Dr.Web

Сервис Dr.Web позволяет с помощью веб-прокси осуществлять захват и сканирование проксируемого трафика HTTP и HTTPS на предмет наличия вирусов, вредоносного программного обеспечения и других угроз. Дополнительно сервис обеспечивает фильтрацию трафика в соответствии с базами данных нежелательных вредоносных ресурсов и тематических категорий, а также в соответствии с пользовательскими правилами, реализуемыми посредством модуля ICAPD.

Сервис Dr.Web интегрирован в систему ARMA Стена.

Примечание

Для функционирования сервиса Dr.Web требуется ключ активации лицензии.

Для перехода в раздел «Dr.Web» необходимо выполнить следующие действия:

  1. В списке источников открыть карточку необходимого источника «NGFW».

  2. В карточке источника выбрать модуль «Dr.WEB» (см. Рисунок – Окно настроек сервиса Dr.Web):

../../../../_images/ngfw.rp.web.drweb_0.1.png

Рисунок – Окно настроек сервиса Dr.Web

Лицензирование Dr.Web

Права пользователя на использование копии Dr.Web Gateway Security Suite подтверждаются и регулируются лицензией, приобретенной пользователем у компании «Доктор Веб» или ее партнеров. Параметры лицензии, регулирующие права пользователя, установлены в соответствии с Лицензионным соглашением (см. https://license.drweb.com/agreement/), условия которого принимаются пользователем при активации Dr.Web Gateway Security Suite в системе ARMA Стена.

Имеется также возможность активировать для приобретенной копии Dr.Web Gateway Security Suite демонстрационный период. В этом случае, если не нарушены условия активации демонстрационного периода, пользователь получает право на полноценное использование Dr.Web Gateway Security Suite в течение демонстрационного периода.

Каждой лицензии на использование программных продуктов компании «Доктор Веб» сопоставлен уникальный серийный номер, а в системе ARMA Стена с лицензией связывается специальный файл, регулирующий работу компонентов в соответствии с параметрами лицензии. Он называется лицензионным ключевым файлом. При активации демонстрационного периода также автоматически формируется специальный ключевой файл, называемый демонстрационным.

В случае отсутствия у пользователя действующей лицензии или активированного демонстрационного периода, антивирусные функции компонентов Dr.Web Gateway Security Suite блокируются, кроме того, недоступен сервис регулярных обновлений вирусных баз с серверов обновлений компании «Доктор Веб».

После получения лицензионного ключевого файла для продукта Dr.Web Gateway Security Suite необходимо скопировать его в каталог «/config/third-party/drweb/gss/» системы ARMA Стена.

Для выполнения данной операции возможно использовать программное обеспечение, поддерживающее передачу файлов по протоколам SFTP или SCP (например, WinSCP для операционной системы Windows), либо воспользоваться командой «scp» через интерфейс командной строки. Возможны также альтернативные способы передачи данных.

Пример использования команды «scp»: «C:Userstest>scp c:UserstestDesktop151473289.key admin@172.16.20.76:/config/third-party/drweb/gss» - команда выполнит копирование лицензионного ключевого файла 151473289.key в каталог /config/third-party/drweb/gss/ на системе ARMA Стена, имеющей IP-адрес 172.16.20.76.

Включение Dr.Web

Конфигурация Dr.Web ICAPD

Компонент Dr.Web ICAPD использует протокол ICAP (Internet Content Adaptation Protocol, RFC 3507) для взаимодействия с внешним по отношению к Dr.Web прокси-сервером, обслуживающим соединения узлов локальной сети с веб-серверами по протоколу HTTP/HTTPS.

Компонент Dr.Web ICAPD предназначен для подключения по протоколу ICAP к прокси-серверу системы ARMA Стена, установленному на шлюзе, через который пользователи локальной сети осуществляют выход в интернет. Прокси-сервер использует Dr.Web ICAPD в качестве внешнего фильтра, передавая ему на анализ как HTTP-запросы пользователей, так и ответы от удалённых веб-серверов.

Если доступ к ресурсу во внешней сети должен быть запрещён, либо передаваемые данные (запрос или ответ) содержат угрозу либо не могут быть проверены по причине возникшей ошибки, Dr.Web ICAPD инициирует возврат прокси-сервером пользователю HTML-страницы с информацией о блокировке.

Для настройки параметров компонента Dr.Web ICAPD необходимо в разделе «Настройки DrWEB» перейти в подраздел «Конфигурация» (см. Рисунок – Окно конфигурации Dr.Web ICAPD):

../../../../_images/ngfw.rp.web.drweb_3.1.png

Рисунок – Окно конфигурации Dr.Web ICAPD

Подраздел «Конфигурация» состоит из следующих блоков:

  • «Общие настройки»;

  • «Белый список»;

  • «Чёрный список»;

  • «Список реклам»;

  • «Настройки блокировок»;

Общие настройки

Блок настроек «Общие настройки» включает основные параметры конфигурации компонента Dr.Web ICAPD (см. Рисунок – Общие настройки Dr.Web ICAPD):

  • «Dr.Web ICAPD» - включение или отключение компонента Dr.Web ICAPD. По умолчанию компонент отключён.

  • «Эвристический анализ» - использовать или не использовать эвристический анализ для поиска неизвестных угроз. По умолчанию эвристический анализ включён.

  • «Предварительный просмотр» - включить или отключить режим ICAP preview для Dr.Web ICAPD. Предварительный просмотр позволяет антивирусу быстро оценить содержимое файла без выполнения полного анализа. Основная цель — оптимизация производительности. Если файл явно безопасен или не представляет интереса для детального анализа, антивирус может пропустить его полную проверку. По умолчанию предварительный просмотр включён.

  • «Код ответа 204» - возвращать код ответа 204 не только в режиме ICAP preview. Параметр позволяет оптимизировать взаимодействие между прокси-сервером и Dr.Web ICAPD, избегая ненужной передачи данных, если файл или трафик признан безопасным. По умолчанию параметр включён.

  • «IP-адрес» - IP-адрес в формате <x.x.x.x>, прослушиваемый Dr.Web ICAPD в ожидании подключений от прокси-серверов HTTP. По умолчанию используется IP-адрес «127.0.0.1».

  • «Порт» - порт, прослушиваемый Dr.Web ICAPD в ожидании подключений от прокси-серверов HTTP. Возможно указать значение в диапазоне от «1» до «65535». По умолчанию используется порт «1344».

  • «Тайм-аут сканирования» - значение тайм-аута в секундах на проверку одного файла по запросу Dr.Web ICAPD. Возможно указать значение в диапазоне от «1» до «3600». По умолчанию используется значение «30».

  • «Максимальный уровень вложенности исполняемых файлов» - возможно указать значение в диапазоне от «0» до «1000». По умолчанию используется значение «8». Значение «0» указывает, что вложенные объекты не проверяются. Под запакованным объектом понимается исполняемый код, сжатый при помощи специализированных инструментов (UPX, PELock, PECompact, Petite, ASPack, Morphine и др.). Такие объекты могут включать другие запакованные объекты, в состав которых также могут входить другие запакованные объекты, и т. д. Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого объекты внутри объектов не будут проверяться.

  • «Максимальный уровень вложенности архивов» - возможно указать значение в диапазоне от «0» до «1000». По умолчанию используется значение «0». Значение этого параметра устанавливает предельный уровень иерархии вложенности, после которого архивы внутри архивов не будут проверяться.

  • «Максимальный уровень вложенности почтовых сообщений» - возможно указать значение в диапазоне от «0» до «1000». По умолчанию используется значение «0».

  • «Максимальный уровень вложенности контейнеров» - значение максимального уровня вложенности для других типов объектов c вложениями (например, страницы HTML, файлы .jar и др.). Возможно указать значение в диапазоне от «0» до «1000». По умолчанию используется значение «8».

  • «Максимальная степень сжатия запакованных объектов» - возможно указать значение в диапазоне от «2» до «10000». По умолчанию используется значение «500». Если степень сжатия объекта превысит указанную величину, он будет пропущен при проверке данных, инициированной по запросу Dr.Web ICAPD.

../../../../_images/ngfw.rp.web.drweb_3.1.1.png

Рисунок – Общие настройки Dr.Web ICAPD

Настройки блокировок

Блок «Настройки блокировок» позволяет настроить запрет доступа к ресурсам по следующим критериям (см. Рисунок – Настройки блокировок Dr.Web ICAPD):

  • «Данные, содержащие неизвестную угрозу» - по умолчанию включено;

  • «Данные, содержащие известную угрозу» - по умолчанию включено;

  • «Сайты, содержащие вредоносное ПО» - по умолчанию включено;

  • «Нерекомендуемые сайты» - по умолчанию включено;

  • «Данные, содержащие рекламу» - по умолчанию включено;

  • «Данные, содержащие программу дозвона» - по умолчанию включено;

  • «Сайты, содержащие онлайн-игры» - по умолчанию включено;

  • «Сайты анонимайзеры» - по умолчанию включено;

  • «Сайты для майнинга криптовалют» - по умолчанию включено;

  • «Контент для взрослых» - по умолчанию отключено;

  • «Сайты, содержащие насилие» - по умолчанию отключено;

  • «Сайты, посвященные оружию» - по умолчанию отключено;

  • «Сайты, посвященные азартным играм» - по умолчанию отключено;

  • «Сайты, посвященные наркотикам» - по умолчанию отключено;

  • «Сайты, содержащие нецензурную лексику» - по умолчанию отключено;

  • «Сайты с чатами» - по умолчанию отключено;

  • «Сайты, посвященные терроризму» - по умолчанию отключено;

  • «Сайты с бесплатными почтовыми службами» - по умолчанию отключено;

  • «Сайты социальных сетей» - по умолчанию отключено;

  • «Сайты с нарушением авторских прав» - по умолчанию включено;

  • «Данные, содержащие программу-шутку» - по умолчанию отключено;

  • «Данные, содержащие потенциально опасную программу» - по умолчанию отключено;

  • «Данные, содержащие программу взлома» - по умолчанию отключено;

  • «Данные, которые не могут быть проверены» - по умолчанию отключено;

  • «Сайты для поиска работы» - по умолчанию отключено;

../../../../_images/ngfw.rp.web.drweb_3.5.1.png

Рисунок – Настройки блокировок Dr.Web ICAPD

Журналирование Dr.Web

Для настройки и просмотра событий, генерируемых сервисом Dr.Web, необходимо в разделе «Настройки Dr.Web» выбрать подраздел «Журналирование» (см. Рисунок – Журналирование Dr.Web).

../../../../_images/ngfw.rp.web.drweb_4.1.png

Рисунок – Журналирование Dr.Web

Блок «Настройки журналирования» позволяет настроить уровень детализации записей, сохраняемых в журнале, для следующих компонетов Dr.Web (см. Рисунок – Настройки журналирования Dr.Web):

../../../../_images/ngfw.rp.web.drweb_4.2.png

Рисунок – Настройки журналирования Dr.Web

  • «Общий уровень журналирования» - значение уровня детализации записей для всех компонентов Dr.Web, если для конкретного компонента не указан собственный уровень журналирования. Возможно выбрать из выдающего списка следующие значения:

    • Отладка - самый подробный (отладочный) уровень. Выводятся все сообщения, а также отладочная информация;

    • Информация - выводятся все сообщения;

    • Уведомления - выводятся сообщения об ошибках, предупреждения, уведомления. Значение используется по умолчанию;

    • Предупреждения - выводятся сообщения об ошибках и предупреждения;

    • Ошибка - выводятся только сообщения об ошибках.

  • «Уровень журналирования ICAPD» - значение уровня детализации записей событий связанных с работой компонента ICAPD (например, проверка трафика, блокировка доступа к сайтам, обработка запросов). Возможно выбрать из выдающего списка следующие значения:

    • Отладка;

    • Информация;

    • Уведомления - используется по умолчанию;

    • Предупреждения;

    • Ошибка.

  • «Уровень журналирования Network checker» - значение уровня детализации записей событий связанных с проверкой сетевых подключений и трафика. Этот компонент отвечает за мониторинг сетевой активности, выявление подозрительных или потенциально опасных соединений и блокировку доступа к небезопасным ресурсам. Возможно выбрать из выдающего списка следующие значения:

    • Отладка;

    • Информация;

    • Уведомления - используется по умолчанию;

    • Предупреждения;

    • Ошибка.

  • «Уровень журналирования обновлений» - значение уровня детализации записей событий связанных с работой компонента обновлений Dr.Web. Возможно выбрать из выдающего списка следующие значения:

    • Отладка;

    • Информация;

    • Уведомления - используется по умолчанию;

    • Предупреждения;

    • Ошибка.