пятница, 15 октября 2010 г.

Безопасность с ClamAV

Безопасность с ClamAV
Не секрет, что для использования в корпоративной среде нужно обязательно иметь антивирус. Конечно есть и более полезные с точки зрения ИБ меры и средства, такие как регулярное проведение анализа защищенности всех ПК и серверов (Patch management), отсутствие административных полномочий на всех ПК пользователей. И тем не менее, без антивируса сегодня никуда.
В настоящее время бесплатных и/или свободных антивирусов достаточное количество. Однако среди них есть только три, которые могут быть использованы в корпоративной среде. Один из них ClamAV.
Основное назначение данного продукта - сетевые и почтовые шлюзы. Программное обеспечение шлюза, должно осуществлять вызовы антивирусного сканера для сканирования каждого проходящего файла.
Антивирус ClamAV, как известно, не содержит в себе антивирусного монитора, который в автоматическом режиме осуществляет вызовы сканера при обращениях к файлам. Это означает, что каждый подозрительный файл нужно в ручном режиме проверять на вирусы, после чего использовать. Стоит ли говорить об удобности для конечного пользователя?
Для того, чтобы компенсировать отсутствующий функционал, существует несколько внешних мониторов. По информации с форума http://forum.ru-board.com есть следующие мониторы (привожу неизменые комментарии с форума):

Bilirafon-AV. Это нечто очень странное и весьма ненадежное, как я понимаю. Он просто меняет ключики в реестре, и при попытке запустить какую-либо программу сперва запускается сам.
Tech-Protect. Облазил весь инет, замучил Гугля, но так и не нашел, где его можно скачать. Если у кого-то есть - большая просьба, поделитесь, пожалуйста. Ну и заодно - как он в работе, действительно ли лучше других мониторов для ClamAV?
WinPooch. Несовместим с WinXP SP3

Moon Secure AV. Пока оставил именно его. Интерфейс, конечно, потрясает
Ну хоть EICAR'а ловит стабильно. (Хотя, нет, не очень стабильно - позволяет копировать eicar в буфер обмена и вставлять в другую папку. Но выполнить все-таки не дает.)
Spyware Terminator. Поставил, попробовал, удалил. Как-то хитрО там все с настройками, да и как заставить его обновляться просто по сети - совершенно неясно. Если кто-то его пользует - поделитесь опытом, как его настраивать и обновлять в сетке на несколько машин? И, кстати, EICAR он у меня ловил не всегда - в каких-то случаях позволял eicar.com выполниться.
ClamRT. Проект заморожен в 2005 году, судя по датам дистрибутивов на SourceForge.

Таким образом, можно считать, что есть большие проблемы с наличием свободного и стабильно работающего монитора, «идущего в ногу» с самим антивирусом. Привожу скриншот одного из таких мониторов.
 В качестве тестирования используем ОС Windows 7 с установленными последними обновлениями и последней версией антивируса ClamWin 0.96.2.
Скачиваем тестовый вирус EICAR и пытаемся его запустить. При попытке запуска, как и следовало ожидать, антивирус его не заметил, а вот встроенный в ОС Windows Защитник (Defender) его сразу заметил и предложил удалить.
Для тестирования антивируса пришлось отключить Windows Defender и просканировать тестовый вирус. Антивирус ClamAV сразу определил тестовый вирус.
 Результаты сканирования заносятся в лог в текстовом виде.
 Недавно появился новый «обвес» для антивируса ClamAV -  ClamAV for Windows 2.0, производимый компаниями Immunet Corporation и Sourcefire, Inc. Данный антивирус имеет две версии: Free и Plus. Plus отличается расширенными возможностями по сканированию файлов при недоступности своего «облачного» ресурса, поддерживает сканирование USB носителей и почтовых баз, поддерживает архивы и установочные (сжатые) файлы, а также обладает расширенными функциями по автоматизации. Обе версии имеют в своем составе монитор, столь необходимый конечному пользователю.
 По информации с сайта http://www.antivirus.ru, по состоянию на октябрь 2009 года, рейтинг антивируса ClamAV – 13, а занимает он лишь 33 место.
Вывод: в настоящее время не существует свободного и полностью работоспособного монитора для антивируса ClamAV, сам же антивирус ClamAV кроссплатформенный и работоспособный, однако эффективность его невысока. Антивирус ClamAV адекватно логирует события, что позволяет удаленно управлять им и разбирать логи (parsing) при создании каких-либо дополнительных средств ИБ.

Безопасность протокола ARP

Безопасность протокола ARP
        На сайте компании http://www.redline-software.com размещен цикл статей, посвященных сетевым атакам. Одна из этих атак, относящихся к типу Man-in-the-MiddleARP Cache Poisoning. Повторим её в лабораторных условиях, согласно описанию с сайта.
        Делаем тестовую сеть, состоящую из маршрутизатора, ПК злоумышленника и ПК жертвы. ПК подключаются через коммутатор в сеть, через маршрутизатор осуществляется доступ в Интернет.
        Фиксируем исходные данные сетевых интерфейсов, выполнив команду ARPA на каждом ПК.
Маршрутизатор – IP 192.168.0.1 MAC 00-1b-11-fb-34-ec
ПК злоумышленника – IP 192.168.0.2 MAC 00-1b-fc-8c-b1-74
ПК жертвы – IP 192.168.0.3 MAC b4-82-fe-70-e5-4f

Далее скачиваем и устанавливаем ПО Cain & Abel c сайта http://www.oxid.it
 Выбираем нужный интерфейс
Сканируем сеть для определения присутствующих хостов
 Выбираем жертву (в моём случае компьютер Samsung)
 И запускаем процесс «отравления» ARP кеша.
Смысл атаки заключается в постоянной подмене MAC адреса хоста, обладающего IP адресом 192.168.0.1 MAC адресом злоумышленника 00-1b-fc-8c-b1-74.
После того, как атака «включена» трафик начинает перенаправляться через ПК злоумышленника. Для подтверждения этого достаточно на ПК жертвы проявить какую-нибудь активность, например, зайти на какой-нибудь web-сайт. Все http запросы начинают отображаться в окне программы Cain & Abel на ПК злоумышленника, по которым легко установить сетевую активность, используя общедоступный DNS сервер.

Методы защиты:
  • Фиксация соответствий между IP и MAC адресами на каждом ПК сети при помощи скриптов из команд “ARPs <IP address> <MAC address>”.
  •  Контроль соответствия сетевых пакетов при помощи ПО класса HIPS на каждом ПК сети.
  • Контроль соответствия таблиц коммутации на уровне сетевых коммутаторов.