Шифрование и сжатие трафика

Режим шифрования используется для обеспечения безопасности данных, передаваемых по небезопасному каналу, и позволяет избежать возможного разглашения ценных сведений и подмены программного обеспечения, загружаемого на защищаемые станции.

Антивирусная сеть Dr.Web Enterprise Security Suite использует следующие криптографические средства:

Электронная цифровая подпись (ГОСТ Р 34.10-2001).

Асимметричное шифрование (VKO GOST R 34.10-2001 – RFC 4357).

Симметричное шифрование (ГОСТ 28147-89).

Криптографическая хэш-функция (ГОСТ Р 34.11-94).

Антивирусная сеть Dr.Web Enterprise Security Suite позволяет зашифровать трафик между Сервером и клиентами, к которым относятся:

Агенты Dr.Web.

Инсталляторы Агентов Dr.Web.

Соседние Серверы Dr.Web.

Прокси-серверы Dr.Web.

Ввиду того, что трафик между компонентами, в особенности между Серверами, может быть весьма значительным, антивирусная сеть позволяет установить сжатие этого трафика. Настройка политики сжатия и совместимость таких настроек на разных клиентах аналогичны настройкам для шифрования.

Политика согласования настроек

Политика использования шифрования и сжатия настраивается отдельно на каждом из компонентов антивирусной сети, при этом настройки остальных компонентов должны быть согласованы с настройками Сервера.

При согласовании настроек шифрования и сжатия на Сервере и клиенте следует иметь ввиду, что ряд сочетаний настроек является недопустимым, и их выбор приведет к невозможности установки соединения между Сервером и клиентом.

В таблице ниже приведены сведения о том, при каких настройках соединение между Сервером и клиентом будет зашифрованным/сжатым (+), при каких – не зашифрованным/не сжатым (), и о том, какие сочетания являются недопустимыми (Ошибка).

Совместимость настроек политик шифрования и сжатия

Настройки клиента

Настройки Сервера

Да

Возможно

Нет

Да

+

+

Ошибка

Возможно

+

+

Нет

Ошибка

Использование шифрования трафика создает заметную вычислительную нагрузку на компьютеры с производительностью, близкой к минимально допустимой для установленных на них компонентов. В тех случаях, когда шифрование трафика не требуется для обеспечения дополнительной безопасности, можно отказаться от этого режима.

Для отключения режима шифрования следует последовательно переключать Сервер и компоненты сначала в режим Возможно, не допуская создания несовместимых пар клиент-Сервер.

 

Использование сжатия уменьшает трафик, но значительно увеличивает потребление оперативной памяти и вычислительную нагрузку на компьютеры, в большей степени, чем шифрование.

Подключение через Прокси-сервер Dr.Web

При подключении клиентов к Серверу через Прокси-сервер Dr.Web необходимо учитывать настройки шифрования и сжатия на всех трех компонентах. При этом:

Настройки Сервера и Прокси-сервера (здесь играет роль клиента) должны согласовываться по таблице выше.

Настройки клиента и Прокси-сервера (здесь играет роль Сервера) должны согласовываться по таблице выше.

Возможность установки соединения через Прокси-сервер зависит от версий Сервера и клиента, поддерживающих определенные технологии шифрования:

Если Сервер и клиент поддерживают TLS-шифрование, используемое в версии 11.0.2, то достаточно выполнения вышеописанных условий для установления работающего соединения.

Если один из компонентов не поддерживает TLS-шифрование: на Сервере и/или клиенте установлена версия 10 и младше с шифрованием по ГОСТ, то выполняется дополнительная проверка по таблице ниже.

Совместимость настроек политик шифрования и сжатия при использовании  Прокси-сервера

Настройки соединения с клиентом

Настройки соединения с Сервером

Ничего

Сжатие

Шифрование

Все

Ничего

Обычный режим

Обычный режим

Ошибка

Ошибка

Сжатие

Обычный режим

Обычный режим

Ошибка

Ошибка

Шифрование

Ошибка

Ошибка

Прозрачный режим

Ошибка

Все

Ошибка

Ошибка

Ошибка

Прозрачный режим

Условные обозначения

Таким образом, если Сервер и Агент разных версий: один версии 11, а другой – версии 10 и младше, то для установленных соединений через Прокси-сервер применяются следующие ограничения:

Кэширование данных на Прокси-сервере возможно только в том случае, если оба соединения – и с Сервером и с клиентом установлены без использования шифрования.

Шифрование будет использоваться, только если оба соединения – и с Сервером, и с клиентом установлены с использованием шифрования и с одинаковыми параметрами сжатия (для обоих соединений есть сжатие или для обоих – нет).

Настройки шифрования и сжатия на Сервере

Чтобы задать настройки сжатия и шифрования Сервера:

1.Выберите пункт Администрирование в главном меню Центра управления.

2.В открывшемся окне выберите пункт управляющего меню Конфигурация Сервера Dr.Web.

3.На вкладке Сеть → Транспорт выберите в выпадающих списках Шифрование и Сжатие один из вариантов:

Да – шифрование (или сжатие) трафика со всеми клиентами обязательно (устанавливается по умолчанию для шифрования, если при установке Сервера не было задано другое).

Возможно – шифрование (или сжатие) будет выполняться для трафика с теми из клиентов, настройки которых этого не запрещают.

Нет – шифрование (или сжатие) не поддерживается (устанавливается по умолчанию для сжатия, если при установке Сервера не было задано другое).

При настройке шифрования и сжатия на стороне Сервера обратите внимание на особенности клиентов, которые планируется подключать к данному Серверу. Не все клиенты поддерживают шифрование и сжатия трафика.

Настройки шифрования и сжатия на Прокси-сервере

Чтобы централизовано задать настройки шифрования и сжатия для Прокси-сервера:

Если Прокси-сервер не подключен к Серверу Dr.Web для удаленного управления настройками, настройте подключение как описано в п. Подключение Прокси-сервера к Серверу Dr.Web.

1.Откройте Центр управления для Сервера, который является управляющим для Прокси-сервера.

2.Выберите пункт Антивирусная сеть в главном меню Центра управления, в открывшемся окне в иерархическом списке нажмите на название Прокси-сервера, настройки которого вы хотите отредактировать или его первичной группы, если настройки Прокси-сервера наследуются.

3.В открывшемся управляющем меню выберите пункт Прокси-сервер Dr.Web. Откроется раздел настроек.

4.Перейдите на вкладку Прослушивание.

5.В разделе Параметры соединения с клиентами, в выпадающих списках Шифрование и Сжатие выберите режим шифрования и сжатия трафика для каналов между Прокси-сервером и обслуживаемыми клиентами: Агентами и инсталляторами Агентов.

6.В разделе Параметры соединения с Серверами Dr.Web задается список Серверов, на которые будет перенаправляться трафик. Выберите в списке нужный Сервер и нажмите кнопку на панели инструментов данного раздела, чтобы отредактировать параметры соединения с выбранным Сервером Dr.Web. В открывшемся окне, в выпадающих списках Шифрование и Сжатие выберите режим шифрования и сжатия трафика для канала между Прокси-сервером и выбранным Сервером.

7.Для сохранения заданных настроек нажмите кнопку Сохранить.

Чтобы локально задать настройки шифрования и сжатия для Прокси-сервера:

Если Прокси-сервер подключен к управляющему Серверу Dr.Web для удаленной настройки, то конфигурационный файл Прокси-сервера будет перезаписан в соответствии с настройками, пришедшими с Сервера. В таком случае необходимо задавать настройки удаленно с Сервера или отключить настройку, разрешающую принимать конфигурацию с этого Сервера.

 

Описание конфигурационного файла drwcsd-proxy.conf приведено в документе Приложения, в разделе Приложении G4.

1.На компьютере, на котором установлен Прокси-сервер, откройте конфигурационный файл drwcsd-proxy.conf.

2.Отредактируйте настройки, отвечающие за сжатие и шифрование для соединений с клиентами и с Серверами.

3.Перезапустите Прокси-сервер:

Для ОС Windows:

Если Прокси-сервер запущен как сервис ОС Windows, перезапуск сервиса осуществляется штатными средствами системы.

Если Прокси-сервер запущен в консоли, для перезапуска нажмите Ctrl+Break.

Для ОС семейства UNIX:

Отправьте сигнал SIGHUP демону Прокси-сервера.

Выполните следующую команду:

Для ОС Linux:

/etc/init.d/dwcp_proxy restart

Для ОС FreeBSD:

/usr/local/etc/rc.d/dwcp_proxy restart

Настройки шифрования и сжатия на станциях

Чтобы централизовано задать настройки шифрования и сжатия станций:

1.Выберите пункт Антивирусная сеть в главном меню Центра управления, в открывшемся окне в иерархическом списке нажмите на название станции или группы.

2.В открывшемся управляющем меню выберите пункт Параметры подключения.

3.На вкладке Общие, в выпадающих списках Режим сжатия и Режим шифрования выберите один из вариантов:

Да – шифрование (или сжатие) трафика с Сервером обязательно.

Возможно – шифрование (или сжатие) будет выполняться для трафика с Сервером, если настройки Сервера этого не запрещают.

Нет – шифрование (или сжатие) не поддерживается.

4.Нажмите Сохранить.

5.Изменения вступят в силу, как только настройки будут переданы на станции. Если станции на момент изменения настроек отключены, изменения будут переданы как только станции подключатся к Серверу.

Агент Dr.Web для Windows

Настройки шифрования и сжатия могут быть заданы при установке Агента:

При дистанционной установке из Центра управления режим шифрования и сжатия задается непосредственно в настройках раздела Установка по сети.

При локальной установке графический инсталлятор не предоставляет возможность изменять режим шифрования и сжатия, однако данные настройки могут быть заданы при помощи ключей командной строки при запуске инсталлятора (см. документ Приложения, п. H2. Сетевой инсталлятор).

После установки Агента возможность локально изменять настройки шифрования и сжатия на станции не предоставляется. По умолчанию установлен режим Возможно (если в процессе установки не было задано другое значение), т.е. использование шифрования и сжатия зависит от настроек со стороны Сервера. Однако, настройки на стороне Агента могут быть изменены через Центр управления (см. выше).

Антивирус Dr.Web для Android

Антивирус Dr.Web для Android не поддерживает ни шифрование, ни сжатие. Подключение будет невозможно, если задано значение Да для шифрования и/или сжатия на стороне Сервера или Прокси-сервера (в случае соединения через Прокси-сервер).

Антивирус Dr.Web для Linux

При установке антивируса изменение режима шифрования и сжатия не предоставляется. По умолчанию установлен режим Возможно.

После установки антивируса возможность локально изменять настройки шифрования и сжатия на станции предоставляется только в консольном режиме. Описание консольного режима работы и соответствующих ключей командной строки приведено в Руководстве пользователя Dr.Web для Linux.

Также настройки на стороне станции могут быть изменены через Центр управления (см. выше).

Антивирус Dr.Web для macOS

Возможность локально изменять настройки шифрования и сжатия на станции не предоставляется. По умолчанию установлен режим Возможно, т.е. использование шифрования и сжатия зависит от настроек со стороны Сервера.

Настройки на стороне станции могут быть изменены через Центр управления (см. выше).