Iron Port: преимущества и недостатки? - Выбор корпоративных средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
partizan

Iron Port: преимущества и недостатки?

Recommended Posts

partizan

Хотелось бы узнать мнение о работе данной системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Если мне не изменяет память у этой компании явно не один продукт, конкретизируйте о чем идет речь.

А потом Iron Port кто-то купил не так давно. :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
partizan

Интересует в частности Iron Port С350.

Куплен Cisco.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Антивирус там хороший, это точно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bovejero

Шлюз безопасности электронной почты IronPort, Вы можете бесплатно протестировать, для этого достаточно погуглить рунет и найти компании которые занимаются поставками данных устройств, на сегодняшний момент существуют такие решения: С150, С350, С350D, C650 X1050, работает устройство на базе AsyncOS (одна из ветвей FreeBSD) сервисы которые установлены, Virus Outbreak Filter (разработка компании IronPort Systems) AV- это может быть как Sophos, так McAfee, антиспам и репутационные фильтры, основной упор IronPort делает на VOF и репутационные фильтры. Для желающих протестировать, еще один совет, реально оценивать сколько в компании почтовых ящиков(физических) и сколько их будет в будущем, а также какой почтовый трафик( в месяц, неделя, день, час), а также рекомендуется перед тестированием и покупкой просканировать всю сеть на наличие нечисти, в России был реальный пример внедрения когда устройство устанавливалось в зараженную среду. и на последок http://www.senderbase.org

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин

IronPort - это дорого, но это же cisco. Там свои репутационные технологии, что здорово. Высокая производительность, что иногда важно. В lowend-решениях (маршрутизаторы cisco, девайсы linksys) cisco встраивает репутацию от тренда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
partizan

Подводя итог после долгого выбора решения и года использования данной системы хотелось бы отметить, именно то что нужно. Раз настроил и забыл. По функционалу и производительности сложно назвать конкурента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
По функционалу и производительности сложно назвать конкурента.

это да. но стоимость решения...зато cisco :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Подводя итог после долгого выбора решения и года использования данной системы хотелось бы отметить, именно то что нужно. Раз настроил и забыл. По функционалу и производительности сложно назвать конкурента

Это Вы зря. Достойных конкурентов хоть отбавляй, причем превосходящих и по надежности и по функциям. Да и покупка Cisco не сделала Ironport автоматически такими же надежными и сильными решениями..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexandrnew

а можно примеры конкурентов\аналогов? и есть ли бесплатные?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bovejero
а можно примеры конкурентов\аналогов? и есть ли бесплатные?

п один

FortiMail 4000А

Tumbleweed_Appliances

ibm proventia network mail security

PineApp

Symantec mail security

решени от McAfee email security

п два

подобные решения априори не могут быть бесплатными, работа серого вещества стоит дорого....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Теме Up!!!

Есть ли какие-нибудь соображения по поводу того,

зачем Iron Port использует в своем решении сразу 3 технологии

антивирусов (собственную, McAfee и Sophos) и для чего из них каждая?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
Теме Up!!!

Есть ли какие-нибудь соображения по поводу того,

зачем Iron Port использует в своем решении сразу 3 технологии

антивирусов (собственную, McAfee и Sophos) и для чего из них каждая?

"всё в одном". у них на сайте достаточно наглядно расписано, как и зачем, вот тут вот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Если я не ошибаюсь, то антивирус McAfee требует дополнительной подписки,

а без нее не будет работать и обновляться?

Смысл использовать 3 различных технологии лишь для того,

чтобы проверять вложения электронной почты?

Неужели одна не справится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
Если я не ошибаюсь, то антивирус McAfee требует дополнительной подписки,

а без нее не будет работать и обновляться?

у IronPort подписка идет на железо+софт.

Смысл использовать 3 различных технологии лишь для того,

чтобы проверять вложения электронной почты?

Неужели одна не справится?

крайне невнимательно прочитали по ссылке выше(ссылка относится только к av-составляющей). черным по белому:

первая технология - нечто вроде эвристического ананлиза.

During any virus outbreak, there is invariably a period of time between virus detection and when the actual anti-virus identity file is deployed. During this period, administrators can utilize IronPort Virus Outbreak Filters technology to identify and quarantine viruses based on known patterns and delete or archive the messages until new identity files can be updated.

вторая, соответствено:

Integrated McAfee and Sophos anti-virus engines - enabling multiple traditional virus detection methods to ensure protection against even the most complex virus attacks.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Простите, но это лишь маркетинговые материалы, которые не

представляют собой интереса.

Вопрос вот в чем: не сомневаюсь, что и у McAfee и у Sophos

есть и сигнатурные и эвристические технологии. Интересно

было бы узнать, почему нельзя было ограничиться использованием,

например, одного антивируса McAfee с эвристиком и Virus Outbreak,

который выполнял бы те же функции, что и все 3 антивируса в IronPort.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
Вопрос вот в чем: не сомневаюсь, что и у McAfee и у Sophos

есть и сигнатурные и эвристические технологии. Интересно

было бы узнать, почему нельзя было ограничиться использованием,

например, одного антивируса McAfee с эвристиком и Virus Outbreak,

который выполнял бы те же функции, что и все 3 антивируса в IronPort.

а по-моему логично. эвристик -> антивирус -> антивирус. что не словит McAffee - словит Sophos.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
а по-моему логично. эвристик -> антивирус -> антивирус. что не словит McAffee - словит Sophos.

Если при этом время проверки сообщения на вирусы не возрастает

в 3 раза - то логично.

у IronPort подписка идет на железо+софт.

Т.е. вы хотите сказать, что все антивирусы McAfee и Sophos

уже входят в одну подписку на продукт и не требуют

дополнительной оплаты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
Если при этом время проверки сообщения на вирусы не возрастает

в 3 раза - то логично.

не возрастает - доводилось щупать.

Т.е. вы хотите сказать, что все антивирусы McAfee и Sophos

уже входят в одну подписку на продукт и не требуют

дополнительной оплаты?

а вот это надо уже узнавать точнее у конечных интеграторов/реселлеров. к сожалению, сейчас уже не могу ответить в силу смененного места работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Такой вопрос: а в X1060 имеются ли функции контентной фильтрации

с поиском по описанию данных (например, по виду номеров кредитных карт)

и по структуре данных (по базе реальных номеров кредитных карт сотрудников в компании)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
Такой вопрос: а в X1060 имеются ли функции контентной фильтрации

с поиском по описанию данных (например, по виду номеров кредитных карт)

и по структуре данных (по базе реальных номеров кредитных карт сотрудников в компании)?

по виду - да, они есть в базовых "словарях". предполагаю, что можно и свою базу составить (касаемо реальных номеров) - через веб-интерфейс есть возможность делать свой собственный словарь. сие есть только в линейках X, C и SA.

конкретно в X1060 - есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

На сайте IronPort и в маркетинговых материалах написано,

что IronPort способен обрабатывать 10 000 соединений одновременно.

Можно ли считать это основным преимуществом данного продукта?

IronPort - это дорого, но это же cisco. Там свои репутационные технологии, что здорово. Высокая производительность, что иногда важно. В lowend-решениях (маршрутизаторы cisco, девайсы linksys) cisco встраивает репутацию от тренда.

Высокая производительность - это конечно хорошо, но у IronPort нет механизмов

для анализа локальной репутации IP-адресов. Проще говоря, нет объективной картины и

тенденций отправки спама в локальную сеть => нет возможности блокировать спам с бот-сетей,

которые в настоящее время все чаще и чаще присылают спам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
Проще говоря, нет объективной картины и

тенденций отправки спама в локальную сеть => нет возможности блокировать спам с бот-сетей,

которые в настоящее время все чаще и чаще присылают спам.

http://safe.cnews.ru/news/line/index.shtml?2008/04/08/296051

как-то так.

На сайте IronPort и в маркетинговых материалах написано,

что IronPort способен обрабатывать 10 000 соединений одновременно.

Можно ли считать это основным преимуществом данного продукта?

нет, это не его основное преимущество, это свойство ОС, на базе которой он сделан :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Из статьи ясно лишь одно - фильтры IronPort Web Reputation Filters

стали лучше защищать от Веб-угроз, но это никакого отношения

к проверке почты на наличие спама не имеет.

Интересен был бы функционал, который использует локальные средства

анализа (на самом апплайенсе) которые позволили бы блокировать

спам, основываясь именно на хронологии отправки сообщений.

Пока информации о таком функционале не было...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
spamolov

>Проще говоря, нет объективной картины и

>тенденций отправки спама в локальную сеть => нет возможности блокировать спам с бот-сетей,

>которые в настоящее время все чаще и чаще присылают спам.

В блокировании спама идущего с ботнетов, IronPort достаточно хорош,есть другие проблемы, например со спамом, который идет из мест с хорошей репутацией, есть проблемы с рускоязычным спамом. Ну так ведь они и у MessageLabs есть, правда?

Ну это у всех Западных решений так, если Вы слушали выступление CEO Cisco на последней RSA Conference, то он там сказал что Cisco будет специализироваться именно на автоматизированных методах детектирования. Я думаю в их планы не входит держать толпу лингвистов, обновляющих словоформы по 100 раз на дню :)

А в основном, как тут сказали. IronPort = Cisco = Дорого, а дорого не всегда хорошо, особливо в данном случае.

Отредактировал spamolov

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Demkd Я бы ещё добавил подсчёт идентичных файлов.  ( если это принципиально не скажется на производительности ) По крайней мере раньше бывало и такое, что в системе десятки идентичных  файлов - но  с разными именами. И Опционально Запуск uVS - в качестве ловушки. Например  программа стартует не как: gvprin , а как firefox.exe и отслеживает всех желающих... приобщиться.    
    • PR55.RP55
      Добавить возможность "автоматического" контроля со стороны оператора\админа за актуальностью\версией установленных программ. т.е. Оператор создаёт файл "Контроль Программ.txt" и следит за его актуальностью. И при открытии меню: Дополнительно > Установленные программы  в списке отображаться не только версия установленной программы - но и её актуальная версия из Контроль Программ.txt * * или же вместо числового значения\версии - отображается запись\уведомление заданное оператором: - например: ! Внимание найден антивирус ! ** Все записи подпавшие под... критерий - перемещаются в начало списка.  
    • demkd
      ---------------------------------------------------------
       4.99.6
      ---------------------------------------------------------
       o Добавлен еще один ключ автозапуска, используемый троянами и майнерами.

       o Добавлена новая опция запуска uVS: Искать в пользовательских каталогах скрытые исполняемые файлы.
         В пользовательских каталогах не должно быть подобных файлов, если же они есть то стоит внимательно изучить их содержимое.
         По умолчанию опция включена, отключить ее можно в окне запуска.
         Если опция включена то просматривается весь каталог "Documents and Settings" (Users+ProgramData для новых систем)
         со всеми подкаталогами. При обнаружении исполняемых файлов с атрибутами "скрытый" или "системный" такой файл добавляется
         в список со статусом "подозрительный", статус может быть снят автоматически если файл есть в базе проверенных файлов.
         Сканирование каталогов идет в отдельном потоке параллельно с построением списка автозапуска,
         однако включение этой опции может увеличить время обновления списка для одноядерных процессоров и систем на HDD.
         Тестировании проводилось только для системы на SSD, тестовый "Documents and Settings" содержал в себе 70979 подкаталогов с 452175 файлами,
         время обновления списка (при запуске uVS сразу после перезагрузки системы) увеличилось на 5%.

       o В лог добавлен статус Windows Defender-а.

       o В лог добавлен статус отслеживания командной строки процессов.

       o Добавлена возможность удаления исключений Windows Defender-а в активной системе без виртуализации реестра с помощью powershell.
         Функция может удалять исключения: путь, процесс, расширение.
         (!) Функция недоступна если powershell отсутствует или powershell не имеет правильной эцп.
       
    • PR55.RP55
      Похоже эти версии https://vms.drweb.ru/virus/?i=21513908 https://vms.drweb-av.es/virus/?i=22278785    
    • demkd
      майнер то старый, но как запускается хз, до создания образа uVS уже прибиты задачи, через которые он почти наверное и запускался, да и uVS запущен без флага HKCR и без флага выгрузки левых потоков, а они были и их там быть не должно.
      Однако самое неприятное то что нет командных строк в истории процессов, потому найти концы уже не получится.. возможно есть баг при включении отслеживания командных строк и это надо будет проверить.
×