KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più
× Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Dr.Web - Creazione della rete antivirus

Creazione della rete antivirus di Dr.Web

Dr.Web Enterprise Security Suite consente di creare una rete antivirus con diversi Server Dr.Web. In questo caso, ciascuna postazione viene registrata su uno specifico Server Dr.Web, il che consente di distribuire il workload tra di essi.

Le relazioni tra i Server Dr.Web possono avere una struttura gerarchica, il che consente di distribuire in modo ottimale il carico sui Server Dr.Web.

Per lo scambio di informazioni tra i Server Dr.Web viene utilizzato uno specifico protocollo di sincronizzazione tra i server. Il protocollo di sincronizzazione tra i server offre queste funzionalità:

  • distribuzione degli aggiornamenti tra i Server Dr.Web all’interno della rete antivirus;
  • trasferimento veloce degli aggiornamenti ricevuti dai server SAM Dr.Web;
  • trasferimento tra i Server Dr.Web associati delle informazioni statistiche sullo stato delle postazioni protette;
  • trasferimento delle licenze per postazioni protette tra i Server Dr.Web adiacenti.

In questo tutorial vedremo come creare e installare una rete antivirus protetta da Dr.Web.

La prima cosa da fare è preparare uno schema della struttura della rete antivirus, includendo tutti i computer e i dispositivi mobile che volete siano protetti, quindi identificare il computer che svolgerà le funzioni di Server Dr.Web, rammentando che in una rete antivirus possono rientrare più Server Dr.Web.

Per installare il Server Dr.Web e l'Agent Dr.Web, è sufficiente accedere una volta ai relativi computer (fisicamente o utilizzando strumenti di gestione e di avvio programmi su remoto); le successive operazioni vengono eseguite dalla postazione di lavoro dell'amministratore della rete antivirus (anche probabilmente dall'esterno della rete locale) e non richiedono l’accesso ai Server Dr.Web o alle postazioni.

Quando si pianifica una rete antivirus, si consiglia inoltre di creare un elenco di persone che devono avere accesso al Pannello di controllo in base alle loro mansioni e di preparare un elenco di ruoli con una lista di responsabilità funzionali assegnate a ciascun ruolo; per ciascun ruolo deve essere creato un gruppo di amministratori e specifici amministratori specifici vengono associati a ruoli tramite l'inserimento dei loro account in gruppi di amministratori. Se necessario, i gruppi di amministratori (ruoli) possono essere gerarchicamente raggruppati in un sistema multilivello con la possibilità di configurare individualmente i permessi di accesso di amministratori per ciascun livello.

Per il corretto funzionamento di Agent Dr.Web su un sistema operativo Windows server, a partire da Windows Server 2016, è necessario disattivare manualmente Windows Defender utilizzando i criteri di gruppo.

Configurazione delle connessioni di rete

Al Server Dr.Web si connettono i client Agent Dr.Web, Installer di Agent Dr.Web, Server Dr.Web adiacenti e Server proxy Dr.Web. Ogni connessione viene sempre stabilita dal client.

Sono possibili i seguenti modi di connessione dei client al Server Dr.Web.

  • Tramite le connessioni dirette; questo approccio ha tanti vantaggi, ma non è sempre preferibile (ci sono perfino delle situazioni quando non si deve utilizzarlo).
  • Tramite il Servizio di rilevamento di Server Dr.Web, che è il modo predefinito utilizzato dai client. Questo approccio va utilizzato se è necessaria la riconfigurazione di tutto il sistema, in particolare, se si deve trasferire il Server Dr.Web su altro computer o cambiare l'indirizzo IP del computer su cui è installato il Server Dr.Web.
  • Tramite il protocollo SRV; questo approccio permette di cercare il Server Dr.Web per nome del computer e/o del servizio Server Dr.Web sulla base dei record SRV su server DNS. Se nelle impostazioni della rete antivirus Dr.Web Enterprise Security Suite è indicato l'utilizzo di connessioni dirette, il Servizio di rilevamento di Server Dr.Web può essere disattivato. Per farlo, nella descrizione dei trasporti (Amministrazione → Configurazione del Server Dr.Web → scheda Rete → scheda Trasporto) si deve lasciare vuoto il campo Gruppo multicast.

Dr.Web - Connessioni dirette

Nelle impostazioni del Server Dr.Web deve essere indicato l'indirizzo sul quale mettere in “ascolto” il Server Dr.Web per la ricezione delle connessioni TCP in arrivo. Tale parametro viene indicato nelle impostazioni del Server Dr.Web Amministrazione → Configurazione del Server Dr.Web → scheda Rete → scheda Trasporto → campo Indirizzo.

Per impostazione predefinita il Server Dr.Web "è in ascolto" con i seguenti parametri:

  • Indirizzo: valore vuoto; utilizza tutte le interfacce di rete per questo computer su cui è installato Server Dr.Web;
  • Porta: 2193; utilizza la porta 2193 (quest’ultima è assegnata a Dr.Web Enterprise Management Service in IANA).

Per il corretto funzionamento di tutto il sistema Dr.Web Enterprise Security Suite, è sufficiente che il Server Dr.Web sia in “ascolto” su almeno una porta TCP e che questa sia conosciuta da tutti i client.

Servizio di rilevamento di Server Dr.Web

Con questo metodo di connessione il client non conosce inizialmente l'indirizzo del Server Dr.Web. Ogni volta prima di stabilire la connessione, il client cerca il Server Dr.Web nella rete. Per farlo, il client invia nella rete una richiesta broadcast e attende una risposta dal Server Dr.Web in cui è indicato il suo indirizzo. Dopo aver ricevuto la risposta, il client stabilisce una connessione al Server Dr.Web; per questo motivo, il Server Dr.Web deve rimanere in ascolto di tali richieste sulla rete.

Sono possibili diverse varianti di configurazione di questo schema. È importante che il metodo di ricerca del Server Dr.Web, impostato per i client, sia coerente con le impostazioni della parte di risposta del Server Dr.Web.

In Dr.Web Enterprise Security Suite, la modalità predifinita è la Multicast over UDP; in essa:

  • il Server Dr.Web viene registrato in un gruppo multicast con l’indirizzo indicato nelle impostazioni del Server Dr.Web;
  • gli Agent, cercando il Server Dr.Web, inviano nella rete le richieste multicast sull'indirizzo di gruppo indicato nelle impostazioni del Server Dr.Web.

Per impostazione predefinita, per l'ascolto da parte del Server Dr.Web viene impostato l’indirizzo udp/231.0.0.1:2193 (esattamente come per le connessioni dirette).

Questo parametro viene configurato nelle impostazioni del Pannello di controllo: Amministrazione → Configurazione del Server Dr.Web → Rete → Trasporto → TCP/IP. Il valore vuoto prescrive di utilizzare l'indirizzo di default indicato sopra.   

Utilizzo del protocollo SRV

I client basati su Windows supportano il protocollo di rete client SRV e pertanto un client può connettersi al Server Dr.Web tramite i record SRV nei seguente modi:

  • durante l'installazione del Server Dr.Web, viene configurata la registrazione in dominio Active Directory, quindi l’installer inserisce il record SRV corrispondente su server DNS; il record SRV viene inserito su server DNS in conformità a RFC2782 (https://datatracker.ietf.org/doc/html/rfc2782);
  • quando viene richiesta una connessione al Server Dr.Web, l’utente imposta la comunicazione attraverso il protocollo SRV.

Per esempio, l’esecuzione dell’installer di Agent può avvenire:

  • con l'esplicita indicazione del nome del servizio myservice:
    drwinst /server "srv/myservice"
  • senza l'esplicita indicazione del nome del servizio. In tale caso nei record SRV verrà cercato il nome di default — drwcs:
    drwinst /server "srv/"

Un ulteriore modo è quello in cui il client utilizza le funzioni del protocollo SRV in modo trasparente all'utente per la comunicazione con il Server Dr.Web.

Se per la connessione il Server Dr.Web non è indicato in modo esplicito, come nome del servizio predefinito viene utilizzato drwcs.

Configurazione dell’Agent Dr.Web

Durante l'installazione dell'Agent, l'indirizzo del Server Dr.Web (indirizzo IP o nome DNS del computer su cui è avviato il Server Dr.Web) può essere esplicitamente indicato nei parametri di installazione:

drwinst /server

Durante l'installazione dell'Agent, è consigliabile utilizzare un nome del Server Dr.Web preventivamente registrato nel servizio DNS; ciò semplifica il processo di configurazione della rete antivirus, relativo alla procedura di reinstallazione del Server Dr.Web su un altro computer.

Per impostazione predefinita, il comando drwinst eseguito senza parametri scansiona la rete cercando i Server Dr.Web e tenta di installare l'Agent dal primo Server Dr.Web trovato nella rete (modalità Multicasting con utilizzo di “Servizio di rilevamento di Server Dr.Web"). In questo modo, l'indirizzo del Server Dr.Web diventa conosciuto dall'Agent durante l'installazione.

In seguito, l'indirizzo del Server Dr.Web può essere modificato manualmente nelle impostazioni dell'Agent.

Dr.Web - Configurazione del firewall

Per l’interazione dei componenti della rete antivirus è necessario che tutte le porte ed interfacce utilizzate siano aperte su tutti i computer che fanno parte della rete antivirus.

Durante l'installazione di Server Dr.Web l'installer aggiunge automaticamente le porte e le interfacce di Server Dr.Web alle eccezioni del firewall di Windows.

Se sul computer viene utilizzato un firewall differente da quello di Windows, l’amministratore della rete antivirus deve configuralo manualmente in modo opportuno.