|
FAQ Kerio Control - McAfee: некогда интегрированная в межсетевой экран система антивирусной защиты, которая за много лет эксплуатации доказала свою высочайшую надежность. С версии 7 всех продуктов Kerio антивирус был заменен на механизм сканирования от Sophos. Однако, использование сканера McAfee в качестве антивирусного плагина хоть и не предусматривается больше разработчиками Kerio, однако является весьма полезным дополнением к защитным механизмам. |
Для работы антивирусного механизма McAfee в составе продуктов Kerio версий 7.0 и старше необходимо наличие:
- антивирусного плагина avir_mcafee.dll
- сканирующего механизма mcscan32.dll
- базы вирусных сигнатур - файлов avvnames.dat, avvscan.dat, avvclean.dat
- библиотек из состава версии 7.0.1
Антивирусный плагин, библиотека сканирующего механизма и файлы БД McAfee более не входит в пакет продуктов Kerio версии 7.0 и более поздних. Получить эти компоненты можно разными путями - скопировав их из различных источников, например здесь или установив на хост с Kerio какой-либо антивирусный продукт от McAfee. Обновления антивирусных баз также иожно производить в ручном режиме, копируя их с сайта производителя ftp://ftp.nai.com/commonupdater , автоматизировать этот процесс с использованием bat-файлов и простых консольных утилит или использовать встроенные возможности программных продуктов от McAfee или самого Kerio для полной автоматизации этого процесса.
В версии 7.2.0 обнаружена проблема с использованием McAfee в качестве второго плагина в определенных условиях. Проблема и способ ее решения описаны здесь.
ВАЖНО !!!
С 01.10.2011 г. с версии DAT-файлов обновлений 6500 антивирусный плагин McAfee во всех продуктах Kerio только имитирует свою работу, не используя описания сигнатур почти в полном объеме. В этой связи настоятельно рекомендуется не использовать McAfee во всех продуктах Kerio всех версий в качестве первого (встроенного) или в качестве единственного антивируса без дополнительной обработки файлов обновлений !!!
Рекомендуется внимательно почитать упомянутую информацию и сделать выводы.
Искренняя благодарность Tanuky за огромную проделанную работу по обнаружению и анализу проблемы и самую активную помощь по ее решению!
Прежде, чем начать установку McAfee, надо определиться в вопросе - каким образом мы планируем использовать этот антивирус - в качестве встроенного, отказавшись от Sophos, или в качестве второго вместе с Sophos. Выбор повлияет на способ обновления McAfee - внешний антивирус не обновляется вместе с внутренним, для него требуются дополнительные действия, например применение пакета KUAS. В качестве внутреннего антивируса McAfee будет обновляться автоматически без дополнительных действий. Для настройки автоматических обновлений используем пакет ukaip любой версии и почитаем инструкцию по его применению.
Каковы особенности размещения файлов McAfee для работы в составе Kerio Control? - их несколько:
1. Библиотека антивирусного плагина должна быть размещена в директории %KERIO_FODER%\avirplugins.
2. Файлы вирусных сигнатур должны быть размещены в директории, имеющей нименование в виде четых цифр, обозначающих версию БД (для работы сканера ни версия БД, ни имя этой директории никакого значения не имеет).
3. Библиотека сканирующего механизма mcscan32.dll должна размещаться в той же директории, что и директория с файлами вирусных сигнатур.
4. Путь к директории, в которой размещены сканирующий механизм и файлы антивирусной БД, указывается при подключении в свойствах плагина в административной консоли в качестве параметра DbPath - указывает полный путь к данной директории, UNC-пути не поддерживаются.
5. Обновление антивирусной базы может быть ограничено только заменой файлов типа avv*.dat без остановки сканера и службы Kerio.
Что требуется для версий Kerio 7.1.х и старше - наличие двух библиотек: ktlibeay80_0.9.8l.dll и ktssleay80_0.9.8l.dll из файлов установки Kerio версии 7.0.1 (входят в состав пакета). Эти библиотеки необходимо добавить в папку с установленным продуктом Control или Connect(), сохранив там же более новые версии этих библиотек - индекс n - без них сервис Kerio не запустится.
Что из этого следует? - два принципиальных момента:
1. Подключение антивирусного модуля McAfee производится один раз и не требует дальнейшего вмешательства.
2. Обновление антивирусных баз сводится к простому копированию обновленных dat-файлов в назначенное место.
3. Визуальный контроль за актуальностью антивирусных баз недостаточен для морального успокоения.
Что тогда выбрать для организации обновления? - любой из трех возможных вариантов:
- любой программный продукт, который производит обновление антивирусных баз McAfee, формируя при этом директорию с номером версии обновления и помещая туда dat-файлы. Так в чем проблема? А в том, что у McAfee нет таких продуктов - это выдумка Kerioтов ! Ну, тогда пусть Kerioты нам и помогут. Тем более, что фирма Kerio допустила промашку, выпустив продукт Kerio Connect версии 7.0.0 - там еще остался сканер от McAfee. Версия доступна в архиве на сайте Kerio или здесь. Скачиваем, устанавливаем и применяем известные всем патчи для снятия лицензионных ограничений, в том числе - для получения обновлений McAfee. В Kerio Connect останавливаем все службы и все функции (конечно, если мы не хотим пользоваться этим продуктом как отличным почтовым сервером), включаем встроенный антивирус и проверяем\настраиваем доступность обновлений. Если все работает, переходим к работе с Kerio Control.
- скрипт из состава пакета KUAS - control_mcafee.bat - автоматически загружающий и обновляющий сигнатурные базы McAfee;
- установить McAfee первым - встроенным - антивирусом и настроить путь для обновления или применением патча, или перенаправлением запросов на сайт update.nai.com., антивирус будет обновляться автоматически.
Что и как делаем в Kerio Control? - останавливаем службу прежде в сего.
1. Копируем файл avir_mcafee.dll из директории %KERIO_FODER%\MailServer\plugins\Avirs - например: C:\Program Files (x86)\Kerio\MailServer\plugins\Avirs в директорию %KERIO_FODER%\avirplugins - например C:\Program Files\Kerio\WinRoute Firewall\avirplugins ;
2. Стартуем службу Kerio Control.
3. На вкладке административной консоли "Фильтрация содержимого\Антивирусный сканер" включаем функцию "Использовать внешний антивирус" и выбираем плагин McAfee. Выбираем "Свойства" и редактируем параметр DbPath, указав значение пути к директории с анивирусными базами и сканером почтового сервера, например: C:\Program Files (x86)\Kerio\MailServer\mcafee .
Вот, собственно, и все. Скачаем EICAR и убедимся, что все работает по логу безопасности.
Интересная особенность: плагин McAfee можно использовать и в качестве первого (встроенного) антивируса, при этом в консоли управления отображаются правильные сведения о версии файла сигнатур. Такой вариант даст возможность обновлять McAfee автоматически, но исключит возможность использовать Sophos. Что и как использовать - личное решение каждого, но здравый смысл подсказывает, что оптимальный вариант - использовать встроенный Sophos и внешний платин McAfee, обновляемый пакетом KUAS.
Все действия по подключению плагина McAfee одинаковы как для межсетевого экрана, так и для почтового сервера.
ВНИМАНИЕ !!! Старт процесса, запускаемого плагином McAfee в версиях Kerio 7.1.х и старше, занимает очень продолжительное время, особенно в Kerio Контрол в качестве второго антивируса. При нехватке системных ресурсов или недостаточной производительности хоста процесс может зависнуть или вовсе не запуститься. Никакие манипуляции по увеличению системного параметра ServicesPipeTimeout или правка файла winroute.cfg не помогут - от использования McAfee в этом случае придется отказаться.
А что
дальше? - а дальше какое-то время плагин
McAfee
будет поддерживаться ядром Kerio, но ненадолго. А
отказываться от привычной макаки как-то не хочется..... А Kerioты и тут
за нас подумали - они все свои чудеса на виртуалки повыносили. А кто
сказал, что виртуалка живет без мастер-хоста, на котором еще очень долго
можно крутить старенькую версию Kerio как просто антивирусный сканер без
всякой поддержки со стороны Kerio, но с полным обновлением от
макаки......
Удачи !
