Перейти к содержанию
Сергей Ильин

Нужен ли firewall для защиты рабочих станций?

Recommended Posts

Сергей Ильин

Хотел обсудить тему использования индивидуальных firewall для защиты конечных точек корпоративных сетей.

Почти у всех вендоров уже есть такое решения класса Antivirus+Firewall для защиты рабочих станций. Такие решения продвигаются поизводителями как комплексная, интегрированная защита, единственно верный подход к обеспечению надежной информационной безопасности на предприятии.

Примеры таких решений:

Symantec Client Security

Sophos Endpoint Security

Trend Micro OfficeScan

McAfee VirusScan и т.д.

Но возникает вопрос, насколько оправдана покупка таких продуктов?

Вот несколько аргументов против, которые могут возникнуть, привожу для оживления дискуссии :-):

1. Встроенные Firewall уже есть в Windows XP SP2.

2. Это стоит дополнительных денег.

3. Настройка и управление Firewall сложнее, чем антивируса в рамках всей сети, потребует дополнительный ресурсов администраторов.

4. Наконец, увеличение уровня безопасности выглядит сомнительным.

Собственно почему люди должны платить больше за встроенный Firewall? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov

У нас TrendMicro OfficeScan 7.3 , pf неиспользуется по твоему 4 пункту.

Fw в основном нужен корпоративный защищающий шлюз - локальную/корпоративную сеть и Инет (у нас им служит CheckPoint NGX)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Если брандмауэр организации достаточно хорошо настроен, то в принципе нет особой потребности в клиентском брандмауэре. Тем не менее, если в сеть проникает червь, полагаться на брандмауэр Windows не приходится. Ответить на вопрос однозначно поэтому невозможно, на мой взгляд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Dindikov
У нас TrendMicro OfficeScan 7.3 , pf неиспользуется по твоему 4 пункту.

Fw в основном нужен корпоративный защищающий шлюз - локальную/корпоративную сеть и Инет (у нас им служит CheckPoint NGX)

Моё мнение возможно он бы небыл лишним где очень серьезно относятся к безопасности (банковские системы, военные объекты)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

По мне так в обязательном порядке, брандмауэр винды, это из разряда пропускаю всё, и если начнётся эпидемия червяка какого-нибудь не факт что АВ спасёт, а потеря информации намного хуже..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Бранды винды должно хватить для удачи без траты денег.:)

Причём в любой сети.

Исключая случаи сетей больше 50-100 машин.

Там свои проблемы.

Да и то, админ скорей всего поправит.

Хмм. Впрочем, скорей всего я не знаю подробностей и деталей.

P/S/ поправил своё агрессивное отношение к количеству машин. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Если в компании четкая политика по отношению к расшаренным ресурсам, жестко ограничиваются права пользователей + хороший антивирус, то опасность и так минимизируется.

Безусловно есть риск заражения все равно есть, как было в случае с Sasser. Но от zero-day атак все равно ничего не спасет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Не факт :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Если в компании четкая политика по отношению к расшаренным ресурсам, жестко ограничиваются права пользователей + хороший антивирус, то опасность и так минимизируется.

Безусловно есть риск заражения все равно есть, как было в случае с Sasser. Но от zero-day атак все равно ничего не спасет.

представим, что началась эпидемия какой-нибудь гадости которая через дырку в системе проникает, и дальше ломиться начинает с этого компа..

стоит антивирус и fw винды (на него надежды никакой, да и вообще не факт что там стоит хп с sp2, может и 2000 с сп4) так вот один комп заразился, и пошёл по сетке, а антивирус незнает этого зверя всё финишь, только по сниферу хоть что-то можно будет найти, но снифер постоянно не смотришь...

то же но с нормальным fw, fw если и пропустит, то процентов на тцать будет вероятность что он его невыпустит, что уже немаловажно..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Предполагается, что, если стоит брандмауэр, то ничто попасть на машину извне не может (имею в виду приложения).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Предполагается, что, если стоит брандмауэр, то ничто попасть на машину извне не может (имею в виду приложения).

мечты, мечты..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yurk

А как насчёт реализации с помощью брандмауэра других фич? Например не у всех стоят умные Циски, а персональным брандмауэром можно реализовать отправку машины в карантин при нарушении политики безопастности (как минимум устаревшие базы антивируса).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Удобно использовать сетевой экран на каждой рабочей станции в случае, если тот позволяет ограничивать трафик не только по портам, но и по активным у клиента приложениям (например Outpost Firewall или построенные на его основе). Кроме того, сетевой экран может взять на себя часть функций по фильтрации веб-активности (запрет хода на некоторые сайты например), это актуально в случае, если рабочая станция периодически вырывается из корпоративной сети (например, ноутбук у менеджера по продажам), так как в этом случае корпоративная защита переднего края помочь уже не может.

Про умную Cisco правильно сказано, не все используют скажем Cisco NAC, в этом случае клиентский брандмауэр позволяет компенсировать часть проблем с безопасностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg070
По мне так в обязательном порядке, брандмауэр винды, это из разряда пропускаю всё, и если начнётся эпидемия червяка какого-нибудь не факт что АВ спасёт, а потеря информации намного хуже..

+1 только можно и не виндовый, предпочитаю аут пост (ИМХО)!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

Зачастую задаюсь похожим вопросом, когда разавричиваю KAV сеть в кой нибудь организации, в которой уже шлюз защищен, либо имееют соответствующий продукт ЛК. В итоге отключаю А-Хакер(или на минимум), но оставляю защиту от сет атак, так как от распрастранения вреда в лок.сети ее достаточно, а остальное АВ добьет.

А в целом думаю от организации завист...

ИМХО, - я бы не ставил, но потратился бы на защиту шлюза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

Нууу вобщем было бы не плохо и брендмауер защитить хоть как-нибудь - сплоиты и под железки регулярно выходят :(

Веб-антивирус касперского хоть и не расчитан на такое использование, но эксплоиты ловит на уровне пакетов (как минимум проектировался для этого и регулярно апдейтится на предмет новых сплоитов :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg070
ИМХО, - я бы не ставил, но потратился бы на защиту шлюза.

А как же те угрозы(вири) которые попали из нутри сети(с флешек, сд, чз инфракрасные порты и тд...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState

C флэшек и сд и ФА прекрасно справится это и есть его работа, а вот все остальные порты типа БТ ИК и т.д. у нас например в организации закрыты на использование безопасностью сервера

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg070
C флэшек и сд и ФА прекрасно справится это и есть его работа

AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antivir

В корпоротивной среде ставить фаервол на конечную рабочую станцию... это (имхо) перебор...

конечно с точки зрения концепции многоуровневой защиты, лучше перебдеть, чем недобдеть... но если парк машин несколько устаревший, то хватило бы ресурсов под первостепенные задачи пользователя.

ИМХО-фаервол надо ставить только туда где обрабатываются определенные задачи, например конфиденциальная информация... и то не каждый фаервол туда подойдет... Лучше для таких целей пользовать корпоративные фаеры... чтото типа VipNet от Infotechs

А правильно настроенный шлюз + прокся + рулесы + snort + централизованое средство контроля за портами и устройствами компьютера (чтото типа Device Lock), это уже сила которую не так то просто обойти...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DWState
AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

1.Нет про такой вирус не слышал а вот файл с таким названием может и есть.

2. Как раз для таких и существует ФА (файловый анивирус), и разговр про фаирволы, в задачи которых не входит проверка флэшек и сьемных носителей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Oleg070
AdobeR.exe про такой вирус слышал???

особые приметы распологаеться на флешке файл AdobeR.exe, и при втыкании флешки прописываеться в автозагрузку.

2. Как раз для таких и существует ФА (файловый анивирус), и разговр про фаирволы, в задачи которых не входит проверка флэшек и сьемных носителей.

А ты в курсе что фаер вол не только защищает от угроз из вне.

НО так же "умеет" локализовывать угрозы. Мысль понятна?

ЗЫ а антивирь не всегда справляется!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antivir
А ты в курсе что фаер вол не только защищает от угроз из вне.

НО так же "умеет" локализовывать угрозы. Мысль понятна?

ЗЫ а антивирь не всегда справляется!

ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

но это лучше чем сидеть, на голой системе..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Antivir
ИМХО если руки /dev/ass то ни какой фаер и антивирь... и даже все вместе не спасут...

но это лучше чем сидеть, на голой системе..

для конечного пользователя в корпоративной среде?

помойму это хуже...

по ряду причин...

1) ограниченность ресурсов машины конечного пользователя

2) любой фаер будет задавать вопросы, а конечный пользователь и вопросы фаера, имхо, нЕ совместимы

3) гораздо проще и удобней с точки зрения администрирования один корпоративный фаер, нормальная IDS (например snort), нормально настроенный шлюз и наверное нормально настроенная служба каталогов реализующая групповые политики безопасности (Active Directory, Fedora Directory и тд и тп)

4) ну не помешает присовокупить сюда, разработанную в пределах организации политики безопасности (обязательной для исполнения всеми пользователями) и нормативной базы, для контроля и наказания...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×