Перейти к содержанию
Alexander Khomutov

Выбор антивируса под прокси и почтовый сервер.

Recommended Posts

Sergey75

Продукт вышел в технический релиз. Интегрируется по протоколу ICAP. Сейчас поддержвается только Squid 2.5, 3.0(официально). Возможно будет работать с железяками которые поддерживают ICAP rfc. В скором будущем ожидается официальная поддержка железок. В публичный релис выйдет в течении месяца видимо, так что ждите:)

PS: обкатан на довольно большой сетке...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
crazyman
PS: обкатан на довольно большой сетке...

Да вы што?

А я как знаю, сквид вообще при больших нагрузках не живёт с icap комфортно...

ну-ну, посмотрим ;-)

Добавлено спустя 2 минуты 25 секунд:

а то непонятно есть продукт или нет его

Это как считать... :)

Техрелиз уже состоялся, но в продаже продукта пока нет.

А тех релиз, это, я понимаю, для тех, кто не этих, кто не здесь? Верно?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey75

Кстати вышел коммерческий релиз - так что спрашивайте у сейлов. а кто хочет услышать подробнее на infosecurity в павильоне ЛК 6-го сентября.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вадим Волков

“Лаборатория Касперского” объявляет о выпуске коммерческого релиза Антивируса Касперского 5.5 для Proxy Server

(для Squid Proxy Server с поддержкой протокола ICAP)

не знаю как дела обстояли 2 сентября, а нам только сегодня сообщили цены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrunja

Господа присяжные заседатели!

Может у кого есть опыт решения вышепоставленной задачи только под win ?

Исходные данные: веб-шлюз (winXP prof), раздающий в небольшую локалку и-нет посредством прокси (coolproxy). В кач-ве фаейра крутиться Lan2net. Чем сканить трафик (в принципе, достаточно http и pop) на предмет вирей, чтобы они грохались сразу на шлюзе?

Шлюзовой анитвир исправно мочит вири в проксёвом кеше, но клиенту вирь уходит. Касательно http-траффика:

-Пробовал KWF 6.хх (кериевский файер с интегрёным mcafee + visnetic). Классная штука, но мочит вирь, когда работает после coolproxy. Если настроен до, то вирь исправно детектится, отправляется в карантин и одновременно клиенту :((

-Пробовал wingate 5.xx c плагином от visnetic. Вобче заразу в трафике не сечёт, хотя кнопка сканера пашет и вири им детектятся на ура.

-Пробовал последний winproxy c пандой. Вири довольно успешно детектил и также успешно пропускал.

-Пробовал F-Secure. То же самое: вирь детектится, грохается в кеше и отдается клиенту.

-Пробовал avast! (блин! нетривиальная настройка на автопилот..) картина та же: детектим ->в карантин -> и клиенту.

-Хотел попробовать Spider Gate, да не нашёл...

Касательно pop-a решение неожиданно всплыло..

А вот что делать с http ?

Получилось, что

-прокси+антивирь трафика

-файер+антивирь трафика

-файловый антивирь+антивирь трафика

не фурычать, как того требует обстановка. Теоретическое решение только одно: файер с проксёй и антивирем. И это KFW. В принципе, чтобы не терять громадный кеш cool-a его можно подцепить проксёй в KWF. Но вот тамошние способы авторизации клиентов никак не устраивают. Просто и со вкусом, как это происходит в coolproxy сделать не получается..[/b]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Посмотрите

SurfControl Enterprise + Anti-Virus Agent (Web Filter + Email Filter)

http://surfcontrol.ru/company/news/?id=35

У них как раз новые версии в ноябре вышли. В качестве Anti-Virus Agent могу предложить Sophos Anti-Virus Interface. Цены на SurfControl можно узнать на их сайте.

Еще есть вариант для E-mail - Sophos PureMessage for SMTP/MS Exchange

http://www.dialognauka.ru/main.phtml?/prod...ail/puremessage.

В принципе если интересно, то DataSheet для Puremessage могу выложить прямо сюда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrunja
Посмотрите

SurfControl Enterprise + Anti-Virus Agent (Web Filter + Email Filter)

http://surfcontrol.ru/company/news/?id=35

У них как раз новые версии в ноябре вышли.

SurfControl Web Filter Free Trial download v5.5 64 Мб. инсталла !!"то серьёзная заявка на супер-продукт!! Я, конечно, качну и проверю.... но всё-таки непонятно, чего и на чем можно было наваять в такой размер.

Добавлено спустя 8 минут 38 секунд:

Еще есть вариант для E-mail - Sophos PureMessage for SMTP/MS

Насчёт почты я был удивлен, когда обнаружил, что крутящийся на шлюзе бесплатный AVG, с персональным E-mail Scanner-ом в авто-режиме тихо и мирно мочит вири, которые проходят через coolproxy (режим port-map) по pop-протоколу.

Если б он (AVG) так же, без идиотской гоблинской рожи и обычные вири мочил... цены б ему не было!..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrunja
Посмотрите SurfControl Enterprise + Anti-Virus Agent (Web Filter + Email Filter)

вот оказывается может где собака порылась:

в методе коцания трафика:

http://www.citforum.ru/internet/securities/intuprcorp.shtml

Более половины предлагаемых программных средств представляют собой простые анализаторы файлов журнала proxy-сервера, в то время как остальные сами являются такими серверами со статистическими функциями и возможностью блокирования тех или иных IP-адресов по принципу сетевого "горлышка" (Pass-Through), через которое проходит трафик в Internet. В отличие от них продукт от JSB лишь проверяет пакеты, проходящие через сетевую карту. Эта технология называется сниффером (Pass-By).

***

В связи с этим сам принцип блокирования доступа несколько иной, нежели в proxy-серверах. Суть его в том, что surfCONTROL пассивно наблюдает за пакетами, но лишь до тех пор, пока они не нарушают так называемые правила доступа. Как только это происходит, surfCONTROL отсылает в сторону сервера, расположенного в Internet, IP-пакет от имени компьютера-клиента о разрыве соединения, а в сторону пользователя такое же сообщение, но от имени сервера. Со стороны человеку, вооруженному тем же Network Monitor, будет казаться, что запрашиваемый сервер по непонятной причине разрывает соединение. Но обычно администратор создает сообщение о причине запрета доступа, которое выводится как HTML-страница в браузере.

интересно, а кто ещё по принципу Pass-By траффик лопатит? (кроме классических сниферов, конечно:))

KAV там как это делает, никто не в курсе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин
интересно, а кто ещё по принципу Pass-By траффик лопатит? (кроме классических сниферов, конечно

Мда...

Предоствленный документ опубликован в марте 2000-го года, неужели Вы думаете что за 6 лет ничего не изменилось в плане реализованных в SurfControl технологий?

Лучше прочитайте вот этот документ:

http://surfcontrol.ru/whitepapers/rus/SWF_...rsGuide_rus.pdf

В двух словах из данного документа:

"Технологии фильтрации SurfControl"

- Технология Pass-By

- Технология Pass-Through

- Адаптивный список категорий Url Category List

- Компонент Virtual Control Agent (компонент на основе технологий нейронных сетей, дополняющий список Url Category List)

- Гибкая фильтрация (по пользователям, группам, времени, категориям, а даже страницам сайта)

- Структурная фильтрация (Active Directory, NDS eDirectory, LDAP, IP и MAC-адреса)

- Управление политикой во времени

- Ограничение по времени и объему

- Управление типами файлов

- Назначение приоритета трафика (в совокупности с ISA Server)

- Фильтрация всплывающих окон и баннерных объявлений

- Назначение уведомлений

- Назначение страниц запрета доступа

Причем данный документ датирован 2005-м годом. А как я говорил, в ноябре 2006-го вышли новые версии с новыми возможностями.

Так демку то поставили, посмотрели как работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
andrunja
интересно, а кто ещё по принципу Pass-By траффик лопатит? (кроме классических сниферов, конечно

Так демку то поставили, посмотрели как работает?

Нет ещё, завтра заинсталю..

Кстати, почему-то продукт похудел в два раза.. версия 5.0 зашкаливала за 100Мб... К чему бы это?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Все что ни делается, все к лучшему :)

Просто выкинули все лишнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Просто выкинули все лишнее.

Интересно, а что было лишним? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

8)

Тут мне тяжело комментировать на самом деле. Дело в том что дистрибутив Web Filter включает в себя базу данных, скорее всего такое изменение размера связано в первую очередь с ней.

Вообще что хорошо у SurfControl, у них есть хорошая база FAQ на русском языке, где я нахожу 80% ответов на свои вопросы прежде чем звонить в тех. поддержку производителя:

http://kb.surfcontrol.ru/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
    • gromm
    • gromm
×