همانطور که می دانید کریو کنترل یکی از فایروال های محبوب مورد استفاده در شبکه های کوچک و متوسط می باشد.در کریو کنترل یک engine آنتی ویروس به صورت یکپارچه وجود دارد که با جلوگیری از ورود فایل های آلوده و ویروس ها به شبکه،تا حدی به حفظ امنیت شبکه کمک می کند.
ماژول آنتی ویروس کریو کنترل قبلا توسط کمپانی Sophos ارائه می شد اما مدتیست که به Bitdefender تغییر کرده است.
توجه: استفاده از ویژگی آنتی ویروس کریو کنترل و آپدیت کردن آن به صورت قانونی، نیازمند لایسنس مجزای مربوط به خود می باشد.
البته در نسخه های کریو کنترل که کاربران از سایت های ایرانی دریافت می کنند، معمولاً ماژول آنتی ویروس فعال می باشد
آنتی ویروس کریو کنترل توانایی اسکن کردن فایل هایی که توسط 4 پروتکل زیر از اینترنت دریافت می شوند را دارا می باشد :
HTTP, FTP, SMTP , POP3
شرایط و محدودیت های آنتی ویروس کریو کنترل
1- اسکن کردن آنتی ویروس فقط بر روی ترافیک رول هایی اعمال می شود که protocol inspector ی که آنتی ویروس کریو را ساپورت می کند، روی آن رول اعمال می شود.
2- فرایند اسکن و شناسایی ویروس ها در مورد ترافیک هایی که توسط پروتکل SSL/TLS تبادل می شوند قابل انجام نمی باشد،زیرا آنتی ویروس کریو نمی تواند چنین ترافیک هایی را رمزگشایی کند و آبجکت های دورن آن را تفکیک کند.
3- در خصوص اسکن هایی که کریو روی ایمیل ها انجام میدهد، کریو فقط فایل های ضمیمه attachment آلوده را حذف می کند،اما نمی تواند کل ایمیل را drop کند.
4- در خصوص ترافیک SMTP فقط ترافیک Incoming چک می شود ( مثلا ایمیل هایی که از اینترنت به شبکه داخلی ارسال می شوند)،
اما چک کردن ترافیک خروجی outgoing باعث بروز اختلالاتی می شود که در نهایت منجر به این می شود که ارسال ایمیل و تحویل آن به گیرنده با مشکل مواجه شود.
5- در خصوص ترافیک هایی که در آنها یک پورت غیر استاندارد به جای پورت اصلی پروتکل تعیین کرده باشیم،(مثلا پروتکل http با پورت 81 )، protocol inspector مربوط به آن پروتکل به صورت اتوماتیک اعمال نمی شود.در این صورت باید باید سرویس یا پروتکلی را تعیین کنیم که اجازه دریافت این ترافیک را توسط آن protocol inspector بدهد.
6- اگر در تنظیمات کریو کنترل، content rule های سخت گیرانه ای را اعمال کرده اید که دسترسی به سایت های زیادی را بلاک می کند،ابتدا باید اطمینان حاصل کنید که آنتی ویروس کریو می تواند به URL های زیر دسترسی داشته باشد :
bdupdate.kerio.com
bdupdate-cdn.kerio.com
اطلاعات بیشتر در خصوص content rule ها را می توانید در بخش Configuring the Content Filter مشاهده نمایید.
نحوه کانفیگ کردن آنتی ویروس کریو کنترل
برای مشاهده تنظیمات بخش آنتی ویروس کریو کنترل، در کنسول کریو در پنل سمت چپ بر روی بخش antivirus کلیک کنید.
همانطور که در شکل زیر مشاهده می کنید، ماژول آنتی ویروس کریو به صورت پیش فرض هر 8 ساعت یکبار تلاش می کند تا دیتابیس خود را از طریق اینترنت آپدیت کند:
نکته : در خصو آپدیت شدن دیتابیس آنتی ویروس کریو، اگر فرایند آپدیت شدن به هر دلیلی fail شود، اطلاعات مفصلی در قسمت error Logs ثبت می شود که می توان آنها را مطالعه و بررسی کرد.
همانطور که مشاهده می کنید SMTP Scanning آنتی ویروس کریو به صورت پیشفرض غیر فعال می باشد و اگر این گزینه را فعال کنید،همانطور که قبلاً اشاره کردیم ویروس اسکن فقط بر روی inbound connections به بیان دیگر ایمیل های دریافتی از خارج به داخل شبکه اِعمال خواهد شد.
مطابق عکس فوق در بخش settings ، می توانیم تعیین کنیم که ماژول آنتی ویروس کریو فقط فایل هایی با ماکزیمم حجم مشخصی را دارند اسکن کند و فایل های حجیم تر را اسکن نخواهد کرد.
طبق تنظیمات پیش فرض این بخش کریو کنترل فقط فایل های تا حداکثر حجم 4096 کیلوبایت ( 4 مگابایت ) را اسکن می کند.
توجه داشته باشید که اگر این مقدار را افزایش دهید و کریو درگیر اسکن کردن فایل های حجیم شود،مقدار زیادی از ظرفیت پراسسور و فضای دیسک کریو درگیر این موضوع خواهند شدو ممکن است در عملکرد کلی کریو اختلال ایجاد شود و آن کانکشن به طور کامل قطع شود.
تنظیمات سربرگ سربرگ http, FTP scanning
همانطور که در ابتدای این مقاله بیان کردیم ، آنتی ویروس کریو کنترل توانایی اسکن تبادلات 4 پروتکل زیر را دارد:
HTTP, FTP, SMTP , POP3
حال در خصوص فایل هایی که توسط دو پروتکل HTTP و FTP دریافت می شوند تنظیمات بیشتری در اختیارتان است که در این سربرگ مشاهده می نمایید و می توانید تعیین کنید که در مورد این دو پروتکل، آنتی ویروس کریو چه نوع object هایی را اسکن نماید.
کریو فایل های دانلودی را ابتدا درون یک فایل temporary درون دیسک خود به طور موقت ذخیره می کند،و آخرین سگمنت آن فایل را درون خود کش می کند و سپس عملیات ویروس اسکن را بر روی آن سگمنت انجام می دهد.
اگر ویروسی را تشخیص دهد، آن سگمنت آخر فایل را drop می کند و این باعث می شود که فایل ناقص به کلاینت تحویل داده می شود و کلاینت نمی تواند آن فایل را اجرا کند و بدین ترتیب ویروس درون فایل نیز اجرا نخواهد شد.
توجه : آنتی ویروس کریو فقط می تواند فایل آلوده را شناسایی کند و آنرا drop کند اما نمی تواند فایل آلوده را ترمیم کند و فایل سالم را تحویل دهد.
نکته 1 : در خصوص ترافیک هایی که در content rule مربوطه ، گزینه Skip Antivirus scanning را فعال کرده باشیم، ویروس اسکن انجام نخواهد شد.
نکته 2: اگر کلاینت ها با استفاده از extension هایی مانند download manager ها و یا download accelerator ها فایل ها را از اینترنت دریافت می کنند Full functionality ویروس اسکن تضمین نمی شود.
در صورت فعال کردن آپشن اول، زمانی که کاربر قصد دانلود فایل آلوده به ویروس را دارد، کریو کنترل یک ایمیل اطلاع رسانی به آن ایمیل آن کاربر ارسال خواهد کرد که در آن بیان شده است که ویروس کشف شده و به دلایل امنیتی کریو دانلود را متوقف کرده است.
برای اینکه کریو کنترل این ایمیل را بتواند ارسال کند، 3 بخش زیر باید به طور صحیح کانفیگ شده باشند :
1- کاربر برای اتصال به کریو authenticate شده باشد.
2- بر روی آن user account یک آدرس ایمیل صحیح وارد شده باشد.
3- یک SMTP Server برای ارسال این ایمیل ها کانفیگ شده باشد.
در زیر آن طبق تنظیم پیشفرض اگر کریو کنترل نتواند فایل دریافتی را اسکن کند ( مثلا به دلیل corrupted بودن و یا encrypted بودن و یا compress بودن و یا password-protected بودن آن فایل ) ، اجازه انتقال آن فایل را نمی دهد و آن فایل را deny می کند.
در قسمت پایین در بخش scanning rules ، تعدادی رول پیش ساخته در خصوص http & FTP Scanning وجود دارند :
این رول ها از بالا به پایین بررسی و اعمال می شوند.مطابق رول آخر ، در خصوص دانلود فایل هایی که با هیچیک از رول های موجود match نشوند، کریو آن فایل ها را اسکن نخواهد کرد.توسط ساخت rule هایی می توانید تعیین کنید که آنتی ویروس کریو ، چه نوع فایل ها و extension هایی را اسکن نماید
و یا چه نوع فایل هایی را از اسکن کردن مستثنی نمادید.مثلا توسط ساخت یک Rule می توان تعیین کرد که آنتی ویروس کریو Audio files و یا video files را اسکن نکند.
توجه : مطابق عکس زیر هنگام ساخت رول جدید می توان رول را بر اساس یکی از این 4 نوع پارامتر تعریف نمود :
در تصویر زیر مثال هایی را در خصوص نحوه استفاده از هر پارامتر مشاهده می نمایید :
توجه : در این بخش اگر رولی را با استفاده از پارامتر MIME Type و یا URL بسازید و در آن از کاراکتر Asterisk یا همان * استفاده کنید ، آن رول بر روی تمام object های http اِعمال خواهد شد.
تنظیمات سربرگ Email Scanning
در سربرگ Email Scanning تنظیمات بیشتری را در خصوص اسکن نمودن ایمیل ها توسط ماژول آنتی ویروس کریو می توان انجام داد.
با فعال کردن گزینه اول، در صورتی که کریو در ایمیل ورودی به شبکه، ویروسی را تشخیص دهد، عبارتی دلخواهی که شما تعیین می کنید مثلاً **Virus** را به قسمت subject ایمیل اضافه می کند.
مطابق عکس فوق در کادر بعدی TLS connections اگر تیک گزینه را حذف کنید باعث می شود که کریو اجازه دریافت ایمیل هایی که توسط پروتکل TLS رمزنگاری شده اند را نخواهد داد.
توجه : این گزینه حتی اگر ماژول آنتی ویروس کریو را غیرفعال کرده باشید تاثیر خود را اعمال خواهد کرد.
در کادر آخر تعیین می شود که اگر آنتی ویروس کریو نتواند فایل ضمیمه Attachment ایمیل ها را به هر دلیل ( ازجمله corrupted شدن و یا encrypt شدن فایل ضمیمه ) اسکن کند، آن فایل attachment را از ایمیل حذف خواهد کرد و یا اجازه تحویل آن فایل را به گیرنده خواهد داد.