Перейти к содержанию
broker

лидер в области

Recommended Posts

broker

Давайте обсудим качество вирусной защиты и методологии подбора антивирусного решения для некоторых узлов:

1. DC 2000, 2003

2. server 2000, 2003

3. isa server 2000, 2004

4. terminal server

5. exchange 2000

6. smtp gateway (linux)

7. Postfix, sendmail

8. chekpoint

9. wks XP

10 wks 2000

Впишите своё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Давайте обсудим. Предлагаю начать с почтовых серверов Microsoft Exchange 2000 и Linux SMTP Gateway.

Предлагаю сначала определить критерии выбора решений и их список.

Вот список наиболее достойных решений для Exchange 2000:

1. Symantec Mail Security for Microsoft Exchange 4.6

2. McAfee GroupShield for Microsoft Exchange 6.0

3. Trend Micro ScanMail for Microsoft Exchange 7.0

4. Sophos PureMessage for Windows/Exchange 2.0

5. Panda ExchangeSecure Antivirus

6. F-Secure Anti-Virus for Microsoft Exchange 6.4

7. Kaspersky Anti-Virus for Microsoft Exchange Server 5.5

Вот список решений для Linux SMTP Gateway:

1. Kaspersky Security SMTP-Gateway for Linux/Unix 5.5

2. Symantec Mail Security for SMTP 4.1

3. McAfee WebShield SMTP 4.5

4. Trend Micro InterScan Messaging Security Suite 5.5

5. Sophos PureMessage for Unix 5.0

6. BitDefender SMTP Proxy (Linux) 1.6

7. F-Secure Internet Gatekeeper for Linux и Windows 6.4

Предлагаю следующие критерии

1. Эффективность работы (качество проверки)

2. Функциональность

3. Скорость работы

4. Требования к ресурсам

5. Надежность работы

6. Интеграция в общий компекс ИБ

7. Удовство администрирования

8. Цена

9. Тех. поддержка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Давайте обсудим качество вирусной защиты и методологии подбора антивирусного решения для некоторых узлов:

Есть мнение (© откуда-то из советского прошлого), что анитвирусную защиту корпоративной сети нужно строить комплексно, что в настоящий момент проще всего сделать, выбрав одного вендора для всех точек проникновения вирусов. При таком подходе имеет смысл обсуждать, есть ли в принципе у данного вендора продукты для всех точек проникновения вирусов моей сети. Не так страшно, если у данного конкретного продукта нет какой-то фичи, которая есть у симметричного продукта конкурента, так как установка конкурирующего продукта на одну из точек ради этой фичи приведет к ситуации "зоопарк антивирусов". Как правило, эта фиче не стоит усилий по поддержинию зоопарка антивирусов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Давайте обсудим качество вирусной защиты и методологии подбора антивирусного решения для некоторых узлов:

Если рассматривать каждый пункт отдельно, то разумно выделить для каждого свой тред в форуме.

Впишите своё.

11 SharePoint

12 HTTP proxy

13 ICAP compilant cache

14 IM

15 Win 64bit

16 куча всего еще...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Давайте обсудим. Предлагаю начать с почтовых серверов Microsoft Exchange 2000

1. Symantec Mail Security for Microsoft Exchange

1. Эффективность работы - слабая проверка писем в формате html, нет защиты от фишинга, слабая эвристика, есть пробелы в базе троянов.

8. Цена - высокая

9. Тех. поддержка - обновления доступные для автоматической закачки выходят в лучшем случае раз в день.

Вследствиии чего, эффективность срабатывания по новым вирусам очень низкая.

У меня есть убеждение - пусть антивирус требователен к ресурсам, пусть дорого стоит, пусть иногда тормозит - НО ПРОПУСКАТЬ ВИРУСЫ ПАЧКАМИ ОН НЕ ДОЛЖЕН. (особенно из-за отсутствия обновлений)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

хе, хе интересно.. к примеру

компания на wks юзает каспера, а вот под isa2004 каспера нет :)..

Предлагаете ждать пока каспер выпустит свой антивирус?

Кстати и у trend micro тоже нет решения для isa 2004 и у symantec..

Ситуаций море, когда совестское прошлое там и остаётся..

Пример 2.

Есть устойчивое мнение использовать разную антивирусную защиту на разных уровнях защиты:

на wks один антивирус, на почтовом сервере другой, на проксе третий.

Надо это для того, чтобы исключить ситуацию, когда вирусное обновление выйдет значительно позже..да и принципы работы у всех разные .. подстраховаться в общем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Давайте обсудим. Предлагаю начать с почтовых серверов Microsoft Exchange 2000

1. Symantec Mail Security for Microsoft Exchange

1. Эффективность работы - слабая проверка писем в формате html, нет защиты от фишинга, слабая эвристика, есть пробелы в базе троянов.

Для России защита от фишинга не актуальна (пока).

8. Цена - высокая

Цена -- рыночная. Я не специалист, но мне кажется, что цены на подобные продукты у всех очень похожи. С учетом того, что речь идет о корпоративном рынке, где цена не всегда существенна...

9. Тех. поддержка - обновления доступные для автоматической закачки выходят в лучшем случае раз в день.

Вследствиии чего, эффективность срабатывания по новым вирусам очень низкая.

Вы очень узко трактуете "тех. поддержку", но если по существу то вот риторический вопрос: Вы считаете, что в Symantec белены объелись и не выпускают обновления чаще из-за какого-то коллективного психиатрического диагноза?

У меня есть убеждение - пусть антивирус требователен к ресурсам, пусть дорого стоит, пусть иногда тормозит - НО ПРОПУСКАТЬ ВИРУСЫ ПАЧКАМИ ОН НЕ ДОЛЖЕН. (особенно из-за отсутствия обновлений)

Ни за какие деньги и вычислительные ресурсы никто вам не сделает антивирус, который не пропускает вирусы в принципе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
хе, хе интересно.. к примеру

компания на wks юзает каспера, а вот под isa2004 каспера нет :)..

Предлагаете ждать пока каспер выпустит свой антивирус?

В качестве исключения поставте другой продукт. О чем вы думали, когда выбирали корпоративный антивирус...

Кстати и у trend micro тоже нет решения для isa 2004 и у symantec..

Есть есть HTTP-прокси-сканер, то его можно поставить в цепочку прокси.

Есть устойчивое мнение использовать разную антивирусную защиту на разных уровнях защиты:

на wks один антивирус, на почтовом сервере другой, на проксе третий.

Надо это для того, чтобы исключить ситуацию, когда вирусное обновление выйдет значительно позже..да и принципы работы у всех разные .. подстраховаться в общем.

Это устойчивое заблуждение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

А как Вы измеряете актуальность проблемы фишига?

Цена всегда существенна, даже в крупных компаниях.

Обновления должны выходить и быть доступны для сервисов автоматического обновления по мере их появления, а не раз в сутки.

Я написал конкретную причину.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

точно, зачем жить всё равно умрём...плохой доктор или хороший..

главное больница одна, большая светлая..доктора умные из советского ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
А как Вы измеряете актуальность проблемы фишига?

1. В России не популярен онлайн-банкинг.

2. Я не получал фишинговых писем по-русски.

Цена всегда существенна, даже в крупных компаниях.

В крупных компаниях цена иногда существенна. Как правило, гораздо существеннее TCO, а суммарный TCO существенно больше цены и ей можно принебречь.

Обновления должны выходить и быть доступны для сервисов автоматического обновления по мере их появления, а не раз в сутки.

А какже ISO 9002?!

Я написал конкретную причину.

"Причину" чего?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
точно, зачем жить всё равно умрём...плохой доктор или хороший..

главное больница одна, большая светлая..доктора умные из советского ..

Все почти так, только в отличии от советского прошлого, Вы выбераете больницу и вам там все лечат, вы ходете из кабинета в кабинет --- от специалиста к специалисту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

да тренд микро рай.

а как узнать хорошая больница или нет, если доктора из этой больницы навязвают точку зрения..

если вам голову лечат в одной больнице, то к нам сердце не приходите лечить..

мы лечим в комплексе..:)

но в идеале очень удобно, зашёл и вылечился.. :!: :!: :!:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
хе, хе интересно.. к примеру

компания на wks юзает каспера, а вот под isa2004 каспера нет :)..

Кстати, Антивирус Касперского для ISA 2004 EE выйдет до конца этого года

Есть устойчивое мнение использовать разную антивирусную защиту на разных уровнях защиты:

на wks один антивирус, на почтовом сервере другой, на проксе третий.

Надо это для того, чтобы исключить ситуацию, когда вирусное обновление выйдет значительно позже..да и принципы работы у всех разные .. подстраховаться в общем.

На мой взгляд это логично. Например, ставить на файловые сервера и рабочие станции одного вендора, а на мыльные сервера - другого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

"Аналогия не есть доказательство", так что не вижу смысла продолжать аллегорию.

По существу:

а как узнать хорошая больница или нет, если доктора из этой больницы навязвают точку зрения..

У антивирусных компаний есть репутация, а у клиентов всегда копится личный опыт. Данный сайт как раз создан для обмена опытом.

если вам голову лечат в одной больнице, то к нам сердце не приходите лечить..

Такова данность. Антивирусные продукты различных вендоров практически не стыкуются. Использовать несколько продуктов от разных вендоров можно, но это дорого --- дороже, чем какой-то там пропущенный вирус.

Открою вам большую тайну: Не все вирусы одинаково опасны.

мы лечим в комплексе..:)

Никто ничего не навязывает, но попытка поставить на каждую точку проникновения вирусов отдельный продукт со своей системой именования вирусов, консолью управления, логикой работы, технической поддержкой, системой обновлений, каналом покупки и продления приведет фактически к худшей защите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Раз вы начали про антвирусы для Microsoft ISA Server, то продолжу эту тему. Наиболее накрученные проудкты умеют фильровать не только HTTP и FTP трафик, но SMTP (McAfee SecurityShield for Microsoft ISA Server, Symantec Antivirus for MS ISA Server 4.3 и Panda ISASecure 2004).

Поддержка работы на массиве серверов, профили для групп пользователей, возможности по оптимизации производительности (запуск нескольких движков, проверка в памяти, оптимизация под Intel Xeon и т.д. ) нужно нам это все?

Нужно поределиться что важно для каждого продукта, а что второстепенно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
"Аналогия не есть доказательство", так что не вижу смысла продолжать аллегорию.

По существу:

а как узнать хорошая больница или нет, если доктора из этой больницы навязвают точку зрения..

У антивирусных компаний есть репутация, а у клиентов всегда копится личный опыт. Данный сайт как раз создан для обмена опытом.

если вам голову лечат в одной больнице, то к нам сердце не приходите лечить..

Такова данность. Антивирусные продукты различных вендоров практически не стыкуются. Использовать несколько продуктов от разных вендоров можно, но это дорого --- дороже, чем какой-то там пропущенный вирус.

Открою вам большую тайну: Не все вирусы одинаково опасны.

мы лечим в комплексе..:)

Никто ничего не навязывает, но попытка поставить на каждую точку проникновения вирусов отдельный продукт со своей системой именования вирусов, консолью управления, логикой работы, технической поддержкой, системой обновлений, каналом покупки и продления приведет фактически к худшей защите.

Коллега Михаил, я говорил о страховке 2,3 вируса на одном сегменте и эта модель себя оправдывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

тему испортила точка зрения тренд микро..

но если начать всё сначала..и не кричать выберете вендора и вот вам ответ на ваш вопрос, то возникает встречный вопрос, об использовании ISA, конечно в идеале нужен антивирус для всех потоков, но 25,80,21 и антивирус и isa умрут.. НЕТ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
тему испортила точка зрения тренд микро..

но если начать всё сначала..и не кричать выберете вендора и вот вам ответ на ваш вопрос, то возникает встречный вопрос, об использовании ISA, конечно в идеале нужен антивирус для всех потоков, но 25,80,21 и антивирус и isa умрут.. НЕТ?

Для isa важно, чтобы не было задержек трафика, когда пользователь смотрит веб или качает файло он на захочет ждать пока прокся проверит все. А антивирус - это узкое место в данном случае, которое по-юбому будет это процесс тормозить. Так как файлы проверяются порциями, задержка возинкает по любому на первых секундах скачивания файла.

Есть различные способы бороться этим, скажем запуск нескольких АВ ядер сразу, у ЛК в версии для ISA EE 2000 и 2004 есть возможность запуска так называемых быстрых движком для проверки в памяти объектов менее 1 мега (по умоляанию поднимается 4 движка, одни из которых быстрый, если не ошибаюсь).

У Symantec есть возможность вообще поставить антивирусный движек на отдельную тачку, например под линуксами, а на ISA останутся только "торчек" + правила фильтрации, что по задумке должно разгружить сервак.

В конечно итоге, если нагрузка на ISA большая, можно поставить перед ней антивирусный прокси сервер, например Trend Micro или Symantec. У ЛК пока нет такого продукта.

Кстати, возможности настройки правил фильтрации для групп пользователей есть только у Касперского, McAfee и BitDefender.

Cписки сайтов, содержимое которых не требует антивирусной проверки - Касперский, BitDefender.

Одновременный запуск нескольких антивирусных ядер - Касперский, Symantec.

Проверка SMTP трафика - Symantec и McAfee.

Совместимость с фирменными продуктами администрирования есть у всех, даже у в Касперского в версии для ISA 2000 EE и в будущей для ISA 2004 EE. :D

У Symantec нет поддержки Microsoft ISA Server 2004 :(

Про разичия базовых антивирусных технологии думаю нет смысла тут говорить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

объективно по делу, спасибо..

теперь терминалы давайте рассмотрим

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
тему испортила точка зрения тренд микро..

Виноват.

Вы просто настолько всеобъемлующий тред начали...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
объективно по делу, спасибо..

теперь терминалы давайте рассмотрим

Для сравнения антивирусов для рабочих станций необходимо жестко определить критерии, что там нужно.

Многие вендоры имеют несколько продуктов для рабочих станци, например Symantec Antivirus Corporate и ClientSecurity. Во втором помимо антивирус есть еще firewall и IDS.

У других - один (Trend-Micro, Panda, McAfee, Sophos и т.д.), но есть различные дополнения, типа отдельного продукта по Anti-spyware или TruePrevent как у Panda.

Т.е. с функционалом нужно определиться сразу.

Важен ли нам встроенный firewall (как в Symantec ClientSecurity, Panda ClientShield, нужен ли встроенный персональный антиспам какой есть в Panda ClientShield with TruPrevent (вообще бред какой-то, не понимаю зачем он там нужен, это же не персональный продукт)?

Если все эти навороты не нужны, не хочется за них переплачивать, понятно что любая примочка стоит денег, то нужно остановиться на чистом антивирусе типа Symantec Antivirus Corporate, Sophos Antivirus, McAfee или Антивирус Касперского, тут уже надо отдельно выбирать.

На счет администрирования, то все они нормально администрятся через единую консоль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

win 2003 terminal server, пусть 100 сессий одновременных, какой антивирус поставить, чтоб НЕ ТОРМОЗИЛО :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
объективно по делу, спасибо..

теперь терминалы давайте рассмотрим

Для сравнения антивирусов для рабочих станций необходимо жестко определить критерии, что там нужно.

А существует ли специальный продукт для защиты именно терминальных сессий?

Если все эти навороты не нужны, не хочется за них переплачивать,

Не всегда цена продукта проворциональна "наворотам", да и вообще цена --- не самый главный критерий. Проблема в другом, "навороты" эти лишний источник "глюков", и если вы не планируете использовать какой-либо "наворот", то не стоит рассматривать его наличие, как однозначный плюс продукта.

На счет администрирования, то все они нормально администрятся через единую консоль.

Подозреваю, что не все так просто. У всех консолей есть свои преимущества/недостатки, которые могу определить предпочтение того или иного продукта.

Пример: Trend Micro OfficeScan управляется только из Веб-консоли. Преимущества очевидны, но браузером должен быть только IE 5.5 и выше. Кому-то может понравиться какой-нибудь продукт (KAV?), который управляется просто GUI - поставил и пользуйся. Никаких тебе проблем с куками, ActiveX'ами...

Кроме этого есть ньюансы архитектуры системы управления, которая определяет масштабируемость, надежность, скорость...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Вообще, очень важна - отказоустойчивость самого антивируса, ведь не для кого не секрет, что антивирус - это такое же приложение, при определённых правах на системе, его работа полностью блокируется..

Грустно :( иногда ощутимым признаком заражения является порча Антивируса..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×