Академический Документы
Профессиональный Документы
Культура Документы
MultiScanner
Версия 0.11
Руководство по внедрению
© АО "Позитив Текнолоджиз", 2019.
Positive Technologies, Positive Hack Days, PTSECURITY, MaxPatrol, XSpider, SurfPatrol, N-Scope,
Positive Technologies Application Firewall, Positive Technologies Application Inspector, Positive
Technologies MultiScanner, Positive Technologies Reporting Portal являются
зарегистрированными товарными знаками либо товарными знаками
"Позитив Текнолоджиз".
Содержание
1. Об этом документе ........................................................................................................................................................................ 6
1.1. Условные обозначения................................................................................................................................................... 6
1.2. Другие источники информации о PT MS ...................................................................................................................... 7
2. О PT MS............................................................................................................................................................................................ 8
3. Аппаратные и программные требования ................................................................................................................................... 9
4. Архитектура PT MS....................................................................................................................................................................... 10
5. Типовые схемы развертывания PT MS..................................................................................................................................... 14
5.1. Схема развертывания Standalone Edition ................................................................................................................... 14
5.2. Схема развертывания Mail Edition .............................................................................................................................. 15
5.3. Схема развертывания Storage Edition......................................................................................................................... 16
5.3.1. Контроль файловых хранилищ в режиме inbox ..................................................................................... 17
5.3.2. Контроль файловых хранилищ в режиме слежения ............................................................................. 18
5.4. Схема развертывания Portal Edition............................................................................................................................ 18
5.5. Схема развертывания Proxy Edition ............................................................................................................................ 20
5.6. Схема развертывания Traffic Edition........................................................................................................................... 21
6. Развертывание PT MS ................................................................................................................................................................. 22
6.1. Ручная установка и настройка антивирусов ............................................................................................................. 22
6.1.1. Установка и настройка Avast Core Security............................................................................................. 23
6.1.2. Установка и настройка Bitdefender GravityZone ..................................................................................... 24
6.1.2.1. Настройка установочного пакета Bitdefender GravityZone ............................................. 24
6.1.2.2. Локальная установка Bitdefender GravityZone .................................................................. 27
6.1.2.3. Удаленная установка Bitdefender GravityZone .................................................................. 29
6.1.2.4. Настройка обновлений Bitdefender GravityZone ............................................................... 33
6.1.2.5. Настройка прокси-соединения Bitdefender GravityZone .................................................. 33
6.1.3. Установка и настройка Comodo Antivirus for Linux ................................................................................ 34
6.1.4. Установка и настройка F-Secure Linux Security....................................................................................... 35
6.1.4.1. Установка дополнительных пакетов для F-Secure Linux Security.................................. 35
6.1.4.2. Загрузка и распаковка архива с установщиком F-Secure Linux Security....................... 35
6.1.4.3. Установка F-Secure Linux Security....................................................................................... 36
6.1.4.4. Настройка F-Secure Linux Security....................................................................................... 37
6.1.5. Установка и настройка Sophos Anti-Virus for Linux ................................................................................ 38
6.1.5.1. Загрузка и распаковка архива с установщиком Sophos Anti-Virus for Linux ................ 38
6.1.5.2. Установка Sophos Anti-Virus for Linux ................................................................................ 39
6.1.5.3. Настройка Sophos Anti-Virus for Linux ................................................................................ 40
6.1.5.4. Установка динамического интерфейса ............................................................................ 40
6.1.5.5. Настройка динамического интерфейса ............................................................................ 41
6.1.6. Установка и настройка Symantec Protection Engine for Network Attached Storage............................. 47
6.1.6.1. Создание архива с Symantec Protection Engine for Network Attached Storage .............. 48
6.1.6.2. Установка Symantec Protection Engine for Network Attached Storage в ОС Ubuntu ....... 49
6.1.6.3. Смена ICAP-порта Symantec Protection Engine for Network Attached Storage................ 50
6.2. Установка SaltStack....................................................................................................................................................... 51
6.2.1. Проверка имен узлов, предназначенных для установки PT MS.......................................................... 52
6.2.2. Установка Salt Master ................................................................................................................................ 53
6.2.3. Установка Salt Minion в ОС Linux .............................................................................................................. 53
6.2.4. Установка Salt Minion в ОС Windows........................................................................................................ 54
3
Содержание
4
Содержание
5
Об этом документе
1. Об этом документе
Руководство по внедрению содержит информацию для планирования и выполнения
развертывания Positive Technologies MultiScanner (далее также — PT MS) в инфраструктуре
организации. В руководстве вы найдете типовые схемы развертывания PT MS, а также
инструкции по установке и первоначальной настройке продукта.
Руководство адресовано руководителям и специалистам IT-подразделения организации,
которые планируют и выполняют развертывание PT MS.
Комплект документации PT MS включает в себя следующие документы:
• Этот документ.
• Руководство пользователя — содержит подробную информацию о сценариях работы
с продуктом, о настройке функций продукта для решения конкретных задач.
• Руководство администратора — содержит справочную информацию и инструкции по
настройке и администрированию продукта.
В этом разделе
• Условные обозначения (см. раздел 1.1)
• Другие источники информации о PT MS (см. раздел 1.2)
6
Об этом документе
7
О PT MS
2. О PT MS
Система многопоточной проверки файловых ресурсов Positive Technologies MultiScanner
(PT MS) — это программный комплекс, который позволяет проводить многопоточное
сканирование файлов набором антивирусных программ и получать отчеты о результатах
сканирования. С помощью PT MS пользователь может получить оценку опасности,
исходящей от файлов, получаемых извне информационной системы.
8
Аппаратные и программные требования
Параметр Значение
Минимальное Рекомендуемое
Ядер процессора 8 16
ОЗУ 12 ГБ 32 ГБ
Жесткий диск 40 ГБ 500 ГБ
9
Архитектура PT MS
4. Архитектура PT MS
Каждый компонент PT MS может быть установлен на отдельную виртуальную машину или
на виртуальную машину с любым другим компонентом без каких-либо ограничений.
Например, вся система может быть развернута на одной виртуальной машине.
Компоненты продукта (см. таблицу 3) могут быть следующих типов:
• Обязательные и необязательные. Обязательные компоненты должны быть
установлены в любом случае, необязательные вводятся в зависимости от варианта
установки.
• Единичные и множественные. Единичные компоненты могут существовать только в
одном экземпляре. Множественные компоненты могут быть установлены в любом
количестве для повышения производительности системы и достижения ее
отказоустойчивости за счет масштабирования.
Примечание. Стандартные номера портов транспортных протоколов могут быть
переопределены перед развертыванием.
10
Архитектура PT MS
11
Архитектура PT MS
12
Архитектура PT MS
Модуль Сканер
Веб- Почтовый
Веб-сервер ICAP-сервер захвата файловых
приложение сервер
трафика хранилищ
Хранилище Хранилище
Агент Служба
Основная БД промежуточных отсканированн
сообщений лицензирования
результатов ых файлов
Модуль Внешний
Антивирусный Служба
управления почтовый
агент уведомлений
заданиями сервер
Внешний
Агрегатор
сервер syslog
13
Типовые схемы развертывания PT MS
В этом разделе
• Схема развертывания Standalone Edition (см. раздел 5.1)
• Схема развертывания Mail Edition (см. раздел 5.2)
• Схема развертывания Storage Edition (см. раздел 5.3)
• Схема развертывания Portal Edition (см. раздел 5.4)
• Схема развертывания Proxy Edition (см. раздел 5.5)
• Схема развертывания Traffic Edition (см. раздел 5.6)
14
Типовые схемы развертывания PT MS
Интернет
Пользователь PT MS Сотрудники
отдела ИБ
Алгоритм работы:
1. Пользователь загружает файл из интернета, получает по электронной почте или
копирует с внешнего накопителя.
2. Пользователь отправляет этот файл на сканирование в PT MS через интерфейс или во
вложении письма на специальный адрес электронной почты.
3. PT MS сканирует файл и отображает результаты проверки в интерфейсе PT MS или
пересылает их в ответном сообщении электронной почты.
4. При настроенном ретроспективном анализе PT MS по заданному расписанию
перепроверяет файл после обновления антивирусных баз. Если прошлый результат
сканирования не подтвердится и файл будет признан опасным, PT MS уведомит об этом
сотрудников отдела ИБ.
15
Типовые схемы развертывания PT MS
Сотрудник
Интернет
Почтовый PT MS Сотрудники
сервер отдела ИБ
Алгоритм работы:
1. На ваш корпоративный почтовый сервер приходит письмо с вложением.
2. Почтовый сервер пересылает это письмо сотруднику вашей компании, а копию этого
письма направляет в PT MS.
3. PT MS сканирует вложение полученного письма. Если после проверки (или
запланированной перепроверки) файл из вложения письма оказывается зараженным,
PT MS отсылает письмо об угрозе сотрудникам службы ИБ.
Эта схема развертывания реализуется в дополнение к схеме развертывания Standalone
Edition (см. раздел 5.1).
См. также
• Настройка развертывания по схеме Mail Edition (см. раздел 6.5.6)
В этом разделе
• Контроль файловых хранилищ в режиме inbox (см. раздел 5.3.1)
• Контроль файловых хранилищ в режиме слежения (см. раздел 5.3.2)
16
Типовые схемы развертывания PT MS
Сотрудники Файловое
отдела ИБ хранилище
(карантин)
См. также
• Настройка сканера файловых хранилищ в режиме inbox (см. раздел 6.5.7.2)
17
Типовые схемы развертывания PT MS
Алгоритм работы:
1. Пользователь загружает файл в файловое хранилище.
2. PT MS проверяет файлы в хранилище по заданному расписанию. При каждой новой
проверке PT MS обрабатывает только те файлы, которые появились или были изменены
с момента предыдущей проверки.
3. Если после проверки (или запланированной перепроверки) файл оказывается
зараженным, PT MS отсылает письмо об обнаруженной угрозе сотрудникам службы ИБ.
См. также
• Настройка сканера файловых хранилищ в режиме слежения (см. раздел 6.5.7.3)
18
Типовые схемы развертывания PT MS
Веб-сервер
Интернет
PT AF ICAP
PT MS Сотрудники
отдела ИБ
См. также
• Настройка развертывания по схеме Portal Edition (см. раздел 6.5.8)
19
Типовые схемы развертывания PT MS
Сотрудники
Интернет
ICAP
IDS/IPS/Proxy PT MS Сотрудники
Network Forensics отдела ИБ
Алгоритм работы:
1. Пользователь, скачивая файл из внешних подсетей, инициирует процесс его загрузки
прокси-сервером.
2. После загрузки прокси-сервер перенаправляет файл для проверки в PT MS вместе с
дополнительной информацией о пользователе и источнике загрузки.
3. PT MS пересылает результаты сканирования на прокси-сервер.
4. Файл перенаправляется пользователю.
5. Если после проверки (или запланированной перепроверки) файл оказывается
зараженным, PT MS отсылает письмо об обнаруженной угрозе сотрудникам службы ИБ.
Эта схема развертывания реализуется в дополнение к схеме развертывания Standalone
Edition (см. раздел 5.1).
См. также
• Настройка развертывания по схеме Proxy Edition (см. раздел 6.5.9)
20
О PT MS
2. О PT MS
Система многопоточной проверки файловых ресурсов Positive Technologies MultiScanner
(PT MS) — это программный комплекс, который позволяет проводить многопоточное
сканирование файлов набором антивирусных программ и получать отчеты о результатах
сканирования. С помощью PT MS пользователь может получить оценку опасности,
исходящей от файлов, получаемых извне информационной системы.
8
Развертывание PT MS
6. Развертывание PT MS
В общем случае развертывание PT MS делится на следующие этапы:
1. Ручная установка и настройка антивирусного ПО.
2. Установка SaltStack.
3. Настройка репозиториев.
4. Распаковка архива с установщиком PT MS.
5. Настройка сценария развертывания PT MS.
6. Настройка лицензирования PT MS.
7. Процедура развертывания PT MS.
8. Установка модуля захвата трафика (только для схемы развертывания Traffic Edition).
9. Настройка ICAP-клиента (только для схемы развертывания Proxy Edition).
В этом разделе
• Ручная установка и настройка антивирусов (см. раздел 6.1)
• Установка SaltStack (см. раздел 6.2)
• Настройка репозиториев (см. раздел 6.3)
• Распаковка архива с установщиком PT MS (см. раздел 6.4)
• Настройка сценария развертывания PT MS (см. раздел 6.5)
• Настройка лицензирования PT MS (см. раздел 6.6)
• Процедура развертывания PT MS (см. раздел 6.7)
• Установка модуля захвата трафика в схеме развертывания Traffic Edition (см. раздел
6.8)
• Настройка ICAP-клиента в схеме развертывания Proxy Edition (см. раздел 6.9)
22
Развертывание PT MS
В этом разделе
• Установка и настройка Avast Core Security (см. раздел 6.1.1)
• Установка и настройка Bitdefender GravityZone (см. раздел 6.1.2)
• Установка и настройка Comodo Antivirus for Linux (см. раздел 6.1.3)
• Установка и настройка F-Secure Linux Security (см. раздел 6.1.4)
• Установка и настройка Sophos Anti-Virus for Linux (см. раздел 6.1.5)
• Установка и настройка Symantec Protection Engine for Network Attached Storage (см.
раздел 6.1.6)
Например:
sudo apt-key add /home/user/downloads/avast.gpg
Например:
sudo cp /home/user/downloads/license.avastlic /etc/avast
6. Запустите антивирус:
sudo /etc/init.d/avast start
Антивирус установлен.
23
Развертывание PT MS
В этом разделе
• Настройка установочного пакета Bitdefender GravityZone (см. раздел 6.1.2.1)
• Локальная установка Bitdefender GravityZone (см. раздел 6.1.2.2)
• Удаленная установка Bitdefender GravityZone (см. раздел 6.1.2.3)
• Настройка обновлений Bitdefender GravityZone (см. раздел 6.1.2.4)
• Настройка прокси-соединения Bitdefender GravityZone (см. раздел 6.1.2.5)
24
Развертывание PT MS
25
Развертывание PT MS
6. В блоке параметров Scan Mode выберите вариант Custom (см. рисунок ниже).
26
Развертывание PT MS
27
Развертывание PT MS
28
Развертывание PT MS
29
Развертывание PT MS
30
Развертывание PT MS
31
Развертывание PT MS
32
Развертывание PT MS
3. Перезапустите антивирус:
sudo /etc/init.d/bd restart
Например:
sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/Host 222.222.222.222:3333
Например:
sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/User IvanIvanov
33
Развертывание PT MS
Например:
sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/Password Uysu76_Al&
Например:
sudo /opt/BitDefender/bin/bdsafe registry setkey /BDUX/LiveDaemon/UpdateServers/Default/
ProxyOverride/UserDomain MoscowOffice
Прокси-соединение настроено.
34
Развертывание PT MS
В этом разделе
• Создание архива с Symantec Protection Engine for Network Attached Storage (см. раздел
6.1.6.1)
• Установка Symantec Protection Engine for Network Attached Storage в ОС Ubuntu (см.
раздел 6.1.6.2)
• Смена ICAP-порта Symantec Protection Engine for Network Attached Storage (см. раздел
6.1.6.3)
User=symantec
EnableFilteringAndDownloadDefinitions=false
UpdateServer=liveupdate.symantec.com
UpdateServerPort=80
UpdateServerPath=
UpdateServerProxyName=
UpdateServerProxyPort=0
EnableJavaUI=false
EnableInsight=false
#InsightAggressionLevel=1
#Deployment=3
#ApplicationName='Custom'
#AdminPort=8004
#AdminPassword=96525144D1EE4CBBE73501913E0824F7794A1E31A529A83F52FC400E474DF74B7E37CE01A3D
69ECCE5BA92AA05C0D82F6B71EE121C795B0BCBDA9BB50752313C2575534B19CDA14F4DFB9F276ECAE700
#SSLPort=8005
#JavaCmd=
48
Развертывание PT MS
Например:
sudo tar zxvf fsls-11.00.79-rtm.tar.gz
Например:
sudo chmod a+x fsls-11.10.68
Например:
sudo ./fsls-11.00.79 --command-line-only
To install the licensed version of the product, please enter the keycode you have received
with your purchase or press enter to install the fully functional 30-day evaluation
version.
36
Развертывание PT MS
odsScanExecutables 1
odsFileEnableExcludedPaths 0
odsFileScanInsideArchives 1
odsFileMaximumNestedArchives 16
odsFileScanInsideMIME 0
odsFileIgnorePasswordProtected 0
odsStopOnFirst 0
odsFilePrimaryActionOnInfection 1
odsFileSecondaryActionOnInfection 1
odsFilePrimaryActionOnSuspected 1
odsFileSecondaryActionOnSuspected 1
odsScanRiskware 1
odsFilePrimaryActionOnRiskware 1
odsFileSecondaryActionOnRiskware 1
odsFileScanTimeout 300
odsFileScanTimeoutAction 2
odsAskQuestions 1
odsInput 1
odsList 1
odsRaw 1
odsStandalone 2
odsFollowSymlinks 0
odsSilent 0
37
Развертывание PT MS
odsShort 0
odsFileIgnoreMimeDecodeErrors 1
odsFileIgnorePartialMime 1
odsFileIgnoreInvalidMimeHeaders 1
odsFileSkipLarge 1
odsUseFSE 1
odsUseAquarius 1
daemonMaxScanProcesses 16
daemonSocketMode 0600
Антивирус настроен.
В этом разделе
• Загрузка и распаковка архива с установщиком Sophos Anti-Virus for Linux (см. раздел
6.1.5.1)
• Установка Sophos Anti-Virus for Linux (см. раздел 6.1.5.2)
• Настройка Sophos Anti-Virus for Linux (см. раздел 6.1.5.3)
• Установка динамического интерфейса (см. раздел 6.1.5.4)
• Настройка динамического интерфейса (см. раздел 6.1.5.5)
38
Развертывание PT MS
39
Развертывание PT MS
2. Выполните команды:
/opt/sophos-av/bin/savconfig set ScanArchives enabled
Антивирус настроен.
ln -s /opt/sophos-av/lib64/libssp.so.0 /usr/local/lib/libssp.so.0
40
Развертывание PT MS
user: root
threadcount: 30
maxqueuedsessions: 2
virusdatadir: /opt/sophos-av/lib/sav
idedir: /var/sav/vdbs
onexception: REQUEST
onrequest: REQUEST
log {
type: FILE
logdir: /var/log/savdi/
loglevel: 0
channel {
logrequests: NO
commprotocol {
type: IP
address: 127.0.0.1
port: 1344
subnet: 127.0.0.1/24
requesttimeout: 900
sendtimeout: 2
41
Развертывание PT MS
65
Развертывание PT MS
#savists: DynamicDecompression 1
#savists: Upx 1
#savists: ExecFileDisinfection 1
#savists: Ole2FileDisinfection 1
#savists: Elf 1
#savists: MachO 1
#savists: SfxArchives 0
#savists: ZipDecompression 0
#savists: ZipUseChd 1
#savists: ArjDecompression 0
#savists: RarDecompression 0
#savists: UueDecompression 0
#savists: GZipDecompression 0
#savists: CmzDecompression 0
#savists: MSCabinet 0
#savists: ISCabinet 0
#savists: ISCabinetFull 1
#savists: ITSS 0
#savists: TarDecompression 0
#savists: TnefAttachmentHandling 0
#savists: TnefEmbedHandling 0
#savists: Lha 0
#savists: MSCompress 0
#savists: ActiveMimeHandling 1
#savists: Pdf 1
#savists: HqxDecompression 0
#savists: MbinDecompression 0
#savists: AppleSingle 0
#savists: Bzip2 0
#savists: Stuffit 0
#savists: LoopBackEnabled 0
#savists: OpenMacRf 1
43
Развертывание PT MS
#savists: PalmPilotHandling 1
#savists: Rtf 1
#savists: Html 1
#savists: OLE2Handling 1
#savists: WordB 1
#savists: VBA3Handling 1
#savists: VBA5Handling 1
#savists: DecompressVBA5 1
#savists: Vba5p 0
#savists: ExcelFormulaHandling 1
#savists: ProjectHandling 1
#savists: ScrapObjectHandling 1
#savists: VisioFileHandling 1
#savists: OleDataMsoHandling 1
#savists: OleScriptHandling 1
#savists: OleRawHandling 1
#savists: SrpStreamHandling 1
#savists: Office2001Handling 1
#savists: Vba5Dir 0
#savists: PowerPointMacroHandling 1
#savists: PowerPointEmbeddedHandling 1
#savists: IgnoreTemplateBit 1
#savists: OF95DecryptHandling 1
#savists: DelVBA5Project 1
#savists: HelpHandling 1
#savists: Skip 1
#savists: Mime 0
#savists: Base64 0
#savists: Vbe 1
#savists: OutlookExpress 0
#savists: VbFiltering 0
#savists: UTF16 1
44
Развертывание PT MS
#savists: Java 1
#savists: Access 1
#savists: CleanJpeg 1
#savists: CleanBmp 1
#savists: CleanGif 1
#savists: CleanRiff 1
#savists: CleanTiff 1
#savists: CleanPng 1
#savists: Xml 0
#savists: FullMacroSweep 0
#savists: FullPdf 0
#savists: FullSweep 0
#savists: StorageReport 0
#savists: StorageReportAll 0
#savists: StorageDetOnly 0
#savists: DeleteAllMacros 0
#savists: UnixArchive 0
#savists: Rpm 0
#saviint: MaxRecursionDepth 16
#savists: NamespaceSupport 0
}
}
4. Создайте каталоги:
sudo mkdir /var/sav
45
Развертывание PT MS
# Provides: savdid
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
DAEMON="/usr/local/bin/savdid"
PIDFILE="/var/run/savdid.pid"
test -x "$DAEMON" || exit 0
. /lib/lsb/init-functions
case "$1" in
start)
log_daemon_msg "Starting savdid"
/sbin/start-stop-daemon --start --pidfile "$PIDFILE" --exec "$DAEMON" -- -d -
f "$PIDFILE"
log_end_msg $?
;;
stop)
log_daemon_msg "Stopping savdid"
killproc -p "$PIDFILE" "$DAEMON"
log_end_msg $?
;;
force-reload|restart)
$0 stop
$0 start
;;
status)
;;
*)
46
Развертывание PT MS
echo "Usage: $0 {start|stop|restart|force-reload|status}"
exit 1
;;
esac
exit 0
47
Развертывание PT MS
В этом разделе
• Создание архива с Symantec Protection Engine for Network Attached Storage (см. раздел
6.1.6.1)
• Установка Symantec Protection Engine for Network Attached Storage в ОС Ubuntu (см.
раздел 6.1.6.2)
• Смена ICAP-порта Symantec Protection Engine for Network Attached Storage (см. раздел
6.1.6.3)
User=symantec
EnableFilteringAndDownloadDefinitions=false
UpdateServer=liveupdate.symantec.com
UpdateServerPort=80
UpdateServerPath=
UpdateServerProxyName=
UpdateServerProxyPort=0
EnableJavaUI=false
EnableInsight=false
#InsightAggressionLevel=1
#Deployment=3
#ApplicationName='Custom'
#AdminPort=8004
#AdminPassword=96525144D1EE4CBBE73501913E0824F7794A1E31A529A83F52FC400E474DF74B7E37CE01A3D
69ECCE5BA92AA05C0D82F6B71EE121C795B0BCBDA9BB50752313C2575534B19CDA14F4DFB9F276ECAE700
#SSLPort=8005
#JavaCmd=
48
Развертывание PT MS
2. Обновите пакеты:
sudo salt -v -G 'kernel:Linux' pkg.upgrade
PT MS развернут.
Примечание. Если был установлен F-Secure Linux Security, после развертывания PT MS
вам нужно запустить этот антивирус командой sudo service ms-fsavd restart.
В этом разделе
• Установка модуля захвата трафика (см. раздел 6.8.1)
• Настройка модуля захвата трафика (см. раздел 6.8.2)
• Настройка правил извлечения файлов (см. раздел 6.8.3)
• Запуск модуля захвата трафика (см. раздел 6.8.4)
78
Развертывание PT MS
<protocol>
...
<ICAP>
...
<Port value="7943"/>
50
Развертывание PT MS
<ProtocolSettings>
<Protocol value="ICAP"/>
<EnableServerTooBusyResponse value="true"/>
<ICAP>
<ICAPPreviewAll value="true"/>
<ICAPResponse value="true"/>
<Port value="7943"/>
51
Развертывание PT MS
3. Установочный сценарий при помощи Salt Master отправляет команды экземплярам Salt
Minion на удаленных серверах или виртуальных машинах для установки и настройки
компонентов.
4. После установки PT MS администраторы могут задействовать SaltStack для сбора
журнальных файлов и выполнения прочих рутинных задач по удаленному
обслуживанию системы. Более подробная информация и инструкции по работе с
SaltStack доступны на официальном сайте разработчика SaltStack (docs.saltstack.com/
en/2015.8).
В этом разделе
• Проверка имен узлов, предназначенных для установки PT MS (см. раздел 6.2.1)
• Установка Salt Master (см. раздел 6.2.2)
• Установка Salt Minion в ОС Linux (см. раздел 6.2.3)
• Установка Salt Minion в ОС Windows (см. раздел 6.2.4)
• Подключение экземпляров Salt Minion к Salt Master (см. раздел 6.2.5)
52
Развертывание PT MS
53
Развертывание PT MS
7. В этой же строке слово salt замените на IP-адрес сервера Salt Master. Например:
master: 10.120.4.37
См. также
• Активация программного лицензионного ключа (см. раздел 6.6.2.1)
В случае успешного подключения каждый экземпляр Salt Minion должен ответить True.
54
Развертывание PT MS
Например:
sudo tar -x -f /home/user/Downloads/multiscanner.0.9.0.180.tar.gz --directory=/srv --
recursive-unlink
55
Развертывание PT MS
В этом разделе
• Правила изменения файла config.yaml (см. раздел 6.5.1)
• Настройка синхронизации времени (см. раздел 6.5.2)
• Настройка DNS-сервера (см. раздел 6.5.3)
• Настройка установки обязательных компонентов (см. раздел 6.5.4)
• Настройка уровня чувствительности сканирования (см. раздел 6.5.5)
• Настройка развертывания по схеме Mail Edition (см. раздел 6.5.6)
• Настройка развертывания по схеме Storage Edition (см. раздел 6.5.7)
• Настройка развертывания по схеме Portal Edition (см. раздел 6.5.8)
• Настройка развертывания по схеме Proxy Edition (см. раздел 6.5.9)
• Настройка развертывания по схеме Traffic Edition (см. раздел 6.5.10)
56
Развертывание PT MS
57
Развертывание PT MS
Этот параметр определяет список с кодовыми именами антивирусов (см. приложение А),
которыми нужно сканировать файлы, поступающие на точку входа. Если параметр engines
отсутствует или его значение пусто, то будут использованы все включенные антивирусы.
Если антивирус один, значение параметра все равно должно быть оформлено в виде
списка (с новой строки и через дефис). Например:
entrypoints:
...
suricata:
server1:
...
engines:
- clam_av
58
Развертывание PT MS
59
Развертывание PT MS
В этом разделе
• Настройка установки агента сообщений (см. раздел 6.5.4.1)
• Настройка установки хранилища промежуточных результатов (см. раздел 6.5.4.2)
• Настройка установки хранилища отсканированных файлов (см. раздел 6.5.4.3)
• Настройка установки службы лицензирования (см. раздел 6.5.4.4)
• Настройка установки агрегатора (см. раздел 6.5.4.5)
• Настройка установки веб-серверов (см. раздел 6.5.4.6)
• Настройка установки веб-приложений (см. раздел 6.5.4.7)
• Настройка установки модулей управления заданиями (см. раздел 6.5.4.8)
• Настройка установки служб уведомлений (см. раздел 6.5.4.9)
• Настройка установки основной базы данных (см. раздел 6.5.4.10)
• Настройка установки антивирусного агента (см. раздел 6.5.4.11)
60
Развертывание PT MS
61
Развертывание PT MS
См. также
• Настройка лицензирования PT MS (см. раздел 6.6)
62
Развертывание PT MS
63
Развертывание PT MS
64
Развертывание PT MS
65
Развертывание PT MS
См. также
• Список поддерживаемых антивирусов (см. приложение А)
66
Развертывание PT MS
См. также
• Схема развертывания Mail Edition (см. раздел 5.2)
67
Развертывание PT MS
В этом разделе
• Настройка установки сканера файловых хранилищ (см. раздел 6.5.7.1)
• Настройка сканера файловых хранилищ в режиме inbox (см. раздел 6.5.7.2)
• Настройка сканера файловых хранилищ в режиме слежения (см. раздел 6.5.7.3)
• Регулирование нагрузки при сканировании файловых хранилищ (см. раздел 6.5.7.4)
См. также
• Схема развертывания Storage Edition (см. раздел 5.3)
68
Развертывание PT MS
69
Развертывание PT MS
Если параметр отсутствует, имеет пустое значение или равен нулю, файл будет
отправлен в каталог outbox_folder или удален, если таковой каталог не задан.
Значение по умолчанию — 1.
10. В параметре suspicious укажите количество результатов сканирования
"подозрительный", достаточное для отправки файла в карантин или удаления (в
зависимости от значения параметра quarantine_folder).
Если параметр отсутствует, имеет пустое значение или равен нулю, файл будет
отправлен в каталог outbox_folder или удален, если таковой каталог не задан.
Значение по умолчанию — 1.
11. В параметре error_count укажите количество сообщений об ошибке от антивирусов,
достаточное для перемещения файла в каталог unscan_folder или удаления (в
зависимости от значения параметра unscan_folder).
При первой попытке сканирования, в случае возникновения ошибок, не связанных с
самим файлом (например, из-за недоступности антивируса или его агента, истечения
тайм-аута и пр.), этот файл отправляется на сканирование при следующей попытке
сканирования по истечении retry_interval (см. раздел 6.5.7.1). Если значение 0, ошибки
не принимаются во внимание и файлы не перемещаются в каталог unscan_folder.
Значение по умолчанию — 1.
12. Сохраните изменения в файле config.yaml.
Сканер файловых хранилищ настроен в режиме inbox.
См. также
• Контроль файловых хранилищ в режиме inbox (см. раздел 5.3.1)
70
Развертывание PT MS
Если параметр отсутствует или имеет пустое или нулевое значение, хеш-сумма не
пересчитывается.
5. Сохраните изменения в файле config.yaml.
Сканер файловых хранилищ настроен в режиме слежения.
См. также
• Контроль файловых хранилищ в режиме слежения (см. раздел 5.3.2)
range: 9-17
days:
- 0
- 1
- 2
- 3
- 4
71
Развертывание PT MS
72
Развертывание PT MS
См. также
• Схема развертывания Portal Edition (см. раздел 5.4)
73
Развертывание PT MS
3. В параметре engines задайте список антивирусов (см. раздел 6.5.1), при помощи
которых должно производиться сканирование файлов, поступающих в продукт через
устанавливаемый ICAP-сервер.
4. В параметре max_requests_size укажите максимальный размер HTTP-запроса в
байтах. Значение по умолчанию — 52428800.
5. В параметре include_file_pattern укажите шаблон разрешенных MIME-типов в
виде регулярного регистронезависимого выражения POSIX.
Если MIME-тип принятого по ICAP файла разрешен, PT MS отправляет его на
сканирование.
Например:
^application/.*.
6. В параметре exclude_file_pattern укажите шаблон запрещенных MIME-типов в
виде регулярного регистронезависимого выражения POSIX.
Если MIME-тип принятого по ICAP файла запрещен, PT MS не отправляет его на
сканирование.
Например:
/jpeg$|/gif$|/png$
См. также
• Настройка ICAP-клиента в схеме развертывания Proxy Edition (см. раздел 6.9)
• Схема развертывания Proxy Edition (см. раздел 5.5)
74
Развертывание PT MS
См. также
• Схема развертывания Traffic Edition (см. раздел 5.6)
• Установка модуля захвата трафика в схеме развертывания Traffic Edition (см. раздел
6.8)
В этом разделе
• Настройка лицензирования PT MS с использованием аппаратного ключа (см. раздел
6.6.1)
• Настройка лицензирования PT MS с использованием программного ключа (см. раздел
6.6.2)
См. также
• Аппаратные и программные требования (см. раздел 3)
75
Развертывание PT MS
В этом разделе
• Активация программного лицензионного ключа (см. раздел 6.6.2.1)
• Установка службы лицензирования в ОС Windows (см. раздел 6.6.2.2)
76
Развертывание PT MS
2. Если в списке лицензий отсутствует лицензия PT MS, нажмите кнопку Указать файл
лицензий, в открывшемся окне выберите файл шаблона (*.grdvd), нажмите кнопку
Открыть и затем кнопку Далее.
Примечание. Флажок Режим offline должен быть снят.
3. Введите уникальный серийный номер ключа и нажмите кнопку Далее (см. рисунок
ниже).
77
Развертывание PT MS
2. Обновите пакеты:
sudo salt -v -G 'kernel:Linux' pkg.upgrade
PT MS развернут.
Примечание. Если был установлен F-Secure Linux Security, после развертывания PT MS
вам нужно запустить этот антивирус командой sudo service ms-fsavd restart.
В этом разделе
• Установка модуля захвата трафика (см. раздел 6.8.1)
• Настройка модуля захвата трафика (см. раздел 6.8.2)
• Настройка правил извлечения файлов (см. раздел 6.8.3)
• Запуск модуля захвата трафика (см. раздел 6.8.4)
78
Развертывание PT MS
См. также
• Настройка развертывания по схеме Traffic Edition (см. раздел 6.5.10)
• Схема развертывания Traffic Edition (см. раздел 5.6)
• Аппаратные и программные требования (см. раздел 3)
79
Развертывание PT MS
capture_if: eth2
Вместо <Протокол> можно указать http, smtp, imap, pop3, ftp-data и tftp. Вместо
указания конкретных IP-адресов или портов можно использовать слово any (любой
IP-адрес или порт).
Например:
alert http any any -> any any (msg:"FILE store all"; filestore; sid:1; rev:1;)
80
Развертывание PT MS
Например:
alert http any any -> any any (msg:"FILE pdf detected"; filemagic:"PDF document";
filestore; sid:2; rev:1;)
81
Развертывание PT MS
Вместо <URI> в обеих строках укажите URI в определенном формате (см. приложение
Б).
82
Развертывание PT MS
Например:
icap_service ptms_req reqmod_precache icap://127.0.0.1:1344/reqrespmod?
timeout=60&dangerous=3&suspicious=2&pass_on_error=y
Например:
adaptation_access ptms_req allow all
icap_client_username_header X-Client-Username
См. также
• Формат URI для сообщений ICAP-клиента (см. приложение Б)
• Схема развертывания Proxy Edition (см. раздел 5.5)
83
Обновление продукта
7. Обновление продукта
► Чтобы обновить PT MS:
1. Создайте резервную копию файла /srv/pillar/multiscanner/config.yaml. Это
можно сделать, например, при помощи следующей команды:
sudo cp -b /srv/pillar/multiscanner/config.yaml /home/username/backup
84
Диагностика и устранение неисправностей
В этом разделе
• Устранение возможных проблем в работе антивирусов (см. раздел 8.1)
• Сбор файлов журналов для отправки в техническую поддержку (см. раздел 8.2)
В этом разделе
• Устранение возможных проблем ESET Gateway Security (см. раздел 8.1.1)
• Устранение возможных проблем Kaspersky Anti-Virus SDK (см. раздел 8.1.2)
Решение
Удалите группу esets при помощи команды sudo groupdel esets.
85
Диагностика и устранение неисправностей
Решение
► Чтобы решить проблему:
1. В любом редакторе простых текстовых файлов откройте файл /etc/sysctl.conf.
Например:
sudo nano /etc/sysctl.conf
5. Перезапустите антивирус:
sudo /etc/init.d/kav4proxy restart
Например:
sudo salt 'multiscanner-web' archive.tar cvzf /tmp/ms_log.tgz /opt/multiscanner/log
86
Обращение в службу технической поддержки
В этом разделе
• Техническая поддержка на портале (см. раздел 9.1)
• Техническая поддержка по телефону (см. раздел 9.2)
• Время работы технической поддержки (см. раздел 9.3)
• Как служба технической поддержки работает с заявками (см. раздел 9.4)
87
Обращение в службу технической поддержки
В этом разделе
• Предоставление информации для технической поддержки (см. раздел 9.4.1)
• Типы инцидентов (см. раздел 9.4.2)
• Время реакции на обращение и приоритизация инцидентов (см. раздел 9.4.3)
• Выполнение работ по заявке (см. раздел 9.4.4)
88
Обращение в службу технической поддержки
89
Обращение в службу технической поддержки
Обновление продукта
"Позитив Текнолоджиз" поставляет пакеты обновления продукта в течение срока действия
лицензии на продукт.
"Позитив Текнолоджиз" не несет ответственности за инциденты, возникшие при нарушении
регламентированного процесса обновления.
90
Обращение в службу технической поддержки
91
Обращение в службу технической поддержки
92
Приложение А. Список поддерживаемых
антивирусов
1
Вместе с антивирусом должен быть установлен Sophos Anti-Virus Dynamic Interface (SAVDI) версии 2.3.
93
Приложение Б. Формат URI для сообщений ICAP-
клиента
Например:
icap://198.51.100.32:1344/reqrespmod
В таблице ниже приводится список параметров, которые могут присутствовать в URI. При
отсутствии параметра используется его значение по умолчанию.
94
Приложение Б. Формат URI для сообщений ICAP-
клиента
URI вида
icap://<IP-адрес узла с ICAP-сервером>:<порт ICAP>/reqrespmod?
pass_on_error=y&scan_only=y
См. также
• Настройка ICAP-клиента в схеме развертывания Proxy Edition (см. раздел 6.9)
95
О компании
pt@ptsecurity.com ptsecurity.com