---

Антивирус Kaspesrky Anti-Virus

Для антивирусной защиты в Traffic Inspector Next Generation (TING) реализован плагин Kaspersky антивирус, поддерживающий проверку HTTP-, HTTPS-трафика (требует настройки функционала SSL Bump).

Взаимодействие данного модуля с прокси-сервером Squid осуществляется по протоколу ICAP (Internet Content Adaptation Protocol).

Примечание

Traffic Inspector Next Generation Anti-Virus powered by Kaspersky является платным программным обеспечением.

Общие настройки

Для того, чтобы осуществлялась антивирусная проверка, трафик от клиентских машин должен попадать на веб-прокси TING.

Если необходимо настроить проверку HTTP-трафика, Вы можете сделать явные настройки на веб-прокси или настроить прозрачное проксирование на устройстве TING.

Если необходимо настроить проверку HTTPS-трафика, должны быть выполнены два условия: в Вашем браузере нет явных настроек на веб-прокси и на устройстве TING настроен функционал SSL Bump.

Когда Вы настраиваете одновременную проверку HTTP-трафика и HTTPS-трафика, можно легко ошибиться и оставить включенной опцию Один прокси-сервер для всех протоколов. В результате, проверка HTTP-трафика будет отрабатывать, но условия для проверки HTTPS-трафика не будут выполнены.

Установка плагина

Установите плагин os-kaspersky.

После успешной установки, в разделе Службы должен появиться подраздел Kaspersky антивирус.

Загрузка лицензии

Для работы плагина необходимо наличие файла-ключа с действующей лицензией.

Для этого перейдите в Службы ‣ Kaspersky антивирус ‣ Статус, при помощи кнопки Выберите файл укажите файл ключа и затем загрузите его в TING, нажав :

База данных с сигнатурами

После установки необходимо скачать первоначальную базу данных, что выполняется на странице Службы ‣ Kaspersky антивирус ‣ Настройки.

Примечание

При отсутствии первичной базы данных сигнатур, TING будет выводить соответствующее информационное сообщение вверху страницы.

Для загрузки базы, необходимо развернуть, внизу страницы, секцию База сигнатур и нажать Загрузить первоначальную базу - начнётся процесс скачивания базы, а вверху страницы появится соответствующее информационное сообщение:

При успешном завершении загрузки базы, кнопка Загрузить первоначальную базу сменится на Удалить базу сигнатур.

Обновление базы сигнатур

Обновление антивирусной базы данных автоматическое - TING регулярно (каждые полчаса) синхронизирует локальную базу, при необходимости. Никаких действий совершать не надо.

Для выполнения процедуры обновления, антивирусная служба должна быть включена.

Внимание

Базы обновляются только при наличии действующей лицензии Kaspersky Anti-Virus.

Статус модуля

После включения плагина (на странице Службы ‣ Kaspersky антивирус ‣ Настройки) модуль обновит информацию, базы - соответствующие данные будут отображены и можно будет ознакомиться с актуальностью загруженных баз, количеством загруженных сигнатур и сроком действия лицензии:

Настройки плагина

Общие настройки

Включить Kaspersky Antivirus	При установленном флажке активируется модуль проверки трафика на вирусы.
Уровень протоколирования	Режим протоколирования работы модуля. Доступны два типа: Отсутствует и Отладка. Значение по умолчанию: Отладка.
Количество сканеров	Число процессов сканирования. Рекомендумое значение равно числу физических ядер процессора. Значение по умолчанию: 2.
Количество потоков	Общее число сканирующих потоков всех сканирующих процессов. Рекомендуется указывать значение в два раза большее, чем количество сканеров. Значение по умолчанию: 4.
Длина очереди	Длина очереди заданий. Не должна быть меньше количества потоков (иначе некоторые потоки сканирования не будут использоваться). Поскольку задачи сканирования ставятся в очередь из всех открытых сеансов, надо учитывать значение Максимум сессий ICAP - длина очереди не должна быть меньше данного параметра. В противном случае некоторые клиенты получат ошибку 503 - Service overloaded при попытке открыть сеанс. [1] Значение по умолчанию: 1024.
Таймаут сканирования	Значение таймаута сканирования (в миллисекундах). Если значение этого параметра равно 0, таймаут отключён. Значение по умолчанию 10000 (10 секунд).
Лимит RAM	Максимальное количество системной памяти которое может быть использовано сервисом kavicapd (в килобайтах). Эта настройка защищает операционную систему от полного исчерпания памяти (в такой ситуации, служба остановит обработку объектов). Интенсивное использование системной памяти может возникнуть при сканировании больших файлов или при получении множества запросов на сканирование одновременно. Если этот параметр равен 0 (значение по умолчанию), количество системной памяти, которая может быть зарезервирована сервисом kavicapd, не ограничена [2].
Порт ICAP	Номер порта сервиса kavicapd (данное значение должно совпадать с указанным в настройке прокси-сервера Squid).
Максимум сессий ICAP	Максимальное число одновременных соединений к сервису kavicapd. Чем большее количество соединений, тем быстрей заполняются все потоки сканирования и, как следствие, тем длиннее очередь для задач сканирования. [3]. Значение по умолчанию: 100.
Максимальный размер файла	Максимальный размер файла, который может быть просканирован сервисом kavicapd (в килобайтах). Рекомендуемое значение: не больше Лимит RAM. Если значение этого параметра равно 0, сервис kavicapd будет сканировать файлы любых размеров [4]. Значение по умолчанию: 17590.
Разрешить код ответа 204	Эта настройка указывает. может ли сервис kavicapd посылать HTTP-статус 204 вместо неизменённых данных прокси-серверу. Если этот параметр включён, сервис kavicapd возвращает ответ 204 No Content, в противном случае 200 OK.
Период обновления	Интервал между автоматическими обновлениями (в минутах). Если этот параметр равен 0, модуль не производит автоматические обновления. Значение по умолчанию: 30.

[1]

Рекомендуемое значение должно быть больше параметра Количество потоков и как минимум вдвое больше параметра Максимум сессий ICAP.

[2]

Используемые антивирусные базы и библиотеки занимают около 500 MB (это количество удваивается во время перезагрузки баз); также требуется память для работы компонентов модуля.

[3]

Как правило, kavicapd запускает два потока для одной задачи сканирования.

Рекомендуемое значение должно быть: 1) равным количеству запросов ICAP-клиента в минуту; 2) больше, чем Количество сканеров; 3) больше, чем Количество потоков; 4) превышать количество активных процессов, используемых прокси-сервером; 5) превышать масимальное количество подключений от клиентов, обслуживаемых выбранным прокси-сервером.

[4]

Сканирование очень больших файлов является тяжелой ресурсной задачей и рекомендуется перекладывать её на локальные антивирусы.

Опции сканирования

Сканировать упакованные исполняемые файлы	Сканирование сжатых исполняемых файлов. По умолчанию включено.
Сканировать архивы	Сканирование сжатых файлов. По умолчанию включено.
Сканировать почтовые сообщения	Сканирование почтовых сообщений [5]. По умолчанию включено.
Сканировать почтовые базы	Сканирование файлов, которые содержат почтовые базы [5]. По умолчанию включено.
Эвристический анализатор	Включение анализа при помощи эвристической модели, позволяющей выявлять подозрительное поведение или код вредоносных объектов, записей о которых ещё нет в базах.
Уровень эвристического анализатора	Уровень детализации эвристического анализатора - позволяет найти баланс между качеством сканирования и использованием ресурсов операционной системы, также как и длительностью сканирования. Больший эвристический уровень требует больше системных ресурсов, и длится дольше. Значение по умолчанию: Неглубокий

[5] (1,2)

Эта опция может значительно снизить производительность системы.

Настройки прокси

Использовать прокси	Использовать прокси-сервер при подключении к облачному сервису Kaspesrky Lab.
Прокси-сервер	Имя или IP-адрес прокси-сервера.
Порт прокси-сервера	Номер порта прокси-сервера.
Имя пользователя	Имя пользователя прокси-сервера.
Пароль	Пароль пользователя прокси-сервера.

Предупреждение

После сохранения настроек, ICAP-сервис Kaspersky антивирус будет перезапущен. Всвязи с чем, веб-прокси потеряет с ним соединение. Поэтому, после каждого применения настроек антивируса, необходим перезапуск службы веб-прокси.

Настройка ICAP в веб-прокси

Укажите в свойствах веб-прокси, как он будет взаимодействовать по ICAP с антивирусом Касперского.

Для этого пройдите в раздел Службы ‣ Веб-прокси ‣ Администрирование и выберите в выпадающем меню Перенаправляющий прокси пункт Настройка ICAP.

Установите флаг Включить ICAP.

Проверьте, что для полей Запрос на изменение URL и Ответ на изменение URL указаны, соответственно, значения icap://127.0.0.1:1345/req и icap://127.0.0.1:1345/resp:

Примечание

В качестве значения URL указывается loopback-адрес IPv4. Таким образом, взаимодействие между веб-прокси и службой C-ICAP будет вестить через сетевой стек, но не покидая данного хоста.

Для проверки трафика на персональных устройствах, адрес TING следует указать в качестве прокси-сервера в браузерах.

Проверка работы антивируса

Для проверки функционала антивирусной защиты можно использовать тестовую вредоносную программу EICAR .

На странице https://www.eicar.org/download-anti-malware-testfile/ можно скачать вирус EICAR в разных видах: com-файл , текстовый формат, а также в сжатых ZIP-файлах.

Проверку нужно осуществлять с конечного компьютера пользователя.

При обнаружении потенциально опасного содержимого, загрузка блокируется и антивирус отображает страницу блокировки в браузере пользователя: