>icap это тоже самое сто и cvp?
>И можноли прикрутить squid через него к антивирусу поддерживающего cvp например
>panda cvpsecure (панда будет стоять на NT). Про ДрВеб понятно,что можно.
>
Сам спросил сам и ответил.
Номожет кто поделится опытом или может что появилось нового.
Вот нащел статью на nug.ru. Там много всего дыло кроме этой статьи так что вот ее текст. http://nag.ru/2004/0520/0520.shtml
--------------------------------------------------------------------------
Антивирусная проверка http трафика.
Минули те времена, когда по сети можно было ходить "просто так". Современный интернетчик снаряжен как рейнджер - без "свежего" фаервола, антивируса и антитрояна выходить за пределы локалки можно... Но не долго.
При широкополосном подключении достаточно одного неосторожного клика мышью... И компьютер превращается в бомбу немедленного, или, хуже того, замедленного действия. Да, в 95% случаев в появлении вирусов виноваты сами пользователи. Но бывает, что от неприятностей не спасает даже 15-ти летний опыт работы в интернет.
Должен ли провайдер оградить абонентов от такого "счастья" при помощи фильтрации http трафика? Думаю что безусловно, только с возможностью выключения этой опции по желанию. По крайней мере осуществляемая оператором антивирусная проверка почты очень удобна, о последней эпидемии мне удалось узнать только из новостных лент, да по объему папки "trash".
Должна такая фильтрация быть бесплатной, или платной - вопрос сложный. Ресурсов она потребует (в отличии от почты) изрядно, поэтому одного решения нет. Но вот о техническом решении антивирусной проверки http хотелось бы рассказать подробнее.
Поэтому предлагаю текст, который написал Эдуард Афонцев, Екатеринбург.
Классическая схема организации доступа в Интернет подразумевает наличие шлюза, через который подключены клиентские рабочие станции. В рамках защиты от вирусного заражения встает задача антивирусной проверки проходящего через шлюз трафика. И если проверка почтовых сообщений не вызывает никаких трудностей (существует масса антивирусных решений на базе avp, drweb, clamav и прочих), то обработка http потока до сих пор не является широкораспространенной.
Наиболее известные способы антивирусной проверки http трафика можно разделить на следующие группы: пакетные фильтры с поддержкой контентной фильтрации, IDS (системы детектирования вторжений) и проксирующие программы с антивирусной поддержкой. Рассмотрим возможные некоммерческие решения по порядку.
Пакетные фильтры и их модификации.
Netfilter
К первой группе несомненно относится linux netfilter - штатный файерволл в современных linux ядрах. После наложения дополнительного патча становится возможно настраивать пакетный фильтр для фильтрации по содержимому пакетов. Например, для блокирования вируса Code Red достаточно запретить прохождение пакетов, содержащих подстроку "cmd.exe" :
iptables -I INPUT -j DROP -p tcp -m string --string "cmd.exe"
Layer 7 filter
Layer 7 filter - это новый пакетный классификатор для ядра linux. В отличие от других классификаторов, данный выполняет поиск регулярных выражений на уровне приложений. Практически представляет собой патч для linux ядра и iptables. В принципе является расширением netfilter для обработки layer 7 трафика.
Halflife
Предназначен для фильтрации не на транспортном уровне, как большинство файерволлов, а на уровне приложений. Создает дополнительную очередь в netfilter, которую можно обрабатывать например антивирусной проверкой. В настоящее время данный проект еще не реализован в виде программного кода.
IDS (системы детектирования вторжений).
Snort
Snort - это мощный перехватчик и анализатор сетевого трафика, основанный на библиотеке libpcap. Может производить как анализ протоколов (выявлять пакеты несоответствующие стандартам) так и анализ сигнатур (в перехватываемых пакетах выявляются враждебные образцы). Как таковой антивирусной проверки не производит, но может сигнализировать о характерном для распространения вирусов трафике и с использованием многочисленных расширений управлять файерволлами для блокирования.
Расширения проксирующих серверов по принципу встраивания в цепочку передаваемых данных.
Viromat
По сути php скрипт, осуществляющий антивирусную проверку в сложной цепочке:
* пользователь посылает запрос на прокси сервер (например squid);
* прокси передает url редиректору (например squirm);
* url сканируется, и если содержит .exe .zip и тому подобное, то;
* редиректор изменяет url на php скрипт находящийся на локальном http сервере;
* php скрипт скачивает объект и проверяет его антивирусом;
* если все в порядке, то прокси (а затем и пользователю) отдается объект с локального сервера.
В настоящее время проект заморожен.
Viralator
Данная программа является perl скриптом, который работает аналогично viromat и фактически являющимся его продолжением. Требует наличия прокси сервера (squid), редиректора (squirm или squidguard) и http сервера apache, на котором запускается собственно viralator (как cgi perl приложение). Может использовать множество антивирусных пакетов (avp, openantivirus, clamav и другие). Конструкция довольно громоздкая, но в принципе работоспособная.
Mod_clamav
Mod_clamav - это Apache 2 фильтр, который сканирует контент, доставляемый модулем mod_proxy, используя clamav антивирус. Для того, чтобы при обработке больших файлов браузер не выдавал таймаут, браузеру раз в минуту передается по байту запрошенного содержимого.
Mod_vscan
Mod_vscan является аналогом mod_clamav, только для проверок используется open antivirus.
Squid-vscan
Squid-vscan представляет собой патч для прокси сервера squid, позволяющий сканировать передаваемые данные на наличие вирусов. Входит в проект open antivirus.
DansGuardian
В принципе dansguardian предназначен для фильтрации передаваемого контента в связке с прокси сервером squid. Существует патч для добавления антивирусных проверок.
Расширения прокси серверов на основе специальных протоколов.
Вероятно, первыми были программисты фирмы CheckPoint, предложившие для своих продуктов протокол CVP (Content Vectoring Protocol). Однако в силу нераспространенности мы его рассматривать не будем.
Наиболее современным подходом к манипулированию http трафиком в потоке является использование протокола ICAP (internet content adaptation protocol). Подробнее о нем можно почитать по адресам: 1, 2.
Вкратце Icap - базируется на http и может модифицировать как запрос клиента, так и ответ сервера. Решаемые задачи - модификация контента, потоковый перевод и адаптация, сжатие данных, антивирусная проверка и многое другое.
По пути использования протокола icap пошли такие известные производители программного обеспечения как drweb, symantec, trend micro. Думаю, что ожидаются и другие.
Рассмотрим некоммерческие решения.
Shweby
Shweby - прокси сервер с поддержкой ICAP протокола, что позволяет передавать данные ICAP серверу, который может осуществлять антивирусную проверку.
Poesia
Основанный на ICAP программный комплекс для фильтрации интернет контента.
Squid icap client
Расширение известного прокси сервера squid для поддержки ICAP протокола. Наиболее перспективное решение, позволяющее осуществлять антивирусную (и не только) обработку кэшируемого контента. Недаром программисты DrWeb, сначала использовавшие подход viralatora, в дальнейшем перешли на squid + ICAP (практически разработав ICAP сервер с функциями антивирусной проверки).
Выводы.
Заканчивая обзор методов потоковой антивирусной проверки http трафика, можно сделать следующие выводы:
Практически все решения на основе пакетных фильтров базируются на расширении функций подсистемы netfilter ядра ОС linux. Очевидно, что полноценная антивирусная проверка в данном случае трудновыполнима - ведь на транспортном уровне (TCP/IP) данные представлены в виде отдельных блоков. Наиболее просто осуществлять поиск отдельных регулярных выражений (вирусных сигнатур), что и реализуется. В принципе, на мой взгляд, аналогичное решение можно выполнить, используя netgraph ОС FreeBSD, но пока подобных проектов нет.
Использование систем IDS позволяет отследить и блокировать поток данных, генерируемый вирусами, тем самым предотвращая их распространение. Однако данный метод ограничен только вирусами, использующими сетевые функции.
Наиболее эффективным является использование прокси сервисов - приложение посредник имеет большие возможности по обработке передаваемых клиенту данных.
Широкораспространенный прокси сервер squid (http, ftp) допускает подключение внешних программ (редиректоров) для манипуляций с обрабатываемыми url. Запрашиваемый клиентом url передается редиректору, который может с ним манипулировать и возвращать результат для дальнейшей обработки прокси серверу. Недостатки данного метода для антивирусной проверки выражаются в том, что обращение к редиректору происходит до скачивания данных прокси сервером и необходимо принимать дополнительные меры для кэширования и предотвращения таймаутов для клиентской программы.
Использование http сервера apache в качестве прокси с функциями фильтрации в принципе работоспособно, но идеологически неестественно - ведь основной функцией apache все же является совсем другое.
Остается применение прокси сервисов с поддержкой протокола ICAP - наиболее современное и развивающееся на сегодня решение. По этому пути пошли известные производители антивирусных решений, такие как Symantec, Trend Micro, Dr Web. Однако к великому огорчению некоммерческого программного продукта (сервера icap с антивирусной проверкой) пока нет.
Вариант для распечатки
Настройка Squid и других прокси серверов (Public)
(ok) on
21-Янв-05, 11:51 (MSK)
