|
|  |
 |
|
E-Security Magazine nr 3/2005
07/04/2005 01:25:29 PM (Poniedziałek) WWW
Test Systemu SMI! (Secure Mail Intelligence)
Przemysław Matyja
Wprowadzenie
W poprzednim numerze mieliśmy okazję przedstawić Państwu niewątpliwe zalety korzystania z dwusilnikowego rozwiązania antywirusowego na przykładzie produktu firmy G DATA software. Teraz ponownie zajmiemy się testami produktu opartego na więcej niż jednym silniku antywirusowym. Będzie to jednak produkt zupełnie inny niż AntiVirenKit Professional, bo przeznaczony tylko i wyłącznie do ochrony serwerów pocztowych i wyposażony nawet w 10 silników antywirusowych! Dlaczego jednak użycie kilku silników antywirusowych jest skuteczniejsze od użycie tylko jednego silnika? Przecież na mocy porozumienia między firmami antywirusowymi każdy kto opracuje nową sygnaturę wirusa obliguje się do przekazania jej pozostałym firmom, a z tego wynika, że niezależnie od rodzaju stosowanego silnika liczba wykrytych zainfekowanych plików powinna być jednakowa. Dlaczego więc tak nie jest? Składają się na to dwa główne czynniki. Po pierwsze: co prawda firmy antywirusowe dzielą się z innymi nowo opracowanymi sygnaturami, jednak robią to z jak największym opóźnieniem dochodzącym nawet do kilkunastu godzin. Nie ma się co temu dziwić, przecież każda firma chce wypaść jak w najlepszym świetle w oczach swojego klienta. Po drugie: Każda z firm implementuje w swoich produktach własne rozwiązania wykrywające nieznane jeszcze wirusy. Chodzi tu o różnego rodzaju metody heurystyczne oraz proaktywne. Przyjrzyjmy się więc bliżej produktowi polskiej firmy M2 NET o nazwie SMI! (Secure Mail Intelligence).
Wymagania minimalne:
- MS Windows NT, MS Windows 2000 Professional lub Server, MS Windows XP Professional lub Server, MS Windows 2003 Professional lub Server lub wyższe w architekturze NT,
- Linux RedHat 8.0 lub wyższy.
Pamięć operacyjna:
- Minimalnie 128 Mb pamięci RAM, zalecane 256 Mb pamięci RAM.
Przestrzeń dyskowa:
- 128 Mb wolnej przestrzeni na program, oraz 512 Mb wolnej przestrzeni na pliki tymczasowe.
Instalacja i konfiguracja programu
Instalacja programu nie jest trudna, ale należy pamiętać, że program będzie działał poprawnie po instalacji tylko wtedy, kiedy mamy prawidłowo skonfigurowany serwer pocztowy. Jeżeli występują jakieś błędy w konfiguracji serwera, to niestety program instalacyjny nie powiadomi użytkownika o potencjalnych problemach i SMI! zainstaluje się jakby nigdy nic – z tą różnicą, że nie będzie w żaden sposób chronił serwera pocztowego. W dokumentacji jednak zawarty jest dość jasny opis potencjalnych problemów i ich rozwiązań. Podczas instalacji do wyboru są trzy oddzielne moduły:
- Serwer Administracyjny – potrzebny do nawiązania połączenia z Internetem przez przeglądarkę internetową,
- Ochrona poczty wejściowej,
- Ochrona poczty wyjściowej.
Po zakończonej instalacji uruchamia się automatyczny konfigurator, za pomocą którego użytkownik może zdefiniować podstawowe parametry, aby SMI zaczął poprawnie działać.
Wszystkie wprowadzone w tym momencie dane można bez problemu zmodyfikować w dowolnym czasie. Ciekawostką jest to że na jednym komputerze można zainstalować do 16 oddzielnych instancji tego samego modułu np. zainstalować 5 instancji modułu sprawdzającego pocztę przychodzącą i każdą z tych instancji oddzielnie skonfigurować. Po skończonej instalacji i wstępnej konfiguracji należy zabrać się do konfiguracji całego programu. A opcji w SMI nie brakuje. Niestety dostęp do konfiguracji istnieje tylko przez HTTP, ale szczerze mówiąc nie odczuliśmy z tego powodu większego dyskomfortu. Opcje są zrozumiałe i posiadają dość dokładny opis, co w dużym stopniu skraca czas konfiguracji programu, gdyż użytkownik nie musi co chwile zaglądać do dokumentacji produktu. Jeżeli komuś natomiast nie wystarczają standardowe opcje może bez przeszkód wyedytować i ręcznie zmienić dowolny plik konfiguracyjny. Uwaga! Taka możliwość jest przeznaczona tylko dla zaawansowanych użytkowników.
Wprowadzone zmiany zapamiętywane są dość szybko. Cały interfejs konfiguracyjny standardowo uruchamia się w języku angielskim. Nie należy jednak z tego powodu wpadać w panikę, gdyż w zakładce SMI!Admin w ustawieniach podstawowych można ustawić wersję językową na polską. Wszystkich możliwości konfiguracyjnych nie sposób jest opisać w tym artykule, gdyż SMI! to nie tylko system antywirusowy. Jest to naprawdę zaawansowany system ochrony serwerów pocztowych. W jego skład wchodzą lub mogą wchodzić moduły:
- zapora ogniowa,
- moduł kontroli integralności poczty,
- trzy moduły antyspamowe (posiadające również filtry Bayes’a),
- moduł archiwizacji poczty,
- moduł statystyczno-analityczny,
- moduł analizy binarnej obrazów,
- moduł dodawania zastrzeżeń prawnych,
- moduł kontroli jakości,
- moduł kolejkowania poczty i routingu
Przyjrzyjmy się więc niektórym z tych modułów.
Moduł zapory ogniowej
Jest to niewątpliwie najbardziej rozbudowany moduł w tym programie. Jest on przede wszystkim odpowiedzialny za:
- blokowanie ataków na port oraz zabezpieczanie przed przeciążeniem portu,
- blokowanie mail-bombingu,
- kontrolowanie, czy poczta jest wysyłana z istniejącej domeny (DNS),
- zabezpieczanie przed atakami pofragmentowanych pakietów,
- nie dopuszczanie do otwierania zbyt wielu wątków, nawiązywania zbyt wielu jednoczesnych połączeń,
- kontrolę RBL (Relay Block List)
Serwery RBL to takie serwery, na których znajdują się informacje dotyczące niebezpiecznych serwerów pocztowych, spamerów itd. SMI sprawdza, czy adres spod którego pochodzi korespondencja nie znajduje się czasem na liście chociażby jednego z czterech serwerów RBL. Listę serwerów RBL możemy dowolnie poszerzyć dodając odpowiedni adres. Programiści SMI nie zapomnieli o załączeniu listy z takimi adresami. W module tym, użytkownik może też precyzyjnie określić spod jakich adresów czy domen można odbierać lub wysyłać pocztę. W tym module znajduje się też wykrywacz spamu pierwszego poziomu.
Można tutaj określić podstawowe warunki, dla których analizowana poczta będzie klasyfikowana jako spam, lub jako nie spam. Przetestowaliśmy działanie tego modułu, a w szczególności części odpowiedzialnej za wykrywanie spamu. Oczywiście testując wykrywanie spamu przetestowane zostały tym samym pozostałe moduły antyspamowe, między innymi AdvancedAntiSpam(wykrywacz spamu trzeciego poziomu), oraz moduły Verifier, Size Manager i File Manager (antyspamy drugiego poziomu). Testy wypadły bardzo pomyślnie. System od razu wykrył około 85% spamu. Należy pamiętać jednak o tym, że systemy antyspamowe oparte na algorytmie Bayes’a mają tę cechę, że zwiększają swą skuteczność wraz z czasem działania programu. Test produktu nie trwał zbyt wiele czasu, więc możemy spodziewać się jeszcze lepszych efektów. Oczywiście skuteczność wykrywania spamu zależy też w jakiejś części od administratora, który może poprawić wykrywalność odpowiednio konfigurując wykrywacz spamu pierwszego poziomu.
Moduł archiwizacji poczty
Moduł ten odpowiedzialny jest za zapisywanie wiadomości, części wiadomości, lub plików na podstawie warunków określonych przez użytkownika.
Konfiguracja tego modułu może być przeprowadzona raczej przez doświadczonego użytkownika najlepiej zaznajomionego z podstawami programowania lub pisania skryptów.
Moduł dodawania zastrzeżeń prawnych
Za pomocą tego modułu użytkownik może zdefiniować treść komunikatu dołączoną do wysyłanej wiadomości.
Istnieje możliwość skonfigurowania tego modułu tak, aby dla wiadomości wychodzących od danych adresów czy numerów IP przyporządkować indywidualne komunikaty. Tak jak w przypadku modułu archiwizacji poczty konfiguracja tego modułu nie należy do najprostszych, ale korzystając z opisu nawet mniej zaawansowany administrator jest sobie w stanie z nią poradzić.
Moduł antywirusowy
Moduł ten składa się z kilku silników antywirusowych. Ich ilość zależy oczywiście od tego na jaką liczbę licencji zdecyduje się kupujący. W naszych testach użyte zostały silniki antywirusowe NormanAV, VirusBuster i clamAV. W ciągu trwania testu nie udało się nam przemycić żadnego zainfekowanego maila, wszystkie zostały prawidłowo sklasyfikowane i usunięte. Wyniki wykrywalności wypadły więc bardzo dobrze, a przecież SMI nie był testowany z optymalną ilością silników antywirusowych. Co do prędkości sprawdzania poczty, to nie zauważyliśmy żadnego negatywnego wpływu na pracę serwera pocztowego.
Aktualizacje
Tuż po każdym uruchomieniu modułu sprawdzającego pocztę przychodzącą lub wychodzącą dokonywane są niezbędne aktualizacje wraz z przeprowadzaniem testu wykrywającego spreparowanego wirusa.
Dostępne są oczywiście aktualizacje automatyczne, które można skonfigurować oddzielnie dla każdego silnika antywirusowego, co jest niewątpliwą zaletą. W razie potrzeby można ręcznie uruchomić aktualizację w dowolnym momencie.
Podsumowanie
Produkt firmy M2 NET chodź nie grzeszy urodą, to wyznacza nowy standard, do którego wkrótce reszta będzie musiała się przystosować. W tej chwili SMI! jest raczej produktem bezkonkurencyjnym, ponieważ nie znamy rozwiązań innych firm, mogących wykorzystać wręcz dowolną liczbę silników antywirusowych jednocześnie. Szkoda tylko, że SMI nie ma funkcjonalności zwykłego programu antywirusowego i nie potrafi chronić wszystkich plików znajdujących się na dysku. Był to jednak raczej świadomy wybór programistów, którzy wyszli z założenia, że największe zagrożenie płynie właśnie z poczty elektronicznej i że tylko na tym trzeba się skupić.
Ocena końcowa
Instalacja – jest względnie prosta i szybka. Istnieje możliwość wyboru instalowanych komponentów, nie wymaga restartu systemu, jednak nie wykrywa nieprawidłowości źle skonfigurowanego systemu – 9,5 punktu. Jeśli rozpatrywać funkcjonalność jako działanie, liczbę i przydatność dostępnych modułów, to SMI z pewnością zasługuje na 10 punktów, jeżeli jednak pod funkcjonalność podciągniemy również łatwość konfiguracji to należy odjąć jeden punkt, gdyż w niektórych przypadkach może ona stwarzać problemy. Skuteczność jest zależna od tego w ile silników antywirusowych zostanie wyposażony SMI! Modules. Jednak mimo tego, że nie korzystaliśmy nawet z sześciu podstawowych silników wyniki wykrywalności złośliwego kodu w wiadomościach pocztowych były bardzo dobre – 10 punktów. Interfejs produktu jest średni, głównie za sprawą tego, że dostępny jest tylko przez HTTP. Jednak jest on dość czytelny, intuicyjny w użyciu i nie męczy podczas długiej pracy. Możliwości konfiguracyjne są bardzo dobre, każdy moduł jest w pełni konfigurowalny, atutem jest polska wersja językowa, jednak nie wszystkie elementy zostały spolszczone (np. AdvancedAntiSpam/Szczegóły) – 8 punktów. Pomoc – napisana w jasnym i zrozumiałym języku, dużym atutem jest fakt, że spora część potrzebnych informacji znajduje się w samym interfejsie programu w postaci opisu nad każdą z opcji w języku polskim – 10 punktów. Oceniano w skali od 0 (najniższa ocena) do 10 (najwyższa):
Kryterium | Ocena |
Instalacja | 10 |
Funkcjonalność | 8,5 |
Skuteczność | 9,5 |
Interfejs | 9 |
Pomoc | 10 |
Razem | 9,5 |
|
