Перейти к содержанию
Little Brother

Проверка сети в Symantec. Что и как?

Recommended Posts

Little Brother

удалено автором

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Little Brother о каком продукте идет речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Little Brother

удалено автором

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Little Brother к сожалению точно не могу ответить, но большинство из того что вы перечислили он может делать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Little Brother

удалено автором

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Кажется, небезынтересно вам будет ознакомиться с содержанием данной ветки форума по схожему вопросу.

http://www.anti-malware.ru/forum/index.php?showtopic=9315

Там, конечно, не на все ваши вопросы есть ответы, но на часть точно получите нужный результат. Я бы еще рекомендовал почитать соответствующую документацию к выбираемому продукту, так как на многие вопросы невозможно ответить кратко в рамках форумного диалога.

А сколько машин планируется? Может стоит обратить внимание на Symantec Endpoint Protection?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Little Brother а Вы уверены что вам нужен именно Norton? Он все же для дома предназначен, а Symantec Endpoint Protection как раз рассчитан на описываемые вами задачи

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Little Brother

удалено автором

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Исключительно личное мнение, однако считаю, что совершенно неважно по какому каналу пришли данные они ведь в канале не сами по себе ходят, а на какие-то конечные точки передаются. Вот на этих конечных точках и будет уже обработка средствами защитных систем. А если речь идет, чтоб шифрованный трафик сканить, смысла в этом абсолютно никакого нет. Повторю свою мысль: заражения, они не в туннелях (VPN) происходят, а на конкретном компьютере.

Решения Симантек, включающие в себя серьезную IPS обеспечат защиту приложений, работающих с сетью, от разного рода атак, ну и понятно, от собственно вирусов (это ж-таки антивирус :rolleyes: ).

Если при вашем раскладе решите пользоваться персональными продуктами (например, NIS 2010), там есть такая неплохая вещь как Управление уровнем надежности. Она позволяет установить определенные уровни надежности, согласно которым и будет происходить взаимодействие компьютеров с сетью, кроме того имеется даже возможность настройки удаленного мониторинга за состоянием защиты компьютеров в сети. При этом, даже при уровне "Абсолютная надежность" трафик с таких надежных узлов ПРОВЕРЯЕТСЯ на наличие известных атак и угроз. Это конечно довольно простенько сделано (но на то это и персональный продукт, где не предполагается наличие специального администратора).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Little Brother

удалено автором

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Здесь на форуме было написано что симантек проверяет трафик на уровне IP протокола. При этом есть разница только на физическом интерфейсе или на виртуальных тоже. Речь о недопущении загрузки, а не только запуска. А Вы похоже не поняли вопроса или я не так объяснил, как раз инкапсулированый трафик VPN и не надо проверять, бесполезно. Его стоит ловить после распаковки.

Может, я действительно чего-то недопонял, но если вы о VPN (виртуальные интерфейсы) речь ведете, то да - тот же NIS 2010 контролирует это соединение.

Если говорить о HTTP - то на вирусы трафик не проверяется. Обоснование такого подхода было дано в теме, ссылку на которую я давал в своем первом вам ответе. Как вы уже отметили трафик (акцентирую внимание - на обнаружение угроз сетевых) проверяется на уровне IP, следовательно и с TCP и HTTP, и с остальными протоколами ровно та же ситуация - проверяется.

Например OpenVPN будет проверен инкапсулированный или открытый?
как раз инкапсулированый трафик VPN и не надо проверять, бесполезно.

Здесь мы пришли к общему знаменателю - шифрованный трафик не проверяется и нужды в том нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Может, я действительно чего-то недопонял, но если вы о VPN (виртуальные интерфейсы) речь ведете, то да - тот же NIS 2010 контролирует это соединение.

Если говорить о HTTP - то на вирусы трафик не проверяется. Обоснование такого подхода было дано в теме, ссылку на которую я давал в своем первом вам ответе. Как вы уже отметили трафик (акцентирую внимание - на обнаружение угроз сетевых) проверяется на уровне IP, следовательно и с TCP и HTTP, и с остальными протоколами ровно та же ситуация - проверяется.

Здесь мы пришли к общему знаменателю - шифрованный трафик не проверяется и нужды в том нет.

SEP с точки зрения функционала мощнее чем Norton и проверка может идти на любом уровне модели OSI, начиная с канального

(т.е. Ethernet). Можно, например, выполнять анализ даже отдельных полей протокола, например, поля Data. пакетный фильтр очень мощный!

Но при условии что администратор "в теме".

Также по поводу протоколов - не забываем, что в OSI всегда идет инкапсуляция - т.е. протоколы более высокого уровня (HTTP, FTP) инкапсулируются в протоколы более низкого уровня (IP).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×