> Tech > Protection de l’IFS contre les virus

Protection de l’IFS contre les virus

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Phil Coulthard, Mis en ligne le 12/04/2006 - Publié en Novembre 2005

Pendant longtemps, les utilisateurs iSeries ont fait confiance à i5/OS pour repousser les virus, les chevaux de Troie et autres vers, qui assaillent les systèmes Microsoft Windows. Et cela, en grande partie grâce à l’architecture d’authentification basée sur la capacité i5/OS. Bien que cette architecture soit très « mature » (ses origines remontent au S/38 dans les années 1970) et présente parfois quelques faiblesses (que l’IBM traite rapidement), aucun virus n’est jamais parvenu à infecter un programme ou objet natif iSeries.En i5/OS, un objet fichier ne peut pas imiter un programme exécutable et un programme ne peut pas modifier le code binaire d’un autre : une fois créé, un programme est immuable. De plus, les programmes ne peuvent accéder aux objets que par des interfaces sûres et bien définies, et pas directement par l’intermédiaire d’une adresse mémoire ou disque. En matière d’objets natifs, i5/OS rend inopérantes les techniques habituelles des auteurs de virus.

Dans ce propos, le terme vedette est l’adjectif « natif ». La robuste sécurité objet de l’iSeries ne s’étend pas jusqu’aux portions de l’IFS (integrated file system) – particulièrement les portions présentes dans les répertoires racine accessibles à distance par des postes de travail et des serveurs Windows porteurs de virus. Quand un système distant accède à l’IFS, il a le pouvoir d’infecter les fichiers IFS avec un code viral. Les systèmes non infectés qui liront ultérieurement les fichiers infectés pourront eux-mêmes être contaminés. Un virus peut ainsi se répandre dans un réseau d’entreprise en quelques minutes, causant des dégâts incalculables.

Jusqu’à la V5R3, la seule protection antivirus pour l’IFS était constituée de packages antivirus de type PC qui scrutaient la racine IFS à distance, en la traitant simplement comme un autre lecteur disque de PC. Malheureusement, pour pouvoir faire cela, le PC chargé du scanning doit posséder tous les droits objet sur l’IFS : un gros risque pour la sécurité. Le scanning proprement dit doit lire tout le contenu de l’IFS initialement, avec pour résultat de gros volumes de trafic réseau. Et, bien que les scans suivants puissent être limités aux seuls fichiers modifiés depuis le dernier scan, rien ne garantit qu’une infection ne surviendra pas et ne se répandra pas entre les scans.

Avec la V5R3, IBM fait bénéficier i5/OS de la puissance du scanning de virus natif. Moyennant de nouveaux attributs de répertoire et de fichier, valeurs système et programmes de sortie, l’iSeries fournit désormais des points de connexion pour les programmes antivirus tiers qui assurent la protection en temps réel de l’IFS, éliminant le risque d’infection entre des scans. Et comme la protection antivirus est native, elle ne gonfle pas le trafic sur le réseau. Mieux encore, les extensions antivirus i5/OS sont à la disposition de tous : développeurs antivirus commerciaux et non commerciaux. Il sera donc possible de porter un scanner antivirus open-source sur l’iSeries.

Il faut noter que la validation du scanning de virus V5R3 n’inclut pas le logiciel de scanning de virus et de réparation proprement dit. Il faut l’obtenir auprès d’un fournisseur tiers ou écrire le vôtre. Il existe un produit commercial disponible dès à présent – livré, en fait, dans le cadre de la V5R3 – qui permet de bénéficier immédiatement de la protection antivirus natif : StandGuard AV for V5R3 de Bytware. Il est fort probable que d’autres produits antivirus apparaîtront à l’avenir. Pour bien évaluer de tels produits, ou peut-être pour écrire le vôtre, vous devez comprendre les mécanismes de scan de virus de la V5R3.

Heureusement, les améliorations sont simples et vous les assimilerez rapidement. Il y a deux nouveaux attributs de fichier/répertoire, deux nouvelles valeurs système, et deux nouveaux points de sortie de programme. Quand vous

Avant d’étudier les composantes de la validation antivirus de i5/OS, voyons les parties IFS spécifiques vulnérables à l’infection : les systèmes de fichiers TYPE2 dans IFS : le répertoire racine (/), QOpenSys et l’UDFS (user-defined file system). Dans ces systèmes de fichiers, seuls les fichiers stream (*STMF) sont vulnérables aux virus, car ce sont les seuls qui se prêtent à la lecture et l’écriture directes de la part de systèmes étrangers.

IBM a introduit les répertoires TYPE2 avec la V5R2, dans le but d’améliorer la performance et la fiabilité d’IFS. Si vous n’avez pas encore converti tous les répertoires IFS à partir du format TYPE1, vous devez exécuter la commande CVTDIR (Convert Directory). Le paramètre OPTION(*CHECK) indique les répertoires qui restent à convertir. Pour plus d’informations sur les répertoires *TYPE2 et les conversions de répertoires, visitez le V5R3 iSeries Information Center (publib. boulder.ibm.com/html/as400/infocenter.html – dans la barre de navigation de gauche, cliquez sur Files et file systems| Integrated file system|Convert directories from *TYPE1 to TYPE2).

Une fois tous vos répertoires IFS convertis en TYPE2, vous pouvez bénéficier du scanning de virus V5R3, dont l’exécution se fera en deux phases. Initialement, un scan IFS complet s’impose pour avoir la certitude que tous les fichiers existants sont sans virus. Le scanner de virus entreprend cette tâche au moment de l’installation, il répare ou met en quarantaine les éventuels fichiers infectés rencontrés et marque tous les fichiers propres comme étant exempts de virus. Le scanner utilise sa propre base de données propriétaire de définitions de virus et se charge de tenir les définitions à jour. Après la vérification initiale, les fichiers ne devront être scannés que quand ils seront modifiés ou restaurés à partir d’une sauvegarde, ou quand les définitions de virus changeront. Et c’est là que les deux programmes de sortie de scanning de virus entrent en scène. Le scanner de virus enregistre ces programmes avec i5/OS pour être invoqués aux points critiques du cycle de vie d’un fichier IFS. Le point de sortie exécuté le plus fréquemment est à la fermeture du fichier.

Chaque fois qu’on écrit dans un fichier, celui-ci doit parfois être fermé pour que les changements deviennent permanents. IBM fournit le point de sortie de fermeture du fichier pour invoquer un programme de sortie chaque fois qu’un utilisateur ferme un fichier IFS après y avoir écrit, de sorte que l’utilitaire antivirus puisse scanner tout le fichier pour voir s’il est infecté et le déclarer propre.

Par mesure de sécurité, IBM fournit un second point de sortie invoqué à l’ouverture d’un fichier IFS qui n’a jamais été scanné, qui a été scanné avec des définitions de virus périmées, ou qui a été modifié depuis son dernier scanning. On voit donc que l’utilitaire antivirus peut détecter les fichiers qui n’ont pas été scannés initialement parce que i5/OS (pas un utilisateur distant) les a restaurés sur le système depuis l’exécution du scan initial, ou parce que les fichiers ont été scannés avec un ensemble de définitions de virus périmé.

A l’un ou l’autre des points de sortie, le programme de sortie a la possibilité de réparer un fichier infecté en le réécrivant ou en causant l’échec de l’opération de fermeture ou d’ouverture du fichier, empêchant ainsi l’infection de s’installer dans l’IFS. Aux deux points du processus, le scanner de virus peut prendre en considération d’autres informations système, comme les attributs du fichier ou les valeurs du système de validation de virus, pour guider son comportement. Il incombe au développeur du scanner de régler les détails de ce genre de décision : i5/OS ne fournit que les connexions IFS nécessaires au bon fonctionnement d’un scanner de virus.

Téléchargez gratuitement cette ressource

Sécurité Office 365 : 5 erreurs à ne pas commettre

Sécurité Office 365 : 5 erreurs à ne pas commettre

A l’heure où les données des solutions Microsoft de Digital Workplace sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités Microsoft 365, Exchange et Teams ? Découvrez les 5 erreurs à ne pas commettre et les bonnes pratiques recommandées par les Experts DIB France.

Tech - Par iTPro.fr - Publié le 24 juin 2010