From: Горыч <step107@yandex.ru.>
Newsgroups: email
Date: Mon, 11 May 2006 14:31:37 +0000 (UTC)
Subject: Проверка Squid трафика на вирусы используя DrWeb
Настройка проверки трафика проходящего через прокси-сервер Squid
на вирусы с помощью антивируса Drweb for Unix.
Целю данной статьи было поделится опытом, а также тонкостями настройки
проверки HTTP-трафика, проходящего через прокси-сервер Squid на вирусы с
помощью антивируса Drweb.
Каждый администратор сталкивается в своей работе с проблемой
антивирусной защиты. Сегодня интернет стал источником повышенной
вирусной опасности. Поэтому проверка трафика, получаемого извне на
вирусы на ранней стадии, т.е. на сервере, обеспечивающем доступ в
Интернет, по-моему, является важной частью безопасности сети.
В данном обзоре описаны настройки связки антивируса и прокси-сервера,
поэтому настройка сквида и firewall будут упомянуты лишь в той части,
которая необходима для функционирования этой конструкции. Замечу также,
что антивирус Drweb является коммерческим продуктом, и для его
функционирования необходим ключ, который на момент настройки был в моем
распоряжении. Но для тестовой сборки на сайте http://www.drweb.com,
после регистрации, можно получить демо-ключ с ограниченным сроком
действия (30 дней).
Также возможна настройка взаимодействия Drweb с другими
прокси-серверами: SafeSquid и Shweby (см. документацию к антивирусу).
При настройке сервера использовались:
1. FreeBSD 5.4.
2. Пропатченный Squid (с icap), скаченный с сайта производителя и
рекомендованный для установки (они позволят полностью использовать
функционал drweb-icap).
3. Drweb + Drweb-icap, также полученные с сайта.
Squid был настроен для работы как «прозрачный прокси», поэтому
ядро компилировалось с опцией IPFIREWALL_FORWARD для поддержки
перенаправления пакетов, а также создано правило перенаправляющее
пакеты, которые идут из локальной сети по http на порт 3128
прокси-сервера:
fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 in via fxp0
Устанавливаем Squid:
# tar zxvf squid-icap-2.5-STABLE12-20060215-drweb-patched.tar.gz
# cd squid-icap-2.5-STABLE12-20060215-drweb-patched
# ./configure
# make
# make install
#Настройки необходимые для взаимодействия squid с drweb-icap
icap_enable on
icap_service service_1 respmod_precache 0 icap://localhost:1344/respmod no-keep-alive
icap_class class_1 service_1
icap_access class_1 allow all
icap_preview_enable on
icap_preview_size 0
Итак, мы имеем в распоряжении шлюз с настроенным прокси-сервером.
Устанавливаем Drweb. На момент написания статьи он имел версию 4.33.
Также для установки и последующего обновления нам потребуется wget и для
взаимодействия со squid - drweb-icapd-4.33.1-freebsd54.tar.gz.
#pkg_add drweb-4.33.tbz
При установке добавляется задание на обновление антивирусных баз два
раза в час, причем минуты устанавливаются произвольно.
Распаковываем drweb-icapd-4.33.1-freebsd54.tar.gz и копируем содержимое
архива, сохраняя структуру каталогов.
Кладем ключ (drweb32.key) в директорию /usr/local/drweb/.
Для обновления Drweb нам необходимо настроить wget. Для этого в файле
/usr/local/etc/wgetrc прописываем параметры:
use_proxy = on
http_proxy = http://127.0.0.1:3128/
В документации указан рекомендуемый порядок загрузки взаимодействующих элементов:
1. демон Drweb
2. drweb-icap
3. прокси-сервер.
При установке создаются 2 скрипта запуска в /usr/local/etc/rc.d
00.drweb-icap.sh и 00.drweb.sh
Соответственно для последовательной загрузки необходимо переименовать
00.drweb.sh в 01.drweb.sh, а скрипт squid.sh в 02.squid.sh.
Перезагружаемся и проверяем работу нашей конструкции:
Dr.Web (R) update details:
Update server: http://update.msk3.drweb.com/unix/433
Update has began at Mon May 8 11:25:10 2006
Update has finished at Mon May 8 11:25:20 2006
Following files had been updated:
/var/drweb/bases/dwntoday.vdb
/var/drweb/bases/drwrisky.vdb
/var/drweb/bases/dwrtoday.vdb
/var/drweb/bases/drwnasty.vdb
/var/drweb/bases/drwtoday.vdb
Если используется ограничение доступа для пользователей локальной сети,
мой случай, то в файле, содержащем эти списки необходимо добавить адрес
127.0.0.1 для того чтобы Drweb мог обновляться, используя
прокси-сервер.
Правим в drweb-icapd.ini параметры Infected, Suspicious и Incurable в
значение report и заходим по ссылке: http://www.eicar.org/download/eicar.com.
В окне браузера мы должны увидеть предупреждение о зараженном файле.
При работе были проблемы с прокси-сервером и icap. Возникала ошибка о
падении icap, и через некоторое время прокси начинал тормозить. Проблема
решилась добавлением опции no-keep-alive в настройки icap squid. Эта
настройка необходима, так как drweb-icapd сейчас не поддерживает
постоянные соединения и может вызвать проблемы при работе сервера.
К сожалению, возможности получения статистических данных на данный
момент тоже ограниченны. На сайте производителя можно скачать
drweb-agent, собирающий статистику о количестве вирусов, которую можно
посмотреть на сайте статистики. В будущем надеюсь, данный функционал
будет доработан, о чем заявлено на форуме компании.
Также возможно настроить проверку ftp проходящего через прокси.
Подробнее об этом можно почитать в документации к антивирусу.
К тому же не ведется проверка https, т.к. в этом тоже нет необходимости.
При настройке прокси-сервера использовались материалы, полученные с
сайта http://www.opennet.ru, а также документация с сайта http://www.drweb.com
и некоторые разъяснения специалистов компании производителя на форуме.
Горыч.
1039 Прочтений • [Проверка Squid трафика на вирусы используя DrWeb (squid virus drweb filter)] [08.05.2012] [Комментариев: 0]
Vova
