facebook LinkedIN LinkedIN - follow
IT SYSTEM 5/2003

Centrální správa antivirových programů

Tomáš Vobruba





V dnešním uspěchaném a komerčním světě, kde je vše propojeno se vším, nelze přemýšlet nad tím, zda v antivirové ochraně centrální správu ano, či ne. Jednoznačná odpověď zní: ANO! Jistě není zapotřebí dlouze rozvádět, proč tomu tak je. Každý zodpovědný pracovník při výběru antivirových programů už nehledí na to, zdali obsahují možnost centrální správy, ale na fakt, jak je tato kvalitní. Pojďme se nyní společně odpovědět na otázku: "Podle čeho vlastně centrální správu vybírat?" Rád bych čtenářům nabídnul alespoň některé aspekty, kterými by se měli při výběru antivirového programu řídit. V současné době existuje spousta programů pro stanice, souborové servery, groupware prostředí či vstupní brány. Dokonce existují i specializovaná hardwarová zařízení, která nedělají nic jiného, než že kontrolují na přítomnost virů síťový provoz.

Všechny podobné programy či zařízení mají obvykle spoustu společných prvků, které jsou důsledkem tvrdého konkurenčního boje mezi jednotlivými výrobci. Naneštěstí to kupujícímu přináší spíše bolení hlavy než pocit úlevy.

Ona totiž většina antivirových programů má stejné nebo velmi obdobné výsledky v rychlosti, detekční schopnosti, reakci na viry, jejich odstranění, přibližně stejné možnosti v nastavení - a i ostatní doplňky bývají obvykle velmi podobné. Jistě, jsou zde rozdíly v ceně, které mohou hrát významnou roli při výběru programu, protože "proč kupovat program za trojnásobný peníz, když tento umí to samé a je levnější?"

Odpověď na tuto otázku je celkem jednoduchá. Či přesněji, odpovědí je hned několik:

. přítomnost a systém centrální správy,
. rychlost distribuce datových vzorků, oprav programu a upgradu celého software,
. možnost správy větších sítí, WAN, LAN, zatížení a požadavky na provoz celého systému,
. relativní nezávislost na spravovaných programech.

Podívejme se nyní na jednotlivé body podrobněji.


Obr.1: Třístupňová struktura centrální správy založené na aplikačním protokolu

Přítomnost a systém centrální správy
Pokud budu domácí uživatel nebo budu mít zakoupený antivirový program pro tři počítače, asi mne bude těžko zajímat kvalita nebo vůbec přítomnost centrální správy. V takovém případě mne bude spíše zajímat, zda má program všechny vlastnosti, které od něj jako domácí uživatel očekávám.

Naopak jako správci počítačové sítě se mi nebude zcela určitě chtít každý druhý den (nebo - nedejbože - každý den) obcházet všechny stanice v budově jenom proto, abych provedl aktualizaci datových souborů nebo zkontroloval, zda antivirový program pracuje, jak má a jaké byly výsledky posledního naplánovaného skenování.

K tomuto by nám měla sloužit právě centrální správa. Její prioritou bývá úspora času na obsluhu antivirového programového vybavení. To je všeobecným zaklínadlem pro jakoukoliv centrální správu, a ne jenom pro antivirovou.

Základem jsou následující úlohy, které mají administrátorovi umožnit jednodušší a rychlejší práci:

. Instalace/odinstalování antivirového softwaru na koncových stanicích, serverech a branách.
. Nastavení programů - myslíme tím nastavení chování antivirového programu a všech jeho součástí. Například chování při nalezení infekce, kam a jak zasílat varování a výstrahy.
. Kontrola stavu antivirového programu - zda běží a je funkční, zda jej uživatel nevypnul, neodinstaloval, zda mu nastavení nějak program nepoškodily nebo zda jsou nastavení stále platná.
. Možnost přehledného získávání výstrah a informací o tom, co se zrovna ve společnosti z hlediska alertů děje. A na základě toho je vyhodnocovat.
. Rychlá, bezpečná aktualizace na všechny místa, kde je antivirový program nainstalován.
. Možnost uplatnit všechny předchozí body taktéž na mobilní stanice.
. Většina dnešních poskytovatelů antivirového softwaru doplňuje portfolio svých produktů i o ostatní bezpečnostní produkty. Budu-li vědět, že časem nasadím i jiné programu, měla by centrální správa umět obsluhovat i tyto.

Až donedávna některé z těchto bodů nebyly příliš významné, což souviselo hlavně s rychlostí šíření virů a jiných škodlivých kódů, ale také s používanými HW prostředky, operačními systémy - a hlavně vše záviselo a závisí na počtu stanic, které se v síti vyskytovaly.

Například v centrální správě asi nebudeme striktně vyžadovat rozsáhlé možnosti zpracovávání výstrah nebo různé možnosti instalace klientských počítačů či podporu centrální správy pro vstupní brány.

Naopak ve velkých sítích, což klidně může platit i pro sítě od padesáti počítačů výše, požadujeme, aby centrální správa zajistila spolehlivou ochranu i pro mobilní počítače, vyhodnocovala množství informací a alertů přicházejících z mnoha počítačů.

Půjdeme-li do extrému, tak pro velmi velké sítě (několik tisíc počítačů), které jsou v různém stadiu distribuovanosti záleží nejenom na možnostech vyhodnocování alertů a statistik, ale hlavně na rychlosti a škálovatelnosti celého řešení, kde již musíme brát v potaz rychlost linek a zatížení ovládacích serverů.
S ohledem na výkon a výše zjištěné informace, můžeme srovnat dva dnes všeobecně používané modely centrální správy.


Obr.2: Možnosti třístupňového řešení

Centrální správa založená na sdíleném adresáři
Tento systém centrální správy se dá dnes již považovat za zastaralý nebo alespoň za překonaný.

Celý systém je postaven na klasickém adresáři, který se umístí někde na serveru (stanici) a nasdílí uživatelům k používání. Administrátor pomocí různých nástrojů (ovládací konzole, automaty, poloautomaty, samotné antivirové programamy atd.) udržuje v tomto adresáři aktuální datové soubory a čte alerty (případně statistiky z jednotlivých antivirových programů, které jsou nainstalovány na všech stanicích).

Obvykle se jedná o aplikace typu klient/server, kde v konečném důsledku není poznat, kdo je administrátorem a kdo je pouze klientem. K provozu tohoto typu centrální správy není potřeba žádný speciální ovládací server a díky tomu se uplatňuje hlavně v malých firmách.

Výhodou je snadná údržba, bohužel nevýhody převažují. Ve zkratce pouze dvě z nich: relativně vysoká pomalost a dále nutnost nastavovat přístupová práva (což v nehomogenních prostředích bývá často problém).

Nicméně tento systém je stále ještě mezi vývojáři antivirového software rozšířen, protože vývoj takového řešení je mnohonásobně rychlejší a levnější než vývoj centrální správy založené na aplikačním protokolu.

Centrální správa na aplikačním protokolu
Tento systém je mnohem více propracovaný a složitější, což klade, alespoň z počátku, na administrátora zvýšené nároky. Avšak v konečném důsledku se jedná o plně automatizovaný systém, do kterého nemusí uživatel ani administrátor vstupovat.

Obyčejně se jedná o framework architekturu, která má tři vrstvy: administrátora s ovládací konzolou, server (pasivní, nebo i aktivní prvek, který slouží jako komunikační článek mezi administrátorem a stanicemi) a agent - koncová část softwaru, která komunikuje se serverem. Obvykle nemá nic společného s antivirovým programem. Ten ale za pomocí tohoto agenta dostává aktualizace, zasílá statistiky, alerty a podobně.

Systém, jak vidno, kopíruje jiné úspěšné modely centrální správy, jakými jsou například MS SMS, IBM Tivoli nebo HP OpenView (protože je to systém slučitelný, obvykle je plně podporována kompatibilita s těmito systémy).

Výhodou takových řešení je, že dokáží poskytovat své služby i pro klientské instalace, které nejsou v lokální síti, protože používají některý z rozšířených aplikačních protokolů, jakým je třeba protokol http.
Díky serverovému prvku dochází k značnému nárůstu výkonu, protože server je navržen takovým způsobem, aby poskytoval informace velmi rychle a pokud možno s malým zatížením.

Setkáte-li se s takovým tříúrovňovým řešením, uvidíte u něji maximální čísla vyjadřující počet spravovaných počítačů v řádově v desítkách tisíc, v extrémních případech ve statisících. Což je proti desítkám možných na sdíleném adresáři opravdu velký rozdíl. Ti však neznamená, že nemá smysl kupovat produkt, který používá tento systém pro síť s třiceti počítači.

Tento systém navíc nabízí (díky použití aplikačních síťových protokolů) další možnosti, jakými je zabezpečení, implementace elektronického podpisu, šifrování či použití jiných technologií.

Jak vidno, tak kvalita centrální správy nezáleží toliko jenom na kvalitě napsaného softwaru. I když samozřejmě taky (komu by se chtělo používat napůl nefunkční nebo chybový software?). Ale také na tom, co vlastně požadujeme. Někomu může stačit správa založená na sdíleném adresáři, která je schopna maximálně doručit alerty o infekci nebo rozeslat aktualizaci, jiní zase vyžadují správu komplexní, která má jakousi inteligenci a automatizaci a dokáže zvládat velké počty stanic.

Přejděme ale k tomu, na čem vlastně celý systém centrální správy AV programů vzniknul.


Obr.3: Centrální řízení antivirových programů

Datové soubory a centrální správa
Smyslem centrálního řízení antivirových programů je pochopitelně na prvním místě centrální distribuce datových souborů.

Centrální správa, ať už jakéhokoliv druhu, musí toto podporovat. Pokud ne, tak se jedná o špatnou centrální správu. Systém distribuce je na tolik zásadní záležitostí, že mu antivirové firmy věnují hodně času.

Opět vše srovnám na příkladu domácího uživatele a velké počítačové sítě. Nainstaluje-li si domácí uživatel antivirový program, musí jej aktualizovat, aby měl počítač chráněný. V tomto případě se připojí na internet pomocí modemu a program si stáhne databázi. Ta má jakousi velikost, která dnes jen zřídka jde pod 2,5 MB. To domácímu uživateli sice sebere na nějakou dobu výkon jeho připojení, ale na relativně kratičký okamžik.

V podnikové síti by tomu bylo jinak. Stanice, které by měly antivirový program nainstalovaný, jako by se jednalo o domácí počítače, by chaoticky přistupovaly k internetu a stahovaly by megabajty dat zcela nahodile. Což by pochopitelně sebralo výkon připojení k internetu pro celou firmu, a to na dost výraznou dobu.

Proto se datové soubory stahují z internetu pouze jednou. Po stažení se umístí automatem do sdíleného adresáře nebo na server a ze serveru jsou již po mnohonásobně rychlejší lince distribuovány na stanice pouze v rámci lokální sítě.

To je samozřejmě všeobecný princip, který může být dotažen téměř k dokonalosti i pro velké firmy s WAN komunikačními kanály tak, že distribuce datových souborů odpovídá stromové hierarchii. Čímž se datové soubory na stanice distribuují velice rychle a bez velkého zatížení sítě.

Dalším mechanizmem, který silně zmenšuje požadavky na obsluhu distribuce datových souborů, je automatizace, inkrementální způsob distribuce, CRC kontroly a jiné. Navíc podobným způsobem mohou být distribuovány opravy a upgrady celých antivirových programů.

Distribuce datových souborů za pomoci těchto metod značně zvyšuje schopnost centrální správy uspět v prostředích WAN.

Centrální správa ve WAN prostředí
Pochopitelně vlastnosti centrální správy, které plně postačují v lokální síti, nemusí, a také obvykle nedostačují při komunikaci s rozsáhlými sítěmi WAN.

Zde více než kde jinde musí být kladen důraz na automatizaci, dostupnost, rychlost a hlavně bezpečnost.

Není myslitelné, aby administrátor prováděl změny na řídícím serveru, které by nebyly šifrované nebo alespoň elektronicky podepsané, a navíc bez nutnosti autentizace. Taktéž z hlediska bezpečnosti není možné používat metodu sdíleného adresáře, pokud se opravdu nejedná o uzavřený metalický okruh.

Proto se zde jako zcela zásadní vlastnosti předpokládají:

Využití elektronického podpisu - každý příkaz, úkol, distribuovaná oprava nebo změna nastavení, které musí být na koncovou stanici přes nedůvěryhodnou síť dopraveno, musí být nezměněno a v pořádku, aby nemohlo dojít například k úmyslnému vypnutí antivirové ochrany nebo poškození programu, čímž se útočníkovi otvírají "vrátka" do jinak chráněného počítače.

Využití definice administrátorských práv - ve velkých sítích není možné, aby všichni správci měli k spravované struktuře plný přístup. Je vhodné, aby zde byla skupina, která bude moci pouze číst nastavení a alerty, druhá bude mít plná práva a například ještě skupina auditorů, kteří budou pouze vyhodnocovat systém alertů a dále je zpracovávat například do databázové podoby.

Systém alertingu a reportingu - musí být podstatně rozsáhlejší a opět musí podporovat technologie všeobecně používané v internetu. Jsou jimi například SQL, XML, SMTP, SNMP a jiné další. Tyto technologie, popřípadě protokoly, umožní správci získávat ucelený přehled o tom, co se v celé síti děje. Větší společnosti mají například svůj helpdesk, který vyhodnocuje požadavky a problémy uživatelů. Standardizovaný systém alertů může přinést rychlejší reakci právě helpdesk systému.

Distribuce datových souborů - znovu se budu opakovat, pokud na tento bod vložím důraz. Zde ale platí možná výjimka. Výše bylo uvedeno, že centrální správa bez centrální distribuce datových souborů není dobrá centrální správa. Ale ve velkých sítích je někdy potřeba, aby centrální správa (tj. distribuce alertů, oprav, nastavení a statistik) byla čistě z důvodu zátěže nebo z důvodů zvýšení dostupnosti oddělena od distribuce datových souborů. To se týká ale opravdu až velmi rozsáhlých sítí.

Systém politik - donedávna vcelku neznámý pojem začíná být nutností. Politika je,jak známo, množinou pravidel (nastavení), která musí někdo (něco) dodržovat. V opačném případě budou provedeny příslušná protiopatření. Tento sytém umožňuje vytvářet skupiny počítačů (například podle nějakých pravidel) se stejným nastavením. Tato nastavení a pravidla jsou na koncovém stroji v dané skupině vynucována a pokud dojde k jejich porušení, tak jsou opět nastavena a administrátorovi je zasláno hlášení o tom, že politika byla porušena.

Obvykle se systém uplatňuje společně s dědičností. Podobně jako například v Active Directory existují skupiny objektů, pro které se vlastnosti dědí z nadřízeného bodu, naprosto stejně to funguje i u centrální správy antivirových programů.

Díky systému politik, seskupování počítačů se stejnými vlastnostmi a dědění politik a nastavení na podřízené uzly získá administrátor systému silnou úsporu času a hlavně přináší přehled v celé struktuře.

Pokusil jsem se v tomto krátkém článku alespoň zčásti vytvořit přehled všech často diskutovaných vlastností. Se systémem centrální správy bývá všeobecný problém nejenom v antivirových programech, ale i v jiných oblastech IT.

Naštěstí právě v antivirových programech je centrální správa hojně využívána. Pomáhá nám tím velice rychle reagovat na nové viry, které se v internetu šíří často i za několik hodin. Bez centrální správy bychom dnes měli své počítače dennodenně zahlcené viry a v této problematice platí více než kde jinde, že co platilo včera, dnes již nemusí. A zde zcela jistě platí, že význam centrální správy poroste stále rychleji.

Proto, máte-li ve svém portfoliu produktů centrální správu antivirových programů a nevyužíváte-li ji, měli byste se alespoň zamyslet nad tím, zda by opravdu nebylo účelné ji nasadit.

Ti, kdo teprve o koupi antivirového programu pro svoji firmu uvažují, by neměli otázku centrální správy podceňovat a kvalita i možnosti nabízené centrální správy by měly hrát hlavní roli při konečném výběru produktu.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.