проверка веб-трафика Squid на вирусы при помощи ClamAV и c-icap
предыстория
В предыдущей статье (см. СР № 10 за 2005 г.) я описал настройку совместной работы ClamAV и Samba для прозрачной проверки загружаемых файлов. Но Samba - не единственный источник потенциальной вирусной угрозы, обычный веб-серфинг представляет собой намного большую угрозу, поскольку является внешним источником опасности. Samba же - внутренний источник. В антивирусной защите следует прежде всего контролировать (проверять) всю поступающую извне информацию, и на сегодняшний день один из основных таких источников - Интернет.
В этой статье я обратил внимание на проверку веб-трафика, проходящего через Squid на вирусы, используя ClamAV и c-icap.
С протоколом ICAP можно более подробно ознакомиться на сайте www.i-cap.org. Это наиболее верный способ антивирусной проверки веб-трафика. Также можно использовать редиректоры в Squid, но при больших нагрузках их полезность несколько сомнительна, поскольку они не позволяют распределить нагрузку. Так же редиректоры крайне ограничены в возможности обратного взаимодействия с пользователем.
Я принимал участие в бета-тестировании ICAP-демона от DrWeb, остался им доволен (несмотря не некоторые проблемы, не решенные на этот момент), но финансовая сторона вопроса меня сильно ограничивает, поэтому, в очередной раз, мой выбор пал на ClamAV.
получение необходимых файлов
Для дальнейших действий нам понадобятся:
- Исходный код Squid Proxy Server с поддержкой ICAP. Одну из возможных вариаций можно получить со страницы c-icap -http://sourceforge.net/projects/c-icap.Так же можно получить Squid с поддержкой ICAP от DrWeb -http://download.drweb.com/unix/Linux+(generic).Первый источник отличен от второго тем, что в первом не исправлена проблема с обрывом закачки, то есть при обрыве закачки клиентом прокси-сервер по любому скачивает файл до конца, что ведет к расходу трафика.
- c-icap - демон ICAP -http://sourceforge.net/projects/c-icap.
- последняя версия GNU/GPL-антивируса ClamAV - www.clamav.net.
установка и настройка ClamAV
О процессе установки и настройки ClamAV можно более подробно узнать из предыдущей статьи - "Использование ClamAV для проверки ресурсов Samba". Для работы не понадобится работающий демон clamd, так что можете смело пропустить его конфигурирование (clamd.conf), если он не используется или не будет использоваться в иных целях.
c-icap использует свой антивирусный модуль, основанный на ClamAV, поэтому нас интересует наличие в системе libclamav (он должен там быть, если установлен ClamAV). В случае отсутствия в системе libclamav c-icap просто не соберется.
установка и настройки c-icap с поддержкой ClamAV
Распакуем архив c_icap-220505.tar.gz в /usr/src (или туда, где у вас лежат исходные коды).
configure в каталоге с исходниками c-icap следует запускать со следующими параметрами:
$ ./configure --enable-static --with-clamav --prefix=/usr/local/c_icap
/* Или так, например, если --prefix=/opt/clamav для configure от ClamAV:
$ ./configure --enable-static --with-clamav=/opt/clamav --prefix=/usr/local/c_icap
*/
Демон c_icap собирается статически. --prefix так же можно указать по вкусу.
Можно собирать и сам демон:
$ make
Необходимо проверить, все ли верно собралось:
$ make check
И непосредственно установить c-icap в систему (в тот каталог, который был указан через --prefix):
# make install
Теперь необходимо исправить некоторые настройки в c-icap.conf. В случае нашего --prefix=/usr/local/c_icap не трудно догадаться, что конфиги лежат в /usr/local/c_icap/etc.
Рекомендую обратить внимание на следующие параметры:
- User лучше поставить nobody, поскольку wwwrun, указанный по умолчанию, скорее всего отсутствует в системе;
- TmpDir /tmp - ваш каталог временных файлов.
Далее необходимо настроить ACL (Access Control Lists) - список IP-адресов, которые могут использовать данный ICAP-демон:
acl localsquid_respmod src 127.0.0.1 type respmod
acl localsquid src 127.0.0.1
acl externalnet src 0.0.0.0/0.0.0.0
icap_access allow localsquid_respmod
icap_access allow localsquid
icap_access deny externalnet
Так возможно определить, откуда доступ к нашему сервису ICAP разрешен, а откуда нет. Заметьте, что в данных ACL определяется не список непосредственных клиентов прокси-сервера, а именно список клиентов демона ICAP, то есть список прокси-серверов (их IP-адреса).
Я составил ACL для случая работы демона ICAP и Squid на одном хосте.
- srv_clamav.ClamAvTmpDir /tmp - временный каталог для модуля ClamAV;
- srv_clamav.VirSaveDir /var/infected/ - каталог карантина;
- srv_clamav.VirHTTPServer "DUMMY".
/* Можно попробовать и так:
- srv_clamav.VirHTTPServer "http://proxy.your_srv_name.ru/cgi-bin/get_file.pl?usename=%f&remove=1&file="- URL скрипта на локальном веб-сервере, ссылка на который будет сообщена пользователю в уведомлении о попытке доступа к инфицированному объекту;
- опция srv_clamav.VirSaveDir может указывать на корень веб-сервера. Так можно дать пользователям возможность осознанно скачать инфицированный файл. Остается только воспользоваться файлом contrib/get_file.pl в исходных кодах c-icap.
У меня необходимости в этом не было. */
Создайте каталог /var/infected и сделайте его владельцем пользователя nobody.
Произведем пробный запуск c-icap:
# cd /usr/local/c_icap/bin
# ./c-icap
Если сообщений об ошибках нет, то стоит так же убедиться, что c-icap прослушивает нужный сокет:
# netstat -apn | grep 1344
Если видим нечто похожее на следующую строку, значит все в порядке:
tcp 0 0 *:1344 *:* LISTEN 24302/c-icap
Оставим демона c-icap работать и перейдем к дальнейшим настройкам.
установка и настройка прокси-сервера Squid
Распакуем в /usr/src сорсы Squid’а:
# tar zxvf squid-icap-2.5.STABLE11-20050927.tgz
Перейдем в каталог с исходниками и запустим configure так:
$ ./configure --enable-icap-support
/* До запуска configure в Squid от DrWeb необходимо запустить bootstrap.sh, находящийся в корневом каталоге исходных кодов Squid.
Если вы используете Squid от DrWeb, то обязательно прочитайте документацию из пакета drweb-icapd! */
Собираем Squid:
$ make
Устанавливаем:
# make install
Имеем установленный Squid в /usr/local/squid.
Теперь изменим настройки в squid.conf.
Необходимо найти пару строк:
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks
Раскомментировать их и установить собственное значение, вместо 192.168.1.0/24 192.168.2.0/24 (в моем случае пользователи прокси-сервера находились в сети 172.16.194.0/24):
Перейдите в /usr/local/squid/var, создайте каталог cache.
Теперь там же выполните команду:
# chown nobody cache/ logs/
Сменить владельца необходимо по той причине, что демон прокси-сервера будет запущен от пользователя nobody и не сможет писать логи и использовать кэш.
Осталось создать структуру каталогов для кэширования. Перейдите в /usr/local/squid/sbin и выполните:
# ./squid -z
/* По умолчанию параметр cache_dir в squid.conf задан так:
cache_dir ufs /usr/local/squid/var/cache 100 16 256
Вы можете изменить путь к кэшу (например, если он расположен у вас на другом разделе или жестком диске), и тогда необходимо проверить права на указанный вами каталог. */
На данном этапе мы имеем рабочий Squid, но без поддержки ICAP, то есть обычный кэширующий прокси-сервер.
/* Более подробно о настройке Squid можно узнать на squid.opennet.ru. */
добавим поддержку ICAP
Для поддержки ICAP в squid.conf должны быть добавлены следующие строки:
icap_enable on
icap_preview_enable on
icap_preview_size 128
icap_send_client_ip on
icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav
icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav
icap_class class_antivirus service_avi service_avi_req
icap_access class_antivirus allow all
На этом минимальное конфигурирование прокси-сервера закончено.
Запустим его:
# cd /usr/local/squid/sbin
# ./squid
Если все верно, то сообщений в консоли быть не должно.
проверка работоспособности
Добавьте прокси-сервер в вашем браузере (если проксирование не прозрачное) и откройте страницуhttp://www.eicar.com/anti_virus_test_file.htm.Попытайтесь скачать файл eicar.com. Если вы увидите подобное сообщение "A VIRUS FOUND ..." - значит все работает нормально.
Обратите внимание, что кэш прокси-сервера не должен содержать инфицированных объектов! Поэтому, перед началом использования Squid совместно с c-icap кэш лучше очистить.
Также учтите, что браузер имеет свой кэш.
обновление антивирусных баз ClamAV
Добавьте freshclam в crontab, как это сделать описывалось в предыдущей статье.
Реинициализация баз c-icap производится каждые srv_clamav.VirUpdateTime минут, этот параметр можно указать в c-icap.conf (по умолчанию - 15 минут).
файл c-icap.magic и типы проверяемых объектов
Данный файл может быть найден в том же каталоге, что и c-icap.conf, он представляет собой описание форматов различных групп-типов файлов (TEXT, DATA, EXECUTABLE, ARCHIVE, GRAPHICS, STREAM, DOCUMENT - определенные группы в c-icap.magic по умолчанию).
Антивирусная проверка строится по типам файлов, проходящих через проски-сервер, некоторые типы, например, можно исключить или добавить свои типы.
Формат записи строки, для определения файла по его magic-числу (последовательности):
offset:Magic:Type:Group:Desc
Offset - смещение, с которого начинается Magic-последовательность.
Type и Group - тип и группа, к которой следует относить файл с данной magic-последовательностью.
Desc - кратное описание, технической нагрузки не несет.
Обратите также внимание, что в c-icap.conf параметр srv_clamav.ScanFileTypes определяет группы и типы файлов (можно прописывать и группы, и типы), которые следует проверять.
Что определяет srv_clamav.VirScanFileTypes я окончательно не понял, но подозреваю, что принудительно проверяемые группы файлов (EXECUTABLE и ARCHIVE по умолчанию) либо группы файлов, которые пользователю скачивать запрещено. Если возникают проблемы с недоступнойстью некоторых файлов заданных типов, то предполагаю, проблема может скрываться в этой опции.
В моем конфиге c-icap вышеописанные параметры выглядят так:
srv_clamav.ScanFileTypes TEXT DATA EXECUTABLE ARCHIVE GRAPHICS STREAM DOCUMENT
srv_clamav.VirScanFileTypes EXECUTABLE ARCHIVE
возможные проблемы
1. Squid выдает сообщение "ICAP protocol error", страницы не открываются.
Проверьте верно ли вы указали ACL в c-icap.conf, в данном ACL должен быть разрешен доступ не для пользователей, а для прокси-сервера. Попробуйте завершить процессы Squid и c-icap, а затем запустить их в следующем порядке - сначала c-icap, а затем Squid.
Также такая ошибка может возникать, если демону с-icap не хватает прав на запись в карантинный каталог или в лог-файлы.
Если проблема так и не решилась, то попробуйте запустить Squid и c-icap со следующими параметрами:
# ./squid -d 10 -N -X
# ./c-icap -N -d 10 -D
Увидите подробную информацию, по которой можно разобраться что где не так.
2. Squid выдает сообщение "ICAP protocol error" только на некоторых страницах (на одних и тех же).
Все-таки проверьте, есть ли у c-icap права на запись в карантинный каталог (а еще лучше сделать владельцем всех карантинных каталогов пользователя, под которым запущен c-icap).
Попробуйте запустить c-icap и Squid в режиме отладки (как это сделать сказано выше).
Также неплохо посмотреть логи c-icap.
Попробуйте снова загрузить объект, на котором возникает ошибка. Возможно вы узнаете намного больше о проблеме и сможете ее решить.
итоги
Теперь и веб-серфинг защищен от вирусов и прочего вредоносного кода (в том числе и некоторых эксплойтов для MSIE), теперь можно путешествовать по Интернет намного безопаснее.
Как корпоративное решение для сервера с большой нагрузкой этот метод не опробован, но, думаю, может быть реализован (хотя бы потому, что нагрузку можно распределить на несколько ICAP-серверов). Как решение для небольшой организации - вполне актуально.
И помните, что разработчики пишут на своем сайте: «The Antivirus ClamAV service. This service is under development.»
О некоторых принципах работы протокола ICAP на русском можно узнать из руководства DrWeb-ICAPd - одна из успешных коммерческих реализаций протокола ICAP. Также можно прочесть RFC 3507.
Комфортной и безопасной вам работы! Спасибо за внимание.
umask aka Илья, MATI-RSTU, app-math dept, umask@yandex.ru.
В предыдущей статье (см. СР № 10 за 2005 г.) я описал настройку совместной работы ClamAV и Samba для прозрачной проверки загружаемых файлов. Но Samba - не единственный источник потенциальной вирусной угрозы, обычный веб-серфинг представляет собой намного большую угрозу, поскольку является внешним источником опасности. Samba же - внутренний источник. В антивирусной защите следует прежде всего контролировать (проверять) всю поступающую извне информацию, и на сегодняшний день один из основных таких источников - Интернет.
В этой статье я обратил внимание на проверку веб-трафика, проходящего через Squid на вирусы, используя ClamAV и c-icap.
С протоколом ICAP можно более подробно ознакомиться на сайте www.i-cap.org. Это наиболее верный способ антивирусной проверки веб-трафика. Также можно использовать редиректоры в Squid, но при больших нагрузках их полезность несколько сомнительна, поскольку они не позволяют распределить нагрузку. Так же редиректоры крайне ограничены в возможности обратного взаимодействия с пользователем.
Я принимал участие в бета-тестировании ICAP-демона от DrWeb, остался им доволен (несмотря не некоторые проблемы, не решенные на этот момент), но финансовая сторона вопроса меня сильно ограничивает, поэтому, в очередной раз, мой выбор пал на ClamAV.
получение необходимых файлов
Для дальнейших действий нам понадобятся:
- Исходный код Squid Proxy Server с поддержкой ICAP. Одну из возможных вариаций можно получить со страницы c-icap -http://sourceforge.net/projects/c-icap.Так же можно получить Squid с поддержкой ICAP от DrWeb -http://download.drweb.com/unix/Linux+(generic).Первый источник отличен от второго тем, что в первом не исправлена проблема с обрывом закачки, то есть при обрыве закачки клиентом прокси-сервер по любому скачивает файл до конца, что ведет к расходу трафика.
- c-icap - демон ICAP -http://sourceforge.net/projects/c-icap.
- последняя версия GNU/GPL-антивируса ClamAV - www.clamav.net.
установка и настройка ClamAV
О процессе установки и настройки ClamAV можно более подробно узнать из предыдущей статьи - "Использование ClamAV для проверки ресурсов Samba". Для работы не понадобится работающий демон clamd, так что можете смело пропустить его конфигурирование (clamd.conf), если он не используется или не будет использоваться в иных целях.
c-icap использует свой антивирусный модуль, основанный на ClamAV, поэтому нас интересует наличие в системе libclamav (он должен там быть, если установлен ClamAV). В случае отсутствия в системе libclamav c-icap просто не соберется.
установка и настройки c-icap с поддержкой ClamAV
Распакуем архив c_icap-220505.tar.gz в /usr/src (или туда, где у вас лежат исходные коды).
configure в каталоге с исходниками c-icap следует запускать со следующими параметрами:
$ ./configure --enable-static --with-clamav --prefix=/usr/local/c_icap
/* Или так, например, если --prefix=/opt/clamav для configure от ClamAV:
$ ./configure --enable-static --with-clamav=/opt/clamav --prefix=/usr/local/c_icap
*/
Демон c_icap собирается статически. --prefix так же можно указать по вкусу.
Можно собирать и сам демон:
$ make
Необходимо проверить, все ли верно собралось:
$ make check
И непосредственно установить c-icap в систему (в тот каталог, который был указан через --prefix):
# make install
Теперь необходимо исправить некоторые настройки в c-icap.conf. В случае нашего --prefix=/usr/local/c_icap не трудно догадаться, что конфиги лежат в /usr/local/c_icap/etc.
Рекомендую обратить внимание на следующие параметры:
- User лучше поставить nobody, поскольку wwwrun, указанный по умолчанию, скорее всего отсутствует в системе;
- TmpDir /tmp - ваш каталог временных файлов.
Далее необходимо настроить ACL (Access Control Lists) - список IP-адресов, которые могут использовать данный ICAP-демон:
acl localsquid_respmod src 127.0.0.1 type respmod
acl localsquid src 127.0.0.1
acl externalnet src 0.0.0.0/0.0.0.0
icap_access allow localsquid_respmod
icap_access allow localsquid
icap_access deny externalnet
Так возможно определить, откуда доступ к нашему сервису ICAP разрешен, а откуда нет. Заметьте, что в данных ACL определяется не список непосредственных клиентов прокси-сервера, а именно список клиентов демона ICAP, то есть список прокси-серверов (их IP-адреса).
Я составил ACL для случая работы демона ICAP и Squid на одном хосте.
- srv_clamav.ClamAvTmpDir /tmp - временный каталог для модуля ClamAV;
- srv_clamav.VirSaveDir /var/infected/ - каталог карантина;
- srv_clamav.VirHTTPServer "DUMMY".
/* Можно попробовать и так:
- srv_clamav.VirHTTPServer "http://proxy.your_srv_name.ru/cgi-bin/get_file.pl?usename=%f&remove=1&file="- URL скрипта на локальном веб-сервере, ссылка на который будет сообщена пользователю в уведомлении о попытке доступа к инфицированному объекту;
- опция srv_clamav.VirSaveDir может указывать на корень веб-сервера. Так можно дать пользователям возможность осознанно скачать инфицированный файл. Остается только воспользоваться файлом contrib/get_file.pl в исходных кодах c-icap.
У меня необходимости в этом не было. */
Создайте каталог /var/infected и сделайте его владельцем пользователя nobody.
Произведем пробный запуск c-icap:
# cd /usr/local/c_icap/bin
# ./c-icap
Если сообщений об ошибках нет, то стоит так же убедиться, что c-icap прослушивает нужный сокет:
# netstat -apn | grep 1344
Если видим нечто похожее на следующую строку, значит все в порядке:
tcp 0 0 *:1344 *:* LISTEN 24302/c-icap
Оставим демона c-icap работать и перейдем к дальнейшим настройкам.
установка и настройка прокси-сервера Squid
Распакуем в /usr/src сорсы Squid’а:
# tar zxvf squid-icap-2.5.STABLE11-20050927.tgz
Перейдем в каталог с исходниками и запустим configure так:
$ ./configure --enable-icap-support
/* До запуска configure в Squid от DrWeb необходимо запустить bootstrap.sh, находящийся в корневом каталоге исходных кодов Squid.
Если вы используете Squid от DrWeb, то обязательно прочитайте документацию из пакета drweb-icapd! */
Собираем Squid:
$ make
Устанавливаем:
# make install
Имеем установленный Squid в /usr/local/squid.
Теперь изменим настройки в squid.conf.
Необходимо найти пару строк:
#acl our_networks src 192.168.1.0/24 192.168.2.0/24
#http_access allow our_networks
Раскомментировать их и установить собственное значение, вместо 192.168.1.0/24 192.168.2.0/24 (в моем случае пользователи прокси-сервера находились в сети 172.16.194.0/24):
Перейдите в /usr/local/squid/var, создайте каталог cache.
Теперь там же выполните команду:
# chown nobody cache/ logs/
Сменить владельца необходимо по той причине, что демон прокси-сервера будет запущен от пользователя nobody и не сможет писать логи и использовать кэш.
Осталось создать структуру каталогов для кэширования. Перейдите в /usr/local/squid/sbin и выполните:
# ./squid -z
/* По умолчанию параметр cache_dir в squid.conf задан так:
cache_dir ufs /usr/local/squid/var/cache 100 16 256
Вы можете изменить путь к кэшу (например, если он расположен у вас на другом разделе или жестком диске), и тогда необходимо проверить права на указанный вами каталог. */
На данном этапе мы имеем рабочий Squid, но без поддержки ICAP, то есть обычный кэширующий прокси-сервер.
/* Более подробно о настройке Squid можно узнать на squid.opennet.ru. */
добавим поддержку ICAP
Для поддержки ICAP в squid.conf должны быть добавлены следующие строки:
icap_enable on
icap_preview_enable on
icap_preview_size 128
icap_send_client_ip on
icap_service service_avi_req reqmod_precache 0 icap://localhost:1344/srv_clamav
icap_service service_avi respmod_precache 1 icap://localhost:1344/srv_clamav
icap_class class_antivirus service_avi service_avi_req
icap_access class_antivirus allow all
На этом минимальное конфигурирование прокси-сервера закончено.
Запустим его:
# cd /usr/local/squid/sbin
# ./squid
Если все верно, то сообщений в консоли быть не должно.
проверка работоспособности
Добавьте прокси-сервер в вашем браузере (если проксирование не прозрачное) и откройте страницуhttp://www.eicar.com/anti_virus_test_file.htm.Попытайтесь скачать файл eicar.com. Если вы увидите подобное сообщение "A VIRUS FOUND ..." - значит все работает нормально.
Обратите внимание, что кэш прокси-сервера не должен содержать инфицированных объектов! Поэтому, перед началом использования Squid совместно с c-icap кэш лучше очистить.
Также учтите, что браузер имеет свой кэш.
обновление антивирусных баз ClamAV
Добавьте freshclam в crontab, как это сделать описывалось в предыдущей статье.
Реинициализация баз c-icap производится каждые srv_clamav.VirUpdateTime минут, этот параметр можно указать в c-icap.conf (по умолчанию - 15 минут).
файл c-icap.magic и типы проверяемых объектов
Данный файл может быть найден в том же каталоге, что и c-icap.conf, он представляет собой описание форматов различных групп-типов файлов (TEXT, DATA, EXECUTABLE, ARCHIVE, GRAPHICS, STREAM, DOCUMENT - определенные группы в c-icap.magic по умолчанию).
Антивирусная проверка строится по типам файлов, проходящих через проски-сервер, некоторые типы, например, можно исключить или добавить свои типы.
Формат записи строки, для определения файла по его magic-числу (последовательности):
offset:Magic:Type:Group:Desc
Offset - смещение, с которого начинается Magic-последовательность.
Type и Group - тип и группа, к которой следует относить файл с данной magic-последовательностью.
Desc - кратное описание, технической нагрузки не несет.
Обратите также внимание, что в c-icap.conf параметр srv_clamav.ScanFileTypes определяет группы и типы файлов (можно прописывать и группы, и типы), которые следует проверять.
Что определяет srv_clamav.VirScanFileTypes я окончательно не понял, но подозреваю, что принудительно проверяемые группы файлов (EXECUTABLE и ARCHIVE по умолчанию) либо группы файлов, которые пользователю скачивать запрещено. Если возникают проблемы с недоступнойстью некоторых файлов заданных типов, то предполагаю, проблема может скрываться в этой опции.
В моем конфиге c-icap вышеописанные параметры выглядят так:
srv_clamav.ScanFileTypes TEXT DATA EXECUTABLE ARCHIVE GRAPHICS STREAM DOCUMENT
srv_clamav.VirScanFileTypes EXECUTABLE ARCHIVE
возможные проблемы
1. Squid выдает сообщение "ICAP protocol error", страницы не открываются.
Проверьте верно ли вы указали ACL в c-icap.conf, в данном ACL должен быть разрешен доступ не для пользователей, а для прокси-сервера. Попробуйте завершить процессы Squid и c-icap, а затем запустить их в следующем порядке - сначала c-icap, а затем Squid.
Также такая ошибка может возникать, если демону с-icap не хватает прав на запись в карантинный каталог или в лог-файлы.
Если проблема так и не решилась, то попробуйте запустить Squid и c-icap со следующими параметрами:
# ./squid -d 10 -N -X
# ./c-icap -N -d 10 -D
Увидите подробную информацию, по которой можно разобраться что где не так.
2. Squid выдает сообщение "ICAP protocol error" только на некоторых страницах (на одних и тех же).
Все-таки проверьте, есть ли у c-icap права на запись в карантинный каталог (а еще лучше сделать владельцем всех карантинных каталогов пользователя, под которым запущен c-icap).
Попробуйте запустить c-icap и Squid в режиме отладки (как это сделать сказано выше).
Также неплохо посмотреть логи c-icap.
Попробуйте снова загрузить объект, на котором возникает ошибка. Возможно вы узнаете намного больше о проблеме и сможете ее решить.
итоги
Теперь и веб-серфинг защищен от вирусов и прочего вредоносного кода (в том числе и некоторых эксплойтов для MSIE), теперь можно путешествовать по Интернет намного безопаснее.
Как корпоративное решение для сервера с большой нагрузкой этот метод не опробован, но, думаю, может быть реализован (хотя бы потому, что нагрузку можно распределить на несколько ICAP-серверов). Как решение для небольшой организации - вполне актуально.
И помните, что разработчики пишут на своем сайте: «The Antivirus ClamAV service. This service is under development.»
О некоторых принципах работы протокола ICAP на русском можно узнать из руководства DrWeb-ICAPd - одна из успешных коммерческих реализаций протокола ICAP. Также можно прочесть RFC 3507.
Комфортной и безопасной вам работы! Спасибо за внимание.
umask aka Илья, MATI-RSTU, app-math dept, umask@yandex.ru.
Сетевые решения. Статья была опубликована в номере 12 за 2005 год в рубрике sysadmin
