Вирусы и средства борьбы с ними




Особенности архитектуры - часть 2


Аналогично и попытки заражения червями типа Lovesan и Sasser останутся незамеченными многими антивирусами для шлюзов, так как используют прямые атаки на службы Windows и эти атаки идут не по протоколам HTTP, FTP, SMTP. В дальнейшем, правда, для загрузки собственных файлов на атакуемый компьютеров, указанные черви и им подобные используют FTP протокол, который проверяется далеко не всеми антивирусами для шлюзов. Имеющийся архитектурный недостаток не превращается в серьезную проблему только потому, что существование шлюза само по себе ограждает рабочие станции сети от прямых вирусных атак извне - при любой мало-мальски разумной организации шлюза прямой доступ к внутренним станциям из Интернета запрещен.

Есть у "файлоцентричности" проверки и другие недостатки. В частности, чтобы проверить загружаемый пользователем файл, антивирусу потребуется дождаться окончания загрузки файла, выполнить проверку и после этого отдать (или не отдать) файл пользователю. Отдавать файл до окончания проверки, очевидно, нельзя - это полностью нивелирует факт наличия антивируса на шлюзе. Однако проверка (да и ожидание загрузки) файла происходит не мгновенно и из-за этого Интернет-агент пользователя (браузер, менеджер загрузок, почтовый клиент) может выдать ошибку превышения ожидания. Вероятность возникновения такой ошибки весьма велика, что означает заметные неудобства для пользователей при работе с Интернет. Для решения этой проблемы в антивирусах для шлюзов применяют специальные приемы.

Пример. В Антивирусе Касперского для Microsoft ISA Server и в Антивирусе Касперского для CheckPoint Firewall, с целью избежать ошибки превышения времени ожидания на клиентах, применяется технология удержания не файла целиком, а лишь его части. Таким образом, по мере ожидания полной загрузки файла на шлюз, антивирус до определенного момента передает пользователю части этого файла. После чего прекращает передачу, дожидается загрузки окончания файла, и если файл чистый, продолжает передачу, в противном случае - разрывает соединение.




Содержание  Назад  Вперед