Технология антивирусной защиты сетевых ПК с использованием специализированного сервера и ПК-сателлита ^(X)

А.М.Терентьев, А.С.Львова

Современное функционирование ПК без антивирусных средств немыслимо даже в виде «домашнего» ПК. Интернет стал настолько «грязен», что даже одно посещение плохо управляемого или сознательно зараженного сайта зачастую приводит к потере важной информации на ПК вследствие заражения компьютерными вирусами [1,2]. Аналогично, функционирование компьютерных сетей в настоящее время невозможно без регулярной антивирусной поддержки. Однако, построение такой поддержки в реальных условиях эксплуатации компьютерных сетей неизбежно связано с рядом проблем, без решения которых невозможна работа качественной антивирусной службы.

Первой из рассматриваемых проблем является обновление антивирусных средств. Производители передовых антивирусных средств предоставляют пользователю ряд вариантов обновления со своих серверов. Однако, этот метод в условиях средних (от 20 ПК) и тем более крупных сетей представляется неэффективным по следующим причинам.

Во-первых, пользователь как человеческий фактор является до сих пор крайне ненадежным. К много раз уже отмечавшимся доказательствам этого положения [1,3,4] можно добавить, что в ЦЭМИ РАН за 2002-2003 г.г. примерно 35% пользователей, у которых уже были установлены и корректно настроены антивирусные средства, забывали осуществлять обновление, даже если для этого было достаточно всего лишь нажать заготовленную иконку на рабочем столе. Результатом этого являлись наши рекомендации [1] вставлять заказ на автоматическое обновление в автозагрузку. Однако, выяснилось, что система автоматического обновления через Интернет не всегда отвечает реальным потребностям пользователей: лидер качества, пакет Doctor Web для Windows предлагает на своем сайте либо обновление только антивирусных баз, без патчей к программам (а они происходят с регулярностью примерно 1 раз в месяц) в некоммерческом разделе, либо полное обновление в коммерческом разделе, но для этого пользователям нужно предоставить логин и пароль входа в коммерческую область. В случае, когда лицензия выдана на 150 пользователей, выдавать ключевой вход всем пользователям некорректно вследствие возможных утрат ключа (что жестко и, по нашему мнению, справедливо карается распространителем лицензий), а также ошибок в настройке, которые весьма часты даже у опытных пользователей.

Во-вторых, автоматическое обновление даже из коммерческой области уверенно срабатывает далеко не всегда. Несмотря на то, что в данном случае сайт дистрибьютора расположен в паре километров от пользователей, доступ через Интернет к нужному сайту осуществляется каждый раз по иному пути, зачастую через 8-14 промежуточных узлов, включая Амстердам и/или Лондон, со всеми вытекающими отсюда последствиями: возможными обрывами связи, неполной закачкой информации и иными ошибками. Отслеживать такие некорректности у обычного пользователя ни желания, ни особых возможностей нет.

Далее, считывание обновлений из коммерческой области сайта в дни выхода патчей или новых версий резко (более чем в 100 раз) увеличивает объемы закачки. Если обычное еженедельное обновление антивирусной базы в zip-архиве имеет объем 1-10 Кб, то патчи насчитывают 200-300Кб, а при выходе новых версий объем скачиваемой информации достигает 2-3 Мб. Значительная часть этой информации (например, файлы поддержки иностранных языков) реально пользователю не нужна, однако официальные дистрибьюторы не предлагают адаптированных вариантов. Для пользователей же DialUp ЦЭМИ лишние объемы закачки весьма чувствительны.

Такая область существовала в ЦЭМИ РАН ранее сначала на общеинститутском сервере под Novell Netware, затем под Windows NT 4.0/2000. Однако, вследствие постоянных падений этого сервера в течение более полугода, антивирусная служба ЦЭМИ РАН в нашем лице пришла к необходимости создания собственного антивирусного сервера. С 09.07. 2003г. антивирусный сервер начал функционировать и с тех пор осуществляет беспрерывную работу без единого сбоя.

Антивирусный сервер ЦЭМИ РАН сформирован на платформе Pentium-III-500, имеет 384 Мб памяти, управляется Microsoft Windows 2000 Advanced Server 5.00.2195 (Service Pack 4). Доступ пользователей по http обеспечивает пакет Apache 1.3.23, интерпретацию программ исполняет Perl-5.6.1.633, дистанционное управление сервером осуществляется с помощью Remote Administrator 2.1. Сервер имеет зарегистрированное доменное имя av.cemi.rssi.ru.

Второй рассматриваемой проблемой является обеспечение квалифицированной консультативной помощью пользователей, в первую очередь сотрудников ЦЭМИ РАН. Ранее было показано [1], что вследствие известных причин пользователи не в состоянии сами выполнить все необходимые действия по установке и настройке антивирусных средств. Однако, как выяснилось, возлагавшиеся ранее надежды на аппарат системных администраторов [2] также не сбылись. Они не в состоянии полностью выполнить все эти функции, особенно в условиях неполной комплектности, невозможности полностью посвятить себя этой работе и по иным причинам. Аппарат же антивирусной службы невелик и непригоден для обслуживания нескольких сотен пользователей. Выход следовало искать в оперативной доставке квалифицированной помощи на рабочее место пользователя. Учитывая, что оснащенность сетевыми компьютерами подразделений ЦЭМИ уверенно приближается к максимальной, таким выходом представилось создание антивирусного сайта ЦЭМИ РАН, доступ к которому мог бы быть осуществлен без каких-либо препятствий через стандартный браузер с любого рабочего места.

С начала 2004 г. на антивирусном сервере установлен, постоянно действует и пополняется Антивирусный сайт ЦЭМИ РАН. Доступ к сайту по http возможен по имени av.cemi.rssi.ru как изнутри ЛВС ЦЭМИ, так и для пользователей DialUp ЦЭМИ и Интернета. Однако, для пользователей Интернета ряд доступных функций ограничен.

При подготовке сайта были приняты в расчет следующие соображения.
• Сайт должен восполнять собой недостатки квалифицированной помощи, содержать все необходимые инструктивные и вспомогательные материалы в возможно более доступной обычному пользователю форме.
• Сайт должен иметь необходимые сервисные функции, чтобы любой пользователь мог бы скачать с него и установить современные антивирусные средства.
• Сайт должен иметь возможность самоконтроля пользователей, чтобы они могли наблюдать результаты своих действий.
• Сайт должен быть возможно менее формализован и оперативно обновляем.
• Сайт должен быть основан на решениях, рассчитанных на самый широкий класс браузеров, и оптимизирован по скорости доступа.

С учетом сказанного, сайт был сконфигурирован на HTML с существенным использованием CGI, Perl и Javascript 1.1. Сайт содержит разделы «Новости», «Статус», «Антивирусы», «Статистика», «Архив» и «Контакты». Готовится к открытию раздел «Мониторинг», предусмотрен раздел «Мнения». При подготовке основных разделов сайта предусмотрен минимум графики, отсутствие «украшательств» и долгих для скачивания элементов, так что сайтом удобно пользоваться и пользователям удаленного доступа. Компоновка сайта рассчитана на стандартный графический экран 1024х768, характерный для 15”-мониторов.

В разделе «Новости», который по умолчанию установлен для начального просмотра сайта, публикуются актуальные новости антивирусной обстановки и создания сайта.

Раздел «Статус» содержит формальную концепцию сайта.

Раздел «Антивирусы» содержит иерархизированные описания поддерживаемых Группой информационной безопасности ЦЭМИ РАН базовых антивирусных средств Doctor Web для Windows и Advanced Diskinfoskope for Windows, а также общие и частные рекомендации по настройке и использованию компонентов пакетов.

В этом же разделе предусмотрен механизм быстрого доступа к установке указанных антивирусных средств, закупленных ЦЭМИ РАН, а также к их регистрационным ключам (см. рис. 21). Ключ для ADinf32 позволяется скачивать постоянный, ключ для DrWeb32 на сайте предлагается только временный, с ограниченным сроком пользования (он оперативно заменяется в ходе поддержки сайта на более свежий), так что пользователь сайта в состоянии тут же скачать и установить себе лицензионные антивирусные пакеты. Этот раздел ограничен в использовании: скачать антивирусные средства могут только внутренние пользователи ЛВС ЦЭМИ РАН и пользователи удаленного доступа, но не любой Интернет-пользователь.

Такой комплексный доступ к инструктивным материалам, программам и ключам, представляется, наилучшим образом отвечает слабой подготовке неквалифицированных пользователей и представляет удобство как пользователям, так и системным администраторам, реализуя единую антивирусную политику среди всех пользователей.

Рис. 21. Раздел сайта Антивирусы – доступ к установке антивирусных средств

Раздел «Архив» содержит историю создания и развития антивирусной службы ЦЭМИ, а также ряд нормативных документов, регламентирующих поведение пользователей в ЛВС ЦЭМИ РАН. В дальнейшем сюда будут перемещаться также устаревшие новости.

Раздел «Контакты» содержит необходимые сведения для отправки информации как антивирусной службе ЦЭМИ и создателям сайта, так и системным администраторам ЦЭМИ.

Раздел «Статистика» особо интересен. В нем в нескольких таблицах предложены ежедневные данные об обновлениях антивирусных средств по категориям пользователей, а также сведения о посещении антивирусного сайта.

В частности, раздел содержит сводную таблицу последних обращений как к области обновления антивирусных средств, так и к антивирусному сайту (рис. 22). Учитывая, что обновление в большинстве случаев автоматически исполняется в момент загрузки ПК, данные этой таблицы в большинстве случаев отражают последнее присутствие пользователей на рабочих местах. Таким образом, эти данные могут быть индикатором для необходимости обслуживания системными администраторами своих пользователей (пользователи сгруппированы по подразделениям института).

Рис. 22. Раздел сайта Статистика – сводка обращений основных пользователей

Однако, один антивирусный сервер не в состоянии справиться со всеми функциями обслуживания пользователей. Ярким примером могут служить постоянные ошибки в коммерческой области обновления на сайте ЗАО «ДиалогНаука», являющейся источником антивирусных обновлений по много лет заключаемым договорам с ЦЭМИ РАН. По нашим данным, ошибки встречаются в среднем 1 раз в 1-2 месяца. В случае, если антивирусная область антивирусного сервера обновляется «напрямую» с коммерческого сайта, результатом такой ошибки этого может явиться блокирование работы пакета Doctor Web для Windows у всех пользователей. За примерами далеко ходить не надо: при подготовке данной работы в ночь с 22 на 23 августа 2004 г. возникла ситуация, когда отдаваемое коммерческой областью обновления «ДиалогНауки» http://www.dials.ru/drweb/update оглавление (файл drweb32.lst) не соответствовало истинному содержимому области. Так, контрольная сумма отдаваемого файла drwtoday.txt от 21.08.04 05:00 была 3745F4D8, а показанная в оглавлении – 482CE17F. Стандартная утилита обновления drwebupw.exe в таких случаях оставляет в обновляемом каталоге новый файл оглавления drweb32.lst с некорректными данными, да вдобавок в подкаталоге с именем DrWeb32.tmp – считанные файлы, которые она считает несоответствующими (протокол см. на рис. 23). Ясно, что если бы такое «обновление» производилось непосредственно в каталоге антивирусного сервера, работа всех пользователей была бы заблокирована: при попытке обращения к такому каталогу пользователь получил бы ошибку обновления вдобавок со звуком воя сирены (нами уже давно отмечалось своеобразное чувство юмора автора программы И.Данилова по отношению к пользователям).

Рис. 23. Пример протокола некорректной работы сервера «ДиалогНауки»

Очевидно, помимо основной области обновления нужно иметь предварительную буферную область, содержимое которой следует тестировать на корректность. Кроме того, как уже сказано, предлагаемые стандартной областью обновления ЗАО «ДиалогНаука» файлы избыточны, не адаптированы к нуждам наших локальных пользователей и, несомненно, должны корректироваться перед помещением их в антивирусную область сервера. Отметим, что после всех изменений файл оглавления антивирусной области следует программно пересоздать с нужным списком файлов и их корректной контрольной суммой.

Вспомним также отмеченное выше, что часть области «Статистика» антивирусного сайта должна оперативно формироваться по ежедневному протоколу работы Apache с учетом текущего мониторинга.

Оба ПК являются постоянно включенными, полноправными членами ЛВС ЦЭМИ. Краткая функциональная схема работы комплекса показана на рис. 24. При этом, основные исполняемые задачи следующие.

Антивирусный сервер.
• Круглосуточное снабжение пользователей антивирусными дополнениями и обновлениями, адаптированными для условий ЦЭМИ РАН. Задача исполняется дифференцированно по типам пользователей (внутренние/DialUp/Интернет). Область антивирусных дополнений и обновлений всегда корректна.
• Круглосуточное обслуживание посетителей антивирусного web-сайта, содержащего инструктивные материалы, все необходимые компоненты для оперативной установки антивирусных средств с рабочего места пользователей и ежедневно обновляемую статистику обращений пользователей как к области антивирусных дополнений, так и к антивирусному сайту.
• 1 раз в сутки – кратковременное прерывание поддержки пользователей (1-2 минуты) с формированием суточного протокола доступа пользователей.

ПК-сателлит.
• Закачка обновлений с сервера дистрибьютора антивирусных средств в буферную область, адаптацией скачанных материалов по заданным правилам и формированием нового файл-каталога. Все этапы сопровождаются автоматической программной проверкой результатов и специальных условий (например, когда изменяется сама программа закачки обновлений).
• Занесение содержимого буферной области после полного ее тестирования на антивирусный сервер.
• Захват с антивирусного сервера сформированного протокола работы средств, обеспечивающих обслуживание пользователей как по доступу к области обновления антивирусных средств, так и по доступу к антивирусному сайту. Программная обработка протокола с ведением базы данных статистики и ежедневной генерацией по заданным формам html-блоков раздела Статистика антивирусного сайта. Обновление содержимого антивирусного сайта сгенерированными формами.

В качестве ПК-сателлита используется один постоянно включенный вспомогательный компьютер антивирусной группы. Это тот же самый ПК, на котором работает мониторная программа [5] аудита сети. Все работы по подготовке области обновления антивирусных средств, а также изменяемой части антивирусного сайта исполняются на этом ПК в автоматическом режиме как назначенные задания. ПК работает под Windows’98 SE, а удаленно администрируется, как и сервер, с помощью Remote Administrator 2.1. Отказ в работе, нарушение связи с «ДиалогНаукой», со средствами мониторинга сети или какие-либо иные сбои этого ПК не приводят к порче содержимого сервера, и пользователи не ощущают проблем. В крайнем случае, останутся неизмененными данные Статистики или антивирусной области, но данные на сервере будут всегда взаимокорректны.

В целях улучшения реагирования на исключительные ситуации сетевое питание ПК-сателлита, антивирусного сервера и наблюдающей станции сетевого мониторинга обеспечено через улучшенную силовую проводку и UPS Smart-APC 1000. Программа Powerchute на ПК-сателлите ведет мониторинг состояния UPS и обеспечивает корректное автоматическое отключение антивирусного сервера, наблюдающей станции и самого ПК-сателлита в случае длительного отключения сетевого питания. Предусмотрен автоматический запуск этих ПК в установленное время в случае возобновления питания после пропадания сетевого напряжения и отключения ПК.

Закачка буферной области обновления антивирусного сервера исполняется с помощью стандартной утилиты обновления пакета Doctor Web для Windows. Программные проверки результатов закачки, обработка протокола Apache с ведением БД статистики доступа к области обновления и генерацией html-блоков по заданным формам исполняются с помощью оригинальных программных средств, разработанных А.Терентьевым на языке PowerBASIC [6,7]. В пакетных файлах заданий на антивирусном сервере и ПК-сателлите использованы ранее написанные А.Терентьевым утилиты на Макроассемблере.

В дальнейшем в случае сбоев при ежедневном исполнении указанных заданий планируется формировать специальные оповещения в системном разделе сайта.

Занесение обновлений после полного формирования буферной антивирусной области осуществляется в несколько приемов интерфейсом через Microsoft Network. На рис. 24 доступ по http показан толстыми незаполненными стрелками, интерфейс по MS-Network изображен пунктиром, непосредственная передача данных внутри ПК дана обычными стрелками. Связь между ПК реализована через файловые семафоры, действующие внутри согласованных интервалов времени.

Рис. 24. Схема работы комплекса антивирусного обслуживания ЦЭМИ РАН

Объективную актуальность разработки подтверждает накопленная статистика. Как видно из рис. 25, через полгода после существования сайта и сбора статистических данных достигнут уровень обращений к области обновления антивирусных средств в 1500 за месяц среди «внутренних» (в смысле работы [8]) пользователей ЛВС ЦЭМИ, число которых превышает 150. При этом, для выделенного административно-финансового сегмента ЛВС с его 18 пользователями числа обращений даны отдельно. Специфическая статистика этих пользователей приведена в самостоятельной статье данного сборника [9].

Рис. 25. Раздел сайта Статистика – сводки доступа за предыдущий месяц

Из этой же таблицы видна эффективность антивирусного сайта: в среднем на 1 обращение приходится менее 50Кб, что вполне корректная цифра для медленного доступа через DialUp: пользователям не приходится ждать длительной загрузки больших объемов информации. Для сравнения помесячных обращений можно использовать данные рис. 26, где, в частности, указаны сводные данные за август. Видно, что с окончанием периода отпусков активная работа пользователей увеличилась более чем втрое.

Рис. 26. Раздел Статистики – доступ к области обновления (ежедневная сводка)

Представленные образцы статистических данных иллюстрируют транспарентность принятой политики в отношении антивирусных средств. Любой пользователь в любое время может не только узнать новости, получить инструктивные материалы, скачать и установить антивирусные средства, но и оценить актуальность сайта.

Доступность сервера программно контролируется: оба ПК включены в список «избранных», за их работоспособностью организовано постоянное круглосуточное слежение в ходе сетевого мониторинга [5].

Литература

1. Терентьев А.М. Антивирусная защита сетевых рабочих станций / Использование и развитие информационных технологий в научных исследованиях. Сборник трудов под ред. М.Д.Ильменского. — М: ЦЭМИ РАН, 2003, с. 64 – 73. (Рус.)
2. Терентьев А.М. Информационная безопасность в крупных локальных сетях. — «Концепции», N1(9), 2002, с. 25-30.
3. Терентьев А.М. Многопользовательский режим работы на персональных ЭВМ. Средства системной поддержки / Препринт #WP/99/071 — М.: ЦЭМИ РАН, 1999. — 79 с. (Рус.)
4. Терентьев А.М. Методы и средства наблюдения загрузки локальных вычислительных сетей на примере ЦЭМИ РАН / Препринт #WP/2001/110 — М.: ЦЭМИ РАН, 2001. — 74 с.
5. Терентьев А.М. Построение и развитие системы сетевого мониторинга. / Развитие и использование средств сетевого мониторинга и аудита. Вып. 1. Сборник статей под ред. А.М.Терентьева – М.: ЦЭМИ РАН, 2004, с. 5-23.
6. Zale, Robert S. PowerBASIC Compiler, version 3. User’s Guide. — PowerBASIC, Inc. 316 Mid Valley Center. Carmel, CA 93923. — 335c.
7. Zale, Robert S. PowerBASIC Compiler, version 3. Reference Guide. — PowerBASIC, Inc. 316 Mid Valley Center. Carmel, CA 93923. — 335c.
8. Ляпичева Н.Г., Терентьев А.М. Исследование сетевых сервисов на примере клиентского почтового протокола POP3. / Развитие и использование средств сетевого мониторинга и аудита. Вып. 1. Сборник статей под ред. А.М.Терентьева – М.: ЦЭМИ РАН, 2004, с. 60-74.
9. Вегнер В.А., Ляпичева Н.Г., Львова А.С., Терентьев А.М. Разработка и реализация типового проекта выделенного сегмента ЛВС на примере ПК административно-финансовой группы ЦЭМИ РАН. / Развитие и использование средств сетевого мониторинга и аудита. Вып. 1. Сборник статей под ред. А.М.Терентьева – М.: ЦЭМИ РАН, 2004, с. 88-101.

^(X)Работа выполнена при финансовой поддержке РФФИ, проект N 04-07-90260в

Статья опубликована в 2004 г.