Para os servidores da Web que estão sendo acelerados pelo recurso de proxy reverso do Novell BorderManager 3.7, a Novell adicionou um novo recurso Reconhecimento de Padrão de Vírus ao Novell BorderManager 3.7 que pode ajudar a proteger contra tais ataques. Este aprimoramento inclui recursos para facilitar sua configuração e monitoramento.
Para habilitar este recurso, você deve ter o versão mais recente do PROXY.NLM. Também serão necessárias as seguintes linhas no arquivo SYS:\ETC\PROXY\ PROXY.CFG, utilizadas para inicializar o Servidor NBM Proxy na inicialização:
[Extra Configuration]ScanVirusPatterns=1[Virus Pattern Configuration]NoOfVirusPatterns=0PatternSize=16PatternStartOffset=1EnablePatternAutoUpdate=1
Se você não tiver essas linhas no arquivo PROXY.CFG ao iniciar o Servidor Proxy, você receberá uma mensagem "comando de vírus não encontrado" no console do sistema quando você tenta inserir algum dos comandos do console descritos a seguir.
O recurso Configuração do Reconhecimento de Padrão de Vírus é obtido pelos comandos do console executados a partir do console do sistema. Como na maioria dos sistemas com base em console, as respostas aos comandos são gravadas novamente no console do sistema e registradas em um arquivo de registro (nesse caso, PROXY.LOG).
NOTA: A sintaxe do comando a seguir é especificada na notação BNF (Backus-Naur Format), um sistema formal de notação desenvolvido nos anos 60 para descrever a sintaxe de um determinado conjunto de comandos ou linguagem de programação de computador.
Depois que o Servidor proxy está ativo e em execução com seu banco de dados de padrão inicial carregado, você pode adicionar novos padrões enquanto o servidor estiver em execução. A sintaxe de comando do console para adicionar um novo padrão de vírus é:
virus add -p pattern -o origLength
em que pattern é uma string de caracteres de 16 bytes localizada no offset 1 na solicitação HTTP GET e origLength é o tamanho original da solicitação em bytes. Esses são pares de valores de opções obrigatórios. O valor da string para pattern deve estar entre aspas; o valor para origLength é fornecido como um inteiro. Por exemplo:
virus add -p "default.ida?NNNN" -o 385
O Servidor proxy olha para o offset especificado em cada solicitação recebida e lê os próximos 16 bytes. Se aquela string corresponder a qualquer um dos padrões existentes no banco de dados, a solicitação será considerada uma solicitação de vírus e será bloqueada.
NOTA: O tamanho do padrão e o offset inicial são definidos como 16 e 1, respectivamente, por padrão. Você pode alterar esses valores no arquivo PROXY.CFG, mas faça isso com cautela. Eles são parâmetros globais que se aplicam a todas as entradas no banco de dados de padrões.
Para excluir um padrão do banco de dados, use a mesma sintaxe, mas substitua o comando adicionar por del. Por exemplo:
virus del -p "default.ida?NNNN" -o 385
Outro aspecto do recurso Reconhecimento de Padrão de Vírus é a capacidade de atualizar o banco de dados como script, substituindo uma lista de vírus add . . . comandos em um arquivo NCF e executando o arquivo no console. Isso permite que você atualize o banco de dados de padrão de vírus sem ter que baixar o Servidor proxy.
Você pode usar o seguinte comando para gravar todas as entradas existentes no banco de dados em um arquivo NCF:
virus dump
O nome do arquivo de dump é SYS:\ETC\PROXY\VIRPAT.NCF. Esse arquivo NCF pode ser executado como parte do processo de reinicialização do Servidor proxy ou você pode executá-lo manualmente depois que o Servidor proxy foi carregado.
O Novell BorderManager 3.7 fornece um recurso de Atualização automática que detecta automaticamente as solicitações de vírus e adiciona seus padrões ao banco de dados. Esse método de exame de solicitação (auto-aprendizagem) heurístico do recurso é especialmente útil na detecção de padrões de solicitação de vírus alterados com freqüência.
Os heurísticos analisam a distribuição de solicitação recebida em uma quantidade de tempo especificada. Para esses heurísticos funcionarem, dois parâmetros devem ser adequadamente configurados:
Limite---Esse parâmetro define o número de novas solicitações que hash para o mesmo valor que será permitido no intervalo de tempo antes que essas solicitações sejam consideradas suspeitas. O valor padrão é 250; isso pode ser alterado pelo comando do console tempo -r de vírus.
Atualizar Intervalo de Tempo---Esse parâmetro define a quantidade de tempo, em segundos, depois do qual solicitações idênticas recebidas além do valor limite serão verificadas pelo conteúdo de padrão de vírus. O valor padrão é 10 segundos; isso pode ser alterado pelo comando do console de intervalo de tempo -r de vírus.
Quando mais de um número de limite de solicitações idênticas forem recebidas dentro do intervalo de tempo especificado, essa solicitação é considerada suspeita e é agendada para análise posterior por um processo em segundo plano. Nesse ínterim, o Servidor proxy continua a receber todas as solicitações de forma que as solicitações válidas nunca são bloqueadas.
A tela Configuração de Padrão de Vírus fornece informações que podem ajudá-lo a ajustar esses parâmetros para seu determinado sistema. Consulte "Choosing a proper threshold" para obter detalhes.
Há duas formas de habilitar o recurso Atualização Automática. Uma delas é inserindo o seguinte comando no console do sistema:
virus -e 1
NOTA: Especificar um valor 0 (zero) neste comando desabilitará a Atualização Automática.
A outra maneira é habilitar esse recurso para substituir a seguinte opção no arquivo PROXY.CFG:
[Virus Pattern Configuration]EnablePatternAutoUpdate=1
Os padrões de solicitação de vírus do mesmo tipo de vírus contêm strings de caracteres ou palavras-chave que podem ser usadas para identificar a solicitação. Por exemplo, todas as URLs com solicitações de vírus Code Red contêm a string CMD.EXE. Uma vez que a presença dessa string identifica a URL como uma solicitação de vírus, "cmd.exe" é uma palavra-chave.
NOTA: No exemplo de Code Red, adicionar *CMD.EXE * como uma regra de filtro em roteadores bloqueará todas as solicitações que contêm esta palavra-chave.
As palavras-chave entram em funcionamento apenas depois que uma solicitação tiver sido rotulada como suspeita pelos heurísticos descritos anteriormente. Nesse momento, a solicitação suspeita é verificada à procura da presença de determinadas palavras-chave. Se for encontrada uma correspondência, a solicitação será rotulada como uma solicitação de vírus e seu padrão será adicionado ao banco de dados. Quaisquer solicitações futuras contendo aquela palavra-chave serão automaticamente bloqueadas.
Para adicionar uma nova palavra-chave à lista de palavras-chave existentes, digite o seguinte comando no console do sistema:
virus add -k keyword
em que keyword é a string de caracteres que determina se uma solicitação suspeita é uma simples solicitação ou uma solicitação de vírus.
Devido à eficiência de um recurso poder ser melhor compreendida pelo monitoramento, o Servidor NBM Proxy inclui a tela Configuração de Padrão de Vírus. Todas as informações estatísticas e de configuração relacionadas a padrões de vírus são acompanhadas e exibidas nesta tela separada do console do servidor.
Uma vez que existe pouco overhead envolvido na verificação de solicitações HTTP recebidas, habilitar o recurso Reconhecimento de Padrão de Vírus não afeta adversamente o desempenho do Servidor NBM Proxy.