Обзор traffic inspector next generation

HTTP Antivirus Proxy (HAVP)

HAVP — это прокси, к которому в виде библиотеки подключается опенсорсный антивирусный движок ClamAV.

Интерфейс модуля HAVP выглядит довольно минималистично и позволяет указать максимальный размер сканируемого файла, а также добавить в список доверенные URL, которые сканироваться не будут. Остальная логика, по всей видимости, лежит на движке .

Интерфейс модуля HAVP

В панели управления HAVP можно также увидеть все обнаруженные вирусы.

Обнаруженные вирусы

Давай проверим, как работает модуль HAVP. Для начала сгенерируем -пейлоад.

Генерируем пейлоад

Зальем вредоносный файл на сервер и попробуем загрузить его с рабочей станции пользователя, которая находится за Traffic Inspector Next Generation.

Загрузка вредоносного файла

На скриншоте видно, что вредоносный файл был задетектирован HAVP-модулем и заблокирован для загрузки. Правда, мне так и не удалось настроить HAVP таким образом, чтобы он детектировал вредоносы в HTTPS-трафике, даже после настройки HTTPS-прокси и установки корневого сертификата от Traffic Inspector Next Generation.

IPS/IDS

Система обнаружения/предотвращения вторжений в Traffic Inspector Next Generation основана на open source движке . , в свою очередь, работает с заданными правилами. По умолчанию добавлен довольно большой список разнообразных правил, включающий в себя Feodo Tracker, SSL Blacklist, а также огромный набор правил из набора Emerging Threats.net.

В интерфейсе IPS/IDS можно выбрать желаемые наборы правил.

Фрагмент списка наборов правил

При включении определенного набора правил администратор может выбрать действие: Alert или Drop, которое будет выполняться при срабатывании конкретного правила.

Выбор действия

Активируем набор правил , описывающий признаки активности, связанной с сетевым сканированием (Nmap, Nikto).

Натравим сканер на веб-сервер, который находится за Traffic Inspector Next Generation, и посмотрим на вкладку «Предупреждения», содержащую алерты от всех активных правил.

Список алертов

После активации набора правил и попытки эксплуатации SQL-инъекции на веб-сервере, находящемся за Traffic Inspector Next Generation, вредоносный запрос был заблокирован системой предотвращения вторжений.

Вредоносный запрос заблокирован

Также Traffic Inspector Next Generation позволяет настроить автоматическое обновление правил по расписанию, реализованное через .

Автоматическое обновление правил IDS/IPS модуля по расписанию 

Настройки плагина¶

Включить Kaspersky Antivirus — при выборе этого флажка включается модуль проверки трафика на вирусы.

Уровень протоколирования — включать ли протоколирование работы модуля.

Количество сканеров — Указывает количество процессов сканирования. Наша рекомендация иметь количество сканеров равное числу физических ядер процессора.

Количество потоков — Указывает общее число сканирующих потоков всех сканирующих процессов. Рекомендуется значение в два раза большее, чем количество сканеров.

Лимит использования диска — Указывает максимальное количество дискового пространства, которое может быть задействовано для распаковки упакованных объектов (в килобайтах). Ограничение дискового пространства защищает сервер от zip-бомб. Если значение параметра равно 0, защита от zip-бомб отключена.

Лимит RAM — Указывает максимальное количество системной памяти которое может быть использовано сервисом kavicapd (в килобайтах). Эта настройка защищает операционную систему от полного исчерпания памяти. Интенсивное использование системной памяти может возникнуть при сканировании больших файлов или при получении множества запросов на сканирование одновременно. Когда предел использования памяти достигается, сервис kavicapd останавливает обработку объектов. Если этот параметр равен 0, количество системной памяти, которая может быть зарезервирована сервисом kavicapd не ограничено.

Предупреждение

Антивирусные базы и библиотеки, используемые KAV SDK занимают около 300 MB (это количество удваивается во время перезагрузки баз). KAV SDK также требует памяти для работы компонент.

Порт ICAP — Указывает номер порта сервиса kavicapd (данное значение должно совпадать с указанным в настройке прокси-сервера Squid).

Максимальный размер файла — Устанавливает максимальный размер файла, который может быть просканирован сервисом kavicapd (в килобайтах). Если значение этого параметра равно 0, сервис kavicapd будет сканировать файлы любых размеров.

Период обновления — Интервал между автоматическими обновлениями (в минутах). Если этот параметр равен 0, KAV SDK не производит автоматические обновления.

Сканировать упакованные исполняемые файлы — Сканирование сжатых исполняемых файлов.

Сканировать почтовые сообщения — Сканирование почтовых сообщений. Включение этой опции сканирования разрешает сканирование почтовых сообщений.

Предупреждение

Эта опция может значительно снизить производительность системы.

Сканировать почтовые базы — Сканирование почтовых баз данных.

Предупреждение

Эта опция может значительно снизить производительность системы.

Сканировать на фишинг — Сканировать web-адреса по базе данных фишинга.

Сканировать перепакованные архивы в KSN — Включить сканирование многократно упакованных файлов с помощью облачного сервиса Kaspersky Cloud.

Активация триальной версии

Триальная версия — полная версия Traffic Inspector, предназначенная для ознакомления с возможностями программы. Она имеет ограничение по сроку работы — 30 суток с момента активации. Впоследствии триальную версию можно перевести в рабочую, не переустанавливая и не перенастраивая, просто активировав ее с использованием приобретенной лицензии.

Примечание

Триальная версия Traffic Inspector является полнофункциональной, но имеет ограничения по времени использования (30 дней). Триальную версию всегда можно переактивировать с использованием постоянной лицензии, все настройки будут сохранены.

Для активации триальной версии выполните следующие действия:

1. Выберите вариант Временная активация (Trial) для активации бесплатной пробной полнофункциональной 30-дневной версии Traffic Inspector.

2.Введите все данные, необходимые для активации. Разрешите или запретите новостную рассылку о Traffic Inspector.

1. Просмотрите информацию о предстоящем процессе, запустите его и дождитесь завершения.

1. После завершения процесса программа будет активирована на 30 суток.

1. Информация о текущем статусе активации всегда доступна в разделе \Активация] в Консоли администратора.

Работа с мастером настройки (Конфигуратор)

1. Запустите Конфигуратор Traffic Inspector

Пройдите в раздел \Настройки]. Во фрейме Настройки Traffic Inspector, на вкладка Действия, кликните Мастер расширенной настройки Traffic Inspector.

1. На вкладке Вариант применения выберите вариант Сервер — сетевой шлюз.

Примечание

Вариант Сервер — сетевой шлюз — классический вариант использования Traffic Inspector, в котором доступны все функциональные возможности программы. Режим прослушки называется так, потому что переводит сетевую карту в неразборчивый (promiscuous) режим, в котором она способна принять даже трафик, который ей не предназначается. Режим прослушки часто используют совместно с управляемыми коммутаторами, способными «отзеркаливать» трафик на Traffic Inspector. Также, Режим прослушки используется, когда от Traffic Inspector требуется только выполнять функции веб-прокси сервера.

1. На вкладке Службы маршрутизации выберите вариант Используется NAT от службы Routing and Remote Access Server (RRAS), если используется серверная операционная система, или вариант Используется NAT от службы Internet Connection Sharing (ICS), если используется десктопная операционная система.

1. На вкладке Windows Firewall выберите вариант Отключить.

1. На вкладке Готово нажмите кнопку Продолжить.

1. На вкладке Опции конфигурации выберите необходимые функциональные возможности. По умолчанию задействованы только две возможности — Включить внешний сетевой экран и Используется RAS-сервер.

Примечание

Traffic Inspector классифицирует сетевые интерфейсы на внешние и локальные. По умолчанию, сетевой экран Traffic Inspector задействуется только для интерфейса, используемого как «внешний». Настройка Используется RAS-сервер позволит Traffic Inspector работать с Dial-In интерфейсами (чаще всего, это интерфейсы для взаимодействия с VPN-клиентами).

1. На вкладке Службы назначьте порты, используемые службами.

1. На вкладке Внутренние интерфейсы выберите интерфейсы, подключенные к вашей домашней / офисной сети.

1. На вкладке Внешние интерфейсы выберите интерфейсы, подключенные к Интернету.

1. На вкладке Внешний сетевой экран, интерфейсы, для которых будет включен внешний сетевой экран.

1. На вкладке Настройка NAT выберите интерфейсы, для которых будет включен режим NAT.

Примечание

Флаг Конфигурировать интерфейс RAS-сервера включает частный (приватный) режим NAT для Dial-In интерфейсов. Использовать эту опцию нужно, если вы собираетесь «раздавать Интернет» на подключающихся VPN-клиентов.

1. На вкладке Использование DNS выберете Нормальный режим использования DNS.

1. На вкладке Применение настроек нажмите Далее, затем Готово.

Базовая конфигурация Traffic Inspector завершена!

Медленный веб-портал и отчетность в Traffic Inspector

До версии 3.0.1 портал был написан на С# c использованием .Net Framework. Кроме смены интерпретатора, была реализована служба подготовки отчетов, в которую была вынесена вся логика формирования отчетов. На портал сейчас легла только одна функция – GUI.При необходимости хранения данных за большой интервал мы рекомендовали использование СУБД сторонних разработчиков. Но даже с ними периодически возникали проблемы. Представьте объем сложностей при обслуживании БД размером в 1.5 ТБ в MS SQL, при том что 90% этих данных не используется. Поэтому в 3.0.2 был реализован механизм деления БД, когда по завершению периода (месяц / квартал / полугодие / год – задается администратором) БД, в том числе SQLite, отключается от оперативной работы и используется только при запросе отчетов за указанный период.

Регистрация на веб-портале

Настроим регистрацию пользователей через веб-портал по учетной записи Traffic Inspector.

Для настройки выполните следующие шаги:

1. Пройдите в раздел \Контекстное меню\Свойства] и установите флаг Вести учет обращений во внешнюю сеть от неавторизованных пользователей.

1. Пройдите в раздел \Правила\Правила сетей], и выберите Создать новое правило.

1. На вкладке IP адреса и сети укажите диапазон IP-адресов, используемых во внутренней сети.

Примечание

В качестве диапазона указывается IP-сеть, расположенная со стороны LAN-адаптера Traffic Inspector. В нашем примере, используется IP-сеть 192.168.137.0/24. Мы указываем диапазон 192.168.137.2 — 192.168.137.254, так как IP-адрес 192.168.137.1 присвоен LAN-адаптеру Traffic Inspector, а IP-адрес 192.168.137.255 является широковещательным и не используется клиентскими машинами.

1. На вкладке Аутентификация установите флаг Basic:

Примечание

C выбранного диапазона аутентификация будет вестись только по учетным записям Traffic Inspector. В такой ситуации, метод аутентификации NTLM можно выключить.

1. На вкладке Тип сети выберите Смешанный режим.

1. На вкладке Настройки пользователя укажите настройки аутентификации в соответствии со скриншотом.

1. Убедитесь, что в разделе Правила сетей, созданное правило регистрация_по_сетевой_активности находится выше правила All IP addresses.

1. Когда неаутентифицированный пользователь обратится в Интернет, он будет перенаправлен на веб-портал Traffic Inspector.

1. Веб-портал всегда предлагает пользователю аутентифицироваться, потому что аутентификация пользователя случается гораздо чаще чем регистрация. Поскольку, нам нужно именно зарегистрироваться, то мы щелкаем на ссылку Зарегистрироваться.

1. В следующем окне необходимо задать параметры добавляемого пользователя.

Указывается отображаемое имя пользователя, имя учетной записи (лучше, если оно будет совпадать с отображаемым именем пользователя), пароль и подтверждение пароля.

В процессе регистрации, для пользователя создается учетная запись на шлюзе Traffic Inspector. После регистрации, пользователь сможет аутентифицироваться, использую ранее зарегистрированный аккаунт.

Настройка проброса

Чтобы работал проброс, должны быть выполнены три основных тербования:

1. Для целевого сервера создана учетную запись с аутентификацией по IP-адресу.
2. Создано правило для проброса в настройках ICS или RRAS (в зависимости от того, какая из этих служб обеспечивает фунционал NAT).
3. Создано разрешающее правило во внешнем сетевом экране программы Traffic Inspector.

Данные действия могут быть выполнены вручную или с помощью Мастера публикации служб.

Ручная настройка проброса

1. Создайте правило для проброса в настройках ICS или RRAS (в зависимости от того, какая из этих служб обеспечивает фунционал NAT) на шлюзе Traffic Inspector.

Проброс в ICS настраивается в свойствах сетевого подключения WAN (подключения, по которому «приходит Интернет»), вкладка Доступ, кнопка Настройки.

Проброс в RRAS настраивается в оснастке rrasmgmt.msc в разделе дерева Преобразование сетевых адресов (NAT) в свойствах сетевого подключения WAN на вкладке Службы и порты.

В правиле проброса нужно указать IP-адрес целевого сервера (как он есть в локальной сети), и входящий и исходящий порт. Чаще всего, указывается одинаковый входящий и исходящий порт.

Примечание

Нужно запомнить «входящий порт», так как именно этот порт нужно будет разрешить во внешнем сетевом экране Traffic Inspector и именно на него нужно будет подключаться со стороны Интернета после настройки проброса.

Примечание

На самом шлюзе Traffic Inspector никто не должен занимать («слушать») порт, выбранный вами как «внешний / публичный / входящий» в правиле проброса.

1. Убедитесь, что целевой сервер авторизован в Traffic Inspector

Если для целевого сервера уже заведена учетная запись, то убедитесь, что целевой сервер авторизован в Traffic Inspector. Соответствующая информация отображается в Мониторе Работы, который доступен в Учет трафикаМонитор работы].

При необходимости, создайте учетную запись для целевого сервера с авторизацией по IP-адресу.

1. Создайте разрещающее правило во внешнем сетевом экране Traffic Inspector.

Правила внешнего сетевого экрана создаются в \Правила\Правила внешнего сетевого экрана].

Создание правила во внешнем сетевом экране осуществляется в разделе Настройка сетевого экрана Traffic Inspector.

Во внешнем сетевом экране Traffic Inspector необходимо открыт порт, который был указан как «внешний / публичный / входящий» в правиле проброса.

Установка Traffic Inspector¶

Для успешной установки Traffic Inspector требуется подключение к Интернету. Перед установкой самой программы, автоматически скачиваются и устанавливаются необходимые компоненты.

Для установки Traffic Inspector осуществите следующие действия:

1. Осуществите двойной клик по установочному файлу, чтобы начать процесс установки.

1. Перед установкой главной программы, установщик автоматически скачает и установит все необходимые компоненты.

1. Ознакомитесь с пользовательским соглашением и подтвердите свое согласие с его условиями.

1. Мы не рекомендуем устанавливать Traffic Inspector на компьютер, на котором уже есть другие сетевые или антивирусные программы.

1. Выберите вариант установки Сервер для наиболее полного режима установки, включающего шлюзовую службу Traffic Inspector, консоль управления Traffic Inspector и сетевой драйвер Traffic Inspector.

1. Установочный файл Traffic Inspector также включает в себя модуль Traffic Inspector Anti-Virus powered by Kaspersky. Ознакомитесь с пользовательским соглашением и подтвердите свое согласие с его условиями.

1. Процесс установки займет некоторое время.

1. Завершите работу мастера установки Traffic Inspector.

Поздравляем, вы успешно установили Traffic Inspector в вашей сети!

Действия перед апгрейдом

Примечание

Перед началом процесса апгрейда, необходимо проверить ключ активации. Если срок доступа к обновлению и расширенной техподдержке истек раньше даты выпуска дистрибутива, то активировать этот дистрибутив будет невозможно.

Проверить ключ активации можно, обратившись в техподдержку и назвав Ваш ID продукта Traffic Inspector. Проверку ключа активации также можно провести самостоятельно — на странице продукта Traffic Inspector, нажмите на кнопку Продлить или обновить, в появившемся окне введите Ваш ID продукта Traffic Inspector, нажмите Далее и Вы получите исчерпывающую информацию по Вашей лицензии, в том числе и информацию по максимально доступной для Вашей лицензии версии.

Примечание

Ключ, который Вы получаете при приобретении лицензии на Traffic Inspector всегда позволит активировать ту версию, которая была последней выпущенной версией на момент приобретения лицензии, а также любую более новую версию, которая выйдет в течение года с момента приобретения лицензии. Версии, которые выйдут спустя год с момента приобретения лицензии, будут для Вас недоступны. Чтобы этого не случилось, и новые версии были всегда Вам доступны, нужно регулярно, с интервалов раз в год, продлевать доступ к обновлениям.

Апгрейд Traffic Inspector

Апгрейд Traffic Inspector предусматривает ряд действий:

1. Деинсталляция текущей версии программного комплекса Traffic Inspector со шлюза
2. Перезагрузка шлюза
3. Установка новой версии Traffic Inspector на шлюз

Деинсталляция текущей версии Traffic Inspector со шлюза

Деинсталляция Traffic Inspector осуществляется стандартным способом — через Панель управления\Программы\Программы и компоненты.

При корректном удалении программного комплекса Traffic Inspector, будет удалены службы Traffic Inspector (TrafInspSrv) и Traffic Inspector Reports (TIRepService), а также сетевой драйвер NDIS. Данные службы должны исчезнуть из списка служб, отображаемых в оснастке services.msc. Cетевой драйвер NDIS должен исчезнуть из списка компонентов на вкладке Сеть в свойствах сетевых подключений.

Если, по какой-либо причине этого не произошло, удалите службы вручную при помощи консольной утилиты sc.

sc delete TrafInspSrv
sc delete TIRepService

Cетевой драйвер NDIS может быть удален через графический интерфейс Windows, в свойствах сетевого подключения — Control Panel\All Control Panel Items\Network Connections.

В редких случаях, при некорректном удалении, может понадобится чистка реестра по строкам «Traffic Inspector» и «Smart-Soft».

Перенос настроек Traffic Inspector

Для переноса настроек, нужно скопировать папки %ProgramFiles%\TrafInsp\Config и %ProgramFiles%\TrafInsp\Data со старой установки Traffic Inspector на новую.

Директория %ProgramFiles%\TrafInsp\Config содержит информацию о конфигурации Traffic Inspector.

Директория %ProgramFiles%\TrafInsp\Data содержит файлы встроенной базы SQLite (собранная сетевая статистика).

При деинсталляции Traffic Inspector, директория %ProgramFiles%\TrafInsp и все ее содержимое не удаляется. Если перенос настроек на новую версию Traffic Inspector не планируется, директорию %ProgramFiles%TrafInsp можно удалить.

Если осуществляется перенос настроек, обратите внимание на следующие моменты. Большинство настроек должны перенестить автоматически

Ряд настроек программы и ОС Windows следует провести повторно: активация, конфигурирование Traffic Inspector, проверка подключения к внешней СУБД (если используется).

Когда переносится одна лишь дирекотрия %ProgramFiles%\TrafInsp\Config, но не %ProgramFiles%\TrafInsp\Data, то после переноса пользователи будут находится в состоянии «Стоп». В Мониторе работы переведите пользователей из состояния «Стоп» в рабочее состояние.

Если после переноса конфигурации с предыдущей установки, не получается залогонится в Консоли администратора, то проделайте следующие действия. Временно выключите службу Traffic Inspector (TrafInspSrv) через оснастку services.msc, затем удалите из директории %ProgramFiles%\TrafInsp файлы AdminGroupList.xml, AdminList.xml, AdminGroupList.bak.xml и AdminList.bak.xml.

Требования к аппаратной и программной составляющей для Traffic Inspector¶

Для успешной работы Traffic Inspector, требуется персональный компьютер со следующими характеристиками:

• Процессор: Intel Core i5 и выше
• Оперативная память: 4 ГБ и более
• Жесткий диск 1 ГБ и более
• Сеть: 2 сетевых адаптера для работы в режиме шлюза и более
• Подключение к Интернет: требуется для скачивания дополнительных компонентов и проведения активации программы

Traffic Inspector поддерживает следующие операционные системы Windows:

• Microsoft Windows 7 x86
• Windows 7 x64
• Windows 8 x86
• Windows 8 x64
• Windows 8.1 x86
• Windows 8.1 x64
• Windows 10 x86
• Windows 10 x64
• Windows Server 2008 R2 x64
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019

Traffic Inspector может одинаково успешно использоваться как на десктопных изданиях ОС Windows, так и на серверных версиях. Стоит учитывать однако, что десктопные ОС Windows ограничены по сравнению с серверными версиями. На десктопных системах NAT предоставляется службой Internet Connection Sharing. ICS ограничен использованием одного WAN- и одного LAN-интерфейса. В серверных операционных системах, NAT предоставляется службой Routing and Remote Access Service, которая не имеет ограничения на количество внешних и внутренних интерфейсов. Помимо этого, серверные ОС специально расчитаны на использование в качестве элементов инфраструктуры сети (т.е. использования в качестве серверов и шлюзов), в то время как десктопные ОС лучше использовать как простое рабочее место пользователя.

Примечание

Traffic Inspector может одинаково успешно использоваться как на десктопных изданиях ОС Windows, так и на серверных версиях. Стоит учитывать однако, что десктопные ОС Windows ограничены по сравнению с серверными версиями.

Traffic Inspector поддерживает наиболее популярные сетевые технологии: IEEE 802.3 (Ethernet), 802.11 (Wi-Fi), IEEE 802.1Q (VLAN с использованием теггированного трафика) PPP, VPN (PPTP, L2TP) и может быть использован в сетях, построенных на проводном и беспроводном вариантах технологии Ethernet.

Примечание

Traffic Inspector может быть использован в сетях, построенных на проводном и беспроводном вариантах технологии Ethernet.

ПО Traffic Inspector доступно в издании 32-бита и 64-бита. Использование 64-битной версии является оптимальным вариантом.

Компьютер с Traffic Inspector выполняет роль шлюза на границе сети предприятия. Устанавливать Traffic Inspector на конечный компьютер / рабочее место пользователя не нужно. Подобное размещение Traffic Inspector позволяет программе пропускать через себя весь Интернет-трафик пользователей сети и осуществлять контроль и мониторинг.

Примечание

Traffic Inspector выполняет роль шлюза. Устанавливать Traffic Inspector на конечный компьютер / рабочее место пользователя не нужно.

Примечание

Traffic Inspector поддерживает до 200 пользователей при работе через веб-прокси и до 1000 пользователей при работе через маршрутизацию / NAT.