Сергей Ильин

Нужен ли firewall для защиты рабочих станций?

В этой теме 49 сообщений

Хотел обсудить тему использования индивидуальных firewall для защиты конечных точек корпоративных сетей.

Почти у всех вендоров уже есть такое решения класса Antivirus+Firewall для защиты рабочих станций. Такие решения продвигаются поизводителями как комплексная, интегрированная защита, единственно верный подход к обеспечению надежной информационной безопасности на предприятии.

Примеры таких решений:

Symantec Client Security

Sophos Endpoint Security

Trend Micro OfficeScan

McAfee VirusScan и т.д.

Но возникает вопрос, насколько оправдана покупка таких продуктов?

Вот несколько аргументов против, которые могут возникнуть, привожу для оживления дискуссии :-):

1. Встроенные Firewall уже есть в Windows XP SP2.

2. Это стоит дополнительных денег.

3. Настройка и управление Firewall сложнее, чем антивируса в рамках всей сети, потребует дополнительный ресурсов администраторов.

4. Наконец, увеличение уровня безопасности выглядит сомнительным.

Собственно почему люди должны платить больше за встроенный Firewall? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У нас TrendMicro OfficeScan 7.3 , pf неиспользуется по твоему 4 пункту.

Fw в основном нужен корпоративный защищающий шлюз - локальную/корпоративную сеть и Инет (у нас им служит CheckPoint NGX)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если брандмауэр организации достаточно хорошо настроен, то в принципе нет особой потребности в клиентском брандмауэре. Тем не менее, если в сеть проникает червь, полагаться на брандмауэр Windows не приходится. Ответить на вопрос однозначно поэтому невозможно, на мой взгляд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У нас TrendMicro OfficeScan 7.3 , pf неиспользуется по твоему 4 пункту.

Fw в основном нужен корпоративный защищающий шлюз - локальную/корпоративную сеть и Инет (у нас им служит CheckPoint NGX)

Моё мнение возможно он бы небыл лишним где очень серьезно относятся к безопасности (банковские системы, военные объекты)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По мне так в обязательном порядке, брандмауэр винды, это из разряда пропускаю всё, и если начнётся эпидемия червяка какого-нибудь не факт что АВ спасёт, а потеря информации намного хуже..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Бранды винды должно хватить для удачи без траты денег.:)

Причём в любой сети.

Исключая случаи сетей больше 50-100 машин.

Там свои проблемы.

Да и то, админ скорей всего поправит.

Хмм. Впрочем, скорей всего я не знаю подробностей и деталей.

P/S/ поправил своё агрессивное отношение к количеству машин. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если в компании четкая политика по отношению к расшаренным ресурсам, жестко ограничиваются права пользователей + хороший антивирус, то опасность и так минимизируется.

Безусловно есть риск заражения все равно есть, как было в случае с Sasser. Но от zero-day атак все равно ничего не спасет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если в компании четкая политика по отношению к расшаренным ресурсам, жестко ограничиваются права пользователей + хороший антивирус, то опасность и так минимизируется.

Безусловно есть риск заражения все равно есть, как было в случае с Sasser. Но от zero-day атак все равно ничего не спасет.

представим, что началась эпидемия какой-нибудь гадости которая через дырку в системе проникает, и дальше ломиться начинает с этого компа..

стоит антивирус и fw винды (на него надежды никакой, да и вообще не факт что там стоит хп с sp2, может и 2000 с сп4) так вот один комп заразился, и пошёл по сетке, а антивирус незнает этого зверя всё финишь, только по сниферу хоть что-то можно будет найти, но снифер постоянно не смотришь...

то же но с нормальным fw, fw если и пропустит, то процентов на тцать будет вероятность что он его невыпустит, что уже немаловажно..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Предполагается, что, если стоит брандмауэр, то ничто попасть на машину извне не может (имею в виду приложения).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Предполагается, что, если стоит брандмауэр, то ничто попасть на машину извне не может (имею в виду приложения).

мечты, мечты..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А как насчёт реализации с помощью брандмауэра других фич? Например не у всех стоят умные Циски, а персональным брандмауэром можно реализовать отправку машины в карантин при нарушении политики безопастности (как минимум устаревшие базы антивируса).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Удобно использовать сетевой экран на каждой рабочей станции в случае, если тот позволяет ограничивать трафик не только по портам, но и по активным у клиента приложениям (например Outpost Firewall или построенные на его основе). Кроме того, сетевой экран может взять на себя часть функций по фильтрации веб-активности (запрет хода на некоторые сайты например), это актуально в случае, если рабочая станция периодически вырывается из корпоративной сети (например, ноутбук у менеджера по продажам), так как в этом случае корпоративная защита переднего края помочь уже не может.

Про умную Cisco правильно сказано, не все используют скажем Cisco NAC, в этом случае клиентский брандмауэр позволяет компенсировать часть проблем с безопасностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По мне так в обязательном порядке, брандмауэр винды, это из разряда пропускаю всё, и если начнётся эпидемия червяка какого-нибудь не факт что АВ спасёт, а потеря информации намного хуже..

+1 только можно и не виндовый, предпочитаю аут пост (ИМХО)!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зачастую задаюсь похожим вопросом, когда разавричиваю KAV сеть в кой нибудь организации, в которой уже шлюз защищен, либо имееют соответствующий продукт ЛК. В итоге отключаю А-Хакер(или на минимум), но оставляю защиту от сет атак, так как от распрастранения вреда в лок.сети ее достаточно, а остальное АВ добьет.

А в целом думаю от организации завист...

ИМХО, - я бы не ставил, но потратился бы на защиту шлюза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нууу вобщем было бы не плохо и брендмауер защитить хоть как-нибудь - сплоиты и под железки регулярно выходят :(

Веб-антивирус касперского хоть и не расчитан на такое использование, но эксплоиты ловит на уровне пакетов (как минимум проектировался для этого и регулярно апдейтится на предмет новых сплоитов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ИМХО, - я бы не ставил, но потратился бы на защиту шлюза.

А как же те угрозы(вири) которые попали из нутри сети(с флешек, сд, чз инфракрасные порты и тд...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

C флэшек и сд и ФА прекрасно справится это и есть его работа, а вот все остальные порты типа БТ ИК и т.д. у нас например в организации закрыты на использование безопасностью сервера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
C флэшек и сд и ФА прекрасно справится это и есть его работа

AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В корпоротивной среде ставить фаервол на конечную рабочую станцию... это (имхо) перебор...

конечно с точки зрения концепции многоуровневой защиты, лучше перебдеть, чем недобдеть... но если парк машин несколько устаревший, то хватило бы ресурсов под первостепенные задачи пользователя.

ИМХО-фаервол надо ставить только туда где обрабатываются определенные задачи, например конфиденциальная информация... и то не каждый фаервол туда подойдет... Лучше для таких целей пользовать корпоративные фаеры... чтото типа VipNet от Infotechs

А правильно настроенный шлюз + прокся + рулесы + snort + централизованое средство контроля за портами и устройствами компьютера (чтото типа Device Lock), это уже сила которую не так то просто обойти...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

1.Нет про такой вирус не слышал а вот файл с таким названием может и есть.

2. Как раз для таких и существует ФА (файловый анивирус), и разговр про фаирволы, в задачи которых не входит проверка флэшек и сьемных носителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

2. Как раз для таких и существует ФА (файловый анивирус), и разговр про фаирволы, в задачи которых не входит проверка флэшек и сьемных носителей.

А ты в курсе что фаер вол не только защищает от угроз из вне.

НО так же "умеет" локализовывать угрозы. Мысль понятна?

ЗЫ а антивирь не всегда справляется!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А ты в курсе что фаер вол не только защищает от угроз из вне.

НО так же "умеет" локализовывать угрозы. Мысль понятна?

ЗЫ а антивирь не всегда справляется!

ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

но это лучше чем сидеть, на голой системе..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

но это лучше чем сидеть, на голой системе..

для конечного пользователя в корпоративной среде?

помойму это хуже...

по ряду причин...

1) ограниченность ресурсов машины конечного пользователя

2) любой фаер будет задавать вопросы, а конечный пользователь и вопросы фаера, имхо, нЕ совместимы

3) гораздо проще и удобней с точки зрения администрирования один корпоративный фаер, нормальная IDS (например snort), нормально настроенный шлюз и наверное нормально настроенная служба каталогов реализующая групповые политики безопасности (Active Directory, Fedora Directory и тд и тп)

4) ну не помешает присовокупить сюда, разработанную в пределах организации политики безопасности (обязательной для исполнения всеми пользователями) и нормативной базы, для контроля и наказания...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Openair
    • Bitdefender
      Дорогие друзья! Мы хотим все больше и больше знать о своих пользователях. О том, что вам нравится в нашем антивирусе, а что нет. Эта тема создана специально для ваших отзывах о нашем продукте! Так что не стесняйтесь, мы ждем ваших комментариев)
    • NishonAli
      Добрый день! Не давно поступил в аспирантуру (форма соискатель).
      Встал вопрос о выборе темы по специальности методы и средства защиты информации, информационная безопасность. 
      Подобрал несколько тем прощу дать свои советы. 
      1. Проблема информационной безопасности в IoT устройствах.
      2. Методы и модели защиты информации в промышленных интернет вещей применением машинного обучения. 
    • djum
      Честно говоря такие объявления доверия не внушают, но вообще в инете и работу и подработку можно найти...    
      Я вон всякий хлам продаю по соцсетям... ВК, ОК, ...   Потом на фейсбук перебрался по совету ГикХакера...
      Сейчас собрался легализироваться... ИП открывать...   Вроде нормально все должно быть, тьфу тьфу...    
      А быстрых и легких денег не бывает...
    • djum
      Ну, вообще сейчас полно предложений по кредитам... Большие, маленькие, огромные, потребительские, ипотечный... Взять кредит не проблема, но тут нужно быть осторожным. Я допустим когда даже потребительский брал,  и то по инету прошерстил, инфу вон на kreditss.ru черпал... Так что тут выбор большой, но выбирать нужно аккуратно...