Всем привет!
Так сложилось, что последние несколько лет я работаю инструктором по оборудованию Juniper Networks в одном из авторизованных учебных центров Москвы. Как многие знают, Juniper — компания, производящая сетевое оборудование — маршрутизаторы, коммутаторы, устройства безопасности. Не так хорошо известно, что устройства безопасности Juniper SRX дают возможность проверять проходящий через них трафик, используя антивирусный модуль отечественного производства (а именно, «Лаборатории Касперского»).
Эта статья рассчитана на тех людей, у кого уже есть Juniper SRX и кто хочет (или захочет по прочтении) попробовать связку Juniper-KAV в действии.
Защитный комплекс Junos Unified Threat Management (UTM), опционально доступный в шлюзах линейки Juniper SRX, включает в себя функции антиспама, веб-фильтрации, контентной фильтрации, а также знаменитый Антивирус Касперского. Будучи включёнными, эти сервисы позволяют обеспечить эффективную дополнительную защиту периметра сети. Несмотря на это, многие системные администраторы в силу тех или иных причин отказываются принимать на вооружение UTM. Так, многие не готовы приобретать дополнительные лицензии, не хотят тратить время и силы на дополнительную настройку, а также опасаются возможного снижения производительности.
Данный «рецепт» позволит вам легко сгенерировать пробные 30-дневные лицензионные ключи, а также быстро настроить ключевой элемент комплекса UTM – Full AV, полноценный файловый Антивирус Касперского, для защиты сети от вредоносного ПО (вирусов, червей, троянов, полиморфных вредоносных программ в HTTP-, FTP- и почтовом трафике). Пробная лицензия позволит вам испытать антивирус и, если вы сочтёте это целесообразным, затем приобрести его, а также облегчит знакомство с антивирусом и процедурой его развёртывания. Активировать пробную лицензию можно один раз в год на каждом устройстве с конкретным серийным номером.
Примеры команд и конфигураций, приведенные ниже, годятся для любых моделей линейки филиальных («branch») Juniper SRX с большим (от 1 Гбайт) объёмом оперативной памяти (линейка branch SRX включает в себя все модели с SRX100 до SRX650). Чтобы проверить модель вашего устройства, выполните следующую команду:
Если в конце номера модели вы видите буквы H или H2, то можете продолжать настройку UTM-функционала.
Для настройки необходимо интернет-подключение (стандартный канал к вашему провайдеру) и настроенный DNS-сервер. Например, эти параметры могут выглядеть следующим образом:
Я подразумеваю, что в настоящий момент на вашем устройстве ещё нет лицензии на Антивирус Касперского для Juniper, но, если вы сомневаетесь, выполните следующую команду:
В результате система отобразит все лицензии, активированные для текущего устройства. Затем, чтобы сгенерировать пробные ключи, выполните команду:
(для успешного получения пробных ключей необходимо соединение с интернетом и корректно настроенный DNS.) Повторите команду show system license спустя несколько минут, чтобы убедиться, что ключи добавились в репозиторий. Система должна отобразить что-то в духе:
Если новая лицензия не появилась, проверьте ошибки в лог-файле (команда show log messages).
Если лицензия успешно получена, далее нужно настроить функционал UTM – в нашем случае, Антивирус Касперского. Не пугайтесь теоретических выкладок ниже – на самом деле, для начала работы достаточно одной команды!
В общем случае, для настройки UTM на шлюзе Juniper SRX необходимо выполнить конфигурацию следующих связанных между собой элементов:
На первый взгляд всё выглядит сложно, но эти параметры позволяют гибко настраивать шлюз для всевозможных сценариев работы. И ещё одна хорошая новость – в системе Junos изначально присутствуют готовые (дефолтные) профиль UTM-функционала и UTM-политики для антивируса (и других элементов UTM). Чтобы просмотреть их, нужно выполнить следующие команды конфигурации (они обращаются к скрытой группе конфигурации junos-defaults, в которой хранятся настройки Junos по умолчанию):
Как видно, система отображает уже настроенный профиль UTM-функционала junos-av-defaults, на который ссылается политика junos-av-policy. Конкретные настройки в профиле по умолчанию зависят от аппаратной части шлюза. Вы можете как работать с профилем и политикой по умолчанию, так и создать на их основе индивидуальные профили и политики. В первом случае для успешного начала работы с UTM достаточно добавить в необходимые политики безопасности ссылки на UTM-политику, указывающие, что трафик необходимо сканировать антивирусом (совершенно не обязательно сканировать антивирусом весь трафик).
Например, если у вас есть политика, регламентирующая передачу HTTP- и FTP-трафика из доверенной в не доверенную зону:
то вы можете активировать антивирус при помощи следующей команды, после чего оценить результат:
И не забудьте сделать commit.
Теперь с помощью следующей команды убедитесь, что UTM-функционал работает, а база вирусных сигнатур загружена на шлюз SRX (по умолчанию она автоматически обновляется каждые 60 минут):
Теперь давайте протестируем свежеустановленный Антивирус Касперского для Juniper. Для этого попытаемся загрузить тестовый файл EICAR с сервера на конечный хост (этот безвредный файл специально предназначен для тестирования антивируса; его можно загрузить с сайта http://www.eicar.org):
Как видим, антивирус не позволил загрузить файл (точнее, его содержимое было заменено на предупреждение о вирусе, и то же самое предупреждение было отображено FTP-клиентом). Теперь можно проверить логи и статистические данные:
Из вывода команды видно, что на данном этапе антивирус работает корректно.
В заключение, замечу, что использование Антивируса Касперского для шлюза Juniper SRX представляется целесообразным, даже если на конечных узлах сети у вас уже установлен другой антивирус. Базовая настройка Антивируса Касперского для Juniper SRX чрезвычайно проста, более того, вы можете без каких-либо затрат оценить его эффективность, воспользовавшись пробной лицензией.
Дополнительную информацию о настройке антивируса для Juniper SRX и доступных при этом возможностях можно найти по следующим ссылкам:
http://www.juniper.net/us/en/local/pdf/app-notes/3500158-en.pdf
http://www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf
Также полезными могут оказаться следующие статьи из Базы знаний Juniper:
http://kb.juniper.net/InfoCenter/index?page=content&id=KB16620
http://kb.juniper.net/InfoCenter/index?page=content&id=KB17283
Спасибо за внимание! Надеюсь, что эта информация будет полезной. Постараюсь ответить на возникшие вопросы.
Так сложилось, что последние несколько лет я работаю инструктором по оборудованию Juniper Networks в одном из авторизованных учебных центров Москвы. Как многие знают, Juniper — компания, производящая сетевое оборудование — маршрутизаторы, коммутаторы, устройства безопасности. Не так хорошо известно, что устройства безопасности Juniper SRX дают возможность проверять проходящий через них трафик, используя антивирусный модуль отечественного производства (а именно, «Лаборатории Касперского»).
Эта статья рассчитана на тех людей, у кого уже есть Juniper SRX и кто хочет (или захочет по прочтении) попробовать связку Juniper-KAV в действии.
Защитный комплекс Junos Unified Threat Management (UTM), опционально доступный в шлюзах линейки Juniper SRX, включает в себя функции антиспама, веб-фильтрации, контентной фильтрации, а также знаменитый Антивирус Касперского. Будучи включёнными, эти сервисы позволяют обеспечить эффективную дополнительную защиту периметра сети. Несмотря на это, многие системные администраторы в силу тех или иных причин отказываются принимать на вооружение UTM. Так, многие не готовы приобретать дополнительные лицензии, не хотят тратить время и силы на дополнительную настройку, а также опасаются возможного снижения производительности.
Данный «рецепт» позволит вам легко сгенерировать пробные 30-дневные лицензионные ключи, а также быстро настроить ключевой элемент комплекса UTM – Full AV, полноценный файловый Антивирус Касперского, для защиты сети от вредоносного ПО (вирусов, червей, троянов, полиморфных вредоносных программ в HTTP-, FTP- и почтовом трафике). Пробная лицензия позволит вам испытать антивирус и, если вы сочтёте это целесообразным, затем приобрести его, а также облегчит знакомство с антивирусом и процедурой его развёртывания. Активировать пробную лицензию можно один раз в год на каждом устройстве с конкретным серийным номером.
Примеры команд и конфигураций, приведенные ниже, годятся для любых моделей линейки филиальных («branch») Juniper SRX с большим (от 1 Гбайт) объёмом оперативной памяти (линейка branch SRX включает в себя все модели с SRX100 до SRX650). Чтобы проверить модель вашего устройства, выполните следующую команду:
pk@inet-gw> show chassis hardware detail | match chassis
Chassis XXXXXXXXXX SRX210H
Если в конце номера модели вы видите буквы H или H2, то можете продолжать настройку UTM-функционала.
Для настройки необходимо интернет-подключение (стандартный канал к вашему провайдеру) и настроенный DNS-сервер. Например, эти параметры могут выглядеть следующим образом:
pk@inet-gw> show configuration | display set | match "name-server|0.0.0.0"
set system name-server 8.8.8.8
set routing-options static route 0.0.0.0/0 next-hop 192.168.1.254
Я подразумеваю, что в настоящий момент на вашем устройстве ещё нет лицензии на Антивирус Касперского для Juniper, но, если вы сомневаетесь, выполните следующую команду:
pk@inet-gw> show system license
В результате система отобразит все лицензии, активированные для текущего устройства. Затем, чтобы сгенерировать пробные ключи, выполните команду:
pk@inet-gw> request system license update trial
(для успешного получения пробных ключей необходимо соединение с интернетом и корректно настроенный DNS.) Повторите команду show system license спустя несколько минут, чтобы убедиться, что ключи добавились в репозиторий. Система должна отобразить что-то в духе:
pk@inet-gw> show system license
License usage:
Licenses Licenses Licenses Expiry
Feature name used installed needed
av_key_kaspersky_engine 0 1 0 2014-11-04
00:00:00 UTC
.............
Если новая лицензия не появилась, проверьте ошибки в лог-файле (команда show log messages).
Если лицензия успешно получена, далее нужно настроить функционал UTM – в нашем случае, Антивирус Касперского. Не пугайтесь теоретических выкладок ниже – на самом деле, для начала работы достаточно одной команды!
В общем случае, для настройки UTM на шлюзе Juniper SRX необходимо выполнить конфигурацию следующих связанных между собой элементов:
- Профиль UTM-функционала (UTM profile), в который помещаются индивидуальные настройки выбранных элементов (в нашем случае – антивируса)
- Политика UTM (UTM policy), ссылающаяся на профили UTM-функционала для различных типов трафика (если по-простому, то это руководство для шлюза: «выполняй антивирусную проверку HTTP-трафика с использованием настроек из профиля my-profile-1»)
- Политика безопасности (security policy), разрешающая трафик и осуществляющая его направление в модуль UTM (и ссылающаяся на политику UTM).
На первый взгляд всё выглядит сложно, но эти параметры позволяют гибко настраивать шлюз для всевозможных сценариев работы. И ещё одна хорошая новость – в системе Junos изначально присутствуют готовые (дефолтные) профиль UTM-функционала и UTM-политики для антивируса (и других элементов UTM). Чтобы просмотреть их, нужно выполнить следующие команды конфигурации (они обращаются к скрытой группе конфигурации junos-defaults, в которой хранятся настройки Junos по умолчанию):
pk@inet-gw# show groups junos-defaults security utm feature-profile anti-virus
kaspersky-lab-engine {
pattern-update {
url http://update.juniper-updates.net/AV/JSR/;
interval 60;
}
profile junos-av-defaults {
fallback-options {
default log-and-permit;
corrupt-file log-and-permit;
password-file log-and-permit;
decompress-layer log-and-permit;
content-size log-and-permit;
engine-not-ready log-and-permit;
timeout log-and-permit;
out-of-resources log-and-permit;
too-many-requests log-and-permit;
}
scan-options {
intelligent-prescreening;
scan-mode all;
content-size-limit 10000;
timeout 180;
decompress-layer-limit 2;
}
notification-options {
virus-detection {
type message;
no-notify-mail-sender;
custom-message "VIRUS WARNING";
}
fallback-block {
type message;
no-notify-mail-sender;
}
}
}
}
pk@inet-gw# show groups junos-defaults security utm utm-policy junos-av-policy
anti-virus {
http-profile junos-av-defaults;
ftp {
upload-profile junos-av-defaults;
download-profile junos-av-defaults;
}
smtp-profile junos-av-defaults;
pop3-profile junos-av-defaults;
imap-profile junos-av-defaults;
}
Как видно, система отображает уже настроенный профиль UTM-функционала junos-av-defaults, на который ссылается политика junos-av-policy. Конкретные настройки в профиле по умолчанию зависят от аппаратной части шлюза. Вы можете как работать с профилем и политикой по умолчанию, так и создать на их основе индивидуальные профили и политики. В первом случае для успешного начала работы с UTM достаточно добавить в необходимые политики безопасности ссылки на UTM-политику, указывающие, что трафик необходимо сканировать антивирусом (совершенно не обязательно сканировать антивирусом весь трафик).
Например, если у вас есть политика, регламентирующая передачу HTTP- и FTP-трафика из доверенной в не доверенную зону:
pk@inet-gw# show security policies from-zone Trust to-zone Untrust
policy Trust-to-Untrust {
match {
source-address any;
destination-address any;
application [ junos-http junos-ftp ];
}
then {
permit;
}
}
}
то вы можете активировать антивирус при помощи следующей команды, после чего оценить результат:
pk@inet-gw# set security policies from-zone Trust to-zone Untrust policy Trust-to-Untrust then permit application-services utm-policy junos-av-policy
pk@inet-gw# show security policies from-zone Trust to-zone Untrust
from-zone Trust to-zone Untrust {
policy Trust-to-Untrust {
match {
source-address any;
destination-address any;
application [ junos-http junos-ftp ];
}
then {
permit {
application-services {
utm-policy junos-av-policy;
}
}
}
}
}
И не забудьте сделать commit.
Теперь с помощью следующей команды убедитесь, что UTM-функционал работает, а база вирусных сигнатур загружена на шлюз SRX (по умолчанию она автоматически обновляется каждые 60 минут):
pk@inet-gw> show security utm anti-virus status
UTM anti-virus status:
Anti-virus key expire date: 2014-07-04 00:00:00
Update server: http://update.juniper-updates.net/AV/SRX240/
Interval: 60 minutes
Pattern update status: next update in 52 minutes
Last result: new database loaded
Anti-virus signature version: 06/21/2014 20:24 GMT, virus records: 561261
Anti-virus signature compiler version: N/A
Scan engine type: kaspersky-lab-engine
Scan engine information: last action result: No error(0x00000000)
Теперь давайте протестируем свежеустановленный Антивирус Касперского для Juniper. Для этого попытаемся загрузить тестовый файл EICAR с сервера на конечный хост (этот безвредный файл специально предназначен для тестирования антивируса; его можно загрузить с сайта http://www.eicar.org):
lab@host> ftp 192.168.1.112
Connected to 192.168.1.112.
220 (vsFTPd 2.0.5)
Name (192.168.1.112:lab): lab
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> get eicar.com
local: eicar.com remote: eicar.com
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for eicar.com (68 bytes).
|**********************************************************************************************************************************************************| 100% 95 --:-- ETA
550 192.168.1.112:21->10.1.0.15:51306 VIRUS WARNING For eicar.com with virus EICAR-Test-File.
95 bytes received in 0.00 seconds (129.03 KB/s)
ftp> bye
221 Goodbye.
Как видим, антивирус не позволил загрузить файл (точнее, его содержимое было заменено на предупреждение о вирусе, и то же самое предупреждение было отображено FTP-клиентом). Теперь можно проверить логи и статистические данные:
pk@inet-gw> show log messages | match AV_VIRUS
Oct 24 06:18:31 inet-gw RT_UTM: AV_VIRUS_DETECTED_MT: AntiVirus: Virus detected: from 192.168.1.112:20 to 10.1.0.15:14375 source-zone Untrust eicar.com file eicar.com virus EICAR-Test-File URL:http://www.viruslist.com/en/search?VN=EICAR-Test-File username N/A roles N/A
pk@inet-gw> show security utm anti-virus statistics
UTM Anti Virus statistics:
Intelligent-prescreening passed: 0
MIME-whitelist passed: 0
URL-whitelist passed: 0
Scan Mode:
scan-all: 1
Scan-extension: 0
Scan Request:
Total Clean Threat-found Fallback
1 0 1 0
.....
Из вывода команды видно, что на данном этапе антивирус работает корректно.
В заключение, замечу, что использование Антивируса Касперского для шлюза Juniper SRX представляется целесообразным, даже если на конечных узлах сети у вас уже установлен другой антивирус. Базовая настройка Антивируса Касперского для Juniper SRX чрезвычайно проста, более того, вы можете без каких-либо затрат оценить его эффективность, воспользовавшись пробной лицензией.
Дополнительную информацию о настройке антивируса для Juniper SRX и доступных при этом возможностях можно найти по следующим ссылкам:
http://www.juniper.net/us/en/local/pdf/app-notes/3500158-en.pdf
http://www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf
Также полезными могут оказаться следующие статьи из Базы знаний Juniper:
http://kb.juniper.net/InfoCenter/index?page=content&id=KB16620
http://kb.juniper.net/InfoCenter/index?page=content&id=KB17283
Спасибо за внимание! Надеюсь, что эта информация будет полезной. Постараюсь ответить на возникшие вопросы.
