Сегодня установил себе на proxy сервере антивирус Касперского для Proxy Server возможно пологая, возможно мечтая о том что в веленой мне корпоративной сети станет немного безопаснее. Итак, по порядку, шлюз представляет из себя обычный компьютер (E2200 2.20GHz, 1Gb RAM, 200 Gb HDD), стоит ОС Ubuntu Linux 2.6.32, http прокси сервер Squid 3.0. Все это хозяйство и распределяет Интернет канал между пользователями.
Антивирус Касперского может выполнять проверку http трафика в двух режимах: REQMOD (проверяются объекты, передаваемые от пользователя через proxy) и RESPMOD (проверяются объекты, передаваемы пользователю с proxy). Я буду рассматривать только режим RESPMOD.
Перед установкой, необходимо установить пакет libc6-i386:
Далее можно переходить непосредственно к установке антивируса:
В руководстве сказано что параметр
В пост инсталляционной настройке выбираем пункт автоматической настройки squid:
Далее произведем настройку со следующими параметрами:
— проверять все объекты;
— отключить проверку почты;
— запретить доступ к зараженным и подозрительным объектам;
— вести статистику в файле:
Изменяем\добовляем в файл
Проверим, что добавил антивирус Касперского в файл /etc/squid3/squid.conf:
У меня в секции ICAP OPTIONS (возможно в самом конце файла):
Перезагружаем антивирус и squid. Проверяем на тестовом файле:
http://www.eicar.org/download/eicar.com
Если появилась страница:
то все работает.
Статистику работы можно посмотреть в лог файле
Антивирус Касперского может выполнять проверку http трафика в двух режимах: REQMOD (проверяются объекты, передаваемые от пользователя через proxy) и RESPMOD (проверяются объекты, передаваемы пользователю с proxy). Я буду рассматривать только режим RESPMOD.
Перед установкой, необходимо установить пакет libc6-i386:
# aptitude install libc6-i386Далее можно переходить непосредственно к установке антивируса:
# dpkg -i --force-architecture kav4proxy_5.5-62_i386.debВ руководстве сказано что параметр
--force-architectureВ пост инсталляционной настройке выбираем пункт автоматической настройки squid:
Squid (/etc/squid3/squid.conf)Далее произведем настройку со следующими параметрами:
— проверять все объекты;
— отключить проверку почты;
— запретить доступ к зараженным и подозрительным объектам;
— вести статистику в файле:
/var/log/kaspersky/statisticИзменяем\добовляем в файл
/etc/opt/kaspersky/kav4proxy.conf:[icapserver.filter]
ExcludeURL=^www\.example\.com\/.*
[icapserver.engine.options]
ScanPacked=yes
ScanArchives=yes
ScanMailBases=no
ScanMailPlain=no
UseHeuristic=yes
Cure=yes
UseAVbasesSet=standard
MaxScanTime=300
[icapserver.actions]
InfectedAction=deny
SuspiciousAction=deny
WarningAction=deny
ErrorAction=skip
ProtectedAction=skip
CorruptedAction=skip
CuredAction=skip
LicenseErrorAction=skip
BasesErrorAction=deny
[icapserver.statistics]
CounterStatisticsFile=
AVStatisticsFile=/var/log/kaspersky/statistic
AVStatisticsAddress=
Проверим, что добавил антивирус Касперского в файл /etc/squid3/squid.conf:
У меня в секции ICAP OPTIONS (возможно в самом конце файла):
# Added by Kaspersky Anti-Virus installer
icap_enable on
icap_send_client_ip on
icap_service is_kav_resp respmod_precache 0 icap://127.0.0.1:1344/av/respmod
icap_class ic_kav is_kav_req is_kav_resp
icap_access ic_kav allow all
# /Added by Kaspersky Anti-Virus installerПерезагружаем антивирус и squid. Проверяем на тестовом файле:
http://www.eicar.org/download/eicar.com
Если появилась страница:
ACCESS DENIED
The requested object is INFECTED. The following viruses 'EICAR-Test-File' were foundто все работает.
Статистику работы можно посмотреть в лог файле
/var/log/kaspersky/statistic.