Записи с меткой ‘clamav’

В связи с поголовной интернетанизацией во всем мире, все больше и больше компьютеров подключается в мировую Интернет сеть. В связи с этим увеличивается угроза заражения от вирусных программ.

Сегодня мы возьмем на рассмотрение предприятие, с рабочими станциями под Windows и сервером под linux или другой unix-like системой. Мы рассмотрим, как защитить пользовательские компьютеры от возможности заражения через web-трафик. Я не буду углубляться в тему по настройки сервера в целом, возьмем на рассмотрение только часть, связанную с защитой. Итак, имеем сервер на linux и установленный на нем кэширующий прокси-сервер Squid.

Для организации фильтрации web-трафика будем использовать:
1) прокси-сервер squid (страница разработчиков www.squid-cache.org);
2) антивирусный пакет ClamAv (страница разработчиков www.clamav.net);
3) ICAP сервер ( страница разработчиков c-icap.sourceforge.net).

Более подробно с протоколом ICAP можно познакомится на сайте http://www.i-cap.org. Это наиболее верный способ антивирусной проверки web-трафика. Редиректоры в Squid так же можно использовать, но при больших нагрузках редиректоры сильно ограничены и не позволяют распределить нагрузку. Так же редиректоры крайне ограничены и по возможности обратного взаимодействия с пользователем.

Установка и настройка ClamAV.

Для работы всей связки не понадобится работающий демон clamd, так что можете просто установить его из исходных кодов или пакета, без особого конфигурирования и настройки параметров в clamd.conf. c-icap использует свой антивирусный модуль, основанный на ClamAV, поэтому нам понадобиться наличие в системе libclamav. В случае отсутствия в системе libclamav c-icap просто не соберется.

Установка и настройки c-icap с поддержкой ClamAV.

Скачиваем последнюю стабильную версию с сайта. На момент написания статьи это c_icap-220505.tar.gz. Распакуем архив c_icap-220505.tar.gz в /usr/src (или туда, где у вас лежат исходные коды).

configure в каталоге с исходниками c-icap следует запускать со следующими параметрами:

$ ./configure --enable-static --with-clamav --prefix=/usr/local/c_icap

Или так, например, если —prefix=/opt/clamav для configure от ClamAV:

$ ./configure --enable-static --with-clamav=/opt/clamav --prefix=/usr/local/c_icap

Демон c_icap собирается статически. —prefix так же можно указать по вкусу.
Можно собирать и сам демон:

$ make

Необходимо проверить, всё ли верно собралось:

$ make check

И непосредственно установить c-icap в систему (в тот каталог, который был указан через —prefix):

# make install

Теперь необходимо исправить некоторые настройки в c-icap.conf. В случае нашего —prefix=/usr/local/c_icap не трудно догадаться, что конфиги лежат в /usr/local/c_icap/etc.

Рекомендую обратить внимание на следующие параметры:

- User лучше поставить nobody, поскольку wwwrun, указанный по умолчанию, скорее всего отсутствует в системе.
- TmpDir /tmp — ваш каталог временных файлов.
- Далее необходимо настроить ACL — Access Control Lists — список IP-адресов, которые могут использовать данный ICAP-демон:

acl localsquid_respmod src 127.0.0.1 type respmod
acl localsquid src 127.0.0.1
acl externalnet src 0.0.0.0/0.0.0.0
icap_access allow localsquid_respmod
icap_access allow localsquid
icap_access deny externalnet

Так возможно определить откуда доступ к нашему сервису icap разрешён, а откуда нет. Заметьте, что в данных ACL определяется не список непосредственных клиентов прокси-сервера, а именно список клиентов демона ICAP, т.е. список прокси-серверов (их IP-адреса).

Я составил ACL для случая работы демона ICAP и Squid на одном хосте.
- srv_clamav.ClamAvTmpDir /tmp — временный каталог для модуля ClamAV
- srv_clamav.VirSaveDir /var/infected/ — каталог карантина. Другие аналогичные лучше закомментировать!
- srv_clamav.VirHTTPServer «DUMMY».

Создайте каталог /var/infected и сделайте его владельцем пользователя nobody (chown nobody /var/infected).
Осуществим пробный запуск c-icap:

# cd /usr/local/c_icap/bin
# ./c-icap

Если сообщений об ошибках нет, то стоит так же убедиться, что c-icap прослушивает нужный сокет:

# netstat -apn | grep 1344

Если видим нечто похожее на следующую строку, значит всё в порядке:

tcp 0 0 *:1344 *:* LISTEN 24302/c-icap

Оставим демона c-icap работать и перейдём к дальнейшим настройкам.

Установка и настройка прокси-сервера Squid.

Распакуем в /usr/src полученный ранее Squid:

# tar zxvf squid-icap-2.5.STABLE11-20050927.tgz

Перейдём в каталог с исходниками Squid’а и запустим configure так:

$ ./configure --enable-icap-support

Собираем и устанавливаем Squid:

$ make; make install

Имеем установленный Squid в /usr/local/squid. Теперь изменим настройки в squid.conf. Необходимо найти пару строк:

#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks


Раскомментировать их и установить собственное значение, вместо ’192.168.1.0/24 192.168.2.0/24′ (в моём случае пользователи
прокси-сервера находились в сети 10.0.0.0/24):

acl our_networks src 10.0.0.0/24
http_access allow our_networks


Перейдите в /usr/local/squid/var, создайте каталог cache. Теперь там же выполните команду:

# chown nobody cache/ logs/

Сменить владельца необходимо по той причине, что демон прокси-сервера будет запущен от пользователя nobody и не сможет писать логи и
использовать кэшь. Осталось создать структуру каталогов для кэширования. Перейдите в /usr/local/squid/sbin и выполните:

# ./squid -z

На данном этапе мы имеем рабочий Squid, но без поддержки ICAP, т.е. обычной кэширующий прокси-сервер.

Добавление поддержки ICAP в squid

Найдите по слову icap_enable и выставите значение icap_enable on.
Найдите по слову icap_preview_enable и выставите значение icap_preview_enable on
Найдите по слову icap_preview_size и выставите значение icap_preview_size 128
Найдите по слову icap_send_client_ip и выставите значение icap_send_client_ip on
Найдите по слову icap_service и добавьте пару таких icap-сервисов:


icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav
icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav


Найдите по слову icap_class и добавьте такой icap-класс:

icap_class class_antivirus service_avi service_avi_req

Найдите по слову icap_access и добавьте следующие права доступа:

icap_access class_antivirus allow all

Суммарно для поддержки ICAP в squid.conf должны быть добавлены следующие строки:


icap_enable on
icap_preview_enable on
icap_preview_size 128
icap_send_client_ip on
icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav
icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav
icap_class class_antivirus service_avi service_avi_req
icap_access class_antivirus allow all


На этом минимальное конфигурирование прокси-сервера закончено.
Запустим его:


# cd /usr/local/squid/sbin
# ./squid


Если всё верно, то сообщений в консоли об ошибках быть не должно.

Проверка работоспособности.

Добавьте прокси-сервер в вашем браузере (если проксирование не прозрачное) и откройте страницу http://www.eicar.com/anti_virus_test_file.htm

Попытайтесь скачать файл eicar.com, если вы видите подобное сообщение:


"A VIRUS FOUND ..."


значит всё верно работает.

Обратите внимание, что кэшь прокси-сервера не должен содержать инфицированных объектов! Поэтому, перед началом использования Squid совместно с c-icap кэшь лучше очистить.

Так же учтите, что браузер имеет свой кэшь.

Обновление антивирусных баз ClamAV.

Добавьте freshclam в crontab. Реинициализация баз c-icap производиться каждые srv_clamav.VirUpdateTime минут, этот параметр можно указать в c-icap.conf (по умолчанию — 15 минут).

Файл c-icap.magic и типы проверяемых объектов.

Данный файл может быть найден в том же каталоге, что и c-icap.conf, он представляет собой описание форматов различных групп-типов файлов (TEXT, DATA, EXECUTABLE, ARCHIVE, GRAPHICS, STREAM, DOCUMENT — определённые группы в c-icap.magic по умолчанию).

Антивирусная проверка строиться по типам файлов, проходящих через проски-сервер, некоторые типы, например, можно исключить или добавить свои типы.
Формат записи строки, для определения файла по его magic-числу (последовательности):


offset:Magic:Type:Group:Desc


Offset — смещение, с которого начинаеться Magic-последовательность.
Type и Group — тип и группа, к которой следует относить файл с данной magic-последовательностью.
Desc — кратное описание, технической нагрузки не несёт.

Для примера загляните в c-icap.magic.

Обратите так же внимание, что в c-icap.conf параметр srv_clamav.ScanFileTypes определяет группы и типы файлов (можно прописывать и группы, и типы), которые следует проверять. Что определяет srv_clamav.VirScanFileTypes я окончательно не понял, но подозреваю, что принудительно проверяемые группы файлов (EXECUTABLE и ARCHIVE по умолчанию).

В моём конфиге c-icap вышеописанные параметры выглядят так:


srv_clamav.ScanFileTypes TEXT DATA EXECUTABLE ARCHIVE GRAPHICS STREAM DOCUMENT
srv_clamav.VirScanFileTypes EXECUTABLE ARCHIVE


Возможные проблемы.

Squid выдаёт сообщение «ICAP protocol error», страницы не открываются.

Проверьте верно ли вы указали ACL в c-icap.conf, в данном ACL должен быть разрешён доступ не для пользователей, а для прокси-сервера. Попробуйте завершить процессы Squid и c-icap, а затем запустить их в следующем порядке — сначала c-icap, а затем Squid. Так же такая ошибка может возникать, если демону с-icap не хватает прав на запись в карантинный каталог или в лог-файлы.

Если проблема так и не решилась, то попробуйте запустить Squid с параметрами -d 10 -N -X:


# ./squid -d 10 -N -X


а c-icap c параметрами -N -d 10 -D:


# ./c-icap -N -d 10 -D


Увидите подробную информацию, по которой можно разобраться что где не так.

Squid выдаёт сообщение «ICAP protocol error» только на некоторых страницах (на одних и тех же).

Всё-таки проверьте есть ли у c-icap права на запись в карантинный каталог (а ещё лучше сделать владельцем всех карантинных каталогов пользователя под которым запущен c-icap). Попробуйте запустить c-icap и Squid в режиме отладки (как — сказано выше). Так же неплохо посмотреть логи c-icap. Попробуйте снова загрузить объект, на котором возникает ошибка. Возможно вы узнаете намного больше о проблеме и сможете её решить.

Итоги.

Теперь и web-сёрфинг защищён от вирусов и прочих вредоносных кодов (в том числе и некоторые эксплоиты для ms ie), теперь можно путешествовать по интернет намного безопаснее.