Перейти к содержанию
Сергей Ильин

Нужен ли firewall для защиты рабочих станций?

Recommended Posts

Сергей Ильин

Хотел обсудить тему использования индивидуальных firewall для защиты конечных точек корпоративных сетей.

Почти у всех вендоров уже есть такое решения класса Antivirus+Firewall для защиты рабочих станций. Такие решения продвигаются поизводителями как комплексная, интегрированная защита, единственно верный подход к обеспечению надежной информационной безопасности на предприятии.

Примеры таких решений:

Symantec Client Security

Sophos Endpoint Security

Trend Micro OfficeScan

McAfee VirusScan и т.д.

Но возникает вопрос, насколько оправдана покупка таких продуктов?

Вот несколько аргументов против, которые могут возникнуть, привожу для оживления дискуссии :-):

1. Встроенные Firewall уже есть в Windows XP SP2.

2. Это стоит дополнительных денег.

3. Настройка и управление Firewall сложнее, чем антивируса в рамках всей сети, потребует дополнительный ресурсов администраторов.

4. Наконец, увеличение уровня безопасности выглядит сомнительным.

Собственно почему люди должны платить больше за встроенный Firewall? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

У нас TrendMicro OfficeScan 7.3 , pf неиспользуется по твоему 4 пункту.

Fw в основном нужен корпоративный защищающий шлюз - локальную/корпоративную сеть и Инет (у нас им служит CheckPoint NGX)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Если брандмауэр организации достаточно хорошо настроен, то в принципе нет особой потребности в клиентском брандмауэре. Тем не менее, если в сеть проникает червь, полагаться на брандмауэр Windows не приходится. Ответить на вопрос однозначно поэтому невозможно, на мой взгляд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
У нас TrendMicro OfficeScan 7.3 , pf неиспользуется по твоему 4 пункту.

Fw в основном нужен корпоративный защищающий шлюз - локальную/корпоративную сеть и Инет (у нас им служит CheckPoint NGX)

Моё мнение возможно он бы небыл лишним где очень серьезно относятся к безопасности (банковские системы, военные объекты)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

По мне так в обязательном порядке, брандмауэр винды, это из разряда пропускаю всё, и если начнётся эпидемия червяка какого-нибудь не факт что АВ спасёт, а потеря информации намного хуже..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Бранды винды должно хватить для удачи без траты денег.:)

Причём в любой сети.

Исключая случаи сетей больше 50-100 машин.

Там свои проблемы.

Да и то, админ скорей всего поправит.

Хмм. Впрочем, скорей всего я не знаю подробностей и деталей.

P/S/ поправил своё агрессивное отношение к количеству машин. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Если в компании четкая политика по отношению к расшаренным ресурсам, жестко ограничиваются права пользователей + хороший антивирус, то опасность и так минимизируется.

Безусловно есть риск заражения все равно есть, как было в случае с Sasser. Но от zero-day атак все равно ничего не спасет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Не факт :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Если в компании четкая политика по отношению к расшаренным ресурсам, жестко ограничиваются права пользователей + хороший антивирус, то опасность и так минимизируется.

Безусловно есть риск заражения все равно есть, как было в случае с Sasser. Но от zero-day атак все равно ничего не спасет.

представим, что началась эпидемия какой-нибудь гадости которая через дырку в системе проникает, и дальше ломиться начинает с этого компа..

стоит антивирус и fw винды (на него надежды никакой, да и вообще не факт что там стоит хп с sp2, может и 2000 с сп4) так вот один комп заразился, и пошёл по сетке, а антивирус незнает этого зверя всё финишь, только по сниферу хоть что-то можно будет найти, но снифер постоянно не смотришь...

то же но с нормальным fw, fw если и пропустит, то процентов на тцать будет вероятность что он его невыпустит, что уже немаловажно..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Предполагается, что, если стоит брандмауэр, то ничто попасть на машину извне не может (имею в виду приложения).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Предполагается, что, если стоит брандмауэр, то ничто попасть на машину извне не может (имею в виду приложения).

мечты, мечты..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk

А как насчёт реализации с помощью брандмауэра других фич? Например не у всех стоят умные Циски, а персональным брандмауэром можно реализовать отправку машины в карантин при нарушении политики безопастности (как минимум устаревшие базы антивируса).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Удобно использовать сетевой экран на каждой рабочей станции в случае, если тот позволяет ограничивать трафик не только по портам, но и по активным у клиента приложениям (например Outpost Firewall или построенные на его основе). Кроме того, сетевой экран может взять на себя часть функций по фильтрации веб-активности (запрет хода на некоторые сайты например), это актуально в случае, если рабочая станция периодически вырывается из корпоративной сети (например, ноутбук у менеджера по продажам), так как в этом случае корпоративная защита переднего края помочь уже не может.

Про умную Cisco правильно сказано, не все используют скажем Cisco NAC, в этом случае клиентский брандмауэр позволяет компенсировать часть проблем с безопасностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg070
По мне так в обязательном порядке, брандмауэр винды, это из разряда пропускаю всё, и если начнётся эпидемия червяка какого-нибудь не факт что АВ спасёт, а потеря информации намного хуже..

+1 только можно и не виндовый, предпочитаю аут пост (ИМХО)!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

Зачастую задаюсь похожим вопросом, когда разавричиваю KAV сеть в кой нибудь организации, в которой уже шлюз защищен, либо имееют соответствующий продукт ЛК. В итоге отключаю А-Хакер(или на минимум), но оставляю защиту от сет атак, так как от распрастранения вреда в лок.сети ее достаточно, а остальное АВ добьет.

А в целом думаю от организации завист...

ИМХО, - я бы не ставил, но потратился бы на защиту шлюза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Нууу вобщем было бы не плохо и брендмауер защитить хоть как-нибудь - сплоиты и под железки регулярно выходят :(

Веб-антивирус касперского хоть и не расчитан на такое использование, но эксплоиты ловит на уровне пакетов (как минимум проектировался для этого и регулярно апдейтится на предмет новых сплоитов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg070
ИМХО, - я бы не ставил, но потратился бы на защиту шлюза.

А как же те угрозы(вири) которые попали из нутри сети(с флешек, сд, чз инфракрасные порты и тд...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

C флэшек и сд и ФА прекрасно справится это и есть его работа, а вот все остальные порты типа БТ ИК и т.д. у нас например в организации закрыты на использование безопасностью сервера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg070
C флэшек и сд и ФА прекрасно справится это и есть его работа

AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antivir

В корпоротивной среде ставить фаервол на конечную рабочую станцию... это (имхо) перебор...

конечно с точки зрения концепции многоуровневой защиты, лучше перебдеть, чем недобдеть... но если парк машин несколько устаревший, то хватило бы ресурсов под первостепенные задачи пользователя.

ИМХО-фаервол надо ставить только туда где обрабатываются определенные задачи, например конфиденциальная информация... и то не каждый фаервол туда подойдет... Лучше для таких целей пользовать корпоративные фаеры... чтото типа VipNet от Infotechs

А правильно настроенный шлюз + прокся + рулесы + snort + централизованое средство контроля за портами и устройствами компьютера (чтото типа Device Lock), это уже сила которую не так то просто обойти...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState
AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

1.Нет про такой вирус не слышал а вот файл с таким названием может и есть.

2. Как раз для таких и существует ФА (файловый анивирус), и разговр про фаирволы, в задачи которых не входит проверка флэшек и сьемных носителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg070
AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

2. Как раз для таких и существует ФА (файловый анивирус), и разговр про фаирволы, в задачи которых не входит проверка флэшек и сьемных носителей.

А ты в курсе что фаер вол не только защищает от угроз из вне.

НО так же "умеет" локализовывать угрозы. Мысль понятна?

ЗЫ а антивирь не всегда справляется!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antivir
А ты в курсе что фаер вол не только защищает от угроз из вне.

НО так же "умеет" локализовывать угрозы. Мысль понятна?

ЗЫ а антивирь не всегда справляется!

ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

но это лучше чем сидеть, на голой системе..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antivir
ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

но это лучше чем сидеть, на голой системе..

для конечного пользователя в корпоративной среде?

помойму это хуже...

по ряду причин...

1) ограниченность ресурсов машины конечного пользователя

2) любой фаер будет задавать вопросы, а конечный пользователь и вопросы фаера, имхо, нЕ совместимы

3) гораздо проще и удобней с точки зрения администрирования один корпоративный фаер, нормальная IDS (например snort), нормально настроенный шлюз и наверное нормально настроенная служба каталогов реализующая групповые политики безопасности (Active Directory, Fedora Directory и тд и тп)

4) ну не помешает присовокупить сюда, разработанную в пределах организации политики безопасности (обязательной для исполнения всеми пользователями) и нормативной базы, для контроля и наказания...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×