Перейти к содержанию
Little Brother

Проверка сети в Symantec. Что и как?

Recommended Posts

Кирилл Керценбаум

Little Brother о каком продукте идет речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Little Brother к сожалению точно не могу ответить, но большинство из того что вы перечислили он может делать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Кажется, небезынтересно вам будет ознакомиться с содержанием данной ветки форума по схожему вопросу.

http://www.anti-malware.ru/forum/index.php?showtopic=9315

Там, конечно, не на все ваши вопросы есть ответы, но на часть точно получите нужный результат. Я бы еще рекомендовал почитать соответствующую документацию к выбираемому продукту, так как на многие вопросы невозможно ответить кратко в рамках форумного диалога.

А сколько машин планируется? Может стоит обратить внимание на Symantec Endpoint Protection?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Little Brother а Вы уверены что вам нужен именно Norton? Он все же для дома предназначен, а Symantec Endpoint Protection как раз рассчитан на описываемые вами задачи

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Исключительно личное мнение, однако считаю, что совершенно неважно по какому каналу пришли данные они ведь в канале не сами по себе ходят, а на какие-то конечные точки передаются. Вот на этих конечных точках и будет уже обработка средствами защитных систем. А если речь идет, чтоб шифрованный трафик сканить, смысла в этом абсолютно никакого нет. Повторю свою мысль: заражения, они не в туннелях (VPN) происходят, а на конкретном компьютере.

Решения Симантек, включающие в себя серьезную IPS обеспечат защиту приложений, работающих с сетью, от разного рода атак, ну и понятно, от собственно вирусов (это ж-таки антивирус :rolleyes: ).

Если при вашем раскладе решите пользоваться персональными продуктами (например, NIS 2010), там есть такая неплохая вещь как Управление уровнем надежности. Она позволяет установить определенные уровни надежности, согласно которым и будет происходить взаимодействие компьютеров с сетью, кроме того имеется даже возможность настройки удаленного мониторинга за состоянием защиты компьютеров в сети. При этом, даже при уровне "Абсолютная надежность" трафик с таких надежных узлов ПРОВЕРЯЕТСЯ на наличие известных атак и угроз. Это конечно довольно простенько сделано (но на то это и персональный продукт, где не предполагается наличие специального администратора).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Здесь на форуме было написано что симантек проверяет трафик на уровне IP протокола. При этом есть разница только на физическом интерфейсе или на виртуальных тоже. Речь о недопущении загрузки, а не только запуска. А Вы похоже не поняли вопроса или я не так объяснил, как раз инкапсулированый трафик VPN и не надо проверять, бесполезно. Его стоит ловить после распаковки.

Может, я действительно чего-то недопонял, но если вы о VPN (виртуальные интерфейсы) речь ведете, то да - тот же NIS 2010 контролирует это соединение.

Если говорить о HTTP - то на вирусы трафик не проверяется. Обоснование такого подхода было дано в теме, ссылку на которую я давал в своем первом вам ответе. Как вы уже отметили трафик (акцентирую внимание - на обнаружение угроз сетевых) проверяется на уровне IP, следовательно и с TCP и HTTP, и с остальными протоколами ровно та же ситуация - проверяется.

Например OpenVPN будет проверен инкапсулированный или открытый?
как раз инкапсулированый трафик VPN и не надо проверять, бесполезно.

Здесь мы пришли к общему знаменателю - шифрованный трафик не проверяется и нужды в том нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Может, я действительно чего-то недопонял, но если вы о VPN (виртуальные интерфейсы) речь ведете, то да - тот же NIS 2010 контролирует это соединение.

Если говорить о HTTP - то на вирусы трафик не проверяется. Обоснование такого подхода было дано в теме, ссылку на которую я давал в своем первом вам ответе. Как вы уже отметили трафик (акцентирую внимание - на обнаружение угроз сетевых) проверяется на уровне IP, следовательно и с TCP и HTTP, и с остальными протоколами ровно та же ситуация - проверяется.

Здесь мы пришли к общему знаменателю - шифрованный трафик не проверяется и нужды в том нет.

SEP с точки зрения функционала мощнее чем Norton и проверка может идти на любом уровне модели OSI, начиная с канального

(т.е. Ethernet). Можно, например, выполнять анализ даже отдельных полей протокола, например, поля Data. пакетный фильтр очень мощный!

Но при условии что администратор "в теме".

Также по поводу протоколов - не забываем, что в OSI всегда идет инкапсуляция - т.е. протоколы более высокого уровня (HTTP, FTP) инкапсулируются в протоколы более низкого уровня (IP).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
×