Проверка сети в Symantec. Что и как? - Symantec - комплексная информационная безопасность - Форумы Anti-Malware.ru Перейти к содержанию
Little Brother

Проверка сети в Symantec. Что и как?

Recommended Posts

Little Brother

удалено автором

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Little Brother о каком продукте идет речь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Little Brother

удалено автором

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Little Brother к сожалению точно не могу ответить, но большинство из того что вы перечислили он может делать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Little Brother

удалено автором

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Кажется, небезынтересно вам будет ознакомиться с содержанием данной ветки форума по схожему вопросу.

http://www.anti-malware.ru/forum/index.php?showtopic=9315

Там, конечно, не на все ваши вопросы есть ответы, но на часть точно получите нужный результат. Я бы еще рекомендовал почитать соответствующую документацию к выбираемому продукту, так как на многие вопросы невозможно ответить кратко в рамках форумного диалога.

А сколько машин планируется? Может стоит обратить внимание на Symantec Endpoint Protection?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Little Brother а Вы уверены что вам нужен именно Norton? Он все же для дома предназначен, а Symantec Endpoint Protection как раз рассчитан на описываемые вами задачи

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Little Brother

удалено автором

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Исключительно личное мнение, однако считаю, что совершенно неважно по какому каналу пришли данные они ведь в канале не сами по себе ходят, а на какие-то конечные точки передаются. Вот на этих конечных точках и будет уже обработка средствами защитных систем. А если речь идет, чтоб шифрованный трафик сканить, смысла в этом абсолютно никакого нет. Повторю свою мысль: заражения, они не в туннелях (VPN) происходят, а на конкретном компьютере.

Решения Симантек, включающие в себя серьезную IPS обеспечат защиту приложений, работающих с сетью, от разного рода атак, ну и понятно, от собственно вирусов (это ж-таки антивирус :rolleyes: ).

Если при вашем раскладе решите пользоваться персональными продуктами (например, NIS 2010), там есть такая неплохая вещь как Управление уровнем надежности. Она позволяет установить определенные уровни надежности, согласно которым и будет происходить взаимодействие компьютеров с сетью, кроме того имеется даже возможность настройки удаленного мониторинга за состоянием защиты компьютеров в сети. При этом, даже при уровне "Абсолютная надежность" трафик с таких надежных узлов ПРОВЕРЯЕТСЯ на наличие известных атак и угроз. Это конечно довольно простенько сделано (но на то это и персональный продукт, где не предполагается наличие специального администратора).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Little Brother

удалено автором

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Здесь на форуме было написано что симантек проверяет трафик на уровне IP протокола. При этом есть разница только на физическом интерфейсе или на виртуальных тоже. Речь о недопущении загрузки, а не только запуска. А Вы похоже не поняли вопроса или я не так объяснил, как раз инкапсулированый трафик VPN и не надо проверять, бесполезно. Его стоит ловить после распаковки.

Может, я действительно чего-то недопонял, но если вы о VPN (виртуальные интерфейсы) речь ведете, то да - тот же NIS 2010 контролирует это соединение.

Если говорить о HTTP - то на вирусы трафик не проверяется. Обоснование такого подхода было дано в теме, ссылку на которую я давал в своем первом вам ответе. Как вы уже отметили трафик (акцентирую внимание - на обнаружение угроз сетевых) проверяется на уровне IP, следовательно и с TCP и HTTP, и с остальными протоколами ровно та же ситуация - проверяется.

Например OpenVPN будет проверен инкапсулированный или открытый?
как раз инкапсулированый трафик VPN и не надо проверять, бесполезно.

Здесь мы пришли к общему знаменателю - шифрованный трафик не проверяется и нужды в том нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Может, я действительно чего-то недопонял, но если вы о VPN (виртуальные интерфейсы) речь ведете, то да - тот же NIS 2010 контролирует это соединение.

Если говорить о HTTP - то на вирусы трафик не проверяется. Обоснование такого подхода было дано в теме, ссылку на которую я давал в своем первом вам ответе. Как вы уже отметили трафик (акцентирую внимание - на обнаружение угроз сетевых) проверяется на уровне IP, следовательно и с TCP и HTTP, и с остальными протоколами ровно та же ситуация - проверяется.

Здесь мы пришли к общему знаменателю - шифрованный трафик не проверяется и нужды в том нет.

SEP с точки зрения функционала мощнее чем Norton и проверка может идти на любом уровне модели OSI, начиная с канального

(т.е. Ethernet). Можно, например, выполнять анализ даже отдельных полей протокола, например, поля Data. пакетный фильтр очень мощный!

Но при условии что администратор "в теме".

Также по поводу протоколов - не забываем, что в OSI всегда идет инкапсуляция - т.е. протоколы более высокого уровня (HTTP, FTP) инкапсулируются в протоколы более низкого уровня (IP).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.8.0. Для просмотра всех команд запустите утилиту с параметром /help.
    • PR55.RP55
      И возможно добавить в Инфо. поддержку просмотра NTFS Alternate Data Streams Для получения доп. информации по файлам - автозапуска.    
    • santy
      RP55,  особого смысла в этом нет. Возможно, стоит добавить в эвристику программы добавление статуса "подозрительный" для файла размером (св. 500Мб или больше), если он  в автозапуске. Так как в некоторых случаях майнеры используют файлы больших размеров, чтобы обойти антивирусную защиту.
    • PR55.RP55
      При копировании известного файла файла uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] GATHERNETWORKINFO.VBS._628B6B4BF3CC7F77578CF3CCFCC587DBF9EC7E07 https://disk.yandex.ru/i/LpsxRQ6EMkF23w    
    • PR55.RP55
      При копирование файла в Zoo Операторы могут не обратить внимания на размер файла. Предлагаю при превышении лимита = 650mb добавить в Лог соответствующее предупреждение: Файл скопирован в ZOO; Превышен лимит virustotal.com Для чего ? Часто операторы предлагают поместить скопированный файл на сайт, или проверить его на V.T. а это потеря времени. Одна "ошибка" приводит к другой "ошибке"  
×