3. Dr.Web Enterprise Security Suite Версия 12.0 от 23.09.21. Руководство администратора Доктор Веб
Скачать 4.42 Mb.
|
Глава 4: Начало работы Если на компьютере используется сетевой экран, помимо встроенного сетевого экрана ОС Windows, администратор антивирусной сети должен произвести соответствующие настройки вручную. 4.2.1. Прямые соединения Настройка Сервера Dr.Web В настройках Сервера должно быть указано, какой адрес (см. документ Приложения, п. Приложение Д. Спецификация сетевого адреса ) необходимо "прослушивать" для приема входящих TCP-соединений. Данный параметр задается в настройках Сервера Администрирование → Конфигурация Сервера Dr.Web → вкладка Сеть → вкладка Транспорт → поле Адрес. По умолчанию для "прослушивания" Сервером устанавливаются: · Адрес: пустое значение — использовать все сетевые интерфейсы для данной машины, на которой установлен Сервер. · Порт: 2193 — использовать порт 2193. Порт 2193 зарегистрирован за Dr.Web Enterprise Management Service в IANA. Для корректной работы всей системы Dr.Web Enterprise Security Suite достаточно, чтобы Сервер "слушал" хотя бы один TCP-порт, который должен быть известен всем клиентам. Настройка Агента Dr.Web При установке Агента адрес Сервера (IP-адрес или DNS-имя компьютера, на котором запущен Сервер Dr.Web) может быть явно указан в параметрах установки: drwinst /server <Адрес_Сервера> При установке Агента рекомендуется использовать имя Сервера, предварительно зарегистрированное в службе DNS. Это упростит процесс настройки антивирусной сети, связанный с процедурой переустановки Сервера Dr.Web на другой компьютер. По умолчанию команда drwinst, запущенная без параметров, будет сканировать сеть на наличие Серверов Dr.Web и попытается установить Агент с первого найденного Сервера в сети (режим Multicasting с использованием Службы обнаружения Сервера ). Таким образом, адрес Сервера Dr.Web становится известен Агенту при установке. В дальнейшем адрес Сервера может быть изменен вручную в настройках Агента. Руководство администратора 42 Глава 4: Начало работы 4.2.2. Служба обнаружения Сервера Dr.Web При данной схеме подключения клиенту заранее не известен адрес Сервера. Перед каждым установлением соединения осуществляется поиск Сервера в сети. Для этого клиент посылает в сеть широковещательный запрос и ожидает ответ от Сервера с указанием его адреса. После получения отзыва клиент устанавливает соединение с Сервером. Для этого Сервер должен "прослушивать" сеть на подобные запросы. Возможно несколько вариантов настройки подобной схемы. Главное, чтобы метод поиска Сервера, заданный для клиентов, был согласован с настройками ответной части Сервера. В Dr.Web Enterprise Security Suite по умолчанию используется режим Multicast over UDP: 1. Сервер регистрируется в мультикаст-группе с адресом, заданным в настройках Сервера. 2. Агенты, при поиске Сервера, посылают в сеть мультикаст-запросы на групповой адрес, заданный в п. 1. По умолчанию для "прослушивания" Сервером устанавливается (аналогично прямым соединениям): udp/231.0.0.1:2193. Данный параметр задается в настройках Центра управления Администрирование → Конфигурация Сервера Dr.Web → вкладка Сеть → вкладка Транспорт → поле Multicast- группа. 4.2.3. Использование протокола SRV Клиенты под ОС Windows поддерживают клиентский сетевой протокол SRV (описание формата приведено в документе Приложения, п. Приложение Д. Спецификация сетевого адреса ). Возможность обращения к Серверу через SRV-записи реализуется следующим образом: 1. При установке Сервера настраивается регистрация в домене Active Directory, инсталлятор вносит соответствующую SRV-запись на DNS-сервер. SRV-запись вносится на DNS-сервер в соответствии с RFC2782 (см. https://datatracker.ietf.org/doc/html/rfc2782 ). 2. При запросе подключения к Серверу пользователь задает обращение через протокол srv Например, запуск инсталлятора Агента: Руководство администратора 43 Глава 4: Начало работы · с явным указанием имени сервиса myservice: drwinst /server "srv/myservice" · без указания имени сервиса. При этом будет осуществляться поиск в SRV-записях имени по умолчанию — drwcs: drwinst /server "srv/" 3. Клиент прозрачно для пользователя использует функционал протокола SRV для обращения к Серверу. Если при обращении Сервер явно не указан, по умолчанию в качестве имени сервиса используется drwcs. 4.3. Обеспечение безопасного соединения 4.3.1. Шифрование и сжатие трафика Режим шифрования используется для обеспечения безопасности данных, передаваемых по небезопасному каналу, и позволяет избежать возможного разглашения ценных сведений и подмены программного обеспечения, загружаемого на защищаемые станции. Антивирусная сеть Dr.Web Enterprise Security Suite использует следующие криптографические средства: · Электронная цифровая подпись (ГОСТ Р 34.10-2001). · Асимметричное шифрование (VKO GOST R 34.10-2001 — RFC 4357). · Симметричное шифрование (ГОСТ 28147-89). · Криптографическая хеш-функция (ГОСТ Р 34.11-94). Антивирусная сеть Dr.Web Enterprise Security Suite позволяет зашифровать трафик между Сервером и клиентами, к которым относятся: · Агенты Dr.Web. · Инсталляторы Агентов Dr.Web. · Соседние Серверы Dr.Web. · Прокси-серверы Dr.Web. Ввиду того, что трафик между компонентами, в особенности между Серверами, может быть весьма значительным, антивирусная сеть позволяет установить сжатие этого трафика. Настройка политики сжатия и совместимость таких настроек на разных клиентах аналогичны настройкам для шифрования. Руководство администратора 44 Глава 4: Начало работы Политика согласования настроек Политика использования шифрования и сжатия настраивается отдельно на каждом из компонентов антивирусной сети, при этом настройки остальных компонентов должны быть согласованы с настройками Сервера. При согласовании настроек шифрования и сжатия на Сервере и клиенте следует иметь ввиду, что ряд сочетаний настроек является недопустимым, и их выбор приведет к невозможности установки соединения между Сервером и клиентом. В таблице 4-1 приведены сведения о том, при каких настройках соединение между Сервером и клиентом будет зашифрованным/сжатым (+), при каких — не зашифрованным/не сжатым (–), и о том, какие сочетания являются недопустимыми (Ошибка). Таблица 4-1. Совместимость настроек политик шифрования и сжатия Настройки клиента Настройки Сервера Да Возможно Нет Да + + Ошибка Возможно + + – Нет Ошибка – – Использование шифрования трафика создает заметную вычислительную нагрузку на компьютеры с производительностью, близкой к минимально допустимой для установленных на них компонентов. В тех случаях, когда шифрование трафика не требуется для обеспечения дополнительной безопасности, можно отказаться от этого режима. Для отключения режима шифрования следует последовательно переключать Сервер и компоненты сначала в режим Возможно, не допуская создания несовместимых пар клиент-Сервер. Использование сжатия уменьшает трафик, но значительно увеличивает потребление оперативной памяти и вычислительную нагрузку на компьютеры, в большей степени, чем шифрование. Подключение через Прокси-сервер Dr.Web При подключении клиентов к Серверу через Прокси-сервер Dr.Web необходимо учитывать настройки шифрования и сжатия на всех трех компонентах. При этом: Руководство администратора 45 Глава 4: Начало работы · Настройки Сервера и Прокси-сервера (здесь играет роль клиента) должны согласовываться по таблице 4-1 · Настройки клиента и Прокси-сервера (здесь играет роль Сервера) должны согласовываться по таблице 4-1 Возможность установки соединения через Прокси-сервер зависит от версий Сервера и клиента, поддерживающих определенные технологии шифрования: · Если Сервер и клиент поддерживают TLS-шифрование, используемое в версии 12.0, то достаточно выполнения вышеописанных условий для установления работающего соединения. · Если один из компонентов не поддерживает TLS-шифрование: на Сервере и/или клиенте установлена версия 10 и более ранняя с шифрованием по ГОСТ, то выполняется дополнительная проверка по таблице 4-2 Таблица 4-2. Совместимость настроек политик шифрования и сжатия при использовании Прокси-сервера Настройки соединения с клиентом Настройки соединения с Сервером Ничего Сжатие Шифрование Все Ничего Обычный режим Обычный режим Ошибка Ошибка Сжатие Обычный режим Обычный режим Ошибка Ошибка Шифрование Ошибка Ошибка Прозрачный режим Ошибка Все Ошибка Ошибка Ошибка Прозрачный режим Условные обозначения Настройки соединений с Сервером и с клиентом Ничего Ни сжатие, ни шифрование не поддерживается. Сжатие Поддерживается только сжатие. Шифрование Поддерживается только шифрование. Все Поддерживается и сжатие, и шифрование. Результат соединения Обычный режим Установленное соединение подразумевает работу в обычном режиме — с обработкой команд и кешированием. Руководство администратора 46 Глава 4: Начало работы Прозрачный режим Установленное соединение подразумевает работу в прозрачном режиме — без обработки команд и без кеширования. Версия протокола шифрования выбирается минимальная: если один из компонентов (Сервер или Агент) версии 11, а другой версии 10, то устанавливается шифрование, используемое в версии 10. Ошибка Соединение Прокси-сервера с Сервером и с клиентом будет разорвано. Таким образом, если Сервер и Агент разных версий: один версии 11, а другой — версии 10 и более ранней, то для установленных соединений через Прокси-сервер применяются следующие ограничения: · Кеширование данных на Прокси-сервере возможно только в том случае, если оба соединения — и с Сервером и с клиентом установлены без использования шифрования. · Шифрование будет использоваться, только если оба соединения — и с Сервером, и с клиентом установлены с использованием шифрования и с одинаковыми параметрами сжатия (для обоих соединений есть сжатие или для обоих — нет). Настройки шифрования и сжатия на Dr.Web Сервере Чтобы задать настройки сжатия и шифрования Сервера 1. Выберите пункт Администрирование в главном меню Центра управления. 2. В открывшемся окне выберите пункт управляющего меню Конфигурация Сервера Dr.Web. 3. На вкладке Сеть → Транспорт выберите в выпадающих списках Шифрование и Сжатие один из вариантов: · Да — шифрование (или сжатие) трафика со всеми клиентами обязательно (устанавливается по умолчанию для шифрования, если при установке Сервера не было задано другое). · Возможно — шифрование (или сжатие) будет выполняться для трафика с теми из клиентов, настройки которых этого не запрещают. · Нет — шифрование (или сжатие) не поддерживается (устанавливается по умолчанию для сжатия, если при установке Сервера не было задано другое). При настройке шифрования и сжатия на стороне Сервера обратите внимание на особенности клиентов, которые планируется подключать к данному Серверу. Не все клиенты поддерживают шифрование и сжатия трафика. Руководство администратора 47 Глава 4: Начало работы Настройки шифрования и сжатия на Dr.Web Прокси-сервере Чтобы централизовано задать настройки шифрования и сжатия для Прокси-сервера Если Прокси-сервер не подключен к Серверу Dr.Web для удаленного управления настройками, настройте подключение как описано в Руководстве по установке, п. Подключение Прокси-сервера к Серверу Dr.Web 1. Откройте Центр управления для Сервера, который является управляющим для Прокси-сервера. 2. Выберите пункт Антивирусная сеть в главном меню Центра управления, в открывшемся окне в иерархическом списке нажмите на название Прокси-сервера, настройки которого вы хотите отредактировать или его первичной группы, если настройки Прокси-сервера наследуются. 3. В открывшемся управляющем меню выберите пункт Прокси-сервер Dr.Web. Откроется раздел настроек. 4. Перейдите на вкладку Прослушивание. 5. В разделе Параметры соединения с клиентами, в выпадающих списках Шифрование и Сжатие выберите режим шифрования и сжатия трафика для каналов между Прокси-сервером и обслуживаемыми клиентами: Агентами и инсталляторами Агентов. 6. В разделе Параметры соединения с Серверами Dr.Web задается список Серверов, на которые будет перенаправляться трафик. Выберите в списке нужный Сервер и нажмите кнопку на панели инструментов данного раздела, чтобы отредактировать параметры соединения с выбранным Сервером Dr.Web. В открывшемся окне, в выпадающих списках Шифрование и Сжатие выберите режим шифрования и сжатия трафика для канала между Прокси-сервером и выбранным Сервером. 7. Для сохранения заданных настроек нажмите кнопку Сохранить. Чтобы локально задать настройки шифрования и сжатия для Прокси-сервера Если Прокси-сервер подключен к управляющему Серверу Dr.Web для удаленной настройки, то конфигурационный файл Прокси-сервера будет перезаписан в соответствии с настройками, пришедшими с Сервера. В таком случае необходимо задавать настройки удаленно с Сервера или отключить настройку, разрешающую принимать конфигурацию с этого Сервера. Описание конфигурационного файла drwcsd-proxy.conf приведено в документе Приложения, в разделе Приложении Ж4 1. На компьютере, на котором установлен Прокси-сервер, откройте конфигурационный файл drwcsd-proxy.conf. Руководство администратора 48 Глава 4: Начало работы 2. Отредактируйте настройки, отвечающие за сжатие и шифрование для соединений с клиентами и с Серверами. 3. Перезапустите Прокси-сервер: · Для ОС Windows: ъ Если Прокси-сервер запущен как сервис ОС Windows, перезапуск сервиса осуществляется штатными средствами системы. ъ Если Прокси-сервер запущен в консоли, для перезапуска нажмите CTRL+BREAK. · Для ОС семейства UNIX: ъ Отправьте сигнал SIGHUP демону Прокси-сервера. ъ Выполните следующую команду: Для ОС Linux: /etc/init.d/dwcp_proxy restart Для ОС FreeBSD: /usr/local/etc/rc.d/dwcp_proxy restart Настройки шифрования и сжатия на станциях Чтобы централизовано задать настройки шифрования и сжатия станций 1. Выберите пункт Антивирусная сеть в главном меню Центра управления, в открывшемся окне в иерархическом списке нажмите на название станции или группы. 2. В открывшемся управляющем меню выберите пункт Параметры подключения. 3. На вкладке Общие, в выпадающих списках Режим сжатия и Режим шифрования выберите один из вариантов: · Да — шифрование (или сжатие) трафика с Сервером обязательно. · Возможно — шифрование (или сжатие) будет выполняться для трафика с Сервером, если настройки Сервера этого не запрещают. · Нет — шифрование (или сжатие) не поддерживается. 4. Нажмите Сохранить. 5. Изменения вступят в силу, как только настройки будут переданы на станции. Если станции на момент изменения настроек отключены, изменения будут переданы, как только станции подключатся к Серверу. Руководство администратора 49 Глава 4: Начало работы Агент Dr.Web для Windows Настройки шифрования и сжатия могут быть заданы при установке Агента: · При дистанционной установке из Центра управления режим шифрования и сжатия задается непосредственно в настройках раздела Установка по сети. · При локальной установке графический инсталлятор не предоставляет возможность изменять режим шифрования и сжатия, однако данные настройки могут быть заданы при помощи ключей командной строки при запуске инсталлятора (см. документ Приложения, п. З1. Сетевой инсталлятор ). После установки Агента возможность локально изменять настройки шифрования и сжатия на станции не предоставляется. По умолчанию установлен режим Возможно (если в процессе установки не было задано другое значение), т. е. использование шифрования и сжатия зависит от настроек со стороны Сервера. Однако, настройки на стороне Агента могут быть изменены через Центр управления (см. выше ). Антивирус Dr.Web для Android Антивирус Dr.Web для Android не поддерживает ни шифрование, ни сжатие. Подключение будет невозможно, если задано значение Да для шифрования и/или сжатия на стороне Сервера или Прокси-сервера (в случае соединения через Прокси- сервер). Антивирус Dr.Web для Linux При установке антивируса изменение режима шифрования и сжатия не предоставляется. По умолчанию установлен режим Возможно. После установки антивируса возможность локально изменять настройки шифрования и сжатия на станции предоставляется только в консольном режиме. Описание консольного режима работы и соответствующих ключей командной строки приведено в Руководстве пользователя Dr.Web для Linux. Также настройки на стороне станции могут быть изменены через Центр управления (см. выше ). Антивирус Dr.Web для macOS Возможность локально изменять настройки шифрования и сжатия на станции не предоставляется. По умолчанию установлен режим Возможно, т. е. использование шифрования и сжатия зависит от настроек со стороны Сервера. Настройки на стороне станции могут быть изменены через Центр управления (см. выше ). Руководство администратора 50 Глава 4: Начало работы 4.3.2. Инструменты для обеспечения безопасного соединения При установке Сервера Dr.Web создаются следующие инструменты, обеспечивающие безопасное соединение между компонентами антивирусной сети: 1. Закрытый ключ шифрования Сервера drwcsd.pri. Хранится на Сервере и не передается другим компонентам антивирусной сети. При утере закрытого ключа соединение между компонентами антивирусной сети необходимо восстанавливать вручную (создавать все ключи и сертификаты, а также распространять их на все компоненты сети). Закрытый ключ используется в следующих случаях: a) Создание открытых ключей и сертификатов. Открытый ключ шифрования и сертификат создаются автоматически из закрытого ключа в процессе установки Сервера. Закрытый ключ при этом может быть как создан новый, так и использован существующий (например, от предыдущей установки Сервера). Также ключи шифрования и сертификаты могут быть созданы в любое время при помощи серверной утилиты drwsign (см. документ Приложения, п. З7.1. Утилита генерации цифровых ключей и сертификатов ). Информация об открытых ключах и сертификатах приведена далее. b) Аутентификация Сервера. Аутентификация Сервера удаленными клиентами осуществляется на основе электронной цифровой подписи (однократно в рамках каждого соединения). Сервер осуществляет цифровую подпись сообщения закрытым ключом и отправляет сообщение на сторону клиента. Клиент проверяет подпись полученного сообщения при помощи сертификата. c) Расшифровка данных. При шифровании трафика между Сервером и клиентами расшифровка данных, отправленных клиентом, осуществляется на Сервере при помощи закрытого ключа. 2. Открытый ключ шифрования Сервера drwcsd.pub. Доступен всем компонентам антивирусной сети. Открытый ключ всегда может быть сгенерирован из закрытого ключа (см. выше ). При каждой генерации из одного и того же закрытого ключа получается один и тот же открытый ключ. Начиная с 11 версии Сервера открытый ключ используется для связи с клиентами предыдущих версий. Остальной функционал перенесен на сертификат, который, в том числе, содержит в себе открытый ключ шифрования. |