Digitalização completa de arquivo do antivírus

O recurso Kaspersky Antivirus não é suportado pelo Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 adiante. Para versões anteriores, o módulo antivírus completo baseado em arquivo é o subsistema de software do dispositivo de gateway que verifica tráfego aplicativo específico para proteger os usuários contra ataques de vírus e evitar a propagação de vírus. O subsistema de software antivírus consiste em um banco de dados de assinatura de vírus, um proxy de aplicativos, o gerenciador de digitalização e o mecanismo de digitalização.

O Kaspersky Lab fornece o mecanismo de digitalização e funciona da seguinte maneira:

1. Um cliente estabelece uma conexão TCP com um servidor e inicia uma transação.

2. Caso o protocolo de aplicativo em questão seja marcado para digitalização de antivírus, o tráfego é encaminhado a um proxy de aplicativos para análise.

3. Quando a solicitação de verificação é enviada, o mecanismo de digitalização verifica os dados consultando um banco de dados de padrões de vírus.

4. O gerente de digitalização monitora sessões de digitalização de antivírus, verificando as propriedades do conteúdo de dados em relação às configurações de antivírus existentes.

5. Após a verificação ter ocorrido, o resultado é então manuseado pelo gerente de digitalização.

O mecanismo de digitalização do Kaspersky Lab aceita a digitalização regular de arquivo e a digitalização de arquivo de script. Com a digitalização regular de arquivo, o objeto de entrada é um arquivo regular. O mecanismo combina o conteúdo de entrada com todas as assinaturas possíveis. Com a digitalização de arquivo de script, o objeto de entrada é um arquivo de script. Pode ser JavaScript, VBScript, script mIRC, bat scripts (arquivos bat DOS) e outros scripts de texto. O mecanismo combina o conteúdo de entrada apenas com assinaturas de arquivos de script. A digitalização de scripts só é aplicável a conteúdo HTML por meio do protocolo HTTP. Existem dois critérios para esse tipo de digitalização. Primeiro, o campo do tipo de conteúdo deste documento HTML deve ser texto ou HTML. Em segundo lugar, não existe codificação de conteúdo no cabeçalho HTTP. Se esses dois critérios são atendidos, um analisador de HTML é usado para analisar o documento HTML para scripts.

O mecanismo de digitalização do Kaspersky Lab não é suportado pelo Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 adiante. Para versões anteriores, o mecanismo de digitalização do Kaspersky Lab tem suporte para dois modos de digitalização:

• scan-all — essa opção diz ao mecanismo de digitalização para digitalizar todos os dados que receber.

• verificação por extensão — Essa opção baseia todas as decisões de digitalização das extensões de arquivo encontradas no tráfego em questão.

Ao analisar o conteúdo, você pode usar uma lista de extensão de arquivo para definir um conjunto de extensões de arquivo usadas no modo de digitalização da extensão do arquivo (verificação por extensão). O módulo antivírus pode digitalizar arquivos com extensões na lista de extensão de digitalização. Caso uma extensão não seja definida em uma lista de extensão, o arquivo com essa extensão não será digitalizado no modo digitalização por extensão. Caso não haja nenhuma extensão presente, o arquivo em questão será digitalizado.

Ao usar uma lista de extensão de arquivo para digitalizar o conteúdo, observe os seguintes requisitos:

• As entradas de extensão de arquivo são insensíveis para casos.

• O comprimento máximo da lista de nomes de extensão de arquivo é de 29 bytes.

• O comprimento máximo de cada entrada de extensão de arquivo é de 15 bytes.

• O número de entrada máximo em uma lista de extensão de arquivo é 255.

A verificação do Kaspersky Lab não é suportada pelo Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 adiante. Para versões anteriores, este exemplo mostra como configurar a digitalização completa de extensões de arquivo do antivírus.

A verificação do Kaspersky Lab não é suportada pelo Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 adiante. Para versões anteriores, o módulo antivírus permite configurar opções de digitalização em nível global, em nível UTM perfil ou em nível de política de firewall. Cada nível de configuração tem as seguintes implicações:

• Configurações globais de antivírus — As configurações são aplicadas a todas as sessões de antivírus. As configurações globais são configurações gerais para o módulo do antivírus ou configurações que não são específicas para perfis.

• Configurações baseadas em perfil — as configurações do antivírus são diferentes para protocolos diferentes dentro da mesma política.

• Configurações baseadas em políticas — as configurações do antivírus são diferentes para diferentes políticas. As configurações de antivírus baseadas em políticas são aplicadas a todos os tráfegos especificados por verificação definidos em uma política de firewall.

A maioria das configurações do antivírus está configurada em um perfil de antivírus, vinculado a protocolos especificados e usado por políticas designadas. Essas UTM são aplicadas ao tráfego de acordo com as políticas de firewall. Se uma política de firewall com uma configuração de antivírus estiver de acordo com as propriedades de um fluxo de tráfego, a configuração do antivírus será aplicada à sessão de tráfego. Portanto, você pode aplicar diferentes configurações de antivírus para diferentes protocolos e para sessões de tráfego diferentes.

A verificação do Kaspersky Lab não é suportada pelo Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 adiante. Para versões anteriores, este exemplo mostra como configurar configurações completas de verificação de antivírus em diferentes níveis.

A pré-proteção inteligente não é suportada pela versão 15.1X49-D10 Junos OS e a versão do Junos OS 17.3R1 adiante. Para versões anteriores, por padrão, a pré-tela inteligente está capacitada a melhorar o desempenho da digitalização de antivírus. O módulo antivírus geralmente começa a digitalizar dados depois que o dispositivo de gateway recebeu todos os pacotes de um arquivo. A pré-proteção inteligente informa ao módulo antivírus que comece a digitalr um arquivo muito antes. Nesse caso, o mecanismo de digitalização usa o primeiro pacote ou os primeiros pacotes para determinar se um arquivo poderia conter código malicioso. O mecanismo de verificação faz uma verificação rápida desses primeiros pacotes e, se achar pouco provável que o arquivo seja infectado, ele decide que é seguro burlar o procedimento normal de digitalização.

A pré-proteção inteligente destina-se apenas ao uso com tráfego não codificado. Ele não é aplicável para tráfego codificado MIME, protocolos de e-mail (SMTP, POP3, IMAP) e HTTP POST.

A pré-proteção inteligente não é suportada pelo Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 adiante. Para versões anteriores, este exemplo mostra como configurar a pré-proteção inteligente completa do antivírus. Por padrão, a pré-tela inteligente está habilitada para melhorar o desempenho da digitalização de antivírus.

O limite de tamanho do conteúdo não é suportado pela versão 15.1X49-D10 Junos OS e a versão do Junos OS 17.3R1 adiante. Para versões anteriores, devido às restrições do recurso, existe um limite dependente de dispositivo padrão no tamanho máximo de conteúdo do banco de dados. O valor do tamanho do conteúdo é configurável. Também existe um limite inferior e superior para o tamanho máximo do conteúdo. (Esse intervalo depende do dispositivo e não é configurável.)

A verificação do tamanho do conteúdo ocorre antes da solicitação de verificação ser enviada. O tempo exato disso é dependente do protocolo. Se o header de protocolo contiver um campo de comprimento de conteúdo preciso, a verificação do tamanho do conteúdo ocorre quando o campo de comprimento do conteúdo é extraído durante a análise do header. O tamanho do conteúdo geralmente refere-se ao tamanho do arquivo. Caso não haja campo de comprimento do conteúdo, o tamanho é verificado enquanto o módulo antivírus está recebendo pacotes. O tamanho do conteúdo, nesse caso, refere-se ao tamanho da carga TCP acumulada. Essa configuração pode ser usada em todos os protocolos.

O Limite da Camada de Descompressão não é suportado pelo Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 adiante. Para versões anteriores, o limite da camada de descompressão especifica quantas camadas de arquivos e arquivos compactados aninhados com objetos extraíveis internos, como arquivos de arquivo (tar), arquivos MS Word e PowerPoint, o leitor de antivírus interno pode descompactar antes de executar a digitalização do vírus. Por exemplo, se uma mensagem contiver um arquivo .zip comprimido que contenha outro arquivo .zip comprimido, haverá duas camadas de compressão. A descompressão de ambos os arquivos requer uma configuração de camada de descompressão de 2.

Vale notar que, durante a transferência de dados, alguns protocolos usam codificação de conteúdo. O mecanismo de verificação de antivírus deve decodificar essa camada, que é considerada um nível de descompressão, antes de examinar vírus.

Existem três tipos de dados comprimidos:

• arquivo comprimido (zip, rar, gzip)

• dados codificados (MIME)

• dados empacotados (OLE, . TAMPA. MSI. TAR. EML)

Uma camada de descompressão pode ser uma camada de um arquivo zipped ou um objeto integrado em dados empacotados. O mecanismo de antivírus verifica cada camada antes de desempacotar a próxima camada, até atingir o limite de descompressão configurado pelo usuário, atingir o limite da camada de descompressão do dispositivo, encontrar um vírus ou outro malware ou descompactar os dados por completo, o que ocorrer primeiro.

Conforme o banco de dados de assinatura de vírus se torna maior e os algoritmos de digitalização se tornam mais sofisticados, o mecanismo de digitalização tem a capacidade de examinar mais a fundo os dados para malware embarcado. Como resultado, ela pode revelar mais camadas de dados comprimidos. O Juniper Networks de segurança do dispositivo é limitado pelo limite de descompressão, que é baseado na memória alocada ao serviço de segurança. Caso um vírus não seja encontrado dentro do limite de descompressão, o usuário tem a opção de repassar ou soltar os dados. Essa configuração pode ser usada em todos os protocolos.

O parâmetro de timeout de digitalização não é suportado pelo Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 em diante. Para versões anteriores, o valor do timeout de digitalização inclui o período de tempo a partir do momento em que a solicitação de digitalização é gerada para quando o resultado da verificação é devolvido pelo mecanismo de digitalização. O intervalo de tempo pode ser de 1 a 1800 segundos. Por padrão, são 180 segundos.

O throttling da sessão de digitalização não é suportado pelo Junos OS Release 15.1X49-D10 e o Junos OS Release 17.3R1 adiante. Para versões anteriores, na tentativa de consumir todos os recursos disponíveis e impedir a capacidade do mecanismo de digitalização de digitalizar outro tráfego, um usuário mal-intencionado pode gerar uma grande quantidade de tráfego de uma só vez. Para evitar que essa atividade tenha sucesso, um acelerador de sessão é imposto para recursos de antivírus, restringindo assim a quantidade de tráfego que uma única fonte pode consumir ao mesmo tempo. O limite é um inteiro, com 100 como a configuração padrão. Esse número inteiro refere-se às sessões permitidas máximas de uma única fonte. Você pode alterar esse limite padrão, mas entender que, se esse limite for alto, isso é equivalente a nenhum limite.

O excesso de limites é uma configuração de reação rebaixa para o limite de conexão por cliente. O comportamento padrão do excesso de limites é bloquear sessões. Essa é uma configuração por política. Você pode especificar diferentes configurações para diferentes UTM políticas.