В настоящее время большую часть данных

ЗАЩИТА ОТ ВРЕДОНОСНЫХ ПРОГРАММ В HTTP-ТРАФИКЕ
М.В. Горбачев, В.В. Коледа, Г.К. Резников
Беларусь, Минск, ОДО «ВирусБлокАда»
Во всех браузерах периодически обнаруживают уязвимости, которые могут быть
использованы для внедрения вредоносных программ на компьютеры пользователей. Необходима защита от таких вредоносных программ, хотя производители ПО и выпускают исправления для браузеров, так как, во-первых, с момента обнаружения уязвимости до выпуска исправления проходит некоторое время, когда пользователь остается незащищенным, а
во-вторых, многие пользователи устанавливают не все исправления. Поэтому есть необходимость осуществлять борьбу с такими вредоносными программами на прокси-сервере.
Документ RFC 3507 описывает ICAP (Internet Content Adaptation Protocol) – протокол, назначением которого является предоставление HTTP сервисам возможности
манипулирования HTTP трафиком. ICAP-клиент передает HTTP-сообщения ICAPсерверу для осуществления изменений или другой «адаптации» (обычно это изменение
HTTP-запроса или HTTP-ответа). Такие изменения могут быть внесены для различных
целей, в том числе и для антивирусной защиты.
Для антивирусной защиты сервиса доступа к HTTP-ресурсам используется режим
модификации HTTP-ответов, полученных от серверов и предназначенных для доставки
пользователю. Прокси-сервер, выступающий в качестве ICAP-клиента, сначала передает
предназначенные пользователю данные на проверку антивирусному ICAP-серверу. Если антивирусный ICAP-сервер обнаруживает вредоносную программу в проверяемом сообщении,
он модифицирует данные и возвращает их ICAP-клиенту. В противном случае ICAP-клиент
получает оригинальное HTTP-сообщение с кодом успешной обработки. Прокси-сервер передает пользователю обработанное HTTP-сообщение, свободное от вредоносного кода.
Антивирусный ICAP-сервер, разработанный ОДО «ВирусБлокАда», обеспечивает взаимодействие с ICAP-клиентами по протоколу ICAP версии 1.0. VBA ICAP-сервер
позволяет осуществлять проверку в режиме preview. Для работы в режиме preview в
связке со Squid-ICAP (прокси-сервер, являющийся ICAP-клиентом) был создан патч
для Squid-ICAP, обеспечивающий его стабильную работу. При работе в режиме preview
проверка на наличие вредоносного кода в передаваемых данных начинается раньше,
чем будут получены все данные. Это позволяет ускорить доставку данных пользователю. В некоторых случаях, когда полученных на определенный момент времени данных
недостаточно для вывода о наличии или отсутствии вредоносного кода в ответе сервера
пользователю, ICAP-сервер возвращает код о необходимости дополнительных данных.
Пользователь получает запрошенный ресурс только после завершения обработки ICAPсервером. Если данные от HTTP-сервера поступают медленно, или если обработка полученных данных занимает много времени, браузер пользователя может разорвать соединение из-за превышения времени ожидания. Во избежание этого реализован механизм предотвращения таймаутов со стороны пользователя. VBA ICAP сервер во время
ожидания и обработки данных от HTTP-сервера периодически отправляет небольшие
порции обработанных данных для доставки пользователю.
Для увеличения производительности прокси-сервера антивирусный ICAP-сервер
следует использовать в режиме проверки объекта до его попадания в кеш. Для обеспечения наиболее полной защиты от вредоносных программ используется механизм,
предоставляемый заголовком ISTag в протоколе ICAP (RFC 3507, пункт 4.7). После обновления антивирусных баз все объекты, которые находятся в кеше, будут проверены
антивирусным ICAP-сервером.
Таким образом, антивирусный VBA ICAP-сервер обеспечивает защиту от проникновения вредоносных программ в сеть организации по протоколу HTTP. При конфигурировании каскада прокси-серверов, один из которых выполняет преобразование
FTP и HTTP-трафика, а другой является ICAP-клиентом, осуществляется защита от
проникновения вредоносных программ в сеть организации по протоколу FTP.
121