Na bramce na serwerze 6 pogromców wirusów

Zapory ogniowe, jakkolwiek dobre jako pierwsza linia ochrony, zazwyczaj nie potrafią rozpoznać wrogiego kodu. To sprawia, że skanowanie przychodzącej z zewnątrz korespondencji stało się obowiązkiem każdego administratora.

Zapory ogniowe, jakkolwiek dobre jako pierwsza linia ochrony, zazwyczaj nie potrafią rozpoznać wrogiego kodu. To sprawia, że skanowanie przychodzącej z zewnątrz korespondencji stało się obowiązkiem każdego administratora.

Przedsiębiorstwa tradycyjnie do zabezpieczenia swoich sieci przed wirusami poszukiwały rozwiązań serwerowych, najlepiej ściśle zintegrowanych z używanym serwerem obsługującym pocztę elektroniczną. Dzisiaj, obok tradycyjnych serwerów antywirusowych, na rynku jest co najmniej kilka skanerów poczty elektronicznej, działających jako odrębne bramki zatrzymujące zainfekowane listy, zanim te dotrą do serwera pocztowego. Przyjrzeliśmy się obu rozwiązaniom.

Bramki wprawdzie wymagają dodatkowego sprzętu, ale są za to wygodne w użyciu. Ich konfigurowanie jest łatwiejsze niż oprogramowania serwerowego i nie obciążają pracy serwera pocztowego. Z kolei zaletą produktów dla serwerów pocztowych jest to, że poza skanowaniem listów przychodzących i wychodzących sprawdzają zawartość skrzynek pocztowych pod kątem obecności wirusów. Dzięki temu wychwytują wirusy, które z jakichś względów prześliznęły się do serwera pocztowego, np. przed aktualizacją bazy sygnatur wirusów.

Przeprowadzone przez tygodnik Infoworld testy bramek i tradycyjnych serwerowych programów antywirusowych wykonano wg metodologii przygotowanej przez European Institute for Computer Anti-Virus Research (EICAR). Ich celem było sprawdzenie sprawności poszczególnych produktów w wykrywaniu niebezpiecznego kodu zarówno w treści listów elektronicznych, jak i skompresowanych i nieskompresowanych załącznikach. Wszystkie testowane produkty (GFI Software, Gordano, Network Associates, Sophos, Symantec i Trend Micro) korzystają z baz sygnatur wirusów i na podstawie zgromadzonych tam informacji skanują pocztę elektroniczną. Wykrycie wirusa powoduje każdorazowo zainicjowanie procedur bezpieczeństwa: usunięcia wirusa z pliku ewentualnie poddania go kwarantannie lub zniszczeniu. Każdy testowany produkt jest oparty na zaawansowanym motorze antywirusowym. Nic więc dziwnego, że wszystkie wykrywały znane wirusy wysłane w ramach testów. Testowane produkty równie szybko wykonywały zadania związane z identyfikacją wirusa. Jeden z nich wyróżniał się pod względem efektywności, dzięki temu że używał trzech motorów antywirusowych naraz.

Zastosowanie kilku motorów skanujących zwiększa szansę na wykrycie wirusa choćby ze względu na fakt, że program wykorzystuje kilka baz danych pochodzących od różnych dostawców. System GFI MailSecurity poddawany testom stosuje trzy motory skanujące do identyfikacji wirusa, podczas gdy pozostałe produkty polegały tylko na jednym.

Oczywiście, każdy z testowanych produktów ma znacznie więcej funkcji niż tylko skanowanie korespondencji elektronicznej. Wszystkie rozwiązania oparte na serwerze pocztowym skanowały listy przechowywane w skrzynkach pocztowych. Prawie wszystkie umożliwiały również definiowanie reguł, wg których następuje powiadomienie administratora o problemach. Jak najwcześniejszy sygnał pozwoli mu na ograniczenie skali szkód poprzez ustanowienie nowych reguł postępowania dla zapór firewall i serwerów pocztowych. Typowy alarm może przybrać formę wiadomości e-mail, komunikatu SNMP trap lub też wpisu do rejestru zdarzeń systemu Windows (event log). Spośród testowanych produktów tylko Sophos MailMonitor nie miał możliwości samodzielnego zaprojektowania wzorców postępowania w razie alarmu.

GFI MailSecurity for Exchange/SMTP

GFI MailSecurity for Exchange/SMTP to pakiet, który może funkcjonować jako niezależna bramka SMTP lub współpracować z serwerem Microsoft Exchange. Integracja z Exchange przebiega bardzo łatwo. Interfejs administratora MailSecurity doskonale współpracuje z MMC (Microsoft Management Console). Aplikacja monitorująca pracuje w oddzieleniu od konsoli zarządzającej, dostarczając informacje o statusie MailSecurity.

MailSecurity jest wyposażony w trzy silniki skanujące: BitDefender, Norman Virus Control i McAfee, z których każdy doskonale radził sobie podczas testów. Mechanizmy kwarantanny umożliwiają izolację zainfekowanych e-maili na potrzeby analiz. MailSecurity zawiera nawet odrębny silnik skanujący do sprawdzania najbardziej rozpowszechnionych exploitów, pisanych np. przy użyciu JavaScript.

GMS Boundary Protection

GMS (Gordano Messaging Suite) to kompleksowe rozwiązanie dla serwera poczty obsługujące protokoły POP, IMAP i SMTP. Zapewnia też ochronę systemów e-mail obsługiwanych za pośrednictwem przeglądarki Web, a także komunikatorów internetowych. W tym przypadku integracja narzędzi antywirusowych z serwerem pocztowym Exchange może nastręczać problemy.

Na potrzeby działania GMS usługi SMTP muszą zostać odłączone i skonfigurowane ręcznie. GMS jest administrowany wyłącznie przez interfejs Web wykorzystujący Javę, co wyklucza zarządzanie systemem z wykorzystaniem większości popularnych palmtopów. GMS wychwycił wszystkie testowe wirusy. Pakiet korzysta z własnego motoru antywirusowego. Zawiera również narzędzia do filtrowania zawartości treści i mechanizmy powiadamiające o podejrzanych przypadkach w sieci.