Проверка сети в Symantec. Что и как?

[Little Brother 35]

удалено автором

[Кирилл Керценбаум 671]

Little Brother о каком продукте идет речь?

[Little Brother 35]

удалено автором

[Кирилл Керценбаум 671]

Little Brother к сожалению точно не могу ответить, но большинство из того что вы перечислили он может делать

[Little Brother 35]

удалено автором

[deviss 75]

Кажется, небезынтересно вам будет ознакомиться с содержанием данной ветки форума по схожему вопросу.

http://www.anti-malware.ru/forum/index.php?showtopic=9315

Там, конечно, не на все ваши вопросы есть ответы, но на часть точно получите нужный результат. Я бы еще рекомендовал почитать соответствующую документацию к выбираемому продукту, так как на многие вопросы невозможно ответить кратко в рамках форумного диалога.

А сколько машин планируется? Может стоит обратить внимание на Symantec Endpoint Protection?

[Кирилл Керценбаум 671]

Little Brother а Вы уверены что вам нужен именно Norton? Он все же для дома предназначен, а Symantec Endpoint Protection как раз рассчитан на описываемые вами задачи

[Little Brother 35]

удалено автором

[deviss 75]

Исключительно личное мнение, однако считаю, что совершенно неважно по какому каналу пришли данные они ведь в канале не сами по себе ходят, а на какие-то конечные точки передаются. Вот на этих конечных точках и будет уже обработка средствами защитных систем. А если речь идет, чтоб шифрованный трафик сканить, смысла в этом абсолютно никакого нет. Повторю свою мысль: заражения, они не в туннелях (VPN) происходят, а на конкретном компьютере.

Решения Симантек, включающие в себя серьезную IPS обеспечат защиту приложений, работающих с сетью, от разного рода атак, ну и понятно, от собственно вирусов (это ж-таки антивирус ).

Если при вашем раскладе решите пользоваться персональными продуктами (например, NIS 2010), там есть такая неплохая вещь как Управление уровнем надежности. Она позволяет установить определенные уровни надежности, согласно которым и будет происходить взаимодействие компьютеров с сетью, кроме того имеется даже возможность настройки удаленного мониторинга за состоянием защиты компьютеров в сети. При этом, даже при уровне "Абсолютная надежность" трафик с таких надежных узлов ПРОВЕРЯЕТСЯ на наличие известных атак и угроз. Это конечно довольно простенько сделано (но на то это и персональный продукт, где не предполагается наличие специального администратора).

[Little Brother 35]

удалено автором

[deviss 75]

Здесь на форуме было написано что симантек проверяет трафик на уровне IP протокола. При этом есть разница только на физическом интерфейсе или на виртуальных тоже. Речь о недопущении загрузки, а не только запуска. А Вы похоже не поняли вопроса или я не так объяснил, как раз инкапсулированый трафик VPN и не надо проверять, бесполезно. Его стоит ловить после распаковки.

Может, я действительно чего-то недопонял, но если вы о VPN (виртуальные интерфейсы) речь ведете, то да - тот же NIS 2010 контролирует это соединение.

Если говорить о HTTP - то на вирусы трафик не проверяется. Обоснование такого подхода было дано в теме, ссылку на которую я давал в своем первом вам ответе. Как вы уже отметили трафик (акцентирую внимание - на обнаружение угроз сетевых) проверяется на уровне IP, следовательно и с TCP и HTTP, и с остальными протоколами ровно та же ситуация - проверяется.

Например OpenVPN будет проверен инкапсулированный или открытый?

как раз инкапсулированый трафик VPN и не надо проверять, бесполезно.

Здесь мы пришли к общему знаменателю - шифрованный трафик не проверяется и нужды в том нет.

[Pavel Polyanskiy 65]

Может, я действительно чего-то недопонял, но если вы о VPN (виртуальные интерфейсы) речь ведете, то да - тот же NIS 2010 контролирует это соединение.

Если говорить о HTTP - то на вирусы трафик не проверяется. Обоснование такого подхода было дано в теме, ссылку на которую я давал в своем первом вам ответе. Как вы уже отметили трафик (акцентирую внимание - на обнаружение угроз сетевых) проверяется на уровне IP, следовательно и с TCP и HTTP, и с остальными протоколами ровно та же ситуация - проверяется.

Здесь мы пришли к общему знаменателю - шифрованный трафик не проверяется и нужды в том нет.

SEP с точки зрения функционала мощнее чем Norton и проверка может идти на любом уровне модели OSI, начиная с канального

(т.е. Ethernet). Можно, например, выполнять анализ даже отдельных полей протокола, например, поля Data. пакетный фильтр очень мощный!

Но при условии что администратор "в теме".

Также по поводу протоколов - не забываем, что в OSI всегда идет инкапсуляция - т.е. протоколы более высокого уровня (HTTP, FTP) инкапсулируются в протоколы более низкого уровня (IP).