Решения IronPort для защиты от вирусов и спама
14 августа 2008 ByteByte
№7-8 (117), июль-август 2008 г.
http://bytemag.ru/articles/detail.php?ID=12429
Специалисты компании Открытые Технологии, проведя сравнительный анализ решений для защиты от вирусов и спама, имеющихся сегодня на рынке, по совокупности показателей выделили продукты IronPort C-series компании IronPort Systems (www.ironport.com), недавно вошедшей в состав Cisco. Эти продукты стали лидерами по качеству обнаружения спама; к их плюсам можно также отнести исполнение в виде программно-аппаратного комплекса от одного производителя. Такое решение выгодно отличает IronPort C-series от чисто программных антиспам-фильтров, при внедрении которых необходимо дополнительно разворачивать (а впоследствии и поддерживать) серверную часть и ОС.
Устройства IronPort для защиты от вирусов и спама построены на основе специализированных серверов 1U (IronPort C150) или 2U (IronPort С350, С650 и Х1050). Выбор той или иной модели обусловлен требованиями к производительности решения и количеством почтовых ящиков, которые необходимо защитить.
В отличие от традиционных решений в основе устройств IronPort лежит собственная ОС AsyncOS. При создании AsyncOS была поставлена цель улучшить ключевые показатели работы файловой системы и системы работы с очередями сообщений. Так, в AsyncOS увеличено количество одновременных входящих или исходящих соединений. Кроме того, в ней была введена возможность обработки сообщений каждого почтового домена в отдельной очереди. Таким образом, при возникновении проблем с обработкой сообщений для одного домена не происходит падения производительности системы в целом.
Служба защиты от спама в устройствах IronPort организована на двух уровнях. Первый уровень защиты образуют так называемые репутационные фильтры. При попытке установить соединение для передачи почтового сообщения устройство проверяет репутацию узла, который пытается передать данное сообщение. Оценка репутации делается на основе запроса к SenderBase — крупнейшей службе анализа почтового трафика в Интернете. На основе полученной оценки репутации принимается решение о судьбе данного соединения: оно может быть отвергнуто (т. е. сообщение даже не будет принято к обработке), к нему может быть применена политика обработки (связанная, например, с ограничением количества сообщений с данного адреса), наконец, сообщение может быть принято без ограничений.
Вторым уровнем защиты выступает классический механизм борьбы со спамом на основе обновляемых правил. Письмо, определенное как спам, может быть удалено, соответствующим образом помечено или помещено в карантин. В последнем случае получатель письма сам принимает решение о его дальнейшей судьбе. Карантин бывает как внутренний, организованный внутри самого устройства, так и внешний — на базе специального устройства IronPort M-series.
Двухуровневая система защиты в устройствах IronPort позволяет эффективно блокировать как традиционный спам, так и новейшие разработки — графический спам и pdf-спам. Не возникает проблем и с защитой от русскоязычного спама.
Кроме того, в устройствах IronPort имеются встроенные средства антивирусной защиты, что позволяет применять их как единое средство защиты электронной почты компании, вместо того чтобы выстраивать цепочку из последовательно работающих антивирусных и антиспам-фильтров. Для борьбы с вирусами можно использовать продукты от Sophos или McAfee (или оба сразу). Алгоритмы обнаружения вредоносного кода у них примерно одинаковы и основываются на традиционных методах обнаружения вирусов — сигнатурном или эвристическом анализе и эмуляции. При обнаружении вируса в почтовом сообщении могут приниматься следующие меры: попытка вылечить файл, добавление или модификация заголовка письма, помещение в карантин или удаление сообщения.
Кроме описанных антивирусных средств в устройствах IronPort применяется фирменная технология защиты от неизвестных вирусов Virus Outbreak Filters. В ее основе лежит использование все той же службы SenderBase. Принцип работы Virus Outbreak Filters следующий. Предположим, что служба SenderBase фиксирует большое количество передаваемых сообщений, содержащих в качестве вложения zip-файл размером около 50 Кбайт. Предполагая начало вирусной эпидемии, система рассылает на все устройства IronPort обновление, отправляющее в карантин все сообщения такого рода. Спустя некоторое время выясняется, что вирус могут содержать сообщения с вложенным zip-файлом размером ровно 53 Кбайт. Письма с вложениями другого размера освобождаются из карантина, а оставшиеся ожидают выхода обновления антивирусных баз, умеющих определять данный тип вируса.
Устройства IronPort поддерживают несколько вариантов управления: интерфейс командной строки (Command Line Interface, CLI) по SSH и через консольный порт и управление с помощью графического пользовательского интерфейса (GUI) по SSL. При подключении по SSL после авторизации администратору доступны следующие вкладки: Monitor, Mail Policies, Security Services, Network, System Administration, позволяющие следить за состоянием устройства, получать статистику и изменять конфигурацию устройства.
IronPort CLI имеет развитую структуру и позволяет конфигурировать службы, недоступные через GUI, например, механизм написания сценариев Message Filters. К сожалению, пока не поддерживается делегирование административных полномочий, недостаточно реализован ролевой доступ к системе. Устройства IronPort поддерживают объединение в группы и возможность централизованного управления такими группами. Реализованы также технологии обеспечения отказоустойчивости и балансирование нагрузки. Входящая в состав GUI подсистема Mail Flow Monitor позволяет строить различные отчеты и настраивать планировщик автоматической рассылки этих отчетов.
Благодаря сочетанию аппаратной платформы, высокопроизводительного системного ПО и средств противодействия вирусам и спаму устройства IronPort представляют собой надежные и производительные средства антивирусной и антиспамовой защиты. В линейке продуктов IronPort найдется решение для защиты как небольшого офиса, так и крупной корпорации с распределенной структурой.
Предыдущая новость:
Мы продаем не коробку, а решение!
Следующая новость:
Защита бизнес-приложений