Revize dokumentu 3.1 (23.5.2006) [cit. 28.4.2007]
[6]
McAfee GroupShield version 6.0 for Microsoft Exchange – Installation Guide [online pdf dokument] dostupný z https://mysupport.nai.com/docsfaqs/docs-products.asp Revize dokumentu 3.1 (23.5.2006) [cit. 5.5.2007]
48
