Принципы работы

Компонент Dr.Web ICAPD использует протокол ICAP (Internet Content Adaptation Protocol, RFC 3507) для взаимодействия с внешним по отношению к программному комплексу Dr.Web для Интернет-шлюзов UNIX прокси-сервером, обслуживающим соединения узлов локальной сети с веб-серверами по протоколу HTTP/HTTPS.

Компонент получает от прокси-сервера запросы на проверку («адаптацию» в терминах протокола ICAP) как запросов, исходящих от локальных узлов к серверам, так и ответов, поступающих от серверов. Если URL, содержащийся в запросе клиента, находится в черном списке или принадлежит одной из категорий веб-ресурсов, отмеченной в качестве нежелательной для посещения, Dr.Web ICAPD, предписывает прокси-серверу вместо соединения с веб-сервером вернуть клиенту HTML-страницу, сформированную Dr.Web ICAPD на основании шаблона, поставляемого совместно с компонентом. Данная страница содержит сообщение о невозможности доступа к запрошенному ресурсу и описание причины отказа. Аналогичная страница формируется и возвращается прокси-сервером клиенту в случае если в содержимом запроса пользователя или ответа, поступившего от веб-сервера, Dr.Web ICAPD обнаружит угрозу, подлежащую блокировке, или если передаваемые данные не могут быть проверены из-за ошибки. Схема работы компонента показана на рисунке ниже.

Для проверки принадлежности URL той или иной категории компонент использует как базу категорий веб-ресурсов, регулярно обновляемую с серверов обновлений компании «Доктор Веб», так и опрашивает облачный сервис Dr.Web Cloud. Компания «Доктор Веб» поддерживает следующие категории веб-ресурсов:

•InfectionSource – сайты, содержащие вредоносное ПО («источники распространения вирусов»).

•NotRecommended – сайты, используемые для мошенничества («социальной инженерии») и не рекомендованные к посещению.

•AdultContent – сайты, содержащие материалы порнографического или эротического содержания, сайты знакомств и т. д..

•Violence – сайты, содержащие призывы к насилию, материалы о различных происшествиях с человеческими жертвами и т. д..

•Weapons – сайты, посвященные оружию и взрывчатым веществам, а также материалы с описанием их изготовления и т. д..

•Gambling – сайты, на которых размещены онлайн-игры на деньги, интернет-казино, аукционы, а также принимающие ставки и т. д.

•Drugs – сайты, пропагандирующие употребление, изготовление или распространение наркотиков и т. д.

•ObsceneLanguage – сайты, на которых содержится нецензурная лексика (в названиях разделов, статьях и пр.).

•Chats – сайты для обмена сообщениями в режиме реального времени.

•Terrorism – сайты, содержащие материалы агрессивно-агитационного характера, описания терактов и т. д.

•FreeEmail – сайты предоставляющие возможность бесплатной регистрации электронного почтового ящика.

•SocialNetworks – социальные сети общего характера, деловые, корпоративные и тематические социальные сети, а также тематические сайты знакомств.

•DueToCopyrightNotice – сайты, ссылки на которые указаны правообладателями произведений, защищенных авторскими правами (кинофильмы, музыкальные произведения и т. д.).

В настройках компонента системный администратор может определять, какие категории веб-ресурсов являются нежелательными для посещения пользователями. Дополнительно администратор может формировать собственные черные списки веб-ресурсов, доступ пользователей к которым будет блокироваться, а также белые списки веб-сайтов, доступ пользователей к которым будет разрешаться, даже если они входят в нежелательные категории. Запросы к облачному сервису Dr.Web Cloud производятся для URL, информация о которых отсутствует в локальных черных списках и базе категорий веб-ресурсов. Такие запросы выполняются с целью проверки, не имеется ли информации о вредоносности этих URL, полученной от других продуктов Dr.Web в режиме реального времени.

Один и тот же веб-сайт может принадлежать одновременно нескольким категориям. Доступ пользователя к такому веб-сайту будет заблокирован, если он принадлежит хотя бы одной из категорий, доступ к которой нежелателен.

Даже если веб-сайт включен пользователем в белый список, то отправляемые и загружаемые с него данные все равно проверяются на наличие угроз.

В силу особенностей протокола ICAP, проверка данных большого объема (образы .iso, большие архивы, файлы видео и т.п.) может занимать продолжительное время. Рекомендуется настроить ограничения по MIME-типу данных, подлежащих проверке, а также ограничить в настройках прокси-сервера HTTP максимальный размер данных, которые разрешено отправлять на проверку по протоколу ICAP (см. пример для прокси-сервера Squid).

Для регулярного автоматического обновления базы категорий веб-ресурсов с серверов обновлений компании «Доктор Веб» используется тот же компонент обновления Dr.Web Updater, который обновляет вирусные базы для сканирующего ядра Dr.Web Scanning Engine. Для обращения к облачному сервису Dr.Web Cloud используется компонент Dr.Web CloudD (использование облачного сервиса задается в основных настройках Dr.Web для Интернет-шлюзов UNIX, и при необходимости может быть отключено). Для проверки передаваемых данных Dr.Web ICAPD использует агента сетевой проверки данных Dr.Web Network Checker, который, в свою очередь, инициирует их проверку сканирующим ядром Dr.Web Scanning Engine.