Guest
|
Tổng quan về giải pháp phòng chống Virus của TrendMicro
Tổng quan về giải pháp phòng chống Virus của TrendMicro
Hiện nay, việc lây nhiễm và phát tán virus là điều làm đau đầu các nhà quản trị mạng trên toàn thế giới, chúng ảnh hưởng rất lớn đến toàn bộ hệ thống mạng. Thiệt hại do virus gây ra là cực kì lớn. Do đó, việc xây dựng hệ thống phòng chống virus là yêu cầu hàng đầu của bất kì hệ thống thông tin nào.
Virus hoạt động qua các dịch vụ công cộng như Web, Mail … có nghĩa là một virus mới sẽ dễ dàng đi qua một firewall chưa cập nhật kịp thời. Khả năng đó có thể dễ dàng tạo ra các backdoor, chuyển các thông tin nhạy cảm ra bên ngoài mà không gặp sự cản trở nào.
Xây dựng hệ thống phòng chống virus phải được thực hiện đồng bộ và nhất quán trên tất cả các vị trí từ trên xuống dưới, từ gateway cho đến tất cả các trạm làm việc. Chương trình chống virus phải có khả năng bảo vệ được các dịch vụ khác như: web, e-mail, file sharing …
Yêu cầu đặt ra cho giải pháp chống virus là phải bảo vệ toàn diện hệ thống mạng trung tâm từ Internet Gateway, các Server cho đến từng Client khỏi sự tấn công của virus. Hệ thống chống virus phải được cập nhật kịp thời, nhanh chóng, có dịch vụ tốt từ nhà cung cấp. Đồng thời phải có giải pháp quản trị hệ thống chống virus một cách tập trung, đồng bộ tại tất cả các điểm trong hệ thống mạng tại hội sở, tuy nhiên vẫn có các quản trị viên cấp dưới có một số quyền hạn nhất định để kiểm tra, kiểm soát tính toàn vẹn của cả hệ thống.
I. THÀNH PHẦN BẢO VỆ INTERNET GATEWAY
Internet gateway là điểm kết nối hệ thống mạng với môi trường Internet. Tại đây có thể xem như là một cánh cửa rộng nhất để virus và các đoạn mã có dụng ý xấu xâm nhập vào hệ thống. Chính vì thế việc triển khai giải pháp ngăn chặn từ cổng mạng này là thiết yếu, bao gồm các thành phần:
1) InterScan Messaging Security Suite (IMSS)
Giải pháp toàn diện này sẽ khoá các mã có dụng ý nguy hiểm, spam, và nội dung không mong muốn ngay tại mức messaging gateway - điểm vào quan trọng nhất của mạng.
- Khả năng bảo vệ toàn diện Messaging: IMSS cung cấp khả năng bảo vệ toàn diện messaging tại mức gateway bằng cách quét các luồng giao thông SMTP và POP3 với sự tích hợp công nghệ chống virus, lọc nội dung, và khả năng chống spam. Khi engine quét phát hiện một gói tin chứa virus, nó triển khai kỹ thuật Active Action tự động delete virus. Nó cũng đánh giá email nhiễm các loại virus khác nhau và xác định hoặc là xoá, cách ly, hoặc làm sạch rồi sau đó mới phân phát message. Công ty có thể khoá các luồng email không xác thực với điều khiển đường truyền SMTP, như là anti-relay và hạn chế kết nối – bảo vệ các lớp khác nhau chống lại tấn công.
- Bảo vệ tránh bị tấn công từ chối dịch vụ (DoS): Bằng việc làm tràn ngập một mail server với những file đính kèm có kích thước lớn hoặc gửi kèm theo virus trong email, hacker có thể làm chết hệ thống mail của một doanh nghiệp, tổ chức. IMSS for SMTP bao gồm các tính năng cho phép quản trị viên định nghĩa các đặc điểm của những mail không được phép vào mạng nội bộ, chúng sẽ bị chặn ngay ở mức gateway.
- Khả năng lọc nội dung cao cấp: Công nghệ lọc nội dung của IMSS cho phép công ty hạn chế nội dung email vào/ra bằng cách khoá messages không thích hợp trên cơ sở các từ khoá, loại file, tên đính kèm, kích cỡ đính kèm, và những quy luật khác. Giảm thiểu các email mang tính tiêu khiển, công ty có thể tiết kiệm được tài nguyên mạng, nâng cao năng suất của nhân viên, và bảo vệ các thông tin quan trọng.
- Tính năng lọc Spam thông minh: Module chống spam tích hợp với IMSS để tạo ra khả năng lọc spam trên cơ sở heuristic với hiệu suất cao. Engine định danh và khoá spam với tỷ lệ bắt gặp cao và lỗi thấp. Nhà quản trị có thể chọn lựa thiết đặt mức độ spam và tạo ra danh sách người gởi được phép hoặc bị khoá, hành động lọc, hoặc những luật khác nhau cho các cá nhân hoặc nhóm.
IMSS phát hiện virus dựa trên cơ chế quét (scan engine) 32 bit của Trend Micro và một tiến trình được gọi là “tựa mẫu” (pattern matching). Scan engine sử dụng file định nghĩa virus (definition hay pattern file) để kiểm tra các file đi qua gateway. Nếu trong file có chứa các dấu hiệu tựa mẫu virus đã được định nghĩa trong file, nó sẽ tiến hành một số thao tác như clean (xoá bỏ đoạn mã virus trong file), quarantine (cách ly các file bị nhiễm), delete (xóa file bị nhiễm)… các thao tác này có thể do quản trị viên định nghĩa. Ngoài ra, IMSS còn có khả năng phát hiện virus dựa trên hành vi.
2) InterScan Web Security Suite (IWSS)
- Khả năng chống virus và bảo mật nội dung tại Web Gateway: IWSS thực hiện bảo mật với hiệu suất cao cho các luồng giao thông HTTP và FTP tại gateway Internet. Gói tích hợp các công nghệ antivirus, anti-phishing, anti-spyware, và có thể tuỳ chọn thêm công nghệ lọc URL. Đây là giải pháp bao hàm toàn diện được thiết kế để quét nội dung Web và chặn đứng các mối đe doạ nguy hiểm – không làm giảm hiệu suất Web. Nó cũng có khả năng uyển chuyển và linh động cao, cho cả các mạng lớn và phức tạp. Với trình quản lí tập trung, nhà quản trị IT có thể triển khai nhanh chóng, kết hợp phòng thủ chống lại các mối đe doạ xuất hiện.
- IWSS tích hợp toàn bộ giải pháp được thiết kế để khoá các mối đe doạ trên nền Web bao gồm virus, Trojans, worm, tấn công phishing và spyware. Các mối đe doạ này có thể tấn công vào hệ thống mạng thông qua email trên nền Web và các trang Web chứa đựng mã nguy hiểm ẩn ở trong. IWSS bảo vệ chống lại các mối đe doạ này bằng cách quét các luồng giao thông HTTP và FTP.
- Anti-phishing: Công nghệ anti-phishing của Trend Micro được tích hợp trong IWSS được thiết kế để khoá các luồng dữ liệu hướng ra được biết ảnh hưởng xấu đến Web sites. Công nghệ này cung cấp một lớp bảo vệ mới bổ sung cho IMSS và sản phẩm anti-spam lọc mail khác theo luồng giao thông SMTP hướng vào. Kết quả, IWSS giúp ngăn chặn kẻ trộm lấy cắp các thông tin bí mật của công ty và cá nhân, như là credit card, tài khoản ngân hàng, số bảo mật quan trọng khác, gồm cả user name và password.
- Anti-spyware: Công nghệ anti-spyware của Trend Micro được thiết kế để khoá spyware và adware, các công cụ thêm vào giúp truy xuất từ xa và hỗ trợ hacking gây thiệt hại cho mạng. Công nghệ này tăng thêm khả năng bảo mật giúp ngăn chặn tội phạm mạng, những kẻ bất lương, và các quảng cáo lấy thông tin cá nhân, thông tin của tập đoàn, password, địa chỉ email, và thông tin khác. Nó cũng giải thoát tài nguyên hệ thống và tăng tính sẵn sàng của băng thông, cải thiện hiệu suất mạng và giảm sự sụp đổ liên quan đến spyware.
- Khả năng uyển chuyển và linh động: IWSS hỗ trợ cấu hình standalone hay kết hợp với proxy servers và Appliance – có nhiều tuỳ chọn hơn bất kỳ giải pháp bảo mật Web nào khác. IWSS cũng hỗ trợ LDAP và Active Directory, cho phép nhà quản trị IT dễ dàng thiết đặt chính sách gán các luật cho PCs và Groups. Cơ sở bảo mật linh động này cho phép nhà quản trị IT thiết đặt chính sách và gán các luật đến các nhóm và cá nhân sử dụng phù hợp. Nó cũng cung cấp hành động lọc linh động như lưu trữ, trì hoãn, phân phát, và message nhắc nhở. Tính uyển chuyển cao cho phép tích hợp với các sản phẩm hàng đầu khác như Check Point, Cisco, NetScreen...
- Quản lý tập trung: Khi Suite được triển khai với TMCM, nhà quản trị có thể quản lý tập trung tất cả các sản phẩm bảo mật Trend Micro thông qua enterprise. Cấu hình sản phẩm, cập nhật pattern virus, chính sách bảo mật, và các chức năng khác có thể điều khiển thông qua console quản lý tập trung – cho phép nhanh chóng, kết hợp phòng thủ chống lại các mối đe doạ xảy ra. Báo cáo Real-time và định thời cũng cung cấp một góc nhìn toàn diện tất cả các sản phẩm để dễ dàng phân tích thông tin.
II. THÀNH PHẦN CHỐNG VIRUS CHO EMAIL
Scanmail For Exchange
Nguy cơ lây nhiễm virus qua thư điện tử đang là nguy cơ phổ biến nhất hiện nay bởi số lượng người sử dụng thư điện tử không ngừng gia tăng. Qua hệ thống thư điện tử, virus tấn công vào hệ thống mạng của tổ chức dưới nhiều loại hình khác nhau như worm, spam, mass-mailing…làm rối loạn hoặc đình trệ hoạt động của hệ thống.
ScanMailTM for Exchange phát hiện và diệt virus cũng như các đoạn mã có hại ẩn trong email và các public folder theo thời gian thực. Thành phần này ngăn chặn sự xâm nhập của virus trước khi chúng nhiễm vào các desktop.
Thành phần chuyên biệt này có chức năng quét virus trong các email gửi qua Microsoft Exchange Server và hoàn toàn tương thích với database của Microsoft Exchange.
Quản trị viên có thể cài đặt hệ thống từ xa, quá trình quét virus là “trong suốt” đối với end-user, các thông báo về sự kiện nhiễm và diệt virus được lưu lại và thông báo cho quản trị viên.
Các tính năng quan trọng:
- Phát hiện và loại bỏ virus trong thời gian thực: ScanMail for Microsoft Exchange phát hiện và loại bỏ virus khỏi các luồng email hướng vào/ra và các file attachment trước khi chúng vươn tới người sử dụng cuối. Hỗ trợ Microsoft MAPI, VS API và ESE API, ScanMail quét các luồng giao thông SMTP, MAPI, HTTP, POP3, IMAP4, IFS, và NNTP tại thời gian thực.
- Cấu hình uyển chuyển và khả năng quản lý từ xa: ScanMail có thể triển khai nhanh chóng đến một hoặc nhiều Exchange server, kể cả Cluster server. Nhà quản trị có thể quản lý tất cả server ScanMail thông qua giao diện Web hoặc console Windows, công việc cấu hình, quản lý và logging phần mềm dễ dàng. ScanMail cũng được sử dụng bởi TMCM, một console quản lý tất cả các sản phẩm của Trend Micro, cung cấp khả năng quản lý các nhóm cấu hình, báo cáo, triển khai sản phẩm chống virus một cách tập trung thông qua mạng.
- Quản lý cách ly: tính năng này cho phép nhà quản trị cấu hình và lưu trữ tất cả email và file attach trong quá trình bùng nổ virus để ngăn chặn khả năng lây lan của virus. Quarantine Manager cho phép các tuỳ chọn resend, forward, hoặc xoá các item đã cách ly hoặc chuyển nó tới mailbox của nhà quản trị. Giao diện thân thiện với người sử dụng cung cấp cho nhà quản trị các công cụ có thể xem lại, phân tích các item đã bị cách ly. Khả năng cách ly email trên cơ sở các luật tự chọn giảm bớt sự lạm dụng tài nguyên email và làm tăng hiệu quả của hệ thống.
- Quản lý và lọc nội dung email với trình lọc eManager: Exchange server phiên bản mới đã được tăng thêm khả năng an toàn khi có thành phần eManager tích hợp sẵn. eManeger triển khai trên các quy luật do người sử dụng định nghĩa và các toán tự luận lý (AND, OR, NOT) để khoá và lọc các nội dung không mong muốn trong email và phần attachment, giảm thiểu các nguy cơ đưa vào mạng các nội dung không phù hợp thông qua mail server nên giúp tăng hiệu suất làm việc.
- Duy trì tài nguyên mạng với các tính năng IntelliScan và ActiveAction: các tính năng này sẽ kiểm tra tất cả các message nhưng chỉ quét trên những email mang virus tiềm ẩn. Mỗi lần virus được phát hiện, các hành động đề nghị như: clean, quarantined, hoặc delete sẽ được thực thi.
- Hiệu suất quét cao: ScanMail kết hợp nhiều công nghệ quét, bao gồm cả so mẫu, kiểm soát hành vi dựa vào tập luật (rules-based behavior monitoring) để cung cấp khả năng phát hiện và loại bỏ virus hiệu quả. Khả năng quét đa luồng làm tăng tốc độ quét email và giảm thiểu tác động đến Exchange server. Hành động quét virus trong suốt đối với người dùng trừ khi một virus bị delete, khi đó, người gởi, người nhận, và nhà quản trị có thể nhận được nhắc nhở bằng email.
III. THÀNH PHẦN BẢO VỆ FILE SERVER
Để rà soát và loại bỏ virus trong các file hệ thống, các thư mục trên Server, chúng tôi sẽ sử dụng thành phần ServerProtect.
ServerProtect là thành phần bảo vệ file và các ứng dụng hệ thống của server khỏi sự tấn công của virus. Server Protect cho phép quản trị từ xa thông qua kiến trúc gồm 3 thành phần:
- Information Server: được cài trên 1 server với mục đích quản lý tập trung các Server Protect. Information Server sử dụng lời gọi thủ tục từ xa (Remote Procedure–RPC) để connect tới các server Windows NT và sử dụng Sequenced Packet Exchange (SPX) để connect tới các server Novell NetWare.
- Normal Server: được cài trên các server (có thể coi đây là bản client của Server Protect) và được quản lý bởi Information Server.
- Management Console: Công cụ quản trị sử dụng giao thức TCP/IP, quản trị viên có thể log-on vào Information Server thông qua hình thức xác thực dựa trên username và password để cài đặt ServerProtect cho các Server trong hệ thống (Normal Server) cũng như theo dõi tình hình phòng chống virus trong hệ thống.
Information Server và tất cả các Normal Server đều có thể cài đặt và cập nhật mẫu virus mới một cách đồng thời qua một giao diện của Windows.
Hệ thống có thể đưa ra các cảnh báo khi phát hiện thấy:
- Đang bị nhiễm virus.
- Cấu hình bị thay đổi.
- Một dịch vụ nào đó bị gỡ bỏ.
- Mẫu virus không được cập nhật kịp thời.
- Hệ thống phòng chống đang bị sửa đổi.
Các cảnh báo này được đưa đến cho quản trị viên theo nhiều con đường khác nhau: qua e-mail, nhắn tin, in ra máy in, hoặc viết ra Windows Event Box.
IV. THÀNH PHẦN BẢO VỆ CLIENT
TrendMicro OfficeScan
OfficeScan là thành phần chống virus cho các máy trạm. Thành phần này hoạt động “trong suốt” đối với người sử dụng . Các thao tác như quét virus định kỳ, cập nhật mẫu virus mới diễn ra hoàn toàn theo chính sách của quản trị viên hệ thống. Người dùng sẽ không phải thực hiện các thao tác trên.
Việc cài đặt OfficeScan cho từng client hoàn toàn thông qua giao diện Web, kết nối vào một server quản trị tập trung, điều này rất thuận tiện khi triển khai hệ thống trong mạng LAN.
Trong trường hợp vị trí triển khai chỉ có đường kết nối có băng thông hẹp, TrendMicro có giải pháp riêng để đảm bảo triển khai và cập nhật cho các client này.
Người dùng không thể tự ý gỡ bỏ chương trình chống virus trên máy tính nếu không có sự đồng ý của quản trị mạng, chức năng này cho phép giữ vững chính sách phòng chống virus trong mạng
V. THÀNH PHẦN QUẢN LÝ TẬP TRUNG
TrendMicro Control Manager
Chức năng của Trend Micro Control Manager:
- Quản lý tất cả các thành phần diệt virus được cài đặt trong hệ thống mạng.
- Cung cấp khả năng nhận diện và phân tích về tình hình nhiễm virus trong mạng diện rộng.
- Cho phép cập nhật mẫu virus một cách tự động và thống nhất, cho phép người quản trị hệ thống có quyền bắt buộc các thành phần trong hệ thống thực hiện một chính sách chống virus một cách thống nhất.
- Việc cài đặt và triển khai các agent xuống các thành phần khác trong hệ thống thực hiện một cách tập trung trên một máy chủ Windows.
- Hỗ trợ nhiều tính năng cho người quản trị mạng để giảm thời gian và chi phí trong việc vận hành và duy trì hệ thống.
- Ngăn chặn nguy cơ “bùng nổ” virus ở trong mạng một cách hữu hiệu với OPP (Outbreak Prevention Policy). TMCM sẽ tự động phát hiện ra các dấu hiệu của một nguy cơ bùng nổ virus mới và sẽ tự động cập nhật chính sách ngăn chặn từ TrendMicro để đối phó với nguy cơ này. Người quản trị cũng có thể chủ động đưa ra các chính sách ngăn chặn bùng nổ riêng cho hệ thống (thành phần này là tuỳ chọn thêm)
VI. MÔ HÌNH TRIỂN KHAI GIẢI PHÁP PHÒNG CHỐNG VIRUS
Chúng tôi đưa ra cấu hình đề xuất như sau: Trend Micro NeatSuite Enterprise Edition I (bao gồm các sản phẩm InterScan Web Security Suite, InterScan Messaging Security Suite, SMEX Suite, ServerProtect, OfficeScan Server, Trend Micro Control Manager dùng cho 10 license).
Mô hình triển khai
Mô tả
- Tại điểm kết nối hệ thống mạng với Internet (gateway): đặt một server để cài các thành phần InterScan Web Security Suite và InterScan Messaging Security Suite để kiểm tra và diệt virus trên các giao thức HTTP, FTP, SMTP và POP3. Tất cả các giao dịch với môi trường Internet đều phải qua IWSS và IMSS để kiểm tra và loại bỏ virus.
- Giải pháp cho thư điện tử: cài đặt SMEX lên một server để kiểm tra và loại trừ virus trên các luồng e-mail vào ra hệ thống. SMEX sẽ nhận các incoming mail từ bên ngoài, kiểm tra và loại bỏ virus. Sau đó sẽ chuyển cho Mail server. Mail server sẽ nhận outgoing mail và chuyển cho SMEX server để ra ngoài.
- Tại các Server: cài đặt thành phần Server Protect – Information Server lên một server. Các server khác trong hệ thống mạng sẽ được cài thành phần ServerProtect – Nomal Server để kiểm tra và loại trừ virus. Information server là thành phần quản lý các Normal Server.
- Tại các client: cài đặt thành phần OfficeScan Server lên một Server. Các máy trạm tại trung tâm được cài đặt thành phần OfficeScan Client để rà soát và ngăn chặc virus tấn công vào PC. OfficeScan Server sẽ quản lý các OfficeScan Client.
- Thành Phần Quản trị: cài đặt Trend Micro Control Manager lên một server để quản lý tất cả các thành phần khác (TMCM Agents) của Trend Micro trên hệ thống mạng.
Thao tác cập nhật
- Mẫu virus và engine mới được cập nhật theo định kỳ đến máy chủ TMCM. Từ máy chủ TMCM, mẫu virus mới sẽ được tự động cập nhật cho máy chủ có thành phần TMCM Agent.
- Các NormalServer sẽ tự động update mẫu virus và engine từ Information Server.
- Các OfficeScan Client sẽ tự động update mẫu virus và engine từ OfficeScan Server.
- Quá trình cập nhật là hoàn toàn tự động, quản trị viên hệ thống chỉ cần qui định lịch để cập nhật mẫu virus mới.
- Ngoài ra người quản trị cũng có thể quy định chính sách ngăn chặn, đối phó với các nguy cơ bùng nổ virus (virus outbreak policy) với TMCM.
VII. THÀNH PHẦN TUỲ CHỌN THÊM
InterScan AppletTrap
Đây là sản phẩm làm việc tại mức Gateway. Nó loại trừ các applet, ActiveX, JavaScript và VBScript có dụng ý xấu (gọi chung là mobile code) thâm nhập vào mạng trên đường lưu thông Internet với 3 mức bảo vệ: phân tích và kiểm tra các chứng thực số (digital certificate), lọc các mã dụng ý xấu đã được định danh tại server, giám sát các hành động của các mobile code chưa được định danh tại browser của client theo thời gian thực.
Các đặc điểm nổi bật của InterScan AppletTrap:
- Tốc độ thực hiện nhanh hơn và ổn định hơn: cung cấp chức năng caching làm tăng thông lượng.
- Tính bảo mật được nâng cao: quản lý chứng thực tập trung tại Internet gateway tạo nên một môi trường kinh doanh điện tử an toàn hơn.
- Quy mô triển khai của sản phẩm được nâng cao cho phép phục vụ trên 500 users truy cập đồng thời.
- Hỗ trợ Check Point FireWall-1, hoạt động tương thích với HTTP Proxy, có ưu điểm trong suốt (transparent) với người sử dụng.
- Người quản trị có thể điều khiển quá trình kiểm tra certificate đối với các Java Applet/ActiveX tại AppletTrap server.
- Dễ dàng triển khai trên Proxy server và chỉ cần cài đặt trên 1 server.
- Cập nhật trên giao diện Web: hỗ trợ cập nhật thủ công hoặc theo lịch qua Internet. Có thể gửi danh sách các Java, URL, và ActiveX cần chặn để Trend Micro nghiên cứu đưa vào danh sách ngăn chặn của Trend Micro.
- Cân bằng tải: phân tán tải giữa Proxy server hoặc FireWall-1 server và các client giúp giảm nhẹ chi phí trên mỗi trạm.
- Theo dõi real-time các đoạn mã Java Applet trên các các máy trạm client. Sử dụng các công nghệ đã được công nhận rộng rãi của Trend Micro để theo dõi các hành vi đối với các Java Applet trên các máy trạm client theo thời gian thực (real-time).
- Cập nhật danh sách ngăn chặn thường xuyên. Bất kỳ một đoạn mã chứa virus nào được tìm thấy trong các Java Applet hay ActiveX đều được báo cáo một cách tự động về proxy server.
- Các chính sách có thể tuỳ biến để điều khiển hành vi của các applet trên các máy trạm client. Các chính sách này có thể được ánh xạ tới một nhóm người dùng dựa trên các địa chỉ IP hoặc domain của họ.
- Hỗ trợ cơ chế cảnh báo: gửi các thông báo bằng e-mail cho người quản trị mỗi khi có URL bị ngăn chặn, tìm thấy virus trong các applet hoặc khi cơ sở dữ liệu certificate của hệ thống được cập nhật.
- Cung cấp các file log đầy đủ nhất mà nó ghi lại được từ các sự kiện xảy ra.
- Có thể được quản lý tập trung dựa trên các chính sách.
ServerProtect for Linux
Có chức năng tương tự như ServerProtect for Windows, nếu trong hệ thống có server sử dụng hệ điều hành Linux thì khách hàng được đề nghị mua thêm thành phần này.
Tác giả: leantan ( www.mait.com)
Admin Phuong
|