Перейти к содержанию
FLY

антивирусы для ISA

Recommended Posts

FLY

посоветует кто нить что нить дельное?

и вообще - мона в двух словах растолковать чайнику, зачем нужен отдельный антивирус для ИСы, и почему его нет для остальных сетевых экранов? только потому, что ИСА совмещает в себе экран и прокси-сервер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex
и почему его нет для остальных сетевых экранов

Как это нет?

А чекпойнт, например, уже не экран?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

FLY

на микрософте все рекомендации есть :)

какая версия исы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
FLY

2000 и 2004...ща 2006 мучаю, но вряд ли для нее есть антивирусы, скорее, для 06 подойдут от 04.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
посоветует кто нить что нить дельное?

и вообще - мона в двух словах растолковать чайнику, зачем нужен отдельный антивирус для ИСы, и почему его нет для остальных сетевых экранов? только потому, что ИСА совмещает в себе экран и прокси-сервер?

Антисирус для ISA Server нужен для того, чтобы проверять HTTP и FTP трафик на входе в сетку, это основная задача.

Особенно HTTP, который сейчас является основным каналом проникновения малваре.

Антвирусных решений для ISA Server вообще не так много, как может показаться, вот список

http://www.microsoft.com/isaserver/partner...entsecurity.asp

+ Касперский Антивирус, в этом списке он должен тоже быть, кроме того у него как у McAfee есть сертификат VeriTest.

Вообще из того, что есть, на мой взгляд, я делал сравнение продуктов(может быть скоро опубликую) надо выбирать из McAfee, Symantec и Касперского. У первых двух есть + в виде доп. фильтрации трафика SMTP.

Добавлено спустя 2 минуты 29 секунд:

Кстати, у меня оченьбольшие подозрения, что антивирусы от ISA Server 2004 не совместимы с 2006.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Кстати, у меня оченьбольшие подозрения, что антивирусы от ISA Server 2004 не совместимы с 2006.

сомнения правильные.

Касперский фильтрует http, ftp

http://www.kaspersky.ru/products?chapter=156373070

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

По опыту антивирус от симантека заставить толком работать с исой задача весьма нетривиальная, а антивирус от макафи перестает нормально функционировать на более-менее серьезных нагрузках (от 50 пользователей).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
FLY
По опыту антивирус от симантека заставить толком работать с исой задача весьма нетривиальная, а антивирус от макафи перестает нормально функционировать на более-менее серьезных нагрузках (от 50 пользователей).

про маккафе согласен. с ним сам мучаюсь, ищу замену=(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Попробуй TrendMicro.

Есть два продукта - IWSS (http/ftp трафик) и IMSS (smtp/pop3 трафик).

Кстати не соглашусь с Сергеем, что основной канал проникновения MalWare - это http. Пока, на сколько мне известно, smtp как был лидером, так им и остается ...

А антивирусная защита на уровне межсетевого - это в общем-то точка связи внутренней сети с враждебной средой, на уровне которой можно контролировать весь трафик (почти :) )... Грех такую возможность упускать (лучше в дверях поймать преступника, чем бегать за ним по всему зданию :wink: ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

ну на smtp можно поставить отдельное решение, другого производителя :) вместе с антиспамом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Кстати не соглашусь с Сергеем, что основной канал проникновения MalWare - это http. Пока, на сколько мне известно, smtp как был лидером, так им и остается ...

По количеству инцидентов - да, smtp - лидер, червей полно, но сколько их всего в штуках?

По общему количеству угроз (экспойты, трояны и прочее) http впереди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко
ну на smtp можно поставить отдельное решение, другого производителя :) вместе с антиспамом.

Так в IMSS антиспам и возможность подключения RBL встроены, только лицензии соответсвующие купи ... :wink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Николай Терещенко

ну круто, круто.. я давно считаю, что продукты тренд микро ЛУЧШИЕ.

Добавлено спустя 3 минуты 22 секунды:

По общему количеству угроз (экспойты, трояны и прочее) http впереди.

http, в общем понимании, это 80 порт? Если да, тогда с вами не согласится колллега Mr. Justice.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Trend Micro InterScan WebProtect for MS ISA Server лично на мой взгляд сталобато выглядит, вообще у меня сложилось мнение, что Trend Micro просто на него задвинули.

Поддержки Microsoft ISA Server 2004 нет

Поддержки работы на массиве серверов нет

Сканирование FTP-трафика там нет тоже (только FTP over HTTP)

Сканирование SMTP-трафика нет

Создание групп пользователей нет

Web-фильтеринга нет

Списока Trusted sites нет

Пропуска некоторых типов файлов по содержимому (внутреннему формату) файла и блокировка некоторых типов файлов по расширению там кажется тоже нет (не уверен на 100%, поправьте если что).

Так как антвирус на ISA Server - потенциальное "узкое место" и задержки трафика крайне не желательны, то хорошо бы иметь возможность одновременного запуска нескольких антивирусных ядер.

У кого это есть? Только у Касперского и Symantec.

Более того, у Касперского 5.5 2000/2004 Enterprise Edition есть возможность запуска так называемых "быстрых движков" для проверки небольших объектов (до 1Мб) в памяти, что существенно увеличивает скорость и производительность.

Довольно сильный продукт еще - BitDefender for MS ISA Server 2.0.

Есть еще такой GFI WebMonitor for ISA Server 3.0, но он в России кажется не продается. Отличается он тем, что у него движки Norman, BitDefender и Каспеский (optional) + хороший функционал + смешная цена (при покупке лицензии от 50 пользователей),

Правда третий движек от Каспеского добавит еще примерно столько же по цене. :wink:

http://www.gfi.com/pricing/pricelist.aspx?...WEBMON&lang

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
InterScan™ WebProtect v.5.0 for ISA 2004 Server

Во, как хорошо, ISA Server 2004 поддержвивается, и массивы серверов, и мультипоточное сканирвоание ...

ISA Server 2004 EE только не поддерживается :cry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
ISA Server 2004 EE только не поддерживается

Там же написано:

Microsoft ISA 2004 Server support

* Standard

* Enterprise editions

o Can be deployed in multi-server array

o Support two levels of configuration management

o Has no restriction on the number of processors on the ISA Server Computer. (The Standard Version is limited to 4 processors.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×