Издательский дом ООО "Гейм Лэнд"ЖУРНАЛ ХАКЕР #94, ОКТЯБРЬ 2006 г.

Прозрачный антивирус

Колисниченко Денис

Хакер, номер #094, стр. 094-114-1

(dhsilabs@mail.ru, www.dkws.org.ua)

Использование ClamAV для прозрачной проверки почты, ресурсов Samba и WWW-трафика

Каким образом сетевые вирусы попадают на рабочие станции локальной сети? Как правило, существует три способа: через «сетевое окружение», по e-mail и в результате неосторожного web-серфинга. В этой статье мы поговорим об организации антивирусной проверки почты и загружаемых через Samba файлов, а также постараемся защитить пользователей нашей сети, качающих все подряд.

Проверка WWW-трафика

Для начала выясним, как будет осуществляться проверка WWW-трафика. На твоем шлюзе должен быть установлен Squid. С помощью специальных средств мы будем передавать каждый полученный прокси-сервером файл на проверку антивирусу. В качестве антивируса мы будем использовать ClamAV (clamav.net). Я специально не назвал имя программы. Дело в том, что настроить связку Squid + ClamAV можно несколькими способами. Один из них подразумевает использование протокола ICAP (www.i-cap.org). Другой способ основан на использовании редиректоров Squid, которые позволяют передавать полученные файлы антивирусу «напрямую», без участия какой-либо вспомогательной программы. Третий способ заключается в использовании скрипта Viralator.

Сразу нужно отметить, что второй способ не очень надежен, поскольку редиректоры могут не срабатывать при большой нагрузке на прокси. К тому же возможности редиректоров ограничены, а использование внешних программ позволяет организовать антивирусную проверку более гибко.

Остается ICAP или Viralator. Я настраивал оба варианта на разных машинах. Пока все работает стабильно. Но настройка с использованием Viralator проще, поэтому мы рассмотрим именно этот вариант. Если кого-то Viralator не устраивает, то в конце статьи я приведу ссылки на материалы, где описана настройка связки Squid + ClamAV через ICAP.

Нам понадобится следующий софт:

* squid-2.5.STABLE10

* squidGuard-1.2.0

* apache-2.0.54

* viralator-0.9.7

* clamav-0.88.1

Squid и Apache есть в составе любого дистра, Viralator можно скачать на сайте viralator.sf.net. RPM-пакет с ClamAV для любого распространенного дистра (Debian, Mandriva, Fedora Core и др.) доступен по адресу: clamav.net/binary.html.

Назначение первых пакетов всем известно. С последним тоже все понятно. Поговорим о четвертом. Скрипт Viralator передает запросы от SquidGuard, который работает в паре со Squid, антивирусу ClamAV. Спрашивается, а зачем тогда нам Apache? Именно через Apache мы будем запускать Viralator.

После небольшой теоретической части приступаем к настройке (подразумевается, что Squid и SquidGuard у тебя уже установлены). Сначала отредактируй squid.conf:

# vi /etc/squid/squid.conf

# адрес и порт для прослушивания

http_port 192.168.0.1:3128

# задаем 1 Гб кэша, 16 каталогов первого уровня и 256 - второго

cache_dir ufs /var/spool/squid 1024 16 256

# определяем списки контроля доступом

acl my_net src 192.168.0.0/24

http_access allow my_net

http_access deny all

# указываем имя пользователя, с правами которого запускается и работает прокся

cache_effective_user squid

Содержание  Вперед на стр. 094-114-2
ttfb: 3.1728744506836 ms