-
Junior Member
- Вес репутации
- 58
Антивирус для Squid
а кто что может посоветовать для прокси (squid на линухе)?
рассматриваю drweb, касперского, nod32, может быть авиру.
тут помимо отлавливания вредных exe-файлов хотелось бы скрипты со всякой гадостью резать.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Для squid-а, с применением фильтрации через icap есть решения у DrWeb, ClamAV,
(эти варианты я еще не пробовал) Symantec, VBA32, Антивирус Касперского для Proxy Server, InterScan Web Security Suite от Trend Micro.
О существовании таких решений у других вендоров не слышал.
Вообще-то это тема для отдельного топика
Последний раз редактировалось Kuzz; 10.06.2008 в 12:49.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 58
список явно неполон
havp поддерживает (соответственно можно использовать со squid):
clamav
kaspersky
trend micro
avg
f-prot
nod32
sophos
avast!
arcavir
drweb
кроме того, у большинства производителей (кроме упомянутых у Kuzz навскидку есть ещё nod32, avira) есть свои решения, обычно это icap-сервер.
так что вопрос не "что есть", а "что выбрать". специфика фильтрации на прокси:
- тут нужно простое сканирование. всякие поведенческие анализы ничем помочь не могут;
- нужно сканировать не только файлы с сигнатурой MZ, но и скрипты (в первую очередь js), желательно находить эксплойты и в html, css, jpeg, ...
- жёсткие требования к актуальности баз.
-
Сообщение от
edo
список явно неполон
кроме того, у большинства производителей (кроме упомянутых у
Kuzz навскидку есть ещё nod32, avira) есть свои решения, обычно это icap-сервер.
Именно по этому я и написал, что я не слышал.
Сообщение от
edo
так что вопрос не "что есть", а "что выбрать". специфика фильтрации на прокси:
- тут нужно простое сканирование. всякие поведенческие анализы ничем помочь не могут;
- нужно сканировать не только файлы с сигнатурой MZ, но и скрипты (в первую очередь js), желательно находить эксплойты и в html, css, jpeg, ...
- жёсткие требования к актуальности баз.
Это один из самых сложных вопросов, т.к. однозначно ответить что антивирус А лучше чем Б тяжело.
Сканирование не только исполняемых файлов это скорее настроечная опция в самом икап-сервере. (К примеру, и клам и др.веб их проверяют, если такая проверка включена)
Жесткие требования к актуальности баз = высокая скорость реакции на новые семплы. На странице тестов можно посмотреть графики, которые дают примерное представление о скорости реакции.
The worst foe lies within the self...
-
-
А компы в сети, я так понимаю, у Вас виндовые? Если так, то единственное зачем имеет смысл ставить на сервак антивирус для проверки всего трафика, то только для подстраховки. Имеет ли смысл платить большие деньги за это?
-
-
Сообщение от
edo
...рассматриваю drweb, касперского, nod32, может быть авиру.
тут помимо отлавливания вредных exe-файлов хотелось бы скрипты со всякой гадостью резать.
-ну, это всё коммерческие решения... некоторые очень даже удачные, но ведь и денег же стоят немалых
-а как насчёт альтернативной связки Squid+HAVP (HTTP Antivirus Proxy) или такой вариант в принципе не рассматривается?..
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Alex Plutoff
-а как насчёт альтернативной связки Squid+HAVP (HTTP Antivirus Proxy) или такой вариант в принципе не рассматривается?..
так я выше написал - havp поддерживает далеко не только clamav
Добавлено через 5 минут
Сообщение от
Синауридзе Александр
А компы в сети, я так понимаю, у Вас виндовые? Если так, то единственное зачем имеет смысл ставить на сервак антивирус для проверки всего трафика, то только для подстраховки. Имеет ли смысл платить большие деньги за это?
деньги не такие уж и большие. существенно меньше, чем держать антивирус на каждой рабочей станции.
по моим ощущениям web - это основной источник заражения. почту я проверяю давно, флешки и прочие сменные носители далеко не все пользователи используют.
Последний раз редактировалось edo; 11.06.2008 в 21:35.
Причина: Добавлено
-
Еще в качестве одного из условий обычно исходят из того, что на прокси стоит антивирус от иного вендора нежели на компах.
Что пропустит один - поймает другой.
The worst foe lies within the self...
-
-
Сообщение от
Kuzz
Еще в качестве одного из условий обычно исходят из того, что на прокси стоит антивирус от иного вендора нежели на компах.
Это условие обязательное.
Добавлено через 3 минуты
Сообщение от
edo
деньги не такие уж и большие. существенно меньше, чем держать антивирус на каждой рабочей станции.
А какой антивирус стоит на рабочих станциях?
Последний раз редактировалось Синауридзе Александр; 11.06.2008 в 22:18.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 58
ещё раз - не хочется ставить (покупать) на все компьютеры антивирус. в общем-то неплохо живём и без проверки http/ftp трафика - но если можно немного заткнуть дыру - то почему бы и нет.
к слову - я размышляю над простым запретом "обычным" пользователям скачивать exe-файлы. это обломает большую часть дропперов.
-
Сообщение от
edo
ещё раз - не хочется ставить (покупать) на все компьютеры антивирус.
Если на машинах стоит лицензионое ПО, то и покупка антивируса дело недорогое.
Сообщение от
edo
в общем-то неплохо живём и без проверки http/ftp трафика - но если можно немного заткнуть дыру - то почему бы и нет.
Используйте ClamAV.
Сообщение от
edo
к слову - я размышляю над простым запретом "обычным" пользователям скачивать exe-файлы.
Делается в Squid достаточно просто.
Пример:
acl bigfiles url_regex -i "/etc/squid/conf/bigfile.txt"
Сообщение от
edo
это обломает большую часть дропперов.
Ошибочное суждение.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Синауридзе Александр
Используйте ClamAV.
вы серьёзно?
для почты и производительности clamav хватает, и на почтовые эпидемии он реагрует достаточно оперативно. для http же всё по-другому - тормоз clamav достаточно изрядный, а качество баз так себе.
к слову - для почты я сделал фильтрацию по потенциально-опасному контенту (exe, js и подобным нечего делать в письмах). до clamav теоретически могут доходить только вирусы в архивах - но и они не доходят, как-то сошла на нет популярность вирусов "разархивируй и запусти"
Делается в Squid достаточно просто.
не, так не пойдёт. url и содержимое файла связаны мало. в общем достаточно по первым двум байтам идентифицировать exe-файлы - но afaik squid встроенных средств для этого не имеет. нужно или ставить в цепочку фильтрующий прокси или заводить icap-сервер.
аргументируйте.
я со своей стороны могу сказать - достаточно давно ставил для интереса спутниковую рыбалку с фильтром на мелкие exe-файлы. валилось очень много всего, значительная часть определялась антивирусами. притом через несколько дней в той же коллекции антивирусы находили ещё что-нибудь.
-
Сообщение от
edo
не, так не пойдёт. url и содержимое файла связаны мало. в общем достаточно по первым двум байтам идентифицировать exe-файлы - но afaik squid встроенных средств для этого не имеет.
Mime-type?
acl NoLoad req_mime_type application/x-ms-dos-executable
http_access deny NoLoad
Сообщение от
edo
аргументируйте.
Не далее как вчера (учитывая время написания поста) я упорно боролся с дропперами с расширением *.gif
Да и частенько их вижу.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
Kuzz
Mime-type?
а чем это принципиально отличается от url? какой отдаст нам сервер - такой mime-type мы и увидим
Не далее как вчера (учитывая время написания поста) я упорно боролся с дропперами с расширением *.gif
Да и частенько их вижу.
вот я про то и говорю - зачем привязываться к расширению. первые два байта "MZ" - пользователю не доставляем, делов-то.
или там "GIF89a" было?
-
Ваше суждение о том, что поставив антивирус на сервер можно сэкономить на покупке антивируса для рабочих станций - ошибочное.
-
-
Junior Member
- Вес репутации
- 58
ну так аргументируйте