Recenzia ESET Server Security pre Linux/BSD (1)

Recenzia ESET Server Security pre Linux/BSD (1)
V prvej časti tejto dvojdielnej recenzie si predstavíme spoločnú architektúru produktov ESET Server Security a podrobnejšie sa pozrieme na produkt Gateway Security. V druhom diele sa s vami podelím o svoje skúsenosti s produktmi Mail Security a File Security.

Skúsili ste ako začiatočník zadať do nejakého fóra zameraného na OS Linux otázku, či je potrebné mať na tomto operačnom systéme nainštalovaný antivírusový program? Ak áno, tak ste sa takmer určite stali svedkom búrlivej diskusie na tému Linux verzus Windows. Skutočnosť že väčšina ľudí pracuje v OS Windows s právami administrátora a tým uľahčujú prácu tvorcom škodlivého kódu však nemusí hneď znamenať, že tento systém má zlú bezpečnostnú architektúru. Takmer určite mi dáte za pravdu, že ak by ste na Linuxe spustili vírus, alebo akýkoľvek škodlivý kód s právami roota, spôsobilo by to s vysokou pravdepodobnosťou kolaps celého systému. Dovolím si tiež tvrdiť, že písanie vírusov pre OS Linux je nepopulárna činnosť, najmä kvôli slabej rozšírenosti tohto systému a veľkej rôznorodosti používaných distribúcií. Navyše vírus schopný prežiť len na pár systémoch sa iba ťažko dostane do večerných správ.

Tento článok však nemá byť o porovnávaní operačných systémov a polemizovaní nad tým či sú, alebo raz budú vírusy pre OS Linux. Jeho úlohou je poskytnúť môj názor na produkty spoločnosti ESET, ktoré som mal vďaka portálu linuxos.sk možnosť otestovať. Hneď v úvode musím priznať, že nie som expert na vírusy, a preto nedokážem posúdiť kvalitu detekcie infiltrácií. Pri testovaní som väčšinou používal testovací súbor eicar a v recenzii som sa zameral najmä na popis vlastností testovaných programov.

ESET je slovenská softvérová spoločnosť, ktorá má zastúpenie vo viac ako 100 krajinách po celom svete. Špecializuje sa na vývoj antivírusového a bezpečnostného softvéru. V portfóliu jej produktov nájdete antivírusové programy nielen pre OS Windows ale aj pre systémy Linux a FreeBSD, ktoré sú populárnou serverovou platformou. Poštové a proxy servery sú styčným bodom lokálnych sietí s okolitým svetom a práve preto sú ideálnym miestom, kde by mal začať boj s vírusmi a iným škodlivým kódom. Vírus poslaný e-mailom síce nenapadne váš poštový server, ale na klientskej stanici môže napáchať veľké škody. Preto je rozumné poštu a súbory sťahované z internetu kontrolovať skôr, než k ním umožníte prístup klientovi.

1. ESET Server Security

ESET Server Security pre Linux/BSD je názov produktového radu spoločnosti ESET určeného pre operačný systém Linux, ktorý v súčasnosti obsahuje tri produkty:

ESET Gateway Security
Určený na kontrolu súborov prenášaných cez brány siete (routery) alebo proxy servery.
ESET Mail Security
Určený na kontrolu e-mailov a ich príloh spracovávaných poštovými servermi.
ESET File Security
Určený na kontrolu súborov uložených na súborových serveroch.

Všetky tri produkty sú k dispozícii ako binárne balíčky vo formáte DEB (Debian, Ubuntu ...), RPM (RedHat, Fedora, Suse …) a tiež ako TGZ archív (ostatné distribúcie a FreeBSD). Inštalácia je detailne popísaná v používateľskej príručke a vďaka svojej jednoduchosti by nemala robiť problémy ani menej skúseným správcom. Produkty som testoval na operačných systémoch Ubuntu 6.06 Server a OpenSuse 10. Vyskúšal som inštaláciu zo všetkých troch druhov balíčkov a vo všetkých prípadoch prebehla bez problémov.

Z oficiálnej dokumentácie sa môžete dozvedieť, že ústredným prvkom systému ESET Server Security je daemon esets, ktorý koordinuje činnosť ostatných modulov a komunikuje s tzv. agentmi. Úlohou agentov je integrovať ESET Server Security do prostredia Mail, File alebo Gateway serverov. Každý agent pritom vykonáva jednu konkrétnu činnosť. Ako príklad môže poslúžiť agent "esets_http", ktorý má na starosti kontrolu dát prenášaných prostredníctvom protokolu HTTP alebo agent "esets_smtp" kontrolujúci dáta prenášané protokolom SMTP.

Obr.1: Architektúra Eset Server Security
Obr.1: Architektúra ESET Server Security

I keď inštalačný balík obsahuje všetkých agentov, použiť ich môžete iba so správnym licenčným súborom, ktorý dostanete pri kúpe produktu. Ak si teda zakúpite ESET Gateway Security nemôžete používať agentov ESET Mail Security i keď ich v skutočnosti máte v systéme nainštalovaných.

O aktualizáciu databáz vzoriek sa stará modul "esets_update", ktorý je okrem aktualizácie ESET Server Security schopný udržiavať aj aktualizačný mirror pre antivírusový systém NOD32 verzie 2.7.

Pri zistení infiltrácie spúšťa esets_daemon používateľom definovaný shell skript, ktorý o tejto udalosti informuje správcu napríklad prostredníctvom e-mailu. Eset Server Security podporuje tiež presun infikovaných objektov do karantény (vyhradeného adresára) a necháva tak na správcovi systému rozhodnutie ako naložiť s infikovaným súborom.

Konfigurácia celého systému sa vykonáva manuálnou editáciou konfiguračného súboru "/etc/esets/esets.conf" alebo prostredníctvom webového rozhrania poskytovaného modulom "wwwi", ktoré po inštalácii nie je zapnuté. Ak ho chcete používať, musíte ho zapnúť editovaním príslušnej sekcie v spomínanom konfiguračnom súbore. Toto rozhranie používa webový server shttpd, ktorý je súčasťou produktu ESET Server Security, a teda ho nemusíte doinštalovávať ani konfigurovať. Server komunikuje iba protokolom HTTPS a používateľa overuje pomocou mena a hesla. V prvom momente som bol používateľsky príjemným rozhraním nadšený, no po analýze spustených procesov na mňa čakalo nemilé prekvapenie v podobe zistenia, že spomínaný webový server a všetky ostatné procesy Eset Server Security bežia pod používateľom root. Navyše som po bližšom zoznámení s činnosťou webového rozhrania napísaného v jazyku PHP zistil, že modifikuje konfiguračný súbor umiestnený priamo v adresári "/etc/esets/". Táto skutočnosť ma motivovala, aby som sa pokúsil overiť kvalitu kódu webového rozhrania. Ako potenciálne zneužiteľné miesto som identifikoval mazanie licenčného súboru a pokúsil som sa úpravou odosielaného formulára zmazať iný súbor uložený v adresári "/etc". Aplikácia sa zachovala správne a odmietla súbor zmazať. Webové rozhranie som vypol a neskôr som v manuálových stránkach našiel, že samotný výrobca odporúča toto rozhranie vypínať, keď sa nepoužíva.

Lepšiu predstavu o vzhľade a možnostiach webového konfiguračného rozhrania môžete získať z nasledujúcich snímok obrazovky:

Hlavná obrazovka webového rozhrania
Obr.2: Hlavná obrazovka webového rozhrania

Správa licencií
Obr.3: Správa licencií

Konfigurácia ESET Server Security
Obr.4: Konfigurácia ESET Server Security

Konfigurácia HTTP agenta
Obr.5: Konfigurácia HTTP agenta

Konfigurácia HTTP agenta - konkrétny klient
Obr.6: Konfigurácia HTTP agenta - konkrétny klient

Konfigurácia aktualizácií
Obr.7: Konfigurácia aktualizácií

Nápoveda
Obr.8: Nápoveda

Všetky doteraz uvedené vlastnosti sú spoločné pre celý produktový rad ESET Server Security. Poďme sa teraz pozrieť zblízka na jednotlivé produkty.

2. ESET Gateway Security

Kúpou produktu ESET Gateway Security získate možnosť používať služby troch špecializovaných agentov - esets_http, esets_ftp a esets_ssfi.so

Agent esets_http je proxy server, ktorý je možné použiť v netransparentnom i v transparentnom móde. Len pre úplnosť uvediem, že pri použití v úlohe netransparentného proxy musia mať všetky klientske aplikácie vo svojej konfigurácii uvedenú IP adresu a port proxy servera. Pri použití v transparentnom móde je na bráne siete potrebné nastaviť presmerovanie HTTP komunikácie na port využívaný proxy serverom.

O skutočnosti, že sa prenášaných dátach vykonáva kontrola na prítomnosť škodlivého kódu sa koncový používateľ dozvie až pri prístupe k infikovanému zdroju. Agent esets_http mu namiesto požadovaného súboru zobrazí stránku s podrobnou informáciou o infiltrácii:

Download zablokovaný produktom Eset Gateway Security
Obr.9: Download zablokovaný produktom Eset Gateway Security

Zavedenie antivírusovej kontroly na proxy serveri má však aj jeden vedľajší účinok. Obsah stránok sa koncovým používateľom nezobrazuje postupne, ale celá stránka "vyskakuje" naraz, pretože jej obsah musí prejsť kontrolou na prítomnosť škodlivého kódu. Takýto postup by pri prenose väčších súborov mohol spôsobiť time-out spojenia. ESET Gateway Security má však na tento problém riešenie v podobe postupného sprístupňovania menšieho objemu dát koncovému klientovi, zatiaľ čo na reálne prijatých dátach je vykonávaná kontrola. V prípade, že je sťahovaný súbor vyhodnotený ako infikovaný, zastaví proxy server odosielanie dát koncovému klientovi a ten označí prenos za neúspešný.

Vo všeobecnosti je možné za nevýhodu HTTP proxy serverov považovať fakt, že nedokážu kontrolovať HTTPS komunikáciu. Samozrejme dá sa oponovať tým, že protokol HTTPS bol navrhnutý na ochranu dát pred odpočúvaním, no v prípade ochrany siete pred škodlivým kódom sa táto vlastnosť stáva nevýhodou. Ak teda budete sťahovať infikovaný súbor prostredníctvom protokolu HTTP a bude zistená prítomnosť vírusu, agent esets_http vám odoprie prístup, no nezabráni vám v stiahnutí súboru pomocou protokolu HTTPS. Kvôli tejto skutočnosti nie je možné antivírus nainštalovaný na bráne siete považovať za dostatočnú ochranu siete a je nutné mať nainštalovaný antivírusový program aj na koncových klientskych staniciach, kde sú súbory stiahnuté cez HTTPS kontrolované počas ich zápisu na pevný disk.

Agent esets_http nemusí mať priamy prístup na internet, pretože dokáže využívať služby nadriadeného (angl. parent) proxy servera. Ľubovoľnému HTTP proxy serveru prevádzkovanému na ľubovoľnom operačnom systéme tak môže pridať schopnosť vykonávať antivírusovú kontrolu na dátach prúdiacich medzi lokálnou sieťou a internetom.

Agent esets_ftp je proxy server určený na kontrolu dát prenášaných prostredníctvom protokolu FTP a na rozdiel od agenta esets_http sa dá použiť iba ako transparentné proxy. Táto skutočnosť zabraňuje jeho nasadeniu v komplexnejších konfiguráciách proxy serverov. Osobne by som uvítal keby bola jeho funkcionalita začlenená do agenta esets_http, podobne ako je tomu napríklad pri proxy serveri Squid.

Agent esets_ssfi.so je plugin pre proxy server SafeSquid, ktorý je voľne dostupný na nekomerčné použitie v sieti s max. 20 klientskymi systémami. Tento agent nepracuje ako predchádzajúci dvaja agenti (nepočúva na vlastnom TCP porte), ale spomínaný proxy server mu odovzdáva dáta, ktoré je potrebné skontrolovať. SafeSquid na rozdiel od agenta esets_http podporuje aj FTP spojenia, a tak posúva agenta esets_ssfi.so na vrchol rebríčka použiteľnosti agentov dodávaných s Eset Gateway Security. Daňou za väčšiu použiteľnosť sa však stáva nutnosť zakúpiť komerčný proxy server.

Pri testovaní tohto agenta som mal možnosť overiť aj úroveň podpory spoločnosti Eset, pretože agent obsiahnutý v mnou použitom balíčku Eset Server Security nebol kompatibilný s najnovšou verziou SafeSquid-u. Do 12 hodín od zadania požiadavky na podporu mi bola zaslaná nová verzia a bola tiež uvoľnená nová verzia balíčkov.

Cieľovou používateľskou skupinou produktu ESET Gateway Security pre Linux/BSD sú najmä firemní zákazníci a jeho cena je závislá od počtu klientskych staníc. Aktuálnu cenu môžete zistiť v on-line objednávkovom systéme.

Záver

Dovolím si tvrdiť, že antivírusový program je taký dobrý, aká je dobrá jeho vírusová databáza. Ak sa rozhodnete pre komerčné riešenie, môžete sa spoľahnúť na to, že každý pracovný deň sa nemalá skupina ľudí venuje rozširovaniu a skvalitňovaniu tejto databázy.

ESET Server Security je mladý produktový rad s dobrým modulárnym návrhom, ktorý si určite získa používateľov najmä vďaka jednoduchej inštalácii, skvelej dokumentácii a skutočnosti, že používa rovnaký skenovací mechanizmus ako celosvetovo uznávané produkty spoločnosti Eset určené pre platformu Windows. Mnou testovaná verzia 2.71.12 síce ešte obsahuje pár nedostatkov ako napríklad všetky procesy spustené pod používateľom root, alebo agenta esets_http bez podpory FTP protokolu. Podľa vyjadrenia pracovníkov spoločnosti ESET sa však čoskoro dočkáme verejnej beta verzie z radu 3.0, ktorá už tieto nedostatky obsahovať nebude. Pevne verím, že sa im podarí udržať nasadený kurz a budú svoje produkty pre Linux/BSD naďalej rozvíjať a zlepšovať.


    • jajaj 12.03.2008 | 16:12
      Avatar Stanislav Hoferek Greenie, Manjaro, Q4OS, Lubuntu  Používateľ
      velmi kvalitny clanok... ak budem mat s esetom nieco spolocne tak sa mi to urcite hodi
    • pekne... 12.03.2008 | 17:22
      Avatar alian Mac OS X, Ubuntu  Používateľ
      pekny clanocek, musim autora pochvalit!

      btw vie mi niekto poradit ako nastavit notifikaciu o aktualizovani? standardne chodi mail na root-a a odtial si to forwardujem. skusal som to zmebit v /etc/esets/scripts/daemon_notification_script ale nejak to neslapalo...
    • poklona 12.03.2008 | 17:22
      Avatar Milan Dvorský debian,mint kde,android  Administrátor
      skvely clanok, klobuk dolu.
    • Super 14.03.2008 | 09:23
      Avatar nipo Ubuntu 9.04  Používateľ
      Pridavam sa, a aj hlasujem ;-)

      • Re: Super 15.03.2008 | 18:26
        Avatar Slavo Ubuntu  Používateľ
        Uff... je to fakt profesionálny článok. Klobúk dole. Takýto článok ostane určite v pamäti. A pri kúpe softvéru zapôsobí veľmi kladne v prospech Esetu.
        Ubuntu 9.04 Beta Atholon 6000+ 2G Ram Nvidia 8600GTS
    • Eset veľká bieda ! 24.03.2008 | 00:45
      ELSE   Návštevník
      až na to, že ESET Smart Security je úplná bieda !!!!!!!!!!!
      vid článok: Testy firewallů v novém kabátu
      http://www.zive.cz/Bleskovky/Testy-firewallu-v-novem-kabatu/sr-1-sc-4-a-140889/default.aspx

      s odkazom na orig zdroj:
      http://www.matousec.com/projects/firewall-challenge/results.php


      • Re: Eset veľká bieda ! 24.03.2008 | 17:45
        Avatar uid0 Debian  Používateľ
        bud som ucel nepobral ja alebo ti ujovia co to testovali

        1. testovali serverove produkty na windowse?
        2. Leak-test:
        Leak-tests attempt to send data to the Internet server, this is called leaking. Most of the leak-tests from Security Software Testing Suite are configured to use a script on our website that logs leaks to our database by default. For such tests, you can use My leaks page to see whether the test was able to transmit the data. For leak-tests that do not use this script, we use a packet sniffer in unclear situations.
        he? to mi nie je celkom jasne ako sa daju obist nastavenia proxy/stateful firewallu

        3.Termination test:
        These tests attempt to terminate or somehow damage processes, or their parts, of the tested product. The termination test usually succeeds if at least one of the target processes, or at least one of their parts, was terminated or damaged. All the termination tests from our suite must be configured properly using the configuration file before they can be used for tests.
        to sa im podarilo cez siet? ako? flood? dos? ddos?

        4. General bypassing tests:
        These tests are designed to bypass the protection of the tested product generally, they do not target a specific component or feature. This is why they attempt to perform various privileged actions to verify that the protection was bypassed. These tests succeed if at least one of the privileged action succeeds. Like the termination tests, general bypassing tests can not be used without modifying the configuration file.
        dalsi zmysel unika...

        5. Other:
        Tests that do not fit any of the previously defined types are of this type. These tests, for example, may check stability or reliability of the tested product.
        nebolo to uz v termination teste?

        ja tomu nerozumiem...
        Debian. apt-get into it…
        • Re: Eset veľká bieda ! 21.04.2008 | 16:40
          Avatar Michal Sedlák Debian, Ubuntu  Používateľ
          >re 1.
          testovali sa personal firewally na windowse

          >re 2. he? to mi nie je celkom jasne ako sa daju obist nastavenia proxy/stateful firewallu
          niektore personal firewally dovoluju uzivatelovi povolit traffic z nejakeho programu, jednym z leak testov je napriklad premenovanie malicious programu na uz povoleny program a overenie, ci ho firewall zastavi alebo necha, len preto ze sa vola ako nieco co je povolene.
          dalsou moznostou je spustit napriklad iexplore.exe, ktory je povoleny, nejakym inym programom. Personal firewall by sa ta mal spytat ze ci je v poriadku, ze nejaky program sa pokusa pomocou iexplore.exe poslat nieco do internetu. Leak moze byt aj z vnutra von, nie len z vonka dnu.

          >re3. to sa im podarilo cez siet? ako? flood? dos? ddos?
          podstrcit mu data ktore kontroluje, tak aby firewall zhodilo. Ci uz cez siet, alebo z lokajlnej masiny.

          atd

          proste su to testy, ktore zistuju ci firewall zabrani spywareu a inemu svinstvu dostat data z tvojej masiny nepozorovane.
          • Re: Eset veľká bieda ! 22.04.2008 | 15:37
            Avatar uid0 Debian  Používateľ
            1 - oznam) windows, internet exploiter a personal firewally tu nikoho nezaujimaju
            2 - otazja) podarilo sa im zhodit netrilter?! a uz je opraveny v upstreame?

            proste su to testy, ktore su na **** a nikoho tu nezaujimaju
            Debian. apt-get into it…
            • Re: Eset veľká bieda ! 25.04.2008 | 17:02
              Avatar Stanislav Hoferek Greenie, Manjaro, Q4OS, Lubuntu  Používateľ
              viem ze kusok odveci... ale ktori pocitacovi expert, ktori nutne potrebuje bezpecnost, pouziva internet explorer?

              ako nastroj na testovanie stranok mozno, ale na bezne pouzitie... no neviem neviem...