|
FAQ Kerio Control - McAfee в Kerio 7.2.х: решение проблемы при запуске McAfee в качестве второго антивирусного плагина. |
При подготовке этого материала огромная работа была проделана Tanuky.
Как правильно использовать антивирусный плагин McAfee в составе продуктов Kerio написано здесь, как применить патч для изменения настроек плагина для обновления с локального зеркала обновлений написано здесь. А сейчас мы рассмотрим способ избавления от проблемы с запуском плагина McAfee в качестве внешнего антивируса в версии Kerio Control 7.2.х.
Когда применять эти рекомендации?
Антивирусный плагин McAfee как правило без проблем запускается, якобы обновляется и якобы работает в версии Kerio 7.2.х с версией ДАТ-файлов до 6500 за единственным исключением:
ВАЖНО !!! в случае использования этого плагина в качестве второго антивируса в Kerio Control версии 7.2.х на операционной системе Windows 2008\Windows 7 с установленным Framework 4.x.
В остальных случаях - при других версиях Kerio, при использовании плагина McAfee как первого антивируса, в Kerio Коннект и при версии Framework 3.x эта проблема не возникает (пока якобы не возникает). Но я имею основания полагать, что данные рекомендации очень быстро потребуются всем пользователям макаки вне зависимости от версий Kerio. Во всех перечисленных случаях описанный ниже метод также будет успешно работать, выбор остается за пользователем.
В чем суть проблемы?
Как правило, на хосте, используемом под шлюз с установленным Kerio, редко встречаются какие-то дополнительные программы, требующие установки дополнительных системных компонент, в частности - Framework. С ростом возможностей железа - памяти, производительности и т.д. неизбежно возникает желание использовать имеющиеся ресурсы хоста не только для Kerio, но и каких-либо других целей, установив на этот хост одно-два-много дополнительных приложений, в том числе тех, которые используют для своей работы Framework. Корректно написанные приложения - например, Firebird - не требуют дополнительной установки Framework, устанавливая требующиеся ему библиотеки самостоятельно из собственного пакета дистрибуции, но таких умных программ мало и рано или поздно на хосте появляется скачанный у производителя Framework, который, успешно обновляясь, быстро повысит свою версию до 4.х. Так и случилось с одним господином Tanuky, который начал задавать много вопросов по этому поводу, поставив себе Kerio 7.2.0...
Само по себе такое действие - установка Framework 4.0 - не вызывало долгое время никаких видимых проблем для использования McAfee в Kerio до версии 7.2.0, изменения в которой и вызвало невозможность запуска плагина в указанных выше условиях. Т.е. проблем как бы не было, пока в версии Kerio 7.2.0 макака повела себя нестандартно - в одном очень редком случае перестала запускаться без видимых причин.
Внешним признаком наличия этой проблемы является невозможность запуска плагина McAfee в качестве ВТОРОГО (внешнего) антивируса в Kerio Control 7.2.х и, при этом, нормальная внешне его работа в любом качестве в Kerio Коннект 7.2.х и любых младших версиях Kerio Control.
ВАЖНО !!! Эта проблема серьезнее, чем только что описанный мелкий баг. Никто бы его не заметил, списали бы все на популярное объяснение типа "кривые руки" и успокоились бы, продолжая счастливо существовать в неведении. Ан нет.... Выяснилось, что проблема эта глобальная, просто обнаружилась почти случайно через мелкий недогляд кериотов. Как она обнаружилась, и какие выводы сделаны - об этом данная статья.
В чем содержание проблемы?
После не особо долгих раздумий и применения некоторых средств из набора специалистов по защите информации выяснилось, что для работы плагина McAfee в качестве внешнего антивируса в Kerio Control 7.2.х при наличии Framework 4.х требуется иная версия антивирусного сканера плагина, который, в свою очередь, использует измененный формат файлов сигнатур (файлов avv*.dat). Т.е. старый движок макаки не может работать с новыми файлами обновлений только в одном редком случае, когда он не способен использовать предлагаемые производителем файлы обновлений из-за изменения их формата и не способен их как-то трансформировать для собственного понимания. В результате запуск плагина аварийно прекращается с указанием в журнале дебага в Kerio о превышении таймаута операции. Старый плагин не может прочесть новые оригинальные ДАТ-файлы и в этом основное содержание проблемы. Что-то изменилось в ДАТ-файлах так, что они требуют другой библиотеки и собственной переделки.
ДАТ-файлы, распространяемые с сайта обновлений макак, с версии McAfee 6500 сильно уменьшились по размеру: файл avvclean.dat - с 6Мб до 600кб, файл avvnames.dat - с 2 Мб до 400 кб, файл avvscan.dat - с 160 Мб до 120 Мб. Вряд ли можно предположить, что макаки выбросили массу сигнатур, поэтому остается предположить только одно: изменен способ упаковки этих файлов, тем самым макаки решили воспрепятствовать свободному использованию своих обновлений без специального защитного механизма. (Если учесть, что их разрыв с кериотами прошел весьма болезненно и самолюбие макак сильно кериотами придавлено, то я лично не исключаю, что целью такого маневра являлись именно пользователи левого Kerio).
Заменить сканер, который юзают халявщики в Kerio, макаки никак не могут, они могут изменить только тот сканер, который доступен им через обновления ИХ продукта. Они могут заменить формат ДАТ-файлов, но это не просто с учетом проданных и поддерживаемых собственных программных продуктов, включая старые версии Kerio, а тут речь идет всего лишь о незначительном числе кериотских халавщиков. Значит, надо тихо заменить сканер и хитро изменить файлы сигнатур для понимания их обоими сканерами, но каждым - по своему. Как бы сверхзадача: внешне все оставить по старому, реально - сделать доступным только для своих, имеющих возможность трансформировать эти хитрости в нужный вид.
Если абстрагироваться от конкретного рассматриваемого бага и предположить, что возможен в принципе случай, когда сканер макаки не может прочесть родные ДАТ-файлы, и это происходит только при наличии специально установленного программного обеспечения, влияющего на всю операционную систему, значит сканер имеет дело с ДАТ-файлами, которые ему не родные, хотя внешне похожие на таковых.
Отсюда следует интересный вывод:
- если старый движок макаки в Kerio воспринимает распространяемый с сайта макак формат ДАТ-файлов, а в них нет (или недоступны для чтения) сведений о сигнатурах, значит использование старого движка с новыми обновами с сайта обновлений просто бессмысленно, т.е. сохраняется видимость защиты, которой вообще нет на самом деле !!!!!!!
Что это значит - а то, что надо забыть про старый движок и искать новый. Где - да там же, откуда пришел в Kerio старый движок - в продуктах McAfee, а не в Kerioтских дистрибутивах. Традиционно, макаки - корпоративный защитник, всякие персональные штуки они стали делать совсем недавно, поэтому искать будем в корпоративных продуктах макак, их не так уж и много. Что искать - файл с таким же названием, как и у старого движка - mcscan32.dll, иначе его не поймет Kerio. Приступим, начав с моей очень давней рекомендации - юзайте вот это !!!! Если кто пренебрег советом - мне вас не жаль, мне с вас смешно :)
ВЫВОД:
Как бы вот что-то произошло: макаки втихаря переделали формат своих файлов обновлений так, чтобы они нормально воспринимались старым движком, который все халявщики пользуют, но реально работали только с новым движком после их переделки. А кериоты вольно или невольно чуток недодумали с фреймворком и допустили ляп, описанный выше.
В общем, борьба кериотов с макаками закончилась всеобщей путаницей, которую ни те, ни другие даже не ожидали, а скорее всего - плевать на нее хотели, так что описываемая проблема - это баг, а не фича, возникший потому, что в "друзьях" согласья не было. Первым антивирусом макака как бы работает, но нам нужна (пока нужна) макака вторым антивирем, причем реально работающая макака !!!!!
Что бы можно было бы сделать?
Ну, здравый смысл подсказывает - заменить сканирующий движок и дать ему ДАТ-файлы в требуемом формате. Где же их взять-то?
Установите McAfee Enterprise 8.8, если вы не сделали это раньше, настройте сервера обновлений, если надо, и получите последние обновления всех компонентов с сайта McAfee. Минут двадцать придется подождать. Получили? Ну, посмотрим, что имеем.
Опускаю массу ненужных сейчас подробностей о конфигурации этой программы, нам сейчас важно, где находится движок, а он (поскольку это очень правильная программа) всегда располагается в папке %CommonProgramFile(x86)%\mcafee\engine. Мы знаем с давних пор, что ив 32- и в 64-битных версиях Kerio движок макаки всегда был одинаков, поэтому пренебрежем наличием в установленном нами продукте 64-битной версии.
Сделаем DIR и посмотрим, что же есть в этой папке:
26.10.2011 19:04 <DIR> ..
26.10.2011 19:04 7.029.621 avvclean.dat
26.10.2011 19:04 2.575.885 avvnames.dat
26.10.2011 19:04 172.316.517 avvscan.dat
12.01.2011 09:08 5.644 config.dat
12.01.2011 09:08 1.056 license.dat
12.01.2011 21:59 3.183.936 mcscan32.dll
18.10.2010 04:02 40.317 messages.dat
26.10.2011 19:04 124.980.188 mferuntime20111026190439966.dat
26.10.2011 19:04 <DIR> OldEngine
31.07.2009 05:40 213.047 scan.exe
12.01.2011 09:08 7.842 signlic.txt
24.07.2010 17:33 <DIR> x64
ОГО !!! Мы видим давно знакомые названия искомых файлов: и движок с размером файлов больше, чем у одолженного у Kerioтов, и более свежей даты выпуска, да еще и все три ДАТ-файла с размерами существенно большими, чем в архиве макак с обновлениями !!! Т.е. мы видим все, что нам надо в каком-то незнакомом нам варианте. Кроме того, странный файл с чудным именем удивительно похож по размеру на архив с сайта макак !!!
Поскольку ничего другого нам не остается, смело предполагаем, что вопрос решен, а потому попробуем проверить Kerio на устойчивость:
- забекапим старый движок и ДАТ-файлы, после чего удалим их, оставив папку с номером версии в папке .\mcafee\dat;
- скопируем новые файлы движка config.dat и mcscan32.dl в папку .\mcafee;
- скопируем все файла avv*.dat в оставшуюся в папке .\mcafee\dat папку с номером версии (ее наименование непринципиально, просто любые четыре цифры);
- запустим Kerio Control, войдем в консоль управления на вкладку антивирусы и актвизируем чек "Использовать внешнее антивирусное ПО". В выпадающем списке выберем "McAfee Scanning Engine" и нажмем кнопку "Параметры". Там проверим путь к макаке как написано здесь, на сервер обновлений внимания обращать не будем - он не используется, если плагин не первый (если мы хотим попробовать использовать макаку первым антивирусом для получения обновлений, то файл avir_mcafee.dll должен быть пропатчен как написано здесь, и сервер обновлений прописан в параметрах правильно). Жмем "Применить", ждем секунд 20 и радуемся жизни.
Потом мы отключим в Kerio Control оба антивируса - и внешний, и нашу макаку, остановим Kerio, пойдем в папку .\avirplugins и переименуем во что-нибудь файл avir_sophos.dll, а файл avir_mcafee.dll переименуем в avir_sophos.dll
- т.е. мы обманываем Kerio, заставляя считать макаку софосом и заюзать ее в качестве первого плагина, ака встроенного антивируса. Стартуем Kerio и включаем встроенный антивирус - видим в консоли версию движка и номер обновлений макаки, а не софоса, и пытаемся обновить антивирус. Если сервер обновлений был указан при патче и в параметрах правильно, то макака спокойно обновится, заменив правильные файлы сигнатур оригинальными с нечитаемой перепаковкой, т.е. вся наша работа пошла насмарку! Все типа как надо как бы и все в порядке, да только антивируса у нас уже нет! Тихонько так и незаметненько - молодцы иакаки ! Если есть желание, то все аналогичные манипуляции проделываем со старым движком в Коннекте, потом заменяем движок и повторяем маневры.
Что теперь осталось - только обновления.
Для начала сделаем выбор: каким номером будет выступать у нас макака в Kerio - первым или вторым. Напомню аргументы для выбора:
- старый движок использует странные уменьшенные ДАТ-файлы и неспособен работать вторым в определенных условиях. Зато его якобы обновление - давно отлаженный процесс;
- новый движок преобразует подозрительные ДАТ-файлы в более приемлемый с точки зрения здравого смысла вид, способен работать с любым продуктом версии 7.2.х в любом варианте. Зато с его обновлением пока что ничего не ясно, только руками как-бы.
- с каждой версией Kerioты все больше препятствий делают макакам, а теперь вот и макаки пошли войной на любителей халявы. Долго так не продлится.
Мораль: надо использовать новый движок, включать McAfee только вторым антивирусом вместе со встроенным софосом и делать механизм обновления ДАТ-файлов в новом формате. Никакие иные варианты не отвечают даже примитивному здравому смыслу.
Как обновляться новыми ДАТ-файлами?
Всего один путь - у кого-то их брать и копировать в папку с макакой в Kerio как положено.
Можно искать в Инете сервер, у которого есть установленный McAfee Enterprise 8.8 и доступна по какому-нибудь протоколу директория с движком.... Реально? Нет, я, например, такой ресурс в Инет не предоставлю.
Мы сами себе голова, поэтому брать обновы будем исключительно у себя - мы установили McAfee Enterprise 8.8, научили его обновляться автоматически, теперь осталось сделать скрипт control_mcafee, который будет автоматом копировать что надо куда надо, привязать его к планировщику задач McAfee Enterprise 8.8 (там есть такой) чтобы скрипт вызывался по окончанию обновления макаки и поместить этот скрипт в пакет KUAS
для использования грамотными людьми, прочитавшими и понявшими то, что здесь было написано. Для понявших опасность не до конца можно выложить новый движок макаки для Kerio.
Что еще не ясно?
Многое. Главное - непонятно, как макаки думают обмануть те купленные у них программы, которые не скачивают обновления движка, а только ДАТ-файлы;; нет проверенной информации о том, какие еще продукты McAfee могут быть использованы в качестве источника обновлений нового формата; нет уверенности, что старый механизм с урезанными ДАТ-файлами хоть как-то защищает от вирусни; что еще придумают макаки в продолжение своей войны с халявой и чем ответят дружественные им в данном эпизоде кериоты; ну и т.д.. Если есть какие-то мысли или дополнительная информация - присылайте, буду очень благодарен.
Заключение.
На мой взгляд, макаки по подлянке переплюнули и тупо зажравшихся кериотов, и не в меру испугавшихся есофтян : тихо, внешне никак не заметно, а гадость сделана максимальная, и потенциальный ущерб очень чувствительный. В общем, чувствуется лапа капитализма. Ну как, может купим лицуху у кериотов ? :)
Вот такая вот история получается печальная, а началось все с одного в целом пустячного трабла на одном компе из сотен у одного въедливого гражданина с ником Tanuky...... Чем закончится эта история почти неважно, но вот что могло бы быть, если бы не Framework на сервере с Kerio у этого гражданина не был зачем-то установлен?
И еще одно: Кериоты опять очень жидко облажались :)
Ну и совсем край: Kerioты заявили о подготовке к началу 2012 года релиза, предназначенного для частичной сертификации по нормам ФСТЭК. Что это значит: что должно быть убрано все то, что описано здесь, а кроме того - должна быть введена программная проверка целостности файлов, что значит - каюк патчам и подмене библиотек. Но это в идеале, реально все будет проще, но макаке в Kerio придет конец.
P.S. А плевать хотели кериоты на всякие условности - ничего подобного по сертификации они и не подумали сделать. А ФСТЭК в очередной раз продемонстрировал свою никчемность и непрофессионализм, пропустив не только такую дыру, но и еще много чего - см. здесь. Так что работает макака так, как здесь написано.
Удачи !
