Сергей Ильин

Нужен ли firewall для защиты рабочих станций?

В этой теме 49 сообщений

Хотел обсудить тему использования индивидуальных firewall для защиты конечных точек корпоративных сетей.

Почти у всех вендоров уже есть такое решения класса Antivirus+Firewall для защиты рабочих станций. Такие решения продвигаются поизводителями как комплексная, интегрированная защита, единственно верный подход к обеспечению надежной информационной безопасности на предприятии.

Примеры таких решений:

Symantec Client Security

Sophos Endpoint Security

Trend Micro OfficeScan

McAfee VirusScan и т.д.

Но возникает вопрос, насколько оправдана покупка таких продуктов?

Вот несколько аргументов против, которые могут возникнуть, привожу для оживления дискуссии :-):

1. Встроенные Firewall уже есть в Windows XP SP2.

2. Это стоит дополнительных денег.

3. Настройка и управление Firewall сложнее, чем антивируса в рамках всей сети, потребует дополнительный ресурсов администраторов.

4. Наконец, увеличение уровня безопасности выглядит сомнительным.

Собственно почему люди должны платить больше за встроенный Firewall? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У нас TrendMicro OfficeScan 7.3 , pf неиспользуется по твоему 4 пункту.

Fw в основном нужен корпоративный защищающий шлюз - локальную/корпоративную сеть и Инет (у нас им служит CheckPoint NGX)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если брандмауэр организации достаточно хорошо настроен, то в принципе нет особой потребности в клиентском брандмауэре. Тем не менее, если в сеть проникает червь, полагаться на брандмауэр Windows не приходится. Ответить на вопрос однозначно поэтому невозможно, на мой взгляд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У нас TrendMicro OfficeScan 7.3 , pf неиспользуется по твоему 4 пункту.

Fw в основном нужен корпоративный защищающий шлюз - локальную/корпоративную сеть и Инет (у нас им служит CheckPoint NGX)

Моё мнение возможно он бы небыл лишним где очень серьезно относятся к безопасности (банковские системы, военные объекты)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По мне так в обязательном порядке, брандмауэр винды, это из разряда пропускаю всё, и если начнётся эпидемия червяка какого-нибудь не факт что АВ спасёт, а потеря информации намного хуже..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Бранды винды должно хватить для удачи без траты денег.:)

Причём в любой сети.

Исключая случаи сетей больше 50-100 машин.

Там свои проблемы.

Да и то, админ скорей всего поправит.

Хмм. Впрочем, скорей всего я не знаю подробностей и деталей.

P/S/ поправил своё агрессивное отношение к количеству машин. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если в компании четкая политика по отношению к расшаренным ресурсам, жестко ограничиваются права пользователей + хороший антивирус, то опасность и так минимизируется.

Безусловно есть риск заражения все равно есть, как было в случае с Sasser. Но от zero-day атак все равно ничего не спасет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если в компании четкая политика по отношению к расшаренным ресурсам, жестко ограничиваются права пользователей + хороший антивирус, то опасность и так минимизируется.

Безусловно есть риск заражения все равно есть, как было в случае с Sasser. Но от zero-day атак все равно ничего не спасет.

представим, что началась эпидемия какой-нибудь гадости которая через дырку в системе проникает, и дальше ломиться начинает с этого компа..

стоит антивирус и fw винды (на него надежды никакой, да и вообще не факт что там стоит хп с sp2, может и 2000 с сп4) так вот один комп заразился, и пошёл по сетке, а антивирус незнает этого зверя всё финишь, только по сниферу хоть что-то можно будет найти, но снифер постоянно не смотришь...

то же но с нормальным fw, fw если и пропустит, то процентов на тцать будет вероятность что он его невыпустит, что уже немаловажно..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Предполагается, что, если стоит брандмауэр, то ничто попасть на машину извне не может (имею в виду приложения).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Предполагается, что, если стоит брандмауэр, то ничто попасть на машину извне не может (имею в виду приложения).

мечты, мечты..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А как насчёт реализации с помощью брандмауэра других фич? Например не у всех стоят умные Циски, а персональным брандмауэром можно реализовать отправку машины в карантин при нарушении политики безопастности (как минимум устаревшие базы антивируса).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Удобно использовать сетевой экран на каждой рабочей станции в случае, если тот позволяет ограничивать трафик не только по портам, но и по активным у клиента приложениям (например Outpost Firewall или построенные на его основе). Кроме того, сетевой экран может взять на себя часть функций по фильтрации веб-активности (запрет хода на некоторые сайты например), это актуально в случае, если рабочая станция периодически вырывается из корпоративной сети (например, ноутбук у менеджера по продажам), так как в этом случае корпоративная защита переднего края помочь уже не может.

Про умную Cisco правильно сказано, не все используют скажем Cisco NAC, в этом случае клиентский брандмауэр позволяет компенсировать часть проблем с безопасностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По мне так в обязательном порядке, брандмауэр винды, это из разряда пропускаю всё, и если начнётся эпидемия червяка какого-нибудь не факт что АВ спасёт, а потеря информации намного хуже..

+1 только можно и не виндовый, предпочитаю аут пост (ИМХО)!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зачастую задаюсь похожим вопросом, когда разавричиваю KAV сеть в кой нибудь организации, в которой уже шлюз защищен, либо имееют соответствующий продукт ЛК. В итоге отключаю А-Хакер(или на минимум), но оставляю защиту от сет атак, так как от распрастранения вреда в лок.сети ее достаточно, а остальное АВ добьет.

А в целом думаю от организации завист...

ИМХО, - я бы не ставил, но потратился бы на защиту шлюза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нууу вобщем было бы не плохо и брендмауер защитить хоть как-нибудь - сплоиты и под железки регулярно выходят :(

Веб-антивирус касперского хоть и не расчитан на такое использование, но эксплоиты ловит на уровне пакетов (как минимум проектировался для этого и регулярно апдейтится на предмет новых сплоитов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ИМХО, - я бы не ставил, но потратился бы на защиту шлюза.

А как же те угрозы(вири) которые попали из нутри сети(с флешек, сд, чз инфракрасные порты и тд...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

C флэшек и сд и ФА прекрасно справится это и есть его работа, а вот все остальные порты типа БТ ИК и т.д. у нас например в организации закрыты на использование безопасностью сервера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
C флэшек и сд и ФА прекрасно справится это и есть его работа

AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В корпоротивной среде ставить фаервол на конечную рабочую станцию... это (имхо) перебор...

конечно с точки зрения концепции многоуровневой защиты, лучше перебдеть, чем недобдеть... но если парк машин несколько устаревший, то хватило бы ресурсов под первостепенные задачи пользователя.

ИМХО-фаервол надо ставить только туда где обрабатываются определенные задачи, например конфиденциальная информация... и то не каждый фаервол туда подойдет... Лучше для таких целей пользовать корпоративные фаеры... чтото типа VipNet от Infotechs

А правильно настроенный шлюз + прокся + рулесы + snort + централизованое средство контроля за портами и устройствами компьютера (чтото типа Device Lock), это уже сила которую не так то просто обойти...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

1.Нет про такой вирус не слышал а вот файл с таким названием может и есть.

2. Как раз для таких и существует ФА (файловый анивирус), и разговр про фаирволы, в задачи которых не входит проверка флэшек и сьемных носителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

2. Как раз для таких и существует ФА (файловый анивирус), и разговр про фаирволы, в задачи которых не входит проверка флэшек и сьемных носителей.

А ты в курсе что фаер вол не только защищает от угроз из вне.

НО так же "умеет" локализовывать угрозы. Мысль понятна?

ЗЫ а антивирь не всегда справляется!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А ты в курсе что фаер вол не только защищает от угроз из вне.

НО так же "умеет" локализовывать угрозы. Мысль понятна?

ЗЫ а антивирь не всегда справляется!

ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

но это лучше чем сидеть, на голой системе..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

но это лучше чем сидеть, на голой системе..

для конечного пользователя в корпоративной среде?

помойму это хуже...

по ряду причин...

1) ограниченность ресурсов машины конечного пользователя

2) любой фаер будет задавать вопросы, а конечный пользователь и вопросы фаера, имхо, нЕ совместимы

3) гораздо проще и удобней с точки зрения администрирования один корпоративный фаер, нормальная IDS (например snort), нормально настроенный шлюз и наверное нормально настроенная служба каталогов реализующая групповые политики безопасности (Active Directory, Fedora Directory и тд и тп)

4) ну не помешает присовокупить сюда, разработанную в пределах организации политики безопасности (обязательной для исполнения всеми пользователями) и нормативной базы, для контроля и наказания...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Ego Dekker
      Год назад программа-вымогатель WannaCryptor.D (также известная как WannaCry и WCrypt) вызвала одни из самых разрушительных последствий в цифровом мире. И хотя сама угроза уже не представляет большой опасности, эксплойт EternalBlue, который вызвал волну распространения, по-прежнему угрожает системам без надлежащей защиты и примененных исправлений. По данным телеметрии ESET, его распространенность в течение последних нескольких месяцев растет, а недавно уровень выявления угрозы превзошел самые высокие показатели 2017 года. EternalBlue использует уязвимость (в Microsoft Security Bulletin MS17-010) реализации протокола Server Message Block (SMB) в устаревшей версии Microsoft. В результате атаки киберпреступники сканируют Интернет на наличие открытых портов SMB, а обнаружив их, запускают код эксплойта. При наличии уязвимости злоумышленники запускают выбранный под жертву компонент. Именно с помощью этого механизма год назад через сеть распространялась угроза WannaCryptor.D. Согласно данным телеметрии ESET, в течение следующих месяцев после пика распространения WannaCryptor количество попыток использовать эксплойт EternalBlue уменьшилась до сотни в день. Однако с сентября прошлого года использование угрозы начало медленно расти, достигнув новых высоких показателей в середине апреля 2018 года. Выявления EternalBlue в течение 2017-2018 годов в соответствии с ESET Live Grid® Стоит отметить, что метод проникновения EternalBlue на компьютеры пользователей не является успешным на устройствах с защитой ESET. Один из нескольких уровней защиты — Модуль защиты сети от атак — блокирует эту угрозу на начальном этапе. Это подтвердилось во время распространения WannaCryptor 12 мая 2017, а также всех предыдущих и последующих атаках киберпреступников. Напомним, эксплойт EternalBlue использовался во многих высокопрофильных кибератаках. Кроме WannaCryptor, эксплойт также применялся во время атаки Diskcoder.C (также известная как Petya, NotPetya и ExPetya) в июне 2017 года, а также программы-вымогателя BadRabbit в 4-м квартале 2017 года. EternalBlue также использовался группой киберпреступников Sednit (также известная как APT28, Fancy Bear и Sofacy) для атак сетей Wi-Fi в европейских отелях. Кроме этого, эксплойт стал одним из механизмов распространения вредоносных программ для майнинга криптовалюты. А совсем недавно EternalBlue был использован для распространения программы-вымогателя Satan. Напомним, эксплойт EternalBlue якобы был похищен из Агентства национальной безопасности (NSA), вероятно, в 2016 году. В Интернет угроза попала 14 апреля 2017 благодаря группе Shadow Brokers. Компания Microsoft опубликовала обновление, которое фиксируют уязвимость SMB 14 марта 2017, но до сих пор в реальной среде есть множество машин без примененных исправлений. Этот эксплойт и все атаки с его использованием показывают важность своевременного применения исправлений, а также потребность в надежном и многоуровневом решении для защиты, которое может заблокировать этот и другие вредоносные инструменты. Пресс-выпуск.
    • Ego Dekker
    • myrl48
      Создать и Оптимизировать сайт лучшей конверсии С чем половиной покупателей, допускающих к покупке продуктов в интернете либо еженедельно и ежемесячно, сайт электронной коммерции должен иметь огромное влияние на вашей нижней строке. Однако недостаточно создать магазин. Важно сделать все возможное, максимизировать конверсии и потенциал онлайн-продаж. Много идет в создание сайта электронной коммерции и получить максимальную отдачу от него. Прежде всего, убедиться он построен на оптимизированной платформе продаж с системой управления контентом, которая упрощает обновление и помогает быстро загружать сайт помимо технических деталей есть много способов, которыми убедиться конвертируете больше посещений сайта в продажи. Имейте красивый, отзывчивый дизайн Дизайн и макет сайта управляют пользовательским опытом, первое впечатление, которое потенциальные клиенты получают от бизнеса. Сайт - современный дизайн с четкими, высококачественными фотографиями, наилучшим образом продемонстрировать продукты и включить прожекторы продукта и призывы к действиям увеличения участия. Адаптивный дизайн больше не является опцией. Это абсолютная необходимость. Сайт должен адаптироваться просмотра на мобильных устройствах, планшетах и настольных компьютерах, обеспечивая плавный, связный опыт ваших посетителей на каждом этапе. Сделать сайт http://sozdat-sait.my1.ru/ продукты легко найти. Независимо от приходят пользователи в магазин просмотра и поиска определенного элемента, не расстраивайте их, заставляя работать на него. Добавление функции поиска поможет клиентам быстро найти именно то ищут, а организация ваших продуктов в логические, вложенные категории сделает просмотр легким. Продукт помещается в несколько категорий, и расширенные фильтры на странице добавлены, помочь вашим посетителям сузить поиск больше. Положите страницы детали продукта работы Максимально высокие качества, одинаковых размеров фото продукта, предлагая функциональность зум, позволить покупателям изучить продукты подробно. Добавьте параметры общего доступа, побудить посетителей распространять информацию о ваших продуктах на сайтах социальных сетей любят покупатели. Потратьте время, написать хорошие описания продуктов. Они четкими и лаконичными. Попробуйте включить маркированные точки, выделить ключевые особенности, не будучи многословным. Страницы сведений о продукте включать призыв к действию, например кнопку "Добавить в корзину", которую легко обнаружить, и ссылку на политику доставки и возврата. Оптимизировать сайт поисковых систем потратив время на поисковой оптимизации (SEO). Для начала, сделать некоторые исследования ключевых слов и планировать стратегию SEO вокруг ключевых слов. Создайте блог, публиковать полезные статьи, связанные с вашими продуктами, и делиться своими сообщениями в социальных сетях, управлять входящим трафиком. Вы узнать больше эффективной стратегии SEO, проверив наш предыдущий пост: Маркетинговая Стратегия онлайн: создайте бизнес, создайте бренд. Видео урок - http://sozdat-sait.my1.ru/blog/kak_povysit_konversii_i_juzabiliti_sajta/2017-11-09-1894
    • fafa
      Знаете в этом деле лучше отталкиваться от правила если есть средства, то лучше заплатить и все! Поэтому незачем что либо выдумывать или зря тратить свое время. Намного проще оплатить и чтобы конкретно сделали сайт под Ваши условия.
    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.6.300.